proyecto: seguridad perimetral · para poder comprobar que funciona el proxy tengo que cambiar la...

37
PROYECTO SAD ERNESTO MARTÍN PINTADO 1 Proyecto: Seguridad Perimetral UD1: Adopción de pautas de seguridad informática. 1. Indica la red interna de la empresa, red perimetral, zona desmilitarizada e indica el tipo de arquitectura que está utilizando dicha empresa. El escenario de seguridad perimetral cuenta con tres zonas delimitadas, una es la red interna de una empresa, la red perimetral, encargada de la seguridad de la red interna donde encontramos un router frontera, un servidor que además actúa de cortafuegos suplementario y una zona desmilitarizada (DMZ) que nos proporcionará cualquier tipo de servicios con la ventaja de estar aislada de la red interna. Desde la DMZ no se podrá acceder nunca a la red interna para así evitar posibles ataques. Por último tenemos la zona de internet, donde habrá diferentes servicios 2. Realizar una copia de seguridad del sitio web del equipo DMZ en el equipo B todos los días a las 23 horas. 3. Detecta mediante NMAP las vulnerabilidades en el router frontera R_XX. La herramienta que utilizo será “Zenmap”, una versión de nmap con interfaz gráfica para detectar posibles puertos abiertos en el router frontera R_27. Hago un escaneo intenso a las dos patas del router (no al de la DMZ) para detectar posibles vulnerabilidades. Compruebo que el router está protegido porque no tiene puertos vulnerables. Red Interna Red Perimetral DMZ Router Frontera

Upload: lydien

Post on 15-Dec-2018

215 views

Category:

Documents


0 download

TRANSCRIPT

PROYECTO SAD ERNESTO MARTÍN PINTADO

1

Proyecto: Seguridad Perimetral

UD1: Adopción de pautas de seguridad informática.

1. Indica la red interna de la empresa, red perimetral, zona desmilitarizada e indica el tipo de

arquitectura que está utilizando dicha empresa.

El escenario de seguridad perimetral cuenta con tres zonas delimitadas, una es la red interna de una

empresa, la red perimetral, encargada de la seguridad de la red interna donde encontramos un router

frontera, un servidor que además actúa de cortafuegos suplementario y una zona desmilitarizada (DMZ)

que nos proporcionará cualquier tipo de servicios con la ventaja de estar aislada de la red interna. Desde

la DMZ no se podrá acceder nunca a la red interna para así evitar posibles ataques. Por último tenemos

la zona de internet, donde habrá diferentes servicios

2. Realizar una copia de seguridad del sitio web del equipo DMZ en el equipo B todos los días a las 23

horas.

3. Detecta mediante NMAP las vulnerabilidades en el router frontera R_XX.

La herramienta que utilizo será “Zenmap”, una versión de nmap con interfaz gráfica para detectar

posibles puertos abiertos en el router frontera R_27.

Hago un escaneo intenso a las dos patas del router (no al de la DMZ) para detectar posibles

vulnerabilidades. Compruebo que el router está protegido porque no tiene puertos vulnerables.

Red Interna

Red Perimetral

DMZ

Router Frontera

PROYECTO SAD ERNESTO MARTÍN PINTADO

2

PROYECTO SAD ERNESTO MARTÍN PINTADO

3

UD2: Implantación de mecanismos de seguridad activa.

4. Evita que otros usuarios puedan instalar cualquier tipo de aplicación en el equipo A.

Debo editar la directiva de grupo local y prohibir la instalación de aplicaciones. Para ello voy a “Configuración de equipo > Plantillas administrativas > Componentes de Windows > Windows Installer”

PROYECTO SAD ERNESTO MARTÍN PINTADO

4

Localizo la directiva

Habilito la prohibición de instalaciones de usuarios:

Compruebo con un usuario normal sin permisos de adminsitrador (SAD2) que no esta permitido instalar nada:

PROYECTO SAD ERNESTO MARTÍN PINTADO

5

Al intentar instalar Firefox salta un aviso de confirmación del Administrador

5. Instalar un modelo AAA en dicho router R_XX para permitir que otro usuario además del router pueda acceder con perfil de administrador desde el equipo de Teletrabajo. Dichos usuarios estarán autenticados en el servidor Radius de la Empresa. Comprueba su funcionamiento.

Entro al CLI del router y establezco el modelo AAA con los siguientes comandos:

PROYECTO SAD ERNESTO MARTÍN PINTADO

6

Ahora voy al equipo teletrabajo y activo la característica “Cliente telnet” para poder acceder a la administración del router R_27:

Pruebo a entrar:

PROYECTO SAD ERNESTO MARTÍN PINTADO

7

Introduzco el usuario creado, que es “Zeus:clave” creado en el servidor RADIUS (se ve mas abajo):

6. Instalar una herramienta de monitorización de la red en la zona DMZ de la empresa. Comprueba su funcionamiento.

Utilizo la herramienta “networkx” que me permite monitorizar la red de forma gratuita y sin registros de ningún tipo:

PROYECTO SAD ERNESTO MARTÍN PINTADO

8

Vemos que captura informes de forma diaria, semanal o mensual. Además podemos importar o exportar los datos recogidos en algún punto que nos interese:

PROYECTO SAD ERNESTO MARTÍN PINTADO

9

PROYECTO SAD ERNESTO MARTÍN PINTADO

10

7. Instalar una herramienta IDS o IPS en el equipo indicado en el escenario. Comprueba su funcionamiento.

La herramienta de detección de intrusos que utilizaré será “snort”, la cual configuro:

Selecciono la interfaz de escucha:

Establezco la dirección de red local:

PROYECTO SAD ERNESTO MARTÍN PINTADO

11

Inicio el servicio IDS para empezar a detectar intrusos:

Hago un nmap con el sitio A donde detecto puertos abiertos:

PROYECTO SAD ERNESTO MARTÍN PINTADO

12

En seguida empiezan a aparecer notificaciones de ataques contra el servidor. Se puede apreciar sin problema quien es el atacante y el puerto que se utiliza:

PROYECTO SAD ERNESTO MARTÍN PINTADO

13

Si hacemos “Ctrl+C” nos ofrece un resumen de lo que ha detectado:

PROYECTO SAD ERNESTO MARTÍN PINTADO

14

UD 3.- Implantación de técnicas de acceso remoto. Seguridad perimetral.

8. Instalar y configurar un servidor de acceso VPN en el equipo indicado en el escenario. Elegir un protocolo seguro a nivel de enlace o de red.

Usaré la herramienta “pptpd” que utiliza el protocolo “PPTP” para la cominicacion:

Configuro pptpd. Pongo la dirección local del servidor de VPN y el rango de direcciones que asignará a los usuarios que se conecten. En este caso dará desde la 150 a la 238.

PROYECTO SAD ERNESTO MARTÍN PINTADO

15

Creo usuarios para poder utilizar la VPN

Y reinicio el servicio:

A continuación me dirijo al equipo teletrabajo e intento establecer conexión con el servidor VPN para acceder a la red interna de la empresa. Relleno los campos:

PROYECTO SAD ERNESTO MARTÍN PINTADO

16

Pulso en conectar y funciona sin problema, ya me encuentro en la red interna. Vemos la dirección que nos da el servidor (Nos da la 150, la primera que está permitida):

PROYECTO SAD ERNESTO MARTÍN PINTADO

17

9. Instalar y configurar un servidor de autenticación RADIUS en el equipo indicado en el escenario.

Utilizaré el servicio “freeradius”

PROYECTO SAD ERNESTO MARTÍN PINTADO

18

En /etc/freeradius/users creo los usuarios que estarán autentificados. Con estos usuarios podré administrar el router R_27 como hemos visto en el punto 5 del proyecto.

Reinicio el servicio:

PROYECTO SAD ERNESTO MARTÍN PINTADO

19

10. Comprobar que un usuario situado en el equipo Teletrabajo puede acceder a la red empresarial.

Estamos situados en el equipo teletrabajo en internet y sin embargo es como si estuviéramos dentro de la empresa:

UD 4.- Instalación y configuración de cortafuegos.

11. No permitir a los usuarios situados en el equipo DMZ acceder a la zona interna de la red ni a Internet, pero si a Internet.

Entro al router con un usuario autentificado (Zeus) y establezco las ACL para que desde la red DMZ no se pueda entrar a la red empresarial.

Para ello deniego todo lo que venga de la dirección 172.17.27.0/24

PROYECTO SAD ERNESTO MARTÍN PINTADO

20

Pruebo desde el equipo DMZ hacer un ping a la red interna y vemos que no conecta:

También hago lo mismo pero hacia el Servidor Radius. El resultado es el mismo, por tanto la DMZ estará aislada totalmente y será imposible atacar la red desde ésta.

PROYECTO SAD ERNESTO MARTÍN PINTADO

21

Sin embargo a Internet si podrá salir:

12. Permitir a los usuarios situados en el equipo A sólo realizar ftp en Internet y permitir a los usuarios situados en el equipo B sólo realizar http en Internet.

En el servidor Linux establezco las IPTABLES en un script donde se explica que hace cada una:

PROYECTO SAD ERNESTO MARTÍN PINTADO

22

Es importante guardar en el archivo rc.local el script de las IPTABLES para que funcionen. Aquí vemos las reglas aplicadas:

PROYECTO SAD ERNESTO MARTÍN PINTADO

23

A continuación, voy al Sitio B y pruebo a visualizar la pagina web de internet (http). Se ve sin problemas:

PROYECTO SAD ERNESTO MARTÍN PINTADO

24

Sin embargo el servicio ftp no puede utilizarlo:

PROYECTO SAD ERNESTO MARTÍN PINTADO

25

Ahora hago lo mismo con el Sitio A

Previamente he creado dos usuarios ftp en el servidor de internet para que reconozca a usuarios y se pueda usar el servicio:

PROYECTO SAD ERNESTO MARTÍN PINTADO

26

Pruebo a acceder y funciona bien:

Sin embargo el servicio http del Internet es incapaz de resolverlo, por lo que todo está como se espera:

PROYECTO SAD ERNESTO MARTÍN PINTADO

27

13. No permitir el protocolo ICMP en el equipo B de la red interna (utiliza su cortafuegos personal).

Creo otro script (esta vez en la maquina del sitio B) y prohíbo los paquetes ICMP:

PROYECTO SAD ERNESTO MARTÍN PINTADO

28

Vemos las reglas aplicadas

Compruebo con un ping sobre cualquier dirección y vemos que no está permitido:

UD 5.- Instalación y configuración de servidores “proxy”.

PROYECTO SAD ERNESTO MARTÍN PINTADO

29

14. Permitir en el servidor “proxy-cache” del escenario navegar en Internet sólo la jornada de mañana de lunes a viernes. Autenticarse en dicho “proxy-caché” para poder navegar por Internet. Asimismo crear una auditoria del uso del servidor “proxy-cache” y monitoriza su actividad.

PROYECTO SAD ERNESTO MARTÍN PINTADO

30

PROYECTO SAD ERNESTO MARTÍN PINTADO

31

PROYECTO SAD ERNESTO MARTÍN PINTADO

32

Para poder comprobar que funciona el proxy tengo que cambiar la hora de la prohibición y ampliarlo hasta las 21:30 de la noche que son ahora mismo. En horario de clase lo dejaré como está:

PROYECTO SAD ERNESTO MARTÍN PINTADO

33

Cuando se pasa de hora aparece lo siguiente:

Para monitorizar la actividad voy a usar el complemento “Calamaris”

PROYECTO SAD ERNESTO MARTÍN PINTADO

34

Creo una carpeta llamada /var/www/calamaris y creo dentro un html que nos mostrará el archivo log de squid:

Uso el complemento “Sarg”:

PROYECTO SAD ERNESTO MARTÍN PINTADO

35

PROYECTO SAD ERNESTO MARTÍN PINTADO

36

Compruebo en el cliente:

PROYECTO SAD ERNESTO MARTÍN PINTADO

37

UD 6.- Implantación de soluciones de alta disponibilidad.

15. Realiza un informe a entregar a la dirección de la empresa cómo puedes mejorar la alta disponibilidad de la empresa, indicando su coste económico.

El escenario se podrá mejorar con el uso de diferentes técnicas.

La implementación de un ASA, un dispositivo que nos proporciona un acceso sumamente seguro a los datos en cualquier momento, en cualquier lugar y con cualquier dispositivo, y sería un plus en la seguridad de los datos que maneja la empresa. Este dispositivo podrá ubicarse entre el cortafuegos Linux y el R_27, del que a su vez saldrá un equipo DMZ.

Este equipo DMZ podrá proporcionar muchos más servicios y balanceo de carga si se sustituye por un NAS.

Además, implementar un sistema de archivos RAID representa otro escalón más en la salvaguarda de los datos, ya que son imprescindibles.

Como elemento final y casi obligatorio en una empresa deberíamos montar un SAI, un dispositivo de alimentación ininterrumpida ante posibles fallos de corriente.