Professional Documents
Culture Documents
Agenda
Tcnicas de envenenamiento en redes de datos.
Spoofing ARP DNS Hijacking Phising Mail Spoofing
Contramedidas Hacking.
Tcnicas de Spam
El Modelo OSI
7. Aplicacin 6. Presentacin 5. Sesin 4. Transporte 3. Red 2. Conexin 1.Fisico
En Realidad
Cuatro capas son suficientemente representativas
8-5. usuario 3. Transporte 2. Red
HTTP, FTP, TFTP, telnet, ping, SMTP, POP3, IMAP4, RPC, SMB, NTP, DNS,
4. Aplicacin
1. interface
ARP, RARP
Tcnicas de Spoofing
Las tcnicas spoofing tienen como objetivo suplantar validadores estticos Un validador esttico es un medio de autenticacin que permanece invariable antes, durante y despus de la concesin.
Niveles Afectados
ENLACE Direccin MAC RED Direccin IP SERVICIO Nombres de dominio Direcciones de correo electrnico Nombres de recursos compartidos
Spoofing IP
Rip Spoofing. Hijacking.
Tcnicas de Sniffing
Capturan trfico de red. Necesitan que la seal fsica llegue al NIC. En redes de difusin mediante concentradores todas las seales llegan a todos los participantes de la comunicacin. En redes conmutadas la comunicacin se difunde en funcin de direcciones.
Switches utilizan direccin MAC.
Tcnicas Combinadas
Saltar protecciones MAC. Suplantar entidades en clientes DHCP. Suplantar routers de comunicacin.
Direccin Fsica
Tiene como objetivo definir un identificador nico para cada dispositivo de red. Cuando una mquina quiere comunicarse con otra necesita conocer su direccin fsica. Protocolo ARP No se utilizan servidores que almacenen registros del tipo: Direccin MAC <-> Direccin IP. Cada equipo cuenta con una cach local donde almacena la informacin que conoce.
PC 3
PC 1
filtra
filtra
PC 4
Da tos PC 4
PC 3
PC 1
MAC 2
Da tos PC 4
MAC H
MAC 3
PC 4
MAC 1
MAC 4
Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4
La tcnica consiste en interponerse entre dos sistemas. Para lograr el objetivo se utiliza el protocolo ARP. El envenenamiento puede realizarse entre cualquier dispositivo de red.
PC 2 IP 2 MAC 2
PC H IP H MAC H
1.1.1 .1
1. 99 1. :8 1.2 8: e 77 st :6 a e 6: n 55 :4 4
1.1.1 .2
Demo
Envenamiento entre hosts.
Robo de contraseas. DNS Hijacking. Phising (WebSpoofing). HTTPS Spoofing.
Medidas preventivas.
Control fsico de la red. Bloqueo de puntos de acceso. Segmentacin de red. Gestin de actualizaciones de seguridad. Proteccin contra Exploits. Proteccin contra troyanos.
Medidas preventivas.
Cifrado de comunicaciones. IPSec. Cifrado a nivel de Aplicacin: S/MIME. SSL. Certificado de comunicaciones.
Medidas preventivas.
Utilizacin de detectores de Sniffers. Utilizan test de funcionamiento anmalo. Test ICMP. Test DNS. Test ARP.
Cifrado de Comunicaciones
IPv4 no ofrece cifrado de comunicaciones a nivel de red y transporte. Solo se puede garantizar la no interceptacin de la informacin en lneas privadas. Los entornos son abiertos. Movilidad. La privacidad de la informacin es una necesidad
Cifrado de Comunicaciones
Mltiples tcnicas de ataque contra las comunicaciones.
Sniffers de alta calidad que ordenan la informacin y la decodifican. Tcnicas Man In The Middle:
Spoofing ARP. Envenenamiento de sesiones. Port Stealing. Hijacking. Achilles. RipSpoofing. DNS Spoofing.
Cifrado de Comunicaciones
Cifrado de Comunicaciones
Cifrar comunicaciones tiene carencias:
Las tcnicas de spoofing no se eliminan, es necesario autenticar a los participantes.
Cain -> HTTP-s. WebSpoofing.
Cifrado de Comunicaciones
La eleccin de la proteccin debe cumplir:
No anular otras defensas. Permitir autenticacin integrada. No suponer un coste excesivo en:
Rendimiento. Adquisicin. Implantacin. Mantenimiento.
Cifrado de Comunicaciones
Soluciones:
Red : IPv6 -> IPSec. Transporte:
TLS SSL
Aplicacin:
HTTP-s FTP-s S/MIME SSH.
IPSec - Definicin
IPSec es un protocolo que sirve para proteger las comunicaciones entre equipos. Ofrece las siguientes caractersticas:
Autenticacin Integridad Confidencialidad (cifrado)
IPSec - Objetivos
Proteger el contenido de las cabeceras IP contra ataques activos y pasivos mediante :
Autenticacin de la cabecera. Cifrado del contendio.
IPSec - Funcionamiento
Dos grupos de protocolos distintos
Protocolos de gestin de claves:
IKE ( Internet Key Exchange) y sus asociados ISAKMP y OAKLEY KEY)
IKE - Funcionamiento
IKE tiene dos modos de funcionamiento. Modo Principal y Modo Rpido.
Centraliza la gestin de asociaciones (SA) para reducir el tiempo. Genera y gestiona las claves usadas para securizar la informacin.
Cabecera de Autenticacin
Authentication Header (AH) ofrece:
Autenticacion. Integridad.
Funcionalidades
Kerberos, certificados o los secretos compartidos pueden ser utilizados para autenticar el trfico. La integridad se calcula con algoritmos SHA1 o MD5 que calculan el Integrity Check Value (ICV)
Cabecera ESP
Encapsulating Security Payload (ESP) ESP ofrece:
Confidencialidad.
ESP puede ser utilizada sola o combinada con AH. Multiples algoritmos de cifrado
DES claves de cifrado de 56-bit 3DES claves de cifrado de 168-bit
Cabecera ESP
Carga de seguridad de encapsulacin
Autenticacin del origen Cifrado de los datos Contra la retransmisin Proteccin contra la suplantacin
Nuevo Nuevo encab. IP encab. IP
Cifrado
ESP Encab. IP Encab. Datos de Fin. Aut. ESP Encab. IP Encab. Datos de Fin. Aut. Hdr Hdr original TCP/UDP aplicaciones ESP ESP original TCP/UDP aplicaciones ESP ESP
Firmado
IPSec - Firewalls
IPSec se enruta como trfico IPv4. En firewalls debe ser activado el reenvio IP para:
IP Protocol ID 50 (ESP) IP Protocol ID 51 (AH) UDP Port 500 (IKE)
SA Establishment
App or Service client
IPSec PolicyAgent
IKE (ISAKMP)
IKE (ISAKMP)
IPSec Driver
filters
TCPIP
NIC
TCPIP
NIC
IPSec Driver
filters
IKE Initiator
IP protocol 50/51
IKE Responder
Modos IPSEC
Modo de transporte Proporciona cifrado y autenticacin de extremo a extremo
Cifrado
Modo de tnel Proporciona cifrado y autenticacin slo entre los puntos finales del tnel
Cifrado
Prdida de la capacidad de filtrado de paquetes. Recursos destinados a la solucin de problemas. Concienciacin tcnica de su necesidad y su uso.
IPSec - Polticas
Podrn utilizarse polticas por defecto o las creadas manualmente. El sistema proporciona 3 polticas por defecto que van a determinar diferentes comportamientos de la mquina con respecto a IPSEC.
Cliente. Servidor. Servidor seguro.
IPSEC - Reglas
Las reglas IPSEC determinan el comportamiento del sistema en la transmisin de la informacin. Las reglas estn compuestas por los siguientes objetos:
Filtros. Accin de filtros. Mtodo de autentificacin.
IPSec - Filtros
En la configuracin de los filtros hay que especificar los siguientes parmetros:
Determinar la posibilidad o no de establecer un tnel de comunicacin. Qu redes o equipos se van a ver afectados. El mtodo de autentificacin para la transmisin. Mtodos de seguridad. Las acciones de filtrado.
IPSec - Autenticacin
Kerberos
Requiere tiempo de sincronizacin. Solo dentro del bosque.
Certificados
Requiere la implementacin de PKI. CRL est deshabilitado por defecto.
Secretos Compartidos.
Tan seguro como sea el secreto. En entornos grandes es dificil de mantener.
IPSec Excepciones.
IPSec en Windows 2000 no securiza por defecto el siguiente trfico :
Broadcast Multicast RSVP IKE Kerberos
Windows 2003 por defecto securiza todo el trfico excepto IKE. Es posible configuarlo como en Windows 2000
IPSec Default Exemptions Are Removed in Windows Server 2003 http://support.microsoft.com/default.aspx?scid=kb;EN -US;810207
IPSEC - Monitorizacin
IPSecmon IP Security Monitor MMC Snap-In
IPSec - Despliegue
GPO Despliegue centralizado desde el Directorio Activo. Configuracin posible mediante plantillas.
GPO
Sit e
Doma in
OU
Polticas de Grupo
Descanso
Endurecimiento
El aumento de ataques en las redes han hecho necesarias implementar medidas para fortificar los servicios de las empresas. Entre las medidas caben destacar las actualizaciones de los sistemas y la fortificacin de los servidores desde la configuracin de la seguridad interna mediante plantillas.
Plantillas de seguridad
Proporcionan los mecanismos para incrementar la seguridad sobre los equipos. Son ficheros que proporcionan la capacidad para simplificar la implantacin de seguridad en equipos. Incrementan o modifican las directivas que se estn aplicando.
Aplicacin de Plantillas
Las plantillas pueden aplicarse por importacin en polticas locales o mediante el uso en GPO. Mediante la herramienta de configuracin de seguridad. Mediante lnea de comando con la ejecucin del comando Secedit.
Plantillas Predefinidas.
Plantilla por defecto (Setup security). Plantilla de controladores de dominio (DC security). Compatible (Compatws). Seguridad (Securedc Securews). Altamente seguro (Hisecdc Hisecws). Seguridad permisos raz de las unidades (Rootsec).
Anlisis.
El anlisis se basa en operaciones de una base de datos sobre la que se irn importando las plantillas necesarias. Posteriormente se ejecute el anlisis que determina la diferencias entre la base de datos y las directivas efectivas en la mquina.
Configuracin
Apertura de base de datos. Puede ser nueva o una ya existente. Importacin de plantillas hasta conseguir la configuracin deseada. Seleccionar configurar equipo ahora. Seleccionar la ruta del registro de errores.
Anlisis y configuracin.
Secedit
Comando que permite realizar operaciones sobre la configuracin de seguridad. Permite realizar operaciones mediante scripts. En windows 2003 pierde la funcionalidad de /refreshpolicy, reemplazada por la orden gpupdate
Funcionalidades Secedit
Analizar.
secedit /analyze /db FileName.sdb [/cfg FileName] [/overwrite] [/log FileName] [/quiet]
Configurar.
secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas Area1 Area2 ...] [/log FileName] [/quiet]
Exportar.
secedit /export [/DB FileName] [/mergedpolicy] [/CFG FileName] [/areas Area1 Area2 ...] [/log FileName] [/quiet]
Importar.
secedit /import /db FileName.sdb /cfg FileName.inf [/overwrite] [/areas Area1 Area2 ...] [/log FileName] [/quiet]
Resultante de polticas.
Sistema complementario de los anteriores que evala no solo plantillas de seguridad sino GPO. Presenta dos herramientas:
RSoP. Herramienta grfica. GPRESULT. Lnea de Comando.
Seguridad
Proporciona seguridad y autentificacin a travs de Internet Information Server. Proporciona encriptacin SSL. Permite restricciones e inspecciones de informacin a nivel de RPC proxy.
Arquitectura
En el procedimiento de una comunicacin RPC/HTTPS intervienen los siguientes componentes:
Cliente RPC/HTTPS. Proxy/Firewall RPC (enrutador). Servidor RPC.
Implementaciones.
Microsoft proporciona 2 versiones de implementacin de RPC/HTTP.
Versin 1.
No permite el establecimiento de una sesin SSL sobre el RCP Proxy. No permite autentificacin sobre RPC/Proxy. No opera en granja de servidores.
Versin 2.
Permite SSL. Soporta autentificacin sobre RPC/Proxy. Opera en granja de servidores.
Sistemas operativos.
Plataforma
Windows Server 2003
Soporte
Cliente, servidor y Proxy RPC
Implementacin
Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2. RPC Proxy soporta RPC sobre HTTP v2 cuando se est ejecutando IIS en modo 6.0 . RPC Proxy soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 cuando IIS se ejecuta en modo IIS 5.0. Soporta RPC sobre HTTP v1 y RPC sobre HTTP v2 en modo cliente y servidor. No soporta PROXY RPC. Soporta RPC sobre HTTP v1 solamente en modo cliente y servidor. Soporta programas servidor RPC sobre HTTP y Proxy RPC sobre diferentes equipos. Solamente presenta soporte solo sobre HTTP v1. Programas servidor RPC sobre HTTP y Proxy RPC deben ser ejecutadas en la misma mquina. Presenta soporte solo sobre HTTP v1. No soporta servidor HTTP sobre RPC. Windows 95 deben tener instalados los componentes DCOM 95 v1.2 o posteriores
Cliente y Servidor Cliente y servidor Cliente, Servidor y Proxy RPC Cliente, Servidor y Proxy RPC Cliente
Windows 2000
Windows 95/98
Ventajas.
Soporta una plataforma para transmitir informacin segura a travs de Internet. Permite el enrutamiento de la informacin a travs de una red de forma segura. Proporciona una plataforma de integracin de antivirus y antispam para la inspeccin de trfico. Evita el uso de licencias e implantaciones VPN.
Inspeccin de trfico.
Con la arquitectura de RPC sobre HTTP antivirus y antispam pueden implementarse en los siguientes niveles:
Cliente. Por ejemplo Outlook 2003. Proxy RPC. Por ejemplo IIS 6.0/ISA Server 2004. Servidor RPC. Por ejemplo Exchange 2003.
Exchange
Exchange soporta el servicio RPC sobre HTTPS. Puede integrarse en la arquitectura Front End / Back End. El servidor Front End podra funcionar como:
Servidor RPC Proxy. Servidor RPC recibiendo y enviando peticiones a un servidor Proxy.
AGENDA
1.- Presentacin 2.- Herramientas de Filtrado de Contenido 3.- Filtros AntiSpam en MS Exchange Server 2003 4.- Intelligent Message Filter en Exchange 2003 - Demo 5.- Advance Spam Manager SpamCure Demo
Quienes Somos?
1.- Fabricante de Seguridad orientado a Mensajera: a.- Correo Electrnico (Exchange) b.- Portales para publicacin de documentos (Sharepoint Portal Server) c.- Servidores de Mensajera Instantnea (Live Communication Server) 2.- Que ofrece: a.- Hasta 8 motores de AV Simultneos b.- Control del contenido enviado en el correo (palabras, adjuntos, tamao,) c.- Soluciones Antispam (borrado, etiquetado,.) d.- Auditoria sobre la utilizacin del email (Productividad, almacenamiento, ancho de banda) 3.- En US desde el ao 1994 y en Espaa desde el ao 2000 con mas de 600 clientes
Referencias
Por qu Antispam?
1.- Circulan al da 2.3 billones de mensajes SPAM 2.- Un buzn de correo normal recibe al da 75 correos de los cuales el 52% es SPAM 3.- Se ha cuantificado que el coste por ao por empleado del SPAM es de 300 4.- Los costes directos del SPAM son: a.- Transmitir esos mensajes Reduce el ancho de banda b.- Almacenar esos mensajes Aumenta el coste de almacenamiento c.- Borrar o leer esos mensajes Reduce la productividad del empleado 5.- ROI Proteccin Antispam por dos aos para 50 empleados = 1.200 300 x 50 empleados = 15.000 de coste de Spam anual x2 = 30.000 _____________________________________________________________________ Proteccin Antispam por dos aos para 1.000 empleados = 20.250 300 x 1.000 empleados = 300.000 de coste de Spam anual x2 = 600.000
Filtrado de Contenido
Evita que cierto tipo de palabras y tpicos sean enviados hacia o desde los usuarios Sin embargo, es ineficiente para controlar el SPAM
Requiere una atencin continua del Administrador (horas por da) Algunos simples trucos lo hacen vulnerable Ejemplos: $ave, V*i*a*gr*a, Ch Existen 105 variantes solo para la letra A! Genera muchos falsos positivos Imposible de utilizar en ciertas industrias
Filtrado de Contenido
V I @ G R A , V--1.@--G.R.a, \./iagra, Viiagra, V?agr?, V--i--a--g--r-a, V!agra, V1agra, VI.A.G.R.A, vi@gra, vIagr.a, via-gra, Via.gra, Vriagra, Viag*ra, vi-agra, Vi-ag.ra, v-iagra, Viagr-a, V^I^A^G^G^A, V'i'a'g'r'a', V*I*A,G,R.A, VI.A.G.R.A..., Viag\ra!, Vj@GRA, V-i:ag:ra, V'i'a'g'r'a, V/i;a:g:r:a, V i a g r @, V+i\a\g\r\a, Viag[ra, V?agra, V;I;A*G-R-A, V-i-a-g-r-a, V*I*A*G*R*A , V-i-@-g-r-a, VI@AGRA, Vi@gr@, \/^i^ag-ra, VlAGRA, V\i\a.g.r.a, V1@GRA, v_r_i_a_g_r_a, V\i\a:g:r:a, V^i^a^g^r^a, V-i-@-g-r-@, Viag(ra.
Generalmente es manejado por voluntarios, por lo cual no existe una auditora, y a menudo bloquean mas de la cuenta
Algunos ISPs son agregados, an cuando envan correos legtimos Borrarse de estas listas puede llevar desde das a meses
Anlisis Heurstico
Utiliza una tcnica que busca miles de caractersticas y/o palabras para identificar SPAM y asignar una calificacin
El nivel de SPAM debe ser ajustado peridicamente
Filtros Bayesianos
Sistema de aprendizaje basado en anlisis estadsticos de vocabulario
Listas de palabras buenas y malas
Necesita intervencin del usuario para que sea efectiva Puede ser muy efectiva para usuarios individuales Es atacado deliberadamente por los spammers
Incluyendo palabras buenas Generalmente con palabras escondidas dentro de cdigo HTML
Filtros Bayesianos
Ejemplo de palabras aleatorias para evitar filtros Bayesianos
Checksums
Crea un fingerprint de ejemplos de spam conocido La Base de Datos se actualiza peridicamente Es reactivo
Por definicin, el fingerprint es creado tras identificar el correo como spam
Es posible evitarlo con una tcnica llamada hash busting agregando diferentes caracteres dentro del mensaje
Curiosidades
Los Spammers estn continuamente creando trucos y tcnicas para evitar las diferentes tecnologas de deteccin Algunos Ejemplos..
Problemtica
Plataforma Relay de correo: El ataque se produce cuando un usuario malicioso vulnera la seguridad de la plataforma para enviar correo masivo a travs de nuestro servidor. Receptor de Correo Spam: Se reciben correos que cargan el rendimiento, reducen la productividad de los empleados y generan gastos directos (sistemas de backup, conexiones GPRS, ancho de banda, soporte...)
Configuramos un filtro para que se consulte la zona anterior cada vez que se recibe una conexin de servidor
Filtro de Conexin
Se deniega la Se recibe una conexin conexin desde un servidor de correo Servidor El servidor FrontEnd El servidor DNS FrontEnd consulta contesta si existe la zona DNS de o no ese registro. bloqueo. Se envian los mensajes al servidor de BackEnd
Servidor DNS
Servidor BackEnd
Dos Motores
Microsoft IMF
Utiliza la tecnologa SmartScreen Conjunto detallado de reglas que son comparadas con el correo entrante
Sybari/Antigen ASM
Integra el motor de deteccin de spam SpamCure Utiliza una combinacin de Bullet Signatures y el motor STAR
Tecnologa SmartScreen
IMF distingue entre los mensajes de correo legtimos y el correo comercial no solicitado u otro tipo de correo electrnico no deseado Hace un seguimiento de ms de 500.000 caractersticas de correo electrnico basadas en datos de cientos de miles de suscriptores del servicio MSN Hotmail que participaron voluntariamente en la clasificacin de millones de mensajes de correo electrnico Ayuda a filtrar el correo no deseado antes de que llegue a la bandeja de entrada del usuario
Tecnologa SmartScreen
Base de datos utilizada para almacenar las caractersticas de los correos catalogados como Spam se actualiza con nueva informacin de patrones del origen de la muestra, lo que hace que el filtro sea ms eficaz y actual Permite llevar a cabo una evaluacin ms precisa de la legitimidad de un mensaje de correo electrnico entrante
Bullet Signatures
BD Bullet signatures es creada y revisada por un grupo de expertos Los Bullet signatures son una combinacin de atributos nicos de un spammer en particular
Un conjunto de datos extrados de la cabecera, del campo asunto y del cuerpo del mensaje Funciona tanto para spam actual como futuro Creados para conseguir caractersticas nicas del mensaje que no puedan estar presentes en correos legtimos No puede ser falseado por tcnicas como el Hash Busting
STAR Engine
El motor STAR busca trucos y tcnicas especficas de los spammers
Spammer Tricks Analysis and Response
Utiliza los Bullet Signatures para buscar mtodos especficos de spamming Se actualiza automticamente cuando se lanza una nueva versin del motor Desde el comienzo est diseado para soportar cualquier idioma, incluso los de doble byte.
Combinando Tecnologas
El motor IMF analiza los correos en primer lugar Se aplica una clasificacin SCL a cada correo Despus pasa por ASM, que tambin analiza el mensaje ASM nunca reducir la clasificacin de IMF
Resumen
Dos sistemas de deteccin de spam para lograr una mayor efectividad Mnima intervencin humana Fcil de instalar y configurar Integracin entre cliente y servidor Ratio de deteccin del 99%, mucho mayor que la que pueda ofrecer cualquier tecnologa por s misma
Referencias
LSSI : MS ISA Server 2004:
http://www.lssi.es http://www.microsoft.com/spain/servidores/isaserver http://www.microsoft.com/spain/exchange http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/s mtpfilter.mspx http://www.microsoft.com/spain/technet http://www.sybari.com http://www.informatica64.com
Informtica 64
Preguntas ?
Contactos
Jacobo Crespo - Sybari Software
jacob_crespo@sybari.com
Prximas Acciones