1 / 35

Grupo de Trabajo de Seguridad V Reunión IRIS-CERT Oviedo 15 de noviembre de 1999

Grupo de Trabajo de Seguridad V Reunión IRIS-CERT Oviedo 15 de noviembre de 1999. AGENDA. Informe IRIS-CERT Estadísticas de incidentes y tendencias Servidor de claves PGP Tendencia de uso Iniciativa de uso de PGP en RedIRIS Foros de seguridad Internacionales Documentación Pilotos en curso

Download Presentation

Grupo de Trabajo de Seguridad V Reunión IRIS-CERT Oviedo 15 de noviembre de 1999

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Grupo de Trabajo de SeguridadV Reunión IRIS-CERTOviedo 15 de noviembre de 1999

  2. AGENDA • Informe IRIS-CERT • Estadísticas de incidentes y tendencias • Servidor de claves PGP • Tendencia de uso • Iniciativa de uso de PGP en RedIRIS • Foros de seguridad Internacionales • Documentación • Pilotos en curso • Auditoría bajo demanda • Cert’eM • IRIS-PCA • Tutorial: obtención de puntos de contacto • Sugerencias y preguntas

  3. INFORME

  4. INCIDENTES (Enero-Octubre 1999) • Incidentes totales: 162 • Incidentes de ámbito internacional: 31 (19%) • Incidentes con origen o destino internacional: 127 (78%) • Incidentes que implican instituciones afiliadas: 152 (93%) • El 35% de los incidentes no se solucionan nunca • Incidentes por máxima prioridad alcanzada: • Baja: 94 (58%) • Normal: 30 (19%) • Alta: 38 (23%) • Emergencia: 0 (0%) • Con respecto al mismo periodo del año anterior • 47% más de incidentes totales. • Incremento mayor: 177.78% en el mes de Octubre

  5. baja normal alta total INCIDENTES DESDE ENERO DE 1999 POR PRIORIDAD

  6. MAIL SPAM • 78 incidentes reportados desde Abril de 1999 • 29 incidentes han sido resueltos (62.82%) • 59 Instituciones afectadas • 29 Universidades • 30 Instituciones de tamaño pequeño

  7. INCIDENTES MÁS COMUNES • Utilización de herramientas automatizadas (mscan, nmap, sscan) • Empleo de un exploit conocido (imap, pop, ftp, mountd, servicios rpc, cgi-bin, ...) • Escaneo de puertos e intentos de acceso no autorizado • MAIL SPAM • DoS (smurf, UDP DoS, ICMP, ...) • Utilización sniffer de red

  8. CAUSAS MÁS COMUNES • SISTEMAS SIN ACTUALIZAR • EQUIPOS SIN ADMINISTRAR • OTROS

  9. ALGUNAS CONCLUSIONES • Incremento de incidentes con respecto a años anteriores • Recuperación rápida ante un incidente para evitar su propagación • Gran cantidad de incidentes sin resolver Necesidad de puntos de contacto estables en las instituciones • Implantación de medidas preventivas • Necesidad actualización información on-line

  10. SERVIDOR DE CLAVES PÚBLICAS PGP • http://www.rediris.es/keyserver • Facilita el intercambio de claves públicas PGP • No garantiza la validez de las claves  recurrir firmas incorporadas en ellas • Novedades: • Nueva versión del servidor (pksd-0.9.4) • Estadísticas de uso • www.rediris.es/pgp/doc/keyserver.es.html

  11. INICIATIVA DE USO DE PGP • http://www.rediris.es/pgp/ipgp.html • Objetivos • Promover el uso del correo electrónico seguro en la comunidad • Crear redes de confianza (responsables técnicos, administradores de listas, ...) • Documentar y fomentar el uso del Servidor de Claves Públicas PGP • Foro de discusión : MAIL-PGP

  12. INICIATIVA DE USO DE PGP • Actividades: • Generación de un protocolo de firma de direcciones genéricas (postmaster, cert, noc, ..) • Celebración I Reunión de Firmado de Claves • Disponibilidad de información on-line

  13. FOROS INTERNACIONES (I) FIRST • Crecimiento de los grupos miembros • Evolución progresiva hacia una organización estable • Aspectos a destacar • Problemas de seguridad (ataques). • Aspectos legales sobre peritaje informático. • Problemas de seguridad específicos • Abierto el plazo para la presentación de ponencias para la próxima reunión

  14. FOROS INTERNACIONES (II) EuroCert • Finalización del piloto, sin llegar a tener un servicio estable. • Creación de un “foro de debate” sobre el futuro de la coordinación de seguridad en Europa • En resumen, todo por definir.

  15. ELABORACIÓN DE DOCUMENTACIÓN • Próxima versión de las recomendaciones de seguridad. • Varios formatos (PS, PDF, HTML), correcciones en formato y texto. • Inclusión de Otros S.O. • Documentación sobre contactos de seguridad • Formulario de información sobre incidentes

  16. PILOTOS

  17. AUDITORÍA DE SEGURIDAD • Comprobación de los sistemas de seguridad en las instituciones afiliadas. • Comprobaciones de las medidas frente a accesos externos. • Solamente previa petición del PER. • Elaboración al final de un informe sobre las vulnerabilidades encontradas.

  18. Cert’eM • Certificación y autenticación basadas en correo electrónico • Situación actual: • PGP 5.x (claves DSS y RSA) • Servidor mejorado • PGPsdk (Software Development Kit) • Posibilidad de incluir Certificados X509 • Desarrollo de diversas aplicaciones basadas en la infraestructura Cert’eM • Próximamente: Estadísticas de rendimiento del sistema • certem@rediris.es • www.rediris.es/cert/certem/

  19. PILOTO DE CERTIFICACIÓN (I) • Política de Certificación • Flexibilización de los protocolos de emisión de CDIP y CDS • Emisión de CDIP: modelo centralizado y distribuido • Coexistencia de identidades de la PCA • Definido protocolo para la revocación o compromiso de la clave privada de la PCA

  20. PILOTO DE CERTIFICACIÓN (II) • Emisión de Certificados Digitales por parte de la PCA • correo electrónico • CSR (Certificate Signing Request) PKCS#10 • Documento de solicitud y acuerdo legal firmado digitalmente • correo postal certificado • Documento solicitud y acuerdo legal • Política de Certificación • Designación formal del responsable técnico directo

  21. PILOTO DE CERTIFICACIÓN (III) • Realizadas pruebas de revocación • Problemas NetScape/CRL v.2  Imposibilidad de trabajar con extensiones en las CRL • Realizadas pruebas coexistencia identidades de la PCA • Realizados scripts de gestión de la PCA y páginas WWW • Lista GTI-PCA

  22. PILOTO DE CERTIFICACIÓN (IV) • Situación actual: • Pendiente firma digital de documento de solicitud • Pruebas listas de suspensión y reactivación de certificados • Consolidación decisiones adoptadas y aspectos técnicos en la V Reunión IRIS-PCA • Prueba de herramientas: • Proyecto OpenCA • Proyecto Oscar

  23. PUNTOS DE CONTACTO

  24. GESTIÓN DE INCIDENTES POR IRIS-CERT • Correos con copia (CC) (siempre responder indicando que se ha recibido el mensaje e indicando el procedimiento de actuación.) • Incidentes graves: Contactar con la institución afiliada implicada por si necesitan nuestra colaboración. • Anotación del incidente para fines estadísticos, tendencias, etc. • Correos dirigidos a IRIS-CERT. • Contacto con las organizaciones implicadas. • Apertura y seguimiento de incidente si es preciso.

  25. ¿ QUE ENVIAR ? • Enviar indicación: • Fecha (GTM), zona horaria y zona geográfica • Equipos origen. • Información (logs) sobre el incidente. • Enviar a: • Equipos de la organización (cert, abuse,etc.) • Contactos de whois. • Copia siempre a IRIS-CERT (y grupos de seguridad con ámbito de actuación sobre la dirección origen EMPLEAR CRIPTOGRAFÍA (¿PGP?) PARA ASEGURAR LA INTEGRIDAD Y O CONDIDENCIALIDAD DE LOS DATOS

  26. HERRAMIENTAS Objetivo: ¿Cómo buscar un punto de contacto, de un equipo o dirección ? • DNS • Whois • Traceroute • Consulta directa • Equipos de Seguridad Internacionales

  27. DNS Todas los nombres DNS se resuelven (como mínimo a una IP • Obtención de la dirección IP • Obtención del posible dominio. • Obtención del responsable (SOA) • Problemas: • Resolución inversas incorrectas • Datos no actualizados • IP dinámicas

  28. Búsqueda de una dirección IP en función de nombre nslookup chico.rediris.es Server: sun.rediris.es Address: 130.206.1.2 Name: chico.rediris.es Address: 130.206.1.3 Búsqueda del nombre y dominio de una dirección: nslookup 130.206.1.3 Server: sun.rediris.es Address: 130.206.1.2 Name: chico.rediris.es Address: 130.206.1.3 BUSQUEDAS EN DNS

  29. CONSULTAS EN DNS Búsqueda del responsable del dominio: nslookup Default Server: sun.rediris.es Address: 130.206.1.2 > set type=SOA > chico.rediris.es Server: .. Rediris.es Origin= sun.rediris.es mail addr = hostmaster.rediris.es .....

  30. CONSULTAS EN DNS (II) Búsqueda de equipos de correo secundarios nslookup Default Server: sun.rediris.es Address: 130.206.1.2 > set type=MX > fcu.um.es Server: .. Rediris.es fcu.um.es preference =20 mail exchanger = zape.um.es fcu.um.es preference =10 mail exchanger = chico.rediris.es

  31. WHOIS Proporcionan información sobre quien tiene asignado una dirección IP. Información distribuida en varios servidores independientes. (Europa, Asia, América). Existen mecanismos de acceso desde los dominios de 1º nivel (por ejemplo el del es-nic, http://www.nic.es/whois/index.asp).

  32. EJEMPLO DE WHOIS $ whois -h whois.cdnnet.ca example.ca Subdomain: example.ca Date-Received: 1998/11/24 Date-Approved: 1998/12/01 Organization: Example Construction Inc Type: For-Profit Corporation Description: Construction company Admin-Name: Jane Q. Admin Admin-Title: Owner Admin-Postal: Example Construction Inc 123 Example Rd Industrial Park P.O.Box 9876 Exampleplace NB E2L3V9 Admin-Phone: +1 555-123-1234 Admin-Fax: +1 555-123-9876 Admin-Mailbox: jane@example.ca Tech-Name: ExampleISP Domain Name Registrar Tech-Title: ExampleISP Domain Name Registrar Tech-Postal: ExampleISP Inc One ExampleISP Parkway Exampleplace, N.B. E2L3V9 Tech-Phone: +1 (555) 987-6543 Tech-Fax: +1 (555) 987-1234 Tech-Mailbox: hostmaster@exampleisp.ca NS1-Hostname: ns1.exampleisp.ca NS2-Hostname: ns2.exampleisp.ca

  33. TRACEROUTE Traceroute permite ver por que equipos pasa los paquetes IP hasta llegar al destino, así podemos ver cual es la organización que le da soporte a una la dirección IP y buscar puntos de contacto en este proveedor. $ traceroute host3.example-site.edu traceroute to host3.example-site.edu (10.72.0.176), 30 hops max 1 hop1.reporting-site.com (10.112.1.2) 2 ms 2 ms 1 ms 2 hop2.transit-network.net (10.288.114.254) 2 ms 2 ms 2 ms 3 .... hop9.example-upstream.net (10.4.1.202) 24 ms 25 ms 26 ms 10 hop10.example-site.edu (10.192.33.3) 24 ms 26 ms 26 ms 11 hop11.example-site.edu (10.72.0.11) 27 ms 25 ms 27 ms 12 host3.example-site.edu (10.72.0.176) 26 ms 27 ms 26 ms

  34. OTRAS FORMAS • Consultas al servidor de WWW de la organización, del proveedor, etc. • Buscar en el proveedor de servicios, dominios de mayor nivel, etc. • Buscar algún grupo de seguridad (FIRST, EuroCert, IRIS-CERT,...) con el que contactar.

  35. SUGERENCIAS Y PREGUNTAS ¿ ?

More Related