Modulo 02 Crypto v1.6 [Imprimible]cryptomex.org/SlidesSeguridad/SeguridadPerimetral.pdf ·...
Transcript of Modulo 02 Crypto v1.6 [Imprimible]cryptomex.org/SlidesSeguridad/SeguridadPerimetral.pdf ·...
Murphy's Technology Law #4: To err is human, but to really foul things up requires a computer.
¿Qué es la SEGURIDAD?
¿Qué es seguro?La salud…El dinero…La libertad…El amor…
Los diez mandamientos personales de la seguridad (Nada por… Pago siempre) yla teoría de las fronteras
There is no such thing as absolute security.
Security is always a question of economics
as same as:
3
Se define al perímetro informático de una compañía como el límite entre la parte controlada de un ambiente de procesamiento de datos, y los otros entornos informáticos no controlados por una empresa.
la definición de perímetro informático no ha cambiado, pero pasó de abarcar un concepto solamente “físico” (paredes) a implicar un concepto “lógico” , sin dejar de lado lo anterior. Esta definición se fue ampliando con la particularidad de que la evolución ha obligado a ir colocando “capas” de seguridad unas sobre otras. Cada una es importante para mitigar un subconjunto de riesgos y todas en conjunto hacen que se pueda tener un perímetro de seguridad informática adecuado.
La palabra perímetro proviene del latín perimĕtros, que a su vez deriva de un concepto griego. Se refiere al contorno de una superficie o de una figura y a la medida de éste.
Perímetro, Frontera, límite… ¿Qué más da?
4
La invencibilidad depende de uno mismo; la vulnerabilidad del enemigo, de él.
La invencibilidad reside en la defensa; la posibilidad de la victoria en el ataque.
La mejor defensa es el ataque.
Kalimán
Keep the level of all your defenses at about the same height.
5
1980 1985 1990 1995 2000
Password GuessingDisabling Audits
Backdoors & Trojan HorsesHijacking Sessions
Password CrackersPacket Sniffers
Stealth Diagnostics
Tools with GUIsOS Detectors
Port ScannersVulnerability Scanners
Packet SpoofingHIGH
LOW
External Threats: Hacker Tool ExplosionRecent Web Search for
“Hacker Tools” returned over 2100 hits
Distributed DoS Attacks
I get scanned dozens of times everyday. Less than 20% of those scans are US based ISS User
6
Introducción“We have found that Internet Security is not verydifferent from other forms of security... The details are different, ..., but the same approaches, rules and lessons apply. Not even nuclear launch codes are absolutely secure; to give just one example, a U.S. president once left thecodes in a suit that was sent off for cleaning”.
Cheswick, Bellovin, Rubin. Firewalls and Internet Security
7
EnfoqueNecesitamos conocer las debilidades de nuestra red, sólo así podremos protegerla. Esta frase parece trivial, sin embargo, conocer las tecnologías que soportan nuestras redes puede no ser trivial.
Know your enemies, know your weeknesses, know yourdefenses, know your technologies, know your(human/tech) capabilities.
Enfoque: Caracterización de Riesgos o ¿cuánto estás dispuesto a perder?
8
Introducción – El Universo de la Seguridad• Análisis de Riesgos• Estrategia de Seguridad• Políticas y Procedimientos• Arquitectura Técnica
– Redes (Perímetro, LAN, WAN, NAS-RAS, Wireless, Firewalls, Routers, Switches, VPN, Monitores de Red, Detección de Intrusos)
– Sistemas Operativos– Aplicaciones– Bases de Datos
• Operación• Desarrollo• Seguridad Física• Respuesta a Incidentes• Continuidad del Negocio• Concientización• ... œ
9
Evolución de las Vulnerabilidades en la Red
Wkst
Wkst
Sucursal
Ruteador Interno
Internet
Ruteador Externo
Firewall
Servidores Internet /DMZ
Carencia de la aceptación y de la promulgación de buenas políticas de seguridad, los procedimientos, guías y estándares mínimos.
Servicios No Autenticados
Passwords débiles, fáciles de adivinar y reusables que a nivel de estación de trabajo pueden comprometer los servidores
Versiones de software sin parches o desactualizados, manteniendo las configuraciones de default
Usuarios o cuentas de prueba con privilegios excesivos
Excesivas relaciones de confianza tales como NT Domain Trust y archivos UNIX .rhost y host.equiv quepueden proveer a los atacantes acceso no autorizadoa sistemas sensitivos
Mala configuración en las listas de control de acceso del firewall o del ruteador que pueden permitir acceso a los sistemas internos directamente o una vez que los servidores de la DMZ han sido comprometidos
Servidores con mala configuración o ejecutando servicios no necesarios
Filtración de información que puede proveer al atacante las versiones del sistema operativo y aplicaciones, usuarios, grupos, información del DNS y servicios ejecutándose como SNMP, finger, SMTP, telnet, etc.
Inadecuado logeo o registro, monitoreo y capacidades de detección al nivel de red y servidores
Inadecuado control de acceso del ruteador; listas de control de acceso mal configuradas que filtra información a través de ICMP, IP, NetBIOS, y conduce a acceso no autorizado a los servicios de la DMZ
Puntos de acceso no seguro y sin monitorear proveen un medio de acceso fácil a la red corporativa
Servidor de Acceso Remoto
Usuario remoto
10
Anatomía de un ataque• Reconocimiento inicial
– Google! - direcciones IP, correos electrónicos, sistemas.
– Whois! – direcciones IP, correos electrónicos, números telefónicos, DNS (arin, lacnic, apnic, ripe)
– IFAI– REDES SOCIALES– Ingeniería social - ¿han oído hablar de Ira Winkler? –
Casos: secretos nucleares India, espionaje industrial compañía hi-tech.
11
Anatomía de un ataque
• Identificación de objetivos– Mapeo de la red (host alive), escaneo de puertos
(puertos open/filtered/closed UDP/TCP), identificación de banners de servicios activos, identificación del sistema operativo.
• NMAP!• Strobe• Superscan• Netscan tools pro• wups
12
Anatomía de un ataque
• Identificación de vulnerabilidades– Manual
• Análisis: versión de aplicación identificada vs. vulnerabilidades reportadas (y las no reportadas? – 0day, 1day exploits)
• Selección de herramientas específicas – “Para abrir un refresco necesito
una llave no una escopeta”
• Buscando el eslabón más débil
– Automática – “Los famosos escaners de vulnerabilidades”• Nessus! (open source, free)
• ISS - Internet Scanner!$$
• eEye - Retina!$ Security is always a question of economics.
13
Anatomía de un ataque• Actividades de Penetración
– Exploits! (packetstormsecurity.org, securityfocus.com, ntbugtraq.com, ...)
• Nota: Si vas a utilizar un código que tu no programaste por favor tómate la molestia de analizar que es lo que hace.
– Ataques (en línea o fuera de línea) sobre elementos de autenticación (user/passwd).
– Ataques a la medida – sql injection, DoS, virus, phishing, programación, spoofing, sniffing, relaciones de confianza (terceros/outsourcing), evasión de IDS, ... Tan amplio como amplio es el mundo de la tecnología y la información, elementos tan bizarros como la imaginación lo permita. Y no olvidemos los ataques que no tienen que ver con tecnología como “plantación de empleados” ¿Quién hace background check? Robo de laptops en aeropuertos y valet parking, ta lvez ustedes si utilicen crypto pero ¿sus directores también?.
14
Anatomía de un ataque• Consolidación
– Acceso usuario – escalar privilegios– Acceso administrator/root – es sólo el principio buscar el
siguiente objetivo, recopilación de información relevante de este sistema – archivos de contraseñas, relaciones de confianza, nombres de sistemas, info. sensitiva, ... Y de ahí la metástasis.
– Una vez que un atacante logra comprometer un sistema con privilegios de administrator/root sólo su creatividad es el límite – caballos de troya, backdoors, hasta harden del equipo!!! (sonará a broma pero sucede a menudo y tiene mucha lógica, les suena familiar el término “casas de seguridad” –secuestro)
15
Anatomía de un ataque• El problema se complica, parece que no todo se soluciona con
“Windows Update” o con los patch-clusters de Solaris, o con el nuevo fix para IOS, o el nuevo fix para ...., ¿Estamos de acuerdo? – Los ataques van más allá de explotar vulnerabilidades (uso de xploits).
• Adicionalmente, la administración de vulnerabilidades es sólo parte de la solución del problema. Debemos tomar en cuenta además que la administración de vulnerabilidades tampoco es trivial, conlleva:– Inventario de tecnologías/sistemas operativos/aplicaciones– Políticas y Procedimientos– Estrategias y soluciones de respaldos– Ambientes de prueba– Personal
16
Importancia de la Seguridad a nivel RedGran parte de los ataques, hoy en día, utilizan las redes ya sea internas o externas como ruta o medio.
De aquí la relevancia de la Seguridad a nivel Red. Pero no olvidar que es sólo una parte y que deberá estar alineada con los demás esfuerzos de un Programa Corporativo de Seguridad de la Información (Análisis de Riesgos, Estrategia de Seguridad, Políticas y Procedimientos, Continuidad, etc.)
17
Importancia de la Seguridad a nivel Red
• Red• Equipos Intermedios• Sistemas Operativos• Aplicaciones• Bases de Datos
Red– Columna Vertebral
18
Importancia de la Seguridad a nivel Red
• Esta columna vertebral puede convertirse en si misma en una excelente primera línea de defensa si está bien configurada y administrada, sin embargo, también puede convertirse en el camino que permita un doloroso ataque.
• Algunos componentes/tecnologías que forman parte de la seguridad a nivel red: – Routers– Firewalls
• Filtrado de paquetes• Inspección de estado• Proxies/Gateways de Aplicación
– Switches– Detectores de Intrusos– Monitores de Red– Accesos Remotos – VPN/RAS/NAS– Sistemas Operativos – servicios de red– Aplicaciones en Red/Distribuidas – Cliente Servidor– Bases de Datos en Red/Distribuidas
19
Importancia de la Seguridad a nivel Red
Que no se nos olvide que todos estos elementos también son susceptibles de ataque por lo que deberán ser protegidos, monitoreados y administrados correctamente.
• ¿Les gusta la idea de tener puertos abiertos en un firewall?
• ¿Cuántos de ustedes permiten telnet a su router de frontera?
20
• Uno de los elementos básicos en cualquier estrategia de seguridad es el control de acceso – tanto a nivel red como a nivel host.
• Este control de acceso a nivel de red puede ser provisto por los conocidísimos firewalls.
• NOTA: No hablaremos de routers, que también pueden ser elementos de control de acceso a nivel red, dada su importancia se mostrarán posteriormente, pero en definitiva no poseen capacidad suficiente de respuesta.
Firewalls
22
Un Router no es capaz de defender:TCP sequence number predictionSource routingRIP attacksExterior Gateway ProtocolSome ICMP attacksAuthentication server attacksfinger (firewall or internal nodes) PCMAIL DNS accessFTP authentication attacksAnonymous FTP access (accept or reject) SNMP (to firewall or through firewall) IP spoofingMAC address spoofingARP spoofingReserved port attacks
External takeover from outsidenetworksExternal compromiseTCP wrappersGopher spoofingMIME spoofingNetwork analysis facilitiesAutosave of set-up and parameters Autoboot into secure mode with or without manual intervention Prevents DNS manipulationsFirewall performance statisticssoftware Cross-charging facilitiesSecurity logging and analysis tools. . . And much more
23
¿Qué se busca de un Firewall?Por software:Port scanning/filteringPort blockingInbound & outboundAntiphishingAntimalwareHelp and Support: Online chat, Email, Telephone, 24/7Supported Configurations: WIN xp, vista, 7, 8Neil J. Rubenking
Por Hardware:Plataforma bien reconocida y de confianza (ICSA certified)Accesibilidad en admon. (GUI)Soporte VPNCapacidad: # puertos, vel, GW, routing, CPU.Asistencia técnicaIf secure-wirelessIf filtrado de contenidoVigilancia y notificación avanzadaAutomatic Failover
24
¿Cuál es el bueno?CheckPoint FireWall-1 5pfsense 5Firestarter 5Netfilter 4SmoothWall Express 3Guarddog 3ipchain 3Endian 2Susefirewall 1Cisco ASA/PIX 1ClearOS 1APF 1Firewall Builder 1Auto firewall in Puppy Linux 1Drawbridge 1Monowall 1Firehol 1SuSEfirewall2 1Plesk 1
25
Firewall personal por software Top 10 2015
http://personal-firewall-software-review.toptenreviews.com/
26
Soluciones empresariales Magic Quadrantfor Enterprise
Network Firewalls
Magic-Quadrant-Next-Generation-Firewalls.pdf
Documento
27
¿Y para smartphones?
AFwall+Android FirewallRoot FirewallDoirwallXprivacyF-DroidMobiwolNetguardFirewall IP….
28
Firewalls• Hay quien dice que los firewalls no sirven. Y en el
fondo podrían tener razón. El fundamento de lo anterior es que, viéndolos como un elemento de defensa perimetral, sólo están “garantizando” que ciertas aplicaciones en red/servicios/protocolo /puertos estén disponibles, ej: apache/servidor de web/http/80
• Hoy en día por la complejidad de los ambientes perimetrales – aplicaciones en red, bases de datos, administración remota – es difícil vivir sin un firewall.
29
Firewalls
Únicamente tiene abierto el puerto 80 / Servidor de Web / Apache / Web / Apache / sobre OpenBSD
¿Qué sobra?
30
Firewalls
• Pero hoy día es poco probable encontrarnos una Compañía que sólo requiera un servidor de web. Sin embargo, este ejemplo nos deja ver claramente cual es la funcionalidad de un firewall.
• Pasemos a un ejemplo con una arquitectura más compleja.
31
Firewalls• Lo que empezó con un simple router, firewall y servidor de web se complicó de
manera importante. • Adicionalmente, el esquema anterior sólo está protegiendo la red interna del
exterior (Internet), pero no está protegiendo a los servidores críticos de la red interna. ¿Qué pasaría, con el esquema anterior, si un atacante logra tomar control del servidor de correo electrónico?
20% 14%
22% 44%
No estuvo comprometidaNo está seguro
Fue penetrada porusuarios externos
Fue penetrada porusuarios internos
Estadísticas:
34
Firewalls• Aquí es cuando empieza a cobrar
relevancia la teoría de: Defense in Depth. Esto no es otra cosa que proveer a nuestra estrategia de seguridad de varios niveles de seguridad de tal manera que si uno falla, podremos contener el ataque y contaremos con un siguiente nivel de protección.
Internet
Zona A
Zona B
Internet
Zona A
Zona B
Zona A comprometida, pero no Zona B
Ataque exitoso
¿Qué zona debe ser más fuerte?¿los equipos A y
B deben ser iguales?
35
Firewalls
Inte
rnet
DMZLAN
SERVIDORES CRITICOS
Base de Datos –Transacciones en línea
Dividiendo zonas por la criticidad y sensibilidad de la información contenida en ellas
36
FirewallsSiempre se nos olvida el segmento de administración – también es crítico y por tanto debe estar separado de otros segmentos
37
Firewalls
• Tipos de firewalls:– Filtrado de paquetes– Inspección de Estado– Proxy de Aplicación– Proxy de Circuito (Socks)– NGFW– VF
38
Filtrado de Paquetes• Tiene la habilidad de filtrar paquetes
inspeccionando capas 3 y 4.
• Comúnmente implementado en routers
• Funcionalidad de IPtables en Linux
• Lista de control de acceso– Dir IP: Servicio -> allow or deny
¿ACLs? ¿Firewalling?39
Filtrado de Paquetes• Problemas:
– Source Routing (ej.: puerto 53)
– Fragmentación
– Spoofing
– Negación de Servicio
– Punto único de falla
41
Inspección de Estado• Similar al filtrado de paquetes. Adiciona la funcionalidad de
interpretar las banderas de sesión de TCP (SYN, ACK, etc.), con lo cual establece una tabla de estado con el afán de monitorear todas las conexiones y permitir paquetes sólo de sesiones que se hayan iniciado por hosts autorizados.
• Los más comunes: CheckPoint FW-1, Cisco PIX, IPTables, Firewall de Windows XP, etc.
42
Inspección de Estado
New connection?
Packet part of an existing connection
in connections table?Reject packet
Pass packet
Compare connection to
rule base
Accept or reject?
Add connection to connections
table
NO NO
YESYES
ACCEPT
REJECT
New connection?
Packet part of an existing connection
in connections table?Reject packet
Pass packet
Compare connection to
rule base
Accept or reject?
Add connection to connections
table
NO NO
YESYES
ACCEPT
REJECT
43
Inspección de Estado• Problemas
– ¿Y la capa de aplicación? Attachments: Can't Live With 'Em, Can't Live Without 'Em
• Se pueden mitigar algunos ataques si mantengo una tabla de estado, sin embargo, una gran cantidad de ataques se dan a nivel capa aplicación.
• Split Three Way Handshake
– UDP no orientado a conexión - ¿Cómo
mantengo estado?
• A pesar de esto son los más utilizados44
Proxy de Aplicación
• Logran inspeccionar todo el paquete .• Entienden distintos protocolos, esto tiene una gran
ventaja, ya que sólo dejarán pasar los protocolos que sepan hablar. La desventaja es que necesitan hablar todos los protocolos que utilizo/necesito (ftp, http, ssh, smtp, pop3, etc.).
• Los equipos detrás el proxy de aplicación nunca dan la cara hacia “el exterior”.
• Ej.: Microsoft ISA Server, Gauntlet45
SQUIDCARACTERÍSTICAS:
Proxy y Caché de HTTP, FTP, y otras URLSquid Proxy para SSL.Jerarquías de caché .ICP, HTCP, CARP y caché digests .Caché transparente.WCCP (Web Cache Control Protocol). Control de acceso.Aceleración de servidores HTTP.SNMP.Caché de resolución DNS.Proxy Web.
PLATAFORMAS:
AIX
BSDI
Digital Unix
FreeBSD
HP-UX
IRIX
GNU/Linux
Mac OS X
NetBSD
NeXTStep
OpenBSD
SCO Unix
SunOS/Solaris
Windows NT (Cygwin/GnuWin32)
46
Proxy de Circuito• Provee un circuito entre la computadora fuente y destino• No requiere de un proxy por cada protocolo de nivel aplicación • No provee la ventaja de poder inspeccionar a nivel capa de
aplicación• El ejemplo más común es SOCKS, sin embargo se requiere un
cliente que soporte SOCKS.
Servidor Socks
Cliente Socks
48
NGFW Next Generation Firewalls• Gartner defines an NGFW as "a wire-speed integrated network
platform that performs deep inspection of traffic and blocking of attacks."
• Además de las funcionalidades de los Firewalls tradicionales NGFW integra:Deep Packet Inspection, NAT, PAT, VPN
• IPS• Intercepción SSL/SSH• Filtrado específico Website• QoS/Bandwith (Streaming video, social network, VoIP, range-time)• Inspección Antivirus• Third-party Integration (AD, white & black lists)
49
Derroteros NGFW• Performance in line
• Automatización de resoluciones (block p 80)
• UTM vs separación.
• $ PA 7050
50
Virtual Firewalls
Virtual domains.
Es una tecnología por medio de la cual se divide una unidad (Hardware) en dos o más unidades virtuales que funcionan como múltiples unidades independientes.
FWDomain A
FWDomain B
FWDomain C
Hardware FW
55
Virtual Firewalls
Virtual Appliances.
• No dependen de las API del Hipervisor.
• Pueden emplear VirtualDomains.
• Compatibles con la mayoría de los HV.
• Se auxilian del Vswitch del HV.
• Algunos ofrecen servicios a las redes externas
56
Virtual Firewalls
Firewalls-HV.
• Dependen de las API del Hipervisor.
• Maneja un Firewall-engine por VM.
• Maneja una lista de reglas por VM.
• Manejan una VM para administrar las políticas y los registros.
57
Virtual Firewalls
Algunos modelos en el mercado.
• Cisco’s Virtual Security Gateway and ASA 1000V• HP TippingPoint Secure Virtualization Framework• Juniper Networks vGW• VMware vShield• FortiGate Virtual Appliance Benefits.• Check Point Security Gateway Virtual Edition• Entre otros.
58
VF Virtual Firewalls• Las VMs pueden operar aisladas (p.ej. como guest en un SO de una PC) o bajo un
ambiente unificado virtual como VM supervisor monitor o proceso Hypervisor.
• En el Segundo caso los equipos de ambiente virtual se conectan vía una red virtual que consiste de switches virtuales entre equipos e interfaces de red virtualizadas. Esta nube implementa protocolos de red tradicionales como TCP o redes virtualescomo VLANs o VPNs
• Existe una inherente percepción de que las VMs son seguras porque son vistas como Sandbox dentro del SO residente. Se cree que el host está seguro contra la explotación de la VM en si porque es un asset protegido por la seguridad físicatradicional.
• Hay que tomar en cuenta que los sistemas virtualizados fueron creados enlaboratorio para pruebas aisladas donde la seguridad no era algo crucial. Hoy en díala seguridad en ambientes virtuales deben observar las mismas medidas de seguridad que los ambientes reales.
59
Derroteros VFAl ser redes reales las redes virtuales pueden sufrir de las mismas vulnerabilidades asociadas con la red física como pueden ser:
• Los usuarios de VMs tienen acceso a otras VMs dentro la misma red virtual .
• Comprometer o usar inapropiadamente una VM en una red virtual es suficiente para proveeruna plataforma para ataques adicionales en contra de otras máquinas en el mismo segmento de red.
• Si la red virtual inteactúa con la red física se puede tener acceso a recursos externos (y exploits externos) que pueden quedar abiertos para su explotación.
• El tráfico que pasa directamente a través de las máquinas pasa sobre los dispositivos de seguridad sin ser monitoreado.
• Los problemas creados por la invisibilidad del tráfico VM-to-VM en una red virtual son iguales a los de las redes físicas, agravandose por los paquetes que se mueven enteramente dentro del hardware de un host. El tráfico no puede ser visto por el administrador quien no puedeinterceptar y no puede saber que clase de tráfico es. Hacer logs para verificación y compliance es difícil. Mal uso de ancho de banda y otros recursos es difícil de descubrir y rectificar así comolos servicios corriendo o inusuales pueden no ser detectados.
60