PROYECTO 7 - SEGURIDAD ACTIVA: CONTROL
DE REDES
RA: Aplicar
mecanismos de seguridad activa describiendo sus características y
relacionándolas con las necesidades de uso del sistema informático.
RA: Asegurar
la privacidad de la información transmitida en redes informáticas describiendo
vulnerabilidades e instalando software específico.
NIDS/NIPS.
Medidas para evitar monitorización de red cableada
La empresa para la que trabajas ha
sido hackeada en varias ocasiones: alguien está aprovechando las
vulnerabilidades que tienen en los servicios ofrecidos desde sus servidores
(por ejemplo, el servidor http), accediendo a través de los puertos abiertos.
Los servidores corren sobre Linux.
Sospechas que el hacker
está haciendo uso de la herramienta nmap para obtener puertos abiertos y
aplicaciones ejecutándose en cada uno.
·
A través de dos máquinas virtuales
Ubuntu, una servidor y otra cliente, demuestra cómo se puede detectar un
escaneo de puertos. Para ello:
(CP 5, pág 181)
(CP 5, pág 181)
o
Instala Snort en el Ubuntu Server.
Descarga las reglas de pre-procesamiento y actívalas.
Lo primero sera instalar el snort. Lo haremos desde la línea de comando.
Cuando se esté instalando nos pedirá el interfaz de nuestra tarjeta de red.
A continuación iremos a la página de snort y descargamos los archivos. Los descomprimimos y la carpeta de prepoc_rules que anda en la carpeta descomprimida la movemos a /etc/snort
A continuación configuramos algunas cosas necesarias de snort que se podrá apreciar en las fotos de abajo.
Una vez hecho esto, iniciaremos el snort y si no nos da ningún error procederemos con el siguiente paso (error).
A continuación iremos a la página de snort y descargamos los archivos. Los descomprimimos y la carpeta de prepoc_rules que anda en la carpeta descomprimida la movemos a /etc/snort
Una vez hecho esto, iniciaremos el snort y si no nos da ningún error procederemos con el siguiente paso (error).
o
Utiliza nmap desde el Ubuntu Desktop para escanear los servicios del
servidor.
o
Comprueba que el escaneo ha quedado
registrado.
English
“Snort really isn't very hard to use, but there are a lot of command line options to play with, and it's not always obvious which ones go together well. This file aims to make using Snort easier for new users. Before we proceed, there are a few basic concepts you should understand about Snort. Snort can be configured to run in three modes:
- Sniffer mode, which simply reads the packets off of the network and displays them for you in a continuous stream on the console (screen).
- Packet Logger mode, which logs the packets to disk.
- Network Intrusion Detection System (NIDS) mode, which performs detection and analysis on network traffic. This is the most complex and configurable mode.”
Spanish
“Snort really isn't very hard to use, but there are a lot of command line options to play with, and it's not always obvious which ones go together well. This file aims to make using Snort easier for new users. Before we proceed, there are a few basic concepts you should understand about Snort. Snort can be configured to run in three modes:
- Sniffer mode, which simply reads the packets off of the network and displays them for you in a continuous stream on the console (screen).
- Packet Logger mode, which logs the packets to disk.
- Network Intrusion Detection System (NIDS) mode, which performs detection and analysis on network traffic. This is the most complex and configurable mode.”
Spanish
Snort no es dificil de usar, pero hay mucha cantidad de opciones para jugar con ellas, y no es siempre obvio cuales irán bien juntas. Este archivo tiene como objetivo hacer el uso del archivo mas fácil para los nuevos usuarios. Antes de continuar. Habrá algunos conceptos que tendrás que saber acerca de snort. Snort puede ser configurado de tres modos:
- Sniffer mode, que simplemente lee los paquetes fuera de la red y las muestra en una consola para nosotros.
- Packet Logger mode, que registra los paquetes en el disco.
- Network Intrusion Detection System mode, que lleva a cabo la detección y análisis en el tráfico de la red. Este es el modo más complejo y configurable.
- Sniffer mode, que simplemente lee los paquetes fuera de la red y las muestra en una consola para nosotros.
- Packet Logger mode, que registra los paquetes en el disco.
- Network Intrusion Detection System mode, que lleva a cabo la detección y análisis en el tráfico de la red. Este es el modo más complejo y configurable.
Firewalls.
Instalación y configuración en equipos o servidores
El siguiente paso es
defender los servidores frente a ataques externos. Para ello vas a demostrar
cómo puede ayudar un firewall a proteger el servidor web. Planteas dos
alternativas:
- Proteger la máquina (bastión) donde se alberga el servidor
- Proteger la máquina (bastión) donde se alberga el servidor
-
Proteger el router que da acceso a
la zona desmilitarizada donde está el servidor web
·
Configuración del firewall
en una máquina Windows 7 donde se alberga un servidor web.
o
Instala un servidor
web: descarga el software Server2Go e instálalo y configúralo para que pueda
ser accesible desde el exterior (cambia la dirección de loopback).
o
Configura el
firewall de Windows 7 para que:
§
el servidor web
acepte conexiones del cliente Ubuntu creado anteriormente, pero no del servidor
Ubuntu.
§
registre en el log
los intentos fallidos de conexión.
o
Descarga en la
máquina donde se alberga el servidor un cortafuegos distinto al de Windows 7,
que sea gratuito. Investiga cuáles son los mejor valorados en foros de seguridad.
Instálalo y configúralo para realizar las mismas tareas propuestas para el firewall de Windows 7.
== Pestaña Post Reference: Esta pestaña la usamos para ver que hay en cada puerto (Protocolo). Es muy bueno si queremos usar ese puerto para tal fin.
Uno de los mejores Firewall que hay en el mercado es: ZoneAlarm Free
Instálalo y configúralo para realizar las mismas tareas propuestas para el firewall de Windows 7.
Guarddog (es una aplicación Kde
pero se puede usar en Gnome) está diseñado para usuarios domésticos o de redes
privadas. Definición de Guarddog en Synaptic: Es una utilidad de configuración
del firewall para KDE. Está dirigido a dos grupos de usuarios: los usuarios
novatos/intermedios que no son expertos en TCP / IP redes y seguridad, y los
usuarios que no quieren la molestia de tratar con los scripts de shell críptico
y parámetros ipchains/iptables.
El programa se puede instalar
desde Synaptic o a partir de la página:
http://archive.ubuntu.com/ubuntu/pool/universe/g/guarddog/ Para ejecutarlo hay que hacerlo con permisos
de root, ejecutando desde la terminal: sudo guarddog , o tecleando Alt+F2 y
luego: gksu guarddog.
Guarddog usa comandos filtros
orientados al protocolo, no a los números de puertos como en el caso de otros
cortafuegos ( Firestarter o Ufw o su interfaz gráfica Gufw - Cortafuegos - ) ,
por lo que el usuario no necesita especificar los números de puertos, lo que
ayuda a evitar errores de configuración (aunque en la pestaña Advanced se puede
especificar el número y tipo de puerto tpc o udp) .
Una vez iniciado el programa vemos
que tiene cinco pestañas: Zona, Protocolo, Logging, Advanced, y Port-Reference
; antes de empezar a configurar el programa debemos ir a la pestaña Advanced y
asegurarnos de que la casilla "disable firewall" esta desactivada, es decir que el firewall
esta activado.
== Pestaña Zona: Según como tengamos
nuestro pc, si es un pc conectado a internet en solitario, o formando parte de
algún tipo de red, elegimos la zona ( Internet, Local, Lan, Dmz ) en la que
queremos configurar las reglas que administraremos en la pestaña Protocolo.
== Pestaña Protocolo: Se usa para permitir o denegar protocolos
específicos. La estructura en árbol del lado derecho de la ventana organiza los
protocolos por categorías.
Podemos elegir si un protocolo
determinado esta bloqueado, permitido o rechazado.
== Pestaña Registro: Se usa para guardar los registros de los paquetes del equipo o la máquina que fueron bloqueados, rechazados, etc.... Podemos limitar las tasas de registro por segundo o minuto y Registrar otros tipos de datos.
== Pestaña Avanzado: Aquí podemos des habilitar el firewall y permitir DHCP en determinados interfaces.
Uno de los mejores Firewall que hay en el mercado es: ZoneAlarm Free
·
Configuración del
firewall del router.
o
Configura el
firewall que trae el router de clase para realizar las mismas tareas propuestas
para el firewall de Windows 7.
- El modelo del router de nuestra clase es Linksys EA2700
- Una vez accedido, iremos a la parte de seguridad --> firewall.
- Veremos que algunas opciones están por defecto activadas: Como por ejemplo, Habilitar la protección por IPv4 y por IPv6.
Las opciones restantes son para los filtrados anonymos, multicast, Internet NAT y otra opción para el puerto 113.
- El modelo del router de nuestra clase es Linksys EA2700
- Una vez accedido, iremos a la parte de seguridad --> firewall.
No hay comentarios:
Publicar un comentario