Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

Conceptos preliminares de Protocolos

Secuencia de apertura TCP/IP

Conocida como comunicacin de 3 vas

Host A
Enva SYN (seq=x)

Host B
Recibe SYN (seq=x) Envia SYN (seq=y, ack=x+1)

Recibe SYN (seq=y, ack=x+1) Enva ACK (ack=y+1) Recibe ACK (ack=y+1)

Componentes de una Red: vulnerabilidades y seguridad

Hubs
Concentradores de red Red bus estrella Todo el trfico para cada estacin es enviado a todos Reproduce mucho trfico. Inseguro, cada PC conectado puede ver trfico que no le corresponde con el uso de un sniffer.

Switch
Concentrador de red inteligente Almacena el Mac Adress de cada estacin Principales Componentes de Communications El trfico es enviado al destinatario Principales Riesgos y Vulnerabilidades de las redes que de tenga la forma nicamente Vulnerabilidadesa y menos consideraciones seguridad para cada componente 255.255.255.255

Port Security
Problema : Cada dispositivo que se agrega a la red va ha recibir una IP.Componentes de Communications direccin Principales Principales Riesgos y Vulnerabilidades de las redes Solucin: Vulnerabilidades y consideraciones Restringir acceso por mac address. de seguridad para cada componente Es buena solucin para redes que son relativamente estticas. Eso no deja que un hacker desconecte una mquina permitida en la red y conecte su laptop. Es crtico al nivel del core switch, porque en esa zona no tiene que abrir Mucho movimiento de dispositivos.

Configuracin:
El switch aprende el primer mac address que ve en el port. Entonces se puede asignar automticamente: Core1> (enable) set port security 2/23 enable Principales Componentes Communications Port 2/23 port security enabled de with the learned mac address. Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada Tambin se puede agregar un mac address diferente: componente Core1>(enable)set port security 2/20 enable xx-xx-xx-xx-xx-xx Port 2/20 port security enabled with xx-xx-xx-xx-xx-xx as the secure mac address.

Configuracin:
Switch)# config t Switch(config)# int fa0/18 Switch(config-if)# switchport port -security ? Principales Componentes de Communications aging Port-security aging commands Principales Riesgos y Vulnerabilidades de las redes mac-address Secure mac address Vulnerabilidades y consideraciones de seguridad para cada maximum Max secure addresses componente violation Security violation mode Switch(config-if)# switchport port-security Switch(config-if)#^Z

Arp Spoofing
192.168.1.1 192.168.1.138

192.168.1.10

Backtrack, Live CD www.offensive-security.com Principales Componentes de Communications Dsniff Principales Riesgos y Vulnerabilidades de las redes Macof Vulnerabilidades y consideraciones de seguridad para cada
componente

Proteccin
Usar Port Security Configurar tabla de arp local PromiScan: www.securityfriday.com/products/promiscan.html
Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

VLAN
Reduce Brodcasts/manejo preferible de ancho de banda en el LAN. Agrupa puertos lgicamante/ por departamento. Controla distribution de virueses/trojanos dentro del LAN. Principales Componentes de Communications Crear por lo Riesgos menos un VLAN para los de usuarios y otro para Principales y Vulnerabilidades las redes servidores. Vulnerabilidades y consideraciones de seguridad para cada Cuando un usuario se cambia de departamento, es componente suficiente con cambiar el Vlan en el switch y no mover el usuario fsicamenete. Para pasar trfico de Vlan a Vlan es necesario un switch L3. Red mas segura. VLAN PRIVADO

VLAN

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

802.1x Port Baseed Network Access Control

Switch Router
Permite unir dos de diferentes redes Algunos permiten filtrar el Concentrador red inteligente contenido el Mac Adress de estacin Almacena El Router siempre es la primera lnea decada defansa de la red ( Seguridad Principales Componentes de Communications en profundidad ( El trfico es enviado al destinatario Principales Riesgos y Vulnerabilidades de las redes El router de permetro es el punto de contacto entre la WAN a que de tenga la forma nicamente y menos consideraciones seguridad para cada yVulnerabilidades la red corporativa, pudiendo ser la primer barrera de componente 255.255.255.255 proteccin. Deben configurarse todas la opciones de seguridad brindadas por el dispositivo, contribuyendo as al concepto de seguridad en profundidad En muchos casos, el router es provisto y administrado por el proveedor.

Router Switch
172.16.200.1 Concentrador de red inteligente 10.1.1.1 E0 E1 Almacena el Mac Adress de cada 10.250.8.11 estacin 172.16.3.10 Principales Componentes de Communications El trfico es enviado al destinatario Principales Riesgos y Vulnerabilidades de las redes que de tenga la10.180.30.118 forma nicamente Vulnerabilidadesa y menos consideraciones seguridad para cada 172.16.12.12 componente 255.255.255.255 172.16.2.1 10.6.24.2

Tabla de routing
172.16 . 12.12

Red
172.16.0.0 10.0.0.0

Interface
E0 E1

Red

Host

Qu significa un proceso de Hardening para un Router?

Principales Componentes de Communications Control de acceso. Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada Eliminar trfico no necesario. componente

Reducir los vectores de ataque

Metodologa
Protection de los passwords

Configurar diferentes niveles de privilegios Limitar accesso remoto Configurar banners Configurar SNMP Configurar logging y NTP Configurar anti-spoofing Mitigar Denial of Service attacks Verificar la configuracin

Banners

banner login banner motd ^C

banner motd ^C ************************************************************* !! Slo se permite entrar a usuarios autorizados. El acceso no autorizado es penado por la ley!! Esta es una red privada y debe ser usada slo con el permiso directo de su propietario(s). El propietario se reserva el derecho de monitorear el uso de esta red para asegurarse de la seguridad de la red y responder a alegatos especficos de uso inapropiado. El uso de esta network debera constituir consentimiento para ser monitoreada para estos y otros propsitos. Adems, el propietario se reserva el derecho de consentir un refuerzo legal vlido requerido para buscar en la red evidencia de un crimen de robo en esta red.************************************************************* ^C

Servicios no necesarios:
no cdp run (tener cuidado) no boot network ( comando viejo) no service config no ip source-route no service finger (comando viejo) no ip finger no ip identd no service pad no service tcp-small-servers no service udp-small-servers no ip bootp server no tftp-server

Acess List (ACL)

Number | Traffic | Destination IP | Source IP | Action

Block rangos ips privados access-list 110 deny ip 192.168.0.0 0.0.255.255 any log-input access-list 110 deny ip 10.0.0.0 0.255.255.255 any log-input access-list 110 deny ip 172.16.0.0 0.15.255.255 any log-input Block Ping
access-list 110 deny icmp any any redirect log-input Para no cargar tanto el CPU del Router

access-list 110 permit tcp any any established

Limitar Acesso al router

Telnet Ssh e HTML IOS desde version 12.0.5 soporta SSH Abilitar SSH:
gw1(config)#ip domain-name example.com gw1#crypto key generate rsa gw1#config t Enter configuration commands, one per line. End with CNTL/Z. gw1(config)#ip ssh gw1(config)#ip ssh timeout 60 gw1(config)#ip ssh authentication-retries 3

Desabilitar Telent:

gw1(config)#transport input ssh

Limitar Acesso al router

Telnet Ssh e HTML Desabilitar Web server en el router:

gw1(config)#no ip http server

 Cambiar default password. Autenticar por Radius+AD. Configurar Accout luckput para evitar ataques de Fuerza bruta.

TCP Intercept

Syn Flood Protection para los servidores Dos Modos

Watch fija y termina sesiones incompletas. Intercept Trata de completar conectarse con el cliente por el servidor. Si tiene xito, crea una conexin directa del cliente al servidor ,si no puede, cierra la conexin.

Riverhead Networks-http://www.riverhead.com

Pen test network Devices

ASS-Autonomous System Scanner

ASS-Autonomous System Scanner

Es una herramienta en la Internetwork Routing Protocol Attack Suite (IRPAS) que desenvuelve colecciones de protocolos de routing activas y pasivas. Informacin. Soporta un amplio nmero de protocolos de routing y puede proveer informacin muy til. Informaci en los protocolos, tal como la siguiente: Cisco Discovery Protocol (CDP) ICMP Router Discovery Protocol (IRDP) Interior Gateway Routing Protocol (IGRP) and Enhanced Interior Gateway Routing Protocol (EIGRP) Routing Information Protocol versions 1 and 2 Open Shortest Path First (OSPF) Hot Standby Routing Protocol (HSRP) Dynamic Host Confi guration Protocol (DHCP) ICMP

ASS-Autonomous System Scanner

Cisco Torch
Incluido en el BackTrack CD, Cisco Torch es un Perl script que tiene varias funciones que pueden ser tiles para el penetration tester concentrndose en Cisco devices. Es capaz de identificar servicios corriendo en Cisco devices, tales como SSH, Telnet, HTTP, Trivial File Transfer Protocol (TFTP), Network Time Protocol (NTP), y SNMP. Despus de identificar los servicios, puede conducir ataques de fuerza bruta a los passwords y puede an hacer download del archivo de configuracin si el leer/escribir community string ha sido encontrado.

Finger Service
Si el servicio Finger est abilitado en un router, es posible interrogar al servicio para determinar quin est logiado en el equipo. Una vez que un nombre de usuario vlido ha sido descubierto, el penetration tester puede empezar un ataque de fuerza bruta que adivine passwords si un servicio tal como Telnet est corriendo.

Hydra
Es un tool para ataque de fuerza bruta que soporta la mayora de los protocolos de login de la network, incluyendo aquellos que corren en redes como estas: Telnet,HTTP, HTTPS.SNMP,Cisco Enable

Brute Forcing enable

Cisco Global Exploiter

El Cisco Global Exploiter (cge.pl) es un Perl script que provee una interface comn a 10 diferentes vulnerabilidades de Cisco, incluyendo varios denial of service (DoS) exploits.

HTTP Configuration Arbitrary Administrative Access Vulnerability

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

http://10.0.1.252/level/99/exec/show/config

HTTP Configuration Arbitrary Administrative Access Vulnerability

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

http://10.0.1.252/level/99/exec/show/config

http://www.boson.com
Clear Text enable password Vigenere enable password 7 104B0718071B17 MD5 enable secret 5 $1$yOMG$38ZIcsEmMaIjsCyQM6hya0

Principales Componentes de Communications Principales Riesgos y Vulnerabilidades de las redes Vulnerabilidades y consideraciones de seguridad para cada componente

Verificar configuracin
Verifica la configuracinn segura del router antes de que el hacker lo verifique. Herramientas: En backtrack: 1. Cisco global exploiter 2. Cisco torch 3. Cisco auditing tool 4. Cisco scanner 5. Nessus 6. Snmp brute

links
www.nsa.gov http://www.atomicgears.com/papers/bastionios.html Auditing tool: www.cisecurity.com

ACLs: http://www.cisco.com/en/US/partner/products/sw/iosswrel/ps1835/products _configuration_guide_chapter09186a00800ae127.html#1109098

CONSULTAS

Juan Babi
CISSP, MCSE, CCNA, SCSA, CCSA juanb@tobesecurity.com

www.tobesecurity.com