Motor alternativo para detectar y

bloquear ataques utilizando Port Scan

Valeria Imbaquingo
Departamento de Electr
onica, Escuela Politecnica del Ejercito
Sangolqu, Ecuador
valeriadiana@hotmail.es

consideran una tecnologa potencial para reproducir una red

real.

Abstract.- Today, IP networks are constantly

affected by a number of attacks that can overwhelm
the continuity of business services. Faced with this
problem, this paper focuses on an alternative solution to detect, block, and preventing port scanning
attacks. This has been designed and implemented
a virtual network environment, to validate our
solution, several tests were conducted port scan
attacks have been implemented in public and private
networks.

D. Virtualizaci
on con VirtualBox
Es una tecnica para compartir recursos de hardware, en equipos fsicos, m
aquinas virtuales (interconectadas). Proporciona una abstracci
on adicional capa entre el sistema de hardware y operativo OS. Con la finalidad de tener varios tipos de
ejecuci
on al mismo tiempo; Virtual Box es una tecnologa de
software desarrollado por ORACLE, que puede ser utilizado
en m
aquinas virtuales. Permitiendo el funcionamiento de sistemas incluidos los software instalados, y de administrar una
VNE. [2]

PALABRAS CLAVE: Los ataques de red, ataques de

escaneo de puertos, la seguridad, la red virtual ambientes.

I. INTRODUCCION

E. Sistema de detecci
on de instrucci
on
Es un software que supervisa las actividades de la red emitiendo informes para la seguridad de la red. Los sistemas de
monitorizaci
on de red utilizan interfaces Ethernet como rastreadores de paquetes; es decir se centra en la identificaci
on
de posibles incidencias.

Existen muchas amenazas a la seguridad de la red como por

ejemplo, los virus,troyanos,escaneo de puertos,etc.Los cuales
pueden alterar o modificar la informaci
on provocando muchos
efectos tanto econ
omicas, de productividad as como compremeter la continuidad de un negocio. Por esta raz
on se han
desarrollado alternativas para contrarestar los ataques a la
seguridad; una de ellas es utilizando m
aquinas virtuales, otra
idea es de implementar un laboratorio remoto de detecci
on
de intrusos, otros investigadores han utilizado m
aquinas basadas en el concepto de red de la miel; entre otras ideas. En
el presente documento se tomar
a en cuenta, la implementaci
on de un suplente motor para el bloqueo autom
atico a la ya
existente sistema en el Scan Attack (PSAD).

EXPERIMENTAL
III. CONFIGURACION
Esta secci
on se ha dividido en las siguientes cuatro partes: La plataforma experimental, el desarrollo del mecanismo
para detectar y bloquear ataques de escaneo de puertos, el
ataque de implementaci
on entorno de prueba, y el sistema de
respuestas.

II. MARCO TEORICO

A. Plataforma experimental
Se ha representado en la siguiente figura la representaci
on de
una plataforma experimental, los dispositivos de redes internas y externas.

A. Exploraciones de puerto
Es un escaneo de puerto en el cual al cliente enva una serie
de direcciones de de puerto del servidor en un host, con el
objetivo de encontrar un puerto activo y explotaci
on de un
conocido. La primera etapa de un ataque inform
atico es el
escaneo de puertos, con el objetivo de encontrar puertos de
sistemas abiertos. Las tecnicas para detectar esta clase de
problemas son: TCP, TCP SYN, TCP FIN, TCP inversa,
ICMP puerto UDP,ETC.Para detectar escaneo de puertos de
c
odigo abierto tenemos: Snort, ec`
aner de puertos, scanlogd.En
este proyecto se ha escogido el PSAD.[1]
B. Port Scan Attack Detector (PSAD)
Es un colecci
on de tres demonios ligeros,escritos en Perl y C,
trabajan en Linux; tienen la funci
on de escanear puertos y
tr
aficos sospechosos, con ayuda de iptables detecta, alerta y
bloquea el puerto de exploraci
on.
C. Entorno virtual Network
Un VNE tiene la funci
on de encapsular un conjunto de aplicaciones dentro de un entorno virtual permitiendo configuraciones de red de manera realista. El objetivo de utilizar
este concepto es porque las plataformas de virtualizaci
on se

Fig 1. Matriz de elementos de la plataforma experimental

B. Desarrollo del mecanismo para detectar y atacar escaneo

de puertos de bloque
Los elementos que intervienen para la operaci
on son: el establecimiento de un cortafuegos, el atacante (nmap), la ejecuci
on de drogas psicoactivas, y la aplicaci
on de nuestro motor
alternativo ?security.sh?. Para ejecutar el mecanismo, la escritura se la realiza a traves de un DEMO que permite generar
un men
u para configurar los datos de scripts manualmente,
siendo totalmente demostrativo. Adem
as el CRONTAB implica una autom
atica ejecuci
on de la secuencia de comandos
para ver si hay atacantes para registrar y reportar al administrador de la red. El funcionamiento se presenta de manera
resumida y detallada en la siguiente figura.

B. Sistemas de bloqueo del motor alternativo vs ClearOS

ClearOS es un servidor de puerta de enlace con integrados
de seguridad, en este caso no bloquea el ataque, con este
resultado podemos deducir que ClearOS s
olo genera alarmas
de lugar, torn
andolo no confiable.
C. Rendimiento del Hardware PSAD vs Alternativa Motor
Durante los 65 segundos de ataque, es similar en la actividad
de herramienta, despues los recursos de CPU aumentan el
consumo. Mientras que PSAD muestra una estabilidad, lo que
no ocurre con nuestra soluci
on, ya que el gui
on implementado
consume m
as recursos del sistema.
D. Discusi
on
Se brinda una soluci
on alternativa para la protecci
on contra los ataques, se desarroll
o un motor quien enva o
rdenes
a traves de crontab. Se lo realizar
a cuando los valores parametrizables y PSAD se lleven a cabo de registros. Se han
obtenido resultados interesantes para emular las condiciones
de un entorno real usando un VNE. Una infraestructura no
siempre est
a disponible para reproducir a ataques a redes IP,
se demostr
o que los entornos virtualizados se pueden utilizar
para emular un ataque. El uso de VNE permite el ahorro de
tiempo y espacio, ayuda a los administradores en la evaluaci
on de herramientas de seguridad. En el campo educativo,
se puede utilizar para aprender y ense
nar seguridad de la red
inform
atica adem
as de poder ser transportada.

Fig 2. Mecanismo para detectar y bloquear ataques de escaneo de

puertos (proceso completo)

1) Implementaci
on del firewall: Es un script dise
nado para evitar el acceso a o de la topologa representada; los
mensajes entran y salen a traves de la red de cortafuegos
examin
andolos y negando el tr
afico seg
un los criterios de
seguridad. Este firewall establece reglas para los paquetes entrantes y reglas para las excepciones.
2) Implementaci
on del motor alternativo:Es una alternativa implementada en Shell, el script creado captura datos
proporcionados por el PSAD, quien se basa en una revisi
on continua de paquetes a traves del servidor de seguridad, que luego se comparan con los rangos de par
ametros
definidos con anterioridad.
C. Prueba de ataque
Fue desarrollado en una m
aquina virtual con el n
ucleo de
LINUX; para poder seguir en la aplicaci
on se sigue el siguiente
procedimiento: Instalar y configurar m
aquinas virtuales IP,
luego se configura el NAT, se filtra por Iptables-paquetes, la
instalaci
on, el funcionamiento
D. Respuestas del sistema
En las pruebas de desarrollo, se utiliz
o nmap, con diferentes
ataques; nmap fue capaz de detectar conectado dispositivos,
puertos abiertos, servicios y aplicaciones son ejecutado, el tipo
de sistema operativo y servidor de seguridad, por nombrar
pocos. A medida que el n
umero de ataques aument
o, el PSAD
seguido categorizar el atacante de acuerdo con los niveles 1 a
5.

IV. RESULTADOS Y DISCUSION

En esta secci
on se detallan los resultados obtenidos al comparar la eficacia de nuestro motor alternativo con el PSAD y
ClearOS.
A. Sistema de bloqueo del motor alternativo vs PSAD
Entre los resultados obtenidos tenemos: El tiempo de detecci
on de nuestro motor alternativo es once segundos menos
que el PSAD. El El n
umero de paquetes recibidos utilizando
nuestra propuesta es menos que los generados por las drogas
psicoactivas.

V. TRABAJOS RELACIONADOS
Existen muchos trabajos que se interesan por la seguridad
de las redes, como lo propuesto por Keller y Naues, utilizando
m
aquinas virtuales. Otros proponen el uso de una laboratorio para la virtualizaci
on, otros autores utilizan en concepto
de la red miel con el fin de estudiar las tecnicas de los hackers. En este contexto, se describe un entorno virtual basada
en la plataforma Xen, para la configuraci
on del servidor desde IPtables, entre otras. Realizando la comparaci
on en esta
investigaci
on se ha implementado la opci
on de motor. [3]

VI. CONCLUSIONES
En esta investigaci
on se ha dado a conocer acerca de los
ataques de escaneo de puertos en una red IP utilizando la virtualizaci
on. En cuanto a la propuesta del moto los resultados
logrados se califican como satisfactorios, ya que ell objetico
se cumpli
o en un corto tiempo. Se demostr
o que Linux ofrece
una estabilidad como parte de la soluci
on. Muchos adminsitradores centras sus valores en el bloqueo de puertos de comunicaci
on sin tomar en cuenta que el origen de los ataques
cae bajo la exploraci
on. Se ha logrado dise
nar e implementar
un entorno virtual configurado como plataforma, que para
neutralizarlos se toma los datos del PSAD mediante el uso de
variables y par
ametros. Los resultados han sido comparados
con el motor ClearOS y PSAD, dando como conclusi
on que
el motor es la arternativa m
as r
apida y segura.

Referencias
[1] Internet Security Glossary: http://tools.ietf.org/
html/rfc2828.
[2] VirtualBox: www.virtualbox.org/.
[3] J. Keller, R. Naues, : .A Collaborative Virtual Computer
Security Lab.In Proc. Second IEEE International Conference on e-Science and Grid Computing, pp. 126, CA,
USA, 12/ 2006.