ACTIVIDAD DOS 1

ACTIVIDAD GRUPAL DOS

Presentado por:

EDWIN ANDRES DUQUE

RAFAEL AUGUSTO GUARIN
KEVID DAVID MARTINEZ
JORGE LEONARDO RAMIREZ

TUTOR
JOHN FREDY QUINTERO

SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSOS - ANÁLISIS FORENSE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
SEGURIDAD EN SISTEMAS OPERATIVOS
COLOMBIA
MAYO DE 2016
ACTIVIDAD DOS 2

TABLA DE CONTENIDO

1. INTRODUCCION ............................................................................................................. 3

2. OBJETIVOS ...................................................................................................................... 4

2.1 Objetivo General ........................................................................................................ 4

2.2 Objetivos Específicos ................................................................................................. 4

3. INFORME DE ANALISIS DE VARIABLES CRITICAS DE SEGURIDAD EN LOS

SISTEMAS OPERATIVOS ............................................................................................................. 5

4. CONCLUSIONES ........................................................................................................... 11

5. BIBLIOGRAFIA ............................................................................................................. 12
ACTIVIDAD DOS 3

1. INTRODUCCION

Muchas compañías poseen información valiosa que resguardan celosamente. Dicha

información puede ser técnica(por ejemplo, un nuevo diseño de chip o de software),

comercial(por ejemplo, estudios de la competencia o planes de marketing), financiera (por

ejemplo, planes para un ofrecimiento de acciones), legal (por ejemplo, documentos relativos a

una posible fusión o adquisición), entre otras muchas posibilidades...A medida que aumenta la

fracción de esta información que se almacena en sistemas de computacion, crece la importancia,

la necesidad de protegerla, Por ello, la protección de esta información contra un uso no

autorizado es una tarea fundamental para todos los sistemas operativos. (Tanenbaum, 2001)

Continuando la temática desarrollada en el trabajo colaborativo de la unidad uno, esta vez se

abordaran aspectos relacionados con el control, posibles ataques y medidas de contingencia que

deben ser aplicados dentro del Sistema General de Información, enfocado principalmente a los

Sistemas Operativos, tanto libres como licenciados, ambos están expuestos a diferentes tipos de

vulnerabilidades, riesgos y ataques tanto internos como externos. Una vez identificadas las

variables y sus características en la anterior actividad, el siguiente paso es identificar de que

manera se llevara el monitoreo de las mismas, a qué tipo de amenazas está expuesto el sistema

que atenten contra la integridad, confidencialidad y disponibilidad de la información.

Siempre que existan servicios de seguridad instalados en el sistema operativo, la seguridad

del sistema depende, en última instancia, de ellos, Si estos soportes son débiles, la seguridad

podrá saltarse, puentearse o subvertirse. (Areitio Bertolín, 2008)

ACTIVIDAD DOS 4

2. OBJETIVOS

2.1 Objetivo General

Llevar a la práctica las competencias adquiridas en la unidad dos del curso

2.2 Objetivos Específicos

- Definir los mecanismos de control de las variables presentes en los sistemas operativos

de la compañía.

- Reconocer los diferentes tipos de ataques a los que están expuestos cada sistema

operativo, de acuerdo al tipo de variable.

- Establecer las actividades de contingencia o prevención para evitar que una variable esté

en riesgo o sea vulnerable por un delincuente informático.

 ACTIVIDAD DOS 5

3. INFORME DE ANALISIS DE VARIABLES CRITICAS DE SEGURIDAD EN LOS

SISTEMAS OPERATIVOS

Herramienta de explotación de Ataques a los que está expuesta la variable y

# Variable
vulnerabilidad medidas de control.
El ataque de fuerza bruta se utiliza probando
combinaciones hasta dar con la clave de cifrado
que se ha utilizado para encriptar un documento
El sistema operativo Kali Linux o contraseña. Cuanto más complicada sea la
posee varias herramientas, clava más difícil es atacarla. A veces se
destinadas a la obtención de necesitan horas o meses de cálculo de
contraseñas por medio de ataques de ordenador para dar con la clave. Otras veces no
fuerza bruta, dichas herramientas se consigue. (Aguilera López, n.d.)
son:
Las medidas o buenas practicas que se pueden
- Bed tomar para evitar ser victimas de este tipo de
- fuzz_ip6 ataque son:
- ohrwurm
- powerfuzzer - Modificar el usuario “admin” por
- sfuzz defecto que viene configurado en varias
1 Contraseñas - siparmyknife aplicaciones.
- spike-generic_chunked
- spike-generic_listen_tcp - Usar contraseñas seguras, que
- spike-generic_send_tcp contengan letras, símbolos, números y
- spike-generic_listen_upd de mínimo 10 caracteres.
- burpsuite
- powerfuzzer - Realizar copias de seguridad de ficheros
- webscarab y base de datos.
- webslayer
- websploit - Usar la autenticación de dos factores.
- wfuzz Un ejemplo es cuando se aplica la
- xsser captacha.
- zaproxy
- Protege con una contraseña el WP-
Admin y limita los intentos de
conexión.
Existen diferentes aproximaciones para
Kali Linux ofrece las siguientes
clasificar los escaneos de puertos, tanto en
herramientas de escaneo de redes:
función de las técnicas seguidas en el ataque
como en función de a qué sistemas o puertos
- dmitry
2 Acceso a la red concretos va dirigido. Por ejemplo, se habla de
- dnmap-client
un escaneo horizontal cuando el atacante busca
- dnmap-server
la disponibilidad de determinado servicio en
- netdiscover
diferentes máquinas de una red; por ejemplo, si
- nmap
el pirata dispone de un exploit que aprovecha
 ACTIVIDAD DOS 6

un fallo en la implementación de sendmail, es

normal que trate de averiguar qué máquinas
aceptan peticiones SMTP en un determinado
segmento para posteriormente atacar a dichos
sistemas. Si por contra el pirata sólo escanea
puertos de una máquina, se denomina al ataque
escaneo vertical, y suele denotar el interés del
atacante en ese host concreto; si comprueba
todos los puertos del sistema al escaneo se le
denomina vanilla, mientras que si sólo lo hace
contra determinados puertos o rangos, se le
denomina strobe (en referencia al programa del
mismo nombre). Si nos basamos en las técnicas
utilizadas, podemos dividir los escaneos en tres
grandes familias: open, half-open y stealth;
vamos a hablar con más detalle de cada una de
ellas y de los diferentes tipos escaneos que las
forman. ("Escaneos de puertos", 2016).

Para protegerse y prevenir ataques de este tipo

es recomendable:

- Abrir solo los puertos necesarios

- Usar puertos que no sean un estándar
- Cerrar o silenciar los puertos que no
estén siendo usados.
- Configurar sistemas de autentificación
de acuerdo a las políticas de seguridad.
- Hacer uso de las buenas practicas en
configuración de Cortafuegos e IDS.
- Tener actualizado el sistema operativo y
software instalado en el mismo.
Dentro de Kali Linux se disponen las
Las redes inalámbricas pueden ser víctima de
siguientes herramientas, con las
distintos tipos de ataques, los cuales
cuales se pueden realizar auditorías
mencionare a continuación:
y/o ataques a redes inalámbricas:
- La intercepción de datos es la práctica
- aircrack-ng
que consiste en escuchar las
Acceso a red - aireplay-ng
3 transmisiones de varios usuarios de una
inalámbrica - airmon-ng
red inalámbrica.
- airodump-ng
- El crackeo es un intento de acceder a la
- asleap
red local o a Internet.
- cowpatty
- La interferencia de transmisión
- eapmd5pass
significa enviar señales radiales para
- fern-wifi-cracker
interferir con tráfico.
- genkeys
 ACTIVIDAD DOS 7

- genpmk - Los ataques de denegación de servicio

- giskismet inutilizan la red al enviar solicitudes
- kismet falsas. ("Los riesgos relacionados con
- mdk3 las redes inalámbricas (802.11 o Wi",
- wifiarp 2016)
- wifidns
- wifi-honey Existen diferentes maneras de controlar este
- wifiping tipo de ataques, desde evitarlo hasta defenderse
- wifitap del mismo, las cuales indicare a continuación:
- wifite
- zbassocflood - Hacer uso de seguridad WPA o WPA2.
- zbconvert - Hacer uso de servicios 802.1X de la
- zbdsniff nube o almacenados, los cuales son
- zbdump diseñados con el fin de asegurar y hacer
- zbfind gestión del acceso inalámbrico a la red.
- zbgoodfind - Implementar un sistema de prevención
- zbid o detección de intrusos de red
- zbreplay inalámbrica.
- zbstumbler - Deshabilitar puertos Ethernet no
usados.
- A nivel físico asegurarse que los
equipos que conforman la red estén
aislados del público en general y solo se
tenga acceso a personal autorizado.
El escalado o elevación de privilegios es una
tarea amplia, esto a razón de la diversidad de
aproximaciones factibles de ser utilizadas para
obtener acceso como usuario Administrador o
root. Una de las tácticas para elevar privilegios
implica buscar por vulnerabilidades adicionales
Existe una herramienta que permite en el sistema desde una perspectiva interna.
elevar privilegios explotando Esto implica cualquier tipo de acceso al
4 Privilegios vulnerabilidades: sistema, aunque este acceso tenga autorización
limitada, es factible explotar vulnerabilidades.
- Metasploitable 2 Obtener acceso a un sistema con un sistema de
archivos modificable como este es algo trivial.
Para que sea así (y porque SSH está
ejecutándose), se genera una nueva llave SSH
en el sistema sistema atacante, se monta el
export NFS y se agrega la llave al archivo
authorized_keys de la cuenta de usuario root:
Deben ser parametrizados para que
no afecten el normal funcionamiento Se establecen las politicas:
Herramientas de
5 del sistema, para garantizar el nivel Denegar peticiones entrantes menos paquetes
seguridad local
seguridad del Sistema Operativo SO en estado establecido.
 ACTIVIDAD DOS 8

Netfilterel: es un firewall disponible Denegar el reenvío de tráfico o forward, esta

en el núcleo de Linux y se pueden política se aplica cuando el servidor es una
hacer ajustes por medio de iptables. pasarela.

WebESC: es un programa que te WebESC lo que hace con los archivos FLS, es
alertará de cualquier cambio en los comprarlos con un escaneo anterior y si hay
archivos locales o web. cambios puede determinar porque ha ocurrido.
Estos cambios pudieron ocurrir por el uso
adecuado del programa o bien por un virus o
mucho peor por un hacker.
FLS: informan del contenido de un archivo
(principalmente le informan al sistema
operativo)
Al correr el programa Trinity Rescue Kit este
realiza el ataque identificando el usuario, luego
Acceso de Con Trinity Rescue Kit se puede
6 se da la opción de limpiar el Password, se
usuarios realizar la identificación de usuarios.
reinicia el PC y así se quita el la clave del
usuario
Event Log Explorer con su potente motor de
Event Log Explore: es una solución
búsqueda y filtrado de eventos. Puede filtrar
Registro de efectiva de software para ver,
fácilmente eventos de la lista por cualquier
7 actividad y supervisar y analizar los eventos
criterio. Todos los filtros pueden guardarse en
protección. almacenados en los registros de
un archivo - esto le ahorra tiempo cuando quiera
seguridad, sistemas y aplicaciones,
volver a aplicar el filtro en el futuro.
Weblnspect: Prueba el comportamiento
dinámico de las aplicaciones y los servicios que
se ejecutan en la web para identificar y priorizar
las vulnerabilidades de seguridad. Va más allá
de las pruebas de caja negra: integra análisis
dinámicos y de tiempo de ejecución para
encontrar más vulnerabilidades y resolverlas
Aplicaciones para las más rápidamente.
vulnerabilidades
Weblnspect FSCA: Analizar el código fuente de una
Software de
8 Fortify Stat Code Analyzer FSCA aplicación en busca de problemas de seguridad.
seguridad
Centro de seguridad del software SCA identifica la causa raíz de las
Fortify vulnerabilidades de seguridad de software y
proporciona resultados precisos y calificados
según el riesgo.

Centro de seguridad Fortify: Sus

desarrolladores obtienen información de
referencia detallada que describe los problemas
y brinda instrucciones completas para
repararlos (en el lenguaje de programación del
 ACTIVIDAD DOS 9

código), lo que les ayuda a aprender a cerca de

prácticas de codificación seguras.
Con un ataque realizado en cualquier aspecto
de seguridad del sistema operativo afecta la
política, es decir hacer un ataque en búsqueda
de vulnerabilidad ya crea falla de la política de
seguridad.

Desastres de entorno:
Los desastres de entorno hacen referencia a
elementos relacionados con los alrededores y
que pueden ser dañinos para el sistema.
Terremotos, cortes de corriente, usuarios de
sistema con capacidad para manipular datos
Las vulnerabilidades de las Políticas confidenciales, operadores irregulares, etc...
de seguridad abarcan todo el proceso
Políticas de
9 de las otras variables, es decir si una Amenazas en el sistema:
seguridad
es vulnerada la política de seguridad Este grupo engloba las deficiencias que puedan
está fallando. tener un sistema operativo, un software
irregular, una mala gestión de las copias de
seguridad, etc...

Amenazas en la red:
Debido a que actualmente la mayoría de
máquinas se encuentran conectadas a la red (ya
bien sea una red local como a una conexión a
internet) el peligro crece de forma exponencial.
El número de ataques, deficiencias y fallos en
un sistema conectado a la red se multiplica,
además su conexión a red también hace crecer
su probabilidad de ser atacado
Las vulnerabilidades que padecen los puertos
abiertos, está asociada al ingreso por medio de
host, estos puertos que se encuentran abiertos
innecesariamente y que no están debidamente
controlados, lo cual permite la conexión y
penetración de intrusos.
Nmap
10 Puertos abiertos
Metasploit
Así como las herramientas para vulnerar estos
puertos, son utilizados de igual forma para
escaneo de los mismos, con el fin de realizar las
respectivas anotaciones y configuraciones de
seguridad en el firewall.

Control de acceso Sniffing Es muy recurrente el acceso no autorizado de

11
sistemático DDos intrusos a sistemas privados, afectando la
 ACTIVIDAD DOS 10

Spoofing integridad de estos, en sus sistemas de

información.

Para tener control sobre este tipo de ataques, se

hace uso de la implementación de IDS
(Sistemas de Detección de Intrusos), lo que
permite un identificación de los intrusos en
tiempo real o en tiempos relativamente cortos
después del ataque, con lo cual facilita la puesta
en marcha de los respectivos correctivos.
Lss copias de seguridad son el respaldo más
eficiente ante ataques informáticos, pero
cuando se atacan a las copias de seguridad, el
riesgo es mayor.

Respaldo de Para evitar este tipo de ataques, es primordial:

12 Acceso remoto mediante Metasploit
Seguridad  Verificación constante de las copias de
seguridad
 El almacenamiento de estos, este libre
de posibles instrucciones informáticas.
 Encriptación de los datos respaldados
como una contramedida.
Los firewall son el principal bloque de
seguridad frente ataques informáticos, pero
cuando estos fallan debido a fallas o falta de
Nmap, licenciamiento o mantenimiento, es muy
Corta fuegos
13 Nessus propenso la vulnerabilidad de estos.
(Firewall)
Metasploit
Para un mejor control, se espera la actualización
de estos, así mismo que sus propiedades legales
de funcionamiento estén al día.
El software no licenciado puede acarrear virus
debido a su disponibilidad de manera
fraudulenta en la red.
14 Licenciamiento Malware
El control debido es el licenciamiento del
software con el fin de contar con las
propiedades de soporte.

Es muy recurrente que se tengan servicios

activos que se hayan instalado por defecto en
Servicios y
algún tipo de configuración de seguridad, lo que
configuraciones Nmap
15 supone un espacio de infiltración vulnerable
activas por Metasploit
que no ha sido tenido en cuenta para su
defecto
respectiva protección.
ACTIVIDAD DOS 11

Para un control, sobre estos servicios, es la

configuración de estos mismos, al ser
escaneados por las mismas herramientas de
vulnerabilidad.

4. CONCLUSIONES

- Conclusión EDWIN ANDRES DUQUE

- Conclusión RAFAEL AUGUSTO GUARIN
- Conclusión KEVID DAVID MARTINEZ
- La importancia de identificar cuáles son las variables críticas dentro de los sistemas
operativos implementados en la organización, permiten trazar la ruta de acción frente al
manejo en materia de seguridad informática que se le darán a cada una, el administrador
del sistema debe ser consiente que todo activo de información es vulnerable a ser
acechado por un delincuente informático, situación que de concretarse pone en riesgo el
buen nombre de la organización, confidencialidad de los datos almacenados en sus
sistemas y realización de los procesos dentro de la misma.
ACTIVIDAD DOS 12

5. BIBLIOGRAFIA

Tanenbaum, A. (2001). Modern operating systems. Upper Saddle River, N.J.: Prentice Hall.

Areitio Bertoliń , J. (2008). Seguridad de la información. Madrid: Paraninfo Cengage Learning.

Aguilera López, P. Seguridad informática. Pozuelo de Alarcón, Madrid: Editex.

Escaneos de puertos. (2016). Ibiblio.org. Obtenido el 4 de Mayo de 2016, de

http://ibiblio.org/pub/Linux/docs/LuCaS/Manuales-LuCAS/doc-unixsec/unixsec-

html/node273.html

Los riesgos relacionados con las redes inalámbricas (802.11 o Wi. (2016). CCM. Obtenido el 4

de Mayo de 2016, de http://es.ccm.net/contents/792-los-riesgos-relacionados-con-las-redes-

inalambricas-802-11-o-wi

Blog elhacker.NET: Listado completo de herramientas en Kali Linux. (2016). Blog.elhacker.net.

Obtenido el 4 de Mayo de 2016, de http://blog.elhacker.net/2014/01/kali-linux-listado-completo-

de-herramientas-tools.html