Trabajo semana 3 Curso 457443 del SENA-
Redes y Seguridad
Su empresa cuenta ya
con el plan de acción y el esquema de revisión de las PSI gracias a su trabajo.
También, para mayor protección, usted enunció los procedimientos que deben
llevarse a cabo para asegurar el flujo de información. En este momento, es
necesario que como gestor de la red reconozca los ataques y las
vulnerabilidades más frecuentes en los sistemas, y con esta información
complemente su plan de acción, su esquema de seguridad, y sobre todo, sus
procedimientos.
Preguntas interpretativas
1.
Existe una relación directa entre
las vulnerabilidades y el algoritmo P-C. En el “denial of service”, por
ejemplo, existen diferentes maneras de llevar a cabo esta vulnerabilidad. ¿Cómo
se relacionan estas maneras de llevar a cabo las vulnerabilidades con el
algoritmo P-C? Realice un informe para los técnicos de mantenimiento en el que
explique esta situación.
R/ Señores del servicio de mantenimiento: Los técnicos de mantenimiento, ante un eventual cese de
conexiones a la red, deben tener claro el tipo de vulnerabilidad antes de
considerar cualquier solución, y en base a esto decidir qué herramientas
utilizar:
La negativa de servicio (denial of service) interrumpe
el algoritmo P-C a causa de diversos tipos de ataques, quedando toda la red
desconectada, e impidiendo a los usuarios acceder a los recursos de la red o de
la propia máquina; estos tipos de ataques son los siguientes:
a)
Consumo de recursos escasos, en que se bloquean o reducen
dichos recursos, llevados a cabo estos ataques por gente inescrupulosa que
llamaremos crackers. Los recursos atacados son:
(i)
La conectividad, impidiendo que los
computadores puedan conectarse (ejemplo SYN flood, en que el cracker intenta una conexión con el
protocolo TCP, que interrumpe cuando va a terminar; esas falsas conexiones
necesitan tiempo para ser terminadas, rechazando la máquina conexiones
legítimas y evitando así la comunicación con el elemento. Estos ataques no
consumen recursos de la red, sino los propios del núcleo implicado en generar
las conexiones TCP).
(ii) El uso de las características sobre sí mismo (ejemplo, Deny of service UDP, en que el cracker
copia paquetes UDP, que envía a una máquina que genera “eco” hacia otra, de
paquetes falsos, copando el ancho de banda y bloqueando las conexiones de las
otras máquinas a la red).
(iii) Atacan el ancho de banda consumiéndolo e impidiendo que otras máquinas se
conecten (ejemplo, Bombing, que consiste en inundar la red de “paquetes”, como
el ping, para inundar todo su ancho de banda).
(iv) Por último, atacan la capacidad de almacenamiento de la máquina (ejemplo,
el virus scrip, que consiste en un código malicioso, que tiene como único
objetivo reproducirse consumiendo muchos recursos de la máquina y copando su
capacidad de almacenamiento, impidiendo su uso y el acceso de servicios desde
ella y hacia ella).
b) Destrucción o alteración de la información de configuración, por el que, si un cracker borra parte de los archivos de
inicio de Windows, o modifica la lista de IPs de los routers, desequilibrará el
algoritmo P-C, evitando así que se acceda a un recurso.
c) Destrucción o alteración física de los
componentes de la red, ya
que cualquier daño en los componentes físicos de la red traba el algoritmo P-C,
por lo que solo personal autorizado puede acceder a ellos, impidiendo que el
público lo haga.
2. “Toda herramienta usada en la administración de una red, es potencialmente
maligna y potencialmente benigna”. Interprete esta afirmación y agregue, a su
manual de procedimientos, una cláusula en la que haga pública esta observación.
Tenga en cuenta la división de puestos de trabajo explicada en unidades
anteriores.
R/ Una red no es
totalmente segura, siempre va a tener vulnerabilidades. Para establecer
controles que permitan aumentar en cierta forma la seguridad de la misma, debo
conocer las debilidades de mi red, lo que se logra mediante el uso de
herramientas que simulen ataques, obtención de passwords, obtener la
información de los paquetes que viajan en la red, desencriptar información,
alterar configuraciones y otras series de pruebas que se logran con estas
herramientas, para obtener información de mi red y que sabemos es lo que hacen
los Hackers; así, una vez conocidas las debilidades, debo implantar los
controles que aseguren la operatividad de la red. Estas mismas herramientas a
la vez pueden convertirse en herramientas potencialmente malignas, ya que pueden
ser utilizadas por los crackers, que no buscan otra cosa que el hurto de la
información o destrucción de la misma. Así que es necesario controlar muy bien
el uso de estas herramientas al interior de la compañía, lo cual debe
realizarse con un protocolo formal, donde estén enterados y quede registro de
las personas que las utilizan, las que deben estar autorizadas y vigiladas.
Cláusula para el
manual de procedimientos: “Se tiene categóricamente prohibido, el uso de
herramientas de monitoreo de red, como sniffers, software de análisis de
tráfico de red y sus derivados, por personal no autorizado; todo software debe
ser revisado y homologado por el equipo de seguridad de la compañía, antes de
instalarse en los equipos propios. Está prohibido igualmente que los equipos de
cómputo de terceros, o de uso personal de los empleados, se conecten a la red interna
de la empresa; y solo se permitirá el uso de equipos en nuestra red que se
encuentren avalados por el Área de Tecnología, equipo que se somete a un check-
list, que verifique la protección del equipo, contra el malware, antivirus, etc.,
para que pueda ser utilizado en nuestra red.
La utilización de
herramientas de seguridad en las redes, debe estar autorizada por el jefe de
tecnología, los integrantes del comité de Seguridad de la Información, el
auditor externo de la empresa y vigilada por el mismo personal de Seguridad
durante su operación en la red”.
Preguntas argumentativas
1. Los logísticos de las actividades de la empresa son INDISPENSABLES para el
diagnóstico de la seguridad de la red. ¿Cuáles logísticos considera usted
prioritarios para el problema de e-mail bombing, spamming y el “denial of
service”? Justifique su elección.
R/ Considero el logístico de mails recibidos muy
importante ya que si se tiene una cuenta de usuario con correo podría ser
vulnerable. Realizaría la instalación, configuración y ejecución de programas
que realicen una comparación de los correos recibidos, identifiquen los correos
no deseados y los eliminen directamente. Para los email-Bombing y Spamming, es
indispensable analizar los logísticos de los espacios en los buzones de correo,
un incremento abrupto puede significar ataques por Spamming o Email-Bombing;
esto también puede identificar si un equipo de nuestra red está generando
mensajes a otros, o si en nuestras máquinas estamos recibiendo mensajes de
fuentes externas. Los logísticos que revelen recurrencias de ataques a equipos
comunes, indicarán que este equipo puede estar en peligro, por ser de interés
especial de los atacantes, por eso debe tenerse en cuenta para aumentar su
protección.
2.
¿Qué tan útiles o perjudiciales
pueden ser los demonios en su red? Realice un informe en el que explique el por
qué se deben instalar demonios en el sistema de comunicación de la empresa,
cuáles y por qué.
R/ Los programas
servidores escuchan en los puertos de red. Los puertos de red son el medio de
llegar a un servicio en particular en una máquina en particular, y es así como
un servidor conoce la diferencia entre una conexión telnet y otra de FTP que le
lleguen. El usuario remoto establece una conexión de red con la máquina, y el
programa servidor, el demonio de red que esté escuchando en ese puerto, aceptará
la conexión y se ejecutará.
Un demonio, o daemon es un tipo especial de proceso
informático no interactivo, es decir, que se ejecuta en segundo plano en vez de
ser controlado directamente por el usuario. Este tipo de programas se ejecutan
de forma continua (infinita), vale decir, que aunque se intente cerrar o matar
el proceso, este continuará en ejecución o se reiniciará automáticamente. Todo
esto sin intervención de terceros y sin dependencia de consola alguna.
En Unix/Linux un daemon o demonio (que responde al acrónimo
de Disk And Execution MONitor), se conoce como un tipo especial de proceso informático que se ejecuta en
segundo plano para dar algún tipo de servicio.
Las tareas que puede desempeñar un demonio
pueden ser muy variadas: responder a peticiones de red, control de actividad de
hardware y software, configurar hardware (como devfsd en algunos sistemas GNU/Linux), ejecutar tareas periódicas o
preprogramadas (como el demonio cron), etc.
Debido a que se trata de procesos no
interactivos, el procedimiento para comunicar errores o registrar su
funcionamiento es a través de archivos del sistema en directorios reservados
para tal fin (en GNU/Linux en el directorio /var/log) o utilizan otros demonios
diseñados para tal fin como es el caso de syslogd.
Lo anterior me lleva a la conclusión de que es
necesarísimo contar con algunos de estos servidores, para incrementar la
seguridad. Algunos de estos demonios, y los motivos para instalarlos son:
Tcp-Wrapper.
La idea de este software público es la de restringir la
conexión de sistemas no deseados a servicios de nuestra red. También permite
ejecutar algún tipo de comando de manera automática cuando se generan
determinadas acciones en la red.
En suma, podemos concluir que el Tcp_Wrapper es una
herramienta que nos permite controlar y monitorear el tráfico de las redes de
nuestra organización, permitiéndonos a su vez el control sobre las conexiones
que se generan en la misma.
Argus
Es una herramienta de dominio público que permite auditar
el tráfico IP que se produce en nuestra red, mostrándonos todas las conexiones
del tipo indicado que descubre.
Este programa se ejecuta como un demonio, escucha
directamente la interfaz de red de la máquina y su salida es mandada bien a un
archivo de trazas o a otra máquina para allí ser leída. En la captura de
paquetes IP se le puede especificar condiciones de filtrado como protocolos
específicos, nombres de máquinas, etc.
Preguntas propositivas
1.
Seleccione las herramientas que considere
necesarias para usar en su red de datos, que permitan generar un control de
acceso. Tenga en cuenta que estas herramientas seleccionadas deberán ir
incluidas en el manual de procedimientos. Por esta razón, cree el procedimiento
de uso de cada una de las herramientas seleccionadas.
R/ A través del demonio
telnet, se crea una conexión entre cliente y servidor que sirve para transferir
información, solo que el login y el password para acceder al sistema es hecho
automáticamente por el demonio. Pero, según considero, los demonios encargados
del control son otros, por ejemplo:
SATAN (Security Administrator Tool
for Analyzing Networks): Con esta herramienta se chequean las máquinas que están
conectadas a la red, informando sobre el tipo de máquina conectada, los
servicios que presta cada una, además de detectar fallos de seguridad. La
lectura de sus datos es sencilla, a través de un navegador.
Califica los fallos encontrados en la máquina como baja,
media o altamente insegura, generando un registro de esos fallos con una breve
explicación e información (si se puede) sobre una posible solución. Con la
información obtenida de todas las máquinas registradas genera una base de
datos.
Courtney: SATAN es
muy buena herramienta para detectar topologías de redes por lo que se necesita
otra que detecte a SATAN; con esta la detectamos a partir de información pasada
por el programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso corto
de tiempo, el programa genera un aviso.
NetLog: Hay
ataques a una red que pueden pasar desapercibidos por su extremada velocidad;
esta vulnerabilidad se puede corregir con este programa que en realidad es una
serie de programas que trabajan conjuntamente, generando trazas de los paquetes
que se mueven en la red, sobre todo los sospechosos que indican un posible
ataque a la red. Al igual que el Argus, el Netlog también permite filtrar
contenidos y ver solo los de interés.
Nocol (Network Operations Center On-Line):
Esta herramienta, está hecha de diversos paquetes
para monitorear redes. Recopila, analiza, agrupa y le asigna niveles de
gravedad a la información (info, warning, error, crítical), siendo manejada
cada gravedad por distintos agentes, para filtrarla y analizar la que nos
interesa.
ISS (Internet Security Scanner): Con esta
herramienta chequeamos el nivel de seguridad de una máquina evaluando servicios
y direcciones IP; también se ven los puertos que usan el protocolo TCP de la
máquina analizada. Así mismo transferimos archivos de contraseñas por la red,
creando un registro de la máquina que posee tal contraseña con su dirección IP.
2.
De la misma manera que en el caso
anterior, seleccione las herramientas que usará para chequear la integridad de
su sistema y realice el procedimiento de uso de cada una de ellas.
R/
COPS
(Computer Oracle and Password System): Con este programa chequeamos aspectos de
seguridad relacionados al sistema operativo UNIX; por ejemplo permisos a
determinados archivos, chequeo de passwords débiles, permisos de escritura y
lectura sobre elementos importantes de la configuración de red, entre otras
funcionalidades.
Tiger: Parecido al COPS. Chequea la seguridad
del sistema para detectar problemas y vulnerabilidades, elementos como:
·
Configuración general del sistema
·
Sistema de archivos
·
Caminos de búsqueda generados
·
Alias y cuentas de usuarios
·
Configuraciones de usuarios
·
Chequeo de servicios
·
Comprobación de archivos binarios
La información que se recoge se almacena en un archivo, que
luego se analiza con una herramienta que permite explicar los elementos del
archivo. También se puede seleccionar el
tipo de chequeo del sistema.
Crack: Nos sirve
para “forzar” las
contraseñas de los usuarios midiendo el
grado de complejidad de estas. Así se genera un diccionario y reglas que ayudan
a crear passwords comunes. Como se está usando para chequear la seguridad del
sistema, le proveemos el archivo de passwords y el programa lo barre detectando
las contraseñas débiles y vulnerables, tratando de deducir contraseñas del
archivo cifrado de nuestro sistema.
Es necesario el barrido periódico del programa crack sobre
nuestro sistema, para así notificar a los dueños de las respectivas contraseñas
sobre la necesidad de cambiarlas y aumentar la seguridad en caso de ser
víctimas de un ataque con un craqueador.
Tripwire: Su función principal es la de
detectar cualquier cambio o modificación en el sistema de archivos, como
modificaciones no autorizadas o alteraciones maliciosas de algunos softwares.
El programa genera una base de datos en la que genera una
“firma” o archivo identificador por cada elemento en el sistema de archivos. La
firma guarda información relevante como el nombre del propietario del archivo,
última fecha de modificación, última fecha de acceso, etc. Esta base de datos
de firmas, se compara a voluntad con una
nueva base de datos para detectar las modificaciones en los archivos del
sistema.
Es útil esta base de datos, para hacer comparaciones
periódicas y así detectar cambios, y que esta sea actualizada cada vez que se
ingresa un elemento nuevo al sistema de manera autorizada.
Cpm (Check Promiscuous Mode): ¿Qué es el modo
promiscuo? En una red el modo promiscuo se define como aquel en que una máquina,
o conjunto de máquinas, se encuentran “escuchando” todo el tráfico de la red.
Aunque es
importante tener máquinas en modo promiscuo para correr archivos de protección
de la red, así mismo funcionan los olfateadores o “sniffers”, que podemos
detectar con el Cpm; por eso es necesario correr el Cpm en nuestro sistema para
cazar olfateadores que puedan estar recogiendo información de las contraseñas
de la red.
Trinux: Es un
conjunto de herramientas para monitorear redes con el protocolo TCP-IP. Es usada directamente desde el
dispositivo de almacenamiento en que se encuentra, corriendo enteramente en la
memoria RAM del computador
Con este paquete de aplicaciones se controla el tráfico de
mails, herramientas básicas de redes, detector de sniffers, y herramientas de
seguridad para los servidores de nuestra organización.
No hay comentarios.:
Publicar un comentario