Seguridad y Alta Disponibilidad

A.S.I.R. on-line IES Suárez de Figueroa

1. ¿Cómo escanearías el equipo www.suarezdefigueroa.es ocultando tu IP?

La opción que asegura correctamente la ocultación de nuestra IP es utilizar proxychains,.
Esta técnica utiliza serie de servidores proxy de forma que se va encapsulando la
información con claves públicas de estos servidores y posteriormente se ira
desencapsulando esta información. Imposible no es el rastreo de la IP pero si muy costoso.
El comando sería: proxychains nmap www.suarezdefigueroa.es

2. En un sistema windows, después de varios días se recuerda que un fichero borrado

había determinada información que era útil, ¿qué soluciones le darías para la
recuperación? ¿Hasta que punto es recuperable?
El borrado “normal” de un fichero supone marcar como libre la zona que ocupa en disco, no
la destrucción de los datos. Lo primero y más sencillo es buscar en la papelera de reciclaje.
Si no es posible, si disponemos de copias de seguridad podemos buscar en estas copias
(el problema es que la copia no sea muy reciente) y también podríamos hacer uso de
herramientas software específicas de recuperación de datos (recuva, data rescue, …)
Mientras que la zona no es sobreescrita varias veces, incluso aunque se formatee se
puede recuperar todo o parte del fichero.

3. Indica los pasos de como detectar en snort los accesos desde la red interna a páginas
web no seguras.
Instalar snort con apt-get install snort
Editar el fichero de configuración /etc/snort/snort.conf donde establecemos los parámetros
básicos de configuración. Desmarcamos la línea de reglas locales include
$RULE_PATH/local.rules
En el fichero local.rules incluiríamos la siguiente línea:
Alert tcp any 80 <> $HOME_NET any (msg:”Accediendo a web no segura”)
Y para arrancar snort indicamos fichero de configuración, salida de los avisos e interface a
analizar, por ejemplo: snort –c /etc/snort/snort.conf –A console –i enp0s3

4. Indica que filtros utilizarías en wireshark para visualizar el siguiente tráfico:

a. Tráfico SSH desde la red 192.168.0.0/24 con destino al servidor 1.2.3.4
ip.addr==192.168.0.0/24 && ip.dst==1.2.3.4 && ssh

b. Tráfico de envío de datos por el método GET a la web 4.3.2.1

http.request.method==GET && ip.dst==4.3.2.1

c. Tráfico de ping enviados al equipo local (IP 10.0.0.10)

icmp && ip.dst==10.0.0.10

5. Disponemos de una pareja de claves privada y pública y queremos enviar un mensaje

del usuario 1 al usuario 2 ¿Qué secuencia seguiríamos?
Si el usuario 1 es el que tiene las claves: El usuario 1 envia su clave publica al usuario 2, cifra el
mensaje con su clave privada y lo envía al usuario 2, este usando la clave pública lo descifra.
Si el usuario 2 es el que tiene las claves: El usuario 2, el que recibe el mensaje, enviará su clave
pública al usuario 1, el usuario 1 cifra el mensaje con esta clave pública y lo envía al usuario 2, por
último, el usuario 2 descifra el mensaje con la clave privada.
Por poner un símil, es como si tenemos una caja fuerte y su llave, el usuario 2 envía la caja fuerte
abierta, el usuario 1 introduce el paquete en la caja fuerte y la cierra, envía la caja fuerte al usuario 2
que es el que tiene la llave para abrirla.

6. Comenta la siguiente captura: para que sirve la aplicación y que se está pretendiendo
realizar

1
Seguridad y Alta Disponibilidad
A.S.I.R. on-line IES Suárez de Figueroa

Se trata de la distribución pfSense que sirve como cortafuegos, una vez iniciada solo es necesario
configurar las interfaces de red y acceder via web al menú de configuración del que se muestra una
pantalla en la imagen anterior.
En particular esta pantalla está configurando las reglas de acceso a la LAN:
La primera regla está permitiendo el acceso web (es necesaria y no se puede modificar
precisamente porque se accede vía web a la configuración)
Las siguientes líneas permiten la navegación web desde la LAN para lo cual es necesario poder
consultar la DNS del dominio a visitar (53) y acceder a ese dominio ya sea http (80) o https (443)

7. ¿Qué es un hash? ¿Para qué se utiliza?

Una función hash es un algoritmo matemático que transforma cualquier bloque arbitrario de
datos en una nueva serie de caracteres con una longitud fija. Independientemente de la
longitud de los datos de entrada, el valor hash de salida tendrá siempre la misma longitud
y, además, si cambia un solo carácter de los datos de entrada se produce un hash
diferente.
Una función hash tiene dos usos muy típicos:

esto permite que aunque se acceda a la base de datos de claves (mejor dicho de hash de
claves) es muy difícil averiguar la clave del usuario. Para validar al usuario cada vez que
este teclea una clave se le aplica la función hash y se compara con el hash almacenado en
la base de datos.

archivo sin que se produzca un hash diferente. Es en lo que se basan los Código Seguro de
Verificación (CSV)

8. Diferencia entre snat dnat masquerade

Las tres acciones modifican los paquetes. SNAT se usa para cambiar la IP origen por otra fija,
MASQUERADE se usa también para cambiar la IP de origen pero cuando la nueva IP es dinámica y
DNAT se usa para cambiar la IP destino

9. (Dos puntos) En una empresa hay dos redes separadas por un equipo Ubuntu que hace
de cortafuegos y enrutador entre las redes (no se realiza NAT, está activado
net.ipv4.ip_forward=1) según se muestra en el siguiente esquema:

2
Seguridad y Alta Disponibilidad
A.S.I.R. on-line IES Suárez de Figueroa

Se pide:
a. Acciones para que a través del equipo Cortafuegos comuniquen las 2 redes sin
restricciones
Ninguna. Son dos redes conectadas directamente por tanto se enrutan
automáticamente y las políticas por defecto de iptables están todas en ACCEPT.
b. ¿En el servidor Cortafuegos en qué cadenas podemos aplicar filtros a una
comunicación entre 192.168.0.3 y 172.16.0.100?
Para pasar de una red a otra, si observamos el gráfico, se podría filtrar en
PREROUTING, FORWARD y POSTROUTING (de una interfaz de red a otra pasa por
estas cadenas), aunque lo habitual y más claro es hacerlo en FORWARD. Las
cadenas PREROUTING y POSTROUTING se usan cuando traducción nat o similar.

c. Comandos iptables para bloquear el acceso al servicio ftp de 172.16.0.100

desde los 3 PCs y permitirlo desde el equipo Cortafuegos
Evidentemente el tráfico entre 172.16.0.2 y 172.16.0.100 no pasa por el
cortafuegos, en el equipo cortafuegos solo podríamos bloquear el proveniente de
la red externa con:
iptables -A FORWARD -s 192.168.0.3 -d 172.16.0.100 -p tcp --dport 21 –j DROP
y otra línea para el otro PC o bien usar
iptables -A FORWARD -m iprange --src-range 192.168.0.2-3 -d 172.16.0.100 -p tcp
--dport 21 –j DROP

Pero el único lado donde podemos bloquear el tráfico mencionado es en la cadena

INPUT del servidor ftp:
iptables -A INPUT -m iprange --src-range 192.168.0.2-3 -p tcp --dport 21 –j DROP
iptables -A INPUT -s 172.16.0.2 -p tcp --dport 21 –j DROP
No es necesaria la línea aceptando el tráfico desde el cortafuegos porque la política
por defecto (si no se ha cambiado nada) es ACCEPT
iptables -A INPUT -s 172.16.0.1 -p tcp --dport 21 –j ACCEPT

d. Comandos iptables para bloquear el ping entre el PC 192.168.0.2 y 172.16.0.2

aunque el usuario de este último cambie la configuración IP
Bloqueamos en la cadena FORWARD del cortafuegos, como la mac solo la podemos
poner como origen tenemos que bloquear en la dirección 172.16.0.2 a 192.168.0.2,
si fuera por IP podría bloquear en cualquier sentido (recordemos que para que un
ping y cualquier comunicación funcione debe de haber una petición y una
respuesta)
iptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 -d 192.168.0.2 -p
icmp –j DROP

e. Bloquear el uso del Cortafuegos para navegar por internet

Podemos bloquear en la cadena OUTPUT con:
iptables -A OUTPUT -p tcp --dport 80 –j DROP
iptables -A OUTPUT -p tcp --dport 443 –j DROP

También podemos bloquear en la cadena INPUT:

iptables -A INPUT -p tcp --match multiport--sports 80,443 –j DROP

3
Seguridad y Alta Disponibilidad
A.S.I.R. on-line IES Suárez de Figueroa

f. Comandos iptables en el servidor web-ftp para registrar todos los accesos de

tipo web y ftp
iptables -A INPUT -p tcp --match multiport--dports 21,80,443 –j LOG --log-prefix
“Conexión web-ftp“ --log-level 4