Actividad3 Francisco Hurtado

8/2/2019 Actividad3 Francisco Hurtado

1/11

Nombre LUIS FRANCISCO HURTADO NEITA

Fecha 28 / 03 2012

Actividad ACTIVIDAD 3

Tema DETECCIN DE LOS POSIBLES ATAQUES

1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial ofservice, por ejemplo, existen diferentes maneras de llevar a cabo esta vulnerabilidad.

Cmo se relacionan estas maneras de llevar a cabo las vulnerabilidades con el

algoritmo P-C? Realice un informe para los tcnicos de mantenimiento en el que

explique esta situacin.

El anlisis de vulnerabilidades se ha convertido en un requisito indispensable dentro del

proceso de gestin de riesgos y es clave dentro del sistema de gestin de la seguridad de

la informacin.

Un ataque de denegacin de servicio es un incidente en el cual un usuario o una

organizacin son privados de los servicios de un recurso que esperaba obtener.

Se define Denegacin de Servicio o ataque DoS como la imposibilidad de acceder a

un recurso o servicio por parte de un usuario legtimo. Es decir, la apropiacin exclusiva

de un recurso o servicio con la intencin de evitar cualquier acceso a terceras partes.

Los ataques de denegacin de servicio pueden ser provocados por usuarios internos y

usuarios externos, los usuarios internos generalmente son usuarios con pocos

conocimientos que pueden colapsar el sistema o servicio en forma inconsciente. Los

usuarios externos generalmente son usuarios que han conseguido acceso al sistema de

forma ilegtima, falseando la direccin de origen con el propsito de evitar la deteccin.


2/11

Este tipo de ataques pueden provocar:

Parada de todos los servicios de una mquina La mquina slo puede dar determinados servicios La mquina no puede dar servicio a determinados usuarios

Los ataques DoS se pueden llevar a cabo de diferentes formas y cubren infinidad de

servicios. Existen tres tipos bsicos de ataque:

Consumo de recursos limitados. Destruccin o alteracin de datos. Destruccin o alteracin fsica de componentes de la red.

Algunos de los grupos que pueden llevar a cabo este tipo de ataques son:

Script Lidies Competencia Militares Empleados incompetentes

MEDIDAS DE PROTECCION

A NIVEL DE CDIGO:

La regla bsica es VALIDAR LAS ENTRADAS!!!.

Intentar evitar cdigo que requiera muchas operaciones o un consumo excesivo de la

CPU.

Comprobar el rendimiento de las funciones e intentar optimizarlas lo mximo posible.

A NIVEL DE RED:

Implementar soluciones de balanceo de carga y cache si fuese necesario.

Implementar un firewall de aplicacin como ModSecurity que ayuda a protegernos de

ataques contra las aplicaciones que se nos hayan podido pasar al revisar el cdigo.

Estudiar el retorno de inversin de un sistema comercial de proteccin contra este tipo

de ataques e incluirlo en la red si es necesario.


3/11

2. Toda herramienta usada en la administracin de una red, es potencialmente malignay potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de

procedimientos, una clusula en la que haga pblica esta observacin. Tenga en cuenta

la divisin de puestos de trabajo explicada en unidades anteriores.

Curiosamente las protecciones que usaremos (algunas, no todas) son casi las mismas herramientasque usan los crackers y hackers para vulnerar sistemas o probar fallas en la seguridad de las redes.Estas herramientas nos permiten monitorear algunas funciones de red, generar logsticos dedichas funciones y usar esta informacin para detectar un ataque o un sabotaje.

Hoy en da la mayora de los ataques estn automatizados en CDs auto ejecutables que son

usados por los atacantes y a su vez por los auditores de seguridad para evaluar los sistemas

evaluados.

Estadsticamente se dice que a medida que pasan los aos es ms fcil hacer un ataque por que

estos estarn cada vez mejor documentados y automatizados.


4/11

Basados en el anterior grafico se concluye que al pasar de los aos ser mucho ms fcil hacer un

ataque contra un sistema vulnerable, llama la atencin el cruce de las coordenadas x,y en el uso

de Sniffers para hacer ataques.

La inseguridad informtica es pues una estrategia de reflexin y accin para repensar la

seguridad informtica como una disciplina que es al mismo tiempo sentimiento y realidad.

[http://www.acis.org.co/archivosAcis/Inseguridad.doc, Jeimy Cano, 2004]

El concepto de seguridad lleva asociado otro concepto que le da sentido: EL VALOR, solo se

debe proteger aquello que creemos tiene un valor importante para nosotros, la seguridad debe

estar ntimamente asociada al valor que le damos a los objetos que deseamos proteger y debe

ser enfocado como un proceso global, por esto se dice que desde el punto de vista legal la

SEGURIDAD es el conjunto de bienes y derechos personales o de la organizacin que deben ser

protegidos y preservados, tanto del mal uso involuntario como del uso ilcito.

Los logsticos de las actividades de la empresa son INDISPENSABLES para el diagnstico de la

seguridad de la red. Cules logsticos considera usted prioritarios para el problema de e-mail

bombing, spamming y el denial of service? Justifique su eleccin.

Las herramientas que permiten este tipo de operatividad son:Tcp- wrapper, Netlog, Argus,TcpDump, SATAN, ISS, Courtney, Gabriel, Nocol, TcpList.

Este tipo de herramientas nos permitir tener una informacin mediante archivo de trazas ologsticos de todos los intentos conexin que se han producido sobre nuestro sistema as comointentos de ataque de forma sistemtica a puertos tanto TCP como de UDP.

Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un pequeo

informe en el que explique por qu se deben instalar demonios en el sistema de comunicacin

de la empresa, cules y por qu.

Daemon: es un programa que se ejecuta en segundo plano, y que no tiene interfaz grfica paracomunicarse con el usuario. Su objetivo principal es brindar procesos y servicios de manerasilenciosa) que permite a los usuarios tener acceso de terminal a un sistema, es decir, ser clientes

del mismo. Un ejemplo es el demonio TELNET, que crea una conexin entre cliente y servidor quesirve para transferir informacin, solo que el login y el password para acceder al sistema es hechoautomticamente por el demonio.

El problema ac radica en que un cracker puede instalar un sniffer en lared (Sniffer: oledor.Programa que rastrea datos en una red) y pinchar o intervenir el programa cliente de TELNET.Con estas acciones, obtiene los nombres de usuario y las contraseas que se mueven a travs de lared.


5/11

Algunos de los demonios que se pueden instalar son:

TELNET, el cual ya explicamos anteriormente y ARGUS, que permite auditar el trfico IP que seProduce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre.

Este programa se ejecuta como un demonio, escucha directamente la interfaz de red de lamquina y su salida es mandada bien a un archivo de trazas o a otra mquina para all ser leda. Enla captura de paquetes IP se le puede especificar condiciones de filtrado como protocolosespecficos, nombres de mquinas, etc.

Al igual que el Netlog, el Argus tambin tiene una herramienta buscadora que permite filtrar loscontenidos y ver aquellos que solo nos interesan.

Seleccione las herramientas que considere necesarias para usar en su red de datos, quepermitan generar un control de acceso. Tenga en cuenta que estas herramientas

seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn,

cree el procedimiento de uso de cada una de las herramientas seleccionadas.

TCP- WRAPPER

Transparencia para el cliente del host y el servicio de red

El cliente que se est conectando as como tambin el servicio de red wrapper no est al tanto deque estn en uso los wrappers TCP

Los usuarios legtimos son registrados y conectados al servicio solicitado mientras que lasconexiones desde clientes prohibidos fallan

Administracin centralizada de protocolos mltiples

Los wrappers TCP operan separadamente de los servicios de red que ellos protegen, permitiendo amuchas aplicaciones de servidor compartir un conjunto comn de archivos de configuracin parauna administracin ms sencilla

NETLOGEste software de dominio pblico diseado por la Universidad de Texas, es una herramienta quegenera trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, as como trfico en la red(los programas pueden ejecutarse en modo promiscuo) que pudiera ser "sospechoso" y queindicara un posible ataque a una mquina (por la naturaleza de ese trfico).


6/11

ARGUSEs una herramienta de dominio pblico que permite auditar el trfico IP que se produce ennuestra red, mostrndonos todas las conexiones del tipo indicado que descubre. Este programa seejecuta como un demonio, escucha directamente la interfaz de red de la mquina y su salida esmandada bien a un archivo de trazas o a otra mquina para all ser leda. En la captura depaquetes IP se le puede especificar condiciones de filtrado como protocolos especficos, nombresde mquinas, etc.

TCPDUMP

Es un software de dominio pblico que imprime las cabeceras de los paquetes que pasan por unainterfaz de red. Este programa es posible ejecutarlo en modo promiscuo con lo que tendremos lascabeceras de los paquetes que viajan por la red.

SATANEs un software de dominio pblico creado por Dan Farmer que chequea mquinas conectadas enred y genera informacin sobre el tipo de mquina, qu servicios da cada mquina y avisa de

algunos fallos de seguridad que tengan dichas mquinas.

Una de las ventajas de SATAN frente a otros paquetes, es que utiliza una interfaz de WWW (comoMosaic, Netscape,..), va creando una base de datos de todas las mquinas chequeadas y las varelacionando entre ellas (de forma que si encuentra una mquina insegura, y chequea otramquina que est relacionada con sta, automticamente esta segunda quedar marcada tambincomo insegura).

ISSISS (Internet Security Scanner) Es una herramienta de la cual existe versin de dominio pblico que

chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa mquina. ISS escapaz de chequear una direccin IP o un rango de direcciones IP (en este caso se indican dosdirecciones IP e ISS chequear todas las mquinas dentro de ese rango).

COURTNEYEste software de dominio pblico sirve para identificar la mquina origen que intenta realizarataques mediante herramientas de tipo SATAN.

El programa es un script perl que trabaja conjuntamente con TcpDump. Courtney recibe entradasdesde TcpDump y controla la presencia de peticiones a nuevos servicios del stack TCP/IP (lasherramientas de este tipo realizan ataques, chequeando de forma ordenada todos los puertos TCP

y UDP que tiene el sistema, para poder ver qu servicios tiene instalados dicha mquina). Si sedetecta que se est produciendo un continuo chequeo de estos puertos en un breve intervalo detiempo, Courtney da un aviso. Este aviso se manda va syslog.

GABRIELEs similar al Courtney, pues permite detectar ataques tipo SATAN. Este programa tiene 2 partes: laparte cliente y la parte servidor. La primera se instala en toda mquina que quiera ser


7/11

Monitoreada, y la segunda se instala en la mquina que debe recoger toda la informacin. En elmomento en que se detecta un posible ataque, inmediatamente la mquina afectada genera unaAlerta va e-mail u otro medio, a la mquina servidor.

NOCOLEs un paquete que contiene diversos programas para monitorear la red de una organizacin.Recopila informacin, la analiza, la agrupa en eventos, y le asigna una gravedad, que puede ser:info, warning, error, crtical.

TCPLIST

Este programa indica todas las conexiones que usen el protocolo TCP creadas desde la mquina

en la que lo estamos ejecutando, o aquellas entrantes a dicha mquina. Tambin es un programa

de dominio pblico.

De la misma manera que en el caso anterior, seleccione las herramientas que usar parachequear la integridad de su sistema y realice el procedimiento de uso de cada una deellas.

COPSCops es un conjunto de programas diseados por la Universidad de Purdue que chequean ciertosaspectos del sistema operativo UNIX relacionados con la seguridad. Existen dos versiones de estepaquete: una versin escrita en "sh" y "C" y otra versin escrita en "perl", aunque su funcionalidades similar. Este programa es fcil de instalar y configurar y se ejecuta en gran cantidad deplataformas UNIX. En el primer caso necesitaremos un compilador de lenguaje C y una shellestndar (sh), en el segundo nos bastar con tener instalado el intrprete de perl (versin 3.18 o

superior). Entre las funcionalidades que tiene Cops podemos destacar.

Chequeo de modos y permisos de los ficheros, directorios y dispositivos. Palabras de paso pobres (en el caso que tengamos una herramienta como crack, podemos

comentar la lnea de chequeo de palabras de paso). Chequeo de contenido, formato y seguridad de los ficheros de "password" y "group". Chequeo de programas con root-SUID. Permisos de escritura sobre algunos ficheros de usuario como ".profile" y ".cshrc" Configuracin de ftp "anonymous". Chequeo de algunos ficheros del sistema como "hosts.equiv", montajes de NFS sin

restricciones, "ftpusers", etc.

TIGEREs un software desarrollado por la Universidad de Texas que est formado por un conjunto deshell scripts y cdigo C que chequean el sistema para detectar problemas de seguridad de formaparecida a COPS. Una vez chequeado el sistema, se genera un fichero con toda la informacinrecogida por el programa. Tiger dispone de una herramienta (tigexp) que recibe como parmetrodicho fichero y da una serie de explicaciones adicionales de cada lnea que gener el programaanterior. El programa viene con un fichero de configuracin donde es posible decirle qu tipo de


8/11

chequeo se quiere realizar (podemos comentar las operaciones ms lentas y ejecutar stas deforma menos continuada, mientras que las ms rpidas pueden ser ejecutadas msfrecuentemente). Entre la informacin que chequea el programa tenemos.

Configuracin del sistema. Sistemas de ficheros. Ficheros de configuracin de usuario. Chequeo de caminos de bsqueda. Chequeos de cuentas. Chequeos de alias. Comprueba la configuracin de ftp "anonymous". Chequeo scripts de cron. NFS. Chequeo de servicios en el fichero /etc/inetd.conf Chequeo de algunos ficheros de usuario (.netrc, .rhosts, .profile, etc) Comprobacin ficheros binarios (firmas). Para poder chequear stos es necesario disponer

de un fichero de firmas.

CRACKEste paquete de dominio pblico realizado por Alex Muffet permite chequear el fichero decontraseas de UNIX y encontrar palabras de paso triviales o poco seguras. Para ello utiliza elalgoritmo de cifrado (DES) utilizado por el sistema UNIX y va comprobando a partir de reglas y dediccionarios, las palabras de paso que se encuentran en el fichero de contraseas, creando unfichero con todos los usuarios y palabras descubiertas. Se realizan una serie de pasadas sobre elfichero de contraseas aplicando la secuencia de reglas que se especifique. Estas reglas seencuentran en dos ficheros (gecos.rules y dicts.rules) y pueden ser modificadas utilizando unlenguaje bastante simple. Para una mayor efectividad pueden utilizarse diccionarios

complementarios (existen en gran diversidad en servidores ftp) en diferentes idiomas y sobrediversos temas. Experiencias realizadas en la Universidad Carlos III de Madrid sobre diversasmquinas han arrojado unos resultados de 16% de palabras de paso triviales en mquinas dondeno se tena ninguna norma a la hora de poner contraseas de usuario.

Es una buena norma pasar de forma peridica el crack para detectar contraseas poco seguras,adems de tener una serie de normas sobre palabras de paso (tanto en su contenido como en laperiodicidad con que deben ser cambiadas).

TRIPWIREEste software de dominio pblico desarrollado por el Departamento de Informtica de laUniversidad de Purdue, es una herramienta que comprueba la integridad de los sistemas deficheros, y ayuda al administrador a monitorizar stos frente a modificaciones no autorizadas. Estaherramienta avisa al administrador de cualquier cambio o alteracin de ficheros en la mquina(incluido binarios). El programa crea una base de datos con un identificador por cada ficheroanalizado, y puede ser comparado en cualquier momento el actual con el registrado en la base dedatos, avisando ante cualquier alteracin, eliminacin o inclusin de un nuevo fichero en elsistema de ficheros. La base datos est compuesta por una serie de datos como la fecha de la


9/11

ltima modificacin, propietario, permisos, etc. con todo ello se crea una firma para cada ficheroen la base de datos.

Esta herramienta debera ser ejecutada despus de la instalacin de la mquina, para tener una"foto" de los sistemas de ficheros en ese momento, y puede ser actualizada cada vez queaadimos algo nuevo. Dispone de un fichero de configuracin que permite decidir qu parte delsistema de ficheros va a ser introducida en la base de datos para su posterior comprobacin.

CHKWTMPEs un pequeo programa que chequea el fichero "/var/adm/wtmp" y detecta entradas que notengan informacin (contienen slo bytes nulos). Estas entradas son generadas por programastipo "zap" que sobrescriben la entrada con ceros, para as ocultar la presencia de un usuario en lamquina. Este programa detecta esa inconsistencia y da un aviso de modificacin del fichero yentre qu espacio de tiempo se produjo.

CHKLASTLOG

Parecido al programa anterior. ste chequea los ficheros "/var/adm/wtmp" y "/var/adm/lastlog".El primero es la base de datos de login, y el segundo la informacin del ltimo login de un usuario.En el segundo fichero nos indica qu usuario ha sido eliminado del fichero.

SPARSoftware de dominio pblico diseado por CSTC (Computer Security Technology Center) realizauna auditora de los procesos del sistema, mucho ms flexible y potente que el comandolastcomm de UNIX. El programa lee la informacin recogida por el sistema y puede ser consultadacon una gran variedad de filtros como. Usuario, grupo, dispositivo, admitiendo tambinoperadores (=, >, =, &&...). Por defecto el programa obtiene la informacin del fichero"/var/adm/pacct". Pero se le puede indicar otro fichero. La informacin puede ser mostrada en

ASCII o en binario para su posterior proceso con spar.

LSOFEste programa de dominio pblico creado por Vic Abell, nos muestra todos los ficheros abiertospor el sistema, entendiendo por fichero abierto: un fichero regular, un directorio, un fichero debloque, fichero de carcter, un fichero de red (socket, fichero NFS). El programa admite variosparmetros que nos permiten filtrar informacin dependiendo qu tipo de procesos queramos veren ese instante. Este software est disponible para una gran variedad de plataformas: Aix 3.2.3,HP-UX 7.x y 8.x, IRIX 5.1.1, SunOs 4.1.x, Ultrix 2.2 y 4.2, Solaris 2.3, NetBSD ...

CPM

Este pequeo programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz dered de la mquina descubriendo si est siendo utilizado en modo promiscuo (escuchando todo eltrfico de la red). Est herramienta es muy til, porque nos alerta de la posible existencia de un"sniffer" (olfateador) que intente capturar informacin en nuestra red como puedan ser laspalabras de paso. Este programa debera ser ejecutado de forma peridica para detectar lo antesposible el estado promiscuo en la placa de red. Una forma til de utilizarlo es mandarnos elresultado va correo electrnico.


10/11

Es bueno tener en cuenta que muchos de los programas descritos en este documento puedenponer la placa en modo promiscuo con lo que deberemos asegurarnos que no son nuestrosprogramas los que producen esa alerta. Generalmente los programas tipo "sniffer" suelen estarejecutndose como procesos camuflados en el sistema.

IFSTATUSSoftware de dominio pblico creado por Dave Curry, permite (al igual que el anterior) descubrir siun interfaz de red est siendo utilizado en modo promiscuo para capturar informacin en la red.Sirven todas las recomendaciones dichas anteriormente.

Veamos un ejemplo del mensaje que genera esta aplicacin, cuando encuentra un interfaz de redejecutado en modo promiscuo.

OSHCreado por Mike Neuman, este software de dominio pblico es una shell restringida con "setuidroot", que permite indicar al administrador mediante un fichero de datos qu comandos puedeejecutar cada usuario. El fichero de permisos est formado por nombres de usuario y una lista delos comandos que se permite a cada uno de ellos, tambin es posible especificar comandoscomunes a todos ellos. Esta shell deja una auditora de todos los comandos ejecutados por elusuario (indicando si pudo o no ejecutarlos), adems dispone de un editor (vi) restringido. Esteprograma es de gran utilidad para aquellas mquinas que dispongan de una gran cantidad deusuarios y no necesiten ejecutar muchos comandos, o para dar privilegios a determinadosusuarios "especiales" que tengan que ejecutar algn comando que en circunstancias normales nopodran con una shell normal.

NOSHELL

Este programa permite al administrador obtener informacin adicional sobre intentos de conexina cuentas canceladas en una mquina. Para utilizarlo basta sustituir la shell de usuario en elfichero /etc/password por este programa. A partir de ahora cada intento de conexin generar unmensaje (va correo electrnico o syslog) indicando: usuario remoto, nombre del ordenadorremoto, direccin IP, da y hora del intento de login y tty utilizado para la conexin.

TRINUX.Ms que un programa, es un conjunto de herramientas para monitorearRedes que usan el protocolo TCP-IP. Esta herramienta no se instala en elSistema, sino que es usada directamente desde el dispositivo de

Almacenamiento en que se encuentra, corriendo enteramente en la memoriaRAM del computador.Este paquete trae aplicaciones para controlar el trfico de mails entrantes ySalientes, herramientas bsicas de redes, detector de sniffers, y herramientasDe seguridad para los servidores de nuestra organizacin.


11/11

Actividad3 Francisco Hurtado

Documents

Transcript of Actividad3 Francisco Hurtado