Está en la página 1de 5

Posible ejercicio de exmen

Juan es un administrador de sistemas para la empresa DataSoft. La red que tiene que
administrar tiene la topologa siguiente:

INTERNET

WEB

DNS
DNS

DESARROLLO

CORREO

BACKUP

SAMANTHA

JUAN

PACO

ISABEL

Donde:
1)
2)
3)
4)
5)
6)

7)
8)
9)
10)

Servidor DNS de DataSoft (Linux) IP 212.73.21.12 , MAC 00:01:02:03:04:05


Servidor Web de Datasoft (Linux) 212.73.21.13 , MAC 00:01:02:03:04:0A
Servidor de Correo de Datasoft (Linux) 212.73.21.14, MAC 00:01:02:03:04:0B
Servidor de Desarrollo (Linux) 212.73.21.15 , MAC 00:01:02:03:04:01
Servidor de Backup / Pruebas (Linux) 212.73.21.15 , MAC 00:01:02:03:04:09
Cortafuegos de nivel de paquetes (Linux) 212.73.21.15 (con la DMZ ) MAC
00:01:02:03:04:02, 193.145.12.3 (con Internet) MAC 00:01:02:03:04:03, 192.168.1.1 (con
la Intranet), MAC 00:01:02:03:04:04
PC de Juan, administrador del sistema (Windows) 192.168.1.2, MAC 00:01:02:03:0A:0A
PC de Isabel, jefa de programacin (Windows) 192.168.1.3, MAC 00:01:02:03:0B:0B
PC de Paco, programador junior (Windows) 192.168.1.4, MAC 00:01:02:03:0C:0C
PC de Samantha, programadora senior (Windows) 192.168.1.5, MAC 00:01:02:03:0D:0D

Se tienen colocados antivirus en todos los equipos, y se actualizan cada 24h


El cortafuegos de filtrado de paquetes solo deja pasar trfico entrante hacia los
puertos 80 y 25 ( HTTP y SMTP ) . No se limita el trfico saliente.
El servidor de desarrollo mantiene todas las copias del software que se genera en
DataSoft. El acceso al mismo est limitado al equipo programador mediante cuentas
de usuario y controles de acceso que solo permiten a cada usuario acceder a su
trabajo. El servidor solo tiene abiertos los servicios de SSH y FTP.
Los clientes se descargan el software mediante FTP autenticado por usuario y
contrasea, y controles de acceso estrictos.

Juan se haba pegado toda la maana actualizando los compiladores del servidor de
desarrollo de Datasoft (con todos los programadores mordindole los tobillos porque no
podan trabajar). Por si fuera poco Paco, el nuevo programador, se vena quejando de
que haba dejado su PC nuevo encendido la noche anterior y se lo haba encontrado
colgado, algo que tendra que mirar cuando tuviera algo de tiempo (no es normal que un
equipo recien instalado se cuelgue as como as).
Mientras estaba realizando una revisin rutinaria del servidor de desarrollo, el comando
netstat an le ofreci la siguiente salida:
Active Internet connections (servers and established)
Prot Recv Send
Local Address
Foreign Address
212.73.21.15: 21
0.0.0.0:*
tcp
0 0
tcp 445 2348
212.73.21.15:22 192.168.1.3:1065
tcp 245 12480K 212.73.21.15:80 212.101.101.13:21
tcp 1212 11200 212.73.21.15:22 192.168.1.3:1464

State
ESTABLISHED
ESTABLISHED
ESTABLISHED

Estos resultados helaron la sangre en las venas a Juan. Inmediatamente desconect al


servidor de desarrollo de la red, y se dispuso a analizar todos los logs del sistema.

El fichero /var/log/messages (el estndar del sistema) le dio la siguiente informacin:

Jan 10 13:07:32 localhost kernel: BIOS-e820: 00000000fec00000 - 00000000fec02000 (reserved)


Jan 10 13:07:32 localhost kernel: BIOS-e820: 00000000fee00000 - 00000000fee01000 (reserved)
Jan 10 13:07:32 localhost kernel: BIOS-e820: 00000000fff80000 - 0000000100000000 (reserved)
Jan 10 13:07:32 localhost kernel: 2175MB HIGHMEM available.
Jan 10 13:07:32 localhost kernel: found SMP MP-table at 000ff780
Jan 10 13:07:32 localhost kernel: hm, page 000ff000 reserved twice.
Jan 10 13:07:32 localhost kernel: hm, page 00100000 reserved twice.
Jan 10 13:07:32 localhost kernel: hm, page 000f0000 reserved twice.
Jan 10 13:07:32 localhost kernel: hm, page 000f1000 reserved twice.
Jan 10 13:07:32 localhost kernel: On node 0 totalpages: 786416
Jan 10 13:07:32 localhost kernel: zone(0): 4096 pages.
Jan 10 13:07:32 localhost kernel: zone(1): 225280 pages.
Jan 10 13:07:32 localhost kernel: zone(2): 557040 pages.
Jan 10 13:07:32 localhost kernel: Intel MultiProcessor Specification v1.4
Jan 10 13:07:32 localhost kernel: Virtual Wire compatibility mode.
Jan 10 13:07:32 localhost kernel: OEM ID: AMI Product ID: CNB20HE APIC at: 0xFEE00000
Jan 10 13:07:32 localhost kernel: Processor #0 Pentium(tm) Pro APIC version 17
Jan 10 13:07:32 localhost kernel: Processor #1 Pentium(tm) Pro APIC version 17
Jan 10 13:07:32 localhost kernel: I/O APIC #4 Version 17 at 0xFEC00000.
Jan 10 13:07:32 localhost kernel: I/O APIC #5 Version 17 at 0xFEC01000.
Jan 10 13:07:32 localhost kernel: Processors: 2
Jan 10 13:07:32 localhost kernel: Kernel command line: auto BOOT_IMAGE=msclinux root=302
prompt_ramdisk=0 load_ramdisk=0 ramdisk=11264
Jan 10 13:07:32 localhost kernel: Initializing CPU#0
Jan 10 13:07:32 localhost kernel: Detected 996.633 MHz processor.
Jan 10 13:07:32 localhost kernel: Startup Succesfull
Jan 10 18:00:00 localhost kernel: Backup job Tarde OK
Jan 11 00:00:00 localhost kernel: Backup job Noche OK
Jan 11 03:00:00 localhost kernel: Tarea de limpieza de temporales
Jan 11 06:00:00 localhost kernel: Backup job Maana OK
Jan 11 12:00:00 localhost kernel: Backup job Medioda OK
Jan 11 18:00:00 localhost kernel: Backup job Tarde OK
Jan 12 00:00:00 localhost kernel: Backup job Noche OK
Jan 12 03:00:00 localhost kernel: Tarea de limpieza de temporales
Jan 12 06:00:00 localhost kernel: Backup job Maana OK
Jan 12 12:00:00 localhost kernel: Backup job Medioda OK
Jan 12 18:00:00 localhost kernel: Backup job Tarde OK
Jan 13 00:00:00 localhost kernel: Backup job Noche OK
Jan 13 03:00:00 localhost kernel: Tarea de limpieza de temporales
Jan 13 06:00:00 localhost kernel: Backup job Maana OK
Jan 13 12:00:00 localhost kernel: Backup job Medioda OK
Jan 13 18:00:00 localhost kernel: Backup job Tarde OK
Jan 14 00:00:00 localhost kernel: Backup job Noche OK
Jan 14 12:00:00 localhost kernel: Backup job Medioda OK
Jan 14 18:00:00 localhost kernel: Backup job Tarde OK

El fichero que mantiene para la deteccin de volcados de memoria (un invento personal
de Juan, muy til para los desarrolladores, ya que pueden obtener informacin acerca de
cundo un programa que desarrollan se comporta de forma extraa) le ofreci la
siguiente informacin:

Jan 11 11:01:00 localhost (paco) data_contable: Value not handled


Jan 11 11:10:34 localhost (paco) data_contable: Value not handled
Jan 11 11:23:03 localhost (paco) data_contable: Value not handled
Jan 11 12:01:00 localhost (paco) data_contable: Value not handled
Jan 11 11:01:00 localhost (paco) data_contable: Syntax error in line 9
Jan 11 11:01:00 localhost (paco) data_contable: Value not handled
Jan 11 11:01:00 localhost (paco) data_contable: Value not handled
Jan 12 09:01:00 localhost (samantha) analisis_web: Syntax Error in line 6
Jan 12 10:01:00 localhost (paco) data_contable: Value not handled
Jan 12 10:12:10 localhost (paco) data_contable: Value not handled
Jan 12 11:11:04 localhost (paco) data_contable: Value not handled
Jan 12 13:01:00 localhost (paco) data_contable: Value not handled
Jan 12 14:01:30 localhost (paco) data_contable: Operation not permitted
Jan 13 09:01:30 localhost (paco) data_contable: Operation not permitted
Jan 13 12:03:33 localhost (paco) data_contable: Value not handled
Jan 13 13:11:30 localhost (paco) data_contable: Value not handled
Jan 13 14:22:30 localhost (paco) data_contable: Operation not permitted
Jan 13 14:31:00 localhost (samantha) analisis_web: Bad Value
Jan 14 01:22:30 localhost (paco) ptrace-kmod: Executing Shell code at 0x343. User ID=0
Jan 14 11:10:34 localhost (paco) data_contable: Value not handled
Jan 14 12:13:03 localhost (paco) data_contable: Value not handled
Jan 14 12:20:00 localhost (paco) data_contable: Value not handled

El fichero de accesos al sistema ofreca la siguiente informacin:

Jan 11 07:52:42 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D


Jan 11 08:22:32 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
Jan 11 09:53:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 11 12:55:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 11 15:57:42 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 12 07:58:42 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D
Jan 12 08:42:21 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
Jan 12 08:58:49 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 12 09:51:45 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 12 11:53:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 12 17:57:47 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 12 19:55:45 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 13 07:55:23 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D
Jan 13 08:22:44 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 13 09:00:42 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
Jan 13 11:47:48 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 13 14:17:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 14 00:57:41 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0D:0D
Jan 14 07:42:42 localhost sshd : (isabel): 192.168.1.3 / MAC 00:01:02:03:0B:0B
Jan 14 08:47:48 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C
Jan 14 08:47:56 localhost sshd : (samantha): 192.168.1.5 / MAC 00:01:02:03:0D:0D
Jan 14 13:17:16 localhost sshd : (paco): 192.168.1.4 / MAC 00:01:02:03:0C:0C

Juan pareca que haba encontrado el culpable. De todas formas, para asegurarse realiz
una auditoria rpida a las contraseas del servidor de desarrollo, con el siguiente
resultado:

User

Password

Isabel
Juan
Paco
Root
Root2
Samantha

Not Identified
Not Identified
paco
Not Identified
Not Identified
1tulipan1

Time

00h00m09s

01h18m12s

Juan ya saba quin era el culpable a ciencia cierta, pero de todas formas se acerc al
ordenador de Paco, y revis los log de actividad de su equipo de la noche anterior y
verific sus sospechas. Levant el telfono mientras pensaba ... alguien ha intentado ser
muy listo, y casi lo ha conseguido .... casi.

Preguntas
1) Qu es lo que ha atemorizado tanto a Juan en la lista de conexiones abiertas?
(0.5 puntos)
2) Cmo se ha podido producir la intrusin en el servidor?. Describe todos los
detalles posibles que puedas averiguar acerca de la misma. (1 punto)
3) Quin ha sido el culpable? (0.25 puntos)
4) Por qu el PC de Paco se ha colgado la noche anterior? (0.25 puntos)
5) Define todos los fallos de seguridad que han hecho posible la intrusin, y propn
las contramedidas que estimes oportunas (0.75 puntos)
6) Si el cortafuegos fuera de inspeccin de estados ... habra servido para frustrar
la intrusin? (0.25 puntos)