modelos de red segura y ataques de capa 3 -...
TRANSCRIPT
1 www.cesarcabrera.info/blog/
Modelos de red segura y ataques de capa 3
Metodologías y marcos de trabajo en seguridad de la información. Ataques comunes en capa 3
César A. Cabrera E. Ing. de sistemas y computación UTP
CCNP, CCAI, CCNA CIDCA Pereira
Pereira, Marzo de 2012
2 www.cesarcabrera.info/blog/
Objetivos
Describir marcos de trabajo en seguridad de la información.
Conocer el tipos de pruebas de seguridad que se pueden efectuar en una red de datos
Clasificar las amenazas a una red o sistema
Conocer algunas vulnerabilidades de los protocolos de capa 3
Conocer algunos programas de ataque y contramedidas
3 www.cesarcabrera.info/blog/
Modelos y metodologías
Modelos de red segura
• Sirven para analizar el comportamiento de un sistema complejo a partir de elementos más simples como sujetos, objetos y permisos.
• Modelo de Bell-LaPadula (BLP)
– Rígido. Confidencialidad y con autoridad.
• Modelo de Clark-Wilson (CW)
– Orientación comercial: integridad.
• Modelo de Take-Grant (TG)
– Derechos especiales: tomar y otorgar.
• Otros: modelo de Goguen-Meseguer (no interferencia entre usuarios); modelo de Matriz de Accesos (estados y transiciones entre estados: tipo Graham-Dennig; tipo Harrison-Ruzzo-Ullman), Biba, Chinese Wall, etc.
4 www.cesarcabrera.info/blog/
Modelos y metodologías
• Clasificación de la información gubernamental
• Ultra secreta
• Secreta
• Clasificada
• Desclasificada
• Clasificación de la información n
• Confidencial
• Privada
• Sensitiva
• Pública
• C. Gubernamental enfatiza el nivel de confidencialidad, C. Comercial enfatiza la integridad.
5 www.cesarcabrera.info/blog/
Modelos y metodologías
Especificaciones vs. implementación: fuente de problemas
6 www.cesarcabrera.info/blog/
Modelos y metodologías
Pruebas de seguridad:
–Auditorías de seguridad: conformidad con las políticas
–Exploración de vulnerabilidades: enumerarlas
–Pruebas de penetración (hacking ético): explotarlas
–Ataques de equipo robado
–Entrada física
–Ataques de seguridad de señal: redes inalámbricas
–Ataques de ingeniería social: personas y procesos organizacionales
8 www.cesarcabrera.info/blog/
Modelos y metodologías
Metodología OSSTMM (Open Source Testing Methodology)
1. Seguridad física
2. S. de Internet
3. S. de la información
4. S. inalámbrica
5. S. de las comunicaciones
6. Ingeniería social
Otras metodologías: NIST 800-42, OCTAVE ( http://www.cert.org/octave/ ) e ISO 27000 (previamente 17799:2000).
Indispensable: definición de alcance previo y permiso escrito de administradores y representantes de la organización. Ley 1273 de Enero 5 de 2009, Colombia.
9 www.cesarcabrera.info/blog/
Modelos y metodologías
Ataques comunes por capa
Tomado de: Hack the Stack. Ed. Syngress. Gregg, Michael.
10 www.cesarcabrera.info/blog/
Modelos y metodologías
Contramedidas por capa
Tomado de: Hack the Stack. Ed. Syngress. Gregg, Michael.
11 www.cesarcabrera.info/blog/
Principios y elementos de seguridad
Principios de la seguridad informática (J. Ramió)
1. El intruso usará el artilugio que le haga más fácil el acceso y posterior ataque
2. Los datos confidenciales deben protegerse hasta que su secreto valor
3. Las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente sean fáciles de usar y apropiadas al medio
12 www.cesarcabrera.info/blog/
Principios y elementos de seguridad
Clasificación de las amenazas (J. Ramió)
1. Interrupción
2. Interceptación
3. Modificación
4. Generación
Interrupción Interceptación
Flujo Normal
Modificación Generación
13 www.cesarcabrera.info/blog/
Principios y elementos de seguridad
Elementos básicos de la seguridad informática:
Confidencialidad: Cifrado
Integridad: Cifrado y firma
Disponibilidad: Capacidad/redundancia
No repudio: Autenticación / Autorización / Contabilización (Accounting)
NOTA: AAA: Se asocia con el no repudio y son siglas de Authentication, Authorization and Accounting
14 www.cesarcabrera.info/blog/
Principios y elementos de seguridad
Factores de autenticación
Algo que ud. Sabe: contraseña
Algo que ud. Tiene: llaves, tarjetas, tokens
Algo que ud. Es: Biometría (huella, iris, voz, etc.).
Muchos sistemas hoy en día usan autenticación de doble factor.
La seguridad se ve mejorada si los factores se transportan por diferentes canales.
15 www.cesarcabrera.info/blog/
Capa 3 del modelo OSI Categorización de algunos ataques en capa 3:
Encabezado IP
Spoofing (falsificación)
Fragmentación (Inserción/Evasión)
Fingerprinting pasivo
ICMP
Canales encubiertos
Ataques con Echo
Exploración (scanning) de puertos
DoS y redirecciones
Enrutamiento
Falsificación
DoS
16 www.cesarcabrera.info/blog/
Capa 3 del modelo OSI
Aseguramiento de la capa 3
IP: Túneles IPSec (VPNs), ACLs, SSH
ICMP: Limitar mensajes (Reject/Drop), ACLs
Enrutamiento: ACLs, autenticación de enrutadores.
17 www.cesarcabrera.info/blog/
Capa 3 del modelo OSI
ACL: Access-control lists (listas de control de acceso)
Comparar cada paquete
con reglas para permitirlos
o denegarlos.
Tutorial: http://cesarcabrera.info/blog/leccion-sobre-listas-de-acceso-acls/
19 www.cesarcabrera.info/blog/
Capa 3 del modelo OSI
ACLs
Ejemplo en enrutador Cisco
config)#access-list 10 permit ip 192.168.0.0 0.0.255.255 config)#access-list 10 deny ip host 192.168.10.10 config)#access-list 10 permit ip any Explicación: La 1ª regla permite los paquetes originados en la red 192.168.0.0, la 2ª niega el paso a los paquetes que provengan del host de IP 192.168.10.10 y la última regla permite cualquier otro tráfico.
20 www.cesarcabrera.info/blog/
Capa 3 del modelo OSI
IPSec: VPNs en internet
21 www.cesarcabrera.info/blog/
Capa 3 del modelo OSI
IPSec: VPNs en internet
22 www.cesarcabrera.info/blog/
Programas
Tcpdump/windump
Cain
Auditor Security collection
Canales encubiertos: Loki, ICMP Backdoor, 007Shell, B0CK. Interpretes por canales encubiertos: ptunnel y ackcmd
Backtrack
23 www.cesarcabrera.info/blog/
Bibliografía
Hack the Stack. Ed. Syngress. Gregg, Michael.
Seguridad informática y criptografía. [En línea: http://www.criptored.upm.es/descarga/SegInfoCrip_v41.zip]
Accessing the WAN (Cisco CCNA 4) Curriculum [ http://cisco.com ]
www.CesarCabrera.info/blog/