14-4-201516:58:40.

741+02:00 - 1 -

AULA

M2.107 Seguridad en redes aula 1

Prctica (P1)
Inicio:

Entrega:

Solucin:

Calificacin:

Dedicacin:

13-04-15

22-05-15

10-06-15

Prctica
En esta actividad se trabajarn los aspectos incluidos en los mdulos de la asignatura, as
como en las diferentes PEC, relacionados bajo un supuesto de escenario real.

Competencias
Las competencias generales del grado que se trabajan mediante esta actividad son:
1. Capacidad de comunicacin en el mbito acadmico y profesional.
2. Uso y aplicacin de las TIC en el mbito acadmico y profesional.
3. Capacidad de comunicacin en lengua extranjera.
4. Capacidad para adaptarse a las tecnologas y a los futuros entornos.
5. Capacidad para innovar y generar nuevas ideas.
Las competencias especficas de esta asignatura trabajadas en esta actividad son:
1. Capacidad para ejercer la actividad profesional de acuerdo con el cdigo tico y los
aspectos legales en el entorno TIC.
2. Capacidad para analizar la arquitectura y organizacin de sistemas y aplicaciones en
red
3. Conocer tecnologas de comunicaciones actuales y emergentes, y saberlas aplicar
convenientemente para disear y desarrollar soluciones basadas en sistemas y tecnologas
de la informacin.
4. Capacidad de proponer y evaluar diferentes alternativas tecnolgicas para resolver un
problema concreto.

Objetivos
Los objetivos a alcanzar en esta prctica son:

14-4-201516:58:40.741+02:00 - 2 -

Analizar las vulnerabilidades existentes dado un escenario de trabajo.

Disear y desplegar una arquitectura de cortafuegos basada en DMZ.

Desplegar un sistema de deteccin de intrusiones (IDS).

Realizar un anlisis forense de sistema y red.

Redactar el informe tcnico de un anlisis forense.

Recursos
Los recursos recomendados para realizar esta prctica son:

Herramientas IPtables, Snort y hping3

Enlace sobre cortafuegos con IPtables ( http://www.pello.info/filez/firewall/

iptables.html )

Herramientas de anlisis forense de red: wireshark, tcpdump, xplico, tcpxtract

Criterios de Evaluacin
Para obtener una evaluacin positiva, hay que cumplir los siguientes criterios:

Hay que responder a todos los apartados que se piden. Dejar apartados en blanco se
penalizar.

Debers justificar y fundamentar sus respuestas sobre teora y/o bsqueda de

informacin.

Es esencial citar las fuentes de informacin utilizadas. No admitiremos respuestas que

sean copias directas de estas fuentes.

En las actividades de carcter prctico, utiliza capturas de pantalla para demostrar la

consecucin de lo que le pedimos.

Hay que ser cuidadoso en la expresin y formato usados en el documento de

respuesta.

Formato y Fecha de Entrega

La fecha lmite para entregar esta prctica es el 22 de mayo a las 24 horas.

14-4-201516:58:40.741+02:00 - 3 -

La entrega ser por medio de un documento PDF , con nombre

ApellidosNombre_SRC_PRA.pdf . Si debes entregar archivos adicionales, ponlo todo en
un documento ZIP . Todos los editores de texto permiten generar un archivo PDF o, al
menos, hay herramientas gratuitas que lo permiten hacer.

IMPORTANTE: PEER REVIEW

Una vez entregada tu prctica y, finalizado el plazo de entrega, comenzar una actividad
de peer review.En concreto, debers revisar y evaluar el trabajo de un compaero/a
de manera annima. En este sentido, es esencial que la resolucin de tu prctica no
contenga informacin que te pueda identificar fcilmente . Esta evaluacin se har
segn una rbrica y elementos que publicaremos. Por este motivo, no hay una solucin
oficial de la prctica. Con lo que se ha trabajado durante el curso, deberas poder evaluar
tanto tu solucin, como la de los compaeros. Trabajando estas competencias, tu
proceso de aprendizaje en la asignatura ser claramente ms slido.
El proceso de peer review finalizar el da 31 de mayo , que es cuando debers entregar
tu informe de evaluacin de la prctica del compaero/a.

Enunciado
Este ao est lleno de citas electorales. El gobierno tiene un sistema informtico
distribuido para hacer el recuento de los votos y enviarlos a la sede electoral central, en la
capital. Cada provincia tiene un servidor que se utiliza para organizar el recuento: cuando
se cierran los colegios electorales los miembros de las mesas vacan las urnas y empiezan
a contar los votos que ha obtenido cada lista, disciernen los votos nulos y en blanco, etc.
y envan los resultados al servidor de su provincia. Los servidores de la capital gestionan
los recuentos de todo el territorio. La figura adjunta muestra el esquema planteado en el
escenario.
<Revisad el diagrama adjunto en la imagen PNG PRAC-Enunciado.png>
Los votos se cuentan los colegios electorales, cada uno de ellos tiene una wifi LAN_CEn
que conecta a Internet, con un rango de IP privadas. En cada provincia hay una sede con
una LAN_PROn, con un rango de IP privadas y conectada a Internet por medio de un
nodo FW, con IP externa dentro de la red 80.35. *. *. Los esquemas anteriores se repiten
por tantos colegios electorales y provincias hay.
Los nodos FW son ordenadores en bastidor ("enrackables") con funcionalidades de router
basado en Linux.
A continuacin se describen algunos detalles importantes:

14-4-201516:58:40.741+02:00 - 4 -

Una vez se cierran las votaciones en los colegios electorales, los miembros de la mesa
hacen el recuento de los votos. Utilizan un smartphone para facilitar este recuento:
para cada voto, se pulsa el icono de la lista del partido correspondiente. Los datos se
envan al servidor de LAN_PRO correspondiente, por medio del puerto 443 TCP.

Estos usuarios del colegio electoral interactan con el sistema del LAN_PRO o
LAN_CAP (para introducir informacin, para ver informacin, etc.) por medio de una
web en cada uno de los servidores (provincia, sede central). Los puertos utilizados
para este servicio web son el 80 y el 443 de TCP. Estos servidores estn basados en
Linux y tienen tambin un sistema cortafuegos IPtables interno.

Los servidores provinciales envan peridicamente informacin al servidor central

dentro de LAN_CAP. Lo hacen por medio de una conexin con una base de datos
ubicada en el servidor de la sede central. El puerto utilizado para este servicio es el
TCP/3306.

Dentro LAN_CAP hay un servidor SMTP que enva un informe detallado cada 10
minutos a una lista de correos electrnicos de medios de comunicacin.

Dentro LAN_CAP hay personal administrativo que trabaja. Desde sus mquinas slo
pueden navegar por Internet, en este sentido necesitan acceso al exterior a travs
de los puertos TCP 80, 443, 8080. Tambin necesitan el servicio DNS por medio del
servidor externo 80.35.119.45.

Los tcnicos de la administracin, que gestionan la infraestructura TIC, se pueden

conectar a cualquier servidor mediante el puerto TCP 22 y la aplicacin SSH para
resolver incidencias, si las hay.

Como personas graduadas universitarias expertas en seguridad informtica, te encargan

que disees e implementes la seguridad. Si hay algn dato que necesitas para poder
realizar alguna de las actividades, puedes proponerlo t mismo dejndolo especificado.
..........................................................................................................................................
Entra al campus virtual y accede al aula para descargar el archivo adjunto tituladoPRACEnunciado.png

Actividad 1 (20%)
Los sistemas de informacin electorales suelen ser objetivos de ataques informticos en
fechas cercanas a las citas electorales.
1.1. Busca un ataque en la prensa que hable de ataques informticos a sistemas de
informacin electorales. Haz un pequeo resumen, de entre 8 y 10 lneas. Si puedes,
ampla la informacin a nivel tcnico sobre cmo procedieron a realizar el ataque o bien
cmo crees que lo haran (25%)
1.2. Suponiendo que la LAN_CAP se encuentra en el dominio juntaelectoral.net, describe
cmo un atacante podra proceder para averiguar qu mquinas se esconden detrs de

14-4-201516:58:40.741+02:00 - 5 -

este dominio, por medio de las herramientas estudiadas en el Mdulo 1 de la asignatura

(25%)
1.3. Finalmente, de forma prctica y mediante dos mquinas virtuales (MV) recrea el
siguiente escenario: una MV estar ejecutando un servidor web y la otra ser la mquina
del atacante. Recrea de forma prctica lo que se ha propuesto en la actividad 1.2,
ilustrndolo mediante capturas de pantalla. Nota: ten cuidado a la hora de seleccionar
los modos de red correctos para las MV, para que les permita obtener una direccin IP
dentro de la red (50%)

Actividad 2 (30%)
En este apartado os dedicaris a programar los IPtables de las mquinas FW descritas en
el escenario.
2.1. En primer lugar, configurars el cortafuegos que hay en el servidor dentro de una
LAN_PRO. Ten en cuenta las funcionalidades descritas anteriormente. Los datos que no
se te han dado (direcciones IP, por ejemplo) te las puedes inventar. Te pedimos cul sera
el script que programara el cortafuegos, usando la denegacin como poltica por defecto
(25%)
2.2. Por medio de una MV, la herramienta que has usado en la actividad 1 y la
herramienta hping3 , demuestra que el cortafuegos est funcionando. Adjunta las
capturas de pantalla necesarias (25%)
2.3. Los servidores dentro LAN_CAP estn dentro de la misma LAN que los ordenadores
de las personas que trabajan. En este sentido, un ataque a uno de estos ordenadores
podra comprometer la seguridad de los servidores. Se pide que disees una solucin
basada en DMZ (50%). Concretamente:
2.3.a) Dibuja un esquema de cmo quedara la arquitectura de red, indicando IPs en su
caso.
2.3.b) Proporciona los scripts de IPtables que permitiran configurar los cortafuegos
que has tenido en cuenta para la creacin de la DMZ. Ten presentes los servicios
especificados anteriormente y utiliza una poltica de denegacin predeterminada.

Actividad 3 (20%)
Durante la asignatura, trabajaste con la aplicacin Snort. Crees conveniente utilizarla
dentro de la red LAN_CAP. Se te pide:
4.1. Define cuatro situaciones concretas donde Snort podra ser til en esta red. (40%)
4.2. Describe las reglas para las cuatro situaciones anteriores y describe cmo probaras
que funcionan correctamente (no es necesario implementar ni probar en las MV). (60%)

14-4-201516:58:40.741+02:00 - 6 -

Actividad 4 (30%)
Durante las elecciones se ha identificado una web, externa y sin relacin alguna con
el sistema de voto electrnico, que publicaba informacin de los votos en tiempo
real. Despus de ciertas investigaciones, se sospecha que esta informacin se estaba
exfiltrando a travs de un servidor web en la DMZ.
Como parte de la investigacin, se te proporcionan contenidos del sistema de
ficheros del servidor web afectado, y tambin una captura de trfico que se sospecha
corresponde con momentos de la exfiltracin de datos, en el archivo adjunto filesystem.zip.
Parte 4.1 (10%)
a) Describe los pasos a seguir para realizar la recogida de datos de la mquina afectada.
b) Describe los pasos a seguir para preparar el entorno de trabajo para analizar la
informacin recogida de la mquina afectada.
Parte 4.2 (20%)
Realiza un anlisis forense de los siguientes contenidos del sistema de ficheros del sistema
afectado:

el directorio del servidor web /var/www donde se encuentran las pginas web de la
lgica y presentacin del sistema de votacin electrnica

el archivo de configuracin del servidor web Apache

el archivo de configuracin del componente PHP del servidor web

el archivo de configuracin de la base de datos MySQL

los logs del servidor web

la lista de puertos en los que hay procesos escuchando

Nota: por temas de adaptacin y tiempo, slo se proporcionan los archivos sospechosos
y tiles para el anlisis forense.
Parte 4.3 (20%)
Realiza un anlisis forense del trfico de red capturado como parte de este compromiso y
exfiltracin de datos. Identifica, al menos, la siguiente informacin:

las direcciones IP de los sistemas involucrados

14-4-201516:58:40.741+02:00 - 7 -

el protocolo y puerto del servidor atacado

los protocolos y puertos del sistema atacante

las herramientas que el atacante ha utilizado

la informacin que se ha exfiltrado

Incluye capturas de pantalla como evidencia que soporte tus respuestas.

Para esta parte de anlisis forense de red puedes utilizar las siguientes herramientas:

wireshark

tcpdump

xplico ( http://www.xplico.org/ )

tcpxtract ( http://tcpxtract.sourceforge.net/ )

Parte 4.4 (50%)

Redacta el informe tcnico del anlisis forense que acabas de realizar en los apartados 4.2
y 4.3 (tendrs que repetir parte de la informacin que has indicado anteriormente). Este
informe debe tener las siguientes partes:
a) Introduccin.
b) Preparacin del entorno y recogida de datos.
c) Detalles tcnicos del ataque realizado incluyendo (y no limitando) los siguientes
puntos:

el cronograma de las actividades ilcitas detectadas

los actores involucrados (direcciones IP)

cmo el atacante ha podido comprometer la Informacin de voto electrnico (cul

fue la vulnerabilidad que el atacante utiliz como modo de entrada)

de qu forma la ha extrado (protocolo, puertos, cifrado)

qu informacin ha podido acceder el atacante

cualquier otro detalle que creas relevante como parte del informe forense

d) Conclusiones y recomendaciones.
..........................................................................................................................................

14-4-201516:58:40.741+02:00 - 8 -

Entra al campus virtual y accede al aula para descargar el archivo adjunto tituladofilesystem.zip

Nota: Propiedad Intelectual

A menudo es inevitable, al producir una obra en formato digital, hacer uso de recursos
creados por terceras personas. Es por tanto comprensible hacerlo en el marco de una prctica
de los estudios de Mster, siempre y cuando esto se documente claramente y no suponga
plagio en la actividad.
Por lo tanto, al presentar una actividad que haga uso de recursos ajenos, esta debe contener
un apartado donde se detallen todos ellos, especificando el nombre de cada recurso, su
autor, el lugar donde se obtuvo y su estatus legal: si la obra est protegida por copyright o se
acoge a alguna otra licencia de uso (Creative Commons, GNU, GPL ...). El estudiante deber
asegurarse de que la licencia que sea no impide especficamente su uso en el marco de la
actividad. En caso de no encontrar la informacin correspondiente deber asumir que la obra
est protegida por copyright. Introducir el texto del apartado

Materiales
VM-FM
VM-SERVER
VM-WWW
Linux BackTrack 5
Mdulo 1. Ataques contra redes TCP/IP
Mdulo 2. Mecanismos de prevencin
Mdulo 4a. Introduccin al anlisis forense
Mdulo 5a. Ejemplo de anlisis forense
Mdulo 5b. Mecanismos para la deteccin de ataques e intrusiones