M2.

107 Seguridad en redes aula 1

UOC Universidad Oberta de Catalunya

Aspectos avanzados de seguridad en redes

- PEC 3

Presentado por:
Marlon Jose Cardenas Castellanos

Mster en Software Libre

2015
Actividad 1.

Los sistemas de informacin electorales suelen ser objetivos de ataques

informticos en fechas cercanas a las citas electorales.
1.1. Busca un ataque en la prensa que hable de ataques informticos a sistemas
de
Informacin electoral. Haz un pequeo resumen, de entre 8 y 10 lneas. Si puedes,
ampla la informacin a nivel tcnico sobre cmo procedieron a realizar el ataque o
bien cmo crees que lo haran.

Caso ataque informtico elecciones Presidente Juan Manuel Santos Pas

Colombia ao 2011, donde se presentaron ataques a la pgina de la registradora
nacional factores que ocasionaron el colapso de la plataforma tecnolgica. Luego
de contratar una empresa certificada en investigaciones forenses, concluyo en el
informe presentado, la evidencia recolectada muestra claramente las fechas de
votaciones se presentaron ataque informtico de magnitudes considerables.
En este ataque, se encontr 14 direcciones IP con exagerado nmero de
consultas a la plataforma informtica, lo que gener el colapso, estas pertenecan
al DAS, Ejercito Nacional, Polica Nacional haba sido empleado para realizar
maniobras en contra de una entidad, asi mismo se presentaron intentos de alterar
las informaciones en las bases de datos del conteo, por empleados de la entidad,
esto con el fin de generar desconfianza en la entidad y alterar informacin

Bibliografa:
http://www.elespectador.com/noticias/politica/los-hackers-atacaron-registraduriaarticulo-271637

1.2. Suponiendo que la LAN_CAP se encuentra en el dominio juntaelectoral.net,

describe cmo un atacante podra proceder para averiguar qu mquinas se
esconden detrs de este dominio, por medio de las herramientas estudiadas en el
Mdulo 1 de la asignatura.

El atacante desea recolectar informacin del dominio juntaelectoral.net, tratando

de obtener toda aquella informacin general relacionada con la organizacin que
hay detrs de la red que se quiere atacar. La recogida de esta informacin puede
empezar extrayendo la informacin relativa a los dominios asociados a la
organizacin, as como las subredes correspondientes.
Esto puede obtenerse fcilmente mediante consultas al servicio de nombre de
dominios (DNS).
Si el servidor que ofrece la informacin de este dominio no se ha configurado
adecuadamente, es posible realizar una consulta de transferencia de zona
completa, lo cual permitir obtener toda la informacin de traduccin de
direcciones IP a nombres de mquina, lo podemos realizar con el comando
[root@marlonjcc /]$ host -l juntaelectoral.net

1.3. Finalmente, de forma prctica y mediante dos mquinas virtuales (MV) recrea
el siguiente escenario: una MV estar ejecutando un servidor web y la otra ser la
mquina del atacante. Recrea de forma prctica lo que se ha propuesto en la
actividad 1.2, ilustrndolo mediante capturas de pantalla. Nota: ten cuidado a la
hora de seleccionar los modos de red correctos para las MV, para que les permita
obtener una direccin IP dentro de la red (50%)

Configuracin Interfaces:

Prueba obtencin Informacin Dominio juntaelectoral.net

Actividad 2.
En este apartado os dedicaris a programar los IPtables de las mquinas FW
descritas en el escenario.
2.1. En primer lugar, configurars los cortafuegos que hay en el servidor dentro de
una LAN_PRO. Ten en cuenta las funcionalidades descritas anteriormente. Los
datos que no se te han dado (direcciones IP, por ejemplo) te las puedes inventar.
Te pedimos cul sera el script que programara los cortafuegos, usando la
denegacin como poltica por defecto

2.2. Por medio de una MV, la herramienta que has usado en la actividad 1 y la

herramienta hping3 , demuestra que el cortafuegos est funcionando. Adjunta las

capturas de pantalla necesarias (25%)
2.3. Los servidores dentro LAN_CAP estn dentro de la misma LAN que los
ordenadores
de las personas que trabajan. En este sentido, un ataque a uno de estos
ordenadores
podra comprometer la seguridad de los servidores. Se pide que disees una
solucin
basada en DMZ (50%). Concretamente:
2.3.a) Dibuja un esquema de cmo quedara la arquitectura de red, indicando IPs
en su
caso.
2.3.b) Proporciona los scripts de IPtables que permitiran configurar los
cortafuegos
que has tenido en cuenta para la creacin de la DMZ. Ten presentes los servicios
especificados anteriormente y utiliza una poltica de denegacin predeterminada.
Actividad 3 (20%)
Durante la asignatura, trabajaste con la aplicacin Snort. Crees conveniente
utilizarla
dentro de la red LAN_CAP. Se te pide:
4.1. Define cuatro situaciones concretas donde Snort podra ser til en esta red.
(40%)
4.2. Describe las reglas para las cuatro situaciones anteriores y describe cmo
probaras
que funcionan correctamente (no es necesario implementar ni probar en las MV).
(60%)

Actividad 4 (30%)
Durante las elecciones se ha identificado una web, externa y sin relacin alguna
con
el sistema de voto electrnico, que publicaba informacin de los votos en tiempo
real. Despus de ciertas investigaciones, se sospecha que esta informacin se
estaba
exfiltrando a travs de un servidor web en la DMZ.
Como parte de la investigacin, se te proporcionan contenidos del sistema de
ficheros del servidor web afectado, y tambin una captura de trfico que se
sospecha
corresponde con momentos de la exfiltracin de datos, en el archivo adjunto
filesystem.
zip.

Parte 4.2 (20%)

Realiza un anlisis forense de los siguientes contenido del sistema de ficheros del
sistema afectado:
el directorio del servidor web /var/www donde se encuentran las pginas
web de la lgica y presentacin del sistema de votacin electrnica
Configuramos el archivo
<VirtualHost *:80>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Este archivo hace referencia que el servidor escuche todas las IP (*) en el puerto
80 y que devuelva los documentos de la ruta /var/www/html. Adems da
lineamientos para los de error y acceso.
Debemos cambiar la configuracin del archivo aplicando el anlisis de
vulnerabilidad no nos sirve esta directriz ya que queremos que ciertas IP vayan a
ciertos documentos,
Para este caso enfoqumonos en el ejemplo de IP-based anterior entonces
configuramos algo como:
<VirtualHost 192.168.122.xxx:80>
ServerAdmin webmaster@softwareevolutivo.com.ec
DocumentRoot "c:/htdocs/softevo"
ServerName www.softwareevolutivo.com
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
<VirtualHost 192.xxx.10.21:80>
ServerAdmin webmaster@softwareevolutivo.com.ec
DocumentRoot "c:/htdocs/softevoecuador"
ServerName www.softevo.ec
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

De esta forma hemos especificado que al escuchar cierta ip se devuelvan los

documentos de cierta carpeta y que est asociado a un nombre de servidor
el archivo de configuracin del servidor web Apache.
Apache, as como viene, incluye el mdulo SSL necesario para HTTP seguro
(HTTPS). Se recomienda activar con a2enmod ssl y luego agregar las directivas
necesarias a los archivos de configuracin.
Puede encontrar un archivo de configuracin de ejemplo en :
/usr/share/doc/apache2.2-common/examples/apache2/extra/httpd-ssl.conf.gz.
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html
Debe tener ciertos cuidados adicionales si prefiere conexiones SSL con Perfect
Forward Secrecy (secreto perfecto a futuro, donde las conexiones utilizan llaves
efmeras en cada sesin asegurndose que si se compromete la llave privada del
servidor no signifique que se haya comprometido todo el trfico antiguo que puede
haberse almacenado desde la red.

el archivo de configuracin del componente PHP del servidor web.

Aplicamos las directivas Allow from y Deny from controlan las restricciones de acceso a un
directorio y sus subdirectorios de forma recursiva.
A las directivas Allow from y Deny from le puede seguir una direccin IP de la Lan
192.168.0.0/255.255.255.0, 192.168.0.0/24 o inclusive 192.168.0), un nombre de
equipo o nombre de dominio o la palabra clave all que incluye a todos.
Como por ejemplo rechazar de forma predeterminada pero permitir desde la red local
Order deny,allow
Allow from 192.168.0.0/16
Deny from all

Permitiendo el acceso autorizado al servidor, encontrando una vulnerabilidad para el acceso

de otras reds

 el archivo de configuracin de la base de datos MySQL

La primera regla para securizar MySQL es no exponer la base de datos en la
red. La mayora de las distribuciones de Linux configuran el acceso al demonio
de MySQL slo para localhost. En caso de que sea necesario habilitar el acceso
remoto al servicio, MySQL tambin proporciona controles de acceso basados en
host.
Lo ms fcil es modificar el archivo my.cnf con el fin de restringir el acceso al
sistema local. Busca la seccin [mysqld] y cambia (o aade una nueva lnea
para configurar) el parmetro "bind-address" a "127.0.0.1". Reinicia el servicio
de MySQL para aplicar esta configuracin.
La siguiente recomendacin claramente es actualizar o parchear la base de
datos.

los logs del servidor web

En el archivo log de incidentes se evidencias intentos de acceso no autorizado al
servidor web por parte de redes, las cuales no tiene permisos

 la lista de puertos en los que hay procesos escuchando

A lista de puerto son:

631, 1271, 443, 3306, 11265, 2130

Parte 4.3 (20%)

Realiza un anlisis forense del trfico de red capturado como parte de este
compromiso y
exfiltracin de datos. Identifica, al menos, la siguiente informacin:
las direcciones IP de los sistemas involucrados
el protocolo y puerto del servidor atacado
los protocolos y puertos del sistema atacante
las herramientas que el atacante ha utilizado
la informacin que se ha exfiltrado
Incluye capturas de pantalla como evidencia que soporte tus respuestas.
Para esta parte de anlisis forense de red puedes utilizar las siguientes
herramientas:
wireshark
tcpdump
xplico ( http://www.xplico.org/ )
tcpxtract ( http://tcpxtract.sourceforge.net/ )

Parte 4.4 (50%)

Redacta el informe tcnico del anlisis forense que acabas de realizar en
los apartados 4.2
y 4.3 (tendrs que repetir parte de la informacin que has indicado
anteriormente). Este
informe debe tener las siguientes partes:
a) Introduccin.
b) Preparacin del entorno y recogida de datos.
c) Detalles tcnicos del ataque realizado incluyendo (y no limitando) los
siguientes
puntos:
el cronograma de las actividades ilcitas detectadas
los actores involucrados (direcciones IP)

 cmo el atacante ha podido comprometer la Informacin de voto

electrnico (cul
fue la vulnerabilidad que el atacante utiliz como modo de entrada)
de qu forma la ha extrado (protocolo, puertos, cifrado)
qu informacin ha podido acceder el atacante
cualquier otro detalle que creas relevante como parte del informe
forense
d) Conclusiones y recomendaciones.