grupo de trabajo de seguridad v reunión iris-cert oviedo 15 de noviembre de 1999
DESCRIPTION
Grupo de Trabajo de Seguridad V Reunión IRIS-CERT Oviedo 15 de noviembre de 1999. AGENDA. Informe IRIS-CERT Estadísticas de incidentes y tendencias Servidor de claves PGP Tendencia de uso Iniciativa de uso de PGP en RedIRIS Foros de seguridad Internacionales Documentación Pilotos en curso - PowerPoint PPT PresentationTRANSCRIPT
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
Grupo de Trabajo de Seguridad
V Reunión IRIS-CERT
Oviedo 15 de noviembre de 1999
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
Informe IRIS-CERT Estadísticas de incidentes y tendencias Servidor de claves PGP
Tendencia de uso Iniciativa de uso de PGP en RedIRIS
Foros de seguridad Internacionales Documentación
Pilotos en curso Auditoría bajo demanda Cert’eM IRIS-PCA
Tutorial: obtención de puntos de contacto Sugerencias y preguntas
AGENDAAGENDA
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
INCIDENTES (Enero-Octubre 1999)INCIDENTES (Enero-Octubre 1999)
Incidentes totales: 162 Incidentes de ámbito internacional: 31 (19%) Incidentes con origen o destino internacional: 127
(78%) Incidentes que implican instituciones afiliadas: 152
(93%) El 35% de los incidentes no se solucionan nunca Incidentes por máxima prioridad alcanzada:
Baja: 94 (58%) Normal: 30 (19%) Alta: 38 (23%) Emergencia: 0 (0%)
Con respecto al mismo periodo del año anterior 47% más de incidentes totales. Incremento mayor: 177.78% en el mes de Octubre
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
INCIDENTES DESDE ENERO DE 1999 POR PRIORIDAD
INCIDENTES DESDE ENERO DE 1999 POR PRIORIDAD
ene-99feb-99mar-99abr-99may-99jun-99jul-99ago-99sep-99oct-99
bajanormal
altatotal0
5
10
15
20
25
30
baja
normal
alta
total
bajanormal
altatotal
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
MAIL SPAMMAIL SPAM
78 incidentes reportados desde Abril de 1999
29 incidentes han sido resueltos (62.82%)
59 Instituciones afectadas 29 Universidades 30 Instituciones de tamaño pequeño
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
INCIDENTES MÁS COMUNESINCIDENTES MÁS COMUNES
Utilización de herramientas automatizadas (mscan, nmap, sscan)
Empleo de un exploit conocido (imap, pop, ftp, mountd, servicios rpc, cgi-bin, ...)
Escaneo de puertos e intentos de acceso no autorizado
MAIL SPAM DoS (smurf, UDP DoS, ICMP, ...) Utilización sniffer de red
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
CAUSAS MÁS COMUNESCAUSAS MÁS COMUNES
SISTEMAS SIN ACTUALIZAR
EQUIPOS SIN ADMINISTRAR
OTROS
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
ALGUNAS CONCLUSIONESALGUNAS CONCLUSIONES
Incremento de incidentes con respecto a años anteriores
Recuperación rápida ante un incidente para evitar su propagación
Gran cantidad de incidentes sin resolver Necesidad de puntos de contacto estables en las instituciones
Implantación de medidas preventivas
Necesidad actualización información on-line
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
SERVIDOR DE CLAVES PÚBLICAS PGP
SERVIDOR DE CLAVES PÚBLICAS PGP
http://www.rediris.es/keyserver Facilita el intercambio de claves públicas
PGP No garantiza la validez de las claves
recurrir firmas incorporadas en ellas Novedades:
Nueva versión del servidor (pksd-0.9.4) Estadísticas de uso www.rediris.es/pgp/doc/keyserver.es.html
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
INICIATIVA DE USO DE PGPINICIATIVA DE USO DE PGP
http://www.rediris.es/pgp/ipgp.html Objetivos
Promover el uso del correo electrónico seguro en la comunidad
Crear redes de confianza (responsables técnicos, administradores de listas, ...)
Documentar y fomentar el uso del Servidor de Claves Públicas PGP
Foro de discusión : MAIL-PGP
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
INICIATIVA DE USO DE PGPINICIATIVA DE USO DE PGP
Actividades: Generación de un protocolo de firma de
direcciones genéricas (postmaster, cert, noc, ..)
Celebración I Reunión de Firmado de Claves Disponibilidad de información on-line
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
FOROS INTERNACIONES (I)FOROS INTERNACIONES (I)
FIRST Crecimiento de los grupos miembros Evolución progresiva hacia una organización
estable Aspectos a destacar
Problemas de seguridad (ataques). Aspectos legales sobre peritaje informático. Problemas de seguridad específicos
Abierto el plazo para la presentación de ponencias para la próxima reunión
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
FOROS INTERNACIONES (II)FOROS INTERNACIONES (II)
EuroCert Finalización del piloto, sin llegar a tener un
servicio estable. Creación de un “foro de debate” sobre el
futuro de la coordinación de seguridad en Europa
En resumen, todo por definir.
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
ELABORACIÓN DE DOCUMENTACIÓNELABORACIÓN DE DOCUMENTACIÓN
Próxima versión de las recomendaciones de seguridad. Varios formatos (PS, PDF, HTML),
correcciones en formato y texto. Inclusión de Otros S.O.
Documentación sobre contactos de seguridad
Formulario de información sobre incidentes
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
AUDITORÍA DE SEGURIDADAUDITORÍA DE SEGURIDAD
Comprobación de los sistemas de seguridad en las instituciones afiliadas. Comprobaciones de las medidas frente a
accesos externos. Solamente previa petición del PER. Elaboración al final de un informe sobre
las vulnerabilidades encontradas.
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
Cert’eMCert’eM
Certificación y autenticación basadas en correo electrónico
Situación actual: PGP 5.x (claves DSS y RSA) Servidor mejorado
PGPsdk (Software Development Kit) Posibilidad de incluir Certificados X509
Desarrollo de diversas aplicaciones basadas en la infraestructura Cert’eM
Próximamente: Estadísticas de rendimiento del sistema
[email protected] www.rediris.es/cert/certem/
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
PILOTO DE CERTIFICACIÓN (I)PILOTO DE CERTIFICACIÓN (I)
Política de Certificación Flexibilización de los protocolos de emisión de
CDIP y CDS Emisión de CDIP: modelo centralizado y
distribuido Coexistencia de identidades de la PCA Definido protocolo para la revocación o
compromiso de la clave privada de la PCA
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
PILOTO DE CERTIFICACIÓN (II)PILOTO DE CERTIFICACIÓN (II)
Emisión de Certificados Digitales por parte de la PCA correo electrónico
CSR (Certificate Signing Request) PKCS#10 Documento de solicitud y acuerdo legal firmado
digitalmente correo postal certificado
Documento solicitud y acuerdo legal Política de Certificación Designación formal del responsable técnico directo
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
PILOTO DE CERTIFICACIÓN (III)PILOTO DE CERTIFICACIÓN (III)
Realizadas pruebas de revocación Problemas NetScape/CRL v.2 Imposibilidad
de trabajar con extensiones en las CRL
Realizadas pruebas coexistencia identidades de la PCA
Realizados scripts de gestión de la PCA y páginas WWW
Lista GTI-PCA
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
PILOTO DE CERTIFICACIÓN (IV)PILOTO DE CERTIFICACIÓN (IV)
Situación actual: Pendiente firma digital de documento de
solicitud Pruebas listas de suspensión y reactivación de
certificados Consolidación decisiones adoptadas y aspectos
técnicos en la V Reunión IRIS-PCA Prueba de herramientas:
Proyecto OpenCA Proyecto Oscar
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
PUNTOS DE CONTACTOPUNTOS DE CONTACTO
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
GESTIÓN DE INCIDENTES POR IRIS-CERT GESTIÓN DE INCIDENTES POR IRIS-CERT
Correos con copia (CC)(siempre responder indicando que se ha recibido el
mensaje e indicando el procedimiento de actuación.) Incidentes graves: Contactar con la institución afiliada
implicada por si necesitan nuestra colaboración. Anotación del incidente para fines estadísticos,
tendencias, etc. Correos dirigidos a IRIS-CERT.
Contacto con las organizaciones implicadas. Apertura y seguimiento de incidente si es preciso.
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
¿ QUE ENVIAR ?¿ QUE ENVIAR ?
Enviar indicación: Fecha (GTM), zona horaria y zona geográfica Equipos origen. Información (logs) sobre el incidente.
Enviar a: Equipos de la organización (cert, abuse,etc.) Contactos de whois.
Copia siempre a IRIS-CERT (y grupos de seguridad con ámbito de actuación sobre la dirección origen
EMPLEAR CRIPTOGRAFÍA (¿PGP?) PARA ASEGURAR LA INTEGRIDAD Y O CONDIDENCIALIDAD DE LOS DATOS
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
HERRAMIENTASHERRAMIENTAS
Objetivo: ¿Cómo buscar un punto de contacto, de un equipo o dirección ? DNS Whois Traceroute Consulta directa Equipos de Seguridad Internacionales
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
DNS DNS
Todas los nombres DNS se resuelven (como mínimo a una IP Obtención de la dirección IP Obtención del posible dominio. Obtención del responsable (SOA)
Problemas: Resolución inversas incorrectas Datos no actualizados IP dinámicas
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
BUSQUEDAS EN DNSBUSQUEDAS EN DNS
Búsqueda de una dirección IP en función de nombre
nslookup chico.rediris.esServer: sun.rediris.esAddress: 130.206.1.2
Name: chico.rediris.esAddress: 130.206.1.3
Búsqueda del nombre y dominio de una dirección:
nslookup 130.206.1.3Server: sun.rediris.esAddress: 130.206.1.2
Name: chico.rediris.esAddress: 130.206.1.3
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
CONSULTAS EN DNS CONSULTAS EN DNS
Búsqueda del responsable del dominio:
nslookup Default Server: sun.rediris.esAddress: 130.206.1.2
> set type=SOA> chico.rediris.esServer: ..Rediris.es
Origin= sun.rediris.esmail addr = hostmaster.rediris.es.....
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
CONSULTAS EN DNS (II) CONSULTAS EN DNS (II)
Búsqueda de equipos de correo secundarios
nslookup Default Server: sun.rediris.esAddress: 130.206.1.2
> set type=MX> fcu.um.esServer: ..Rediris.es
fcu.um.es preference =20 mail exchanger = zape.um.esfcu.um.es preference =10 mail exchanger = chico.rediris.es
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
WHOISWHOIS
Proporcionan información sobre quien tiene asignado una dirección IP.
Información distribuida en varios servidores independientes. (Europa, Asia, América).
Existen mecanismos de acceso desde los dominios de 1º nivel (por ejemplo el del es-nic, http://www.nic.es/whois/index.asp).
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
EJEMPLO DE WHOIS EJEMPLO DE WHOIS
$ whois -h whois.cdnnet.ca example.ca
Subdomain: example.ca Date-Received: 1998/11/24 Date-Approved: 1998/12/01 Organization: Example Construction Inc Type: For-Profit Corporation Description: Construction company Admin-Name: Jane Q. Admin Admin-Title: Owner Admin-Postal: Example Construction Inc 123 Example Rd Industrial Park P.O.Box 9876 Exampleplace NB E2L3V9 Admin-Phone: +1 555-123-1234 Admin-Fax: +1 555-123-9876 Admin-Mailbox: [email protected] Tech-Name: ExampleISP Domain Name Registrar Tech-Title: ExampleISP Domain Name Registrar Tech-Postal: ExampleISP Inc One ExampleISP Parkway Exampleplace, N.B. E2L3V9 Tech-Phone: +1 (555) 987-6543 Tech-Fax: +1 (555) 987-1234 Tech-Mailbox: [email protected] NS1-Hostname: ns1.exampleisp.ca NS2-Hostname: ns2.exampleisp.ca
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
TRACEROUTE TRACEROUTE
Traceroute permite ver por que equipos pasa los paquetes IP hasta llegar al destino, así podemos ver cual es la organización que le da soporte a una la dirección IP y buscar puntos de contacto en este proveedor.
$ traceroute host3.example-site.edu traceroute to host3.example-site.edu (10.72.0.176), 30 hops max 1 hop1.reporting-site.com (10.112.1.2) 2 ms 2 ms 1 ms 2 hop2.transit-network.net (10.288.114.254) 2 ms 2 ms 2 ms 3 ....
hop9.example-upstream.net (10.4.1.202) 24 ms 25 ms 26 ms 10 hop10.example-site.edu (10.192.33.3) 24 ms 26 ms 26 ms 11 hop11.example-site.edu (10.72.0.11) 27 ms 25 ms 27 ms 12 host3.example-site.edu (10.72.0.176) 26 ms 27 ms 26 ms
URL: www.rediris.es/cert/ Centro de Comunicaciones CSIC RedIRIS
OTRAS FORMASOTRAS FORMAS
Consultas al servidor de WWW de la organización, del proveedor, etc.
Buscar en el proveedor de servicios, dominios de mayor nivel, etc.
Buscar algún grupo de seguridad (FIRST, EuroCert, IRIS-CERT,...) con el que contactar.