unidad5 investigación seguridad
TRANSCRIPT
Eduardo Sánchez Garzón
Alumno: Eduardo Sánchez Garzón
Catedrático: Francisco Vázquez Guzmán
Unidad 5
28 de Mayo 2013
Eduardo Sánchez Garzón
INTRODUCCION
Debido a que el uso de Internet se encuentra en aumento, cada vez más
compañías permiten a sus socios y proveedores acceder a sus sistemas de
información. Por lo tanto, es fundamental saber qué recursos de la compañía
necesitan protección para así controlar el acceso al sistema y los derechos de los
usuarios del sistema de información. Los mismos procedimientos se aplican
cuando se permite el acceso a la compañía a través de Internet.
Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en
día, el cual permite a los empleados conectarse a los sistemas de información casi
desde cualquier lugar, se pide a los empleados que lleven consigo parte del
sistema de información fuera de la infraestructura segura de la compañía.
La amenaza representa el tipo de acción que tiende a ser dañina, mientras que
la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches))
representa el grado de exposición a las amenazas en un contexto particular.
Finalmente, la contramedida representa todas las acciones que se implementan
para prevenir la amenaza.
Las contramedidas que deben implementarse no sólo son soluciones técnicas,
sino también reflejan la capacitación y la toma de conciencia por parte del usuario,
además de reglas claramente definidas.
Para que un sistema sea seguro, deben identificarse las posibles amenazas y por
lo tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de
este informe es brindar una perspectiva general de las posibles motivaciones de
los hackers, categorizarlas, y dar una idea de cómo funciona para conocer la
mejor forma de reducir el riesgo de intrusiones.
Generalmente, los sistemas de información incluyen todos los datos de una
compañía y también en el material y los recursos de software que permiten a una
compañía almacenar y hacer circular estos datos. Los sistemas de información
son fundamentales para las compañías y deben ser protegidos.
Eduardo Sánchez Garzón
Generalmente, la seguridad informática consiste en garantizar que el material y los
recursos de software de una organización se usen únicamente para los propósitos
para los que fueron creados y dentro del marco previsto.
La seguridad informática se resume, por lo general, en cinco objetivos principales:
Integridad: garantizar que los datos sean los que se supone que son
Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a
los recursos que se intercambian
Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información
Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los
recursos
TIPOS DE ATAQUES
Ataques de intromisión: Este tipo de ataque es cuando alguien
abre archivos, uno tras otro, en nuestra computadora hasta encontrar algo
que le sea de su interés. Puede ser alguien externo o inclusive alguien que
convive todos los días con nosotros. Cabe mencionar que muchos de los
ataque registrados a nivel mundial, se dan internamente dentro de la
organización y/o empresa.
Ataque de espionaje en líneas: Se da cuando alguien escucha la
conversación y en la cual, él no es un invitado. Este tipo de ataque, es muy
común en las redes inalámbricas y no se requiere, como ya lo sabemos, de
un dispositivo físico conectado a algún cable que entre o salga del edificio.
Basta con estar en un rango donde la señal de la red inalámbrica llegue, a
bordo de un automóvil o en un edificio cercano, para que alguien esté
espiando nuestro flujo de información.
Ataque de intercepción: Este tipo de ataque se dedica a desviar la
información a otro punto que no sea la del destinatario, y así poder revisar
archivos, información y contenidos de cualquier flujo en una red.
Eduardo Sánchez Garzón
Ataque de modificación: Este tipo de ataque se dedica a alterar la
información que se encuentra, de alguna forma ya validada, en
computadoras y bases de datos. Es muy común este tipo de ataque
en bancos y casas de bolsa. Principalmente los intrusos se dedican a
cambiar, insertar, o eliminar información y/o archivos, utilizando la
vulnerabilidad de los sistemas operativos y sistemas
de seguridad (atributos, claves de accesos, etc.).
Ataque de denegación de servicio: Son ataques que se dedican a negarles
el uso de los recursos a los usuarios legítimos del sistema, de la
información o inclusive de algunas capacidades del sistema. Cuando se
trata de la información, esta, se es escondida, destruida o ilegible. Respecto
a las aplicaciones, no se pueden usar los sistemas que llevan
el control de la empresa, deteniendo su administración o inclusive
su producción, causando demoras y posiblemente pérdidas millonarias.
Cuando es a los sistemas, los dos descritos anteriormente son inutilizados.
Si hablamos de comunicaciones, se puede inutilizar dispositivos
de comunicación (tan sencillo como cortar un simple cable), como saturar e
inundar con tráfico excesivo las redes para que estas colisionen.
Ataque de suplantación: Este tipo de ataque se dedica a dar información
falsa, a negar una transacción y/o a hacerse pasar por un usuario conocido.
Se ha puesto de moda este tipo de ataques; los "nuevos ladrones" ha
hecho portales similares a los bancarios, donde las personas han
descargado sus datos de tarjetas de crédito sin encontrar respuesta;
posteriormente sus tarjetas de crédito son vaciadas.
Eduardo Sánchez Garzón
INTRUSIONES
METODOLOGÍA GENERAL
Un hacker que pretenda hackear un sistema informático, primero busca fallas, es
decir vulnerabilidades que puedan afectar la seguridad del sistema
en protocolos, sistemas operativos, aplicaciones e incluso a los empleados de una
organización. Los términos vulnerabilidad, infracción y el más informal carencia de
seguridad también se usan para referirse a las fallas de seguridad.
Para poder sacar provecho de un punto vulnerable (el término técnico para
aprovechar una falla), el hacker primero debe recuperar una cantidad máxima de
información acerca de la arquitectura de red y acerca de los sistemas operativos y
aplicaciones que se ejecutan en esta red. La mayoría de los ataques son producto
de hackers inexpertos que intentan usar los puntos vulnerables que encuentran en
Internet, sin conocimiento del sistema ni de los riesgos relacionados.
Una vez que el hacker asigna el sistema, podrá aplicar estas formas de
explotación de los puntos vulnerables a las versiones de las aplicaciones que ha
catalogado. El acceso inicial a un equipo le permitirá expandir su acción para
recuperar otra información y posiblemente elevar sus privilegios en el equipo.
Cuando se obtiene acceso de administrador (generalmente se usa el término
acceso de raíz) decimos que el equipo está en peligro (o, más precisamente, que
se ha producido un peligro de raíz) ya que los archivos del sistema se han
modificado. En este punto, el hacker tiene todos los derechos del equipo.
Si el intruso es un pirata, al finalizar eliminará sus huellas para evitar sospechas
por parte del administrador de la red en peligro y para retener el control sobre los
equipos en peligro durante el mayor período de tiempo posible.
Eduardo Sánchez Garzón
La siguiente estructura resume toda la metodología:
ANALISIS DE RED
Cuando un pirata conoce la topología de una red, puede analizarla, es decir, usar
un software como herramienta (llamado analizador) para determinar las
direcciones IP activas en la red, los puertos abiertos que corresponden a los
servicios accesibles y al sistema operativo utilizado por sus servidores.
Una de las herramientas de análisis de red más conocidas es Nmap, que muchos
administradores reconocen como una herramienta esencial para la seguridad de
las redes. Esta herramienta actúa mediante el envío de paquetes TCP y/o UDP a
un grupo de equipos en una red (determinada por una dirección de red y una
máscara) y su posterior análisis de las respuestas.
Eduardo Sánchez Garzón
Según la velocidad de los paquetes TCP recibidos, puede determinar el sistema
operativo remoto para cada equipo analizado.
Existe otro tipo de analizador, llamado asignador pasivo (uno de los más
conocidos es Siphon), que permite encontrar la topología de red del proceso físico
a través del cual el asignador analiza los paquetes. A diferencia de los
analizadores anteriores, esta herramienta no envía paquetes por la red y por lo
tanto los sistemas de detección de intrusiones no pueden detectarla.
Además, algunas herramientas permiten recibir conexiones X (un servidor X es un
servidor que administra las pantallas en los equipos tipo UNIX). Este sistema está
diseñado para usar la pantalla de las estaciones presentes en la red para estudiar
qué está publicado en las pantallas y posiblemente interceptar las claves
ingresadas por los usuarios de equipos vulnerables.
METODOS DE INTRUSIÓN
Cuando un pirata ha asignado los recursos y equipos presentes en una red, está
listo para preparar su intrusión.
Para poder infiltrarse en la red, el pirata debe acceder a las cuentas válidas en los
equipos que ha catalogado. Para hacerlo, los piratas usan varios métodos:
La ingeniería social, es decir, el contacto directo con ciertos usuarios de red
(por correo electrónico o teléfono) para sacarles información acerca de su
identificación de usuario o contraseña. Esto se lleva a cabo normalmente
haciéndose pasar por el administrador de red.
La consulta del directorio o de los servicios de mensajería o de uso compartido
de archivos permite encontrar nombres de usuario válidos.
Aprovecharse de las vulnerabilidades en los comandos Berkeley R*.
Irrumpir por la fuerza, que implica varios intentos automáticos de ingreso de
contraseñas en una lista de cuentas (por ejemplo, la identificación seguida por
un número o la contraseña password opasswd, etc.).
Eduardo Sánchez Garzón
CERTIFICADOS
Los certificados digitales representan el punto más importante en las
transacciones electrónicas seguras. Estos brindan una forma conveniente y fácil
de asegurar que los participantes en una transacción electrónica puedan confiar el
uno en el otro. Esta confianza se establece a través de un tercero llamado
Autoridades Certificadoras.
¿Pero, que son exactamente los Certificados Digitales? En pocas palabras, los
certificados digitales garantizan que dos computadoras que se comunican entre sí
puedan efectuar transacciones electrónicas con éxito. La base de esta tecnología
reside en los códigos secretos o en la “encriptación”. La encriptación garantiza la
confidencialidad, la integridad y la autenticidad de la información que se desea
transmitir y que tiene vital importancia para la persona o empresa.
El procedimiento de encriptación es sencillo. Un mensaje puede pasar por un
proceso de conversión o de encripción, que lo transforma en código usando una “
clave “,es decir, un medio de traducir los signos de un mensaje a otro sistema de
signos cuya lectura no tenga ningún sentido para un desconocido que los
intercepte. Esto se conoce como el proceso de “encripción” de un mensaje. Un
ejemplo sencillo de una clave puede ser el reemplazar cada letra con la próxima
letra del alfabeto. Así la Palabra VISA se convertiría en WJTB. Para descifrar el
mensaje o revertir la encripción el que lo recibe necesita conocer la clave secreta (
o sea el certificado digital).
Los tipos de certificados digitales que existen actualmente son:
Certificados de Servidor (SSL : Capa de zócalos seguro)
Microsoft Server Gated Cryptography Certificates (Certificados de CGC-una
extensión del protocolo SSL- ofrecida por Microsoft).
Certificados Canalizadores.
Certificados de Correo Electrónico.
Eduardo Sánchez Garzón
Certificados de Valoración de páginas WEB.
Certificados de Sello, Fecha y Hora
pfSense
Introducción
pfSense es una distribución personalizada de FreeBSD adaptado para su uso
como Firewall y Router. Se caracteriza por ser de código abierto, puede ser
instalado en una gran variedad de ordenadores, y además cuenta con una interfaz
web sencilla para su configuración. El proyecto es sostenido comercialmente
por BSD Perimeter LLC
El proyecto pfSense se inició en septiembre de 2004 por Chris Buechler y Ullrich
Scott como un fork de m0n0wall, enfocado a las instalaciones en PC y Servidores
(al contrario de m0n0wall que se orientaba a ambientes embebidos y ordenadores
de bajos recursos). Se calcula que para diciembre de 2010, pfSense contaba con
más de un millón de descargas.2 De acuerdo a su página oficial, se ha instalado
exitosamente en distintos ambientes, que van desde redes domésticas hasta
grandes corporaciones, universidades y otros tipos de organizaciones.
INSTALACIÓN
OpenBsd considerado el sistema operativo más seguro del mundo tiene presente
packet filter (PF) (filtro de paquetes sistema de OpenBsd para filtrar el trafico tcp/ip
proporciona además control de ancho de banda y priorización de paquetes.) como
estándar desde noviembre de 2004.
Eduardo Sánchez Garzón
Bueno para comenzar con la instalación lo primero que debemos de tener a la
mano es la imagen de pfSense, después de quemarla podremos comenzar con la
instalación. Manos a la obra.
Comienzo instalación
Así es el primer pantallazo que observamos cuando nuestro cd comienza con la
instalación.
Principio de instalación
Crear vlans
Eduardo Sánchez Garzón
En este paso el sistema nos pregunta si queremos crear Vlans. Lo cual decimos
que no (n)
Interfaces
Este es el paso donde el sistema identifica las interfaceslan y wan. Las cuales se
pueden hacer automáticas pero en mi caso yo las quise escoger como se muestra
en la figura.
Seleccion de interfaces
Después de haber seleccionado que tarjeta va hacer wan y lan. Presionamos
“enter” para continuar, después de este paso este se puede demorar unos cuantos
segundos.
Eduardo Sánchez Garzón
Instalacion
En este menú escogeremos la opción 99. Lo cual iniciaría el asistente de
instalación.
Video
Lo primero que debemos de configurar es el video se aconseja dejarlo por defecto.
Eduardo Sánchez Garzón
Instalación
En este paso si se comienza a dar la instalación por completo, en este punto se
hace el formateo del disco y el particionado del mismo.
Formateo del disco
Se comenzara el formateo del disco recordar que todos los datos que tengamos
grabados en esta unidad se perderán.
Geometría disco
Eduardo Sánchez Garzón
Seleccionamos la geometría del disco.
Formato
Damos inicio al formato del disco.
Particionamiento
Se nos pide particionar el disco. Esto es para poder instalar el sistema operativo
Particionado
Eduardo Sánchez Garzón
Se puede instalar otros sistemas de archivos pero por defecto viene seleccionado
FreBSD.
Partición
Nos pregunta en que partición vamos a instalar pero como en este caso solo
tenemos esta presionamos enter.
Características de partición
Eduardo Sánchez Garzón
En este paso nos dice que la partición es primaria y que todo se borrara sin forma
de recuperar. Que si estamos seguros presionamos “enter”.
Particionamiento final
Nos muestra como quedo el particionado en nuestro disco.
Copiando archivos
Eduardo Sánchez Garzón
En este momento se están copiando todos los archivos al disco, después de que
esto termine prácticamente tendremos instalado nuestra PfSense en nuestro
equipo.
Reiniciar
Solo queda reiniciar nuestro computador para poder deleitarnos de todos los
servicios que trae nuestro PfSense.
Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la
dirección ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pedirá
autenticarnos lo que realizamos con:
User: admin
Password: pfsense
Eduardo Sánchez Garzón
Después de autenticarte estarás dentro del entorno web que hay que cambiar
algunos parámetros que están por defecto.
Imagen PfSense
UNTANGLE
INTRODUCCIÓN
Untangle ofrece un poderoso conjunto de aplicaciones de administración de
Internet para pequeñas y medianas empresas y las instituciones de educación.
Untangle es un servidor (Debian) de seguridad multi-función. Simplifica y consolida
la red y con muchos de los productos de seguridad que necesitan las empresas
como puerta de acceso a Internet. Untangle viene por defecto con estas
aplicaciones libres, de código abierto.
Incluye
* Web Filter – Impide el acceso a sitios Web no deseados
* Virus Blocker – Evita que los virus lleguen a los equipos de la red
* Spam Blocker – Bloquea el correo basura
* Ad Blocker – Bloques de anuncios en línea que la capacidad de la red de
residuos
Eduardo Sánchez Garzón
* Attack Blocker – Detiene el ataque de negación de servicio (DOS)
* Phish Blocker - Protege a las personas del robo de identidad "phishing"
* Spyware Blocker - Protege a las personas de los sitios web que instalan
malware
* Firewall - Protección de la red en Internet
* QoS – Permite la priorización del tráfico de Internet
* Intrusion Prevention – Protege la red de los hackers
* Protocol Control - Control de protocolos de juegos en línea, IM y P2P
* OpenVPN – Permite el acceso remoto seguro a la red interna
* Reports - Muestra quién está haciendo qué en línea
Y algunos otras aplicaciones de pago:
* Live Support – Personas reales, con un conocimiento real para ayudar cuando
haga falta
* eSoft Web Filter - Bloqueo de 100 millones de sitios en 57 categorías, además
Eduardo Sánchez Garzón
de otras nuevas a tiempo real
* Kaspersky Virus Blocker – Mejor protección antivirus, para el acceso a Internet
* Commtouch Spam Booster – Una capa de protección extra para contener el
SPAM
* WAN Balancer - Asigna el tráfico a través de hasta seis conexiones a Internet por
separado
* WAN Failover – Cambiar automáticamente el tráfico a una conexión alternativa
* Policy Manager - Crear varios usuarios y sesiones basadas en la web y acceso
remoto
* AD Connector – Utiliza tu servidor de Microsoft Active Directory para simplificar la
gestión de políticas y presentación de informes
* PC Remote - Permite acceso directo in situ y la solución de problemas
* Remote Access Portal – Proporcionar acceso seguro a los servidores internos y
servicios
* Branding Manager – Use su propio logo y mensajes en el servidor y bloqueos las
pantallas
Eduardo Sánchez Garzón
En definitiva podemos proteger, monitorizar y controlar el acceso a internet de
nuestra red de manera fácil y con muy poco esfuerzo con Untangle.
.- Requisitos mínimos
* Pentium 4 (o similar AMD)
* 80 GB de disco duro
* 2 tarjetas de red
* 1 GB de memoria ram
INSTALACIÓN
En la imagen que vamos a ver nos a dar unas opciones sobre cómo queremos
instalar el Untangle en esta caso lo vamos hacer gráficamente
Eduardo Sánchez Garzón
Escogemos el idioma que deseamos
Ahora el País
Elegimos la distribución del teclado
Eduardo Sánchez Garzón
Acá nos dice que si queremos formatear el disco
Eduardo Sánchez Garzón
Luego termina la instalación nos pide que quitemos el cd de instalación que al
reiniciar comenzara por el disco duro
Ya está cargando la interfaz gráfica
Eduardo Sánchez Garzón
Cuando termine de cargar la interfaz gráfica nos va aparecer nuevamente
que seleccionamos el idioma
Escogemos una contraseña para el administrador
Eduardo Sánchez Garzón
Definimos las interfaces que están conectadas
Acá nos muestra la configuración de la red WAN
Definimos la configuración de la red LAN
En el siguiente paso no tengo un servidor de correo pero igual llenamos los datos
Eduardo Sánchez Garzón
Y ya finalizamos con la instalación de UNTANGLE
Eduardo Sánchez Garzón
FORTINET
Fortinet es una empresa privada estadounidense, situada
en Sunnyvale (California), que se dedica especialmente al diseño y fabricación de
componentes y dispositivos de seguridad de redes (firewalls, UTM...).
La compañía que fue fundada en el año 2000 por Ken Xie y desde entonces ha
tenido una gran proyección en el mundo de la seguridad de las comunicaciones.
Actualmente es la marca de referencia en sistemas de seguridad UTM, habiendo
superado a Cisco y Checkpoint en su lucha por este mercado.
ARTÍCULOS, GASTOS NECESARIOS, GASTOS DE VENTAS, GASTOS DE
ADMINISTRACIÓN Y ALGUNOS GASTOS DE FINANCIAMIENTO.
La serie corporativa de FortiGate cubre las expectativas de las medianas y
grandes organizaciones en lo que respecta rendimiento, disponibilidad y
confiabilidad. Incluye todas las características clave de los otros modelos
FortiGate, con servicios de antivirus en tiempo real, VPN, detección y prevención
de intrusos, antispam, filtro web y servicios de manejo de ancho de banda.
Incluyen características de alta disponibilidad como failover automático sin pérdida
de sesión y capacidades multi-zona. Fortinet es una empresa que protege la
inversión, ya que es muy importante.
• Con desarrollo completo de tecnología propia, no existe el riesgo de perder
funcionalidades cuando estas provienen de terceros, es decir de otros sitios.
• Con el desarrollo de tecnología propia, los precios son más bajos, porque no
existen royalty fees que se deban pagar a terceros.
• Nuestros modelos de licencia por plataforma (no por usuario), reducen el TCO, y
permiten planeación a futuro en el tema de presupuestos.
• Con productos que cubren todo el espectro de protección de seguridad, se
eliminan los costos adicionales de adquirid soluciones especializadas.
Eduardo Sánchez Garzón
• Centralización y optimización de tecnología UTM al manejar una sola marca de
seguridad integrada.
• Disminución en los gastos de operación al minimizar el tiempo de respuesta ante
nuevas solicitudes.