8/3/2019 Actividad 3_CRS - copia

1/8

1 Redes y seguridadActividad 3

--

Nombre EVERLS SAUL SANCHEZ GUZMAN

Fecha 09-10-2011

Actividad 3

Tema SEGURIDAD EN REDES

Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI gracias a su

trabajo. Tambin, para mayor proteccin, usted enunci los procedimientos que deben

llevarse a cabo para asegurar el flujo de informacin. En este momento, es necesario que

como gestor de la red reconozca los ataques y las vulnerabilidades ms frecuentes en los

sistemas, y con esta informacin complemente su plan de accin, su esquema de seguridad, y

sobre todo, sus procedimientos.

Preguntas interpretativas

1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial

of service, por ejemplo, existen diferentes maneras de llevar a cabo esta

vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las

vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de

mantenimiento en el que explique esta situacin.

Respuesta:

Denial of service es un tipo de ataque cuya meta fundamental es la de negar el

acceso del atacado a un recurso determinado o a sus propios recursos.

Algunos ejemplos de este tipo de ataque son:

tentativas de floodear (inundar) una red, evitando de esta manera el trfico

legtimo de datos en la misma;

tentativas de interrumpir las conexiones entre dos mquinas evitando, de esta

manera, el acceso a un servicio;

tentativas de evitar que una determinada persona tenga acceso a un servicio;

tentativas de interrumpir un servicio especfico a un sistema o a un usuario;

Internet evoluciona y crece pero al mismo tiempo lo hacen las amenazas los virus son

programas malignos diseados para alterar la normal funcionamiento de la Pc o

para robar informacin y transmitirlo al su creador Destruccin de los recurso o no

permitir el normal funcionamiento de estos como el no poder acceder a la informacin

de un disco duro producindose en este caso una relacin directa entre el tipo devulnerabilidad como es la denegacin de servicio.

8/3/2019 Actividad 3_CRS - copia

2/8

2 Redes y seguridadActividad 3

2. Toda herramienta usada en la administracin de una red, es potencialmente maligna

y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de

procedimientos, una clusula en la que haga pblica esta observacin. Tenga en

cuenta la divisin de puestos de trabajo explicada en unidades anteriores.

Respuesta:

Si un ejemplo prctico para ilustra esto es el uso de E-mail

Cuando se proveen los servicios de e-mail los usuarios son, lgicamente,

Vulnerables al e-mail bombing y spamming.

Preguntas argumentativas

1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el

diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios

para el problema de e-mail bombing, spamming y el denial of service? Justifique su

eleccin.

Respuesta:

Extraer un logstico sobre el volumen de correo transportado. Extraer

un logstico sobre las conexiones de red levantadas en las ltimas 24

horas.

Extraer un logstico sobre los ingresos desde el exterior a la red

interna.

Extraer un logstico con las conexiones externas realizadas desde

nuestra red.Obtener un logstico sobre los downloads de archivos realizados y

quin los realiz.

Obtener grficos sobre trfico en la red.

Realizar un seguimiento de todos los archivos logsticos a fin de

detectar cambios (realizados con los archivos de back-up del mes

anterior).

8/3/2019 Actividad 3_CRS - copia

3/8

3 Redes y seguridadActividad 3

E-mail bombing y spamming

En este apartado, se presentarn algunas de las dificultades que pueden surgir

como consecuencia de la utilizacin de los servicios de mail. Se brindarn, por otro

lado, algunas respuestas a dichos obstculos.

El e-mail bombing consiste en enviar muchas veces un mensaje idntico a una

misma direccin, saturando el mailbox del destinatario

El spamming,, que es una variante del e-mail bombing, se refiere a enviar el e-

mail a centenares o millares de usuarios e, inclusive, a listas de inters. El Spamming

puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que

todos reciban la respuesta.

Puede, adems, ocurrir inocentemente como resultado de enviar un mensaje a la

lista y no darse cuenta de que la lista lo distribuye a millares de usuarios, o como

resultado de mala configuracin de un autorespondedor, por ejemplo el vacation.

El e-mail bombing/spamming se puede combinar con el e-mail spoofing - que

altera la identidad de la cuenta que enva el mail -, logrando que sea ms difcil

determinar quin est enviando realmente el mail.

Detalles tcnicos

Cuando se proveen los servicios de e-mail los usuarios son, lgicamente,

vulnerables al e-mail bombing y spamming.

En efecto, el e-mail spamming es casi imposible de prevenir. Un usuario con una

direccin vlida de mail puede realizar " Spam " a cualquier otra direccin de mail,

newsgroup, o sistema de BBS.

Cuando gran cantidad de mails son dirigidos a un solo sitio, ste puede sufrir

denial of service por prdida de conectividad, caerse el sistema o producirse fallas en

8/3/2019 Actividad 3_CRS - copia

4/8

4 Redes y seguridadActividad 3

el servicio debido a:

sobrecarga de conexiones de red;

utilizacin de todos los recursos de sistema disponibles;

llenado del disco como resultado de postings mltiples y de entradas en el

syslog.

Cmo proceder?

Deteccin

Si un sistema aparece repentinamente lento (el e-mail es lento o no parece ser

enviado o recibido), la razn puede ser que su mailer est intentando procesar una

excesiva cantidad de mensajes. Esto puede comprobarse a travs del log de sistema.

Reaccin

Es importante:

Identificar la fuente del e-mail bomb/spam y configure su router para evitar el

acceso de los paquetes entrantes de esa direccin. Puede colocar un access

list en el port 25 ( SMTP ) del tipo established para esa direccin.

Observar los headers del e-mail para determinar su origen verdadero.

Ponerse en contacto con el sitio que usted identific en su revisin con el

propsito de alertarlos de la actividad del spammer.

Asegurarse de tener la versin mas actualizada del daemon de mail (por

ejemplo sendmail) y aumente el grado de debug o log que posea el

proceso, para detectar o alertar estas actividades. Tenga la precaucin de

vigilar el tamao del archivo de log, que puede crecer considerablemente, si se

esta bajo un e-mail-bombing.

.Prevencin

8/3/2019 Actividad 3_CRS - copia

5/8

5 Redes y seguridadActividad 3

Desafortunadamente, hasta el momento, no hay manera de prevenir el

bombardeo de e-mail o spamming y es imposible predecir el origen del ataque

siguiente. Es trivial obtener acceso a listas de inters o acceder a informacin que

contenga grandes volmenes de direcciones de e-mail, las que proporcionan al atacante

direcciones de destino para el spam,

Pueden desarrollarse herramientas internas, que pueden ayudar a reconocer y a

responder al e-mail bombing/spamming reduciendo, de esta manera, el impacto de tal

actividad. Tales herramientas deben aumentar las capacidades de log y alertar de

mensajes que vienen de un mismo lugar en un corto perodo de tiempo. Asimismo,

deberan ser capaces de rechazar esos mensajes, o descartarlos.

Si un sitio utiliza un nmero pequeo de servidores de e-mail, podra configurarse

un firewall para asegurarse de que las conexiones de smtp fuera de su firewall

puedan hacerse solamente a sus hubs de mail y a ninguno de los otros equipos.

Aunque esta operacin no prevendr un ataque, reduce al mnimo el nmero de las

mquinas disponibles para un ataque basado en SMTP. De este modo, se puede

controlar el trfico entrante SMTP y filtrarlo de manera acorde.

2. Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un

informe en el que explique por qu se deben instalar demonios en el sistema decomunicacin de la empresa, cules y por qu.

Respuesta:

Un demonio, daemon o dmon (de sus siglas eninglsDisk And Execution MONitor), es un

tipo especial de proceso informtico no interactivo, es decir, que se ejecuta en segundo

plano en vez de ser controlado directamente por el usuario. Este tipo de programas se

ejecutan de forma continua (infinita), vale decir, que aunque se intente cerrar o matar el

proceso, este continuar en ejecucin o se reiniciar automticamente. Todo esto sin

intervencin de terceros y sin dependencia deconsolaalguna.

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Proceso_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Proceso_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Matarhttp://es.wikipedia.org/wiki/Matarhttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/Matarhttp://es.wikipedia.org/wiki/Proceso_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

8/3/2019 Actividad 3_CRS - copia

6/8

6 Redes y seguridadActividad 3

Los demonios suelen tener las siguientes caractersticas:

No disponen de una "interfaz" directa con el usuario, ya sea grfica o textual.

No hacen uso de la entradas y salidas estndar para comunicar errores o registrar

su funcionamiento, sino que usan archivos del sistema en zonas especiales

(/var/log/ en losUNIXms modernos) o utilizan otros demonios

especializados en dicho registro como elsyslogd.

Por ejemplo, una mquina que alberga unservidor webutilizar un demonio httpd

(HTTPDaemon) para ofrecer el servicio y que los visitantes a dichawebpuedan

acceder. Otro ejemplo son los demonios "cronolgicos" comocron, que realizan tareas

programadas como mantenimiento delsistemaen segundo plano.

Estas son las razones por las cuales son importantes los Demonios de proteccin:

Estos programas residentes en memoria son mdulos del antivirus que se encargan de

impedir la entrada del cualquier virus y verifican constantemente operaciones que intenten

realizar modificaciones por mtodos poco frecuentes. Estos, se activan al arrancar el

ordenador y por lo general es importante que se carguen al comienzo y antes que

cualquier otro programa para darle poco tiempo de ejecucin a los virus y detectarlos antes

que alteren algn dato. Segn como est configurado el antivirus, el demonio (como se los

conoce en el ambienteUnix) o TSR (en la jerga MS-DOS / Windows), estar pendiente de

cada operacin de copiado, pegado o cuando se abran archivos, verificar cada archivo

nuevo que es creado y todos los downloads de Internet, tambin har lo mismo con las

operaciones que intenten realizar un formateo de bajo nivel en la unidad de disco rgido y,

por supuesto, proteger los sectores de arranque de modificaciones.

http://es.wikipedia.org/wiki/UNIXhttp://es.wikipedia.org/wiki/UNIXhttp://es.wikipedia.org/wiki/UNIXhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/Sistema_operativohttp://es.wikipedia.org/wiki/Sistema_operativohttp://es.wikipedia.org/wiki/Sistema_operativohttp://www.monografias.com/trabajos6/diop/diop.shtmlhttp://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtmlhttp://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtmlhttp://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtmlhttp://www.monografias.com/trabajos6/diop/diop.shtmlhttp://es.wikipedia.org/wiki/Sistema_operativohttp://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/UNIX

8/3/2019 Actividad 3_CRS - copia

7/8

7 Redes y seguridadActividad 3

Preguntas propositivas

1. Seleccione las herramientas que considere necesarias para usar en su red de datos,

que permitan generar un control de acceso. Tenga en cuenta que estas herramientas

seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn,

cree el procedimiento de uso de cada una de las herramientas seleccionadas.

En este apartado se encuentran aquellas herramientas que nos permitirn tene

una informacin - mediante archivos de trazas o logsticos - de todos los intentos d

conexin que se han producido sobre nuestro sistema o sobre otro que nosotro

hayamos sealado, as como intentos de ataque de forma sistemtica a puertos tant

de TCP como de UDP (herramientas de tipo SATAN).

Este tipo de herramientas nos permite tener un control sobre todos los paquete

que entran por la interfaz de red de la mquina: IP (TCP, UDP) e ICMP, o analizand

paquetes a nivel de aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL, etc.). Esta

herramientas pueden ser utilizadas junto con otras que nos permitan definir desde qu

mquinas permitimos ciertas conexiones y cuales se prohiben. Algunas de la

herramientas descritas en este apartado no necesitan estar instaladas en la mquin

que se quiere controlar, ya que se puede poner en una mquina cuya interfaz de re

funcione en modo promiscuo, permitiendo seleccionar la direccin IP o mquina qu

queremos auditar.Algunas de las herramientas descritas en este apartado pueden tener un dob

uso. Es decir, nos permiten protegernos ante posibles ataques, pero tambin podra

ser utilizadas para intentar comprometer los sistemas. Por eso es importante que el

us

de estas herramientas est restringido - en la manera que se pueda - para que no tod

el mundo est utilizndolas de forma aleatoria y nos oculten realmente un ataqu

Tambin podrn ser utilizadas para realizar seguimientos en la red cuando creamos

qu

alguna de nuestras mquinas ha sido comprometida.

Las herramientas que permiten este tipo de operatividad son: tcp-wrapper, netlog,argus, tcpdump, SATAN, ISS, courtney, gabriel, nocol, tcplist.

2. De la misma manera que en el caso anterior, seleccione las herramientas que usar

para chequear la integridad de su sistema y realice el procedimiento de uso de cada

una de ellas.

Respuesta:

8/3/2019 Actividad 3_CRS - copia

8/8

8 Redes y seguridadActividad 3

Herramientas que chequean la integridad del sistema:

Veremos, a continuacin, una serie de herramientas que nos ayudarn a proteger

Nuestro sistema. Para conseguirlo, tenemos dos tipos de herramientas. Las primeras,

se basan en chequeos a los archivos. Las segundas, nos alertan de posibles

modificaciones de archivos y de programas "sospechosos" que puedan estar

ejecutndose en la mquina de forma camuflada. Veremos, en primer lugar, las que

chequean la integridad de los sistemas de archivos.

COPS (Computer Oracle and Password System)

Tiger

Crack

Tripwire

Tripwire

Chklastlog

Spar

lsof (List Open Files)

cpm (Check Promiscuous Mode)

ifstatus

osh (Operator Shell) noshell

trinux