www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Protección de afuera hacia adentro
99% protegido = 100% vulnerable
DMZ
FW
IPS
Router
STAGING
FW
LAN
DB srvr
SWITCH
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
CONCEPTOS VARIOS
•Mininos privilegios
•Security Policy
•Input Validation
•Documentation
•Ingeniería social
•Av,Hardeinig, Patches
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
IDS/IPS
http://www.x.com/etc/passwd
DMZONE
switch
DNS
Clients
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
APACHI WEB
servers
Conceptos básicos de IDS/IPS
“Intrusion detection” es el proceso de monitorizar los eventos
que ocurren en la red o en una computadora y analizarlos
para detectar intrusiones.
El IDS solamente reporta eventos, el IPS corta el trafico
peligroso cuando detecta eventos peligrosos.
Hay dos tipos de IDS:
1. Host Intrusion Detection Systems (HIDSs)
2. Network Intrusion Detection Systems (NIDSs)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Host Intrusion Detection Systems
(HIDSs)
•
•
•
•
•
•
Es importante implementar HIDS para detectar ataques que
no fueron detectaron por el NIDS ( Seguridad en profundidad)
Es un Agente instalado sobre en sistema operativo para
detectar ataques sobre ese mismo servidor.
Agnete podrá impactar el performance de la maquina sobre
la cual esta instalado.
Reporta eventos a una consola central.
La consola tiene una base de datos de firmas de ataques.
En caso de detección de ataque la consola reporta al
administrador vía mail, SMS etc
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Host Intrusion Detection Systems (HIDS)
•
Ossec www.ossec.net open source
•
•
•
•
Tripwire www.tripwire.com open source
SAMHAIN http://la-samhna.de/samhain open source
Osiris http://osiris.shmoo.com open source
Aide http://www.gentoo.org/doc/en/security/securityhandbook.xml?part=1&chap=13 open source
Symantec Critical System Protection
http://www.symantec.com/business/critical-system-protection
IBM Proventia
http://www935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097
McAfee Total Protection for Endpoint
http://www.mcafee.com/us/enterprise/products/security_suite_solutions/to
tal_protection_solutions/total_protection_for_endpoint.html
Enterasys Dragon www.enterasys.com/products/ids
•
•
•
•
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems (NIDSs)
•
•
•
•
•
•
•
•
El IDS el pasivo, no para los ataques solamente reporta
problemas.
en la mayoría de los casos el IDS es un Appliance colocado
en el perímetro de la red.
Tiene al mínimo 2 placas de red, una para analizar trafico, la
otra para gestionar el IDS/Nic’s en promiscus mode
La Solución de IDS tiene dos componenetos: sensor y
Management.
Detecta ataques con firmas (como AV).
Las firmas se actualizan de los servidores del vendor.
Hay ID’s que permiten que uno mismo escriba y agregue
firmas.
Port mirror puede crear mucha carga sobre el switch, perdida
de paquetes.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Switch(config)# interface fa 0/1
Switch(config-if)# port monitor
fastethernet 0/2
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems
(NIDSs)
• El IDS es bueno como sus firmas-si las firmas están escritas
mal, el IDS no va a detectar ataques.
Ejemplo de firma (snort):
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
$HTTP_PORTS (msg:"WEB-IIS cmd.exe access";
flow:to_server,established; content:"cmd.exe"; nocase;
classtype:web-application-attack; sid:1002; rev:6;)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems
(NIDSs)
Problema:
Que nos ayuda un sistema que solamente reporta
problemas y no los para?
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)
•
•
•
•
Activo- Todo el trafico pasa por el dispositivo.
El Sensor Tiene por lo menos 3 placas de red.
Los Sensores reportan al Management.
Para el ataque antes de llegar al destino.(Reset
connection, cambio de rule base en el FW-peligroso!)
• Hay 3 tipos de IPS:
1. Basado en firmas.
2. Anomalia detection.
3. Hybrid
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)
IPS puede detectar:
•
•
•
•
•
•
OS, Web and database attacks
Spyware / Malware
Instant Messenger
Peer to Peer (P2P)
Worm propagation
data leakage
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection System (NIDSs)
•
•
•
Falsos positivos.
Falsos negativos.
Fine tunning
•
Administradores deben tener cuidado con las firmas, si lo que se
busca en el trafico es demasiado general el IDS va a generar
muchos falsos positivos de trafico normal, si lo que se busca es
demasiado especifico quizá el IDS no detecte un ataque real.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reducir falsos positivos con Nessus
•
•
Deshabilitar firmas de equipos que no existen en la red.
Escanear la red con Nessus, si Nessus reporta por ejemplo un
problema con Telnet Service:
This service is dangerous in the sense that
it is not ciphered - that is, everyone can sniff
the data that passes between the telnet client
and the telnet server. This includes logins and passwords.
You should disable this service and use OpenSSH instead.
(www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
CVE : CAN-1999-0619
Habilitar firmas acorde el reporte de Nessus en el IDS/IPS
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Vunerability scanner
Nessus (www.nessus.org)
Escáner de vulnerabilidades YA NO MAS Open Source.
Cliente Servidor
Interfaz basada en GTK y Java entre otros
Realiza más de 16000 pruebas de seguridad remotas.
Está basado en plug-in(s).
Permite generar reportes html, xml, pdf, ascii, etc.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Anomaly detection
Anomalia basada en IPS para ver los cambios en el tráfico de
comportamiento previamente medido como:
Aumento sustancial en el tráfico SMTP salientes
Existencia de IRC de comunicaciones.
Nueva puertos abiertos o servicios
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Anomaly detection implementación
El primer paso es configurar el IPS en “learning mode”
(aprendizaje), cada vez que el IPS detecta nuevo
comportamiento el administrador deberá configurarlo
“decirle si es normal o no”.
El momento en que el IPS aprendió todo el comportamiento de
la red se configura el “blocking mode” ahí el IPS para todo
el trafico que no esta en su perfil aprendidó.
Hacer el “fine tuning” de este IPS consume muchas horas.
• Error en configuración: backups, corte de electricidad.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Gartner Magic Quadrant
IDS Vendors – 2005 Q2
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Problemas con IDS/IPS
IPS basado en firmas- no detecta ataques si no existe la firma.
Firmas incorrectas.
Falsos positivos|negativos
El Fine Tuning toma mucho tiempo| varias empresas lo apagan.
Puede crear latencia en la red especificamente con protocolos
Real Time\ VOIP
Single point of failure:
Fail open
Fail Close
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
HTTPS/SSL
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Problemas con IDS/IPS
Caída de paquetes, el IPS no analiza todo el trafico.
Configuración incorrecta- el IDS/IPS no tiene firmas para
protocoles usados en la red, no se puede agregar firmas en
varios IDS/IPS.
Configuración incorrecta- configurar un ip a las placas de red.
Configuración incorrecta- poner el equipo en blocking mode
antes de reducirle los Falsos positivos.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Como atacar bajo el “radar” del IDS/IPS
•
•
•
•
•
•
Crear ataques nuevos| no hay firma contra el ataque.
Mandar Muchos ataques rapidos (nessus).
Stick attack (herramienta) www.eurocomptonnet/stick/projects8.html
Crear un tunnel SSL.
Escaniar lento. (nmap –T)
Fregmentacion: (ejemplo Code red)
Packet A: GET /scripts/root
Packet B:t.exe /
Packet C:c+dir
Servidor destino despues de reassembled:
GET /scripts/root.exe /c+dir
Herramienta: Fragrouter (www.monkey.org/~dugsong/fragroute/)
ADMutate
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Como atacar bajo el “radar” del IDS/IPS
•
Port scanners –
la mayoria de los IDS/IPS detectan escaneo de purtos si hay mas de 3
intentos por minutode mismo ip.Ip spoofing, cambiar el ip de origen cada
continumente. Tool-MingSweeper.
•
Encoding -
GET /cgi-bin/ HTTP/1.0
Es lo mismo como:
GET /%63%67%69%2d%62%69%6e/ HTTP/1.0
•
//////// -
GET /etc/ passwd /tmp/attackinfo
Es lo mismo como:
GET ///////////etc/passwd /tmp/attackinfo
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
como atacar bajo el “radar” del IDS/IPS
•
/./././ –
Todo el mundo sabe que. / es en este directorio, de forma que:
/././cgibin/testcgi
Es como:
/cgibin/testcgi
•
\cgibin\testcgi
\cgibin\testcgi
Es lo mismo como:
/cgibin/testcgi
No funsina con IIS
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
IDS/IPS
Snort (www.snort.org)
Sistema de Detección de Intrusos de red basado en firmas.
Snort es un producto con licenciamiento GPL.
Administración centralizada.
Excelente performance.
Uno puede agregar firmas.
Integración con bases de datos y sistemas Syslog.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Open Source In-Line IDS/IPS: Hogwash
http://hogwash.sourceforge.net/oldindex.html
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
Senario:
Al mismo tiempo alguien esta escaneando puertos abiertos en
el Router externo y alguien esta tratando de loguiar varias
veces sin éxito al servidor de finanzas…
Como nosotros sabemos de los dos eventos y cual evento
necesita primero nuestra atención?
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
OSSIM www.ossim.net
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
OSSIM www.ossim.net
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
OSSIM www.ossim.net
ArcSight www.arcsight.com
Novell Sentinal
www.novell.com/products/sentinel/
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Ethical Hacking
Enfoque penetration tester.
Metodología de Penetration Test.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Objetivo Ethical Hacking
• Simulación externa de un ataque para verificar la
seguridad de la red así como para encontrar
vulnerabilidades.
• Obtención de evidencias concretas.
» Obtención de algún tipo de archivo de los
servidores o redes
» Sembrado de pruebas en los servidores
» Captura de paquetes, limitación del servicio
del recurso, etc.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Diferencias
El Hacker termina cuando rompe la seguridad del
sistema (suficiente con una vulnerabilidad). Su
tiempo para realizar un ataque es infinito.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Diferencias
• El trabajo del “penetrator tester” termina cuando
encuentra todas las vulnerabilidades del sistema
tanto en el Gateway como en el firewall o como
en cualquier componente de la red que está
analizando. Además tiene tiempo limitado para
realizar el test. Elaboración de informe de
seguridad y documentación así como soluciones
a los problemas encontrados.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Los 2 ambientes básicos
• White box: Proporcionar al penetration tester la
información necesaria para hacer el testeo de seguridad.
• Black box: sólo posee información del nombre de la
empresa.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
¿Por qué hacer un Penetration Test?
• Encontrar máquinas mal configuradas que el
cliente no había notado.
• Verificar que sus mecanismos de seguridad
funcionen.
• Estar tranquilo.
• Recuerde 99.9% seguro = 100% ¡vulnerable!
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Definiendo el Test
• Entender las limitaciones
– Point-in-time snapshot
– Nunca puede ser considerado 100% amplio
– Restringido por tiempo y recursos
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reglas de compromiso
La primera regla :“No dañar”
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reporte
• Los reportes deben...
– No deben tener falsos positivos
– Resultados que establezcan prioridades
– Secciones técnica y ejecutiva por separado
– Establecer qué recursos son necesarios
– Recomendaciones para el mundo real
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
OSSTMM
•
•
•
•
OSSTMM – Open-Source Security Testing
Methodology Manual
Version 2.0 at www.osstmm.org (redirects to
http://www.isecom.org/projects/osstmm.htm)
Desarrollado por Pete Herzog, es un documento
vívido sobre cómo hacer un penetration test.
Define como proceder en un pen test, pero no
habla sobre las herramientas actuales.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Técnica – Penetration Testing
•
•
•
•
•
•
Recoger Información
Scan direcciones IP
Evaluar la información
Explotar servicios vulnerables
Elevar el acceso
Repetir
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Descargar

Curso Seguridad Informatica ToBe Security Seguridad de …