Vulnerabilidades de Seguridad Informática - Cybsec

cybsec.com

Vulnerabilidades de Seguridad Informática - Cybsec

Adelantándose a los Hackers

Herramientas y técnicas de testing de vulnerabilidades

Lic. Julio C. Ardita

jardita@cybsec.com

5, 6 y 7 de Octubre de 2001

Santa Fe - ARGENTINA

2

© 2001 CYBSEC


Adelantándose a los Hackers

Temario

- Vulnerabilidades de Seguridad Informática.

- ¿Cómo ingresan los intrusos a los sistemas?.

- Fuentes de información y herramientas de seguridad.

- Penetration Tests.

- Testing de seguridad de un Firewall.

- Testing de seguridad de un Web Server.

3

© 2001 CYBSEC


Vulnerabilidades de Seguridad Informática

WEB

SERVER

Firewall

Internet

Router

Firewall

Sistema de

Detección

de Intrusos

Server de

Base de Datos

¿es seguro?...

4

© 2001 CYBSEC


Vulnerabilidades de Seguridad Informática

La seguridad informática

es dinámica.

5

© 2001 CYBSEC


Vulnerabilidades de Seguridad Informática

Evolución de las vulnerabilidades de seguridad informática

Las vulnerabilidades de seguridad informática han existido desde siempre.

Hasta 1990 la gran mayoría de los intrusos ingresaba a los sistemas informáticos

utilizando técnicas de scanning, ataques de fuerza bruta, probando usuarios y

diferentes passwords, ingeniería social, etc.

A partir de 1992 los intrusos comenzaron a ingresar a los sistemas informáticos

a través de la explotación de vulnerabilidades que eran conocidas primariamente

dentro de los ambientes underground.

En 1995 y con el gran avance de Internet como medio de comunicación masivo

salen a la luz los primeros Web Sites de vulnerabilidades.

6

© 2001 CYBSEC


Vulnerabilidades de Seguridad Informática

Evolución de las vulnerabilidades de seguridad informática

Internet creó una nueva ola de intrusos que se dedicaban a ingresar a sistemas

aprovechando vulnerabilidades conocidas.

Hacia 1998 los grupos de hackers “blancos” comenzaron a publicar herramientas

muy potentes de seguridad. Se comenzaron a publicar una gran cantidad de Web

Sites que contenian bases de datos de vulnerabilidades, exploits y soluciones, con

el objetivo de ayudar a los administradores.

Llegamos al 2001, donde podemos visualizar a Internet como una gran red de

información donde existe mucha más cantidad de información sobre como

ingresar a sistemas que sobre como protegerlos.

7

© 2001 CYBSEC


Vulnerabilidades de Seguridad Informática

Cantidad de vulnerabilidades informáticas por Sistema Operativo

1997 1998 1999 2000 2001

Windows NT/2000 10 10 83 126 12

SUN Solaris 24 33 36 23 6

Linux Red Hat 6 10 49 85 20

AIX 21 38 10 15 2

Novell Netware 0 0 4 3 0

Fuente: www.securityfocus.com

8

© 2001 CYBSEC


¿Cómo ingresan los intrusos a los sistemas?

¿Cómo hacen los intrusos para ingresar a los Sistemas?

Los intrusos aprovechan vulnerabilidades de seguridad,

descuidos, configuraciones inseguras para ingresar en

forma no autorizada.

“El nivel de seguridad informática global de toda una

instalación es igual al componente de menor nivel de

seguridad”.

9

© 2001 CYBSEC


¿Cómo ingresan los intrusos a los sistemas?

Metodología de una intrusión

Los ataques pueden ser Externo o Internos.

Los ataques externos son más fáciles de detectar y repeler que los

ataques internos. El intruso interno ya tiene acceso a la red interna

o incluso al mismo Server que quiere atacar.

Intruso Externo

Server Interno

Intruso Interno

Barreras

10

© 2001 CYBSEC


¿Cómo ingresan los intrusos a los sistemas?

Origen de los ataques externos

- Redes de proveedores y clientes (7%).

- Redes alquiladas (3%).

- Internet (80%).

- Módems (10%).

Empresa

Redes Alq.

Internet

Acceso

Remoto

Proveedores y Clientes

11

© 2001 CYBSEC


Fuentes de información y herramientas de seguridad

La clave de la seguridad informática en el año 2001

y de ahora en más, pasa por los recursos humanos

capacitados para entender que es lo que esta pasando

y poder actuar.

Para poder defender nuestra red informática debemos

armar un equipo de profesionales de seguridad

informática con elevados conocimientos.

12

© 2001 CYBSEC


Fuentes de información y herramientas de seguridad

Internet es la fuente de información primaria de seguridad

informática.

Para conocer sobre nuevas vulnerabilidades, leer artículos de

seguridad, analizar BUGTRAQ y estar informado:

www.securityportal.com

www.securityfocus.com

13

© 2001 CYBSEC


Fuentes de información y herramientas de seguridad

Para conocer sobre las viejas y nuevas herramientas de seguridad,

de todos los sistemas operativos:

packetstorm.securify.com

www.technotronic.com

14

© 2001 CYBSEC


Penetration Tests

¿Qué es un Penetration Test?

Se trata de emular y simular comportamientos y técnicas que

pueden ser utilizadas por los intrusos con el objetivo de analizar

el nivel de seguridad y la exposición de los sistemas ante

posibles ataques.

Permite detectar vulnerabilidades en el Sistema Informático

y corregirlas en forma muy rápida y eficaz.

15

© 2001 CYBSEC


Penetration Tests

¿Cómo se realiza un Penetration Test?

Se utiliza una metodología de evaluación de seguridad informática

que incluye tres grandes etapas:

Horas,

Días,

Meses.

1) Descubrimiento

2) Exploración

3) Intrusión

16

© 2001 CYBSEC


Penetration Tests

La etapa 1, descubrimiento, se encuentra focalizada en entender

los riesgos del negocio asociado al uso de los activos informáticos

involucrados.

Se realizan investigaciones tratando de recolectar información

sobre los blancos potenciales.

Incluye todas las pruebas para detectar las conexiones de la

Empresa a Internet; la evaluación de servicios de DNS externos;

la determinación de rangos de direcciones IP, rangos telefónicos

y la detección de medidas de protección.

17

© 2001 CYBSEC


Penetration Tests

1) Descubrimiento

En esta fase, se trata de recolectar la mayor cantidad de evidencia

sobre la Empresa donde se van a realizar las pruebas.

- Direcciones IP de Internet (utilizando ping, traceroute).

- Dirección física (Guía telefónica).

- Números telefónicos (Guía telefónica).

- Nombres de personas y cuentas de correo electrónico (NIC).

- Rango de direcciones IP del lugar (www.arin.net/whois).

- Información de prensa sobre el lugar (Medios locales).

- Análisis de la página WEB (Browser).

18

© 2001 CYBSEC


Penetration Tests

La etapa 2, exploración, se centra en investigar los riesgos de

seguridad relevantes para la organización.

En esta etapa se aplican técnicas no intrusivas para identificar

vulnerabilidades dentro del perímetro de la organización.

Incluye el análisis de protocolos; evaluación de la seguridad de

los componentes; scanning de puertos TCP y UDP; detección

remota de servicios; análisis de banners y evaluación de la

seguridad de las aplicaciones detectadas.

19

© 2001 CYBSEC


Penetration Tests

2) Exploración

Se exploran todas las posibles puertas de entrada a los Sistemas

y descubre que servicios se encuentran activos.

- Scanning telefónico (Toneloc).

- Scanning de rangos de direcciones IP (Ping Scan).

- Transferencias de dominios (nslookup).

- Scanning de puertos en el rango de direcciones IP (nmap).

- Análisis de la configuración de cada Servicio (www.netcraft.com).

- Análisis de toda la información (Detección de OS, Servicios, etc).

20

© 2001 CYBSEC


Penetration Tests

La etapa 3, intrusión, se focaliza en realizar pruebas de los

controles de seguridad y ataques por medio de secuencias

controladas a las vulnerabilidades propias de los sistemas

identificados.

Incluye la revisión de la seguridad de todos los equipos detectados

y servicios habilitados.

Es en esta fase donde se prueba la eficiencia del equipo que

lleva a cabo el Penetration Test, donde se incluye las técnicas

de hacking a aplicar.

21

© 2001 CYBSEC


Penetration Tests

3) Intrusión

Se tratan de detectar vulnerabilidades en los Sistemas y realizar

pruebas en un entorno controlado para intentar acceder al Sistema.

- Detección de vulnerabilidades (Nessus, twwwscan, Retina, CIS).

- Intento de acceso vía módems.

- Intento de explotar las vulnerabilidades detectadas

(www.securityfocus.com).

- Utilización de ingeniería social para obtención de usuarios y claves.

- Ingreso al Sistema.

22

© 2001 CYBSEC


Penetration Tests

Aplicación de la soluciones

Una vez finalizado el Penetration Test, se genera un informe con

todas las vulnerabilidades de seguridad informática detectadas,

sus riesgos asociados y los pasos a seguir para proteger los equipos

afectados.

Se realiza un proceso de corrección de los diferentes problemas de

seguridad detectados, logrando obtener en poco tiempo un sistema

informático con un nivel de seguridad elevado.

23

© 2001 CYBSEC


Testing de seguridad de un Firewall

Hoy en día, la primer barrera de seguridad que coloca una Empresa

para protegerse de redes inseguras (Internet, proveedores, clientes,

conexiones punto a punto, etc) es el Firewall.

Redes

Inseguras

Test de

Seguridad

Firewall

Server

Interno

24

© 2001 CYBSEC


Testing de seguridad de un Firewall

Las actividades a realizar para realizar un testing del Firewall son:

1. Detección remota del tipo de Firewall y versión.

2. Detección remota del sistema operativo base utilizado.

3. Detección de las direcciones IP internas.

4. Análisis de vulnerabilidades conocidas (www.securityfocus.com).

5. Evaluación de los puertos TCP y UDP abiertos.

6. Envío de paquetes TCP/IP malformados para evaluar la respuesta

del Firewall.

7. Lanzamiento de ataques de spoofing sobre el Firewall.

8. Intento de explotación de vulnerabilidades conocidas sobre el

Firewall en un entorno controlado.

25

© 2001 CYBSEC


Testing de seguridad de un Web Server

El Web Server es el equipo que se encuentra conectado al segmento

de red público de la Empresa. Es un Server que debe ser público y

es por eso que es el primer blanco de los intentos de ataque.

Test de

Seguridad

Web Server

26

© 2001 CYBSEC


Testing de seguridad de un Web Server

Las actividades a realizar para realizar un testing del Web Server son:

1. Detección remota del Web Server utilizado y versión.

2. Detección remota del sistema operativo base del Web Server

utilizado.

3. Análisis de vulnerabilidades conocidas (www.securityfocus.com).

4. Análisis de aplicaciones demo instaladas.

5. Análisis de instalaciones defaults.

6. Intento de explotación de vulnerabilidades sobre el Web Server

en un entorno controlado.

7. Evaluación y análisis de las páginas Web.

8. Análisis de aplicaciones utilizadas.

9. Evaluación de buffer-overflows sobre variables y parámetros.

27

© 2001 CYBSEC


Conclusiones

- Los intrusos existen y el nivel de peligrosidad de los mismos

aumenta cada vez más.

- Los sistemas informáticos poseen vulnerabilidades de seguridad

y estas van en constante crecimiento, es muy importante

capacitarse para poder prevenir y mantener el nivel de seguridad

de una Empresa.

- La única forma de mantener una Empresa segura es estar un paso

adelante de los hackers, conociendo sus herramientas, estudiando

sus técnicas para poder anticiparse.

28

© 2001 CYBSEC


Muchas gracias

por acompañarnos . . .

www.cybsec.com

29

More magazines by this user
Similar magazines