SEGURIDAD EN GNU/LINUX

Teora y Prctica

Creative Commons
Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 Usted es libre de:

copiar, distribuir y reproducir pblicamente la obra hacer obras derivadas

Bajo las siguientes condiciones:

Reconocimiento. Debe reconocer los crditos de la obra de la manera especificada por el autor o el licenciante (pero no de una manera que sugiera que tiene su apoyo o apoyan el uso que hace de su obra). No comercial. No puede utilizar esta obra para fines comerciales. Compartir bajo la misma licencia. Si altera o transforma esta obra, o genera una obra derivada, slo puede distribuir la obra generada bajo una licencia idntica a sta. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular de los derechos de autor Nada en esta licencia menoscaba o restringe los derechos morales del autor.

Los derechos derivados de usos legtimos u otras limitaciones reconocidas por ley no se ven afectados por lo anterior. Esto es un resumen fcilmente legible del texto legal de versin original en Idioma Ingls (la licencia completa) http://creativecommons.org/licenses/by-nc-sa/3.0/ec/legalcode

NDICE DE CONTENIDO Introduccin........................................................................................................5 Seguridad Fsica.................................................................................................6 Capas de Seguridad Fsica..............................................................................6 Seguridad Lgica................................................................................................7 Elementos de la Seguridad Lgica..................................................................8 Controles de Acceso y Niveles de Autoridad...............................................9 Herramientas Para Asegurar el Sistema Operativo............................................9 Firewall.............................................................................................................10 Tipos de Firewalls.........................................................................................10 Filtros de Paquetes....................................................................................10 Orientados a Conexin. ............................................................................11 Iptables.............................................................................................................11 Ejemplos de uso de Iptables..........................................................................13 NAT con Iptables...........................................................................................14 Escner de Puertos...........................................................................................14 Rastreo de puertos TCP................................................................................15 Rastreo de puertos UDP................................................................................15 Consideraciones al utilizar un Escner de Puertos...................................16 NMAP (NetworkMAPper).................................................................................16 Escner de Vulnerabilidad................................................................................18 Nessus...............................................................................................................19 Capturas de Datos (Sniffers).............................................................................26 Topologa de redes .......................................................................................27 TCPDump..........................................................................................................28 Whireshark........................................................................................................31 Aspectos importantes de Wireshark ............................................................31 Sistemas de Deteccin de Intrusos...................................................................32 Funcionamiento ............................................................................................33 Tipos de IDS..................................................................................................33 IDS Sistemas pasivos y sistemas reactivos ..................................................34 Implementacin.........................................................................................34 Snort.................................................................................................................34

Ejercicios con Iptables......................................................................................36 Ejercicio 01- Configure un firewall local para cada mquina.......................36 Ejercicio 02- Caso red01...............................................................................36 Ejercicio 03- Caso red02...............................................................................38 Ejercicio 04- Caso red03...............................................................................42

INTRODUCCIN La seguridad de la informacin comprende distintos elementos para mantener la informacin segura, estos requieren funcionar de manera acoplada para lograr el xito de los mismos. Existen bsicamente tres reas que componen las bases de la seguridad de la informacin para que esta funciona de la manera adecuada, estos elementos son: confidencialidad, integridad y disponibilidad, cada uno de estos requiere de diferentes herramientas y metodologa para proteger la informacin en cada unas de sus reas. La confidencialidad se refiere a mantener los datos de una manera que no permita que pueden ser vistos por personas no autorizadas. Esta informacin que es confidencial en su organizacin pueden ser planes estratgicos, informacin financiera, informacin personal entre otras, estos datos no solo deben protegidos de agentes externos, tambin se debe planificar una poltica que internamente mantenga la informacin a la vista de quien esta autorizada para accederla. La integridad es el factor que permite garantizar que la informacin no puede ser cambiada o eliminada por personas no autorizadas, tambin se refiere que personas que estn autorizadas no realicen los cambios sin la debida aprobacin. Mantener los datos sincronizados de manera adecuada entre los sistemas es llamado tambin integridad de los datos. Tener la informacin segura no es til si la misma no se puede obtener al momento de requerirla. Con el crecimiento exponencial de Internet ya no solo existe la preocupacin de mantener la informacin segura de personas sin autorizacin, sino tambin que los que estn autorizados puedan accederla. El solo no poder tener una informacin al momento de requerirla puede ser tan grave como el no tenerla. El elemento de disponibilidad tambin incluye la preparacin ante los desastres que puedan ocurrir y la habilidad de poder recuperarse rpidamente ante los mismos.

Seguridad Fsica En el proceso del diseo, instalacin e implementacin de tcnicas de seguridad, la seguridad fsica debe ser lo primero que se debe tomar en cuenta. Desde los tiempos antiguos la seguridad fsica siempre ha sido una premisa en seguridad, las murallas y castillos son ejemplo de esto. La seguridad fsica se puede dividir en tres elementos :

Obstculos, para frustrar, detener o retardar posibles ataques. Alarmas y Sistemas de deteccin de intrusos, guardias de seguridad, circuito de cmaras y monitores para que los atacantes sean identificados.

Respuestas, para repelar, capturar o frustrar atacantes al momento de detectar el mismo.

En un diseo de seguridad fsica bien implementado, estos elementos deben estar presentes y se complementan unos a otros. Capas de Seguridad Fsica Existen al menos cuatro capas en la seguridad fsica:

Diseo Fsico Controles de Acceso Electrnicos y Mecnicos Deteccin de Intrusos Sistemas de Video

Diseo Fsico: se refiere a la seguridad del lugar donde estarn los equipos de resguardo de la informacin, para esto se debe evaluar condiciones naturales como el clima, barreras naturales, restricciones de acceso de vehculos, seales de advertencias, iluminacin. Controles de acceso mecnicos y electrnicos: los mecnicos incluyen puertas y cerraduras. Los controles con llaves se hacen inmanejables cuando comienza a crecer la cantidad de puertas y cerraduras disponibles, adicionalmente la seguridad est basada en una llave la cual puede que est
6

en manos de personas no autorizadas, esto ha forzado la adopcin de sistemas de electrnicos los cuales pueden manejar horarios, fechas o accesos a lugares especficos, estos sistemas cuentan adems con mecanismos de identificacin de personas tales como, contraseas, huellas digitales o identificacin de retinas. Alarmas y Sistemas de Deteccin de Intrusos: esta capa puede detectar y repeler los intrusos al momento del ataque, esta se considera mas una capa de respuesta que una de prevencin. En el caso de sistemas de software, estos tienen que ser configurados para evitar la generacin de falsas alarmas. Sistemas de Vdeo: no se consideran una capa de prevencin o respuesta, estos son tiles como complementos de los dems sistemas, por ejemplo si una alarma se activa a una hora especifica, a travs de los mismos se puede ver la identidad de los atacantes. Adicional a los sistemas clsicos de grabacin de vdeos, existen actualmente mecanismos para poder transmitirlos por computadoras, a las cuales se pueden acceder por Internet, proveyendo un mecanismo de monitoreo desde cual cualquier lugar del mundo. Las personas: intervienen en las cuatros capas que forman un sistema de seguridad fsica, en la primera pueden actuar como vigilantes o puntos de control para el acceso de las personas, en la segunda como administradores de los sistemas de control de acceso, en la tercera como equipo de respuesta antes las alarmas y en la ltima como los encargados de analizar la informacin almacenada en los vdeos. Seguridad Lgica La seguridad lgica consiste en todas las medidas implementadas a nivel de software para salvaguardar la informacin de una organizacin, estas incluyen identificacin de usuarios, contraseas, autenticacin, niveles de acceso y grupos. Estas medidas aseguran que solo usuarios autorizados pueden acceder a la informacin que se encuentra almacenada en la organizacin.

Elementos de la Seguridad Lgica Identificador de usuario, tambin conocido como nombre de usuario o login, es un identificador nico de la persona, y es utilizado para acceder tanto a equipos locales como a repositorios de datos en red. Estos identificadores estn basados en cadenas de caracteres alfanumricos y son asignados de manera individual a cada usuario, los mas conocidos son el nombre de usuario para acceder al equipo y la direccin del correo electrnico. Contrasea: Utiliza una cadena de caracteres secreta para controlar el acceso a recursos de la organizacin. Usualmente se utiliza en combinacin con el identificador de usuario para acceder a la red, equipo personal, sistemas, luego de verificar los mismos se determina si el usuario puede o no tener acceso a los recursos. Las contraseas son creadas por un administrador de sistema, pero luego se debe forzar a los usuarios a cambiarla por uno de su eleccin. Dependiendo de las restricciones del sistema se puede definir una longitud mnima de las contraseas, requerimientos de nmeros o caracteres especiales, no poder utilizar contraseas previamente definidas y definir el periodo de tiempo en el cual una contrasea esta activa, para luego desactivar o forzar al usuario al cambio de la misma. Autenticacin: Es el proceso en el cual un sistema, un computador o una red, intenta confirmar la identidad de un usuario. LA confirmacin de identidades es esencial para el establecimiento de controles de acceso lo cual otorgar dependiendo del usuario privilegios en los sistemas de archivos o red. Autenticaciones Biomtricas: utilizan atributos fsicos del usuario para confirmar la identidad del mismo. Entre los aspectos utilizados se incluyen huellas digitales, identificacin de retinas, patrones de voz, reconocimiento facial, identificacin de manos. Cuando un usuario se registra en un sistema sus caractersticas fsicas son almacenadas en el sistema de autenticacin, luego al requerir acceso con las mismas estas son procesadas por algoritmos para determinar la identidad del usuario. Autenticaciones por Dispositivos (Token): esta comprende la utilizacin
8

de pequeos dispositivos para identificar los usuarios, en los computadores personales o redes. Estos tambin pueden almacenar llaves cifradas y datos biomtricos. Los dispositivos de autenticacin ms populares almacenan contraseas aleatorias que cambian cada periodo de tiempo especifico, y los usuarios son autenticados del dispositivo. ingresando su identificacin personal y la Otros dispositivos utilizados pueden ser contrasea

conectados directamente al computador y pueden ser memorias USB, Smart Card o dispositivos Bluetooh. Identificacin de Dos Vas: esta involucra que tanto el usuario como el sistema o la red, se intercambian identificadores compartidos para determinar que ambos son quien dicen ser. Esto generalmente se realiza utilizando claves pblicas y el mecanismo consta de que el usuario enva su clave pblica, el servidor determina que la conoce y reenva al usuario su clave pblica, el equipo del usuario verifica que esta es la clave del servidor y se establece la comunicacin entre ambos. Controles de Acceso y Niveles de Autoridad. Estos son los derechos que se le otorga a los usuarios para poder crear, modificar, borrar o ver datos en el computador local o la red. Estos derechos varan entre usuarios y se utiliza como mecanismo para el tratamiento de los usuarios y la agrupacin de los mismos de acuerdo a ciertas caractersticas. En la redes siempre debe existir un superusuario el cual debe ser el administrador de la misma y el encargado de determinar los privilegios de los otros usuarios. Herramientas Para Asegurar el Sistema Operativo Asegurar el sistema operativo debe ser la primera tarea a realizar luego de la instalacin del mismo, un sistema operativo instalado con las opciones por defecto no garantiza que no pueda ser vulnerable, aun as se est hablando de GNU/Linux, el cual es uno de los sistemas operativos ms seguros por defecto. As se tenga un firewall bien configurado en la red, los atacantes pueden utilizar trafico que aparenta ser legtimo para atacar mquinas o una red entera.
9

Al instalar un nuevo servicio en la red, lo ideal es que se realice una instalacin desde cero del sistema operativo, esto garantiza que no existirn programas y procesos que interfieran en la seguridad del equipo, esto tambin asegura que el sistema operativo est seguro de no tener algn programa malicioso instalado. Si por alguna razn se deben instalar servicios en equipos que ya tienen sistema operativo instalado se debe verificar que no estn corriendo servicios innecesarios. Para asegurar los sistemas existen herramientas automticas que ayudan a los administradores, una de ellas es Bastille linux (http://bastillelinux.sourceforge.net/), como herramienta para asegurar el sistema operativo. Es importante antes de realizar este procedimiento en servidores en produccin probarlo bien en ambientes controlados. Instalamos bastille-linux: #aptitude install bastille #bastille -c

Luego en una consola de root ejecutamos:

Lea detalladamente cada instruccin y si tiene alguna duda consulte con el instructor. Toda la configuracin es almacenada en el archivo /etc/Bastille/config, y puede ser consultada o modificada desde all. Firewall Un Firewall es un dispositivo que acta como primera defensa de la red. El puede filtrar los ataques que provengan de las redes externas, as como proteger a los usuarios internos. Es la herramienta mas eficaz para mantener a personas no autorizadas alejadas de la red, siempre y cuando est bien implementado. Como poltica inicial en los permitidas. Tipos de Firewalls Filtros de Paquetes: la primera generacin de firewalls estaba compuesta
10

Firewalls es recomendado negar todo, y luego

solo permitir y especificar de manera explcita cules conexiones son

por equipos que realizaban nicamente filtro de paquetes, ellos actuaban inspeccionando los paquetes, los cuales representan la unidad bsica de transferencia en Internet. Si un paquete concordaba con un conjunto de reglas del firewall, estas eran aplicadas al mismo. Las reglas podran ser aceptar, negar o rechazar. Este tipo de firewall no presta atencin si el paquete es parte de una conexin ya establecida. Es utilizada como mecanismo de comparacin solo la informacin que tiene el paquete, la cual es tratada de acuerdos a los criterios configurados en el firewall y las mismas pueden ser direccin de origen, direccin de destino, protocolo y puerto de comunicacin. Como el trfico TCP y UDP por convencin utiliza puertos conocidos para trfico en particular, un firewall de filtro de paquetes puede distinguir entre el tipo de trfico, siempre y cuando los equipos de cada lado utilicen puertos conocidos para el intercambio del mismo. Orientados a Conexin: la segunda generacin de firewalls adicionalmente a la revisin de los paquetes tienen la habilidad de verificar si el mismo es una nueva conexin, parte de una ya establecida o una nueva relacin con una establecida. Para esto el mantiene una tabla con las conexiones que estn actualmente establecidas en el equipo. Iptables Es el Firewall GPL incluido en las distribuciones GNU/Linux, el mismo est integrado en el kernel por lo cual no se requiere instalar ningn paquete adicional para su utilizacin. Iptables es una poderosa pero compleja herramienta, por lo cual se recomienda a los usuarios familiarizarse bien con la misma antes de configurarla en equipos en produccin. La finalidad en Iptables es crear reglas de acuerdo a las configuraciones deseadas y almacenarlas para que puedan ser utilizadas. Estas reglas deben ser asociadas a tablas especificas las cuales son las siguientes :

Input, es la tabla que se refiere a las conexiones que son contra el equipo donde se est configurando el Firewall.

11

Forward, es la tabla que aplica para los paquetes que el Firewall va a enrutar.

Output, aplica a los paquetes que salen del Firewall.

El formato general del uso de Iptables es el siguiente: iptables comando especificacin de regla extensiones Los comandos pueden ser los siguientes: COMANDO
-A tabla -I tabla numeroderegla

DESCRIPCIN
Agrega una o mas regla al final de la tabla Agrega una regla en el nmero de regla especificado, si numeroderegla no es especificado la agrega al principio de la tabla.

-D tabla numeroderegla -R tabla numeroderegla -F tabla -Z tabla -N tabla -X tabla -P tabla poltica

Borra la regla especificada en numeroderegla Reemplaza la regla especificada en numeroderegla Borra todas las reglas en la tabla especificada Coloca en cero todos los contadores de paquetes y bytes Crea una nueva tabla con el nombre especificado Borra una tabla especifica Asigna a la tabla especificada una poltica por defecto

Las especificaciones de las reglas ms utilizadas son:

REGLAS
-p protocolo -s direccin de origen -d direccin de destino --sport puertoorigen --dport puertodestino

DESCRIPCIN
Especifica el protocolo que debe coincidir con la regla, los valores pueden ser icmp,tcp,udp o all Especifica el host o la red de origen, se utiliza la convencin x.x.x.x/x para la definicin de redes Especifica el host o la red de destino, se utiliza la convencin x.x.x.x/x para la definicin de redes Especifica el puerto de origen del equipo Especifica el puerto de destino del equipo 12

-j accin

Especifica qu hacer con el paquete si hay coincidencia con la regla, los posibles valores pueden ser: DROP , descarta el paquete REJECT, rechaza el paquete enviando una respuesta al origen LOG, guarda el paquete en un archivo de log. MARK, marca el paquete para realizar otra accin luego TOS, cambia el TOS (Bit del Tipo de servicio) del paquete.

Ejemplos de uso de Iptables En los siguientes ejemplos se asume que el firewall esta conectado a una red local con el rango de direcciones IP desde la 192.168.0.1 hasta la 192.168.0.254, que la interfaz eth1 esta conectado a la LAN y la interfaz eth0 esta conectado a la WAN. 1. Comenzamos por eliminar todas las reglas existentes utilizando el comando Flush: iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT 2. Colocamos las polticas por defecto, las cuales siempre deben ser negar todo: iptables -P FORWARD DROP iptables -P INPUT DROP 3. Generalmente se permite que las conexiones generadas desde la red interna se permitan hacia cualquier destino, para esto utilizaremos la caractersticas de firewall orientado a conexin que tiene iptables: iptables -I FORWARD -s 192.168.0.1/24 -m state state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -I FORWARD -d 192.168.0.1/24 -m state state RELATED,ESTABLISHED -j ACCEPT 4. Permitiremos conexiones desde la red externa a nuestro servidor Web y de correo que tienen las direcciones IP 192.168.0.5 y 192.168.0.6 respectivamente. iptables -I FORWARD -d 192.168.0.5 -p tcp dport 80 -j ACCEPT

13

iptables -I FORWARD -d 192.168.0.6 p tcp dport 25 -j ACCEPT 5. Finalmente guardaremos todos los paquetes que van a ser descartados por el firewall iptables -I FORWARD -j LOG NAT con Iptables Cuando fue diseado el protocolo ipv4, no se pens que Internet tendra el auge que posee actualmente, lo cual con el tiempo dio como resultado la restricciones en el otorgamiento de las direcciones IP, esto trajo como consecuencia la utilizacin de direcciones IP privadas en los equipos a conectarse a la red, y surgi la necesidad de disear un mecanismo para convertir las mismas en direcciones validas de Internet. Este mecanismo se denomina NAT (Network Address Translation), y es el que permite que se pueden utilizar direcciones IP en redes privadas y luego cambiarlas a IP vlidas al momento de conectarse a la Internet. Iptables provee de un mecanismo para poder realizar NAT, y es denominado IP masquerade, el cual consiste en que cuando el paquete llega al firewall con la ip privada, esta es removida y se le coloca la IP vlida, luego al retornar el paquete el firewall conoce que IP privada realiz la solicitud, y le reenva el paquete destino a esta. El enmascaramiento de IP se realiza con la siguiente instruccin: #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Cuando se conocen las direcciones IP publicas es posible realizar el NAT, utilizandolas de manera especifica: #iptables -t nat -A POSTROUTING -o eth0 -j 200.52.30.1 Escner de Puertos El trmino escner de puertos se emplea para designar la accin de analizar por medio de un programa el estado de los puertos de una mquina conectada a una red de comunicaciones. Detecta si un puerto est abierto, cerrado o
14

SNAT --to

protegido por un firewall.

Se utiliza para detectar qu servicios comunes est ofreciendo la mquina y posibles vulnerabilidades de seguridad segn los puertos abiertos. Tambin puede llegar a detectar el sistema operativo que est ejecutando la mquina segn los puertos que tiene abiertos. Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero tambin es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la mquina o la red. Rastreo de puertos TCP Para establecer una conexin normal TCP, es necesario seguir una negociacin de tres pasos. Esta negociacin es iniciada con un paquete SYN en la mquina de origen, al que la mquina de destino corresponde con un paquete SYN/ACK, que es finalmente respondido por la mquina que inicia la conexin por un paquete ACK. Una vez que se han cumplido estos pasos, est hecha la conexin TCP. Un rastreador de puertos enva muchos paquetes SYN a la mquina que se est probando, y mira de qu forma regresan los paquetes para ver el estado de los puertos en el destino, interpretndolos de la siguiente forma:

Si al enviar un paquete SYN a un puerto especfico, el destino devuelve un SYN/ACK, el puerto est abierto y escuchando conexiones.

En otro caso, si regresa un paquete RST, el puerto est cerrado. Por ltimo, si no regresa el paquete, o si se recibe un paquete ICMP Port Unreachable, el puerto est filtrado por algn tipo de cortafuegos.

Haciendo este procedimiento para una lista de puertos conocidos, se logra obtener un informe de estado de los puertos de la mquina probada. Rastreo de puertos UDP Aunque el protocolo UDP no est orientado a la conexin, es posible realizar un revisin. No tiene un paquete SYN como el protocolo TCP, sin embargo si
15

un paquete se enva a un puerto que no est abierto, responde con un mensaje ICMP Port Unreachable. La mayora de los escneres de puertos UDP usan este mtodo, e infieren que si no hay respuesta, el puerto est abierto. Pero en el caso que est filtrado por un firewall, este mtodo dar una informacin errnea. Una opcin es enviar paquetes UDP de una aplicacin especfica, para generar una respuesta de la capa de aplicacin. Por ejemplo enviar una consulta DNS. Consideraciones al utilizar un Escner de Puertos Cuando se planee realizar un escner de puertos, se debe tomar en cuenta que esta es una actividad que requiere uso intensivo de la red, escanear decenas o cientos de equipos en un lapso corto de tiempo puede hacer que su red quede inaccesible. El escaneo de puertos puede ser considerado una actividad ilegitima, por lo cual algunos ISP pueden bloquear su red si se determina que se est realizando esta actividad. NMAP (NetworkMAPper) Nmap (mapeador de redes) es una herramienta de cdigo abierto para exploracin de red y auditora de seguridad. Se dise para analizar rpidamente grandes redes, aunque funciona muy bien contra equipos individuales. NMAP utiliza paquetes IP "crudos" en formas originales para determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y sus versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando as como docenas de otras caractersticas. Aunque generalmente se utiliza NMAP en auditoras de seguridad, muchos administradores de redes y sistemas lo encuentran til para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificacin de actualizacin de servicios y el monitor del tiempo que los equipos o servicios se mantienen activos. La salida de NMAP es un listado de objetivos analizados, con informacin

16

adicional

para

cada

uno

dependiente

de

las

opciones

utilizadas.

La

informacin primordial es la tabla de puertos interesantes. Dicha tabla lista el nmero de puerto y protocolo, el nombre ms comn del servicio, y su estado. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no filtrado). Abierto significa que la aplicacin en la mquina destino se encuentra esperando conexiones o paquetes en ese puerto. Filtrado indica que un cortafuegos, filtro, u otro obstculo en la red est bloqueando el acceso a ese puerto, por lo que NMAP no puede saber si se encuentra abierto o cerrado. Los puertos cerrados no tienen ninguna aplicacin escuchando en los mismos, aunque podran abrirse en cualquier momento. Los clasificados como no filtrados son aquellos que responden a los sondeos de NMAP, pero para los que NMAP no puede determinar si se encuentran abiertos o cerrados. NMAP informa de las combinaciones de estado open|filtered y closed|filtered cuando no puede determinar en cual de los dos estados est un puerto. La tabla de puertos tambin puede incluir detalles de la versin de la aplicacin cuando se ha solicitado deteccin de versiones. NMAP ofrece informacin de los protocolos IP soportados, en lugar de puertos abiertos, cuando se solicita un anlisis de protocolo IP con la opcin (-sO). Adems de la tabla de puertos interesantes, NMAP puede dar informacin adicional sobre los objetivos, incluyendo el nombre de DNS segn la resolucin inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo y direcciones MAC. Nmap se debe instalar en Debian de la siguiente manera: #aptitude install nmap y luego vamos a ejecutarlo con la opcin -A, que adicionalmente a los puertos que estn abiertos intentar detectar el sistema operativo y la versin del mismo. #nmap -A localhost Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-08-17 07:36 VET
17

Interesting ports on localhost (127.0.0.1): Not shown: 1674 closed ports PORT STATE SERVICE VERSION Exim smtpd 4.63 Apache httpd 2.2.3 ((Debian)) 25/tcp open smtp 80/tcp open http

111/tcp open rpcbind 2 (rpc #100000) 113/tcp open ident OpenBSD identd 389/tcp open ldap 631/tcp open ipp OpenLDAP 2.2.X CUPS 1.2

No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi). Service Info: Host: alberto-laptop; OS: OpenBSD Nmap finished: 1 IP address (1 host up) scanned in 15.824 seconds Esta salida muestra que el equipo est escuchando por los puertos 25,80,111,113,389 y 631 as como los programas de cada uno de los puertos. Escner de Vulnerabilidad La mayora de los ataques provienen de la capa de aplicacin, por lo cual a pesar de tener asegurados nuestros equipos y configurado un firewall, esto no garantiza que la seguridad de los mismos pueda ser vulnerada. Para verificar como est el equipo a nivel de aplicacin existen los software que detectan vulnerabilidades. Un escner de vulnerabilidad es un software diseado para buscar e identificar sistemas y sus debilidades en la capa de aplicacin, computador o red. Bsicamente un escner de vulnerabilidad revisa direcciones IP , puertos abiertos y aplicaciones corriendo, en el segundo nivel genera un reporte de los mismos, en el tercer nivel verifica el estado del sistema operativo y las aplicaciones, en este proceso el escner puede causar un fallo en la aplicacin o el sistema operativo y en el cuarto nivel el escner intenta vulnerar el sistema haciendo uso de las debilidades encontradas. Un escner amistoso suele llegar hasta el nivel 2 3 , mientras que uno malicioso llega hasta el nivel 4.
18

Nessus Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo y nessus, el cliente (basado en consola o grfico) que muestra el avance y reportes. Desde la consola, nessus puede ser programado para hacer escaneos programados con cron. En operacin normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y despus intentar varios exploits para atacarlos. Las pruebas de vulnerabilidad disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en ingls), un lenguaje scripting optimizado para interacciones personalizadas en redes. Opcionalmente, los resultados del escaneo pueden ser exportados en reportes de varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados tambin pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades. Algunas de las pruebas de vulnerabilidad de Nessus pueden causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando unsafe test (pruebas no seguras) antes de escanear. Para instalar nessus en Debian/GNU se debe instalar el mismo de la siguiente manera: #aptitude install nessusd nessus Lo cual instala el cliente y el servidor de nessus, luego se debe crear un usuario ejecutando: #nessus-adduser

Con lo cual se puede autenticar a travs del cliente y hacer anlisis de vulnerabilidades. Se puede, entonces, iniciar el cliente nessus para conectarse al servidor nessusd. Para ejecutar el cliente, basta con escribir "nessus &" en un intrprete de comandos. Entonces se abre la ventana de configuracin,
19

despus se le pregunta la contrasea mencionada anteriormente. Esta ventana proporciona siete pestaas. La primera de ellas es llamada "nessusd host". Desde la que puede conectarse al anfitrin nessusd dando clic en el botn "Log in". Naturalmente, esto supone que usted esta autorizado para conectarse como tal usuario, en otras palabras, su nombre de usuario esta declarado en la base de datos de usuario. La segunda pestaa concierne a los plugins. Esta es donde se selecciona o no los plugins que sern usados para el escaneo. Por ejemplo, se puede desactivar los plugins peligrosos (Los que son capaces de colgar una mquina!). Haciendo clic en un plugin se mostrar alguna informacin acerca del mismo en la parte inferior de la ventana.

20

La tercera pestaa permite definir las preferencias de los plugins. Esto

21

concernientes a ping, TCP, FTP entre otros. Aqu muy bien se puede afinar la manera en que se usar nessus para escanear el anfitrin(es) destino o red.

La cuarta pestaa le permite definir las opciones del escner y los puertos que
22

el escaneador usar. Usualmente, nmap es uno de ellos.

23

La quinta pestaa es donde se le dir a nessus los destinos de su exploracin.

En el campo target se puede escribir el nombre de un anfitrin, el nombre de diferentes anfitriones separados por comas, una o ms direcciones IP, de
24

nuevo separadas por comas o una direccin de red con su mscara de red (por ejemplo 192.168.1.0/24). Existe tambin una caja de comprobacin para ejecutar una zona de transferencia DNS. Esto es, conectndose a un servidor DNS, nessus tratar de obtener la lista de hosts en este dominio. Cuando se inicia el escner, nessus abre una ventana desplegando el estado del barrido. Por ejemplo, supongamos que est probando una red completa, llamada 192.168.1.0/24. Ocho mquinas (anfitriones) sern desplegadas de inmediato, mostrando cual plugin est usando para cada mquina junto a un indicador de progreso. Como se puede ver, la prueba completa puede detenerse en cualquier momento dando clic en el botn correspondiente. Obviamente, si se escanea una red completa con muchos anfitriones, la prueba se tomar ms tiempo. Depender de los Sistemas Operativos, la rapidez de la red, el rol de las mquinas (ms o menos puertos abiertos), el nmero de plugins activos, entre otros. Usted tambin puede probar otras dos formas distintas: los escaneos separados o los escaneos diferenciales. Esto presupone que compil nessus con la opcin de configuracin --enable-save-kb. El escaneo separado permite ejecutar pruebas en segundo plano mientras el escaneo diferencial, como su nombre lo indica, solamente muestra las diferencias entre dos escaneos. Luego del escaneo, nessus mostrar una pantalla con el informe final del mismo

25

Estos reportes son preferentemente detallados y a menudo sugieren una solucin para vulnerabilidades encontradas. An ms, ellos en realidad son fiables. Si una vulnerabilidad es encontrada no es precisamente que sea tal, nessus le informa que puede ser una falsa alarma. Esto puede ocurrir, por ejemplo, con versiones actualizadas de algunos demonios: una vulnerabilidad recientemente corregida puede ser detectada como un riesgo potencial. Sin embargo, para esta clase de cosas, los plugins son rpidamente actualizados. Capturas de Datos (Sniffers) Un sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque tambin puede ser utilizado con fines maliciosos. Es algo comn que, por topologa de red y necesidad material, el medio de transmisin (cable coaxial, UTP, fibra ptica, entre otros.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un
26

computador capture las tramas de informacin no destinadas a l. Para conseguir esto, el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos (ver niveles OSI) no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede obtener (sniffear) todo tipo de informacin de cualquier aparato conectado a la red como contraseas, e-mail, conversaciones de chat o cualquier otro tipo de informacin personal (por lo que son muy usados por hackers, aunque tambin suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal). Un Sniffer es una aplicacin de monitorizacin y de anlisis para el trfico de una red para detectar problemas. Lo hace buscando cadenas numricas o de caracteres en los paquetes. Se usa especficamente para detectar problemas de congestin (Cuellos de Botellas) Topologa de redes La cantidad de tramas que puede obtener un sniffer depende de la topologa de red, del nodo donde est instalado y del medio de transmisin. Por ejemplo:

Para redes antiguas con topologa en estrella, el sniffer se podra instalar en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe a todos los nodos. Sin embargo en las redes modernas, en las que solo lo retransmite al nodo destino, el nico lugar donde se podra poner el sniffer para que capturara todas las tramas sera el nodo central.

Para topologa en anillo, doble anillo y en bus, el sniffer se podra instalar en cualquier nodo, ya que todos tienen acceso al medio de transmisin compartido.

Para las topologa en rbol, el nodo con acceso a ms tramas sera el nodo raz, aunque con los switches ms modernos,las tramas entre niveles inferiores de un nodo viajaran directamente y no se propagaran al nodo raz.

Es importante remarcar el hecho de que los sniffers slo tienen efecto en

27

redes que compartan el medio de transmisin como en redes sobre cable coaxial, cables de par trenzado (UTP, FTP o STP), o redes WiFi. El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas nicamente a sus correspondientes destinatarios. Los principales usos que se le pueden dar son:

Captura automtica de contraseas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por crackers para atacar sistemas a posteriori.

Conversin del trfico de red en un formato entendible por los humanos.

Anlisis de fallos para descubrir problemas en la red, tales como: por qu el computado A no puede establecer una comunicacin con el computador B?

Medicin del trfico, mediante el cual es posible descubrir cuellos de botella en algn lugar de la red.

Deteccin de intrusos, con el fin de descubrir hackers. Aunque para ello existen programas especficos llamados IDS (Intrusion Detection System, Sistema de Deteccin de intrusos), estos son prcticamente sniffers con funcionalidades especficas.

Creacin de registros de red, de modo que los hackers no puedan detectar que estn siendo investigados.

TCPDump. Es una herramienta en lnea de comandos cuya utilidad principal es analizar el trfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos en la red a la cual el computador est conectado. TCPDUMP funciona en la mayora de los sistemas operativos UNIX: Linux, Solaris, BSD, Mac OS X, HP-UX y AIX entre otros. En esos sistemas,
28

TCPDUMP hace uso de la librera libpcap para capturar los paquetes que circulan por la red. En UNIX y otros sistemas operativos, es necesario tener los privilegios del root para utilizar TCPDUMP. El usuario puede aplicar varios filtros para que sea ms depurada la salida. Un filtro es una expresin que va detrs de las opciones y que nos permite seleccionar los paquetes que estamos buscando. En ausencia de sta, el tcpdump volcar todo el trfico que vea el adaptador de red seleccionado. Utilizacin frecuente de TCPDUMP

Para depurar aplicaciones que utilizan la red para comunicar. Para depurar la red misma. Para capturar y leer datos enviados por otros usuarios u computadores. Algunos protocolos como POP3,IMAP y HTTP no cifran por defecto los datos que envan en la red. Un usuario que tiene el control de un equipo a travs del cual circula todo el trafico de la red puede usar tcpdump para lograr contraseas u otras informaciones.

Para instalar tcpdump en Debian/GNU se debe ejecutar en consola como usuario root el siguiente comando: #aptitude install tcpdump

La utilizacin de tcpdump se hace de la siguiente manera : tcpdump <opciones> <expresiones> Ejemplos Capturar trafico cuya IP origen sea 192.168.3.1 #tcpdump src host 192.168.3.1 Capturar trfico cuya direccin origen o destino sea 192.168.3.2 #tcpdump host 192.168.3.2 Capturar trfico cuya direccin origen o destino sea 192.168.3.2 y guardarlo en el archivo output par un posterior anlisis

29

#tcpdump -w output host =192.168.3.2 Capturar trfico con destino a la direccin MAC 50:43:A5:AE:69:55 #tcpdump ether dst 50:43:A5:AE:69:55 Capturar trfico con red destino 192.168.3.0 #tcpdump dst net 192.168.3.0 Capturar trfico con red origen 192.168.3.0/28 #tcpdump src net 192.168.3.0 mask 255.255.255.240 #tcpdump src net 192.168.3.0/28 Capturar trfico con destino el puerto 23 #tcpdump dst port 23 Capturar trfico con origen o destino el puerto 110 #tcpdump port 110 Capturar los paquetes de tipo ICMP #tcpdump ip proto \\icmp Capturar los paquetes de tipo UDP #tcpdump ip proto \\udp #tcpdump udp Capturar el trfico Web #tcpdump tcp and port 80 Capturar las peticiones de DNS #tcpdump udp and dst port 53 Capturar el trfico al puerto telnet o SSH #tcpdump tcp and \(port 22 or port 23\) Capturar todo el trfico excepto el web
30

#tcpdump tcp and not port 80 #tcpdump tcp and ! port 80 Whireshark Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didctica para educacin. La funcionalidad que provee es similar a la de tcpdump, pero aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver todo el trfico que pasa a travs de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuracin en modo promiscuo. Tambin incluye una versin basada en texto llamada TShark. Wireshark permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la informacin capturada a travs de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que se quiere ver y la habilidad de mostrar el flujo reconstruido de una sesin de TCP. Es software libre y se ejecuta sobre la mayora de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, as como en Microsoft Windows. Aspectos importantes de Wireshark

Mantenido bajo la licencia GPL (General Public License) Trabaja tanto en modo promiscuo como en modo no promiscuo. Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa)

Basado en la librera pcap. Tiene una interfaz muy flexible. Capacidades de filtrado poderosas.

31

Admite el formato estndar de archivos tcpdump. Reconstruccin de sesiones TCP. Se ejecuta en ms de 20 plataformas. Es compatible con ms de 480 protocolos.

Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de ejecucin especiales. Es por esta razn que Wireshark es ejecutado con permisos de Superusuario. Tomando en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el riesgo de un error en el cdigo del analizador podra poner en riesgo la seguridad del sistema como por ejemplo, permitir la ejecucin de cdigo externo. Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribucin de Wireshark en modo Superusuario, para capturar los paquetes desde la interfaz de red y almacenarlos en el disco, para despus analizarlos ejecutando Wireshark con menores privilegios y leyendo el archivo con los paquetes para su posterior anlisis. Para instalar wireshark en Debian/GNU se debe ejecutar, desde una consola como usuario root. #aptitude install wireshark Sistemas de Deteccin de Intrusos Un sistema de deteccin de intrusos IDS de sus siglas en ingls (Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser atacantes que utilizan herramientas automticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo del IDS puede obtener datos externos, generalmente sobre el trfico de red. El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas

32

Funcionamiento El funcionamiento de esta herramienta se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes mal formados, entre otros. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo. Tipos de IDS Existen tres tipos de sistemas de deteccin de intrusos: 1. HIDS (HostIDS): un IDS vigilando un nico computador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor. 2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red. 3. DIDS (DistributedIDS): sistema basado en la arquitectura clienteservidor compuesto por una serie de NIDS (IDS de redes) que actan como sensores centralizando la informacin de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base
33

de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializndose para cada segmento de red. IDS Sistemas pasivos y sistemas reactivos En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda una seal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando por ejemplo el firewall para que bloquee trfico que proviene de la red del atacante. Implementacin Para poner en funcionamiento un sistema de deteccin de intrusos se debe tener en cuenta que es posible optar por una solucin hardware, software o incluso una combinacin de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho trfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta. En redes es necesario considerar el lugar de colocacin del IDS. Si la red est segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el trfico de la red realizando una conexin a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto donde se haga un espejo de todo el trafico de la red para poder analizarla. Snort. Es un IDS que puede funcionar como sniffer de paquetes y como detector de intrusos basado en red. Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID: Analysis Console for

34

Intrusion Databases) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS implementa un lenguaje de creacin de reglas flexible, potente y sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap. Puede funcionar como sniffer (se puede ver en consola y en tiempo real qu ocurre en la red, todo el trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algn patrn establecido en las reglas de configuracin, se logea. As se sabe cuando, de donde y cmo se produjo el ataque. An cuando tcpdump es considerada una herramienta de auditora muy til, no se considera un verdadero IDS puesto que no analiza ni seala paquetes por anomalas. Tcpdump imprime toda la informacin de paquetes a la salida en pantalla o a un archivo de registro sin ningn tipo de anlisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente maliciosas y las almacena en un registro formateado, as, Snort utiliza la librera estndar libcap y tcpdump como registro de paquetes en el fondo. Snort est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, as como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a travs de los distintos boletines de seguridad. La caracterstica ms apreciada de Snort, adems de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se est actualizando constantemente y a la cual se puede aadir o actualizar a travs de la Internet. Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de Snort se puedan beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en uno

35

de los IDSes basados en red ms populares, actualizados y robustos. Para instalar Snort en Debian Gnu/Linux se debe ejecutar desde una consola como usuario root lo siguiente: el software acidbase: #aptitude install snort y luego para instalar la interfaz web que permitir ver los resultados del IDS, se instalar #aptitude install acidbase

Este proceso preguntar sobre el software de base de datos, base de datos, usuarios y contraseas a utilizar. EJERCICIOS CON IPTABLES Para todos los ejercicios, se coloca la salida del comando iptables-save, para que luego puedan ser restaurados con iptables-restore. Ejercicio 01- Configure un firewall local para cada mquina Para este caso utilizaremos nicamente la cadena Input, que es la que se refiere a los paquetes que vienen con origen el equipo especifico. # Generated by iptables-save v1.3.6 on Tue Aug 19 09:10:51 2008 *filter #Coloco las politicas por defecto, en este caso la cadena utilizada es INPUT :INPUT DROP [162:12834] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [69:11050] #Permito todas las conexiones del mismo equipo -A INPUT -s 127.0.0.1 -j ACCEPT #Permito que todas las conexiones generadas del equipo hacia afuera puedan establecerse -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Tue Aug 19 09:10:51 2008

Ejercicio 02- Caso red01. Su unidad productiva es contratada para instalar y configurar un firewall, el

36

diseo de la red es el siguiente :

Solucin. La configuracin del firewall seria la siguiente: # Generated by iptables-save v1.3.6 on Thu Aug 21 11:32:28 2008 *filter #Coloco la Politica de Forward en DROP :INPUT ACCEPT [3211:2388440] :FORWARD DROP [0:0] :OUTPUT ACCEPT [2585:488282] #Utilizo la tabla de conexiones de iptables para los aceptar conexiones entrantes solamente si la conexin fue generada desde un equipo de la red 150.188.131.0/24 -A FORWARD -d 150.188.131.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -j ACCEPT #Utilizo la tabla de conexiones de iptables para los aceptar conexiones generadas desde los equipos de la red 150.188.131.0/24 -A FORWARD -s 150.188.131.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT #Acepto conexiones de al servidor de correo en los puertos 25 y 110 -A FORWARD -d 150.188.131.11 -p tcp -m multiport --dports 110,25 -j ACCEPT #Acepto conexiones al servidor web por el puerto 80
37

-A FORWARD -d 150.188.131.10 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Thu Aug 21 11:32:28 2008

Ejercicio 03- Caso red02. Su unidad productiva es contratada para instalar y configurar un firewall, el diseo de la red es el siguiente :

1. Los servidores de correo y Web se deben acceder desde Internet y la red de usuarios. 2. El servidor LDAP esclavo debe conectarse al servidor maestro. 3. Los usuarios de San Felipe pueden acceder al servidor de aplicaciones internas. 4. Los usuarios de San Felipe pueden acceder al servidor de Mensajera Instantnea Jabber.

38

5. El servidor NFS de San Felipe hace una transferencia con Rsync de los datos que estn en Caracas. 6. Los usuarios VIP acceden a Internet sin restricciones. 7. Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a Internet nicamente por el puerto 80. 8. Los usuarios desde la direccin IP 150.188.3.128 a la 254 no acceden a Internet. 9. Todos los usuarios de Caracas acceden al Servidor NFS, Impresin, LDAP, Mensajera Instantnea y aplicaciones internas. 10.El servidor de aplicaciones Internas escucha por el puerto tcp 8080, 11.Los administradores con direcciones IP 150.188.9.10 y 150.188.9.11 pueden acceder por ssh a todos los servidores de las dos sedes. 12.El Firewall (150.188.10.1) acepta conexiones ssh solo de las IP de los administradores. NOTA : Todas las configuraciones son nicamente en el FW de Caracas. Solucin. La configuracin del Firewall seria la siguiente: # Generated by iptables-save v1.3.6 on Tue Aug 19 16:32:31 2008 *filter #Coloco las polticas por defecto :INPUT DROP [27335:2637307] :FORWARD DROP [0:0] :OUTPUT ACCEPT [15591:3413499] #Los administradores pueden acceder al Firewall. Pregunta 12 -A INPUT -s 150.188.9.11 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 150.188.9.10 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 127.0.0.1 -j ACCEPT #Los administradores pueden conectarse por ssh a los servidores (Solucin Pregunta 11) -A FORWARD -s 150.188.9.10 -d 150.187.16.0/255.255.255.0 -p tcp -m tcp
39

--dport 22 -j ACCEPT -A FORWARD -s 150.188.9.10 -d 150.187.15.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.11 -d 150.187.16.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.11 -d 150.187.15.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.11 -d 150.187.1.0/255.255.255.224 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.188.9.10 -d 150.187.1.0/255.255.255.224 -p tcp -m tcp --dport 22 -j ACCEPT #Todos los usuarios acceden al Servidor NFS, Impresin, Ldap, Mensajera Instantnea y aplicaciones internas. (Pregunta 9) -A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p udp -m udp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.1 -p tcp -m tcp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.3.0/255.255.255.0 -d 150.188.15.0/255.255.255.0 -p tcp -m multiport --dports 25,80,110,631,389,636,5222,8080 -j ACCEPT #Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a Internet nicamente puerto 80. (Pregunta 7) -A FORWARD -s 150.188.3.0/255.255.255.128 -p tcp -m tcp --dport 80 -j ACCEPT El servidor NFS de San Felipe hace una transferencia con Rsync de los datos que estn en Caracas. (Pregunta 5) -A FORWARD -s 150.187.1.6 -d 150.188.15.1 -p tcp -m tcp --dport 873 -j ACCEPT #Los usuarios de San Felipe pueden acceder al servidor de aplicaciones internas. (Pregunta 3) -A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.4 -p tcp -m tcp --dport 8080 -j ACCEPT #Los usuarios de San Felipe pueden acceder al servidor de Mensajera Instantnea Jabber. (Pregunta 4)
40

-A FORWARD -s 150.187.2.0/255.255.255.0 -d 150.188.15.5 -p tcp -m tcp --dport 5222 -j ACCEPT #El servidor LDAP esclavo debe conectarse al servidor maestro. Pregunta 2 -A FORWARD -s 150.187.1.5 -d 150.188.15.3 -p tcp -m multiport --dports 389,636 -j ACCEPT #Acepto conexiones de al servidor Web al puerto 80. (Pregunta 1) -A FORWARD -d 150.188.16.2 -p tcp -m tcp --dport 80 -j ACCEPT #Acepto conexiones de al servidor de correo en los puertos 25 y 110. (Pregunta 1) -A FORWARD -d 150.188.16.1 -p tcp -m multiport --dports 25,110 -j ACCEPT #Todos los usuarios de Caracas acceden al Servidor NFS, Impresin, Ldap, Mensajera Instantnea y aplicaciones internas. (Pregunta 9) -A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p tcp -m tcp --dport 2049 -j ACCEPT -A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.1 -p udp -m udp --dport 2049 -j ACCEPT #Todos los usuarios de Caracas acceden al Servidor NFS, Impresin, Ldap, Mensajera Instantnea y aplicaciones internas. (Pregunta 9) -A FORWARD -s 150.188.9.0/255.255.255.0 -d 150.188.15.0/255.255.255.0 -p tcp -m multiport --dports 25,80,110,631,389,636,5222,8080 -j ACCEPT #Los usuarios VIP acceden a Internet sin restricciones. (Pregunta 6) -A FORWARD -s 150.188.9.0/255.255.255.0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT #Los usuarios VIP acceden a Internet sin restricciones. (Pregunta 6) -A FORWARD -d 150.188.9.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -j ACCEPT #Los usuarios desde la direccin IP 150.188.3.0 a la 127 acceden a Internet nicamente puerto 80. (Pregunta 7) -A FORWARD -d 150.188.3.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -j ACCEPT #Los usuarios desde la direccin IP 150.188.3.128 a la 254 no acceden a Internet. (Pregunta 8)
41

-A FORWARD -s 150.188.3.128/255.255.255.128 -j DROP COMMIT # Completed on Tue Aug 19 16:32:31 2008 Ejercicio 04- Caso red03 Su unidad productiva es contratada para instalar y configurar un firewall, el diseo de la red es el siguiente :

1. Los servidores de correo y Web se deben acceder desde Internet y la red de usuarios. 2. El servidor LDAP esclavo debe conectarse al servidor maestro. 3. Los usuarios de Valencia con los IP 192.168.100.56 y 192.168.100.57 pueden acceder al servidor de base de datos Mysql al puerto 3306. 4. Todas las peticiones al puerto 80 de los usuarios de Valencia se direccionan al servidor Proxy.

42

5. Los usuarios VIP de Caracas acceden a Internet sin restricciones y sin pasar por el proxy. 6. Los usuarios desde la direccin IP 192.168.101.0 a la 127 acceden a Internet nicamente a travs del Proxy puerto 80. 7. Los usuarios desde la direccin IP 192.168.101.128 a la 254 no acceden a Internet y cualquier peticin de ellos se direccionan al servidor web de la organizacin. 8. Todos los usuarios de Caracas acceden al Servidor LDAP,

Impresin,DNS. 9. Las aplicaciones en el servidor Datos 10.Los usuarios de Valencia acceden al servidor de DNS. 11.Los sedes. 12. Los Firewall de Caracas y Valencia aceptan conexiones ssh solo de las IP de los administradores. Solucin. Configuracin FW de Valencia # Generated by iptables-save v1.3.6 on Thu Aug 21 16:08:24 2008 *nat :PREROUTING ACCEPT [2564:293742] :POSTROUTING ACCEPT [79:6381] :OUTPUT ACCEPT [79:6381] -A PREROUTING -s 192.168.100.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 150.185.1.1:3128 -A POSTROUTING -s 192.168.100.57 -j SNAT --to-source 150.185.1.10 -A POSTROUTING -s 192.168.100.56 -j SNAT --to-source 150.185.1.10 -A POSTROUTING -s 192.168.100.0/255.255.255.0 -j SNAT --to-source 150.185.1.11-150.185.1.15
43

Web acceden al Servidor de Base de

administradores

con

direcciones

IP

192.168.102.10

192.168.102.11 pueden acceder por ssh a todos los servidores de las dos

COMMIT # Completed on Thu Aug 21 16:08:24 2008 # Generated by iptables-save v1.3.6 on Thu Aug 21 16:08:24 2008 *filter :INPUT ACCEPT [33165:14511707] :FORWARD DROP [0:0] :OUTPUT ACCEPT [29657:3581481] -A FORWARD -s 192.168.100.0/255.255.255.0 -d 150.187.17.3 -j ACCEPT -A FORWARD -s 150.187.1.100 -d 150.185.1.5 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -s 150.187.1.100 -d 150.185.1.1 -p tcp -m tcp --dport 22 -j ACCEPT -A FORWARD -d 150.185.1.1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 150.185.1.5 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 150.185.1.5 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 150.185.1.1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A -A FORWARD FORWARD -d -s 192.168.100.0/255.255.255.0 192.168.100.0/255.255.255.0 -m -m state state --state --state RELATED,ESTABLISHED -j ACCEPT NEW,RELATED,ESTABLISHED -j ACCEPT COMMIT

44