SeguridadInformáticahaciaequiposRouterOS
• «El único sistema verdaderamenteseguro es aquel que se encuentraapagado, encerrado en una cajafuerte de titanio, enterrado en unbloque de hormigón, rodeado degas nervioso y vigilado por guardiasarmados y muy bien pagados.Incluso entonces, yo no apostaríami vida por ello».
• Gene Spafford, experto enseguridad informática.
PresentaciónPersonalPersonal
AndrésOcampoDávila
• SupervisorGeneraldeTelecomunicaciones,iPlanet
• MSCenAdministracióndeTIeINGenElectrónicayTelecomunicaciones
• ConsultorCertificadoMikrotik
• CertificacionesMikrotik• MTCTCE;MTCNA
• CertificacionesCisco
• CCNARoutingandSwitching; CCNASecurity;CCNPRoutingandSwitching
• ExperienciaenMikrotik desde2013
Vulnerabilidad• De acuerdo con la Real Academia de la Lengua:
• Vulnerabilidad:Que puede ser herido o recibir lesión, física o moralmente
• En seguridad informática• Una vulnerabilidad es una debilidad del sistema informáticoque puede ser utilizada para causar daño u obtenerinformación importante. Las debilidades pueden aparecer encualquiera de los elementos de una computadora, tanto en elhardware, el sistema operativo, cómo en el software.
• En equipos de red• Vulnerabilidad es una falencia en la configuración de seguridaddel equipo, bugs de software o permitir el acceso por hardwareel cuál permite tomar el control del equipo para realizarataques hacia dispositivos finales
Anatomíadeunataqueinformático• Laideaespensarcomounatacante!
• Aprovecharesashabilidadesparacomprenderyanalizarlaformaenquelosatacantesllevanacabounembatehacialosequiposdered
1.Reconocimiento
2.Exploración
3.ObtenerAcceso
4.MantenerAcceso
5.BorrarHuellas
1.Reconocimiento
Reconocimiento
Exploración
ObtenerAcceso
MantenerAcceso
BorrarHuellas
Reconocimiento
OBJETIVO:• Obtenerinformacióndelavíctima
MÉTODOS:• IngenieríaSocial• Dumpster Diving• Sistemasoperativosqueutiliza• Ubicacióndeenrutadores/switches• Hostsaccesibles• ConsultasWhois• (IPs,DNS,contactos,servers)
DEFENSAS:• Norevelardatosconfidenciales!!!• Sercuidadosoenalmacenardocumentosimportantes
12
34
5
2.Exploración
Reconocimiento
Exploración
ObtenerAcceso
MantenerAcceso
BorrarHuellas
Exploración
OBJETIVO:• BuscarvulnerabilidadesenbasealainformaciónrecolectadaMÉTODOS:• Revisióndepuertos(NMAPtest)• https://www.shodan.io/
• RevisióndevulnerabilidadesdelSistemaOperativo• https://www.vuldb.com/
DEFENSAS:• Realizarbloqueodeescaneodepuertos(RouterOS)• Manteneractualizadoslossistemasoperativos.
12
34
5
ProtecciónparaMecanismosdeExploración
Dentro de RouterOS, se puede generar un script elcual analiza automáticamente si una IP en particularestá tratando de hacer un mapeo de puertos.Código:
/ip firewall filteradd chain=input protocol=tcppsd=21,3s,3,1 action=add-src-to-address-list address-list="portscanners" address-list-timeout=2w comment="Port scanners to list " disabled=noadd chain=input src-address-list=port-scanners action=drop
ProtecciónparaMecanismosdeExploración
3.ObtenerAcceso
Reconocimiento
Exploración
ObtenerAcceso
MantenerAcceso
BorrarHuellas
ObtenerAccesoOBJETIVO:• Explotarlasvulnerabilidadesencontradas• https://www.exploit-db.com/
MÉTODOS(KaliLinux)
• BufferOverflows• https://forum.mikrotik.com/viewtopic.php?t=119255
• Denial of Service &Distributed DoS
• Session Hijacking• Password Cracking(Brute Force Attacks)
DEFENSAS:• Establecerpolíticasdecontrolyfiltrado(RouterOS)
12
34
5
ProtecciónparaMecanismosdeExploits
Restringiralmáximoelaccesoalequipo:
UtilizarparaevitarataquesdeDoS/ip firewall filter add chain=input protocol=tcp connection-limit=10,32 \action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d
/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \connection-limit=3,32 action=tarpit
ProtecciónparaMecanismosdeExploits• EvitarunataquemedianteSYNFlood,ocurrecuandolacomunicaciónTCPesinterrumpida,yelserverseacumuladepaquetesincompletos.
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \ action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=synlimit=400,5 connection-state=new \ action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=synconnection-state=new \ action=drop comment="" disabled=no
FinalmentehabilitarSYNCoockies
• /ip settings set tcp-syncookies=yes (RouterOS > V6,0)• /ip firewall connection tracking set tcp-syncookie=yes (RouterOS < v6.0 )
ProtecciónparaMecanismosdeExploits
• AmplificationAttacks• ExistenataquesloscualesnosoloseenfocaendegradarlacalidaddelservicioqueproveeunequipoMikrotik,sinoquetambiénbuscaatacaraotrosservidores.
• GeneralmentesoncausadosporpaquetesUDP(DNS,NTP,SNMP)
• MétodosdeSolución• PermitirlacomunicaciónenelFirewalldedireccionesIPsautorizadasquepuedancomunicarseenlospuertosUDP/53(DNS);UDP/123(NTP)yUDP/161(SNMP).
ProtecciónparaMecanismosdeExploits
• AmplificationAttacks
4.MantenerAcceso
Reconocimiento
Exploración
ObtenerAcceso
MantenerAcceso
BorrarHuellas
MantenerAcceso
• OBJETIVO:• Generarunapuertadeaccesooculta
• MÉTODOS
• Backdoors
• Trojans• DEFENSAS:
• ParaRouterOS hastaelmomentonosehandetectadobackdoors otrojans queafectenocomprometanalsistema.
12
34
5
5.BorrarHuellas
Reconocimiento
Exploración
ObtenerAcceso
MantenerAcceso
BorrarHuellas
BorrarHuellas
• OBJETIVO:• Eliminarrastrosdeaccesoalequipo
• MÉTODOS
• Eliminarregistrosdeacceso(Logs)
• DEFENSAS:•• Habilitarregistrosdelogsyprocesoshaciaunservidorcentralizado,yprotegersuacceso.
12
34
5
ProtecciónparaguardarlosLOGs
• Losarchivos deLOGs,inicialmenteseguardan en lamemoria delequipo,por loqueunsimplereiniciolos borrapermanentemente.
• Configurar laopción “remote”enelloggingdeRouterOS,apuntandohacia unservidor deSyslogexterno.
BotNets
• Ladefinición deuna BotNet selaconoce como unareddecomputadoras quesiguen órdenes deservidoresremotos.
• Objetivo:• Generar ataques deDDoS
• Mecanismos deDefensa:• Proteger los hosts• Generar políticas decontroldeRouterOS
• http://map.norsecorp.com
ProtecciónhaciaBotNets
• Protección hacia BotNets debe ser configurada en los hosts odispositivos finales (Desktops, Laptops, Smartphones, DVRs).
• Se puede bloquear a nivel de L3 un gran porcentaje de subredeslas cuales fueron listadas como fuentes de SPAM, servidoresmadre de Command & Control (C&C) y de Botnets conocidos anivel mundial.
• La mejor opción siempre va a ser tener un sistema operativoactualizado en conjunto con una solución de antivirus / anti-spam/ anti-phishing / anti-ransomware