Memoria SRC

Seguridad en Redes de Computadores
Instalacin y securizacin de una red area local o o
Alberto Martos Torreblanca 3 de junio de 2012
Indice general
I Equipo de trabajo 5
II
Memoria
11
13 15 17
1. Objetivos 2. Introduccin o 3. Propuesta de red
3.1. Esquema de red . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.2. Direccionamiento IP . . . . . . . . . . . . . . . . . . . . . . . 21 4. Dise o de pol n ticas 23
4.1. Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . 23 a 4.2. Pol ticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 5. Implementacin o 33
5.1. Per metro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 5.1.1. Routers . . . . . . . . . . . . . . . . . . . . . . . . . . 35 5.1.2. Cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . 37 5.2. Areas de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 5.2.1. Implementacin de la red . . . . . . . . . . . . . . . . . 50 o 3
INDICE GENERAL 5.2.2. Subred de administracin de sistemas . . . . . . . . . . 51 o 5.2.3. Subred de monitorizacin . . . . . . . . . . . . . . . . 51 o 5.2.4. Subred de usuarios . . . . . . . . . . . . . . . . . . . . 52 5.2.5. DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 5.3. Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 5.3.1. Conguracin de servidores . . . . . . . . . . . . . . . 53 o 5.3.2. Conguracin de equipos . . . . . . . . . . . . . . . . . 64 o 5.4. Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 5.5. Monitorizacin . . . . . . . . . . . . . . . . . . . . . . . . . . 66 o 5.5.1. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . 66 o 5.5.2. OSSIM . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 5.5.3. Instalacin y conguracin de OSSIM . . . . . . . . . . 70 o o 5.5.4. Seguridad de la red . . . . . . . . . . . . . . . . . . . . 72 5.5.5. Herramientas principales de OSSIM . . . . . . . . . . . 79
6. Conclusiones 7. Bibliograf a
81 83
III
Apndices e
87
89
Apndice A e
Parte I Equipo de trabajo
Organigrama
Para afrontar la instalacin y la securizacin de la red de rea local se ha o o a dividido al grupo de prcticas en seis subgrupos, cada grupo tratar un tema a a concreto y la coordinacin entre los distintos grupos es clave para lograr el o correcto funcionamiento de la red, los grupos son los siguientes:
Grupo
Gestin o
Breve descripcin o
Estudio y diseo de pol n ticas y directivas de seguridad para los elementos de la red.
Routers
Conguracin y securizacin de los routers o o que forman la topolog de red. a
Perimetral
Conguracin y securizacin de los cortafuegos o o que forman el per metro de la red.
Sistemas
Conguracin y securizacin de los distintos o o sistemas que forman la red, equipos, servidores, etc.
Monitorizacin o
Anlisis en tiempo real del trco y deteccin a a o de anomal en el funcionamiento de la red. as
Documentacin o
Elaboracin del informe global del trabajo realizado. o
A continuacin podemos observar la organizacin del grupo en los diferentes o o subgrupos y sus componentes:
Diagrama temporal
Esta ha sido la evolucin temporal durante la implementacin de la red, o o donde algunos grupos han trabajado concurrentemente y otros han tenido ciertas dependencias entre ellos.
Distribucin de equipos en el laboratorio o

En la siguiente gura podemos ver la distribucin por grupos de los o equipos del laboratorio de redes:
10
Parte II Memoria
11
Cap tulo 1 Objetivos

La asignatura de Seguridad en Redes de Computadores comprende el estudio, tanto terico como prctico, de los principales aspectos concernientes o a a la seguridad en las redes informticas utilizadas ampliamente en la actuala idad. As en ella se propone un proyecto semestral de clase en el que participan , todos los alumnos, organizados en subgrupos pero con un objetivo comn: el u dise o e implementacin completa de una red de rea local segura n o a partiendo desde cero, tanto desde el punto de vista f sico (hardware) como lgico (software), integrados en un todo coherente y funcional. o Todo ello sin olvidar una parte fundamental que no pocas veces es obviada, la parte de documentacin y planicacin de las pol o o ticas de seguridad y anlisis de riesgos de la organizacin. a o
13
14
CAP ITULO 1. OBJETIVOS De forma ms espec a ca lo que se pretende es: 1.Denicin de la pol o tica y dise o de la red: n 1.1 Denir las pol ticas de uso de la red. 1.2 Evaluar los riesgos. 1.3 Disear la topolog y el direccionamiento IP de la red. n a
2. Implementacin del dise o realizado, deniendo que funcin o n o realiza cada equipo: 2.1 Congurar los routers para conectar todos los equipos en red. 2.2 Instalar y congurar los servicios ofrecidos. 2.3 Asegurar la red contra amenazas externas mediante la conguracin o del cortafuegos. 2.4 Asegurar la red contra amenazas externas e internas mediante un sistema detector de instrusiones (IDS ). 2.5 Monitorizar el trco generado en la red y analizando eventos anormales. a
Cap tulo 2 Introduccin o

En los ultimos aos el mundo de las comunicaciones ha experimentado n un gran cambio, desde los or genes de Internet, la seguridad en las redes comunicaciones ha sido unos de pilares fundamentales al cual no se le ha prestado toda la atencin requerida. o Gradualmente, esta carencia ha intentado ser subsanada por diferentes medios y utilizando diversas tcnicas, cada vez ms sosticadas, entre ellas e a podemos destacar: seguridad f sica de las instalaciones, instalacin de softo ware especializado, diseo de modelos de redes seguros o creacin de planes n o de seguridad integrales, por mencionar slo alguno de ellos. o En la actualidad, dada la gran implantacin de las redes de comunicao ciones tanto en el mundo empresarial como en el domstico, el problema de la e carencia de seguridad se ha visto incremenetado exponencialmente, llevando a una toma de conciencia del mismo a nivel global. Esto ha hecho que se empiece a invertir en seguridad sin pies ni cabeza, es decir, invertir dinero en herramientas y medidas de seguridad sin ninguna planicacin previa, lo cual lleva a una sensacin de falsa seguridad ya que o o no solo se requiere un desembolso econmico en medios sino que tambin hay o e 15
16
CAP ITULO 2. INTRODUCCION
que realizar un buen estudio de la seguridad para cada caso. Alcanzando un compromiso entre las necesidades reales de seguridad, los riesgos y amenazas asumibles y el gasto previsto. En denitiva, para una implantacin de una red de comunicaciones seguo ra, se requiere un estudio en profundidad del entorno y de las actividades del lugar donde se quiere implantar la red. Es necesario tener en cuenta aspectos fundamentales de sentido comn, u como que la inversin para securizar la red no puede doblar el presupuesto o de esta. Securizar no es una tarea sencilla, nada es seguro al 100 %, el objetivo de una red segura debe ser el equilibrio entre la exibilidad y la robustez. Del material proporcionado cabe destacar que los routers son modelos 1811 del fabricante Cisco y que el sistema operativo utilizado por los equipos es Ubuntu 11.04, distribucin de GNU/Linux basada en Debian. o Gran parte del software utilizado en la implementacin de la prctica, o a a excepcin del rmware de los routers, es software implementado bajo la o licencia GPL. Todo software liberado bajo esta licencia es de dominio pblico y cada u usuario puede utilizarlo, modicarlo y redistribuirlo siempre que sea de forma gratuita y poniendo a disposicin el cdigo fuente. o o
Cap tulo 3 Propuesta de red

3.1. Esquema de red
El diseo del equema de red ha sido implementado en base al material n disponible. Al disponer de 4 routers decidimos dividir la red en distintas zonas correspondientes a una subred distinta. Inicialmente se plante una red interna formada por distintas subredes o para alojar los usuarios y los servidores internos, distinguiendo estos servidores de los que se sitan en la DMZ, o zona desmilitarizada (zona dentro u de una red en la que se alojan los equipos que van a ser accedidos desde el exterior). La estrategia seguida para el diseo del esquema de red fue implemenn tarla desde dentro hacia afuera, implementando primero la red interna y posteriormente aadiendo el cortafuegos y la zona desmilitarizada. n A continuacin, en la siguiente gura, mostramos el primer diseo realo n izado de la topolog de red: a
17
18
CAP ITULO 3. PROPUESTA DE RED
En la gura anterior, a parte de las distintas subredes, pueden verse dos cortafuegos y una VLAN, (o red local virtual), creada en el router 2 donde alojar los servidores internos. Debido a las caracter sticas f sicas de los routers observamos que dicha conguracin no era implementable debido a que el nmero de interfaces de o u red que presentan los routers no es suciente para realizar todas las conexiones. Adems percibimos que la ubicacin de los equipos no era la ideal y por a o eso reubicamos los servidores de lugar, suprimiendo la VLAN implementada para el servidor en el router 2 y desplazndolos a la subred creada para la a administracin de sistemas. o Tambin se suprimi el cortafuegos 1, dicho cortafuegos fue sustituido por e o la implementacin de ACLs (o listas de control de acceso) en el router 1. o En consecuencia, la red ha ido evolucionando desde el comienzo de las prcticas, del diseo mostrado previamente y partiendo desde la misma base a n hemos ido mejorando y optimizando la topolog de red hasta su diseo nal a n como puede verse en la siguiente imagen.
3.1. ESQUEMA DE RED
19
En la imagen anterior pueden observar las diferentes subredes y los distintos equipos que se ubican dentro de cada subred, principalmente en la red se distingue la red externa, donde se ubica y la DMZ y la red interna donde se ubican el resto de sistemas. Concretamente, estas son las distintas zonas de la red: 1. Red interna Principalmente la red interna ocupa la regin formada por los routers o 2, 3 y 4. En este lugar es donde se encuentran ubicados los servidores, los equipos dispuestos para los usuarios nales y las diferentes herramientas de monitorizacin compuestas por sondas en distintas ubicaciones, adems del o a servidor encargado de recoger dicha informacin. o Las subredes de la red interna van desde la 192.168.2.0 hasta la 192.168.4.0. 2. Cortafuegos principal Se trata de uno de los elementos clave de la red, ya que es el encargado de gestionar y de ltrar el trco que se dirija a la red. a
20
CAP ITULO 3. PROPUESTA DE RED F sicamente, est enlazado con los routers 1 y 2, y todo el trco que se a a
dirige a la red interna y que proviene de la red interna pasa por este equipo. El cortafuegos ha sido implementado mediante IPTables y Squid3. 3. Red externa y DMZ La red externa est formada por el router 1 y por el servidor ubicado en a la DMZ, como se menciona posteriormente, el router 1 hace funciones de cortafuegos y es el primer elemento de la red que gestiona el trco entrante a desde el exterior. Para delimitar la DMZ ha sido implementada un VLAN donde se aloja el servidor, que ofrece servicios web y de FTP.
Ms detalladamente, los principales cambios que realizamos respecto al diseo a n original han sido: 1. Sustitucin del cortafuegos 1 por el router 1 o En un principio pensamos en implementar dos cortafuegos, formados por equipos, para poder realizar una conguracin bastin/contencin. o o o En este tipo de conguracin se sita un cortafuegos en el nivel ms o u a externo de la red que recibe directamente todo el trco que tenga como a destino algn equipo dentro de la red, y otro cortafuegos en el nivel ms u a interno en el que se redirigir por zonas el trco segn su destino. a a u El principal problema por el cul no se pudieron poner dos cortafuegos a formados por equipos fue por que el modelo de routers utilizados, Cisco 1811, solo cuenta con dos tarjetas de red para enrutamiento (ver apndice D). e La solucin que tomamos fue que el router 1 hiciera funciones de cortao fuegos de bastin, implementando sus reglas mediante listas de control de o acceso conguradas en dicho router.
3.2. DIRECCIONAMIENTO IP
21
Con esta solucin ofrecemos ltrado de paquetes en dos capas distintas o de la red, ya que en la capa ms externa de la red tenemos al router 1 a securizado con listas de control de acceso y en la capa interna el cortafuegos, implementado con IPTables y Squid, se encarga de realizar otro ltrado de los paquetes que se dirijan a la red interna y que el router 1 previamente ha analizado, esta conguracin por capas aade robustez a la seguridad de la o n red. 2. Eliminacin de la VLAN del servidor interno o Otro aspecto incluido en el diseo original y posteriormente fue modin cado fue la inclusin de los servidores internos de la red en una VLAN. o Inicialmente decidimos ubicar los servidores de la red interna en dicha VLAN porque cre mos en que de este modo quedar mejor centralizados, a pero posteriormente, y por consenso de grupo, tomamos la decisin de ubio carlos en una subred propia gestionada por el grupo de sistemas. El cambio estuvo fundamentado en la facilidad que tendr el cortafuegos a para gestionar el trco y las peticiones de usuarios que se dirigieran a dicha a zona. 3. Traslado del servidor interno a la subred de sistemas Relacionado directamente con el apartado anterior, al suprimir la VLAN de la red interna se traslado el servidor a la subred de sistemas.
3.2.
Direccionamiento IP
Para el direccionamiento IP escogimos dos rangos de direcciones IP distintos: 10.1.0.0 y 192.168.0.0, el motivo de la eleccin de estos rangos es que o
22
CAP ITULO 3. PROPUESTA DE RED
se tratan de direcciones privadas implementadas de manera estndar en la a mayor de redes, y por tanto se han denido basndose en redes de otros a a ambitos. Dentro de los rangos mencionados anteriormente, denimos las siguientes subredes para las diferentes zonas de la red: Red
158.42.180.0 10.1.10.0 10.1.1.0 10.1.2.0 192.168.2.0 192.168.3.0 192.168.4.0
Mscara de red a
255.255.254.0 255.255.255.248 255.255.255.252 255.255.255.252 255.255.255.0 255.255.255.0 255.255.255.0
Ubicacin o
Conexin a la red de la UPV o DMZ Conexin entre R1 y CF o Conexin entre CF y R2 o Red de usuarios Red de monitorizacin o Red de sistemas
A continuacin en la siguiente tabla se pueden observar las diferentes dio recciones IP asociadas a los dispositivos de red: Dispositivo Interfaz de red Direccin IP o
Router 1 Fa 0 Fa 1 Cortafuegos Fa 0 Fa 1 Router 2 Fa 1 Fa 0 Router 3 Fa 1 Fa 0 Router 4 Fa 1 Fa 0 158.42.180.55 10.1.1.1 10.1.1.2 10.1.2.2 10.1.1.1 192.168.2.2 192.168.2.3 192.168.3.1 192.168.2.4 192.168.4.1
Cap tulo 4 Dise o de pol n ticas

4.1. Anlisis de riesgos a
La elaboracin del documento de anlisis de riesgos comenz con una o a o primera fase de documentacin, centrndonos primeramente en el material o a docente y resolviendo dudas junto con la profesora. La informacin obtenida o nos condujo al primer punto relevante y pilar fundamental del desarrollo del documento, la metodolog MAGERIT y ms concretamente su caso a a prctico, disponible en el siguiente enlace: a https://www.ccn-cert.cni.es/publico/herramientas/pilar43/exs/ ejemplo.pdf Una vez establecido el punto de partida, nuestros esfuerzos se centraron en la comprensin del ejemplo citado anteriormente, para lo que se accedi a o o las referencias principales y ms utiles en el caso de estudio de la metodolog a a MAGERIT. En este punto, la investigacin nos condujo a diversos cap o tulos de los 3 libros que componen MAGERIT : Libro I: Mtodo e Libro II: Catlogo de Elementos a 23
24 Libro III: Gu de tcnicas a e
CAP ITULO 4. DISENO DE POL ITICAS
El primer libro, lo consultamos para realizar una primera aproximacin o sobre la metodolog y entender el proceso de forma general. En cuanto al a segundo libro, lo utilizamos como referencia en diversas partes a la hora de realizar cada paso en la construccin del anlisis de riesgos. o a Finalmente estudiamos el tercer libro para entender algunas tcnicas utie lizadas y poder aplicarlas directamente al proyecto. Una vez comprendido el ejemplo prctico, el siguiente paso fue la descarga a e instalacin de la aplicacin PILAR, el software ocial que implementa la o o metodolog MAGERIT. a En este caso en particular fueron necesarias realizar las instalaciones de todas sus dependencias, crear las licencias adecuadas y probar las demostraciones, entre otros, para comenzar a utilizar la aplicacin de un modo o bsico, es decir, visualizar proyectos y crear nuevos proyectos vac famila os, iarizndonos con el entorno y la metodolog para trabajar con el software. a a Por ultimo, siguiendo el ejemplo prctico y con la documentacin adjunta a o de los libros, mencionados anteriormente, y consultando las secciones correspondientes, fuimos conformando el anlisis de riesgos, del cul describimos a a una pequea traza a modo de resumen: n Pasos en la elaboracin del Anlisis de Riesgos: o a 1. Creacin de licencia de evaluacin. o o 2. Creacin del proyecto nuevo. o 3. Identicacin de activos. o 4. Grcos de dependencias. a 5. Valoracin de los activos. o 6. Caracterizacin de las amenazas. o
4.1. ANALISIS DE RIESGOS 7. Estimacin del Impacto y Riesgo (acumulado y repercutido). o 8. Salvaguardas e Insuciencias. 9. Estimacin del Riesgo. o Pasos en el desarrollo Gestin de Riesgos: o 1. Toma de decisiones. 2. Plan de seguridad. 3. Indicadores (Impacto y Riesgo). 4. Calicacin. o
25
De esta manera, se adjuntar el informe generado por la aplicacin, en el que a o se incluirn los puntos mencionados anteriormente. a
26
4.2.
Pol ticas
Resumimos, a continuacin, el proceso seguido para la creacin del doco o umento de pol ticas de seguridad. Acto seguido, describiremos los aspectos destacables de lo conseguido en este apartado. Comencemos as por la descripcin del proceso de creacin del documento: o o 1. Documentacin y estudio de documentos similares. o En una primera fase, decidimos tomar como primera referencia documentos de este tipo elaborados por la UPV ya que pensamos que podr encajar an con nuestra red, si bien no en su totalidad, s parcialmente. En este sentido, acogimos las pol ticas establecidas en la UPV que se ajustaban tanto al tamao como al uso de los recursos y activos que conforn man nuestra red. De igual manera, cada uno de los miembros del grupo tom como ejemplo o los documentos de seguridad de nuestras respectivas empresas para aportar algn detalle ms, pues cada cada uno de nosotros trabaja en empresas de u a distinto tamao, lo que ayud a enriquecer el documento teniendo diferentes n o puntos de vista basados en el tamao de redes distintas. n De este modo, conseguimos hacernos una primera idea de cmo deb ser o a el documento y tomamos las primeras decisiones en cuanto a las pol ticas que deb amos aplicar en nuestra red. Estas fueron las primeras conclusiones:
1. En la prctica, deber haber separacin de funciones y revisin a a o o

independiente de las operaciones realizadas cuando sea necesario, a partir de los logs o registros, de quin ha hecho qu, cundo y desde dnde. e e a o
2. Adems, se considerar el principio del llamado m a a nimo privilegio
4.2. POL ITICAS

para evitar accesos no autorizados, es decir, cada usuario de la red slo podr realizar las tareas y acceder a los o a datos necesarios que se requieran para cumplir su cometido.
27
3. Por otro lado, la utilizacin de los servicios de la red y o

equipos asociados se realiza a travs de cuentas de usuario de carcter e a intransferible, ya sean personales o no. Por tanto, est prohibido a proporcionar los datos de acceso mediante cuentas de usuario a personas ajenas a ellas y, de la misma manera, est prohibido a el uso de cuentas por personas ajenas a su titular o titulares (con conocimiento o no de los usuarios ociales). Asimismo, el responsable de la organizacin y los responsables de grupo o se reservan el derecho, sin previo aviso, de suspender o cancelar cuentas por uso indebido, sin perjuicio de imponer las medidas cautelares y sanciones correspondientes.
Dadas las funciones requeridas por la especicacin de la red, as como o las necesidades a cubrir en nuestra implementacin de la red, el grupo de o sistemas diferenciar entre diversos tipos de usuarios. a Se necesitar un perl espec a co que controle y administre la red, sin ningn tipo de limitacin y que pueda ejecutar cualquier accin sin impedu o o imentos, este tipo de usuarios sern los encargados de instalar y congurar a cualquier aplicacin que se tenga que utilizar en nuestra red y unicamente o tendrn los m a nimos controles de seguridad para ejercer su funcin y con los o logs necesarios. Aparte de estos y para un uso comn de cualquier funcionalidad de la u red, sin comprometer la seguridad y estabilidad del sistema, se debern crear a usuarios con privilegios y permisos limitados, que no puedan comprometer la integridad del sistema, bien por ataques premeditados, descuidos o errores
28
cometidos por parte de los usuarios de la red. Por ultimo y como ultimo recursos para casos excepcionales y bajo circun stancias claramente jadas, se ha decidido crear un superusuario, sin ningn u tipo de restriccin y con capacidad absoluta para realizar cualquier accin, o o que no debe de ser usado bajo ningn concepto a menos que se tenga la u autorizacin exclusiva del gerente de la red. o Despus de exponer brevemente los perles requeridos, el grupo de sise temas establece los siguientes tipos de usuario:
Administradores del sistema: Sern los usuarios encargados de la gestin a o de todo el software de los equipos de la red (instalacin, conguracin y o o eliminacin tanto de equipos como de todo el software de los ordenadores de o la red). Slo los miembros del grupo de sistemas tendrn usuario de este tipo. o a
Usuarios estndar: Toda persona que tenga acceso a red y necesite un uso a operativo (uso comn) de aplicaciones tendr asignada una cuenta de este u a tipo. Estos usuarios no tienen privilegios especiales ms all de ejecutar los a a programas necesarios para desempear las funciones propias de cada persona. n
Usuario root o superusuario:El usuario root solo debe ser utilizado por los miembros del grupo de sistemas. Este usuario se utilizar unicamente en a casos excepcionales (recuperacin de desastres, etc.) y para tareas que no o puedan realizar con un usuario administrador de sistemas.
4.2. POL ITICAS 2. Elaboracin del primer boceto. o
29
Despus de recoger toda esa informacin, procedimos a crear una primera e o versin del documento ajustndolo al tamao y propsito de nuestra red. o a n o En esta primera versin se inclu los aspectos mencionados en el punto o an anterior adems de los temas referentes a la utilizacin de los diferentes rea o cursos de la red as como la pol tica general de contraseas y algunos aspectos n referentes a las distintas capas de seguridad implementadas en nuestra red tales como: Normativa En este apartado se establece el uso que los usuarios de red pueden hacer de los recursos disponibles. Pol ticas de contrase as n Se denen normas y recomendaciones para la creacin de contraseas o n as como unas directrices para evitar riesgos tales como prdida de la misma, e entre otros. 3. Reuniones con el resto de grupos. Tras elaborar el primer boceto del documento de pol ticas, nos reunimos con los responsables de cada uno de los grupos de trabajo, para renar la parte del documento que afecta directa o indirectamente a cada uno de ellos. Como resultado de este proceso, se realizaron las correcciones y ampliaciones necesarias para que el documento se ajustara a la realidad de nuestra red. Como ejemplo, en un primer momento, establecimos que slo los respono sables de cada grupo tendr acceso libre a Internet. Despus de hablar con an e
30
el grupo de perimetral nos dimos cuenta que dada, la naturaleza de nuestra red, esto no era operativo ya que limitaba el nmero de ordenadores que se u pod utilizar por todos los componentes del proyecto. an Conseguimos denir las pol ticas de seguridad que se aplicaban a cada uno de los grupos. Tambin aadimos un boceto de las siguientes secciones : e n Pol ticas de contingencias y protocolo de actuacin o En ella se describe como reaccionar ante un posible evento que ponga en compromiso la seguridad de algn recurso de la red. u Procedimientos En esta seccin del documento se dene la manera de actuar que se emo plear en los siguientes casos : a
1. Comunicacin inter-departamental o 2. Recuperacin de contrasea de acceso a la red o n 3. Desbloqueo de cuenta de usuario 4. Investigacin de accesos fallidos o 5. Resolucin de alertas recibidas o 6. Solicitud de Instalacin de software o 7. Comunicacin de incidencias de usuario o 8. Comunicacin de incidencias graves o 9. Instalacin de dispositivos externos o 10. Solicitud acceso a sitio web 11. Acceso a los logs
4.2. POL ITICAS 4. Redaccin del documento nal. o
31
Por ultimo, despus de ajustar el boceto inicial basndonos en las con e a versaciones mantenidas con los responsables de cada grupo, la lectura de documentos de la misma naturaleza de distintas entidades y nuestra experiencia personal, redactamos el documento nal de pol ticas de seguridad que se adjunta en la memoria nal del proyecto. Por lo tanto, podemos armar que mediante la creacin de este documeno to y el establecimiento de la pol tica general de seguridad hemos conseguido crear un marco director que abarca la totalidad de lo concerniente a la seguridad de la informacin en la red proyectada. o Ms especicamente, hemos logrado establecer y claricar una serie de a pol ticas, normas, reglas y procedimientos para todos los usuarios de la organizacin; hemos establecido responsabilidades para con la informacin de o o la organizacin y medidas de seguimiento y control de ella y de sus usuarios o con el n primordial de alcanzar un buen funcionamiento de la red y de la organizacin que sustenta; hemos denido marcos de actuacin ante posibles o o acontecimientos inesperados; hemos establecido medidas de depuracin de o responsabilidades y sanciones, si fuera necesario; nalmente, hemos denido los procedimientos ms comunes para orientar a todos los usuarios de la ora ganizacin en su forma de proceder ante necesidades y tareas recurrentes y o comunes.
32
Cap tulo 5 Implementacin o

5.1. Per metro
Cuando hablamos de seguridad perimetral en trminos de seguridad ine formtica, estamos rerindonos a la seguridad de todos los elementos que a e hacen de enlace entre la red que pretendemos asegurar y el resto del mundo, es decir Internet. El hecho de tener una red privada conectada a Internet y sobre todo, el hecho de tener servidores en nuestra red, con puertos abiertos, servicios corriendo y esperando conexiones, puede provocar que algn curioso decida u intentar acceder a estos servicios y a la posible informacin que estos le o brinden. Por todo esto, es preciso establecer un per metro de seguridad que evite que la red interna pueda ser accedida desde el exterior. Los elementos de per metro suelen ser en casi todos los casos routers, cortafuegos, sistemas de deteccin de intrusiones (IDS por sus siglas en ino gls)... en denitiva, equipos cuya misin es conectar nuestra red con el resto e o del mundo mantiendo siempre unos niveles de seguridad adecuados. 33
34
CAP ITULO 5. IMPLEMENTACION La siguiente gura muestra el diseo perimetral de nuestra red. n
En ella podemos que principalmente la seguridad perimetral gira en torno al cortafuegos y el router 1, que es el que conecta directamente con el exterior. A continuacin vamos a ofrecer una descripcin sobre cada uno de los o o elementos del per metro para, una vez presentados, mostrar como estn ima plementados dentro de nuestra red.
5.1. PER IMETRO
35
5.1.1.
Routers
A d de hoy muchos (si no casi todos) los routers incorporan medidas de a seguridad, como listas de control de acceso (ACLs por sus siglas en ingls), e controles de overow y detectores de paquetes malformados. Esto nos ofrece una barrera inicial de proteccin frente a las posibles amenazas externas. o 5.1.1.1. ACLs
Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo al mismo tiempo el acceso de los usuarios internos a los servicios requeridos. Estas listas le informan al router qu tipo de paquetes aceptar o rechazar. e La aceptacin y rechazo se pueden basar en ciertas condiciones espec o cas. Pueden actual a nivel de direcciones, protocolos y puertos. Las ACL permiten la administracin del trco y aseguran el acceso hacia y desde una red. o a
El router examina cada paquete y lo enviar o lo descartar, segn las a a u condiciones especicadas en la ACL.
36
CAP ITULO 5. IMPLEMENTACION
Estas son algunas de las razones por las que utilizar ACLs: Limitar el trco de red y mejorar el rendimiento de la red. a Brindar control de ujo de trco. a Proporcionar un nivel bsico de seguridad para el acceso a la red. a Se debe decidir qu tipos de trco se env o bloquean e a an en las interfaces del router. Permitir que un administrador controle a cules areas a de la red puede acceder un cliente. Las sentencias de la ACL operan en orden secuencial lgico. Si se cumple o una condicin, el paquete se permite o deniega, y el resto de las sentencias o de la ACL no se verican verican.
5.1. PER IMETRO 5.1.1.2. Implementacin ACLs o
37
Las ACL se crean en el modo de conguracin global dentro del router. o Existen varias clases diferentes de ACLs: estndar estndar, extendidas, IPX, a a AppleTalk, entre otras. Cuando se conguran las ACL en el router, cada ACL debe identicarse de forma unica, asignndole un nmero. a u Estando en el modo de comandos adecuado y denido el tipo de nmero de u lista, el usuario escribe las condiciones usando el comando access-list seguido de los parmetros apropiados. Este es el primero de un proceso de dos pasos. a El segundo paso consiste en asignar la lista a la interfaz apropiada. Esta es la sintaxis de las ACLs Router(cong)#access-list access-list-number permit deny test-conditions En nuestro caso, hemos implementado en el router 1 dos ACLs distintas, una para gestionar el trco cuyo destino es la DMZ y otra que para gestionar a el trco que se dirija y provenga de la red interna. a Por ejemplo, en nuestro router tenemos las siguientes listas de acceso: access-list 100 permit tcp any any eq www access-list 100 permit udp any any eq domain Con esta conguracin estamos permitiendo unicamente dos tipos de o trco, el trco web y todo aquel trco relacionado con el servicio de DNS. a a a
5.1.2.
Cortafuegos
Los cortafuegos son dispositivos de ltrado de paquetes. El administrador del cortafuegos dene en l una serie de reglas ligadas a unas acciones de e acuerdo con la conguracin de seguridad que quiere obtener, y el cortafueo
38
gos, por cada paquete que entra, analiza de forma ordenada todas estas reglas hasta que una de ellas se cumple y, por tanto, ejecuta la accin asociada. En o caso de no encontrar ninguna regla coincidente, ejecuta una accin denida o por la pol tica por defecto.
5.1.2.1.
IPTables
Cortafuegos existen de todos los tipos, desde dispositivos enteros que solo tenemos que conectar y congurar, hasta soluciones software que pueden convertir un equipo cualquiera con dos tarjetas de red en un cortafuegos ms a que decente. De acuerdo a la losof de diseo de nuestra red y debido a la falta de a n presupuesto para invertir en un dispositivo hardware cortafuegos, hemos optado por congurarlo con un equipo de la red con el software para cortafuegos que ofrece la suite de cdigo abierto NetFilter: IPTables o IPTables nos permite denir un conjunto de reglas y pol ticas para el ltrado de paquetes. Para ello, disponemos de 3 tablas a las que aadir n cadenas con reglas. A continuacin detallaremos las tablas y las cadenas que incorpora por o defecto:
5.1. PER IMETRO Tabla

Filter
39 Cadenas
Input Output Forward
Nat
Prerouting Postrouting Output
Mangle
Input Output Forward Prerouting Postrouting
La tabla lter es la que contiene las reglas usadas para el ltrado de paquete. Incorpora las cadenas: INPUT (Trco entrante destinado al cortafuegos) a OUTPUT (Trco saliente del cortafuegos) a FORWARD (Trco que pasa por el cortafuegos para ser reenviado a su destino) a La tabla nat contiene las reglas usadas para enmascarar el trco con a NAT. Incorpora las cadenas: PREROUTING (Trco entrante, se usa para destination-nat) a POSTROUTING (Trco saliente, se usa para source-nat) a OUTPUT (Trco saliente del router, por si queremos hacer un enmascaramiento local) a La tabla mangle contiene reglas usadas para la manipulacin de paquetes, o esto es util por ejemplo para aplicar QoS y marcado de paquetes. Como esto es algo que no incumbe a nuestra red, obviaremos entrar en ms detalle. a
40
CAP ITULO 5. IMPLEMENTACION A las cadenas de INPUT, OUTPUT y FORWARD de la tabla lter se
les puede aplicar una pol tica por defecto que denir qu accin tomar en a e o caso de no cumplirse ninguna regla. Estas pol ticas pueden ser: ACCEPT (Aceptamos el paquete) REJECT (Rechazamos el paquete, respondemos con un FIN al emisor) DROP (Ignoramos el paquete, no emitimos respuesta alguna) Es muy importante elegir con mucho tiento una pol tica acertada, ya que de ello depende toda nuestra conguracin posterior. o Por ejemplo, si usamos por defecto una pol tica DROP, deberemos denir en las reglas qu trco permitimos, si por el contrario nuestra pol e a tica por defecto es ACCEPT, deberemos denir en las reglas qu trco rechazamos. e a 5.1.2.2. Aplicacin de reglas o
Como antes comentamos, estas reglas tienen un orden de aplicacin, por o lo que es muy importante el orden en el que denamos nuestras reglas en el cortafuegos, ya que una sola regla en mal lugar podr echar al suelo toda a nuestra seguridad. El siguiente esquema nos permite ver cmo internamente lee las reglas o IPTables: 5.1.2.3. Reglas de ltrado
Las reglas de ltrado de IPTables siguen un esquema muy sencillo como veremos a continuacin. Bsicamente se componen de 3 partes: o a Tabla/Cadena Condiciones Accin a ejecutar o
En la primera parte denimos dnde vamos a aplicar esta regla mediante o la eleccin de la tabla y la cadena (por ejemplo tabla lter cadena IFORo WARD).
5.1. PER IMETRO
41
En la segunda parte especicamos qu condiciones se tienen que dar para e que la accin se ejecute (por ejemplo, la IP destino es 192.168.2.100, el puerto o destino es el 80 y el paquete proviene de una red distinta a la 192.168.2.0/24). Finalmente, qu accin hay que ejecutar si se cumplen las condiciones e o (ACCEPT, REJECT, DROP, LOG, REDIRECT-TO, etc.) El ejemplo anterior quedar as a :
iptables -t lter -A INPUT -s ! 192.168.2.0/24 -d 192.168.2.100 -p tcp dport 80 -j DROP
42
CAP ITULO 5. IMPLEMENTACION Si quisieramos que antes de ignorar el paquete, quedara constancia de ello
en un log:
iptables -t lter -A INPUT -s ! 192.168.2.0/24 -d 192.168.2.100-p tcp dport 80
-j LOG log-prex INTENTO DE ACCESO ILEGAL A SERVIDOR WEB DETECTA
iptables -t lter -A INPUT -s ! 192.168.2.0/24 -d 192.168.2.100 -p tcp dport 80 -j DRO
Esto es posible gracias a que la accin objetivo LOG no es terminal, o sino que sigue buscando reglas coincidentes, por lo que la regla inmediatamente posterior a l tiene que ser la que deniegue el acceso, ya que sin no e o habr servido de nada. a
5.1.2.4.
Proxys de contenido
Los proxys de contenido son otra herramienta que nos permiten asegurar nuestra red. Su cometido es interceptar toda conexin que vaya dirigida hacia el puerto o 80 (HTTP ) y ltrar su contenido para determinar si es apropiado o no. Suelen incorporar algunas listas (tambin llamadas ACL, no confundir e con las ACL de los routers) con dominios vetados por su vinculacin con o la distribucin de spam o al contrario, con dominios a los que s queremos o permitir su conexin. o Con este tipo de herramientas evitamos que el usuario se conecte a sitios que puedan resultar dainos y potencialmente peligrosos para la integridad n de la red. Concretamente, para realizar este cometido utilizamos una herramienta llamada Squid, esta aplicacin se ejecuta en cierto host con acceso a una red o externa y a una red privada.
5.1. PER IMETRO
43
Que el proxy este funcionando permite a los clientes de dicha red privada, navegar por la red a travs del proxy. En resumen, el cliente no accede e realmente a Internet, sino que translada su peticin al proxy y este a su vez o realiza la bsqueda y la transere. u Principalmente, hemos escogido esta herramienta ya que se ajusta a nuestros requerimientos y es gratuita. Estas son algunas de las ventajas proporcionadas por la herramienta: 1. Soporta protocolos de aplicacin (HTTP, FTP, etc...) o 2. Tiene un avanzado mecanismo de autenticacin (permite gestionar equipos) o 3. Permite actuar como cache de Internet, copiando contenido en forma local para que se pueda acceder ms rpido (por ejemplo, animaciones ash). a a Por contra, esta herramienta tambin presenta ciertas desventajas como: e 1. La maquina donde funcionara el proxy debe tener capacidad de almacenamiento acorde a la cache que necesitemos o queramos. 2. Debe tener un buen poder de procesamiento, ya que no es simple reenv de o paquetes TCP/IP. 3. En la mayor de las veces es mas rpido hacer NAT que utilizar un proxy. a a En la siguiente seccin, describimos la implementacin de Squid en nueo o stro cortafuegos. 5.1.2.5. Implementacin del cortafuegos o
Para la implantacin de nuestro cortafuegos hemos optado por la solucin o o software que hemos comentado anteriormente: IPTables y Squid. Como se ha mostrado anteriormente, este es el diseo del per n metro de la red: A pesar de que lgicamente aparezcan 3 cortafuegos, a nivel f o sico hemos usado uno de los equipos del laboratorio con dos tarjetas de red para cong-
44
urar en l las tres capas de las que se compone nuestro cortafuegos: el NAT, e el ltrado de paquetes y el proxy de contenido. La conguracin que hemos usado para posicionar el cortafuegos en la o red es conocida como Subnet Screened y consiste en proteger la parte ms a susceptible de la red tras un cortafuegos, dejando fuera de ella una pequea n subred conocida como DMZ o zona desmilitarizada que aloja a los servidores que s sern accesibles desde el exterior de la red. a Hemos decidido implementar este esquema por varios motivos. El primer de ellos es que necesitamos tener unos servidores accesibles desde Internet, ya que ofrecen servicios web y FTP, y si estos se situaran tras el cortafuegos, ser totalmente inaccesibles desde fuera. an El segundo es motivo es porque tenemos algunos servidores internos que no debe ser accesibles desde fuera, slo desde la red interna, ya que los o servicios que prestan son de carcter privado. Por tanto deben de tener una a barrera por delante de ellos que impida el acceso externo.
5.1. PER IMETRO
45
El tercer motivo es que debido a las caracter sticas de los routers y a que tenemos 2 tarjetas de red en el equipo que har de cortafuegos, pod a amos usar el propio cortafuegos como enrutador. De ese modo, el router 1 se convierte en el punto de entrada a la red y acta como host bastin, permitiendo solo u o trco web y FTP de cara a la DMZ y unicamente trco web dirigido a la a a red interna (ya que los clientes de la red interna unicamente tendrn acceso a al exterior a travs de la web). e Como el router 1 ejerce el papel de bastin, nuestro cortafuegos pasa a ser o el host de contencin, impidiendo cualquier entrada de trco que no haya o a sido previamente iniciada desde la red interna y que no sea expl citamente trco web. a Lo que si permitimos es el acceso a la DMZ para poder acceder a los servidores pblicos. u Conguraciones iniciales Antes de iniciar el cortafuegos y cargar todas las reglas que le denimos, necesitamos congurar el equipo para que pueda cumplir con su tarea de enrutador. La primera conguracin a tratar son los parmetros IP de las tarjetas o a de red, ya que estas deben de congurarse con unas direcciones IP concretas (ver apartado 3.2 Direccionamiento IP ) para poder conectarse con los routers 1 y 2. El siguiente paso, dado que los routers trabajan con direccionamiento esttico, es aadir todas y cada una de las rutas a las redes internas para a n que estas sean accesibles. Por ultimo, activamos el bit de forwarding para permitir al equipo actuar como router y redirigir las peticiones que no vayan dirigidas a l. e
46
CAP ITULO 5. IMPLEMENTACION Hay algo ms que aadimos en las conguraciones iniciales, a pesar de a n
que no es una conguracin en s mismo. Se trata de declarar una serie de o constantes que utilizaremos a lo largo del script del cortafuegos y que nos permitirn hacer nuestro trabajo ms cmodamente. a a o Algunas de las constantes que denimos son: CONSTANTE
IPTABLES LOCAL ETH Internet ETH RESTRINGIDAS
SIGNIFICADO
Ruta de acceso al ejecutable Tarjeta de red conectada a router 2 Tarjeta de red conectada a router 1 Direcciones IP restringidas
VALOR
/sbin/iptables eth0 eth1 172.16.0.0/12 224.0.0.0/4 127.0.0.0 240.0.0.0/5 0.0.0.0 255.255.255.255
IP INTERNA
Direccin IP de la LOCAL ETH o
ifcong eth0 grep Direc. inet: awk print $2 cut -d: -f2
IP EXTERNA
Direccin IP de la Internet ETH o
ifcong eth1 grep Direc. inet: awk print $2 cut -d: -f2
Toda esta conguracin se realiza en el mismo script que arranca el cortao fuegos de modo que cada vez que arranca, automticamente se congura, a garantizando as su correcto funcionamiento.
Pol ticas y reglas
Como ya hemos dicho, antes IPTables nos permite denir conjuntos de reglas que se leern de forma ordenada hasta encontrar una que coincida y a ejecute su accin asociada; en caso de no encontrar ninguna, ejecutar la o a pol tica por defecto.
5.1. PER IMETRO
47
En nuestro caso hemos decidido implementar para las cadenas de INPUT y FORWARD una pol tica de DROP por defecto. Esta pol tica es bastante dura, ya que por defecto, si no se dice lo contrario, todo el trco dirigido al cortafuegos o a la red interna ser descartado. a a Esto nos obliga a denir expl citamente qu trco consideramos l e a cito y por tanto puede atravesar el cortafuegos. Por defecto, nadie puede acceder al cortafuegos, ni por SSH ni de ningn u otro modo. La unica excepcin a esta regla es el equipo que ejecuta el OSSIM, o ya que necesitan tener acceso al cortafuegos para recuperar el log generado y gestionarlo. Permitimos totalmente el acceso a cualquiera de las subredes internas por cualquier otra subred interna, ya que los usuarios deben de poder verse, del mismo modo que necesitan acceder a los servidores de LDAP y NFS para autenticarse en sus mquinas y conectarse con sus carpetas personales. a Tambin permitimos trco entrante a la subred siempre y cuando la e a conexin haya sido iniciada desde dentro de la red interna, de este modo o permitimos a los usuarios navegar por Internet siempre y cuando el contenido haya sido aprobado por el proxy. Squid3 Como ya hemos comentado, el propio cortafuegos implementa un sistema proxy, as que para poder analizar el trco web, hacemos una redireccin de a o todo el trco web saliente desde el puerto 80 hasta el 8080, donde est nuea a stro proxy Squid escuchando las conexiones y analizando el trco. El mismo a se encargar de redirigir la peticin si esta es aceptada. a o Para instalarlo en un equipo, mediante el intrprete de rdenes, escribie o mos:
48 apt-get install squid3
Una vez instalado, su chero de conguracin squid.conf se ubica, por o defecto, en /etc/squid3. En este chero se denen: - Las ACLs (listas de control de acceso) que pueden estar compuestas por direcciones IP, URLs completas, dominios, etc. - Puerto en el que se ejecutar el servicio (por defecto 3129, en nuestro caso 8080). a - Permisos: mendiante reglas http access podemos permitir (allow) o denegar (deny) a las direcciones IP de las ACLs las pginas web que queramos. a - Opciones de conguracin de la cach (tamao, cheros, etc). o e n Seguidamente se tenga el squid.conf listo, arrancamos el servicio con /etc/init.d squid3 restart. Y por ultimo, hay que redirigir todo el trco a web de la red que pase por el puerto en el que tengamos el servicio arrancado (8080 en nuestro caso). Para ello aadimos la siguiente l n nea al script del cortafuego de IPTables y lo volvemos a ejecutar: iptables t nat A PREROUTING i eth0 p tcp dport 80 j REDIRECT to-port 8080 A partir de aqu se habr establecido el control de permisos que hayamos a congurado mediante ACLs en el chero de conguracin de squid3. o
5.2. AREAS DE RED
49
5.2.
Areas de red
En este punto vamos a describir el proceso de implementacin de la red y o las diferentes subredes, por ello es necesario volver a presentar en la siguiente gura el esquema de red.
Podemos observar que dentro de la red hay cuatro subredes principales, gestionadas por un router cada una, estas son: 1. Subred de administracin de sistemas o 2. Subred de monitorizacin o 3. Subred de usuarios 4. DMZ De mayor a menor grado de seguridad en las distintas redes, podemos decir que dentro de la red, las subredes con un nivel de securizacin ms alto o a
50
son las que se encuentran dentro de la red interna, es decir las subredes de administracin de sistemas, monitorizacin y usuarios. o o Por contra la red ms desprotegida, a nivel de red, es la DMZ. Esto puede a observarse al comprobar que las subredes que estn dentro de la red interna a se encuentran en la capa ms interior de la red, y por tanto estn protegidas a a tanto por el cortafuegos como por el router 1. En contraposicin, la DMZ solo se encuentra protegida por el router 1, o por lo que para otorgar ms robustez a los equipos de esta red hemos realizado a una securizacin a nivel de sistema de dichos equipos. o
5.2.1.
Implementacin de la red o
El montaje de la red se ha desarrollado en tres fases, primero implementamos la red interna, es decir toda la red en la que se encuentran los usuarios y los servidores internos, luego la interconectamos al cortafuegos, y posteriormente un mos el cortafuegos al router 1 e implementamos la DMZ. Por consenso utilizamos enrutamiento esttico por simplicidad, ya que a al no ser una red extensa es el ms indicado y efectivo. La sintaxis de ena rutamiento esttico en un router Cisco con IOS es la siguiente: a (cong)#ip route red destino mscara red destino interfaz enrutamiento a Primero conguramos el enrutamiento entre los nodos de la red interna y una vez extendida la red tuvimos que aadir nuevas rutas para conectar al n resto de dispostivos. Una vez realizado el enrutamiento en toda la red tuvimos que congurar NAT en el router 1 para que todos los equipos de la red pudieran tener salida por la direccin IP pblica del router 1, adems para que el NAT funcionara o u a correctamente, el cortafuegos se encarga del enmascaramiento de direcciones, de forma de que el router 1 recibe paquetes de distintos lugares con la misma
5.2. AREAS DE RED cabecera de red.
51
La losoa para la conguracin de NAT es la siguiente, primero se indica o la direccin pblica del router que va a ser utilizada, despus se indica la o u e procedencia de los paquetes que tienen que salir al exterior, y nalmente se congura que interfaz del router ser de entrada y cul de salida. Se puede a a observar un ejemplo de conguracin en el siguiente ejemplo: o (cong)#ip nat inside source static red origen paquetes wildmask red (cong-if )#ip nat inside/outside Posteriormente implementamos una VLAN en el router 1 para ubicar la DMZ.
5.2.2.
Subred de administracin de sistemas o
El objetivo de la subred de administracin sistemas es alojar a los servio dores internos de la red, OpenLDAP, Bind, NFS, y equipos para realizar la administracin de servidores y usuarios. o Esta subred se une al resto de la red mediante el router 4, en l se deni el e o rango IP 192.168.4.0/24 que otorga hasta 256 direcciones distintintas.
5.2.3.
Subred de monitorizacin o
En la subred de monitorizacin tenemos dos equipos encargados de la o monitorizacin utilizando la herramienta OSSIM, su objetivo es identicar o cualquier anomal que se produzca en la red, utilizando para ello sistemas a de deteccin de intrusiones. o La subred esta interconectada al resto mediante el router 3, cuyo direccionamiento es 192.168.3.0/24 que permite hasta 256 direcciones distintas.
52
5.2.4.
Subred de usuarios
Esta subred pretende acoger a los usuarios estndar del sistema, es dea cir, al personal de la organizacin. La red esta denida por el router 2 y o sus direccionamiento es 192.168.2.0/24 con capacidad para 256 direcciones distintas. Este el el punto central de la red interna, ya que el router 2 interconecta a su vez con el cortafuegos y con los routers 3 y 4.
5.2.5.
DMZ
La DMZ o zona desmilitarizada es aquella zona de red dentro de una organizacin que ofrece servicios, como por ejemplo servicios web o transferencia o de cheros, para ser accedidos desde el exterior. Debido a estas caracter sticas, esta red debe estar situada en un lugar distinto al de la red interna de la organizacin pues incluirla dentro de la red o interna puede comprometer la seguridad de toda la organizacin. o El objetivo de esta separacin de la red interna es que si se vulnera la o DMZ el atacante no pueda acceder a otros lugares distintos de la red, ya que esta se encuentra aislada del resto de la red. Adems de estar aislada del resto de la red, los servidores que se alojen a deben tener una securizacin extra para intentar minimizar el impacto de o cualquier ataque, un ejemplo de esta securizacin son los servidores enjaulao dos cuyo objetivo ante un ataque es impedir que al atacante pueda moverse por los distintos directorios del servidor y quede retenido en una ubicacin o concreta dentro del sistema de cheros. Debido a que la DMZ recibe cualquier tipo de trco del exterior, es necea sario ubicarla en las capas ms superciales de la red para que las pol a ticas
5.3. DISPOSITIVOS de ningn cortafuegos establecido rechacen el trco dirigido a ella. u a
53
En este caso, nuestra DMZ esta alojada directamente en un VLAN en el router 1, equipo de bastin, en este caso, el router permite todo el trco o a a ella, y la securizacin de sus servidores es la que impide que se produzca o cualquier incidencia. El direccionamiento IP de la DMZ es 10.1.10.0/29, con capacidad para 8 direcciones distintas.
5.3.
Dispositivos
En esta parte del documento vamos a tratar la implementacin de los o equipos, tanto servidores como clientes, en ella vamos a hacer una introduccin al software utilizado y una explicacin sobre las medidas de seguridad o o utilizadas en los equipos.
5.3.1.
Conguracin de servidores o
En la siguiente imagen podemos observar los diferentes servicios que hemos implementado sobre tres mquinas diferentes de laboratorio: a
54 5.3.1.1. Software
Sistema operativo y dominio En nuestra red, el sistema operativo elegido tanto para los ordenadores de los usuarios como para los servidores es Ubuntu Server 11.10. Frente a otras opciones de pago como Windows Server, este sistema operativo se distribuye bajo licencia open source y nos ofrece una solucin o econmica y estable para la gestin y administracin de las mquinas de las o o o a que disponemos. Ubuntu, adems est respaldado por una gran comunidad de usuarios y a a ofrece soporte para la mayor de los protocolos y utilidades de gestin de a o redes seguras. Por otra parte, para la gestin de usuarios de nuestra red utilizamos o un servidor de dominio como es OpenLDAP. Esta herramienta es una implementacin de cdigo abierto del protocolo LDAP (Lightweight Directory o o Access Protocol) que permite una gestin centralizada de los usuarios y los o recursos de nuestra red.
5.3.1.2.
NFS
Las siglas NFS signican Sistema de Archivos de Red (del ingls Network e File System) y fue desarrollado por SUN Microsystems en 1984. Su funcin en una red es permitir que un equipo GNU/Linux pueda o montar y trabajar con un sistema de archivos de otro equipo de la red como si fuera local. En el entorno de una red informtica se hace imprescindible disponer de a un servicio que permita el acceso seguro a archivos remotos de forma trasparente. Todos los usuarios de la red, en determinadas circunstancias, necesitan
5.3. DISPOSITIVOS
55
disponer de esta facilidad de intercambio de informacin que garantice la o seguridad y condencialidad de la misma. NFS proporciona este servicio siguiendo la estructura cliente-servidor. El servidor NFS comparte una serie de directorios seleccionados con unas condiciones de seguridad concretas. El cliente NFS, si est autorizado para ello, puede montar dichos direca torios en su propio sistema de archivos pudiendo acceder a los archivos como si fueran locales. El montaje lo puede realizar en secuencia de arranque del equipo o cuando lo necesite. De esta forma los usuarios pueden compartir directorios, con las restricciones adecuadas, y pueden intercambiar archivos dentro de la red congurada. Esta forma de trabajar es vlida para entornos Unix/Linux. De momento a NFS no permite la interoperabilidad con determinados sistemas de archivos Windows. Pero para nuestro entorno, Ubuntu Server 11.10, es perfecto. NFS vs SAMBA Para el sistema de comparticin de archivos tuvimos una pequea duda entre o n estos dos servidores. La discordia estaba en que NFS es muy cmodo y ya o que viene integrado en Linux por lo que su instalacin/conguracin es muy o o rpida y sencilla. a Por lo contrario, SAMBA, aunque a priori se pueda pensar que deber a ser solo para compartir cheros con clientes Windows tambin los sopesamos e como solucin, ya que tiene un enorme abanico de conguraciones y opciones. o Adems de que tampoco es complicado congurarlo en un sistema Linux. a Pese a todo al nal decidimos quedarnos con NFS, pues era una solucin o ms sencilla de implementar. a
56 5.3.1.3. Bind
Hemos elegido Bind como servidor DNS sobre sus competidores por muchas razones. Para empezar, se trata de una herramienta de software libre desarrollada por Internet Systems Consortium. Esto deber ser un buen indicador de la a seguridad que proporciona este servicio, ya que entre sus desarrolladores se encuentran Sun Microsystems, IBM, HP y Compaq. Adems, el modelo de software libre conlleva una deteccin y correccin a o o rpida de bugs. Esto hace de Bind el estndar de facto en Internet, con a a ms de un 70 % de utilizacin en servidores DNS (segn un estudio de Don a o u Moore en 2004 ). Con tal tasa de utilizacin, el soporte y documentacin online son muy o o extensos. Este ha sido otro aspecto completamente a favor ya que la mayor a de los errores ms comunes (y bastantes de los menos comunes) han sido a debatidos en foros de administracin de sistemas por Internet. o El hecho de encontrar casos similares tras una simple consulta en un buscador de Internet supone un ahorro de tiempo y esfuerzo muy importante. 5.3.1.4. Apache
Como servidor web hemos optado por Apache HTTP Server. Se trata de otro servicio de cdigo abierto muy popular, con un 57,5 % de utilizacin o o entre todos los websites del mundo (segn un estudio de Netcraft en 2012). u Como Bind, su extendido uso y el formato de cdigo abierto proporcionan o un gran soporte y documentacin online. o Se han descartado otras opciones populares como lighttpd por la versatilidad y capacidad de extensin de Apache. Dado que no conocemos la futura o web ni sus caracter sticas hemos decidido instalar un servidor potente que
5.3. DISPOSITIVOS sea capaz de soportar HTTPS, autenticacin, CGI e IPv6, entre otros. o
57
Se ha hecho una instalacin con las opciones por defecto, en caso de que o el programador o diseador web necesitasen alguna modicacin se realizar n o a tan pronto como fuera posible. 5.3.1.5. VSFTP
El servicio FTP tradicional consiste en que los usuarios del sistema operativo tienen acceso al sistema de cheros con sus mismas credenciales y atribuciones, y adicionalmente hay una cuenta de usuario annimo para que o pblicamente se puedan descargar determinados contenidos. u En nuestro caso usaremos Vsftpd (Very Secure FTP Daemon) que es un equipamiento lgico utilizado para implementar servidores de archivos a o travs del protocolo FTP. e Se distingue principalmente porque sus valores predeterminados son muy seguros, y por su sencillez en la conguracin, comparado con otras alternao tivas como ProFTPD, y Wu-ftpd. Actualmente se presume que vsftpd podr a ser quiz el servidor FTP ms seguro del mundo. a a 5.3.1.6. Instalacin de los servidores o
OpenLDAP Es totalmente compatible con el sistema operativo elegido y su instalacin o es sencilla. Basta con teclear los siguientes comandos en un terminal: $ sudo apt-get install slapd ldap-utils $ sudo dpkg-recongure slapd Este ultimo comando ejecuta un wizard que nos permitir congurar el a servidor de dominio de acuerdo a nuestras necesidades.
58
CAP ITULO 5. IMPLEMENTACION La posterior inclusin de los usuarios y recursos de nuestra red al servidor o
se ha realizado mediante las utilidades que el propio servidor OpenLDAP incluye para la exportacin de usuarios de un sistema al formato ldif (LDAP o data interchange format), y la herramienta JXplorer. Existen otras alternativas a JXpolrer que nos permiten gestionar los objetos presentes en el servidor LDAP, como son PHP LDAP Admin o LDAP Acount Manager (LAM). La ventaja principal de JXplorer frente a las dems alternativas es que, a a diferencia de stas, JXplorer no es una aplicacin web y, por tanto, no e o requiere de ningn navegador para su utilizacin ni ningn servicio extra u o u como PHP. NFS Para instalar y los diferentes complementos que este necesita, tenemos que ejecutar el comando: $ apt-get install nfs-common nfs-kernel-server Una vez instalado pasaremos a la parte de la conguracin, la cual es o muy simple y esta basada en el archivo /etc/exports, como ilustra el siguiente ejemplo aplicado a la parte del servidor y al cliente: # Compartir la carpeta home del servidor # en modo lectura y escritura y accesible desde la red 192.168.0.0/24 /home 192.168.0.0/255.255.255.0(rw) En la parte del cliente solo se debe modicar el archivo /etc/fstab # Aadir en /etc/fstab n ip-del-servidor:/home /mnt/home-servidor nfs
5.3. DISPOSITIVOS Bind Se instala con el comando: $ apt-get install bind9
59
Una vez instalado pasaremos a la conguracin, para ello tenemos que o acceder al archivo /etc/resolv.conf y congurar los nameserver de nuestra zona. Apache Esta tal vez sea la parte ms complicada de la instalacin, puesto que a o como el servicio est en la DMZ hemos tenido que enjaularlo para evitar a posibles intrusiones. Para ello se tienen que lanzar los siguientes comandos: $ apt-get install apache2 apache2-doc apache2-utils $ apt-get install libapache2-mod-python $ apt-get install python-mysqldb $ apt-get install libapache2-mod-php5 php5 php-pear php5-xcache $ apt-get install php5-suhosin $ apt-get install php5-mysql $ apt-get install libapache2-mod-chroot $ sudo a2enmod mod chroot $ sudo /etc/init.d/apache2 restart $ mkdir -p /var/www/var/run $ chown -R root:root /var/www/run $ sudo gedit /etc/apache2/apache2.conf VSFTP
60
CAP ITULO 5. IMPLEMENTACION Para instalarlo necesitaremos tener instalados el siguiente paquete: $ sudo apt-get install vsftpd Los cheros de conguracin del servidor se son: o /etc/vsftpd.user list /etc/vsftpd/vsftpd.conf La conguracin es mostrada en el apndice dedicado a la conguracin o e o
de los servicios. A destacar que hay que tener en cuenta la activacin de la opcin chroot, o o para asegurar el servicio, ya que si alguien consiguiera acceso a no permitido podr amos contenerlo dentro del directorio especicado.
5.3.1.7.
Securizacin o
La securizacin en nuestra red a nivel de sistemas es: o - Env de LOGS. o - Bastionado de la DMZ. - Comprobar y cerrar servicios no necesarios. - Seguridad del usuario root. - Inmutabilidad de cheros. - Privilegios de usuario. - Sanciones a usuarios. Con la colaboracin de monitorizacin se han instalado Ossec, sensor o o perteneciente al sistema de deteccin de intrusiones, en los tres servidores o para controlar cualquier intento de intrusin. o
5.3. DISPOSITIVOS
61
Por otra parte, para bastionar la DMZ se han utilizado varias tcnicas. e Como solucin lo primero que hemos hecho ha sido buscar todos los servicios o presentes en este servidor y desactivarlos mediante el comando chkcong, con esto conseguimos que nuestro servidor deje de escuchas en algunos puertos que no vamos a utilizar. Para evitar cualquier intento de ataque, ademas de desactivar los servicios, se va a instalar un cortafuegos mediante IPTables, su funcin es denegar o todo el trco por defecto excepto el que llega a los puertos 21, 80, 443 y 1514 a (FTP, HTTP, HTTPS y OSSEC para monitorizacin) que son los servicios o que vamos a ejecutar. El script implementado puede consultarse en la seccin o Apndices. e Para aumentar la seguridad y evitar posibles ataques por los puertos abiertos, ademas del cortafuegos se han enjaulado los servicios con chroot, as evitaremos que si alguien se consigue hacer con nuestro servicio pueda salir de la carpeta enjaulada. Respecto a los servidores internos, no hemos utilizado cortafuegos, ya que se supone que el router1 y el cortafuegos ya se encargaran de esto, lo que si se ha tenido en cuenta es el enjaular los servicios mediante chroot y desactivar cualquier servicio que no necesitemos. Por ultimo, respecto al usuario root para controlar posibles acceso no deseados a los servidores las claves de root tienen 15 caracteres con una combinacin de nmeros letras y maysculas. o u u Adems se est estudiando como deshabilitar el arranque del sistema en a a modos que no sean el 3, con lo que aunque alguien tuviese acceso f sico al mismo (cosa que no deber suceder) no podr conectarse. a a
Seguridad en Bind
62
CAP ITULO 5. IMPLEMENTACION Vamos a explicar cmo se han creado las zonas en Bind para controlar la o
seguridad. named.conf.local zone src.com{ type master; le db.src.com; }; zone 4.168.192.in-addr.arpa{ type master; le db.192.168.4; }; db.src.com $ORIGIN src.com. $TTL 86400 ; 1 dia @ IN SOA servidor postmaster ( 1 ; serie 6H ; refresco (6 horas) 1H ; reintentos (1 hora) 2W ; expira (2 semanas) 3H ; mnimo (3 horas) ) NS servidor servidor A 192.168.4.3
5.3. DISPOSITIVOS db.192.168.4 $ORIGIN 4.168.192.in-addr.arpa. $TTL 86400 ; 1 dia @ IN SOA servidor postmaster ( 1 ; serie 6H ; refresco (6 horas) 1H ; reintentos (1 hora) 2W ; expira (2 semanas) 3H ; mnimo (3 horas) ) NS servidor.src.com. 3 PTR servidor.src.com Seguridad en Apache Conguracin para zona segura Intranet: o <Directory /intranet> Order allow,deny Deny from all Allow from 192.186.3.0/255.255.255.0 </Directory> Otras opciones de conguracin: o <Directory /> Order allow Allow from all Options -ExecCGI Options -FollowSymLinks
63
64
5.3.2.
Conguracin de equipos o
5.3.2.1.
Software en los clientes
Ubuntu ms Gnome a Como se buscaba una opcin software libre y en los servidores ya hab o amos utilizado Ubuntu, se decidi optar por ello tambin en los clientes, para facilo e itar el acceso y la interaccin con los usuarios elegimos Gnome como gestor o de ventanas ya que es muy fcil de instalar y tiene una interfaz grca muy a a amigable.
Omtica a En este apartado hemos elegido Open Oce ya que en una suite muy completa con la que solucionamos todo este apartado.
5.3.2.2.
Instalacin en los clientes o
Ubuntu ms Gnome a
5.4. USUARIOS
65
La instalacin de Ubuntu es tan simple como poner el cd en el lector o de cada ordenador y en el mejor de los casos empezar automticamente, a a puesto que son bootables y la mayor parte del proceso es completamente automtico. a Omtica a Basta con ejecutar el comando: $ apt-get install openoce.org 5.3.2.3. Securizacin en los clientes o
La securizacin en los clientes ha sido fundamentada en torno a dos aso pectos fundamentales: Correcta pol tica de contraseas, como ms adelante veremos, los usuarios n a deben de cumplir una pol tica de contraseas, esto es importante sobre todo n en el caso del usuario root, ya que de verse comprometida la contrasea n perder amos toda la seguridad del sistema. Inmutabilidad de cheros, hemos optado por congurar como inmutables las diferentes carpetas de ejecutables del sistema operativo, entre ellas /bin, ya que si algn proceso malicioso pudiese tener acceso a estos podr modiu a carlos para que al ejecutarlos se viera comprometida la seguridad de nuestro sistema. Tambin se han congurado los logs del sistema para que a sus cheros e solamente se les pueda aadir informacin, en ningn caso modicar la actual. n o u
5.4.
Usuarios
Denidos por el grupo de sistemas, en la implementacin del proyecto, se o distinguen los distintos tipos de usuarios.
66
CAP ITULO 5. IMPLEMENTACION 1. Administradores de sistemas
Sern los usuarios encargados de la gestin de todo el software de los equipos a o de la red (instalacin, conguracin y eliminacin tanto de equipos como de o o o todo el software de los ordenadores de la red).
Adems los unicos usuarios de la red que puedan ejecutar programas con a privilegios de root. Slo los miembros del grupo de sistemas tendrn usuario o a de este tipo. 2. Usuarios de estndar a Toda persona que tenga acceso a la red tendr asignado uno de estos usuara ios. Estos usuarios no tienen privilegios especiales ms all de ejecutar los a a programas necesarios para realizar el trabajo espec co de cada persona. 3. Usuario root El usuario root slo debe ser utilizado por los miembros del grupo de o sistemas. Este usuario UNICAMENTE se utilizar en casos excepcionales a (recuperacin de desastres, etc.) y para tareas que no puedan realizarse con o un usuario de sistema. La longitud de la contrasea de este usuario debe n tener un m nimo de 15 carcteres a
5.5.
5.5.1.
Monitorizacin o
Introduccin o
La monitorizacin es la tarea encargada de constantemente vigilar los diso tintos componentes de la red (la red en si misma, los servidores, los host, los
5.5. MONITORIZACION
67
router, etc) mediante la captura de informacin de los distintos componentes, o procesamiento de la misma y aviso a los encargados de monitorizar (o a los encargados de los componentes) de cualquier tipo de suceso.
Dado el poco tiempo que le pod amos dedicar y que deb ser herramientas an de cdigo abierto y gratuitas, decidimos investigar y probar unicamente dos: o Nagios Es un monitor gratuito de la red, servidores e infraestructura del sistema. Dispone de un agente que se instala en distintas mquinas y que capta la a informacin necesaria que luego el servidor recibir y procesar. Se puede o a a congurar para que de manera proactiva avise a los encargados si se encuentra con un problema que no se ha podido solucionar.
Al monitor principal se accede v web, y de manera bastante amigable se a puede acceder rpidamente a los avisos, informes, historial etc. Se pueden a congurar las distintas herramientas que necesitemos con plugins, pero hab a que hacerlo a mano para cada funcin extra que necesitaramos. o OSSIM OSSIM es bastante parecido al Nagios en el sentido de que tambin es e una herramienta para monitorizar la red a la cual se accede mediante navegador, dispone de agentes en los diferentes componentes a analizar y tiene una actuacin proactiva cuando detecta anomal en la red. o as
La mayor potencia de esta aplicacin es que es capaz de correlacionar los o diferentes eventos atmicos para detectar riesgos reales de amenazas as coo mo ataques o sistemas comprometidos.
68
Adems de lo anterior implementa aplicaciones de inventario, monitorizacin a o y descubrimiento de equipos de servicios, anlisis de vulnerabilidades como a Nessus u OpenVas as como de denicin de pol o ticas de seguridad y su relacin con diferentes normativas para evaluar el cumplimiento de estas. o
Una vez que ya probamos y analizamos ambas herramientas nos decidimos por OSSIM, adems de la recomendacin de la profesora, porque era mucho a o ms completa y potente que Nagios, aparte de que al agrupar todas las hera ramientas, ofrece una manera mucho ms compacta de analizar la red y sus a componentes.
Otra razn muy importante fue que en OSSIM ten o amos la opcin de incluir o de manera secundaria Nagios como herramienta de monitoreo, de manera que OSSIM unica todas las herramientas y Nagios nos estaria mostrando la informacion.
5.5.2.
OSSIM
Como hemos mencionado en la seccin anterior, OSSIM es una herramieno ta que une en una sola consola los diferentes componentes y herramientas de seguridad de una red, al igual que facilita la instalacin e integracin de o o muchas herramientas de cdigo abierto y gratuitas. o
Las funciones que sigue OSSIM a grandes rasgos son:
-Captura de informacion y normalizacin de la misma o
5.5. MONITORIZACION
69
Las diferentes herramientas instaladas (en la red, en los routers, en los servidores, etc) capturan y detectan todos los eventos que consideren necesarios. Estos eventos son enviados al servidor OSSIM, que har una valoracin del a o riesgo para cada evento a partir de unos patrones y as generara, si lo con sidera como tal, un aviso de ataque o problema en nuestra red.
Segn qu herramientas instalemos y que sensores, incluso de cmo conu e o guremos los patrones a detectar, se darn distintos tipos de alarmas. a -Informe a los administradores de red Mediante la interfaz web de OSSIM, se informa en tiempo real y de manera clara y concisa de todos los eventos y alarmas que hayan podido saltar en la red.
Se organizan segn la prioridad que otorgue OSSIM a los mismos (por colores u y por grupos) y se muestran tanto en conjunto, como dentro de cada tipo de aviso y de donde proceda (de la red, de un servidor, etc).
OSSIM tambin es congurable para que avise por email o de otra mane era a los encargados de monitorizacin, o a los responsables de la seccin o o donde se haya producido la anomal a. -Acceso a informacin o OSSIM tambin es capaz de darnos mucha otra informacin que ha ido cape o turando y procesando, desde logs donde se detalla cada accin producida, o hasta mtricas y grcas que pueden ser interesantes para el anlisis global e a a del funcionamiento de la red. Al igual, podremos acceder al historial de los avisos y alertas.
70
5.5.3.
Instalacin y conguracin de OSSIM o o
Para la investigacin de las herramientas descritas anteriormente, y para o el testeo de las diferentes herramientas que incorpora el OSSIM decidimos instalar una maquina virtual (VirtualBox) donde pudiramos instalar y desine stalar sin peligro de corromper la particin del ordenador asignado a el grupo o de Monitorizacin. o
Cuando nos decidimos por OSSIM, y por la herramientas que usar amos con l, nos dimos cuenta que cuando intentabamos que procesara informae cin de la red, la mquina virtual no era suciente. Tuvimos que ampliar la o a memoria asignada a la mquina virtual varias veces hasta que, al intentar a aadir varios agentes la mquina virtual no respond n a a.
Se nos recomend que probramos con otros softwares de virtualizacin coo a o mo VMWare. Analizamos las caracter sticas del ordenador y tras hacer una aproximacin de los datos que o bamos a recibir y de las ventajas que nos ofrec tener un entorno de desarrollo virtualizado, instalar OSSIM como sisa tema operativo puesto que el instalador de OSSIM est basado en el sistema a operativo Debian/GNU Linux.
OSSIM al instalarse formatea todo dato que haya en el disco duro del sistema, por tanto tuvimos que ir con cuidado de no formatear todo el disco duro, sino de crear una particin espec o ca en el grub del ordenador e instalarlo ahi. Al instalar la primera vez borramos sin querer el grub, asi que fue necesario llamar a los tcnicos para que volviesen a reinstalar el grub, e formatear nuestra particin y volver a instalar OSSIM. o
5.5. MONITORIZACION Antes de instalar OSSIM es necesario tener la siguiente conguracin: o IP : 192.168.3.100 Mscara de red: 255.255.255.224 a Pasarela: 192.168.0.1 DNS1 : 192.168.224.1 Hostname: mon1 Dominio: monitorizacion Contrasea de root : toor n
71
Durante la instalacin del servidor OSSIM se nos ped la informacin arrio a o ba explicada, tambin que herramientas y plugins desebamos instalar, esta e a lista es muy extensa y podemos tener ms de 100 opciones entre todos. Llea gados a este ya habiamos leido varios manuales y tesinas donde describ an las herramientas, al igual que hab amos probado unas cuantas de estas en el entorno virtual.
Las principales herramientas utilizadas las describimos en la ultima parte de esta seccin. Una vez instalado el servidor podremos acceder a OSSIM o v interfaz web desde cualquier ordenador, para esto creamos una cuenta de a administrador. Usuario: admin Contrasea: momonga n La primera vez que escaneamos el sistema (el mismo servidor, puesto que no tenemos detectados ordenadores an) nos salieron muchos avisos de errores u en Apache, y la red no respondia. Tras investigar descubrimos que los avisos de Apache se deb a que no ten an amos la ultima versin de OSSIM instalada o en el ordenador, y por tanto los servidores Apache no funcionaban como era
72
debido, tras actualizar el sistema se corrigieron todos los errores y ya pudimos actualizar la red, los comandos son: ossim-update ossim-recongure Llegados a este punto era necesario tener una red operativa y funcional interna nuestra donde estuviera nuestro servidor OSSIM incorporado puesto que OSSIM tiene herramientas de sning que detectan la red y la escanean en los segmentos que nosotros le pedimos, tambin es capaz de reconocer los e distintos componentes (routers, hosts, servers, etc) que estan en la red. Cuando realizamos el primer escaneo de la red, obtuvimos ms de 10000 a avisos, por tanto decidimos disear la seguridad de la red de la manera ms n a sencilla y con las m nimas herramientas posibles.
5.5.4.
Seguridad de la red
Se ha observado que las tecnolog y los diferentes grupos de herramienas tas estn agrupados en tres bloques, las herramientas de seguridad perimea tral, las de red y las de hosts. Dado que el entorno exterior a la empresa se dene como el ms agresivo a debe tenerse en cuenta que la seguridad debe estar denida en profundidad de mayor a menor y de fuera hacia adentro, es decir, deber ser especialmente a cuidadoso en monitorizar y registrar los servicios y componentes expuestos al exterior. Han sido investigados diferentes herramientas para cada uno de los entornos analizando el ambito de actuacin, la comunidad o empresas que le o dan soporte, sistemas operativos redes o equipos en los que son aplicables, etc.
5.5. MONITORIZACION
73
Dentro de esta denicin se ha investigado: o Perimetral Herramientas de env y anlisis de logs. En concreto dentro de OSSIM uso a amos RSyslog, para la captura de los datos de los logs de los routers. Red (Network IDS) Estudio de diferentes sniers como Wireshark y Snort como herramienta principal de deteccin de actividad sospechosa en la red. Esta herramienta o analiza el trco a nivel de paquetes a partir de unas reglas denidas las cuales a son actualizadas y diseadas por una amplia comunidad. n En concreto en Ossim, Snort ser nuestro snier de la red y usaremos a tambin Arpwacht que analiza a nivel de red (ARP) eventos sospechosos. e Hosts (HIDS) OSSIM incluye Snare, Osiris y Ossec entre otros. Este tipo de herramientas son aplicaciones que despliegan en el host donde se instala la capacidad de monitorizar y analizar diferentes eventos anomalos a partir de cheros
74
de sistema como logs, hashes de archivos cr ticos, y muchos otros tanto en plataformas Linux como Windows. Finalmente, tras descartar Osiris por ser exclusivo de Windows y comparar Snare y Ossec, decidimos usar como agente HIDS Ossec, que es una herramienta que, en s misma, la instalamos en los ordenadores que de seamos monitorizar, la sincronizamos en nuestro servidor y de manera automtica desde la web podemos iniciar remotamente que deseamos escanear a la maquina, y esta lo har y nos mandara la informacin de manera automa o atizada. Instalamos Ossec en el otro ordenador asignado a monitorizacin, y tras o ver que de un solo escaneo produc unos 3000 informes, decidimos solo ina stalar el agente HIDS en los servidores de nuestra red, concretamente en los dos de sistemas y en el cortafuegos. Para esto fue necesario primeramente obtener servicio FTP tal y como nos indicaron en desde sistemas. FILE=/etc/fstab
sudo apt-get update sudo apt-get install nfs-common
sudo echo >> $ FILE sudo echo #aadido para nfs>> $FILE n sudo echo 192.168.4.102:/home /home nfs rw,user,exec,dev,nosuid,auto 0 0>> $FILE Descargamos el instalador de Ossec wget http://www.ossec.net/les/ossec-hids-latest.tar.gz y lo copiamos en la carpeta de compartida del FTP para tener en todos los servidores la misma versin. o
5.5. MONITORIZACION
75
A continuacin la instalacin se hizo igual para todos los servidores, deo o scomprimimos el archivo, accedimos a la carpeta y ejecutamos el instalador: tar -zxvf ossec-hids-*.tar.gz (or gunzip -d; tar -xvf ) cd ossec-hids-* ./install.sh Algunos de los equipos no dispon las herramientas necesarias, como un an compilador gcc, para la instalacin del agente por tanto tuvimos que instalar o las herramientas bsicas: a apt-get install build-essential El instalador nos har una serie de preguntas espec a cas de la computadora, como la IP o donde instalarlo. Una vez instalado hay que iniciar el agente para su conguracion: /var/ossec/bin/ossec-control start Para poder congurar un agente, primero debemos aadirlo a nuestro n servidor OSSIM, donde lo registramos y obtendr amos una clave unica que luego copiar amos y utilizamos para identicar el agente en concreto asociado a esa clave. /var/ossec/bin/manage agents
**************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A).
76 (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your actions: A,E,R or Q: A
- Adding a new agent (use to return to main menu). Please provide the following: * A name for the new agent: NOMBRE DEL SERVIDOR A ANADIR
* The IP Address for the new agent: IP DEL SERVIDOR DONDE ESTA EL AGENTE * An ID for the new agent[001]: Agent information: ID:001 Name:NOMBRE DEL SERVIDOR A ANADIR IP Address:IP DEL SERVIDOR DONDE ESTA EL AGENTE
Conrm adding it?(y/n): y Added. Una vez registramos l o los agentes necesarios, debemos obtener una por e una las claves identicativas mencionadas arriba. /var/ossec/bin/manage agents
**************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * ****************************************
5.5. MONITORIZACION (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your actions: A,E,R or Q: E
77
Available agents: ID: 001, Name: DNSs erver, IP : 192,168,4,102 Provide the ID of the agent you want to extract the key: 001
Agent key information for 001 is:
CDAxIGxpbnX4MSAxOTIuMTY4LjAuMzIgOWM5MENlYzNXXXYYYZZZZZ==
** Press ENTER to continue Por facilitarnos el trabajo, creamos archivos en la carpeta compartida por FTP (fue esta la razn por la cual instalamos FTP en primer lugar) donde o copiamos la clave de cada agente, para que luego solo se copiara. Tras la primera instalacin buscamos una manera ms fcil de aadir o a a n agentes, y descubrimos que desde la interfaz web del OSSIM tambin era e posible aadir agente y obtener su clave, aunque los pasos eran los mismos, n dar la IP, el nombre, el identicador y obtener la clave. Una vez ten amos la clave copiada en FTP y el agente instalado en un ordenador, era necesario identicar ese agente con la clave obtenida y de esta manera registrarlo en nuestro servidor, esto se hace de la siguiente forma: /var/ossec/bin/manage agents
78
**************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * **************************************** (I)mport key for the server (I). (Q)uit. Choose your actions: I or Q: I
* Provide the Key generated from the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines.
Paste it here: CDAxIGxpbnX4MSAxOTIuMTY4LjAuMzIgOWM5MENlYzNXXXYYYZZZZ
Agent information: ID:001 Name: DNSs erver IP Address: 192.168.4.102
Conrm adding it?(y/n): y
Added. **************************************** * OSSEC HIDS v0.8 Agent manager. * * The following options are available: * ****************************************
5.5. MONITORIZACION (I)mport key for the server (I). (Q)uit. Choose your actions: I or Q: Q manage agents: Exiting ..
79
5.5.5.
Herramientas principales de OSSIM
Ossim incluye una larga lista de herramientas que se utilizan, a continuacin se citan y describen brevemente las herramientas principales utio lizadas. Snort Se trata de una herramienta que se utiliza como sistema de deteccin de o intrusos (Intrusion Detection System - IDS), es decir, su funcin principal o es monitorizar la red y/o computadoras en busca de intrusiones o acciones maliciosas, anlisis de paquetes y protocolos, etc. En concreto Snort se dedica a en exclusiva en nuestro caso a la monitorizacin de la red (es un Networko IDS). Nagios Monitor principal de Ossim. Es el encargado de mostrar al usuario de Ossim todas las alertas que se puedan producir en los hosts, servidores, redes y componentes de las mismas que se estn monitorizando. Tambin avisa cuando a e se ha solucionado la incidencia. Ossec Ossec es una herramienta con muchas aplicaciones, pero en este caso se utiliza principalmente como agente/sensor en los servidores de la red.
80
CAP ITULO 5. IMPLEMENTACION Hace las funciones de Host-IDS y toda la informacin es capturada, transo
mitida y tratada por el servidor Ossim. En la red solo se captan las anomal as en los servidores para no sobrecargar Ossim. Syslog Para realizar la carga de la informacin capturada ms ligera, se decio a di solo capturar la informacin de los routers de la red. Los routers deo o positan sus logs en una ubicacin compartida con el servidor OSSIM, donde o podrn ser obtenidos sin dicultad y procesados. a
Cap tulo 6 Conclusiones

Finalmente la red mostrada en el cap tulo 3.1 Propuesta de red ha sido implementada parcialmente, es decir, hasta la fecha todav quedan algunas a aspectos a desarrollar. Entre los objetivos conseguidos destacan los siguientes: 1. Se ha logrado toda la comunicacin entre todos los equipos o tanto a nivel interno como externo, es decir, que un equipo se puede comunicar con cualquier equipo de la red y adems tiene acceso a Internet. a 2. Todos los servicios propuestos han sido instalados, congurados e iniciados. 3. El documento de pol ticas y seguridad en la red ha sido redactado sasfactoriamente y dichas pol ticas se han implementado a nivel prctico. a Adicionalmente, tambin se esta generando el documento de anlisis de riesgos. e a 4. El cortafuegos ha sido implementado parcialmente y est a la espera a de incluir nuevas reglas de securizacin. o 5. Las herramientas de monitorizacin han sido instaladas, o conguradas y puestan en produccin, adicionalmente se ha logrado que los routers env o en sus logs a las herramientas de monitorizacin. o Como se ha mencionado anteriormente la red est implementada parciala 81
82
CAP ITULO 6. CONCLUSIONES
mente, los aspectos que faltan por implementar son: 1. Conguracin de las listas de control de acceso en los routers o para restringir el tipo de trco a trco web. a a 2. Congurar las ACLs para que solo sea posible congurar los routers v ssh desde un unico equipo. a 3. Aadir reglas adicionales de ltrado al cortafuego denegar n todo tipo de trco excepto el trco web. a a 4. Securizar el servidor web. Otros objetivos que se propusieron y no se han alcanzado, principalmente por falta de tiempo, son: 1. Instalacin de un servidor de VPN que permitiera acceder de forma remota o a los equipos de la red. 2. Implementacin de puntos de acceso Wi que permitieran la conexin o o de los usuarios a la red de forma inalmbrica. a 3. Implementacin de un cortafuegos redundante por si falla el principal. o 4. Realizacin de una auditor en la red para comprobar posibles fallos o a y vulnerabilidades de seguridad.
Las sensaciones del equipo despus del desarrollo del trabajo en general e es buena, no obstante han quedado ganas de intentar implementar otros objetivos propuestos que no se han desarrollado como se ha mencionados anteriormente. Ha sido una experiencia en la que el resultado nal reeja el trabajo y la coordinacin en equipo llevada entre todos los componentes de cada grupo, o de no ser de este modo, la red no estar nalizada en los plazos establecidos. a
Cap tulo 7 Bibliograf a
83
84
CAP ITULO 7. BIBLIOGRAF IA
Bibliograf a
[1] Kevin Dooley & Ian J. Brown: Cisco IOS Cookbook. Editorial O Reilly. [2] Wendell Odom & Rick McDonald: Routers and Routing Basics. Cisco Systems. [3] Pol tica general de seguridad de la informacin de la UPV: http://www. o upv.es/entidades/ASIC/normativa/U0339469.pdf [4] Pol tica de contraseas de la UPV: https://www.upv.es/entidades/ n ASIC/normativa/politica_contrasenyas.pdf [5] Reglamento de uso de los servicios y recursos de la UPV: http://www. upv.es/entidades/ASIC/normativa/normativa_servicios_c.pdf [6] Instalacin y conguracin de Squid3: http://thebitdeveloper.com/ o o 2010/02/12/instalacion-y-configuracion-de-squid3/ [7] Filtro para Internet, Squid3 ms IPTables: http://www.sebest.com. a ar/?q=node/55
85
86
BIBLIOGRAF IA
Parte III Apndices e
87
Apndice A e
Conguracin f o sica de los routers Cada router de la red tiene asignado un switch, excepto el router 1. A continuacin se muestran las tablas de interconexin entre routers, switchs y o o equipos.
Router 1 Conexin del Router o

Fast Ethernet 0 Fast Ethernet 1 Fast Ethernet 8
Destino
Acceso a internet de la UPV PC32 Verde (cortafuegos) PC38 (DMZ)
Router 2 Conexin del Router o

Fast Ethernet 0 Fast Ethernet 1
Destino
Switch R2 PC32 Amarillo (cortafuegos)
Router 3 89
90 Conexin del Router Destino o

Fast Ethernet 0 Fast Ethernet 1 Switch R2 Switch R3
APENDICES
Router 4 Conexin del Router Destino o

Fast Ethernet 0 Fast Ethernet 1 Switch R2 Switch R4
Equipos Equipo
PC10 PC14 PC16 PC18 PC20 PC24 PC26 PC30 PC32 (Verde) PC32 (Amarillo) PC38 PC40 PC42 PC46
Seccin o
Routers Routers Routers Gestin o Gestin o Monitorizacin o Monitorizacin o Perimetral Perimetral Perimetral Sistemas (DMZ,NFS,Web) Sistemas (DNS) Sistemas (LDAP) Sistemas
Destino
Switch R2 (Administracin) o Switch R2 (Administracin) o Switch R2 (Administracin) o Switch R2 Switch R2 Switch R3 Switch R3 Switch R2 Router 1 Fast Ethernet 1 Router 2 Fast Ethernet 1 Router 1 Fast Ethernet 8 Switch R4 Switch R4 Switch R4

Memoria SRC

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Memoria SRC

Încărcat de

Drepturi de autor:

Formate disponibile

Seguridad en Redes de Computadores

Instalacin y securizacin de una red area local o o

Alberto Martos Torreblanca 3 de junio de 2012

1. Objetivos 2. Introduccin o 3. Propuesta de red

3.1. Esquema de red . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.2. Direccionamiento IP . . . . . . . . . . . . . . . . . . . . . . . 21 4. Dise o de pol n ticas 23

4.1. Anlisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . 23 a 4.2. Pol ticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 5. Implementacin o 33

Parte I Equipo de trabajo

Conguracin y securizacin de los routers o o que forman la topolog de red. a

Conguracin y securizacin de los cortafuegos o o que forman el per metro de la red.

Anlisis en tiempo real del trco y deteccin a a o de anomal en el funcionamiento de la red. as

Elaboracin del informe global del trabajo realizado. o

Distribucin de equipos en el laboratorio o

Cap tulo 1 Objetivos

Cap tulo 2 Introduccin o

CAP ITULO 2. INTRODUCCION

Cap tulo 3 Propuesta de red

CAP ITULO 3. PROPUESTA DE RED

3.1. ESQUEMA DE RED

CAP ITULO 3. PROPUESTA DE RED

Cap tulo 4 Dise o de pol n ticas

24 Libro III: Gu de tcnicas a e

CAP ITULO 4. DISENO DE POL ITICAS

CAP ITULO 4. DISENO DE POL ITICAS

1. En la prctica, deber haber separacin de funciones y revisin a a o o

2. Adems, se considerar el principio del llamado m a a nimo privilegio

4.2. POL ITICAS

3. Por otro lado, la utilizacin de los servicios de la red y o

CAP ITULO 4. DISENO DE POL ITICAS

4.2. POL ITICAS 2. Elaboracin del primer boceto. o

CAP ITULO 4. DISENO DE POL ITICAS

4.2. POL ITICAS 4. Redaccin del documento nal. o

CAP ITULO 4. DISENO DE POL ITICAS

Cap tulo 5 Implementacin o

5.1. PER IMETRO

CAP ITULO 5. IMPLEMENTACION

5.1. PER IMETRO 5.1.1.2. Implementacin ACLs o

CAP ITULO 5. IMPLEMENTACION

5.1. PER IMETRO Tabla

Prerouting Postrouting Output

Input Output Forward Prerouting Postrouting

5.1. PER IMETRO

iptables -t lter -A INPUT -s ! 192.168.2.0/24 -d 192.168.2.100 -p tcp dport 80 -j DROP

-j LOG log-prex INTENTO DE ACCESO ILEGAL A SERVIDOR WEB DETECTA

iptables -t lter -A INPUT -s ! 192.168.2.0/24 -d 192.168.2.100 -p tcp dport 80 -j DRO

5.1. PER IMETRO

CAP ITULO 5. IMPLEMENTACION

5.1. PER IMETRO

Direccin IP de la LOCAL ETH o

Direccin IP de la Internet ETH o

Pol ticas y reglas

5.1. PER IMETRO

48 apt-get install squid3

CAP ITULO 5. IMPLEMENTACION

5.2. AREAS DE RED

CAP ITULO 5. IMPLEMENTACION

5.2. AREAS DE RED cabecera de red.

Subred de administracin de sistemas o

CAP ITULO 5. IMPLEMENTACION

5.3. DISPOSITIVOS de ningn cortafuegos establecido rechacen el trco dirigido a ella. u a

CAP ITULO 5. IMPLEMENTACION

CAP ITULO 5. IMPLEMENTACION

5.3. DISPOSITIVOS Bind Se instala con el comando: $ apt-get install bind9

CAP ITULO 5. IMPLEMENTACION