14-4-201516:58:40.741+02:00 - 1 -

AULA

M2.107 Seguridad en redes aula 1

Prctica (P1)

Inicio:13-04-15

Entrega:22-05-15

Solucin:-

Calificacin:10-06-15

Dedicacin:%

Prctica

En esta actividad se trabajarn los aspectos incluidos en los mdulos de la asignatura, ascomo en las diferentes PEC, relacionados bajo un supuesto de escenario real.

Competencias

Las competencias generales del grado que se trabajan mediante esta actividad son:

1. Capacidad de comunicacin en el mbito acadmico y profesional.2. Uso y aplicacin de las TIC en el mbito acadmico y profesional.3. Capacidad de comunicacin en lengua extranjera.4. Capacidad para adaptarse a las tecnologas y a los futuros entornos.5. Capacidad para innovar y generar nuevas ideas.

Las competencias especficas de esta asignatura trabajadas en esta actividad son:

1. Capacidad para ejercer la actividad profesional de acuerdo con el cdigo tico y losaspectos legales en el entorno TIC.2. Capacidad para analizar la arquitectura y organizacin de sistemas y aplicaciones enred3. Conocer tecnologas de comunicaciones actuales y emergentes, y saberlas aplicarconvenientemente para disear y desarrollar soluciones basadas en sistemas y tecnologasde la informacin.4. Capacidad de proponer y evaluar diferentes alternativas tecnolgicas para resolver unproblema concreto.

Objetivos

Los objetivos a alcanzar en esta prctica son:

14-4-201516:58:40.741+02:00 - 2 -

Analizar las vulnerabilidades existentes dado un escenario de trabajo.

Disear y desplegar una arquitectura de cortafuegos basada en DMZ.

Desplegar un sistema de deteccin de intrusiones (IDS).

Realizar un anlisis forense de sistema y red.

Redactar el informe tcnico de un anlisis forense.

Recursos

Los recursos recomendados para realizar esta prctica son:

Herramientas IPtables, Snort y hping3

Enlace sobre cortafuegos con IPtables ( http://www.pello.info/filez/firewall/iptables.html )

Herramientas de anlisis forense de red: wireshark, tcpdump, xplico, tcpxtract

Criterios de Evaluacin

Para obtener una evaluacin positiva, hay que cumplir los siguientes criterios:

Hay que responder a todos los apartados que se piden. Dejar apartados en blanco sepenalizar.

Debers justificar y fundamentar sus respuestas sobre teora y/o bsqueda deinformacin.

Es esencial citar las fuentes de informacin utilizadas. No admitiremos respuestas quesean copias directas de estas fuentes.

En las actividades de carcter prctico, utiliza capturas de pantalla para demostrar laconsecucin de lo que le pedimos.

Hay que ser cuidadoso en la expresin y formato usados en el documento derespuesta.

Formato y Fecha de Entrega

La fecha lmite para entregar esta prctica es el 22 de mayo a las 24 horas.

14-4-201516:58:40.741+02:00 - 3 -

La entrega ser por medio de un documento PDF , con nombreApellidosNombre_SRC_PRA.pdf . Si debes entregar archivos adicionales, ponlo todo enun documento ZIP . Todos los editores de texto permiten generar un archivo PDF o, almenos, hay herramientas gratuitas que lo permiten hacer.

IMPORTANTE: PEER REVIEW

Una vez entregada tu prctica y, finalizado el plazo de entrega, comenzar una actividadde peer review.En concreto, debers revisar y evaluar el trabajo de un compaero/ade manera annima. En este sentido, es esencial que la resolucin de tu prctica nocontenga informacin que te pueda identificar fcilmente . Esta evaluacin se harsegn una rbrica y elementos que publicaremos. Por este motivo, no hay una solucinoficial de la prctica. Con lo que se ha trabajado durante el curso, deberas poder evaluartanto tu solucin, como la de los compaeros. Trabajando estas competencias, tuproceso de aprendizaje en la asignatura ser claramente ms slido.El proceso de peer review finalizar el da 31 de mayo , que es cuando debers entregartu informe de evaluacin de la prctica del compaero/a.

Enunciado

Este ao est lleno de citas electorales. El gobierno tiene un sistema informticodistribuido para hacer el recuento de los votos y enviarlos a la sede electoral central, en lacapital. Cada provincia tiene un servidor que se utiliza para organizar el recuento: cuandose cierran los colegios electorales los miembros de las mesas vacan las urnas y empiezana contar los votos que ha obtenido cada lista, disciernen los votos nulos y en blanco, etc.y envan los resultados al servidor de su provincia. Los servidores de la capital gestionanlos recuentos de todo el territorio. La figura adjunta muestra el esquema planteado en elescenario.

Los votos se cuentan los colegios electorales, cada uno de ellos tiene una wifi LAN_CEnque conecta a Internet, con un rango de IP privadas. En cada provincia hay una sede conuna LAN_PROn, con un rango de IP privadas y conectada a Internet por medio de unnodo FW, con IP externa dentro de la red 80.35. *. *. Los esquemas anteriores se repitenpor tantos colegios electorales y provincias hay.

Los nodos FW son ordenadores en bastidor ("enrackables") con funcionalidades de routerbasado en Linux.

A continuacin se describen algunos detalles importantes:

14-4-201516:58:40.741+02:00 - 4 -

Una vez se cierran las votaciones en los colegios electorales, los miembros de la mesahacen el recuento de los votos. Utilizan un smartphone para facilitar este recuento:para cada voto, se pulsa el icono de la lista del partido correspondiente. Los datos seenvan al servidor de LAN_PRO correspondiente, por medio del puerto 443 TCP.

Estos usuarios del colegio electoral interactan con el sistema del LAN_PRO oLAN_CAP (para introducir informacin, para ver informacin, etc.) por medio de unaweb en cada uno de los servidores (provincia, sede central). Los puertos utilizadospara este servicio web son el 80 y el 443 de TCP. Estos servidores estn basados enLinux y tienen tambin un sistema cortafuegos IPtables interno.

Los servidores provinciales envan peridicamente informacin al servidor centraldentro de LAN_CAP. Lo hacen por medio de una conexin con una base de datosubicada en el servidor de la sede central. El puerto utilizado para este servicio es elTCP/3306.

Dentro LAN_CAP hay un servidor SMTP que enva un informe detallado cada 10minutos a una lista de correos electrnicos de medios de comunicacin.

Dentro LAN_CAP hay personal administrativo que trabaja. Desde sus mquinas slopueden navegar por Internet, en este sentido necesitan acceso al exterior a travsde los puertos TCP 80, 443, 8080. Tambin necesitan el servicio DNS por medio delservidor externo 80.35.119.45.

Los tcnicos de la administracin, que gestionan la infraestructura TIC, se puedenconectar a cualquier servidor mediante el puerto TCP 22 y la aplicacin SSH pararesolver incidencias, si las hay.

Como personas graduadas universitarias expertas en seguridad informtica, te encarganque disees e implementes la seguridad. Si hay algn dato que necesitas para poderrealizar alguna de las actividades, puedes proponerlo t mismo dejndolo especificado.

..........................................................................................................................................Entra al campus virtual y accede al aula para descargar el archivo adjunto tituladoPRAC-Enunciado.png

Actividad 1 (20%)

Los sistemas de informacin electorales suelen ser objetivos de ataques informticos enfechas cercanas a las citas electorales.1.1. Busca un ataque en la prensa que hable de ataques informticos a sistemas deinformacin electorales. Haz un pequeo resumen, de entre 8 y 10 lneas. Si puedes,ampla la informacin a nivel tcnico sobre cmo procedieron a realizar el ataque o biencmo crees que lo haran (25%)1.2. Suponiendo que la LAN_CAP se encuentra en el dominio juntaelectoral.net, describecmo un atacante podra proceder para averiguar qu mquinas se esconden detrs de

14-4-201516:58:40.741+02:00 - 5 -

este dominio, por medio de las herramientas estudiadas en el Mdulo 1 de la asignatura(25%)1.3. Finalmente, de forma prctica y mediante dos mquinas virtuales (MV) recrea elsiguiente escenario: una MV estar ejecutando un servidor web y la otra ser la mquinadel atacante. Recrea de forma prctica lo que se ha propuesto en la actividad 1.2,ilustrndolo mediante capturas de pantalla. Nota: ten cuidado a la hora de seleccionarlos modos de red correctos para las MV, para que les permita obtener una direccin IPdentro de la red (50%)

Actividad 2 (30%)

En este apartado os dedicaris a programar los IPtables de las mquinas FW descritas enel escenario.2.1. En primer lugar, configurars el cortafuegos que hay en el servidor dentro de unaLAN_PRO. Ten en cuenta las funcionalidades descritas anteriormente. Los datos que nose te han dado (direcciones IP, por ejemplo) te las puedes inventar. Te pedimos cul serael script que programara el cortafuegos, usando la denegacin como poltica por defecto(25%)2.2. Por medio de una MV, la herramienta que has usado en la actividad 1 y laherramienta hping3 , demuestra que el cortafuegos est funcionando. Adjunta lascapturas de pantalla necesarias (25%)2.3. Los servidores dentro LAN_CAP estn dentro de la misma LAN que los ordenadoresde las personas que trabajan. En este sentido, un ataque a uno de estos ordenadorespodra comprometer la seguridad de los servidores. Se pide que disees una solucinbasada en DMZ (50%). Concretamente:2.3.a) Dibuja un esquema de cmo quedara la arquitectura de red, indicando IPs en sucaso.2.3.b) Proporciona los scripts de IPtables que permitiran configurar los cortafuegosque has tenido en cuenta para la creacin de la DMZ. Ten presentes los serviciosespecificados anteriormente y utiliza una poltica de denegacin predeterminada.

Actividad 3 (20%)

Durante la asignatura, trabajaste con la aplicacin Snort. Crees conveniente utilizarladentro de la red LAN_CAP. Se te pide:4.1. Define cuatro situaciones concretas donde Snort podra ser til en esta red. (40%)4.2. Describe las reglas para las cuatro situaciones anteriores y describe cmo probarasque funcionan correctamente (no es necesario implementar ni probar en las MV). (60%)

14-4-201516:58:40.741+02:00 - 6 -

Actividad 4 (30%)

Durante las elecciones se ha identificado una web, externa y sin relacin alguna conel sistema de voto electrnico, que publicaba informacin de los votos en tiemporeal. Despus de ciertas investigaciones, se sospecha que esta informacin se estabaexfiltrando a travs de un servidor web en la DMZ.Como parte de la investigacin, se te proporcionan contenidos del sistema deficheros del servidor web afectado, y tambin una captura de trfico que se sospechacorresponde con momentos de la exfiltracin de datos, en el archivo adjunto file-system.zip.

Parte 4.1 (10%)

a) Describe los pasos a seguir para realizar la recogida de datos de la mquina afectada.b) Describe los pasos a seguir para preparar el entorno de trabajo para analizar lainformacin recogida de la mquina afectada.

Parte 4.2 (20%)

Realiza un anlisis forense de los siguientes contenidos del sistema de ficheros del sistemaafectado:

el directorio del servidor web /var/www donde se encuentran las pginas web de lalgica y presentacin del sistema de votacin electrnica

el archivo de configuracin del servidor web Apache

el archivo de configuracin del componente PHP del servidor web

el archivo de configuracin de la base de datos MySQL

los logs del servidor web

la lista de puertos en los que hay procesos escuchando

Nota: por temas de adaptacin y tiempo, slo se proporcionan los archivos sospechososy tiles para el anlisis forense.

Parte 4.3 (20%)

Realiza un anlisis forense del trfico de red capturado como parte de este compromiso yexfiltracin de datos. Identifica, al menos, la siguiente informacin:

las direcciones IP de los sistemas involucrados

14-4-201516:58:40.741+02:00 - 7 -

el protocolo y puerto del servidor atacado

los protocolos y puertos del sistema atacante

las herramientas que el atacante ha utilizado

la informacin que se ha exfiltrado

Incluye capturas de pantalla como evidencia que soporte tus respuestas.

Para esta parte de anlisis forense de red puedes utilizar las siguientes herramientas:

wireshark

tcpdump

xplico ( http://www.xplico.org/ )

tcpxtract ( http://tcpxtract.sourceforge.net/ )

Parte 4.4 (50%)

Redacta el informe tcnico del anlisis forense que acabas de realizar en los apartados 4.2y 4.3 (tendrs que repetir parte de la informacin que has indicado anteriormente). Esteinforme debe tener las siguientes partes:a) Introduccin.b) Preparacin del entorno y recogida de datos.c) Detalles tcnicos del ataque realizado incluyendo (y no limitando) los siguientespuntos:

el cronograma de las actividades ilcitas detectadas

los actores involucrados (direcciones IP)

cmo el atacante ha podido comprometer la Informacin de voto electrnico (culfue la vulnerabilidad que el atacante utiliz como modo de entrada)

de qu forma la ha extrado (protocolo, puertos, cifrado)

qu informacin ha podido acceder el atacante

cualquier otro detalle que creas relevante como parte del informe forense

d) Conclusiones y recomendaciones.

..........................................................................................................................................

14-4-201516:58:40.741+02:00 - 8 -

Entra al campus virtual y accede al aula para descargar el archivo adjunto tituladofile-system.zip

Nota: Propiedad Intelectual

A menudo es inevitable, al producir una obra en formato digital, hacer uso de recursoscreados por terceras personas. Es por tanto comprensible hacerlo en el marco de una prcticade los estudios de Mster, siempre y cuando esto se documente claramente y no supongaplagio en la actividad.

Por lo tanto, al presentar una actividad que haga uso de recursos ajenos, esta debe contenerun apartado donde se detallen todos ellos, especificando el nombre de cada recurso, suautor, el lugar donde se obtuvo y su estatus legal: si la obra est protegida por copyright o seacoge a alguna otra licencia de uso (Creative Commons, GNU, GPL ...). El estudiante deberasegurarse de que la licencia que sea no impide especficamente su uso en el marco de laactividad. En caso de no encontrar la informacin correspondiente deber asumir que la obraest protegida por copyright. Introducir el texto del apartado

MaterialesVM-FM VM-SERVER VM-WWW Linux BackTrack 5 Mdulo 1. Ataques contra redes TCP/IP Mdulo 2. Mecanismos de prevencin Mdulo 4a. Introduccin al anlisis forense Mdulo 5a. Ejemplo de anlisis forense Mdulo 5b. Mecanismos para la deteccin de ataques e intrusiones