4
1 de 4 Estudios de Informática, Multimedia y Telecomunicaciones Seguridad en Redes de Computadores Practica obligatoria Para dudas y aclaraciones sobre el enunciado, dirígete al consultor responsable de tu aula. Para dudas sobre programas específicos, dirígete al consultor de laboratorio. Hay que entregar la solución en un fichero PDF (preferentemente), Word u OpenOffice. Adjunta el fichero en un mensaje usando el registro de evaluación continua. El nombre del archivo debe ser ApellidosNombre_SRC _PRAC.pdf o con la extensión según el formato en que se haga la entrega. Para ejercicios con múltiples documentos (por ejemplo, archivos de configuración), comprímelos todos en un único fichero. ZIP. Razona la respuesta en todos los ejercicios e indica las fuentes de información que utilizaste para realizarlos. Las respuestas sin justificación, que sean una copia de una fuente de información y/o que no contengan las referencias utilizadas, no recibirán puntuación. Objetivos Los objetivos a alcanzar durante el desarrollo de esta actividad son los siguientes: Estudiar un escenario concreto de aplicación de los conceptos tratados durante las PEC. Diseñar un sistema cortafuegos con DMZ con la herramienta IPTables. Ubicar la herramienta Snort como parte fundamental de un sistema de detección de intrusiones. Implementar un servidor web seguro. Implementar una conexión segura con SSH que utilice certificados de cliente como sistema de autenticación. Entorno de pruebas Para la realización de la práctica hay que hacer una serie de pruebas sobre una distribución Linux, tal y como ya se ha pedido en alguna PEC. Adicionalmente, este semestre os proponemos montar un escenario de máquinas virtuales. Claramente, hay ejercicios que pueden probarse con una sola máquina virtual, o incluso desde el LiveCD de la distribución Linux.

75.070_20111_PRAC

Embed Size (px)

Citation preview

Page 1: 75.070_20111_PRAC

1 de 4

Estudios de Informática, Multimedia y Telecomunicaciones

Seguridad en Redes de Computadores

Practica obligatoria • Para dudas y aclaraciones sobre el enunciado, dirígete al consultor responsable de tu aula. Para

dudas sobre programas específicos, dirígete al consultor de laboratorio.

• Hay que entregar la solución en un fichero PDF (preferentemente), Word u OpenOffice. Adjunta el fichero en un mensaje usando el registro de evaluación continua.

• El nombre del archivo debe ser ApellidosNombre_SRC _PRAC.pdf o con la extensión según el formato en que se haga la entrega.

• Para ejercicios con múltiples documentos (por ejemplo, archivos de configuración), comprímelos todos en un único fichero. ZIP.

• Razona la respuesta en todos los ejercicios e indica las fuentes de información que utilizaste para realizarlos.

• Las respuestas sin justificación, que sean una copia de una fuente de información y/o que no contengan las referencias utilizadas, no recibirán puntuación.

Objetivos

Los objetivos a alcanzar durante el desarrollo de esta actividad son los siguientes:

• Estudiar un escenario concreto de aplicación de los conceptos tratados durante las PEC.

• Diseñar un sistema cortafuegos con DMZ con la herramienta IPTables.

• Ubicar la herramienta Snort como parte fundamental de un sistema de detección de intrusiones.

• Implementar un servidor web seguro.

• Implementar una conexión segura con SSH que utilice certificados de cliente como sistema de autenticación.

Entorno de pruebas

Para la realización de la práctica hay que hacer una serie de pruebas sobre una distribución Linux, tal y como ya se ha pedido en alguna PEC. Adicionalmente, este semestre os proponemos montar un escenario de máquinas virtuales. Claramente, hay ejercicios que pueden probarse con una sola máquina virtual, o incluso desde el LiveCD de la distribución Linux.

Page 2: 75.070_20111_PRAC

2 de 4

Sin embargo, queremos ir un paso más allá y por eso os planteamos que el vuestro sistema "real" montéis varias máquinas "virtuales" conectadas en una "red virtual". Probar todo ello tendrá repercusiones positivas en la calificación. Disponéis de un pequeño manual que os guiará en el proceso.

Enunciado

Una discográfica ha implantado un sistema de autorías de remezcla en el que pueden participar aficionados de todo el mundo. De este modo, un aficionado se puede registrar en el sistema para descargar las pistas (base electrónica, melodía, guitarra, etc.) que luego mezclará con su ordenador. Una vez la canción está terminada, la sube al servidor. A partir de entonces, una serie de DJ de música electrónica pueden escuchar las remezclas, emitir votos y, en definitiva, elegir cuál de las remezclas encabezará el próximo single del sello discográfico. Los conocemos como mix judges. Estos se conectan a un servidor SFTP para descargar las mezclas.

El acceso a las pistas y el registro de aficionados se hace por medio de un servidor web HTTP/HTTPS ubicado en las instalaciones de la discográfica. En éstas, también hay una red de área local, desde donde el mix manager sube las pistas al servidor web o descarga las mezclas. También pone las mezclas en el servidor SFTP para que los mix judges las puedan escuchar.

Cuando un aficionado sube una mezcla al servidor web, el mix manager recibe una notificación. La discográfica tiene el servicio SMTP/IMAP de correo electrónico externo, ubicado en la IP 90.91.92.93.

El siguiente esquema resume el funcionamiento del sistema

Ejercicio 1 (10%)

La industria musical es salvaje y un éxito discográfico puede reportar ganancias millonarias. En este sentido, el servidor web y las máquinas de la red LAN son susceptibles de ser atacadas con el objetivo de robar pistas que aún no son públicas.

Mix judges

FW

web 10.40.1.2

Mix manager 10.40.1.99

Internet

10.40.1.100

Discográfica

SMTP/IMAP 90.91.92.93

SFTP 10..40.1.3

eth1:10.40.1.1 s0:80.80.1.5

Page 3: 75.070_20111_PRAC

3 de 4

1.1. Describe detalladamente las pautas a tener en cuenta a la hora de analizar el riesgo de intrusiones de las máquinas de la discográfica para recibir ataques. ¿Qué herramientas usarás para este análisis y con qué parámetros?

1.2. Inicia una máquina virtual y aplica las herramientas indicadas en el apartado anterior para estudiar el riesgo de ataques a la máquina FW. Puedes montar un escenario con la máquina virtual 'FW' y la máquina virtual 'web' (en esta última, instala Apache) o incluso con la máquina ‘sftp’ para hacer las pruebas.

Ejercicio 2 (20%)

2.1. La máquina FW contiene una cortafuegos implementado con IPtables. Diseña el script correspondiente, teniendo en cuenta las siguientes especificaciones:

• Todos los usuarios de la red local deben poder navegar por Internet (HTTP, HTTPS, DNS) y usar el correo electrónico (SMTP/IMAP).

• El servidor SFTP debe ser accesible, desde la red interna, por el mix manager.

• Desde el exterior se debe poder acceder al servidor SFTP (si eres un mix judge y tienes que escuchar las pistas)

• Los aficionados deben poder subir la mezcla desde el exterior.

2.2. Verifica el funcionamiento en la máquina virtual. Puedes montar un escenario con la máquina virtual 'FW' y la máquina virtual 'web' para hacer las pruebas (pings, nmap, etc.).

El mix manager ya ha tenido alguna que otra sorpresa: alguien de dentro de la empresa ha tenido acceso, antes de que se hicieran públicas, a las remezclas. ¡E incluso llegó a escuchar alguna un viernes, cuando estaba tranquilamente en un local con unos amigos! Como cree que hay un problema de seguridad alrededor de su sistema, deciden contratarte para que los asesores sobre DLP (Data Lost Prevention).

Lo primero que haces es tomar una decisión con la ubicación de los servidores. Propones hacer una DMZ y ubicar dentro los servidores web y SFTP.

2.2. Haz un dibujo de la arquitectura DMZ utilizando un segundo cortafuegos. Para no tener que cambiar las IPs, supone que cambiaremos la máscara a 255.255.255.128.

2.3. Diseña el script IPtables correspondiente a los dos cortafuegos. Considera que el cortafuegos que da al exterior se llama FW1 y el del interior FW2. En su caso, haz cambios en el FW que habías programado antes y verifica el funcionamiento.

Ejercicio 3 (30%)

Como experto en seguridad, también te has percatado de que el servidor web no dispone de ninguna web segura. Los participantes en las remezclas se dan de alta, tienen un login y una contraseña pero no se utiliza realmente una conexión HTTPS. Según los de la discográfica, uno de ellos, que tiene mano para el diseño, implementó la web sin tener en cuenta su seguridad.

3.1. Utiliza la herramienta OpenSSL para generar un certificado para el servidor Apache. Detalla los pasos seguirás, especifica los comandos empleados y adjunta el certificado generado en la solución de esta práctica. Supón que la página web de tu servidor es www.<usuarioUOC>.es . Te adjuntamos un certificado AC raíz para firmar los certificados de la

Page 4: 75.070_20111_PRAC

4 de 4

práctica, que consta de la clave privada (key-AC-UOC-Test.pem con contraseña "test ") y del certificado público asociado (AC-UOC-Test.cer ).

3.2. Especifica qué hay que hacer para instalar este certificado que has creado en el Apache de tu distribución.

3.3. Da de alta el nombre del dominio en el archivo host . Muestra con captura de pantalla que lo has conseguido. Muestra las propiedades del certificado. Puedes montar la máquina virtual 'web' para hacer las pruebas y mostrar el resultado obtenido.

3.4. ¿Has tenido algún mensaje de error / aviso? En caso afirmativo, ¿qué crees que se debe hacer para resolver este problema de forma permanente? (no lo pida cada vez que abrimos el navegador).

Ejercicio 4 (20%)

Los mix judges se conectan al servidor SFTP con un certificado de cliente.

4.1. Crea dos certificados nuevos utilizando también el certificado de AC que te adjuntamos. Uno con tu nombre como "certificado de usuario", y el otro como sftp.<usuarioUOC>.es para el servidor. Muestra las propiedades de los certificados.

4.2. Configura el servidor SFTP del entorno de pruebas con el certificado de servidor y autenticación con cliente. Indica qué pasos has realizado.

4.3. Realiza la conexión al SFTP con autenticación de certificado cliente. Puedes usar la máquina virtual 'sftp' para hacer las pruebas y mostrar el resultado obtenido.

4.4. Los archivos que se envían están cifrados mediante la técnica del sobre digital. Crea un archivo de texto cualquiera para enviar al servidor y utiliza esta técnica con OpenSSL.

Ejercicio 5 (20%)

Cuando un aficionado sube una mezcla al servidor web, el mix manager recibe una notificación. Para recibir esta notificación y controlar el acceso, se quiere utilizar Snort.

5.1. Recoge las reglas que propondrías para hacer este control y crear una alerta cuando se publique un archivo. Muestra el fichero de reglas.

5.2. Inicia Snort, reproduce una subida de una mezcla y muestra que se generan las alertas. Puedes montar un escenario virtual para hacer las pruebas y mostrar el resultado obtenido.

5.3. Explica con qué otros objetivos podrías utilizar Snort en el escenario de la práctica.


1학년1학기

1학년1학기

Documents
Клиентизм

Клиентизм

Documents
Άσκηση1 4

Άσκηση1 4

Documents
Курcовой проект по переходным процессам

Курcовой проект по переходным процессам

Documents
תורכיה והאיחוד האירופי

תורכיה והאיחוד האירופי

Documents
حقوق الانسان بين الإسلام وبين إعلان الأمم المتحدة

حقوق الانسان بين الإسلام وبين إعلان الأمم المتحدة

Documents
Махновщина

Махновщина

Documents
Antoni Gaudi arhitectura

Antoni Gaudi arhitectura

Documents
Municipios de España

Municipios de España

Documents
cisco사례분석

cisco사례분석

Documents
טבלת תרופות למערכת העצבים האוטונומית

טבלת תרופות למערכת העצבים האוטונומית

Documents
Γιάννης Χοντζέας - Για την ιστορία των Βαλκανίων

Γιάννης Χοντζέας - Για την ιστορία των Βαλκανίων

Documents
168名詞解釋

168名詞解釋

Documents
Титульный лист ДЗ МГТУ им. Н.Э. Баумана с возничим

Титульный лист ДЗ МГТУ им. Н.Э. Баумана с возничим

Documents
БОРБЕНИ АВИОНИ КОМПАНИЈЕ СУХОЈ

БОРБЕНИ АВИОНИ КОМПАНИЈЕ СУХОЈ

Documents
CLINICA DENTAL PORTUGAL

CLINICA DENTAL PORTUGAL

Documents
Gain Score in Data Analysis

Gain Score in Data Analysis

Documents
Русско-латинский словарь

Русско-латинский словарь

Documents
SHMEIWSEIS-MMF2

SHMEIWSEIS-MMF2

Documents
1 시스템분석입문

1 시스템분석입문

Documents
расписание электричек Москва-Железка

расписание электричек Москва-Железка

Documents
לאומיות וחברת המידע

לאומיות וחברת המידע

Documents
Šolski spis: Glista

Šolski spis: Glista

Documents
הצגת מלחמת העצמאות באתר של מט"ח

הצגת מלחמת העצמאות באתר של מט"ח

Documents
עבודת סיום וירולוגיה

עבודת סיום וירולוגיה

Documents
Informacia ot BD i RIOSV 12 12 2005

Informacia ot BD i RIOSV 12 12 2005

Documents
Бандеровщина

Бандеровщина

Documents
gidoi teknikoa

gidoi teknikoa

Documents
Minne hävisivät soneran rahat

Minne hävisivät soneran rahat

Documents
英文的金玉良言

英文的金玉良言

Documents