Herramientas de control de accesos. Hastaachemosobservadounagrancantidaddeataquesquevulneranla seguridad de nuestra organizacin, y hemos visto que su operacin ms comn consisteenaccederrecursosomquinasdelsistemainestabilizandoo interrumpiendo el algoritmo P-C. Cmonosprotegemos?Curiosamentelasproteccionesqueusaremos (algunas, no todas) son casi las mismas herramientas que usan los crackers y hackersparavulnerarsistemasoprobarfallasenlaseguridaddelasredes. Estas herramientas nos permiten monitorear algunas funciones de red, generar logsticos de dichas funciones y usar esta informacin para detectar un ataque o un sabotaje.Unadelasventajasdeestasherramientasconsisteensuubicuidad.Esto significa que solo basta con instalarlas o usarlas en una mquina conectada a una red de trabajo, y ella monitorear todas las otras mquinas conectadas a la mquina principal. Hemosdehacerlaaclaracinqueseharepetidodurantetodoelcurso:los temas a tratar en estos contenidos son complejos y tcnicos. Ac daremos un pequeoacercamientoyunavistageneraldeestasherramientasysuuso principal,masnoahondaremosencuestionestcnicasreferentesasuuso. Paraesto,seinvitaalaprendizaconsultarlabibliografa,otroscursosdel SENA e informacin referente al tema Las herramientas que analizaremos son las siguientes: Tcp- wrapper Netlog Argus TcpDump SATAN ISS Courtney Gabriel Nocol TcpListEmpezaremos a explicar cada una de ellas Tcp-Wrapper. La idea de este software pblico es la de restringir la conexin de sistemas no deseadosaserviciosdenuestrared.Tambinpermiteejecutaralgntipode comando de manera automtica cuando se generan determinadas acciones en la red. Algomuyimportantedeesteprogramaesquepermitedejarunatrazadelas conexioneshechasenlared,tantoaserviciosadmitidoscomonoadmitidos, indicandoelservicioalqueseintentaccederylamquinaqueintent hacerlo. El programa posee 2 archivos principales, en los que se definen las reglas que deben usarse para el control de paquetes en la red (recordemos que al trfico delared,dependiendodelacapaenlaqueestemostrabajandodelmodelo OSI,selepuedellamarpaquete).Dependiendodelacomplejidaddelos cdigosescritosenestosprogramas,esdecir,delasreglasdefinidasporel tcnico de la red, ser la eficiencia de filtrado de elementos y la proteccin del mismo. Este programa no es el nico que genera trazas o logsticos de las actividades delared,porloqueharemosunarecomendacinextensivaparatodoslos elementosquegenerentrazas,queessepuederesumirenunafrase centralizacin de trazas. La centralizacin de trazas consiste en mandar la informacin generada por el programaprotector,auncomputadorquecentralizatodosloslogsticosde todoslosotroselementos.Comoloscrackerssuelenborrarsuspistasenlos sistemas que atacan, suelen borrar los logsticos de archivos protectores, por lo que tener un sistema que contenga la informacin de una mquina, aparte de la mquina misma, es una forma de asegurar una mayor proteccin. De hecho, siunamquinatieneunconjuntodetrazosdiferentesquelosenviadosala mquina principal, se puede deducir que hubo un ataque y que fue tratado de encubrir. Ensuma, podemosconcluirqueelTcp_Wrapperesunaherramientaquenos permitecontrolarymonitoreareltrficodelasredesdenuestraorganizacin, permitindonos a su vez el control sobre las conexiones que se generan en la misma. Paraconcluir, podemosdecirqueeltcp-wrappers esunasimpleperoefectiva herramientaparacontrolarymonitorearlaactividaddelaredennuestra mquina,ynospermiteuncontrolsobrelasconexionesqueseefectanen nuestra red. NetLog Existenataquesaunaredquepuedenpasardesapercibidossisellevana caboconextremadavelocidad,conintervalosmuycortosdetiempode conexin, y de manera repetida al mismo elemento de la red. Cmo funcionan estosataques?Digamosquenuestraherramientadeseguridadregistralas conexionesquesellevanacabocadamilisegundoennuestrosistema.Side algunamanerayopudieragenerarunataquequeserepita10vecesenun milisegundo,enelregistrodeconexionessoloapareceraunsolointentode ataque,mientrasqueenrealidadhice10.Silavulnerabilidadlahubiera alcanzado en la novena conexin, no habra aparecido en el registro, y an as sehabravioladomiseguridad.EstosataquesselesllamaSATANoISS. Estasvulnerabilidadespuedensercorregidasconesteprograma,quees,en realidad,unconjuntodeprogramasquetrabajandemaneraconjuntapara generartrazasdelospaquetesmovidosenlared,sobretodoaquellosque pueden ser sospechosos y que indican un posible ataque a una mquina. Los 5 subprogramas que componen este programa principal son los siguientes: - TCPLogger:Generatrazossobretodoslospaquetesqueusanelprotocolo TCP.- UDPLogger:GeneratrazossobrelospaquetesqueusanelprotocoloUDP.- ICMPLogger:Generaigualmentetrazos,perodelasconexionesbasadas en ICMPEstos 3 programas pueden guardar su informacin en formato Ascii o en formatobinario.Enel segundocaso, elprogramacontiene unextractor quepermiteconsultarlosarchivosgenerados,einclusocontieneun buscador que permite acceder patrones de bsqueda, como por ejemplo eltrficodeunaredenparticular,eldeunamquinaolosintentosde conexin a un puerto definido por el usuario- Etherscan:Estaherramientamonitoreaelusodeotrosprotocolosconactividad inusual, y nos indica qu archivos se han modificado o llevadopor el uso de dichos protocolos.- Nstat:Esusadoprincipalmenteparadetectarcambiosenlospatronesdel uso de la red. Este subprograma, a su vez, posee herramientas quenosdaninformacinsobreciertosperiodosdetiempo,onosdanlaposibilidad de graficar determinados datos.Argus Es una herramienta de dominio pblico que permite auditar el trfico IP que se produceennuestrared,mostrndonostodaslasconexionesdeltipoindicado que descubre. Este programa se ejecuta como un demonio, escucha directamente la interfaz de red de la mquina y su salida es mandada bien a un archivo de trazas o a otramquinaparaallserleda.EnlacapturadepaquetesIPselepuede especificarcondicionesdefiltradocomoprotocolosespecficos,nombresde mquinas, etc. Al igual que el NetLog, el Argus tambin tiene una herramienta buscadora que permite filtrar los contenidos y ver aquellos que solo nos interesan. TcpDump Estesoftwarepermiteverlascabecerasdelospaquetesquecirculanporla red.Lacabeceradeunpaquetecontieneinformacinrelacionadaconla mquinaorigen,lamquinadestino,eltipodeprotocolousado,entreotros datosimportantesparaelanlisis.Ynosoloesto,podemosaplicarfiltrosque nos pemitan ver solo determinados protocolos, determinados puertos de la red, mquinas, y an usar operadores entre paquetes (>, ,=,&&...)paraanalizarlos resultados obtenidos. Lsof (List Open Files) Sencillamente, nos permite tener una lista de todos los archivos abiertos por el sistema, as como directorios, archivos de ref, etc. Cpm (Check Promiscuous Mode) Queselmodopromiscuo?Elmodopromiscuoenunared,enpocas palabras,sedefinecomoaquelenelqueunamquina,ounconjuntode mquinas, se encuentra escuchando todo el trfico de la red. Si bien es importante usar algunas mquinas en modo promiscuo para poder correr archivos de proteccin de la red, de esta manera tambin funcionan los sniffersuolfateadores.ElCpm, nos permiteentoncesdetectarlasmquinas que funcionan en modo promiscuo. Otro punto para nuestro manual de procedimientos: correr de manera peridica el Cpm en nuestro sistema para detectar sniffers que pueden estar recopilando informacin de las contraseas de la red. Ifstatus Esunsoftwarecuyautilidadeslamismadelsoftwareanterior,permite encontrar mquinas en modo promiscuo. Este programa genera alertas como la siguiente: WARNING: ACME INTERFACE le0 IS IN PROMISCUOUS MODE. Osh (Operator Shell) Estearchivopermiteindicaraladministradorderedcualessonloscomandos que puede ejecutar cada usuario de la red.Generaentoncesunarchivodepermisoscontodoslosnombresdelos usuariosyaslistasdeloscomandosquecadaunodeellospuedeusar,as como otro archivo que indica los comandos ejecutados por todos los usuarios, e informacin sobre si los pudo ejecutar o no. Esusadoprincipalmenteparaotorgardeterminadospermisosdeusode comandosa usuarios especiales,queenotrascircunstanciasnopodranusar esos comandos. Noshell Elusodeesteprogramanospermitedetectarintentosdeconexinanuestro sistemaatravsdecuentascanceladas.Cadaintentodeconexingenerar entoncesunmensaje quese puedeobtenerviae-mail,coninformacinsobre elusuarioremotoqueintentgeneralaconexin,horayfechadelintento, direccinIPdelusuarioqueintentgenerarlaconexinynombredela computadora remota. Trinux Trinux, ms que un programa, es un conjunto de herramientas para monitorear redesqueusanelprotocoloTCP-IP.Estaherramientanoseinstalaenel sistema,sinoqueesusadadirectamentedesdeeldispositivode almacenamientoenqueseencuentra,corriendoenteramenteenlamemoria RAM del computador.Estepaquetetraeaplicacionesparacontrolareltrficodemailsentrantesy salientes,herramientasbsicasderedes,detectordesniffers,yherramientas de seguridad para los servidores de nuestra organizacin.