Seguridad en un Proveedor de Servicios de Internet (ISP)

Anuncio
Seguridad en un
Proveedor de Servicios de Internet (ISP)
Ing. Carlos Martínez - Ing. Leonardo Vidal
Anteldata
www.antel.com.uy
Introducción
• Exponer los problemas de seguridad más
relevantes a los que está expuesto un ISP, su
impacto en él y en sus clientes y las posibles
soluciones para evitarlos o minimizar su
impacto.
Problemática actual
• La propia esencia de un ISP de mediano y gran
porte hace que su perímetro sea heterogéneo.
– Diferentes tecnologías
– Diferentes servicios
– Fronteras amplias
Problemática actual
• El crecimiento exponencial de los servicios de
banda ancha (ADSL) desde la persectiva de la
seguridad, puede ser un problema
– Miles de computadoras conectadas a
Internet, en promedio varias horas por día,
con velocidades importantes y con
capacidades de procesamiento apreciables
son tentadoras para los atacantes
Problemática actual
• La seguridad de las computadoras hogareñas no
es una prioridad de la mayoría de la población
• En general, en seguridad, se es “reactivo”.
• Los sistemas operativos no son seguros.
• Las aplicaciones no son seguras.
• Desde que se conoce una vulnerabilidad hasta
que se desarrolla el parche que la corrige
puede pasar un tiempo apreciable (días,
meses,...) y hasta que se aplica más aún
(¿años?)
Problemática actual
• Estamos rodeados de
– Intentos de robo de identidad
• Phishing
• Pharming
– Virus, spyware y otros malwares
• Bot Nets
– Intentos de denegación de servicio
Problemática Actual
• Robo de Identidad
Problemática Actual
• Bot Nets
1. El “operador” infecta
PC’s de usuarios
2. Los “bots” se conectan a
una red IRC u otro canal
de comunicaciones
3. Un spammer “compra”
acceso a la botnet para
enviar sus correos
4. El spammer envia
comandos via IRC
5. El spam llega a otros
sistemas
Problemática actual
• Además
– DoS (Denial of Service)
• “Ataque cuyo objetivo es lograr que un recurso
informático sea inaccesible para los usuarios
legítimos del mismo”
• En un entorno de ISP : distintos tipos de flooding
– ICMP y UDP flooding
– IP de origen en general falsa (spoofing)
– DDoS (Distributed Denial of Service)
• Direcciones de origen distribuidas en un rango
muy amplio del espacio de direccionamiento IP
Problemática Actual
• Consecuencias del DoS / DDoS van mas allá del
blanco específico
– Saturación de equipos y enlaces intermedios
perjudica a otros usuarios
• Dirección de origen “falsa”
– Difícil de filtrar! (perímetro difuso)
• Ataque distribuido
– Muy difícil de filtrar sin empeorar la
situación aun mas
Problemática actual
• Problemas de seguridad de los ISP
– Los problemas mencionados antes los sufren
en general los clientes; los que veremos en
las próximas diapositivas los sufren los ISPs,
pero terminan perjudicando a los clientes
también
– Protocolo de enrutamiento
• Interior
• Exterior
– DNS (¿el servicio olvidado?)
Problemática actual
• Protocolo de enrutamiento interior
– Aquel que utiliza el ISP en su red para
encaminar los paquetes de los clientes (RIP,
OSPF).
– Si se logra envenenar una tabla de
enrutamiento, se puede redirigir el tráfico de
los clientes.
Problemática actual
• Protocolo de enrutamiento exterior
– Aquel que utiliza el ISP para conocer las
redes de otros proveedores y hacer conocer
las suyas (BGP).
– Si las sesiones BGP caen, vivimos la
inalcanzabilidad.
– BGP se soporta sobre conexiones TCP.
• TCP tiene sus propios problemas de seguridad.
Problemática actual
• DNS (Domain Name System)
– Es un servicio casi nunca utilizado
directamente por los usuarios pero sí
indirectamente por todas las aplicaciones
– Brinda flexibilidad y comodidad
– Su indisponibilidad afecta a todas las
aplicaciones
– Cada vez más involucrado en incidentes de
seguridad por su impacto en las aplicaciones
(principal target de los incidentes actuales)
Solución
• “La” solución no existe.
• Todo parece indicar que lo más adecuado es
combinar soluciones, niveles de seguridad, en
diferentes capas y tener varias fronteras que
nos separen del enemigo.
• Ejemplos
– Autenticación: combinar métodos
– Más de un firewall
Solución para enrutamiento interior
• Integridad del dominio de routing
• “Hablar” el protocolo sólo con quien debemos
– “Autenticar” neighbors
• En las interfaces adecuadas
• Hash de los mensajes intercambiados
• Anillo antispoofing
Solución para enrutamiento exterior
• Mecanismos que chequean el campo TTL de los
mensajes involucrados
– RFC 3682
• Protección de las sesiones BGP con: shared key,
MD5
– RFC 2385
• Filtrar por número de AS, por prefijos
Solución para DNS
• Split DNS
– Generar vistas distintas según quién realice
la consulta
• Recursivo y no recursivo
– Especializar las tareas de los servidores que
implementan los servicios DNS
Solución para DNS
• DNSSEC
– Proteger los mensajes “Query/Response”
• Firma de los registros de una zona y posterior
verificación de la misma por parte de quien
recibe el “response”
• Varios nuevos registros involucrados
– RRSIG, DNSKEY, NSEC, DS
Solución para DNS
• TSIG
• Autenticar el origen del mensaje y su integridad
• Clave secreta compartida
• Hash
• No escalable: Update dinámico y transferencia de
zonas
• Registro TSIG: hash, algoritmo, key name,
timestamp (NTP), delta de validez
Envenenando el caché del DNS
• Envenenar el caché de un servidor DNS
– Cambiar
telcom2006.fing.edu.uy
IN A
dir_IP_verdadera
por
telcom2006.fing.edu.uy
IN A
dir_IP_falsa
• Si se pretende realizar un phishing, ya no se debe
preocupar por “confundir al usuario con la URL”.
• Si se pretende descargarle un malware al usuario, se
podrá hacer desde una URL “confiable”
Conclusiones
• La heterogeneidad de las fronteras de un SP
(ISP) y de los servicios brindados condiciona
fuertemente para que se deban implementar
medidas de seguridad “para cada caso”
• Los incidentes de seguridad actuales obligan a
implementar un conjunto de medidas de
seguridad
Muchas gracias por su atención
[email protected]
[email protected]
www.antel.com.uy
Descargar