1 Redes y seguridad

Actividad 3


Actividad 3

Recomendaciones para presentar la Actividad:
Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars
Evidencias 3.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre

Fecha

Actividad

Tema


Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI gracias a su
trabajo. Tambin, para mayor proteccin, usted enunci los procedimientos que deben
llevarse a cabo para asegurar el flujo de informacin. En este momento, es necesario que
como gestor de la red reconozca los ataques y las vulnerabilidades ms frecuentes en los
sistemas, y con esta informacin complemente su plan de accin, su esquema de seguridad, y
sobre todo, sus procedimientos.

Preguntas interpretativas


1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial
of service, por ejemplo, existen diferentes maneras de llevar a cabo esta
vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las
vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de
mantenimiento en el que explique esta situacin.
Respuesta=
seores del servicio de mantenimiento
Los tcnicos de mantenimiento, ante un eventual cese de
conexiones a la red, deben tener claro el tipo de vulnerabilidad
antes de considerar cualquier solucin, y en base a esto decidir
qu herramientas utilizar:

2 Redes y seguridad
Actividad 3

La negativa de servicio (denial of service) interrumpe el algoritmo
P-C a causa de diversos tipos de ataques, quedando toda la red
desconectada, e impidiendo a los usuarios acceder a los recursos
de la red o de la propia mquina; estos tipos de ataques son los
siguientes:

a) Consumo de recursos escasos, en que se bloquean o reducen
dichos recursos, llevados a cabo estos ataques por gente
inescrupulosa que llamaremos crackers. Los recursos atacados son:

La conectividad, impidiendo que los computadores puedan
conectarse (ejemplo SYN flood, en que el cracker intenta una
conexin con el protocolo TCP, que interrumpe cuando va a
terminar; esas falsas conexiones necesitan tiempo para ser
terminadas, rechazando la mquina conexiones legtimas y
evitando as la comunicacin con el elemento. Estos ataques no
consumen recursos de la red, sino los propios del ncleo
implicado en generar las conexiones TCP).
El uso de las caractersticas sobre s mismo (ejemplo, Deny of
service UDP, en que el cracker copia paquetes UDP, que enva a
una mquina que genera eco hacia otra, de paquetes falsos,
copando el ancho de banda y bloqueando las conexiones de las
otras mquinas a la red).
Atacan el ancho de banda consumindolo e impidiendo que otras
mquinas se conecten (ejemplo, Bombing, que consiste en
inundar la red de paquetes, como el ping, para inundar todo
su ancho de banda).
Por ltimo, atacan la capacidad de almacenamiento de la

3 Redes y seguridad
Actividad 3

mquina (ejemplo, el virus scrip, que consiste en un cdigo
malicioso, que tiene como nico objetivo reproducirse
consumiendo muchos recursos de la mquina y copando su
capacidad de almacenamiento, impidiendo su uso y el acceso de
servicios desde ella y hacia ella).

b) Destruccin o alteracin de la informacin de configuracin, por
el que, si un cracker borra parte de los archivos de inicio de
Windows, o modifica la lista de IPs de los routers, desequilibrar
el algoritmo P-C, evitando as que se acceda a un recurso.

c) Destruccin o alteracin fsica de los componentes de la red,
ya que cualquier dao en los componentes fsicos de la red traba
el algoritmo P-C, por lo que solo personal autorizado puede
acceder a ellos, impidiendo que el pblico lo haga.


2. Toda herramienta usada en la administracin de una red, es potencialmente maligna
y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de
procedimientos, una clusula en la que haga pblica esta observacin. Tenga en
cuenta la divisin de puestos de trabajo explicada en unidades anteriores.

Respuesta=Una red no es totalmente segura, siempre va a tener
vulnerabilidades. Para establecer controles que permitan aumentar
en cierta forma la seguridad de la misma, debo conocer las
debilidades de mi red, lo que se logra mediante el uso de
herramientas que simulen ataques, obtencin de passwords,
obtener la informacin de los paquetes que viajan en la red,

4 Redes y seguridad
Actividad 3

desencriptar informacin, alterar configuraciones y otras series
de pruebas que se logran con estas herramientas, para obtener
informacin de mi red y que sabemos es lo que hacen los Hackers;
as, una vez conocidas las debilidades, debo implantar los
controles que aseguren la operatividad de la red. Estas mismas
herramientas a la vez pueden convertirse en herramientas
potencialmente malignas, ya que pueden ser utilizadas por los
crackers, que no buscan otra cosa que el hurto de la informacin
o destruccin de la misma. As que es necesario controlar muy
bien el uso de estas herramientas al interior de la compaa, lo
cual debe realizarse con un protocolo formal, donde estn
enterados y quede registro de las personas que las utilizan, las
que deben estar autorizadas y vigiladas.

Clusula para el manual de procedimientos: Se tiene
categricamente prohibido, el uso de herramientas de monitoreo
de red, como sniffers, software de anlisis de trfico de red y
sus derivados, por personal no autorizado; todo software debe ser
revisado y homologado por el equipo de seguridad de la compaa,
antes de instalarse en los equipos propios. Est prohibido
igualmente que los equipos de cmputo de terceros, o de uso
personal de los empleados, se conecten a la red interna de la
empresa; y solo se permitir el uso de equipos en nuestra red que
se encuentren avalados por el rea de Tecnologa, equipo que se
somete a un check- list, que verifique la proteccin del equipo,
contra el malware, antivirus, etc., para que pueda ser utilizado en
nuestra red.

5 Redes y seguridad
Actividad 3

La utilizacin de herramientas de seguridad en las redes,
debe estar autorizada por el jefe de tecnologa, los integrantes
del comit de Seguridad de la Informacin, el auditor externo de
la empresa y vigilada por el mismo personal de Seguridad durante
su operacin en la red.
Preguntas argumentativas


1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el
diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios
para el problema de e-mail bombing, spamming y el denial of service? Justifique su
eleccin.
Respuesta=Considero el logstico de mails recibidos muy
importante ya que si se tiene una cuenta de usuario con
correo podra ser vulnerable. Realizara la instalacin,
configuracin y ejecucin de programas que realicen una
comparacin de los correos recibidos, identifiquen los
correos no deseados y los eliminen directamente. Para los
email-Bombing y Spamming, es indispensable analizar los
logsticos de los espacios en los buzones de correo, un
incremento abrupto puede significar ataques por Spamming
o Email-Bombing; esto tambin puede identificar si un
equipo de nuestra red est generando mensajes a otros, o
si en nuestras mquinas estamos recibiendo mensajes de
fuentes externas. Los logsticos que revelen recurrencias
de ataques a equipos comunes, indicarn que este equipo
puede estar en peligro, por ser de inters especial de los
atacantes, por eso debe tenerse en cuenta para aumentar
su proteccin.


6 Redes y seguridad
Actividad 3



2.Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un
informe en el que explique el porqu se deben instalar demonios en el sistema de
comunicacin de la empresa, cules y por qu.
Respuesta=Los programas servidores escuchan en los
puertos de red. Los puertos de red son el medio de llegar a
un servicio en particular en una mquina en particular, y es
as como un servidor conoce la diferencia entre una
conexin telnet y otra de FTP que le lleguen. El usuario
remoto establece una conexin de red con la mquina, y el
programa servidor, el demonio de red que est escuchando
en ese puerto, aceptar la conexin y se ejecutar.
Un demonio, o daemon es un tipo especial de proceso
informtico no interactivo, es decir, que se ejecuta en
segundo plano en vez de ser controlado directamente por el
usuario. Este tipo de programas se ejecutan de forma
continua (infinita), vale decir, que aunque se intente cerrar
o matar el proceso, este continuar en ejecucin o se
reiniciar automticamente. Todo esto sin intervencin de
terceros y sin dependencia de consola alguna.
En Unix/Linux un daemon o demonio (que responde al
acrnimo de Disk And Execution MONitor), se conoce como
un tipo especial de proceso informtico que se ejecuta en
segundo plano para dar algn tipo de servicio.
Las tareas que puede desempear un demonio pueden ser
muy variadas: responder a peticiones de red, control de
actividad de hardware y software, configurar hardware
(como devfsd en algunos sistemas GNU/Linux), ejecutar
tareas peridicas o preprogramadas (como el demonio cron),
etc.

7 Redes y seguridad
Actividad 3

Debido a que se trata de procesos no interactivos, el
procedimiento para comunicar errores o registrar su
funcionamiento es a travs de archivos del sistema en
directorios reservados para tal fin (en GNU/Linux en el
directorio /var/log) o utilizan otros demonios diseados
para tal fin como es el caso de syslogd.
Lo anterior me lleva a la conclusin de que es necesarsimo
contar con algunos de estos servidores, para incrementar la
seguridad. Algunos de estos demonios, y los motivos para
instalarlos son:

Tcp-Wrapper.
La idea de este software pblico es la de restringir la
conexin de sistemas no deseados a servicios de nuestra
red. Tambin permite ejecutar algn tipo de comando de
manera automtica cuando se generan determinadas
acciones en la red.
En suma, podemos concluir que el Tcp_Wrapper es una
herramienta que nos permite controlar y monitorear el
trfico de las redes de nuestra organizacin,
permitindonos a su vez el control sobre las conexiones que
se generan en la misma.

Argus
Es una herramienta de dominio pblico que permite auditar
el trfico IP que se produce en nuestra red, mostrndonos
todas las conexiones del tipo indicado que descubre.
Este programa se ejecuta como un demonio, escucha
directamente la interfaz de red de la mquina y su salida
es mandada bien a un archivo de trazas o a otra mquina

8 Redes y seguridad
Actividad 3

para all ser leda. En la captura de paquetes IP se le
puede especificar condiciones de filtrado como protocolos
especficos, nombres de mquinas, etc.

Preguntas propositivas



1. Seleccione las herramientas que considere necesarias para usar en su red de datos,
que permitan generar un control de acceso. Tenga en cuenta que estas herramientas
seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn,
cree el procedimiento de uso de cada una de las herramientas seleccionadas
Respuesta=A travs del demonio telnet, se crea una conexin
entre cliente y servidor que sirve para transferir informacin, solo
que el login y el password para acceder al sistema es hecho
automticamente por el demonio. Pero, segn considero, los
demonios encargados del control son otros, por ejemplo:

SATAN (Security Administrator Tool for Analyzing Networks):
Con esta herramienta se chequean las mquinas que estn
conectadas a la red, informando sobre el tipo de mquina
conectada, los servicios que presta cada una, adems de detectar
fallos de seguridad. La lectura de sus datos es sencilla, a travs
de un navegador.
Califica los fallos encontrados en la mquina como baja, media o
altamente insegura, generando un registro de esos fallos con una
breve explicacin e informacin (si se puede) sobre una posible
solucin. Con la informacin obtenida de todas las mquinas
registradas genera una base de datos.


9 Redes y seguridad
Actividad 3


Courtney: SATAN es muy buena herramienta para detectar
topologas de redes por lo que se necesita otra que detecte a
SATAN; con esta la detectamos a partir de informacin pasada
por el programa TcpDump. Al detectar un continuo chequeo de
puertos en un lapso corto de tiempo, el programa genera un aviso.

NetLog: Hay ataques a una red que pueden pasar desapercibidos
por su extremada velocidad; esta vulnerabilidad se puede corregir
con este programa que en realidad es una serie de programas que
trabajan conjuntamente, generando trazas de los paquetes que se
mueven en la red, sobre todo los sospechosos que indican un
posible ataque a la red. Al igual que el Argus, el Netlog tambin
permite filtrar contenidos y ver solo los de inters.

Nocol (Network Operations Center On-Line): Esta herramienta,
est hecha de diversos paquetes para monitorear redes. Recopila,
analiza, agrupa y le asigna niveles de gravedad a la informacin
(info, warning, error, crtical), siendo manejada cada gravedad
por distintos agentes, para filtrarla y analizar la que nos
interesa.

ISS (Internet Security Scanner): Con esta herramienta
chequeamos el nivel de seguridad de una mquina evaluando
servicios y direcciones IP; tambin se ven los puertos que usan el
protocolo TCP de la mquina analizada. As mismo transferimos

10 Redes y seguridad
Actividad 3

Respuesta= COPS (Computer Oracle and Password System): Con
este programa chequeamos aspectos de seguridad relacionados al
sistema operativo UNIX; por ejemplo permisos a determinados
archivos, chequeo de passwords dbiles, permisos de escritura y
lectura sobre elementos importantes de la configuracin de red,
entre otras funcionalidades.

Tiger: Parecido al COPS. Chequea la seguridad del sistema para
detectar problemas y vulnerabilidades, elementos como:

Configuracin general del sistema
Sistema de archivos
Caminos de bsqueda generados
Alias y cuentas de usuarios
Configuraciones de usuarios
Chequeo de servicios
Comprobacin de archivos binarios
archivos de contraseas por la red, creando un registro de la
mquina que posee tal contrasea con su direccin IP.


2. De la misma manera que en el caso anterior, seleccione las herramientas que usar
para chequear la integridad de su sistema y realice el procedimiento de uso de cada
una de ellas.


11 Redes y seguridad
Actividad 3


La informacin que se recoge se almacena en un archivo, que luego
se analiza con una herramienta que permite explicar los elementos
del archivo. Tambin se puede seleccionar el tipo de chequeo del
sistema.

Crack: Nos sirve para forzar las contraseas de los usuarios
midiendo el grado de complejidad de estas. As se genera un
diccionario y reglas que ayudan a crear passwords comunes. Como
se est usando para chequear la seguridad del sistema, le
proveemos el archivo de passwords y el programa lo barre
detectando las contraseas dbiles y vulnerables, tratando de
deducir contraseas del archivo cifrado de nuestro sistema.
Es necesario el barrido peridico del programa crack sobre
nuestro sistema, para as notificar a los dueos de las respectivas
contraseas sobre la necesidad de cambiarlas y aumentar la
seguridad en caso de ser vctimas de un ataque con un
craqueador.


Tripwire: Su funcin principal es la de detectar cualquier cambio o
modificacin en el sistema de archivos, como modificaciones no
autorizadas o alteraciones maliciosas de algunos softwares.
El programa genera una base de datos en la que genera una
firma o archivo identificador por cada elemento en el sistema de
archivos. La firma guarda informacin relevante como el nombre
del propietario del archivo, ltima fecha de modificacin, ltima

12 Redes y seguridad
Actividad 3

fecha de acceso, etc. Esta base de datos de firmas, se compara
a voluntad con una nueva base de datos para detectar las
modificaciones en los archivos del sistema.
Es til esta base de datos, para hacer comparaciones peridicas y
as detectar cambios, y que esta sea actualizada cada vez que se
ingresa un elemento nuevo al sistema de manera autorizada.

Cpm (Check Promiscuous Mode): Qu es el modo promiscuo? En
una red el modo promiscuo se define como aquel en que una
mquina, o conjunto de mquinas, se encuentran escuchando todo
el trfico de la red.
Aunque es importante tener mquinas en modo promiscuo para
correr archivos de proteccin de la red, as mismo funcionan los
olfateadores o sniffers, que podemos detectar con el Cpm; por
eso es necesario correr el Cpm en nuestro sistema para cazar
olfateadores que puedan estar recogiendo informacin de las
contraseas de la red.

Trinux: Es un conjunto de herramientas para monitorear redes con
el protocolo TCP-IP. Es usada directamente desde el dispositivo
de almacenamiento en que se encuentra, corriendo enteramente en
la memoria RAM del computador
Con este paquete de aplicaciones se controla el trfico de mails,
herramientas bsicas de redes, detector de sniffers, y
herramientas de seguridad para los servidores de nuestra
organizacin.

13 Redes y seguridad
Actividad 3




Pantallazo simulador 2