-Nombre Fecha Actividad Tema EVERLS SAUL SANCHEZ GUZMAN 09-10-2011 3 SEGURIDAD EN REDES

Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI gracias a su trabajo. Tambin, para mayor proteccin, usted enunci los procedimientos que deben llevarse a cabo para asegurar el flujo de informacin. En este momento, es necesario que como gestor de la red reconozca los ataques y las vulnerabilidades ms frecuentes en los sistemas, y con esta informacin complemente su plan de accin, su esquema de seguridad, y sobre todo, sus procedimientos.

Preguntas interpretativas 1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial of service, por ejemplo, existen diferentes maneras de llevar a cabo esta vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de mantenimiento en el que explique esta situacin. Respuesta: Denial of service es un tipo de ataque cuya meta fundamental es la de negar el acceso del atacado a un recurso determinado o a sus propios recursos. Algunos ejemplos de este tipo de ataque son: tentativas de floodear (inundar) una red, evitando de esta manera el trfico legtimo de datos en la misma; tentativas de interrumpir las conexiones entre dos mquinas evitando, de esta manera, el acceso a un servicio; tentativas de evitar que una determinada persona tenga acceso a un servicio; tentativas de interrumpir un servicio especfico a un sistema o a un usuario; Internet evoluciona y crece pero al mismo tiempo lo hacen las amenazas los virus son programas malignos diseados para alterar la normal funcionamiento de la Pc o para robar informacin y transmitirlo al su creador Destruccin de los recurso o no permitir el normal funcionamiento de estos como el no poder acceder a la informacin de un disco duro producindose en este caso una relacin directa entre el tipo de vulnerabilidad como es la denegacin de servicio.

1 Redes y seguridad
Actividad 3

2. Toda herramienta usada en la administracin de una red, es potencialmente maligna y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de procedimientos, una clusula en la que haga pblica esta observacin. Tenga en cuenta la divisin de puestos de trabajo explicada en unidades anteriores. Respuesta: Si un ejemplo prctico para ilustra esto es el uso de E-mail Cuando se proveen los servicios de e-mail los usuarios son, lgicamente, Vulnerables al e-mail bombing y spamming.

Preguntas argumentativas

1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el

diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios para el problema de e-mail bombing, spamming y el denial of service? Justifique su eleccin. Respuesta:

Extraer un logstico sobre el volumen de correo transportado. Extraer un logstico sobre las conexiones de red levantadas en las ltimas 24 horas. Extraer un logstico sobre los ingresos desde el exterior a la red interna. Extraer un logstico con las conexiones externas realizadas desde nuestra red. Obtener un logstico sobre los downloads de archivos realizados y quin los realiz. Obtener grficos sobre trfico en la red. Realizar un seguimiento de todos los archivos logsticos a fin de detectar cambios (realizados con los archivos de back-up del mes anterior).

2 Redes y seguridad
Actividad 3

E-mail bombing y spamming En este apartado, se presentarn algunas de las dificultades que pueden surgir como consecuencia de la utilizacin de los servicios de mail. Se brindarn, por otro lado, algunas respuestas a dichos obstculos. El e-mail bombing consiste en enviar muchas veces un mensaje idntico a una misma direccin, saturando el mailbox del destinatario El spamming,, que es una variante del e-mail bombing, se refiere a enviar el email a centenares o millares de usuarios e, inclusive, a listas de inters. El Spamming puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que todos reciban la respuesta. Puede, adems, ocurrir inocentemente como resultado de enviar un mensaje a la lista y no darse cuenta de que la lista lo distribuye a millares de usuarios, o como resultado de mala configuracin de un autorespondedor, por ejemplo el vacation. El e-mail bombing/spamming se puede combinar con el e-mail spoofing - que altera la identidad de la cuenta que enva el mail -, logrando que sea ms difcil determinar quin est enviando realmente el mail. Detalles tcnicos Cuando se proveen los servicios de e-mail los usuarios son, lgicamente, vulnerables al e-mail bombing y spamming. En efecto, el e-mail spamming es casi imposible de prevenir. Un usuario con una direccin vlida de mail puede realizar " Spam " a cualquier otra direccin de mail, newsgroup, o sistema de BBS. Cuando gran cantidad de mails son dirigidos a un solo sitio, ste puede sufrir denial of service por prdida de conectividad, caerse el sistema o producirse fallas en

3 Redes y seguridad
Actividad 3

el servicio debido a: sobrecarga de conexiones de red; utilizacin de todos los recursos de sistema disponibles; llenado del disco como resultado de postings mltiples y de entradas en el syslog. Cmo proceder? Deteccin Si un sistema aparece repentinamente lento (el e-mail es lento o no parece ser enviado o recibido), la razn puede ser que su mailer est intentando procesar una excesiva cantidad de mensajes. Esto puede comprobarse a travs del log de sistema. Reaccin Es importante: Identificar la fuente del e-mail bomb/spam y configure su router para evitar el acceso de los paquetes entrantes de esa direccin. Puede colocar un access list en el port 25 ( SMTP ) del tipo established para esa direccin. Observar los headers del e-mail para determinar su origen verdadero. Ponerse en contacto con el sitio que usted identific en su revisin con el propsito de alertarlos de la actividad del spammer. Asegurarse de tener la versin mas actualizada del daemon de mail (por ejemplo sendmail) y aumente el grado de debug o log que posea el proceso, para detectar o alertar estas actividades. Tenga la precaucin de vigilar el tamao del archivo de log, que puede crecer considerablemente, si se esta bajo un e-mail-bombing. .Prevencin

4 Redes y seguridad
Actividad 3

Desafortunadamente, hasta el momento, no hay manera de prevenir el bombardeo de e-mail o spamming y es imposible predecir el origen del ataque siguiente. Es trivial obtener acceso a listas de inters o acceder a informacin que contenga grandes volmenes de direcciones de e-mail, las que proporcionan al atacante direcciones de destino para el spam, Pueden desarrollarse herramientas internas, que pueden ayudar a reconocer y a responder al e-mail bombing/spamming reduciendo, de esta manera, el impacto de tal actividad. Tales herramientas deben aumentar las capacidades de log y alertar de mensajes que vienen de un mismo lugar en un corto perodo de tiempo. Asimismo, deberan ser capaces de rechazar esos mensajes, o descartarlos. Si un sitio utiliza un nmero pequeo de servidores de e-mail, podra configurarse un firewall para asegurarse de que las conexiones de smtp fuera de su firewall puedan hacerse solamente a sus hubs de mail y a ninguno de los otros equipos. Aunque esta operacin no prevendr un ataque, reduce al mnimo el nmero de las mquinas disponibles para un ataque basado en SMTP. De este modo, se puede controlar el trfico entrante SMTP y filtrarlo de manera acorde.

2. Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un

informe en el que explique por qu se deben instalar demonios en el sistema de comunicacin de la empresa, cules y por qu.

Respuesta: Un demonio, daemon o dmon (de sus siglas en ingls Disk And Execution MONitor), es un tipo especial de proceso informtico no interactivo, es decir, que se ejecuta en segundo plano en vez de ser controlado directamente por el usuario. Este tipo de programas se ejecutan de forma continua (infinita), vale decir, que aunque se intente cerrar o matar el proceso, este continuar en ejecucin o se reiniciar automticamente. Todo esto sin intervencin de terceros y sin dependencia de consola alguna.

5 Redes y seguridad
Actividad 3

Los demonios suelen tener las siguientes caractersticas:

No disponen de una "interfaz" directa con el usuario, ya sea grfica o textual. No hacen uso de la entradas y salidas estndar para comunicar errores o registrar su funcionamiento, sino que usan archivos del sistema en zonas especiales (/var/log/ en los UNIX ms modernos) o utilizan otros demonios especializados en dicho registro como el syslogd.

Por ejemplo, una mquina que alberga un servidor web utilizar un demonio httpd (HTTP Daemon) para ofrecer el servicio y que los visitantes a dicha web puedan acceder. Otro ejemplo son los demonios "cronolgicos" como cron, que realizan tareas programadas como mantenimiento del sistema en segundo plano.

Estas son las razones por las cuales son importantes los Demonios de proteccin:
Estos programas residentes en memoria son mdulos del antivirus que se encargan de impedir la entrada del cualquier virus y verifican constantemente operaciones que intenten realizar modificaciones por mtodos poco frecuentes. Estos, se activan al arrancar el ordenador y por lo general es importante que se carguen al comienzo y antes que cualquier otro programa para darle poco tiempo de ejecucin a los virus y detectarlos antes que alteren algn dato. Segn como est configurado el antivirus, el demonio (como se los conoce en el ambienteUnix) o TSR (en la jerga MS-DOS / Windows), estar pendiente de cada operacin de copiado, pegado o cuando se abran archivos, verificar cada archivo nuevo que es creado y todos los downloads de Internet, tambin har lo mismo con las operaciones que intenten realizar un formateo de bajo nivel en la unidad de disco rgido y, por supuesto, proteger los sectores de arranque de modificaciones.

6 Redes y seguridad
Actividad 3

Preguntas propositivas

1. Seleccione las herramientas que considere necesarias para usar en su red de datos, que permitan generar un control de acceso. Tenga en cuenta que estas herramientas seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn, cree el procedimiento de uso de cada una de las herramientas seleccionadas.

En este apartado se encuentran aquellas herramientas que nos permitirn tene una informacin - mediante archivos de trazas o logsticos - de todos los intentos d conexin que se han producido sobre nuestro sistema o sobre otro que nosotro hayamos sealado, as como intentos de ataque de forma sistemtica a puertos tant de TCP como de UDP (herramientas de tipo SATAN). Este tipo de herramientas nos permite tener un control sobre todos los paquete que entran por la interfaz de red de la mquina: IP (TCP, UDP) e ICMP, o analizand paquetes a nivel de aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL, etc.). Esta herramientas pueden ser utilizadas junto con otras que nos permitan definir desde qu mquinas permitimos ciertas conexiones y cuales se prohiben. Algunas de la herramientas descritas en este apartado no necesitan estar instaladas en la mquin que se quiere controlar, ya que se puede poner en una mquina cuya interfaz de re funcione en modo promiscuo, permitiendo seleccionar la direccin IP o mquina qu queremos auditar. Algunas de las herramientas descritas en este apartado pueden tener un dob uso. Es decir, nos permiten protegernos ante posibles ataques, pero tambin podra ser utilizadas para intentar comprometer los sistemas. Por eso es importante que el us de estas herramientas est restringido - en la manera que se pueda - para que no tod el mundo est utilizndolas de forma aleatoria y nos oculten realmente un ataqu Tambin podrn ser utilizadas para realizar seguimientos en la red cuando creamos qu alguna de nuestras mquinas ha sido comprometida. Las herramientas que permiten este tipo de operatividad son: tcp-wrapper, netlog, argus, tcpdump, SATAN, ISS, courtney, gabriel, nocol, tcplist.

2. De la misma manera que en el caso anterior, seleccione las herramientas que usar para chequear la integridad de su sistema y realice el procedimiento de uso de cada una de ellas. Respuesta:

7 Redes y seguridad
Actividad 3

Herramientas que chequean la integridad del sistema: Veremos, a continuacin, una serie de herramientas que nos ayudarn a proteger Nuestro sistema. Para conseguirlo, tenemos dos tipos de herramientas. Las primeras, se basan en chequeos a los archivos. Las segundas, nos alertan de posibles modificaciones de archivos y de programas "sospechosos" que puedan estar ejecutndose en la mquina de forma camuflada. Veremos, en primer lugar, las que chequean la integridad de los sistemas de archivos. COPS (Computer Oracle and Password System) Tiger Crack Tripwire Tripwire Chklastlog Spar lsof (List Open Files) cpm (Check Promiscuous Mode) ifstatus osh (Operator Shell) noshell trinux

8 Redes y seguridad
Actividad 3