Fortificacin de redes locales

1
Fortificación de redes locales
2
Agenda

• 0945 - 1115 Ataques de infraestructura en redes
  de Datos
• Técnicas de Spoofing
• Contramedidas
• 1115 - 1145 Café
• 1145 - 1300 Fortificación de Servidores
• Principios
• Metodología
• Herramientas
• 1305 - 1330 Gestion de políticas de Seguridad
• Aplicación de GPO
• Procesamiento GPO
• Planificación
• GPMC

3
Seguridad

• La seguridad depende de 3 factores
• Tecnología
• Estándares
• Productos de los fabricantes
• Desarrollos personales
• Procesos
• Procedimientos y operaciones en nuestros entornos
• Personas
• Formación vertical del personal de la empresa

4
Porque Atacan?

• Hacer Daño
• Alterar, dañar or borrar información
• Deneger servicio
• Dañar la imagen pública

• Motivos Personales
• Desquitarse
• Fundamentos políticos o terrorismo
• Gastar una broma
• Lucirse y presumir

• Motivos Financieros
• Robar información
• Chantaje
• Fraudes Financieros

5
Motivos

• La tecnología tiene fallos.
• Es muy fácil hacerlo.
• No hay conciencia clara del delito

• Porque es divertido

6
Impacto de los Ataques
Pérdida de Beneficios
Daños en la reputación
Deterioro de la confianza de los inversores
Datos comprometidos
Interrupción de los procesos de Negocio
Daños en la confianza de los clientes
Consecuencias legales (LOPD/LSSI)
7
Incidentes Reportados al CERT
Data Source CERT ( http//www.cert.org)
8
Vulnerabilidades por Años
Data Source CERT ( http//www.cert.org)
9
Sofisticación de los Ataques vs. Conocimientos
requeridos
10
Ataques a redes TCP/IP
11
El Modelo OSI
7. Aplicación
6. Presentación
5. Sesión
4. Transporte
3. Red
2. Conexión
1.Físico
12
En Realidad el TCP/IP
4. Aplicación

• Cuatro capas son suficientemente representativas

8-5. usuario
HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4,
RPC, SMB, NTP, DNS,
TCP, UDP, IPsec
IP, ICMP, IGMP
ARP, RARP
1. interface
13
RFC 1180 - TCP/IP tutorial
There are security considerations within the
TCP/IP protocol suite. To some people these
considerations are serious problems, to others
they are not it depends on the user
requirements. This tutorial does not discuss
these issues, but if you want to learn more you
should start with the topic of ARP-spoofing, then
use the "Security Considerations" section of RFC
1122 to lead you to more information.
14
Técnicas de Spoofing

• Las técnicas spoofing tienen como objetivo
  suplantar validadores estáticos

Un validador estático es un medio de
autenticación que permanece invariable antes,
durante y después de la concesión.
15
Técnicas de Sniffing

• Capturan tráfico de red.
• Necesitan que la señal física llegue a la tarjeta
  de red.
• En redes de difusión mediante concentradores
  todas las señales llegan a todos los
  participantes de la comunicación.
• En redes conmutadas la comunicación se difunde en
  función de direcciones.
• Switches utilizan dirección MAC.

16
Niveles Afectados
Nombres de dominio Direcciones de correo
electrónico Nombres de recursos compartidos
SERVICIO
RED
Dirección IP
ENLACE
Dirección MAC
17
Tipos de técnicas de Spoofing

• Spoofing ARP
• Envenenamiento de conexiones.
• Man in the Middle.
• Spoofing IP
• Rip Spoofing.
• Hijacking.
• Spoofing SMTP
• Spoofing DNS
• Phising.

18
Técnicas Combinadas
Sniffing Spoofing
Hijacking (secuestro) Y Envenenamiento
19
Nivel de Enlace Spoofing ARP

• Suplantar identidades físicas..
• Saltar protecciones MAC.
• Suplantar entidades en clientes DHCP.
• Suplantar identidades en switches de
  comunicaciones.
• Solo tiene sentido en comunicaciones locales.

20
Dirección Física

• Tiene como objetivo definir un identificador
  único para cada dispositivo de red.
• Cuando una máquina quiere comunicarse con otra
  necesita conocer su dirección física.
• Protocolo ARP
• No se utilizan servidores que almacenen registros
  del tipo
• Dirección MAC lt-gt Dirección IP.
• Cada equipo cuenta con una caché local donde
  almacena la información que conoce.

21
Sniffing en Redes de Difusión
PC HACKER
PC 2
PC 3
Sniffer
PC 1
PC 4
22
Sniffing en Redes Conmutadas
PC HACKER
PC 2
PC 3
Sniffer
PC 1
PC 4
MAC 2
MAC H
MAC 3
MAC 1
MAC 4
Puerto 1 MAC 1
Puerto 2 MAC 2
Puerto 6 MAC H
Puerto 11 MAC 3
Puerto 12 MAC 4
23
Envenenamiento de Conexiones Man in the Middle

• La técnica consiste en interponerse entre dos
  sistemas.
• Para lograr el objetivo se utiliza el protocolo
  ARP.
• El envenenamiento puede realizarse entre
  cualquier dispositivo de red.

24
Ataque ARP Man In The Middle
1.1.1.2 esta en998877665544
1.1.1.1 esta en 998877665544
1.1.1.1
Quien tiene 1.1.1.2?
1.1.1.2 esta en 00112233445566
1.1.1.2
25
Man in the Middle

• Sirve como plataforma para otros ataques.
• DNS Spoofing.
• Phising.
• Hijacking.
• Sniffing
• Se utiliza para el robo de contraseñas.

26
Demostración

• Envenamiento entre hosts.
• Robo de contraseñas.
• DNS Hijacking.
• Phising (WebSpoofing).
• HTTPS Spoofing.

27
Generación del Hash LM

• Se rellena hasta 14 caracteres con Nulos
• Se convierte a Mayúsculas.
• Se separa en 2 strings de 7 caracteres

Seattle1
SEATTLE
1


Key
Key
DES
DES
Constante
Constante
Hash LM
Concatena
28
Consideraciones del Hash LM

• En realidad no en un hash
• Tiene un Set de Caracteres Limitado
• Solo se utilizan caracteres alfanuméricos comunes
• No distingue Mayúsculas y Minúsculas
• 142 símbolos
• Se rellena hasta 14 caracteres
• 2 contraseñas de siete caracteres
• El Nº Máximo de contraseñas posibles es
  6.81012
• Unsalted (Sin aliñar)

29
Generación de un Hash NT

• Se calcula el Hash de la contraseña
• Se almacena.

MD4
unicode Pwd
Seattle1
30
Consideraciones del Hash NT

• Preserva las Mayúsculas y Minúsculas
• 65,535 símbolos (Todo el Set Unicode)
• Máxima longitud 127 caracteres
• Contraseña de Nº Caracteres 14 usando el set de
  Caracteres LM tendremos ahora hasta 4.61025
  Hashes diferentes
• Se admiten mayúsculas y minúsculas
• El hash es de la contraseña completa y no dos de
  7
• Si Nº Caracteres de la contraseña 14 (full
  char set) 2.71067
• Si se utilizan contraseñas de 127 caracteres
  4.910611
• Unsalted

31
Salting

• Previene el que se pueda derivar o deducir la
  contraseña del fichero de contraseñas.
• Su presentación y almacenamiento difiere
• Efecto lateral vence los ataques de hash
  pre-calculados

Alicerootb4ef213ba4303ce24a83fe0317608de02bf38d
Bobroota9c4fa3282abd0308323ef0349dc7232c349ac
Cecilroot209be1a483b303c23af34761de02be038fde08
Misma Contraseña
32
Ventajas del Salting

• Sin Salt, los atacantes pueden pre-computar los
  hashes de todas las palabras del dicionario una
  vez para todo el fichero de passwords.
• Same hash function on all UNIX machines
• Identical passwords hash to identical values one
  table of hash values can be used for all password
  files
• Con Salt, los atacantes deben de calculara los
  hashes de todas las palabras del diccionario una
  vez para cada entrada del fichero de passwords.
• With 12-bit random salt, same password can hash
  to 212 different hash values
• Attacker must try all dictionary words for each
  salt value in the password file

33
Vulnerabilidad Kerberos

• Casi todo el mundo conoce las debilidades de
  LM/NTLM.
• El Sniffing de Kerberos es menos conocido
• Muchos administradores todavía piensan que
  KERBEROS es inexpugnable.
• El ataque lo explico por primera vez Frank
  ODwyer en 2002
• El problema radica en un único paquete de
  pre-autenticación.
• En este paquete se envía el timestamp cifrado con
  una clave derivada de la contraseña del usuario.

34
Autenticación Kerberos
KDC
Cliente
KRB_AS_REQ
KRB_AS_REP
KRB_TGS_REQ
KRB_TGS_REP
...
35
Autenticación de credenciales(AS Exchange)

• El cliente inicia la comunicación solicitando la
  autenticación
• KRB_AS_REQ
• El KDC contesta afirmativamente o con un error
• KRB_AS_REP
• KRB_ERROR

36
Solicitud de autenticación (KRB_AS_REQ)

• Este mensaje tiene cuatro campos
• Versión del protocolo Kerberos usado V5
• Tipo del mensaje KRB_AS_REQ
• Datos de pre-autenticación PADATA
• Información de la solicitud Nombre del cliente,
  dominio,...

Protocol Version Number
Tipo del Mensaje KRB_AS_REQ
PA DATA
Cuerpo del Mensaje
37
Datos de Pre-Autenticación(PADATA)

• OPCIONAL
• Se utiliza para prevenir ataques offline
• El KDC puede verificar el PDDATA y responder sólo
  a clientes pre-autenticados
• Si no hay pre-autenticación, el KDC enviaría
  respuestas que un atacante podría intentar
  descifrar off-line

38
Datos de Pre-Autenticación(PADATA)

• Contiene
• Un sello de tiempo de la solicitud en ASCII con
  el siguiente formato YYYYMMDDHHMMSSZ
• Cifrado con una clave derivada de la contraseña
  del usuario

39
Generación PADATA (RC4-HMAC)
Contraseña
YYYYMMDDHHMMSSZ
HMAC
Clave (K)
RC4
PA DATA
40
Verificación PADATA (RC4-HMAC)
KDC
PA DATA
Clave (K)
RC4
YYYYMMDDHHMMSSZ
41
Ataque PADATA (RC4-HMAC)
Contraseña factible
PA DATA
Diccionario
HMAC
RC4
Clave (K)
???????????????????
Tiene formato de fecha?
YYYYMMDDHHMMSSZ
42
Contramedidas
43
Protección contra Envenenamiento de Conexiones

• Medidas preventivas.
• Control físico de la red.
• Bloqueo de puntos de acceso.
• Segmentación de red.
• Gestión de actualizaciones de seguridad.
• Protección contra Exploits.
• Protección contra troyanos.
• Fortificación Switches

44
Protección contra Envenenamiento de Conexiones

• Utilización de detectores de Sniffers.
• Utilizan test de funcionamiento anómalo.
• Test ARP
• Sistemas de detección de Intrusos
• Comprobación de pares IP lt-gt MAC
• Carga estática de tablas ARP

45
Medidas de protección contra crackeo de passwords

• Seleccionar una contraseña fuerte
• Usar IPSec para cifrado de Kerberos
• Utilizar Smart Card

46
Frase vs. Passwords
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?