Este laboratorio trata sobre la identificación de servicios y aplicaciones de red, el protocolo SNMP para la administración de redes, el protocolo NTP para la sincronización de relojes en sistemas informáticos, el protocolo syslog para el envío de mensajes de registro, y un caso de estudio sobre un ataque spoofing. Se proporcionan ejemplos de puertos y aplicaciones comunes, así como sugerencias para la protección contra ataques de spoofing.
Laboratorio de Seguridad en Redes: Identificación de Servicios y Aplicaciones, SNMP, NTP, Syslog y Caso de Estudio de Ataque Spoofing
1. UNIVERSIDAD DE PANAMÁ
SEDE DE LOS SANTOS
P. ANEXO MACARACAS
FACULTAD DE INFORMÁTICA, ELECTRÓNICA Y COMUNICACIÓN
LICENCIATURA EN INFORMÁTICA PARA LA GESTIÓN EDUCATIVA Y EMPRESARIAL
SEGURIDAD EN REDES
“LABORATORIO # 2”
FACILITADORA: PROFA.: LUIYIANA PÉREZ
PREPARADO POR:
GONZÁLEZ, MARELIS 6-703-721
GUTIÉRREZ, ANA 7-97-783
SAMANIEGO, NELSON 6-703-2338
CÁRDENAS, RICAUTER 7-700-1008
30 DE MAYO DE 2,015.
I SEMESTRE 2015
2. LABORATORIO # 2
1. Identificación de Servicios y Aplicaciones
Puerto
Nombre de la
Aplicación o
Servicio
Descripción
22 (tcp) SSH Protocolo de red cifrado en máquinas remotas.
21 (tcp) FTP Protocolo de transferencia de ficheros – control.
25 (tcp) SMTP Protocolo Simple de transferencia de correos.
69 (udp) TFTP Protocolo Trivial de transferencia de ficheros.
137 (tcp) NetBios Servicio de Nombres.
138 (udp) NetBios Servicio de envíos de datagramas.
139 (udp) NetBios Servicio de sesiones.
445 (tcp) Microsoft-DS Active Directory comparticion en Windows; gusano Sasser.
3306 (tcp) MySQL Sistema de Gestión de Bases de Datos.
1863 (tcp) MSN Messenger Sistema de mensajería.
7070 (udp) Gopher Services Poco fiable, desordenado, de peso ligero.
2. Servicio snmp: es un protocolo de la capa de aplicación que facilita el intercambio de
información de administración entre dispositivos de red. Los dispositivos que normalmente
soportan SNMP incluyen routers, switches, servidores, estaciones de trabajo, impresoras,
bastidores de módem y muchos más. Permite a los administradores supervisar el funcionamiento
de la red, buscar y resolver sus problemas, y planear su crecimiento.
Áreas en las que se puede aplicar: es utilizado en la administración de redes para supervisar el
desempeño, la salud y el bienestar de una red, equipo de cómputo y otros dispositivos.
Se recomienda utilizar la versión 2 SNMPv2 (RFC 1441 - RFC 1452), revisa la versión 1 e incluye
mejoras en las áreas de comunicaciones de rendimiento, la seguridad, confidencialidad e-
manager-a gerente. Introdujo GetBulkRequest, una alternativa a GetNextRequests iterativos para
recuperar grandes cantidades de datos de gestión en una sola solicitud. Sin embargo, el nuevo
sistema de seguridad basado en partidos en SNMPv2, visto por muchos como demasiado
3. complejo, no fue ampliamente aceptado. Esta versión de SNMP ha alcanzado el nivel de madurez
de Norma, pero se consideró obsoleto por las versiones posteriores.
3. Network Time Protocol (NTP): es un protocolo de Internet para sincronizar los relojes de los
sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable.
NTP utiliza UDP como su capa de transporte, usando el puerto 123. Está diseñado para resistir los
efectos de la latencia variable.
NTP (Network Time Protocol) es un protocolo de entre los más antiguos protocolos de Internet
(1985), haciendo uso de intercambio de paquetes (unidades de información transportadas entre
nodos a través de enlaces de datos compartidos) y latencia variable (tiempo de demora entre el
momento en que algo inicia y el momento en que su efecto inicia).
La versión 4 del protocolo puede mantener el tiempo con un margen de 10 milisegundos a través
de la red mundial, alcanzado exactitud de 200 microsegundos. En redes locales, bajo condiciones
idóneas, este margen se puede reducir considerablemente.
4. Syslog: es un estándar de facto para el envío de mensajes de registro en una red informática
IP. Por syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los
mensajes de registro.
Un mensaje de registro suele tener información sobre la seguridad del sistema, aunque puede
contener cualquier información. Junto con cada mensaje se incluye la fecha y hora del envío.
4. El protocolo syslog es muy sencillo: existe un ordenador servidor ejecutando el servidor de syslog,
conocido como syslogd (demonio de syslog). El cliente envía un pequeño mensaje de texto (de
menos de 1024 bytes).
Los mensajes de syslog se suelen enviar vía UDP, por el puerto 514, en formato de texto plano.
Algunas implementaciones del servidor, como syslog-ng, permiten usar TCP en vez de UDP, y
también ofrecen Stunnel para que los datos viajen cifrados mediante SSL/TLS.
Aunque syslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos
dispositivos lo implementen, tanto para enviar como para recibir. Eso hace posible integrar
mensajes de varios tipos de sistemas en un solo repositorio central.
Herramientas utilizadas para el manejo y análisis de logs: Splunk, Sumo Logic, LogStash,
GrayLog, Loggly, PaperTrails.
5. Caso de estudio:
Tipo de amenaza expuesto en el caso de estudio: Ataque spoofing.
Sugerencias de seguridad para los clientes por ataques:
Que corten la conexión en cualquier momento al recibir paquetes sin haberlos solicitado.
Usar programas de detección de cambios de las tablas ARP (como Arpwatch) y el usar la
seguridad de puerto de los switches para evitar cambios en las direcciones MAC.
Mediante tablas ARP estáticas (siempre que las IP de red sean fijas), lo cual puede ser
difícil en redes grandes.
Crear registros SPF y firmas digitales DKIM.
5. Medidas de seguridad para proteger su portal en este tipo de ataques:
Utilizar la autenticación basada en el intercambio de claves entre máquinas en la red
(Por ejemplo IPsec).
Negar tráfico de direcciones ip privadas (utilizando ACLs).
Configurar los routers para que denieguen trafico dentro de la red que debería darse
fuera y al revés.
Establecer sesiones cifradas (mediante VPNs) con los routers frontera de la LAN, con el
objetivo de habilitar el acceso a servidores locales de máquinas externas.