miércoles, 27 de abril de 2016

Instalación de un servidor VPN en Windows2008

En primer lugar nos dirigimos a conexiones de red, seleccionamos configurar conexión de red y seleccionamos la opción nueva conexión entrante


Seleccionamos los usuarios autorizados e indicamos que se hará a través de Internet


Configuramos el protocolo TCP para indicar el rango de IPs


Rangos de IPs


Ahora se configura nuestra VPN y finalizamos el proceso


Podemos apreciar que se ha creado la conexión VPN


jueves, 21 de abril de 2016

Recomendaciones de seguridad en WLAN



Recomendaciones para mejorar la seguridad de WLAN:


  • Asegurar la administra-ción del punto de acceso (AP), por se un punto de control de las comunica-ciones de todos los usua-rios, y por tanto crítico en la red, cambiando la contraseña por defecto. 
  • Aumentar la seguridad de los datos transmitidos: usando encriptación WEP o WAP/WAP2 o servidor Radius, y cambiando las claves regularmente.
  • Cambiar el SSID por defecto y desactivar el broadcasting SSID. Los posibles intrusos tendrán que introducir manualmente el SSID y conocerlo previamente.
  • Realizar una administración y monitorización minuciosa:
    • Desactivar el servidor DHCP, y asignar manualmente en los equipos las direcciones IP. 
    • Activar el filtrado de conexiones permitidas mediante direcciones MAC
    • Establecer un número máximo de dispositivos que pueden conectarse.
    • Analizar periódicamente los usuarios conectados verificando si son autorizados o no.
  • Desconexión de AP cunado no se use
  • Actualizar el firmware del dispositivo, para evitar vulnerabilidades o añadir nuevas funciones de seguridad.

Redes inalámbricas


La tecnología inalámbrica ofrece mucha ventajas  en comparación con las redes tradicionales conectadas por cable.

Ventajas:


  • Capacidad de conec-tarse en cualquier momento y lugar. Es decir, mayor disponibili-dad y acceso a redes.
  • Instalación simple y económica
  • Permite que las redes se amplíen fácilmente, sin limitaciones de conexiones de cableado, por lo que es fácilmente escalable.
A pesar de la flexibilidad y beneficios de la tecnología inalámbrica, existen algunos riesgos y limitaciones. 



Riesgos:


  • Utilizan rangos del espectro de radiofrecuenca (RF) sin costes de licencia por su transmisión y uso. Estos rangos al ser de uso público están saturados y las señales de distintos dispositivos suelen interferir entre sí.
  • Lo más problemático es la seguridad. Permite a cualquier equipo con tarjeta de red inalámbrica interceptar cualquier comunicación de su entorno.
Para tratar estas cuestiones de seguridad se han desarrollado técnicas para ayudar a proteger las transmisiones inalámbricas, por ejemplo la encriptación y al autenticación.

Sistemas de Seguridad en Wlan


Los sistemas de cifrado empleados para autenticación como encriptación en redes inalámbricas son:

  • Sistema abierto (Open System): sin autenticación en el control de acceso a la red, normalmente realizado por el punto de acceso, ni cifrado en las comunicaciones.
  • WEP (Wired Equivalent Privacy): sistema estándar diseñado en la norma básica de redes inalámbricas. Emplea para la encriptación de los mensajes clave de 13 (104 bits) o 5 (40 bits) caracteres, también denominadas ¨WEP 128 o WEP 64 respectivamente. En cuanto a la autenticación existen 2 métodos:
    • Sistema abierto: el cliente no se tiene que identificar en el Punto de Acceso durante la autenticación. Después de la autenticación y la asociación a la red, el cliente tendrá que tener la clave WEP correcta.
    • Clave precompartida: En la autenticación se envía la misma clave de cifrado WEP para la autenticación, verificando y controlando el acceso de esto modo el punto de acceso.
  • WAP o Wi-Fi Protected Access o Acceso Protegido Wi-Fi: creado para corregir las deficiencias de WEP. Se proponen 2 soluciones según el ámbito de aplicación:
    • WPA Empresarial o WPA-Enterprise (grandes empresas): la autenticación es mediante el uso de un servidor RADIUS, donde se almacenan las credenciales y contraseñas de los usuarios de la red.
    • WPA Personal (pequeñas empresas y hogar): la autenticación se realiza mediante clave precompartida de un mod similar al WEP.
Una de las mejoras de WPA sobre WEP, es la implementación del protocolo de integridad de clave temporal (TKIP), que cambia claves dinámicamente a medida que el sistema es utilizado.

Aportando un mayor nivel de seguridad en el cifrado, es posible emplear el algoritmo de cifrado simétrico AES, más robusto y complejo que TKIP, aunque su implementación requiere de hardware más potente, por lo que no se encuentra disponible en todos los dispositivos.

miércoles, 20 de abril de 2016

VPN

VPN: Red privada virtual. Es una tecnología de red que permite una extensión de una red local de forma segura sobre una red pública, como Internet.

Algunas aplicaciones de VPN, son la posibilidad de conectar utilizando la infraestructura de Internet, dos o más sucursales de una empresa, permitir a los miembros de soporte técnico la conexión desde sus casa al centro de trabajo, etc. Para hacerlo  posible de manera segura se debe proporcionar los medios para garantizar la autenticación, integridad y confidencialidad de toda comunicación:
  • Autentición y autorización: se controlan los usuarios y/o equipos y qué nivel de acceso debe tener.
  • Integridad: los datos enviados no han sido alterados. Se utilizan funciones resumen o hash.
  • Confidencialidad: Para que la información que viaja a través de la red pública solo pueda ser interpretada por los destinatarios de la misma.
  • No repudio: Los mensajes tienen que ir firmados.


Básicamente existen tres arquitecturas de conexión VPN:

  • VPN de acceso remoto: Es el modelo más usado. Usuarios o proveedores se conectan con la empresa desde sitios remotos utilizando Internet como vínculo de acceso.
  • VPN punto a punto: Conecta ubicaciones remotas como oficinas, con una sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Mediante la técnica de tunneling se encapsulará un protocolo de red sobre otro creando un túnel dentro de una red.
  • VPN over LAN: Es el menos difundido, pero uno de los más poderosos para utilizar dentro de la empresa. Utiliza la LAN de la empresa, aislando zonas y servicios de la red interna, a los que se les puede añpadir cifrado y autenticación adicional mediante VPN. 
El protocolo estándar que utiliza VPN es IPSEC. Dos de las tecnologías más utilizadas para crear VPNs, en  realidad, son diferentes protocolos o conjuntos de protocolos, PPTP y P2TP.

  • PPTP (Point to Point Tunneling Protocol): Desarrollado por Microsoft. Sencillo y fácil de implementar pero ofrece menor seguridad que L2TP
  • L2TP (Layer Two Tunneling Protocol): Estándar abierto y disponible en la mayoría de plataformas. Se implementa sobre IPSec y proporciona altos niveles de seguridad. Se pueden usar certificados de seguridad de clave pública para cifrar los datos y garantizar la identidad de los usuarios de la VPN.



Comunicaciones seguras

Existen protocolos que emplean comunicaciones cifradas como SSH a través del puerto. Otras alternativas para establecer comunicaciones seguras entre  sistemas cifrando comunicciones a distintos niveles son:


  • SSL y TLS: Se ejecutan en una capa entre los protocolos de aplicación y sobre el protocolo de transporte TCP. Entre otros se emplea a través de puertos específicos con: HTTPS, FTPS, SMTP, POP, etc 

  • IPSEC: Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.

jueves, 14 de abril de 2016

Riesgos potenciales en los servicios de red



TCP/IP es la arquitectura de protocolos que usan los ordenadores para comunicarse en Internet. Emplean puertos de comunicaciones o numeración lógica que se asigna para identificar cada una de las conexiones de red, tanto en el origen como en el destino.

Los servicios de red más habituales tienen asignados los llamados puertos bien conocidos, por ejemplo el 80 para HTTP o web, 21 para FTP, 23 par TELNET, etc.

Rango
Puertos
Servicios sobre puertos bien conocidos



0-1023



Servicios bien conocidos
20 y 21: FTP
22: SSH comunicación cifrada
23: Telnet no cifrado
24: SMTP y 110: POP3
53: DNS
80: HTTP y 443: HTTPS cifrado
137, 138, 139: NetBIOS compartir archivos e impresora y 445: SMB
1024-49151
Registrados

49152-65535
Dinámicos y/o privados


Los distintos sistemas y sus aplicaciones de red, ofrecen y reciben servicios a través de dichos puertos de comunicaciones. A través de un análisis exhaustivo de los puertos podemos asegurar nuestras redes. Éste análisis se puede realizar desde distintos frentes:

  • En una máquina local observando qué conexiones y puertos se encuentran abiertos y qué aplicaciones los controlan.
    • El comando netstat permite ver el estado en tiempo real de nuestras conexiones
    • El cortafuegos o firewall personales son una medida de protección frente a ataques externos.
    • En la administración de red para ver qué puertos y en qué estado se encuentran los de un conjunto de equipos.
      • La aplicación nmap permite el escaneo de puertos, aplicaciones y sistemas operativos, en un rango de direcciones.
      • Los cortafuegos y proxys perimetrales ofrecen protección mediante un filtrado de puertos y conexiones hacia y desde el exterior de una red privada.

    Sistemas de detección de intrusos (IDS)


     
    Un sistema de detección de intrusos o IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos de comprometer la seguridad de dicho sistema.

    Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host, aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa.

    Tipos IDS

    • TIDS (Host IDS): Protegen un único servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.

    • NIDS (Net IDS): Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan en tiempo real todos los paquetes que circulan por un segmento de red aunque estos no vayan dirigidos a ese determinado dispositivo)
    Arquitectura IDS

    • Fuente de recogida de datos: Pueden ser un log, dispositivo de red o el propio sistema
    • Reglas y filtros sobre los datos y patrones para detectar anomalías de seguridad en el sistema
    • Dispositivo generador de informes y alarmas.
    Con respecto a la ubicación del IDS se recomienda disponer uno delante y otro detrás del cortafuegos perimetral de nuestra red, para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede filtrar muchos ataques.


    Amenazas Externas e Internas

    Las amenazas de seguridad causadas por intrusos en redes corporativas o privadas de una organización, pueden originarse tanto de forma interna como externa.


    • Amenaza externa o de acceso remoto: Los atacantes son externos a la red privada o interna de una organización, y logran introducirse desde redes públicas. Los objetivos de los atacantes son servidores y routers accesibles desde el exterior, y que sirven de pasarela de acceso a las redes corporativas.
    • Amenaza interna o corporativa: Los atacantes acceden sin autorización o pertenecen a la red privada de la organización. De esta forma pueden comprometer la seguridad y sobro todo la información y servicios de la organización.
    Para protegernos de las posibles amenazas internas algunas propuestas son:

    • Realizar un buen diseño de direccionamiento, parcelación y servicios de subredes dentro de nuestra red corporativa. Para ello se emplean distintas técnicas como subnetting, redes locales virtuales o VLAN y creación de zonas desmilitarizadas o DMZ, aislando y evitando que los usuarios puedan acceder directamente en red local con los sistemas crítricos.
    • Políticas de administración de direccionamiento estático para servidores y routers.
    • Monitorización del tráfico de red y de las asignaciones de direccionamiento dinámico y de sus tablas ARP.
    • Modificación de configuración de seguridad y, en especial contraseñas por defecto de la administración de servicios.
    • En redes inalámbricas emplear máximo nivel de seguridad

    miércoles, 13 de abril de 2016

    Tema 6 Amenazas y ataques

    Podemos dividir las amenazas en cuatro grandes grupos:


    • Interrupción: un objeto, servicio del sistema o datos en una comunicación se pierden, quedan inutilizables o no disponibles.
    • Interceptación: un elemento no autorizado consigue un acceso a determinado objeto
    • Modificación: Además de conseguir acceso, consigue modificar dicho objeto
    • Fabricación: modificación destinada a conseguir un objeto similar al atacado
    Algunas técnicas de ataque informático en redes son:

    • Ataque de denegación de servicio(DoS): interrupción del servicio a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga del sistema
    • Sniffing: técnica de interceptación. Consiste en rastrear monitorizando el tráfico de una red
    • Man in the middle (MitM): interceptación y modificación de identidad. Un atacante supervisa una comunicación entre dos partes, falsificando las identidades de los extremos.
    • Spoofing: técnica de modificación. Modifica las tablas DNS redirigiendo un nombre de dominio conocido a otra máquina distinta, falsificada y probablemente falsificada


    ANÁLISIS DE NOTICIA



    ¿Qué tipo de amenaza de las anteriormente vistas supone el Tabnabbing? ¿Como funciona?

    Está basado en una técnica que permite modificar el aspecto de una página cuando no tiene el "foco" de la pestaña del navegador.

    Un usuario navega hacia la página del atacante, que no tiene por qué simular ningún banco o página de login. Simplemente es una página más equipada con un código JavaScript que hará el "truco". La víctima cambia de pestaña (o de programa, lo importante es que pierda el foco) y sigue con sus visitas cotidianas a otras páginas. Mientras, la web del atacante cambia por completo gracias al JavaScript: el favicon, el título, el cuerpo... todo excepto el dominio, lógicamente. La página ahora podría parecerse a (por ejemplo) la web de login de Gmail. La víctima, vuelve a la pestaña más tarde y piensa que ha caducado su sesión. Introduce su contraseña y ésta viaja hacia el atacante.

    ¿Qué tipo de precaución podemos tomar ante este tipo de amenaza?

    No tener tantas pestañas del navegador abiertas, para así poder controlar que cambios experimenta nuestro navegador.

    jueves, 7 de abril de 2016

    Tema 6 Puertos de comunicaciones más vulnerables

    Introduccion

      La Port Vulnerability Reference (PVR) es un listado de puertos de Internet (TCP y UDP) con sus riesgos asociados. La idea es que usando esta tabla podras determinar de forma rápida y fácil los diferentes ataques que puedes sufrir en caso que tengas alguno de estos puertos abiertos.

    • Unix.
    • Windows (9x/NT/2000)
    • Ambas Plataformas
      Paréntesis:
    • (Troyano) El nombre lo dice todo.
    • (Prog) Programa que usa un determinado puerto..
    AMENAZA
    PUERTOS


    • Posiblidad de sniffer.
    21
    FTP
    TCP
    • Buffer Overflow
    • Denegacion de Servicio (DoS)
    • Ataque de Fuerza Bruta
    • Punto de Acceso
    22
    SSH
    TCP
    • Buffer Overflow
    • Ataque de Fuerza Bruta.
    • Punto de Acceso
    23
    Telnet
    TCP
    • Buffer Overflow
    • Denegacion de Servicio (DoS)
    • Ataque de Fuerza Bruta
    • Punto de Acceso
    • Posibilidad de sniffer
    25
    STMP
    TCP
    • Buffer Overflow
    • Denegacion de Servicio (DoS)
    • Recogida de Informacion
    • Punto de Acceso
    43
    Ipswitch IMail 5.0 (Prog)
    TCP
    • Denegacion de Servicio (DoS)
    53
    DOMAIN
    TCP/UDP
    • Buffer Overflow
    • Denegacion de Servicio (DoS)
    • Punto de Acceso
    69
    Trivial FTP
    UDP
    • Recogida de Informacion
    80
    HTTP
    TCP
    • Ataque CGI
    • Buffer Oveflow
    • Denegacion de Servicio (DoS)
    • Recogida de Informacion
    • Punto de Acceso
    • Posibilidad de sniffer.
    110
    POP3
    TCP
    • Denegacion de Servicio (DoS)
    • Ataque de Fuerza Bruta
    • Punto de Acceso
    • Recogida de Informacion
    149
    IMAP
    TCP
    • Punto de Acceso
    8080
    HTTP
    TCP

    Para que sirven los puertos: 

    23: Telnet
    135: Cuando un ordenador recibe una conexión en el puerto 135, sabe que debe dirigir el trafico hasta el epmap (Endpoint Mapper - Asignador de puntos finales) de la RPC (Remote Procedure Call - Llamada a procedimiento remoto). 
     443HTTPS/SSL usado para la transferencia segura de páginas web

    Tema 6 packet sniffers

    ¿Qué son los packet sniffers?

    Es un analizador de paquetes, un programa de captura de las tramas de una red de computadoras.
    Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxialcable de par trenzadofibra óptica, etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el analizador pone la tarjeta de red en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la dirección MAC de la tarjeta; de esta manera se puede capturar (sniff, "olfatear") todo el tráfico que viaja por la red.
    Los analizadores de paquetes tienen diversos usos, como monitorear redes para detectar y analizar fallos, o para realizar ingeniería inversa en protocolos de red. También es habitual su uso para fines maliciosos, como robar contraseñas, interceptar correos electrónicos, espiar conversaciones de chat, etc.

    Ettercap
    Sniffing/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing).
    TCPDump

    Es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red.
    Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado
    WinDump
    Es la versión para Windows de tcpdump (el cual funciona en Unix y derivados de él), siendo una herramienta gratuita de gestión y control de redes que funciona mediante línea de comandos. Permite diversas funciones como interceptar y mostrar los paquetes, TCP/IP o de otros tipos, que son transmitidos sobre la red a la que está conectado, o diagnosticar el estado de la red y guardar los registros en ficheros, todo esto en función de reglas más o menos complejas.
    WinSniffer
    WinSniffer es una herramienta de supervisión de paquetes y sniffing. Fue diseñado para oler contraseñas y que supuestamente puede oler los siguientes protocolos: FTP, POP3, HTTP, ICQ, SMTP, Telnet, IMAP y NNTP.

    La aplicación sólo mostrará los paquetes relevantes que contienen los nombres de usuario y contraseñas.También dará formato a esos paquetes para que el usuario promedio puede entenderlos. Así, en lugar de mostrar una enorme URL, Win Sniffer muestra una dirección IP de origen y destino, un protocolo y un nombre de usuario, y una contraseña
    Hunt
    Para Linux
    Darkstat
    Herramienta muy sencilla de utilizar especial-mente desarrollada para monitorizar el tráfico de red en servidores, aunque puede utilizarse sin problemas en una red doméstica.
    Kismet
    Sistema de detección de intrusiones para redes inalámbricas. Kismet funciona con cualquier tarjeta inalámbrica que soporte el modo de monitorización raw.
    Network Stumbler
    Programa para Windows que permite detectar redes inalámbricas (WLAN). Existe una versión para Windows CE (PDA) llamada MiniStumbler

    miércoles, 6 de abril de 2016

    Tema 6 Seguridad en redes corporativas

    A continuación se lista una serie de enlaces que permiten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior al contratado podría ser una sintonía de tener ocupantes no deseados en nuestra máquina ¿Son las velocidades de subida y bajada las esperadas?