TRABAJO PRÁCTICO Nº 6 SEGURIDAD EN SISTEMAS Licenciatura en Ciencias de la Computación - Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
Seguridad en redes de computadoras Ejercicio 1: ¿Considera que el protocolo FTP (File Transfer Protocol) es seguro? ¿Es posible utilizar FTP con SSL? Ejercicio 2: ¿Para qué se utiliza el protocolo SFTP? ¿Qué diferencias posee con respecto al protocolo antecesor SCP? Ejercicio 3: a) ¿Qué es Kerberos y en qué servicios es común su utilización? b) Describa sintéticamente como funciona. Ejercicio 4: a) ¿Cuál es la principal funcionalidad de una VPN (Virtual Private Network)? b) ¿Cuándo se implementa una VPN se utiliza cifrado simétrico o asimétrico? c) ¿Considera correcto implementar una VPN para suministrar acceso a los empleados a la red interna de la organización por motivos laborales? Ejercicio 5: Defina y describa brevemente el concepto de VLAN (Virtual Local Area Network), luego: a) Suponga que Ud. es el administrador del centro de cómputos de un ISP que provee servicios de housing. ¿Para qué y cómo utilizaría VLANs? Enumere beneficios. b) ¿Cómo utilizaría VLANs para proteger la seguridad de los servidores presentes en el centro de cómputos (tanto propios como de clientes)? Para responder considere un escenario ficticio; grafique el mismo detallando cantidad de VLANs, servidores propios y de clientes, conectividad y topología de la red. Ejercicio 6: Considere el siguiente escenario: En un centro de cómputos se está instalando un nuevo servidor, el cual se está configurando para ser puesto en producción en unos días. El equipo posee conectividad en la red local y se dejó sin completar el dato correspondiente a la puerta de enlace en la configuración del dispositivo de red. De esta manera se sabe que el equipo no tiene conectividad hacia afuera, es decir fuera de la red local no se puede acceder desde ningún equipo al mismo. La organización no cuenta con un firewall en el perímetro, por lo tanto no establecer el dato de puerta de enlace (gateway) es una práctica común, pensando en brindarle seguridad al servidor hasta el momento de la puesta en producción. Cada servidor del centro de cómputos tiene un IP público visible en Internet (no existe un equipo intermedio que haga NAT) y es política que cada servidor tiene su propio firewall, el cual es activado sólo cuando se lo pone en producción. a) ¿Es una medida razonable el no especificar puerta de enlace en la configuración de red del servidor? b) ¿Es realmente imposible acceder desde el exterior hasta el equipo? ¿Qué sucede realmente cuando se desea acceder al equipo desde el exterior? c) ¿Es apropiado que el servidor no tenga al menos el firewall activo y con reglas acordes durante el periodo de configuración? 1
TRABAJO PRÁCTICO Nº 6 SEGURIDAD EN SISTEMAS Licenciatura en Ciencias de la Computación - Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
d) ¿Pueden existir peligros internos para el servidor durante el período de configuración previo al paso de ponerlo en producción? Ejercicio 7: ¿Cuáles serían los posibles motivos por el cual una organización debería contar con dos o más firewalls en su red? Ejercicio 8: ¿Puede un firewall bloquear ataques realizados utilizando server scripts? Ejercicio 9: Proporcione una tabla de filtrado y una tabla de conexión para un firewall con memoria del estado que sea lo más restrictivo posible, pero que lleve a cabo las siguientes tareas: a) Permitir a todos los usuarios internos establecer sesiones SSH con hosts externos. b) Permitir a todos los usuarios externos visitar y navegar por el sitio web de la organización en la dirección de IP: 222.22.0.12 c) En caso contrario, bloquear todos los restantes tipos de tráfico entrante y saliente. La dirección IP de la red interna es: 222.22.0.0/16. En su propuesta, suponga que la tabla de conexiones almacena actualmente tres conexiones en caché, todas desde el interior hacia el exterior. Observación: Deberá inventar los números de puerto y las direcciones IP remotas en forma adecuada. Ejercicio 10: Crear un script en bash que utilice el programa iptables bajo sistema operativo GNU/Linux, el cual permita configurar el comportamiento del kernel bajo las siguientes políticas para asegurar la máquina local. Requisitos que debe cumplir la configuración que se genere a partir del script solicitado: 1. 2. 3. 4. 5. 6.
Políticas por defecto: DROP (entrante y saliente). Se aceptan todas las conexiones salientes hacia los puertos TCP: 22 (SSH), 80 (HTTP), 443 (HTTPS). Se aceptan todas las conexiones salientes hacia los puertos UDP: 53 (DNS). Se debe aceptar todo el tráfico proveniente del IP 195.65.34.234 debe ser aceptado. Se deben aceptar las conexiones del IP 231.45.134.23 al puerto 3306 (servidor MySQL). Se aceptan solamente las respuestas desde los puertos especificados en (2) y (3) hacia puerto altos ( > 1024).
Ejercicio 11: a) ¿Qué es un honeypot? b) ¿Debería un administrador de redes poner un firewall delante de un equipo que se utiliza como honeypot? Justifique. Ejercicio 12: Describir las funcionalidades básicas de un IDS (Intrusion Detection System) y luego responder: a) ¿Cuáles son los diferentes tipos de IDS existentes? Enumere sus características. b) Dada una organización que desea implementar medidas de seguridad instalando un IDS. 1. ¿Dónde ubicaría el mismo y por qué? 2. ¿Instalaría un IDS adicional para monitorear la red interna de la organización? 2
TRABAJO PRÁCTICO Nº 6 SEGURIDAD EN SISTEMAS Licenciatura en Ciencias de la Computación - Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
Ejercicio 13: ¿Por qué un IDS necesita estar conectado a una red separada para comunicar alarmas y para aceptar comandos de administración? Ejercicio 14: Considerando los sistemas ISMS (Information Security Management System). a) Brinde una definición para estos tipos de sistemas. b) ¿Cuáles son los objetivos principales de los mismos? c) ¿Cuáles son los elementos que componen un ISMS?
Ejercicio 15: Una empresa desea implementar una aplicación cliente-servidor, y luego de un análisis de riesgo decide que no es necesario cifrar toda la comunicación sino que únicamente desea cifrar la contraseña del usuario para protegerse de un ataque de eavesdropping. El protocolo que implementan es el siguiente: la contraseña del usuario se cifra utilizando un algoritmo de cifrado simétrico y se envía. Por simplicidad no utiliza un vector de inicialización. a) ¿Cuál o cuáles son los problemas con este esquema? b) ¿Cómo podría hacer un atacante con acceso al cliente para descifrar una captura de autenticación exitosa que obtuvo al “sniffear” la red? c) ¿Necesita el atacante acceso al cliente?
3
TRABAJO PRÁCTICO Nº 6 SEGURIDAD EN SISTEMAS Licenciatura en Ciencias de la Computación - Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
Ejercicio 16: Considere la imagen de la siguiente página correspondiente a la captura de datos sobre la red obtenida con el programa Wireshark, la cual contiene el principio de una sesión SSL entre dos equipos: a) ¿El paquete número 29 obtenido en durante la captura realizada con Wireshark ha sido enviado por el cliente o por el servidor? b) ¿Cuáles son el número de puerto y la dirección IP del servidor? c) ¿Cuántos registros SSL contiene el paquete número 29 seleccionado en la imagen? d) El paquete 29 ¿contiene una clave maestra (MS) o una clave maestra cifrada (EMS) o ninguna de las dos? e) Suponiendo que el campo de tipo de acuerdo es de 1 byte y que cada campo de longitud es de 3 bytes ¿cuáles son los valores del primer y último byte de la clave?
4
TRABAJO PRÁCTICO Nº 6 SEGURIDAD EN SISTEMAS Licenciatura en Ciencias de la Computación - Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
Ejercicio 17: En la siguiente ilustración se muestran aspectos de la vida cotidiana, en particular cómo estamos rodeados de gran variedad de tecnología. La realidad es que muchas veces desconocemos qué dispositivos están produciendo y/o almacenando datos sobre nuestras actividades diarias en diversos lugares, ya sean estos internos o externos, cerrados o abiertos. Se adjunta la descripción original de cada uno de los dispositivos presentes en la ilustración. a) A partir de cada dispositivo identificado en la ilustración deberá confeccionar un cuadro sinóptico con la siguiente información: 1) Describir qué tipo de información puede producir. 2) Investigar si la información es almacenada en el dispositivo y/o remotamente. 3) Investigar qué tipo de uso se puede hacer de los datos recopilados, analizando implicancias negativas y positivas. 4) Describir medidas de seguridad que se deberían adoptar sobre los datos (teniendo en cuanto los conceptos estudiados en la materia). b) Del proceso de investigación realizado elija dos aspectos que considera relevantes para Ud. y amplié su respuesta sobre los mismos. c) Investigue sobre legislación vigente que establece normas de protección y privacidad sobre los datos y su empleo. Una vida vigilada:
Ilustración e información: Olga Subirós (CC BY-NC-ND-2.0)
5
TRABAJO PRÁCTICO Nº 6 SEGURIDAD EN SISTEMAS Licenciatura en Ciencias de la Computación - Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
Referencias: 1/6/14. Video vigilancia: las imágenes pueden ser interceptadas. 2. Contadores de luz y termostatos: dan información de hábitos. 3 /4. Televisores inteligentes y consolas: incorporan cámaras y micrófonos. 5. Controles biométricos de entrada y salida. 7. Monitorización remota en el trabajo: capturas de pantalla del trabajador para medir la productividad. 8. Bases de datos personales: pueden contener datos fiscales y de salud de los clientes. 9. Sensores de conteo de personas: monitorean el flujo de compradores y los tiempos de compra. 10. Tarjetas de fidelización: a cambio de descuentos, crean perfiles del comprador. 11. Ibeacons: envían ofertas a móviles cercanos. 12. WiFi gratuito: se puede ofrecer a cambio de acceso al perfil de Facebook. 13. Abonos de transporte público: tarjetas recargables que producen datos de desplazamientos. 14. Redes de bicicletas públicas: registro de trayectos. 15. Coches: hay sistemas para registrar las matrículas. 16. Telefonía móvil: permite geolocalizar. 17. Cámaras térmicas y sensores sonoros: miden flujo de peatones y niveles de ruido. 18. Mobiliario urbano que detecta presencia de peatones. 19. Sistemas de parquímetros: el pago con tarjeta de plazas azules y verdes genera datos del usuario. Fuente: http://tecnologia.elpais.com/tecnologia/2015/06/12/actualidad/1434103095_932305.html