Reporte De Seguridad

Integrantes: _ Gonzalo Alberto González Hernández Luis Ángel Trujillo Mancilla Armando Ortega Mendizábal

Se entiende por seguridad al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información en red.

Las redes, a nivel de seguridad, se han convertido en un arma de doble filo para sus usuarios. Por una parte la conectividad y la cantidad ingente de información disponible en la red, proporciona una herramienta muy poderosa a la hora de adquirir conocimientos y poder reforzar la seguridad de los sistemas. Por otra parte la zona que se debe asegurar en un equipo conectado a Internet crece casi infinitamente ya que se amplían los puntos de acceso al sistema, quedando expuesto a posibles ataques que violen la seguridad. El número de atacantes potenciales también aumenta, apareciendo nuevas vulnerabilidades a las que se deben de hacer frente. 

Los antivirus: Son programas que exploran periódicamente el contenido del ordenador

donde está instalado, detecta si hay virus y los elimina. Están compuestos por un motor y un conjunto de vacunas que se actualizan de manera automática en el servidor.

Cortafuegos: Es un sistema que previene el uso y el acceso desautorizados a tu

ordenador o a las redes privadas conectadas con Internet, especialmente intranets.

Es importante recordar que un cortafuego no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección adicionales para tu ordenador o red.

Cifrado de la información: Es una técnica muy usada para aumentar la seguridad de las redes

informáticas. Esta técnica convierte el texto normal en algo ilegible, por medio de algún esquema reversible de codificación desarrollado en torno a un clave privada que sólo conocen el emisor y el receptor.

Sistema de detección de intrusos (IDS):

Clasificación por situación: Según la función del software IDS, estos pueden ser:• NIDS (Network Intrusion Detection System)• HIDS (Host Intrusion Detection System)Los NIDS analizan el tráfico de la red completa, examinando los paquetes individualmente, comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos.

Clasificación según los modelos de detecciones:

 Los dos tipos de detecciones que pueden realizar los IDS son:• Detección del mal uso: La detección del mal uso involucra la verificación sobre tipos ilegales de tráfico de red. Este tipo de detección puede incluir los intentos de un usuario por ejecutar programas sin permiso.• Detección del uso anómalo: se apoya en estadísticas tras comprender cual es el tráfico “normal” en la red del que no lo es.

Los IDS se encuentran integrados por módulos que trabajan de forma conjunta y con funciones específicas para monitorear el tráfico de una red y los sistemas de una organización en busca de señales de intrusión, actividades de usuarios no autorizados y la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus límites de restricción de acceso a la información.

Tipos de Ataques a ServidoresTipos de Ataques a Servidores

Ataques Pasivos

El pirata informático no modifica ningún tipo de información sino que escucha o ve la información que se encuentra en el servidor. La mayor ventaja de este ataque es casi no deja huella, ya que al no provocar ninguna alteración de información es difícil de detectar.

Ataques Activos Se dedican a modificar de alguna manera la información o

a los paquetes enviados.

Ataques a Nivel de Sistema

Consiste en atacar directamente el sistema operativo del servidor intentando obtener privilegios de administrador mediante una terminal remota.

Ataques a Nivel Aplicacion

Se basa en intentar modificar los datos que nos permita la aplicación atacada sin ejecutar código en el sistema operativo.

Spoofing

Consiste en suplantar la identidad de otra maquina de la red para tener acceso a los recursos de un tercer sistema de manera maliciosa, basándose en algún tipo de confianza ya sea el nombre o la dirección IP. Una de las técnicas más típicas del spoofing es el phising.

Tipos de amenazas a la seguridad.

Interrupción (Afecta a la disponibilidad).

Se corta el flujo desde emisor al receptor. Se destruye el elemento del sistema o se hace inaccesible o inútil.

Intercepción (Afecta a la confidencialidad).

Una tercera entidad se entera de la comunicación. Una parte no autorizada, que puede ser una persona, programa o computador, consigue acceder a un elemento.

Modificación (Amenaza la integridad).

Una tercera entidad cambia datos. Una parte no autorizada no solo consigue acceder, sino que falsifica un elemento.

Invención (También amenaza la integridad).

Una tercera entidad inventa datos no emitidos. Una parte no autorizada inserta objetos falsos en el sistema.

· Concepto de Intruso

Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.

Tipos de Intrusos.

Intrusos de Fuera.

La mayoría de las personas piensan que el mundo exterior es la amenaza más grande a su seguridad; debido a que ha sido difundido por los medios de comunicación un miedo hacia los “hackers” que entran a través de Internet. La realidad, es que los hackers representan una pequeña parte de las amenazas reales a las que se enfrenta una compañía.

Intrusos de Adentro.

Estudios realizados por el FBI han revelado que el 80% de las intrusiones y de los ataques provienen de dentro de las organizaciones. Es muy lógico si se piensa que una persona de adentro conoce el esquema del sistema, donde se encuentran la información valiosa y la localización de puntos y sistemas de seguridad.Por lo anterior hay que desechar la idea de que la mayoría de las medidas de seguridad deben estar puestas para proteger al interior de un “malévolo” exterior, ya que realmente gran parte de las intrusiones ocurren desde adentro de las organizaciones. Es necesario un mecanismo que detecte ambos tipos de Intrusos, los externos y los internos. Un sistema detector de intrusos efectivo detecta ambos tipos de ataques en un alto grado.

Perfil del Atacante o Intruso.

A menudo cuando alguien irrumpe en un sistema informático se dice que ha sido un hacker, el cual se asocia a la palabra pirata informático, este es una persona que cuenta con grandes conocimientos informáticos y de telecomunicaciones que los usa con un fin que puede malicioso o no.

Hackers de sombrero blanco

Suelen trabajar en organizaciones dedicadas a la seguridad informática o son administradores de red, se preocupan por mejorar la tecnología. Suelen trabajar en organizaciones dedicadas a la seguridad informática o son administradores de red, se preocupan por mejorar la tecnología.

Hackers de sombrero negro

Son los que conocemos como piratas informáticos, usan conocimientos informáticos con un objetivo malicioso.

Crackers

Es un pirata informático que se encarga de atacar los sistemas operativos.

La inyección SQL consiste en la modificación del comportamiento de nuestras consultas mediante la introducción de parámetros no deseados en los campos a los que tiene acceso el usuario.

Este tipo de errores puede permitir a usuarios malintencionados acceder a datos a los que de otro modo no tendrían acceso y, en el peor de los casos, modificar el comportamiento de nuestras aplicaciones.

La inyección SQL consiste en la modificación del comportamiento de nuestras consultas mediante la introducción de parámetros no deseados en los campos a los que tiene acceso el usuario.

Este tipo de errores puede permitir a usuarios malintencionados acceder a datos a los que de otro modo no tendrían acceso y, en el peor de los casos, modificar el comportamiento de nuestras aplicaciones.

Supongamos que tenemos una aplicación Web (realizada en ASP por sencillez) en la que el acceso a ciertas secciones está restringido.

Para restringir ese acceso creamos una tabla de usuarios y contraseñas y sólo los usuarios que se validen contra esa tabla podrán acceder a esos contenidos. Una manera de que los usuarios se validen será colocar un par de cuadros de texto en nuestra página Web:

• txtUsuario• txtPassword

donde puedan introducir su nombre y su contraseña y enviar ese par usuario/contraseña a la base de datos para comprobar si es válido.

Si el usuario escribe Admin y 1234 la sentencia creada será:

SELECT Count(*) FROM Usuarios WHERE Usuario= ‘Admin’ AND Password= ‘1234’

Y como esta sentencia nos devuelve un registro, dejaremos que el usuario entre en la Web. Si el usuario escribe por ejemplo ‘Admin’ y de contraseña cualquier otra cosa, la sentencia no nos devolverá registros y no permitiremos entrar a esa persona.

Existen varias soluciones por ejemplo podemos filtrar las entradas de los usuarios reemplazando la aparición de ’ por ’’ (dos comillas simples) e incluso evitando que los usuarios puedan pasar caracteres como \ / ’’ ’ o cualquier otro que se nos ocurra que puede causar problemas. Estos filtros pueden ser tan sencillos como utilizar la sentencia «replace» de Visual Basic:

SSQL= "SELECT count(*) FROM Usuarios WHERE Usuario = '" & ReplacetxtUsuario.Text, "'", "''") & "' AND password='" & Replace(txtPassword.Text, "'", "''") & "'"

Otro factor importante en cuanto a la seguridad es limitar al máximo los permisos del usuario que ejecuta estas sentencias para evitar posibles problemas. Por ejemplo utilizando un usuario distinto paralas sentencias SELECT, DELETE, UPDATE y asegurándonos que cada ejecución de una sentencia ejecute una sentencia del tipo permitido.Por supuesto utilizar el usuario ‘sa’ o uno que pertenezca al rol ‘db_owner’ para ejecutar las sentencias de uso habitual de la base de datos debería quedar descartado.

Una solución definitiva sería trabajar con procedimientos almacenados.El modo en el que se pasan los parámetros a los procedimientos almacenadosevita que la inyección SQL pueda ser usada. Por ejemplo utilizando el siguiente procedimiento almacenado:

CREATE Procedure Validar @usuario varchar(50), @password varchar(50) ASIf (SELECT Count(*) FROM Usuarios WHERE Usuario=@Usuario and Password=@password)>0 Return 1 Return 0

También deberíamos validar los datos que introduce el usuario teniendo en cuenta por ejemplo la longitud de los campos y el tipo de datos aceptados. Esto lo podemos hacer en el cliente con los «RegularExpressionValidator» o con los «CustomValidators» del VB.NET. De todos modos si la seguridad es importante todas estas validaciones hay que repetirlas en el servidor.

Por ultimo, y ya que estamos pensando en entornos Web, podemos programar en ASP.NET y utilizar siempre que sea posible las clases «System.Web.Security.FormsAuthentication» para que los usuarios entren en nuestras aplicaciones Web.

Los Sniffers son dispositivos de monitorización que recogen información de una red. Al hecho de capturar información de la red se denomina Sniffing. Este tipo de ataques son los llamados ataques pasivos, ya no realizan ninguna modificación sobre la información.La forma más habitual de sniffing es la que podríamos llamar sniffing por software, utilizando un programa que captura la información de la red.

Utilización.

Los usos típicos de un sniffer incluyen los siguientes:  

· Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones para atacar sistemas a posteriori.  · Conversión del tráfico de red en un formato entendible por los humanos.  · Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué el ordenador A no puede establecer una comunicación con el ordenador B?  · Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red. · Detección de intrusos. Aunque para ello existen programas específicos llamados IDS (Sistema de Detección de intrusos), que son prácticamente sniffers con funcionalidades específicas.  · Creación de registros de red, de modo que los intrusos no puedan detectar que están siendo investigados.

Una red de difusión es aquella en la que la información se envía a todos los equipos (red en bus). Éste es el caso de una red Ethernet. En una red Ethernet la cabecera de cada paquete de datos contiene la dirección del equipo destino. Cuando un paquete llega a un equipo la tarjeta de red comprueba si el paquete va dirigido a este ordenador. Si el paquete contiene la dirección del equipo, la tarjeta lo acepta, rechazándolo en caso contrario. Para realizar el Sniffing en este caso, previamente se debe haber obtenido acceso al sistema como Root. Posteriormente se configura la tarjeta de red en estado promiscuo. En este estado la tarjeta recogerá todos los paquetes que circulen por la red.

Sniffing en una red local de difusión.

En este modo de sniffing se captura la información que pasa por un determinado equipo. De este modo se puede "espiar", por ejemplo, el tráfico de Internet de una determinada empresa o usuario. El proyecto Carnivore realiza un sniffing de este tipo.

Sniffing a nivel global. Carnivore

Tcpdump es uno de los sniffers más conocido y probablemente uno de los primeros disponibles para los sistemas UNIX. Este programa, una vez lanzado, captura todos los paquetes que llegan a nuestra máquina y muestra por pantalla información relativa a los mismos.

Sniffit es una herramienta de línea de comandos que ofrece un modo de ejecución interactivo en el que se muestran las conexiones accesibles desde la máquina en la que se encuentra instalado y permite seleccionar cualquiera de ellas para la captura de paquetes, a través de una interfaz muy sencilla.

Network Monitor es una aplicación incorporada en el sistema operativo Microsoft Windows NT Server que proporciona características limitadas de sniffing.

BlackICE es un sistema de detección de intrusos que permite escribir un registro del tráfico de red para su posterior análisis.

Analyzer es un programa que captura paquetes utilizando la librería WinPCAP. Pero la principal utilidad de esta aplicación es que permite analizar la información monitorizada. 

Algunos SNIFFERS

Más que un programa, Untangle es en realidad una recopilación de programas de Seguridad unificados bajo una interfaz común que nos permite configurar y manejar la suite de forma sencilla. Podemos instalarlo en un equipo que actúe como servidor independiente que únicamente ejecuta esta solución o utilizarlo como un programa en un ordenador de escritorio con Windows XP.En Untangle categorizan las funciones de su solución en tres apartados: productividad, seguridad y acceso remoto.Productividad: filtrado web para bloquear el acceso a las páginas que queramos, bloqueo de spam antes de que llegue al usuario y control de protocolos, para impedir el uso de aplicaciones tipo eMule o aquellas que hacen uso de determinados puertos que no queremos dejar al descubierto.Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta los equipos y puedan infectarlos. No elimina ningun virus, simplemente impide su entrada en la red de la empresa.Acceso remoto: acceso remoto a la red de la empresa mediante red privada virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro de la red local y una alternativa de acceso vía web a servicios internos de la red.

Más que un programa, Untangle es en realidad una recopilación de programas de Seguridad unificados bajo una interfaz común que nos permite configurar y manejar la suite de forma sencilla. Podemos instalarlo en un equipo que actúe como servidor independiente que únicamente ejecuta esta solución o utilizarlo como un programa en un ordenador de escritorio con Windows XP.En Untangle categorizan las funciones de su solución en tres apartados: productividad, seguridad y acceso remoto.Productividad: filtrado web para bloquear el acceso a las páginas que queramos, bloqueo de spam antes de que llegue al usuario y control de protocolos, para impedir el uso de aplicaciones tipo eMule o aquellas que hacen uso de determinados puertos que no queremos dejar al descubierto.Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta los equipos y puedan infectarlos. No elimina ningun virus, simplemente impide su entrada en la red de la empresa.Acceso remoto: acceso remoto a la red de la empresa mediante red privada virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro de la red local y una alternativa de acceso vía web a servicios internos de la red.

Lo mejor sin duda es la sencillez a la hora de instalar y configurar el sistema. Hay que tener algún conocimiento, evidentemente, pero es mucho más fácil que ir programa a programa instalando la solución. Lo ideal bajo mi punto de vista es instalarlo como servidor, dedicando una máquina exclusivamente a esta función, en cuyo caso podemos utilizarlo para sustituir nuestro router ADSL actual o colocarlo entre éste y nuestra red.

Es una solución bastante completa que podemos bien descargar gratuitamente, en cuyo caso sólo se incluyen las aplicaciones de código abierto (todas menos el portal de acceso web) o suscribirnos por una cuota mensual o anual que añade soporte técnico y funciones de gestión avanzadas para políticas de acceso, integración con Active Directory y copias de seguridad remotas de la configuración.

Es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración. El proyecto es sostenido comercialmente por BSD Perimeter LLC

CaracterísticasPantalla principal de PfSense (versión 1.2.3)La siguiente lista muestra algunas funcionalidades que se incluyen por defecto en el sistema.FirewallState TableNetwork Address Translation (NAT)Balance de cargaVPN que puede ser desarrollado en IPsec, OpenVPN y en PPTPServidor PPPoEServidor DNSPortal CautivoServidor DHCP

PfSense puede instalarse en cualquier ordenador o servidor que cuente con un mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administración está basado en PHP y teóricamente todas las configuraciones y administración se pueden realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de comandos UNIX para su manejo. Soporte y Desarrollo

Al poseer software de código abierto, la comunidad de desarrolladores y usuarios puede dar soporte y asistencia. BSD Perimeter ofrece soporte y capacitación a cambio de un costo3 . Cualquier persona es libre de modificar el sistema a sus necesidades, e incluso vender sus derivaciones de pfSense (bajo ciertas condiciones).