PROYECTO 7 - SEGURIDAD ACTIVA: CONTROL DE

REDES
Adrin Gonzlez

RA: Aplicar mecanismos de seguridad activa describiendo sus

caractersticas y relacionndolas con las necesidades de uso del sistema
informtico.

RA: Asegurar la privacidad de la informacin transmitida en redes

informticas describiendo vulnerabilidades e instalando software
especfico.

NIDS/NIPS. Medidas para evitar monitorizacin de red cableada

La empresa para la que trabajas ha sido hackeada en varias ocasiones: alguien est
aprovechando las vulnerabilidades que tienen en los servicios ofrecidos desde sus
servidores (por ejemplo, el servidor http), accediendo a travs de los puertos abiertos.
Los servidores corren sobre Linux.

Sospechas que el hacker est haciendo uso de la herramienta nmap para obtener
puertos abiertos y aplicaciones ejecutndose en cada uno.

A travs de dos mquinas virtuales Ubuntu, una servidor y otra cliente,

demuestra cmo se puede detectar un escaneo de puertos. Para ello:
(CP 5, pg 181)
o Instala Snort en el Ubuntu Server. Descarga las reglas de pre-
procesamiento y actvalas.

Lo primero que tenemos que hacer es abrir el terminal del servidor y poner el
comando sudo apt-get install snort , con esto lo que haremos ser instalar
snort en nuestro servidor.
Durante la instalacin nos saldr una pestaa donde nos pedir el intervalo de
direcciones que queremos utilizar, podremos elegir entre seleccionar una IP
que queramos que detecte o seleccionar un rango de IPs en mi caso yo indique
que detectase el rango de IPs

Luego tendremos que descargar las reglas de Snort de su pgina oficial, para
ello nos registraremos en ella y luego le daremos a rules

En rules vamos a Registered y descargamos la ltima versin disponible,

posteriormente descomprimimos el archivo que acabamos de descargar
 Luego movemos el archivo que acabamos de descomprimir a la carpeta snort ,
luego de eso meteremos el comando sudo gedit /etc/snort/snort.conf para
poder configurar el archivo

Dentro de snort.conf solo tendremos que comentar las lneas que se muestran
n las imgenes y descomentar la lnea 546

Luego reiniciamos el snort a travs del comando sudo service snort restart
y luego de que reinicie iniciaremos el servidor con la configuracin que hemos
hecho

Si todo sale bien veremos que sale una imagen como al que se muestra en la
ilustracin anterior
o Utiliza nmap desde el Ubuntu Desktop para escanear los servicios del
servidor.

Primero descargaremos nmap en nuestro cliente , para ello tendremos que

abrir el terminal y poner sudo apt-get install nmap, luego dejaremso que se
instale
 Una vez instalado nmap en nuestro cliente lo nico que tendremos que poner
ser el comando sudo nmap Ip del servidor y automticamente
escanear los puertos que est utilizando el servidor

o Comprueba que el escaneo ha quedado registrado.

Por ultimo nos dirijiremos a la carpeta var/log/snort pues ese es el lugar por
defecto donde snort guarda los registros, dentro de esa carpeta tendremos que
abrir el fichero alert

Como podemos ver en el fichero alert vemos que ha registrado cuando el

cliente hico un escaneo de los puertos del servidor.

o Traduce el siguiente texto (tomado de http://manual.snort.org/node3.html):

Snort really isn't very hard to use, but there are a lot of command line options
to play with, and it's not always obvious which ones go together well. This file
aims to make using Snort easier for new users. Before we proceed, there are a
few basic concepts you should understand about Snort. Snort can be
configured to run in three modes:
- Sniffer mode, which simply reads the packets off of the network and displays
them for you in a continuous stream on the console (screen).
- Packet Logger mode, which logs the packets to disk.
- Network Intrusion Detection System (NIDS) mode, which performs detection
and analysis on network traffic. This is the most complex and configurable
mode.
 Snort no es realmente difcil de utilizar, pero hay un montn de opciones para
jugar, y no siempre es obvios cuales van bien juntas. Este archivo har ms
fcil el uso de Snort para nuevos usuario. Antes de continuar, hay unos
conceptos bsicos que tienes que entender sobre Snort. Snort puede ser
configurado para trabajar en tres modos:

Sniffer mode, el cual simplemente lee los paquetes de la red y los muestra en
un flujo continuo en la consola
Packet Logger mode , el cual registra los paquetes en el disco duro
Network Intrusin Detection System(NIDS) mode, el cual realiza una deteccin
y anlisis del trfico de red, Este es el modo ms completo y configurable.

Firewalls. Instalacin y configuracin en equipos o servidores

El siguiente paso es defender los servidores frente a ataques externos. Para ello
vas a demostrar cmo puede ayudar un firewall a proteger el servidor web.
Planteas dos alternativas:
- Proteger la mquina (bastin) donde se alberga el servidor
- Proteger el router que da acceso a la zona desmilitarizada donde est el
servidor web

Configuracin del firewall en una mquina Windows 7 donde se alberga un

servidor web.
o Instala un servidor web (el que quieras) y configralo para que pueda
ser accesible desde el exterior.

Lo primero que haremos ser descargar XAMPP desde la pgina web oficial
 Luego ejecutaremos el archivo que nos acabamos de descargar para que
as se instale XAMPP en nuestro Windows 7

Despus abriremos XAMPP e iniciaremos los mdulos de Apache y MySQL

o Configura el firewall de Windows 7 para que:

el servidor web acepte conexiones del cliente Ubuntu creado

anteriormente, pero no del servidor Ubuntu.
Ahora lo que tendremos que hacer es dirigirnos al Firewall de Windows y
configurarlo, para ello tendremos que ir a Panel de control>Firewall de
Windows>Configuracin avanzada

En la pestaa que aparecer despus de pinchar en configuracin

avanzada tendremos que seleccionar reglas de entrada y dentro de esa
pestaa seleccionaremos la regla de Apache HTTP server, le damos a
propiedades y nos dirigimos a mbito y tendremos que agregar la IP del
cliente Ubuntu para que pueda conectarse con el servidor, la Ip la
agregaremos en el apartado Direccin IP local y en el apartado Direccin
IP remota
Despus iremos al apartado opciones avanzadas y cambiaremos dos
cosas, la primera es que haremos que esta regla se aplique tanto a dominio
como para privado , lo segundo y ms importante es que en el apartado
Cruce seguro del permetro pongamos "permitir cruce seguro del
permetro , si no ponemos esta ltima opcin no nos dejara aplicar la
configuracin , una vez puesto esto le daremos a aplicar y aceptar.

Por ultimo probaremos si tenemos acceso desde el cliente y el servidor,

como se ve en la imgenes desde el cliente podemos acceder sin
problemas pero desde el servidor no, el servidor se quedara cargando pero
nunca llegara a cargar la pgina , con esto ya estamos seguros que la
configuracin del firewall de Windows 7 es correcta, pues solo permite que
el cliente Ubuntu se conecte

registre en el log los intentos fallidos de conexin.

Para este apartado volvemos a opciones avanzadas de Firewall y le
daremos a firewall de Windows con seguridad avanzada , le damos
clic derecho y propiedades

En la nueva pestaa que nos sale vamos a Perfil privado y en inicio de

sesin damos a personalizar , en la nueva pestaa que nos sale
haremos dos cosas, la primera ser copiar el nombre para poder luego
acceder fcilmente al archivo, y la segunda es poner Si en la opciones
de registrar paquetes descartados , despus de esto le damos a
aceptar y aplicar
 Si todo ha salido bien cuando vayamos a revisar el archivo atreves de la
direccin que copiamos antes podremos observar que el archivo tiene
escrito el ltimo intento fallido de conectarse al servidor.

o Descarga en la mquina donde se alberga el servidor unos

cortafuegos distintos al de Windows 7, que sea gratuito. Investiga
cules son los mejor valorados en foros de seguridad.
Instlalo y configralo para realizar las mismas tareas propuestas para
el firewall de Windows 7.

Configuracin del firewall del router.

Configura el firewall que trae el router de clase para realizar las mismas tareas
propuestas para el firewall de Windows 7.