Instituto para la Seguridad en Internet
Instituto Seguridad Internet

Página de inicio

Buscar :: Cursos :: Quiénes somos :: Contacto
 Servicios
   Cursos
   Auditoría
   Artículos
   Avisos
   Downloads
   Presentaciones
   Boletín
   Buscar

:: Hacking ético. Auditorias perimetrales (servidores UNIX) ::
Seguridad Internet en servidores Windows 2000
Motivación

Una reciente encuesta sobre el porque de los fracasos de las empresas .com, apuntaba a la seguridad como el factor más determinante. Inicialmente, y ante el temor a su seguridad, muchas empresas no mantenían servidores conectados o no utilizaban Internet para su desarrollo diario. Hoy en día nadie se plantea prescindir de Internet como medio de trabajo. Su seguridad es un problema que hay que afrontar de forma eficaz.

Una de la formas más eficaces para solucionar el problema en conocerlo con toda profundidad y formar a los Administradores en esta área de la tecnología un tanto oscura. El curso “Seguridad Internet en servidores UNIX” enfoca la seguridad de los servidores conectados a Internet desde el punto de vista del intruso. Cuando uno conoce como es atacado puede comprender mejor los métodos de defensa y las medidas preventivas a tomar.
Audiencia

El curso está dirigido a los administradores de sistemas UNIX (Solaris/Linux) que ofrezcan servicios en Internet. También es recomendable para aquellos usuarios avanzados de sistemas UNIX que deseen formarse en el ámbito de la seguridad.
Objetivo

Después de la realización del curso los asistentes habrán obtenido una amplia visión de las amenazas y riesgos a los que están sometidos los servidores Internet y además serán capaces de implantar las medidas oportunas para minimizar los riesgos y para realizar un correcto seguimiento de los posibles incidentes mediante la correcta configuración de los registros de auditoría de seguridad.
Características generales

Se entrega un manual de documentación en castellano y un CD-ROM con las numerosas herramientas utilizadas durante el curso. Cada asistente dispone de un ordenador con un servidor Linux y realizará sesiones con un servidor Solaris.

Los asistentes realizan ataques reales contra Internet con las mismas herramientas utilizadas por los intrusos (hackers). Cada aspecto se plantea inicialmente desde el lado del intruso, una vez comprendido, se mostrará su posible solución, y lo que es más importante, las medidas preventivas necesarias para evitarlo.

Requisitos: Conocimientos de administración de UNIX y TCP/IP.
Duración
La duración del curso es de 20 horas.
Autores e Instructores

Otro de los factores a destacar de este curso es la calidad técnica de sus autores. El curso ha sido diseñado y documentado por auténticos especialistas en seguridad Internet como son Juan Carlos Garcia Cuartango, Cristóbal Bielza y Pedro Pablo Pérez, quién además, lo imparte.
Contenido
  1. 1.- Introducción a la SEGURIDAD en INTERNET
  2. 2.- Seguridad en los protocolos TCP/IP
  3. 3.- Establecimiento del objetivo
  4. 4.- Información del objetivo
  5. 5.- Ataque a un servidor UNIX
  6. 6.- Control total de un servidor UNIX
  7. 7.- Configuración de UNIX como servidor bastión.

1. INTRODUCCIÓN A LA SEGURIDAD EN INTERNET

En este módulo se introduce el problema de la seguridad en Internet. El primer paso para asegurar cualquier cosa es conocer contra quién se debe proteger. En esta introducción, se desvelan los diferentes tipos de intrusos que pueden atacar los servidores de la organización. Finalmente, se ven conceptos básicos de criptografía necesarios para comprender algunas tecnologías de seguridad.

  • Seguridad en los servidores Internet
  • Conceptos de criptografía
    • Algoritmos simétricos: DES
    • Algoritmos de clave pública: RSA
    • Funciones de sentido único.

2. SEGURIDAD EN LOS PROTOCOLOS TCP/IP

Muchos problemas de seguridad que tiene Internet vienen heredados de los protocolos de comunicaciones que usa, los afamados TCP e IP. Estos protocolos fueron diseñados en los años 70 y no se pensó en los aspectos de seguridad. Debido a que es necesario usar los protocolos como fueron diseñados, hace que los aspectos de seguridad citados en este módulo tengan muy difícil solución.

  • Rastreadores de red (Sniffers), topología HUB: Tcpdump, Ethereal
  • Rastreadores de red, topología SWITCH: Hunt, ethercap
  • Denegación de servicio
    • Inundación SYN (SYN flooding)
    • Inundación ICMP
    • Inundación UDP
    • Ataques de magnificación: Smurf y Fraggle. (Nemesis)
    • Ataques protocolo TCP/IP
    • Denegación de servicio Distribuida (DDoS)
  • Secuestro y falsificación DNS ( Dnssniff , ADMKillDNS )
  • Protocolo SNMP ( snmpget , snmpwalk ).

PRÁCTICAS

1.- Rastreadores con topología de red HUB.
Capturar el tráfico de una red mediante la instalación de un rastreador (sniffer) genérico, Ethereal. Posteriormente se utilizarán rastreadores especializados en contraseñas y en espionaje de actividad (dsniff, webspy, urlsnarf). Finalmente, se comprobará la detección de los rastreados funcionando en la red mediante el uso de técnicas de anti-sniff (neped).

2.- Rastreadores con topología de red SWITCH.
Secuestro de sesiones y captura de tráfico entre dos estaciones en una topología tipo SWITCH (Hunt). Falsificación de las tablas ARP mediante la técnica de la falsificación ARP (ARP Spoofing).

3.- Denegación de servicio.
Inundación mediante la técnica de SYN Flooding. Búsqueda de redes con direcciones de difusión (broadcast) para realizar ataques de magnificación. Realización de ataques de magnificación del tipo Smurf. Enlace de servidores en los puertos Echo y Chargen.

4.- DNS.
Secuestro de sesiones DNS mediante la herramienta DNSSpoof. Falsificación de cache de DNS mediante la herramienta ADMKillDNS.

5.- SNMP.
Búsqueda de sistemas con agentes SNMP y comunidades de fácil adivinación. Se instala y utiliza la herramienta IP snmpget/snmpwalk.

3. ESTABLECIMIENTO DEL OBJETIVO

Antes de realizar definitivamente un ataque, los intrusos, como si de un estratega militar se tratará, preparan cuidadosamente su ataque. No se debe pasar por alto el tiempo que dedican a esta tarea. En esta fase, su objetivo es determinar cual es el punto o puntos más débiles para intentar el acceso.

  • Información general del objetivo (web, whois, ripe).
  • Servidores de la organización.
  • Servidores accesibles
  • Rastreo de puertos.
  • Rastreo de sistemas operativos.

PRÁCTICAS

1.- Información del objetivo.
Conexión a las bases de datos Whois y RIPE para extraer información del objetivo.

2.- Servidores de la organización.
Solicitud de transferencia de zonas DNS y resolución inversa para obtener información sobre los servidores de la organización.

3.- Servidores activos.
Chequeo mediante ICMP de los servidores activos.( hping y fping )

4.- Rastreo de puertos.
Rastreo de puertos mediante los distintos sistemas explicados. Se usarán técnicas tipo Decoy para la ocultación de rastreos. Se realizará un rastreo oculto imposible de detectar mediante la técnica del campo ID de los paquetes IP o también llamado rastreo oculto.

5.- Detección de sistemas operativos.
Rastreo de sistemas operativos mediante la detección pasiva (Siphon) y rastreo mediante las técnicas activas con Nmap y Queso.

4. INFORMACIÓN DEL OBJETIVO

Una vez realizado el mapa de los posibles objetivos, el intruso tratará de obtener más información sobre los servidores a los que intentará atacar. La instalación por defecto de los sistemas UNIX ofrece algunas posibilidades en este aspecto que los intrusos tratarán de aprovechar.

  • Nombres de usuario y grupos
  • Recursos importados y exportados
  • Servicios abiertos y software instalado
  • Samba: Nombres NetBIOS y Dominios

PRÁCTICAS

1.- Identificación de usuarios

  • Se utilizaran herramientas no intrusivas con el fin de conseguir los usuarios del sistema. ( finger, rwho, rsusers )
  • Se utilizarán métodos intrusivos con el objeto de conseguir la lista de usuarios.

2.- Servicios abiertos
Se conectará mediante Telnet a distintos puertos con el objetivo de determinar el software servidor en ejecución tras cada puerto abierto en un sistema. Adicionalmente se procederá a la obtener información de servicios RPC.

3.- SAMBA
Se utilizarán las herramientas SMB en UNIX y se procederá a identificar sus deficiencias de seguridad.

5. ATAQUE A UN SERVIDOR UNIX

Una vez recopilada y analizada la información sobre posibles objetivos, el intruso decidirá qué método utilizar para atacar a los sistemas. En este módulo se da una clasificación global de los tipos de agujeros de seguridad que permiten algún tipo de acceso a los sistemas en remoto.

  • Ataques contra servicios con autenticación, fuerza bruta.
  • PAM : Pluggable Authentication Modules.
  • Desbordamiento de memoria (Buffer overflow)
  • Vulnerabilidades en scripts
  • Vulnerabilidades de las aplicaciones servidoras
  • Vulnerabilidades en clientes
  • Caballos de Troya
  • Analizadores de Seguridad

PRÁCTICAS

1.- Servicios con autenticación
Se confeccionará un diccionario para mostrar cómo realizar un ataque contra servicios con autenticación mediante fuerza bruta.

2.- Desbordamiento de memoria
Se explotarán algunos desbordamientos de memoria recientemente descubiertos en aplicaciones servidoras para comprobar la ejecución remota de comandos.

3.- Aplicaciones servidoras y scripts
Se buscarán en Internet servidores que posean vulnerabilidades conocidas y recientes en servidores Apache/Netscape.
Se explotara vulnerabilidades en otros servicios ( FTP, IMAP, SMTP, PROXY, Xwindow, ... )

4.- Aplicaciones cliente
Se explican sobre real algunos de los fallos de seguridad del navegador Netscape

5.- Caballos de Troya
Se mostrarán distintos Caballos de Troya para ilustrar el uso de este tipo de software malicioso.

6.- Analizadores de seguridad
Se mostrarán distintos analizadores de seguridad, los cuales realizan de manera automática varios de los ataques explicados anteriormente ( Nessus, Satan ).

6. CONTROL TOTAL DE UN SERVIDOR UNIX

Mediante las técnicas explicadas en el módulo anterior el intruso habrá obtenido algún tipo de acceso al servidor victima. Una vez que se ha obtenido el acceso, el intruso pretenderá ampliar sus privilegios y controlar totalmente la máquina. Una vez que haya conseguido esto, intentará evitar ser detectado e instalará puertas traseras que le permitan entrar al sistema victima en el futuro.

  • Aumento de privilegios
  • Localización de contraseñas y uso (Password cracking)
  • Comandos r*. ( Hijacking de sesion )
  • Sudo, setuid y setguid
  • Instalación de control remoto. Puertas traseras
  • Kernel Hacks
  • Ocultación de puertas traseras. Rootkit
  • Borrado de pistas y logs ( wipe , zappers )

PRÁCTICAS

1.- Averiguadores de contraseñas
Se comprobará la eficacia de los averiguadores de contraseñas en local. Se provocarán ataques mediante diccionario y mediante ataques de fuerza bruta. Se mostrará dónde obtener las contraseñas que sirvan como entrada en estos programas.

2.- Puertas traseras
Se instalará en remoto una puerta trasera que permita tener una línea de comandos con el servidor víctima. Una vez logrado el control, se procederá a obtener una interfaz gráfica de la máquina atacada.

3.- Ocultación de puertas traseras
Se instalará un rootkit que modifica el comportamiento de programas de administración para que las herramientas del intruso pasen inadvertidas.

7. CONFIGURACIÓN DE UNIX COMO SERVIDOR BASTIÓN

Hasta este módulo cada aspecto de la seguridad se ha visto desde ambos lados, intruso y administrador. En este módulo final se dan las pautas mínimas necesarias para configurar un servidor con UNIX de forma segura o como comúnmente se llama, como servidor BASTIÓN. Es un resumen practico de todo lo visto a lo largo de los anteriores módulos y servirá de punto de partida a los Administradores para mejorar su seguridad.

  • Prevención / Detección / Recuperación
  • Aislamiento físico y de protocolo
  • Configuración de los servicios
    • TCPWrappers
    • Servicio WEB
    • Telnet / Ftp / Comados r* / Etc.
    • Sistema de archivos
    • Compartición de recursos
  • Administración
    • Cuenta del administrador
    • Política de contraseñas
    • Administración segura: SSH
    • Auditoria de sistema y red
    • Copias de Seguridad
  • Filtrado de paquetes TCP/IP
  • Instalación de parches

PRÁCTICAS

1.- Servidor BASTION
A modo de lista de chequeo, a lo largo del módulo se revisará la configuración de cada servidor para que el asistente la modifique para hacerla segura.

2.- Protección/Ataque. Simulación real.
A modo de juego se realizarán dos grupos y se configurarán dos servidores con unos requisitos mínimos de servicios a ofrecer. A continuación se procederá por parte de cada grupo al bastionado de su sistema en un tiempo límite y una vez finalizado este tiempo se procederá al ataque del servidor del grupo contrario.
Calendario e inscripciones

Complete el siguiente formulario para enviarnos su consulta:

Precio: 1320 euros + IVA
Fechas: 18 - 21 Junio de 2007 (tarde de 16:00 a 21:00)
Nombre y apellidos:
Empresa:
CIF:
Dirección:
Ciudad:
Provincia:
Código postal:
Correo electrónico:
Teléfono:
Fax:

Los datos personales contenidos en el presente formulario formarán parte de un fichero propiedad de ISI. Dicho fichero será tratado y protegido según lo establecido en la LO 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. Queda garantizada la confidencialidad de la información aportada, así como su uso exclusivo para las gestiones precisas en la facturación y gestión de los cursos. Este fichero no será cedido a terceros. Los interesados que lo deseen podrán ejercitar los derechos de acceso, rectificación o cancelación de los datos aportados.

Política de privacidad :: Instalaciones :: Publicidad

© Instituto Seguridad Internet, 2001-2003. Todos los derechos reservados