Anlisis de medicin de tiempo de ejecucin de puertos, protocolos y servicios en una red informtica para evitar el ingreso de intrusos utilizando

Escenarios Virtuales como Plataforma Experimental.

Wendy Ayala1, Tiffany Moncayo1
1

Facultad de Ingeniera en Sistemas, Escuela Politcnica del Ejrcito, Sangolqu

Home Premium, Windows 7 Home Basic and Windows Vista as host machine. Finally, the number of attacks that took place in the different virtual machines was evaluated. The results show us that the component detects these attacks. Key wordsIntruders, IDS, virtualization. I. INTRODUCCIN

ResumenLos intrusos son personas que intentan acceder a un sistema informtico o red sin autorizacin. Para evitar la entrada de los mismos existen sistemas de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) que son herramientas de seguridad que intentan detectar o monitorizar los eventos ocurridos en un determinado sistema informtico o red informtica en busca de intentos de comprometer la seguridad de dicho sistema. El presente trabajo se basa en el monitoreo de los posibles ataques a la red virtual. Para ello se implement una red tipo LAN conformada por los sistemas Windows 7 Ultimate que tiene Nmap desde la cual se realiza el control; Windows 7 home Premium, Windows 7 home basic, y Windows Vista como mquina anfitriona. Finalmente, se evalu la cantidad de ataques que se realizaron entre las diferentes mquinas virtuales. Los resultados demuestran que el componente detecta estos ataques. Palabras claveintrusos, IDS, Virtualizacin. Abstract-- Intruders are people attempting to get access a computer system or network without authorization. To prevent the entry of these intruders, now a days intrusion detection systems (IDS or its abbreviations in English Intrusion Detection System) exist and they are security tools that try to detect or monitor events in a particular system or computer network, searching attempts to find compromise the security of the system. This work is based on the monitoring of possible attacks on the virtual network. A LAN-like network composed of Windows 7 Ultimate system was implemented, Nmap which controls the system, Windows 7

El intento de ingreso de un intruso puede ser monitoreado a travs de los Sistemas de deteccin de intrusos (IDS), los cuales bsicamente son sniffers que pueden ver el trfico de la red e intentan detectar un trfico que sea potencialmente daino, alertndonos de ellos cuando se aparezca. La mayora de ataques a nivel TCP/IP son fciles de reconocer basndose en la direcciones IP, nmero de puerto, o contenido. Otra manera de reconocer si se has realizado ataques es verificar el estado del cifrado de los archivos, es decir, si el archivo se mantiene en su cifrado original quiere decir que no se ha realizado ningn ataque que haya modificado su estado. Ante esta perspectiva, en esta investigacin se ha decidido experimentar comandos a travs de Nmap que permiten la deteccin de puertos, protocolos y servicios disponibles en la red a la cual analiza. En este sentido, la comunidad cientfica ha venido investigando y generando nuevos mecanismos que permitan una mejor prevencin, deteccin y acciones que eviten la entrada de intrusos, empleando para tal efecto, tecnologas de Virtualizacin que puedan soportar una gran cantidad de datos

debido al trfico redundante, filtren la informacin para no generar falsas alarmas, y algo muy importante detecten el origen y el destino de cada intrusin a la red, es decir obtener su direccin IP o DNS, puerto por el cual acceso y protocolo de comunicacin utilizado[1]. En ste mbito los trabajos propuestos por Lorenzo Fonseca, Iren Maci Prez, Francisco Jos Marcos, entre otros [2] presentan un marco formal para el modelado de un sistema de deteccin de intrusos de red. El trabajo propuesto por Antonio Villaln Huerta [3] muestra los sistemas de deteccin de intrusos. Arturo Nio Reyes [4] presenta su tesis sobre la deteccin de intrusos en una red de computadoras con el objetivo de proponer un mtodo de seleccin de atributos que se pueda aplicar a clases de datos de elevada dimensin para la tarea de clasificacin, creando as un algoritmo de seleccin que conste de dos componentes bsicos: medida de evaluacin y mtodo de bsqueda. El presente trabajo se basa en la evaluacin del tiempo de ejecucin del escaneo de puertos utilizando como plataforma de experimentacin un entorno virtual. Para llevarlo acaba se dise e implement una red LAN. Las herramientas evaluadas fueron Nmap [5] instalada sobre Windows 7 ultimate. Entre las principales contribuciones de esta investigacin cabe mencionar: i) la medicin del tiempo de ejecucin en escaneo de puertos a la red WiLab5 de la Escuela Politcnica del Ejrcito. El resto del documento ha sido organizado de la siguiente manera: En la seccin 3 se describe el diseo y configuracin de la topologa de la red experimental utilizada para la evaluacin de la herramienta que nos permite el anlisis de puertos, protocolos y servicios disponibles en una red. La seccin 4 analiza, evala y discute los resultados. En la seccin 5 se establecen las conclusiones y el trabajo futuro. II. FUNDAMENTO TERICO

A.

Virtualizacin. Es la metodologa de dividir los recursos de una computadora en mltiples ambientes de ejecucin ms o menos aislados entre si por medio de la aplicacin de conceptos o tecnologas tales como particin de hardware y software, simulacin total o parcial de un equipo, etc. [6]. Esto quiere decir que dentro de la mquina anfitriona se tendr otros sistemas operativos que acten de manera independiente, tal como si estuvieran fuera de la misma. B. Escenario Virtual de Red. Un escenario virtual de red puede ser definido como un conjunto de equipos virtuales (tanto sistemas finales como elementos de red enrutadores y conmutadores) conectados entre s en una determinada topologa desplegada sobre uno o mltiples equipos fsicos, que emula un sistema equivalente y cuyo entorno deber +ser percibido como si fuera real [7]. C. Tipos de Deteccin de intrusos Misuse Detection, asigna etiquenas como normal o intrusin y el algoritmo es entrenado con esos datos. Anomaly Detection, detecta comportamientos anmalos o cosas que se desvin del comportamiento normal [8].
III. CONFIGURACIN DEL EXPERIMENTO

A. Herramientas Para la implementacin de este experimento se utiliz herramientas de cdigo abierto como se detalla a continuacin: 1) Sistema de Virtualizacin Como plataforma de Virtualizacin se utiliz VMware Workstation 8.0 x86 sobre Windows Vista. Cuyo objetivo fue configurar 3 computadoras virtuales (Windows 7 Home Premium, Windows 7 Home Basic, Windows 7 Ultimate) interconectadas entre s implementando un escenario virtual de red.

2) Sistemas de Anlisis y deteccin Como herramienta de exploracin de redes y de sondeo de seguridad y puertos se utilizo Nmap (mapeador de redes) de cdigo abierto para el anlisis de la red y auditora de seguridad. Su objetivo es analizar rpidamente grandes redes, utilizando paquetes IP "crudos" para determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de la aplicacin) ofrecen, qu sistemas operativos (y sus versiones) ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando as como docenas de otras caractersticas que permitirn obtener un registro detallado de la red en anlisis. B. Diseo de la topologa experimental Para el diseo e implementacin de la topologa de prueba se implemento una red que posibilit la salida a Internet, por medio del computador anfitrin con Windows 7 Vista y un equipo anfitrin de Virtualizacin en este caso VMware Workstation 8.0 que permiti la creacin de tres maquinas virtuales con una configuracin de red LAN tal como se muestra en la Fig. 1. C. Implementacin experimental de la plataforma

Workstation 8.0 bajo Windows Vista Home Premium con procesador Core 2 Duo, memoria Ram de 4Gb, almacenamiento de 270Gb. En las mquinas virtuales se instalo Windows 7 Ultimate como router , Nmap como herramienta de auditora de seguridad, Windows 7 Home Basic y Windows 7 Home Premium cada uno de ellos con el firewall propio de cada sistema operativo; como estaciones de trabajo. Procedimiento para implementar el diseo propuesto en un entorno virtual: i) En primer lugar, se ha creado la primera mquina virtual en VMware en la cual se ha instalado el sistema operativo Windows 7 Ultimate con su propio firewall y con Nmap para la gestin de anlisis; ii) Posteriormente, se ha creado una segunda mquina virtual en VMware en la cual se ha instalado el sistema operativo Windows 7 Home Basic con su propio firewall, configurada con una sola interface de red; iii) Luego, se ha creado una tercera mquina virtual en VMware en la cual se ha instalado el sistema operativo Windows 7 Home Premium ; y finalmente, iv) Se ha crea la conexin entre las tres maquinas virtuales representando una red LAN virtual tomando el acceso a Internet por medio de la conexin a la maquina fsica en este caso tomada como host a Windows Vista.

Las pruebas se ejecutaron en

VMware

Fig. 1 Diseo de la plataforma experimental

D. Generacin de anlisis y medicin

La generacin del anlisis de las redes tanto internas como externas de la red se realizo ejecutando el programa Nmap en una maquina virtual con Windows 7 Ultimate, la cual permiti mostrar resultados dependiendo el script o comando realizado a las otras redes mediante su IP. El control de protocolos, equipos, servicios, transferencias, etc. de las redes analizadas permitir realizar una medicin y comparacin entre tiempo, capacidad, desempeo y vulnerabilidad de seguridad la cual en un futuro y depende su utilizacin dar paso a una nueva investigacin en el capo de ataques y deteccin debido a la capacidad que tiene para recopilar informacin sin ser detectado por IDS (Sistemas de deteccin de Intrusos).
Fig. 2. Grfico de los tiempos de respuesta en el escaneo de servicios.

IV. RESULTADOS EXPERIMENTALES Para el anlisis del tiempo de ejecucin de escaneo de puertos en Nmap, se tomaron algunas mediciones, considerando en primer caso a la red LAN conformada por las mquinas vituales, en un segundo caso la red WiLab 5 de la Escuela Politcnica del ejrcito y en ltimo caso una red Telmex Porta. A continuacin se tom los datos del bit SYN, protocolos UDP y servicios disponibles en las redes analizadas, estas lecturas fueron tomadas durante un perodo de 267,78s, 271,82s y 2639,96 respectivamente. Una vez realizadas las pruebas se realiz la comparacin de los tiempos en relacin con al porcentaje de avance durante el escaneo, cuyas figuras generadas se muestran a continuacin: A. Anlisis de escaneo de servicios. Para realizar este anlisis se utiliz, Nmap desde Windows 7 ultimate, con el ip de Windows 7 home Premium hacia la red WiLab5, Telmex-Porta y una LAN virtual creada. La Fig. 2, muestra la comparacin del tiempo de escaneo de los servicios de las redes WiLab2, Telmex y la red virtual LAN.

Para poder obtener los porcentajes para la evaluacin de la red virtual se elabor la media entre los porcentajes de cada red analizada, lo cul se muestra a continuacin (Fig. 3).

Fig. 3. redes.

Grfico de comparacin de porcentajes entre las

B. Evaluacin del tiempo de ping entre las mquinas virtuales.

Para poder realizar la evaluacin del tiempo de ping entre las computadoras, se eligi la Windows 7 ultimate con Nmap en el cual se escogi el perfil por default: Ping Scan; este proceso de los repiti por diez ocasiones con los sistemas con Windows Home Basic y Home Premium; proceso representado mediante la siguiente grfica: 4 3 2 1 0 1 2 3 4 5 6 7 8 9 10 w7 home basic
Fig. 4.

VI.

REFERENCIAS

[1] Descripcin de los sistemas de deteccin de intrusos y herramientas de monitores utilizados, disponible en http://catarina.udlap.mx/u_dl_a/tales/documentos/le m/urbina_p_j/capitulo4.pdf [2] Marco formal para el modelado de un sistema de deteccin de intrusos de red disponible en http://rua.ua.es/dspace/handle/10045/13611 [3] Sistemas de deteccin de intrusos disponible en http://www.shutdown.es/aptes-ids.pdf. [4] Arturo Nio Reyes Deteccin de intrusos en una red de computadoras disponible en http://perseo.cs.buap.mx/bellatrix/tesis/TES1217.pdf . [5] Nmap disponible en www.nmap.org

w7 homepremium

Grfico de comparacin de tiempo al hacer ping.

De manera indudable se puede verificar que el procesos de ping hacia la computadora con Windows 7 Home Basic se demora en el inicio y en el final casi el doble del tiempo que se demora haciendo ping hacia la mquina virtual con Windows 7 Home Premium.
V. CONCLUSIONES Y TRABAJO FUTURO

[6] Introduccin a la Virtualizacin disponible en http://usuarios.fceia.unr.edu.ar/~diegob/presenta/Cl ase-Virtualizacion.pdf [7] W. Fuertes and J. E. Lpez de Vergara, An emulation of VoD services using virtual network environments,. In Proc.GI/ITG Workshop on Overlay and Network Virtualization, KasselGermany, March 2009. [8] Descripcin de los sistemas de deteccin de intrusos y herramientas de monitores utilizados, disponible en http://catarina.udlap.mx/u_dl_a/tales/documentos/le m/urbina_p_j/capitulo4.pdf

El presente trabajo se enfoc en el anlisis y evaluacin de puertos, protocolos, y servicios que podran estar disponibles para un posible ataque a una red, dentro de un entorno virtualizado, con el fin de demostrar las vulnerabilidades de los sistemas analizados. Para la implementacin del trabajo se implement una topologa de red virtual LAN, obteniendo un ambiente adecuado para generar el escaneo de puertos, protocolos y servicios. Para validar la investigacin realizada se instal en Windows 7 ultimate, parte de la red virtual LAN, Nmap, y a travs de este medio se escane las redes: Wilab5, perteneciente a la Escuela Politcnica del Ejrcito, Claro-Ayala, parte de la red de Telmex-Porta y la red virtual antes mencionada. Los resultados demuestran que las redes como la WiLab5 y Telmex, poseen similar tiempo de escane en relacin a la red virtual tipo LAN que se ha creado. Como trabajo futuro se plantea realizar ataques a diferentes tipos de redes para, medir el tiempo de demora en la deteccin de los mismos en diferentes entornos de red.