Академический Документы
Профессиональный Документы
Культура Документы
Parte 3
ATAQUES A LOS SERVIDORES (transparencias en http://www.arcert.gov.ar/)
Identificacin del objetivo Informacin de DNS Sistema Operativo Servicios de Red Activos Producto utilizado para Servidor Web Directorios y archivos existentes, cgis, ejemplos, etc. Deteccin de Vulnerabilidades
Informacin de DNS El Domain Name System (DNS) se utiliza para mapear nombres y direcciones IP. Maneja distintos tipos de registros, algunos de los cuales cumplen funciones especificas (ej: MX) Casi todos los servicios de Internet, utilizan el servicio de DNS, incluyendo la Web y el correo electrnico. Hay que proteger dicho servicio para que no se pueda obtener informacin del mismo (ej: zone transfers) o, peor an, lograr cambios que redirijan a los usuarios.
Coordinacin de Emergencias en Redes Teleinformticas en la APN
Existen tcnicas que permiten identificar en forma remota que sistema operativo est utilizando un equipo. Las tcnicas se basan en pequeas variaciones en la construccin de paquetes y la respuesta del equipo ante la recepcin de dichos paquetes.
http://www.insecure.org/nmap/nmap-fingerprinting-article.html
Tcnicas que realizan bsqueda exhaustiva de servicios de red activos. Pueden saltear algunos filtros, e incluso identificar el tipo de servicio que se ejecuta.
NMAP (http://www.insecure.org/nmap) Nmap ("Network Mapper") es una utilidad opensource para explorar redes. Fue diseada para escanear redes en forma rpida y puede determinar qu servicios (puertos) estn habilitados, qu sistema operativo se est utilizando, si existe algn dispositivo de filtrado en el medio, etc. En versiones recientes, puede determinar el tipo de servicio que escucha en cada puerto detectado.
Tcnicas que permiten determinar el producto que se utiliza para brindar el servicio web. En general utilizan la informacin del header Server: , pero podran utilizar una tcnica similar a la utilizada por el QueSO.
Dustin William Lee. HMAP: A Technique and Tool For Remote Identification of HTTP Servers. Masters thesis, University of California, Davis, 2001. Jeremiah Grossman. Identifying Web Servers, A first-look into Web Server Fingerprinting.In BlackHat Asia 2002. Black Hat, Inc, 2002.
Utilizar herramientas que chequean archivos existentes, aplicaciones vulnerables, directorios ocultos, etc.
Nikto (http://www.cirt.net/code/nikto.shtml)
Nikto es un escaner de servidores web que realiza un chequeo exhaustivo de potenciales problemas en el servidor, existencia de archivos y/o aplicaciones peligrosos. Puede ser actualizado via web. Este programa busca fallas en diferentes categoras: problemas de configuracin archivos por defecto y ejemplos archivos y scripts inseguros versiones desactualizadas de productos.
Utiliza la librera LibWhisker (http://wiretrip.net)
Coordinacin de Emergencias en Redes Teleinformticas en la APN
Identificacin de vulnerabilidades Una vez que conocemos los servicios existentes y las aplicaciones utilizadas, podemos ver la existencia de vulnerabilidades y actuar en consecuencia.
El Sistema de Monitoreo de Seguridad (SiMoS) de ArCERT permite detectar vulnerabilidades en servidores de los organismos de la Administracin Pblica Argentina que brinden servicio a travs de Internet. El sistema chequea ms de 2100 vulnerabilidades, y se generan nuevos chequeos peridicamente, a medida que van surgiendo nuevas vulnerabilidades. Utiliza principalmente la herramienta Nessus (http://www.nessus.org).
Coordinacin de Emergencias en Redes Teleinformticas en la APN
Ataques a Servidores WEB Utilizacin de vulnerabilidades conocidas en los servidores web que permiten ejecutar cdigo arbitrario, acceso no autorizado a archivos o denegacin de servicio.
Ataques a Otros Servicios en el equipo Servicios de administracin remota: Telnet SSH Microsoft Terminal Server
Ataques a Otros Servicios en el equipo Servicios de administracin de contenidos FTP SSH/SCP FRONTPAGE Server Extensions WebDAV
Ataques a Servidores de nombres DNS ataques al servidor modificacin de zonas cache poisoning.
Denegacin de Servicio
El concepto de Denegacin de Servicio (DoS) es producir un ataque que deje inaccesible un servicio para aquellos usuarios (personas o mquinas) que deseen utilizarlo.
Denegacin de Servicio
Denegacin de Servicio
Aparicin frecuente de fallas en los navegadores que permiten ejecutar cdigo arbitrario en el cliente, tomando el control parcial o total del equipo.
Gusanos (Worms) Un Gusano es un programa de computacin que, cuando se ejecuta, busca equipos vulnerables en la red y los ataca. Una vez adentro, se copia en el equipo atacado y se empieza a ejecutar ah, realizando el mismo proceso. Esto significa que puede distribuirse en forma exponenical, como si fuera una epidemia o una reaccin nuclear.
http://www.networm.org/faq/
El gusano se difunde aprovechando la vulnerabilidad con los archivos .ida descripta en CVE- 2001-0500. Una vez infectado el equipo, se lanzaban 99 procesos que generaban direcciones IP aleatorias y atacaban esos equipos. En algunos casos, se haca un defacement de la maquina infectada.
Gusano Slapper (Septiembre 2002) Atacaba equipos Linux con versiones vulnerables de apache+mod_ssl. Permita crear una red para hacer DDoS.
(http://www.cert.org/advisories/CA-2002-27.html)
Proteccin
Herramienta que permite buscar problemas de seguridad en uno o ms equipo que utilicen Microsoft Windows. El mismo chequea el sistema operativo y otros componentes instalados como el IIS o el SQL server, y detecta problemas de configuracin y falta de instalacin de actualizaciones.
Extensiones ISAPI
Si no necesita Funcionalidad ASP Cambio de claves via web Internet DB connector Server side includes Impresin via Internet Index Server Hit Highlighting FrontPage Server Extensions Extensin .asp .htr .idc .stm,.shtm .printer .ida,.idq .htw Desinstalar soporte FPSE RAD Vulnerabilidades conocidas Buffer overflow, MS02-018 Ver cdigo fuente, MS01-004 Permite ver Paths del web server Buffer overflow, MS01-044 Buffer overflow, MS01-023 Buffer overflow, MS01-033 Ver cdigo fuente MS00-006 Buffer overflow, MS01-035
Deteccin de ataques Existen herramientas que nos facilitan la deteccin. Sistemas de deteccin de intrusos (ej: snort) Sistemas de control de cambios (ej: tripwire)
Egress Filtering
Es importante destacar que, a la hora de configurar el firewall, no alcanza con filtrar el trfico entrante, tambin hay que filtrar el trfico saliente.
Deshabilitacin de servicios y cuentas no utilizados. Actualizacin de S.O. y aplicaciones (parches). Uso de buenas contraseas. Utilizacin de Firewalls Chequeo de integridad de aplicaciones y S.O. Back-ups peridicos. Anlisis peridico de logs. Verificacin peridica de servicios activos y vulnerabilidades presentes. Desarrollo seguro de aplicaciones web. Concientizacin de los usuarios. Encriptacin del trfico Definicin y uso de Polticas y Procedimientos
Coordinacin de Emergencias en Redes Teleinformticas en la APN