Seguridad y Alta Disponibilidad

A.S.I.R. on-line IES Suárez de Figueroa

1. En una comunicación basada en clave asimétrica (clave pública y privada) es capturada

la clave pública al principio de la comunicación por un "man in the middle". ¿cómo
afectaría al resto de la comunicación? ¿qué datos podría sacar de la comunicación?
Ha sucedido lo más lógico, es decir, lo único que se debe enviar por la red es la clave
pública. La clave pública vale para cifrar datos y enviarlos al poseedor de la clave
privada y también se puede utilizar para verificar datos firmados con la clave privada.
Por tanto, el MitM podría cifrar una respuesta falsa y enviarla al poseedor de la clave
privada y podrá verificar los datos que envíe el poseedor de la clave privada. No podrá
conocer la información que se envía al poseedor de la clave privada. También podría
descifrar lo cifrado con la clave privada, pero esta no es la forma recomendable de
llevar la comunicación, o sea, no debería haber comunicaciones de este tipo.

2. ¿qué finalidad tienen los certificados raíz de la FNMT?

Verificar la autenticidad de un certificado, es decir, un emisor podría fabricar su propio
certificado digital (clave pública + clave privada) y enviaría su mensaje cifrado con la
clave privada y el destinatario lo descifraría con la clave pública pero no habría
seguridad de quien es el emisor. Con los certificados raíz cambia el proceso, el
certificado del emisor (clave pública + clave privada) está fabricado por una entidad de
confianza, de forma que cuando la clave pública llega al destinatario va cifrada y este
utiliza el certificado raíz para descifrarla y comprobar que realmente pertenece al
emisor.

3. Explica cómo se consigue navegar anónimamente en la red TOR

La navegación entre el origen y destino pasa por nodos intermedios (cada cual tiene
unas claves pública y privada) y va cifrada con las claves públicas de estos nodos en
capas una dentro de otra, de forma que cada nodo por el que pasa descifra con su
clave privada una capa y cuando llega al nodo final es descifrada completamente, y
desde este se comunica con el destino.
Como curiosidad, el riesgo está en el último nodo puesto que se puede configurar un
nodo final ya que es mantenido por usuarios voluntarios y acceder a la información en
este último nodo.

4. Indica que realizan las siguientes órdenes nmap

a. nmap 192.168.0.1 8.8.8.8
Escanea los puertos conocidos de los 2 equipos indicados con las IPs
b. nmap -sV -p 80 10.0.0.0/8
Escanea toda la red 10.0.0.0/8 por el puerto 80 e informa de las versiones
(apache iis …) halladas en cada equipo
c. nmap -D 1.2.3.4 8.8.8.8
Escanea el equipo 8.8.8.8, pone como señuelo 1.2.3.4 (algunos paquetes
tendrán este origen)

5. En el equipo con IP 192.168.0.100 se encuentra en ejecución snort con las reglas

locales siguientes, comenta cual es la finalidad de cada una y corrige posibles fallos:
alert tcp any 80 -> 192.168.0.100 any (msg:”Alerta 1”; sid:1000001;)
Se trata de alertar cuando el equipo recibe una respuesta de una web no segura

alert icmp 192.168.0.1 any <> 192.168.0.0/24 any (msg:“Alerta 2”; sid:1000002;)
Alerta cuando se realiza un ping entre 192.168.0.1 y la red 192.168.0.0/24, si esto
está programado en el equipo 192.168.0.100 solo se producirá con esta IP, no es
necesario poner la red entera, es decir, la orden correcta sería:
alert icmp 192.168.0.1 any <> 192.168.0.100 any (msg:“Alerta 2”; sid:1000002;)

alert udp any 53 <> 192.168.0.100 (msg:“Alerta 3”; sid:1000003;)

Avisa de las respuestas o peticiones DNS realizadas desde el equipo, pero falta el
puerto en la segunda parte, la orden correcta sería:
alert udp any 53 <> 192.168.0.100 any (msg:“Alerta 3”; sid:1000003;)

1
Seguridad y Alta Disponibilidad
A.S.I.R. on-line IES Suárez de Figueroa

6. Indica que filtros utilizarías en wireshark para visualizar el siguiente tráfico:

a. Tráfico desde 192.168.0.100 a web seguras
ip.addr==192.168.0.100 && tcp.port==443 (el puerto podría ser origen o destino)

b. Accesos FTP al servidor-FTP 5.5.5.5

ftp && ip.dst==5.5.5.5
c. Envío mediante formularios GET a cualquier equipo
http.request.method==GET

7. Comenta la siguiente captura: para qué sirve la aplicación y que se está pretendiendo
realizar

Se trata de la aplicación OWASP (Open Web Application Security Project) ZAP (Zed
Attack Proxy) que es un proyecto de herramientas abiertas y gratuitas para analizar la
seguridad web de sitios. Simula ataques a sitios web y busca vulnerabilidades de cara a
corregirlas.
En concreto, en la captura, ha analizado la web webscantet.com y se dispone a realizar
un ataque para analizar más a fondo esta web.

8. Diferencia entre snat dnat masquerade

Las tres acciones modifican los paquetes. SNAT se usa para cambiar la IP origen por
otra fija, MASQUERADE se usa también para cambiar la IP de origen pero cuando la
nueva IP es dinámica y DNAT se usa para cambiar la IP destino

9. (2 puntos) En una empresa se conecta a internet a través de un equipo Ubuntu que

hace de cortafuegos y enrutador (se realiza NAT con iptables, está activado
net.ipv4.ip_forward=1) según se muestra en el siguiente esquema:

Se pide que se cumplan las siguientes restricciones (indicar cadena y equipo donde se realizaría
cada regla):
a. Bloquear el acceso por ssh desde los PCs al Servidor, permitir desde cualquier otro origen
En este caso el único lugar posible donde realizar el bloqueo es en el servidor puesto que
este tráfico no pasa por el cortafuegos. Podemos hacerlo en la cadena OUTPUT o INPUT

2
Seguridad y Alta Disponibilidad
A.S.I.R. on-line IES Suárez de Figueroa

(mejor en INPUT porque bloqueamos en tráfico en la petición en vez de en la respuesta y

evitamos respuestas desde el servidor que después serían bloqueadas).
iptables -A INPUT -m iprange --src-range 172.16.0.100-150 -p TCP --dport 22 -j DROP
y política por defecto en ACCEPT

b. Abrir los puertos en el cortafuegos para acceder desde el exterior a la web (segura y no
segura)
En este caso hay que realizar la apertura en el cortafuegos y en la cadena PREROUTING
iptables -t NAT -A PREROUTING -p TCP --dport 80 -i WAN -j DNAT --to 172.16.0.2:80
iptables -t NAT -A PREROUTING -p TCP --dport 443 -i WAN -j DNAT --to 172.16.0.2:443

c. Permitir la navegación a páginas webs de internet desde los PCs y no desde el servidor.
Registrar los accesos desde los PCs a estas webs.
Estas restricciones hay que aplicarlas en la cadena FORWARD del cortafuegos, que es por
donde pasaría todo este tráfico, primero bloqueamos el tráfico desde el servidor, el resto
del tráfico que pasa por FORWARD serán los PCs que si la política por defecto no la
tocamos estará en ACCEPT, pero deberemos registrar estos accesos antes de que se
produzca la permisión:

iptables -A FORWARD -s 172.16.0.2 -p TCP --dport 80 -j DROP

iptables -A FORWARD -s 172.16.0.2 -p TCP --dport 443 -j DROP
iptables -A FORWARD -s 172.16.0.0/16 -p TCP --dport 80 -j LOG --log-prefix “Conexión no
segura” --log-level 4
iptables -A FORWARD -s 172.16.0.0/16 -p TCP --dport 443 -j LOG --log-prefix “Conexión
segura” --log-level 4

o
iptables -A FORWARD -s 172.16.0.2 -p TCP -m multiport --dports 80,443 -j DROP

También podemos bloquear el servidor por MAC.