Tema 3 Administración de la Seguridad en Redes · Tema 3 Administración de la Seguridad en Redes Cada una de las capas tiene un propósito en la trasmisión de los datos. Vamos

Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redes

Curso de Seguridad Infórmatica

Esta obra está licenciada bajo la Licencia Creative Commons Atribución-NoComercial-CompartirIgual 3.0 Unported. Para ver una copia de esta licencia, visita http://creativecommons.org/licenses/by-nc-sa/3.0/.

Creada por V. Ana González Hernández


Índice

3.1 Redes-Estructuras

-Modelos de interconexión-Protocolos

3.2 Modelo Osi-Protocolo de Internet (IP)-ICMP-Ping-Puertos-Conexiones-ARP Seguridad a nivel de capas de red.Seguridad a nivel de servicios de red.

3.3 Políticas de seguridad3.4 Parte práctica:

-Uso básico de nessus -Wiresharck y escaneo de puertos

Bibliografía

*Nota de la autora de los 7 primeros temas curso: Escribir un curso de seguridad informática en una semana, es una tarea titánica casi imposible, aún así he decidido enfrentarme a ella para hacer posible este curso. Aunque me encantaría escribir todo con palabras propias, me resulta imposible debidoa la falta de tiempo, por lo que copiaré varios textos de los cuales dejaré las referencias para la hacer posible la explicación de todo el contenido que elcurso comprende.



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redes3.1 RedesPara poder entender los factores de riesgo dentro de una red primero debemos de conocer qué son y comofuncionan las redes, en la primera parte de este tema nos vamos a centrar en describirlas y comprenderlas, másadelante entraremos en conceptos de seguridad en redes para lo cual me apoyaré en diferentes texto de los cualescopiaré sus contenidos y referenciaré sus autores al final del documento. Objetivos de las redes:Las redes en general, consisten en “compartir recursos”.

Los objetivos a la hora del diseño de una nueva red son:

1. Disponibilidad: hacer que todos los programas, datos y equipos estén disponibles para cualquier usuario de la red que así lo solicite, sin importar la localización física del recurso y del usuario.2.Alta Fiabilidad: Contar con fuentes alternativas de suministro, si existen múltiples CPUs y una deja de funcionar, las otras pueden hacer su trabajo.3.Ahorro económico: Se debe tener en cuenta la relación costo/rendimiento, a la hora de comprar equipamiento intentando adecuarse lo máximo posible a las necesidades de la empresa.

EstructurasDefinir el concepto de redes implica diferenciar entre el concepto de redes físicas y redes de comunicaciónUna Red la constituyen dos o más computadoras que comparten determinados recursos.Podemos decir que existe una red cuando están involucrados un componente humano que comunica, un componente tecnológico (computadoras, telecomunicaciones) y un componente administrativo (institución que mantiene los servicios). Así, a una Red más que varias computadoras conectadas, la forman personas que solicitan, proporcionan e intercambian experiencias e informaciones a través de sistemas de comunicación.

Modelos de interconexiónLa forma de acceder a los datos nos permite diferenciar dos modos claros de conexión:

1. Redes Point–To–Point(Punto a punto) donde un host se conecta directamente a otro.2. Modelo cliente/servidor donde el cliente (un usuario de PC) solicita un servicio (por ejemplo imprimir) que un Servidor (un procesador conectado a la LAN) le proporciona. ProtocoloUn protocolo es un acuerdo de reglas semánticas y sintácticas, (lenguaje de reglas y símbolos),que rigen la comunicación entre dos equipos o dos servicios. Esto quiere decir que se ponen de acuerdo para hablar de una forma determinada, si lo trasladamos a la vida diaria, nosotros no hablamos igual, no utilizamos el mismo lenguaje, con nuestra suegra que con nuestra pareja, ni con nuestra pareja que con nuestros compañeros de trabajo, ya que con todos ellos utilizamos protocolos distintos de comunicación.

En el nivel físico, esto se realiza a través de tarjetas de red, y una conexión entre las mismas. Lógicamente se debeestablecer una comunicación “del mismo lenguaje” entre distintos sistemas operativos y tarjetas de red independientemente del fabricante de las mismas. A este lenguaje se le llama protocolo.

3.2 Modelo OsiA principios de los 80 los fabricantes informáticos más importantes se reunieron para unificar diferencias y



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redespermitir así la comunicación y compatibilidad entre sus distintos dispositivos, ya que en aquel entonces no eran compatibles.De esta reunión nació el modelo OSI (Modelo abierto de internetwork), de Iso (International Organization for Standardization, organización internacional de estandarización), creando el siguiente modelo basado en 7 capas:

Esto aportó una serie de beneficios que se mantienen hoy día:

-Menos complejidad: Divide los conceptos en partes más pequeñas lo que permite la especialización.-Interfaces Estándares: Las definiciones de interfaz estándar entre cada capa permiten la competencia abierta entrelos fabricantes lo cual favorece el producto final.-Mejora del aprendizaje: Al hacer menos abstractos los términos de la comunicación es más facil poder explicarlos.-Mejor desarrollo: Los profesionales pueden dedicarse a desarrollar de forma especializada para cada una de las capas sin tener que prestar atención o tener conocimientos sobre el resto.-Interoperatibilidad multifabricante: Ordenadores de distintos fabricantes y dispositivos de red de diversos fabricantes pueden coexistir en la misma red funcionando perfectamente.-Ingeniería modular: Un fabricante puede escribir software que funcione en las primeras capas y otro que funcioneen las siguientes.



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesCada una de las capas tiene un propósito en la trasmisión de los datos.

Vamos a verlas detenidamente:

Capa de aplicación:-Es la capa final más cercana al usuario y la única que no proporciona servicios a ninguna otra capa.-Ofrece a las aplicaciones (de usuario o no), la posibilidad de acceder a las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos.-Proporciona la interfaz entre las aplicaciones que usamos para comunicarnos y la red subyacente en la cual se trasmiten los mensajes -Los protocolos de la capa de aplicación se utilizan para intercambiar datos entre los programas que se ejecutan enel host de origen y de destino.

En esta capa aparecen diferentes protocolos y servicios, más adelante hablaremos con más detalle de los protocolos y servicios en genereal:

Protocolos de la capa de aplicación: FTP (File Transfer Protocol - Protocolo de transferencia de archivos) para transferencia de archivos. DNS (Domain Name Service - Servicio de nombres de dominio). DHCP (Dynamic Host Configuration Protocol - Protocolo de configuración dinámica de anfitrión). HTTP (HyperText Transfer Protocol) para acceso a páginas web. POP (Post Office Protocol) para correo electrónico. SMTP (Simple Mail Transport Protocol). SSH (Secure SHell) TELNET para acceder a equipos remotos. TFTP (Trival File Transfer Protocol). LDAP (Lightweight Directory Access Protocol).

Servicios de la capa de aplicación:

Aplicaciones de Red www (World Wide Web). Enlace a capas inferiores Esta capa contiene las aplicaciones visibles para el usuario. Algunas consideraciones son: seguridad y cifrado, DNS (Domain Name Service) Una de las aplicaciones mas usadas hoy en dia en Internet es el WWW (World Wide Web).

Capa de presentación:Se encarga de la representación de la información, de manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres (ASCII, Unicode, EBCDIC), números (little-endian tipo Intel, big-endian tipo Motorola), sonido o imágenes, los datos lleguen de manera reconocible.

Esta capa es la primera en trabajar más el contenido de la comunicación que cómo se establece la misma. En ella se tratan aspectos tales como la semántica y la sintaxis de los datos transmitidos, ya que distintas computadoras pueden tener diferentes formas de manejarlas.

La Capa 6, o capa de presentación, cumple tres funciones principales. Estas funciones son las siguientes:



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesFormato de datos Ej: Ascii, Unicode, EBCDICCifrado de datos Ej: clave de cifrado el lugar origen y de descifrado en lugar de destinoCompresión de datos Ej: Gif, MPG, JPG, MP3...

Capa de sesión:Define como iniciar, controlar y terminar las conversaciones(sesiones) entre las aplicaciones

Capa de trasporte:Es la encargada de la comunicación confiable entre el host, control de flujo y de la corrección de errores. Los datos son divididos en segmentos, identificados con un encabezado y con un número de puerto que identifica la aplicación de origen.

Sus principales funciones son:-Seguimiento de la comunicación individual entre las aplicaciones de host de origen y destino-Segmentación de los datos y gestión de cada porción- Re-ensamblaje de los segmentos en flujos de aplicación.-Identificación de los segmentos

Protocolos: -Tcp Trasfer Control Protocol o protocolo de control de trasferencia.Es un protocolo orientado a la conexión de entrega confiable y control de flujo.

Tiene 20bytes de carga en el encabezado que engloban:

Puerto de origen y destinoSecuenciamiento para la entrega en el mismo orden.Reconocimiento de segmentos recibidosControl del flujo y administración de la saturación.

-UDP User Datagram Protocol (UDP) es un protocolo del nivel de transporte basado en el intercambio de datagramas.Es un protocolo sin conexion con datagramas de 8bytes de máximo esfuerzo

Capa de RedLa capa de red provee servicios para intercambiar secciones de datos individuales a través de la red entre dispositivos finales identificados

Tiene tres características principales: -Direccionamiento lógico: define como cada dispositivo puede tener una dirección que el proceso de enrutamiento puede usar.-Enrutamiento(envío) Definen cómo los dispositivos, normalmente routers, envían los paquetes a su destino final.-Determinación de la ruta. Se refiere al trabajo realizado por los protocolos de enrutamiento, según el cual se aprenden todas las rutas pero sólo se elige la mejor para su uso.

Sus protocolos son:-Protocolo de internet IPv4-Protocolo de internet IPv6-IPX Intercambio novell de paquetes de internetwork-Apple talk



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redes-CLNS/Decnet Servicio de red sin conexión Capa de enlace de datosPermite a las capas superiores acceder a los medios usando técnicas como tramas.Controla cómo se ubican los datos en los medios y cómo se reciben usando técnicas de control de acceso a los medios y de detección de errores.Los protocolos de la capa de enlace de datos regulan como se da formato a una trama para utilizarla en diferentes medios.

Tiene dos subcapas:LLC Control de enlace lógico: Entrama el paquete de la capa de red e identifica el protocolo de la capa de red.MAC Control de acceso al medio: Direcciona la trama y marca su comienzo y su fin.

Sus protocolos son: Ethernet, 802.2,802.3,HDLC, Frame-Relay...etc

Capa físicaSe encarga de los medios, conectores, especificaciones eléctricas, lumínicas y de la codificación. Los bits son trasformados en pulsos eléctricos, en luz o en radio frecuencia para ser enviados según sea el medio en que se propaguen.




Un envío de datos típico bajo el modelo de referencia OSI comienza con una aplicación en un nodo cualquiera de la red. Esta Aplicación genera los datos que quiere enviar a su contraparte en otro nodo.

1. La Capa de Aplicación toma los datos y los encapsula añadiendo un encabezado que puede contener información de control o estar vacío.Envía el paquete resultante a la Capa de Presentación. 2. La Capa de Presentación recibe el paquete y no intenta decodificarlo o separar sus componentes, sino que lo toma como datos y le añade un encabezado con información de control de esta capa. 3. Las Capa de Sesión y de Transporte reciben el paquete, que también son sólo datos para ellas y le añaden un encabezado de control. El resultado es enviado a la capa inferior. 4. La Capa de Red se encarga de enrutar el paquete a su destino. 5. Las Capas de Red, Enlace de datos y Física toman, respectivamente, el paquete que les envía la capa superior y añaden a éste un encabezado definido por el protocolo que corresponde a cada capa y pasan el resultado a la capa inferior. 6. La Capa Física, por último, traducirá el último paquete a las señales apropiadas para que viajen por el medio físico hasta el nodo destino. 7. En el nodo destino comienza el camino inverso; es decir que cada capa quita su encabezado de control y envía el paquete a la capa superior hasta llegar a la de Aplicación en el nodo destino.



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesComo puede apreciarse, todas las capas, excepto la de Aplicación, procesan los paquetes realizando operaciones que sirven para verificar que el paquete de datos real esté íntegro, o para que éste llegue a su destino sin que los datos sufran alguna alteración.

Protocolo de Internet (IP) Para entender como atacan un sistema de cómputo a través de una red, necesitamos conocimientos del más popular de los protocolos, el TCP/IP ampliamente usado hoy en Internet.

Este protocolo incluye varios componentes:

El Protocolo de Control de Flujo (TCP), el Protocolo de Datagramas de Usuario (UDP), el Protocolo de Internet (IP) y Protocolo de Control de Mensajes de Internet (ICMP).

La dirección IP es el identificador de cada host dentro de su red de redes. Cada host conectado a una red tiene una dirección IP asignada, la cual debe ser distinta a todas las demás direcciones que estén vigentes en ese momento en el conjunto de redes visibles por el host. En el caso de Internet, no puede haber dos computadores con 2 direcciones IP (públicas) iguales. Pero sí podríamos tener dos computadores con la misma dirección IP (privadas) siempre y cuando pertenezcan a redes independientes entre sí (sin ningún camino posible que las comunique).

Las direcciones IP se clasifican en:

-Direcciones IP públicas: Son visibles en todo Internet. Un computador con una IP pública es accesible (visible) desde cualquier otro computador conectado a Internet. Para conectarse a Internet es necesario tener una dirección IP pública.

-Direcciones IP privadas (reservadas): Son visibles únicamente por otros hosts de su propia red o de otras redes privadas interconectadas por enrutadores (routers). Se utilizan en las empresas para los puestos de trabajo. Los computadores con direcciones IP privadas pueden salir a Internet por medio de un router (o proxy) que tenga una IP pública. Sin embargo, desde Internet no se puede acceder a computadores con direcciones IP privadas.

A su vez, las direcciones IP pueden ser: -Direcciones IP estáticas (fijas): Un host que se conecte a la red con dirección IP estática siempre lo hará con una misma IP. Las direcciones IP públicas estáticas son las que utilizan los servidores de Internet con objeto de que estén siemprelocalizables por los usuarios de Internet. Estas direcciones hay que contratarlas a través de un proveedor de servicios (ISP) o registrándolas directamente a través de http://lacnic.net/sp/index.html

-Direcciones IP dinámicas: Un host que se conecte a la red mediante dirección IP dinámica, cada vez lo hará con una dirección IP distinta. Las direcciones IP públicas dinámicas son las que se utilizan en las conexiones a Internet mediante un Módem, Router Adsl, Router inalámbrico, Etc. Los proveedores de Internet utilizan direcciones IP dinámicas debido a que tienen más clientes que direcciones IP (es muy improbable que todos se conecten a la vez).




Difusión (broadcast) y multidifusión (multicast).

El término difusión (broadcast) se refiere a todos los hosts de una red; multidifusión (multicast) se refiere a varios hosts (aquellos que se hayan suscrito dentro de un mismo grupo). Siguiendo esta misma terminología, en ocasiones se utiliza el término unidifusión (unicast) para referirse a un único host.

Difusión o broadcasting es el envío de un mensaje a todos los computadores que se encuentran en una red. La dirección de loopback (normalmente 127.0.0.1) se utiliza para comprobar que los protocolos TCP/IP están correctamente instalados en nuestro propio computador.

Lo veremos más adelante, al estudiar el comando PING.

Las direcciones de redes siguientes se encuentran reservadas para su uso en redes privadas (intranets). Una dirección IP que pertenezca a una de estas redes se dice que es una dirección IP privada.

Clase Rango de direcciones reservadas de redes A 10.0.0.0 B 172.16.0.0 - 172.31.0.0 C 192.168.0.0 - 192.168.255.0

Dentro de una intranet se pueden configurar todos los servicios típicos de Internet (web, correo, mensajería instantánea, etc.) mediante la instalación de los correspondientes servidores. La idea es que las intranets son como "internets" en miniatura o lo que es lo mismo, Internet es una intranet pública gigantesca.

-Extranet. Unión de dos o más intranets. Esta unión puede realizarse mediante líneas dedicadas (RDSI, X.25, frame relay, ADSL,punto a punto, etc.) o a través de Internet.

-Internet. Es la mayor red pública de redes TCP/IP.

El datagrama IP es la unidad básica de transferencia de datos entre el origen y el destino. Viaja en el campo de datos de las tramas físicas (recuérdese la trama Ethernet) de las distintas redes que va atravesando. Cada vez que un datagrama tiene que atravesar un router, el datagrama saldrá de la trama física de la red que abandona y se acomodará en el campo de datos de una trama física de la siguiente red. Este mecanismo permite que un mismo datagrama IP pueda atravesar redes distintas: enlaces punto a punto, redes ADSL, redes Ethernet, redes Token Ring, etc. El propio datagrama IP tiene también un campo de datos: será aquí donde viajen los paquetes de las capas superiores.

ICMPICMP es un protocolo de Control (Internet Control Message Protocol), que sirve para avisar de los errores en el procesamiento de los datagramas, es decir, de los paquetes IP.

Los paquetes ICMP no tienen puerto de origen ni de destino, en su lugar tienen un tipo y un "subtipo" o código.

ICMP sospechosos/peligrosos



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redes PING <- 8/-Generalmente todo escaneo de tus puertos va precedido de una detección mediante un ping ICMP REDIRECT <- 5/-Alguien intenta redirigir nuestro router, esto significa que alguien intenta un ataque "de hombre en medio" redirigiendo nuestro tráfico a través de su máquina SOURCE QUENCH <- 4/-Puede ser un intento de ataque DoS, ya que estos paquetes ralentizan la comunicación, RFC1122 dice que un cortafuegos DEBE descartarlos PARAMETER PROBLEMS -> 12/-Salidas de ICMP parameter-problem 12/- indican que se nos está aplicando alguna técnica de detección de sistemaoperativo (fingerprinting), o que están intentando algún tipo de hackeo PORT UNREACHABLE -> 3/3Las salidas de port-unreachable 3/3 de nuestro sistema delatan que están escaneando nuestros puertos UDP

PingLa orden PING envía mensajes de solicitud de eco a un host remoto e informa de las respuestas. Veamos su funcionamiento, en caso de no producirse incidencias en el camino.

A envía un mensaje ICMP de tipo 8 (Echo) a B B recibe el mensaje y devuelve un mensaje ICMP de tipo 0 (Echo Reply) a A A recibe el mensaje ICMP de B y muestra el resultado en pantalla

En la orden anterior hemos utilizado el parámetro "-n 1" para que el host A únicamente envíe 1 mensaje de solicitud de eco. Si no se especifica este parámetro se enviarían 4 mensajes (y se recibirían 4 respuestas). Si el host de destino no existiese o no estuviera correctamente configurado recibiríamos un mensaje ICMP de tipo 11 (Time Exceeded).

Si tratamos de acceder a un host de una red distinta a la nuestra y no existe un camino para llegar hasta él, es decir,los enrutadores no están correctamente configurados o estamos intentando acceder a una red aislada o inexistente, recibiríamos un mensaje ICMP de tipo 3 (Destination Unreachable).

Pero también puede suceder que el equipo al que se le está haciendo Ping tenga deshabilitado las respuestas eco por cuestiones de seguridad:

En este ejemplo vemos como el DNS resuelve la IP sin problemas, pero el Ping no responde. Para estos casos hay que utilizar otros mecanismos como por ejemplo la apertura de conexión a un puerto.El comando Ping es ampliamente utilizado para diagnosticar errores en la red, que van a ir desde la interfaz local de red a condiciones de red o equipos de comunicación de datos.

-Mensajes ICMP de tiempo excedido. Los datagramas IP tienen un campo TTL (tiempo de vida - TDV) que impide que un mensaje esté dando vueltas indefinidamente por la red de redes. El número contenido en este campo disminuye en una unidad cada vez que el datagrama atraviesa un router. Cuando el TTL de un datagrama llega a 0, éste se descarta y se envía un mensaje ICMP de tipo 11 (Time Exceeded) para informar al origen. Los mensajes ICMP de tipo 11 se pueden utilizar para hacer una traza del camino que siguen los datagramas hasta llegar a su destino.

¿Cómo? Enviando una secuencia de datagramas con TTL=1, TTL=2, TTL=3, TTL=4, etc... hasta alcanzar el host



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redeso superar el límite de saltos (30 si no se indica lo contrario). El primer datagrama caducará al atravesar el primer router y se devolverá un mensaje ICMP de tipo 11 informando al origen del router que descartó el datagrama. El segundo datagrama hará lo propio con el segundo router y así sucesivamente. Los mensajes ICMP recibidos permiten definir la traza.

Puertos Los puertos son las puertas y ventanas de un sistema operativo. Hay miles de puertos que puedan estar abiertos enun sistema. Actualmente el rango de los puertos varía de 1 a 65.535 para TCP y 1 a 65.535 para los UDP, de loscuales los primeros 1024 son reservados para el sistema. Cuantos más puertos abiertos hay en una máquina más puntos de vulnerabilidad existen en el sistema.Para distinguir las distintas conexiones dentro de un mismo computador se utilizan los puertos.

Las aplicaciones utilizan estos puertos para recibir y transmitir mensajes. Algunos de los puertos más comunes son:

Técnicamente los puertos de entrada / salida en un computador son los canales por los que son trasferidos losdatos entre un dispositivo y el procesador.

A continuación se enumeran los puertos bien conocidos más usuales:

Puerto TCP o UDP Nombre de protocolo o servicio RFC

20 TCP Protocolo de transferencia de archivos (FTP) 959 21 TCP Control de FTP 959 22 TCP Shell segura (SSH) 23 TCP Telnet 25 TCP Protocolo simple de transferencia de correo (SMTP) 5321 53 TCP/UDP Sistema de nombres de dominio (DNS) 1034 69 UDP Protocolo trivial de transferencia de archivos (TFTP) 1350 79 TCP Finger 1288 80 TCP Protocolo de transferencia de hipertexto (HTTP) 2616 88 TCP Kerberos 4120 106 TCP Servidor de contraseñas 110 TCP Protocolo de oficina de correos (POP3) 1939 111 TCP/UDP Llamada a procedimiento remoto (RPC) 1057, 1831 ,1413 115 TCP Programa seguro de transferencia de archivos (SFTP) 913 119 TCP Protocolo de transferencia de noticias de red (NNTP) 3977 123 TCP/UDP Network Time Protocol (NTP) 1305 137 UDP Windows Internet Naming Service (WINS) 139 TCP Bloque de mensaje de servidor (SMB) - 143 TCP Protocolo de acceso a mensajes de Internet (IMAP) 3501 161 UDP Protocolo simple de administración de red (SNMP) 1157 311 TCP Server Admin, Workgroup Manager, Server Monitor, Xsan Admin - 389 TCP Protocolo ligero de acceso a directorios (LDAP) 4511 427 TCP/UDP Protocolo de ubicación de servicios (SLP) 2608 443 TCP Capa de sockets seguros (SSL o "HTTPS") 445 TCP Servidor de dominio SMB de Microsoft -



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesPara conocer los puertos que puede utilizar su equipo puedes editar los archivos “services”, estos se encuentra en el caso de Linux en el directorio /etc, para el caso de Windows los encuentra en el directorio c:\windows\system32\drivers.

Conexiones Una conexión son dos pares dirección IP y Puerto. No puede haber dos conexiones iguales en un mismo instante en toda la Red. Aunque bien es posible que un mismo computador tenga dos conexiones distintas y simultáneas utilizando un mismo puerto.

El protocolo TCP utiliza el concepto de conexión para identificar las transmisiones.

Ya hemos comentado que el flujo de bytes que produce una determinada aplicación se divide en uno o más segmentos TCP para su transmisión. Cada uno de estos segmentos viaja en el campo de datos de un datagrama IP.

Para facilitar el control de flujo de la información los bytes de la aplicación se numeran. De esta manera, cada segmento indica en su cabecera el primer byte que transporta. Las confirmaciones o acuses de recibo (ACK) representan el siguiente byte que se espera recibir (y no el número de segmento recibido, ya que éste no existe).

Bien veamos cuales son los estados en la comunicación con TCP:

Estos son los mensajes que se intercambian entre cliente y servidor a la hora de intentar establecer una comunicación o durante ella, nos será muy útil conocerlos a la hora de hacer diagnostico de redes o entender que esta pasando cuando esnifemos el tráfico de red:

URG. El campo Puntero de urgencia contiene información válida. ACK. El campo Número de acuse de recibo contiene información válida, es decir, el segmento actual lleva un ACK. Observemos que un mismo segmento puede transportar los datos de un sentido y las confirmaciones del otro sentido de la comunicación. PSH. La aplicación ha solicitado una operación push (enviar los datos existentes en la memoria temporal sin



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redesesperar a completar el segmento). RST. Interrupción de la conexión actual. SYN. Sincronización de los números de secuencia. Se utiliza al crear una conexión para indicar al otro extremo cual va a ser el primer número de secuencia con el que va a comenzar a transmitir (veremos que no tiene porqué ser el cero). FIN. Indica al otro extremo que la aplicación ya no tiene más datos para enviar. Se utiliza para solicitar el cierre dela conexión actual. Ventana (16 bits). Número de bytes que el emisor del segmento está dispuesto a aceptar por parte del destino. Suma de verificación (24 bits). Suma de comprobación de errores del segmento actual. Para su cálculo se utiliza una pseudo-cabecera que también incluye las direcciones IP origen y destino. Hay más campos que no serán tratados en este curso.

Antes de transmitir cualquier información utilizando el protocolo TCP es necesario abrir una conexión. Un extremo hace una apertura pasiva y el otro, una apertura activa. El mecanismo utilizado para establecer una conexión consta de tres vías.

- La máquina que quiere iniciar la conexión haceuna apertura activa enviando al otro extremo unmensaje que tenga el bit SYN activado. Leinforma además del primer número de secuenciaque utilizará para enviar sus mensajes.

-La máquina receptora (un servidor generalmente)recibe el segmento con el bit SYN activado ydevuelve la correspondiente confirmación. Sidesea abrir la conexión, activa el bit SYN delsegmento e informa de su primer número desecuencia. Deja abierta la conexión por suextremo.

La primera máquina recibe el segmento y envía suconfirmación. A partir de este momento puedeenviar datos al otro extremo. Abre la conexión por su extremo.

La máquina receptora recibe la confirmación y entiende que el otro extremo ha abierto ya su conexión. A partir de este momento puede enviar ella también datos. La conexión ha quedado abierta en los dos sentidos.

Observamos que son necesarios 3 segmentos para que ambas máquinas abran sus conexiones y sepan que la otra también está preparada.

Cierre de una conexión Cuando una aplicación ya no tiene más datos que transferir, el procedimiento normal es cerrar la conexión utilizando una variación del mecanismo de 3 vías explicado anteriormente:

La máquina que ya no tiene más datos que transferir, envíaun segmento con el bit FIN activado y cierra el sentido de



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redesenvío. Sin embargo, el sentido de recepción de la conexión sigue todavía abierto.

La máquina receptora recibe el segmento con el bit FIN activado y devuelve la correspondiente confirmación. Pero no cierra inmediatamente el otro sentido de la conexión sino que informa a la aplicación de la petición de cierre. Aquí se produce un lapso de tiempo hasta que la aplicación decide cerrar el otrosentido de la conexión.

La primera máquina recibe el segmento ACK.

Cuando la máquina receptora toma la decisión de cerrar el otro sentido de la comunicación, envía un segmento con el bit FIN activado y cierra la conexión.

La primera máquina recibe el segmento FIN y envía el correspondiente ACK. Observemos que aunque haya cerrado su sentido de la conexión sigue devolviendo las confirmaciones. La máquina receptora recibe el segmento ACK.

ARP El protocolo ARP es un protocolo estándar específico de las redes. Su status es electivo. El protocolo de resolución de direcciones es responsable de convertir las direcciones de protocolo de alto nivel(direcciones IP) a direcciones de red físicas. ARP se emplea en redes IEEE 802 además de en las viejas redes DIX Ethernet para mapear direcciones IP a dirección hardware. Para hacer esto, ha de estar estrechamente relacionado con el controlador de dispositivo de red.

Si una aplicación desea enviar datos a una determinada dirección IP de destino, determina primero la dirección IP del siguiente salto del paquete (que puede ser el propio host de destino o un "router") y el dispositivo hardware al que se debería enviar. Si se trata de una red 802.3/4/5, deberá consultarse el módulo ARP para mapear el par <tipode protocolo, dirección de destino> a una dirección física.

El módulo ARP intenta hallar la dirección en su caché. Si encuentra el par buscado, devuelve la correspondiente dirección física de 48 bits al controlador. Si no lo encuentra, descarta el paquete (se asume que al ser un protocolo de alto nivel volverá a transmitirlo) y genera un broadcast de red para una solicitud ARP.

Tablas ARP La filosofía es la misma que tendríamos para localizar al señor X entre 150 personas: preguntar por su nombre a todo el mundo, y el señor X nos responderá. Así, cuando a A le llegue un mensaje con dirección origen IP y no tenga esa dirección en su tabla ARP, enviará su paquete ARP a la dirección broadcast (física), con la IP de la que quiere conocer su dirección física. Entonces, el equipo cuya dirección IP coincida con la preguntada, responderá a A enviándole su dirección física. En este momento A ya puede agregar la entrada de esa IP a su tabla ARP.

Las entradas de la tabla se borran cada cierto tiempo, ya que las direcciones físicas de la red pueden cambiar (Ej: si se estropea una tarjeta de red y hay que sustituirla)

Funcionamiento I Si A quiere enviar un paquete a la dirección IP de B (misma red), mirará su tabla ARP para poner en la frame la dirección destino física correspondiente a la IP de B. De esta forma, cuando les llegue a todos el frame, no tendránque deshacer el frame para comprobar si el mensaje es para ellos, sino que se hace con la dirección física.




Funcionamiento II Si A quiere enviar un mensaje a C (un nodo que no este en la misma red), el mensaje deberá salir de la red. Así, A envía el frame a la dirección física del router de salida. Esta dirección física la obtendrá a partir de la IP del router,utilizando la tabla ARP. Si esta entrada no esta en la tabla, mandará un mensaje ARP a esa IP (llegará a todos), para que le conteste indicándole su dirección física.

Una vez en el router, éste consultará su tabla de enrutamiento, obteniendo el próximo nodo (salto) para llegar al destino, y saca el mensaje por el interfaz correspondiente. Esto se repite por todos los nodos, hasta llegar al últimorouter, que es el que comparte el medio con el host destino. Aquí el proceso cambia: el interfaz del router tendrá que averiguar la dirección física de la IP destino que le ha llegado. Lo hace mirando su tabla ARP o preguntando a todos.

Seguridad a nivel de capas de red:

Capa 2 A nivel de enlace:La importancia de este nivel, es que es el último que encapsula todos los anteriores, por lo tanto si se escucha y sesabe desencapsular se tiene acceso a absolutamente toda la información que circula en una red.

Hay herramientas que operan a este nivel y se llaman analizadores de protocolos.Pueden ser: De hardware: Son Hardware diseñado específicamente para esta actividad como el Internet Advisor de Hewlett Packard o elDominó de Vandell & Goltermann, poseen la gran ventaja de operar naturalmente en modo promiscuo.

De software:La diferencia es que aunque pueden ser instalados en cualquier máquina o equipo estos sólo tendrán acceso a lamisma parte de la red que la máquina o equipo donde estén instalados, algunos de ellos son Wiresark o netmap delos que ya hemos hablado y veremos en la parte práctica con más detalle.

¿qué auditamos a nivel de capa de enlace o donde ponemos nuestra atención?

1 Filtrado de mac controlando así las direcciones del hardware de nuestra red; Debemos saber cuales son las mac'sque corresponden a nuestra red, tenerlas mapeadas y filtrar las mac's ajenas.Esta va a ser una buena forma de confirmar si ha habido una conexión desde un equipo ajeno a nuestra red lo cualpuede ser una intrusión. Esto medida no se suele tomar muy habitualmente por resultar tediosa a la hora degestionar invitados, pero recordad que siempre podemos crear un red externa para nuestros invitados y mantenereste nivel de seguridad activo.

2.Segmentar dominios de colisiones: Los switch o bridge operan a nivel de capa 2, su trabajo consiste en saber pora que puerto físico corresponde cada una de las macs y conmuta el tráfico en base a esto, lo cual crea dominios decolisión que segmentan la red.

3. Analizar el tráfico: -Broadcast (comunicación de un host a todos): para mejorar el funcionamientode la red sedebe de limitar los broadcast que pueden trasmitirse por la red, de este modo también evitamos un conocidoataque a la disponibilidad llamado "Bombardeo de Broadcast". -Análisis de los multicast, pues son estos los mensajes que intercambian los Router, y es desumo provecho para un interesado en una red ajena ser partícipe de estos grupos, pues en ellos encontrará servida



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redestoda la información de enrutamiento de la red. - Análisis de colisiones: Una colisión se produce cuando dos host trasmiten simultanemeanteen un intervalo de tiempo menor a 512 microsegundos (que es el tamaño mínimo de una trama Ethernet)

Ante este hecho, los dos host hacen silencio y esperan una cantidad aleatoria de "tiempos de ranura" (512microsegundos), e intentan transmitir nuevamente. Si se tiene acceso físico a la red, un ataque de negación de servicio, es justamente generar colisiones, pues obliga ahacer silencio a todos los Host de ese segmento.

3. Capa de red:La capa de red como ya hemos visto anteriormente es la responsable del enrutamiento. Debemos de tener encuenta los siguientes puntos: - Auditorías en Router: (Este es el dispositivo por excelencia en este nivel).

1) Control de contraseñas: Los router permiten la configuración de distintos tipos de contraseñas, para acceder al modo usuario es la primeraque solicita si se accede vía Telnet, luego también para el ingreso a modo privilegiado, también se permite elacceso a una contraseña encriptada, y por último la de acceso vía consola.

2) Configuración del router: Dentro de este aspecto se contemplan los detalles de configuración que muchas vecesen forma innecesaria quedan habilitados y no se emplean (Broadcast Subnetting, local loop, puertos, rutas, etc)

3) Resguardo de las configuraciones: Un detalle de suma importancia es guardar la startup- config en forma consistente con la running-config, y esta asu vez en un servidor t_ftp, como así también en forma impresa.

4) Protocolos de enrutamiento: El empleo de los protocolos de ruteo es crítico pues la mayor flexibilidad está dada por el uso de los dinámicos(RIP, IGRP, EIGRP, OSPF), pero se debe tener en cuenta que con esta medida se facilita información para seraprovechada por intrusos , los cuales a su vez pueden emplearla para hacerse partícipe de las tablas de ruteo (En especial con RIP pues no se puede verificar el origen de los costos de las rutas, en OSPF, es más fácil pues seenvía una tabla completa que pertenece a un router específico y a su vez a este se lo puede verificar con dosniveles de contraseña: normal y Message Digest).

Las tablas de enrutamiento estáticas, por el contrario, incrementan sensiblemente las medidas de seguridad, puestoda ruta que no esté contemplada, no podrá ser alcanzada.

5) Listas de acceso: Son la medida primaria de acceso a una red (Se tratarán en detalle en cuando hablemos defirewalls). 6) Listas de acceso extendidas: Amplían las funciones de las anteriores, generalmente con parámetros de nivel detransporte ((Se tratarán en detalle en cuando hablemos de firewalls)). 7) Archivos .Log: Permiten generar las alarmas necesarias. 8) Seguridad en el acceso por consola: Se debe prestar especial atención pues por defecto viene habilitada, sinrestricciones, y si se tiene acceso físico al router, se obtiene el control total del mismo. Siempre hay que tenerpresente que un usuario experto, si tiene acceso físico puede iniciar la secuencia de recuperación de contraseña einiciar el router con una contraseña nueva.

- Auditorías de tráfico ICMP:



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redes1) Mejor ruta: Este se trata del Tipo Nro 5 de mensaje ICMP, y su mal empleo permite triangular la ruta de una redpara obligarla a pasar siempre por un router sobre el cual se obtiene la información deseada. 2) Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con una solicitud y respuestade eco (Tipo 0 y 8, conocido como ping). Un conocido ataque es enviarlo con una longitud mayor a lo permitidopor IP (65535 Byte). Al ser recibido, el host no sabe como tratarlo y se bloquea. Cabe aclarar que hoy la masa delos sistemas ya no lo permiten. También se puede negar el servicio, por medio de una inundación de estos.3) Destino no alcanzable: Es el tipo 3 de ICMP, lo importante pasa por los códigos en que se subdivide, pues pormedio de estos, se obtiene información que es de sumo interés. Al recibir respuestas de destino no alcanzable, desde ya no es lo mismo esta situación si se trata de prohibición deacceso, de puertos negados, de Servidores que administrativamente niegan acceso a sus aplicaciones, etc.

Lo importante de esta auditoría es que es muy claro lo que se debe observar y cualquier anomalía es bastante clarapara detectar. Se debe analizar que tipo de mensajes se deben permitir y cuales no.

- Auditoría ARP: El ataque ARP es uno de los más difíciles de detectar pues se refiere a una asociación incorrectade direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la red y compararpermanentemente las mismas con un patrón de referencia válido.

Existen programas que realizan esta tarea, el ARPWATCH es uno de los más conocidos

- Auditoría de direccionamiento IP: Como se mencionó con anterioridad, existen dos formas de asignación dedirecciones IP (antiguamente existía también una asignación automática que hoy prácticamente no se empleamás): 1) Estático: Se implementa en cada host manualmente, y se hace presente en la red siempre con la misma dirección IP. 2) Dinámico: Se asigna a través del empleo del protocolo DHCP dentro del rango que se desee.

Se debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar varios parámetros, unode ellos también es la máscara de subred.

El direccionamiento estático requiere mayor administración pero resulta la forma más segura y permite identificarlas distribuciones lógicas, planta, departamento....etc

Si se lleva un control adecuado, ningún usuario que no posea una dirección válida verá esta red.

Si se roba alguna dirección, es muy probable que el conflicto con la ya existente sea detectado.

El enrutamiento dinámico no requiere grandes esfuerzos por parte del administrador y es mucho más secillo deadministrar pero nos priva del control exhaustivo sobre nuestra red.

Una buena distribución de subredes y rutas para alcanzar a estas es la mejor estrategia para limitar el alcance deuna intrusión.

- Detección de ataques "Tear Drop": Este ataque se lleva a cabo por medio del uso de la fragmentación yreensamble. Se envían series de paquetes que al intentar ser reensamblados, sus identificadores no coinciden con lo que losHeader de TCP/IP creen que debería ser. Esto puede causar la caída del host atacado, o la rotura de sesionesanteriormente establecidas.



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesCapa de transporte: Permite los protocolos vistos anteriormente, Tcp y Udp

En este nivel los dos elementos importantes a auditar son el establecimiento de sesiones y los puertos, los cualesse pueden determinar con las siguientes actividades: - Auditorías de establecimientos y cierres de sesión: Ataques LAND. Inundación de SYN. - Auditorías en UDP: Este protocolo por no ser orientado a la conexión, no implementa ninguno de los bit de TCP,por lo tanto, es sumamente difícil regular su ingreso o regreso seguro en una red.

Mientras que un Proxy, solo puede regular las sesiones TCP, una de las grandes diferencias con un FIREWALL esque el último puede “Recordar” las asociaciones entre los segmentos UDP y el datagrama correspondiente, demanera tal de poder filtrar toda asociación inconsistente.

Este tipo de Firewall son los que permiten la filtrado dinámico de paquetes. Como medida precautoria CIERRE TODOS LOS PUERTOS UDP QUE NO EMPLEE. - Auditoría en Puertos UDP y TCP: Dentro del Header de TCP o UDP se encuentran los campos Puerto Origen yPuerto Destino, los cuales son uno de los detalles más importantes a auditar dentro de una red pues a través deellos, se puede ingresar a un Host, y operar dentro de este.

Nivel de Aplicación: - Auditoría de servidores de correo, Web, ftp y tftp, Proxy: Limitar el acceso a áreas específicas del Servidor. Especificar las listas o grupos de usuarios con sus permisos correspondientes. Prestar especial atención a la cuentaAnonymous. Requiera contraseñas. Siempre controle los archivos . Log.!!!!! Deshabilite índices de directorios. Deshabilite todos los servicios de red que no sean empleados por el servidor - Auditorías de accesos remotos: En la actualidad es común el trabajo fuera de la Empresa, para lo cual es una buena medida permitir el acceso pormedio de líneas telefónicas (dial-up). Al implementar esta medida, el primer concepto a tener en cuenta es CENTRALIZARLA, es decir implementarun pool de modem o un Access Server (Router con puertos asincrónicos) como única puerta de ingreso dial- up. La segunda actividad es AUDITARLA PERMANENTEMENTE.

Todo sistema que posibilite el ingreso telefónico, posee algún tipo de registros, estos deben ser implementados en forma detallada y su seguimiento es una de las actividades de mayor interés.

Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de correo, enviándole una cantidad suficiente de mails. Se debetener en cuenta que hasta que el usuario buscado no se conecte, los mensajes permanecerán en el servidor. Si estose produce, no se poseerá capacidad de almacenamiento para ningún otro mensaje entrante, por lo tanto se inhibiráel servicio de correo electrónico.



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesSe puede también generar reportes si el tráfico de correo crece repentinamente.

SOLUCION: Auditar espacio en disco rígido enviando las alarmas correspondientes una vez alcanzado elporcentaje establecido. Dedicar grandes áreas de disco al almacenamiento de mensajes, y separar este área delresto del sistema. - Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenará el sistema de .log y de administración de red. Misma solución que el caso anterior. - FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar atención son los de Comando (21) y de datos (20) que estánreservados para ftp. El acceso a una red a través de los mismos es bastante común. La principal ventaja que ofrecen es que se puederegular con bastante precisión su flujo de establecimiento de sesiones:

Siempre es el cliente el que inicia el establecimiento de la sesión y en primer orden sobre el puerto 21 (comando),una vez establecido este triple Handshake, se inicia el establecimiento de sesión sobre el puerto 20 (datos). En estesegundo proceso pueden existir dos posibilidades: la primera de ellas es conocida como activa y se trata de iniciarla sesión desde el servidor; el segundo caso se lo llama pasivo y es aquel en el cual a través de una solicitud delcliente por el puerto 21 (con la Instrucción PASV FTP) para iniciar una sesión pasiva, si el servidor soporta esteproceder, lo autorizará, y será responsabilidad del cliente también el inicio de la sesión de datos (puerto 20). Este proceder es tratado en este párrafo pues en base a la ubicación en la que se coloque el servidor ftp, se pueden(o se deben) tomar las medidas de filtrado referidas al pasaje entrante o saliente de los bit SYN y ACK cuando setrate de los puertos mencionados.

Seguridad a nivel de servicios de red.Los servicios son los programas que se están ejecutando en una máquina para realizar una función específica. Losservicios llegan a ser peligrosos cuando se están ejecutando como administrador o como root y recuerde que elroot o administrador puede hacer cualquier cosa. Si un servicio se está ejecutando como root, cualquier comandoque ejecute, se ejecutará como administrador. Esto quiere decir que si soy un usuario normal y deseo ejecutar unproceso como root, debo atacar un servicio que se esté ejecutando como root para luego tomar el control.

Así como los puertos, cuantos más servicios estén ejecutando, más son los puntos de vulnerabilidad que tiene unsistema. Sin embargo, cada administrador puede limitar el número de servicios, solo se debe dejar aquellos queson prioritarios en un sistema. La manera de observar los servicios que se están ejecutando en un sistema es fácil, por ejemplo en Windows 200xserver, la opción servicios me muestra los servicios habilitados y deshabilitados.

En Unix/Linux lo hace el comando “ps –fea”, sin embargo, puede también editar los archivos “services” que seencuentran en los directorios de configuración de cualquier sistema operativo.

Se ha visto en partes anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preveerse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso. A continuación se describen los problemas de seguridad más comunes y sus formas de prevención.

Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de ellos, simplemente se ofrecerán las



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redespotenciales puertas de entrada como fuentes de ataques que ni siquiera tienen por qué proporcionar acceso a la máquina (como las DoS por ejemplo).

De esta forma, si cada servicio ofrecido es un posible problema para la seguridad, parece claro que lo ideal sería no ofrecer ninguno, poseer una máquina completamente aislada del resto; pero como hemos visto en capitulos anteriores uno de los principios de la seguridad es la mantener la disponibilidad y las redes pierden sus sentido si no ofrecen los servicios para los que están pensadas, por lo que nuestra función será aprender a defender estos principios. Es importante señalar que cada máquina sólo debe mantener disponibles los servicios que realmente requiera para funcionar, pensarlo así, cuantas menos puertas tengamos menos candados tenemos que comprar, poner y vigilar.

Por lo general, cuando compras una maquina nueva, viene con todos los servicios activos de fabrica ya que el fabricante ha de dejarla lista para su uso y no sabe que puedes o no necesitar, es tarea del administrador cerrar los servicios que nos e vallan a necesitar.

Veamos algunos servicios a los que debe prestarse atención y desactivar en caso de no ser necesarios:

Netbios: Estos puertos (137–139 en TCP y UDP) son empleado en las redes Microsoft® para la autentificación de usuarios y la compartición de recursos. Los recursos a compartir dentro de la red deben de ser los imprescindibles y debe de evitarse el acceso global a estos dispositivos ya que permite el acceso de intrusos desde el exterior.

ICMP (Ping)Si es posible el ping debe de estar desactivado, si no es, deben de filtrarse los paquetes icmp de redirección y de destino inalcanzable, entre otros como ya vimos anteriormente en Icmp.

FinguerEs un servicio que proporciona información detallada de los usuarios de una maquina estén o no conectados, su puerto es el 79 TCP y su uso es así de sencillo:

telnet: > telnet server.example.com fingertelnet: Trying 192.0.2.2...telnet: Connected to server.example.com.telnet: Escape character is '^]'.client: rootserver: Login: root Name: Charlie Rootserver: Directory: /root Shell: /bin/shserver: Never logged in.server: No Mail.server: No Plan.

Como veis da bastante información, por lo que es básico cerrarlo o restringir su acceso de forma adecuada.

POP El servicio POP (puertos 109 y 110 en TCP) utilizado para que los usuarios puedan acceder a su correo sin necesidad de montar un sistemas de archivos compartidos. Se trata de un servicio que se podría considerar peligroso, por lo que (como el resto, pero este especialmente)



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redesdebemos deshabilitarlo a no ser que sea estrictamente necesario ofrecerlo; en ese caso debemos restringir al máximo los lugares y usuario desde los que se puede acceder. Mediante POP se genera un tránsito peligroso de contraseñas a través de la red. Se ofrece tres modelos distintos deautenticación: uno basado en Kerberos, apenas utilizado, otro basado en un protocolo desafío–respuesta, y el otro basado en un simple nombre de usuario con su password correspondiente.

Este último, el más usado en todo tipo de entornos, es un excelente objetivo para un intruso con un Sniffer. Los usuarios suelen configurar sus clientes para que revisen el buzón de correo cada pocos minutos, con lo que a intervalos muy cortos envían su clave a un puerto conocido de una máquina conocida; al realizar toda esta comunicación en texto claro, un atacante no tiene más que interceptar la sesión POP para averiguar nombres de usuario y claves (a parte de poder leer el correo).

NNTP El servicio NNTP (puerto 119 en TCP) se utilizado para intercambiar mensajes de grupos de noticias entre servidores de News. Los diferentes demonios encargados de esta tarea suelen discriminar conexiones en función de la dirección o el nombre de la máquina cliente para decidir si ofrece el servicio a un determinado host, y si es así, concretar de que forma puede acceder a él (sólo lectura, sólo ciertos grupos, etc.).

De esta forma, los servidores NNTP son muy vulnerables a cualquier ataque que permita falsear la identidad de la máquina origen, como el IP Spoofing.

Los problemas relacionados con las News no suelen ser excesivamente graves desde un punto de vista estrictamente técnico, pero en ocasiones sí que lo son aplicando una visión global. Por ejemplo, habría que evaluar el daño que le supone a la imagen de la organización el que un atacante envíe mensajes insultantes o pornográficos utilizando el nombre o los recursos de la misma. Realmente, es muy poco probable que se necesite ofrecer este servicio, por lo que lo más razonable es deshabilitarlo. Generalmente sólo existen servidores de noticias en grandes organizaciones, y si se debe administrar equipo con este servicio la mejor forma de protegerlo es utilizando un buen firewall.

NTP NTP (puerto 123 en UDP y TCP) es un protocolo utilizado para sincronizar relojes de máquinas de una forma muyprecisa; a pesar de su sofisticación no fue diseñado con una idea de robustez ante ataques, por lo que puede convertirse en una gran fuente de problemas si no está correctamente configurado.

Son muchos los problemas de seguridad relacionados con un tiempo correcto; el más simple y obvio es la poca fiabilidad que ofrecerá el sistema de Log a la hora de determinar cuándo sucedió determinado evento.

Otro problema inherente a NTP se refiere a la planificación de tareas: si el reloj tiene problemas, es posible que ciertas tareas no se lleguen a ejecutar, que se ejecuten varias veces, o que se ejecuten cuando no han de hacerlo; esto es especialmente peligroso para tareas de las que depende la seguridad (como los backups).

TFTP TFTP es un protocolo de transferencia de archivos (puerto 69 basado en UDP) que no proporciona ninguna seguridad. Por tanto en la mayoría de sistemas es deseable (obligatorio) que este servicio esté desactivado. Al utilizar este servicio en ningún momento se solicita un nombre de usuario o una clave, lo que da una idea de los graves problemas de seguridad que ofrece este servicio. “Gracias” a este protocolo se han implementado algunas de las últimas vulnerabilidades del Internet Information



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesServer®.

FTP Un problema básico y grave de FTP (puerto 21 en TCP) es que ha sido diseñado para ofrecer la máxima velocidad en la conexión, pero no para ofrecer la seguridad; todo el intercambio de información, desde el Login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto claro, con lo que un atacante no tiene más que capturar todo ese tráfico y conseguir así un acceso válido al servidor.

Incluso puede ser una amenaza a la privacidad de los datos el hecho de que ese atacante también pueda capturar y reproducir (y modificar) los archivos transferidos. Para solucionar este problema es conveniente dar acceso FTP a pocos usuarios bien identificados y que necesiten utilizarlo, concientizándolos de la utilidad de aplicaciones que cifren todo el tráfico de información (como SSH por ejemplo).

FTP ANÓNIMO El servicio FTP se vuelve especialmente preocupantes cuando se trata de configurar un servidor de FTP anónimo; muchos de estas máquinas situadas en universidades y empresas se convierten en servidores de imágenes pornográficas, de Warez (copias ilegales de programas comerciales), etc.Conseguir un servidor de FTP anónimo seguro puede llegar a ser una tarea complicada. El usuario Anónimo debe conectar a un entorno restringido del sistema y sólo a ese.

FTP INVITADO El otro tipo de acceso FTP es el denominado invitado (guest). La idea de este mecanismo es muy sencilla: se trata de permitir que cada usuario conecte a la máquina mediante su login y su contraseña, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para realizar su trabajo; se conectará a un entorno restringido de forma similar a lo que sucede en los accesos anónimos.

Para poder crear fácilmente entornos FTP restringidos a cada usuario, es conveniente instalar programas para este fin en la máquina servidor.

Estos servidores permiten crear usuarios invitados configurando el entorno al que van a conectarse los usuarios, suestructura de directorios–archivos y sus permisos a los recursos.

TELNET El protocolo TELNET (TCP, puerto 23) permite utilizar una máquina como terminal virtual de otra a través de la red, de forma que se crea un canal virtual de comunicaciones similar (pero mucho más inseguro) a utilizar una terminal físicamente conectada a un servidor. TELNET no utiliza ningún tipo de cifrado, por lo que todo el tráfico entre equipos se realiza en texto claro. Cualquier intruso con un Sniffer puede capturar el Login y el password utilizados en una conexión otorgando a cualquiera que lea esos datos un acceso total a la máquina destino. Es muy recomendable no utilizar TELNET para conexiones remotas, sino sustituirlo por aplicaciones equivalentespero que utilizan cifrado para la transmisión de datos (SSH o SSL–Telnet por ejemplo).

SMTP La mala configuración del servicio SMTP (puerto 25 en TCP) utilizado para transferir correo electrónico entre equipos remotos; suele ser causante del Mail Bombing y el Spam redirigido. Por lo general se recibirá correo de un número indeterminado de máquinas, y no se podrá bloquear el acceso a



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesSMTP. No obstante, en este caso podemos aplicar unas medidas de seguridad simples, como realizar una consulta inversa a DNS para asegurarnos de que sólo máquinas registradas envían correo o no permitir que el sistema reenvíe correo que no provenga de direcciones registradas bajo su dominio.

Servidores WebLos problemas de seguridad relacionados con el protocolo HTTP se dividen en tres grandes grupos en función de los datos a los que pueden afectar:

-Seguridad en el servidor: es necesario garantizar que la información almacenada en el servidor no pueda ser modificada sin autorización, que permanezca disponible y que sólo pueda ser accedida por los usuarios a los que les esté legítimamente permitido.

-Seguridad en la red: cuando un usuario conecta a un servidor web se produce un intercambio de información entre ambos; es vital garantizar que los datos que recibe el cliente desde el servidor sean los mismos que se están enviando (esto es, que no sufran modificaciones de terceros), y también garantizar que la información que el usuario envía hacia el servidor no sea capturada, destruida o modificada por un atacante.

-Seguridad en el cliente: es necesario garantizar al usuario que descarga páginas de un servidor no va a perjudicar a la seguridad de su equipo. Se deben evitar Applets maliciosos, programas con virus o simples cuelgues al acceder a las páginas de la organización. Ante hechos de esta especie seguramente la persona dejará de visitarlas, con la consecuente pérdida de imagen (y posiblemente un cliente) de esa entidad.

Los problemas relacionados con servidores Web suelen proceder de errores de programación en los CGIs ubicadosen el servidor. La capacidad del CGI para comunicarse con el resto del sistema que alberga las páginas es lo que leotorga su potencia, pero también lo que causa mayores problemas de seguridad: un fallo en estos programas suele permitir a cualquier “visitante” ejecutar órdenes en el sistema.

Una medida de seguridad básica es ejecutar el demonio servidor bajo la identidad de un usuario con privilegios mínimos para que todo funcione correctamente, pero nunca como Administrador, Root o cuenta del sistema.

Para garantizar la seguridad de los datos que circulan entre un cliente y el servidor es casi obligatorio cifrar dichosdatos (mediante SSL o utilizando Certificados Digitales por ejemplo).

3.3 Políticas de seguridad

¿Cómo podemos proteger el sistema informático?Lo primero que hemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran.A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.Definimos Política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad” (Villalón).La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren áreas mas específicas.Esquemáticamente:




Los mecanismos de seguridad se dividen en tres grupos:1.Prevención: Evitan desviaciones respecto a la política de seguridad.

Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.

2.Detección: Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.

Ejemplo: la herramienta Tripwire para la seguridad de los archivos.3.Recuperación: Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.

Ejemplo: las copias de seguridad.Dentro del grupo de mecanismos de prevención tenemos:

•Mecanismos de identificación e autenticaciónPermiten identificar de forma única 'entidades' del sistema. El proceso siguiente es la autenticación, es decir, comprobar que la entidad es quien dice ser.Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos mas utilizados.•Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.•Mecanismos de separación

Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel.Los mecanismos de separación, en función de como separan los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación.•Mecanismos de seguridad en las comunicaciones

La protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.

Políticas de seguridadEl objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redesposicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo másimportante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas debenser revisadas, y si es necesario actualizadas, periódicamente.Las políticas deben:

•definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización•mostrar el compromiso de sus altos cargos con la misma•definir la filosofía respecto al acceso a los datos•establecer responsabilidades inherentes al tema•establecer la base para poder diseñar normas y procedimientos referidos a

•Organización de la seguridad•Clasificación y control de los datos•Seguridad de las personas•Seguridad física y ambiental•Plan de contingencia•Prevención y detección de virus•Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:

•Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados•Un procedimiento para administrar las actualizaciones•Una estrategia de realización de copias de seguridad planificada adecuadamente•Un plan de recuperación luego de un incidente•Un sistema documentado actualizado

Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos

3.4 Parte práctica:

Uso básico de Nessus

Vamos a utilizar la herramienta Nessus, desde Linux, para realizar un análisis de vulnerabilidades en nuestro equipo.

Nessus se instala en un servidor y puede gestionarse desde una consola web remota. Existen




versiones para GNU/Linux, Mac OS X, Solaris, FreeBSD y para Windows.Instalación de NessusPara ello ir a http://www.tenable.com/products/nessus/nessus-download-agreement y descargar la versión de Nessus que corresponda a nuestro linux.Instalar la herramienta.Hay que ir también a la página http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code,a la opción deHomeFeed para particulares que es gratuita. Dar los datos de nombre y correo electrónico y se recibirá el código de activación que habrá que guardar hasta quese pida.Una vez instalado creamos un usuario para poder usarlo. Para ello ejecutamos en una terminal la orden:

$ sudo /opt/nessus/sbin/nessus-adduserAsignar login (usuario) y contraseña y aceptar (Y). El usuario no tiene porque existir en el sistema.Establecer este usuario como admin y no asignar reglas.A continuación hay que registrarlo y es cuando se utiliza el código que se ha recibido por correo electrónico (donde XXXX-XXXX-XXXX-XXXX-XXXX es el código):

$ cd /opt/nessus/bin/$ sudo ./nessus-fetch --register XXXX-XXXX-XXXX-XXXX-XXXXYour activation code has been registered properly - thank you.Now fetching the newest plugin set from plugins.nessus.org...Your Nessus installation is now up-to-date.If auto_update is set to 'yes' in nessusd.conf, Nessus willupdate the plugins by itself.

Indica que todo ha ido bien y comienza la actualización, si es necesaria.Si el archivo de configuración /opt/nessus/etc/nessus/nessusd.conf indica que la actualización es automática, Nessus la hará en su momento, probablemente cuando accedamos al servicio por primera vez. En este archivo se pueden configurar otras opciones de funcionamiento de la herramienta.

También se puede hacer directamente por línea de orden:$ cd /opt/nessus/sbin$ sudo ./nessus-update-plugins[sudo] password for elvira:Fetching the newest updates from nessus.org...Done. The Nessus server will restart when its scans are finished

No hay que cancelarla hasta que termine (puede tardar unos minutos en función del volumen de plugins a actualizar y del tipo de conexión) y muestra por terminal:

Your nessus instalation is up-to-date.Ejecución del servicioEjecutar el servicio:

$ sudo /etc/init.d/nessusd startPara comprobar que Nessus se está ejecutando correctamente ejecutar la orden:

$netstat -atunp | grep nessusdEl puerto de escucha de Nessus es el 1241. Para el entorno gráfico el puerto utilizado es el 8834.

Utilización en modo consolaHay que cerrar la consola gráfica

$ cd /opt/nessus/sbin$ sudo ./nessus-service -D$ nessusd (Nessus) 4.4.1 [build M15078] for Linux(C) 1998 - 2011 Tenable Network Security, Inc.



http://www.tenable.com/products/nessus/nessus-download-agreement

http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code


Processing the Nessus plugins...[#################################################]All plugins loaded

$ sudo vi /opt/nessus/bin/targets.txt.Hay que crear el archivo targets.txt donde se encuentran los hosts a escanear. El archivo debe contener el host o la IP. $ sudo ./nessus -q 127.0.0.1 1241 usuario_nessus contraseña_usuario /opt/nessus/bin/targets.txt /opt/nessus/bin/resultados.txtEl archivo targets debe ser creado antes de ejecutar el cliente, con un nombre cualquiera y guardado donde se quiera ,pero especificando la ubicación. En el archivo resultados.txt van los logs del escaneo.

Utilización desde el navegador webPara ello hay que abrir una nueva pestaña en el navegador para acceder a la consola web de administración y teclear en URL:

https://localhost:8834/https://ip_servidor:8834Aceptar la advertencia de seguridad del certificado digital y aparecerá la ventana de login, en la que introducimos el login y contraseña del usuario que se creó.La imagen siguiente muestra lo que hemos de ver en el navegador:

Políticas de usoPara realizar un escaneo de vulnerabilidades es necesario crear una política.Definir una política consiste en establecer un conjunto de opciones de configuración para ejecutar el escaneo de vulnerabilidades. Incluye parámetros como:

•sesiones TCP por host, número de hosts objetivo, tipo de escaneo,...•credenciales para escaneos (Windows, SSH), escaneos autenticados contra Oracle, HTTP, FTP, POP, IMAP o Kerberos

Para crear la política ir a la pestaña Policies y pulsamos Add.



https://localhost:8834/


Vemos 4 pestañas a la izquierda. En la pestaña General asignar un nombre y dejar las demás opciones por defecto ya que son suficientes para un escaneo 'rutinario'.Si necesitamos hacer uso de la ayuda de cada opción, pasando el ratón por encima de ella se muestra la ayuda asociada a la opción. También hay disponible un manual de usuario desde la pestaña Help.La pestaña de Credenciales la dejamos igual.En la pestaña de Plugins tenemos disponibles hasta 43 familias y un total de 45527 plugins que habrá que periódicamente actualizar.



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesEn la pestaña Preferences existen muchas opciones para personalizar Nessus y realizar escaneos. Por ejemplo permite configurarlo para comprobar vulnerabilidades en servidores de bases de datos, en aplicaciones web (inyección SQL, XSS, etc. ), spam en servidores de correo, SNMP, etc.En general esta pestaña permite personalizar el escaneo de vulnerabilidades en función de los servicios y aplicaciones disponibles en nuestra red.Para finalizar y guardar la política, pulsar el botón Submit.Tenemos ya disponible nuestra política de escaneo de vulnerabilidades llamada 'pruebas'.

Escaneo de vulnerabilidadesIr a la pestaña Scans > Add y asignar un nombre.Seleccionar la política creada anteriormente 'pruebas' y escribir las direcciones IP de los hosts objetivos, indicandosus direcciones IP una en cada línea.Ejecutar el escaneo pulsando Launch Scan.Sobre la marcha desde Browse podemos hacer el seguimiento o desde la pestaña Scans o Reports se puede consultar el estado del escaneo.Una vez ha terminado se puede consultar en la pestaña Reports. Haciendo clic en el informe generado, se pueden ver los equipos analizados (en nuestro caso solo una IP) así como la cantidad de vulnerabilidades o alertas y su riesgo.Podemos ver agrupadas las vulnerabilidades en función del riesgo: bajo, medio, alto, puertos abiertos, etc.

Haciendo clic en cada una de las líneas se puede ver información relacionada con la vulnerabilidad o aviso e incluso referencias a webs donde se puede encontrar la solución.Escaneo con credenciales de administradorSi utilizamos el análisis con credenciales se pueden detectar muchas mas vulnerabilidades de tipo High.Para realizar un análisis más exhaustivo, primero se debe crear una política con credenciales definidas. Para ello ira la pestaña Policiesy crear una nueva o copia la anterior con el botón Copy.Editar la nueva política creada, asignar un nombre y desde la pestaña Credenciales introducir el usuario y contraseña de un usuario con suficientes privilegios tanto en Windows como en GNU/Linux.Recordar que el usuario creado en el proceso de instalación de Ubuntu es un usuario sudo (permisos de administrador). Esta contraseña hay que definirla como tipo de credencial SSH settings.



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en RedesPara equipos con Windows, hay añadir la credencial como tipo Windows credentials. Para ello hay que asegurarseque los equipos Windows que se van a analizar tienen una contraseña definida como Administrador.Podemos guardar la política y crear un nuevo escaneo asignándole la política con credenciales que acabamos de crear.Para cada vulnerabilidad detectada, sea del nivel que sea, emite un informe asociado en el que da información relacionada. En la captura vemos el informe de telnet, que lo ha detectado como vulnerabilidad del sistema.

Wiresharck y escaneo de puertos

Escaneo de Puertos Consiste en detectar qué servicios posee activos un equipo, con el objeto de ser utilizados para los fines delatacante. http://www.pablin.com.ar/computer/info/varios/scanning.htm

TCP connect() scanning: esta es la forma mas popular de escaneo TCP y consiste básicamente en usar la llamada asistema connect() del sistema operativo, si se logra establecer la conexión con el puerto de la otra computadora entonces este puerto esta abierto. Las ventajas que tiene esta forma de escaneo es que no se necesitaningún privilegio especial para poder llevarla a cabo, en la mayoría de los Unix cualquier usuario puede hacer usode la llamada connect(). Otra gran ventaja es la velocidad. El lado negativo que encontramos es que es muy fácil de detectar y de filtrar, y generalmente el host loguea que establecemos una conexión e inmediatamente nos desconectamos.

TCP SYN scanning: esta técnica es la llamada escaneo "half-open" (o mitad- abierta), porque no establecemos unaconexión TCP completa. Lo que hacemos es enviar un paquete SYN como si fuéramos a entablar una conexión TCP completa y esperamos por una respuesta. Podemos recibir un SYN|ACK si el puerto esta escuchando o unRST si el puerto esta cerrado. Si recibimos un SYN|ACK en respuesta, inmediatamente le enviamos un RST. Lamayor ventaja de esta técnica es que muy pocos servers nos loguean; y la desventaja es que se necesita privilegiosde root para construir estos paquetes SYN a enviar.

TCP FIN scanning: algunos firewalls y packets filters escuchan por los paquetes SYN en algunos puertos, yprogramas como el synlogger pueden detectar este tipo de escaneo. En cambio los paquetes FIN pueden penetrar



Curso de Seguridad InformáticaTema 3 Administración de la Seguridad en Redessin mayor problemas. La idea consiste en que al enviar un paquete FIN si el puerto esta cerrado nos va a devolverun RST, y si el puerto esta abierto nos va a ignorar. Esto se debe a un error en las implementaciones TCP pero nofunciona en un 100%. La mayoría de los sistemas parecen susceptibles excepto los sistemas Microsoft que soninmunes (aunque no lo creas).

Fragmentation scanning: esta no es una técnica en si misma, sino una modificación de otras técnicas. Consiste enhacer una división de los paquetes que enviamos, para no ser detectados por los packet filters y los firewalls. Por ejemplo podemos hacer un SYN o un FIN scanning fragmentando los paquetes que enviamos, y al ir quedando encola en los firewalls y en los packet filters no somos detectados.

TCP reverse ident scanning: el protocolo ident permite averiguar el nombre de usuario y el dueño de cualquierservicio corriendo dentro de una conexión TCP. Por ejemplo podemos conectarnos al puerto http y usar identdpara averiguar que esta corriendo la victima como root; esto solo es posible estableciendo una conexión TCPcompleta.

FTP bounce attack: algo interesante del protocolo ftp, es que permite lo que se llama conexión proxy ftp. O sea,yo podría conectarme a un ftp desde un servidor proxy y al hacer esto establecer una conexión y enviar un archivoa cualquier parte de la Internet.

WireshackWireshark es un analizador de protocolos open-source diseñado por Gerald Combs y que actualmente estádisponible para plataformas Windows y Unix. Conocido originalmente como Ethereal, su principal objetivo es el análisis de tráfico además de ser una excelenteaplicación didáctica para el estudio de las comunicaciones y para la resolución de problemas de red.

Pensaba poneros unos comando básicos de uso pero he encontrado una guia muy completa que prefiero que sigais,os la adjunto como pdf.




Bibliografía: Tesis Licenciatura En Sistemas Seguridad Informática Autor: A.S.S. Borghello, Cristian FabianTesis Seguridad Informática Angel Haniel Cantú Jáuregui Seguridad en los Sistemas Informáticos (SSI) José Ismael Ripoll Ripoll Alejandro Corletti Estrada Inteco



Documents

Tema 3 Administración de la Seguridad en Redes · Tema 3 Administración de la Seguridad en Redes Cada una de las capas tiene un propósito en la trasmisión de los datos. Vamos