Actividad 3

Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 3. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema Javier Guerrero Guerrero 03 de Agosto 2012 Evidencias 3 Vulnerabilidades y Soluciones

Su empresa cuenta ya con el plan de accin y el esquema de revisin de las PSI gracias a su trabajo. Tambin, para mayor proteccin, usted enunci los procedimientos que deben llevarse a cabo para asegurar el flujo de informacin. En este momento, es necesario que como gestor de la red reconozca los ataques y las vulnerabilidades ms frecuentes en los sistemas, y con esta informacin complemente su plan de accin, su esquema de seguridad, y sobre todo, sus procedimientos.

Preguntas interpretativas 1. Existe una relacin directa entre las vulnerabilidades y el algoritmo P-C. En el denial of service, por ejemplo, existen diferentes maneras de llevar a cabo esta vulnerabilidad. Cmo se relacionan estas maneras de llevar a cabo las vulnerabilidades con el algoritmo P-C? Realice un informe para los tcnicos de mantenimiento en el que explique esta situacin. Reporte Tcnico (Denial Of Service) El Denial of Service es el impedimento de acceso a un servicio lo cual obstaculiza el algoritmo P-C, a causa de la Interrupcin de la comunicacin con el recurso al cual se intenta acceder, este impedimento puede ser originado por un ataque fsico o lgico, que altere o destruya la informacin o la configuracin de un componente o de ms que cause lentitud del sistema. Podemos relacionar las diversas vulneraciones con el algoritmo P-C de la siguiente forma: A modo de ralentizacin: Ataques de tipo SYN Flood: por medio de un maquina y un modem un cracker crea conexin con otra o otras maquinas usando el protocolo TCP pero antes de que la

1 Redes y seguridad
Actividad 3

comunicacin termine las interrumpe lo cual del lado de la maquina que recibe la conexin interrumpida ocasiona tareas de procesamiento para resolver la conexin falsa y con esto que no reciba ms conexiones, aislndola por momentos del resto de la red. Saturacin Por Bombing: Consiste en consumir el ancho de banda de una red al inundarla de paquetes dirigidos a esta. Ejemplo llamadas secuenciales y por un largo periodo de tiempo, al mtodo ping hacia la vctima. Saturacin de la Maquina por Inundacin del disco duro: este ataque consiste en la infeccin de la maquina por un cdigo que al estar dentro de esta se reproduce cclicamente consumiendo recursos y llenando el disco duro. Interrupcin del servicio por destruccin o alteracin de la informacin de configuracin: consiste en la edicin de la configuracin normal de un sistema o de un dispositivo, ejemplo si un cracker logra ingresar a los servidores de una universidad que tiene registrado sus usuarios de su sistema en un anuario LDAP y este cracker logra modificar o borrar parte de la configuracin de este anuario el sistema quedara aislado o obstaculizado por un buen tiempo. Interrupcin del servicio por alteracin fsica de los componentes de la red: este problema puede evitarse con el establecimiento de niveles de acceso a los recursos informticos tanto fsicos como lgicos, en las polticas de seguridad, permisos de acceso que son asignados a los empleados de la organizacin y usuarios de acuerdo a la necesidad que el ejercicio de sus funciones impliquen el entrar en contacto con estos. Como el establecimiento de chequeos regulares sobre los recursos fsicos que sirven de plataforma para la red, ejemplo routers, switches, servidores, cables entre otros.

2. Toda herramienta usada en la administracin de una red, es potencialmente maligna y potencialmente benigna. Interprete esta afirmacin y agregue, a su manual de procedimientos, una clusula en la que haga pblica esta observacin. Tenga en cuenta la divisin de puestos de trabajo explicada en unidades anteriores. Clausula Sobre la utilizacin de Herramientas de Administracin de Red: Por cuanto una herramienta de administracin de red permite a quien la usa en una red visualizar el trafico de esta y al mismo tiempo acceder a la informacin sobre la red, queda prohibido el uso de esta por otro empleado que no sea el administrador de red. Quien deber firmar un contrato de confidencialidad y responsabilidad.

2 Redes y seguridad
Actividad 3

Preguntas argumentativas

1. Los logsticos de las actividades de la empresa son INDISPENSABLES para el

diagnstico de la seguridad de la red. Cules logsticos considera usted prioritarios para el problema de e-mail bombing, spamming y el denial of service? Justifique su eleccin.

R: Para controlar el e-mail bombing en caso que la red este siendo ataca con fines de inundarla se puede utilizar un programa como TCP-wrapper y SATAN para bloquear las maquinas que nos estn enviando en cantidad paquetes que ya conocemos que no son de nuestro inters, por otro lado podemos instruir a los operadores de las maquinas sobre la deteccin de spam y indicarles como marcarlos como tal para ir generando listas negras y bloquear su ingreso

2. Qu tan tiles o perjudiciales pueden ser los demonios en su red? Realice un

informe en el que explique el porqu se deben instalar demonios en el sistema de comunicacin de la empresa, cules y por qu. Los Demonios son programas que se encuentran en ejecucin sin interfaz y que podemos configurar para que se ejecuten al iniciar sesin con nuestro ordenador. Algunos de estos presentan vulnerabilidades como el caso de Telnet que puede dar paso al robo de password y usuario por parte de un cracker con ayuda de un sniffer, debido al trnsito en claro de las mismas por la red. Pero no todos los demonios suponen inconvenientes, se cuentan con algunos que nos facilitan el monitoreo del sistema para contribuir con la administracin de seguridad estos son: Argus: el cual permite auditar el trfico ip que se produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre como tambin la posibilidad de filtrar estos resultados, resultados que pueden ser enviado a un archivo de trazas o a un equipo externo para que en este pueda ser interpretados.

Preguntas propositivas

3 Redes y seguridad
Actividad 3

1. Seleccione las herramientas que considere necesarias para usar en su red de datos, que permitan generar un control de acceso. Tenga en cuenta que estas herramientas seleccionadas debern ir incluidas en el manual de procedimientos. Por esta razn, cree el procedimiento de uso de cada una de las herramientas seleccionadas. TCP-Wrapper: Se proceder a instalar en las maquinas de cada una de las sedes de en-core la aplicacin Tcp_Wrapper a fin de controlar y monitorear el trfico de la red, as mismo esta se configurara de modo que cierta maquina reciba las trazas generadas por las dems, para poder compararlas y detectar inconsistencias, caso de intrusiones, esta mquina centralizada no recibirn conexiones del exterior de la red por razones de seguridad y las maquinas de la red no podrn realizar forward con el fin de que la maquina trazadora no sea atacada. Netlog: Se implementar esta herramienta para la deteccin de ataques de tipo SATAN o ISS ya que podemos ver todo intento de conexin, para ello esta herramienta integra 5 subprogramas que se ocupan de vigilar las conexiones de acuerdo al protocolo que escuchen estas son: TCPLogger, UDPLogger, ICMPLogger, Etherscan (otros protocolos con actividad inusual) y Nstat (para cambios evidentes en los patrones de uso comn de la red) SATAN: Por cuanto podemos detectar fallos de seguridad en nuestra red por medio de esta herramienta es importante incluirla en nuestro manual de procedimientos de seguridad ya que nos permitir constantemente chequear el estado de la misma. ISS: con esta herramienta podemos escanear nuestras maquinas para comprobar el nivel de seguridad de las mismas. Courtney: Se proceder a instalar courtney para el monitoreo de posibles ataques con herramientas de tipo SATAN, correremos diariamente courntney para que chequee si se estn realizando continuos chequeos en breves intervalos de tiempo sobre puertos.

2. De la misma manera que en el caso anterior, seleccione las herramientas que usar para chequear la integridad de su sistema y realice el procedimiento de uso de cada una de ellas. COPS(Computer Oracle and Password System): mediante cops podemos chequear los modos y permisos de los archivos y dispositivos, como los passwords dbiles, el formato y seguridad de los archivos de Password y group, chequeo de programas root-SUID, as mismo se puede comprobar los permisos de escritura sobre archivos de usuario como .profile y .cshrc, en configuracin ftp los permisos para anonymous entre otras funcionalidades, por tanto es conveniente su implementacin en la red de en-core. Crack: Con esta herramienta podemos realizar chequeos sobre el archivo de contraseas cuando estas no se encuentran cifrados con algn algoritmo de encriptacin como MD5,sh128, RSA, se realizarn los chequeos rutinarios

4 Redes y seguridad
Actividad 3

cada mes, as como tambin cada mes los usuarios del sistema de en-core deben cambiar las contraseas. Usando un largo mnimo de 8 caracteres alfanumricos Tripwire: se usar tripwire para detectar posibles cambios en el sistema de archivos sin autorizacin o alteraciones malignas de software. Chkwtmp y Chklastlog: sern ejecutados peridicamente para detectar intrusiones camufladas o borradas.

5 Redes y seguridad
Actividad 3