RA:
Aplicar mecanismos de seguridad activa describiendo sus características y
relacionándolas con las necesidades de uso del sistema informático.
RA:
Asegurar la privacidad de la información transmitida en redes informáticas
describiendo vulnerabilidades e instalando software específico.
NIDS/NIPS.
Medidas para evitar monitorización de red cableada
La empresa para la
que trabajas ha sido hackeada en varias ocasiones: alguien está aprovechando
las vulnerabilidades que tienen en los servicios ofrecidos desde sus servidores
(por ejemplo, el servidor http), accediendo a través de los puertos abiertos.
Los servidores corren sobre Linux.
Sospechas que el hacker está haciendo uso de la
herramienta nmap para obtener puertos abiertos y aplicaciones ejecutándose en
cada uno.
·
A través de dos
máquinas virtuales Ubuntu, una servidor y otra cliente, demuestra cómo se puede
detectar un escaneo de puertos. Para ello:
(CP 5, pág 181)
(CP 5, pág 181)
o
Instala Snort en el
Ubuntu Server. Descarga las reglas de pre-procesamiento y actívalas.
Primero instalamos Snort por modo comando en ubuntu
Mientras se instala, no pedirá configuración de la red, es decir, nuestras IP disponibles. En este caso la mía de este servidor solo sera la 192.168.1.136
Después de nos iremos a la pagina principal a descargar las reglas que es donde residen las operaciones inteligentes.
Una vez descargado, lo descomprimimos el paquete descargado.
Dentro localizamos la carpeta preproc_rules, el cual lo tendremos que mover a la carpeta de Snort
Aquí ya esta movido dentro de la carpeta
Una vez hecho eso, por comando nos meteremos el el archivo de configuración de Snort
Hay tendremos que localizar y modificar en documento como en las siguientes imágenes:
Esta opción es para vigilar el puerto por de nuestra red:
Una vez hecho eso, guardamos los cambios y lanzamos el snort. Al añadir el -c y el fichero de configuración, ademas de captura paquetes, también podrá detectar intrusiones.
o
Utiliza nmap desde el Ubuntu Desktop para
escanear los servicios del servidor.
Instalamos el nmap en un Ubuntu Desktop
Una vez instalado lo lanzamos a que capture los paquetes del servidor Ubuntu.
o
Comprueba que el
escaneo ha quedado registrado.
Una vez lanzado, para comprobar que funciona Snort, nos iremos al directorio /var/log/snort/ y dentro de hay tendrá que haber dos ficheros, alert y tcpdump.log.xxxxxxxxxx
Para ver quien nos ataco, nos meteremos en alert y dentro nos aparecerá el tipo de ataque y la IP del atacante.
Para verificar la IP nos iremos al Ubuntu Desktop y con un ifconfig confirmamos que es la misma IP.
o
Traduce el siguiente texto (tomado de http://manual.snort.org/node3.html):
“Snort really isn't very hard to use, but there are a lot of command line options to play with, and it's not always obvious which ones go together well. This file aims to make using Snort easier for new users. Before we proceed, there are a few basic concepts you should understand about Snort. Snort can be configured to run in three modes:
- Sniffer mode, which simply reads the packets off of the network and displays them for you in a continuous stream on the console (screen).
- Packet Logger mode, which logs the packets to disk.
- Network Intrusion Detection System (NIDS) mode, which performs detection and analysis on network traffic. This is the most complex and configurable mode.”
“Snort really isn't very hard to use, but there are a lot of command line options to play with, and it's not always obvious which ones go together well. This file aims to make using Snort easier for new users. Before we proceed, there are a few basic concepts you should understand about Snort. Snort can be configured to run in three modes:
- Sniffer mode, which simply reads the packets off of the network and displays them for you in a continuous stream on the console (screen).
- Packet Logger mode, which logs the packets to disk.
- Network Intrusion Detection System (NIDS) mode, which performs detection and analysis on network traffic. This is the most complex and configurable mode.”
Snort realmente no es muy difícil de usar, pero hay un motón de opciones de línea de comandos para usar, y no siempre es obvio cuales van juntos también. Este archivo tiene con objetivo hacer más fácil el uso de Snort para los nuevos usuarios. Antes de continuar, hay algunos conceptos básicos que usted debe entender acerca de Snort. Snort puede ser configurado para funcionar en tres modos:
- Sniffer: Que simplemente lee los paquetes fuera de la red y las muestras para usted en un flujo continuo en el modo consola (pantalla).
- Modo Packet Logger: Que registra los paquetes en el disco.
- Modo Network Intrusion Detection System (Red del sistema de detección de Intrusos): Que lleva a cabo la detección y análisis de trafico de ed. Este es el modo más complejo y configurable.
Firewalls.
Instalación y configuración en equipos o servidores
El
siguiente paso es defender los servidores frente a ataques externos. Para ello
vas a demostrar cómo puede ayudar un firewall a proteger el servidor web.
Planteas dos alternativas:
- Proteger la máquina (bastión) donde se alberga el servidor
- Proteger la máquina (bastión) donde se alberga el servidor
-
Proteger el router
que da acceso a la zona desmilitarizada donde está el servidor web
·
Configuración
del firewall en una máquina Windows 7 donde se alberga un servidor web.
o
Instala
un servidor web: descarga el software Server2Go e instálalo y configúralo para
que pueda ser accesible desde el exterior (cambia la dirección de loopback).
Nos iremos a su pagina web y descargaremos el paquete ejecutable y lo instalamos.
Lo abrimos y los ejecutamos la aplicación.
Vemos que nos abre el servidor pero con una IP fija.
Ahora nos iremos dentro de la carpeta del servidor y no meteremos al archivo pms_config
Hay localizamos el parámetro HostName= y borramos lo que estaba y ponemos {local_ip}
Iniciaremos de nuevo el servidor y esta vez nos aparecerá un aviso del firewall.
Al iniciarlo nos fijaremos que aparece nuestra IP.
Para verificar que se puede entrtar desde cualquier lugar nos meteremos con el Ubunto Server y el Ubuntu Desktop
o
Configura
el firewall de Windows 7 para que:
§ el servidor web acepte conexiones del
cliente Ubuntu creado anteriormente, pero no del servidor Ubuntu.
Empezamos por irnos al Firewall de windows y nos metemos a Reglas de entrada y seleccionamos apache .exe
Antes de nada tendremos que saber la IP del servidor a bloquear.
Una vez sabido, nos vamos a la pestaña e Ámbito y le agregamos la IP dependiendo si es local o remoto como lo queramos bloquear
Después nos vamos a la pestaña de Opciones avanzadas y seleccionamos Permitir cruce seguro del perímetro.
Aplicamos y guardamos.
Una vez hecho intentamos de nuevo meternos al servidor por el Ubuntu Server y veremos que aunque lo intentemos una y otra vez no nos podemos meter.
§ registre en el log los intentos fallidos
de conexión.
Para ello nos iremos de nuevo al Firewall y elegimos Propiedades.
Elegimos el perfil privado hay elegimos en Inicio de sesión Personalizar
En esa ventana habrá dos No elegidos, cambiamos el primero a Si
Ahora siguiendo la ruta que estaba en la imagen de arriba, encontraremos el archivo del log el cual registrara los intentos de accesibilidad al servidor.
o
Descarga
en la máquina donde se alberga el servidor un cortafuegos distinto al de
Windows 7, que sea gratuito. Investiga cuáles son los mejor valorados en
foros de seguridad.
Instálalo y configúralo para realizar las mismas tareas propuestas para el firewall de Windows 7.
Instálalo y configúralo para realizar las mismas tareas propuestas para el firewall de Windows 7.
El programa a instalar sera COMODO
Una vez instalado, nos vamos a los ajustes para configurarlo
Una vez configurado seleccionamos e Ver los eventos de Firewall y hay veremos los eventos del log donde se verán los registros.
· Configuración
del firewall del router.
o
Configura
el firewall que trae el router de clase para realizar las mismas tareas
propuestas para el firewall de Windows 7.
En el router elegido, nos iremos a la sección de seguridad > Firewall y hay seleccionamos las elecciones a elegir para configurarlo a nuestro gusto.
No hay comentarios:
Publicar un comentario