![ Sniffing : consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la
que corresponden, principalmente para obtener passwords, y/o información confidencial.
Barrido de puertos: utilizado para la detección de servicios abiertos en máquina tanto TCP
como UDP (por ejemplo un telnet que no esté en el puerto 23, ..).
Bug de fragmentación de paquetes IP: con longitudes ilegales (más pequeñas o más grandes)
de fragmentos, con solape entre ellos o saturación con multitud de fragmentos pequeños (ej.
ping de la muerte)
Explotar bugs del software: aprovechan errores del software, ya que a la mayor parte del
software se le ha añadido la seguridad demasiado tarde, cuando ya no era posible rediseñarlo
todo y con ello puede adquirir privilegios en la ejecución, por ejemplo buffers overflow (BOF
o desbordamiento de pila[1]) Además, muchos programas corren con demasiados privilegios.
Desbordamiento de pila: sobre la entrada de datos en un programa privilegiado que no verifica
la longitud de los argumentos a una función, y se sobreescribe la pila de ejecución
modificando la dirección de retorno (para que salte donde nos interese).](https://image.slidesharecdn.com/seguridadinformatica-131122193419-phpapp02/85/SEGURIDAD-INFORMATICA-10-320.jpg)
SEGURIDAD INFORMATICA
- 2. • La Información es un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita “Protección Adecuada”. • Tipos de Información • • • • • • Impresos o escritos en papel. Almacenada electrónicamente. Transmite por correo o en forma electrónica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de información.
- 3. • La implementación de esquemas de Administración de la Seguridad Informática en la institución • Es una necesidad del negocio ante las circunstancias actuales.
- 4. Falta de conciencia de usuarios finales. Presupuesto. Falta de apoyo de la alta gerencia. Falta de Entrenamiento. Pobre definición de responsabilidades. Falta de herramientas. Aspectos legales.
- 5. • Criptografía y privacidad de las comunicaciones • Protección del perímetro (cortafuegos) y detección de intrusos • Protección del sistema centralizado
- 6. DE QUIEN NOS PROTEGEMOS
- 7. El proceso de diseñar un sistema de seguridad podría decirse que es el encaminado a cerrar las posibles vías de ataque, lo cual hace imprescindible un profundo conocimiento acerca de las debilidades que los atacantes aprovechan, y del modo en que lo hacen. Además, existe una gran variedad de ataques posibles a vulnerabilidades pero en la practica se utiliza una combinación de éstas. Los intrusos, antes de poder atacar una red, deben obtener la mayor información posible acerca de esta; intentan obtener la topología, el rango de IPs de la red, los S.O, los usuarios, etc. El administrador debe saber, que existen organismos que informan de forma actualizada, las técnicas de ataque utilizadas y novedades, ej CERT/CC (Computer Emergency Response Team Coordination Center) http://www.cert.org, http://escert.upc.es
- 9. SOLUCIONES DE SEGURIDAD • Conectividad: VPN • Perímetro: Cortafuegos • Identidad: Autentificación Control de acceso PKI
- 10. Sniffing : consiste en escuchar los datos que atraviesan la red, sin interferir con la conexión a la que corresponden, principalmente para obtener passwords, y/o información confidencial. Barrido de puertos: utilizado para la detección de servicios abiertos en máquina tanto TCP como UDP (por ejemplo un telnet que no esté en el puerto 23, ..). Bug de fragmentación de paquetes IP: con longitudes ilegales (más pequeñas o más grandes) de fragmentos, con solape entre ellos o saturación con multitud de fragmentos pequeños (ej. ping de la muerte) Explotar bugs del software: aprovechan errores del software, ya que a la mayor parte del software se le ha añadido la seguridad demasiado tarde, cuando ya no era posible rediseñarlo todo y con ello puede adquirir privilegios en la ejecución, por ejemplo buffers overflow (BOF o desbordamiento de pila[1]) Además, muchos programas corren con demasiados privilegios. Desbordamiento de pila: sobre la entrada de datos en un programa privilegiado que no verifica la longitud de los argumentos a una función, y se sobreescribe la pila de ejecución modificando la dirección de retorno (para que salte donde nos interese).
- 11. Caballo de Troya: el atacante por ejemplo sabotea algún paquete de instalación o saboteando una máquina, modifica las aplicaciones, p.ej “ls”, “ps”, .. Ataques dirigidos por datos: El atacante se limita a hacer llegar a la víctima una serie de datos que al ser interpretados (en ocasiones sirve la visualización previa típica de MS. Windows) ejecutarán el ataque propiamente dicho, como por ejemplo un virus a través del correo electrónico o código JavaScript maligno. Protección: firma digital e información al usuario (lecturas off-line, o en otro servidor o instalar antivirus en el servidor de correo) SYN Flooding, realizando un número excesivo de conexiones a un puerto determinado, bloqueando dicho puerto. Un caso particular de este método es la generación masiva de conexiones a servidores http o ftp, a veces con dirección origen inexistente para que no pueda realizar un RST. Protección: en el servidor aumentar el límite de conexiones simultáneas, acelerar el proceso de desconexión tras inicio de sesión medio-abierta, limitar desde un cortafuegos el número de conexiones medio abiertas mail bombing, envio masivo de correos para saturar al servidor SMTP y su memoria. Protección : similar a SYN Flooding pings (o envío de paquetes UDP al puerto 7 de echo) a direcciones broadcast con dirección origen la máquina atacada. Estas técnicas son conocidas como Smurf (si pings), Fraggle (si UDP echo). Protección : parchear el SSOO para que no realice pings broadcasts y que limite el procesado de paquetes ICMP en una red “stub” con conexión WAN al exterior lenta, agotar el ancho de banda del enlace, haciendo generar tráfico innecesario. Protección : fijar QoS en el enlace
- 12. Ingeniería social: son ataques que aprovechan la buena voluntad de los usuarios de los sistemas atacados. se envía un correo con el remite "root" a un usuario con el mensaje "por favor, cambie su password a “informatica". Acceso físico: a los recursos del sistema y pudiendo entrar en consola, adquirir información escrita, etc. Adivinación de passwords: la mala elección de passwords por parte de los usuarios permiten que sean fáciles de adivinar (o por fuerza bruta) o bien que el propio sistema operativo tenga passwords por defecto. Ejemplo: muchos administradores utilizan de password “administrador” Spoofing : intento del atacante por ganar el acceso a un sistema haciéndose pasar por otro, ejecutado en varios niveles, tanto a nivel MAC como a nivel IP ARP Spoofing : el atacante falsifica paquetes ARP indicando gratuitamente su MAC con la IP de la máquina suplantada. Los hosts y los switches que escuchan estos mensajes cambiarán su tabla ARP apuntando al atacante. IP Spoofing: el atacante debe de estar en la misma LAN que el suplantado, y modifica su IP en combinación con ARP spoofing, o simplemente “sniffea” todo el tráfico en modo promiscuo. DNS Spoofing: el atacante puede entregar o bien información modificada al host, o bien engañar al DNS local para que registre información en su cache. Protección ante Spoofing: introducir autenticación y cifrado de las conexiones para ARP e IP Spoofing. Aunque la intrusión se realice en capa 2 o 3 se puede detectar en capa 7. En el caso de ARP, configurar que el host o switch aprenda MAC’s sólo de paquetes ARP unicast. Para DNS Spoofing, utilizar certificados para comprobar fidedignamente la identidad del servidor.