Você está na página 1de 41

Instituto Tecnolgico de Milpa Alta

OPCIN V
CURSO ESPECIAL DE TITULACIN

Seguridad Perimetral en Internet

Que para obtener el grado de:

Ingeniero en Sistemas Computacionales

P r e s e n t a
Jorge Guzmn Meja

ASESOR
Ing. Ernesto de la Cruz Nicols
Mxico, D.F. a 15 de Diciembre del 2014

DEDICATORIAS O AGRADECIMIENTOS (OPCIONAL)

CONTENIDO

Tabla de contenido
DEDICATORIAS O AGRADECIMIENTOS (OPCIONAL)..............................................................I
CONTENIDO................................................................................................................................. II
NDICE DE FIGURAS.................................................................................................................. IV
NDICE DE TABLAS.................................................................................................................... V
NDICE DE GRFICAS............................................................................................................... VI
CAPITULO 1. INTRODUCCIN................................................................................................... 1
CAPITULO 2. GENERALIDADES................................................................................................ 4
2.1 Antecedentes....................................................................................................................... 4
2.1.1 Causas que dieron origen a la Seguridad Perimetral en Internet.................................4
2.1.2 Consecuencia de ataque a la Red................................................................................7
2.2 Marco terico....................................................................................................................... 8
2.2.1 Seguridad Perimetral en Internet..................................................................................8
2.2.2 Arquitectura y Elementos de Red.................................................................................9
2.3 Definiciones....................................................................................................................... 10
2.3.1 Seguridad....................................................................................................................... 10
2.3.2 Permetro........................................................................................................................ 10
2.3.3 Internet........................................................................................................................... 10
3.4 Hacker vs Cracker............................................................................................................. 11
2.3.5 Cortafuegos................................................................................................................ 11
2.3.6 IDS............................................................................................................................. 12
2.3.7 Pasarelas Antivirus y Antispam...................................................................................12
2.3.8 Honeypots.................................................................................................................. 12
2.3.9 Zona Desmilitarizada (DMZ).......................................................................................13
2.3.10 Red Privada Virtual (VPN)........................................................................................ 13
CAPITULO 3. DESARROLLO DEL TEMA.................................................................................14
3.1 Hiptesis............................................................................................................................ 14
3.2 Objetivos........................................................................................................................... 14
3.2.1 Objetivos generales.................................................................................................... 14
3.2.2 Objetivos especficos................................................................................................. 14

3.3 Materiales y Mtodos........................................................................................................ 15


3.3.1 Matariles..................................................................................................................... 15
3.4 Actividades........................................................................................................................ 15
3.4.1 Verificacin de Sistema Operativo..............................................................................15
3.4.2 Configuracin de Iptables...........................................................................................15
3.4.2.1 tablas Filter.............................................................................................................. 18
3.4.2.2 Implementacin de Polticas para Filtrar un Puerto.................................................19
3.4.3 Snort........................................................................................................................... 28
3.4.4 Configuracin de Honey pot Kippo.............................................................................33
CAPITULO 4. CONCLUSIONES................................................................................................38
BIBLIOGRFA.......................................................................................................................... 38

CAPITULO 1. INTRODUCCIN
Cuando se refiere a Seguridad Perimetral en Internet, se habla de una forma de
poner una barrera entre la red interna de un corporativo, institucin o dependencia e
Internet, el objetivo de esta barrera es el de restringir y controlar que datos entran a
la red y cuales salen de ella.
Desde hace mucho, Internet se ha vuelto una de las mayores, si no es que la
mayor herramienta de comunicacin e informacin al ofrecernos una gran variedad
de posibilidades como infraestructura econmica y cultural para facilitar muchas de
las actividades humanas y contribuir a una mejor satisfaccin al cubrir muchas de las
necesidades para el desarrollo personal, ms sin en cambio no hay que
menospreciar los riesgos que conlleva el uso del Internet y que son de muchas
ndoles, como los relacionados a la informacin, comunicacin, actividades
econmicas, con la misma tecnologa, contenidos y muchas ms, por ello es muy
importante entender lo que es la Seguridad perimetral en Internet.
Las computadoras y el ambiente de red en el cual operan, involucran sistemas
sofisticados con un alto grado de complejidad en su operacin, consecuentemente la
complejidad de la relacin entre los sistemas de informacin y las redes, comprueban
que son un rea de ilimitada vulnerabilidad. Por esto es necesario que las
organizaciones mantengan a la seguridad como una prioridad en su red de
informacin.

La seguridad es la cualidad o estado de estar libre de peligro, esto significa


protegerse de adversarios, aquellos que harn dao intencional o circunstancial. El
4

programa de seguridad nacional de los EUA es un ejemplo de un sistema de multicapas que protege la soberana del estado, sus bienes, recursos, y a sus habitantes.
As mismo se debe alcanzar el nivel apropiado de seguridad para una
organizacin, esto depende de un sistema multifactico, este sistema debe de
proporcionar seguridad en las siguientes reas de una organizacin desde el punto
de vista de la seguridad informtica.
Estos son algunos de los elementos que debe tener una red confiable:

Ambiente fsico.
Personal.
Operaciones cruciales de la organizacin.
Dispositivos de comunicaciones.
Integridad de la red.
Acceso a la informacin.

Todos ellos en conjunto harn que la red sea mucho ms confiable y se puede
decir que entonces se est hablando de una red con Seguridad Perimetral en
Internet.
Los expertos afirman que no existen sistemas totalmente seguros, la seguridad
se define como una caracterstica de un sistema o una red de computadoras que
indica que este sistema o red est libre de todo peligro, dao o riesgo. En la prctica
todo esto no es tan fcil de alcanzar por la misma composicin de la red, por ende,
se habla de la fiabilidad de la red, en lugar de seguridad.
5

Cuando una red es fiable significa que la red se comporta tal como se espera y
para lograr dicho comportamiento se necesita de la confiabilidad y disponibilidad de
la red.
En la siguiente imagen se muestra como puede ser la arquitectura de red con
Seguridad Perimetral en Internet. (Fig. 1.1)

Figura 1. 1 Seguridad Perimetral en Internet. Fuente: (FGN, 2014)

CAPITULO 2. GENERALIDADES
2.1 Antecedentes
2.1.1 Causas que dieron origen a la Seguridad Perimetral en Internet

Para entender el cmo se fue formando lo que hoy en da se conoce como


Seguridad Perimetral en Internet, se observara algunas de las problemticas que en
el pasado dieron pie a la implementacin de nuevas formas de proteger la
informacin de la exposicin de la red.
Algunas de las eventualidades fueron las siguientes (Frias, 2009):

Creacin de virus-inicio (24/Febrero/1982): Aunque el Gusano de Morris


(1988) fue el primer ejemplar de malware que tuvo amplia repercusin,
los expertos consideran a Elk Cloner (creado en 1982 por Rich Skrenta,
por entonces un quinceaero que estudiaba en un instituto de Pittsburgh)
el primer virus informtico para microordenadores de la Historia. El virus
se propagaba a travs de disquetes infectados del sistema operativo del
Apple II. Al arrancar desde un disquete infectado, el virus arrancaba
tambin.
Creacin y aparicin de troyanos (19/Enero/1985): Fue en el ao 1985
cuando comenzaron a aparecer los denominados primeros caballos de
Troya o Troyanos, los cuales por lo general se presentaban disfrazados,
por un lado el virus que se esconda bajo una imagen de programa de
mejora de grficos llamado EGABTR, y por el otro el famoso juego
llamado NUKE-LA.

Ataque ARPAnet (2/Noviembre/1988): La seguridad informtica, es el


rea de la informtica que se enfoca en la proteccin de la infraestructura
computacional y todo lo relacionado con esta (incluyendo la informacin
contenida). El 2 de noviembre de 1988, es llamado por muchos el da
que internet se detuvo; aunque en realidad solamente fue el 10% de los
equipos conectados a la red conocida hasta entonces (ARPAnet).
Segunda generacin (Cortafuegos de estado 26/julio/1990): Durante
1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,
Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generacin de
servidores de seguridad. Esta tercera generacin cortafuegos tiene en
cuenta adems la colocacin de cada paquete individual dentro de una
serie de paquetes. Esta tecnologa se conoce generalmente como la
inspeccin de estado de paquetes, ya que mantiene registros de todas
las conexiones que pasan por los cortafuegos.
7

Tercera generacin (Cortafuegos de aplicacin 16 Febrero 1992): Son


aquellos que actan sobre la capa de aplicacin del modelo OSI. La
clave de un cortafuegos de aplicacin es que puede entender ciertas
aplicaciones y protocolos (por ejemplo: protocolo de transferencia de
ficheros, DNS o navegacin web), y permite detectar si un protocolo no
deseado se col a travs de un puerto no estndar o si se est abusando
de un protocolo de forma perjudicial.
Windows 95 (11/Septiembre/1995): En 1995, con el surgimiento de
Windows 95, nacen los primeros malware de Macro, como por ejemplo
Concept. Dos aos ms tarde se hizo popular el malware Lady Di, que
aunque no era malicioso para el equipo, ejecutaba una tarea programada
los das 31 de cada mes que reproduca la cancin Candle In The
Wind.
P2P-Correo electrnico (24/Mayo/2000): En un presagio de lo que iba a
venir y con el correo electrnico siendo protegido cada vez ms, el inicio
de los aos 2000 trajo a Code Red, que infect casi 400,000 pginas
web, seguido por MyDoom, que se propag a gran velocidad a travs del
correo electrnico y del protocolo para compartir archivos Kazaa.
Actualmente, est surgiendo una nueva ola de amenazas que utiliza la
Web como el vehculo de entrega.
Ataques de spyware (1/Julio/2004): Durante el 2004, el spyware sigui
creciendo y hoy es una plaga tan peligrosa y molesta como los virus. De
hecho, est ms difundida: la Alianza de Ciber seguridad Nacional
(NCSA), una entidad sin nimo de lucro de Estados Unidos, calcula que
"80 por ciento de los PC conectados a Internet en los hogares estn
infectados con spyware". Esta clase de software viene en varios sabores:
por ejemplo, el inocente pero aburridor malware (que despliega ventanas
emergentes con publicidad).
Panorama de tiempo (31/Mayo/2007): En 2007, el panorama de los virus
no se parece en nada a la poca en que surgieron, cuando el motivo era
8

cobrar notoriedad. Motivados por el dinero, los ciber criminales dominan


hoy la escena del crimen de alta tecnologa, y utilizan principalmente la
Web como el medio para sus actividades maliciosas. Caracterizados por
tcnicas combinadas, una explosin de variantes y ataques dirigidos y
regionales.
Ataques a la NASA (3/Agosto/2011): Los sistemas de la NASA sufrieron
en 2011 un ataque ciberntico que le permiti a un grupo de hackers,
cuyas direcciones IP fueron identificadas como de origen chino, tener el
"control total" de computadoras con acceso a material confidencial,
segn inform el inspector general de la NASA, Paul Martin.
2.1.2 Consecuencia de ataque a la Red

A continuacin se muestra una tabla con los antecedentes de algunos de los


ataques ms conocidos y las consecuencias hacia sus autores.

Fecha
Mayo-87

Autor(es)
Wau Holland y

Virus

Steffer Wenery

Noviem

Robert Morris

bre-88

Gusano

Descripcin
Ingresaron

sin

Herber

Zinn

86

(Shadowhack)

no

Castigo
Ninguno

autorizacin al sistema

robaron informacin.

de investigacin de la

Pero

NASA.

entredicho la seguridad

Morris lanzo un gusano

de la agencia espacial.
Causo consumo de los

Fue condenado a tres

diseado por el mismo

recursos

aos

para navegar en internet

muchsimas mquinas

condicional y 400 hrs,

y multiplicarse por s

y que ms de 6000

de servicio comunitario

solo,

causando

sistemas

resultaran

adems de una multa

de

daados

fueron

por 10mil dlares por

sobreutilizacin

Enero-

Impacto
No destruyeron,
pone

en

de

de

libertad

recursos de la mquina.

seriamente

fraude computacional y

Zinn

aos

perjudicados.
Destruyo el equivalente

abuso.
Fue

cuando violo el acceso a

a 174 mil dlares en

sentenciado

AT&T y los sistemas del

archivos y copias de

cargo

departamento

programas

valorados

computacional y abuso.

Publico

Fue sentenciado a 9

meses de crcel y a

instrucciones de como

pagar una fianza de 10

violar la seguridad de

mil dlares.

tena

17

de

defensa.

en

millones.

contraseas

el
de

primer
bajo

el

fraude

los
No

David Smith

Melissa

Detenido

por

el

FBI,

sistemas

computacionales.
Crea el virus Melissa,

Est en espera de su
condena,

registrad

junto con los ingenieros

que

de American Online, se

contaminar a ms de

consigui

enfrentar 10 aos de

le acuso de bloquear las

100 mil computadoras

crcel, est en libertad

comunicaciones pblicas

en

a bajo fianza de 10 mil

y daar los sistemas

Afecto

informticos.

sustancial buzones de

todo

el

mundo.

en

forma

puede

dlares.

millones de usuarios
que

utilizaban

el

Outlook Express.

Tabla 2.1 Incidentes de delito informtico. Fuente: Elaboracin Propia.

2.2 Marco terico


2.2.1 Seguridad Perimetral en Internet

Es el agregado de Hardware, Software y polticas que se deben implementar en


la red en la que se tiene confianza (Intranet) de la red a la cual no se le tiene
confianza (Extranet o Internet).
Esto se basa en la proteccin completa de un sistemas informtico desde fuera,
es como si se tratara de colocar un muro que proteja todos los elementos vulnerables
del sistema (fig. 2.1), esto quiere decir que cada paquete informtico transmitido por
la red debe ser diseccionado, analizado y de ser el caso aceptado o rechazado
segn sea su potencial de riesgo de seguridad que esto implique dentro de una red.
El propsito de la seguridad perimetral en internet es amplio bsicamente se
basa en rechazar conexiones que pudieran comprometer los servicios, permitir solo
cierto tipo de eventos o trfico entre ciertos nodos, proporcionar un nico punto de
interconexin con el exterior, redirigir el trafico entrante a los sistemas adecuados
dentro de la red, ocultar sistemas o servicios vulnerables que no son fciles de
10

proteger desde internet, auditar el trafico exterior y el interior, ocultar informacin de


los sistemas, topologas de red, tipos de dispositivos, cuentas de usuarios etc.
(Ramos Varon, 2014).
La Seguridad Perimetral en Internet puede definirse entonces como un
concepto que asume la integracin de diferentes elementos y sistemas para proteger
los permetros de una red Informtica, la deteccin de

tentativas de intrusos e

incluso la disuasin de los potenciales atacantes.

2.2.2 Arquitectura y Elementos de Red

Los elementos para una apropiada arquitectura de red interna que provea al
Permetro frente otra que es Internet de los ataques o vulnerabilidades de la red
podran ser los siguientes:

Cortafuegos (Firewall).
Sistemas de Deteccin y Prevencin de Intrusos (IDS).
Pasarelas Antivirus y Antispam.
Honeypots.
Zona Desmilitarizada (DMZ).
Red Privada Virtual (VPN).

11

2.3 Definiciones
2.3.1 Seguridad

El termino seguridad posee mltiples usos. A grandes rasgos, puede afirmarse


que es un concepto que proviene del latn securitas y hace foco en la caracterstica
de seguro, es decir, realza la propiedad de algo donde no se registran peligros,
daos ni riesgos. Una cosa segura es algo firme, cierto e indubitable. La seguridad
por lo tanto, puede considerarse como una certeza (Definicion.de, 2008).

2.3.2 Permetro

Se refiere al contorno de una superficie o de una figura y a la medida de ese


entorno. El permetro es la suma de todos sus lados, de esta manera, el permetro
permite calcular la frontera de una superficie, por lo que resulta de gran utilidad
(Definicion.de, 2008).

2.3.3 Internet

Internet es una red de redes que permite la interconexin descentralizada de


computadoras a travs de un conjunto de protocolos denominado TCP/IP. Tuvo sus
orgenes en 1969, cuando una agencia del Departamento de Defensa de los Estados
Unidos comenz a buscar alternativas ante una eventual guerra atmica que pudiera
incomunicar a las personas (Definicion.de, 2008).
12

3.4 Hacker vs Cracker

Se suele tener la idea de que un Hacker y un Cracker son lo mismo, sin


embargo hay diferencia entre cada uno de ello, sin embargo de los 2 hay que
preocuparnos de la red dado que puede ser lo Blanco y Lo negro (Ramos Varon,
2014).

Hacker: Experto o que es especialmente hbil en el manejo de un


sistema, que sabe cmo aprovechar al mximo sus capacidades, todo
por el bien de la comunidad.
Cracker: Se adentra en el terreno de lo ilegal, se aprovecha del
conocimiento de los Hackers; denominado tambin Hacker Dark Side.

2.3.5 Cortafuegos

Son dispositivos que cuentan con un conjunto de reglas para especificar qu


tipo de trfico se acepta o se deniega hacia Internet sus procedimientos son
bsicamente:

Bloqueo de Trafico.
Habilitacin de Trafico.

13

2.3.6 IDS

Sistema formado por un conjunto de sensores localizados estratgicamente en


la red interna para detectar ataques. Se basan en firmas (Signatures) conocidas de
ataques y se dividen en dos tipos (Ramos Varon, 2014)
.
Sistema de Detencin de Intrusos de red (NIDS): Que garantiza la
seguridad dentro de la red.
Sistema de Detencin de Intrusos de Estacin (HIDS): Que garantiza la
seguridad en el host.

2.3.7 Pasarelas Antivirus y Antispam

Consiste en un tipo de filtrado antivirus y antispam que se instala dentro de la


red interna y protege el correo, este realiza exclusivamente la funcin de filtro, por lo
que acepta el correo de entrada, lo procesa con diferentes herramientas de filtrado y
lo entrega a un servidor de correo externo que puede ser de alojamiento compartido,
como servidor dedicado o en un equipo propio del centro de trabajo (Dimensis,
2011).

2.3.8 Honeypots

Se llama Honeypot a una herramienta usada en el mbito de la Seguridad


Informtica para atraer y analizar el comportamiento de los atacantes en Internet.
14

Pareciera una contradiccin debida a que la funcin primordial de las herramientas


de seguridad que es exactamente la contraria.
Sin embargo, desde hace unos aos se utilizan los Honeypots para atraer a los
atacantes dentro de un entorno controlado, y as conocer ms detalles sobre cmo
estos realizan sus ataques, e incluso descubrir nuevas vulnerabilidades (INTENCO).

2.3.9 Zona Desmilitarizada (DMZ)

El objetivo de una DMZ es que las conexiones de la red interna y la externa a la


DMZ estn permitidas, mientras las conexiones que las conexiones desde la DMZ
solo se permitan en la red externa, los equipos en la DMZ no pueden conectar con
la red interna.
Esto permite que los equipos (host) de la DMZ pueden dar servicios a la red
externa a la vez que protegen la red interna en el caso de que intrusos comprometan
la seguridad de los equipos situados en la zona desmilitarizada, para cualquiera de la
red interna, la zona desmilitarizada se convierte en un callejn sin salida.

2.3.10 Red Privada Virtual (VPN)

Es una red construida dentro de una infraestructura de red pblica, tal como la
red mundial de Internet, las empresas usan redes Privadas Virtuales para conectar
en forma segura oficinas y usuarios remotos a travs de accesos remotos.
Las redes Privadas Virtuales proporcionan el mayor nivel posible de seguridad
mediante la sesin de red protegida establecida a travs de canales no protegidos

15

(Internet), se materializa en dispositivos en el permetro para establecer sesiones


cifradas.

CAPITULO 3. DESARROLLO DEL TEMA


3.1 Hiptesis

Comprobar la fiabilidad de lo que es la Seguridad Perimetral en Internet,


veremos parte de la configuracin y su funcionabilidad en Linux (Ubuntu 14.04),
haremos algunas pruebas para demostrar que una red es ms segura ayudndonos
de la configuracin de IPtables, Snort y algn Honeypot para Linux.
3.2 Objetivos

Configurar un Cortafuegos basado en IPTables dentro del ambiente de Linux,


que en este caso ser en Ubuntu 14.04.1, en una Laptop HP, se configurara,
IPTables, y se usaran herramientas como Snort y kippo para hacer nuestra prueba de
Seguridad Perimetral e Internet.
3.2.1 Objetivos generales

1.
2.
3.
4.

Configuracin de IPTables.
Configuracin de Snort.
Configuracin de kippo.
Pruebas de Configuracin.

3.2.2 Objetivos especficos

Instalar un cortafuegos dentro del ambiente de Linux (Ubuntu14.04.1), hacer pruebas


sobre la seguridad de la red y hacer una simulacin de los ataque de los cual
estamos protegidos despus de la configuracin de la Seguridad Perimetral en
Internet.
16

3.3 Materiales y Mtodos


3.3.1 Matariles

Una Laptop HP 435, Software Ubuntu 14.01.1, herramientas como Snort, nmap,
virtual box, y Keppo.
3.4 Actividades
3.4.1 Verificacin de Sistema Operativo

Verificamos desde la consola la versin del S.O (fig. 3.1) y el equipo que se est
usando y en cual trabajaremos y haremos las dems configuraciones y pruebas.

Figura 3. 1 Versin del S.O. Fuente: Propia.

3.4.2 Configuracin de Iptables

Se abre la terminal, se inicia sesin como root, se inserta el comando iptables


-L (fig. 3.2), y se observa que en este momento iptables tiene su poltica de aceptar
17

todo tipo de trfico y no hay ninguna reglas especificada, por ende el usuario puede
navegar en cualquier sitio (fig. 3.3), lo cual podra estar muy bien pero si algn
intruso o hacker entrara al sistema tendra el mismo privilegio, entonces para
proteger la pc o la red se empezara con la configuracin de iptables.

Figura 3. 2 iptables -L. Fuente: Propia.

Figura 3. 3 Navegacin Libre por Internet. Fuente: Propia.

Iptables trabaja con tres tablas y cada tabla hace cosas diferentes, por ejemplo
la tabla filtre, ella se encarga ms que nada en el filtrado de los paquetes, en detener

18

o permitir, o re direccionar, y bueno cada tabla tiene cadenas diferentes, en este caso
la tabla filter tiene una cadena (fig. 3.2), INPUT, FORWARD y OUTPUT.
Si queremos ver la tabla nat, se inserta el comando iptables t nat -L (fig. 3.4),
y se observa que sus cadenas son PPREROUTING, INPUT, OUTPUT y
POSTROUTING, y por ultimo esta la tabla mangle, insertamos iptables t mangle -L
(fig.3.5), esta es una tabla de mayor complejidad y tamao, como se puede observar
esta es una combinacin de las tablas anteriores.

Figura 3. 4 Tabla nat. Fuente: Propia.

Figura 3. 5 Tabla mangle. Fuente: Propia.

19

3.4.2.1 tablas Filter

Vamos a insertar en la terminal nmap en una mquina virtual que se instal


anteriormente, en este caso es deban, y se observa que puertos se tienen abiertos,
instalamos en caso de no tener nmap con el comando apt-get install nmap, (fig. 36), ahora se inserta el comando nmap 189.181.206.41 (fig. 3 7), donde la direccin
ip es la del equipo con el cual se est trabajando, para ver que puertos estn
abiertos, en este caso que los puertos abiertos son el, 22, 53, 80,2000 y el 3128 (fig.
3.8), entonces se va impedir que alguien pueda entrar por el puerto 22 que es del
ssh, y que muchos de los intrusos usan para hacer ataques de fuerza bruta para ello
lograr acceso root, y ya una vez que lo hacen pues no hay nada que hacer, se
aduean de la mquina.

Figura 3. 6 Install nmap. Fuente: Propia.

Figura 3. 7 nmap. Fuente: Propia.


20

3.4.2.2 Implementacin de Polticas para Filtrar un Puerto

En este caso ser impedir que ingrese alguien por el puerto 22 del ssh, se
inserta iptables A INPUT p tcp dport 22 j DROP, (fig.3.8), el A es de aadir o
anexar, el nombre de la cadena a la que se va aadir, que en este caso es INPUT, -p
de protocolo que en este caso es de tcp, luego DPORT que es el puerto destino que
se va a bloquear, luego j que es join o en este caso algo asi como decisin, y por
ultimo DROP, posteriormente colocamos iptables -L, (fig. 3.8), y se observa que el
objetivo de la lnea DROP, es bloquear todo proveniente de donde sea, destinado a
donde sea que venga por el puerto ssh.

Figura 3. 8 Filtreo del Puerto 22 ssh. Fuente: Propia.

21

Volvemos hacer un nmap, ahora se observa que el puerto 22 ssh se encuentra


filtrado y los dems siguen abiertos (fig.3.9).

Figura 3. 9 Filtreo del Puerto 22 nmap. Fuente: Propia.

Bueno ahora si se quisiera poner una regla en un rango de puertos se tendr


que insertar en la terminal el sig. Comando iptables A INPUT p tcp dport 1:102,
(fig. 3.10), se observa que ahora se est filtrando del Puerto 1 al 1022, y como se
observa en la fig. 3.10 en la segunda lnea marcada, bloquame todo trafico tcp
proveniente de donde sea y que se dirija hacia donde sea, desde el puerto 1 al 1022.

Figura 3. 10 Filtreo del Puerto 1 AL 1022. Fuente: Propia.

22

Corremos otro nmap y se observa que efectivamente se bloquearon los puertos, solo
aparecen abiertos los puertos 2000 y 3128 (fig. 3.11), que estn fuera del rango de lo
que filtramos.

Figura 3. 11 Puertos abiertos. Fuente: Propia.

Vemos en nuestra terminal que todo quede como se empez, insertamos iptables
-F y despus iptables -L (fig. 3.12), se observa la poltica de INPUT y OUPUT es la
de aceptar todo, por eso se puede ingresar libremente a Internet (fig. 3.3).

Figura 3. 12 Configuracin original de iptables. Fuente: Propia.

23

Ahora se bloqueara todo el trfico, se inserta los comandos iptables P INPUT


DROP y iptables P OUTPUT DROP y se observa que las polticas INPUT Y
OUTPUT estn bloqueadas (fig. 3.13), al hacer esto se est bloqueando el trafico
entrante y saliente, se observa que no se puede ingresar a una pgina en Internet,
que no se encontr el servidor de la pgina solicitada (fig.3.14).

Figura 3. 13 DROP en INPUT y OUTPUT. Fuente: Propia.

Figura 3. 14 Servidor no Encontrado. Fuente: Propia.

24

El protocolo tcp est orientado a conexin, entonces existe lo que se llama

un

saludo de tres vas para que la comunicacin pueda existir, por ejemplo si se quiere
abrir una pgina en google.com, y se da enter, la maquina enva una peticin hacia
el servidor de google y le pide dicha pgina, entonces el servidor de google responde
con una confirmacin de que recibi el mensaje de solicitud de su pgina y
posteriormente enva dicha pgina a la mquina que lo solicito, as concluira lo que
es el saludo de tres vas, entonces al darle un DROP a todo el saludo de tres vas,
este no procede, y en consecuencia no hay acceso a Internet.
Entonces lo que se va hacer es que se acepte el trfico de afuera solo si se genera o
hay una peticin desde adentro (solicitado por la maquina), en caso contrario no se
aceptar,

entonces

se

inserta

iptables

INPUT

state

-state

ESTABLISHED,RELATED j ACCEPT, se comprueba insertando iptables -L,(fig.


3.15),

con esto lo que se est haciendo es decirle a iptables que se permita el

trafico si la maquina lo est solicitando, con el comando ESTABLISHED que es el


segundo paso del saludo de tres vas, se est solicitando que google le entregue la
pgina a la mquina que lo solicito, porque es trfico que ella misma gnero.

Figura 3. 15 ESTABLISHED. Fuente: Propia.


25

Pero en realidad an no se puede acceder a dicha pgina por que no se ha


establecido la regla para lo que es el primer saludo, se inserta en la terminal ip
tables A OUTPUT m state --state NEW,RELATED j ACCEPT despus se vuelve
a comprobar que se aplic la regla con iptables -L (fig.3.16), con esto debera dar
acceso, hacemos un ping a la pgina (fig. 3.17), pero se observa que no hay
respuesta, debido al siguiente problema.

Figura 3. 16 RELATED. Fuente: Propia.

Figura 3. 17 Ping. Fuente: Propia.


26

Est permitiendo enviar un saludo pero no est permitiendo recibir respuesta, debido
a que nos equivocamos en parte de las reglas para iptables, se le pidi que si se
permitiera trafico nuevo (fig. 3.18), y que se contine con la conexin, lo que es el
segundo paso del saludo no se permiti, (fig. 3.18), as que se procede a modificar
dicha lnea, para saber cul es esa lnea y no borrar todo lo que se configuro, (por
qu en un sistema de produccin robusto se podran generar problemas).

Figura 3. 18 Reglas iptables. Fuente: Propia.

27

Se inserta iptables L -line-numbers (fig.3.19), y se observa que es la lnea


nmero 1, ahora se inserta iptables R OUTPUT 1 m state state NEW,
ESTABLISHED j ACCEPT, (fig.3.20), y se comprueba de nuevo con iptables L.

Figura 3. 19 Lnea a Editar de iptables. Fuente: Propia.

Figura 3. 20 Lnea Corregida. Fuente: Propia.

Se observa que ahora dice NEW ESTABLISHED Y NO NEW RELATED, como deca
anteriormente, se refresca el navegador y se ver que ahora si hay conexin con la
28

pagina solicitada(3.21), ahora bien, esto no quiere decir que se est desprotegido, en
la maquina virtual hacemos de nuevo un nmap y se observa que no hay respuesta,
debido a que no existe comunicacin entre ambas partes (fig. 3.22), esto es debido a
la regla que se coloc anteriormente, donde especficamente solo se acepta el trfico
que genera la mquina y no se aceptan solicitudes de otras partes como en este
caso de la mquina virtual Deban.

Figura 3. 21 Acceso a la red. Fuente: Propia.

Figura 3. 22 Sin Trfico entre ambas maquinas. Fuente: Propia.

29

3.4.3 Snort

Snort es la herramienta que se usara como Sistema de Deteccin de Intrusos, para


ello se instalara en una mquina virtual Ubuntu 11.10, en ella se procede con la
instalacin de snort, insertando sudo apt-get install snort (fig.3,23).

Figura 3. 23 Instalacin de snort. Fuente: Propia.

Enseguida se procede con la configuracin insertando sudo dpkg-reconfigure snort


(fig. 3.24), parmetros solicitados, en esta caso es nuestro rango e ip y submascara.

Figura 3. 24 Configuracin de snort. Fuente: Propia.

Y asi en lo sucesivo, despus se instala mysql, se inserta sudo apt-get install mysql
(fig. 3.25).

Figura 3. 25 Instalacin de mysql. Fuente: Propia.

30

Se procede con la configuracin, contrasea root por ejemplo que en este caso es
admin, (fig.3.26).

Figura 3. 26 Contrasea root. Fuente: Propia.

Posteriormente se procede a ingresar a mysql, para crar al usuario snort, (fig.3.27).

Figura 3. 27 Inicio de mysql. Fuente: Propia.


Se crea al usuario de snort, (fig-3.28), insertando el siguiente comando crate

user

snort@localhost identified by snort;.

Figura 3. 28 Inicio de mysql. Fuente: Propia.


Ahora se procede a dar todos los privilegios necesarios para su configuracin (fig. 3.29), se
inserta el comando grant all privileges on *.* to snort@local host identified by snort;.

Figura 3. 29 Privilegios de snort en mysql. Fuente: Propia.

Se guardan los privilegios con la orden flush privileges; como se muestra en la


imagen (3.30).

Figura 3. 30 Configuracin Guardada. Fuente: Propia.


31

Ya estando configurado mysql, se sale de mysql y ahora se procede con la


instalacin de snort-mysql (fig. 3.31).

Figura 3. 31 Instalacion de snort-mysql. Fuente: Propia.

Despus se procede a reconfigurar con la orden sudo dpkg-reconfigure -plow snort


mysql (fig.3.32), el cual se configura como al principio.

Figura 3. 32 Configuracin de snort-mysql. Fuente: Propia.

Ya que esta todo configurado, hay que dirigirse a la carpeta de mysql, insertando el
sig. Comando cd /usr/share/doc/snor-mysq/ (fig.3.33).

Figura 3. 33 Carpeta de snort-mysql. Fuente: Propia.

32

Ahora se crea un archivo gz, insertando en la terminal el sig. Comando zcat crate
mysql.gz (fig. 3.34).

Figura 3. 34 Carpeta de snort-mysql. Fuente: Propia.

Ahora se procede a instalar acidbase insertando el sig. Commando sudo apt-get


install acidbase (fig. 3.35).

Figura 3. 35 Instalacion de acidbase. Fuente: Propia.

Ya instalndose nos pregunta qu tipo de base de datos se va a utilizar, se marca


mysql (fig.3.36), que es la que se est utilizando.

Figura 3. 36 Configuracin de acidbase. Fuente: Propia.


33

Despus se procede a observar el documento donde se han creado todas las


configuraciones ingresando el comando sudo gedit /etc/acidbase/database/ php
(fig. 3.37).

Figura 3. 37 Configuracin de acidbase. Fuente: Propia.

Ahora se procede a la ejecucin de snort y realizar pruebas de su funcionamiento, se


inserta el comando sudo su snort v (fig. 3.38), como se puede observar nos
esta indicando de todo el trfico que hay en este momento as como de los puerto
por donde pasa dicho trfico.

Figura 3. 38 Comprobacin de la ejecucin de snort. Fuente: Propia.


34

3.4.4 Configuracin de Honey pot Kippo

Para ello se necesitara instalar cuatro paquetes bsicos, de phyton, que son:

Phyton dev.
Phyton opnssl.
Phyton pyhas1.
Phyton twisted.
Para ello se insarta en la terminal el sig. Comando sudo apt-get install phyton-

dev opennssl phyton-openssl phyton-pyasn1 phyton-twisted (fig.3.39).

Figura 3. 39Instalacion phyton. Fuente: Propia.

Posteriormente se procede a la descarga de kippo, desde la terminal insertando


el comando wget http://kippo.googlecode.com/files/kippo-0.5.tar-gz, (fig. 3.40).

Figura 3. 40 Descarga de kippo. Fuente: Propia

Despus de la descarga, se instala y se descomprime, una vez hecho esto se


accede a kippo insertando el comando cd kippo-0.5/ (fig. 3.41)

.
Figura 3. 41 Ingreso a kippo. Fuente: Propia

Se procede a hacerlo ejecutable con el sig. Comando chmod +x start.sh (fig.3.42),


con ello se hace que la carpeta personal contenga kippo y se pueda ejecutarse.

Figura 3. 42 Ejecucion de kippo. Fuente: Propia

Se inicia el servidor kippo con el comando -/kippo-0.5$ ls, (fig. 3.43).

35

Figura 3. 43 Inicio del servicio kippo. Fuente: Propia

A continuacin se ver como configurar el puerto del honeypot, adems de su


funcionamiento.
Desde la carpeta personal de la maquina abrimos kippo .cfg (fig. 44), y desde
ah se observa la configuracin que tiene el honey pot.

Figura 3. 44 Carpeta personal. Fuente: Propia

En este archivo se pueden cambiar varios aspectos como por ejemplo en que puerto
se quiere que escuche el honeypot, por de faul tiene el 2222, (fig.3.45).

Figura 3. 45 Puerto del honeypot. Fuente: Propia

36

Ah mismo se cambia el nombre del servidor, por el nosotros queramos, por


ejm. TrabajoISE (FIG. 3.46), adems ah mismo se ven las rutas donde se guardaran
los ataques o descargas a dicho servidor.

Figura 3. 46 Nombre del Servidor. Fuente: Propia.

Para hacer que el puerto 22 sea el de acceso al honeypot se inserta en consola el


sig. Comando iptables

t nat A PREROUTING

-i eth0

-p tcp dport 22 j

REDIRECT to port 2222 (fig.3.47).

Figura 3. 47 Nombre del Servidor. Fuente: Propia.

Ejemplo de ataque al honeypot.


El atacante tendr que logearse, y se dar cuenta que es de una manera fcil, (fig.
3.48).

Figura 3. 48 Inicio de Sesin del Atacante. Fuente: Propia.

37

Una vez que el atacante entro en el hneypot, podr instalar o descargar cualquier
tipo de contenido (fig. 3.49) como se observa en la siguiente figura l puede colocar
cualquier tipo de comando u orden en el hneypot, pareciera que se estn instalando
sus peticiones, pero en realidad no es asi, solo se simula dicha instalacin (fig. 3.50).

Figura 3.49 Instalacion de posibles programas. Fuente: Propia.

Figura 3.50 Simulacin de la Instalacion. Fuente: Propia.

38

A la hora de que el atacante quiera ejecutar dicho programa, se vela le aparece


informacin no valida, en este caso un bho con la frase YA RLI ( FIG. 3.51),

Figura 3.51 Ejecucion del programa. Fuente: Propia.

Todo esto se puede observar en el archivo donde se guardan dichos ataques desde
el honeypot, para asi poder prevenir ataques de este tipo, para ello se inserta en la
terminal el comando -/kippo-0.5$ cat log/kippo-log (fig. 3.52).

Figura 3.5 Archivo de kippo. Fuente: Propia.

Ah se mostraran todos los ataques o tipo de ataques que se han hecho al hneypot
(fig. 3.53), este es bsicamente el funcionamiento de un honeypot.

3.5 Resultados

Se comprob que con las herramientas utilizadas se puede rastrear a los


atacantes, o bloquear el acceso del mismo, adems de poderlos desviar los ataques
de los mismos, se pueden hacer configuraciones de acuerdo a las necesidades de
cada red, y asi tener una red mucho ms confiable y protegida de amenazas desde
el exterior.
39

CAPITULO 4. CONCLUSIONES
Como se puede observar el tener acceso a la red (Internet), hace que nuestras
redes sean muy vulnerables, asi mismo se observa que hay muchas formas de
ataques, pero tambin hay muchas formas de detener o bloquear estos mismos, hay
muchas y variadas herramientas, como Hardware y Software, ms sin en cambio
esto no quiere decir que no pueda haber fallas en la red, o que alguien pudiera
acceder a dicha red, no hay forma de garantizar una red 100% segura siempre que
se tenga la necesidad de conectarse al Internet.

BIBLIOGRFA
http://www.ra-ma.es/libros/SEGURIDAD-PERIMETRAL-MONITORIZACION-YATAQUES-EN-REDES-MUNDO-HACKER/86614/978-84-9964-297-0
http://www.forodeseguridad.com/capacit/libros/libro_1035.htm
https://www.incibe.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguri
dad_perimetral.pdf

40