Upload
joaquin-bazan
View
22
Download
1
Embed Size (px)
Citation preview
Consideraciones Forenses y de Seguridad en Enrutadores
Conceptos, herramientas y prácticas
Jeimy J. Cano, Ph.DUniversidad de los Andes
JCM-03 All rights reserved 2III JNSI ACIS 2003
ADVERTENCIA !
Las maneras de vulnerar y atentar contra las seguridad de enrutadores referenciadas en esta presentación son con propósitos ilustrativos y educativos. Por tanto, cualquier uso inadecuado de las mismas no será responsabilidad del Autor.
Las técnicas sugeridas en la presentación aplican a enrutadores CISCO. Es probable que apliquen a otros proveedores.
La presentación busca concientizar a los encargados de la seguridad sobre prácticas de aseguramiento y forenses sobre enrutadores y, de ninguna manera atentar contra el buen nombre de proveedores o compañías.
JCM-03 All rights reserved 3III JNSI ACIS 2003
Agenda
IntroducciónEvolución de Vulnerabilidades en CISCOElementos básicos de los enrutadoresAtaques Generales a RoutersAtaques Especializados a RoutersEvaluación de Seguridad en RoutersEnrutadores y Arquitecturas de Seguridad
Logging en Routers Prácticas de Seguridad en Routers
Elementos básicos en Computación ForenseComputación Forense en Routers
Extracción de Información en Routers Prácticas Forenses en Routers
Conclusiones Referencias
JCM-03 All rights reserved 4III JNSI ACIS 2003
Introducción
Incremento importante de vulnerabilidades detectadas en enrutadores.
Los enrutadores con frecuencia son tratados como “cajas negras” configuradas. – No las toque!-
Generalmente configurados por default – No existen guìas corporartivas de aseguramiento.
Generalmente no son sometidos a pruebas de penetración y actualización permanente de parches
Frecuentemente no se configura en ellos una estrategia de logging coherente con la estrategia de detección de intrusos.
Ante un incidente de seguridad, generalmente pasan desapercibidos.
Computación Forense en routers? Cómo?
JCM-03 All rights reserved 5III JNSI ACIS 2003
Evolución de Vulnerabilidades en CISCO
Vulnerabilidades en CISCO
102
3823
50
20
40
60
80
100
120
Años
No.
Vul
nera
bilid
ades
Vulnerabilidades en CISCO
Vulnerabilidadesen CISCO
102 38 23 5
2002 2001 2000 1999
Tomado de: http://www.securityfocus.com - Vulnerabilidades
JCM-03 All rights reserved 6III JNSI ACIS 2003
Elementos básicos de Enrutadores
JCM-03 All rights reserved 7III JNSI ACIS 2003
Elementos básicos de Enrutadores
Son esencialmente otros computadores. Particularmente son otros SERVIDORES. Ofrecen el servicio de enrutamiento.
Poseen Sistema Operacional Cisco’s Internetwork Operating System – IOS
Utiliza la NVRAM – Non Volatil RAM, donde se encuentra almacenado el archivo de configuración
Se almacena en la Flash Memory Interpreta las ACL – Access Control List y otros comandos
Tiene un conjunto de comandos para interactuar con el usuario. Nivel EXEC de Usuario
Show, connect, ping, calendar, etc
Nivel EXEC Privilegiado Configure, write, erase, debug, setup, etc.
JCM-03 All rights reserved 8III JNSI ACIS 2003
Elementos básicos de Enrutadores
Puerto deConsola
InterfaseDe REd
Puerto Auxiliar
Módem
Módem
Como eventualidad para casos de emergencia
Generalmente utilizados para colocar módems. Permite
acceso como consola
JCM-03 All rights reserved 9III JNSI ACIS 2003
Ataques a Enrutadores
JCM-03 All rights reserved 10III JNSI ACIS 2003
Ataques generales a Routers
SNMP Attacks Mensajes malformados recibidos a los enrutadores resulta
en fallas del sistema.
NTP Attacks Envío paquete malformados NTP, generando buffer
overflow en el demonio de NTP
Session Replay Attacks Secuencia de paquetes o comandos de aplicación que
pueden ser manipulados y reenviados para causar una acción no autorizada.
Session Hijacking Manipulación de Paquetes IP para falsificar direcciones IP,
predicción de número de secuencia.
JCM-03 All rights reserved 11III JNSI ACIS 2003
Ataques Especializados a Routers
Manejo de la Memoria en IOS Memory Process – Heap Memory IO Memory – Buffer de Comandos
Magic
PID
Alloc Check
Alloc Name
Alloc PC
NEXT BLOCK
PREV BLOCK
BLOCK SIZE
REFERENCE #
Last Deallc
DATA
RED ZONE
Valor estático 0xAB1234CD
Identificador del Proceso en IOS
Zona utilizada para efectuar chequeos integridad de bloques
Apuntador al string del nombre del proceso.
Código de la dirección que selecciona este bloque.
Apuntador al siguiente bloque
Apuntador al bloque anterior
Tamaño del bloque – Marca como en USO
Cantidad de bloques referenciada
Última dirección que fue seleccionada
Valor estático 0xFD0110DF
Zona de Datos
JCM-03 All rights reserved 12III JNSI ACIS 2003
Ataques especializados a Routers
Algoritmo de chequeo: (Tomado de Phrack No.60) 1) Continúa el bloque con el valor de MAGIC (0xAB1234CD)? 2) Si el bloque esta en uso, verifique la zona roja está allí y presente el número 0xFD0110DF. 3) El apuntador al anterior bloque es no nulo? 4) Si existe apuntador al siguiente bloque, verifique ... 4.1) Si apunta correctamente después del final de este bloque? 4.2) Si apuntador de bloque previo del bloque apuntado por este apuntador (apuntador al siguiente), esta direccionado a este bloque? 5) Si el apuntador al siguiente bloque es nulo, es este bloque el último en el segmento de memoria? 6) El tamaño del bloque tiene sentido? Es correcto?
Si alguno de estos paso falla: la verificación no resulta exitosa y se efectúa un reinicio del sistema IOS.
*** EXCEPTION ***illegal instruction interruptprogram counter = 0x20f2a24status register = 0x2700vbr at time of exception = 0x4000000
JCM-03 All rights reserved 13III JNSI ACIS 2003
Ataques especializados a Routers
Algunos comandos involucrados este tipo de ataques: victim#show memory processor allocating-process
Listado de apuntadores y sus bloques victim#show memory 0x258F998
Despliega el contenido de la memoria para esta posición particular
Que podemos aprender? Debemos estudiar en detalle la manera como se asigna, verifica y desasigna la memoria en IOS
IOS es un sistema operacional como cualquier otro, por tanto tiene vulnerabilidades inherentes a su diseño.
Estar atento a las listas de seguridad y los posibles anuncios sobre fallas o vulnerabilidades en cualquiera de los elementos de la red.
Es probable este tipo de ataques en Switches
Los routers requieren aseguramiento como cualquier otro dispositivo de la red!!!
JCM-03 All rights reserved 14III JNSI ACIS 2003
Seguridad en Enrutadores
JCM-03 All rights reserved 15III JNSI ACIS 2003
Evaluación Seguridad en Routers
Router Audit Tool - RAT Center for Internet Security (CIS) http://www.cisecurity.org/
Esta herramienta considera: Router Security Configuration Guide publicada por la National Security Agency (NSA) Desarrolla una evaluación NO INVASIVA de las principales vulnerabilidades presentes en los enrutadores
RAT esta diseñada en Perl y consta de 4 programas: Snarf – Utilizada para descargar los archivos de configuración del router Ncat – Utilizado para leer los archivos de configuración y reglas base de la evaluación y generar el archivo de salida Ncat_report – Crea el HTML de los archivos planos de salida Ncat_config – Utilizado para efectuar la localización de los archivos de reglas básicas
Licencia de USO - GNU General Public license
Disponible en UNIX, Linux y Windows.
JCM-03 All rights reserved 16III JNSI ACIS 2003
Evaluación Seguridad en Routers
Router Audit Tool - RAT
JCM-03 All rights reserved 17III JNSI ACIS 2003
Enrutadores y arquitecturas de seguridad
Deberían ser la primera línea de defensa de la organización.
Deberían contar con una configuración de control de acceso que defienda en primera línea al FW.
Mantener un registro sincronizado de los eventos más representativos:
Alertas Condiciones críticas Mensajes de error Emergencias Intento de ingreso de paquete de lugares no autorizados.
Desarrollar una relación de monitoreo y control de tráfico en conjunto con el IDS.
Aseguramiento permanente, como cualquier otro sistema operacional.
JCM-03 All rights reserved 18III JNSI ACIS 2003
Logging en Routers
Los enrutadores CISCO tienen 6 formas de generar logging. Logging en consola
Conectados directamente al puerto de consola
Logging en Buffer de Memoria Manteniendo los mensajes de log en la RAM del enrutador. Generalmente es
circular.
Logging de Terminal Utilizando los comandos de terminal, pueden enviar los mensajes de log a las
terminales VTY
Syslog Los enrutadores pueden ser configurados para enviar sus mensajes de log a
servidores syslog externos.
SNMP Si se encuentra habilitado, puede enviar a servidores SNMP externos para
registrar condiciones específicas.
AAA Accounting Si se esta utilizando la arquitectura Authentication, Autorization, Accounting de
CISCO, puede enviar el log al Network Access Server.
JCM-03 All rights reserved 19III JNSI ACIS 2003
Logging en Routers
Syslog Para configurar el logging remoto via esta estrategia En el enrutador:
router1#config terminal – Ingreso a sección de configuración Router1(Config) # Logging facility local6 – Identificando por
donde se envía la información Router1(Config) # logging trap errors Router1(Config) # Logging 172.16.13.1 Router1(Config) # ^Z
Nota Si se quiere conocer el tráfico asociado con las reglas o listas de
control acceso que tiene configuradas (deny), debe agregar la palabra log al final de la misma
Access-list 101 deny ip 200.200.200.0 0.0.0.255 any log
JCM-03 All rights reserved 20III JNSI ACIS 2003
Logging en Routers
Syslog Para configurar el logging remoto via esta estrategia
En el servidor destino: Existe un syslog server en Unix y Linux En Windows existen implementaciones:
Kiwi Syslog Winsyslog Nota: Con estas implementaciones pueden enviar logs a otras máquinas con
syslog instalados. Incluso en Unix
Identifique el archivo de syslog: /etc/syslog.conf Su formato generalmente es:
Facilidad.severidad logfile
Un ejemplo para la configuración previa: Local6.errors /var/log/router1
Mantenga monitoreo del puerto 514 (udp), preferiblemente utilice SSH para mantener una conexión confiable entre el enrutador y el servidor de logging.
JCM-03 All rights reserved 21III JNSI ACIS 2003
Prácticas de Seguridad en RoutersAcceso a la consola con login y contraseña.Asegurar el acceso al puerto AUX y las VTY con login y contraseñaNo configure el enrutador para ser servidor de TFTPNo conecte un módem al puerto de consolaDeshabilite telnet reverso a todos los puertos físicos.Deshabilite el telnet.Deshabilite acceso via HTTPDeshabilite protocolos y servicios innecesariosDeshabilithe SNMP, si no lo necesitaGenere una estrategia de logging coherente y confiable (conexión cifrada)Actualice la versión y parches del IOSIncluya los routers en pruebas de penetraciónGenere y actualice guías de hardening.Mantenga sincronizado la fecha y hora del equipo.No descuide el aseguramiento fìsico de los equipos y el control de acceso a los mismos.Efectúe administración remota con mecanismos de cifrado
JCM-03 All rights reserved 22III JNSI ACIS 2003
Computación Forense en Enrutadores
JCM-03 All rights reserved 23III JNSI ACIS 2003
Elementos básicos en Computación Forense
Aseguramiento de la escena del incidente Identificación y registro de información volátil Apagado adecuado Efectuar copia idéntica bit a bit Desarrollar el análisis sobre una de las copias idénticas
Análsis físico Partición Sectores dañados Datos fuera de la partición
Análisis lógico Archivos de metadatos Información de contexto y encabezados Directorios de archivos
Conjunto Archivos activos Sistema de archivos residual (en su estructura) Archivos eliminados
Generación del informe
JCM-03 All rights reserved 24III JNSI ACIS 2003
Computación Forense en Routers Aseguramiento de la escena del incidente
Sobre manera el control de acceso físico al dispositivo.
Identificación y registro de información volátil Es el ejercicio más crítico en la computación forense de enrutadores
Apagado adecuado No es viable hacerlo, pues se perderían todos los datos disponibles en el
enrutador.
Efectuar copia idéntica bit a bit Extraer toda la información relacionada con la configuración, IOS, ACL,
entre otras.
Desarrollar el análisis sobre una de las copias idénticas Sólo después de extraer la información con el sistema activo y en línea.
Generación del informe
JCM-03 All rights reserved 25III JNSI ACIS 2003
Extracción de Información en Routers
•Siempre inicie guardando su sesión de conexión con el enrutador ante de conectarse
•Frecuentemente ejecute el comando show clock detail
JCM-03 All rights reserved 26III JNSI ACIS 2003
Extracción de Información en Routers- Evidencia volátil-
terminal length 0 dir /all show clock detail show ntp show version show running-config show startup-config show reload show ip route show ip arp show users show logging
show ip interfaces show interfaces show access-lists show tcp brief all show ip sockets show ip nat translations verbose show ip cache flow show ip cef show snmp users show snmp groups show clock detail Exit
JCM-03 All rights reserved 27III JNSI ACIS 2003
Extracción de Información Routers- Datos externos -
Efectuar “scanning” de puertos al router Ejecutar alguna herramienta de verificación de
vulnerabilidades sobre enrutadores. Verificar y registrar con una autoridad de tiempo
confiable. Imprimir el resultado con el registro de tiempo incluido Vincule a un testigo para verificar la ejecución de este
ejercicio. Firma y fecha para la impresión de resultados. Firman
ambos involucrados Guarde las copias en lugar seguro y registro clasificado de
la diligencia.
NOTA: Este procedimiento debe ser idéntico para la recolección de
evidencia volátil presentado en el aparte anterior.
JCM-03 All rights reserved 28III JNSI ACIS 2003
Extracción de Información Routers- Herramienta automatizada -
Cisco Router Evidence Extractor Disk – CREED http://cybercrime.kennesaw.edu/creed
CREED está basado en la implementación de linux TomsRtBt, disponible en www.toms.net.
Creada por requerimiento de la Fuerza Aérea, para recolectar información forense de enrutadores CISCO.
La idea es crear un diskette de boot, el cual se coloca en un laptop. Luego se conecta el portátil desde su puerto serial al puerto de consola del
enrutador. Se reinicia el portátil con el diskette de boot previamente creado. Se ingresa al enrutador – Se digita “adquire” Se digita el comando “enable” para ingresar en modo privilegiado. Inicio de recolección.
El resultado de la ejecución de los comandos se registra en un archivo que queda como resultado en el diskette.
JCM-03 All rights reserved 29III JNSI ACIS 2003
Prácticas Forenses en Routers Los enrutadores deben mantener una estrategia de logging
externo que facilite la correlación de información de un incidente.
Debe existir un registro y control de la actualización del IOS.
La sincronización de tiempo vía NTP es crítica para efectos forenses.
Concientizar a los administradores de redes, de la evidencia que generan los enrutadores.
Es necesario que las guías de atención de incidentes contemplen información generada por los enrutadores.
JCM-03 All rights reserved 30III JNSI ACIS 2003
Conclusiones Los routers NO SON CAJAS NEGRAS. Requieren aseguramiento
equivalente al de cualquier servidor
Es necesario profundizar en el estudio de los sistemas operacionales. Particularmente en IOS: funciones internas, control y administración de memoria, entre otros.
Los Switch también pueden ser vulnerables a ataques semejantes a los vistos en la presentación.
Se requiere establecer una estrategia de Evaluación de Perímetro en Profundidad: Ver RE.D.AR
Es necesario asegurar el cumplimiento de los servicios de seguridad en los enrutadores – A2CAN
Autenticación Autorización Control de acceso Auditabilidad No repudio
JCM-03 All rights reserved 31III JNSI ACIS 2003
Referencias
Shaughnessy, T y Velte, T. (2000) Manual de Cisco. McGraw Hill.Prosise, C y Mandia, K. (2001) Incident Response: Investigating Computer Crime. McGraw Hill.Akin, T. (2002) Hardening Cisco Routers. O’Really.Kaeo, M. (1999) Designing Network Security. Cisco Press.Northcutt, S et al (2003) Insider Network Perimeter Security. News RidersSedayao, J. (2001) Cisco IOS Access list. O’Really.Garfinkel, S y Spafford, G. (1996) Practical Unix and Internet Security. Second Edition. O’Really.Proctor, P y Byrnes, F. (2002) The secured enterprise. Prentice Hall.SANS (2002) Routers Security: Step by Step. http://www.sansstore.org.Stuckless, C. (2000) SANS GIAC Firewall and Perimeter protection Practical Assignment. http://www.sans.org/y2k/practical/Colin_Stuckless.docWright, J. (2002) SANS GIAC Incident Handling Red Team Assessment of Parliament Hill Firewall. http://www.giac.org/practical/Joshua_Wright_GCIH.zipCisco. (2000) Improving Security on Cisco Routers. http://www.cisco.com/warp/public/707/21.htmlGaius. (2000) Things to do in Cisco Land when you’re dead. Phrack Magazine. No.56. http://www.phrack.orgGraesser, D. (2001) Cisco Router Hardening Step by Step. Sans Institute. Information Security Reading Room. http://rr.sans.org/firewall/router2.php
JCM-03 All rights reserved 32III JNSI ACIS 2003
Referencias
Langley, R. (2001) Securing your internet access router. http://www.sans.org/infosecFAQ/firewall/router.htmNetwork Computing (1999) The cost of Security on Cisco Routers. http://www.networkcomputing.com/1004/1004ws22.htmlWinters, S. (2000) Top Ten Blocking Recommendations Using Cisco ACL’s securing perimeter with Cisco IOS 12 Routers. http://www.sans.org/infosecFAQ/firewall/blocking_cisco.htmAntoine, V et al. (2001) Router Security Recommendation Guide. Version 1.0. National Security Agency. http://nsa1.www.conxion.com/cisco/index.htmlAntoine, V et al. (2001) NSA Router Security Recommendation Guide: Executive Summary Card. http://nsa1.www.conxion.com/cisco/index.htmlHeld, G y Hundley, K. (1999) Cisco Security Architectures. McGraw HillCISecurity. Router Audit Tool. The Center for Internet Security http://www.cisecurity.org/ .Stewart, B. (2002) Router Audit Tool: Securing Cisco Routers Made Easy. http://www.sans.org/rr/netdevices/cisco_RAT.phpThomas, R. (2002) Secure IOS Template Version 2.6. http://www.cymru.com/Documents/secure-ios-template.htmlUnknown. Improving Security on Cisco Routers, Cisco Systems, Date Unknown.http://www.cisco.com/warp/public/707/21.htmlUnknown. Increasing Security on IP Networks, Cisco Systems, Date Unknownhttp://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs003.htmCisco Router IOS Memory Maps. Ubicación en el web: http://www.cisco.com/warp/public/112/appB.html
JCM-03 All rights reserved 33III JNSI ACIS 2003
Preguntas, dudas, sugerencias, ....
Preocupaciones, Sustos, paranoias!!...
Consideraciones Forenses y de Seguridad en Enrutadores
Conceptos, herramientas y prácticas
Jeimy J. Cano, Ph.DUniversidad de los Andes