actividad 3_crs - copia
TRANSCRIPT
-
8/3/2019 Actividad 3_CRS - copia
1/8
1 Redes y seguridadActividad 3
--
Nombre EVERLS SAUL SANCHEZ GUZMAN
Fecha 09-10-2011
Actividad 3
Tema SEGURIDAD EN REDES
Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI gracias a su
trabajo. Tambin, para mayor proteccin, usted enunci los procedimientos que deben
llevarse a cabo para asegurar el flujo de informacin. En este momento, es necesario que
como gestor de la red reconozca los ataques y las vulnerabilidades ms frecuentes en los
sistemas, y con esta informacin complemente su plan de accin, su esquema de seguridad, y
sobre todo, sus procedimientos.
Preguntas interpretativas
1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial
of service, por ejemplo, existen diferentes maneras de llevar a cabo esta
vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las
vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de
mantenimiento en el que explique esta situacin.
Respuesta:
Denial of service es un tipo de ataque cuya meta fundamental es la de negar el
acceso del atacado a un recurso determinado o a sus propios recursos.
Algunos ejemplos de este tipo de ataque son:
tentativas de floodear (inundar) una red, evitando de esta manera el trfico
legtimo de datos en la misma;
tentativas de interrumpir las conexiones entre dos mquinas evitando, de esta
manera, el acceso a un servicio;
tentativas de evitar que una determinada persona tenga acceso a un servicio;
tentativas de interrumpir un servicio especfico a un sistema o a un usuario;
Internet evoluciona y crece pero al mismo tiempo lo hacen las amenazas los virus son
programas malignos diseados para alterar la normal funcionamiento de la Pc o
para robar informacin y transmitirlo al su creador Destruccin de los recurso o no
permitir el normal funcionamiento de estos como el no poder acceder a la informacin
de un disco duro producindose en este caso una relacin directa entre el tipo devulnerabilidad como es la denegacin de servicio.
-
8/3/2019 Actividad 3_CRS - copia
2/8
2 Redes y seguridadActividad 3
2. Toda herramienta usada en la administracin de una red, es potencialmente maligna
y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de
procedimientos, una clusula en la que haga pblica esta observacin. Tenga en
cuenta la divisin de puestos de trabajo explicada en unidades anteriores.
Respuesta:
Si un ejemplo prctico para ilustra esto es el uso de E-mail
Cuando se proveen los servicios de e-mail los usuarios son, lgicamente,
Vulnerables al e-mail bombing y spamming.
Preguntas argumentativas
1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el
diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios
para el problema de e-mail bombing, spamming y el denial of service? Justifique su
eleccin.
Respuesta:
Extraer un logstico sobre el volumen de correo transportado. Extraer
un logstico sobre las conexiones de red levantadas en las ltimas 24
horas.
Extraer un logstico sobre los ingresos desde el exterior a la red
interna.
Extraer un logstico con las conexiones externas realizadas desde
nuestra red.Obtener un logstico sobre los downloads de archivos realizados y
quin los realiz.
Obtener grficos sobre trfico en la red.
Realizar un seguimiento de todos los archivos logsticos a fin de
detectar cambios (realizados con los archivos de back-up del mes
anterior).
-
8/3/2019 Actividad 3_CRS - copia
3/8
3 Redes y seguridadActividad 3
E-mail bombing y spamming
En este apartado, se presentarn algunas de las dificultades que pueden surgir
como consecuencia de la utilizacin de los servicios de mail. Se brindarn, por otro
lado, algunas respuestas a dichos obstculos.
El e-mail bombing consiste en enviar muchas veces un mensaje idntico a una
misma direccin, saturando el mailbox del destinatario
El spamming,, que es una variante del e-mail bombing, se refiere a enviar el e-
mail a centenares o millares de usuarios e, inclusive, a listas de inters. El Spamming
puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que
todos reciban la respuesta.
Puede, adems, ocurrir inocentemente como resultado de enviar un mensaje a la
lista y no darse cuenta de que la lista lo distribuye a millares de usuarios, o como
resultado de mala configuracin de un autorespondedor, por ejemplo el vacation.
El e-mail bombing/spamming se puede combinar con el e-mail spoofing - que
altera la identidad de la cuenta que enva el mail -, logrando que sea ms difcil
determinar quin est enviando realmente el mail.
Detalles tcnicos
Cuando se proveen los servicios de e-mail los usuarios son, lgicamente,
vulnerables al e-mail bombing y spamming.
En efecto, el e-mail spamming es casi imposible de prevenir. Un usuario con una
direccin vlida de mail puede realizar " Spam " a cualquier otra direccin de mail,
newsgroup, o sistema de BBS.
Cuando gran cantidad de mails son dirigidos a un solo sitio, ste puede sufrir
denial of service por prdida de conectividad, caerse el sistema o producirse fallas en
-
8/3/2019 Actividad 3_CRS - copia
4/8
4 Redes y seguridadActividad 3
el servicio debido a:
sobrecarga de conexiones de red;
utilizacin de todos los recursos de sistema disponibles;
llenado del disco como resultado de postings mltiples y de entradas en el
syslog.
Cmo proceder?
Deteccin
Si un sistema aparece repentinamente lento (el e-mail es lento o no parece ser
enviado o recibido), la razn puede ser que su mailer est intentando procesar una
excesiva cantidad de mensajes. Esto puede comprobarse a travs del log de sistema.
Reaccin
Es importante:
Identificar la fuente del e-mail bomb/spam y configure su router para evitar el
acceso de los paquetes entrantes de esa direccin. Puede colocar un access
list en el port 25 ( SMTP ) del tipo established para esa direccin.
Observar los headers del e-mail para determinar su origen verdadero.
Ponerse en contacto con el sitio que usted identific en su revisin con el
propsito de alertarlos de la actividad del spammer.
Asegurarse de tener la versin mas actualizada del daemon de mail (por
ejemplo sendmail) y aumente el grado de debug o log que posea el
proceso, para detectar o alertar estas actividades. Tenga la precaucin de
vigilar el tamao del archivo de log, que puede crecer considerablemente, si se
esta bajo un e-mail-bombing.
.Prevencin
-
8/3/2019 Actividad 3_CRS - copia
5/8
5 Redes y seguridadActividad 3
Desafortunadamente, hasta el momento, no hay manera de prevenir el
bombardeo de e-mail o spamming y es imposible predecir el origen del ataque
siguiente. Es trivial obtener acceso a listas de inters o acceder a informacin que
contenga grandes volmenes de direcciones de e-mail, las que proporcionan al atacante
direcciones de destino para el spam,
Pueden desarrollarse herramientas internas, que pueden ayudar a reconocer y a
responder al e-mail bombing/spamming reduciendo, de esta manera, el impacto de tal
actividad. Tales herramientas deben aumentar las capacidades de log y alertar de
mensajes que vienen de un mismo lugar en un corto perodo de tiempo. Asimismo,
deberan ser capaces de rechazar esos mensajes, o descartarlos.
Si un sitio utiliza un nmero pequeo de servidores de e-mail, podra configurarse
un firewall para asegurarse de que las conexiones de smtp fuera de su firewall
puedan hacerse solamente a sus hubs de mail y a ninguno de los otros equipos.
Aunque esta operacin no prevendr un ataque, reduce al mnimo el nmero de las
mquinas disponibles para un ataque basado en SMTP. De este modo, se puede
controlar el trfico entrante SMTP y filtrarlo de manera acorde.
2. Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un
informe en el que explique por qu se deben instalar demonios en el sistema decomunicacin de la empresa, cules y por qu.
Respuesta:
Un demonio, daemon o dmon (de sus siglas eninglsDisk And Execution MONitor), es un
tipo especial de proceso informtico no interactivo, es decir, que se ejecuta en segundo
plano en vez de ser controlado directamente por el usuario. Este tipo de programas se
ejecutan de forma continua (infinita), vale decir, que aunque se intente cerrar o matar el
proceso, este continuar en ejecucin o se reiniciar automticamente. Todo esto sin
intervencin de terceros y sin dependencia deconsolaalguna.
http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Idioma_ingl%C3%A9shttp://es.wikipedia.org/wiki/Proceso_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Proceso_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Matarhttp://es.wikipedia.org/wiki/Matarhttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/L%C3%ADnea_de_comandoshttp://es.wikipedia.org/wiki/Matarhttp://es.wikipedia.org/wiki/Proceso_(inform%C3%A1tica)http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s -
8/3/2019 Actividad 3_CRS - copia
6/8
6 Redes y seguridadActividad 3
Los demonios suelen tener las siguientes caractersticas:
No disponen de una "interfaz" directa con el usuario, ya sea grfica o textual.
No hacen uso de la entradas y salidas estndar para comunicar errores o registrar
su funcionamiento, sino que usan archivos del sistema en zonas especiales
(/var/log/ en losUNIXms modernos) o utilizan otros demonios
especializados en dicho registro como elsyslogd.
Por ejemplo, una mquina que alberga unservidor webutilizar un demonio httpd
(HTTPDaemon) para ofrecer el servicio y que los visitantes a dichawebpuedan
acceder. Otro ejemplo son los demonios "cronolgicos" comocron, que realizan tareas
programadas como mantenimiento delsistemaen segundo plano.
Estas son las razones por las cuales son importantes los Demonios de proteccin:
Estos programas residentes en memoria son mdulos del antivirus que se encargan de
impedir la entrada del cualquier virus y verifican constantemente operaciones que intenten
realizar modificaciones por mtodos poco frecuentes. Estos, se activan al arrancar el
ordenador y por lo general es importante que se carguen al comienzo y antes que
cualquier otro programa para darle poco tiempo de ejecucin a los virus y detectarlos antes
que alteren algn dato. Segn como est configurado el antivirus, el demonio (como se los
conoce en el ambienteUnix) o TSR (en la jerga MS-DOS / Windows), estar pendiente de
cada operacin de copiado, pegado o cuando se abran archivos, verificar cada archivo
nuevo que es creado y todos los downloads de Internet, tambin har lo mismo con las
operaciones que intenten realizar un formateo de bajo nivel en la unidad de disco rgido y,
por supuesto, proteger los sectores de arranque de modificaciones.
http://es.wikipedia.org/wiki/UNIXhttp://es.wikipedia.org/wiki/UNIXhttp://es.wikipedia.org/wiki/UNIXhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/Sistema_operativohttp://es.wikipedia.org/wiki/Sistema_operativohttp://es.wikipedia.org/wiki/Sistema_operativohttp://www.monografias.com/trabajos6/diop/diop.shtmlhttp://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtmlhttp://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtmlhttp://www.monografias.com/trabajos15/medio-ambiente-venezuela/medio-ambiente-venezuela.shtmlhttp://www.monografias.com/trabajos6/diop/diop.shtmlhttp://es.wikipedia.org/wiki/Sistema_operativohttp://es.wikipedia.org/wiki/Cron_(unix)http://es.wikipedia.org/wiki/P%C3%A1gina_webhttp://es.wikipedia.org/wiki/HTTPhttp://es.wikipedia.org/wiki/Servidor_webhttp://es.wikipedia.org/wiki/Syslogdhttp://es.wikipedia.org/wiki/UNIX -
8/3/2019 Actividad 3_CRS - copia
7/8
7 Redes y seguridadActividad 3
Preguntas propositivas
1. Seleccione las herramientas que considere necesarias para usar en su red de datos,
que permitan generar un control de acceso. Tenga en cuenta que estas herramientas
seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn,
cree el procedimiento de uso de cada una de las herramientas seleccionadas.
En este apartado se encuentran aquellas herramientas que nos permitirn tene
una informacin - mediante archivos de trazas o logsticos - de todos los intentos d
conexin que se han producido sobre nuestro sistema o sobre otro que nosotro
hayamos sealado, as como intentos de ataque de forma sistemtica a puertos tant
de TCP como de UDP (herramientas de tipo SATAN).
Este tipo de herramientas nos permite tener un control sobre todos los paquete
que entran por la interfaz de red de la mquina: IP (TCP, UDP) e ICMP, o analizand
paquetes a nivel de aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL, etc.). Esta
herramientas pueden ser utilizadas junto con otras que nos permitan definir desde qu
mquinas permitimos ciertas conexiones y cuales se prohiben. Algunas de la
herramientas descritas en este apartado no necesitan estar instaladas en la mquin
que se quiere controlar, ya que se puede poner en una mquina cuya interfaz de re
funcione en modo promiscuo, permitiendo seleccionar la direccin IP o mquina qu
queremos auditar.Algunas de las herramientas descritas en este apartado pueden tener un dob
uso. Es decir, nos permiten protegernos ante posibles ataques, pero tambin podra
ser utilizadas para intentar comprometer los sistemas. Por eso es importante que el
us
de estas herramientas est restringido - en la manera que se pueda - para que no tod
el mundo est utilizndolas de forma aleatoria y nos oculten realmente un ataqu
Tambin podrn ser utilizadas para realizar seguimientos en la red cuando creamos
qu
alguna de nuestras mquinas ha sido comprometida.
Las herramientas que permiten este tipo de operatividad son: tcp-wrapper, netlog,argus, tcpdump, SATAN, ISS, courtney, gabriel, nocol, tcplist.
2. De la misma manera que en el caso anterior, seleccione las herramientas que usar
para chequear la integridad de su sistema y realice el procedimiento de uso de cada
una de ellas.
Respuesta:
-
8/3/2019 Actividad 3_CRS - copia
8/8
8 Redes y seguridadActividad 3
Herramientas que chequean la integridad del sistema:
Veremos, a continuacin, una serie de herramientas que nos ayudarn a proteger
Nuestro sistema. Para conseguirlo, tenemos dos tipos de herramientas. Las primeras,
se basan en chequeos a los archivos. Las segundas, nos alertan de posibles
modificaciones de archivos y de programas "sospechosos" que puedan estar
ejecutndose en la mquina de forma camuflada. Veremos, en primer lugar, las que
chequean la integridad de los sistemas de archivos.
COPS (Computer Oracle and Password System)
Tiger
Crack
Tripwire
Tripwire
Chklastlog
Spar
lsof (List Open Files)
cpm (Check Promiscuous Mode)
ifstatus
osh (Operator Shell) noshell
trinux