SeguridadInformáticahaciaequiposRouterOS

• «El único sistema verdaderamenteseguro es aquel que se encuentraapagado, encerrado en una cajafuerte de titanio, enterrado en unbloque de hormigón, rodeado degas nervioso y vigilado por guardiasarmados y muy bien pagados.Incluso entonces, yo no apostaríami vida por ello».

• Gene Spafford, experto enseguridad informática.

PresentaciónPersonalPersonal

AndrésOcampoDávila

• SupervisorGeneraldeTelecomunicaciones,iPlanet

• MSCenAdministracióndeTIeINGenElectrónicayTelecomunicaciones

• ConsultorCertificadoMikrotik

• CertificacionesMikrotik• MTCTCE;MTCNA

• CertificacionesCisco

• CCNARoutingandSwitching; CCNASecurity;CCNPRoutingandSwitching

• ExperienciaenMikrotik desde2013

Vulnerabilidad• De acuerdo con la Real Academia de la Lengua:

• Vulnerabilidad:Que puede ser herido o recibir lesión, física o moralmente

• En seguridad informática• Una vulnerabilidad es una debilidad del sistema informáticoque puede ser utilizada para causar daño u obtenerinformación importante. Las debilidades pueden aparecer encualquiera de los elementos de una computadora, tanto en elhardware, el sistema operativo, cómo en el software.

• En equipos de red• Vulnerabilidad es una falencia en la configuración de seguridaddel equipo, bugs de software o permitir el acceso por hardwareel cuál permite tomar el control del equipo para realizarataques hacia dispositivos finales

Anatomíadeunataqueinformático• Laideaespensarcomounatacante!

• Aprovecharesashabilidadesparacomprenderyanalizarlaformaenquelosatacantesllevanacabounembatehacialosequiposdered

1.Reconocimiento

2.Exploración

3.ObtenerAcceso

4.MantenerAcceso

5.BorrarHuellas

1.Reconocimiento

Reconocimiento

Exploración

ObtenerAcceso

MantenerAcceso

BorrarHuellas

Reconocimiento

OBJETIVO:• Obtenerinformacióndelavíctima

MÉTODOS:• IngenieríaSocial• Dumpster Diving• Sistemasoperativosqueutiliza• Ubicacióndeenrutadores/switches• Hostsaccesibles• ConsultasWhois• (IPs,DNS,contactos,servers)

DEFENSAS:• Norevelardatosconfidenciales!!!• Sercuidadosoenalmacenardocumentosimportantes

12

34

5

2.Exploración

Reconocimiento

Exploración

ObtenerAcceso

MantenerAcceso

BorrarHuellas

Exploración

OBJETIVO:• BuscarvulnerabilidadesenbasealainformaciónrecolectadaMÉTODOS:• Revisióndepuertos(NMAPtest)• https://www.shodan.io/

• RevisióndevulnerabilidadesdelSistemaOperativo• https://www.vuldb.com/

DEFENSAS:• Realizarbloqueodeescaneodepuertos(RouterOS)• Manteneractualizadoslossistemasoperativos.

12

34

5

ProtecciónparaMecanismosdeExploración

Dentro de RouterOS, se puede generar un script elcual analiza automáticamente si una IP en particularestá tratando de hacer un mapeo de puertos.Código:

/ip firewall filteradd chain=input protocol=tcppsd=21,3s,3,1 action=add-src-to-address-list address-list="portscanners" address-list-timeout=2w comment="Port scanners to list " disabled=noadd chain=input src-address-list=port-scanners action=drop

ProtecciónparaMecanismosdeExploración

3.ObtenerAcceso

Reconocimiento

Exploración

ObtenerAcceso

MantenerAcceso

BorrarHuellas

ObtenerAccesoOBJETIVO:• Explotarlasvulnerabilidadesencontradas• https://www.exploit-db.com/

MÉTODOS(KaliLinux)

• BufferOverflows• https://forum.mikrotik.com/viewtopic.php?t=119255

• Denial of Service &Distributed DoS

• Session Hijacking• Password Cracking(Brute Force Attacks)

DEFENSAS:• Establecerpolíticasdecontrolyfiltrado(RouterOS)

12

34

5

ProtecciónparaMecanismosdeExploits

Restringiralmáximoelaccesoalequipo:

UtilizarparaevitarataquesdeDoS/ip firewall filter add chain=input protocol=tcp connection-limit=10,32 \action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d

/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr \connection-limit=3,32 action=tarpit

ProtecciónparaMecanismosdeExploits• EvitarunataquemedianteSYNFlood,ocurrecuandolacomunicaciónTCPesinterrumpida,yelserverseacumuladepaquetesincompletos.

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \ action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=no

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=synlimit=400,5 connection-state=new \ action=accept comment="" disabled=no

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=synconnection-state=new \ action=drop comment="" disabled=no

FinalmentehabilitarSYNCoockies

• /ip settings set tcp-syncookies=yes (RouterOS > V6,0)• /ip firewall connection tracking set tcp-syncookie=yes (RouterOS < v6.0 )

ProtecciónparaMecanismosdeExploits

• AmplificationAttacks• ExistenataquesloscualesnosoloseenfocaendegradarlacalidaddelservicioqueproveeunequipoMikrotik,sinoquetambiénbuscaatacaraotrosservidores.

• GeneralmentesoncausadosporpaquetesUDP(DNS,NTP,SNMP)

• MétodosdeSolución• PermitirlacomunicaciónenelFirewalldedireccionesIPsautorizadasquepuedancomunicarseenlospuertosUDP/53(DNS);UDP/123(NTP)yUDP/161(SNMP).

ProtecciónparaMecanismosdeExploits

• AmplificationAttacks

4.MantenerAcceso

Reconocimiento

Exploración

ObtenerAcceso

MantenerAcceso

BorrarHuellas

MantenerAcceso

• OBJETIVO:• Generarunapuertadeaccesooculta

• MÉTODOS

• Backdoors

• Trojans• DEFENSAS:

• ParaRouterOS hastaelmomentonosehandetectadobackdoors otrojans queafectenocomprometanalsistema.

12

34

5

5.BorrarHuellas

Reconocimiento

Exploración

ObtenerAcceso

MantenerAcceso

BorrarHuellas

BorrarHuellas

• OBJETIVO:• Eliminarrastrosdeaccesoalequipo

• MÉTODOS

• Eliminarregistrosdeacceso(Logs)

• DEFENSAS:•• Habilitarregistrosdelogsyprocesoshaciaunservidorcentralizado,yprotegersuacceso.

12

34

5

ProtecciónparaguardarlosLOGs

• Losarchivos deLOGs,inicialmenteseguardan en lamemoria delequipo,por loqueunsimplereiniciolos borrapermanentemente.

• Configurar laopción “remote”enelloggingdeRouterOS,apuntandohacia unservidor deSyslogexterno.

BotNets

• Ladefinición deuna BotNet selaconoce como unareddecomputadoras quesiguen órdenes deservidoresremotos.

• Objetivo:• Generar ataques deDDoS

• Mecanismos deDefensa:• Proteger los hosts• Generar políticas decontroldeRouterOS

• http://map.norsecorp.com

ProtecciónhaciaBotNets

• Protección hacia BotNets debe ser configurada en los hosts odispositivos finales (Desktops, Laptops, Smartphones, DVRs).

• Se puede bloquear a nivel de L3 un gran porcentaje de subredeslas cuales fueron listadas como fuentes de SPAM, servidoresmadre de Command & Control (C&C) y de Botnets conocidos anivel mundial.

• La mejor opción siempre va a ser tener un sistema operativoactualizado en conjunto con una solución de antivirus / anti-spam/ anti-phishing / anti-ransomware