• Author / Uploaded
• Ronald Bruce Paccieri Berzain

• Categories
• Protocolo de Control de Transmisión
• Estándares de Internet
• Protocolos de Internet
• Redes de computadoras
• Transmisión de datos

Citation preview

HERRAMIENTAS DE SEGURIDAD GNU

P O W E R E D B Y G N U

SEGURIDAD EN REDES DE COMPUTADORAS

4 Docente: Alberto Grájeda Chacón Maestría en Telecomunicaciones y Electrónica

Licencia de la Presentación

P O W E R E D B Y

Copyright (c) 2013 Alberto Grájeda Chacón Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".

G N U Maestría en Telecomunicaciones y Electrónica

FIREWALLS P O W E R E D B Y G N U Maestría en Telecomunicaciones y Electrónica

BREVE REPASO DE FIREWALLS (1)

P O W E R E D B Y G N U Maestría en Telecomunicaciones y Electrónica

BREVE REPASO DE FIREWALLS (2)

P O W E R E D B Y G N U Maestría en Telecomunicaciones y Electrónica

BREVE REPASO DE FIREWALLS (3)

P O W E R E D B Y G N U Maestría en Seguridad de Tecnologías de Información

FILTRADO DE PAQUETES

P O W E R E D

• 1ra generación:

ipfw (from BSD)

• 2da generación:

ipfwadm (Linux 2.0)

• 3ra generación:

ipchains (Linux 2.2)

• 4ta generación:

iptables (Linux 2.4, 2.6)

B Y G N U Maestría en Telecomunicaciones y Electrónica

CONCEPTOS

P O W E R E D B Y

• Reglas: Las reglas son órdenes escritas que intentan ser lo más detallistas posibles. Estas son las que determinan qué hacer con un paquete en base a su encabezado (de dónde viene, a dónde va, etc., .etc) • Cadenas: Las cadenas contiene reglas. • Tablas: Las tablas contienen cadenas

G N U Maestría en Telecomunicaciones y Electrónica

ORDEN DE VERIFICACION

P O W E R E D B Y

• Las reglas se van verificando una a una de arriba hacia abajo • A diferencia de ipchains, en iptables no todos los paquetes atraviesan input • Las tablas no son verificadas en orden • El orden es determinado en base al origen y destino de cada paquete en particular

G N U Maestría en Telecomunicaciones y Electrónica

IPTABLES

P O W E R E D B Y G N U

• IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. • Se aplican reglas ejecutando el comando iptables, con el que se agrega, borra o crea reglas. Un firewall de iptables es un simple script de shell en el que se van ejecutando las reglas de firewall. • Los módulos de iptables del kernel permiten definir un sistema de reglas para aceptar o rechazar los paquetes.

Maestría en Telecomunicaciones y Electrónica

FLUJO DE IPTABLES

P O W E R E D B Y G N U

Se determina si el destino del paquete es el propio host o si va a otra. Para los paquetes o datagramas que van al propio host se aplican las reglas INPUT y OUTPUT, y para filtrar paquetes que van a otras redes o hosts se aplican simplemente reglas FORWARD. Maestría en Telecomunicaciones y Electrónica

TABLAS

P O W E R E D B Y

Las cadenas están agrupadas por tablas, las tablas son: • Filter. Utiliza las cadenas INPUT, OUTPUT y FORWARD, esta tabla es la por defecto. • Nat. Se utiliza con DNAT y SNAT (destino y fuente NAT), utiliza las cadenas PREROUTING Y POSTROUTING. • Mangle. Utilizado para modificar los bit de tipo de servicio (TOS) del encabezado del paquete ip.

G N U Maestría en Telecomunicaciones y Electrónica

CADENAS • La cadena INPUT. Por esta cadena pasan todos los paquetes que son enviados a su computador.

P O W E R E D B Y G N U

• La cadena OUTPUT. Cualquier paquete que sea enviado desde su computador debe atravesar por esta cadena. • La cadena FORWARD. Todos los paquetes que su computador recoge de una red para ser enviados a otra red pasan por esta cadena. • La cadena PREROUTING. Se pueden modificar los datos destino de la conexión según nos interese y antes de tomar la desición de enrutamiento. • La cadena POSTROUTING. Se pueden modificar los paquetes justo antes de devolverlos a la red. Podremos modificar los datos de origen, porque el destino ya se ha decidido en una de las cadenas previas FOWRARD o OUTPUT. Maestría en Telecomunicaciones y Electrónica

EJEMPLOS (1)

P O W E R E D B Y G N U

• iptables -A INPUT -i eth1 -p tcp -s 192.168.17.1 --sport 1024:65535 -d 192.168.17.2 --dport 22 -j ACCEPT Acepta todos los paquetes que llegan a la interfaz eth1 para procesos locales de 192.168.17.1 con cualquier puerto fuente mayor que 1023 con destino 192.168.17.2 y puerto 22.

• iptables -t nat -A PREROUTING -p TCP -i eth0 -d 128.168.60.12 --dport 80 -j DNAT --to-destination 192.168.10.2 Cambia la dirección de destino de todos los paquetes TCP que llegan a la interfaz eth0 a 128.168.60.12 puerto 80 a 192.168.10.2 puerto 80.

Maestría en Telecomunicaciones y Electrónica

EJEMPLOS (2)

P O W E R E D B Y G N U

• iptables –A INPUT –p tcp –s 0/0 –d 0/0 –dport 0:1023 –j REJECT

Rechazar todo el tráfico que llega de TCP destino a los puertos 0 al 1023. • iptables –A OUTPUT –p tcp –s 0/0 –d ! linux110 –j REJECT Rechazar todo el tráfico saliente excepto el destinado al host llamado linux110. • iptables -A FORWARD -p all –s 192.168.23.75/255.255.255.255 –j DROP Bloquear acceso desde IP 192.168.23.75/255.255.255.255 a cualquier destino, cualquier servicio Maestría en Telecomunicaciones y Electrónica

EJEMPLOS (3)

FORWARD

P O W E R E D B Y G N U

EXTIF="eth0" INTIF="eth1" # habilitar forwarding.. echo "1" > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT echo " Habilitando la funcionalidad SNAT (MASQUERADE) en $EXTIF" iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

Maestría en Telecomunicaciones y Electrónica

P O W E R E D

ANALIZADORES DE PUERTOS DE COMUNICACION

B Y G N U Maestría en Telecomunicaciones y Electrónica

PUERTOS DE COMUNICACIÓN

P O W E R E D B Y G N U

• Cada puerto normalmente controlado por un servicio. Por ejemplo: • Puerto 25 – Servidor smtp con Sendmail • Puerto 80,443 – Servidor httpd con Apache • Lista de correspondencia entre puertos y servicios en el archivo /etc/services • El archivo de configuración del servicio permite cambiar puertos por defecto. Maestría en Telecomunicaciones y Electrónica

EXPLORACION DE PUERTOS

P O W E R E D B Y

• La exploración de puertos es una técnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino. Suele ser la última de las actividades previas a la realización de un ataque. • Con esa información el atacante realiza la búsqueda de exploits para ingresar al sistema.

G N U Maestría en Telecomunicaciones y Electrónica

EXPLORACION DE PUERTOS TCP (1) La exploración de puertos TCP se utiliza para descubrir si saber si un sistema ofrece o no un determinado servicio.

P O W E R E D B Y G N U

Existe un grande número de técnicas se puede destacar las siguientes: • TCP connect scan: Mediante el establecimiento de una conexión TCP completa (con los tres pasos del establecimiento de la conexión) la exploración analiza todos los puertos posibles. Si la conexión se realiza correctamente, se anotará el puerto como abierto. • TCP SYN scan. Enviando únicamente paquetes de inicio de conexión (SYN) por cada uno de los puertos se puede determinar si están abiertos o no. • Recibir como respuesta un paquete RST-ACK significa que no existe ningún servicio. • Por el contrario, si se recibe un paquete SYN-ACK, podemos afirmar la existencia de un servicio. En este caso, se enviará un paquete RST-ACK para no establecer conexión y no ser registrados por el sistema objetivo, a diferencia del caso anterior (TCP connect scan).

Maestría en Telecomunicaciones y Electrónica

EXPLORACION DE PUERTOS TCP (2)

P O W E R E D B Y G N U

• TCP FIN scan: Al enviar un paquete FIN a un puerto, se debería recibir un paquete de reset (RST) dicho puerto está cerrado. Esta técnica se aplica principalmente sobre implementaciones de pilas TCP/IP de sistemas Unix. • TCP Xmas Tree scan: Esta técnica es muy similar a la anterior, y también se obtiene como resultado un paquete de reset si el puerto está cerrado. En este caso se envían paquetes FIN, URG y PUSH. • TCP Null scan: En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploración debería recibir como resultado un paquete de reset en los puertos no activos.

Maestría en Telecomunicaciones y Electrónica

EXPLORACION DE PUERTOS UDP (1)

P O W E R E D B Y G N U

• Mediante la exploración de puertos UDP es posible determinar si un sistema esta disponible, así como encontrar los servicios asociados a puertos UDP. • Para realizar esta exploración se envían datagramas UDP sin ninguna información al campo de datos. • Si el puerto está cerrado, se recibirá un mensaje ICMP de puerto no alcanzable (port unreachable). • Si el puerto está abierto, no se recibirá ninguna respuesta. • UDP es un protocolo no orientado a conexión, la fiabilidad depende de numerosos factores, como: • Utilización de la red y sus recursos • Carga existente • Existencia de filtros de paquetes en sistemas finales o firewalls, etc.

Maestría en Telecomunicaciones y Electrónica

EXPLORACION DE PUERTOS UDP (2)

P O W E R E D B Y

• A diferencia de exploraciones TCP, se trata de un proceso mucho más lento, puesto que la recepción de los paquetes enviados se consigue mediante el vencimiento de temporizadores (timeouts). • En el caso de detectar un elevado número de puertos UDP abiertos, el atacante podría concluir que existe un sistema cortafuegos entre su equipo y el objetivo. Para confirmar esta ultima posibilidad, se puede enviar un datagrama UDP al puerto cero. Esto tendría que generar una respuesta ICMP de puerto no alcanzable. • No recibir esta respuesta significa que existe un dispositivo que filtra el tráfico.

G N U Maestría en Telecomunicaciones y Electrónica

NMAP (1)

P O W E R E D B Y G N U

La aplicación por excelencia para realizar exploración de puertos es NMap (Network Mapper). Implementa la gran mayoría de técnicas conocidas para exploración de puertos y permite descubrir información de los servicios y sistemas encontrados. Mediante nmap se pueden realizar, las siguientes acciones de exploración: • Descubrimiento de direcciones IP activas mediante una exploración de la red: nmap -sP IP ADDRESS/NETMASK • Exploración de puertos TCP activos: nmap -sT IP ADDRESS/NETMASK • Exploración de puertos UDP activos: nmap -sU IP ADDRESS/NETMASK • Exploración del tipo de sistema operativo de un equipo en red: nmap -O IP ADDRESS/NETMASK Maestría en Telecomunicaciones y Electrónica

NMAP (2) Aunque inicialmente nmap fue implementada como una herramienta para la realización de ataques, actualmente es una de las aplicaciones más utilizadas para la realización de comprobaciones de seguridad. Entre las muchas posibilidades:

P O W E • Auditorias de nuestra red. Puertos inseguros o abiertos. R E • Comprobación de la configuración de los elementos de D seguridad. Comprobar la seguridad desde afuera (Firewall). B Y

• Comprobación de la configuración de los elementos de red. Probar conectividad y encaminamiento.

G N U Maestría en Telecomunicaciones y Electrónica

NMAP MAS QUE UN ESCANER DE PUERTOS • Alta velocidad de exploración. • Descubrimiento de huellas identificativas. Posibilidad de detectar P la mayor parte de sistemas existentes en la actualidad con alto O grado de fiabilidad.

W E • Habilidad para imitar distintos aspectos de una conexión TCP. El R establecimiento de una conexión TCP requiere cierto periodo de E tiempo (del orden de milisegundos). Firewall protege a los hosts de D éste tipo de conexión. Nmap puede pasar esta seguridad.

B Y • Funciones para realizar suplantación. Capacidad de suplantación (spoofing)

G • Habilidad para controlar la velocidad de exploración. Mayoría de N los sistemas dan alertas en exploraciones secuenciales. U • Posibilidad de guardar y leer ficheros de texto. Maestría en Telecomunicaciones y Electrónica

ANALIZADORES DE PROTOCOLOS P O W E R E D B Y G N U Maestría en Telecomunicaciones y Electrónica

MODELO TCP/IP

P O W E R E D B Y G N U Maestría en Telecomunicaciones y Electrónica

CAPAS DEL MODELO TCP/IP

P O W E R E D B Y G N U

• Capa de red (Física). Concerniente a los medios de transmisión y conectores. • Capa de internet (Red). Une a los miembros de red independientemente del medio. Funciones principales son el encaminamiento y direccionamiento. • Capa de transporte. Brinda fiabilidad a la red. Funciones principales son el control de flujo y de errores. • Capa de aplicación. Se encuentran las aplicaciones que utilizan internet: web, correo electrónico, etc.

Maestría en Telecomunicaciones y Electrónica

FUNCIONAMIENTO DE LAS CAPAS

P O W E R E D B Y G N U

En cada una de las capas residen diferentes protocolos. Maestría en Telecomunicaciones y Electrónica

PROTOCOLOS Y CAPAS

P O W E R E D B Y G N U

Los atacantes explotan vulnerabilidades en cada protocolo Maestría en Telecomunicaciones y Electrónica

VULNERABILIDADES MAS COMUNES • Capa de Red. Ligada al medio de conexión. Esta capa presenta problemas de control de acceso y confidencialidad.

P O W E R E D B Y G N U

• Capa Internet. Cualquier ataque que afecte al datagrama IP. Ejemplo: sniffing, suplantación, modificación, retraso mensajes, DoS. • Capa de Transporte. Problemas de autenticación, integridad y confidencialidad. Ejemplo: interceptación de sesiones establecidas. Obtener los parámetros de inicio de sesión e interceptar la comunicación. • Capa de Aplicación. Gran cantidad de Protocolos. Por ejemplo dns, telnet, ftp, http, etc.

Maestría en Telecomunicaciones y Electrónica

ESCUCHADORES DE RED

P O W E R E D B Y G N U

• Se trata de un ataque realmente efectivo, puesto que permite la obtención de una gran cantidad de información sensible. • Son aplicaciones que escuchan lo que pasa en la red (sniffers) que permiten realizar un análisis de la información obtenida. • Se pueden obtener, entre otros: cuentas de usuario, claves de acceso, mensajes de correo electrónico, etc.

Maestría en Telecomunicaciones y Electrónica

DESACTIVACION DEL FILTRO MAC

P O W E R E D B Y G N U

• La mayoría de los sniffers de redes Ethernet configuran la interfaz de red para que desactive su filtro MAC (modo promiscuo). • Idea principal en redes Ethernet: todas las computadoras comparten el mismo medio. • Cuando se envían datos se especifica la dirección MAC de destino. De los 48 bits, los primeros 24 identifican al fabricante de hardware y los 24 restantes corresponden al número de serie asignado por el fabricante. • Tarjetas Ethernet incorporan un filtro que ignora todo el tráfico que no les pertenece. Maestría en Telecomunicaciones y Electrónica

DESACTIVACION DEL FILTRO MAC

P O W E R E D B Y G N U

• El entorno mas efectivo para los escuchadores de red son las redes LAN en topología Bus, o redes que están interconectadas con hubs. • Una solución para evitar esta técnica se basa en la segmentación de la red mediante el uso de switches. El conmutador encaminará los paquetes solamente a su destino MAC. • Aún así existen técnicas para seguir sniffeando en switches, como por ejemplo el envenenamiento ARP.

Maestría en Telecomunicaciones y Electrónica

HERRAMIENTAS

P O W E R E D

• Una de las aplicaciones más conocidas en sistemas Unix, es tcpdump. Corre en linea de comando y captura todos los paquetes en modo promiscuo. • Otra herramienta es ettercap que funciona desde consola, ofrece un modo de ejecución interactivo.

B Y

• Wireshark, el nuevo nombre para Ethereal, es un analizador de protocolos. Su funcionalidad es parecida a tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información.

G N U

• Wireshark es software libre, y corre sobre la mayoría de sistemas operativos Unix y compatibles, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, y Microsoft Windows. Maestría en Telecomunicaciones y Electrónica

CARACTERISTICAS DE WIRESHARK

P O W E R E D B Y G N U

• Mantenido bajo la licencia GPL • Trabaja tanto en modo promiscuo como en modo no promiscuo • Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa) • Basado en la librería pcap • Tiene una interfaz muy flexible • Capacidades de filtrado muy ricas • Soporta el formato estándar de archivos tcpdump • Reconstrucción de sesiones TCP • Se ejecuta en más de 20 plataformas • Soporta más de 480 protocolos • Puede leer archivos de captura de más de 20 productos Maestría en Telecomunicaciones y Electrónica

BIBLIOGRAFIA • Manual (man page) de iptables, nmap.

P O W E R E D B Y

• Wikipedia. Firewalls • Ataques contra redes TCP/IP. Joaquin Garcia Alfaro •Comunicaciones y Redes de Computadores, 5ª Ed .- Stallings.-.Prentice Hall 1997 • Computer Security Basics.- Russell, Gangemi.- O’Reilly • Network and Internet Network Security. Principles and Practice. W. Stallings. Prentice Hall 1995

G N U Maestría en Telecomunicaciones y Electrónica