Investigación de seguridad en la red Instituto Tecnológico de Tehuacán Mayo 2013

Ingeniería en sistemas computacionales

Francisco Rafael Feliciano

Introducción

Cualquier equipo conectado a una red informática puede ser vulnerable a un

ataque.

Un ataque consiste en aprovechar una vulnerabilidad de un sistema informático

(sistema operativo, programa de software o sistema del usuario) con propósitos

desconocidos por el operador del sistema y que, por lo general, causan un daño.

Los ataques siempre se producen en Internet, a razón de varios ataques por

minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente

desde equipos infectados (a través de virus, troyanos, gusanos, etc.) sin que el

propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por

piratas informáticos.

Para bloquear estos ataques, es importante estar familiarizado con los principales

tipos y tomar medidas preventivas.

Los ataques pueden ejecutarse por diversos motivos:

o para obtener acceso al sistema.

o para robar información, como secretos industriales o propiedad intelectual

o para recopilar información personal acerca de un usuario

o para obtener información de cuentas bancarias

o para obtener información acerca de una organización (la compañía del

usuario, etc.)

o para afectar el funcionamiento normal de un servicio

o para utilizar el sistema de un usuario como un "rebote" para un ataque

o para usar los recursos del sistema del usuario, en particular cuando la red

en la que está ubicado tiene un ancho de banda considerable.

Tipos de ataque

Los sistemas informáticos usan una diversidad de componentes, desde

electricidad para suministrar alimentación a los equipos hasta el programa de

software ejecutado mediante el sistema operativo que usa la red.

Los ataques se pueden producir en cada eslabón de esta cadena, siempre y

cuando exista una vulnerabilidad que pueda aprovecharse.

Los riesgos se pueden clasificar de la siguiente manera:

Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso

a los equipos:

o Interrupción del suministro eléctrico.

o Apagado manual del equipo.

o Vandalismo.

o Apertura de la carcasa del equipo y robo del disco duro.

o Monitoreo del tráfico de red.

Intercepción de comunicaciones:

o Secuestro de sesión.

o Falsificación de identidad.

o Redireccionamiento o alteración de mensajes.

Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el

funcionamiento normal de un servicio. Por lo general, las denegaciones de servicio

se dividen de la siguiente manera:

o Explotación de las debilidades del protocolo TCP/IP.

o Explotación de las vulnerabilidades del software del servidor.

Intrusiones:

Análisis de puertos.

Elevación de privilegios: este tipo de ataque consiste en aprovechar una

vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por

su diseñador). En ciertos casos, esto genera comportamientos atípicos que

permiten acceder al sistema con derechos de aplicación. Los ataques de

desbordamiento de la memoria intermedia (búfer) usan este principio.

Ataques malintencionados (virus, gusanos, troyanos).

Ingeniería social: en la mayoría de los casos, el eslabón más débil es el mismo

usuario. Muchas veces es él quien, por ignorancia o a causa de un engaño,

genera una vulnerabilidad en el sistema al brindar información (la contraseña, por

ejemplo) al pirata informático o al abrir un archivo adjunto. Cuando ello sucede,

ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido

común, la razón y el conocimiento básico acerca de las prácticas utilizadas

pueden ayudar a evitar este tipo de errores.

Puertas trampa: son puertas traseras ocultas en un programa de software que

brindan acceso a su diseñador en todo momento.

Es por ello que los errores de programación de los programas son corregidos con

bastante rapidez por su diseñador apenas se publica la vulnerabilidad. En

consecuencia, queda en manos de los administradores (o usuarios privados con

un buen conocimiento) mantenerse informados acerca de las actualizaciones de

los programas que usan a fin de limitar los riesgos de ataques.

Además, existen ciertos dispositivos (firewalls, sistemas de detección de

intrusiones, antivirus) que brindan la posibilidad de aumentar el nivel de seguridad.

Esfuerzo de protección

La seguridad del sistema de un equipo generalmente se denomina "asimétrica"

porque el pirata informático debe encontrar sólo una vulnerabilidad para poner en

peligro el sistema, mientras que el administrador debe, por su propio bien, corregir

todas sus fallas.

Ataque por rebote

Cuando se ejecuta un ataque, el pirata informático siempre sabe que puede ser

descubierto, por lo que generalmente privilegia los ataques por rebote (en

oposición a los ataques directos). Los primeros consisten en atacar un equipo a

través de otro para ocultar los rastros que podrían revelar la identidad del pirata

(como su dirección IP) con el objetivo de utilizar los recursos del equipo atacado.

Esto comprueba la importancia de proteger su red o PC, ya que podría terminar

siendo "cómplice" de un ataque y, si las víctimas realizan una denuncia, la primera

persona cuestionada será el propietario del equipo que se utilizó como rebote.

Con el desarrollo de las redes inalámbricas, este tipo de situación podría ser cada

vez más común ya que estas redes no son demasiado seguras y los piratas

ubicados en sus inmediaciones podrían usarlas para ejecutar un ataque.

Certificados

Los certificados digitales son archivos electrónicos que funcionan como una

contraseña en línea para comprobar la identidad de un usuario o equipo. Sirven

para crear el canal cifrado de SSL, que a su vez se usa para las comunicaciones

del cliente. Un certificado es una declaración digital emitida por una entidad de

certificación (CA) que garantiza la identidad del poseedor del certificado y permite

que las partes se comuniquen de forma segura mediante el cifrado.

Los certificados digitales hacen lo siguiente:

Dan fe de que sus poseedores (personas, sitios web e incluso recursos de

red como enrutadores) son de verdad quien dicen ser.

Protegen los datos que se intercambian en línea de posibles

manipulaciones o robos.

Los certificados digitales pueden ser emitidos por una entidad de certificación de

terceros o por una infraestructura de clave pública de Windows de confianza,

mediante el uso de los servicios de servidor de certificados, o también se pueden

autofirmar. Cada tipo de certificado tiene sus ventajas y desventajas. Todos los

tipos de certificado digital están protegidos contra las manipulaciones y no se

pueden falsificar.

Se pueden emitir certificados para varios usos. Por ejemplo, autenticación de

usuario web, autenticación de servidor web, extensiones seguras multipropósito al

correo de Internet (S/MIME), protocolo de seguridad de Internet (IPsec), seguridad

de nivel de transporte (TLS) y firmas de código.

Un certificado contiene y vincula una clave pública con la identidad de la persona,

el equipo o el servicio que posee la clave privada correspondiente. Tanto el cliente

como el servidor usan las claves públicas y privadas para cifrar los datos antes de

transmitirlos. En los usuarios, equipos y servicios basados en Windows, la

confianza en una CA se establece cuando hay una copia del certificado raíz en el

almacén de certificados raíz de confianza y el certificado contiene una ruta de

certificación válida. Para que el certificado sea válido, no se tiene que haber

revocado y su período de validez no tiene que haber expirado.

PFSENSE

http://www.pfsense.org/

Es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo es

tener un cortafuegos (firewall) fácilmente configurable a través de una interfase

web e instalable en cualquier PC, incluyendo los miniPC de una sola tarjeta.

Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, por tanto,

de libre distribución.

El cortafuegos forma parte del Kernel del sistema. De hecho, se trata del Packet

Filter (PF) originario de OpenBSD, considerado como el sistema operativo más

seguro del mundo.

Packet Filter (PF) está presente como estándar en FreeBSD desde noviembre de

2004. Incluye funcionalidades como el regulador de caudal ALTQ, que permite

asignar prioridades por tipo de tráfico.

Los desarrolladores de pfSense escogieron FreeBSD en lugar de OpenBSD por su

facilidad de instalación en el mundo de lps PCs y porqué ya existía BSD Installer,

una versión muy reducida de FreeBSD.

Todo ello da una gran flexibilidad a la solución pfSense, ya que se puede montar

tanto en equipos miniPC (basados en una sola placa) que emplean como disco

una Compact Flash como en PC estándar con disco duro. En este último caso se

pueden añadir paquetes como Snort, Squid, Radius, etc.

Instalación PFSENSE

Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-DOS)

d:

cd /compactflash

Ejecutamos:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Obtendremos una respuesta similar a:

Searching for physical drives ...

Information for \\.\PhysicalDrive0:

...

...

Wich disk do you want to write <0..0>?

Cancelamos la ejecución mediante Ctl+C

Con ello hemos visto qué discos físicos tiene nuestra máquina.

Insertamos ahora la Compact Flash y volvemos a ejecutar:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Vemos que nos detecta un disco físico más y cambia la pregunta final:

Wich disk do you want to write <0..2>?

Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2).

El proceso de grabación empieza y dura un buen rato (media hora

aproximadamente).

¡¡¡ Cuando se termina, hay que hacer el proceso de desconexión segura del

dispositivo Compact Flash antes de extraerla de su ranura!!!

En muchas consolas de órdenes (Windows XP incluido) escribir los primeros

caracteres de los archivos y darle al tabulador sirve para que aparezca en pantalla

el nombre completo del archivo. Ello evita teclearlo todo.

En mi caso he creado un archivo de órdenes llamado grabar.bat que contiene la

orden

physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz

physdiskwrite controla automáticamente que no se puedan escribir discos de más

de 2 GByte. De esta manera evita las confusiones entre el disco duro y la

Compact Flash.

Implementación PFSENSE

Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la

dirección ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pedirá

autenticarnos lo que realizamos con:

User: admin

Password: pfsense

Después de autenticarte estarás dentro del entorno web que hay que cambiar

algunos parámetros que están por defecto.

Imagen PFSENSE

UNTANGLE

http://www.untangle.com/

Este servidor puede ser útil para una rápida implementación de un server con

funciones de firewall o gateway además de poseer alternativas a software para

detección de intrusos, spam, virus, etc. Estas son algunas de las características y

softwares que contiene

Web Filter – Impide el acceso a sitios Web no deseados

Virus Blocker – Evita que los virus lleguen a los equipos de la red

Spam Blocker – Bloquea el correo basura

Ad Blocker – Bloques de anuncios en línea que la capacidad de la red de

residuos

Attack Blocker – Detiene el ataque de negación de servicio (DOS)

Phish Blocker – Protege a las personas del robo de identidad “phishing”

Spyware Blocker – Protege a las personas de los sitios web que instalan

malware

Firewall – Protección de la red en Internet

QoS – Permite la priorización del tráfico de Internet

Intrusion Prevention – Protege la red de los hackers

Protocol Control – Control de protocolos de juegos en línea, IM y P2P

OpenVPN – Permite el acceso remoto seguro a la red interna

Reports – Muestra quién está haciendo qué en línea

Los requisitos de esta distribución son:

Pentium 4

80 GB de disco duro

2 placas de red

1 GB de memoria RAM

Instalación

Para la instalación de UNTANGLE son varias formas de hacerlo, en este caso lo

haremos en modo grafico:

Primeramente escogemos el idioma, enseguida el país, la distribución del teclado.

Finalmente nos muestra la siguiente imagen.

Después de esto nos da la opción de que si queremos formatear el disco.

Luego termina la instalación nos pide que quitemos el CD de instalación que al

reiniciar comenzará por el disco duro.

Y comienza a cargar la interfaz grafica. Cuando termine de cargar nos aparece

nuevamente la selección del idioma.

Y nos aparece esta ventana.

Aquí escogemos una contraseña para el administrador.

Definimos las interfaces conectadas.

Configuramos la WAN

Definimos la configuración de la red LAN

Debemos de llenar los datos de un servidor de correo.

Y finalizamos la instalación.

Tenemos la interfaz de UNTANGLE

Cuando entramos al botón de configuración en el Web Filter Lite del "Rack"

podremos observar las siguientes opciones.

Editar Categorías: Muestra un listado de las categorías de páginas web a filtrar

como pornografía, redes sociales y proxys en internet.

Editar Sitios: Permite agregar de forma manual un sitio WEB para filtrar, esto

mediante URL o dirección IP.

Editar Tipos de archivo: permite un filtrado de extensiones a descargar como

.mp3, .exe, .mov, entre otras.

Comenzaremos a filtrar en orden, primero por categorías, lo que haremos será

denegar el acceso a páginas WEB con contenido para adultos o proxys de

internet, además observaremos el uso del botón "User By Pass" el cual permite

hacer que el proxy sea permisivo y le aparezca un botón a los usuarios para darles

la opción de continuar en la WEB cuando está en permanente y global.

Primero se busca páginas de contenido para adultos.

La página será bloqueada, pero en la parte inferior nos permitirá continuar si lo

deseamos gracias al botón "User By Pass".

Cambiaremos el botón de "User By Pass" a modo "Ninguno" para que no les

aparezcan opciones y los usuarios no tengan opción de continuar.

Bloquearemos la URL www.facebook.com y crearemos una categoría llamada

Redes Sociales.

Cuando los usuarios intenten ingresar observaran el motivo del bloqueo y la

pagina estará bloqueada.

También bloquearemos por extensión y denegaremos que los usuarios

descarguen contenido .exe.

Se puede probar bajando el navegador firefox como prueba de lo ya aplicado.

FORTINET

Fortinet fue fundada en el año 2000 por Ken Xie, visionario y previo fundador y

CEO de

NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilización de un

Circuito

Integrado de Aplicación Específica (ASIC) para acelerar el proceso Firewall. De

este modo lanzó al mercado un lineal de equipos de alto rendimiento que

mediante aceleración hardware permitía realizar un control sobre el tráfico de las

redes en tiempo real, que tuvo inmediatamente una gran acogida en el mercado.

Ken Xie, con objeto de seguir avanzando en su visión propia de la seguridad en

las comunicaciones, abandonó NetScreen y fundó Fortinet. Su proyecto consistía

en dar un enorme paso más en la seguridad en tiempo real, integrando antivirus,

filtrado de contenido, tecnología IDP (Intrusion Detection and Prevention) y

Antispam en un solo dispositivo, junto con el firewall y servidor VPN, y acelerando

esta Protección Completa de Contenidos mediante un nuevo ASIC, FortiASIC, que

permite romper la barrera del procesado de contenidos en tiempo real.

Los equipos de seguridad Fortinet constituyen una nueva generación de equipos

de seguridad de muy alto rendimiento que garantizan la protección completa de

nuestros sistemas en tiempo real.

La serie FortiGate, que ofrece altísimos niveles de escalabilidad, rendimiento,

seguridad y flexibilidad de despliegue, es la única plataforma de Gestión Unificada

de Amenazas (UTMUnified Threat Management) que cuenta con seis

certificaciones ICSA y que además cumple el estándar ATCA –Advanced Telecom

Computing Architecture–, integrando una completa gama de funciones y servicios

de seguridad para proteger las redes de las sofisticadas amenazas combinadas.

Entre las funcionalidades integradas de estas plataformas de Gestión Unificada de

Amenzas –UTM– se incluyen cortafuegos de inspección de estado, VPN IPSec y

SSL, detección y prevención de intrusiones, filtrado de contenido web, antispam,

antivirus, controles de mensajería instantánea y controles P2P (peer-to-peer).

Estos servicios de seguridad funcionan conjuntamente para prevenir que los

ataques mixtos afecten a la red.