A.S.I.R.

on-line Seguridad y Alta Disponibilidad IES Suárez de Figueroa

1. Disponemos de una pareja de claves privada y pública y queremos enviar un mensaje del usuario 1 al usuario 2
¿Qué secuencia seguiríamos?
El usuario 2, el que recibe el mensaje, enviará su clave pública al usuario 1, el usuario 1 cifra el mensaje con esta
clave pública y lo envía al usuario 2, por último, el usuario 2 descifra el mensaje con la clave privada.
Por poner un símil, es como si tenemos una caja fuerte y su llave, el usuario 2 envía la caja fuerte abierta, el
usuario 1 introduce el paquete en la caja fuerte y la cierra, envía la caja fuerte al usuario 2 que es el que tiene la
llave para abrirla.
2. ¿Qué es la esteganografía?
Es la técnica de ocultar información dentro de otra información. La esteganografía se puede incorporar a las
tecnologías informáticas de diferentes formas como ocultar texto en una imagen, vídeo o canción, ya sea por
diversión, para proteger un archivo de la copia ilegal o para enviar información oculta.
La esteganografía puede ser utilizada para proteger comunicaciones ocultando la información que se envía
desde código spyware o para ocultar código maligno dentro de imágenes o similares.

3. Diferencia entre snat dnat masquerade

Las tres acciones modifican los paquetes. SNAT se usa para cambiar la IP origen por otra fija, MASQUERADE se
usa también para cambiar la IP de origen pero cuando la nueva IP es dinámica y DNAT se usa para cambiar la IP
destino

4. Comenta la siguiente captura de pantalla, a qué aplicación corresponde, para que vale la aplicación y que se
pretende con la configuración mostrada:

La imagen corresponde al archivo donde se almacenan las reglas locales que se aplican en snort, este archivo es
referenciado (con include) desde el archivo de configuración de snort (snort.conf).
Snort es un sistema de detección de intrusos que se utilizan para detectar accesos no autorizados analizando el
tráfico entrante en una red o equipo.
En concreto la regla que se muestra busca tráfico udp con origen en cualquier IP y puerto 53, este tráfico es
típico de las respuestas DNS además el destino de la respuesta es el equipo 192.168.1.56, una vez detectado
este tráfico se analiza el contenido y se buscan dentro de este unas cifras hexadecimales que corresponden a la
IP del dominio suarezdefigueroa.es, si son halladas se muestra un mensaje de texto por consola (si se ha
ejecutado snort con –A console)

5. Comenta el siguiente comando nmap –v –sT –O –D 1.2.3.4 7.7.7.7

Se trata de un escaneo de puertos realizado con el comando nmap. Los parámetros que se utilizan son
-v para un escaneo más detallado
-sT realiza el escaneo completando la conexión TCP
-O analiza el sistema operativo
-D 1.2.3.4 utiliza como señuelo la IP 1.2.3.4, es decir, envía paquetes con ese remite para “despistar”
7.7.7.7 es la IP del equipo al que se escanean los puertos

6. Indica los pasos que realizarías con Wireshark desde un servidor para analizar el tráfico de una conexión a una
web no segura alojada en el propio servidor y encontrar las credenciales de acceso utilizadas por los usuarios.
Una vez arrancado Wireshark hay que indicar que interface es la que queremos escuchar (en KaliLinux, que es lo
que he usado en las actividades es eth0).
El siguiente paso es comenzar a grabar la escucha, para trabajar más cómodamente lo mejor es detener la
grabación cuando haya pasado un tiempo que consideremos oportuno y no inundar de datos la grabación.
Sobre los datos grabados lo mejor es realizar filtros del tráfico que nos interesa.
Para filtrar una conexión a un servidor no seguro el filtro puede ser: tcp.port == 80 también puede ser: http
A.S.I.R. on-line Seguridad y Alta Disponibilidad IES Suárez de Figueroa
(como la grabación la estamos realizando en el propio equipo o bien llega a la web que nos interesa –la del
propio servidor- o bien es para consultar web no seguras externas)
Podemos añadir la IP en el filtro con: ip.dst == ipservidor && tcp.port ==80 y así solo analizamos el tráfico que
nos interesa en este caso.
Si queremos filtrar aún más podemos analizar solo el tráfico en el que se envían datos por el método post o get
al servidor con: http.request.method==POST
Para buscar las credenciales podemos hacerlo en la misma pantalla principal de wireshark o bien con un clic-
derecho seleccionando “follow” analizamos toda la conversión y buscamos las variables y datos enviados.

7. Comenta el siguiente fichero de configuración de honeyd:

Honeyd es un honeypot de baja interacción, es decir, simula servicios (no los instala realmente) para recoger
información de los atacantes a una red.
En concreto, en el fichero de configuración mostrado crea una plantilla para simulación de un sistema Windows
2000 que tiene instalado el servicio ftp y el servicio web, cuando un usuario intente conectar con estos servicios
en la IP 192.168.1.202 se ejecutarán unos scripts asociados para simular los servicios.

8. ¿En qué consiste un ataque de denegación de servicio?

Este tipo de ataque se ejecuta contra servidores o redes de ordenadores con el propósito de interrumpir el
servicio que están ofreciendo mediante el lanzamiento de grandes peticiones de servicio simultaneas que
provocan el bloqueo del servicio

9. (Dos puntos) En una empresa hay dos redes separadas por un equipo Ubuntu que hace de cortafuegos y
enrutador entre las redes (no se realiza NAT, está activado net.ipv4.ip_forward=1) según se muestra en el
siguiente esquema:

a. En el servidor Ubuntu 18 se ponen las siguientes políticas por defecto: INPUT -> ACCEPT OUTPUT-> DROP
FORWARD-> ACCEPT. No hay ninguna regla introducida en ninguna tabla. Comenta como afectaría a las
comunicaciones esta configuración por defecto.
Por lo que nos indica solo está bloqueado el tráfico que sale del equipo Ubuntu, originado en el propio equipo.
Es decir, los equipos de la red 192.168.0.0/24 comunican sin problemas con los de la red 172.16.0.0/16 en
ambas direcciones (FORWARD).
A.S.I.R. on-line Seguridad y Alta Disponibilidad IES Suárez de Figueroa
Tampoco hay problema con el tráfico que entra en el servidor Ubuntu (INPUT) pero prácticamente no nos vale
de nada esta permisión porque lo habitual es que a este tráfico haya que responderle y eso será imposible
(OUTPUT)
b. ¿En el servidor Ubuntu 18 en qué cadenas podemos aplicar filtros a una comunicación entre el PC 192.168.0.3 y
el servidor 172.16.0.10? ¿Y a una comunicación entre el servidor Ubuntu 18 y el servidor Web-FTP?
En el primer caso el tráfico pasa por el servidor Ubuntu (FORWARD), ojo ni entra (INPUT) ni sale (OUTPUT), por
tanto, los filtros los debemos aplicar en la cadena FORWARD
En el segundo caso, para que se produzca una comunicación entre los servidores consistirá en 2 pasos o bien,
una petición recibida en el servidor Web-FTP y respuesta desde este, o bien, una petición enviada desde el
servidor Web-FTP y respondida desde el servidor Ubuntu. Si no se responde o si no se envía la petición no se
producirá ninguna comunicación. Por tanto, en el caso que nos indica, en que cadenas podemos filtrar este
tráfico será tanto en la cadena INPUT como OUTPUT del servidor Ubuntu 18, lo único es que debemos tener
cuidado al indicar el origen y el destino.
c. Comandos iptables que indicarías en el servidor Web-FTP para bloquear el acceso al servicio ftp de 172.16.0.10
desde los 3 PCs y permitirlo desde el equipo Ubuntu 18. Permitir el acceso web desde cualquier lugar. Bloquear
el resto de tráfico
Ponemos primero las reglas más concretas, por tanto, primero la referida al equipo Ubuntu 18 sobre el servicio
ftp, después la referida sobre los 3 PCs. NO se indica nada sobre el acceso ftp desde el resto de equipos, no
ponemos nada. Lo siguiente será permitir el tráfico web (80 y 443) y por último como politica por defecto
bloquear (también podíamos haber indicado una regla para este bloqueo –s 0.0.0.0/0 –j DROP)
iptables -A INPUT -s 172.16.0.1 -p tcp - -dport 21 -j ACCEPT
iptables -A INPUT -s 172.16.0.0/24 -p tcp - -dport 21 -j DROP
iptables -A INPUT -p tcp - -dport 80 -j ACCEPT
iptables -A INPUT -p tcp - -dport 443 -j ACCEPT
iptables –P INPUT DROP
Todo esto también se puede programar en la cadena OUTPUT, puesto que para que una comunicación se
complete debe haber respuesta, pero sería menos óptimo porque haríamos trabajar al servicio ftp y web para
posteriormente bloquearlo.
d. Comandos iptables en el cortafuegos Ubuntu 18 para bloquear el ping entre el PC 192.168.0.2 y 172.16.0.3
aunque el usuario de este último cambie la configuración IP
El tráfico mencionado se bloquea en la cadena FORWARD, tenemos que bloquear por MAC para evitar el cambio
de IP y solo existe el bloqueo de mac origen pues indicaríamos:
iptables -A FORWARD –p icmp -m mac --mac-source 11:22:33:44:55:66 –j DROP

Si el ping se origina en 192.168.0.2 se bloqueará en la respuesta y si se origina desde 172.16.0.3 en la petición.