BUG EN LAS APLICACIONES
Muchas de las vulneravilidades de software se debe a overflows (desbordamientos de buffer). El buffer es una parte de la memoria usada para guardar datos temporales. Este buffer tiene un tamaño limitado el cual si se llena puede causar que los datos temporales se sobreescriban originando asi efectos inesperados y aprovechados por los virus y programas trojanos.
Es un hecho que casi la tercera parte de los reportes de vulnerabilidades de software se deban a overflows.
Un desbordamiento de buffer tipicamente puede ser inicializado abriendo un archivo adjunto en un correo , visitando alguna pagina web o recibiendo algun archivo via MSN. El famoso gusano SQL Slammer y code red hacen uso del desbordamiento de buffer para ganar control como usuario administrador del sistema.
CATEGORIA DE ATAQUES
Para poder tratar los ataques de la red debemos categorizarlos principalmente en tres tipos de ataques:
1. Ataque de reconocimiento.- Este tipo de ataques usan herramientas como sniffers y escaneadores de puertos con la finalidad de encontrar un bug o puerta trasera de acceso al sistema.
2. Ataque de acceso.- Este tipo de ataque explota vulnerabilidades conocidas para ganar cuentas de usuario y acceder a servicios como ftp o base de datos. Ademas se valen de un diccionario de palabras para intentar adivinar algun usuaio o password del sistema.
3. Ataque de denegacion de servicio.- Este tipo de ataques se caracteriza por el envio de grandes cantidades de requerimientos que puede causar una carga excesiva del servidor y hacer no disponible el servicio.
LA PROTECCION OFRECIDA POR CISCO
CISCO provee su tecnologia SDN (self defending network) que es una solucion de red completa que previene, identifica y se adapta para cualquier amenaza. Es un conjunto de productos que trabajan juntos; incluye un administrador de seguidad, monitoreo, analisis y respuesta (MARS), uno o mas IPSs, uno o mas firewalls, algunos routers y concentradores VPN.
En resumen la proteccion completa de cisco abarca:
Equipos Finales: Programas instalados en las pcs CSA(cisco segurity agent) que en conjunto con NAC(es un equipo que controla el acceso a la red, actualiza los antivirus y actualiza vulnerabilidades de las PCs) da seguridad a las Pcs.
Routers: IOS firewalls,VPN y ACLS.ASA: Equipos especiales con un IOs adaptado para filtrar paquetes.
IPS: Provee inspeccion de trafico y mitiga las amenazas.MARS: Administrador de seguidad, monitoreo, analisis y respuesta de amenazas.
CSM: Administrador de politicas.cisco catalist 6500:es un switch que administra ACLs y control de puertos.
Es importante decir que estas soluciones son una completa solucion contra amenazas pero pueden trabajar independientemente unas de otras como parte de una solucion especifica.
LA AMENAZA DE LOS GUSANOS
Los gusanos son las amenazas mas peligrosas en la red que los virus, por ello la respuesta a sus ataques se basan en 4 fases.
- Contencion: Aisla segmentos infectados en la red para evitar que el gusano se propague.- Inoculacion: En esta fase todos los sistemas seran parchados con la apropiada actualizacion del software para eliminar la vulnerabilidad. Hay que tener en cuenta los equipos mobiles como laptops que pueden moverse entre redes y espacir el gusano al estar infectadas.
- Cuarentena: Esta fase aisla las computadoras en determinado segmento de red o las desconeta de la red.
- Tratamiento: En esta fase los equipos son desinfectados del gusano, removiendo los archivos infectados o modificados del sistema y eliminando puertas traseras, es recomendado reinstalar el sistema para asegurar que el gusano y sus productos esten removidos.
ATAQUES DE RECONOCIMIENTO
Consisten en obtener informacion del equipo a ser atacado, tipicamente comprueba los equipos de red utilizando ping sweet, que es una forma de escaneo que encuentra IPs activas en la red, el intruso, con una herramienta como NMAP, determina que puertos o servicios estan activos en los hosts. Con la informacion de los puertos el intruso puede obtener informacion de la version de la aplicacion o del sistema operativo que esta corriendo en el host. Luego con esta informacion busca vulnerabilidades.
Para contrarestar el escaneo de puertos se utilzan IPS y firewalls. Los ping sweeps pueden ser parados evitando la respuesta de ping (paquetes ICMP) de los host en la red.
Modo promiscuo: Es un funcionamiento fuera de lo comun de una tarjeta de red la cual se pone en escucha de toda la actividad de la red. Es muy usado por los sniffers. Recordar que el estado normal del la tarjeta de red es solo la escucha de paquetes que van dirijidos hacia ella y paquetes de broadcast. Un sniffer conocido es el wireshark.
Para contrarestar los sniffer se utiliza la encriptacion de los datos que se transmiten por la red.
ATAQUES DE ACCESO
Frecuentemente el intruso busca entrar al sistema con algun password de algun usuario invitado utilizando fuerza bruta, falsificaciones de ip(ip spoofing) o sniffers.
Una herramienta de fuerza bruta usada por los hackers es L0phtCrack o LC5, que son aplicaciones que desarrollan un ataque de fuerza bruta para obtener el password de un servidor windows. hay 5 tipos de este ataque de acceso:
1. Ataque de password.
2. Explotacion de confianza.(un atacante gana privilegios en el hosta A, utilizando la confianza que el host A tiene en el host B al cual el atacante tiene acceso)
3. Redireccion de puertos.(Se basa en la confianza que tiene el servidor en algunos hosts de la red interna. El atacante externo se conecta a estos host y estos previamente ya infectados redireccionan los ataques al servidor.)
4. Hombre en medio (un atacante se pone en medio de la comunicacion para capturar los datos)5. Desbordamiento de memoria.
Para minimizar este tipo de ataques se recomienda deshabilitar cuentas no usadas, evitar passwords simples utilizando mayusculas, numeros y espacios de ser posible, encriptar los passwords y parchar los sistemas operativos.
ATAQUES DE DENEGACION DE SERVICIO DoS
Este tipo de ataque compromete la disponibilidad del servicio ofrecido a usuarios validos.Este ataque ocurre de dos formas:
- El servidor recibe algun dato mal formado que no sabe como procesarlo Haciendo que este se cuelque o deje abierto el proceso sin cerrarlo.
- El servidor es inundado con requerimientos de algun host que lo inestabiliza consumiendo recursos de memoria y se vuelve estremadamente lento.
Hay un termino llamado DDos (Distributed Denial Services Atack) es similar al DOs con la diferencia que los ataques se originan en mutiples hosts coordinados. Es producido por programas zombies instalados(mediante un correo infectado por ejemplo) en los hosts y son activados mediante un evento establecido por el atacante.
tres ejemplo comunes de ataques DOs son:
1. Ping de la muerte: envia un paquete de tal tamaño que la computadora destino no esta preparada a recibirlo y se cuelga.
2. Smurf attack: es un modo de inundar con considerable trafico la red victima, se basa en enviar gran cantidad de ICMP a una IP broadcast, si el router que recibe estos paquetes los reenvia a todos los host de la red local, los host responderan inundando de trafico la red.
3. TCP SYN flood: La negociacion entre hosts es una comunicacion de 3 vias para establecer un enlace. El atacante accede a un servicio iniciando la negociacion enviando un TCP SYN al servidor el cual responde con un Syn-ACk y espera la respuesta del atacante, que nunca llega y deja al servidor en espera de esa respuesta. si el atacante inicia multiples de estos enlaces incompletos se consumira recursos del servidor hasta enlentecerlo y dejarlo sin memoria para iniciar enlaces validos.
CONCLUSIONES
Bueno en este primer capitulo he hablado de IPS y firewalls, que son equipos recomendados para la seguridad. Los routers y switch cisco soportan tecnologias antispoofing, tales como seguridad de puertos, DHCP snooping, ACLs y Dynamic ARP inspeccion.
Los servicios de QOS no estan diseñados con tecnologia de seguridad, pero se puede establecer politicas de trafico que pueden limitar el trafico de cualquier cliente o router final. Esto limita la mal utilizacion de ancho de banda de la red.
Hay 10 practicas para asegurar nuestra red:
1. Mantener actualizado semanalmente o diariamnete de ser posible las aplicaciones para prevenir desbordamiento de buffer.
2. Bajar o eliminar servicios innecesarios.
3. Usar password fuertes y cambiearlos frecuentemente.
4. Controlar el acceso fisico a los sistema.
5. Eliminar servicios web innecesiarios que muestren entradas de usuarios y passwords.
6. Hacer el backup.
7. Educar a los empleados acerca de riesgos de igenieria y desarrollar estrategias para validar identidades.
8. Encriptar passwords.
9. Implementar firewalls IPs, VPN y antivirus.
10. Desarrollo y escribir politicas en la compañia.
No hay comentarios:
Publicar un comentario