PROYECTO 7 - SEGURIDAD ACTIVA: CONTROL DE

REDES
Adrián González

RA: Aplicar mecanismos de seguridad activa describiendo sus
características y relacionándolas con las necesidades de uso del sistema
informático.

RA: Asegurar la privacidad de la información transmitida en redes
informáticas describiendo vulnerabilidades e instalando software
específico.

NIDS/NIPS. Medidas para evitar monitorización de red cableada

La empresa para la que trabajas ha sido hackeada en varias ocasiones: alguien está
aprovechando las vulnerabilidades que tienen en los servicios ofrecidos desde sus
servidores (por ejemplo, el servidor http), accediendo a través de los puertos abiertos.
Los servidores corren sobre Linux.

Sospechas que el hacker está haciendo uso de la herramienta nmap para obtener
puertos abiertos y aplicaciones ejecutándose en cada uno.

 A través de dos máquinas virtuales Ubuntu, una servidor y otra cliente,
demuestra cómo se puede detectar un escaneo de puertos. Para ello:
(CP 5, pág 181)
o Instala Snort en el Ubuntu Server. Descarga las reglas de pre-
procesamiento y actívalas.

Lo primero que tenemos que hacer es abrir el terminal del servidor y poner el
comando “sudo apt-get install snort” , con esto lo que haremos será instalar
snort en nuestro servidor.
Durante la instalación nos saldrá una pestaña donde nos pedirá el intervalo de
direcciones que queremos utilizar, podremos elegir entre seleccionar una IP
que queramos que detecte o seleccionar un rango de IPs en mi caso yo indique
que detectase el rango de IPs

Luego tendremos que descargar las reglas de Snort de su página oficial, para
ello nos registraremos en ella y luego le daremos a rules

En rules vamos a Registered y descargamos la última versión disponible,
posteriormente descomprimimos el archivo que acabamos de descargar
Luego movemos el archivo que acabamos de descomprimir a la carpeta snort ,
luego de eso meteremos el comando “sudo gedit /etc/snort/snort.conf” para
poder configurar el archivo

Dentro de snort.conf solo tendremos que comentar las líneas que se muestran
n las imágenes y descomentar la línea 546

Luego reiniciamos el snort a través del comando “sudo service snort restart”
y luego de que reinicie iniciaremos el servidor con la configuración que hemos
hecho

Si todo sale bien veremos que sale una imagen como al que se muestra en la
ilustración anterior
o Utiliza nmap desde el Ubuntu Desktop para escanear los servicios del
servidor.

Primero descargaremos nmap en nuestro cliente , para ello tendremos que
abrir el terminal y poner “sudo apt-get install nmap”, luego dejaremso que se
instale
Una vez instalado nmap en nuestro cliente lo único que tendremos que poner
será el comando “sudo nmap “Ip del servidor” “ y automáticamente
escanear los puertos que está utilizando el servidor

o Comprueba que el escaneo ha quedado registrado.

Por ultimo nos dirijiremos a la carpeta “var/log/snort” pues ese es el lugar por
defecto donde snort guarda los registros, dentro de esa carpeta tendremos que
abrir el fichero alert

Como podemos ver en el fichero alert vemos que ha registrado cuando el
cliente hico un escaneo de los puertos del servidor.

o Traduce el siguiente texto (tomado de http://manual.snort.org/node3.html):
“Snort really isn't very hard to use, but there are a lot of command line options
to play with, and it's not always obvious which ones go together well. This file
aims to make using Snort easier for new users. Before we proceed, there are a
few basic concepts you should understand about Snort. Snort can be
configured to run in three modes:
- Sniffer mode, which simply reads the packets off of the network and displays
them for you in a continuous stream on the console (screen).
- Packet Logger mode, which logs the packets to disk.
- Network Intrusion Detection System (NIDS) mode, which performs detection
and analysis on network traffic. This is the most complex and configurable
mode.”
Snort no es realmente difícil de utilizar, pero hay un montón de opciones para
jugar, y no siempre es obvios cuales van bien juntas. Este archivo hará más
fácil el uso de Snort para nuevos usuario. Antes de continuar, hay unos
conceptos básicos que tienes que entender sobre Snort. Snort puede ser
configurado para trabajar en tres modos:

Sniffer mode, el cual simplemente lee los paquetes de la red y los muestra en
un flujo continuo en la consola
Packet Logger mode , el cual registra los paquetes en el disco duro
Network Intrusión Detection System(NIDS) mode, el cual realiza una detección
y análisis del tráfico de red, Este es el modo más completo y configurable.

Firewalls. Instalación y configuración en equipos o servidores

El siguiente paso es defender los servidores frente a ataques externos. Para ello
vas a demostrar cómo puede ayudar un firewall a proteger el servidor web.
Planteas dos alternativas:
- Proteger la máquina (bastión) donde se alberga el servidor
- Proteger el router que da acceso a la zona desmilitarizada donde está el
servidor web

 Configuración del firewall en una máquina Windows 7 donde se alberga un
servidor web.
o Instala un servidor web (el que quieras) y configúralo para que pueda
ser accesible desde el exterior.

Lo primero que haremos ser descargar XAMPP desde la página web oficial
Luego ejecutaremos el archivo que nos acabamos de descargar para que
así se instale XAMPP en nuestro Windows 7

Después abriremos XAMPP e iniciaremos los módulos de Apache y MySQL

o Configura el firewall de Windows 7 para que:

 el servidor web acepte conexiones del cliente Ubuntu creado
anteriormente, pero no del servidor Ubuntu.
Ahora lo que tendremos que hacer es dirigirnos al Firewall de Windows y
configurarlo, para ello tendremos que ir a “Panel de control>Firewall de
Windows>Configuración avanzada”

En la pestaña que aparecerá después de pinchar en configuración
avanzada tendremos que seleccionar reglas de entrada y dentro de esa
pestaña seleccionaremos la regla de Apache HTTP server, le damos a
propiedades y nos dirigimos a ámbito y tendremos que agregar la IP del
cliente Ubuntu para que pueda conectarse con el servidor, la Ip la
agregaremos en el apartado “Dirección IP local” y en el apartado “Dirección
IP remota”
Después iremos al apartado opciones avanzadas y cambiaremos dos
cosas, la primera es que haremos que esta regla se aplique tanto a dominio
como para privado , lo segundo y más importante es que en el apartado
“Cruce seguro del perímetro” pongamos "permitir cruce seguro del
perímetro” , si no ponemos esta última opción no nos dejara aplicar la
configuración , una vez puesto esto le daremos a aplicar y aceptar.

Por ultimo probaremos si tenemos acceso desde el cliente y el servidor,
como se ve en la imágenes desde el cliente podemos acceder sin
problemas pero desde el servidor no, el servidor se quedara cargando pero
nunca llegara a cargar la página , con esto ya estamos seguros que la
configuración del firewall de Windows 7 es correcta, pues solo permite que
el cliente Ubuntu se conecte

 registre en el log los intentos fallidos de conexión.
Para este apartado volvemos a “opciones avanzadas de Firewall” y le
daremos a “firewall de Windows con seguridad avanzada” , le damos
clic derecho y propiedades

En la nueva pestaña que nos sale vamos a “Perfil privado” y en inicio de
sesión damos a “personalizar” , en la nueva pestaña que nos sale
haremos dos cosas, la primera será copiar el nombre para poder luego
acceder fácilmente al archivo, y la segunda es poner “Si” en la opciones
de “registrar paquetes descartados” , después de esto le damos a
aceptar y aplicar
Si todo ha salido bien cuando vayamos a revisar el archivo atreves de la
dirección que copiamos antes podremos observar que el archivo tiene
escrito el último intento fallido de conectarse al servidor.

o Descarga en la máquina donde se alberga el servidor unos
cortafuegos distintos al de Windows 7, que sea gratuito. Investiga
cuáles son los mejor valorados en foros de seguridad.
Instálalo y configúralo para realizar las mismas tareas propuestas para
el firewall de Windows 7.

 Configuración del firewall del router.

Configura el firewall que trae el router de clase para realizar las mismas tareas
propuestas para el firewall de Windows 7.