El documento describe cómo configurar diferentes mecanismos de seguridad activa como firewalls y Snort en una red. Explica cómo instalar y configurar Snort en Ubuntu para detectar escaneos de puertos realizados con Nmap, así como cómo configurar firewalls en Windows 7, el cortafuegos GUFW de Ubuntu y el firewall del router para permitir acceso al servidor web solo desde ciertas direcciones IP y registrar intentos fallidos de conexión.
2. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 1 DE 11
Índice
RA: APLICAR MECANISMOS DE SEGURIDAD ACTIVA DESCRIBIENDO SUS CARACTERÍSTICAS Y
RELACIONÁNDOLAS CON LAS NECESIDADES DE USO DEL SISTEMA INFORMÁTICO. ..................... 2
RA: ASEGURAR LA PRIVACIDAD DE LA INFORMACIÓN TRANSMITIDA EN REDES INFORMÁTICAS
DESCRIBIENDO VULNERABILIDADES E INSTALANDO SOFTWARE ESPECÍFICO................................. 2
NIDS/NIPS. MEDIDAS PARA EVITAR MONITORIZACIÓN DE RED CABLEADA............................... 2
a) A través de dos máquinas virtuales Ubuntu, una servidor y otra cliente, demuestra
cómo se puede detectar un escaneo de puertos. Para ello: (CP 5, pág 181) ........................... 2
• Instala Snort en el Ubuntu Server. Descarga las reglas de pre-procesamiento y
actívalas................................................................................................................................. 2
• Utiliza nmap desde el Ubuntu Desktop para escanear los servicios del servidor......... 5
• Comprueba que el escaneo ha quedado registrado..................................................... 5
• Traduce el siguiente texto (tomado de http://manual.snort.org/node3.html): .......... 5
FIREWALLS. INSTALACIÓN Y CONFIGURACIÓN EN EQUIPOS O SERVIDORES ................................ 6
b) Configuración del firewall en una máquina Windows 7 donde se alberga un servidor
web.6
• Instala un servidor web (el que quieras) y configúralo para que pueda ser accesible
desde el exterior ....................................................................................................................... 6
• Descarga en la máquina donde se alberga el servidor un cortafuegos distinto al de
Windows 7, que sea gratuito. Investiga cuáles son los mejor valorados en foros de
seguridad. Instálalo y configúralo para realizar las mismas tareas propuestas para el
firewall de Windows 7......................................................................................................... 10
c) Configuración del firewall del router. ............................................................................. 11
• Configura el firewall que trae el router de clase para realizar las mismas tareas
propuestas para el firewall de Windows 7.......................................................................... 11
3. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 2 DE 11
RA: Aplicar mecanismos de seguridad activa describiendo sus características y
relacionándolas con las necesidades de uso del sistema informático.
RA: Asegurar la privacidad de la información transmitida en redes informáticas
describiendo vulnerabilidades e instalando software específico.
NIDS/NIPS. Medidas para evitar monitorización de red cableada
La empresa para la que trabajas ha sido hackeada en varias ocasiones: alguien está
aprovechando las vulnerabilidades que tienen en los servicios ofrecidos desde sus servidores
(por ejemplo, el servidor http), accediendo a través de los puertos abiertos. Los servidores
corren sobre Linux.
Sospechas que el hacker está haciendo uso de la herramienta nmap para obtener puertos
abiertos y aplicaciones ejecutándose en cada uno.
a) A través de dos máquinas virtuales Ubuntu, una servidor y otra cliente,
demuestra cómo se puede detectar un escaneo de puertos. Para ello: (CP 5, pág
181)
• Instala Snort en el Ubuntu Server. Descarga las reglas de pre-
procesamiento y actívalas.
Lo primero que debemos hacer es instalar Snort en el servidor, para ello
utilizaremos la orden sudo apt-get install snort.
El siguiente paso será configurar Snort, para llevar a cabo este paso
utilizaremos la orden sudo dpkg-reconfigure snort.
Nos pedirá el método de arranque del programa, seleccionamos manual y
hacemos clic en aceptar.
Elegimos la interfaz por donde queremos que escuche, en mi caso elegiré
la interfaz eth0 y hacemos clic en aceptar para continuar.
4. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 3 DE 11
Introducimos el intervalo de direcciones, en mi caso será
192.168.1.172/32 y hacemos clic en aceptar.
Una vez terminada la configuración, descargamos el paquete snortrules-
snapshot-2990.tar.gz desde la página oficial de Snort.
Una vez descargado y extraído, ejecutamos la orden mv
/home/laura/Descargas/snortrules-snapshot-2990/prepoc_rules
/etc/snort/ para moverlo al directorio Snort que se encuentra en etc. Sí
hacemos un ls –l /etc/snort/, veremos que se ha movido correctamente el
directorio prepoc_rules.
5. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 4 DE 11
Ahora configuraremos el archivo de configuración de snort, para ello
utilizaremos la orden sudo gedit /etc/snort/snort.conf y buscamos la línea
427 y la descomentamos.
Comentamos la línea536 y descomentamos la nº 546.
Buscamos la línea 712 y la descomentamos.
Consultamos que en la línea 51 ponga el intervalo de direcciones
establecido en la instalación y guardamos el archivo.
A continuación, utilizamos la orden sudo snort –i eth0
/etc/snort/snort.conf para iniciar el programa.
6. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 5 DE 11
• Utiliza nmap desde el Ubuntu Desktop para escanear los servicios del
servidor.
Utilizando la orden sudo nmap 192.168.1.172 podremos escanear los
servicios del servidor.
• Comprueba que el escaneo ha quedado registrado.
Para comprobar que el escaneo de puertos realizado desde el cliente al
servidor ha quedado registrado, utilizaremos la orden sudo gedit
/var/log/snort/alert.
Como podemos comprobar, el escaneo de puertos realizado por el cliente
(192.168.1.173) ha quedado registrado.
• Traduce el siguiente texto (tomado de
http://manual.snort.org/node3.html):
“Snort really isn’t very hard to use, but there are a lot of command line
options to play with, and it’s not always obvious which ones go together
well. This file aims to make using Snort easier for new users. Before we
7. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 6 DE 11
proceed, there are a few basic concepts you should understand about
Snort. Snort can be configured to run in three modes:
− Sniffer mode, which simply reads the packets off of the network
and displays them for you in a continuous stream on the console
(screen).
− Packet Logger mode, which logs the packets to disk.
− Network Intrusion Detection System (NIDS) mode, which performs
detection and analysis on network traffic. This is the most complex
and configurable mode.”
“Snort realmente no es muy difícil de usar, pero hay muchas opciones de
línea de comandos para usar, y no siempre es obvio cuales van juntos
también. Este archivo tiene como objetivo hacer más fácil el uso de Snort
para los nuevos usuarios. Antes de continuar, hay algunos conceptos
básicos que debes entender acerca de Snort. Snort puede ser configurado
para funcionar en tres modos:
− Sniffer: Simplemente lee los paquetes fuera de la red y te las
muestra en un flujo continuo en el modo consola (pantalla).
− Modo Packet Logger: Registra los paquetes en el disco.
− Modo Sistema de Detección de Intrusiones de Red (NIDS): Lleva a
cabo la detección y análisis de tráfico de la red. Este modo es el
más complejo y configurable.
Firewalls. Instalación y configuración en equipos o servidores
El siguiente paso es defender los servidores frente a ataques externos. Para ello vas a
demostrar cómo puede ayudar un firewall a proteger el servidor web. Planteas dos
alternativas:
− Proteger la máquina (bastión) donde se alberga el servidor
− Proteger el router que da acceso a la zona desmilitarizada donde está el servidor web
b) Configuración del firewall en una máquina Windows 7 donde se alberga un
servidor web.
• Instala un servidor web (el que quieras) y configúralo para que pueda ser
accesible desde el exterior
Descargamos e instalamos el servidor web XAMPP y activamos Apache y
MySQL.
8. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 7 DE 11
Configura el firewall de Windows 7 para que:
o El servidor web acepte conexiones del cliente Ubuntu creado
anteriormente, pero no del servidor Ubuntu.
Para configurar que el servidor web solo acepta las conexiones del
cliente Ubuntu, iremos a Inicio Firewall Firewall de Windows
con seguridad avanzada.
9. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 8 DE 11
Hacemos clic en Reglas de entrada y sobre Apache HTTP Server
hacemos clic con el botón derecho y entramos en Propiedades.
Dentro de Propiedades, nos vamos a la pestaña Ámbito,
seleccionamos la opción Estas direcciones IP en el apartado de
Dirección IP local y hacemos clic en Agregar. En la ventana de la
derecha, introducimos la IP de nuestro cliente, en mi caso la
192.168.1.146 y hacemos clic en Aceptar.
En la pestaña de Opciones avanzadas, seleccionamos las opciones
Dominio y Privado, además de elegir que la opción de Permitir
cruce seguro del perímetro y hacemos clic en Aceptar.
10. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 9 DE 11
Una vez hecho todo esto, entramos al cliente y accedemos a la
página web que queramos, en mi caso he accedido a la del
colegio. Vemos que nos deja acceder sin problemas.
11. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 10 DE 11
o Registre en el log los intentos fallidos de conexión.
• Descarga en la máquina donde se alberga el servidor un cortafuegos
distinto al de Windows 7, que sea gratuito. Investiga cuáles son los mejor
valorados en foros de seguridad. Instálalo y configúralo para realizar las
mismas tareas propuestas para el firewall de Windows 7.
El cortafuegos que yo he elegido para el servidor es GUFW, para instalarlo
he utilizado la orden sudo apt-get install ufw gufw.
Para acceder a su configuración iremos al inicio del sistema y buscamos
con la palabra gufw y hacemos clic en configuración del cortafuegos.
12. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 7
PÁGINA 11 DE 11
Como podemos ver es una interfaz sencilla, en la que podemos elegir los
siguiente parámetros: perfil oficina; estado activado; entrante
denegar; saliente permitir. Hay múltiples opciones a elegir en cada uno
de los parámetros.
c) Configuración del firewall del router.
• Configura el firewall que trae el router de clase para realizar las mismas
tareas propuestas para el firewall de Windows 7.