Scribd Logo
Carica

Benvenuto in Scribd!

  • Ejercicio Seguridad

    Caricato da

    Erica Richards
    89 visualizzazioni5 pagine
    ejercicio de seguridad

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    ejercicio de seguridad

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    89 visualizzazioni5 pagine

    Ejercicio Seguridad

    Caricato da

    Erica Richards
    ejercicio de seguridad

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 5

    Posible ejercicio de exmen

    Juan es un administrador de sistemas para la empresa DataSoft. La red que tiene que
    administrar tiene la topologa siguiente:

    INTERNET

    WEB

    DNS
    DNS

    DESARROLLO

    CORREO

    BACKUP

    SAMANTHA

    JUAN

    PACO

    ISABEL

    Donde:
    1)
    2)
    3)
    4)
    5)
    6)

    7)
    8)
    9)
    10)

    Servidor DNS de DataSoft (Linux) IP 212.73.21.12 , MAC 00:01:02:03:04:05


    Servidor Web de Datasoft (Linux) 212.73.21.13 , MAC 00:01:02:03:04:0A
    Servidor de Correo de Datasoft (Linux) 212.73.21.14, MAC 00:01:02:03:04:0B
    Servidor de Desarrollo (Linux) 212.73.21.15 , MAC 00:01:02:03:04:01
    Servidor de Backup / Pruebas (Linux) 212.73.21.15 , MAC 00:01:02:03:04:09
    Cortafuegos de nivel de paquetes (Linux) 212.73.21.15 (con la DMZ ) MAC
    00:01:02:03:04:02, 193.145.12.3 (con Internet) MAC 00:01:02:03:04:03, 192.168.1.1 (con
    la Intranet), MAC 00:01:02:03:04:04
    PC de Juan, administrador del sistema (Windows) 192.168.1.2, MAC 00:01:02:03:0A:0A
    PC de Isabel, jefa de programacin (Windows) 192.168.1.3, MAC 00:01:02:03:0B:0B
    PC de Paco, programador junior (Windows) 192.168.1.4, MAC 00:01:02:03:0C:0C
    PC de Samantha, programadora senior (Windows) 192.168.1.5, MAC 00:01:02:03:0D:0D

    Se tienen colocados antivirus en todos los equipos, y se actualizan cada 24h


    El cortafuegos de filtrado de paquetes solo deja pasar trfico entrante hacia los
    puertos 80 y 25 ( HTTP y SMTP ) . No se limita el trfico saliente.
    El servidor de desarrollo mantiene todas las copias del software que se genera en
    DataSoft. El acceso al mismo est limitado al equipo programador mediante cuentas
    de usuario y controles de acceso que solo permiten a cada usuario acceder a su
    trabajo. El servidor solo tiene abiertos los servicios de SSH y FTP.
    Los clientes se descargan el software mediante FTP autenticado por usuario y
    contrasea, y controles de acceso estrictos.

    Juan se haba pegado toda la maana actualizando los compiladores del servidor de
    desarrollo de Datasoft (con todos los programadores mordindole los tobillos porque no
    podan trabajar). Por si fuera poco Paco, el nuevo programador, se vena quejando de
    que haba dejado su PC nuevo encendido la noche anterior y se lo haba encontrado
    colgado, algo que tendra que mirar cuando tuviera algo de tiempo (no es normal que un
    equipo recien instalado se cuelgue as como as).
    Mientras estaba realizando una revisin rutinaria del servidor de desarrollo, el comando
    netstat an le ofreci la siguiente salida:
    Active Internet connections (servers and established)
    Prot Recv Send
    Local Address
    Foreign Address
    212.73.21.15: 21
    0.0.0.0:*
    tcp
    0 0
    tcp 445 2348
    212.73.21.15:22 192.168.1.3:1065
    tcp 245 12480K 212.73.21.15:80 212.101.101.13:21
    tcp 1212 11200 212.73.21.15:22 192.168.1.3:1464

    State
    ESTABLISHED
    ESTABLISHED
    ESTABLISHED

    Estos resultados helaron la sangre en las venas a Juan. Inmediatamente desconect al


    servidor de desarrollo de la red, y se dispuso a analizar todos los logs del sistema.

    El fichero /var/log/messages (el estndar del sistema) le dio la siguiente informacin:

    Jan 10 13:07:32 localhost kernel: BIOS-e820: 00000000fec00000 - 00000000fec02000 (reserved)


    Jan 10 13:07:32 localhost kernel: BIOS-e820: 00000000fee00000 - 00000000fee01000 (reserved)
    Jan 10 13:07:32 localhost kernel: BIOS-e820: 00000000fff80000 - 0000000100000000 (reserved)
    Jan 10 13:07:32 localhost kernel: 2175MB HIGHMEM available.
    Jan 10 13:07:32 localhost kernel: found SMP MP-table at 000ff780
    Jan 10 13:07:32 localhost kernel: hm, page 000ff000 reserved twice.
    Jan 10 13:07:32 localhost kernel: hm, page 00100000 reserved twice.
    Jan 10 13:07:32 localhost kernel: hm, page 000f0000 reserved twice.
    Jan 10 13:07:32 localhost kernel: hm, page 000f1000 reserved twice.
    Jan 10 13:07:32 localhost kernel: On node 0 totalpages: 786416
    Jan 10 13:07:32 localhost kernel: zone(0): 4096 pages.
    Jan 10 13:07:32 localhost kernel: zone(1): 225280 pages.
    Jan 10 13:07:32 localhost kernel: zone(2): 557040 pages.
    Jan 10 13:07:32 localhost kernel: Intel MultiProcessor Specification v1.4
    Jan 10 13:07:32 localhost kernel: Virtual Wire compatibility mode.
    Jan 10 13:07:32 localhost kernel: OEM ID: AMI Product ID: CNB20HE APIC at: 0xFEE00000
    Jan 10 13:07:32 localhost kernel: Processor #0 Pentium(tm) Pro APIC version 17
    Jan 10 13:07:32 localhost kernel: Processor #1 Pentium(tm) Pro APIC version 17
    Jan 10 13:07:32 localhost kernel: I/O APIC #4 Version 17 at 0xFEC00000.
    Jan 10 13:07:32 localhost kernel: I/O APIC #5 Version 17 at 0xFEC01000.
    Jan 10 13:07:32 localhost kernel: Processors: 2
    Jan 10 13:07:32 localhost kernel: Kernel command line: auto BOOT_IMAGE=msclinux root=302
    prompt_ramdisk=0 load_ramdisk=0 ramdisk=11264
    Jan 10 13:07:32 localhost kernel: Initializing CPU#0
    Jan 10 13:07:32 localhost kernel: Detected 996.633 MHz processor.
    Jan 10 13:07:32 localhost kernel: Startup Succesfull
    Jan 10 18:00:00 localhost kernel: Backup job Tarde OK
    Jan 11 00:00:00 localhost kernel: Backup job Noche OK
    Jan 11 03:00:00 localhost kernel: Tarea de limpieza de temporales
    Jan 11 06:00:00 localhost kernel: Backup job Maana OK
    Jan 11 12:00:00 localhost kernel: Backup job Medioda OK
    Jan 11 18:00:00 localhost kernel: Backup job Tarde OK
    Jan 12 00:00:00 localhost kernel: Backup job Noche OK
    Jan 12 03:00:00 localhost kernel: Tarea de limpieza de temporales
    Jan 12 06:00:00 localhost kernel: Backup job Maana OK
    Jan 12 12:00:00 localhost kernel: Backup job Medioda OK
    Jan 12 18:00:00 localhost kernel: Backup job Tarde OK
    Jan 13 00:00:00 localhost kernel: Backup job Noche OK
    Jan 13 03:00:00 localhost kernel: Tarea de limpieza de temporales
    Jan 13 06:00:00 localhost kernel: Backup job Maana OK
    Jan 13 12:00:00 localhost kernel: Backup job Medioda OK
    Jan 13 18:00:00 localhost kernel: Backup job Tarde OK
    Jan 14 00:00:00 localhost kernel: Backup job Noche OK
    Jan 14 12:00:00 localhost kernel: Backup job Medioda OK
    Jan 14 18:00:00 localhost kernel: Backup job Tarde OK

    El fichero que mantiene para la deteccin de volcados de memoria (un invento personal
    de Juan, muy til para los desarrolladores, ya que pueden obtener informacin acerca de
    cundo un programa que desarrollan se comporta de forma extraa) le ofreci la
    siguiente informacin:

    Jan 11 11:01:00 localhost (paco) data_contable: Value not handled


    Jan 11 11:10:34 localhost (paco) data_contable: Value not handled
    Jan 11 11:23:03 localhost (paco) data_contable: Value not handled
    Jan 11 12:01:00 localhost (paco) data_contable: Value not handled
    Jan 11 11:01:00 localhost (paco) data_contable: Syntax error in line 9
    Jan 11 11:01:00 localhost (paco) data_contable: Value not handled
    Jan 11 11:01:00 localhost (paco) data_contable: Value not handled
    Jan 12 09:01:00 localhost (samantha) analisis_web: Syntax Error in line 6
    Jan 12 10:01:00 localhost (paco) data_contable: Value not handled
    Jan 12 10:12:10 localhost (paco) data_contable: Value not handled
    Jan 12 11:11:04 localhost (paco) data_contable: Value not handled
    Jan 12 13:01:00 localhost (paco) data_contable: Value not handled
    Jan 12 14:01:30 localhost (paco) data_contable: Operation not permitted
    Jan 13 09:01:30 localhost (paco) data_contable: Operation not permitted
    Jan 13 12:03:33 localhost (paco) data_contable: Value not handled
    Jan 13 13:11:30 localhost (paco) data_contable: Value not handled
    Jan 13 14:22:30 localhost (paco) data_contable: Operation not permitted
    Jan 13 14:31:00 localhost (samantha) analisis_web: Bad Value
    Jan 14 01:22:30 localhost (paco) ptrace-kmod: Executing Shell code at 0x343. User ID=0
    Jan 14 11:10:34 localhost (paco) data_contable: Value not handled
    Jan 14 12:13:03 localhost (paco) data_contable: Value not handled
    Jan 14 12:20:00 localhost (paco) data_contable: Value not handled

    El fichero de accesos al sistema ofreca la siguiente informacin:

    Jan 11 07:52:42 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D


    Jan 11 08:22:32 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
    Jan 11 09:53:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 11 12:55:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 11 15:57:42 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 12 07:58:42 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D
    Jan 12 08:42:21 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
    Jan 12 08:58:49 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 12 09:51:45 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 12 11:53:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 12 17:57:47 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 12 19:55:45 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 13 07:55:23 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D
    Jan 13 08:22:44 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 13 09:00:42 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
    Jan 13 11:47:48 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 13 14:17:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 14 00:57:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0D:0D
    Jan 14 07:42:42 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
    Jan 14 08:47:48 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
    Jan 14 08:47:56 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D
    Jan 14 13:17:16 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C

    Juan pareca que haba encontrado el culpable. De todas formas, para asegurarse realiz
    una auditoria rpida a las contraseas del servidor de desarrollo, con el siguiente
    resultado:

    User

    Password

    Isabel
    Juan
    Paco
    Root
    Root2
    Samantha

    Not Identified
    Not Identified
    paco
    Not Identified
    Not Identified
    1tulipan1

    Time

    00h00m09s

    01h18m12s

    Juan ya saba quin era el culpable a ciencia cierta, pero de todas formas se acerc al
    ordenador de Paco, y revis los log de actividad de su equipo de la noche anterior y
    verific sus sospechas. Levant el telfono mientras pensaba ... alguien ha intentado ser
    muy listo, y casi lo ha conseguido .... casi.

    Preguntas
    1) Qu es lo que ha atemorizado tanto a Juan en la lista de conexiones abiertas?
    (0.5 puntos)
    2) Cmo se ha podido producir la intrusin en el servidor?. Describe todos los
    detalles posibles que puedas averiguar acerca de la misma. (1 punto)
    3) Quin ha sido el culpable? (0.25 puntos)
    4) Por qu el PC de Paco se ha colgado la noche anterior? (0.25 puntos)
    5) Define todos los fallos de seguridad que han hecho posible la intrusin, y propn
    las contramedidas que estimes oportunas (0.75 puntos)
    6) Si el cortafuegos fuera de inspeccin de estados ... habra servido para frustrar
    la intrusin? (0.25 puntos)

    Potrebbero piacerti anche