Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seg Redes 1
Seg Redes 1
SSI 2012/13
23 de octubre de 2012
Indice
1. Entorno de pr
acticas
1.2. Im
agenes a utilizar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. Intercepci
on de mensajes y escaneo de puertos
2.1. Descripci
on . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2. Desarrollo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3. Ejercicio 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.1. Pasos: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2. Tareas: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4. Ejercicio 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4.1. Pasos: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5. Documentaci
on y entrega . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.
1.1.
Entorno de pr
acticas
Software de virtualizaci
on VirtualBOX
En estas pr
acticas se emplear
a el software de virtualizacion VirtualBOX para simular peque
nas redes formadas por
equipos GNU/Linux.
P
agina principal: http://virtualbox.org
M
as informaci
on: http://es.wikipedia.org/wiki/Virtualbox
1.2.
Im
agenes a utilizar
2.
2.1.
password
purple
usuario1
usuario2
Intercepci
on de mensajes y escaneo de puertos
Descripci
on
2.2.
Desarrollo
Creaci
on de la red donde se realizar
an los ejercicios:
huesped
texto.dvi
huesped
texto.dvi
huesped
observador.dvi
INTERNO 1
INTERNO 2
OBSERVADOR
192.168.100.11
192.168.100.22
193.168.100.33
LAN 1 (192.168.100.0/24)
ANFITRION
1. Descomprimir las im
agenes VirtualBOX base (solo la primera vez)
gunzip base.vdi.gz
gunzip swap.vdi.gz
$ bash ejercicio-nmap.sh
Importante:
En caso de errores o problemas, desde el interfaz grafico de VirtualBOX
Eliminar las definiciones de las m
aquinas virtuales
Desregistrar (no borrar) las referencias a los discos virtuales base.vdi y swap.vdi en el Administrador
de discos virtuales
Arrancar las instancias VirtualBOX (desde el interfaz grafico o desde la lnea de comandos)
VBoxManage startvm INTERNO1
VBoxManage startvm INTERNO2
VBoxManage startvm OBSERVADOR
Importante: Despues de finalizar cada ejercicio terminar la ejecucion de cada una de las maquinas virtuales
desde lnea de comandos con halt o desde el interfaz grafico LXDE.
3
en interno1
# ifconfig eth0 192.168.100.11
# hostname interno1
en interno2
# ifconfig eth0 192.168.100.22
# hostname interno2
en observador
# ifconfig eth0 192.168.100.33
# hostname observador
Nota 1: El interfaz de red asignado (eth0, eth1, ...) podra variar de unas ejecuciones a otras. Se puede
comprobar cual est
a activo con el comando ifconfig -a
Nota 2: Para hacer visible en el terminal el cambio en la configuracion de hostname es necesario cerrar la
sesi
on (# exit) y hacer login de nuevo.
Nota 3: Estas configuraciones son temporales, para que se mantengan al volver a arrancar es necesario configurar
una conexi
on est
atica en el fichero /etc/network/interfaces.
ordenes
texto a a
nadir
# jed /etc/network/interfaces
o
nano /etc/network/interfaces
o
vi /etc/network/interfaces
static
192.168.100.33
255.255.255.0
192.168.100.0
192.168.100.1
/etc/init.d/openbsd-inetd start
/etc/init.d/apache2 start
/etc/init.d/postfix start
/etc/init.d/dovecot start
/etc/init.d/mysql start
2.3.
Ejercicio 1
2.3.1.
Pasos:
Tareas:
a2ensite es un comando (en Debian y derivados) para habilitar configuraciones de sitios web en
Apache2
Los ficheros de configuraci
on de los sitios web disponibles (normalmente son configuraciones de servidores virtuales Apache) est
an en /etc/apache2/sitess-available/ y al habilitarlos se crea un enlace
simb
olico desde /etc/apache2/sites-enabled/
En el equipo observador (192.168.100.33): Iniciar una sesion de escucha en WireShark.
En el equipo interno2 (192.168.100.22):
1. Iniciar el entorno gr
afico (con startx) y abrir un navegador web Iceweasel
2. Indicar https://interno1.ssi.net en la barra de direcciones.
3. Dar
a un aviso de que la CA que firma el certificado del servidor no esta reconocida. A
nadir la correspondiente
excepci
on de seguridad y permitir la descarga y aceptacion del certificado (antes de aceptarlo se puede ver
el contenido del certificado)
Comprobar en observador (192.168.100.33) el resultado de la escucha.
2.4.
Ejercicio 2
Pasos:
Los escaneados anteriores dejan rastro. Comprobar los ficheros de log tail /var/log/syslog en las m
aquinas interno1 e interno2 y verificar que ha quedado constancia de las conexiones realizadas por nmap.
interno1:~# tail /var/log/syslog
Nota: El rastro del escaneo de tipo -sT que queda en /var/log/syslog
Fue guardado por el servidor telnet en el momento en que se establecio la conexion Telnet
Es necesario haber arrancado previamente el servidor Telnet (/etc/init.d/openbsd-inetd start).
2. Comprobar escaneos silenciosos
Evaluaremos el comportamiento de los distintos tipos de escaneo sobre la maquina interno1(192.168.100.11)
a) En la m
aquina interno1(192.168.100.11) se habilitara una regla del firewall netfilter para hacer log de
los paquetes SYN con intentos de conexion TCP.
Escribir el siguiente comando iptables
interno1:~# iptables -A INPUT -i eth0 -p tcp \
--tcp-flags SYN SYN -m state --state NEW \
-j LOG --log-prefix "Inicio conex:"
Monitorizar continuamente el fichero de logs /var/log/syslog, con el comando tail -f
interno1:~# tail -f /var/log/syslog
(el terminal se libera con CONTROL+C)
b) Desde la m
aquina observador(192.168.100.33) lanzar 3 tipos de escaneos nmap y comprobar en interno1(192.168.100.11) como evoluciona el log.
TCP connect scanning [opci
on -sT] Escaneo con conexiones TCP completas (opcion por defecto)
observador:~# nmap -sT 192.168.100.11
SYN scanning [opci
on -sS] Escaneo con paquetes SYN (conexiones parcialmente iniciadas)
observador:~# nmap -sS 192.168.100.11
NULL scanning [opci
on -sN] Escaneo con paquetes nulos (todos los flags TCP a 0)
observador:~# nmap -sN 192.168.100.11
Nota: Existe un interfaz gr
afico para nmap que se puede arrancar desde el entorno grafico de observador(192.168.100.33)
para probar otras opciones del escaner.
Desde el men
u principal: [Inicio] > Internet > Zenmap
Desde un terminal:
observador:~# zenmap &
2.5.
Documentaci
on y entrega