Informática 64 - Seguridad en Servidores e Internet – Informática 64
Índice de Contenidos
Página
Modulo 0: Introducción a la seguridad informática
2
Modulo 1: Auditoría de Servidores Unidad 1: Tecnicas de recogida de Información
11
Unidad 2: Scanners de Vulnerabilidades
23
Modulo 2: Ataques en Redes Unidad 1: Sniffing
33
Unidad 2: Detección de Sniffers
42
Unidad 3: Encriptación
46
Unidad 4: IPSEC
52
Unidad 5: Redes Privadas Virtuales (VPN)
60
Unidad 6: Spoofing
64
Modulo 3: Seguridad en servidores Windows Unidad 1: Auditorias
83
Unidad 2: Kerberos
98
Unidad 3: Ataques a sistemas Windows
104
Modulo 4: Ataques Internet Unidad 1: Anonimato
112
Unidad 2: Cross-Site Scripting
121
Modulo 5: Mecanismos de Defensa Unidad 1: Firewalls
123
Unidad 2: Sistemas de detección de Intrusiones
127
1
Informática 64 - Seguridad en Servidores e Internet – Informática 64
Módulo 0: Introducción a la Seguridad Informática
0.- Objetivo El objetivo del presente módulo es presentar la problemática de la seguridad y las características principales que se deben tomar como referencia en la aplicación de sistemas de seguridad.
1.- Introducción La seguridad en las empresas es cada día más importante. El número de ataques y técnicas hacker utilizadas es más amplio y diverso por lo que es muy sencillo caer en una situación de riesgo. En febrero de 2004 WebCohort ha presentado los resultados de un estudio realizado durante los últimos cuatro años [http://www.webcohort.com/] en el que se ha estudiado un estudio de la seguridad en aplicaciones Web. El estudio revela que sólo el 10% de las aplicaciones web están preparadas contra las técnicas Hackers más utilizadas. Tanto aplicaciones B2B (Business to Business), B2C (Business To Customers),
herramientas
de
Administración
o
comercio
electrónico
son
comunmente vulnerables a técnicas XSS, Spoofing, Desbordamientos de buffer o inyecciones de código. En diciembre de 2003 aprovechando una vulnerabilidad en Internet Explorer se ha producido un intento de estafa masiva a los usuarios de los servicios de banca electrónica del Banco Popular en España. Los estudios realizados han concluido que al menos un 92% de las aplicaciones web eran vulnerables a algún tipo de ataque. Evitar que un atacante consiga su objetivo es una tarea costosa que debe ser implantada desde un punto de vista global. La seguridad de la información que maneja una empresa no solo debe ser controlada en su lugar de almacenamiento, también los accesos, las estaciones de trabajo del personal con acceso, los servicios implantados en la empresa y el transito de la misma son puntos a ser controlados y por tanto a fortificar.
2
Informática 64 - Seguridad en Servidores e Internet – Informática 64
2.- Impacto de los ataques informáticos Principalmente provoca un gran impacto económico. Según estudios en 1998 solo en EE.UU. 20.000 millones de pesetas en pérdidas económicas causadas por delitos informáticos. Estudios más recientes hablan de cantidades desorbitadas. En el año 2000, 273 organizaciones reportaron pérdidas por valor $265,589,940 dólares según un estudio realizado por el CSI / FBI Computer Crime and Security Survey 2000. El número de ataques y las pérdidas económicas que estos producen aumentan cada año. Existe una necesidad real de protegerse ante estos ataques. Es necesario estudiar la seguridad de los sistemas y adecuarla a las necesidades actuales. Para ello es conveniente empezar definiendo lo que entendemos por seguridad de un sistema informático. Podemos entender como seguridad la característica del sistema que nos indica que éste está libre de riesgos para sus componentes. Esta seguridad se puede conseguir garantizando tres cosas: confidencialidad, integridad y disponibilidad. La confidencialidad se consigue asegurando que los objetos de un sistema solo pueden ser accedidos por elementos autorizados a ello; la integridad significa que los objetos de un sistema solo pueden ser modificados por elementos autorizados y la disponibilidad indica que los elementos del sistema tienen que permanecer accesibles a los elementos autorizados. Por ejemplo un ataque de denegación de servicio a un servidor Web público hace que la información deje de estar disponible a los usuarios. Este tipo de ataques va contra la disponibilidad del sistema. Si en otro caso un atacante escucha el tráfico entre un servidor Web y un cliente esta atacando la confidencialidad del sistema. Por ultimo un ejemplo de ataque a la integridad de un sistema seria lo que se llama un “defacement” (modificación del aspecto de la página web, generalmente con firmas de los atacantes o mensajes del tipo “Hackec”) de un servidor Web, en el cual un atacante modifica los contenidos del servidor sin autorización.
3
Informática 64 - Seguridad en Servidores e Internet – Informática 64
3.- Objetivos a proteger Otra pregunta importante que hay que hacer sobre un sistema es ¿Qué se quiere proteger? En un sistema informático se pueden distinguir 3 elementos principales: El hardware, el software y los datos.
Hardware y software tienen sus riesgos asociados pero el elemento mas amenazado son los datos. En los sistemas informáticos actuales los datos circulan continuamente de un sitio a otro. Por ello el mayor riesgo que amenaza los datos proviene de su transito por los distintos canales de comunicación que se usan y este es uno de los aspectos en los que mas esfuerzo hay que invertir en asegurar.
4.- Atacantes A la hora de intentar mejorar la seguridad de un sistema, se tiene que preguntar ¿De qué se quiere proteger el sistema? Generalmente cuando se habla de atacantes se piensa en personas, pero esto no siempre es así y es mas conveniente clasificar los atacantes en tres grupos: Personas, amenazas lógicas y amenazas físicas.
Personas Es el grupo más numeroso de los posibles atacantes. Podemos mencionar bastantes grupos que implican riesgo para un sistema: - Personal interno: Los mayoría de los incidentes de seguridad provienen del interior del sistema. Es frecuente descuidar la seguridad confiando en todas las personas autorizadas en el sistema. Es necesario no descuidar este aspecto. Según el estudio realizado por el CSI / FBI Computer Crime and Security Survey 2000, el 70 % de los ataques fue realizado desde dentro de las organizaciones. - Ex-empleados: Suelen ser personas que han tenido acceso previo al sistema y que conocen su organización y seguridad. Muy peligrosos.
4
Informática 64 - Seguridad en Servidores e Internet – Informática 64
- Curiosos: Personas ajenas al sistema pero con curiosidad por estudiar la seguridad del mismo. No suelen tener malas intenciones. - Mercenarios: Personas que intentan romper la seguridad de un sistema, habitualmente para robar datos, pagado por un tercero, casi siempre competidor del sistema atacado. Los más peligrosos, no se detienen ante las medidas de seguridad mas frecuentes. Según el tipo de ataque que realicen se les conoce con distintos nombres, así tenemos: Hacker: Su misión es saltarse la seguridad de un sistema para poder acceder a partes prohibidas o conseguir información privilegiada. Generalmente no utilizan tácticas dañinas y suelen ser sutiles. Cracker: Su objetivo es romper el sistema de seguridad. Están especializados en sistemas de protección de software, aunque sus técnicas se utilizan también para romper sistemas de protección de acceso a aplicaciones. En España hay un grupo cracker (clan) especializado en estas técnicas conocido como Whisky Kon Tekila. Crasher: Los ataques realizados por crashers
suelen ir destinados a que los
sistemas dejen de funcionar. Suelen utilizar técnicas de denegación de servicio (D.O.S). Pheaker: Este tipo de atacante busca, principalmente, el disfrute propio de servicios. Se dedican a intentar piratear televisiones de pago, conseguir llamar gratis por teléfono o estafar a las grandes compañías de suministros. En España tiene mucha aceptación este tipo de hacker.
5
