consideraciones forenses y de seguridad en enrutadores conceptos, herramientas y prácticas jeimy j....

Consideraciones Forenses y de Seguridad en Enrutadores

Conceptos, herramientas y prácticas

Jeimy J. Cano, Ph.DUniversidad de los Andes

[email protected]

JCM-03 All rights reserved 2III JNSI ACIS 2003

ADVERTENCIA !

Las maneras de vulnerar y atentar contra las seguridad de enrutadores referenciadas en esta presentación son con propósitos ilustrativos y educativos. Por tanto, cualquier uso inadecuado de las mismas no será responsabilidad del Autor.

Las técnicas sugeridas en la presentación aplican a enrutadores CISCO. Es probable que apliquen a otros proveedores.

La presentación busca concientizar a los encargados de la seguridad sobre prácticas de aseguramiento y forenses sobre enrutadores y, de ninguna manera atentar contra el buen nombre de proveedores o compañías.


Agenda

IntroducciónEvolución de Vulnerabilidades en CISCOElementos básicos de los enrutadoresAtaques Generales a RoutersAtaques Especializados a RoutersEvaluación de Seguridad en RoutersEnrutadores y Arquitecturas de Seguridad

Logging en Routers Prácticas de Seguridad en Routers

Elementos básicos en Computación ForenseComputación Forense en Routers

Extracción de Información en Routers Prácticas Forenses en Routers

Conclusiones Referencias


Introducción

Incremento importante de vulnerabilidades detectadas en enrutadores.

Los enrutadores con frecuencia son tratados como “cajas negras” configuradas. – No las toque!-

Generalmente configurados por default – No existen guìas corporartivas de aseguramiento.

Generalmente no son sometidos a pruebas de penetración y actualización permanente de parches

Frecuentemente no se configura en ellos una estrategia de logging coherente con la estrategia de detección de intrusos.

Ante un incidente de seguridad, generalmente pasan desapercibidos.

Computación Forense en routers? Cómo?


Evolución de Vulnerabilidades en CISCO

Vulnerabilidades en CISCO

102

3823

50

20

40

60

80

100

120

Años

No.

Vul

nera

bilid

ades

Vulnerabilidades en CISCO

Vulnerabilidadesen CISCO

102 38 23 5

2002 2001 2000 1999

Tomado de: http://www.securityfocus.com - Vulnerabilidades


Elementos básicos de Enrutadores



Son esencialmente otros computadores. Particularmente son otros SERVIDORES. Ofrecen el servicio de enrutamiento.

Poseen Sistema Operacional Cisco’s Internetwork Operating System – IOS

Utiliza la NVRAM – Non Volatil RAM, donde se encuentra almacenado el archivo de configuración

Se almacena en la Flash Memory Interpreta las ACL – Access Control List y otros comandos

Tiene un conjunto de comandos para interactuar con el usuario. Nivel EXEC de Usuario

Show, connect, ping, calendar, etc

Nivel EXEC Privilegiado Configure, write, erase, debug, setup, etc.



Puerto deConsola

InterfaseDe REd

Puerto Auxiliar

Módem

Módem

Como eventualidad para casos de emergencia

Generalmente utilizados para colocar módems. Permite

acceso como consola


Ataques a Enrutadores


Ataques generales a Routers

SNMP Attacks Mensajes malformados recibidos a los enrutadores resulta

en fallas del sistema.

NTP Attacks Envío paquete malformados NTP, generando buffer

overflow en el demonio de NTP

Session Replay Attacks Secuencia de paquetes o comandos de aplicación que

pueden ser manipulados y reenviados para causar una acción no autorizada.

Session Hijacking Manipulación de Paquetes IP para falsificar direcciones IP,

predicción de número de secuencia.


Ataques Especializados a Routers

Manejo de la Memoria en IOS Memory Process – Heap Memory IO Memory – Buffer de Comandos

Magic

PID

Alloc Check

Alloc Name

Alloc PC

NEXT BLOCK

PREV BLOCK

BLOCK SIZE

REFERENCE #

Last Deallc

DATA

RED ZONE

Valor estático 0xAB1234CD

Identificador del Proceso en IOS

Zona utilizada para efectuar chequeos integridad de bloques

Apuntador al string del nombre del proceso.

Código de la dirección que selecciona este bloque.

Apuntador al siguiente bloque

Apuntador al bloque anterior

Tamaño del bloque – Marca como en USO

Cantidad de bloques referenciada

Última dirección que fue seleccionada

Valor estático 0xFD0110DF

Zona de Datos


Ataques especializados a Routers

Algoritmo de chequeo: (Tomado de Phrack No.60) 1) Continúa el bloque con el valor de MAGIC (0xAB1234CD)? 2) Si el bloque esta en uso, verifique la zona roja está allí y presente el número 0xFD0110DF. 3) El apuntador al anterior bloque es no nulo? 4) Si existe apuntador al siguiente bloque, verifique ... 4.1) Si apunta correctamente después del final de este bloque? 4.2) Si apuntador de bloque previo del bloque apuntado por este apuntador (apuntador al siguiente), esta direccionado a este bloque? 5) Si el apuntador al siguiente bloque es nulo, es este bloque el último en el segmento de memoria? 6) El tamaño del bloque tiene sentido? Es correcto?

Si alguno de estos paso falla: la verificación no resulta exitosa y se efectúa un reinicio del sistema IOS.

*** EXCEPTION ***illegal instruction interruptprogram counter = 0x20f2a24status register = 0x2700vbr at time of exception = 0x4000000


Ataques especializados a Routers

Algunos comandos involucrados este tipo de ataques: victim#show memory processor allocating-process

Listado de apuntadores y sus bloques victim#show memory 0x258F998

Despliega el contenido de la memoria para esta posición particular

Que podemos aprender? Debemos estudiar en detalle la manera como se asigna, verifica y desasigna la memoria en IOS

IOS es un sistema operacional como cualquier otro, por tanto tiene vulnerabilidades inherentes a su diseño.

Estar atento a las listas de seguridad y los posibles anuncios sobre fallas o vulnerabilidades en cualquiera de los elementos de la red.

Es probable este tipo de ataques en Switches

Los routers requieren aseguramiento como cualquier otro dispositivo de la red!!!


Seguridad en Enrutadores


Evaluación Seguridad en Routers

Router Audit Tool - RAT Center for Internet Security (CIS) http://www.cisecurity.org/

Esta herramienta considera: Router Security Configuration Guide publicada por la National Security Agency (NSA) Desarrolla una evaluación NO INVASIVA de las principales vulnerabilidades presentes en los enrutadores

RAT esta diseñada en Perl y consta de 4 programas: Snarf – Utilizada para descargar los archivos de configuración del router Ncat – Utilizado para leer los archivos de configuración y reglas base de la evaluación y generar el archivo de salida Ncat_report – Crea el HTML de los archivos planos de salida Ncat_config – Utilizado para efectuar la localización de los archivos de reglas básicas

Licencia de USO - GNU General Public license

Disponible en UNIX, Linux y Windows.


Evaluación Seguridad en Routers

Router Audit Tool - RAT


Enrutadores y arquitecturas de seguridad

Deberían ser la primera línea de defensa de la organización.

Deberían contar con una configuración de control de acceso que defienda en primera línea al FW.

Mantener un registro sincronizado de los eventos más representativos:

Alertas Condiciones críticas Mensajes de error Emergencias Intento de ingreso de paquete de lugares no autorizados.

Desarrollar una relación de monitoreo y control de tráfico en conjunto con el IDS.

Aseguramiento permanente, como cualquier otro sistema operacional.


Logging en Routers

Los enrutadores CISCO tienen 6 formas de generar logging. Logging en consola

Conectados directamente al puerto de consola

Logging en Buffer de Memoria Manteniendo los mensajes de log en la RAM del enrutador. Generalmente es

circular.

Logging de Terminal Utilizando los comandos de terminal, pueden enviar los mensajes de log a las

terminales VTY

Syslog Los enrutadores pueden ser configurados para enviar sus mensajes de log a

servidores syslog externos.

SNMP Si se encuentra habilitado, puede enviar a servidores SNMP externos para

registrar condiciones específicas.

AAA Accounting Si se esta utilizando la arquitectura Authentication, Autorization, Accounting de

CISCO, puede enviar el log al Network Access Server.


Logging en Routers

Syslog Para configurar el logging remoto via esta estrategia En el enrutador:

router1#config terminal – Ingreso a sección de configuración Router1(Config) # Logging facility local6 – Identificando por

donde se envía la información Router1(Config) # logging trap errors Router1(Config) # Logging 172.16.13.1 Router1(Config) # ^Z

Nota Si se quiere conocer el tráfico asociado con las reglas o listas de

control acceso que tiene configuradas (deny), debe agregar la palabra log al final de la misma

Access-list 101 deny ip 200.200.200.0 0.0.0.255 any log


Logging en Routers

Syslog Para configurar el logging remoto via esta estrategia

En el servidor destino: Existe un syslog server en Unix y Linux En Windows existen implementaciones:

Kiwi Syslog Winsyslog Nota: Con estas implementaciones pueden enviar logs a otras máquinas con

syslog instalados. Incluso en Unix

Identifique el archivo de syslog: /etc/syslog.conf Su formato generalmente es:

Facilidad.severidad logfile

Un ejemplo para la configuración previa: Local6.errors /var/log/router1

Mantenga monitoreo del puerto 514 (udp), preferiblemente utilice SSH para mantener una conexión confiable entre el enrutador y el servidor de logging.


Prácticas de Seguridad en RoutersAcceso a la consola con login y contraseña.Asegurar el acceso al puerto AUX y las VTY con login y contraseñaNo configure el enrutador para ser servidor de TFTPNo conecte un módem al puerto de consolaDeshabilite telnet reverso a todos los puertos físicos.Deshabilite el telnet.Deshabilite acceso via HTTPDeshabilite protocolos y servicios innecesariosDeshabilithe SNMP, si no lo necesitaGenere una estrategia de logging coherente y confiable (conexión cifrada)Actualice la versión y parches del IOSIncluya los routers en pruebas de penetraciónGenere y actualice guías de hardening.Mantenga sincronizado la fecha y hora del equipo.No descuide el aseguramiento fìsico de los equipos y el control de acceso a los mismos.Efectúe administración remota con mecanismos de cifrado


Computación Forense en Enrutadores


Elementos básicos en Computación Forense

Aseguramiento de la escena del incidente Identificación y registro de información volátil Apagado adecuado Efectuar copia idéntica bit a bit Desarrollar el análisis sobre una de las copias idénticas

Análsis físico Partición Sectores dañados Datos fuera de la partición

Análisis lógico Archivos de metadatos Información de contexto y encabezados Directorios de archivos

Conjunto Archivos activos Sistema de archivos residual (en su estructura) Archivos eliminados

Generación del informe


Computación Forense en Routers Aseguramiento de la escena del incidente

Sobre manera el control de acceso físico al dispositivo.

Identificación y registro de información volátil Es el ejercicio más crítico en la computación forense de enrutadores

Apagado adecuado No es viable hacerlo, pues se perderían todos los datos disponibles en el

enrutador.

Efectuar copia idéntica bit a bit Extraer toda la información relacionada con la configuración, IOS, ACL,

entre otras.

Desarrollar el análisis sobre una de las copias idénticas Sólo después de extraer la información con el sistema activo y en línea.

Generación del informe


Extracción de Información en Routers

•Siempre inicie guardando su sesión de conexión con el enrutador ante de conectarse

•Frecuentemente ejecute el comando show clock detail


Extracción de Información en Routers- Evidencia volátil-

terminal length 0 dir /all show clock detail show ntp show version show running-config show startup-config show reload show ip route show ip arp show users show logging

show ip interfaces show interfaces show access-lists show tcp brief all show ip sockets show ip nat translations verbose show ip cache flow show ip cef show snmp users show snmp groups show clock detail Exit


Extracción de Información Routers- Datos externos -

Efectuar “scanning” de puertos al router Ejecutar alguna herramienta de verificación de

vulnerabilidades sobre enrutadores. Verificar y registrar con una autoridad de tiempo

confiable. Imprimir el resultado con el registro de tiempo incluido Vincule a un testigo para verificar la ejecución de este

ejercicio. Firma y fecha para la impresión de resultados. Firman

ambos involucrados Guarde las copias en lugar seguro y registro clasificado de

la diligencia.

NOTA: Este procedimiento debe ser idéntico para la recolección de

evidencia volátil presentado en el aparte anterior.


Extracción de Información Routers- Herramienta automatizada -

Cisco Router Evidence Extractor Disk – CREED http://cybercrime.kennesaw.edu/creed

CREED está basado en la implementación de linux TomsRtBt, disponible en www.toms.net.

Creada por requerimiento de la Fuerza Aérea, para recolectar información forense de enrutadores CISCO.

La idea es crear un diskette de boot, el cual se coloca en un laptop. Luego se conecta el portátil desde su puerto serial al puerto de consola del

enrutador. Se reinicia el portátil con el diskette de boot previamente creado. Se ingresa al enrutador – Se digita “adquire” Se digita el comando “enable” para ingresar en modo privilegiado. Inicio de recolección.

El resultado de la ejecución de los comandos se registra en un archivo que queda como resultado en el diskette.


Prácticas Forenses en Routers Los enrutadores deben mantener una estrategia de logging

externo que facilite la correlación de información de un incidente.

Debe existir un registro y control de la actualización del IOS.

La sincronización de tiempo vía NTP es crítica para efectos forenses.

Concientizar a los administradores de redes, de la evidencia que generan los enrutadores.

Es necesario que las guías de atención de incidentes contemplen información generada por los enrutadores.


Conclusiones Los routers NO SON CAJAS NEGRAS. Requieren aseguramiento

equivalente al de cualquier servidor

Es necesario profundizar en el estudio de los sistemas operacionales. Particularmente en IOS: funciones internas, control y administración de memoria, entre otros.

Los Switch también pueden ser vulnerables a ataques semejantes a los vistos en la presentación.

Se requiere establecer una estrategia de Evaluación de Perímetro en Profundidad: Ver RE.D.AR

Es necesario asegurar el cumplimiento de los servicios de seguridad en los enrutadores – A2CAN

Autenticación Autorización Control de acceso Auditabilidad No repudio


Referencias

Shaughnessy, T y Velte, T. (2000) Manual de Cisco. McGraw Hill.Prosise, C y Mandia, K. (2001) Incident Response: Investigating Computer Crime. McGraw Hill.Akin, T. (2002) Hardening Cisco Routers. O’Really.Kaeo, M. (1999) Designing Network Security. Cisco Press.Northcutt, S et al (2003) Insider Network Perimeter Security. News RidersSedayao, J. (2001) Cisco IOS Access list. O’Really.Garfinkel, S y Spafford, G. (1996) Practical Unix and Internet Security. Second Edition. O’Really.Proctor, P y Byrnes, F. (2002) The secured enterprise. Prentice Hall.SANS (2002) Routers Security: Step by Step. http://www.sansstore.org.Stuckless, C. (2000) SANS GIAC Firewall and Perimeter protection Practical Assignment. http://www.sans.org/y2k/practical/Colin_Stuckless.docWright, J. (2002) SANS GIAC Incident Handling Red Team Assessment of Parliament Hill Firewall. http://www.giac.org/practical/Joshua_Wright_GCIH.zipCisco. (2000) Improving Security on Cisco Routers. http://www.cisco.com/warp/public/707/21.htmlGaius. (2000) Things to do in Cisco Land when you’re dead. Phrack Magazine. No.56. http://www.phrack.orgGraesser, D. (2001) Cisco Router Hardening Step by Step. Sans Institute. Information Security Reading Room. http://rr.sans.org/firewall/router2.php


Referencias

Langley, R. (2001) Securing your internet access router. http://www.sans.org/infosecFAQ/firewall/router.htmNetwork Computing (1999) The cost of Security on Cisco Routers. http://www.networkcomputing.com/1004/1004ws22.htmlWinters, S. (2000) Top Ten Blocking Recommendations Using Cisco ACL’s securing perimeter with Cisco IOS 12 Routers. http://www.sans.org/infosecFAQ/firewall/blocking_cisco.htmAntoine, V et al. (2001) Router Security Recommendation Guide. Version 1.0. National Security Agency. http://nsa1.www.conxion.com/cisco/index.htmlAntoine, V et al. (2001) NSA Router Security Recommendation Guide: Executive Summary Card. http://nsa1.www.conxion.com/cisco/index.htmlHeld, G y Hundley, K. (1999) Cisco Security Architectures. McGraw HillCISecurity. Router Audit Tool. The Center for Internet Security http://www.cisecurity.org/ .Stewart, B. (2002) Router Audit Tool: Securing Cisco Routers Made Easy. http://www.sans.org/rr/netdevices/cisco_RAT.phpThomas, R. (2002) Secure IOS Template Version 2.6. http://www.cymru.com/Documents/secure-ios-template.htmlUnknown. Improving Security on Cisco Routers, Cisco Systems, Date Unknown.http://www.cisco.com/warp/public/707/21.htmlUnknown. Increasing Security on IP Networks, Cisco Systems, Date Unknownhttp://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs003.htmCisco Router IOS Memory Maps. Ubicación en el web: http://www.cisco.com/warp/public/112/appB.html


Preguntas, dudas, sugerencias, ....

Preocupaciones, Sustos, paranoias!!...

Consideraciones Forenses y de Seguridad en Enrutadores

Conceptos, herramientas y prácticas

Jeimy J. Cano, Ph.DUniversidad de los Andes

[email protected]