Post on 03-Jan-2015
Fortificación de redes locales
Agenda• 09:45 - 11:15 Ataques de infraestructura en
redes de Datos – Técnicas de Spoofing– Contramedidas
• 11:15 - 11:45 Café• 11:45 - 13:00 Fortificación de Servidores
– Principios– Metodología– Herramientas
• 13:05 - 13:30 Gestion de políticas de Seguridad – Aplicación de GPO– Procesamiento GPO– Planificación– GPMC
Seguridad• La seguridad depende de 3 factores:
– Tecnología:• Estándares• Productos de los fabricantes• Desarrollos personales
– Procesos:• Procedimientos y operaciones en nuestros
entornos
– Personas:• Formación vertical del personal de la empresa
¿Porque Atacan?Motivos Personales• Desquitarse• Fundamentos políticos o
terrorismo• Gastar una broma• Lucirse y presumir
Motivos Financieros• Robar información• Chantaje• Fraudes Financieros
Hacer Daño• Alterar, dañar or borrar
información• Deneger servicio• Dañar la imagen pública
Motivos
• La tecnología tiene fallos.
• Es muy fácil hacerlo.
• No hay conciencia clara del delito
• Porque es “divertido”
Impacto de los Ataques
Pérdida de Beneficios
Deterioro de la confianza de los
inversores
Daños en la reputación
Datos comprometidos
Interrupción de los procesos de
Negocio
Daños en la confianza de los
clientes
Consecuencias legales
(LOPD/LSSI)
0
20000
40000
60000
80000
100000
120000
140000
160000
Incidentes Reportados al CERTData Source: CERT ( http://www.cert.org)
Vulnerabilidades por Años
0
500
1000
1500
2000
2500
3000
3500
4000
4500
1995 1996 1997 1998 1999* 2000 2001 2002 2003
Data Source: CERT ( http://www.cert.org)
Sofisticación de los Ataques vs. Conocimientos requeridos
Ataques a redes TCP/IP
El Modelo OSI
1.Físico
2. Conexión
3. Red
4. Transporte
5. Sesión
6. Presentación
7. Aplicación
ARP, RARP
En Realidad el TCP/IP
• Cuatro capas son suficientemente representativas
1. interface
2. Red
3. Transporte
4. Aplicación
IP, ICMP, IGMP
TCP, UDP, IPsec
HTTP, FTP, TFTP, telnet, ping, SMTP,POP3, IMAP4, RPC, SMB, NTP, DNS, …
8-5. usuario
RFC 1180 - TCP/IP tutorialThere are security considerations within the TCP/IP protocol suite. To some people these considerations are serious problems, to others they are not; it depends on the user requirements. This tutorial does not discuss these issues, but if you want to learn more you should start with the topic of ARP-spoofing, then use the "Security Considerations" section of RFC 1122 to lead you to more information.
Técnicas de Spoofing
• Las técnicas spoofing tienen como objetivo suplantar validadores estáticos
Un Un validador estáticovalidador estático es un medio es un medio de autenticación que permanece de autenticación que permanece invariable antes, durante y después invariable antes, durante y después de la concesión.de la concesión.
Técnicas de Sniffing• Capturan tráfico de red.• Necesitan que la señal física llegue a la
tarjeta de red.• En redes de difusión mediante
concentradores todas las señales llegan a todos los participantes de la comunicación.
• En redes conmutadas la comunicación se difunde en función de direcciones.– Switches utilizan dirección MAC.
Niveles AfectadosNiveles Afectados
SERVICIOSERVICIO
REDRED Dirección IPDirección IP
ENLACEENLACEENLACEENLACE Dirección MACDirección MAC
Nombres de dominioNombres de dominio
Direcciones de correo electrónicoDirecciones de correo electrónico
Nombres de recursos compartidosNombres de recursos compartidos
Tipos de técnicas de Spoofing
• Spoofing ARP– Envenenamiento de conexiones.– Man in the Middle.
• Spoofing IP – Rip Spoofing.– Hijacking.
• Spoofing SMTP• Spoofing DNS
– Phising.
Sniffing + SpoofingSniffing + Spoofing
Hijacking (secuestro) Y Hijacking (secuestro) Y EnvenenamientoEnvenenamiento
Técnicas Combinadas
Nivel de Enlace: Spoofing ARP
Suplantar identidades físicas.. Saltar protecciones MAC. Suplantar entidades en clientes
DHCP. Suplantar identidades en switches
de comunicaciones.
Solo tiene sentido en comunicaciones locales.
Dirección Física
Tiene como objetivo definir un identificador único para cada dispositivo de red.
Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Protocolo ARP
No se utilizan servidores que almacenen registros del tipo: Dirección MAC <-> Dirección IP.
Cada equipo cuenta con una caché local donde almacena la información que conoce.
Sniffing en Redes de Sniffing en Redes de DifusiónDifusión
PC HACKERPC HACKER
PC 1PC 1
PC 2PC 2 PC 3PC 3
PC 4PC 4
SnifferSniffer
Datos PC 4
Datos PC 4
filtrafiltra filtrafiltra
PC HACKERPC HACKER
PC 1PC 1
PC 2PC 2 PC 3PC 3
PC 4PC 4
SnifferSniffer
Datos PC 4
Datos PC 4MAC 1MAC 1
MAC 2MAC 2 MAC HMAC H MAC 3MAC 3
MAC 4MAC 4
Puerto 1 MAC 1Puerto 1 MAC 1
Puerto 2 MAC 2Puerto 2 MAC 2
Puerto 6 MAC HPuerto 6 MAC H
Puerto 11 MAC 3Puerto 11 MAC 3
Puerto 12 MAC 4Puerto 12 MAC 4
Sniffing en Redes ConmutadasSniffing en Redes Conmutadas
Envenenamiento de Conexiones“Man in the Middle”
La técnica consiste en interponerse entre dos sistemas.
Para lograr el objetivo se utiliza el protocolo ARP.
El envenenamiento puede realizarse entre cualquier dispositivo de red.
Ataque ARP Man In The Middle
¿Quien tiene
1.1.1.2?
1.1.
1.2
esta
en
99:8
8:77
:66:
55:4
4
1.1.1.2 esta en 00:11:22:33:44:55:66
1.1.1.1
1.1.1.2
1.1
.1.1
esta
en
99:8
8:7
7:6
6:5
5:4
4
Man in the Middle
• Sirve como plataforma para otros ataques.
• DNS Spoofing.• Phising.• Hijacking.• Sniffing
• Se utiliza para el robo de contraseñas.
Demostración
• Envenamiento entre hosts.
– Robo de contraseñas.– DNS Hijacking.– Phising (WebSpoofing).– HTTPS Spoofing.
Generación del “Hash” LM• Se rellena hasta 14 caracteres con Nulos• Se convierte a Mayúsculas.• Se separa en 2 strings de 7 caracteres
KeyKey
ConstanteConstante
Seattle1Seattle1 SEATTLESEATTLE 1******1****** == ++
Hash LMHash LM
KeyKey
ConstanteConstante
ConcatenaConcatena
DESDES DESDES
Consideraciones del “Hash” LM • En realidad no en un hash• Tiene un Set de Caracteres Limitado
– Solo se utilizan caracteres alfanuméricos comunes– No distingue Mayúsculas y Minúsculas– 142 símbolos
• Se rellena hasta 14 caracteres– 2 contraseñas de siete caracteres
• El Nº Máximo de contraseñas posibles es ≈ 6.8*1012
• Unsalted (Sin aliñar)
Generación de un Hash NT
• Se calcula el Hash de la contraseña
• Se almacena.
unicodeunicodePwdPwd
Seattle1Seattle1 MD4MD4
Consideraciones del Hash NT• Preserva las Mayúsculas y Minúsculas
– 65,535 símbolos (Todo el Set Unicode)
• Máxima longitud = 127 caracteres• Contraseña de Nº Caracteres ≤14 usando el set
de Caracteres LM tendremos ahora hasta ≈ 4.6*1025 Hashes diferentes
• Se admiten mayúsculas y minúsculas• El hash es de la contraseña completa y no dos de 7
• Si Nº Caracteres de la contraseña ≤14 (full char set) ≈ 2.7*1067
• Si se utilizan contraseñas de 127 caracteres ≈ 4.9*10611
• Unsalted
Salting
• Previene el que se pueda derivar o deducir la contraseña del fichero de contraseñas.
• Su presentación y almacenamiento difiere
• Efecto lateral: vence los ataques de hash pre-calculados
Alice:root:b4ef21:3ba4303ce24a83fe0317608de02bf38d
Bob:root:a9c4fa:3282abd0308323ef0349dc7232c349ac
Cecil:root:209be1:a483b303c23af34761de02be038fde08
Misma Contraseñ
a
Vulnerabilidad Kerberos
• Casi todo el mundo conoce las debilidades de LM/NTLM.
• El Sniffing de Kerberos es menos conocido• Muchos administradores todavía piensan que
KERBEROS es inexpugnable.• El ataque lo explico por primera vez Frank
O’Dwyer en 2002• El problema radica en un único paquete de pre-
autenticación.• En este paquete se envía el timestamp cifrado
con una clave derivada de la contraseña del usuario.
Autenticación Kerberos
ClienteCliente KDCKDCKRB_AS_REQKRB_AS_REQ
KRB_AS_REPKRB_AS_REP
KRB_TGS_REQKRB_TGS_REQ
KRB_TGS_REPKRB_TGS_REP
......
Autenticación de credenciales(AS Exchange)
• El cliente inicia la comunicación solicitando la autenticación– KRB_AS_REQ
• El KDC contesta afirmativamente o con un error– KRB_AS_REP– KRB_ERROR
Solicitud de autenticación (KRB_AS_REQ)
• Este mensaje tiene cuatro campos:– Versión del protocolo Kerberos usado = V5– Tipo del mensaje = KRB_AS_REQ– Datos de pre-autenticación = PADATA– Información de la solicitud: Nombre del cliente,
dominio,...
Protocol Version Protocol Version NumberNumber
Tipo del MensajeTipo del MensajeKRB_AS_REQ KRB_AS_REQ PA DATAPA DATA Cuerpo del MensajeCuerpo del Mensaje
Datos de Pre-Autenticación(PADATA)
• OPCIONAL
• Se utiliza para prevenir ataques offline– El KDC puede verificar el PDDATA y
responder sólo a clientes pre-autenticados– Si no hay pre-autenticación, el KDC enviaría
respuestas que un atacante podría intentar descifrar off-line
Datos de Pre-Autenticación(PADATA)
• Contiene:– Un sello de tiempo de la solicitud en ASCII con
el siguiente formato: “YYYYMMDDHHMMSSZ”
• Cifrado con una clave derivada de la contraseña del usuario
Generación PADATA (RC4-HMAC)
ContraseñaContraseña
HMACHMAC
Clave (K)Clave (K) RC4RC4
PA DATAPA DATA
““YYYYMMDDHHMMSSZ”YYYYMMDDHHMMSSZ”
Verificación PADATA (RC4-HMAC)
Clave (K)Clave (K) RC4RC4
PA DATAPA DATA
““YYYYMMDDHHMMSSZ”YYYYMMDDHHMMSSZ”
KDCKDC
Ataque PADATA (RC4-HMAC)
ContraseñaContraseñafactiblefactible
HMACHMAC
Clave (K)Clave (K)RC4RC4
PA DATAPA DATA
??????????????????????????????????????
DiccionarioDiccionario
““YYYYMMDDHHMMSSZ”YYYYMMDDHHMMSSZ”
¿Tiene formato de fecha?¿Tiene formato de fecha?
Contramedidas
Protección contra Envenenamiento de Conexiones• Medidas preventivas.
– Control físico de la red.• Bloqueo de puntos de acceso.• Segmentación de red.
– Gestión de actualizaciones de seguridad.• Protección contra Exploits.• Protección contra troyanos.
– Fortificación Switches
Protección contra Envenenamiento de Conexiones• Utilización de detectores de Sniffers.
– Utilizan test de funcionamiento anómalo.• Test ARP
• Sistemas de detección de Intrusos– Comprobación de pares IP <-> MAC
• Carga estática de tablas ARP
Medidas de protección contra crackeo de passwords
• Seleccionar una contraseña fuerte
• Usar IPSec para cifrado de Kerberos
• Utilizar Smart Card
Frase vs. Passwords
●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●
●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●