6-4-201503:04:22.852+02:00 - 1 -

AULA

M2.107 Seguridad en redes aula 1

PEC 2

Inicio:23-03-15

Entrega:12-04-15

Solucin:15-04-15

Calificacin:20-04-15

Dedicacin:%

Aspectos Avanzados de Seguridad en Redes - PEC 2

En esta actividad se trabajarn los aspectos vinculados al tercer mdulo de la asignatura,llamado "Mdulo 5b. Mecanismos para la deteccin de ataques e intrusiones".

Competencias

Las competencias generales del grado que se ponen de manifiesto en esta actividad son:

1. Capacidad de comunicacin en el mbito acadmico y profesional.2. Uso y aplicacin de las TIC en el mbito acadmico y profesional.3. Capacidad de comunicacin en lengua extranjera.4. Capacidad para adaptarse a las tecnologas ya los futuros entornos.5. Capacidad para innovar y generar nuevas ideas.

Las competencias especficas de esta asignatura trabajadas dentro de esta actividad son:

1. Capacidad para ejercer la actividad profesional de acuerdo al cdigo tico y losaspectos legales en el entorno TIC.2. Capacidad para analizar la arquitectura y organizacin de sistemas y aplicaciones enred.3. Conocer tecnologas de comunicaciones actuales y emergentes y saberlas aplicarconvenientemente para disear y desarrollar soluciones basadas en sistemas y tecnologasde la informacin.4. Capacidad de proponer y evaluar diferentes alternativas tecnolgicas para resolver unproblema concreto.

Objetivos

Los objetivos de esta actividad son:

6-4-201503:04:22.852+02:00 - 2 -

1. Comprender algunos de los conceptos relacionados con los sistemas de deteccin deintrusiones y firewalls.2. Utilizar de forma sencilla la herramienta Snort.3. Comprender cmo afecta la existencia de un cortafuegos en la utilizacin de unaherramienta como Snort.4. Comprender y saber utilizar la herramienta iptables.

Recursos

Los recursos recomendados para llevar a cabo esta PEC son:

Tercer mdulo de la asignatura "Mdulo 5b. Mecanismos para la deteccin deataques e intrusiones".

Enlace www.snort.org

Herramientas ping, snort y virtualbox

Videos de VIMEO ( https://vimeo.com/channels/laboratoriosrc )

Criterios de Evaluacin

Correccin en la redaccin de la respuesta en las preguntas de tipo texto. No sepuntuarn las respuestas que sean una copia directa del contenido de alguna de lasfuentes.

Correccin en el uso de las herramientas en las preguntas de tipo prctico. Se valorar lacorreccin tanto en la generacin de pedidos como en la visualizacin y comentario delresultado obtenido.

Formato y Fecha de Entrega

La fecha lmite para entregar esta actividad es el da 12 de abril, a las 24 horas .

La entrega se llevar a cabo un fichero PDF con las respuestas a las diferentesactividades. En caso de que la actividad requiera entregar diferentes archivos auxiliares(configuraciones, esquemas, etc.), ser necesario entregar un archivo .zip que locontenga todo.

El formato del nombre del archivo final entregado debe ser:ApellidosNombre_SRC_PEC2

6-4-201503:04:22.852+02:00 - 3 -

El formato del nombre de los ficheros auxiliares para ejercicio, si es necesario, debe ser:ApellidosNombre_SRC_PEC2_NoEjercicio

Enunciado

Actividad 1 (30%)

1.1. Qu es un sistema de prevencin de intrusiones (IPS)? Qu relacin hay, desde elpunto de vista del comportamiento, entre un sistema de deteccin reactivo y un sistemade prevencin de intrusiones?1.2. En qu categoras se pueden clasificar los sistemas de prevencin de intrusiones?Indcalas y explica brevemente. Indicar algn aplicativo de ejemplo de cada categora.1.3. Qu es un equipo y una red de decepcin? Cul es el objetivo de las redes dedecepcin? Nombra algn ejemplo de herramienta que sirva para llevar a cabo estatarea.1.4. Implantacin de un sistema IDS distribuido. Considerando el esquema de redpresentado, describe cmo implantar un sistema IDS distribuido, como por ejemploSURFnet, basado en uno o ms sensores y una base de datos para almacenar los registrosde todos ellos.

En tu razonamiento, considera los siguientes puntos:1.4.1) Cuntos sensores utilizaras?1.4.2) Dnde situaras el / los sensor / es?1.4.3) Justifica la implantacin de un sistema IDS similar al descrito (SURFnet)

..........................................................................................................................................Entra al campus virtual y accede al aula para descargar el archivo adjunto tituladoPEC2-Actividad-1.png

Actividad 2 (30%)

Realiza una presentacin de 5-7 transparencias, formado OpenOffice o PDF, que sirvapara poder explicar a una persona que se ha ledo los materiales de la asignatura en quconsisten los escneres de vulnerabilidades.

Del link que se adjunta, http://sectools.org/tag/vuln-scanners/ , elige un escner devulnerabilidad, excepto el Nessus, y haz una descripcin detallada de su funcionamiento.

6-4-201503:04:22.852+02:00 - 4 -

Como guin de lo que sera necesario contemplar en la presentacin bsate en loque se explica en el video de Nessus disponible en el rea de videos del aula ( https://vimeo.com/channels/laboratoriosrc ).

En esta presentacin hay que explicar, al menos, lo siguiente:

1. Qu son y para qu sirven? Explica el proceso instalacin del producto.

2. Cules son sus componentes? Explica paso a paso como aadiras un usuario.

3. Haz una investigacin sobre las vulnerabilidades ms relevantes existentes a da dehoy, elige una y explica cmo detectarla.

4. Selecciona una determinada vulnerabilidad y explica paso a paso como seconfigurara para detectarla y muestra el resultado.

5. A partir de la explicacin del vdeo del Nessus, haz la correspondencia con el escnerelegido.

Nota: De cara a evaluar este ejercicio, se valorar que se aproveche el formatopresentacin para la expresin de las ideas a explicar y que la entrega no se limiteser un simple documento de texto. Tambin, hay que ceirse al nmero mximo detransparencias establecido.

Actividad 3 (40%)

En este ejercicio vamos a llevar a cabo una actividad prctica con el sistema de deteccinSnort. Como parte inicial necesaria debes instalar el software VirtualBox para poder crearel entorno para hacer la prctica. Puedes apoyarte en los videos de los laboratorios parahacer la instalacin.

Escenario del ejercicio prctico:

Los acontecimientos que han de generar una alerta son:

Llegada de paquetes UDP dirigidos a nuestro servidor web.

Accesos a un puerto TCP de nuestro servidor web diferente al de 'HTTP' (TCP/80).

Una exploracin tipo 'Xmas Tree' del puerto 'http' del servidor web.

6-4-201503:04:22.852+02:00 - 5 -

Cualquier intento de establecer una conexin desde nuestro servidor web haciacualquier otra mquina de Internet.

Cualquier intento de establecer una conexin procedente de Internet dirigido haciauna mquina de la LAN interna.

3.1. Ejecuta y configura las reglas a Snort para contemplar los diferentes eventos que seindican. Escribe y comenta el archivo de reglas del IDS.

3.2. Supongamos que tenemos configurar el cortafuegos para permitir los mensajesICMP de error y esto permitira el acceso para la exploracin de la red mediante paquetesICMP-ECHO ping.3.2.1) Si quieres detectar los intentos de exploracin de nuestra red mediante paquetesICMP-ECHO ping, qu regla Snort necesitas?3.2.2) Utilizando Snort con la regla anterior, comprueba con tu mquina queefectivamente los paquetes ping quedan registrados. Muestra el resultado.

3.3. Se quieren detectar exploraciones de puertos 'silenciosas' que utilizan conexionesTCP incompletas (TCP SYN scan) sobre los puertos HTTP y HTTPS.3.3.1) Qu regla Snort necesitas?3.3.2) Comprueba, utilizando Nmap, que las exploraciones de tipo TCP SYN scanquedan registradas por Snort y, en cambio, las conexiones normales no quedan. Muestrael resultado. Qu parmetros has utilizado para realizar la exploracin?

3.4. Ahora, crea un archivo de configuracin con estas reglas, adaptndolas a tudistribucin, red y/o equipo. Explica cmo han quedado las reglas. Para mostrar quete funciona, provoca su activacin. Cmo lo has hecho? Muestra con una captura depantalla lo que se ha creado en activar las reglas y el archivo de alertas.

3.5. Quieres usar Snort para generar logs de los accesos a los servidores. Describe lasreglas que usars.

3.6. Una de las cosas que querrs detectar con Snort es el intento de ataques dedenegacin de servicio al SRV_Web3 a travs de un nmero no gestionable de peticionesweb. Cmo lo trataras a nivel de Snort? Implementa esto y muestra el resultado que teda.

..........................................................................................................................................Entra al campus virtual y accede al aula para descargar el archivo adjunto tituladoPEC2-Actividad-3.png

6-4-201503:04:22.852+02:00 - 6 -

Nota: Propiedad Intelectual

A menudo es inevitable, al producir una obra en formato digital, hacer uso de recursoscreados por terceras personas. Es por tanto comprensible hacerlo en el marco de una prcticade los estudios de Mster, siempre y cuando esto se documente claramente y no supongaplagio en la actividad.

Por lo tanto, al presentar una actividad que haga uso de recursos ajenos, esta debe contenerun apartado donde se detallen todos ellos, especificando el nombre de cada recurso, suautor, el lugar donde se obtuvo y su estatus legal: si la obra est protegida por copyright o seacoge a alguna otra licencia de uso (Creative Commons, GNU, GPL ...). El estudiante deberasegurarse de que la licencia que sea no impide especficamente su uso en el marco de laactividad. En caso de no encontrar la informacin correspondiente deber asumir que la obraest protegida por copyright.

MaterialesLinux BackTrack 5 Mdulo 5b. Mecanismos para la deteccin de ataques e intrusiones Recursos y fuentes de informacinSnort (link)