Actividad 3

Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 3. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema Luis Carlos Barrera Upegui 15/02/2014 3 Ataques y Vulnerabilidades

Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI gracias a su trabajo. Tambin, para mayor proteccin, usted enunci los procedimientos que deben llevarse a cabo para asegurar el flujo de informacin. En este momento, es necesario que como gestor de la red reconozca los ataques y las vulnerabilidades ms frecuentes en los sistemas, y con esta informacin complemente su plan de accin, su esquema de seguridad, y sobre todo, sus procedimientos.

Preguntas interpretativas 1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial of service, por ejemplo, existen diferentes maneras de llevar a cabo esta vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de mantenimiento en el que explique esta situacin. R//: Consumo de recursos escasos: los ataques de denial of service bloquean los recursos que los computadores requieren como ancho de banda, espacio en memoria, disco duro, etc. Lo anterior hace que los computadores no puedan conectarse a la red, de esta manera alteran el modelo Productor- consumidor (P-C). Destruccin o alteracin de informacin de configuracin: sabemos que todo computador, router, servidor tienen informacin de configuracin establecida que no se debe modificar, a menos que lo requiera para su correcto funcionamiento; este tipo de ataque desequilibra el algoritmo P-C, debido a que evita el acceso a recursos al mismo sistema o el acceso a la red. Destruccin o alteracin fsica de los componentes de la red: sabemos que en toda

1 Redes y seguridad
Actividad 3

seguridad informtica se debe garantizar la integridad de los elementos fsicos de la red, como routers, servidores, Hub, cables, computadores, etc. Cualquier dao a los elementos fsicos de la red interrumpirn el algoritmo P-C.

2. Toda herramienta usada en la administracin de una red, es potencialmente maligna y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de procedimientos, una clusula en la que haga pblica esta observacin. Tenga en cuenta la divisin de puestos de trabajo explicada en unidades anteriores. R//: toda herramienta (software) usado en la administracin de redes es benigna ya que robustece la seguridad de la red, permitiendo el monitoreo de la misma y tambin se pueden predecir ciberataques. Dichas herramientas pueden beneficiar nuestro proceso de administracin de red, pero tambin pueden ser malignas ya que los crackers pueden conocer la funcionalidad de dichas herramientas y utilizarlas en nuestra contra, causando lesiones parciales o totales en seguridad de la red, como por ejemplo la extraccin de informacin de una empresa. Preguntas argumentativas

1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el

diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios para el problema de e-mail bombing, spamming y el denial of service? Justifique su eleccin. R//: Los logsticos ms importantes son los que se generan mediante los programas de monitores de red y permiten graficar comportamientos inusuales y los que detectan y eliminan automticamente los mails malintencionados estos dos tipos de logstico seran los prioritarios, pues permiten tomar medidas preventivas.

2. Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un

informe en el que explique el porqu se deben instalar demonios en el sistema de comunicacin de la empresa, cules y por qu. R//: sabemos que los daemon son programas que se ejecutan en segundo plano, y que no tienen interfaz grfica para comunicarse con el usuario. Su objetivo es brindar procesos y servicios de manera silenciosa. A travs del daemon por ejemplo TELNET se crea una conexin entre cliente y servidor que sirve para transferir informacin. Los daemon que se podran instalar son: SYSLOGD: syslog es un estndar ampliamente utilizado para el envo de mensajes de registro en una red informtica IP.

2 Redes y seguridad
Actividad 3

Un mensaje de registro suele tener informacin sobre la seguridad del sistema, aunque puede contener cualquier informacin. Junto con cada mensaje se incluye la fecha y hora del envo. Es til registrar, por ejemplo: Un intento de acceso con contrasea equivocada Un acceso correcto al sistema Anomalas: variaciones en el funcionamiento normal del sistema Alertas cuando ocurre alguna condicin especial Informacin sobre las actividades del sistema operativo Errores del hardware o el software

Tambin es posible registrar el funcionamiento normal de los programas; por ejemplo, guardar cada acceso que se hace a un servidor web, aunque esto suele estar separado del resto de alertas. ARGUS: herramienta de dominio pblico, permite auditar el trfico IP que se produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre. Este programa se ejecuta como un demonio y escucha directamente del interfaz de red de la mquina, y su salida es mandada bien a un fichero de trazas o a otra mquina para all ser leda. En la captura de paquetes IP se le puede especificar condiciones de filtrado como protocolos especficos, nombres de mquinas, etc. Una caracterstica de esta herramienta es la posibilidad de filtrar paquetes de acuerdo a las listas de acceso de los routers CISCO. Es posible por tanto decirle que nos capture aquellos paquetes que no cumplen las reglas de la lista de acceso definida para ese interfaz del router. Este programa divide las transacciones en cuatro grupos: TCP, UDP/DNS, MBONE, ICMP.

Preguntas propositivas

1. Seleccione las herramientas que considere necesarias para usar en su red de datos, que permitan generar un control de acceso. Tenga en cuenta que estas herramientas seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn, cree el procedimiento de uso de cada una de las herramientas seleccionadas.

R//: TCP-WRAPPER Restringe la conexin de sistemas no deseados a servicios de nuestra red. ejecuta comandos de manera automtica cuando se generan acciones en la red. deja una traza de las conexiones hechas en la red, tanto a servicios admitidos como

3 Redes y seguridad
Actividad 3

no admitidos. Podemos decir que esta herramienta es efectiva para el control y monitoreo de la actividad de la red en nuestra empresa. NETLOG genera trazas de los paquetes movidos en la red, sobre todo aquellos que pueden ser sospechosos y que indican un posible ataque a una mquina. Registro de las conexiones realizadas en milisegundos Soluciona problemas como SATAN o ISS.

Este programa est compuesto de 5 subprogramas que lo hacen efectivo a la hora de llevar un control de acceso: TCPlogger, UDPlogger, ICMPlogger, Etherscan, Nstat. ARGUS permite auditar el trfico IP Trabaja en segundo plano, monitoreando sin ser detectado Acta como filtro, ayudndonos a encontrar lo que buscamos

SATAN (Security Administrator Tool for Analyzing Networks) Permite chequear las mquinas conectadas a la red Genera informacin sobre el tipo de mquina conectada Permite detectar fallos de seguridad

Satan, como genera un registro de todas las mquinas conectadas en una red, permite descubrir la topologa de la red de una empresa, lo cual puede usarse de buena o mala manera. ISS (INTERNET SECURITY SCANNER) Permite chequear el nivel de seguridad de una mquina evaluando diversos servicios. Se pueden ver todos los puertos que usan el protocolo TCP y que se encuentran en la mquina que analizamos. Permite transferir archivos de contraseas a travs de la red, y generar un registro de la mquina que posee dicha contrasea con su IP.

4 Redes y seguridad
Actividad 3

2. De la misma manera que en el caso anterior, seleccione las herramientas que usar para chequear la integridad de su sistema y realice el procedimiento de uso de cada una de ellas.

R//: TIGER CRACK forza las contraseas de los usuarios, para medir grado de complejidad. Hace un barrido detectando contraseas dbiles y ms vulnerables. Chequea elementos de seguridad del sistema para detectar problemas y vulnerabilidades configuracin general del sistema sistema de archivos alias y cuentas de usuarios chequeo de servicios

TRIPWIRE Detecta cualquier cambio o modificacin en el sistema de archivos, como por ejemplo modificaciones no autorizadas o alteraciones maliciosas de algunos software.

Se agrega un item al manual de procedimiento: Tener una base de datos main sobre las que se hacen comparaciones peridicas para detectar cambios, y que esta main sea actualizada cada vez que se ingresa un elemento nuevo al sistema de manera autorizada.

CMP Usa algunas mquinas en modo promiscuo para poder correr archivos de proteccin de la red.

Se agrega un item al manual de procedimiento: Correr de manera peridica el Cmp en nuestro sistema para detectar sniffers que puedan estar recopilando informacin de las contraseas de la red

5 Redes y seguridad
Actividad 3