Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
1. 1 Redes y seguridad
Actividad 3
Actividad 3
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Evidencias 3.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Iber Pardo Aguilar
Fecha Abril 17 de 2014
Actividad Evidencias 3
Tema Vulnerabilidades y soluciones
Su empresa cuenta ya con el plan de acción y el esquema de revisión de las PSI gracias a su
trabajo. También, para mayor protección, usted enunció los procedimientos que deben llevarse a
cabo para asegurar el flujo de información. En este momento, es necesario que como gestor de
la red reconozca los ataques y las vulnerabilidades más frecuentes en los sistemas, y con esta
información complemente su plan de acción, su esquema de seguridad, y sobre todo, sus
procedimientos.
Preguntas interpretativas
1. Existe una relación directa entre las vulnerabilidades y el algoritmo P-C. En el
“denial of service”, por ejemplo, existen diferentes maneras de llevar a cabo esta
vulnerabilidad. ¿Cómo se relacionan estas maneras de llevar a cabo las
vulnerabilidades con el algoritmo P-C? Realice un informe para los técnicos de
mantenimiento en el que explique esta situación.
Un “Denial of Service” o DoS (ATAQUE DE NEGACIÓN DE SERVICIOS) es un incidente
en el cual un usuario o una organización se ven afectados de un recurso que podrían necesitar.
Normalmente, la pérdida del servicio supone la indisponibilidad de un determinado servicio de
red, como el correo electrónico, o la pérdida temporal de toda la conectividad y todos los
servicios de red. En el peor de los escenarios, por ejemplo, un sitio web accedido por millones
de personas puede verse forzado temporalmente a prestar su servicio. Un ataque de
denegación de servicio puede también destruir programas y ficheros de un sistema
informático. Aunque normalmente es realizado de forma intencionada y maliciosa, también se
puede presentar de forma inesperada o accidental. Si bien no suele producirse robo de
información estos ataques pueden costar mucho tiempo y dinero a la persona u organización
afectada.
2. 2 Redes y seguridad
Actividad 3
Por tanto como administradores y responsables de red debemos que estar atentos para los
diferentes tipos ataques que se puedan presentar, algunos de los cuales se pueden catalogar
como los más habituales y se listan a continuación:
a) Consumo de recursos escasos, es una mal llamada técnica, que tiene por objetivos
bloquear total o parcialmente dichos recursos.
Ataque al ancho de banda: se basa en la generación de muchos paquetes llamados
pin logrando saturar la red, o una página web especifica, de esta forma el
consumidor no podrá acceder a los recursos de la red, porque se está consumiendo
todo el ancho de banda transportando los paquetes de una maquina a otra.
Conectividad a la red: el cracker genera conexión de una maquina a otra utilizando
los protocolos TCP pero antes de terminar la conexión esta es del interrumpida, lo
que causa que las maquinas que recibieron una conexión interrumpida necesitan un
determinado tiempo para determinar falsas conexiones, mientras se desarrolla este
proceso también se rechazan conexiones legitimas a la red, causando un daño total
entre la comunicación de las maquinas.
Ataque a la unidad de almacenamiento: consiste en un código cuya única
finalidad es reproducirse a tal punto que llenan la unidad de almacenamiento de la
computadora, evitando que la maquina pueda ser utilizada de manera eficiente o
que simplemente no pueda ser utilizada por ninguno de los usuarios de la red.
Características del sistema sobre sí mismo: Se utilizan los paquetes UDP para que
generen eco entre dos maquinas, a través de la copia y envió por la red se logra que
la duplicidad de este tipo de paquetes llegue a ser tanta que consuma todo el ancho
de banda de la red.
b) Destrucción o alteración de la información de configuración, de esta forma se
busca desestabilizar el algoritmo P-C, evitando el acceso a uno o varios recursos.
c) Destrucción o alteración física de los componentes de la red, Por lo evidente que es
el daño de cualquier elemento físico de la red, es imperativo que solamente el personal
autorizado pueda tener acceso a ellos.
Es de suma importancia contar con una adecuada seguridad en los puertos de la red,
como con buena autenticación a la hora de ingresar a la red.
Fortalecer y/o implementar procedimiento de buenas contraseñas
Establecer rigurosidad actualización de normas acordes con los tipos de ataques.
Determinar procedimiento adecuado para el otorgamiento de privilegios de accesos a
los nuevos y antiguos usuarios.
2. “Toda herramienta usada en la administración de una red, es potencialmente maligna
y potencialmente benigna”. Interprete esta afirmación y agregue, a su manual de
3. 3 Redes y seguridad
Actividad 3
procedimientos, una cláusula en la que haga pública esta observación. Tenga en
cuenta la división de puestos de trabajo explicada en unidades anteriores.
Una red no está completamente blindada, es decir queva a tener vulnerabilidades. Para poder
determinar cuáles son las vulnerabilidades y establecer controles que permitan aumentar en
cierta forma la seguridad de la misma, debo conocer las debilidades de mi red, lo que se logra
mediante el uso de herramientas que simulen ataques, ya sean: para la obtención de passwords,
obtener la información de los paquetes que viajan en la red, desencriptar información, alterar
configuraciones y otras series de pruebas que se logran con estas herramientas, para obtener
información de mi red. Estas herramientas a la vez pueden convertirse en herramientas
potencialmente malignas, ya que pueden ser utilizadas por los crackers, que no buscan otra cosa
que el hurto de la información o destrucción de la misma. Así que es necesario controlar muy
bien el uso de estas herramientas al interior de la compañía, lo cual debe realizarse con un
protocolo formal, donde estén enterados y quede registro de las personas que las utilizan, las
que deben estar autorizadas y vigiladas.
Cláusula: “Está terminantemente prohibido, el uso de cualquier tipo de herramientas de
monitoreo de red, como sniffers, software de análisis de tráfico de red y sus derivados, por
personal no autorizado; todo software debe ser revisado y homologado por el equipo de
seguridad de la compañía, antes de instalarse en los equipos propios. También se prohibe que
los equipos de cómputo de terceros, o de uso personal de los empleados, se conecten a la red
interna de la empresa; y solo se permitirá el uso de equipos en nuestra red que se encuentren
avalados por el Área de Tecnología.
Preguntas argumentativas
1. Los logísticos de las actividades de la empresa son INDISPENSABLES para el
diagnóstico de la seguridad de la red. ¿Cuáles logísticos considera usted prioritarios
para el problema de e-mail bombing, spamming y el “denial of service”? Justifique su
elección.
Considero el logístico de mails recibidos, muy importante ya que si se tiene una cuenta de
usuario con correo podría ser vulnerable. Realizaría la instalación, configuración y ejecución
de programas que realicen una comparación de los correos recibidos, identifiquen los correos
no deseados y los eliminen directamente. Para los email-Bombing y Spamming, es
indispensable analizar los logísticos de los espacios en los buzones de correo, un incremento
4. 4 Redes y seguridad
Actividad 3
abrupto puede significar ataques por Spamming o Email-Bombing; esto también puede
identificar si un equipo de nuestra red está generando mensajes a otros, o si en nuestras
máquinas estamos recibiendo mensajes de fuentes externas. Los logísticos que revelen
recurrencias de ataques a equipos comunes, indicarán que este equipo puede estar en peligro,
por ser de interés especial de los atacantes, por eso debe tenerse en cuenta para aumentar su
protección.
2. ¿Qué tan útiles o perjudiciales pueden ser los demonios en su red? Realice un informe
en el que explique el porqué se deben instalar demonios en el sistema de
comunicación de la empresa, cuáles y por qué.
Los programas servidores escuchan en los puertos de red. Los puertos de red son el medio de
llegar a un servicio en particular en una máquina en particular, y es así como un servidor
conoce la diferencia entre una conexión telnet y otra de FTP que le lleguen. El usuario remoto
establece una conexión de red con la máquina, y el programa servidor, el demonio de red que
esté escuchando en ese puerto, aceptará la conexión y se ejecutará.
Un demonio es un tipo de proceso informático no interactivo, es decir, que se ejecuta en
segundo plano en vez de ser controlado directamente por el usuario. Este tipo de programas se
ejecutan de forma continua, cabe decir, que aunque se intente cerrar o matar el proceso, este
continuará en ejecución o se reiniciará automáticamente. Todo esto sin intervención de
terceros y sin dependencia de consola alguna.
En Unix/Linux un demonio (que responde al acrónimo de Disk And Execution MONitor.
Las tareas que puede desempeñar un demonio pueden ser muy variadas: responder a
peticiones de red, control de actividad de hardware y software, configurar hardware (como
devfsd en algunos sistemas GNU/Linux), ejecutar tareas periódicas o preprogramadas, etc.
Debido a que se trata de procesos no interactivos, el procedimiento para comunicar errores
o registrar su funcionamiento es a través de archivos del sistema en directorios reservados para
tal fin (en GNU/Linux en el directorio /var/log) o utilizan otros demonios diseñados para tal
fin como es el caso de syslogd.
Algunos de estos demonios, y los motivos para instalarlos son:
Tcp-Wrapper.
La idea de este software público es la de restringir la conexión de sistemas no deseados a
servicios de nuestra red. También permite ejecutar algún tipo de comando de manera
automática cuando se generan determinadas acciones en la red.
En suma, podemos concluir que el Tcp_Wrapper es una herramienta que nos permite
5. 5 Redes y seguridad
Actividad 3
controlar y monitorear el tráfico de las redes de nuestra organización, permitiéndonos a su vez
el control sobre las conexiones que se generan en la misma.
Argus
Es una herramienta de dominio público que permite auditar el tráfico IP, este programa se
ejecuta como un demonio, escucha directamente la interfaz de red de la máquina y su salida es
mandada bien a un archivo de trazas o a otra máquina para allí ser leída. En la captura de
paquetes IP se le puede especificar condiciones de filtrado como protocolos específicos,
nombres de máquinas, etc.
Preguntas propositivas
1. Seleccione las herramientas que considere necesarias para usar en su red de datos,
que permitan generar un control de acceso. Tenga en cuenta que estas herramientas
seleccionadas deberán ir incluidas en el manual de procedimientos. Por esta razón,
cree el procedimiento de uso de cada una de las herramientas seleccionadas.
A través del demonio telnet, se crea una conexión entre cliente y servidor que sirve para
transferir información, solo que el login y el password para acceder al sistema es hecho
automáticamente por el demonio. Pero, según considero, los demonios encargados del control
son otros, por ejemplo:
SATAN (Security Administrator Tool for Analyzing Networks): Con esta herramienta se
chequean las máquinas que están conectadas a la red, informando sobre el tipo de máquina
conectada, los servicios que presta cada una, además de detectar fallos de seguridad. La lectura
de sus datos es sencilla, a través de un navegador.
Califica los fallos encontrados en la máquina como baja, media o altamente insegura,
generando un registro de esos fallos con una breve explicación e información (si se puede)
sobre una posible solución. Con la información obtenida de todas las máquinas registradas
genera una base de datos.
Courtney: SATAN es muy buena herramienta para detectar topologías de redes por lo que
se necesita otra que detecte a SATAN; con esta la detectamos a partir de información pasada
por el programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso corto de
tiempo, el programa genera un aviso.
6. 6 Redes y seguridad
Actividad 3
NetLog: Hay ataques a una red que pueden pasar desapercibidos por su extremada
velocidad; esta vulnerabilidad se puede corregir con este programa que en realidad es una serie
de programas que trabajan conjuntamente, generando trazas de los paquetes que se mueven en
la red, sobre todo los sospechosos que indican un posible ataque a la red. Al igual que el
Argus, el Netlog también permite filtrar contenidos y ver solo los de interés.
Nocol (Network Operations Center On-Line): Esta herramienta, está hecha de diversos
paquetes para monitorear redes. Recopila, analiza, agrupa y le asigna niveles de gravedad a la
información (info, warning, error, crítical), siendo manejada cada gravedad por distintos
agentes, para filtrarla y analizar la que nos interesa.
ISS (Internet Security Scanner): Con esta herramienta chequeamos el nivel de seguridad
de una máquina evaluando servicios y direcciones IP; también se ven los puertos que usan el
protocolo TCP de la máquina analizada. Así mismo transferimos archivos de contraseñas por
la red, creando un registro de la máquina que posee tal contraseña con su dirección IP.
2. De la misma manera que en el caso anterior, seleccione las herramientas que usará
para chequear la integridad de su sistema y realice el procedimiento de uso de cada
una de ellas.
COPS (Computer Oracle and Password System): Con este programa chequeamos aspectos de
seguridad relacionados al sistema operativo UNIX; por ejemplo permisos a determinados
archivos, chequeo de passwords débiles, permisos de escritura y lectura sobre elementos
importantes de la configuración de red, entre otras funcionalidades.
Tiger: Parecido al COPS. Chequea la seguridad del sistema para detectar problemas y
vulnerabilidades, elementos como:
· Configuración general del sistema
· Sistema de archivos
· Caminos de búsqueda generados
· Alias y cuentas de usuarios
· Configuraciones de usuarios
· Chequeo de servicios
· Comprobación de archivos binarios
La información que se recoge se almacena en un archivo, que luego se analiza con una
herramienta que permite explicar los elementos del archivo. También se puede seleccionar el
tipo de chequeo del sistema.
7. 7 Redes y seguridad
Actividad 3
Crack: Nos sirve para “forzar” las contraseñas de los usuarios midiendo el grado de
complejidad de estas. Así se genera un diccionario y reglas que ayudan a crear passwords
comunes. Como se está usando para chequear la seguridad del sistema, le proveemos el archivo
de passwords y el programa lo barre detectando las contraseñas débiles y vulnerables, tratando
de deducir contraseñas del archivo cifrado de nuestro sistema.
Es necesario el barrido periódico del programa crack sobre nuestro sistema, para así notificar
a los dueños de las respectivas contraseñas sobre la necesidad de cambiarlas y aumentar la
seguridad en caso de ser víctimas de un ataque con un craqueador.
Tripwire: Su función principal es la de detectar cualquier cambio o modificación en el
sistema de archivos, como modificaciones no autorizadas o alteraciones maliciosas de algunos
softwares.
El programa genera una base de datos en la que genera una “firma” o archivo identificador
por cada elemento en el sistema de archivos. La firma guarda información relevante como el
nombre del propietario del archivo, última fecha de modificación, última fecha de acceso, etc.
Esta base de datos de firmas, se compara a voluntad con una nueva base de datos para detectar
las modificaciones en los archivos del sistema.
Es útil esta base de datos, para hacer comparaciones periódicas y así detectar cambios, y que
esta sea actualizada cada vez que se ingresa un elemento nuevo al sistema de manera autorizada.
Cpm (Check Promiscuous Mode): ¿Qué es el modo promiscuo? En una red el modo
promiscuo se define como aquel en que una máquina, o conjunto de máquinas, se encuentran
“escuchando” todo el tráfico de la red.
Aunque es importante tener máquinas en modo promiscuo para correr archivos de protección
de la red, así mismo funcionan los olfateadores o “sniffers”, que podemos detectar con el Cpm;
por eso es necesario correr el Cpm en nuestro sistema para cazar olfateadores que puedan estar
recogiendo información de las contraseñas de la red.
Trinux: Es un conjunto de herramientas para monitorear redes con el protocolo TCP-IP. Es
usada directamente desde el dispositivo de almacenamiento en que se encuentra, corriendo
enteramente en la memoria RAM del computador
Con este paquete de aplicaciones se controla el tráfico de mails, herramientas básicas de
redes, detector de sniffers, y herramientas de seguridad para los servidores de nuestra
organización.