UF2-NF1. Seguretat en la xarxa corporativa

De Wiki IES Marianao. Departament Informàtica
La revisió el 18:00, 26 oct 2011 per Alex (Discussió | contribucions) (Intents de penetració)

Dreceres ràpides: navegació, cerca

tornar M11 - UF2 Seguretat activa i accés remot


Monitoratge del tràfic en xarxes

Les eines de monitoratge de xarxes poden ser variades:

  • Sniffers
    • Capturen el tràfec, permeten fer servir filtres condicionals, seguiment de connexions i altres.
  • Generadors de Mapes
    • Útils per descobrir intrusos, detectar màquines apagades per exemple.
    • També per obtenir informació del dispositius de xarxa o documentar-la.
  • Monitors d'ús de la xarxa


Sniffers

tcpdump i WireShark (Ethereal) Sniffer, el clàssic

kismet, Sniffer Wi-Fi

Drifnet, divertida eina que captura les imatges que circulen per la xarxa

Mapes de xarxa

nmap , scanner de xarxa i consulta informació dels dispositius, ports oberts, Sistema Operatiu.

https://github.com/rflynn/lanmap2

http://cheops-ng.sourceforge.net

Look @ Lan (Windows), simple, amb eines que permeten descobrir (network discovery) i afegir nous dispositius al mapa de manera automàtica.

The Dude (Windows).

Nagios , monitor d'infraestructures no només de xarxa. Genera mapes de xarxa per als clients.

Monitors d'ús

http://www.ntop.org

http://etherape.sourceforge.net


http://www.4geeksfromnet.com/2009/04/graphical-bandwidth-monitor-for-ubuntu.html

vnstat + front end (http://www.sqweek.com/sqweek/index.php?p=1)

Seguretat en els protocols per a comunicacions sense fil

En comunicacions sense fil la necessitat de sistemes de seguretat que protegeixin la informació és un evident. Qualsevol persona dins el radi de cobertura de la senyal (inclús fora de les dependències de la empresa) hi té accés.


El primer mecanisme de seguretat implementat en xarxes sense fil (norma IEEE 802.11) va ser WEP (Wired Equivalent Privacy), tot i que s'ha demostrat molt feble. Posteriorment es va implementar un nou protocol de seguretat WPA (Wi-Fi Protected Access), molt més fiable.


Filtre MAC

Un sistema de seguretat bastant senzill disponible en xarxes sense fil consisteix en el filtratge per MAC, el punt d'accés disposa d'una llista d'adreces MAC que pot autoritzar.


WEP

WEP (Wired Equivalent Privacy). És un sistema de xifratge i autenticació a nivell d'enllaç.

Permet funcionar en dos modes d'autenticació:

  • Sistema Obert. Tothom té accés.
  • Clau compartida (Clau privada, simètrica). Només tenen accés les estacions que disposin de la clau xifrada.
    • 64 bits. 10 hexadecimals (5 ASCI). 40 bits + 24 CRC
    • 128 bits (WEP2). 26 hexadecimals (13 ASCII). 104 bits + 24 CRC


L'algorisme de xifratge és RC4 (clau pública, asimètrica). A més inclou tècniques de comprovació de integritat (CRC-32) per evitar modificacions.

El funcionament consisteix en missatge xifrat (challenge) que envia el AP, i que el client ha de desxifrar (amb la clau compartida), usant la mateixa clau envia la resposta xifrada també. Si tot és correcte el AP accepta al client.


Inconvenients:

  • Poc segur.
  • Tots els clients comparteixen la mateixa clau, això dificulta l'actualització periòdica de la clau.
  • A mesura que augmenta el nombre de clients, augmenta la possibilitat que la clau caiga a mans no desitjades.
  • Les estacions no s'identifiquen per tant els intrusos no es detecten

WPA

WPA (Wi-Fi Protected Access). Successor de WEP i enfocat a corregir les deficiències d'aquest.

Modes d'autenticació:

  • Mitjançant servidor d'autenticació
    • RADIUS per exemple
  • Clau compartida (PSK, Pre-Shared Ke). Semblant al sistema WEP. Mida entre 8 i 63 caràcters (Passphrase)

Addicionalment es poden afegir / combinar altres mesures de seguretat (TKIP - Temporal Key Integrity Protocol, EAP - Extensible Authentication Protocol, LEAP - Lightweight EAP)

L'algorisme de xifratge és també RC4 (clau pública, asimètrica), també inclou tècniques de comprovació de integritat millorades (MIC).

Existeix una nova versió WPA2 que utilitza un algorisme de xifrat millor, AES. 


Configura una connexió sense fil a Linux i comprova els diferents sistemes de seguretat

Riscos potencials de els serveis de xarxa

Intents de penetració

Exemples: Nessus, satan, saint ???


IDS (IPS) en xarxa (Monitoratge i detecció)

Snort Basics Sniffer + IDS 

Exercici. Test IDS xarxa

Instal·lar Snort.

Instal·lar BASE (Basic Analysis and Security Engine). Interface Web.


Atacs

Xarxes sense fil

Atacs:

  • Passius, captura de paquets
  • Actius, injecció de paquets o modificació de paquets existents

Eines

  • aircrack
  • airsnort

Baix Nivell

Atacs realitzats a nivell baix de xarxa (capa d'enllaç)


Per exemple

  • ARP-spoofing (Fals o envenenament ARP). Interceptar trames Ethernet de diferents dominis de col·lisió (Switch). Pot ser passiu (lectura), actiu (escriptura) o DoS (flood)
  • Contra protocols específics de dispositius de xarxa (STP, VTP VLAN's, ISL...)

Eines

La sol·lució més habitual és activar seguretat en els dispositius de xarxa (filtre mac per port del switch)


Serveis de xarxa

A alt nivell, per exemple captura de passwords de serveis de xarxa

THC Hydra

O també els diferents atacs contra webs


Distribucions Específiques. Simulació d'atacs

Es pot fer servir qualsevol de les eines que podria fer servir un atacant, també existeixen eines específiques


http://www.backtrack-linux.org

http://wiki.backbox.org/Tools


Auditoria (Test seguretat)

Eines d'auditoria de seguretat (test de penetració)

http://monkey.org/~dugsong/dsniff

http://www.monkey.org/~dugsong/fragroute

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF2-NF1._Seguretat_en_la_xarxa_corporativa&oldid=861»