Este documento describe varias técnicas de seguridad activa para redes, incluyendo el escaneo de puertos y servicios usando nmap, la configuración de VLAN en un switch, y el uso de VPN a través de LogMeInHamachi. Se recomienda implementar VLAN para separar el tráfico confidencial y de backup, y usar Hamachi para permitir el acceso remoto seguro a la red de la empresa.
1. PROYECTO 6 - SEGURIDAD ACTIVA: ACCESO A REDES
RA: Aplicar mecanismos de seguridad activa describiendo sus
características y relacionándolas con las necesidades de uso del sistema
informático.
Inventariado y control de servicios de red
Tu empresa está analizando la seguridad de una empresa de servicios de
Internet. Para convencerles de que necesitan contratar una auditoría seria, les vas
a demostrar que puedes identificar fácilmente los servicios que están ofreciendo y
si son vulnerables.
Para ello, vas a instalar varios servicios (p.ej. HTTP, DNS, FTP) en una
máquina virtual. A continuación:
a) Descarga e instala nmap de la página oficial. Haz la misma prueba que
en el punto anterior.
b) Utiliza de nuevo nmap para escanear los servicios de Google. Realiza
un escaneo sobre el servidor de google.es. Determina qué puertos
están abiertos y para qué servicios.
En la imagen muestra que el servidor deGoogle utiliza:
1. Puerto de 53 abierto que lo utiliza para resolver los nombres de dominio.
2. Puerto 80 abierto que lo utiliza para páginas web.
3. Puerto 443 abierto que lo utiliza para la transferencia y conexión sea cifrada es un
complemento de HHTP.
2. c) A partir de la información obtenida en el punto anterior, investiga
posibles vulnerabilidades del servidor web concreto que utiliza
Google (protocolo http).
El envío de información se transfiere en texto plano, es decir sin cifrar.
Se puede suplantar un sitio web o página web ofreciendo contenido malicioso.
d) Localiza geográficamente dónde está ubicado el servidor de
Google.es a través de su IP.
Como nos muestra la imagen el servidor de Google se encuentra en el estado de California en
Estados Unidos.
Seguridad en redes inalámbricas
La empresa que estás auditando permite la conexión de portátiles, tabletas y
móviles por wifi. Piensan que la seguridad de la red inalámbrica es suficiente tal
cual ha sido instalada por el proveedor, aunque sospechan que hay accesos no
controlados. Tienen un router inalámbrico Linksys WRT160NL:
a) Enumera las vulnerabilidades que puede tener la red inalámbrica con la
configuración por defecto.
El router utiliza la seguridad por defecto WAPo simplemente no viene definido ningún tipo de
seguridad por lo que es más fácil descifrar tu clave e introducirse en la red.
Al no tener asignado el acceso a la red por MAC se puede introducir en tu red con mayor
facilidad.
El router viene por defecto con el servidor DHCP habilitado, por lo que es menos seguro a la
hora de entregar IP, debemos utilizar el modo estático.
El nombre de SSID aparece en los equipos que busquen wifi, sería conveniente ocultar el SSID
depende mucho de la decisión que tome el administrador de red.
El acceso al router a través del navegador viene definido por el usuario y contraseña ADMIN
sería conveniente cambiar esta información así no puede sufrir ningún tipo de modificaciones.
3. b) Configura el router (a través del emulador de la página web de Linksys)
para que la red sea lo más segura posible.
Las direcciones IP las vamos a conceder de forma estática, para ello deshabilitamos la función
DHCP, e introducimos los datos.
Elegimos el tipo de seguridad WPA2_personal con el tipo de encriptación TKIP o AES e
introducimos una contraseña larga con una renovación de clave cada una hora así al hacker e
resultará más difícil conocer nuestra contraseña.
4. Permitimos el acceso a los equipos mediante autenticación MAC. También hay que decir que
se puede ocultar el SSID o nombre de la red.
Los directivos de la empresa están algo cansados de que se acceda a Internet
de forma abusiva. Quieren que les recomiendes algo para controlar su uso:
a) Explícales qué es un portal cautivo y cómo les puede ayudar.
Un portal cautivo es un software o máquina física de una red de Internet que vigila el tráfico de
HTTP forzando a los usuarios a identificarse para navegar por Internet de forma segura. Se usa
en redes inalámbricas abiertas. Esta medida como administradores de la red nos sirve para
saber en todo momento los sitios de navegación de nuestros usuarios.
b) Explica también qué formas hay de implementarlo y qué recursos HW y
SW son necesarios en cada caso.
Hardware:
Router/AP Linksys WRT54G ver.2
1PC Host para m0n0wall con las siguientes características:
– Placa Madre Pcchips M810L /video/sonido/lan
– CPU AMD Duron 1.3 GHz
– Memoria SD Ram 128mb PC133
– UnidadLectoraCDRom
– Tarjeta Ethernet 10/100 baseTRealtek Chipset 8139d
– Tarjeta Ethernet 10/100 baseTDLink Chipset DFE-538TX
– Tarjeta Ethernet 10/100 baseTSiS Chipset (integrada con la placa)
– Teclado y Monitor
5. Software:
1 m0n0wall versión 1.3b12
1 Firmware Alchemy 1.0 para el router WRT54G.
Además por supuesto de un Pc desde donde configurar ambos (m0n0 y el wrt54g) y los
respectivos chicotes de red para estos.
El PC desde donde configure todo es una maquina Debian Sarge con 3 interfaces de
red, 2 cableadas y 1 inalámbrica, esta última fue la que utilicé para todos los efectos de
este tutorial.
También es, aunque opcional, necesaria una conexión a Internet, solo si deseamos que
nuestro portal cautivo sea una página web.
c) Escribe el código HTML de una página web que sirva para validar a un
usuario que quiera acceder a Internet.
6. RA: Asegurar la privacidad de la información transmitida en redes
informáticas describiendo vulnerabilidades e instalando software
específico.
Medidas para evitar la monitorización de redes cableadas
Estás dando soporte como técnico de seguridad informática a una empresa
que tiene varios grandes departamentos, algunos que manejan información
altamente confidencial. Además, el tráfico de backup afecta al rendimiento del
resto de la red. Te piden consejo:
a) Les recomiendas utilizar un switch gestionable con capacidad VLAN.
Crea dos VLAN de grupos de puertos con los identificadores 11 y 12.
Para empezar debemos cambiar la configuración del adaptador de red de nuestro equipo para
tener acceso a la interfaz del switch, como nos muestra la imagen.
Nos situamos en el navegador e introducimos la IP del switch y nos aparece la interfaz del
mismo y debemos introducir usuario y contraseña, como nos muestra la imagen.
7. Una medida importante es cambiar tanto el usuario como la contraseña como nos muestra la
imagen.
Realizadolos pasos anteriores, procedemos a crear nuestra Vlan 1, que la llamamos vlan10,
como nos muestra la imagen.
8. De igual manera creamos la Vlan 2, que la llamamos vla20 debe quedarnos la configuración
como nos muestra la imagen.
b) Cada VLAN incluirá al menos dos puertos. Conecta cuatro equipos al
switch, dos en cada VLAN.
Una vez hecho los pasos anteriores ahora vamos a asignar a nuestra vlan 10, los puertos 2 y 3
(UNTAGGED), como nos muestra la imagen.
9. Realizamos la misma operación con nuestra vlan 20 asignándole los puertos 4, 5,6 con esto ya
tenemos definidos los puertos en cada una de nuestras vlan.
10. c) Comprueba que hay conectividad entre los equipos de la misma VLAN,
pero no con los de la otra VLAN.
Comprobamos si funciona, al hacer ping al equipo de mi compañera Eli y se ve como recibimos
respuesta, ya que estamos en la misma Vlan.
Mientras que al hacer ping al equipo de mi compañero Piris no recibo respuesta. Ya que se
encuentra en otra Vlan.
11. VPN
Parte del personal de tu empresa teletrabaja. Para establecer conexiones
seguras con la empresa se utiliza VPN.
La empresa en la que das soporte quiere implementar dicha solución para sus
empleados que trabajan desde oficinas remotas. Requieren tu ayuda para ello:
a) Les vas a hacer una demostración a través de la aplicación
LogMeInHamachi. Descárgala e instálala en una máquina virtual. Crea una
red.
12. Una vez instalado la aplicación Hamachi, pulsamos en Encender y nos pide que introduzcamos
el nombre del cliente.
Al pulsar en Create en la parte superior nos aparece una IP que nos a asignado y la MAC,
pulsamos en Crear una nueva red.
13. Introducimos el nombre de cómo queremos que se llame nuestra red y una contraseña para
que el usuario de otra máquina pueda conectarse con nosotros.
b) Instala la aplicación en otra máquina. Haz que se una a la red creada en la
otra máquina. Puedes hacerlo también con la red de un compañero.
Una vez creada la red instalamos en otro equipo la aplicación Hamachi en el que nos pide el
nombre de nuestra máquina y la contraseña.
14. Como se puede ver en la imagen el equipo 127PC01 se ha conectado a nuestra red, para
probar que funciona hemos abierto un chat y también hemos podido acceder a sus carpetas
compartidas. Por ultimo nos da la opción de cerrar sesión con el usuario con el que estemos
conectados.
15. c) Demuestra que funciona también entre tu casa y el colegio.
Ahora vamos a realizar una prueba desde mi casa hacia la casa de un compañero realizamos el
mismo procedimiento anterior en cuanto a la creación de la red y su contraseña.
Como se puede ver hemos realizado la conexión con éxito.