Documente Academic
Documente Profesional
Documente Cultură
1
Contenido
Introducción ............................................................................................................................................. 4
Fase uno ................................................................................................................................................... 5
Requerimientos ........................................................................................................................................ 6
Esquema direccionamiento por medio de VLSM ..................................................................................... 6
Materiales a utilizar.................................................................................................................................. 7
Proveedores de internet .......................................................................................................................... 7
Topología física......................................................................................................................................... 8
Topología Lógica....................................................................................................................................... 9
Implementación de VTP (vlan trunking protocol) .................................................................................... 9
Implementación de Etherchannel .......................................................................................................... 12
Spanning tree protocol .......................................................................................................................... 13
Direccionamiento IP con DHCP .............................................................................................................. 14
NAT-PAT ................................................................................................................................................. 17
Implementación de seguridad en capa 2 ............................................................................................... 18
Implementación de HSRP ....................................................................................................................... 19
Protocolo de enrutamiento ruta estática .............................................................................................. 21
Fase dos.................................................................................................................................................. 22
Requerimientos ...................................................................................................................................... 22
Descripción de servicios ......................................................................................................................... 23
SERVICIO SAMBA (SMB) ......................................................................................................................... 23
SERVICIO FTP (FILE TRANSPORT PROTOCOL) ......................................................................................... 25
VSFTPD (VERY SECURE TRANSFER PROTOCOL DEMON) ........................................................................ 25
SERVICIO DNS (DOMAIN NAME SYSTEM) .............................................................................................. 27
SERVICIO MYSQL .................................................................................................................................... 30
SERVICIO RSYSLOG ................................................................................................................................. 30
SERVICIO HTTP/HTTPS............................................................................................................................ 31
SERVICIO POSTFIX .................................................................................................................................. 32
SERVICIO DOVECOT ................................................................................................................................ 35
SERVICIO ACTIVE DIRECTORY ................................................................................................................. 39
SERVICIO ASTERISK................................................................................................................................. 49
PROTOCOLO SIP ..................................................................................................................................... 50
2
Configuración del archivo extensions.conf (DialPlan)............................................................................ 51
Menú IVR (Interactive Voice Response) ................................................................................................. 53
CONFIGUARCION PSTN Y PSTN-EXTENSION .......................................................................................... 54
Etapa tres ............................................................................................................................................... 58
Inventario de Servicios y Servidores ...................................................................................................... 59
Windows Server 2012 R2 ....................................................................................................................... 59
Alcance de las amenazas ........................................................................................................................ 60
Identificación de vulnerabilidades ......................................................................................................... 61
VULNERABILIDADES ENCONTRADAS...................................................................................................... 64
Descripción (de la vulnerabilidad encontrada) ...................................................................................... 65
Conclusión .............................................................................................................................................. 80
Anexos .................................................................................................................................................... 81
3
Introducción
La empresa TECNIDATA tiene la necesidad de implementar una red, la cual fue enviada y
evaluada por nuestra compañía de redes y telecomunicaciones. En el presente proyecto de
licitación se implementa una red y dará una mejora sustancial a esta misma. Se presenta una
topología la cual dará escalabilidad, tolerancia a fallas y seguridad, siendo metódicos en cada
uno de los aspectos, para lograr superar las expectativas solicitadas. Para ello nuestro equipo
de especialistas crearon un diagrama lógico y físico con los cuales se demuestra todo el
funcionamiento de la red logrando esta ser estable y segura.
Al ya tener la red completa funcionando se pide implementar 3 servidores con ciertos servicios,
además, la implementación de una red de voz para mantener la comunicación en cada una de
las áreas de la empresa como también recibir llamas externas.
Como punto final se necesita dar una solidificación en el aspecto de seguridad en la red
completa, en la cual se solicita un informe detallado el cual muestre por donde pueden ser
atacados y dando una solución a cada vulnerabilidad encontrada.
4
Fase uno
Comenzamos por el primer punto el cual sería analizar la red solicitada para así lograr una
mejora de esta. Nos dimos cuenta que era necesario implementar más switch en la topología
de estrella extendida solicitada (es una forma de conectar los equipos y esta tiene forma de
estrella). Se mostrarán configuraciones en los switch y router para mostrar una buena
implementación de la red.
Solicitado por el cliente.
Se solicita cableado estructurado para 4 plantas en el edificio.
En respuesta a esta solicitud nuestra red cumplirá con los estándares solicitados por el cliente, por
ende, se cubrirá cada uno de los pisos del edificio utilizando red cableada (UTP), utilizaremos el
estándar 802.3 con norma TIA/EIA-T-568A. Junto a esto también se implementará una red
inalámbrica bajo la norma 802.11b.
Como antecedente no fue entregado el nombre de cada departamento, los cuales debemos
entregarles direccionamiento IP.
Visitas
Recepción
Administración
Gerencia
Ingeniería
Soporte
Servidores
Voz
5
Requerimientos
Diseño jerárquico 3 capas de Cisco con una topología redundante.
Cableado estructurado según norma TIA/EIA 568A.
Cableado horizontal utilizando cable UTP cat. 6.
Cableado horizontal utilizando cable UTP cat. 6.
Segmentación mediante VLAN.
Direccionamiento IP saliendo a internet (NAT y PAT)
Desarrollo de una red inalámbrica para visitas.
Distribución de rango en direcciones IP mediante VLSM.
Uso de VTP server para la propagación de VLAN.
Aplicar seguridad y asignación de VLAN en las interfaces correspondientes.
Eso de protocolos Etherchannel y DHCP.
Balanceo de carga y redundancia a nivel de capa 2 mediante Spanning-tree.
Redundancia a nivel 3 utilizando HSRP.
Aplicación de EIGRP para distribuir la información de ruteo.
6
Para la configuration de las VLAN la red se presentó de la siguiente forma:
Materiales a utilizar
En los materiales a utilizar destacamos los siguientes por su precio y calidad después de un análisis y
cotización en el mercado.
Proveedores de internet
Para mantener una conexión estable tendremos un enlace de fibra óptica dedicada por cuenta de
Rodríguez y herrera Ltda. Y para el enlace de respaldo utilizaremos un enlace de VTR.
7
Topología física
En la topología física se destacan como irán ordenada la red junto a los equipos en el edificio de
TECNIDATA.
Planta uno
Acá estará ubicada la recepción y las visitas. En este piso estará un computador e impresora
para la recepcionista más un punto de acceso WIFI para las visitas.
Planta dos
Acá estará ubicada la sala de servidores y técnico, en este piso estará el núcleo de la red, en
un rack estarán ubicados los equipos y servidores, acá estarán dos router conectados a dos ISP
para tener redundancia hacia internet junto a dos switch de capa 3. A esta sala solo el personal
autorizado tendrá acceso. La sala de servidores constara con cerradura biométrica para una
mayor seguridad. Se implementaran los puntos de red requeridos para cada dispositivo final
requerido.
Planta tres
8
Acá estará ubicada la sala de gerencia y voz, para esto estará instalado un switch. Se
implementarán puntos de red para cada dispositivo final que sea requerido.
Planta cuatro
Acá estará ubicada la sala de ingeniería y operaciones. Se implementarán los puntos de red
requeridos para cada dispositivo final requerido.
Topología Lógica
A continuación, se dará a conocer la topología lógica con las indicaciones y referencias en sus
configuraciones.
9
10
11
Implementación de Etherchannel
Es un protocolo de cisco, el cual permite la agrupación lógica de varios enlaces físicos como un
solo enlace. Esto es para lograr un balanceo de carga y tener también redundancia, esto debido
a que si un enlace falla la comunicación quedara por los enlaces que queden disponibles en el
equipo.
12
Spanning tree protocol
Este protocolo es para evitar loops entre los switch de la topología cuando se implemente una
redundancia. Cuando hay varios caminos en un dispositivo por el cual viajan datos STP crea
solo un camino, así evitando la creación de loops.
13
Direccionamiento IP con DHCP
DHCP (Dynamic host configuration protocol)
Este protocolo es para que un equipo obtenga una dirección IP dinámicamente, se configurara en los
router un servicio DHCP, en los cuales irán excluidas las 3 primeras direcciones de cada rango en la
dirección, para el DNS se utilizara las IPS 8.8.8.8 8.8.4.4 (IPS de google) y la puerta de enlace
correspondiente y su máscara.
14
15
16
NAT-PAT
La empresa Tecnidata ltda. Nos ha informado que dentro de la empresa habrán servidores
para esto debemos implementar el protocolo NAT, para el óptimo funcionamiento de esto
activos. NAT para traducir la dirección interna del servidor en una dirección pública y es
debido a esta configuración que resulta aún más importante que estos dispositivos tengan
una dirección predecible.
Esta traducción de la que hablamos es el NAT, que se creó principalmente para conservar las
direcciones IPv4 públicas (que son limitadas). Así además de la traducción de una dirección
privada interna a una dirección pública (sólo cuando es necesario), NAT tiene el beneficio
adicional de proporcionar cierto grado de privacidad y seguridad adicional a una red, ya que
oculta las direcciones IPv4 privadas de las redes externas.
La traducción de la dirección del puerto (PAT), también conocida como “NAT con
sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública o a
algunas direcciones. Con PAT, se pueden asignar varias direcciones IP, ya que, se sobrecargan
los puertos. Es decir, a que cada dirección privada también se rastrea con un número de
puerto.
Nat estatico
17
Implementación de seguridad en capa 2
Seguridad de los puertos.
En los switch que administraran los dispositivos finales se aplicara una configuración de
seguridad que permita que la MAC sea aprendida dinámicamente, esto para que solo permita
al equipo que corresponde conectarse a la red, si el puerto llegara a ser violado este quedara
se apagara automáticamente.
Utilizaremos porfast “spanning-tree porfast” para que los puertos pasen de blocking a forward
de inmediato evitando la negociación entre switch. Pero esto genera un problema de
seguridad el cual solucionamos con el comando “spanning-tree bpduguard enable”, este
comando bloquea los mensajes BPDU como mecanismo de seguridad en el puerto donde se
configuro porfast.jnb
-interface range fastEthernet 0/8-14
-switchport mode access
-switchport access vlan 20
-switchport port-security maximum 2
-switchport port-security mac-address sticky
-switchport port-security violation shutdown
-spanning-tree portfast
-spanning-tree bpduguard enable
18
Implementación de HSRP
El Hot Standby Router Protocol es un protocolo propiedad de CISCO que permite el
despliegue de routers redundantes tolerantes a fallos en una red. Este protocolo evita
la existencia de puntos de fallo únicos en la red, mediante técnicas de redundancia y
comprobación del estado de los routers.
Funcionamiento
Supongamos que disponemos de una red que cuenta con dos routers redundantes,
Router1 y RouterB. Dichos routers pueden estar en dos posibles estados diferentes:
maestro (Router A) y respaldo (Router B). Ambos routers intercambian mensajes,
concretamente del tipo HSRP hello, que le permiten a cada uno conocer el estado del
otro. Estos mensajes utilizan la dirección multicast 224.0.0.2 y el puerto UDP 1985.
Si el router maestro no envía mensajes de tipo hello al router de respaldo dentro de un
determinado período, el router respaldo asume que el maestro está fuera de servicio
(ya sea por razones administrativas o imprevistas, tales como un fallo en dicho router) y
se convierte en el router maestro. La conversión a router activo consiste en que uno de
los router que actuaba como respaldo obtiene la dirección virtual que identifica al
grupo de routers.
Para determinar cuál es el router maestro se establece una prioridad en cada router. La
prioridad por defecto es 100. El router de mayor prioridad es el que se establecerá
como activo. Hay que tener presente que HSRP no se limita a 2 routers, sino que
soporta grupos de routers que trabajen en conjunto de modo que se dispondría de
múltiples routers actuando como respaldo en situación de espera.
19
20
Protocolo de enrutamiento ruta estática
Para que la empresa Tecnidata ltda. Tenga conexión entre redes WAN hemos decidido
implementar ruta estática, ya que consideramos que las red WAN que solicitan tener es muy
pequeña. Esto ayudara a que tener un menor costo administrativo y menor sobrecarga para
los router.
[R1#show ip route
21
Fase dos
En esta fase se mostrará el proceso en el cual nuestra empresa configuro los servidores solicitados
por TECNIDATA se dividirá en servicios (programas necesarios para la administración de un servidor) y
VOIP (telefonía) la cual es muy importante porque abarata los costos de TECNIDATA al trabajar con
llamadas locales las cuales no tendrán costo alguno y las llamadas al exterior, que la empresa realice
tendrán un solo costo que va incluido en el servicio de Internet contratado (ISP), no hay costo por
línea telefónica. Además, se crea un menú IVR para que los clientes de TECNIDATA sean dirigidos a
esta y desde el menú se dirijan al área que ellos necesiten dentro de las comunicaciones en la
empresa.
Requerimientos
Los Servicios de red requeridos por la empresa son los siguientes:
SAMBA
FTP
DNS
MYSQL
SYSLOG
HTTP /HHTPS
POSTFIX
DOVECOT
SQUIRREMAIL
ACTIVE DIRECTORY
ASTERISK
22
Descripción de servicios
Cada directorio puede tener distintos permisos de acceso con protecciones del sistema de
archivos que se esté usando en Linux, así, las carpetas home pueden tener permisos de
lectura y escritura para cada usuario, permitiendo que cada uno entre a sus propios archivos;
sin embargo, debemos cambiar los permisos de los archivos de manera local para dejar al
resto ver nuestros archivos. Para instalar el servicio ejecutamos el comando “yum -y install
samba samba-client samba-common”
Para verificar los servicios instalados tecleamos lo siguiente:
Una vez dentro cambiar lo siguiente: en este caso permitimos que todos los hosts usen el
servicio.
23
Se crea un directorio fijo para los usuarios o grupos:
Guardamos y salimos, a continuación, creamos un grupo para ingresar los usuarios que ocuparan el
servicio:
24
Reiniciamos el servicio con el comando: “service smb restart”
Se cree que VSFTPD es el software FTP más seguro del mundo en la actualidad por lo cual optamos
por instalar este servicio.
Para instalar ejecutamos: “yum -y install vsftpd” una buena práctica es actualizar los packages
mediante “yum -y update”.
Luego nos dirigimos a la ruta “nano /etc/vsftpd/vsftpd.conf” en donde modificaremos los siguientes
parámetros:
local_enable = YES : Para poder conectarse con los usuarios locales del servidor donde está instalado.
write_enable = YES : Si quieres que los usuarios puedan escribir y no sólo descargar cosas.
local_umask = 022: Esta mascara hace que cada vez que subas un archivo, sus permisos sean
755. Es lo más típico en servidores FTP.
chroot_local_user = NO : Si lo pones en YES, los usuarios locales al logearse se enjaularán en su
directorio home, después de logearse.
chroot_list_enable = YES : Sirven para que los usuarios locales puedan navegar por todo el
árbol de directorios del servidor. Evidentemente
25
esto sólo queremos permitírselo a ciertos usuarios, para ello tenemos el siguiente parámetro.
chroot_list_file = /etc/vsftpd.chroot_list : Indicamos el fichero donde están listados los usuarios que
pueden navegar hacía arriba por los
El siguiente paso es crear un grupo de usuarios y otorgarle permisos especiales, seguido de esto
creamos una Shell fantasma para que no puedan entrar a la consola del servidor para terminar
editamos el listado de Shell del sistema:
Creamos una carpeta del usuario en el servidor en donde tendrá acceso vía ftp dando los permisos
indicados:
26
Lo siguiente es enjaular el usuario para que solamente se mantenga en su directorio, lo
primero a realizar es buscar el usuario en la ruta:
27
Luego entramos a /etc/hosts para agregar servidor y dns a configurar.
Seguido de esto vamos a nano /etc/named.conf para permitir consultas desde cualquier ip en
nuestro dominio
Luego nos vamos a /var/named y modificamos las zona directa y zona inversa.
28
Luego ejecutamos “chmod 777* /var/named/” con esto damos a un archivo todos los
permisos para todos los usuarios, luego reiniciamos y revisamos el estado del servicio con los
comandos:
29
SERVICIO MYSQL
MySQL es un sistema de gestión de bases de datos de código abierto, comúnmente instalado como
parte popular del paquete LEMP (Linux, Nginx, MySQL / MariaDB, PHP / Python / Perl). Utiliza una
base de datos relacional y SQL (lenguaje de consulta estructurado) para administrar sus datos.
Arrancamos el servicio:
SERVICIO RSYSLOG
RSYSLOG es un eficiente y rápido sistema de procesamiento de registros de sistema.
30
Es lo suficientemente versátil y robusto para ser utilizado en entornos empresariales y tan ligero y
sencillo que permite utilizarlo también en sistemas pequeños.
Permite almacenar las bitácoras en archivos de texto simple o bases de datos MySQL y PostgreSQL,
utilizar otros destinos en caso de falla, transporte de syslog a través de TCP, control detallado de
formatos, etiquetas de tiempo exactas, operaciones en cola de procesamiento y capacidades
de filtrado en cualquier parte de los mensajes.
El paquete Rsyslog es un componente esencial y obligatorio de cualquier distribución de
GNU/Linux moderna, por lo tanto, viene instalado de modo predeterminado y el servicio
estará activo en todos los niveles de ejecución.
SERVICIO HTTP/HTTPS
Protocolo de transferencia de hipertexto (en inglés: Hypertext Transfer Protocol o HTTP) es el
protocolo de comunicación que permite las transferencias de información en la World Wide Web.
http trabaja en el puerto 80 mientras https en el 443, operando en la capa de aplicación del modelo
OSI.
Instalamos servicio con el comando “yum -y install httpd” instalado el servicio Ingresamos a “nano
/etc/httpd/conf/httpd.conf una vez dentro modificamos:
31
Ahora modificamos la configuración de virtualhost.
SERVICIO POSTFIX
Es un servidor de correo de software libre.
Instalamos postfix usando el comando “yum install postfix” luego ingresamos a “nano
etc/postfix/main.cf” una vez dentro des comentamos y modificamos según requerimientos:
32
33
34
Concluido esto guardamos los cambios y reiniciamos los servicios postfix con los comandos:
“systemctl enable postfix” luego reiniciamos con “systemctl restart postfix”.
SERVICIO DOVECOT
Instalamos dovecot con el comando “yum install dovecot” editamos el archivo
/etc/dovecot/dovecot.conf y descomentar línea:
SERVICIO SQUIRRELMAIL
36
Nos pedirá ingresar una opción ingresamos 1 y nos aparecerá:2
37
Luego de realizar las configuraciones antes mencionadas estamos en condiciones de revisar
la interfaz gráfica de nuestro correo. (lo que verá el usuario final).
Accedemos a nuestro dominio, en un navegador web:
https://www.tecnidata.cl/redes
38
SERVICIO ACTIVE DIRECTORY
WINDOW SERVER 2012
Windows Server 2012 es la penúltima edición lanzada por Microsoft del sistema operativo
Windows Server. Es la versión para servidores de Windows 8 y es el sucesor de Windows
Server 2008 R2. El software está disponible para los consumidores desde el 4 de septiembre
de 2012.
A diferencia de su predecesor, Windows Server 2012 no tiene soporte para computadoras
con procesadores Intel Itanium y se venden cuatro ediciones. Se han agregado o mejorado
algunas características comparado con Windows Server 2008 R2, como una actualización de
Hyper-V, un rol de administración de direcciones IP, una nueva versión del Administrador de
Tareas de Windows, y se presenta un nuevo sistema de archivos: ReFS.
39
Instalación de Windows Server 2012.
40
Escogemos el disco y procedemos a instalar.
41
42
Configuramos nuestro dns con una Ip estática e instalamos el servicio Dns
Luego creamos Nuestro Dominio, nuestras Unidades Organizativas, con los respectivos
usuarios
43
Las Políticas de Grupo son un conjunto de reglas que controlan el entorno de trabajo de
cuentas de usuario y cuentas de equipo.
Directiva de grupo proporciona la gestión centralizada y configuración de sistemas
operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory.
Acá un ejemplo, donde todos los usuarios que pertenezcan a la Unidad organizativa
Administracion no tendrán acceso al panel de control y, además, no tienen acceso a
almacenamientos externos (Pendrive, Lector de DVD externos, etc.).
44
45
Luego ingresamos al servidor con un Usuario X, para comprobar que este asociado al dominio
y que además las Gpo esta activa y funcionando.
46
Intentamos ingresar al Panel de Control
47
En este mensaje nos indica que, efectivamente no tenemos acceso al Panel de Control
48
SERVICIO ASTERISK
Asterisk es el mayor proyecto de software libre diseñado para la integración y unificación de
los sistemas de comunicaciones conocidos
Originalmente fue concebido como una plataforma para la generación de un sistema PBX,
pero con el tiempo ha ido evolucionando a otro tipo de usos, como Pasarelas VoIP, sistemas
integrales para call-centers, salas de conferencias, buzones de voz, y todo tipo de
aplicaciones que tengan relación con las comunicaciones en tiempo real.
Instalación
Habilitamos el adaptador de red a puente.
49
En la instalación de la TCP/IP, seleccionamos IPv4 la opción de IP dinámica -IPv6 la opción de
IP automática.
PROTOCOLO SIP
Session Initiation Protocol o Protocolo de Inicio de Sesión. Es un protocolo desarrollador por
el grupo MMUSIC del IETF con el fin de ser el estándar para la iniciación, modificación y
finalización de sesiones interactivas de usuario donde interviene audio, video, mensajería
instantánea, juegos en línea y realidad virtual. SIP es uno de los protocolos de señalización
para voz sobre IP, junto con otros como H.323 e IAX2.
Primero se crea un contexto general, que se aplica a todos los demás contextos.
En la ruta: etc/Asterisk/sip.conf
50
Configuración del archivo extensions.conf (DialPlan)
El Plan de Marcación, llamando Dialplan en Asterisk, podría considerarse la columna
vertebral del sistema.
Funciona parecido a un lenguaje de script, en el que funciones, aplicaciones y recursos se van
intercalando para formar algo parecido a "procedimientos" y "programas" dentro de lo que
pudiera considerarse.
51
52
Menú IVR (Interactive Voice Response)
Un IVR (de Interactive Voice Response), es como su propio nombre indica, un menú de voz
interactivo que permite interactuar de forma automática con el otro extremo de la
comunicación con un fin determinado.
Hoy en día lo normal es encontrarse con un IVR de bienvenida cuando se llama a cualquier
gran empresa. El caso más obvio es el de las grandes operadoras de telefonía que cuentan
con los IVRs cuyo único objetivo es redirigir al usuario al departamento que pueda resolver
su consulta de la forma más precisa posible pero que lo hacen con tanto nivel de detalle
(submenús) que puede resultar muy molesto de cara al usuario final.
53
CONFIGUARCION PSTN Y PSTN-EXTENSION
Las configuraciones anteriormente mencionadas tienen una directa conexión con un par de
softwares que nos permiten crear los usuarios y realizar las llamadas telefónicas.
Configurando Zoiper y Eyebeam
Siga los pasos a continuación para configurar el VoIP Softphone para Yeastar S-Series IPPBX.
54
PASO 1. Inicia el softphone Eyebeam.
PASO 2. Haga clic en "Configuración> Crear una nueva cuenta".
PASO 3. Elija el tipo de cuenta como "SIP", haga clic en "SIGUIENTE"
55
Usuario / usuario @ host: ingrese el número de extensión.
Contraseña: ingrese la contraseña de registro de la extensión.
Proxy de dominio / salida: ingrese la dirección IP de la serie S IPPBX.
PASO 5. Haga clic en "SIGUIENTE", el softphone intentará registrarse en S-Series IPPBX.
PASO 7. Si desea editar la cuenta, haga clic en "Configuración> Preferencias" para obtener la
página de configuración de la cuenta y edítela.
56
Después de ingresar todos los usuarios, estaríamos en condiciones de realizar llamadas.
57
Etapa tres
Para llevar a cabo la investigación, se hizo uso, de diferentes técnicas de recolección de
información, para poder identificar las amenazas, vulnerabilidades, entre otros.
Este análisis se realizará en seis fases, que se detallarán en la siguiente figura.
58
Inventario de Servicios y Servidores
Los servidores a analizar son 3 Servidor DNS,WEB que contiene la mayoría de servicios,
Servidor Rsyslog únicamente contiene este servicio, por último en ser servidor Windows
2012 que tiene el active Directory.
Servidor DNS, WEB 192.12.118.105
Servidor Rsyslog 192.12.118.99
Servidor Windows 192.168.0.200
El sistema operativo de los servicios de DNS, WEB y Rsyslog
tatic hostname: localhost.localdomain
Transient hostname: dns.tecnidata.cl
Icon name: computer-vm
Chassis: vm
Machine ID: 012f51f333fd40e680993f5c62902506
Boot ID: 004b1aa32acf4b2d91ead4fcfdc9833b
Virtualization: kvm
Operating System: CentOS Linux 7 (Core)
CPE OS Name: cpe:/o:centos:centos:7
Kernel: Linux 3.10.0-957.12.1.el7.x86_64
Architecture: x86-64
60
Dentro de este departamento, los activos que son afectados están en los servidores, en los
cuales, tienen instalado CentOS Linux 7 (Core) versión 3.10.0-957.12.1.el7.x86_64
Dentro del sistema operativo, se ven afectados los servicios de red que allí se alojan.
Activos afectados Los activos de la red que se encuentran afectados por las amenazas, se
detallan a continuación:
Identificación de Amenazas Las amenazas pueden afectar nuestros archivos que están
alojados en los servidores, también haciendo un mal funcionamiento de los servicios que en
ellos alojamos, perdida de información provocada por algún malware que este dentro de
nuestra red, también hay que tener en cuenta algún averío de nuestros servidores.
Para llevar a cabo la investigación se hizo uso de diferentes técnicas de recolección de
información para poder identificar las vulnerabilidades, amenazas, entre otros.
Identificación de vulnerabilidades
A continuación, se presentan las amenas que nos arrojó la herramienta NESSUS con la cual
realizamos la consultoría a la red.
NESSUS es una potente aplicación de detección de vulnerabilidades muy usada, tanto por los
hackers, como por los expertos en seguridad informática cuando tienen que realizar
auditorías.
Esta herramienta resulta muy útil al momento de montar una red de servidores, en este
informe mostraremos los errores más importantes que nos dio el escaneo a los sistemas con
sus mitigaciones.
Los servidores a detallar son los siguientes:
Server1
61
(Samba, vsftpd, Samba, HTTP, HTTPS, MYSQL, DNS, SMB)
Server2
(Rsyslog)
Server3
(WINDOWS 2012)
62
63
VULNERABILIDADES ENCONTRADAS
El servidor web remoto admite los métodos TRACE y / o TRACK. TRACE y TRACK son métodos HTTP
que se utilizan para depurar conexiones de servidor web.
Solución
Deshabilita estos métodos. Consulte la salida del complemento para más información.
64
Descripción (de la vulnerabilidad encontrada)
No se puede confiar en el certificado X.509 del servidor. Esta situación puede ocurrir de tres
formas diferentes, en las que la cadena de confianza puede romperse, como se indica a
continuación:
- En primer lugar, es posible que la parte superior de la cadena de certificados enviada por el
servidor no proceda de una autoridad de certificación pública conocida. Esto puede ocurrir
cuando la parte superior de la cadena es un certificado auto-firmado no reconocido o cuando
faltan certificados intermedios que conectarían la parte superior de la cadena de certificados
con una autoridad de certificación pública conocida.
- En segundo lugar, la cadena de certificados puede contener un certificado que no es válido
en el momento del escaneo. Esto puede ocurrir cuando el escaneo ocurre antes de una de las
fechas 'no antes' del certificado, o después de una de las fechas 'no Después' del certificado.
- En tercer lugar, la cadena de certificados puede contener una firma que no coincide con la
información del certificado o no se pudo verificar. Las malas firmas se pueden arreglar
consiguiendo que el certificado con la firma incorrecta sea reescrito por su emisor. Las firmas
que no se pudieron verificar son el resultado de que el emisor del certificado utiliza un
algoritmo de firma que NESSUS no admite o no reconoce.
Si el host remoto es un host público en producción, cualquier corte en la cadena hace que
sea más difícil para los usuarios verificar la autenticidad e identidad del servidor web. Esto
podría hacer más fácil llevar a cabo ataques de hombre en el medio contra el host remoto.
Solución
Compre o genere un certificado apropiado para este servicio.
VULNERABILIDADES ENCONTRADAS
Solución
67
Vuelva a configurar la aplicación afectada si es posible para evitar el uso de cifras de intensidad
media.
Solución
Póngase en contacto con el proveedor o consulte la documentación del producto para
deshabilitar los algoritmos MAC MD5 y 96 bits.
68
WINDOWS SERVER 2012
Se realiza un escaneo del WINDOWS SERVER 2012, y nos arroja lo siguiente:
69
Vulnerabilidades Encontradas y Soluciones
70
Escuela de telecomunicaciones
Administración en redes computacionales
Después de terminado el análisis hemos corregidos, las vulnerabilidades con más prioridad que
estaba ocurriendo en los activos del DNS, https y nuestro servidor Windows 2012 donde se
encuentra el active directory.
71
Escuela de telecomunicaciones
Administración en redes computacionales
72
Escuela de telecomunicaciones
Administración en redes computacionales
Windows 2012
Evaluar el riesgo
73
Escuela de telecomunicaciones
Administración en redes computacionales
Con la información que hasta este punto hemos recolectado, seremos capaces de evaluar
el riesgo que tenemos en nuestros servidores. Para ello, aplicaremos las siguientes tablas,
y así, obtener una idea, de que, tan riesgosa es la vulnerabilidad que encontramos en los
servidores.
74
Escuela de telecomunicaciones
Administración en redes computacionales
Tabla de riesgo de nuestros activos
75
Escuela de telecomunicaciones
Administración en redes computacionales
Eliminar el riesgo
Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el
caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía, para dar
servicio a los clientes, si no es estrictamente necesario.
Asumir el riesgo
Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por
tanto, la organización puede optar por asumir.
Implantar medidas para mitigarlo
Ejemplo: Se contrata un acceso a internet de respaldo para poder acceder a los servicios
en la nube en caso de que la línea principal haya caído.
Dependiendo del tipo de vulnerabilidad y su nivel de complejidad se aplicarán los criterios
anteriores.
Las vulnerabilidades de tipo alto serán transferidas a una empresa, la cual, se hará cargo
de las fallas de los diferentes servicios que tengan fallas más críticas.
Las vulnerabilidades de tipo medio serán eliminadas, solucionado el problema o
actualizando el servicio que se ve comprometido, este proceso se llevará a cabo, por el
personal de SOPORTE de TECNIDATA LTDA.
Las vulnerabilidades bajas serán asumidas, ya que, no poseen un gran riesgo para los
servicios, no causarán ningún problema en los hosts finales, ni en los servidores.
76
Escuela de telecomunicaciones
Administración en redes computacionales
Ya que están realizados los análisis correspondientes se hace necesario planificar las formas de
mitigar los riesgos asociados. Normalmente las empresas tienen jerarquizada su estructura de
manera que los cargos más altos tienen labores de mayor importancia y por consiguiente la
información que manejan es más delicada o más importante, esto no necesariamente es así ni
tampoco se menosprecia la información tratada por el resto de la empresa, pero si es una buena
política respaldar los equipos personales de gerencia especialmente debido a lo explicado
anteriormente. También ya que trabajaremos con servidores que idealmente deben tener un
uptime lo mas alto posible, es bueno monitorearlos mediante herramientas como PRTG Network
Monitor, Zabbix o Nagios, estas herramientas nos permitirán saber en todo momento que ocurre
con nuestro servidores ya que podemos chequear cada cierto tiempo CPU, RAM, Espacio en Disco
77
Escuela de telecomunicaciones
Administración en redes computacionales
y cualquier cosa que consideremos critica, incluso si el servidor ha caído esto ya que
podemos configurar que envíe correos(incluso SMS) según las alertas que se le configuran.
Plan de mitigación de riesgos
Para mitigar Ciertos riesgo hemos implementados ciertas políticas de seguridad, tales
como restringir el acceso donde están los servidores, cambiar la contraseña de los
usuarios de soporte y técnicos de redes cada un mes, además hemos dejado los activos
con ciertas reglas de selinux para algunos servicios a nivel de aplicación y dejando las
reglas de iptables en DROP.
Herramienta de seguridad de Centos
78
Escuela de telecomunicaciones
Administración en redes computacionales
79
Escuela de telecomunicaciones
Administración en redes computacionales
Conclusión
80
Escuela de telecomunicaciones
Administración en redes computacionales
Anexos
81
Escuela de telecomunicaciones
Administración en redes computacionales
82
Escuela de telecomunicaciones
Administración en redes computacionales
83