Otras herramientas pueden ser utilizadas para propósitos diferentes a las agrupadas anteriormente. El Netcat puede ser utilizado para redireccionar puertos, muy útil para realizar conexiones con mayor nivel de seguridad desde el exterior de la Intranet, emigrando de un puerto bien conocido a otros menos conocidos, es instalado desde el repositorio de Linux a traves de apt-get install netcat. Su sintasis es nc [-options] hostname port[s] [ports] y nc -l -p port [-options] [hostname] [port].Los parámetros mas utilizados son –l o modo listen con el cual el software queda a la espera de conexiones entrantes,-p indica el puerto local, -u modo UDP, -e se utiliza para ejecutar un comando dado después de conectar y –c para emitir órdenes de shell (hace /bin/sh -c [cadena] después de conectar.
La implementacion de un servicio de transferencia de archivo se realiza de forma que la instancia de nc que escucha recibe el fichero. El receptor ejecuta nc -l -p 2000 > archivo.recibido y el emisor nc localhost 2000 < archivo. Para implementar un shell remoto como Telnet se utiliza el comando nc -l -p 2000 -e /bin/bash en el servidor y en el cliente nc localhost 2000 , si el cliente es el que dispone del terminal remoto se escribe nc -l -p 2000 en el servidor y en el cliente nc server.ejemplo.org 2000 -e
/bin/bash .Puede ser utilizado además para redirigir una conexión a otro puerto u otra máquina mediante nc -l -p 2000 -c “nc servidor.dominio.org 22” , el trafico recibido en el puerto 2000 de la estación se redirige a la computadora servidor.dominio.org:22. Permite incluso que la conexión entrante sea UDP pero la redirección sea TCP o viceversa.
El Arpwatch es una herramienta muy util para la deteccion de envenenamiento ARP esta puede instalarse desde el repositorio de Linux. Su sintaxis es rpwatch [ -dN ] [ -f datafile ] [ -i interface ][ -n net[/width ]] [ -r file ] [ -u username ] [ -e username ][ -s username].
Para su uso debe existir la biblioteca libpcap0.8, asi como debe crearse un fichero en
/var/lib/arpwatch/arp.dat para alamacenar los reportes. La configuración se realiza desde /etc/arpwatch.conf, puede configurase para el envio de mensajes editando dentro de dicha carpeta eth0 -a -n 124.18.0.0/24 -m [email protected].Para que la nueva configuración sea aceptada se reinicia com /etc/init.d/arpwatch restart.
Como recurso para el análisis de log e IDS puede ser utilizado el Ossec Hids. La instalación es muy sencilla, puede realizarse desde el repositorio con apt-get install ossec.
Después de instalado el servidor este debe configurarse, desde ahí puede ser elegido la dirección a enviar las notificaciones, iniciar el software como daemon, detección de
rootkit, esto seria mostrado en pantalla como: -Do you want e-mail notification? (y/n) [y]: -What's your e-mail address? [email protected]
-We found your SMTP server as: mail.yyyyyyy.net.
-Do you want to use it? (y/n) [y]:
-Do you want to run the integrity check daemon? (y/n) [y]:
Running syscheck (integrity check daemon).
-Do you want to run the rootkit detection engine? (y/n) [y]:
Running rootcheck (rootkit detection).
-Active response allows you to execute a specific command based on the events received. For example,you can block an IP address or disable access for a specific user.
-Do you want to enable active response? (y/n) [y]: n
Active response disabled.
-Do you want to enable remote syslog (port 514 udp)? (y/n) [y]:
Remote syslog enabled.
- Setting the configuration to analyze the following logs:
-- /var/log/messages -- /var/log/auth.log -- /var/log/syslog -- /var/log/vsftpd.log -- /var/log/mail.info -- /var/log/dpkg.log
-- /var/log/snort/alert (snort-full file)
-- /var/log/apache2/error.log (apache log)
If you want to monitor any other file, just change
the ossec.conf and add a new localfile entry.
Any questions about the configuration can be answered
by visiting us online at http://www.ossec.net .
--- Press ENTER to continue ---
Treminado este proceso se comienzan a compilar los distintos componentes como la eleccion de la instalación para el servidor que recibirá los eventos, la detección de rootkits y la revisión de integridad son activas contario a la respuesta activa
El syslog remoto es utilizado para recibir mensajes desde los agentes.
Por cierto, mientras escribía estas líneas el sistema se ha terminado de compilar:
La configuración de la herramienta se realiza desde el archivo ossec.conf . Para instalar los agentes se utiliza /usr/local/ossec-1.6/bin/manage_agents.
El inicio del servidor es mediante /usr/local/ossec-1.6/bin/ossec-control start
La istalación de los agentes se realiza de forma similar al servidor, apoyado sobre simples preguntas y respuestas.
Y ya está. Ahora sólo queda instalar el agente en el servidor a monitorizar. La clave se usa para la comunicación agente/servidor.
Programas como Stunnels pueden ser utilizados en la red universitaria para trasmitir datos sensibles entre facultades y el rectorado.
El mismo es instalado desde el repositorio de Linux utilizando el comando apt-get install stunnel, su sintasis es stunnel [<filename>] | -fd n | -help | -version | -sockets.
Se utiliza para proveer una conexión SSL entre un cliente que tenga esa opción y un servidor POP o IMAP que no, o cuando el servidor soporte SSL y el cliente no), es
utilizado ademas para encriptar cualquier conexión TCP entre dos ordenadores, permitiendo opcionalmente el control de acceso al servidor desde determinados clientes. Debe ejecutarse en el extremo de la conexión donde se requieran las funcionalidades SSL.
Así, para una conexión entre un clente con SSL y un servidor POP/IMAP que no, el programa se ejecutaria en el servidor. En el caso de IMAP la orden sería stunnel -d 993 -r 143. La opción -d indica en qué puerto debe escuchar. En este caso, atendiendo a que el cliente soporta IMAP sobre SSL, el puerto debe ser 993, que es el asignado para ello. La opción -r indica a qué host y puerto debe redirigir la conexión (ésta última ya no es SSL). Si no se indica host se conecta a sí mismo, en este caso es el puerto habitual de IMAP.
Si el extremo de la conexión donde no se posee software SSL es el cliente, se utiliza en la misma stunnel -c -d 1999 -r sslserver:puerto-s y se configura el cliente para que se conecte a locahost al puerto 1999.
Para encriptar cualquier conexión en la que ni cliente ni servidor sean SSL como una IMAP entre un lector de correo de PC y un servidor en el cliente se escribe stunnel -c - d 143 -r servidor_imap:1999, en el programa de correo debe configurarse para indicarle que el servidor IMAP es la propia estacion, en el servidor se utiliza stunnel -d 1999 -r localhost:143.
Cuando Stunnel funciona en modo servidor, debe presentar un certificado al cliente, como todo servidor SSL. La distribución de Stunnel presenta uno, pero es conveniente generar uno propio, usando OpenSSL por ejemplo. La clave privada debe residir en un fichero no encriptado para que el programa pueda acceder a ella sin tener que pedir clave. Lo mismo debe ser si se van a usar certificados en modo cliente, para su autentificación.
La autentificación de cliente puede imponerse ejecutando el servidor con la opción -v, cuyo argumento indica el nivel de autentificación exigido. Los valores que puede tomar son:
1 - El cliente puede presentar o no un certificado. Si lo hace, comprobar que es válido. 2 - El cliente debe presentar un certificado, que es verficado por el servidor. Si no es válido no acepta la conexión.
3 - El cliente debe presentar un certificado, el cual debe ser figurar en una lista de certificados válidos almacenados en el servidor.
Un certificado se considera válido cuando rs firmado por un CA cuyo certificado conozca el servidor (por tanto no aceptará certificados de cliente auto-firmados). Estos pueden residir uno en cada fichero o todos en el mismo. En el primer caso, los nombres de los certificados deben tener nombres del tipo XXXXXXXX.0 (generados con
openssl x509 -hash), y el nombre del directorio se le pasa a Stunnel con la opción -a. Para el segundo caso (todos en el mismo fichero), se usa la opción -A.
Estas opciones pueden utilizase para implementar un control de acceso, para lo cual también se puede utilizar el control de TCP Wrappers, si Stunnel se compiló con soporte para ello. Para crear los certificados podemos usar OpenSSL
Una comunicación segura con control de acceso al puerto 25 (SMTP) de un servidor desde una computadora, puede implementarse suponiendo que en ninguna de las estaciones existe software SSL y que han sido creados los certificados de servidor y de clientes.
Primerdebe ser copiado el fichero client.pem a la estacion en el directorio donde tengamos el stunnel.exe. En el servidor debe ejecutarse stunnel -d 1999 -r 25 -p $CADIR/certs/server.pem \-v 3 -A $CADIR/cacert.pem -a $CADIR/certs y en el cliente stunnel -c -d 25 -r servidor:1999 -p client.pem, por ultimo el cliente de correo debe configurarse de forma que el servidor SMTP sea la propia computadora..
Para aceptar cualquier cliente cuyo certificado haya sido firmado por la CA generada, la orden a ejecutar en el servidor sería stunnel -d 1999 -r 25 -p $CADIR/certs/server.pem \-v 2 -A $CADIR/cacert.pem
Como una forma de realizar analisis de comportamiento de la red desde el punto d evista de seguridad puede ser utilizado el Honeyd. Se utiliza para instalarlo el comando
apt-get install honeyd.
Para usar el programa es necesario tener un archivo de fingerprints, como el de nmap, que se encuetra en /usr/share/nmap , este es llamdo nmap-os-fingerprints.
Para implementar una red 10.0.0.0/24 con algunos hosts en esta la estacion que tiene Honeyd se utiliza de “gateway” a la red simulada. El archivo de fingerprints de nmap y el de configuracion de Honeyd debe ser copiando en un mismo directorio, nos hubicamos desde este es iniciado en la máquina con honeyd -p nmap-os-fingerprints -f red66.conf -i [interfaz] 10.0.0.0/24
Finalmente para llegar a esta red desde una máquina que necesita usar la red de pruebas, debe agregarse la siguiente ruta (en dicha máquina), route add 10.0.0.0 mask 255.255.255.0 [ip de la maquina que corre honeyd]
Para probar su funcionamiento se utiliza el comando ping a la dirección 10.0.0.2 desde la máquina donde se ingresó la ruta estática.
CONCLUSIONES
• Se realizó una identificación y análisis de las principales vulnerabilidades presentes en la red universitaria.
• Se identificaron los servicios y aplicaciones más importantes de la intranet universitaria.
• Se identificaron las 100 herramientas de seguridad que por consenso general se publican actualmente en Internet según su nivel de aceptación establecida por los usuarios a través de votos vía electrónica.
• Se seleccionaron 24 herramientas de acuerdo a las soluciones de seguridad, de implementación e integración con la arquitectura de la UCLV que las mismas brindaban según los criterios del autor.
• Se ejecutaron las pruebas pertinentes en el laboratorio 224 de la Facultad de Ingeniería Eléctrica de la UCLV valorando varias configuraciones para cada herramienta, implementándose las mismas satisfactoriamente de acuerdo a su uso.
• Se elaboraron 24 propuestas de configuraciones de seguridad basadas en las herramientas seleccionadas que responden a propósitos definidos y específicos de cada una y que en su conjunto elevan los niveles de seguridad de los sistemas de la Intranet de la UCLV.
RECOMENDACIONES
• Continuar con los estudios de la utilización de las herramientas de seguridad propuestas en la investigación implementando nuevas configuraciones para alcanzar nuevos resultados.
• Realizar estudios relacionados con otras herramientas de seguridad que no constituyeron propuestas de esta investigación y que se encuentren contenidas dentro de la lista de las cien mejores.
• Aplicar las configuraciones propuestas para minimizar las vulnerabilidades detectadas en la Intranet de la UCLV, elevando así el nivel de seguridad del sistema.
REFERENCIAS BIBLIOGRAFICAS
(2002) ADVANCES IN NEWORK AND DISTRIBUTED SYSTEMS SECURITY. IN DECKER, B. P., F.; SMITS, J.;HERREWEGHEN, E. (Ed. Laeven, KLUWER ACADEMIC PUBLISHERS.
(2002) Maximum Security. cuarta ed. California, Sams Publishing.
( 2001) The 60 Minute Network Security Guide. IN CENTER, S. A. N. A. (Ed. 1.0 ed. Estados Unidos de America, National Security Agency.
ACUÑA, D. (2008) Ciberdefensa: Iniciativas en la OTAN. IN GONZÁLEZ, D. (Ed. Madrid, Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información.
ALBANESE, J. S., W. (2004) Network Security Illustrated. McGraw-Hill.
ALDER, R. B., J.;KEEFER,C.; OREBAUGH, A.; PESCE,L.; SEAGREN, E. (2007) How to Cheat at Configuring Open Source Security Tools. Syngress Publishing, Inc. Bible. Indianapolis, Wiley Publishing, Inc.
BURNS, B. S., J.; MANZUIK, S.; GUERSCH,P.;KILLION, K.; , BEAUCHESNE, N. M., E.; SOBRIER,J.; LYNN,M.; MARKHAM,E.; IEZZONI,C.; & BIONDI, P. (2007) Security Power Tools. O’Reilly Media, Inc.
CANAVAN, J. E. (2001) Fundamentals of Network Security. Artech House.
CHANDRA P.;MESSIER, M. V., J. (2002) Network Security with OpenSSL. O'Reilly. COLE, E. (2002) Hackers Beware. primera ed., New Riders Publishing.
COLE, E. K., R.; CONLEY, J. (2005) Network Security
CRUME, J. (2000) What hackers don't want you to know Pearson Education. GARFINKEL, S. S., H. (1997) Web Security & Commerce. Primera ed., O'Reilly. GONZÁLEZ, S. (2007) MANUAL BÁSICO DE CRON. LinuxTotal.
HAINES, B. T., F. kismet Hacking. Syngress.
HARRIS, S. H., A.; EAGLE, C.; NESS,J. (2008) Praise for Gray Hat Hacking: The Ethical Hacker’s Handbook. The McGraw-Hill Companies.
HERZOG, P. (2003) Manual de la Metodología Abierta de Testeo de Seguridad.
ISA Server 2000. IN TEAM, T. N. A., THE, O. & CENTER, S. A. N. A. (Eds.) 1.4 ed., National Security Agency.
JANCZEWSKI, L. (2000) Internet and Intranet Security Management: Risks and Solutions Idea Group Publishing.
KANO, J. (2008) Predicciones de seguridad para el 2009. Virusprot.
KASPERSKY, K. (2005) Hacker Debugging Uncovered IN LAING, J. R., T. (Ed., A- LIST.
LEHTINEN, R. (2006) Computer Security Basics. segunda ed., O'Reilly.
LININGER, R. V., R. (2005) Phishing: Cutting the Identity Theft Line. Wiley Publishing, Inc.
LOCKHART, A. (2004) Network security hacks. O'Reilly.
LUCENA, M. J. (2008) CRIPTOGRAFÍA Y SEGURIDAD EN COMPUTADORES. 4- 0.7.51 ed. JAÉN, Creative commons.
MCCLURE, S. S., J.; KURTZ, G. (2005) Hacking Exposed: Network Security Secrets & Solutions. Osborne
PELAEZ, R. S. (2002) Análisis de seguridad de la familia de protocolos TCP\IP y sus servicios asociados. primera ed.
PITSENBARGER, T. (2001) Guide to the Secure Configuration and Administration of Microsof
REID, P. (2003) Biometrics for Network Security Prentice Hall PTR.
RIBAGORDA, A. (2008) La Investigación en Seguridad. IN GONZÁLEZ, D. (Ed. Madrid, Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información.
SANKAR, K. S., S.; BALINSKY, A.; MILLER, D. (2004) Cisco Wireless LAN Security. Cisco Press.
SECURITY. Warwick, Information Science Reference.
SOPHOS (2007) Informe de seguridad de redes informáticas en 2007
TILLER, J. S. (2001) A technical guide to IPSec virtual private networks. Estados Unidos de America, Auerbach.
TIPTON, H. (2007) Information Secutity Management Handbook. sexta ed., Auerbach Publications.
TORRES, R. (2004) Seguridad en Redes de Mediana y Pequeña Empresa.
Telecomunicaciones y Electrónica. Santa Clara Universidad Central Martha Abreu de las Villas.
TORRES, R. (2009) Red UCLV. Santa Clara. TSUN LI, C. (2009) Multimedia Forensics and
XIAO, Y. (2007) Security in Distributed, Grip, Movile and Pervasive Computing. Auerbach Publications.
GLOSARIO
AES Estándar de Cifrado Avanzado ARP Address Resolution Protocol API Application Programming Interface BGP Border Gateway Protocol
CIS Sistemas de Información y Comunicaciones CPU Central Processing Unit
CVS Concurrent Versioning System DES Data Encryption Standard DLC Data Link Control
DNS Domain Name server DRM Digital Rights Management DSA Digital Signature Algorithm DSS Digital Signature Standard FMS Fluhrer Mantin Shamir FTP File Transfer Protocol GNU General Public License GPL General Public License GSM Groupe Spécial Mobile
HIDS Host-based Intrusion Detection System
HIPAA Health Insurance Portability and Accountability Act HTML HyperText Markup Language
HTTP HyperText Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IDS Intrusion Detection System
IEC International Electrotechnical Commission IEEE Institute of Electrical and Electronics Engineers IETF Internet Engineering Task Force
IMAP Protocolo de acceso a los mensajes de Internet IOS Internetwork Operating System
IP Internet protocol
IPFIX Internet Protocol Flow Information Export IPS Intrusion Prevention System:
IRC Internet Relay Chat
ISO International Organization for Standardization ITU International Telecommunication Union LDAP Lightweight Directory Access Protocol LM LanMan
MAC Media Access Control
MIT Masachusset Institute of Tecnology MSDE Microsoft Data Engine
MSN Microsoft Service Network MTA Mail Transport Agent
NASL Nessus Attack Scripting Language NFS Network File System
NIST National Institute of Standards and Technology NNTP Network News Transport Protocol
NTLM NT LAN Manager NTP Network Time Protocol OSI Open System Interconnection
PCNFS Personal Computer - Network File System PEM Privacy Enhanced Mail
PET Privacy Enhanced Identity PIB Identificador de proceso PGP Pretty Good Privacy PHP Hypertext Preprocessor
PKCS Public Key Cryptographic Standards` POP Protocolo de Oficina de Correos
PKI Public Key Infrastructure PSK Pre-Shared Key
RFC Request For Comments
RFID Radio Frequency Identification RIP Routing Information Protocol RSH Remote shell
SAM Servidor de Aplicaciones Móviles SAM Security Account Manager
SAML Security Assertion Markup Language SCCP Skinny Client Control Protocol SEM Security Events Management
SGSI Sistema de Gestión de la Seguridad de la Información S-HTTP Secure Hypertext Transfer Protocol
SMB Bloque de Mensajes de Servidor SIM Security Incident Management SIP Session Initiation Protocol SMS Short Message Service
SMSC Short Message Service Center
SNMP Simple Network Management Protoco SMTP Simple Mail Transfer Protocol
SSH Secure Shell
SSL Secure Sockets Layer
TCP Transmission Control Protocol
TKIP Protocolo de Claves Integra – Seguras – Temporales UDP User Datagram Protocol
URL Uniform Resource Locator USB Universal Serial Bus
VNC Virtual Network Computing W3C World Wide Web
WEB World Wide Web
WEP Wired Equivalent Privacy WPA Wi-Fi Protected Access
WSUS Windows Server Update Service XMLDSIG XML Signature
XML Extensible Markup Language
XKMS XML Key Management Specification XSS Cross-site scripting
Anexo 3 Mapa de seguridad
Anexo 5 Configuracion
Anexo 7 Inicio
Anexo 9 Comienzo
Anexo 11 Detalles de conexiones
Anexo 15 Selccion de certificado
Anexo 17 Busqueda de estaciones
Anexo 19 Comienzo de envenenamiento ARP
Anexo 21 Enviar al cracker.
Anexo 23 Selección de tipo de contraseña
Anexo 25 Pagina de inicio del LC
Anexo 27 Metodo a utilizar
Anexo 29 Comienzo de auditoria