proyecto: seguridad perimetral · para poder comprobar que funciona el proxy tengo que cambiar la...

PROYECTO SAD ERNESTO MARTÍN PINTADO

1

Proyecto: Seguridad Perimetral

UD1: Adopción de pautas de seguridad informática.

1. Indica la red interna de la empresa, red perimetral, zona desmilitarizada e indica el tipo de

arquitectura que está utilizando dicha empresa.

El escenario de seguridad perimetral cuenta con tres zonas delimitadas, una es la red interna de una

empresa, la red perimetral, encargada de la seguridad de la red interna donde encontramos un router

frontera, un servidor que además actúa de cortafuegos suplementario y una zona desmilitarizada (DMZ)

que nos proporcionará cualquier tipo de servicios con la ventaja de estar aislada de la red interna. Desde

la DMZ no se podrá acceder nunca a la red interna para así evitar posibles ataques. Por último tenemos

la zona de internet, donde habrá diferentes servicios

2. Realizar una copia de seguridad del sitio web del equipo DMZ en el equipo B todos los días a las 23

horas.

3. Detecta mediante NMAP las vulnerabilidades en el router frontera R_XX.

La herramienta que utilizo será “Zenmap”, una versión de nmap con interfaz gráfica para detectar

posibles puertos abiertos en el router frontera R_27.

Hago un escaneo intenso a las dos patas del router (no al de la DMZ) para detectar posibles

vulnerabilidades. Compruebo que el router está protegido porque no tiene puertos vulnerables.

Red Interna

Red Perimetral

DMZ

Router Frontera


2


3

UD2: Implantación de mecanismos de seguridad activa.

4. Evita que otros usuarios puedan instalar cualquier tipo de aplicación en el equipo A.

Debo editar la directiva de grupo local y prohibir la instalación de aplicaciones. Para ello voy a “Configuración de equipo > Plantillas administrativas > Componentes de Windows > Windows Installer”


4

Localizo la directiva

Habilito la prohibición de instalaciones de usuarios:

Compruebo con un usuario normal sin permisos de adminsitrador (SAD2) que no esta permitido instalar nada:


5

Al intentar instalar Firefox salta un aviso de confirmación del Administrador

5. Instalar un modelo AAA en dicho router R_XX para permitir que otro usuario además del router pueda acceder con perfil de administrador desde el equipo de Teletrabajo. Dichos usuarios estarán autenticados en el servidor Radius de la Empresa. Comprueba su funcionamiento.

Entro al CLI del router y establezco el modelo AAA con los siguientes comandos:


6

Ahora voy al equipo teletrabajo y activo la característica “Cliente telnet” para poder acceder a la administración del router R_27:

Pruebo a entrar:


7

Introduzco el usuario creado, que es “Zeus:clave” creado en el servidor RADIUS (se ve mas abajo):

6. Instalar una herramienta de monitorización de la red en la zona DMZ de la empresa. Comprueba su funcionamiento.

Utilizo la herramienta “networkx” que me permite monitorizar la red de forma gratuita y sin registros de ningún tipo:


8

Vemos que captura informes de forma diaria, semanal o mensual. Además podemos importar o exportar los datos recogidos en algún punto que nos interese:


9


10

7. Instalar una herramienta IDS o IPS en el equipo indicado en el escenario. Comprueba su funcionamiento.

La herramienta de detección de intrusos que utilizaré será “snort”, la cual configuro:

Selecciono la interfaz de escucha:

Establezco la dirección de red local:


11

Inicio el servicio IDS para empezar a detectar intrusos:

Hago un nmap con el sitio A donde detecto puertos abiertos:


12

En seguida empiezan a aparecer notificaciones de ataques contra el servidor. Se puede apreciar sin problema quien es el atacante y el puerto que se utiliza:


13

Si hacemos “Ctrl+C” nos ofrece un resumen de lo que ha detectado:


14

UD 3.- Implantación de técnicas de acceso remoto. Seguridad perimetral.

8. Instalar y configurar un servidor de acceso VPN en el equipo indicado en el escenario. Elegir un protocolo seguro a nivel de enlace o de red.

Usaré la herramienta “pptpd” que utiliza el protocolo “PPTP” para la cominicacion:

Configuro pptpd. Pongo la dirección local del servidor de VPN y el rango de direcciones que asignará a los usuarios que se conecten. En este caso dará desde la 150 a la 238.


15

Creo usuarios para poder utilizar la VPN

Y reinicio el servicio:

A continuación me dirijo al equipo teletrabajo e intento establecer conexión con el servidor VPN para acceder a la red interna de la empresa. Relleno los campos:


16

Pulso en conectar y funciona sin problema, ya me encuentro en la red interna. Vemos la dirección que nos da el servidor (Nos da la 150, la primera que está permitida):


17

9. Instalar y configurar un servidor de autenticación RADIUS en el equipo indicado en el escenario.

Utilizaré el servicio “freeradius”


18

En /etc/freeradius/users creo los usuarios que estarán autentificados. Con estos usuarios podré administrar el router R_27 como hemos visto en el punto 5 del proyecto.

Reinicio el servicio:


19

10. Comprobar que un usuario situado en el equipo Teletrabajo puede acceder a la red empresarial.

Estamos situados en el equipo teletrabajo en internet y sin embargo es como si estuviéramos dentro de la empresa:

UD 4.- Instalación y configuración de cortafuegos.

11. No permitir a los usuarios situados en el equipo DMZ acceder a la zona interna de la red ni a Internet, pero si a Internet.

Entro al router con un usuario autentificado (Zeus) y establezco las ACL para que desde la red DMZ no se pueda entrar a la red empresarial.

Para ello deniego todo lo que venga de la dirección 172.17.27.0/24


20

Pruebo desde el equipo DMZ hacer un ping a la red interna y vemos que no conecta:

También hago lo mismo pero hacia el Servidor Radius. El resultado es el mismo, por tanto la DMZ estará aislada totalmente y será imposible atacar la red desde ésta.


21

Sin embargo a Internet si podrá salir:

12. Permitir a los usuarios situados en el equipo A sólo realizar ftp en Internet y permitir a los usuarios situados en el equipo B sólo realizar http en Internet.

En el servidor Linux establezco las IPTABLES en un script donde se explica que hace cada una:


22

Es importante guardar en el archivo rc.local el script de las IPTABLES para que funcionen. Aquí vemos las reglas aplicadas:


23

A continuación, voy al Sitio B y pruebo a visualizar la pagina web de internet (http). Se ve sin problemas:


24

Sin embargo el servicio ftp no puede utilizarlo:


25

Ahora hago lo mismo con el Sitio A

Previamente he creado dos usuarios ftp en el servidor de internet para que reconozca a usuarios y se pueda usar el servicio:


26

Pruebo a acceder y funciona bien:

Sin embargo el servicio http del Internet es incapaz de resolverlo, por lo que todo está como se espera:


27

13. No permitir el protocolo ICMP en el equipo B de la red interna (utiliza su cortafuegos personal).

Creo otro script (esta vez en la maquina del sitio B) y prohíbo los paquetes ICMP:


28

Vemos las reglas aplicadas

Compruebo con un ping sobre cualquier dirección y vemos que no está permitido:

UD 5.- Instalación y configuración de servidores “proxy”.


29

14. Permitir en el servidor “proxy-cache” del escenario navegar en Internet sólo la jornada de mañana de lunes a viernes. Autenticarse en dicho “proxy-caché” para poder navegar por Internet. Asimismo crear una auditoria del uso del servidor “proxy-cache” y monitoriza su actividad.


30


31


32

Para poder comprobar que funciona el proxy tengo que cambiar la hora de la prohibición y ampliarlo hasta las 21:30 de la noche que son ahora mismo. En horario de clase lo dejaré como está:


33

Cuando se pasa de hora aparece lo siguiente:

Para monitorizar la actividad voy a usar el complemento “Calamaris”


34

Creo una carpeta llamada /var/www/calamaris y creo dentro un html que nos mostrará el archivo log de squid:

Uso el complemento “Sarg”:


35


36

Compruebo en el cliente:


37

UD 6.- Implantación de soluciones de alta disponibilidad.

15. Realiza un informe a entregar a la dirección de la empresa cómo puedes mejorar la alta disponibilidad de la empresa, indicando su coste económico.

El escenario se podrá mejorar con el uso de diferentes técnicas.

La implementación de un ASA, un dispositivo que nos proporciona un acceso sumamente seguro a los datos en cualquier momento, en cualquier lugar y con cualquier dispositivo, y sería un plus en la seguridad de los datos que maneja la empresa. Este dispositivo podrá ubicarse entre el cortafuegos Linux y el R_27, del que a su vez saldrá un equipo DMZ.

Este equipo DMZ podrá proporcionar muchos más servicios y balanceo de carga si se sustituye por un NAS.

Además, implementar un sistema de archivos RAID representa otro escalón más en la salvaguarda de los datos, ya que son imprescindibles.

Como elemento final y casi obligatorio en una empresa deberíamos montar un SAI, un dispositivo de alimentación ininterrumpida ante posibles fallos de corriente.

proyecto: seguridad perimetral · para poder comprobar que funciona el proxy tengo que cambiar la...

Documents