grupo de trabajo de seguridad v reunión iris-cert oviedo 15 de noviembre de 1999

URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS

Grupo de Trabajo de Seguridad

V Reunión IRIS-CERT

Oviedo 15 de noviembre de 1999


Informe IRIS-CERT Estadísticas de incidentes y tendencias Servidor de claves PGP

Tendencia de uso Iniciativa de uso de PGP en RedIRIS

Foros de seguridad Internacionales Documentación

Pilotos en curso Auditoría bajo demanda Cert’eM IRIS-PCA

Tutorial: obtención de puntos de contacto Sugerencias y preguntas

AGENDAAGENDA


INFORMEINFORME


INCIDENTES (Enero-Octubre 1999)INCIDENTES (Enero-Octubre 1999)

Incidentes totales: 162 Incidentes de ámbito internacional: 31 (19%) Incidentes con origen o destino internacional: 127

(78%) Incidentes que implican instituciones afiliadas: 152

(93%) El 35% de los incidentes no se solucionan nunca Incidentes por máxima prioridad alcanzada:

Baja: 94 (58%) Normal: 30 (19%) Alta: 38 (23%) Emergencia: 0 (0%)

Con respecto al mismo periodo del año anterior 47% más de incidentes totales. Incremento mayor: 177.78% en el mes de Octubre


INCIDENTES DESDE ENERO DE 1999 POR PRIORIDAD

INCIDENTES DESDE ENERO DE 1999 POR PRIORIDAD

ene-99feb-99mar-99abr-99may-99jun-99jul-99ago-99sep-99oct-99

bajanormal

altatotal0

5

10

15

20

25

30

baja

normal

alta

total

bajanormal

altatotal


MAIL SPAMMAIL SPAM

78 incidentes reportados desde Abril de 1999

29 incidentes han sido resueltos (62.82%)

59 Instituciones afectadas 29 Universidades 30 Instituciones de tamaño pequeño


INCIDENTES MÁS COMUNESINCIDENTES MÁS COMUNES

Utilización de herramientas automatizadas (mscan, nmap, sscan)

Empleo de un exploit conocido (imap, pop, ftp, mountd, servicios rpc, cgi-bin, ...)

Escaneo de puertos e intentos de acceso no autorizado

MAIL SPAM DoS (smurf, UDP DoS, ICMP, ...) Utilización sniffer de red


CAUSAS MÁS COMUNESCAUSAS MÁS COMUNES

SISTEMAS SIN ACTUALIZAR

EQUIPOS SIN ADMINISTRAR

OTROS


ALGUNAS CONCLUSIONESALGUNAS CONCLUSIONES

Incremento de incidentes con respecto a años anteriores

Recuperación rápida ante un incidente para evitar su propagación

Gran cantidad de incidentes sin resolver Necesidad de puntos de contacto estables en las instituciones

Implantación de medidas preventivas

Necesidad actualización información on-line


SERVIDOR DE CLAVES PÚBLICAS PGP

SERVIDOR DE CLAVES PÚBLICAS PGP

http://www.rediris.es/keyserver Facilita el intercambio de claves públicas

PGP No garantiza la validez de las claves

recurrir firmas incorporadas en ellas Novedades:

Nueva versión del servidor (pksd-0.9.4) Estadísticas de uso www.rediris.es/pgp/doc/keyserver.es.html


INICIATIVA DE USO DE PGPINICIATIVA DE USO DE PGP

http://www.rediris.es/pgp/ipgp.html Objetivos

Promover el uso del correo electrónico seguro en la comunidad

Crear redes de confianza (responsables técnicos, administradores de listas, ...)

Documentar y fomentar el uso del Servidor de Claves Públicas PGP

Foro de discusión : MAIL-PGP


INICIATIVA DE USO DE PGPINICIATIVA DE USO DE PGP

Actividades: Generación de un protocolo de firma de

direcciones genéricas (postmaster, cert, noc, ..)

Celebración I Reunión de Firmado de Claves Disponibilidad de información on-line


FOROS INTERNACIONES (I)FOROS INTERNACIONES (I)

FIRST Crecimiento de los grupos miembros Evolución progresiva hacia una organización

estable Aspectos a destacar

Problemas de seguridad (ataques). Aspectos legales sobre peritaje informático. Problemas de seguridad específicos

Abierto el plazo para la presentación de ponencias para la próxima reunión


FOROS INTERNACIONES (II)FOROS INTERNACIONES (II)

EuroCert Finalización del piloto, sin llegar a tener un

servicio estable. Creación de un “foro de debate” sobre el

futuro de la coordinación de seguridad en Europa

En resumen, todo por definir.


ELABORACIÓN DE DOCUMENTACIÓNELABORACIÓN DE DOCUMENTACIÓN

Próxima versión de las recomendaciones de seguridad. Varios formatos (PS, PDF, HTML),

correcciones en formato y texto. Inclusión de Otros S.O.

Documentación sobre contactos de seguridad

Formulario de información sobre incidentes


PILOTOSPILOTOS


AUDITORÍA DE SEGURIDADAUDITORÍA DE SEGURIDAD

Comprobación de los sistemas de seguridad en las instituciones afiliadas. Comprobaciones de las medidas frente a

accesos externos. Solamente previa petición del PER. Elaboración al final de un informe sobre

las vulnerabilidades encontradas.


Cert’eMCert’eM

Certificación y autenticación basadas en correo electrónico

Situación actual: PGP 5.x (claves DSS y RSA) Servidor mejorado

PGPsdk (Software Development Kit) Posibilidad de incluir Certificados X509

Desarrollo de diversas aplicaciones basadas en la infraestructura Cert’eM

Próximamente: Estadísticas de rendimiento del sistema

[email protected] www.rediris.es/cert/certem/


PILOTO DE CERTIFICACIÓN (I)PILOTO DE CERTIFICACIÓN (I)

Política de Certificación Flexibilización de los protocolos de emisión de

CDIP y CDS Emisión de CDIP: modelo centralizado y

distribuido Coexistencia de identidades de la PCA Definido protocolo para la revocación o

compromiso de la clave privada de la PCA


PILOTO DE CERTIFICACIÓN (II)PILOTO DE CERTIFICACIÓN (II)

Emisión de Certificados Digitales por parte de la PCA correo electrónico

CSR (Certificate Signing Request) PKCS#10 Documento de solicitud y acuerdo legal firmado

digitalmente correo postal certificado

Documento solicitud y acuerdo legal Política de Certificación Designación formal del responsable técnico directo


PILOTO DE CERTIFICACIÓN (III)PILOTO DE CERTIFICACIÓN (III)

Realizadas pruebas de revocación Problemas NetScape/CRL v.2 Imposibilidad

de trabajar con extensiones en las CRL

Realizadas pruebas coexistencia identidades de la PCA

Realizados scripts de gestión de la PCA y páginas WWW

Lista GTI-PCA


PILOTO DE CERTIFICACIÓN (IV)PILOTO DE CERTIFICACIÓN (IV)

Situación actual: Pendiente firma digital de documento de

solicitud Pruebas listas de suspensión y reactivación de

certificados Consolidación decisiones adoptadas y aspectos

técnicos en la V Reunión IRIS-PCA Prueba de herramientas:

Proyecto OpenCA Proyecto Oscar


PUNTOS DE CONTACTOPUNTOS DE CONTACTO


GESTIÓN DE INCIDENTES POR IRIS-CERT GESTIÓN DE INCIDENTES POR IRIS-CERT

Correos con copia (CC)(siempre responder indicando que se ha recibido el

mensaje e indicando el procedimiento de actuación.) Incidentes graves: Contactar con la institución afiliada

implicada por si necesitan nuestra colaboración. Anotación del incidente para fines estadísticos,

tendencias, etc. Correos dirigidos a IRIS-CERT.

Contacto con las organizaciones implicadas. Apertura y seguimiento de incidente si es preciso.


¿ QUE ENVIAR ?¿ QUE ENVIAR ?

Enviar indicación: Fecha (GTM), zona horaria y zona geográfica Equipos origen. Información (logs) sobre el incidente.

Enviar a: Equipos de la organización (cert, abuse,etc.) Contactos de whois.

Copia siempre a IRIS-CERT (y grupos de seguridad con ámbito de actuación sobre la dirección origen

EMPLEAR CRIPTOGRAFÍA (¿PGP?) PARA ASEGURAR LA INTEGRIDAD Y O CONDIDENCIALIDAD DE LOS DATOS


HERRAMIENTASHERRAMIENTAS

Objetivo: ¿Cómo buscar un punto de contacto, de un equipo o dirección ? DNS Whois Traceroute Consulta directa Equipos de Seguridad Internacionales


DNS DNS

Todas los nombres DNS se resuelven (como mínimo a una IP Obtención de la dirección IP Obtención del posible dominio. Obtención del responsable (SOA)

Problemas: Resolución inversas incorrectas Datos no actualizados IP dinámicas


BUSQUEDAS EN DNSBUSQUEDAS EN DNS

Búsqueda de una dirección IP en función de nombre

nslookup chico.rediris.esServer: sun.rediris.esAddress: 130.206.1.2

Name: chico.rediris.esAddress: 130.206.1.3

Búsqueda del nombre y dominio de una dirección:

nslookup 130.206.1.3Server: sun.rediris.esAddress: 130.206.1.2

Name: chico.rediris.esAddress: 130.206.1.3


CONSULTAS EN DNS CONSULTAS EN DNS

Búsqueda del responsable del dominio:

nslookup Default Server: sun.rediris.esAddress: 130.206.1.2

> set type=SOA> chico.rediris.esServer: ..Rediris.es

Origin= sun.rediris.esmail addr = hostmaster.rediris.es.....


CONSULTAS EN DNS (II) CONSULTAS EN DNS (II)

Búsqueda de equipos de correo secundarios

nslookup Default Server: sun.rediris.esAddress: 130.206.1.2

> set type=MX> fcu.um.esServer: ..Rediris.es

fcu.um.es preference =20 mail exchanger = zape.um.esfcu.um.es preference =10 mail exchanger = chico.rediris.es


WHOISWHOIS

Proporcionan información sobre quien tiene asignado una dirección IP.

Información distribuida en varios servidores independientes. (Europa, Asia, América).

Existen mecanismos de acceso desde los dominios de 1º nivel (por ejemplo el del es-nic, http://www.nic.es/whois/index.asp).


EJEMPLO DE WHOIS EJEMPLO DE WHOIS

$ whois -h whois.cdnnet.ca example.ca

Subdomain: example.ca Date-Received: 1998/11/24 Date-Approved: 1998/12/01 Organization: Example Construction Inc Type: For-Profit Corporation Description: Construction company Admin-Name: Jane Q. Admin Admin-Title: Owner Admin-Postal: Example Construction Inc 123 Example Rd Industrial Park P.O.Box 9876 Exampleplace NB E2L3V9 Admin-Phone: +1 555-123-1234 Admin-Fax: +1 555-123-9876 Admin-Mailbox: [email protected] Tech-Name: ExampleISP Domain Name Registrar Tech-Title: ExampleISP Domain Name Registrar Tech-Postal: ExampleISP Inc One ExampleISP Parkway Exampleplace, N.B. E2L3V9 Tech-Phone: +1 (555) 987-6543 Tech-Fax: +1 (555) 987-1234 Tech-Mailbox: [email protected] NS1-Hostname: ns1.exampleisp.ca NS2-Hostname: ns2.exampleisp.ca


TRACEROUTE TRACEROUTE

Traceroute permite ver por que equipos pasa los paquetes IP hasta llegar al destino, así podemos ver cual es la organización que le da soporte a una la dirección IP y buscar puntos de contacto en este proveedor.

$ traceroute host3.example-site.edu traceroute to host3.example-site.edu (10.72.0.176), 30 hops max 1 hop1.reporting-site.com (10.112.1.2) 2 ms 2 ms 1 ms 2 hop2.transit-network.net (10.288.114.254) 2 ms 2 ms 2 ms 3 ....

hop9.example-upstream.net (10.4.1.202) 24 ms 25 ms 26 ms 10 hop10.example-site.edu (10.192.33.3) 24 ms 26 ms 26 ms 11 hop11.example-site.edu (10.72.0.11) 27 ms 25 ms 27 ms 12 host3.example-site.edu (10.72.0.176) 26 ms 27 ms 26 ms


OTRAS FORMASOTRAS FORMAS

Consultas al servidor de WWW de la organización, del proveedor, etc.

Buscar en el proveedor de servicios, dominios de mayor nivel, etc.

Buscar algún grupo de seguridad (FIRST, EuroCert, IRIS-CERT,...) con el que contactar.


SUGERENCIAS Y PREGUNTASSUGERENCIAS Y PREGUNTAS

¿ ?

grupo de trabajo de seguridad v reunión iris-cert oviedo 15 de noviembre de 1999

Documents