Actividad 3

Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 3. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema JOSE TINEO ARTEAGA 15/08/2012 3ERA SEMANA DEL CURSO REDES YSEGURIDAD ATAQUES Y VULNERABILIDADES

Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI gracias a su trabajo. Tambin, para mayor proteccin, usted enunci los procedimientos que deben llevarse a cabo para asegurar el flujo de informacin. En este momento, es necesario que como gestor de la red reconozca los ataques y las vulnerabilidades ms frecuentes en los sistemas, y con esta informacin complemente su plan de accin, su esquema de seguridad, y sobre todo, sus procedimientos.

Preguntas interpretativas 1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial of service, por ejemplo, existen diferentes maneras de llevar a cabo esta vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de mantenimiento en el que explique esta situacin.

R=Informe Denial of service En los sistemas de comunicacin existente en nuestra compaa, se debe tener claro que el algoritmo-PC debe protegerse, el cual consiste en que la informacin que se produce (productor) sea exclusivamente dirigida y totalmente consumida por el destinatario o consumidor de la informacin autorizado. Existen diversas formas de atacar este sistema de comunicacin que denominamos algoritmo-PC, donde los ataques pueden interrumpir este servicio, bien sea atacando al productor de la informacin, o al consumidor de la informacin, consumiendo sus propios recursos como son el espacio en disco por gusanos o informacin basura, Consumo de procesamiento y de la memoria RAM, causado por virus, interrumpiendo de esta forma el servicio de acceso a los archivos de informacin. Otra forma en que se pueden recibir ataques es en la interrupcin

1 Redes y seguridad
Actividad 3

de los medios de comunicacin, situacin que los crackers logran a nivel lgico y fsico mediante sistemas que aumentan el trfico de la red, consumiendo ancho de banda y de cierta forma se interpone en el algoritmo-PC, por eso debemos estar atentos y utilizar las herramientas que detectan estos ataques, para evitarlos, denegando servicios e implantando controles de seguridad. Es importante entender que las contraseas de los login de red y de los accesos a los equipos de comunicacin que intervienen en la red, en el sistema de algoritmo-PC, deben ser protegidos y todos deben tener seguridad para el acceso lgico, con claves complejas, para los enrutadores, switch , Bridge, Access Point y dems equipos de comunicacin que intervienen en este sistema. Se recomienda estar atentos, a este tipo de ataques, para que sea reportado a tiempo y podamos establecer controles. Igualmente el acceso a los Centros de Datos, centros de Distribucin y Centros de Cableado, deben ser restringido y existir una planilla donde se registre el ingreso autorizado para las personas que por algn motivo, mantenimiento, soporte, etc. Accedan fsicamente a intervenir estos dispositivos de red. Es posible recibir ataques donde la configuracin de estos dispositivos puede ser afectada; por esto es necesario estar atentos a informar y a vigilar nuestro sistema de red de comunicacin 2. Toda herramienta usada en la administracin de una red, es potencialmente maligna y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de procedimientos, una clusula en la que haga pblica esta observacin. Tenga en cuenta la divisin de puestos de trabajo explicada en unidades anteriores. R=Una red no es totalmente segura, siempre va a tener vulnerabilidades, para lograr establecer controles que permitan aumentar en cierta forma la seguridad de la misma, debo conocer las debilidades de mi red, la cual se logra mediante el uso de herramientas que simulen los ataques, obtencin de passwords, obtener la informacin de los paquetes que viajan en la red, desencriptar informacin, alterar configuraciones y otras series de pruebas que se logran con estas herramientas, para obtener informacin de mi red y que conocemos, que lo hacen los Hackers; para una vez conocidas mis debilidades, implantar los controles, que aseguren la operatividad de mi red. Estas mismas herramientas son potencialmente benignas para proteger mi red de posibles ataques, pero a la vez puede convertirse en herramientas potencialmente malignas, ya que igualmente pueden ser utilizadas por los crackers, que no buscan otra cosa que el hurto de la informacin o destruccin de la misma. As que es necesario controlar muy bien el uso de estas herramientas al interior de la compaa, la cual debe realizarse con un protocolo formal, donde estn enterados y quede registro de las personas que utilizan este tipo de herramientas, las cuales deben estar autorizadas y vigiladas. Clusula Se tiene categricamente prohibido, el uso de herramientas de monitoreo de red, como sniffers, software de anlisis de trfico de red y sus derivados, por personal no autorizado. Est totalmente prohibida la instalacin de aplicaciones Free (Gratis), en los equipos de la compaa, todo software debe ser revisado y homologado por el equipo de seguridad de la informacin de la compaa,

2 Redes y seguridad
Actividad 3

antes de instalarse en los equipos propios. Est prohibido igualmente que los equipos de cmputo de personal tercero, o de uso personal de los empleados, se conecten a la red interna de la empresa; y solo se permitir el uso de los equipos en nuestra red, los que se encuentren avalados por el rea de Tecnologa, el cual se somete a un check- list, que verifique la proteccin del equipo, contra el malware, antivirus, etc., .para que pueda ser utilizado en nuestra red. La utilizacin de herramientas de seguridad en las redes, deben estar autorizados por el jefe de tecnologa, los integrantes del comit de Seguridad de la Informacin, el auditor externo de la empresa y vigilado por el mismo personal de Seguridad durante su operacin en la red.

Preguntas argumentativas

1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el

diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios para el problema de e-mail bombing, spamming y el denial of service? Justifique su eleccin.

Para los email-Bombing y Spamming, es indispensable analizar los logsticos de los tamaos de los buzones de correo, un incremento abrupto puede significar ataques por Spamming o Email-Bombing, esto tambin puede identificar si un equipo de nuestra red est generando mensajes a otros, o si en nuestras mquinas estamos recibiendo mensajes de fuentes externas. Los logsticos que revelen recurrencias de ataques a equipos comunes, indicar que este equipo puede estar vulnerable, por tratarse de un inters especial de los atacantes, por eso debe tenerse en cuenta, para aumentar su proteccin. Se debe tambin tener un logstic, de los tamaos de disco duro de las mquinas y determinar si existen crecimientos anormales que pueden indicar ataques y pueden ser prevenidos. Para el caso de Deniel of Services, los logsticos de consumo de ancho de banda, sus aumentos inesperados, pueden indicar un problema de ataques en la red, igualmente los equipos que tengan alto consumo de procesamiento o de recursos en el disco duro, puede indicarnos en estos logsticos pueden existir ataques a nuestro sistema. Los Logsticos que dejan 3 Redes y seguridad
Actividad 3

los Sniffers o analizadores de protocolos de red, puede indicarnos, si se utilizan herramientas que monitoreen la red que no estn autorizados y pueden estar realizando ataques. El trfico en la red genera logsticos, que pueden ser graficados para observar y analizar utilizacin de red, previniendo al administrador de la red, de posibles ataques por inundacin de paquetes UDP o ICMP. Los logsticos de los sistemas de antivirus, puede indicarnos, si el antivirus est desactualizado, o si se detecta en ciertos equipos, un aumento de actividad del antivirus, que nos indican que un equipo se encuentra vulnerable o no, a ataques por gusanos, o troyanos, lo mismo aplicara para los Antimalware y los Antispam. Los logsticos que muestran o guardan los equipos de comunicacin, como los Routers, Switch, Bridge, Firewall, etc., que muestran los accesos y cambios en las configuraciones de los mismos ayudan a controlar la seguridad de los mismos. 2. Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un
informe en el que explique por qu se deben instalar demonios en el sistema de comunicacin de la empresa, cules y por qu.

Respuesta Los demonios o Daemon, son tipos de procesos especiales, no interactivos, que se ejecutan en segundo plano, esto es claro, pero si no est controlado, puede ser perjudicial, para nuestro sistema. Por eso los Daemon deben ser controlados directamente por el usuario. Al ejecutarse de manera infinita o continua, es decir que aunque se intente cerrar o matar el proceso, ste continuar en ejecucin o se reiniciar automticamente. Es importante que estos procesos se instalen en la empresa, ya que al correr de manera silenciosa o por debajo del sistema, no va a intervenir en los procesos visuales del usuario, tambin no hacen uso de las entradas y salidas estndar para comunicar errores o registrar su funcionamiento, sino que usan archivos del sistema en zonas especiales, como tambin se pueden utilizar los demonios especializados en los registros como el Syslogd, que pueden guardar logsticos importantes que ayuden a prevenir o controlar nuestra red. Un Daemon Cronolgico como el CRON, realiza tareas programadas como el mantenimiento del sistema en segundo plano. Estar permitido el uso de la herramienta telnet, que servir para la configuracin de enrutadores y otros dispositivos de comunicacin, aunque se establece como recomendacin en la manera en que se pueda, realizar las configuraciones de los equipos en mencin a travs de conexiones por el puerto de consola que traen los equipos.

4 Redes y seguridad
Actividad 3

Preguntas propositivas

1. Seleccione las herramientas que considere necesarias para usar en su red de datos, que permitan generar un control de acceso. Tenga en cuenta que estas herramientas seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn, cree el procedimiento de uso de cada una de las herramientas seleccionadas. De acuerdo a las herramientas vistas, escogera para usar en mi red de datos las siguientes del cual incluyo el procedimiento propuesto en la actividad, para el manual de procedimientos. Tcp-wrappersEl uso de la herramienta TCPwrappers, tendr como funcin principal: proteger a los sistemas de conexiones no deseadas a determinados a nuestros servicios de red, permitiendo a su vez ejecutar determinados comandos previamente programados como acciones de forma automtica, los cuales son avalados y autorizados por el Comit de Seguridad de la Informacin, conformados por el representante de TI, Oficial de Seguridad de la Informacin, el auditor Interno de TI, y auditor externo de la compaa. Cualquier cambio de la configuracin de esta herramienta, y nuevas acciones automticas que se requieran incluir, deber someterse nuevamente a la autorizacin del comit de SI.Netlog Este software, estar permitido instalar en los servidores indicados por el rea de Tecnologa de la Informacin, para generar trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, as como trfico en la red. La ejecucin de estas aplicaciones en Modo Promiscuo, deber ser autorizado por el comit de Seguridad de la Informacin, en los perodos establecidos en el manual de procedimientos; los cuales no pueden alterarse sin la debida autorizacin. La ejecucin de estos programas debe ser vigilado por personal diferente al operador del software, por lo cual debe hacerse auditoras sobre el uso de esta aplicacin. Argus y Sniffer Esta herramienta est permitida usarse en nuestra empresa durante las auditoras de sistemas, y en forma peridica de acuerdo a los eventos programados en el manual de Procedimientos de Seguridad de la Informacin, el cual permitir auditar el trfico IP que se produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre de acuerdo al objeto del informe de auditora que se est requiriendo en la organizacin. Se aclara que la aplicacin, escucha directamente la interfaz de red de la mquina y su salida quedar registrada en un archivo de trazas o a otra mquina para all ser leda, analizada y de manera controlada rendir los informes respectivos. En la captura de paquetes IP se debe especificar condiciones de filtrado como protocolos especficos, nombres de mquinas, de acuerdo al criterio del auditor externo y el experto en comunicaciones que presentar el informe. NAP de Microsoft (Network Access Protection) Estar per esta solucin propietaria de Microsoft, el cual Consta de una plataforma de aplicacin pensada para ser soportada por los sistemas operativos de la organizacin. Longhorn, y clientes corriendo Windows 7NAP proteger las redes y dispositivos que componen la red aplicando polticas de confianza basadas en requerimientos de salud que deben cumplir los dispositivos que

5 Redes y seguridad
Actividad 3

componen nuestra red. Los agentes que estarn corriendo en los servidores sern: Los siguientes son los componentes de Microsoft NAP: NAP Agente. Este mantendr el estado de la salud basado en entrada de las comunicaciones del SHA (sistema agente de salud) con el Enforcement Client Component (cliente de la aplicacin componentes). Este agente crea el SOH (declaraciones de la salud) basndose sobre esta informacin. System Health Agent (SHA) Estar activo este agente de salud del sistema que soportar el sistema de antivirus de la compaa. Enforcement Client Components (EC) Estarn soportando nuestra red pidiendo el tipo de acceso a la red, pasando el estado de salud de la computadora a un punto de la aplicacin. 2. De la misma manera que en el caso anterior, seleccione las herramientas que usar para chequear la integridad de su sistema y realice el procedimiento de uso de cada una de ellas. Igualmente que el punto anterior a continuacin, nombrar las herramientas que utilizara en mi empresa, para chequear la integridad del sistema, para lo cual tambin describo el procedimiento de su uso. COPS (Computer Oracle and Password System) Esta herramienta estar permitida en nuestros sistemas, de forma controlada por el comit de SI (seguridad de la Informacin y por todos los empleados que tengan autorizado el acceso a la herramienta el cual chequear los equipos de nuestra organizacin basados en el sistema operativo UNIX relacionados con la seguridad. Tiger Se permitir el uso de esta herramienta, por personal autorizado para chequear el sistema para detectar problemas de seguridad. Una vez chequeado el sistema, el archivo generado con toda la informacin recogida por el programa, ser analizado por el experto del rea de Seguridad de la Informacin, para hacer el respectivo anlisis de vulnerabilidades. Crack Este paquete se emplear abiertamente en la empresa para permitir chequear el archivo de contraseas de nuestros equipos, y encontrar passwords triviales o poco seguros. El algoritmo de cifrado que emplear esta herramienta ser: DES el cual va comprobando a partir de reglas y de diccionarios las passwords que se encuentran en el archivo de contraseas, creando un archivo con todos los usuarios y palabras descubiertas.

6 Redes y seguridad
Actividad 3

Se realiza una serie de pasadas sobre el archivo de contraseas, aplicando la secuencia de reglas especificadas en el manual de procedimientos. Tripwire Para la comprobacin de integridad de nuestros sistemas, estar autorizado utilizar este software que comprueba la integridad de los sistemas de archivos y estar disponible para que el administrador monitoree eventos, frente a modificaciones no autorizadas. Esta herramienta avisar al administrador de cualquier cambio o alteracin de archivos en la mquina. El programa crea una base de datos con un identificador por cada archivo analizado y puede comparar, en cualquier momento, el actual con el registrado en la base de datos, avisando ante cualquier alteracin, eliminacin o inclusin de un nuevo archivo en el sistema de archivos.

7 Redes y seguridad
Actividad 3