1. UNIVERSIDAD CATOLICA DE SANTA MARIA
I. NIVEL
PREGRADO
FACULTAD: CIENCIAS E INGENIERIAS FISICAS Y FORMALES
CARRERA PROFESIONAL: INGENIERIA DE SISTEMAS
TITULO PROFESIONAL: Ingeniero de Sistemas
DENOMINACION DEL TRABAJO DE INVESTIGACION, TESIS O
PROYECTO: Modelo de un Sistema de Seguridad en Redes Informáticas
Basado en Software Libre.
AUTOR: Vera Morales Julio César.
II. CONTENIDO DEL RESUMEN
ASPECTO METODOLOGICO
Cobit 4.0
Planear y organizar
Implantar
Entregar y dar Soporte
Monitorear y Evaluar
PLANTEAMIENTO DEL PROBLEMA
En el siglo XXI se ha afianzado la presencia de la informática en todos los ámbitos de la
actividad humana dentro de ellas las empresas e instituciones de toda índole quienes
para ser competitivas en el mercado interno y externo se ven obligados a informatizar
sus procedimientos productivos y comerciales para lo cual tienen que contar con uno o
varios software de acuerdo al tipo de actividad productiva que realicen.
La presencia de redes informáticas en las empresas si bien por un lado les permite
mejorar la calidad de sus productos y servicios, por el otro, están a expensas de las
2. debilidades que todo engendro humano trae consigo. En la actualidad las redes de todo
tipo de empresas tienen muchas debilidades en su seguridad, situación que ocasiona
pérdidas de información y colapso de servicios. Todo ello ocurre como consecuencia
de ataques mal intencionados hacia los servidores de red, que no siempre cuentan con la
seguridad necesaria para poder evadir estos ataques.
Frente a estos riesgos los administradores de la red de las instituciones y empresas no
están preparados para enfrentar estos ataques, por lo tanto se ven obligados a adquirir
tecnología para lo cual tiene dos alternativas: adquirir productos de la Microsoft y pagar
costosas licencias cada año o implementar un modelo de seguridad basado en software
libre y solamente pagar gastos de personal y hardware nuevo. Las pequeñas empresas
tendrán que necesariamente asumir la segunda opción por ser menos costosa.
Conscientes de tal disyuntiva en el presente trabajo desarrollamos un firewall de bajo
costo para enfrentar con éxito los diferentes ataques a los que están expuestas las redes
informáticas de las instituciones y de las pequeñas empresas.
OBJETIVOS
Objetivo general
Identificar los puntos débiles de seguridad y proponer un Modelo de seguridad
para redes de pequeñas y medianas empresas explotando los recursos que ofrece
el software libre.
Objetivos Específicos
Identificar las vulnerabilidades y posibles fuentes de ataques a las redes
informáticas.
Diseñar filtros de Seguridad.
Diseñar y proponer un modelo de seguridad de redes altamente seguras.
HIPOTESIS
Si, las redes informáticas de las instituciones y pequeñas empresas presentan punto
débiles en su seguridad; entonces, es posible elaborar un modelo que permita
implementar exitosamente un sistema de seguridad que pueda reducir la vulnerabilidad
en el sistema operativo y servicios expuestos a Internet.
3. BREVE REFERENCIA AL MARCO
TCP CONEXIÓN SCANING
Esta es una forma de escaneo de puertos TCP consiste en recibir respuesta si el puerto
esta “escuchando” devolverá una respuesta de éxito en cualquier otro caso nos dirá de
que el puerto o bien está cerrado o no pudo establecer conexión con él.
La principal desventaja es que el administrador del sistema fácilmente se puede dar
cuenta de esto por el gran numero de errores y respuestas del sin éxito de varios puertos.
DSD La información de control llamada HandShake (saludo) se intercambia entre el
Cliente y el Servidor para establecer un dialogo antes de transmitir datos.
Los "paquetes" o segmentos TCP tienen banderas que indican el estado del mismo. El
protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios (incluyendo
el correo electrónico, el Web y el IRC) implica esta conexión entre dos máquinas. El
establecimiento de dicha conexión se realiza mediante lo que se llama Three-Way
Handshake ("conexión en tres pasos") ya intercambian tres segmentos.
TCP SYN SCAN
Para establecer una conexión normal TCP, es necesario seguir una negociación de tres
pasos. Esta negociación es iniciada con un paquete SYN en la máquina de origen, a la
que la máquina de destino corresponde con un paquete SYN/ACK, que es finalmente
respondido por la máquina que inicia la conexión por un paquete ACK. Una vez que se
han cumplido estos pasos, está hecha la conexión TCP. Un rastreador de puertos envía
muchos paquetes SYN a la máquina que se está probando, y mira de qué forma regresan
los paquetes para ver el estado de los puertos en el destino, interpretándolos de la
siguiente forma: - Si al enviar un paquete SYN a un puerto específico, el destino
devuelve un SYN/ACK, el puerto está abierto y escuchando conexiones. - En otro caso,
si regresa un paquete RST, el puerto está cerrado. - Por último, si no regresa el paquete,
o si se recibe un paquete ICMP Port Unreachable, el puerto está filtrado por algún tipo
de cortafuegos .Haciendo este procedimiento para una lista de puertos conocidos, se
logra obtener un informe de estado de los puertos de la máquina probada.
TCP FIN
Muchas veces el escaneo SYN puede fallar debido a cierta protección en la red que
monitorea a los paquetes SYN y si estos se dirigen a puertos cerrados o restringidos
suelen ser bloqueados. Esta técnica de paquetes FIN pueden ser capaces de pasar sin ser
4. advertidos ya que se basa en que los puertos cerrados suelen tener tendencia a
responder a los paquetes FIN con el RST correspondiente el RST es el paquete llamado
reset que se da cuando un puerto está cerrado o deshabilitado, los puertos abiertos
suelen ignorar esta clase de sondeo de paquetes FIN en sistemas operativos Microsoft
sus puertos estén abiertos o cerrados dan como respuesta siempre un reset lo que no los
hace vulnerables a este tipo de ataque, ya que el atacante tendrá una respuesta muy
monótona.
Este último es un ejemplo en el que se puede apreciar que algunas vulnerabilidades se
presentan en las aplicación de tecnologías (en este caso el protocolo TCP nacido en los
años ´70) y no sobre sus implementaciones. Es más, se observa que una implementación
incorrecta (la de Microsoft(r)) soluciona el problema. "Muchos de los problemas
globales de vulnerabilidades son inherentes al diseño original de algunos protocolos".
TCP FRAGMENTACIÓN
Esta no es más que una variación de las anteriores, la diferencia se da en que a la vez
de mandar paquetes completos estos se parten en un par de fragmentos ip. Esto da una
ventaja de no ser monitorizado.
La fragmentación del paquete se puede utilizar para obtener el bloqueo en torno a las
normas en algunos cortafuegos.
Esto se hace trampas con el valor del offset del fragmento. El truco está en ajustar el
valor del offset del fragmento sobre el segundo paquete tan baja que, en lugar de añadir
el segundo paquete para el primer paquete, se sobrescribe los datos y parte de la
cabecera TCP del primer paquete.
Digamos que usted quiere `` telnet en una red donde el puerto TCP 23 es bloqueado por
un cortafuegos de filtrado de paquetes. Sin embargo, SMTP puerto 25 está permitida en
la red.
SNIFFING
Los sniffers son herramientas comúnmente utilizados por los hackers para ganar acceso
en los sistemas y una mejora de estos para ser usado en la captura de usuarios y
passwords. Es probablemente la herramienta más usada por los hackers.
5. CONCLUSIONES
Los diversos tipos de ataques a la seguridad de las redes son de negación de servicio y
ejecución de código arbitrario y provienen de la Internet y de la red interna, que afectan
al sistema operativo averiándolo, modificando su funcionamiento, malogrando el
hardware interno o generando falsas transacciones.
La mejor forma de proteger de las vulnerabilidades del sistema operativo es
actualizando el paquete vulnerable con la respectiva versión no vulnerable otorgada por
los desarrolladores de Debían.
La mejor forma de evitar o contrarrestar ataques de denegación de servicio (DOS) es
teniendo programado un firewall hecho a la medida, utilizando límites.
El diseño de filtros basados en „Alias‟ nos protege de ataques de desbordamiento de
buffer así como el cambio en la programación de los comandos rm y gcc.
La configuración y el cambio del código fuente en los servicios brindan más seguridad,
siempre en cuando se esté seguro de lo que se hace.
El modelo de seguridad propuesto comprende dos firewall, el primero re direcciona al
segundo y este al servidor interno correspondiente; un router que brinda un ip publico al
firewall; tres switch que crean una red interna de información y tres servidores internos
que tiene la función de atender las peticiones de la Internet que al funcionar todos
simultáneamente generan el sistema de seguridad deseado.
BIBLIOGRAFIA
[KER, 79] Entorno de programación Unix Autores: KERNIGHAN Brian W .Pike,
Rob Año: 1979, Lugar: México, Publicado por la Universidad Nacional Autónoma de
México.
[EYL, 2001] Redes en Linux con TCP/IP Autor: Pat Eyler Editorial Linux: Prentice
Hall año 2001 Lugar: España.
[HAT, 2001]Hacking linux exposed - linux security & solutions Autores: Brian Hatch,
James Lee, and George Kurtz Año: 2001 Lugar Estados Unidos Publicado por: the
Mcgraw-Hill companies.
[KIR, 2002] Guía de Administración redes con Linux Autores: Olaf Kirch, Terry
Dawson Lugar: Estados Undios Editado por: O‟Really & Assosiates, Traducción al
Español Por Hispalinux Año 2002
6. [MIR, 2002]Hack proofing linux - a guide to open source security 2° edition
Autores:David R. Mirza, Ido Dubrawsky, F.William Lynch, steve W. Manzuik, Ken P.
Feil, Ryan Russel Editorial: Syngress Lugar estados Unidos Año 2002.
[KOM, 2003] Firewalls for dummies 2nd edition, Autores: Brian Komas, Ronald
Keekelaar, Joern Wettern (PhD) Editorial: Wiley Publishing Inc, Año: 2003 Lugar:
Estados Unidos.
[NIT, 2003] Hacknotes - Linux and unix security portable reference Autores : Nitesh
Dhanjani, Robert Clugston, Lugar: New York Estados Unidos Año 2003
[GAR, 2004] Ataques contra redes Autor: Joaquin Garcia Alfaro Año: 2004, Editorial:
UOC formación en postgrado, Lugar Universidad de Cataluña España.
[FAC, 2005] La Biblia Linux Autor: Hector Facundo Arena Lugar: Buenos Aires
Argentina, Editorial: MP Ediciones, Año: 2005
[STA, 2005]Cryptography and network Autor: william Stallings; Año: 2005, Editorial:
Prentice Hall; Lugar:Estados Unidos
[LATH, 2006]Configuring sonicwall firewalls Año 2006, Autores: Chris Lathem,
Benjamin W.Fortenberry, Daniel H.Bendell, Bradly Dinerman, Lars Hansen, Editorial
Syngress, Lugar: Canadá.