Seguridad en Servidores y Aplicaciones Web

Parte 3
ATAQUES A LOS SERVIDORES (transparencias en http://www.arcert.gov.ar/)

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Temario parte 3 Identificacin de objetivos Tipos de ataque Realizacin de ataques Proteccin

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Identificacin del objetivo Informacin de DNS Sistema Operativo Servicios de Red Activos Producto utilizado para Servidor Web Directorios y archivos existentes, cgis, ejemplos, etc. Deteccin de Vulnerabilidades

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Informacin de DNS El Domain Name System (DNS) se utiliza para mapear nombres y direcciones IP. Maneja distintos tipos de registros, algunos de los cuales cumplen funciones especificas (ej: MX) Casi todos los servicios de Internet, utilizan el servicio de DNS, incluyendo la Web y el correo electrnico. Hay que proteger dicho servicio para que no se pueda obtener informacin del mismo (ej: zone transfers) o, peor an, lograr cambios que redirijan a los usuarios.
Coordinacin de Emergencias en Redes Teleinformticas en la APN

Identificacin de Sistema Operativo

Existen tcnicas que permiten identificar en forma remota que sistema operativo est utilizando un equipo. Las tcnicas se basan en pequeas variaciones en la construccin de paquetes y la respuesta del equipo ante la recepcin de dichos paquetes.
http://www.insecure.org/nmap/nmap-fingerprinting-article.html

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Identificacin de servicios de red

Tcnicas que realizan bsqueda exhaustiva de servicios de red activos. Pueden saltear algunos filtros, e incluso identificar el tipo de servicio que se ejecuta.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

NMAP (http://www.insecure.org/nmap) Nmap ("Network Mapper") es una utilidad opensource para explorar redes. Fue diseada para escanear redes en forma rpida y puede determinar qu servicios (puertos) estn habilitados, qu sistema operativo se est utilizando, si existe algn dispositivo de filtrado en el medio, etc. En versiones recientes, puede determinar el tipo de servicio que escucha en cada puerto detectado.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Identificacin del servicio web

Tcnicas que permiten determinar el producto que se utiliza para brindar el servicio web. En general utilizan la informacin del header Server: , pero podran utilizar una tcnica similar a la utilizada por el QueSO.
Dustin William Lee. HMAP: A Technique and Tool For Remote Identification of HTTP Servers. Masters thesis, University of California, Davis, 2001. Jeremiah Grossman. Identifying Web Servers, A first-look into Web Server Fingerprinting.In BlackHat Asia 2002. Black Hat, Inc, 2002.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Obteniendo ms informacin del servidor HTTP

Utilizar herramientas que chequean archivos existentes, aplicaciones vulnerables, directorios ocultos, etc.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Nikto (http://www.cirt.net/code/nikto.shtml)
Nikto es un escaner de servidores web que realiza un chequeo exhaustivo de potenciales problemas en el servidor, existencia de archivos y/o aplicaciones peligrosos. Puede ser actualizado via web. Este programa busca fallas en diferentes categoras: problemas de configuracin archivos por defecto y ejemplos archivos y scripts inseguros versiones desactualizadas de productos.
Utiliza la librera LibWhisker (http://wiretrip.net)
Coordinacin de Emergencias en Redes Teleinformticas en la APN

Identificacin de vulnerabilidades Una vez que conocemos los servicios existentes y las aplicaciones utilizadas, podemos ver la existencia de vulnerabilidades y actuar en consecuencia.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Bsqueda automtica de vulnerabilidades - SiMoS

El Sistema de Monitoreo de Seguridad (SiMoS) de ArCERT permite detectar vulnerabilidades en servidores de los organismos de la Administracin Pblica Argentina que brinden servicio a travs de Internet. El sistema chequea ms de 2100 vulnerabilidades, y se generan nuevos chequeos peridicamente, a medida que van surgiendo nuevas vulnerabilidades. Utiliza principalmente la herramienta Nessus (http://www.nessus.org).
Coordinacin de Emergencias en Redes Teleinformticas en la APN

Ataques a Servidores WEB Utilizacin de vulnerabilidades conocidas en los servidores web que permiten ejecutar cdigo arbitrario, acceso no autorizado a archivos o denegacin de servicio.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Ataques a Servidores WEB

http://www.guninski.com/modproxy1.html

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Ataques a Otros Servicios en el equipo Servicios de administracin remota: Telnet SSH Microsoft Terminal Server

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Ataques a Otros Servicios en el equipo Servicios de administracin de contenidos FTP SSH/SCP FRONTPAGE Server Extensions WebDAV

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Ataques a Otros Servicios en el equipo

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Ataques a Servidores de nombres DNS ataques al servidor modificacin de zonas cache poisoning.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Denegacin de Servicio

El concepto de Denegacin de Servicio (DoS) es producir un ataque que deje inaccesible un servicio para aquellos usuarios (personas o mquinas) que deseen utilizarlo.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Denegacin de Servicio

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Denegacin de Servicio

Denegacin a nivel de red Denegacin a nivel de servicio

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Atacando a los navegadores

Aparicin frecuente de fallas en los navegadores que permiten ejecutar cdigo arbitrario en el cliente, tomando el control parcial o total del equipo.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Atacando a los navegadores

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Atacando a los navegadores

Ataques de contenido activo Cross site scripting Manipulacin de cookies

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Atacando a los navegadores

Robo de cdigo fuente, juego half-life 2, octubre 2003 http://www.digitmag.co.uk/news/display_n ews.cfm?NewsID=3292

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Gusanos (Worms) Un Gusano es un programa de computacin que, cuando se ejecuta, busca equipos vulnerables en la red y los ataca. Una vez adentro, se copia en el equipo atacado y se empieza a ejecutar ah, realizando el mismo proceso. Esto significa que puede distribuirse en forma exponenical, como si fuera una epidemia o una reaccin nuclear.

http://www.networm.org/faq/

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Gusano Core Red (julio 2001)

El gusano se difunde aprovechando la vulnerabilidad con los archivos .ida descripta en CVE- 2001-0500. Una vez infectado el equipo, se lanzaban 99 procesos que generaban direcciones IP aleatorias y atacaban esos equipos. En algunos casos, se haca un defacement de la maquina infectada.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Gusano Nimda (septiembre 2001)

Este gusano utilizaba 5 mecanismos distintos para difundirse. Explotando una vulnerabilidad conocida en IIS (CVE-2000-0884). Por mail, utilizando direcciones de correo existentes en el equipo infectado. Accediendo a carpetas compartidas. Agregando cdigo malicioso en las pginas web de servidores comprometidos para atacar a los clientes que accedan a dichas pginas. Buscando y utilizando puertas traseras dejadas por los gusanos Code Red II y sadmind.
Coordinacin de Emergencias en Redes Teleinformticas en la APN

Gusano Slapper (Septiembre 2002) Atacaba equipos Linux con versiones vulnerables de apache+mod_ssl. Permita crear una red para hacer DDoS.
(http://www.cert.org/advisories/CA-2002-27.html)

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Proteccin

Instalacin de actualizaciones Configuracin adecuada Deshabilitacin de servicios no utilizados

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Actualizaciones del Sistema Operativo

Debian Security http://www.debian.org/security/

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Chequeo de actualizaciones necesarias en Windows

Microsoft Baseline Security Analyzer

(www.microsoft.com/technet/security/ tools/Tools/MBSAhome.asp)

Herramienta que permite buscar problemas de seguridad en uno o ms equipo que utilicen Microsoft Windows. El mismo chequea el sistema operativo y otros componentes instalados como el IIS o el SQL server, y detecta problemas de configuracin y falta de instalacin de actualizaciones.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Microsoft Baseline Security Analyzer

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Configuracin segura de Apache Apache security Tips

http://httpd.apache.org/docs/misc/security_tips.html http://www.cgisecurity.com/lib/ryan_barnett_gcux_practical.html http://www.modsecurity.org/ (tipo URLSCAN) http://stein.cshl.org/~lstein/talks/perl_conference/apache_security/ DOS.html

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Configuracin segura de IIS

Deshabilitar Extensiones ISAPI Uso del URLSCAN e IIS LOCKDOWN TOOL

http://www.shebeen.com/w2k/ http://www.owasp.org/columns/jlima/joelima1 http://msdn.microsoft.com/library/enus/iisref/htm/ASPSecurityChecklist.asp http://www.microsoft.com/technet/security/tools/tools/hf netchk.asp

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Extensiones ISAPI
Si no necesita Funcionalidad ASP Cambio de claves via web Internet DB connector Server side includes Impresin via Internet Index Server Hit Highlighting FrontPage Server Extensions Extensin .asp .htr .idc .stm,.shtm .printer .ida,.idq .htw Desinstalar soporte FPSE RAD Vulnerabilidades conocidas Buffer overflow, MS02-018 Ver cdigo fuente, MS01-004 Permite ver Paths del web server Buffer overflow, MS01-044 Buffer overflow, MS01-023 Buffer overflow, MS01-033 Ver cdigo fuente MS00-006 Buffer overflow, MS01-035

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Instalacin de URLScan e IIS Lockdown Tool

Demo instalacin del soft IIS Lock Down Tool y URLScan

http://www.microsoft.com/technet/security/tools/tools/locktool.asp http://www.microsoft.com/technet/security/tools/tools/urlscan.asp

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Instalacin de URLScan e IIS Lockdown Tool

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Deteccin de ataques Existen herramientas que nos facilitan la deteccin. Sistemas de deteccin de intrusos (ej: snort) Sistemas de control de cambios (ej: tripwire)

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Egress Filtering

Es importante destacar que, a la hora de configurar el firewall, no alcanza con filtrar el trfico entrante, tambin hay que filtrar el trfico saliente.

Coordinacin de Emergencias en Redes Teleinformticas en la APN

Resumen de herramientas y metodologas

Deshabilitacin de servicios y cuentas no utilizados. Actualizacin de S.O. y aplicaciones (parches). Uso de buenas contraseas. Utilizacin de Firewalls Chequeo de integridad de aplicaciones y S.O. Back-ups peridicos. Anlisis peridico de logs. Verificacin peridica de servicios activos y vulnerabilidades presentes. Desarrollo seguro de aplicaciones web. Concientizacin de los usuarios. Encriptacin del trfico Definicin y uso de Polticas y Procedimientos
Coordinacin de Emergencias en Redes Teleinformticas en la APN