actividad 3 redes y seguridad
TRANSCRIPT
1 Redes y seguridad Actividad 3
Actividad 3
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás Evidencias 3.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha 29 de junio 2012
Actividad Actividad_3
Tema Vulnerabilidades en la organización: Tipos de Soluciones
Su empresa cuenta ya con el plan de acción y el esquema de revisión de las PSI gracias a su
trabajo. También, para mayor protección, usted enunció los procedimientos que deben llevarse
a cabo para asegurar el flujo de información. En este momento, es necesario que como gestor
de la red reconozca los ataques y las vulnerabilidades más frecuentes en los sistemas, y con
esta información complemente su plan de acción, su esquema de seguridad, y sobre todo, sus
procedimientos.
Preguntas interpretativas
1. Existe una relación directa entre las vulnerabilidades y el algoritmo P-C. En el “denial
of service”, por ejemplo, existen diferentes maneras de llevar a cabo esta
vulnerabilidad. ¿Cómo se relacionan estas maneras de llevar a cabo las
vulnerabilidades con el algoritmo P-C? Realice un informe para los técnicos de
mantenimiento en el que explique esta situación.
R/
Informe: En esta empresa debemos tener en cuenta que nuestro sistemas de red
debemos protegerlos, La relación que existe entre la vulnerabilidad y el algoritmo P–
C radicado en la medida en que por ejemplo Denial of Service, tiene como
funcionalidad la interrupción de dicho algoritmo, valiéndose de infinidad de ataques
para lo cual se utiliza una serie de herramientas, que van desde consumir el total de
la banda ancha, hasta implementar virus que consumen espacios de almacenamiento
de la maquina, con lo cual se afecta el flujo continuo de los procesos que interviene
en el algoritmo P-C. Es de vital importancia, que los encargados de la seguridad
informática de la organización, mantengan en la vanguardia de actualización y
innovación, para estar al día enfocándose para combatir las nuevas amenazas que
rodean la operatividad de la organización, es de suma importancia resultados de las
pruebas aplicadas y resultados de procesos en la Red.
También es importante entender que las contraseñas de red, deben tener claves de
acceso complejas para ser protegidos tanto en los ya mencionados como en los
2 Redes y seguridad Actividad 3
enrutadores, switch, Bridge, Access Point y demás equipos de comunicación que
interviene en este sistema además estar pendiente de los informes que realizan los
programadores de chequeo para tomar las medidas necesarias.
Para tener un manual de procedimientos a implementar en caso de cualquier falla.
2. “Toda herramienta usada en la administración de una red, es potencialmente maligna
y potencialmente benigna”. Interprete esta afirmación y agregue, a su manual de
procedimientos, una cláusula en la que haga pública esta observación. Tenga en
cuenta la división de puestos de trabajo explicada en unidades anteriores.
R/
Las herramientas utilizadas en una red pueden ser benignas por que nos ayudan a
mejorar la seguridad en el sistema teniendo un catalogo de datos y contraseñas para
cada usuario. Lo cual nos permite realizar un mayor control de las actividades y
procesos de cada usuario. La obtención y recolección de datos de suma importancia,
con la cual se pueda crear una base de datos y/o códigos que nos permita realizar
comparaciones futuras en busca de anomalías es nuestro proceso.
Las herramientas utilizadas par administrar un red puede ser maligna en el caso de
no tener en cuenta el proveedor ya que puede ser utilizada por un hacker para hacer
pruebas de seguridad pero un cracker „s cuya única intención es la de causar
lesiones parciales o totales a nuestra organización y extraer información comercial
que pueda en algunos casos o generales Beneficios económicos si mismo.
Preguntas argumentativas
3 Redes y seguridad Actividad 3
1. Los logísticos de las actividades de la empresa son INDISPENSABLES para el
diagnóstico de la seguridad de la red. ¿Cuáles logísticos considera usted prioritarios
para el problema de e-mail bombing, spamming y el “denial of service”? Justifique su
elección.
R/
Email bombing: consiste en enviar varias veces el mismo mensaje a un usuario
spammiing: cosiste en enviar un mensaje a miles, incluso, millones de usuarios.
“denial of service”: Por ejemplo: vemos que cuando un correo es sobrecargado de
elementos, puede darse un “Denial of Sevice”. Ya la maquina se sobrecarga con la
cantidad de mails que debe procesar, llenando el disco duro con logísticos de mails
recibidos, o una sobrecarga de las conexiones de red.
Conociendo las diferencia que radican entre los e-mail bombing y spamming, y de
igual forma “ Denial of Service”, es propietario tener en cuenta logísticos como la
recepción de mensaje, logísticos de anti-spam y logísticos de cuentas de usuario
malintencionadas. Para efectos del desarrollo del punto actual.
Mi justificación se basa en el logístico de anti-speam.
Dado que para mi concepto este es una de nuestras principales herramientas a la
hora de evitar inconvenientes generados por elementos como los mencionados
anteriormente, dado que con la monitorización de cuentas de dudosa procedencia se
minimiza el impacto de futuros ataques generados por la utilización de dichas
herramientas.
2. ¿Qué tan útiles o perjudiciales pueden ser los demonios en su red? Realice un
informe en el que explique por qué se deben instalar demonios en el sistema de
comunicación de la empresa, cuáles y por qué.
R/
Para la correcta monitorización de la operatividad de nuestra red, se hace necesario
un complemento seguimiento de cada uno de los procesos que se realizan en cada
uno de los puestos de trabajo, una forma segura de hacerlo sin afectar la
funcionalidad del personal que labora en cada uno de los nodos es la implementación
de demonios, ya que su funcionalidad esta demarcada en la inspección de
seguimiento en segundo plano, sin posibilidad de comunicación alguna con el
usuario, para establecer si se ha intentado algún fraude que afecte a la organización
y a sus complejos procesos.
Los demonios que se pondrían instalar serian:
Argus: Su importancia radica en la auditoria que realiza el trafico ip, estableciendo
rutas de navegación y/o conexión, con lo cual se prueba la fiabilidad del sistema,
dado que este proceso queda consignado para futuras comparaciones, si llegasen a
ser requeridas.
Syslogd: este tiene como funcionalidad la de generar informes sobre el
funcionamiento de la maquina para lo cual recibe mensajes de las diferentes partes
del sistema (núcleo, programas…) y los envía y/o almacena en diferentes
4 Redes y seguridad Actividad 3
localizaciones, tanto locales como remotas, siguendo un criterio definido de
configuración.
5 Redes y seguridad Actividad 3
Preguntas propositivas
1. Seleccione las herramientas que considere necesarias para usar en su red de datos,
que permitan generar un control de acceso. Tenga en cuenta que estas herramientas
seleccionadas deberán ir incluidas en el manual de procedimientos. Por esta razón,
cree el procedimiento de uso de cada una de las herramientas seleccionadas.
R/.
TCP-WRAPPER
Restringir conexiones de sistemas no autorizados
Ejecutar comandos para ciertas acciones en la red de forma automática
Rastreo e identificación de trazos de las conexiones realizadas, incluye
permitidas y no permitidas.
Controlar y Monitorear la actividad de la red en nuestra maquina.
NETLOG
Registro de las conexiones realizadas en milisegundo
Solución problemas como “SATAN” Y “ISI”
Da a conocer trazos de las actividades realizadas en la red
Aplicación a campos específicos
TCPLOGGER-UDPLGGER-ICMPLOGGER
Etherscan: Monitorea la actividad en protocolos diferentes al TCP e indica la
modificación de cualquier archivo que use dicho protocolo
Detectar modificaciones en la red con Nstat, brindándonos información en
lapsos de tiempo determinados.
ARGUS
Realiza auditoria al trafico IP
Trabaja en segundo plano, monitoreando sin ser detectado
Actúa como filtro, ayudándonos a encontrar lo que buscamos
SATAN
Monitorear la conectividad de las maquinas en la red
Detecta fallos o brechas de seguridad
Visualización de resultados a través de navegadores
Identificación la vulnerabilidad en una maquina, y lo muestra
Califica el grado de vulnerabilidad como baja, media y altamente insegura
Explica los fallos encontrados
Da a conocer la topología en uso.
6 Redes y seguridad Actividad 3
ISS
Evalúa el nivel de seguridad de la red
Identifica los puertos que usan el protocolo TCP
Transferí archivos de contraseñas a través de la red
Identificación del equipo con las contraseñas y su IP
GABRIEL
Identifica ataque a “ SATAN”
Comprende dos programas cliente_servidor
Conexión inmediata de fallos en el cliente.
2. De la misma manera que en el caso anterior, seleccione las herramientas que usará
para chequear la integridad de su sistema y realice el procedimiento de uso de cada
una de ellas.
R/.
CRAK
Prueba la complejidad de las contraseñas
Realiza una inspección para detectar passwords débiles y susceptible
TIGER
Chequea ámbitos de seguridad de nuestro sistema
Configuración completa del sistema
Archivos
Trazos de búsqueda
Login y Password
Configuración de los usuarios
Revisión de servicios
Comprobación de archivos binarios
CHKWTMP
Detecta a usuarios encubiertos en nuestro sistema, a través del seguimiento
de las huellas que quedan al acceder al mismo.
OSH
Identifica la autorización de los usuarios y la cierta utilización de comandos
Registro de los comandos utilizados
Otorga permisos para implementar comandos en ocasiones especiales a
usuarios especiales.
CMP
Monitorea el trafico en busca de maquinas olfateadoras en nuestro sistema
7 Redes y seguridad Actividad 3
TRIPWIRE
Este software de dominio público desarrollado por el departamento de
informática de la Universidad de purde, es una herramienta que comprueba la
integridad de los Sistemas de ficheros, y ayuda al administrador a monitorizar
estos frente a modificaciones no autorizadas. Esta herramienta avisa al
administrador de cualquier cambio o alteración de ficheros en la maquina
(incluido binarios). El programa crea una base de datos con un identificador
por cada fichero analizado, y puede ser comparado en cualquier momento el
actual con le registro en la base de datos, avisando ante cualquier alteración,
eliminación o incluso de un nuevo fichero en el sistemas de ficheros. La base
de datos esta compuesta por una serie de datos como la fecha de la última
modificación, propietario, permiso. Entre otros. Con todo ello se crea una firma
para cada fichero en la base de datos.
SPAR
Software de dominio público diseñado por CSTC (Computer Security
Technology Center) realiza una auditoria de los procesos del sistema, mucho
más flexible y potente que el comando de UNIX. El programa lee la
información recogida por el sistema y puede ser consultada con una gran
variedad de filtros como. Usuario, grupo, dispositivo, admitiendo operadores
(=,>, <<,>=,&&…). Por defecto el programa obtienen la información del fichero
“/var/adm/pacct”. Pero se le puede indicar otro fichero. La información puede
ser mostrada en ASCII o en binario para su posterior proceso con spar.
LSOF
Este programa de dominio creado por Vic Abell, nos muestra todos los
ficheros abiertos por el sistema, entendiendo por fichero abierto: un fichero
regular, un directorio, un fichero de bloqueo, fichero de carácter, un fichero de
red (socket, fichero NFS). El programa admite varios parámetros que nos
permiten filtrar información dependiendo que tipio de procesos queramos ver
en ese instante. Este software esta disponible para una gran variedad de
plataformas: AIX 3.2.3, HP_UX7.x y 8.x, IRIX 5.1.1, Sun Os 4.1.x, Ultrix 2.2 y
4.2, Solaris 2.3, NetBSD…
CPM
Este pequeño programa realizado por la Universidad de Carnegie Mellon,
chequea el interfaz de red de la maquina descubriendo si esta siendo utilizado
en modo promiscuo (escuchando todo el tráfico de la red). Esta herramientas
es muy útil, por que nos a alerta de la posible existencia de un “sniffer”
(olfateador) que intente captura información en nuestra red como puedan ser
8 Redes y seguridad Actividad 3
las palabras de paso. Este programa debería ser ejecutado de forma periódica
para detectar lo antes posibles el estado promiscuo en la placa de red. Una
forma útil de utilizarlo es mandarnos el resultado vía correo electrónico.
IFSTATUS
Software de dominio público creado por Dave Curry, permite (al igual que el
anterior) descubrir si un interfaz de red esta siendo utilizada en modo
promiscuo para capturar información en la red. Sirven todas las
recomendaciones dichas anteriormente.
Veamos un ejemplo de mensaje que genera esta aplicación, cuando un
interfaz de red ejecutada en modo promiscuo.
OSH
Creado por Mike Neuman, este software de dominio publico es una Shell
restringida con “ setuid root”, que permite indicar al administrador mediante
un fichero de datos que comandos puede ejercitar cada usuario. El fichero
de permisos esta formado por nombres de usuario y una lista de los
comandos que se permiten a cada uno de ellos, también es posible
especificar comandos comunes a todos ellos. Esta Shell deja una auditoria
de todos los comandos ejecutados por el usuario (indicando si pudo no
ejecutarlos), además dispone desde un editor (Vi) restringido. Este programa
es de gran utilidad para aquellas maquinas que dispongan de una gran
cantidad de usuarios y no necesite ejecutar muchos comandos, o para dar
privilegios a determinados usuarios “especiales “que tengan que ejecutar
algún comando que en circunstancias normales no podrían con una Shell
normal.
NOSHELL
Este programa permite al administrador obtener información adicional sobre
intentos de conexión a cuentas cancelada en una maquina. Parar utilizar
basta sustituir la she de usuario en el fichero/ entre otros/password por este
programa. A partir de ahora cada intento de conexión genera un mensaje (
vía correo electrónico o syslog) indicando: usuario remoto, nombre del
ordenador remoto, dirección, Ip,, día y hora del intento de login y tty
utilizando para la conexión.
TRINUX
Más que un programa, es un conjunto de herramientas para monitorear
Redes que usan el protocolo TCP-IP. Esta herramienta no se instala en el
Sistema, sino que es usada directamente desde el dispositivo de
almacenamiento en que se encuentra, corriendo enteramente en las
9 Redes y seguridad Actividad 3
memorias Ram del computador.
Este paquete trae aplicaciones para controlar el tráfico de mails entrantes y
Salientes, herramientas básicas de redes, detector de snoffers, y
herramientas De seguridad para los servidores de nuestra organización.
COPS
Es un conjunto de programas diseñados por la universidad de Purdue que
chequean ciertos aspectos del sistema operativo UNIX relacionados con la
seguridad. Existe dos versiones de este paquete: una versión escrita en “sh” y
“C” y otra versión escrita en “perl”, aunque su funcionalidad es similar. Este
programa es fácil de instalar y configurar y se ejecuta en gran cantidad de
plataformas UNIX. En el primer caso necesitamos un compilador de lenguaje
C y una Shell estándar (sh), en el segundo nos bastar con tener instalado el
interprete de perl (Versión 3.18 o Superior). Entre las funcionalidades que
tienen Cops podemos destacar.
Chequeo de modos y permisos de los ficheros, directorios y dispositivos
Palabras de paso pobres (en el caso que tengamos una herramienta como
crack, podemos comentar la línea de chequeo de palabras de paso)
Chequeo de contenido, formato y seguridad de los ficheros de “password” y
“group”.
Chequeo de programas con root-SUID.
Permisos de escritura sobre algunos ficheros de usuario como “.profile”y y
“.cshrc”
Configuración de ftp “anonymous”.
Chequeo de algunos ficheros del sistema como “hosts.equiv”, montaje de NFS
sin restricciones, “ftpusers”, entre otros.
10 Redes y seguridad Actividad 3
Captura de pantalla "juego_2_redes.swf"