Download Consideraciones Forenses y de Seguridad en Enrutadores

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
Document related concepts
no text concepts found
Transcript 
Consideraciones Forenses y de
Seguridad en Enrutadores
Conceptos, herramientas y prácticas
Jeimy J. Cano, Ph.D
Universidad de los Andes
jcano@uniandes.edu.co
ADVERTENCIA !
Las maneras de vulnerar y atentar contra las
seguridad de enrutadores referenciadas en esta
presentación son con propósitos ilustrativos y
educativos. Por tanto, cualquier uso inadecuado de
las mismas no será responsabilidad del Autor.
Las técnicas sugeridas en la presentación aplican a
enrutadores CISCO. Es probable que apliquen a
otros proveedores.
La presentación busca concientizar a los
encargados de la seguridad sobre prácticas de
aseguramiento y forenses sobre enrutadores y, de
ninguna manera atentar contra el buen nombre de
proveedores o compañías.
JCM-03 All rights reserved
III JNSI ACIS 2003
2
Agenda
Introducción
Evolución de Vulnerabilidades en CISCO
Elementos básicos de los enrutadores
Ataques Generales a Routers
Ataques Especializados a Routers
Evaluación de Seguridad en Routers
Enrutadores y Arquitecturas de Seguridad


Logging en Routers
Prácticas de Seguridad en Routers
Elementos básicos en Computación Forense
Computación Forense en Routers


Extracción de Información en Routers
Prácticas Forenses en Routers
Conclusiones
Referencias
JCM-03 All rights reserved
III JNSI ACIS 2003
3
Introducción
Incremento importante de vulnerabilidades detectadas en
enrutadores.
Los enrutadores con frecuencia son tratados como “cajas
negras” configuradas. – No las toque!Generalmente configurados por default – No existen guìas
corporartivas de aseguramiento.
Generalmente no son sometidos a pruebas de penetración y
actualización permanente de parches
Frecuentemente no se configura en ellos una estrategia de
logging coherente con la estrategia de detección de intrusos.
Ante un incidente de seguridad, generalmente pasan
desapercibidos.
Computación Forense en routers? Cómo?
JCM-03 All rights reserved
III JNSI ACIS 2003
4
Evolución de Vulnerabilidades en CISCO
Vulnerabilidades en CISCO
No. Vulnerabilidades
120
102
100
80
60
Vulnerabilidades en CISCO
38
40
23
20
0
Vulnerabilidades
en CISCO
5
2002
2001
2000
1999
102
38
23
5
Años
Tomado de: http://www.securityfocus.com - Vulnerabilidades
JCM-03 All rights reserved
III JNSI ACIS 2003
5
Elementos básicos
de Enrutadores
JCM-03 All rights reserved
III JNSI ACIS 2003
6
Elementos básicos de Enrutadores
Son esencialmente otros computadores.


Particularmente son otros SERVIDORES.
Ofrecen el servicio de enrutamiento.
Poseen Sistema Operacional

Cisco’s Internetwork Operating System – IOS
 Utiliza la NVRAM – Non Volatil RAM, donde se encuentra almacenado
el archivo de configuración
 Se almacena en la Flash Memory
 Interpreta las ACL – Access Control List y otros comandos

Tiene un conjunto de comandos para interactuar con el usuario.
 Nivel EXEC de Usuario

Show, connect, ping, calendar, etc
 Nivel EXEC Privilegiado

JCM-03 All rights reserved
Configure, write, erase, debug, setup, etc.
III JNSI ACIS 2003
7
Elementos básicos de Enrutadores
Como eventualidad para
casos de emergencia
Generalmente utilizados para
colocar módems. Permite
acceso como consola
Puerto Auxiliar
Puerto de
Consola
Interfase
De REd
Módem
Módem
JCM-03 All rights reserved
III JNSI ACIS 2003
8
Ataques a Enrutadores
JCM-03 All rights reserved
III JNSI ACIS 2003
9
Ataques generales a Routers
SNMP Attacks

Mensajes malformados recibidos a los enrutadores resulta
en fallas del sistema.
NTP Attacks

Envío paquete malformados NTP, generando buffer
overflow en el demonio de NTP
Session Replay Attacks

Secuencia de paquetes o comandos de aplicación que
pueden ser manipulados y reenviados para causar una
acción no autorizada.
Session Hijacking

JCM-03 All rights reserved
Manipulación de Paquetes IP para falsificar direcciones IP,
predicción de número de secuencia.
III JNSI ACIS 2003
10
Ataques Especializados a Routers
Manejo de la Memoria en IOS


Memory Process – Heap Memory
IO Memory – Buffer de Comandos
Magic
Valor estático 0xAB1234CD
PID
Identificador del Proceso en IOS
Alloc Check
Zona utilizada para efectuar chequeos integridad de bloques
Alloc Name
Apuntador al string del nombre del proceso.
Alloc PC
Código de la dirección que selecciona este bloque.
NEXT BLOCK
Apuntador al siguiente bloque
PREV BLOCK
Apuntador al bloque anterior
BLOCK SIZE
Tamaño del bloque – Marca como en USO
REFERENCE #
Cantidad de bloques referenciada
Last Deallc
DATA
RED ZONE
JCM-03 All rights reserved
Última dirección que fue seleccionada
Zona de Datos
Valor estático 0xFD0110DF
III JNSI ACIS 2003
11
Ataques especializados a Routers
Algoritmo de chequeo: (Tomado de Phrack No.60)








1) Continúa el bloque con el valor de MAGIC (0xAB1234CD)?
2) Si el bloque esta en uso, verifique la zona roja está allí y presente el
número 0xFD0110DF.
3) El apuntador al anterior bloque es no nulo?
4) Si existe apuntador al siguiente bloque, verifique ...
4.1) Si apunta correctamente después del final de este bloque?
4.2) Si apuntador de bloque previo del bloque apuntado por este
apuntador (apuntador al siguiente), esta direccionado a este bloque?
5) Si el apuntador al siguiente bloque es nulo, es este bloque el último
en el segmento de memoria?
6) El tamaño del bloque tiene sentido? Es correcto?
Si alguno de estos paso falla: la verificación no resulta
exitosa y se efectúa un reinicio del sistema IOS.
*** EXCEPTION ***
illegal instruction interrupt
program counter = 0x20f2a24
status register = 0x2700
vbr at time of exception = 0x4000000
JCM-03 All rights reserved
III JNSI ACIS 2003
12
Ataques especializados a Routers
Algunos comandos involucrados este tipo de ataques:

victim#show memory processor allocating-process
 Listado de apuntadores y sus bloques

victim#show memory 0x258F998
 Despliega el contenido de la memoria para esta posición particular
Que podemos aprender?

Debemos estudiar en detalle la manera como se asigna, verifica y
desasigna la memoria en IOS

IOS es un sistema operacional como cualquier otro, por tanto tiene
vulnerabilidades inherentes a su diseño.

Estar atento a las listas de seguridad y los posibles anuncios sobre
fallas o vulnerabilidades en cualquiera de los elementos de la red.

Es probable este tipo de ataques en Switches

Los routers requieren aseguramiento como cualquier otro dispositivo
de la red!!!
JCM-03 All rights reserved
III JNSI ACIS 2003
13
Seguridad en Enrutadores
JCM-03 All rights reserved
III JNSI ACIS 2003
14
Evaluación Seguridad en Routers
Router Audit Tool - RAT

Center for Internet Security (CIS)
http://www.cisecurity.org/

Esta herramienta considera:

 Router Security Configuration Guide publicada por la National Security
Agency (NSA)
 Desarrolla una evaluación NO INVASIVA de las principales
vulnerabilidades presentes en los enrutadores

RAT esta diseñada en Perl y consta de 4 programas:
 Snarf – Utilizada para descargar los archivos de configuración del router
 Ncat – Utilizado para leer los archivos de configuración y reglas base de
la evaluación y generar el archivo de salida
 Ncat_report – Crea el HTML de los archivos planos de salida
 Ncat_config – Utilizado para efectuar la localización de los archivos de
reglas básicas

Licencia de USO - GNU General Public license

Disponible en UNIX, Linux y Windows.
JCM-03 All rights reserved
III JNSI ACIS 2003
15
Evaluación Seguridad en Routers
Router Audit Tool - RAT
JCM-03 All rights reserved
III JNSI ACIS 2003
16
Enrutadores y arquitecturas de seguridad
Deberían ser la primera línea de defensa de la organización.
Deberían contar con una configuración de control de acceso
que defienda en primera línea al FW.
Mantener un registro sincronizado de los eventos más
representativos:





Alertas
Condiciones críticas
Mensajes de error
Emergencias
Intento de ingreso de paquete de lugares no autorizados.
Desarrollar una relación de monitoreo y control de tráfico en
conjunto con el IDS.
Aseguramiento permanente, como cualquier otro sistema
operacional.
JCM-03 All rights reserved
III JNSI ACIS 2003
17
Logging en Routers
Los enrutadores CISCO tienen 6 formas de generar logging.

Logging en consola
 Conectados directamente al puerto de consola

Logging en Buffer de Memoria
 Manteniendo los mensajes de log en la RAM del enrutador. Generalmente
es circular.

Logging de Terminal
 Utilizando los comandos de terminal, pueden enviar los mensajes de log a
las terminales VTY

Syslog
 Los enrutadores pueden ser configurados para enviar sus mensajes de log
a servidores syslog externos.

SNMP
 Si se encuentra habilitado, puede enviar a servidores SNMP externos para
registrar condiciones específicas.

AAA Accounting
 Si se esta utilizando la arquitectura Authentication, Autorization,
Accounting de CISCO, puede enviar el log al Network Access Server.
JCM-03 All rights reserved
III JNSI ACIS 2003
18
Logging en Routers
Syslog


Para configurar el logging remoto via esta estrategia
En el enrutador:
 router1#config terminal – Ingreso a sección de configuración
 Router1(Config) # Logging facility local6 – Identificando por
donde se envía la información
 Router1(Config) # logging trap errors
 Router1(Config) # Logging 172.16.13.1
 Router1(Config) # ^Z

Nota
 Si se quiere conocer el tráfico asociado con las reglas o listas de
control acceso que tiene configuradas (deny), debe agregar la
palabra log al final de la misma

JCM-03 All rights reserved
Access-list 101 deny ip 200.200.200.0 0.0.0.255 any log
III JNSI ACIS 2003
19
Logging en Routers
Syslog

Para configurar el logging remoto via esta estrategia

En el servidor destino:
 Existe un syslog server en Unix y Linux
 En Windows existen implementaciones:



Kiwi Syslog
Winsyslog
Nota: Con estas implementaciones pueden enviar logs a otras máquinas con
syslog instalados. Incluso en Unix
 Identifique el archivo de syslog:



/etc/syslog.conf
Su formato generalmente es:
 Facilidad.severidad
logfile
Un ejemplo para la configuración previa:
 Local6.errors
/var/log/router1
 Mantenga monitoreo del puerto 514 (udp), preferiblemente utilice SSH
para mantener una conexión confiable entre el enrutador y el servidor de
logging.
JCM-03 All rights reserved
III JNSI ACIS 2003
20
Prácticas de Seguridad en Routers
Acceso a la consola con login y contraseña.
Asegurar el acceso al puerto AUX y las VTY con login y contraseña
No configure el enrutador para ser servidor de TFTP
No conecte un módem al puerto de consola
Deshabilite telnet reverso a todos los puertos físicos.
Deshabilite el telnet.
Deshabilite acceso via HTTP
Deshabilite protocolos y servicios innecesarios
Deshabilithe SNMP, si no lo necesita
Genere una estrategia de logging coherente y confiable (conexión
cifrada)
Actualice la versión y parches del IOS
Incluya los routers en pruebas de penetración
Genere y actualice guías de hardening.
Mantenga sincronizado la fecha y hora del equipo.
No descuide el aseguramiento fìsico de los equipos y el control de
acceso a los mismos.
Efectúe administración remota con mecanismos de cifrado
JCM-03 All rights reserved
III JNSI ACIS 2003
21
Computación Forense en Enrutadores
JCM-03 All rights reserved
III JNSI ACIS 2003
22
Elementos básicos en Computación Forense





Aseguramiento de la escena del incidente
Identificación y registro de información volátil
Apagado adecuado
Efectuar copia idéntica bit a bit
Desarrollar el análisis sobre una de las copias idénticas
 Análsis físico



Partición
Sectores dañados
Datos fuera de la partición
 Análisis lógico



Archivos de metadatos
Información de contexto y encabezados
Directorios de archivos
 Conjunto
 Archivos activos



JCM-03 All rights reserved
Sistema de archivos residual (en su estructura)
Archivos eliminados
Generación del informe
III JNSI ACIS 2003
23
Computación Forense en Routers

Aseguramiento de la escena del incidente
 Sobre manera el control de acceso físico al dispositivo.

Identificación y registro de información volátil
 Es el ejercicio más crítico en la computación forense de enrutadores

Apagado adecuado
 No es viable hacerlo, pues se perderían todos los datos disponibles en el
enrutador.

Efectuar copia idéntica bit a bit
 Extraer toda la información relacionada con la configuración, IOS, ACL,
entre otras.

Desarrollar el análisis sobre una de las copias idénticas
 Sólo después de extraer la información con el sistema activo y en línea.

JCM-03 All rights reserved
Generación del informe
III JNSI ACIS 2003
24
Extracción de Información en Routers
•Siempre inicie guardando su sesión de conexión con el enrutador ante de
conectarse
•Frecuentemente ejecute el comando show clock detail
JCM-03 All rights reserved
III JNSI ACIS 2003
25
Extracción de Información en Routers
- Evidencia volátil











terminal length 0
dir /all
show clock detail
show ntp
show version
show running-config
show startup-config
show reload
show ip route
show ip arp
show users
show logging
JCM-03 All rights reserved












show ip interfaces
show interfaces
show access-lists
show tcp brief all
show ip sockets
show ip nat translations verbose
show ip cache flow
show ip cef
show snmp users
show snmp groups
show clock detail
Exit
III JNSI ACIS 2003
26
Extracción de Información Routers
- Datos externos 







Efectuar “scanning” de puertos al router
Ejecutar alguna herramienta de verificación de
vulnerabilidades sobre enrutadores.
Verificar y registrar con una autoridad de tiempo confiable.
Imprimir el resultado con el registro de tiempo incluido
Vincule a un testigo para verificar la ejecución de este
ejercicio.
Firma y fecha para la impresión de resultados. Firman
ambos involucrados
Guarde las copias en lugar seguro y registro clasificado de
la diligencia.
NOTA:
 Este procedimiento debe ser idéntico para la recolección de
evidencia volátil presentado en el aparte anterior.
JCM-03 All rights reserved
III JNSI ACIS 2003
27
Extracción de Información Routers
- Herramienta automatizada Cisco Router Evidence Extractor Disk – CREED

http://cybercrime.kennesaw.edu/creed

CREED está basado en la implementación de linux
TomsRtBt, disponible en www.toms.net.

Creada por requerimiento de la Fuerza Aérea, para recolectar
información forense de enrutadores CISCO.
 La idea es crear un diskette de boot, el cual se coloca en un laptop.
 Luego se conecta el portátil desde su puerto serial al puerto de consola del
enrutador.
 Se reinicia el portátil con el diskette de boot previamente creado.
 Se ingresa al enrutador – Se digita “adquire”
 Se digita el comando “enable” para ingresar en modo privilegiado.
 Inicio de recolección.

JCM-03 All rights reserved
El resultado de la ejecución de los comandos se registra en un archivo
que queda como resultado en el diskette.
III JNSI ACIS 2003
28
Prácticas Forenses en Routers

Los enrutadores deben mantener una estrategia de logging
externo que facilite la correlación de información de un
incidente.

Debe existir un registro y control de la actualización del
IOS.

La sincronización de tiempo vía NTP es crítica para
efectos forenses.

Concientizar a los administradores de redes, de la
evidencia que generan los enrutadores.

Es necesario que las guías de atención de incidentes
contemplen información generada por los enrutadores.
JCM-03 All rights reserved
III JNSI ACIS 2003
29
Conclusiones

Los routers NO SON CAJAS NEGRAS. Requieren aseguramiento
equivalente al de cualquier servidor

Es necesario profundizar en el estudio de los sistemas operacionales.
Particularmente en IOS: funciones internas, control y administración
de memoria, entre otros.

Los Switch también pueden ser vulnerables a ataques semejantes a los
vistos en la presentación.

Se requiere establecer una estrategia de Evaluación de Perímetro en
Profundidad: Ver RE.D.AR

Es necesario asegurar el cumplimiento de los servicios de seguridad en
los enrutadores – A2CAN





JCM-03 All rights reserved
Autenticación
Autorización
Control de acceso
Auditabilidad
No repudio
III JNSI ACIS 2003
30
Referencias
Shaughnessy, T y Velte, T. (2000) Manual de Cisco. McGraw Hill.
Prosise, C y Mandia, K. (2001) Incident Response: Investigating
Computer Crime. McGraw Hill.
Akin, T. (2002) Hardening Cisco Routers. O’Really.
Kaeo, M. (1999) Designing Network Security. Cisco Press.
Northcutt, S et al (2003) Insider Network Perimeter Security. News Riders
Sedayao, J. (2001) Cisco IOS Access list. O’Really.
Garfinkel, S y Spafford, G. (1996) Practical Unix and Internet Security.
Second Edition. O’Really.
Proctor, P y Byrnes, F. (2002) The secured enterprise. Prentice Hall.
SANS (2002) Routers Security: Step by Step. http://www.sansstore.org.
Stuckless, C. (2000) SANS GIAC Firewall and Perimeter protection
Practical Assignment.
http://www.sans.org/y2k/practical/Colin_Stuckless.doc
Wright, J. (2002) SANS GIAC Incident Handling Red Team Assessment
of Parliament Hill Firewall.
http://www.giac.org/practical/Joshua_Wright_GCIH.zip
Cisco. (2000) Improving Security on Cisco Routers.
http://www.cisco.com/warp/public/707/21.html
Gaius. (2000) Things to do in Cisco Land when you’re dead. Phrack
Magazine. No.56. http://www.phrack.org
Graesser, D. (2001) Cisco Router Hardening Step by Step. Sans Institute.
Information Security Reading Room. http://rr.sans.org/firewall/router2.php
JCM-03 All rights reserved
III JNSI ACIS 2003
31
Referencias
Langley, R. (2001) Securing your internet access router.
http://www.sans.org/infosecFAQ/firewall/router.htm
Network Computing (1999) The cost of Security on Cisco Routers.
http://www.networkcomputing.com/1004/1004ws22.html
Winters, S. (2000) Top Ten Blocking Recommendations Using Cisco ACL’s secur
perimeter with Cisco IOS 12 Routers.
http://www.sans.org/infosecFAQ/firewall/blocking_cisco.htm
Antoine, V et al. (2001) Router Security Recommendation Guide. Version 1.0.
National Security Agency. http://nsa1.www.conxion.com/cisco/index.html
Antoine, V et al. (2001) NSA Router Security Recommendation Guide: Executive
Summary Card. http://nsa1.www.conxion.com/cisco/index.html
Held, G y Hundley, K. (1999) Cisco Security Architectures. McGraw Hill
CISecurity. Router Audit Tool. The Center for Internet Security
http://www.cisecurity.org/ .
Stewart, B. (2002) Router Audit Tool: Securing Cisco Routers Made Easy.
http://www.sans.org/rr/netdevices/cisco_RAT.php
Thomas, R. (2002) Secure IOS Template Version 2.6.
http://www.cymru.com/Documents/secure-ios-template.html
Unknown. Improving Security on Cisco Routers, Cisco Systems, Date Unknown.
http://www.cisco.com/warp/public/707/21.html
Unknown. Increasing Security on IP Networks, Cisco Systems, Date Unknown
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs003.htm
Cisco Router IOS Memory Maps. Ubicación en el web:
http://www.cisco.com/warp/public/112/appB.html
JCM-03 All rights reserved
III JNSI ACIS 2003
32
Preguntas, dudas, sugerencias, ....
Preocupaciones, Sustos, paranoias!!...
JCM-03 All rights reserved
III JNSI ACIS 2003
33
Consideraciones Forenses y de
Seguridad en Enrutadores
Conceptos, herramientas y prácticas
Jeimy J. Cano, Ph.D
Universidad de los Andes
jcano@uniandes.edu.co
Related documents
Packet Tracer: Configuración inicial del router (instrucciones)
Packet Tracer: Configuración inicial del router (instrucciones)
Administración de la Evidencia Digital
Administración de la Evidencia Digital
Riesgos emergentes para los informáticos forenses. Retos y
Riesgos emergentes para los informáticos forenses. Retos y
Computación forense en bases de datos: Conceptos y reflexiones
Computación forense en bases de datos: Conceptos y reflexiones
Computación forense en bases de datos: Conceptos y reflexiones
Computación forense en bases de datos: Conceptos y reflexiones
original en .
original en .
capitulo iv - Repositorio UTN
capitulo iv - Repositorio UTN
Routers Cisco
Routers Cisco
rOUTER - Edurne Ziortza
rOUTER - Edurne Ziortza
sincronizar con la hora indocal
sincronizar con la hora indocal
Brochure Formación SANS
Brochure Formación SANS
hardering de sistemas operativos (gnu/linux - Docencia FCA-UNAM
hardering de sistemas operativos (gnu/linux - Docencia FCA-UNAM
Presentacion
Presentacion
Cómo proteger su red del virus Nimda
Cómo proteger su red del virus Nimda
prueba de intrusión al sistema operativo windows server 2003 de
prueba de intrusión al sistema operativo windows server 2003 de
Diapositiva 1
Diapositiva 1
Asistente para currículos - DIM-UChile
Asistente para currículos - DIM-UChile
Sintesis Capitulo 1 - rodolfo lopez anota
Sintesis Capitulo 1 - rodolfo lopez anota
CV - Daniel Garcia Capel
CV - Daniel Garcia Capel
TALLER MANUEL ARROYAVE HENAO JHON FREDY GIRALDO
TALLER MANUEL ARROYAVE HENAO JHON FREDY GIRALDO
Examen 1ª Parte word
Examen 1ª Parte word
Certified Incident Handler
Certified Incident Handler