Date post: | 08-Jul-2015 |
Category: |
Documents |
Upload: | francisko-raffal |
View: | 62 times |
Download: | 0 times |
Investigación de seguridad en la red Instituto Tecnológico de Tehuacán Mayo 2013
Ingeniería en sistemas computacionales
Francisco Rafael Feliciano
Introducción
Cualquier equipo conectado a una red informática puede ser vulnerable a un
ataque.
Un ataque consiste en aprovechar una vulnerabilidad de un sistema informático
(sistema operativo, programa de software o sistema del usuario) con propósitos
desconocidos por el operador del sistema y que, por lo general, causan un daño.
Los ataques siempre se producen en Internet, a razón de varios ataques por
minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente
desde equipos infectados (a través de virus, troyanos, gusanos, etc.) sin que el
propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por
piratas informáticos.
Para bloquear estos ataques, es importante estar familiarizado con los principales
tipos y tomar medidas preventivas.
Los ataques pueden ejecutarse por diversos motivos:
o para obtener acceso al sistema.
o para robar información, como secretos industriales o propiedad intelectual
o para recopilar información personal acerca de un usuario
o para obtener información de cuentas bancarias
o para obtener información acerca de una organización (la compañía del
usuario, etc.)
o para afectar el funcionamiento normal de un servicio
o para utilizar el sistema de un usuario como un "rebote" para un ataque
o para usar los recursos del sistema del usuario, en particular cuando la red
en la que está ubicado tiene un ancho de banda considerable.
Tipos de ataque
Los sistemas informáticos usan una diversidad de componentes, desde
electricidad para suministrar alimentación a los equipos hasta el programa de
software ejecutado mediante el sistema operativo que usa la red.
Los ataques se pueden producir en cada eslabón de esta cadena, siempre y
cuando exista una vulnerabilidad que pueda aprovecharse.
Los riesgos se pueden clasificar de la siguiente manera:
Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso
a los equipos:
o Interrupción del suministro eléctrico.
o Apagado manual del equipo.
o Vandalismo.
o Apertura de la carcasa del equipo y robo del disco duro.
o Monitoreo del tráfico de red.
Intercepción de comunicaciones:
o Secuestro de sesión.
o Falsificación de identidad.
o Redireccionamiento o alteración de mensajes.
Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el
funcionamiento normal de un servicio. Por lo general, las denegaciones de servicio
se dividen de la siguiente manera:
o Explotación de las debilidades del protocolo TCP/IP.
o Explotación de las vulnerabilidades del software del servidor.
Intrusiones:
Análisis de puertos.
Elevación de privilegios: este tipo de ataque consiste en aprovechar una
vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por
su diseñador). En ciertos casos, esto genera comportamientos atípicos que
permiten acceder al sistema con derechos de aplicación. Los ataques de
desbordamiento de la memoria intermedia (búfer) usan este principio.
Ataques malintencionados (virus, gusanos, troyanos).
Ingeniería social: en la mayoría de los casos, el eslabón más débil es el mismo
usuario. Muchas veces es él quien, por ignorancia o a causa de un engaño,
genera una vulnerabilidad en el sistema al brindar información (la contraseña, por
ejemplo) al pirata informático o al abrir un archivo adjunto. Cuando ello sucede,
ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido
común, la razón y el conocimiento básico acerca de las prácticas utilizadas
pueden ayudar a evitar este tipo de errores.
Puertas trampa: son puertas traseras ocultas en un programa de software que
brindan acceso a su diseñador en todo momento.
Es por ello que los errores de programación de los programas son corregidos con
bastante rapidez por su diseñador apenas se publica la vulnerabilidad. En
consecuencia, queda en manos de los administradores (o usuarios privados con
un buen conocimiento) mantenerse informados acerca de las actualizaciones de
los programas que usan a fin de limitar los riesgos de ataques.
Además, existen ciertos dispositivos (firewalls, sistemas de detección de
intrusiones, antivirus) que brindan la posibilidad de aumentar el nivel de seguridad.
Esfuerzo de protección
La seguridad del sistema de un equipo generalmente se denomina "asimétrica"
porque el pirata informático debe encontrar sólo una vulnerabilidad para poner en
peligro el sistema, mientras que el administrador debe, por su propio bien, corregir
todas sus fallas.
Ataque por rebote
Cuando se ejecuta un ataque, el pirata informático siempre sabe que puede ser
descubierto, por lo que generalmente privilegia los ataques por rebote (en
oposición a los ataques directos). Los primeros consisten en atacar un equipo a
través de otro para ocultar los rastros que podrían revelar la identidad del pirata
(como su dirección IP) con el objetivo de utilizar los recursos del equipo atacado.
Esto comprueba la importancia de proteger su red o PC, ya que podría terminar
siendo "cómplice" de un ataque y, si las víctimas realizan una denuncia, la primera
persona cuestionada será el propietario del equipo que se utilizó como rebote.
Con el desarrollo de las redes inalámbricas, este tipo de situación podría ser cada
vez más común ya que estas redes no son demasiado seguras y los piratas
ubicados en sus inmediaciones podrían usarlas para ejecutar un ataque.
Certificados
Los certificados digitales son archivos electrónicos que funcionan como una
contraseña en línea para comprobar la identidad de un usuario o equipo. Sirven
para crear el canal cifrado de SSL, que a su vez se usa para las comunicaciones
del cliente. Un certificado es una declaración digital emitida por una entidad de
certificación (CA) que garantiza la identidad del poseedor del certificado y permite
que las partes se comuniquen de forma segura mediante el cifrado.
Los certificados digitales hacen lo siguiente:
Dan fe de que sus poseedores (personas, sitios web e incluso recursos de
red como enrutadores) son de verdad quien dicen ser.
Protegen los datos que se intercambian en línea de posibles
manipulaciones o robos.
Los certificados digitales pueden ser emitidos por una entidad de certificación de
terceros o por una infraestructura de clave pública de Windows de confianza,
mediante el uso de los servicios de servidor de certificados, o también se pueden
autofirmar. Cada tipo de certificado tiene sus ventajas y desventajas. Todos los
tipos de certificado digital están protegidos contra las manipulaciones y no se
pueden falsificar.
Se pueden emitir certificados para varios usos. Por ejemplo, autenticación de
usuario web, autenticación de servidor web, extensiones seguras multipropósito al
correo de Internet (S/MIME), protocolo de seguridad de Internet (IPsec), seguridad
de nivel de transporte (TLS) y firmas de código.
Un certificado contiene y vincula una clave pública con la identidad de la persona,
el equipo o el servicio que posee la clave privada correspondiente. Tanto el cliente
como el servidor usan las claves públicas y privadas para cifrar los datos antes de
transmitirlos. En los usuarios, equipos y servicios basados en Windows, la
confianza en una CA se establece cuando hay una copia del certificado raíz en el
almacén de certificados raíz de confianza y el certificado contiene una ruta de
certificación válida. Para que el certificado sea válido, no se tiene que haber
revocado y su período de validez no tiene que haber expirado.
PFSENSE
http://www.pfsense.org/
Es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo es
tener un cortafuegos (firewall) fácilmente configurable a través de una interfase
web e instalable en cualquier PC, incluyendo los miniPC de una sola tarjeta.
Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, por tanto,
de libre distribución.
El cortafuegos forma parte del Kernel del sistema. De hecho, se trata del Packet
Filter (PF) originario de OpenBSD, considerado como el sistema operativo más
seguro del mundo.
Packet Filter (PF) está presente como estándar en FreeBSD desde noviembre de
2004. Incluye funcionalidades como el regulador de caudal ALTQ, que permite
asignar prioridades por tipo de tráfico.
Los desarrolladores de pfSense escogieron FreeBSD en lugar de OpenBSD por su
facilidad de instalación en el mundo de lps PCs y porqué ya existía BSD Installer,
una versión muy reducida de FreeBSD.
Todo ello da una gran flexibilidad a la solución pfSense, ya que se puede montar
tanto en equipos miniPC (basados en una sola placa) que emplean como disco
una Compact Flash como en PC estándar con disco duro. En este último caso se
pueden añadir paquetes como Snort, Squid, Radius, etc.
Instalación PFSENSE
Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-DOS)
d:
cd /compactflash
Ejecutamos:
physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz
Obtendremos una respuesta similar a:
Searching for physical drives ...
Information for \\.\PhysicalDrive0:
...
...
Wich disk do you want to write <0..0>?
Cancelamos la ejecución mediante Ctl+C
Con ello hemos visto qué discos físicos tiene nuestra máquina.
Insertamos ahora la Compact Flash y volvemos a ejecutar:
physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz
Vemos que nos detecta un disco físico más y cambia la pregunta final:
Wich disk do you want to write <0..2>?
Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2).
El proceso de grabación empieza y dura un buen rato (media hora
aproximadamente).
¡¡¡ Cuando se termina, hay que hacer el proceso de desconexión segura del
dispositivo Compact Flash antes de extraerla de su ranura!!!
En muchas consolas de órdenes (Windows XP incluido) escribir los primeros
caracteres de los archivos y darle al tabulador sirve para que aparezca en pantalla
el nombre completo del archivo. Ello evita teclearlo todo.
En mi caso he creado un archivo de órdenes llamado grabar.bat que contiene la
orden
physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz
physdiskwrite controla automáticamente que no se puedan escribir discos de más
de 2 GByte. De esta manera evita las confusiones entre el disco duro y la
Compact Flash.
Implementación PFSENSE
Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la
dirección ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pedirá
autenticarnos lo que realizamos con:
User: admin
Password: pfsense
Después de autenticarte estarás dentro del entorno web que hay que cambiar
algunos parámetros que están por defecto.
Imagen PFSENSE
UNTANGLE
http://www.untangle.com/
Este servidor puede ser útil para una rápida implementación de un server con
funciones de firewall o gateway además de poseer alternativas a software para
detección de intrusos, spam, virus, etc. Estas son algunas de las características y
softwares que contiene
Web Filter – Impide el acceso a sitios Web no deseados
Virus Blocker – Evita que los virus lleguen a los equipos de la red
Spam Blocker – Bloquea el correo basura
Ad Blocker – Bloques de anuncios en línea que la capacidad de la red de
residuos
Attack Blocker – Detiene el ataque de negación de servicio (DOS)
Phish Blocker – Protege a las personas del robo de identidad “phishing”
Spyware Blocker – Protege a las personas de los sitios web que instalan
malware
Firewall – Protección de la red en Internet
QoS – Permite la priorización del tráfico de Internet
Intrusion Prevention – Protege la red de los hackers
Protocol Control – Control de protocolos de juegos en línea, IM y P2P
OpenVPN – Permite el acceso remoto seguro a la red interna
Reports – Muestra quién está haciendo qué en línea
Los requisitos de esta distribución son:
Pentium 4
80 GB de disco duro
2 placas de red
1 GB de memoria RAM
Instalación
Para la instalación de UNTANGLE son varias formas de hacerlo, en este caso lo
haremos en modo grafico:
Primeramente escogemos el idioma, enseguida el país, la distribución del teclado.
Finalmente nos muestra la siguiente imagen.
Después de esto nos da la opción de que si queremos formatear el disco.
Luego termina la instalación nos pide que quitemos el CD de instalación que al
reiniciar comenzará por el disco duro.
Y comienza a cargar la interfaz grafica. Cuando termine de cargar nos aparece
nuevamente la selección del idioma.
Y nos aparece esta ventana.
Aquí escogemos una contraseña para el administrador.
Definimos las interfaces conectadas.
Configuramos la WAN
Definimos la configuración de la red LAN
Debemos de llenar los datos de un servidor de correo.
Y finalizamos la instalación.
Tenemos la interfaz de UNTANGLE
Cuando entramos al botón de configuración en el Web Filter Lite del "Rack"
podremos observar las siguientes opciones.
Editar Categorías: Muestra un listado de las categorías de páginas web a filtrar
como pornografía, redes sociales y proxys en internet.
Editar Sitios: Permite agregar de forma manual un sitio WEB para filtrar, esto
mediante URL o dirección IP.
Editar Tipos de archivo: permite un filtrado de extensiones a descargar como
.mp3, .exe, .mov, entre otras.
Comenzaremos a filtrar en orden, primero por categorías, lo que haremos será
denegar el acceso a páginas WEB con contenido para adultos o proxys de
internet, además observaremos el uso del botón "User By Pass" el cual permite
hacer que el proxy sea permisivo y le aparezca un botón a los usuarios para darles
la opción de continuar en la WEB cuando está en permanente y global.
Primero se busca páginas de contenido para adultos.
La página será bloqueada, pero en la parte inferior nos permitirá continuar si lo
deseamos gracias al botón "User By Pass".
Cambiaremos el botón de "User By Pass" a modo "Ninguno" para que no les
aparezcan opciones y los usuarios no tengan opción de continuar.
Bloquearemos la URL www.facebook.com y crearemos una categoría llamada
Redes Sociales.
Cuando los usuarios intenten ingresar observaran el motivo del bloqueo y la
pagina estará bloqueada.
También bloquearemos por extensión y denegaremos que los usuarios
descarguen contenido .exe.
Se puede probar bajando el navegador firefox como prueba de lo ya aplicado.
FORTINET
Fortinet fue fundada en el año 2000 por Ken Xie, visionario y previo fundador y
CEO de
NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilización de un
Circuito
Integrado de Aplicación Específica (ASIC) para acelerar el proceso Firewall. De
este modo lanzó al mercado un lineal de equipos de alto rendimiento que
mediante aceleración hardware permitía realizar un control sobre el tráfico de las
redes en tiempo real, que tuvo inmediatamente una gran acogida en el mercado.
Ken Xie, con objeto de seguir avanzando en su visión propia de la seguridad en
las comunicaciones, abandonó NetScreen y fundó Fortinet. Su proyecto consistía
en dar un enorme paso más en la seguridad en tiempo real, integrando antivirus,
filtrado de contenido, tecnología IDP (Intrusion Detection and Prevention) y
Antispam en un solo dispositivo, junto con el firewall y servidor VPN, y acelerando
esta Protección Completa de Contenidos mediante un nuevo ASIC, FortiASIC, que
permite romper la barrera del procesado de contenidos en tiempo real.
Los equipos de seguridad Fortinet constituyen una nueva generación de equipos
de seguridad de muy alto rendimiento que garantizan la protección completa de
nuestros sistemas en tiempo real.
La serie FortiGate, que ofrece altísimos niveles de escalabilidad, rendimiento,
seguridad y flexibilidad de despliegue, es la única plataforma de Gestión Unificada
de Amenazas (UTMUnified Threat Management) que cuenta con seis
certificaciones ICSA y que además cumple el estándar ATCA –Advanced Telecom
Computing Architecture–, integrando una completa gama de funciones y servicios
de seguridad para proteger las redes de las sofisticadas amenazas combinadas.
Entre las funcionalidades integradas de estas plataformas de Gestión Unificada de
Amenzas –UTM– se incluyen cortafuegos de inspección de estado, VPN IPSec y
SSL, detección y prevención de intrusiones, filtrado de contenido web, antispam,
antivirus, controles de mensajería instantánea y controles P2P (peer-to-peer).
Estos servicios de seguridad funcionan conjuntamente para prevenir que los
ataques mixtos afecten a la red.