UNIVERSIDAD DE GUAYAQUIL - UGrepositorio.ug.edu.ec/bitstream/redug/6685/1/... · AUMENTAR LA...

i

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERIA EN SISTEMAS

COMPUTACIONALES

“DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DETECTOR

DE INTRUSOS PARA AUMENTAR LASEGURIDAD

INFORMÁTICA APLICANDO LA

PLATAFORMA GNU-LINUX”

TESIS DE GRADO

Previa a la obtención del Título de:

INGENIERO EN SISTEMAS COMPUTACIONALES

AUTOR: JAVIER ANDRÉS ARELLANO GARCÍA

TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ

GUAYAQUIL – ECUADOR

2011

ii

Guayaquil,_________________________ 2011

APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, “DISEÑO E

IMPLEMENTACIÓN DE UN SISTEMA DETECTOR DE INTRUSOS PARA

AUMENTAR LA SEGURIDAD INFORMATICAAPLICANDO LA

PLATAFORMAGNU-LINUX”elaboradoporelSr.JAVIER ANDRÉS

ARELLANO GARCÍA, egresado de la Carrera de Ingeniería en Sistemas

Computacionales, Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas, me permito

declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus

partes.

Atentamente

__________________________________

Ing. Alfonso Guijarro Rodríguez

TUTOR

iii

DEDICATORIA

La presente tesis se la dedico a mi familia por su apoyo y confianza. Gracias por

ayudarme a cumplir mis objetivos como persona y estudiante. A mi madre, que a

pesar de la distancia siempre estuvo apoyándome y aconsejándome.

.

iv

TRIBUNAL DE GRADO

Ing. Fernando Abad Montero Ing. Juan ChanabáAlcócer

DECANO DE LA FACULTAD DIRECTOR

CIENCIAS MATEMÁTICAS Y FÍSICAS

MIEMBRO DEL TRIBUNAL MIEMBRO DEL TRIBUNAL

Ing. Alfonso Guijarro Rodríguez SECRETARIO TUTOR


v



COMPUTACIONALES





Autor: Javier Andrés Arellano García

Tutor: Alfonso Guijarro Rodríguez

RESUMEN

La constante evolución de la tecnología informática ha permitido un aumento

considerable de datos que viajan a través de Internet. Con el pasar del tiempo se han

desarrollado varias técnicas de invasiones de sistemas, robo de datos y la interrupción

de servicios. Estos hallazgos han llevado a los desarrolladores de software a crear

nuevas tecnologías para el control y seguimiento de las actividades preventivas

procedentes de redes no confiables en un intento de aumentar el grado de seguridad

de la red y evitar el creciente número de ataques. Entre las varias formas de

protección, un IDS (IntrusionDetectionSystem) es una solución que busca cumplir

con ciertos requisitos para crear una capa de seguridad en una red. En este trabajo se

propone examinar los conceptos, el funcionamiento y los aspectos más relevantes

sobre la tecnología de detección de intrusiones (IDS). En especial analizaremos

SNORT una solución Open Source(código abierto), ampliamente utilizada hoy en

día.


vi



COMPUTACIONALES

DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DETECTOR DE

INTRUSOS PARA AUMENTAR LA SEGURIDAD INFORMÁTICA

APLICANDO LA PLATAFORMA GNU-LINUX

Proyecto de trabajo de grado que se presenta como requisito para optar por el título de

INGENIEROen SISTEMAS COMPUTACIONALES.

Autor:Javier Andrés Arellano García

C.I.:0919263970

Tutor: Ing. Alfonso Guijarro Rodríguez

Guayaquil, Septiembre del 2011

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

vii

En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el

Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas

Computacionales de la Universidad de Guayaquil,

CERTIFICO:

Que he analizado el Proyecto de Grado presentado por

elegresadoJAVIER ANDRÉS ARELLANO GARCÍA, como requisito previo para

optar por el título de Ingeniero cuyo problema es:

“DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DETECTOR DE

INTRUSOS PARA AUMENTAR LA SEGURIDAD INFORMÁTICA

APLICANDO LA PLATAFORMA GNU-LINUX”,

considero aprobado el trabajo en su totalidad.

Presentado por:

Arellano García Javier Andrés Cédula de Ciudadanía No. 0919263970

Tutor: Ing. Alfonso Guijarro Rodríguez

Guayaquil, Septiembre del 2011

ÍNDICE GENERAL

viii

Pág.

CARÁTULA i

CARTA DE ACEPTACIÓN DEL TUTOR ii

DEDICATORIA iii

TRIBUNAL DE GRADO iv

RESUMEN v

CERTIFICADO DE ACEPTACIÓN DEL TUTOR vii

ÍNDICE GENERAL viii

ÍNDICE DE CUADROS x

ÍNDICE DE GRAFICOS xii

RESUMEN xv

ABSTRACT xvi

INTRODUCCIÓN 1

CAPÍTULO I.- EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA 4

Ubicación del Problema en un contexto 4

Situación Conflicto Nudos críticos 5

Causas y consecuencias del problema 10

Delimitación del Problema 11

Evaluación del Problema 12

Objetivos de la investigación 14

Objetivo general 14

Objetivos específicos 14

Justificación e importancia 15

CAPÍTULO II.- MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO

La importancia de la seguridad 17

Sistemas de detección de intrusos 18

Antecedentes de los sistemas de detección de intrusos 20

Arquitectura de un IDS 23

Tipos de IDS 27

Escenarios de los IDS en una LAN 29

Análisis de los datos obtenidos por los sistemas NIDS 31

Falsos positivos y falsos negativos 37

Tipos de ataques 42

Ataques de denegación de servicio (DOS) 43

IP Flooding 44

Smurf 48

TCP/SYN Flooding 49

ix

Teardrop 51

Snork 53

Ping of death 55

Ataques distribuidos (DDOS) 57

TRIN00 58

TribeFlood Network 61

Shaft 63

TribeFlood Network 2000 65

Ejemplo de ataque DDOS 66

Snort 72

Componentes de Snort 73

Módulo de captura de datos 75

Decodificador 77

Preprocesador 79

Reglas 82

Categorías de reglas Snort 83

Estructura de las reglas 84

Cabecera de una regla 85

Las opciones de las reglas 87

Motor de detección 89

Módulos de salida 92

CAPÍTULO III.- METODOLOGÍA DISEÑO DE LA INVESTIGACIÓN

Modalidad de la Investigación 94

Tipo de investigación 94

Población y Muestra 95

Instrumento de recolección de datos 95

Procesamiento y Análisis 98

Criterio para la laboración de la propuesta 113

CAPÍTULO IV.- MARCO ADMINISTRATIVO

Cronograma 115

Presupuesto 116

Recursos utilizados 117

Conclusiones 118

Recomendaciones 122

Anexos 124

Bibliografía 162

ÍNDICE DE CUADROS

x

Pág.

CUADRO 1

Porcentaje de Vulnerabilidades por tipo de sitio 6

CUADRO 2

Anchos de banda y tamaño diario de las redes más comunes 32

CUADRO 3

Fragmentación correcta 52

CUADRO 4

Fragmentación incorrecta 52

CUADRO 5

Esquema de comunicaciones de TRIN00 61

CUADRO 6

Esquema de comunicaciones de Shaft 64

CUADRO 7

Análisis real de los paquetes 179/TCP SYN recibidos 68

CUADRO 8

Análisis real de los paquetes del segundo ataque 71

CUADRO 9

Preprocesadores para Snort 81

CUADRO 10

Resultados de la pregunta 1 95

CUADRO 11


CUADRO 12

xi


CUADRO 13


CUADRO14


CUADRO 15


CUADRO 16


CUADRO17


CUADRO 18


CUADRO 19


CUADRO 20

Presupuesto 116

ÍNDICE DE GRÁFICOS

xii

Pág.

GRÁFICO 1 Esquema de un funcionamiento de auditorías 21

GRÁFICO2

Arquitectura de propósito general para la construcción de IDS 25

GRÁFICO3

Locación del NIDS (sensor) antes del firewall 29

GRÁFICO4

Locación del NIDS (sensor) en el firewall o adyacente 30

GRÁFICO5 Locación del NIDS (sensor) antes del firewall y en el firewall o adyacente 31

GRÁFICO 6

Ejemplos de trazas para evaluar la criticidad 35

GRÁFICO7 Ejemplos de falso positivo para SYN FLOOD 40

GRÁFICO8 Ataque IP Flooding 45

GRÁFICO9

Ataque Broadcast IP Flooding 47

GRÁFICO10

Ataque Smurf 48

GRÁFICO11 Ataque Snork 54

GRÁFICO 12 Ataque típico de DDOS. 57

GRÁFICO 13

Ataque TRIN00 60

GRÁFICO 14

Esquema del ataque DRDOS 70

xiii

GRÁFICO15 Arquitectura de SNORT 74

GRÁFICO 16 Flujo de datos del decodificador 78

GRÁFICO 17 Capas TCP/IP 79

GRÁFICO18

Estructura de una Regla y su Cabecera 84

GRÁFICO19

Estructura de la Cabecera de una regla Snort 85

GRÁFICO20 Diagrama de Decodificación de Paquetes 91

GRÁFICO21

Pregunta 1 99

GRÁFICO22

Pregunta 2 100

GRÁFICO23

Pregunta 3 102

GRÁFICO24

Pregunta 4 103

GRÁFICO25

Pregunta 5 104

GRÁFICO26

Pregunta 6 106

GRÁFICO27

Pregunta 7 107

GRÁFICO28

Pregunta 8 109

GRÁFICO29

xiv

Pregunta 9 111

GRÁFICO30

Pregunta 10 112

GRÁFICO31

Esquema de la propuesta 114

xv




COMPUTACIONALES







RESUMEN

La constante evolución de la tecnología informática ha permitido un aumento

considerable de datos que viajan a través de Internet. Con el pasar del tiempo se han

desarrollado varias técnicas de invasiones de sistemas, robo de datos y la interrupción

de servicios. Estos hallazgos han llevado a los desarrolladores de software a crear

nuevas tecnologías para el control y seguimiento de las actividades preventivas

procedentes de redes no confiables en un intento de aumentar el grado de seguridad

de la red y evitar el creciente número de ataques.Entre las varias formas de

protección, un IDS (IntrusionDetectionSystem) es una solución que busca cumplir

con ciertos requisitos para crear una capa de seguridad en una red. En este trabajo se

propone examinar los conceptos, el funcionamiento y los aspectos más relevantes

sobre la tecnología de detección de intrusiones (IDS). En especial analizaremos

SNORT una solución Open Source(código abierto), ampliamente utilizada hoy en

día.

xvi




COMPUTACIONALES







ABSTRACT

The constant evolution of computer technology has allowed an increase considerable

data that travels over the Internet. With the passage of time have developed several

techniques of invasions of systems, data theft and service disruptions. These findings

have led to software developers to create new technologies for control and monitoring

of prevention activities from untrusted networks in an attempt to increase the security

of the network and avoid the growing number of attacks.Among the various forms of

protection, anIDS(Intrusion Detection System) is a solution that seeks to meet certain

requirements to create a layer of network security.This paper will examine the

concepts, operation and the most relevant aspects of technology intrusion detection

(IDS). In particular we analyze SNORT (open source), widely used today.

1

INTRODUCCIÓN

La seguridad informática es un tema que mucha gente no le da la importancia que

realmente tiene; muchas veces por el hecho de considerar que es inútil o que jamás la

utilizara. Pero en el mundo moderno, cada día más y más personas mal intencionadas

pretenden tener acceso a nuestros datos.

El acceso no autorizado a una red informática o a los equipos que en ella se encuentran

pueden ocasionar en la gran mayoría de los casos graves problemas. Uno de las

posibles consecuencias de una intrusión es la pérdida de datos. Es un hecho frecuente

y ocasiona muchos trastornos, sobre todo si no estamos al día de las copias de

seguridad. Y aunque estemos al día, no siempre es posible recuperar la totalidad de los

datos.

Otro de los problemas más dañinos es el robo de información sensible y confidencial.

La divulgación de la información que posee una empresa sobre sus clientes puede

acarrear demandas millonarias contra esta, o un ejemplo más cercano a usted es el de

nuestras contraseñas de las cuentas de correo por las que intercambiamos información

con otros.

2

El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades

de delincuencia antes impensables. La cuantía de los perjuicios así ocasionados es a

menudo muy superior a la usual en la delincuencia tradicional y también son mucho

más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.

Con el desarrollo de la programación y de Internet, los delitos informativos se han

vuelto más frecuentes y sofisticados. Existe una amplia gama de actividades delictivas

que se realizan por medios informáticos: ingreso ilegal a sistemas, intercepción ilegal

de redes, interferencias, daños en la información (borrado, deterioro, alteración o

supresión de data), mal uso de artefactos, chantajes, fraude electrónico, ataques a

sistemas, robo de bancos, ataques realizados por Hackers, violación de los derechos de

autor, pornografía infantil, pedofilia enInternet, violación de información confidencial

y muchos otros.

Los indicadores anteriores, nos han permitido conocer algunos datos generales

respecto de la tecnología y sus problemas de seguridad asociados. Lo cierto es que

cada nueva implementación de sistemas y tecnología, presupone riesgos.

Un aspecto que a menudo es pasado por alto, radica en el hecho de que la seguridad

debe ser incumbencia de todos y no tan solo de los especialistas. Esto no solo es

aplicable dentro de las organizaciones, sino que también debería serlo en relación al

individuo como parte activa de la sociedad de la información.

3

En un mundo globalizado y altamente dependiente de la tecnología, todos debemos

entender nuestro grado de responsabilidad respecto de los temas de seguridad de la

información. Algunos desde posiciones de estado, otros desde la visión del profesional

calificado en tareas relativas a seguridad de la información y otro tan solo como

simples usuarios y/o consumidores de sistemas y tecnología.

4

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

Debido a la gran cantidad de información que se maneja en la actualidad en las

diversas empresas que existen en el medio y a la utilización de recursos informáticos

para el manejo de dicha información existe el riesgo de que ocurra el robo de datos a

través de agentes externos a la institución como por ejemplo los denominados hackers,

que tienen grandes conocimientos tecnológicos, y por lo tanto afectar las operaciones

de la compañía si no se cuenta con un adecuado sistema de seguridad.

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún

atacante pueda entrar en ella, con esto, se puede hacer robo de información o alterar el

funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un

entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el

Computer Security Institute (CSI) de San Francisco aproximadamente entre 60 y 80

por ciento de los incidentes de red son causados desde adentro de la misma.

5

A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la

detección de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2.203

sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites

orientados al comercio y con contenidos específicos, además de un conjunto de

sistemas informáticos aleatorios con los que realizar comparaciones.

El estudio se realizó empleando técnicas sencillas y no intrusivas. Se dividieron los

problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos (yellow).

Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto

a un atacante potencial, es decir, posee problemas de seguridad conocidos en

disposición de ser explotados. Así por ejemplo, un problema de seguridad del grupo

rojo es un equipo que tiene el servicio de FTP anónimo mal configurado.

Los problemas de seguridad del grupo amarillo son menos serios pero también

reseñables. Implican que el problema detectado no compromete inmediatamente al

sistema pero puede causarle serios daños o bien, que es necesario realizar tests más

intrusivos para determinar si existe o no un problema del grupo rojo.

El cuadro 1 resume los sistemas evaluados, el número de equipos en cada categoría y

los porcentajes de vulnerabilidad para cada uno. Aunque los resultados son límites

superiores, no dejan de ser escandalosos.

6

CUADRO No. 1

PORCENTAJE DE VULNERABILIDADES POR TIPO DE SITIO1

Tipo de sitio # Total de sitios

testeados

% Total

Vulnerables

%

Yellow

%

Red

Bancos 660 68,34 32,73 35,61

Créditos 274 51,1 30,66 20,44

Sitios Federales US 47 61,7 23,4 38,3

News 312 69,55 30,77 38,78

Sexo 451 66,08 40,58 25,5

Totales 1.734 64,93 33,85 31,08

Grupo aleatorio 469 33,05 15,78 17,27

Elaboración:http://www.segu-info.com.ar/ataques/ataques.htm

Fuente: www.trouble.org/survey

Como puede observarse, cerca de los dos tercios de los sistemas analizados tenían

serios problemas de seguridad y Farmer destaca que casi un tercio de ellos podían ser

atacados con un mínimo esfuerzo.

SITUACIÓN CONFLICTO NUDOS CRÍTICOS

A nivel mundial, las computadoras, llámense servidores, estaciones de trabajo o

simplemente PC's, son vulnerados y a consecuencia de ello la información de los

usuarios queda expuesta. Esta puede ser las finanzas de la empresa, números de

1 Fuente: www.trouble.org/survey

7

tarjetas de crédito, planes estratégicos, datos relacionados con la investigación y el

desarrollo de nuevos productos o servicios, etc.

Debido a que vivimos en una era digital es imprescindible utilizar este tipo de

infraestructura informática, es necesario contar con un sistema de seguridad

idealmente diseñado para el óptimo desempeño de la organización.La seguridad es un

tema muy importante para cualquier empresa, este o no conectada a una red pública.

No solamente es importante, sino que también puede llegar a ser compleja.

Mediante la materialización de una amenaza podría ocurrir el acceso modificación o

eliminación de información no autorizada; la interrupción de un servicio o el

procesamiento de un sistema; daños físicos o robo del equipamiento y medios de

almacenamiento de información.

A continuación se da una descripción de diferentes tipos de amenazas en una red.

Escaneo de Puertos. Consiste en detectar qué servicios posee activos un equipo, con

el objeto de ser utilizados para los fines del atacante.

Wardialers. Se trata de herramientas de software que utilizan el acceso telefónico de

una máquina para encontrar puntos de conexión telefónicos en otros equipos o redes,

con el objeto de lograr acceso o recabar información.

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

http://www.monografias.com/trabajos11/empre/empre.shtml

8

Código Malicioso / Virus. Se define como todo programa o fragmento del mismo que

genera algún tipo de problema en el sistema en el cual se ejecuta, interfiriendo de esta

forma con el normal funcionamiento del mismo.

Exploits. Se trata de programas o técnicas que explotan una vulnerabilidad de un

sistema para el logro de los objetivos del atacante, como ser, intrusión, robo de

información, denegación de servicio, etc.

Ataques de Contraseña. Consiste en la prueba metódica de contraseñas para lograr el

acceso a un sistema, siempre y cuando la cuenta no presente un control de intentos

fallidos de logueo. Este tipo de ataques puede ser efectuado:

Por diccionario: existiendo un diccionario de palabras, una herramienta

intentará acceder al sistema probando una a una las palabras incluidas en el

diccionario.

Por fuerza bruta: una herramienta generará combinaciones de letras números y

símbolos formando posibles contraseñas y probando una a una en el login del

sistema.

Control Remoto de Equipos. Un atacante puede tomar el control de un equipo en

forma remota y no autorizada, mediante la utilización de programas desarrollados para

tal fin, e instalados por el atacante mediante, por ejemplo la utilización de troyanos.

9

IP Spoofing – MAC Address Spoofing. El atacante modifica la dirección IP o la

dirección MAC de origen de los paquetes de información que envía a la red,

falsificando su identificación para hacerse pasar por otro usuario. De esta manera, el

atacante puede asumir la identificación de un usuario válido de la red, obteniendo sus

privilegios.

Backdoors. También denominados “puertas traseras”, consisten en accesos no

convencionales a los sistemas, los cuales pueden permitir efectuar acciones que no son

permitidas por vías normales. Generalmente son instalados por el atacante para lograr

un permanente acceso al sistema.

Phishing. Consiste en el envío masivo de mensajes electrónicos que fingen ser

notificaciones oficiales de entidades/empresas legítimas con el fin de obtener datos

personales y bancarios de los usuarios.

10

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Entre las causas comunes de la inseguridad de los sistemas se encuentran: los defectos

potenciales de seguridad en la instalación del producto de software, en la

configuración de los servicios de red, así como en la implantación de decisiones

tácticas ignorantes de las condiciones mínimas de seguridad para los sistemas. Otros

métodos que han resultado efectivos para un atacante son: la ingeniería social y el

rompimiento de password2.

El ataque a los sistemaspuede ser por fines económicos, por obtener cierto tipo de

información, para sabotear las operaciones de la empresa, para desmeritar el prestigio

de la empresa, por revanchismo o simplemente por curiosidad, entre otras muchas

causas. En cualquier caso, el riesgo e impacto son altos para la empresa. La pérdida de

información sensitiva, fraude, paro de operaciones, además de las pérdidas en imagen

por el impacto publicitario que genere el ataque, representan altos costos para la

empresa.

En ocasiones, las intrusiones no son detectadas debido a su naturaleza y porque el

atacante, como todo intruso, se cuida de “no dejar huella” para seguir explotando el

medio por el cual acceso a los sistemas atacados. No olvide que el atacante es un

experto en temas de computación, conoce y prueba los productos de software para

2http://www.inforc.ec/seguridadinfo.htm

11

buscar vulnerabilidades de seguridad y crear las herramientas específicas para su

explotación. Se enfoca pues a vulnerar la seguridad de los sistemas.

DELIMITACIÓN DEL PROBLEMA

Un sistema de detección de intrusos (IDS) es un programa que se usa para detectar

accesos no autorizados a una red o a un ordenador. Estos accesos no autorizados son

conjuntos de acciones que pueden comprometer la integridad, confidencialidad o

disponibilidad de un recurso informático o de una determinada información.

Para poner en funcionamiento un sistema de detección de intrusos se debe tener en

cuenta que es posible optar por una solución de hardware, software o incluso una

combinación de estos dos. Para el desarrollo de mi proyecto utilizareel software

VMWarecon el cual crearemos una red virtual para hacer las pruebas respectivas de

nuestro sistema detector de intrusos.

Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las

políticas y controles establecidos para la protección de la información deberán

revisarse y adecuarse, de ser necesario, ante los nuevos riesgos que surjan, a fin de

tomar las acciones que permitan reducirlos y en el mejor de los casos eliminarlos.

http://www.monografias.com/Computacion/Hardware/

http://www.monografias.com/Computacion/Software/

12

EVALUACIÓN DEL PROBLEMA

Debido a que el uso de tecnologíasexperimenta un nivel de crecimiento bastante alto,

cada vez más compañías permiten acceder a sus socios y proveedores a sus sistemas

de información. Por lo tanto es fundamental contar con un adecuado sistema de

seguridad informáticoante la posible amenaza de intrusiones, no solo para prevenir al

acceso no autorizado a los datos confidenciales sino también para la evitar la posible

pérdida de información que se podría dar.

Estos riesgos informáticos son los que me han motivado a basar mi tema de tesis en lo

relacionado a la seguridad informática, el cual me permitirá diseñar e implementar un

Sistema detector de intrusos.

Al hablar sobre la "Seguridad informática" me refiero al gran índice de inseguridad

interna de la infraestructura informática de las empresas, así como la falta de una

cultura informática necesaria para contemplar estos problemas.El alto grado de

vulnerabilidad de la información transferida por la Internet y la facilidad de ataques

externos e internos que se traducen en pérdidas que ascienden hasta miles de dólares

en términos de información alterada, robada o perdida.

13

Más que un problema de tecnología, la seguridad en la transmisión de la información

por la Red se debe a la falta de cultura de las organizaciones y de las personas que la

integran.

El usuario final es el eslabón más débil de la cadena; el soldado más lento de esa

columna. Para disminuir los riesgos a la integridad de la data, el usuario debe entender

qué es seguridad informática y cuáles son las medidas de seguridad necesarias para

proteger los datos.3

A todos los usuarios se les debe divulgar las políticas de seguridad, además de hacer

constantes auditorías para controlar que sean las adecuadas al momento que vive la

empresa.

Lo que se necesita no es solamente prevenir un ataque en la seguridad, sino ser

capaces de detectar y responder a esta agresión mientras ocurre y reaccionar ante la

misma.

Es importante destacar que no existe un control de seguridad único, sino que las

empresas deben contar con diversas capas de seguridad en todos los niveles de su

información para poder así detectar el problema en algunos de estos puntos antes de

que llegue a la información crucial.

3 Gral. Luis Bracho Magdaleno

Director de Tecnología del Ministerio del Poder Popular para la Defensa de Venezuela

14

OBJETIVOS DE LA INVESTIGACIÓN

OBJETIVO GENERAL

Diseñar e implementar un sistema detector de intrusos que nos ofrezca las

garantías necesarias al ser ejecutado en una compañía o institución que

requiera estrictos niveles de seguridad informática.

OBJETIVOS ESPECÍFICOS

Disminuir el riesgo al que están expuestas las compañías o instituciones y sus

sistemas informáticos.

Establecer como plataforma el sistema operativo GNU-Linux en su

distribución Open Suse 11.2 para el desarrollo del proyecto.

Implementar este sistema en una máquina virtual para realizar las pruebas

necesarias.

Generar reportes diarios de las actividades generadas en el sistema.

Evaluar el comportamiento del sistema ante una amenaza real.

15

JUSTIFICACIÓN E IMPORTANCIA

Con el desarrollo de la informática y de las comunicaciones, la representación de la

información ha variado así como las diversas formas de transmisión y comunicación

de ésta. Por ello surge la necesidad de incorporar esquemas de protección de la misma

pues, su confidencialidad, disponibilidad e integridad afecta desde un individuo hasta

un negocio.

La existencia de amenazas que afectan la disponibilidad, integridad y confidencialidad

de los datos es real. Es crítico para las organizaciones poder identificar esas amenazas

y adoptar recomendaciones que permitan prevenir, detectar y protegerse de ellas. La

diversidad y la heterogeneidad de los sistemas de información que requieren las

organizaciones actuales, sumado a la globalización a la que se enfrentan al conectar

esos sistemas al mundo de Internet, genera un sinfín de incertidumbres en lo referente

a la Seguridad de la Información.

Lo que me motivo a escoger este tema deproyecto de gradoera para investigar las

herramientas necesarias paran mantener una red segura y prevenir el alto porcentaje de

vulnerabilidad del que son objeto las redes en la actualidad.

En este sentido, tratare de aportar una solución integral de seguridad que abarca desde

el diagnóstico de la situación actual, hasta la implementación y puesta en marcha de

16

unsistema de detección de intrusos, incluyendo el análisis y la definición de los

elementos de seguridad que deben ser implantados a nivel técnico.

Se pretende beneficiar con este sistema de seguridad en redes a las diversas compañías

existentes en el mercado y a sus clientes que recibirán todas las seguridades necesarias

al realizar sus transacciones en este tipo de infraestructura.

La estabilidad y robustez que caracterizan al sistema operativo GNU-Linux han hecho

que lo tome en consideración como la plataforma para desarrollar este proyecto de

grado.

17

CAPÍTULO II

MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO

LA IMPORTANCIA DE LA SEGURIDAD

Garantizar que los recursos informáticos de una compañía estén disponibles para

cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o

factores externos, es una definición útil para conocer lo que implica el concepto de

seguridad informática.

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas

y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado

como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o

empresarial.

En este sentido, es la información el elemento principal a proteger, resguardar y

recuperar dentro de las redes empresariales.Por la existencia de personas ajenas a la

información, también conocidas como piratas informáticos o hackers, que buscan tener

acceso a la red empresarial para modificar, sustraer o borrar datos.

18

Tales personajes pueden, incluso, formar parte del personal administrativo o de

sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70 por

ciento de las violaciones e intrusiones a los recursos informáticos se realiza por el

personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a

la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida

puede afectar el buen funcionamiento de la organización.4

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que

cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento

relacionado con la planeación de un esquema de seguridad eficiente que proteja los

recursos informáticos de las actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de

los datos sensibles de la organización, lo que puede representar un daño con valor de

miles o millones de dólares.

SISTEMAS DE DETECCIÓN DE INTRUSOS

La detección de ataques e intrusiones parte de la idea que un atacante es capaz de

violar nuestra política de seguridad, atacando parcial o totalmente los recursos de una

red, con el objetivo final de obtener un acceso con privilegios de administrador.

4 Revista Red, Noviembre 2002

19

Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y

reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente

ante un ataque.

En la mayoría de los casos es deseable poder identificar el ataque exacto que se está

produciendo, de forma que sea posible detener el ataque y recuperarse del mismo. En

otras situaciones, sólo será posible detectar e informar de la actividad sospechosa que

se ha encontrado, ante la imposibilidad de conocer lo que ha sucedido realmente.

Generalmente, la detección de ataques trabajará con la premisa de que nos

encontramos en la peor de las situaciones, suponiendo que el atacante ha obtenido un

acceso al sistema y que es capaz de utilizar o modificarsusrecursos.

Los elementos más destacables dentro de la categoría de mecanismos para la detección

de ataques e intrusiones son los sistemas de detección de intrusos.A continuación

introduciremos dos definiciones básicas en el campo de la detección de intrusos con el

objetivo de clarificar términos comunes que se utilizarán más adelante.

.

Una intrusión es una secuencia de acciones realizadas por un usuario o proceso

deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo

o un sistema al completo.

20

La intrusión consistirá en la secuencia de pasos realizados por el atacante que viola

una determinada política de seguridad. La existencia de una política de seguridad, en

la que se contemplan una serie de acciones deshonestas que hay que prevenir, es un

requisito clave para la intrusión. Es decir, la violación sólo se podrá detectar cuando

las acciones observadas puedan ser comparadas con el conjunto de reglas definidas en

la política de seguridad.

La detección de intrusiones es el proceso de identificación y respuesta ante las

actividades ilícitas observadas contra uno o varios recursos de una red.

Esta última definición introduce la noción de proceso de detección de intrusos, que

involucra toda una serie de tecnologías, usuarios y herramientas necesarias para llegar

a buen término.

ANTECEDENTES DE LOS SISTEMAS DE DETECCIÓN DE

INTRUSOS

Los sistemas de detección de intrusos son una evolución directa de los primeros

sistemas de auditorías. Estos sistemas tenían como finalidad medir el tiempo que

dedicaban los operadores a usar los sistemas. Con esta finalidad, se monitorizaban con

una precisión de milésimas de segundo y servían, entre otras cosas, para poder facturar

el servidor.

21

Los primeros sistemas aparecieron en la década de los cincuenta, cuando la empresa

norteamericana Bell TelephoneSystemcreó un grupo de desarrollo con el objetivo de

analizar el uso de los ordenadores en empresas de telefonía. Este equipo estableció la

necesidad de utilizar auditorías mediante el procesamiento electrónico de los datos,

rompiendo con el anterior sistema basado en la realización de informes en papel. Este

hecho provocó que a finales de los años 50 la Bell TelephoneSystemse embarcara en el

primer sistema a gran escala de facturación telefónica controlada por ordenadores.

El siguiente gráfico muestra un sencillo esquema del funcionamiento de un sistema de

auditorías, en el cual los eventos de sistema son capturados por un generador de

auditorías que llevará los datos hacia el elemento encargado de almacenarlos en un

fichero de informe.

GRÁFICO 1

ESQUEMA DE UN FUNCIONAMIENTO DE AUDITORÍAS

Elaboración:Joaquín García Alfaro

Fuente:<http://revistaenter.net/biblia/012.1%20Aspectos%20avanzados%20en%20se

guridad%20en%20redes%20modulos.pdf>

22

A partir de los años 70, el Departamento de Defensa de los EEUU empezó a invertir

numerosos recursos en la investigación de políticas de seguridad, directrices y pautas

de control. Estos esfuerzos culminaron con una iniciativa de seguridad en 1977 en la

que se definía el concepto de sistemas de confianza.

.

Los sistemas de confianza son aquellos sistemas que emplean suficientes recursos

software y hardware para permitir el procesamiento simultáneo de una variedad de

información confidencial o clasificada. En estos sistemas se incluían distintos tipos de

información repartida en niveles, que correspondían a su grado de confidencialidad.

A finales de la década de los setenta se incluyó en el

TrustedComputerSystemEvaluationCriteria(TSCSEC) un apartado sobre los

mecanismos de las auditorías como requisito para cualquier sistema de confianza con

un nivel de seguridad elevado. En este documento, conocido bajo el nombre de Libro

marrón (Tan book), se enumeran los objetivos principales de un mecanismo de

auditoría que podemos resumir muy brevemente en los siguientes puntos:

Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de

un usuario) y el uso de mecanismos de protección del sistema.

Permitir el descubrimiento tanto de intentos internos como externos de burlar

los mecanismos de protección.

23

Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel

menor de privilegios a otro mayor (escalada de privilegios).

Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos

de protección del sistema.

Servir de garantía frente a los usuarios de que toda la información que se recoja

sobre ataques e intrusiones será suficiente para controlar los posibles daños

ocasionados en el sistema.

ARQUITECTURA DE UN IDS

Desde el comienzo de la década de los ochenta se han llevado a cabo multitud de

estudios referentes a la construcción de sistemas para la detección de intrusos. En

todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de

cumplir los siguientes requisitos:

Precisión.Un sistema de detección de intrusos no debe que confundir acciones

legítimas con acciones deshonestas a la hora de realizar su detección.

Cuando las acciones legítimas son detectadas como acciones maliciosas, el

sistema de detección puede acabar provocando una denegación de servicio

contra un usuario o un sistema legítimo. Este tipo de detecciones se conoce

24

como falsos positivos. Cuanto menor sea el número de falsos positivos, mayor

precisión tendrá el sistema de detección de intrusos.

Eficiencia.El detector de intrusos debe minimizar la tasa de actividad

maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la

tasa de falsos negativos, mayor será la eficiencia del sistema de detección de

intrusos. Éste es un requisito complicado, ya que en ocasiones puede llegar a

ser imposible obtener todo el conocimiento necesario sobre ataques pasados,

actuales y futuros.

Rendimiento.El rendimiento ofrecido por un sistema de detección de intrusos

debe ser suficiente como para poder llegar a realizar una detección en tiempo

real. La detección en tiempo real responde a la detección de la intrusión antes

de que ésta llegue a provocar daños en el sistema. Según los expertos, este

tiempo debería de ser inferior a un minuto.

Escalabilidad.A medida que la red vaya creciendo (tanto en medida como en

velocidad), también aumentará el número de eventos que deberá tratar el

sistema. El detector tiene que ser capaz de soportar este aumento en el número

de eventos, sin que se produzca pérdida de información. Este requisito es de

gran relevancia en sistemas de detección de ataques distribuidos, donde los

eventos son lanzados en diferentes equipos del sistema y deben ser puestos en

correspondencia por el sistema de detección de intrusiones.

25

Tolerancia en fallos.El sistema de detección de intrusiones debe ser capaz de

continuar ofreciendo su servicio aunque sean atacados distintos elementos del

sistema incluyendo la situación de que el propio sistema reciba un ataque o

intrusión.

Con el objetivo de normalizar la situación, algunos miembros del IETF presentaron a

mediados de 1998 una arquitectura de propósito general para la construcción de

sistemas de detección de intrusos, conocida como CIDF. El esquema propuesto se

corresponde con el diagrama mostrado en el siguiente gráfico:

GRÁFICO 2

ARQUITECTURA PARA LA CONSTRUCCIÓN DE IDS




26

Dos años más tarde se creó un nuevo grupo de trabajo en el IETF con la intención de

estandarizar y mejorar la propuesta del CIDF. Este grupo de trabajo, conocido como

IDWG, replantea nuevamente los requisitos necesarios para la construcción de un

marco de desarrollo genérico y se marca los siguientes objetivos:

Definir la interacción entre el sistema de detección de intrusos frente a otros

elementos de seguridad de la red, como pueden ser los sistemas de prevención

(cortafuegos, listas de control de accesos, etc.).

Su primera propuesta se conoce con el nombre de TunnelProfile. Se trata de la

implementación de un mecanismo para la cooperación entre los distintos

elementos de seguridad mediante el intercambio de mensajes. Este mecanismo

garantiza una correcta comunicación entre los diferentes elementos,

proporcionando privacidad, autenticidad e integridad de la información

intercambiada (alertas, eventos, etc.).

Especificar el contenido de los mensajes intercambiados (eventos, alertas, etc.)

entre los distintos elementos del sistema. Por esto, proponen el formato

IDMEF y el protocolo de intercambio de mensajes IDXP.

27

Observando las propuestas tanto del CIDF como las del IDWG podemos ver que los

elementos necesarios para la construcción de un sistema para la detección de intrusos

se pueden agrupar en las siguientes cuatro categorías que presentamos a continuación:

1) Recolectores de información.

2) Procesadores de eventos.

3) Unidades de respuesta.

4) Elementos de almacenamiento.

TIPOS DE IDS

Existen dos tipos de sistemas de detección de intrusos:

HIDS

NIDS

HIDS (Host IDS)

Protege contra un único servidor, PC o host. Monitorizan gran cantidad de eventos,

analizando actividades con una gran precisión, determinando de esta manera qué

procesos y usuarios se involucran en una determinada acción. Recaban información

del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de

posibles incidencias.Todo ello en modo local, dentro del propio sistema. Fueron los

primeros IDS en desarrollar por la industria de la seguridad informática.

28

NIDS (Net IDS)

Protege un sistema basado en red. Actúan sobre una red capturando y analizando

paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes

capturados, buscando patrones que supongan algún tipo de ataque.Bien ubicados,

pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño.

Actúan mediante la utilización de un dispositivo de red configurado en modo

promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red

aunque estos nos vayan dirigidos a un determinado equipo). Analizan el tráfico de red,

normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden

hacer a nivel de aplicación.

Otros tipos son los híbridos.Por el tipo de respuesta podemos clasificarlos en:

Pasivos: Son aquellos IDS que notifican a la autoridad competente o

administrador de la red mediante el sistema que sea, alerta, etc. Pero no actúa

sobre el ataque o atacante.

Activos: Generan algún tipo de respuesta sobre el sistema atacante o fuente de

ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida en

nuestra configuración.

29

ESCENARIOS DE LOS IDS EN UNA LAN

Una vez explicados los componentes básicos de un sistema IDS, se ha de decidir de

qué tipo han de ser los distintos sensores que utilizará el NIDS (pullo push), y

finalmente se ha de concretar en qué lugar o lugares de la red deben colocarse:

Antes del firewall. Esta arquitectura se basa en detectar todos los paquetes que

llegan a nuestra red antes de ser filtradas por el firewall. De esta forma,

realizamos una búsqueda de eventos de interés en todo el tráfico recibido sin

interferencias de filtros del firewall.

GRÁFICO 3

LOCACIÓN DEL NIDS (SENSOR) ANTES DEL FIREWALL

Elaboración:Gabriel VerdejoAlvarez

Fuente:<http://www.elrinconcito.com/articulos/SeguridadIP/SeguridadIP.pdf>

En el firewall o adyacente. Consiste en situar el sensor en el propio firewall.

De esta forma se evitan ataques de intrusos a los sensores externos y se

http://www.elrinconcito.com/articulos/SeguridadIP/SeguridadIP.pdf

30

eliminan muchos falsos positivos, ya que procesamos únicamente el tráfico que

el firewall deja pasar.

GRÁFICO 4

LOCACIÓN DEL NIDS (SENSOR) EN EL FIREWALL O ADYACENTE



Antes del firewall y en el firewall o adyacente. Es la opción es más costosa

pero que ofrece mayor seguridad, ya que permite obtener lecturas del tráfico

total y del tráfico filtrado por el firewall. Permite examinar la configuración del

firewall y comprobar si filtra correctamente o no.


31

GRÁFICO 5

LOCACIÓN DEL NIDS (SENSOR) ANTES DEL FIREWALL Y EN EL

FIREWALL O ADYACENTE

Elaboración:Gabriel Verdejo Alvarez


ANÁLISIS DE LOS DATOS OBTENIDOS POR LOS SISTEMAS

NIDS

Una vez comentados los tipos y diferentesescenarios de un IDS en una LAN, pasamos

a profundizar en el análisis de los datos obtenidos por nuestros sistemas de seguridad.

El tamaño de disco necesario para almacenar el tráfico de un solo día es totalmente

desorbitado (ver cuadro2). Con los filtros aplicados al tráfico supervisado y los

eventos de interés disminuimos substancialmente esta cantidad, sin embargo, no

solamente nos interesa el tráfico registrado en un solo día, sino que nos interesan

históricos de la semana, mes o incluso de años.


32

CUADRO No. 2

ANCHOS DE BANDA Y TAMAÑO DIARIO

DE LAS REDES MÁS COMUNES

Tecnología

T

Espacio de disco

Cantidad de información

transmitida por día

Potencia de procesador

Número de paquetes por

día

PP = EDD / 1500 Bytes

ADSL (256Kbits/s) (32768 Bytes/s * 86400 s) /

1Gbyte = 2,6 Gbytes

1.887.436

ADSL (2Mbit/s) 21,09 Gbytes 15.099.494

LAN (10 Mbit/s) 105,4 Gbytes 75.497.472

LAN (100 Mbit/s 1054,6 Gbytes 754.974.720

WAN ATM (155 Mbit/s) 1634,7 Gbytes 1.170.210.816

LAN (1 Gbit/s) 10546,8 Gbytes 7.549.747.200



Toda esta cantidad de información debe ser almacenada de forma óptima para poder

ser consultada ágilmente. De otra forma, dejará de ser utilizada y por lo tanto de ser

útil.El problema de almacenar/recuperar información es un tema muy amplio que no

trataremos en este documento. Sin embargo sí comentaremos que últimamente muchos

productos IDS empiezan a incorporar soporte de bases de datos relacionales como

elementos importantes de soporte para sus sistemas de información (Oracle, SQL

Server, MySQL, PostgreSQL, etc.).


33

Sea cual sea el formato usado para el almacenamiento de la información debe cumplir

las siguientes características:

1. Debe realizar una reducción importante del volumen de datos pero

conservando la información importante.

2. Debe poseer un formato compacto, fácil de consultar, escribir y actualizar.

3. Debe permitir la interrelación (cruce) de todos los datos entre sí.

El formato TCP QUAD es una reducción compacta de la información contenida en los

paquetes IP que se basa en almacenar una cuádruple tupla que contiene los siguientes

campos:

(Fecha, Dirección origen, Dirección de destino, Tipo de protocolo)

El objetivo de almacenar históricos de tráficos de red es doble, por un lado poder

realizar informes y estadísticas sobre incidentes en nuestra red. Por otro lado nos

debepermitir conocer cuando un ataque presenta características similares (o iguales) a

otrorecibido anteriormente, ya que podemos obtener información de cómo reaccionar

ante él de forma proactiva (“en tiempo real”), evitando ser sujetos pasivos y

lamentarnos posteriormente.

Definiremos la correlación como la relación mutua entre dos o más elementos de un

conjunto dado. De esta forma, gran parte de las consultas a las bases de datos se

34

basarán únicamente en buscar correlaciones entre los eventos de interés detectados y

los datos históricos almacenados.

Correlaciones por dirección de origen: Se basan en encontrar similitudes

entre conexiones provenientes de la misma fuente (por ejemplo un escáner de

puertos a nuestra red detectará que desde el mismo origen se realizan miles de

peticiones a distintos puertos).

Correlaciones por dirección de destino: Considera las conexiones que tienen

como destino la misma dirección IP (por ejemplo un DOS. Tenemos miles de

peticiones hacia un mismo destino).

Correlaciones de firmas (craftedpackedsignatures): Se basan en buscar

conexiones desde/hacia un puerto determinado (muchos virus y programas de

backdoorbasan su comunicación en puertos no standards). También se buscan

configuraciones no estandards de los distintos campos del paquete IP, como

por ejemplo las banderas o flags(hay varios ataques de DOS que se basan en

activar todas las opciones de los datagramas IP para ver si el sistema operativo

no sabe como reaccionar ante ellos y queda inutilizado).

Correlaciones de contenidos: Estas correlaciones hacen referencia al

contenido (datos) de los distintos paquetes de información que circulan por la

35

red. Buscar patrones como “/etc/passwd” en conexiones TELNET o FTP,

inspeccionar conexiones HTTP en busca de “EXEC

C:\WINNT\COMMAND\FORMAT”.

Otras posibilidades que nos brinda la correlación es la de poder evaluar la importancia

(criticidad) de un posible incidente (ver gráfico 6)

GRÁFICO 6

EJEMPLOS DE TRAZAS PARA EVALUAR LA CRITICIDAD



Por ejemplo podemos observar la periodicidad de los paquetes recibidos, lo que nos

permite por ejemplo saber de que ancho de banda dispone el atacante “a priori”. Si es

una simple prueba rutinaria de un hacker “a ver que pesca” enviando peticiones muy

espaciadas en tiempo a distintos servicios y direcciones IP, o un ataque en toda regla a

un servidor concreto.


36

El sistema IDS debe permitir realizar estas consultas interactivamente al operador de

la consola para investigar libremente en las bases de datos. Además deben realizarse

de forma automática sólo para los eventos de interés de extrema criticidad, ya que el

proceso de correlación es muy lento y colapsaría el sistema, de forma que cuando

detectásemos el ataque ya sería demasiado tarde para actuar.

Existe una gran controversia en la bibliografía5sobre la cantidad de tiempo(semanas,

meses, años) que debemos tener almacenada en la base de datos del IDS para

poderrealizar consultas tanto el operador como el propio sistema

automáticamente.Obviamente, lo deseable sería tener todo el histórico de la red, sin

embargo debemos tener en cuenta que:

Más tiempo implica más espacio de disco (crecimiento exponencial).

Más tiempo implica una ralentización de las búsquedas (pérdida de eficiencia).

Más tiempo no implica necesariamente más seguridad.

En caso de necesitar la informática forense (computer forense) nuestro

histórico debe permitir la reconstrucción total de los actos sucedidos en la red.

Por lo que una solución propuesta aboga por una ventana de al menos tres meses. A

partir de esta fecha, los datos se deben “reducir” o “compactar” (mediante TCP QUAD

por ejemplo) para almacenarlos en otra base de datos de históricos. La normativa de la

5http://www.nipc.gov/about/pdd63.htm

37

administración americana PDD63 establece una ventana de 72 a 96 horas dónde se

deben poder realizar trabajos de reconstrucción forense.

FALSOS POSITIVOS Y FALSOS NEGATIVOS

Un punto básico a tratar tras el análisis de las muestras obtenidas (eventos de interés)

de nuestra red es el de la detección de falsos positivos y falsos negativos.

“Un falso positivo (false positive) es un término aplicado a un fallo de detección en

un sistema de alertas (usualmente en sistemas antivirus o de detección de intrusos).

Sucede cuando se detecta la presencia de un virus o una intrusión en el sistema que

realmente no existe.”

“Un falso negativo (false negative) es un término que hace referencia a un fallo en el

sistema de alerta (usualmente en sistemas antivirus o de detección de intrusos).

Sucede cuando un virus o una intrusión existe en nuestro sistema y es 'permitida'

(ignorada o no detectada) por el sistema de alerta.”

Los falsos positivos pueden agruparse en cinco grupos dependiendo de la naturaleza

de su origen:

ReactionaryTrafficalarms.Se detecta un comportamiento sospechoso como

consecuencia de tráfico generado anteriormente (generalmente no malicioso).

38

Por ejemplo la detección de muchas respuestas “ICMP networkunrecheable”

procedentes de un router porque el equipo destino no se encuentra operativo o

accesible en esos momentos.

Equipment-relatedalarms.Las alarmas del NIDS detectan paquetes dentro del

tráfico de la red que identifica como no “usuales”. Esto puede ocurrir por

ejemplo con balanceadores de carga, puesto que generan paquetes específicos

para el control de todos los nodos.

ProtocolViolations.Estos avisos se producen por software mal programado

(bugs) o que implementan de forma incorrecta o anticuada algunas partes de

los protocolos de Internet.

True False Positives.Todos aquellos falsos positivos que no se encuadren en

ninguna de las categorías anteriores.

Non Maliciousalarms.Alarmas producidas al detectar rastros de

comportamientos maliciosos pero que en ese contexto determinado no lo son.

Si publicamos en nuestra página WWW el código de un virus analizándolo,

cada vez que una persona descargue la página creará una alerta en el IDS

porque detectará el virus en nuestra red.

39

Obviamente, nuestro sistema de detección de intrusos debe producir los mínimos

falsos positivos posibles y ningún falso negativo (porque con uno sólo, ya tenemos al

intruso en nuestro sistema, y toda la inversión en seguridad se vuelve inútil y de difícil

justificación).

Según Kevin Timm6, el 90% de las alarmas detectadas por sistemas de detección de

intrusos son falsos positivos, con lo que tan sólo el 10% son realmente peligrosas. Si

personalizamos el NIDS a nuestra red, generalmente con los sistemas convencionales

podemos llegar a reducir los falsos positivos a un 40% del total de alarmas.

Por otro lado, hemos de tener en cuenta que un IDS que reporte cientos de alertas

diarias dejará de ser útil y muy probablemente lleve a que alguna alerta verdadera sea

ignorada por los operarios entre tantos avisos.

En el gráfico7 podemos observar 9 peticiones de establecimiento de conexión en un

segundo procedentes de “maquina1.com” para “maquina2.es”. Generalmente y a priori

el IDS detectaría una masiva llegada de peticiones desde una misma dirección IP en un

lapso de tiempo corto: Estamos recibiendo un ataque!

6Kevin Tim es un Ingeniero de Seguridad en NetSolve Inc. en Austin, Tx.

40

GRÁFICO 7

EJEMPLOS DE FALSO POSITIVO PARA SYN FLOOD



Esta conclusión que para la mayoría de casos es correcta (¿porqué nuestra

“maquina2.es” debe recibir tantas peticiones de conexión casi simultáneas?), no

siempre lo es de forma absoluta.

Si “maquina2.es” es por ejemplo un punto de entrada hacia nuestra red corporativa

puede pasar simplemente que a primera hora (09:09 horas) se conecten muchos

empleados para realizar su trabajo. Sin embargo, esto no explica que todas las

direcciones de origen sea la misma. ¿Por qué alguien se conectará 9 veces en un

segundo?

Un ejemplo práctico y real de falso positivo puede ser el uso de NAT (Network

AddressTranslation) en redes corporativas. Todas las máquinas de una misma red

realizan sus conexiones al exterior desde una única dirección IP.


41

Esta metodología se utiliza mucho por motivos de seguridad (DMZ por ejemplo),

económicos (es más barato una dirección IP que 10) o incluso técnicos (ADSL,

MODEM-cable).De esta forma, podemos observar que una situación potencialmente

peligrosa puede simplemente ser un uso normal de los recursos de red.

En la actualidad y debido a la política de todos los ISP de tecnologías domésticas de

conexión a Internet (ADSL, Cable…) se están implementando “proxys” automáticos

de acceso para contenido HTTP7. De esta forma, las peticiones de cualquier usuario de

ADSL a un servidor WWW son automáticamente redireccionadas al PROXY de su

proveedor de conexión.

Los ejemplos de falsos negativos son mucho más complicados de encontrar en

bibliografía y exponer en este escrito, ya que implicaría que alguien consiguió un

acceso no autorizado a una red “segura” y a nadie le hace gracia reconocer esto

“públicamente” (muchas veces no se reconoce ni en privado). Generalmente, los

falsos negativos suelen producirse por:

Configuración deficiente de los recursos de la red.Tener varios elementos de

seguridad (IDS, firewalls, VPN, etc.) no es suficiente para considerar nuestra

red segura. Estos deben estar convenientemente configurados y adaptados a su

medio (el tráfico de las redes no es estático y varía).

7http://www.squid-cache.org/

42

Ataques desde dentro. Muchas veces se obvia un uso pernicioso de los

recursos de nuestra red desde dentro. El atacante no siempre es un hacker de un

país extraño que se dedica a hacer el mal a quien puede. Tener controles

internos también permitirá detectar programas o troyanos encargados de

facilitar acceso desde dentro a posibles atacantes.

Equipos no parcheados y víctimas de los últimos “exploits”. Tener

servidores con versiones de software anticuadas son un reclamo excesivamente

apetitoso y que ningún sistema de seguridad puede proteger.

TIPOS DE ATAQUES

A la hora de estudiar los distintos tipos de ataques informáticos, podríamos diferenciar

en primer lugar entre los ataques activos, que producen cambios en la información y

en la situación de los recursos del sistema, y los ataques pasivos, que se limitan a

registrar el uso de los recursos y/o a acceder a la información guardada o transmitida

por el sistema.

Seguidamente se presenta una relación más detallada de los principales tipos de

ataques contra redes y sistemas informáticos

43

ATAQUES DE DENEGACIÓN DE SERVICIO

.

Un ataque de denegación de servicio es un incidente en el cual un usuario o una

organización es privada de los servicios de un recurso que esperaba obtener.

Normalmente, la pérdida de servicio se corresponde con la imposibilidad de obtener

un determinado servicio de red como, por ejemplo, el acceso a una página web.

“Definimos denegación de servicio como la imposibilidad de acceder a un recurso o

servicio por parte de un usuario legítimo. Es decir, la apropiación exclusiva de un

recurso o servicio con la intención de evitar cualquier acceso a terceras partes.”

De forma más restrictiva, se pueden definir los ataques de denegación de servicio en

redes IP como la consecución total o parcial del cese de la prestación de servicio de un

equipo conectado a la red.

Los ataques de denegación de servicio pueden ser provocados tanto por usuarios

internos en el sistema como por usuarios externos. Dentro del primer grupo podríamos

pensar en usuarios con pocos conocimientos que pueden colapsar el sistema o servicio

inconscientemente. Por ejemplo, usuarios que abusan de los recursos del sistema,

ocupando mucho ancho de banda en la búsqueda de archivos de música o de películas,

usuarios malintencionados que aprovechan su acceso al sistema para causar problemas

de forma premeditada, etc.En el segundo grupo se encuentran aquellos usuarios que

44

han conseguido un acceso alsistema de forma ilegítima, falseando además la dirección

de origen con el propósito de evitar la detección del origen real del ataque (mediante

ataques de suplantación).

El peligro de los ataques de denegación de servicio viene dado por su independencia

de plataforma. Como sabemos, el protocolo IP permite una comunicación homogénea

(independiente del tipo de ordenador o fabricante) a través de espacios heterogéneos

(redes Ethernet, ATM, etc.). De esta forma, un ataque exitoso contra el protocolo IP se

convierte inmediatamente en una amenaza real para todos los equipos conectados a la

red, independientemente de la plataforma que utilicen.

A continuación se realizara una exposición sobre algunos de los ataques de denegación

de servicio más representativos.

IP FLOODING

.

El ataque de IP Floodingse basa en una inundación masiva de la red mediante

datagramas IP. Este ataque se realiza habitualmente en redes locales o en conexiones

con un gran ancho de banda. Consiste en la generación de tráfico basura con el

objetivo de conseguir la degradación del servicio. De esta forma, se resume el ancho

de banda disponible, ralentizando las comunicaciones existentes de toda la red.

45

GRÁFICO 8

ATAQUE IP FLOODING




Podemos pensar en la utilización de este ataque principalmente en redes locales cuyo

control de acceso al medio es nulo y cualquier máquina puede ponerse a enviar y

recibir paquetes sin que se establezca ningún tipo de limitación en el ancho de banda

que consume.

El tráfico generado en este tipo de ataque puede ser:

Aleatorio. Cuando la dirección de origen o destino del paquete IP es ficticia o

falsa. Este tipo de ataque es el más básico y simplemente busca degradar el

servicio de comunicación del segmento de red al que está conectado el

ordenador responsable del ataque.

46

Definido o dirigido. Cuando la dirección de origen, destino, o incluso ambas,

es la de la máquina que recibe el ataque. El objetivo de este ataque es doble, ya

que además de dejar fuera de servicio la red donde el atacante genera los

datagramas IP, también tratará de colapsar al equipo de destino, sea reduciendo

el ancho de banda disponible, o bien saturando su servicio ante una gran

cantidad de peticiones que el servidor será incapaz de procesar.

Los datagramas IP utilizados podrían corresponder a:

UDP. Con el objetivo de generar peticiones sin conexión a ninguno de los

puertos disponibles. Según la implementación de la pila TCP/IP de las

máquinas involucradas, las peticiones masivas a puertos específicos UDP

pueden llegar a causar el colapso del sistema.

ICMP. Generando mensajes de error o de control de flujo.

TCP. Para generar peticiones de conexión con el objetivo de saturar los

recursos de red de la máquina atacada.

Una variante del IP Flooding tradicional consiste en la utilización de la dirección de

difusión de la red como dirección de destino de los datagramas IP. De esta forma, el

47

encaminador de la red se verá obligado a enviar el paquete a todos los ordenadores de

la misma, consumiendo ancho de banda y degradando el rendimiento del servicio.

También existen otras variantes en las que se envían peticiones ICMP de tipo echo-

request a varios ordenadores suplantando la dirección IP de origen, sustituida por la

dirección de difusión (broadcast) de la red que se quiere atacar. De esta forma, todas

las respuestas individuales se ven amplificadas y propagadas a todos los ordenadores

conectados a la red.

El siguiente gráfico representa este tipo de escenario:

GRÁFICO 9

ATAQUE BROADCAST IP FLOODING




48

SMURF

Este tipo de ataque de denegación de servicio es una variante del ataque anterior (IP

Flooding), pero realizando una suplantación de las direcciones de origen y destino de

una petición ICMP del tipo echo-request.

Como dirección de origen se pone la dirección IP de la máquina que debe ser atacada.

En el campo de la dirección IP de destino se pone la dirección de difusión de la red

local o red que se utilizará como trampolín para colapsar a la víctima.

El siguiente gráfico representa este tipo de escenario:

GRÁFICO 10

ATAQUE SMURF




49

Con esta petición fraudulenta, se consigue que todas las máquinas de la red respondan

a la vez a una misma máquina, consumiendo todo el ancho de banda disponible y

saturando el ordenador atacado.

TCP/SYN FLOODING

Como ya hemos visto anteriormente, algunos de los ataques y técnicas de exploración

que se utilizan en la actualidad se basan en no complementar intencionadamente el

protocolo de intercambio del TCP. Esta debilidad del protocolo TCP proviene de las

primeras implementaciones de las pilas TCP.

Cada vez que se procesa una conexión, deben crearse datagramas IP para almacenar la

información necesaria para el funcionamiento del protocolo. Esto puede llegar a

ocupar mucha memoria. Como la memoria del equipo es finita, es necesario imponer

restricciones sobre el número de conexiones que un equipo podrá aceptar antes de

quedarse sin recursos.

El ataque de TCP/SYNFloodingse aprovecha del número de conexiones que están

esperando para establecer un servicio en particular para conseguir la denegación del

servicio.

50

Cuando un atacante configura una inundación de paquetes SYN de TCP, no tiene

ninguna intención de complementar el protocolo de intercambio, ni de establecer la

conexión. Su objetivo es exceder los límites establecidos para el número de

conexiones que están a la espera de establecerse para un servicio dado.

Esto puede hacer que el sistema que es víctima del ataque sea incapaz de establecer

cualquier conexión adicional para este servicio hasta que las conexiones que estén a la

espera bajen el umbral.

Hasta que se llegue a este límite, cada paquete SYN genera un SYN/ACK que

permanecerá en la cola a la espera de establecerse. Es decir, cada conexión tiene un

temporizador (un límite para el tiempo que el sistema espera, el establecimiento de la

conexión) que tiende a configurarse en un minuto.

Cuando se excede el límite de tiempo, se libera la memoria que mantiene el estado de

esta conexión y la cuenta de la cola de servicios disminuye en una unidad. Después de

alcanzar el límite, puede mantenerse completa la cola de servicios, evitando que el

sistema establezca nuevas conexiones en este puerto con nuevos paquetes SYN.

Dado que el único propósito de la técnica es inundar la cola, no tiene ningún sentido

utilizar la dirección IP real del atacante, ni tampoco devolver los SYN/ACK, puesto

que de esta forma facilitaría que alguien pudiera llegar hasta él siguiendo la conexión.

51

Por lo tanto, normalmente se falsea la dirección de origen del paquete, modificando

para ello la cabecera IP de los paquetes que intervendrán en el ataque de una

inundación SYN.

TEARDROP

El protocolo IP especifica unos campos en la cabecera encargados de señalar si el

datagrama IP está fragmentado (forma parte de un paquete mayor) y la posición que

ocupa dentro del datagrama original.

En el campo de indicadores de TCP encontramos el indicador de más fragmentos que

indica si el paquete recibido es un fragmento de un datagrama mayor. Por otra parte, el

campo de identificación del datagrama especifica la posición del fragmento en el

datagrama original.

El ataque Teardropintentará realizar una utilización fraudulenta de la fragmentación

IP para poder confundir al sistema operativo en la reconstrucción del datagrama

original y colapsar así el sistema.

Supongamos que deseamos enviar un fichero de 1024 bytes a una red con un MTU

(Maxim Transfer Unit) de 512 bytes. Será suficiente enviar dos fragmentos de 512

bytes. (ver cuadro 3).

52

CUADRO No. 3

FRAGMENTACIÓN CORRECTA

Posición Longitud

Fragmento 1 0 512

Fragmento 2 512 512

Elaboración:Propia del autor del presente trabajo



El objetivo de Teardropserá realizar las modificaciones necesarias en los campos de

posición y longitud para introducir incoherencias cuando se produzca la

reconstrucción del datagrama original (ver cuadro 4)

CUADRO No. 4

FRAGMENTACIÓN INCORRECTA

Posición Longitud

Fragmento 1 0 512

Fragmento 2 500 512

………. ………. ……….

Fragmento N 10 100




53

De esta forma, Teardropy sus variantes directas conseguirán que el datagrama se

sobrescriba y produzca un error de buffer-overrunal ser reensamblado.Otra posibilidad

consiste en enviar centenares de fragmentos modificados malintencionadamente, con

el objetivo de saturar la pila de protocolo IP del equipo atacado (a causa de una

superposición de distintos datagramas IP).

SNORK

.

El ataque Snorkse basa en una utilización malintencionada de dos servicios típicos en

sistemas Unix: el servicio CHARGEN (CHARacterGENerator, generador de

caracteres) y el servicio ECHO.

El primer servicio se limita a responder con una secuencia aleatoria de caracteres a las

peticiones que recibe. El segundo servicio, ECHO, se utiliza como sistema de pruebas

para verificar el funcionamiento del protocolo IP.

Así, esta denegación de servicio se basa en el envío de un datagrama especial al

ordenador de destino, que una vez reconocido, enviará una respuesta al equipo de

origen.

54

GRÁFICO 11

ATAQUE SNORK




El ataque Snorkconsiste en el cruce de los servicios ECHO y CHARGEN, mediante el

envío de una petición falsa al servicio CHARGEN, habiendo colocado previamente

como dirección de origen la dirección IP de la máquina que hay que atacar (con el

puerto del servicio ECHO como puerto de respuesta). De esta forma, se inicia un juego

de ping-pong infinito.

55

Este ataque se puede realizar con distintos pares de equipos de la red obteniendo un

consumo masivo de ancho de banda hasta degradar el rendimiento de la misma.

También se puede realizar contra una misma máquina (ella misma se envía una

petición y su respuesta) consiguiendo consumir los recursos (especialmente CPU y

memoria) de este equipo.

PING OF DEATH

El ataque de denegación de servicio “ping de la muerte” (ping of death) fue uno de los

ataques más conocidos y que más artículos de prensa generó. Al igual que otros

ataques de denegación existentes, utiliza una definición de longitud máxima de

datagrama IP fraudulenta.

La longitud máxima de un datagrama IP es de 65535 bytes, incluyendo la cabecera del

paquete (20 bytes) y partiendo de la base de que no hay opciones especiales

especificadas. Por otra parte, recordemos que el protocolo ICMP tiene una cabecera de

8 bytes. De esta forma, si queremos construir un mensaje ICMP tenemos disponibles

65535 - 20 - 8 = 65507 bytes.

Debido a la posibilidad de fragmentación de IP, si es necesario enviar más de 65535

bytes, el datagrama IP se fragmentará y se reensamblará en el destino con los

mecanismos comentados anteriormente.

56

El ataque ping de la muerte se basa en la posibilidad de construir, mediante el

comando ping, un datagrama IP superior a los 65535 bytes, fragmentado en N trozos,

con el objetivo de provocar incoherencias en el proceso de reensamblado.

Si, por ejemplo, construimos un mensaje ICMP de tipo echo-request de 65510 bytes

mediante el comando ping -s 65510, los datos ICMP podrán ser enviados en un único

paquete fragmentado en N trozos (según la MTU de la red), pero pertenecientes al

mismo datagrama IP. Si hacemos la suma de los distintos campos del datagrama,

veremos que los 20 bytes de cabecera IP más los 8 bytes de cabecera ICMP, junto con

los datos ICMP (65510 bytes) ocuparán 65538 bytes. De esta forma, el ataque

consigue provocar un desbordamiento de 3 bytes. Este hecho provocará que al

reconstruir el paquete original en el destino, se producirán errores que, si existen

deficiencias en la implementación de la pila TCP/IP del sistema, podrían causar la

degradación total del sistema atacado.

Este exploit ha afectado a la mayoría de Sistemas Operativos, como Unix, Linux, Mac,

Windows, impresoras, y los routers. No obstante la mayoría de los sistemas operativos

desde 1997-1998 han arreglado este problema, por lo que el fallo está solucionado.

http://es.wikipedia.org/wiki/Exploit

57

ATAQUES DISTRIBUIDOS (DDOS)

Un ataque de denegación de servicio distribuido es aquél en el que una multitud de

sistemas (que previamente han sido comprometidos) cooperan entre ellos para atacar a

un equipo objetivo, causándole una denegación de servicio. El flujo de mensajes de

entrada que padece el equipo atacado le dejará sin recursos y será incapaz de ofrecer

sus servicios a usuarios legítimos.

GRÁFICO 12

ATAQUE TÍPICO DE DDOS



Así pues, podemos definir los ataques de denegación de servicio distribuidos como un

ataque de denegación de servicio en el que existen múltiples equipos sincronizados de

forma distribuida que se unen para atacar un mismo objetivo.


58

A continuación veremos algunos de los ataques de denegación de servicio distribuidos

más representativos, prestando especial atención tanto a su evolución histórica, como

al modelo distribuido de las fuentes que realizan el ataque, su sincronización y la

forma en la que realizan la denegación de servicio.

TRIN00

TRIN00 es un conjunto de herramientas master-slaveutilizadas para sincronizar

distintos equipos que cooperarán, de forma distribuida, en la realización de una

denegación de servicio. Las primeras implementaciones de TRIN00 fueron

implementadas únicamente para sistemas Sun Solaris (en los que se produjeron los

primeros ataques conocidos).

El primer paso para realizar un ataque con TRIN00 consiste en la instalación de las

herramientas en los equipos desde los que partirá el ataque. Para ello, el atacante

necesitará obtener privilegios de administrador en estos equipos (que habrá

conseguido mediante técnicas de sniffing, explotación de servicios, etc.). Estos

sistemas deberían ser equipos interconectados en grandes redes corporativas con un

gran ancho de banda y en los que el origen del ataque pudiera pasar desapercibido

entre cientos o millares de sistemas dentro la misma red. El atacante tratará de realizar

un ataque de intrusión a un primer equipo de estas redes, desde donde continuará con

59

la búsqueda de nuevos equipos vulnerables y procederá a su infección de igual manera

como se realizó con el primer equipo.

Para realizar las intrusiones, el atacante llevará a cabo una búsqueda de

vulnerabilidades en los equipos existentes en la red, generando una lista de equipos

potencialmente débiles en los que tratará de introducirse y ejecutar las herramientas

necesarias para provocar la escalada de privilegios.

Desde el primer equipo infectado por TRIN00, el atacante tratará de distribuir las

herramientas a cada una de las demás máquinas infectadas. También se encargará de la

ejecución de tareas periódicas para tratar de esconder los rastros de la intrusión que

puedan delatar la entrada en el sistema y la detección del origen del ataque.

En el siguiente gráfico podemos observar el diagrama de tres capas que conforma un

ataque ejecutado mediante TRIN00. Vemos cómo a partir de un único ordenador, el

atacante podrá llegar a obtener toda una red de equipos a su disposición para la

realización del ataque distribuido.

60

GRÁFICO 13

ATAQUE TRIN00




La comunicación entre las distintas capas se realiza mediante conexiones TCP

(fiables) para la parte atacante-master, y conexiones UDP (no fiables) para la parte

master-slavey slave-master, en puertos específicos de cada máquina.

.

La comunicación siempre se inicia con la transmisión de una contraseña. Esto permite

que ni el administrador del equipo ni el de otros atacantes puedan acceder al control de

la red de ataques de TRIN00.

61

Los demonios de TRIN00 situados en los equipos master y slavepermiten la ejecución

de comandos para iniciar, controlar y detener ataques de denegación tradicionales

como ICMP Flooding, SYN Flooding, UDP Flooding, Smurf, etc. Para acceder a estos

comandos, el atacante realizará una conexión Telnet en el puerto especificado en el

siguiente esquema:

CUADRO No. 5

ESQUEMA DE COMUNICACIONES DE TRIN00

Atacante Master Slave

Atacante 27665/TCP

Master 27444/UDP

Slave 31335/UDP


Fuente:

<http://revistaenter.net/biblia/012.1%20Aspectos%20avanzados%20en%20seguridad

%20en%20redes%20modulos.pdf>

TRIBE FLOOD NETWORK

TribeFlood Network (TFN) es otra de las herramientas existentes para realizar ataques

de denegación de servicio distribuidos que utiliza un esquema master-slavepara

coordinar ataques de denegación tradicionales (ICMP Flooding, SYN Flooding, UDP

Floodingy Smurf). Al igual que TRIN00, permite dejar abierta una consola de

62

administración a la máquina de origen (escuchando por un puerto TCP determinado)

ofreciendo un acceso ilimitado a los equipos infectados.

.La arquitectura de funcionamiento del TFN es muy parecida a la de TRIN00. Una de

las pocas diferencias la encontramos en la parte de clientes (respecto a los Masters del

esquema de TRIN00) y la parte de demonios (respeto a los Slavesde TRIN00). De

forma análoga, un atacante controla a uno o más clientes que a su vez, controlan a uno

o más demonios.

El control de la red TFN se consigue mediante la ejecución directa de comandos

utilizando conexiones cliente-servidor basadas en paquetes ICMP de tipo echo-reply.

.

La comunicación para el envío de comandos se realiza mediante un número binario de

16 bits en el campo de identificación de mensajes ICMP de tipo echo. El número de

secuencia es una constante 0x0000 para enmascarar el mensaje ICMP como si fuera a

una petición echo-request y pasar así desapercibido en el caso de existir en la red

mecanismos de detección de ataques.

Este cambio en la comunicación, respecto a TRIN00, se debe a que muchos sistemas

de monitorización para la protección de redes (dispositivos cortafuegos, sistemas de

detección de intrusos, etc.) pueden filtrar tráfico TCP y UDP que va hacia puertos

determinados.

63

No obstante, la mayoría de sistemas dejan pasar mensajes ICMP de tipo echo

utilizados para utilizar el comando ping y realizar así verificaciones de los equipos

activos en la red. Además, pocas herramientas de red muestran adecuadamente los

mensajes ICMP, lo cual permite un camuflaje perfecto entre el tráfico normal de la

red.

Otra diferencia respeto a TRIN00 es que los clientes de TFN no están protegidos por

contraseñas de acceso, con lo cual puede ser ejecutado sin restricciones por otros

usuarios una vez instalado.

SHAFT

Otro conjunto de herramientas derivado de los dos anteriores (TRIN00 y TFN) es

Shaft. La jerarquía utilizada por Shaftes similar a las demás herramientas analizadas.

Una vez más, se basa en varios masters (denominados ahora Shaftmasters) que

gobiernan a su vez diversos slaves(Shaftnodes).

Al igual que en los otros esquemas, el atacante se conecta mediante un programa

cliente a los Shaftmastersdesde donde inicia, controla y finaliza los ataques

distribuidos.

64

Shaftutiliza mensajes UDP para transmitir información entre los Shaftmastersy los

Shaftnodes. Por otra parte, el atacante se conecta vía Telnet a un Shaftmasterutilizando

una conexión fiable mediante TCP. Una vez conectado, utilizará una contraseña para

autorizar su acceso.

CUADRO No. 6

ESQUEMA DE COMUNICACIONES DE SHAFT

Atacante ShaftMaster ShaftNode

Atacante 20432/TCP

ShaftMaster 18753/UDP

ShaftNode 20433/UDP




La comunicación entre Shaftmastersy Shaftnodesse realiza mediante UDP (que no es

fiable). Por este motivo, Shaft utiliza tickets para poder mantener ordenada la

comunicación y asignar a cada paquete una orden de secuencia.

La combinación de contraseñas y tickets es utilizada por los Shaftmasterspara

transmitir las órdenes hacia a los Shaftnodes, que a su vez verificarán que sean

correctas.

65

TRIBE FLOOD NETWORK 2000

El TFN2K es la revisión de la herramienta TFN que permite lanzar ataques de

denegación de servicio distribuido contra cualquier máquina conectada a Internet.

La arquitectura básica en la que existe un atacante que utiliza clientes para gobernarlos

distintos demonios instalados en las máquinas infectadas se mantiene, de forma que el

control de este tipo de ataques mantiene la premisa de tener el máximo número de

ordenadores segmentados. De esta forma, si un cliente es neutralizado, el resto de la

red continúa bajo control. Aun así, TribeFlood Network 2000 (TFN2K) añade una

serie de características adicionales, de entre las que destacamos las siguientes:

La comunicación master-slavese realizan ahora mediante protocolos TCP,

UDP, ICMP o los tres a la vez de forma aleatoria.

Los ataques continúan siendo los mismos (ICMP Flooding, UDP Flooding,

SYN Floodingy Smurf). Aun así, el demonio se puede programar para que

alterne entre estos cuatro tipos de ataque, para dificultar la detección por parte

de sistemas de monitorización en la red.

Las cabeceras de los paquetes de comunicación master-slaveson ahora

aleatorias, excepto en el caso de ICMP (donde siempre se utilizan mensajes de

66

tipo echo-reply). De esta forma se evitaría una detección mediante patrones de

comportamiento.

Todos los comandos van cifrados. La clave se define en tiempo de compilación

y se utiliza como contraseña para acceder al cliente.

Cada demonio genera un proceso hijo por ataque, tratando de diferenciarse

entre sí a través de los argumentos y parámetros que se pasan en el momento

de ejecución. Además, se altera su nombre de proceso para hacerlo pasar por

un proceso más del sistema.

EJEMPLO DE ATAQUE DDOS

Al finalizar de dar un repaso a los diferentes tipos de ataques que se pueden dar en un

sistema, reflejaremos un ataque real de DDOS sufrido en un famoso de seguridad

denominado GRC.COM.

La justificación del porquése analiza este ataque en el capítulo, viene dada por dos

factores:

1. Pese a que los ataques de denegación de servicio son muy abundantes y hay

gran constancia de ellos, la información disponible sobre estos ataques suele

67

ser mínima, reduciéndose a pequeñas notas en organismos como el CERT o

boletines electrónicos como SECURITYFOCUS y grandes titulares de prensa

o televisión con más contenido peliculero que realidad técnica. En este caso

concreto, existe un detallado análisis disponible de forma pública que

disecciona perfectamente el ataque recibido.

2. Como se ha podido comprobar, los ataques DDOS suelen ser una

generalización de los ataques DOS, con lo que un ejemplo de ataque

distribuido es suficientemente complejo como para obtener una idea de cómo

funcionan realmente.

El 11 de enero de 2002 a las 02:00 a.m. (US Pacific time) el servidor

WWW.GRC.COM fue atacado mediante una inundación masiva de paquetes de

petición de conexión (TCP SYN Flood) utilizando la técnica DRDOS

(DistributedReflectionDenial Of Service).

De repente, las dos conexiones T1 (1.5Mbits/s) mostraron un tráfico de salida nulo, ya

que el servidor WWW era incapaz de completar una petición de conexión y servir

contenidos. Sin embargo, el tráfico registrado en las conexiones de red era de casi el

100% de su capacidad 2 x T1 (ver cuadro 7).

68

Analizando los paquetes recibidos de los ISP QWEST, Verio y Above.net no se

observa ninguna anomalía y parecen paquetes TCP SYN/ACK legítimas hacia el

puerto 80 de GRC.COM dando como puerto de origen de la petición el 179.

Cabe destacar que todas las peticiones provienen de ISP (Internet Serviceprovider), es

decir, organizaciones con conexiones a Internet de un gran ancho de banda, lo que

permite una gran capacidad de generación de tráfico.

CUADRO No. 7

ANALISIS REAL DE LOS PAQUETES 179/TCP SYN RECIBIDOS

Dirección IP Nombre DNS

129.250. 28. 1

129.250. 28. 3

129.250. 28. 20

205.171. 31. 1

205.171. 31. 2

205.171. 31. 5

206. 79. 9. 2

206. 79. 9.114

206. 79. 9.210

208.184.232. 13

208.184.232. 17

208.184.232. 21

208.184.232. 25

Ge-6-2-0.r03.sttlwa01.us.bb.verio.net

ge-1-0-0.a07.sttlwa01.us.ra.verio.net

ge-0-1-0.a12.sttlwa01.us.ra.verio.net

iah-core-01.inet.qwest.net



globalcrossing-px.exodus.net

exds-wlhm.gblx.net

telefonica-px.exodus.net

core1-atl4-oc48-2.atl2.above.net

core2-atl4-oc48.atl2.above.net

core1-atl4-oc48.atl2.above.net

core2-core1-oc48.atl2.above.net



El puerto 179 es el destinado al servicio BGP (Border Gateway Protocol) que permite

que diferentes sistemas autónomos se comuniquen e intercambien sus tablas de


69

ruteado (routingtables) para conocer que redes/ordenadores tienen accesibles en cada

momento.

Muchos sistemas troncales conectados a Internet admiten conexiones al puerto

179/TCP para el intercambio de tablas de ruteado con otros sistemas mediante el

protocolo BGP.

En el gráfico 14 podemos observar cómo se produce un ataque de DDOS indirecto

utilizando un servicio existente de forma correcta pero falseando la dirección de

origen:

1. Se crea la infraestructura necesaria para el DDOS (instalación de los

ordenadores master/slaves).

2. Inicio del ataque DDOS consistente en enviar desde los esclavos miles de

peticiones “correctas” de conexión TCP al puerto 179 a diferentes ISP. Se

falsea la dirección de origen de la petición y el puerto, colocando la dirección

IP de la víctima.

3. Obtención de cientos de miles de respuestas de los distintos ISP que

bloquearán todo el ancho de banda del servidor WWW atacado.

70

GRÁFICO 14

ESQUEMA DEL ATAQUE DRDOS



Una vez conocida la arquitectura del ataque, comenta Steve Gibson que tardó más de

tres horas en conseguir que su propio ISP (con servicio 24x7) bloqueara todos los

paquetes de conexiones que provenían del puerto 179/TCP.Una vez conseguido el

bloqueo del trafico proveniente del puerto 179/TCP, el servidor WWW continuó sin

estar operativo debido a otros ataques de inundación de paquetes (TCP/UDP Flood) a

los puertos 22/TCP (SSH), 23/TCP (TELNET), 53/UDP (DNS), 80/TCP (WWW),

4001/TCP (Proxy), 6668/UDP (IRC).


71

La explicación dada a que inmediatamente después de bloquear el primer ataque

continuara atacado el WWW es que este segundo ataque se lanzó simultáneamente con

el primero, sin embargo, debido a que el primero proviene de ISPs con una gran

capacidad de ancho de banda, habían enmascarado el segundo.

A continuación en el cuadro 8se pueden observar algunas muestras tomadas de las

peticiones de TCP SYN Floodobtenidas del segundo ataque. Se puede observar que

muchas de ellas provienen de ordenadores conectados a redes que tienen grandes

conexiones a Internet (.nasa.gov o .yahoo.com)

CUADRO No. 8

ANALISIS REAL DE LOS PAQUETES DEL SEGUNDO ATAQUE

Dirección IP Nombre DNS

64.152.4.80

128.121.223.161

131.103.248.119

164.109. 18.251

171. 64. 14.238

205.205.134.1

206.222.179.216

208. 47.125. 33

216. 34. 13.245

216.111.239.132

216.115.102. 75

216.115.102. 76

216.115.102. 77

216.115.102. 78

216.115.102. 79

www.wwfsuperstars.com

veriowebsites.com

www.cc.rapidsite.net

whalenstoddard.com

www4.Stanford.edu

shell1.novalinktech.net

forsale.txic.net

gary7.nsa.gov

channelserver.namezero.com

www.jeah.net

w3.snv.yahoo.com

w4.snv.yahoo.com

w5.snv.yahoo.com

w6.snv.yahoo.com

w7.snv.yahoo.com




72

Después de aplicar los filtros correspondientes, el ISP de GRC.COM (Verio) descartó

un total de 1.072.519.399 paquetes maliciosos de TCP SYN Flood.

SNORT

Snort es un sistema de detección de intrusiones de red (NIDS) activo (que

puede ejecutar acciones de respuesta), el cual implementa un motor de detección

de ataques y barridos de puertos el cual permite registrar, alertar y reaccionar ante

algún intento de ataque.

La primera aproximación de Snort fue APE, un programa para Linux escrito

enNoviembre de 1998, por MartyRoesch. Este programa tenía carencias como la falta

decapacidad para trabajar en múltiples sistemas operativos o la de mostrar todos los

tipos depaquetes del mismo modo.

Fue en Diciembre de 1998, cuando MartyRoesch creó la primera versión de

Snort(Snort-0.96), que ya estaba desarrollada con libcap, lo que la dotaba de una gran

portabilidad.Esta primera versión era sólo un sniffer de paquetes y no tenía las

capacidades reales de unIDS/IPS. Sin embargo, a partir de aquí, se han ido sucediendo

numerosas versiones de Snort quehan hecho de esta herramienta una de las más

importantes en la seguridad software.

73

Disponible bajo licencia GPL tanto para plataformas Linux y Windows, implementa el

uso de una gran cantidad de patronesy filtros para detectar posibles ataqueso

vulnerabilidades. Esta herramienta es muy común encontrarla implementada con

componentes como para almacenamiento de eventos y BASE para ver y analizar

luego los datos desde una interfaz web.

Snort utiliza reglas escritasen un lenguaje sencillo, almacenadas en archivos de texto

yagrupadas por categorías.Muchas de estas reglas son incluidas en la versión inicial

de Snort y se puedenhabilitaro ignorar desde el archivo snort.conf.

COMPONENTES DE SNORT

Antes de iniciar la instalación y configuración de Snort es importante conocer

loselementos que lo componen. Tal y como muestra el gráfico 15, los elementos que

componen elesquema básico de su arquitectura son:

Módulo de captura del tráfico. Es el encargado de capturar todos los

paquetes de lared utilizando la librería libpcap.

Decodificador. Se encarga de formar las estructuras de datos con los

paquetescapturados e identificar los protocolos de enlace, de red, etc.

74

Preprocesadores. Permiten extender las funcionalidades preparando los datos

para ladetección. Existen diferentes tipos de preprocesadores dependiendo del

tráfico quequeremos analizar (por ejemplo, existen los preprocesadores http,

telnet).

GRÁFICO 15

ARQUITECTURA DE SNORT

Elaboración:Carlos Jiménez Galindo

Fuente:<http://www.adminso.es/images/8/88/PFC_carlos.pdf>

Motor de Detección. Analiza los paquetes en base a las reglas definidas para

detectarlos ataques.

75

Archivo de Reglas. Definen el conjunto de reglas que regirán el análisis de los

paquetes detectados.

Plugins de detección. Partes del software que son compilados con Snort y se

usan paramodificar el motor de detección.

Plugins de salida. Permiten definir qué, cómo y dónde se guardan las alertas y

loscorrespondientes paquetes de red que las generaron. Pueden ser archivos de

texto, basesde datos, servidor syslog, etc.

Seguidamente se describirán cada uno de los elementos que componen Snort:

MÓDULO DE CAPTURA DE DATOS

El módulo de captura de paquetes del sensor se encarga, tal y como su propio

nombreindica, de realizar la captura del tráfico que circula por la red, aprovechando

almáximo losrecursos de procesamiento y minimizando por tanto la pérdida de

paquetes a tasas de inyecciónelevadas.

Para que los preprocesadores y posteriormente el motor de detección puedan

conseguirpaquetes se deben realizar algunas tareas previas. Snort no tiene ninguna

facilidad nativa depaquetes aún; por lo que requiere de una biblioteca de sniffing de

76

paquetes externa: libpcap.Libpcap fue escogida para la captura de paquetes por su

independencia de plataforma. Puede sercontrolada sobre todas las combinaciones de

hardware y S.O.; e incluso sobre WIN32 conwinpcap.

Debido a que Snort usa la biblioteca libpcap para capturar paquetes por la red,

puedeutilizar su transportabilidad para ser instalado en casi todas partes. La utilización

de libpcaphace que Snort tenga un uso realmente independiente de plataforma.

La responsabilidad de capturar paquetes directamente de la tarjeta de interfaz de

redpertenece a libpcap. Esto hace que la facilidad de captura para “paquetes

raw”proporcionadospor el sistema operativo esté disponible a otras aplicaciones.

Un “paquete raw” es un paquete que se deja en su forma original, sin modificar

comohabía viajado a través de la red del cliente al servidor. Un paquete raw tiene toda

su informaciónde cabecera de protocolo de salida intacta e inalterada por el sistema

operativo. Las aplicacionesde red típicamente no tratan paquetes raw; estos dependen

del S.O. para leer la información delprotocolo y expedir los datos de carga útil

correctamente. Snort es insólito en este sentido, usa lainformación de cabecera del

protocolo que habría sido quitada por el sistema operativo paradescubrir algunas

formas de ataques.

77

DECODIFICADOR

El motor de decodificación está organizado alrededor de las capas de la pila

deprotocolos presentes en las definiciones soportadas de los protocolos de Enlace de

Datos yTCP/IP. Cada subrutina en el decodificador impone orden sobre los datos del

paquete,sobreponiendo estructuras de datos sobre el tráfico de la red.

Snort posee capacidades de decodificación para protocolos Ethernet, SLIP y PPP.

Seencarga de tomar los paquetes que recoge el libpcap y almacenarlos en una

estructurade datosen la que se apoyan el resto de capas.

En cuanto los paquetes han sido capturados, Snort debe descifrar los elementos

deprotocolo específicos para cada paquete. El decodificador de paquetes es en

realidaduna seriede decodificadores, de forma que cada uno descifra elementos de

protocolos específicos.Funciona sobre la pila de protocoles de Red, que comienza con

el nivel más bajo: protocolos dela capa de Enlace de Datos, descifrando cada protocolo

conforme asciende en la pila deprotocolos de red. Un paquete sigue este flujo de datos

moviéndose a través del decodificador de paquetes, como se puede ver en el gráfico

16.

78

GRÁFICO 16

FLUJO DE DATOS DEL DECODIFICADOR



En cuanto los paquetes de datos son almacenados en una estructura de datos están

listospara ser analizados por los preprocesadores y por el motor de detección.

79

PREPROCESADORES

Para comprender mejor lo que es un preprocesador en primer lugar hay que entender

laforma de comunicación de un sistema. Como se puede ver en el gráfico 17, el

protocolo TCP/IPes un protocolo basado en capas. Cada capa del protocolo tiene una

funcionalidad determinaday para trabajar correctamente necesita una información

(cabecera). Por ejemplo, la capa deenlace utiliza para enviar y recibir datos las

direcciones MAC de los equipos, la capa de redutiliza las direcciones IP, etc.

Los datos que se transmiten por la red en paquetes de forma individual, pueden llegar

asu destino de forma desordenada, siendo el receptor el encargado de ordenar los

paquetes ydarles sentido.

GRÁFICO 17

CAPAS TCP/IP



80

Como Snort tiene que leer todo el tráfico de la red e interpretarlo también tiene

quellevar un control de los paquetes que se envían por la red y así poder darle forma a

lainformación. Por ejemplo, escucha todo el tráfico que tiene como destino una

dirección ypuertos determinados para ensamblar los datos y así poder interpretarlos.

Los Preprocesadores son componentes de Snort que no dependen de las reglas ya que

elconocimiento sobre la intrusión depende del módulo Preprocesador. Se llaman

siempre quellegue un paquete y se les puede aplicar reglas que estén cargadas en

Snort. Asípues, se encargan de coger la información que viaja por la red de una

manera caótica y darleforma para que pueda ser interpretada la información. De esta

forma una vez que tenemos losdatos ordenados que viajan por la red aplicaremos las

reglas (rules) para buscar un determinadoataque.

La arquitectura de preprocesadores de Snort consiste en pequeños programas C

quetoman decisiones sobre qué hacer con el paquete. Estos pequeños programas C se

compilanjunto a Snort en forma de librería. Estos preprocesadores son llamados justo

después que Snortrealice la Decodificación, y posteriormente se llama al Motor de

Detección. Si el número depreprocesadores es muy alto el rendimiento de Snort puede

caer considerablemente.

81

Las configuraciones predeterminadas para estos subsistemas son muy generales,

amedida que experimentemos con Snort, podremos ajustarlas para obtener un mejor

rendimientoy resultados.

A continuación se muestra en el cuadro 9, un resumen con una descripción general de

los preprocesadores de Snort.

CUADRO No. 9

PREPROCESADORES PARA SNORT

Preprocesador Descripción

frag3 El preprocesador frag3 se basa en la fragmentación IP de

losmódulos de snort. Frag3 permite una ejecución más

rápida que frag2y permite técnicas de antievasión.

stream4 y

stream4_reasemble

Proporciona un flujo de ensamblado TCP y capacidades

de análisispara poder rastrear hasta 100.000 conexiones

simultáneas.

flow Permite unificar el estado que mantiene los mecanismos

de Snort enun único lugar. Desde la versión 2.1.0 sólo se

implementaba eldetector portscan, pero a largo plazo

muchos subsistemas de Snortutilizan flow.

stream5 Es un módulo de reensablado que intenta suplantar a

stream4 y aflow. Permite rastrear tanto comunicaciones

TCP como UDP.

sfportscan Es un módulo desarrollado por sourcefire para detectar el

primerpaso de un ataque: el escaneo de puertos.

rpc_decode Permite normalizar múltiples registros RPC

fragmentados en unúnico registro.

perfomance monitor Permite medir en tiempo real el funcionamiento de Snort.

Elfuncionamiento de éste preprocesador lo veremos más

tarde.

http_inspect y

http_inspect_server

Es un decodificador genérico para analizar el tráfico http.

Permitetrabajar tanto para analizar las respuestas de los

clientes como de losservidores.

smtp Es un decodificador SMTP para los clientes de correo

82

electrónico.

ftp/telnet Permite decodificar el tráfico ftp y telnet para buscar

cualquieractividad anormal. Se utiliza para analizar tanto

las respuestas de losclientes como de los servidores

ssh Permite analizar el tráfico ssh de clientes y servidores.

dce/rpc Analiza el tráfico SMB (compartir archivos y carpetas de

Windows).

dns Permite analizar el tráfico de DNS para detectar

diferentes tipos deataques.

Elaboración:Propia del autor del presente trabajo.


REGLAS

Las reglas o firmas son los patrones que se buscan dentro de los paquetes de datos.

Lasreglas de Snort son utilizadas por el motor de detección para comparar los paquetes

recibidos ygenerar las alertas en caso de existir coincidencia entre el contenido de los

paquetes y las firmas.

El archivo snort.confpermite añadir o eliminar clases enteras de reglas. En la parte

final delarchivo se pueden ver todos los conjuntos de reglas de alertas. Se pueden

desactivar toda unacategoría de reglas comentando la línea de la misma.

A continuación, se verán las distintas reglas de Snort, y el formato de las mismas,

parapoder realizar su configuración.

83

CATEGORÍAS DE REGLAS SNORT

Hay cuatro categorías de reglas para evaluar un paquete. Estas cuatro categorías

estándivididas a su vez en dos grupos, las que tienen contenido y las que no tienen

contenido. Hayreglas de protocolo, reglas de contenido genéricas, reglas de paquetes

mal formados y reglas IP.

Reglas de Protocolo. Las reglas de protocolo son reglas las cuales son

dependientes delprotocolo que se está analizando, por ejemplo en el protocolo

Http está la palabrareservada uricontent.

Reglas de Contenido Genéricas. Este tipo de reglas permite especificar

patrones parabuscar en el campo de datos del paquete, los patrones de

búsqueda pueden ser binarios oen modo ASCII, esto es muy útil para buscar

exploits los cuales suelen terminar encadenas de tipo “/bin/sh”.

Reglas de Paquetes Malformados. Este tipo de reglas especifica

características sobrelos paquetes, concretamente sobre sus cabeceras las cuales

indican que se estáproduciendo algún tipo de anomalía, este tipo de reglas no

miran en el contenido ya queprimero se comprueban las cabeceras en busca de

incoherencias u otro tipo de anomalía.

84

Reglas IP. Este tipo de reglas se aplican directamente sobre la capa IP, y

soncomprobadas para cada datagrama IP, si el datagrama luego es TCP, UDP o

ICMP serealizará un análisis del datagrama con su correspondiente capa de

protocolo, este tipode reglas analiza con contenido y sin él.

ESTRUCTURA DE LAS REGLAS

En su forma básica, una regla de Snort consta de dos partes:

Encabezado

Opciones

En el siguiente gráfico se puede ver la estructura que presenta una regla y su cabecera.

GRÁFICO 18

ESTRUCTURA DE UNA REGLA Y SU CABECERA



85

A continuación se muestran más detalladamente los distintos componentes de una

regla.

CABECERA DE UNA REGLA

La cabecera permite establecer el origen y destino de la comunicación, y sobre

dichainformación realizar una determinada acción. La cabecera contiene algunos

criterios para unir laregla con un paquete y dictar qué acción debe tomar una regla. Su

estructura es:

<acción><protocolo><red origen><puerto origen><dirección><red destino>

<puerto destino>

La estructura general de la cabecera de la regla es la que se puede observar en

elsiguiente gráfico:

GRÁFICO 19

ESTRUCTURA DE LA CABECERA DE UNA REGLA SNORT



86

Y el significado de cada campo es el siguiente:

Acción. Permite indicar la acción que se debe realizar sobre dicho paquete. Los

posiblesvalores son:

o alert: Genera una alerta usando el método de alerta seleccionado y

posteriormenteloggea el paquete.

o log: Comprueba el paquete.

o pass: Ignora el paquete.

o activate: Alerta y luego activa otra regla dinámica.

o dynamic: Permanece ocioso hasta que se active una regla, entonces

actúa como uninspector de reglas.

Protocolo. Permite establecer el protocolo de comunicaciones que se va a

utilizar. Losposibles valores son: TCP, UDP, IP e ICMP.

Red de origen y red de destino. Permite establecer el origen y el destino de

lacomunicación.

Puerto de origen y destino. Permite establecer los puertos origen y destino de

lacomunicación. Indica el número de puerto o el rango de puertos aplicado a la

direcciónde red que le precede.

87

Dirección. Permite establecer el sentido de la comunicación. Las posibles

opciones son:->, <- y <>.

LAS OPCIONES DE LAS REGLAS

Las opciones están separadas entre sí, por (;) y las claves de las opciones

estánseparadas por (:). Hay cuatro tipos de opciones:

Meta-data. Proporciona la información sobre la regla pero no tenga alguno

afectadurante la detección.

Payload. Busca patrones (firmas) dentro de la carga útil del paquete.

Non-Payload. Busca patrones dentro de los demás campos del paquete, que no

seancarga útil (por ejemplo, la cabecera).

Post-detection. Permite activar reglas específicas que ocurren después de que

se ejecuteuna regla.

Seguidamente se describen las principales opciones de las reglas:

msg. Informa al motor de alerta que mensaje debe de mostrar. Los caracteres

especialesde las reglas como : y ; deben de colocarse dentro de la opción msg

con el carácter \.

88

flow. Se usa junto con los flujos TCP, para indicar qué reglas deberían de

aplicarse sóloa ciertos tipos de tráfico.

content. Permite que Snort realice una búsqueda sensitiva para un contenido

específicodel payload del paquete.

reference. Define un enlace a sistemas de identificación de ataques externos,

comobugtraq, con id 788.

classtype. Indica qué tipo de ataques intentó el paquete. La opción

classtype,usa lasclassificationsdefinidas en el archivo de configuración de

Snort y que se encuentran enarchivos como classification.config.

La sintaxis del classification.configes:

<nombre_clase>, <descripción_clase>, <priorididad_por_defecto>

La prioridad es un valor entero, normalmente 1 para prioridad alta, 2 para

media y 3para baja.

La opción classification para el attempted-admin que aparece en

classification.config,es la siguiente:

config classification: attempted-admin,Attempted Administrator Privilege

Gain,1

89

La opción sid, en combinación con la opción rev, únicamente identifica una

regla Snort,correlacionando el ID de la regla individual con la revisión de la

regla.

MOTOR DE DETECCIÓN

El motor de detección es la parte más importante de Snort. Su responsabilidad

esdescubrir cualquier actividad de intrusión existente en un paquete. Para ello, el

motor dedetección emplea las reglas de Snort. Las reglas son leídas en estructuras de

datos internas ocadenas donde son comparadas con cada paquete. Si un paquete

empareja con cualquier regla,se realiza la acción apropiada. De lo contrario el paquete

es descartado. Las accionesapropiadas pueden ser registrar el paquete o generar

alarmas.

El motor de detección es la parte de tiempo crítico de Snort. Los factores que

influyenen el tiempo de respuesta y en la carga del motor de detección son los

siguientes:

Las características de la máquina.

Las reglas definidas.

Velocidad interna del bus usado en la máquina Snort.

Carga en la red.

90

Estos factores son muy importantes ya que por ejemplo, si el tráfico en la red

esdemasiado alto, mientras Snort está funcionando en modo NIDS, se pueden

descartar paquetes yno se conseguirá una respuesta en tiempo real. Así pues, para el

diseño del IDS habrá que teneren cuenta estos factores.

El motor de detección puede aplicar las reglas en distintas partes del paquete.

Estaspartes son las siguientes:

La cabecera IP. Puede aplicar las reglas a las cabeceras IP del paquete.

La cabecera de la capa de transporte. Incluye las cabeceras TCP, UDP e

ICMP.

La cabecera del nivel de la capa de aplicación. Incluye cabeceras DNS, FTP,

SNMPy SMPT.

Payload del paquete. Esto significa que se puede crear una regla que el motor

dedetección use para encontrar una cadena que esté presente dentro del

paquete.

El nuevo motor de detección de Snort introducido en la versión 2.0, parte con

unrequisito inicial, que Snort sea capaz de funcionar en redes Gigabyte, y para que

esto sea posiblese ha reescrito totalmente el motor de Snort para que este sea capaz de

gestionar tráfico aGigaBytes.

91

Los desarrolladores de Snort realizaron un nuevo motor de detección

usandoalgoritmosmultipatrónde búsqueda que es el núcleo del motor y que

implementa múltiples reglas,permitiendo a Snort funcionar sobre redes GigaByte.El

nuevo motor de detección construye cuatro grupos de reglas, una para el

protocoloTCP, para UDP, para ICMP y para IP.

Cuando un paquete se captura mediante la librería Libpcap lo primero que se realiza

esuna decodificación de éste para alinear cabeceras según el protocolo, como se puede

ver en elsiguiente diagrama del gráfico 20.

GRÁFICO 20

DIAGRAMA DE DECODIFICACIÓN DE PAQUETES

92



MÓDULOS DE SALIDA

Los módulos de salida o plugins pueden hacer diferentes operaciones dependiendo

decómo se desee guardar la salida generada por el sistema de loggin y alerta de

Snort.Básicamente estos módulos controlan el tipo de salida generada por estos

sistemas.Existen varios módulos de salida que se pueden utilizar, dependiendo del

formato en elque se deseen los datos: Syslog, Databasey el nuevo módulo denominado

Unified, que es unformato binario genérico para exportar datos a otros programas.

Tipos de módulos de salidas:

Syslog. Envía las alarmas al syslog.

Alert_Fast. El modo Alerta Rápida nos devolverá información sobre: tiempo,

mensajede la alerta, clasificación, prioridad de la alerta, IP y puerto de origen y

destino.

Alert_Full. El modo de Alerta Completa nos devolverá información sobre:

tiempo,mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de

origen/destino einformación completa de las cabeceras de los paquetes

registrados.

Alert_smb. Permite a Snort realizar llamadas al cliente de SMB, y enviar

mensajes dealerta a hosts Windows (WinPopUp).

93

Alert_unixsock. Manda las alertas a través de un socket, para que las escuche

otraaplicación.

Log_tcpdump. Este módulo asocia paquetes a un archivo con formato

tcpdump.

Database. Snort admite directamente cuatro tipos de salida a base de datos:

MySQL,PostgreSQL, Oracle y unixODBC. El módulo de salida de base de

datos requiere:parámetros y configuraciones, dentro del archivo de

configuración y en tiempo decompilación.

CSV. El plugin de salida CSV permite escribir datos de alerta en un formato

fácilmenteimportable a una base de datos.

Unified. Es un formato binario básico para registrar los datos y usarlos en el

futuro. Losdos argumentos admitidos son filenamey limit.

Log Null. A veces es útil ser capaz de crear las reglas que provocarán alertas

sobreciertos tipos de tráfico, pero no causarán entradas en los archivos de log.

Eventlog. Registra las alertas para visualizarse a través del visor de sucesos de

unsistema Windows.

94

CAPÍTULO III

METODOLOGÍA

DISEÑO DE LA INVESTIGACIÓN

MODALIDAD DE LA INVESTIGACIÓN

El trabajo que se presenta es el de un “Diseño e implementación de un sistema

detector de intrusos para aumentar la seguridad informática aplicando la

plataforma GNU-Linux” al que lo considero como una investigación de tipo

bibliográfica ya que al realizar este trabajo se hizouna investigación exhaustiva en

todo lo que se refiere a las diversas fallas que se podrían presentar en un sistema

informático y las posibles soluciones que se pueden dar para reparar esa vulnerabilidad

de la que ha sido objeto tal sistema.

TIPO DE INVESTIGACIÓN

95

El presente trabajo se encuentra enmarcado dentro del tipo de investigación por la

factibilidad el cual es un proyecto factible, ya que es la propuesta de un modelo

práctico que permite solucionar problemas, luego de un diagnóstico.

POBLACIÓN Y MUESTRA

POBLACIÓN

La presente investigación escogió a lugares que prestan servicios de hosting en la

ciudad de Guayaquil.El hosting es el servicio que provee a los usuarios de Internet un

sistema para poder almacenar información, vídeo, o cualquier contenido accesible vía

web. Es una analogía de “hospedaje o alojamiento en hoteles o habitaciones” donde

uno ocupa un lugar específico, en este caso la analogía alojamiento web o alojamiento

de páginas web, se refiere al lugar que ocupa una página web, sitio web, sistema,

correo electrónico, etc. en Internet o más específicamente en un servidor que por lo

general hospeda varias aplicaciones o páginas web. Se escogió esta población para

hacer un análisis en lo que respecta a la seguridad de estos sitios que ofrecen dicho

servicio a sus clientes.

MUESTRA

Como nuestra población es pequeña,para nuestro estudio se realizó un total de 29

encuestas que son las que corresponden a nuestra muestra.

96

INSTRUMENTO DE LA RECOLECCIÓN DE DATOS

El instrumento que utilice para realizar la recolección de datos fue la encuesta. A

continuación expongo el formato de la encuesta que se realizo basado en nuestro tema

investigativo.

FORMATO DE LA ENCUESTA

1. ¿Existe algún responsable de la seguridad informática de su empresa?

SI

NO

2. ¿Tiene implementado algún sistema para detectar accesos no autorizados

en su empresa?

SI

NO

3. Si su respuesta es positiva indique el tipo de sistema que tiene

implementado en su empresa:

Windows

97

Linux

Sistemas de detección de intrusos

Firewalls

Otros

4. Tuvieron problemas de seguridad informática en el tiempo que llevan

operando?

SI

NO

5. Si su respuesta es positiva indique el tipo de problema del que fue objeto

su compañía:

Alteración de página web

Acceso no autorizado por personal interno

Captura de información

Otros

6. Indique cómo se entero de estas violaciones a la seguridad:


Firewalls

Otros

7. ¿Conoce usted de la aplicación SNORT?

SI

NO

98

8. Seleccione los elementos que impiden fortalecer la seguridad informática

en su organización:

Factor económico

Factor humano

Desconocimiento

Otro

9. Escoja que tecnología de seguridad informática utiliza actualmente su

empresa:


Firewalls

Software antivirus

Redes privadas virtuales

Otras

Ninguna

10. ¿Considera que la información es un activo que se debería proteger?

SI

NO

PROCESAMIENTO Y ANÁLISIS

99

Para nuestro estudio se realizó un total de 29 encuestas. A continuación se muestran

las preguntas formuladas y el desglose de las respuestas dadas con su respectivo

gráfico que nos permiten tener una mejor compresión de la situación.

¿Existe algún responsable de la seguridad informática de su empresa?

CUADRO No. 10

RESULTADOS DE LA PREGUNTA 1

SI 12

NO 17


Fuente:Encuesta

Vemos que el 41% de los encuestados respondió a que si tenían un responsable de la

seguridad informática en su empresa, lo que quiere decir que hay un porcentaje

bastante alto de lugares que no tienen responsable de la seguridad informática.

GRÁFICO 21

PREGUNTA 1

100


Fuente:Encuesta

Tiene implementado algún sistema para detectar accesos no autorizados en su

empresa?

CUADRO No. 11


SI 16

NO 13


Fuente:Encuesta

Existe un porcentaje bastante alto de lugares que no tienen implementado algún

sistema para detectar accesos no autorizados.

GRÁFICO 22

PREGUNTA 2

SI41%

NO59%

SI

NO

101


Fuente:Encuesta

Si su respuesta es positiva indique el tipo de sistema que tiene implementado en

su empresa:

CUADRO No. 12


Windows 9

Linux 7


Firewalls 14

Otros 2


Fuente:Encuesta

Esta pregunta venia relacionada con la anterior en el caso de que nos contestaran

afirmativamente y nosarrojo los siguientes resultados: el tipo de sistema que tienen la

SI55%

NO45% SI

NO

102

mayor parte de los lugares encuestados para detectaraccesos no autorizados son los

firewalls, el cual tiene un porcentaje del 43%, seguido por el sistema operativo

Windows con un 27%, el sistema operativos Linux con un 21%, otros tipos de

sistemas con un 6% y un bajo porcentaje (3%)de lugares que tienen implementado un

sistema detector de intrusos.

GRÁFICO 23

PREGUNTA 3


Fuente:Encuesta

Tuvieron problemas de seguridad informática en el tiempo que llevan operando?

Windows27%

Linux21%

Sistemas de detección

de intrusos3%

Firewalls43%

Otros6%

Windows

Linux


Firewalls

Otros

103

CUADRO No. 13


SI 10

NO 19


Fuente:Encuesta

GRÁFICO 24

PREGUNTA 4


Fuente:Encuesta

El 34% de los sitios encuestados nos afirmo que tuvieron problemas de seguridad

informática, mientras que el 66% no tuvieron problemas.

SI34%

NO66%

SI

NO

104

Si su respuesta es positiva indique el tipo de problema del que fue objeto su

compañía:

CUADRO No. 14


Alteración de página web 0

Acceso no autorizado por personal

interno

1

Captura de información 1

Otros 8


Fuente:Encuesta

GRÁFICO 25

PREGUNTA 5

105


Fuente:Encuesta

Esta pregunta venia relacionada con la anterior en el caso de que nos contestaran

afirmativamente y nosarrojo los siguientes resultados: El ítem “Otros tipo de

problemas” nos dio un porcentaje del 80%, el acceso no autorizado por personal

interno y captura de información nos dio un porcentaje del 1% mientras que por

alteración de página web no hubo ningún porcentaje.

Indique cómo se enteró de estas violaciones a la seguridad:

CUADRO No. 15



Firewalls 1


0%

Acceso no autorizado por

personal interno

10%


10%

Otros80%


Acceso no autorizado por personal interno


Otros

106

Otros 6


Fuente:Encuesta

GRÁFICO 26

PREGUNTA 6


Fuente:Encuesta

Sistemas de detección de

intrusos30%

Firewalls10%

Otros60%


Firewalls

Otros

107

En cuanto a como se enteraron de las violaciones a la seguridad los lugares afectados

nos dio el siguiente resultado: el ítem “Por otros medios” nos dio un porcentaje del

60%, por sistemas de detección de intrusos un 30% y por medio de firewalls un 10%.

¿Conoce usted de la aplicación SNORT?

CUADRO No. 16


SI 5

NO 24


Fuente:Encuesta

GRÁFICO 27

PREGUNTA 7

108


Fuente:Encuesta

Los lugares encuestados que conocían de la herramienta para detección de intrusos nos

dio un porcentaje del 17% frente al 83% de encuestados que no conocían de la

herramienta Open SourceSnort.

Seleccione los elementos que impiden fortalecer la seguridad informática en su

organización:

CUADRO No. 17


Factor económico 14

Factor humano 5

SI17%

NO83%

SI

NO

109

Desconocimiento 10

Otro 0


Fuente:Encuesta

GRÁFICO 28

PREGUNTA 8

Factor económico

48%

Factor humano17%

Desconocimiento

35%

Otro0%

Factor económico

Factor humano

Desconocimiento

Otro

110


Fuente:Encuesta

El principal factor por el cual las organizaciones no fortalecían la seguridad

informática fue el factor económico el cual nos dio un resultado del 48%, mientras que

por desconocimiento el 10%, por el factor humano un 17%, y por otro factor un

porcentaje nulo.

Escoja que tecnología de seguridad informática utiliza actualmente su empresa:

CUADRO No. 18



Firewalls 13

Software antivirus 27

Redes privadas virtuales 4

Otras 0

Ninguna 0

111


Fuente:Encuesta

En cuanto a la tecnología de seguridad informática que utiliza actualmente el sitio

encuestado el principal el mayor porcentaje corresponde a el software antivirus con el

53%, firewalls con un 25%, sistemas de detección de intrusos con un 14%, redes

privadas virtuales con un 8%, otro tipo de tecnología y ninguna con un porcentaje

nulo.

GRÁFICO 29

PREGUNTA 9

112


Fuente:Encuesta

Considera que la información es un activo que se debería proteger?

CUADRO No. 19


SI 29

NO 0


Fuente:Encuesta

La respuesta fue unánimente afirmativa (100%) al hacerles esta vital pregunta a los

sitios encuestados.

Sistemas de detección de

intrusos14%

Firewalls25%

Software antivirus

53%


8%

Otras0%

Ninguna0% Sistemas de detección de

intrusos

Firewalls

Software antivirus


Otras

Ninguna

113

GRÁFICO 30

PREGUNTA 10


Fuente:Encuesta

CRITERIOS PARA LA LABORACIÓN DE LA PROPUESTA

SI100%

NO0%

SI

NO

114

El objetivo fundamental de la propuesta es el diseño de un sistema de detección de

intrusos, para lo cual he diseñado un entorno modelo basado en una arquitectura

virtual en el cual el sensor (Snort) estará instalado en una máquina virtual con el

sistema operativo Linux en su distribución Open Suse 11.2 el mismo que hará las

funciones de servidor. El sensor nos proporcionará el tráfico filtrado y procesado en

forma de alertas.

En el gráfico 31 se muestra el esquema de la propuesta, pudiendo apreciarse los

elementos principales que la componen: el sensor, propiamente dicho, formado por la

aplicación Open SourceSnort el cual estará conectado a la red (virtual) de área local

(LAN) cuyo tráfico se desea investigar. Este elemento es el que proporciona

lacapacidad de sensorización al sistema; se analizará en tiempo real el tráfico

capturado en busca de patrones de comportamiento que puedan considerarse anómalos

y, por lo tanto, ser clasificados como intentos de intrusión y convertidos en alertas;

además de capacidad de procesamiento, el sensor posee una memoria de

almacenamiento interna no volátil en la que se guardarán las alertas que genere el IDS,

junto con el tráfico que las provocó; y finalmente hemos colocado cuatro

computadores en nuestra red virtual para hacer las respectivas pruebas.

GRÁFICO 31

ESQUEMA DE LA PROPUESTA

115


Fuente:Propia del autor del presente trabajo

CAPÍTULO IV

MARCO ADMINISTRATIVO

Windows XP SP3 192.168.56.128

Windows XP SP3 192.168.56.130

Back Track 5 192.168.56.131

OpenSuse 11.2 192.168.56.129 IDS SNORT

192.168.56.01

116

CRONOGRAMA

Nombre de tarea Duración Comienzo Fin

Desarrollo capítulo 1 5 días 12/04/10 16/04/10


Recopilación y análisis de inf. 5 días 26/04/10 30/04/10

Recopilación y análisis de inf. 5 días 03/05/10 07/05/10



Recopilación inf. adicional 5 días 24/05/10 28/05/10



Desarrollo de esquema a realizar 5 días 14/06/10 18/06/10

Investigación herram. a utilizar 5 días 21/06/10 25/06/10

Instalación Open Suse 11.2 5 días 28/06/10 02/07/10

Aprendizaje comandos Linux 5 días 05/07/10 09/07/10

Investigación de IDS Snort 5 días 12/07/10 16/07/10

Instalación y configuración de IDS

Snort

5 días 19/07/10 23/07/10

Pruebas locales de IDS Snort 5 días 26/07/10 30/07/10

Instalación de sistemas en máquinas

virtuales para pruebas externas

5 días 02/08/10 06/08/10

Pruebas del IDS 5 días 09/08/10 13/08/10

Pruebas del IDS 5 días 16/08/10 20/08/10

Realizar formato de encuesta 5 días 23/08/10 27/08/10

Realización de encuestas 5 días 30/08/10 03/09/10

Procesamiento encuestas 5 días 06/09/10 10/09/10



Desarrollo de Anexos y Bibliografía 5 días 27/09/10 01/10/10

Revisión y correcciones 5 días 04/10/10 08/10/10

PRESUPUESTO

117

CUADRO No. 20

DETALLE DE EGRESOS DEL PROYECTO

EGRESOS DÓLARES

Costo de Seminario de Graduación $ 900.00

Computador portátil Toshiba 1,100.00

Disco duro portátilVerbatim 150.00

Servicio de Internet banda ancha 1 MBps(6 meses)

$28 c/mes

168.00

Servicio de energía eléctrica (6 meses)

$20 c/mes

120.00

Suministros de oficina y computación 70.00

Transporte 20.00

Fotocopias 5.00

Anillado de tesis de grado 5.00

TOTAL $ 2,538.00


Fuente: Propia del autor del presente trabajo

RECURSOS UTILIZADOS PARA EL PROYECTO

118

HARDWARE

Computador portátil Toshiba

Procesador: Intel Core i5 2.40 Ghz

Memoria RAM: 4 Gb

Disco duro: 500 GB

Disco portátil: 320 GB

SOFTWARE

Vmware Workstation 7.0

openSUSE 11.2

Microsoft Windows XP SP3

BackTrack 5

Snort 2.9

Base 1.4.5

CONCLUSIONES

119

Hoy en día las empresas deben enfocar parte de su atención en el grado de

vulnerabilidad y en las herramientas de seguridad con las que cuentan para hacerle

frente a posibles ataques informáticos que luego se pueden traducir en pérdidas

cuantiosas de dinero.

Pero no se trata de tecnología sino que se debe tener en cuenta siempre tres variables

de disminución de riesgo: Tecnología, Procesos y Personal. En cada uno de estos

puntos hay mucho que hacer, también considerando los niveles de confidencialidad,

disponibilidad e integridad que requiere cada uno de los elementos ponderados de las

funciones básicas del negocio.

En cuanto a los procesos, es importante que las empresas comiencen a entender,

planear, diseñar e implementar los procesos, mecanismos y métricas necesarias que le

permitan realizar el cumplimiento de regulaciones y normas.

En lo que se refiere a las personas, los atacantes están teniendo el mayor éxito en el

eslabón más débil y difícil de proteger, en este caso es la gente, se trata de uno de los

factores que ha incentivado el número de ataques internos. No importando los

procesos y la tecnología finalmente el éxito de un plan de disminución de riesgos

queda en manos del usuario.

Son numerosos los ataques analizados que se basan en explotar algunas características

de los protocolos de comunicación. Estos ataques buscan o bien el cese de las

120

actividades o servicios que presta el ordenador atacado (ataques de denegación de

servicio) o bien conseguir un acceso dentro de la máquina que le permita utilizarla a su

gusto y conveniencia.

La proliferación de herramientas automáticas que permiten de una forma sencilla

coordinar ataques de cientos o miles de ordenadores simultáneamente, exige

sistemasmás sofisticados que sean capaces de seguir y entender el flujo de las

comunicacionesexistentes. El simple filtrado de paquetes aislados del resto del flujo de

la comunicación ha dejado de ser efectivo.

También debemos tener en cuenta que muchas veces no basta únicamente con

protegernos de las posibles amenazas que provienen de Internet. En el caso de que un

sistema fuera comprometido por el motivo que fuese, el resto de ataques que lanzaría

el atacante hacia nuestra red serían ataques internos que pasarían desapercibidos.

Los sistemas NIDS unen a la capacidad de filtrado del tráfico las posibilidades que

brindan la detección por firmas (patrones específicos de ataques conocidos) y el

seguimiento de las comunicaciones desde un nivel de flujo de la comunicación.

Las contrapartidas de estos sistemas son principalmente la posibilidad de generar

falsos positivos y falsos negativos que pueden desvirtuar la efectividad del sistema.

Por otro lado generan una inmensa cantidad de información al tratar con todo el tráfico

121

existente en la red (benigno y maligno) lo que dificulta su post-proceso e

interpretación.

Además, para que un sistema de detección de intrusos sea realmente efectivo debe

estar perfectamente parametrizado y adaptado a la red en la cual está instalada, lo que

implica la existencia de un personal cualificado que regularmente verifique el buen

funcionamiento del sistema.

La mejora tecnológica que se produce constantemente en las telecomunicaciones ha

llevado a la proliferación de ataques y comportamientos maliciosos que anteriormente

eran imposibles. La comprobación de toda una clase A, B o C de direcciones IP

empieza a ser factible actualmente en espacios de tiempo cada vez menores. Lo que

antes hubiera tardado meses y años, en la actualidad con los anchos de banda

mejorando cada día pasa a ser cuestiones de días o incluso horas.

Las antiguas premisas de esconderse tras el anonimato o la falta de documentación

pública sobre los aspectos de seguridad o de arquitectura de nuestra red dejan de ser

válidos. Los atacantes realizan barridos “ciegos” por toda Internet con el objetivo

deconseguir un sistema vulnerable a sus técnicas y métodos.

Finalmente los IDS son cada vez más necesarios conforme aumenta el número de

incidentes en Internet. Son de gran ayuda para los administradores de una red,

trabajando en conjunto con otras herramientas de seguridad, como los firewalls y

122

analizadores de red. La información que dan nos ayuda a determinar los abusos que se

producen en la red, su naturaleza y sus fuentes.

RECOMENDACIONES

123

Capacitar al área encargada del sistema informático y redes de datos,en los camposde

seguridad informática para que comprendiendo todoslos posibles problemas, sean

éstos de desactualizaciones de equipos,de virus, troyanos, gusanos, de instalación de

software pirata, etc,puedan manejarlo y actuar de manera rápida para poder

solucionarlo deuna manera óptima.

Hablar con los responsables de la parte administrativa de lasorganizaciones, acerca de

los problemas informáticos y de las posiblesconsecuencias que se puede tener a corto

y largo plazo, resaltando quela mejor defensa es la prevención.

Actualizar el sistema operativo y aplicaciones importantes de lascomputadoras, por

medio de los “parches” de seguridad que publican losfabricantes, principalmente en

aquellas que se encuentren conectadas aInternet; ya que éstos equipos son muchomás

vulnerables que otrosque no trabajen en una red insegura como la red Internet.

La utilización combinada del firewall y el sistema de detección deintrusos, ya que son

un complemento que favorece a la seguridad de lasorganizaciones

La instalación y utilización de antivirus y firewalls de casas comercialesconocidas, ya

que si se utiliza software no conocido y difundido, en vezde favorecer a la seguridad

de la organización se estaría perjudicandoya que podrían tratarse de aplicaciones

124

maliciosas o modificadas quetengan escondidos programas que atenten contra la

seguridad de la red.

Si se requiere bajar programas fundamentales y necesarios para laorganización, se

recomienda que se lo haga desde páginas Web o urlsseguros; que se compruebe la

integridad del archivo descargadomediante la utilización de funciones hash, todo esto

para evitarinstalaciones de archivos modificados que son perjudiciales.

125

ANEXOS

GLOSARIO

126

ADSL(Asymmetric Digital Subscriber Line).Es una tecnología de acceso a Internet

de banda ancha, lo que implica una velocidad superior a una conexión tradicional por

módem en la transferencia de datos, ya que el módem utiliza la banda de voz y por

tanto impide el servicio de voz mientras se use y viceversa.

ATM (Asynchronous Transfer Mode). Es una tecnología de telecomunicación

desarrollada para hacer frente a la gran demanda de capacidad de transmisión para

servicios y aplicaciones.

BASE (Basic Analysis and Security Engine).Esta aplicación proporciona un

frontend web para consultar y analizar las alertas procedentes de un sistema IDS

SNORT.

BGP(Border Gateway Protocol). Protocolo mediante el cual se intercambia

información de encaminamiento entre sistemas autónomos.

Bugtraq.Es una lista de correo electrónico para publicación de vulnerabilidades

de software y hardware. Su listado de vulnerabilidades puede servir tanto a

un administrador de sistemas para enterarse de los fallos y si es posible arreglarlos,

como a un cracker para atacar sistemas vulnerables.

http://base.secureideas.net/

http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Hardware

http://es.wikipedia.org/wiki/Administrador_de_sistemas

http://es.wikipedia.org/wiki/Cracker

127

CERT(Computer Emergency Response Team). Es un centro de coordinación

importante en el tratamiento con los problemas de seguridad en Internet.

CIDF(Common Intrusion Detection Framework).Es un esfuerzo para desarrollar

los protocolos y las interfaces de programación de aplicaciones para que los proyectos

de investigación de detección de intrusos puedan compartir información y recursos y

también para que los componentes de detección de intrusiones se puedanreutilizar en

otros sistemas.

Cracker.Hacker cuya ocupación es buscar la forma de entrar en sistemas y encontrar

los fallos de seguridad de programas.

DOS (Denial of Service). En seguridad informática, un ataque de denegación de

servicio,también llamado ataque DoS,es un ataque a un

sistemade computadoras o red que causa que un servicio o recurso sea inaccesible a

los usuarios legítimos.

DDOS (Distributed Denial of Service). Una ampliación del ataque DoS es el ataque

distribuido de denegación de servicio, también llamado ataque DDoS el cual se lleva

a cabo generando un gran flujo de información desde varios puntos de conexión.

http://es.wikipedia.org/wiki/Inform%C3%A1tica

http://es.wikipedia.org/wiki/Computadora

http://es.wikipedia.org/wiki/Red_de_computadoras

128

DMZ (Demilitarizedzone). Es una red local que se ubica entre la red interna de una

organización y una red externa, generalmente Internet.

DNS (DomainNameSystem).Es un sistema de nomenclatura jerárquica para

computadoras, servicios o cualquier recurso conectado a Internet o a una red privada.

Firewall (Cortafuegos). Es un ordenador o un programa que conecta una red a

Internet pero impide el acceso no autorizado desde Internet. Mecanismo que permite

que las comunicaciones entre una red local e Internet se realizen conforme a las

políticas de seguridad de quien los instala.

FTP(File Transfer Protocol). Es un protocolo de red para la transferencia de archivos

entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en

la arquitectura cliente-servidor.

GNU. Acrónimo recursivo que significa "GNU No es Unix". Software desarrollado

para distribución sin fines de lucro. El proyecto GNU comenzó en 1984 para

desarrollar un sistema operativo tipo Unix completo, que fuera software libre.

GPL (General PublicLicense). Licencia creada por la Free SoftwareFoundation y

orientada principalmente a los términos de distribución, modificación y uso de

software libre.

http://www.alegsa.com.ar/Definicion/de/distribucion.php

http://www.alegsa.com.ar/Dic/software%20libre.php

129

Hacker. Usuario de ordenadores especializado en penetrar en las bases de datos de

sistemas informáticos estatales con el fin de obtener información secreta. En la

actualidad, el término se identifica con el de delincuente informático.

HIDS (Host-based intrusion detection system). Sistema de detección de intrusos en

un Host.

HTTP (Hiper Text Transfer Protocol).Protocola de transferencia de HiperTexto. Es

el protocolo de Internet que permite que los exploradores del WWW recuperen

información de los servidores.

IETF(Internet Engineering Task Force).Es una organización internacional abierta

de normalización, que tiene como objetivos el contribuir a la ingeniería de Internet,

actuando en diversas áreas, como transporte, encaminamiento, seguridad.

ICMP (Internet ControI Message Protocol).Protocolo de control de mensajes de

interred. Protocolo usado por el IP para informar de errores y excepciones.

IDMEF(Intrusion Detection Message Exchange Format).El grupo IDWG

desarrolló el IDMEF (IntrusionDetectionMessage Exchange Format) como un formato

común para alertas IDS. Este es una especificación basada en XML para un formato de

alertas de intrusión.

130

IDS(IntrusionDetectionSystem).Es un programa usado para detectar accesos no

autorizados a un computador o a una red. Estos accesos pueden ser ataques de

habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

IDWG(Intrusion Detection Working Group).El objetivo del

IntrusionDetectionWorkingGroup(IDWG) es de definir formatos de datos y

procedimientos de intercambio para compartir la información de interés a la detección

de intrusión y sistemas de respuesta y para los sistemas de gestión que necesitan

interactuar con ellos.

IDXP (Intrusion Detection Exchange Protocol).Este es un protocolo de nivel de

aplicación para intercambiar datos entre entidades de detección de intrusos.

IETF (Internet Engineering Task Force). Es una organización internacional abierta

de normalización, que tiene como objetivos el contribuir a la ingeniería de Internet,

actuando en diversas áreas, como transporte, encaminamiento, seguridad.

IP (Internet Protocol).Es un protocolo no orientado a conexión usado tanto por el

origen como por el destino para la comunicación de datos a través de una red de

paquetes conmutados no fiable de mejor entrega posible sin garantías.

131

ISP (Internet ServiceProvider). Es una empresa que brinda conexión a Internet a sus

clientes. Un ISP conecta a sus usuarios a Internet a través de diferentes tecnologías

como DSL, Cablemódem, GSM, Dial-up, Wifi, entre otros.

Lamer.Vocablo usado despectivamente para definir a aquellos que presumen de ser

Hackers y no lo son.

LAN(Local Area Network). Red de área local. El término LAN define la conexión

física y lógica de ordenadores en un entorno generalmente de oficina.

Linux. Versión bajo la licencia GPL/GNU del conocido sistema operativo UNIX. Es

un sistema multitarea multiusuario para PC´s. Linux es una implementación del

sistema operativo UNIX pero con la originalidad de ser gratuito y a la vez muy

potente.

MAC (Mac AddressDirection). Es un identificador de 48 bits (3 bloques

hexadecimales) que corresponde de forma única a una tarjeta o dispositivo de red.

NAT(Network AddressTranslation). Es un mecanismo utilizado por routers IP para

intercambiar paquetes entre dos redes que se asignan mutuamente direcciones

incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los

paquetes transportados.

132

NIDS (Network Intrusion Detection System).Es un sistema de detección de intrusos

que trata de detectar actividades maliciosas, tales como el ataque de denegación de

servicios, escaneo de puertos e incluso los intentos de crack en las computadoras

mediante el control de tráfico de la red.

SNMP (Simple Network Management Protocol).Es un protocolo de la capa de

aplicación que facilita el intercambio de información de administración entre

dispositivos de red. Es parte de la familia de protocolos TCP/IP.

SMTP (Simple Mail Transfer Protocol). Es un protocolo de la capa de aplicación.

Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo

electrónico entre computadoras u otros dispositivos.

TCP/IP (Transmision Control Protocol/Internet Protocol). Se trata de un estándar

de comunicaciones muy extendido y de uso muy frecuente para software de red basado

en Unix con protocolos Token-Ring y Ethernet, entre otros.

TCSEC (Trusted Computer System Evaluation Criteria). Tiene por objetivo

aplicar la política de seguridad del Departamento de Defensa estadounidense. Esta

política se preocupa fundamentalmente del mantenimiento de la confidencialidad de la

información clasificada a nivel nacional.

133

UDP (UserDatagramProtocol). Protocolo del nivel de transporte basado en el

intercambio de datagramas. Permite el envío de datagramas a través de la red sin que

se haya establecido previamente una conexión, ya que el propio datagrama incorpora

suficiente información de direccionamiento en su cabecera.

VPN(Virtual Private Network). Es una tecnología de red que permite una extensión

de la red local sobre una red pública o no controlada, como por ejemplo Internet.

134

INSTALACIÓN DE OPEN SUSE 11.2 EN UNA MÁQUINA

VIRTUAL

142

INSTALACIÓN PASO A PASO DEL SISTEMA DE DETECCIÓN

DE INTRUSOS

Exponemos los pasos necesarios para la instalación del sistema de detección de

intrusos Snort, a ser utilizado en una plataforma Linux, específicamente la distribución

Open Suse 11.2.

REQUISITOS BÁSICOS

Usamos YAST para instalar los siguientes paquetes:

libcap-devel mysql

libpng-devel flex

pcre-devel bison

gcc

gcc-c++

libmysqld-devel

php5-pear

php5-devel

php5-mysql

make

mysql-client

143

INSTALACIÓN DE SNORT

Crear un directorio en el cual grabaremos todos los paquetes descargados

cd /home

mkdirsnortinstall

cd snortinstall

Descargar el software Snort

wgethttps://www.snort.org/downloads/1107

wgethttps://www.snort.org/downloads/1098

Desempaquetar el paquete bajadoy ingresar al directorio snort-2.9.0

tar –xvzf snort-2.9.0.tar.gz

cd snort-2.9.0

Compilar y instalar Snort

./configure --with-mysql

make

make install

Crear una cuenta de usuario llamada snort y agregarla al grupo snort

groupadd snort

useradd –g snort snort

144

Crear los directorios necesarios para almacenar las reglas y los logs

mkdir /etc/snort

mkdir /etc/snort/rules

mkdir /var/log/snort

Copiar archivos de configuración ubicados en:

/home/snortinstall/snort-2.9.0/etc al directorio /etc/snort:

cd etc

cp * /etc/snort

Nos ubicamos en el directorio /home/snortinstall

cd /home/snortinstall

Descargar las reglas de Snort

Desempaquetar las reglas de Snort y copiar las reglas al directorio

/etc/snort/rules

tar –xvzfsnortrules-snapshot-2905.tar.gz

cd rules

cp * /etc/snort/rules

145

CONFIGURACIÓN DE SNORT

Editar el archivo de configuración de Snort ubicado en:

/etc/snort/snort.conf

Una vez dentro nos ubicamos en:

var HOME_NET network/mask (esta es la red interna a ser monitoreada, por

ejemplo: var HOME_NET 192.168.56.0/24. Para una IP dinámica: var

HOME_NET $eth0_ADDRESS)

var EXTERNAL_NET !$HOME_NET (esta es la red externa, desde la cual

podrían iniciar ataques)

var RULE_PATH /etc/snort/rules

Buscar la entrada output database, descomentarla y editarla como sigue:

output database: log, mysql,

user=snortpassword=<snort_password>dbname=snort host=localhost (esto

define la base de datos en la cual Snort almacenera los eventos, su usuario y

su contraseña)

Grabar el archivo.

146

INSTALACIÓN DE SCRIPT

Descargamos un script de inicio y lo guardamos en el directorio /etc/init.d

cd /etc/init.d

wget http://internetsecurityguru.com/snortinit/snort

Editar el script comentando las siguientes líneas:

#. /etc/rc.d/init.d/functions

#. /etc/sysconfig/network

# [ ${NETWORKING} =”no” ]&&exit 0

Cambiar la línea: Action “” /sbin/pidof $BASE

por: /sbin/pidof $BASE

Una vez grabado el script, tipea los siguiente comandos:

chmod 755 snort (lo hace ejecutable)

chkconfig –a snort (para ejecutar el script en el inicio del sistema)

CREACIÓN DE LA BASE DE DATOS EN MYSQL

Ejecutar MYSQL y ingresar la contraseña (la contraseña que se asigno a

MYSQL durante la instalación)

147

/usr/bin/mysql –u root –p

Enterpassword: (ingresamos la contraseña)

mysql>

Crear la base de datos Snort y configurar la cuenta(„snort_password‟ es la

contraseña que se especifico en la línea „output database‟ de el archivo

snort.conf)

mysql> create database snort;

>Query OK, 1 row affected (0.01 sec)

mysql> grant INSERT,SELECT on root.* to snort@localhost;

>Query OK, 0 rows affected (0.02 sec)

mysql> SET PASSWORD FOR

snort@localhost=PASSWORD('snort_password');


mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.*

to snort@localhost;


mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.*

to snort;


mysql>exit

148

Bye

Crear las tablas SNORT

/usr/bin/mysql –u root – p < /home/snortinstall/snort-

2.9.0/schemas/create_mysql snort

Ingresar la contraseña (la contraseña root de MYSQL)

Verificar que la base de datos Snort fue creada correctamente:

/usr/bin/mysql –u root –p

mysql> SHOW DATABASES;

(Esto se mostrara)

++

| Database

++

| mysql

| snort

| test

++

3 rows in set (0.00 sec)

mysql> use snort

Database changed

150

16 rows in set (0.00 sec)

>exit

INICIO DE SNORT

Para ejecutar Snort ingresar el siguiente comando:

etc/init.d/snortstart (Deberíamos ver el mensaje "Iniciando servicio snort:")

Podemos usar “ps” en cualquier momento para verificar si Snort se está

ejecutando:

ps –ef | grep snort

Y algo como esto deberíamos observar:

root 9582 1 61 15:48 ? 00:00:04 /usr/local/bin/snort –ieth0 –

c/etc/snort/snort.conf–D

ACTUALIZACIÓN AUTOMÁTICA DE LAS REGLAS DE SNORT A

TRAVÉS DE OINKMASTER

Ahora ya tenemos Snort instalado, y necesitamos actualizar las reglas

automáticamente, para ello, descargamos oinkmaster desde su sitio web:

http://oinkmaster.sourceforge.net/download.shtml

151

La versión al día de hoy es la 2.0. la descargamos y nos situamos en el directorio de

descarga y descomprimimos el fichero ejecutamos el siguiente comando:

tar xvzf oinkmaster-2.0.tar.gz

Ingresamos al directorio de oinkmaster

cd oinkmaster-2.0

Copiamos el fichero oinkmaster.pl en el directorio /usr/local/bin

cp oinkmaster.pl /usr/local/bin

Copiamos el fichero de configuración al directorio /etc

cpoinkmaster.conf /etc

A continuación modificamos el fichero de configuración /etc/oinkmaster.conf

para indicar la url de donde se van a descargar las reglas

#url=http://www.snort.org/pub-

bin/oinkmaster.cgi/<oinkmastercode>/snortrules-snapshot-2900.tar.gz

Donde <oinkmastercode> es el código de suscripción facilitado en la página

web de Snort. Eliminamos la almohadilla del principio, cambiaremos

152

<oinkmastercode> por nuestro código recibido y también la versión del

fichero por la versión de nuestro Snort. Quedaría así:

url=http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkmastercode>/snortrules-

snapshot-2900.tar.gz

Guardamos el fichero y salimos del editor

Finalmente para actualizar las reglas de Snort se debe ejecutar oinkmaster

especificando el directorio donde se encuentras las reglas:

oinkmaster.pl –o /etc/snort/rules

Esperamos un rato a que se descarguen y se descompriman.

Para que se actualicen las reglas de forma automática debemos utilizar crontab. Para

ello ejecutamos el comando crontab –e y indicamos cuando queremos ejecutar la

actualización. A continuación se ha programado la actualización a la 01:00 a.m.:

PATH=/usr/local/bin

0 1 * * * /usr/local/bin/oinkmaster.pl –o /etc/snort

153

REQUISITOS NECESARIOS PARA LA INSTALACIÓN DEL FRONT-END

BASE (Basic Analysis and Security Engine)

Paquetes necesarios

Image_Graph

Image_Canvas

Image_Color

Numbers_Roman

Numbers_Words

Log

ADODB

BASE

Nos ubicamos en /home/snortinstall

cd /home/snortinstall

Descargamos los paquetesnecesarios

wget http://download.pear.php.net/package/Image_Graph-0.7.2.tgz

wget http://download.pear.php.net/package/Image_Canvas-0.3.1.tgz

wget http://download.pear.php.net/package/Image_Color-1.0.4.tgz

wget http://download.pear.php.net/package/Numbers_Roman-0.2.0.tgz

wget http://download.pear.php.net/package/Numbers_Words-0.15.0.tgz

154

wget http://download.pear.php.net/package/Log-1.9.16.tgz

wget http://easynews.dl.sourceforge.net/sourceforge/adodb/adodb511.tgz

wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-

1.4.5.tar.gz

Instalación de paquetes necesarios para gráficos de BASE

cd /srv/www/htdocs

tar –xvzf/home/snortinstall/Image_Graph-0.7.2.tgz

mv Image_Graph-0.7.2 Image (renombrar Image_Graph-0.7.2)

tar –xvzf/home/snortinstall/Image_Canvas-0.3.1.tgz

cp-vRImage_Canvas-0.3.1/Canvas* /srv/www/htdocs/Image

rm-RImage_Canvas-0.3.1

tar –xvzf/home/snortinstall/Image_Color-1.0.4.tgz

cp–vR Image_Color-1.0.4_/Color.php /srv/www/htdocs/Image

rm–RImage_Color-1.0.4

tar –xvzf/home/snortinstall/Numbers_Roman-0.2.0.tgz

mv Numbers_Roman-0.2.0Numbers

tar –xvzf/home/snortinstall/Numbers_Words-0.15.0.tgz

155

cp–vRNumbers_Words-0.15.0/Words* /srv/www/htdocs/Numbers

rm–RNumbers_Words-0.15.0

tar –xvzf/home/snortinstall/Log-1.9.16.tgz

mv Log-1.9.16 Log

Instalación del paquete Adodb (conjunto de bibliotecas de bases de datos

para PHP y Python)

cd /srv/www

tar –xvzf /home/snortinstall/adodb511.tgz

INSTALACIÓN DE BASE

Nos ubicamos en /srv/www/htdocs y descomprimimos el paquete de BASE

cd /srv/www/htdocs

tar –xvzf /home/snortinstall/base1.4.5.tar.gz

mv base1.4.5 base (renombrar el directorio base1.4.5 a base)

CONFIGURACIÓN DE BASE

Un ejemplo del archivo de configuración de BASE está incluido en el

paquete. Lo usamos para crear nuestro archivo de configuración.

http://es.wikipedia.org/wiki/PHP

http://es.wikipedia.org/wiki/Python

156

cd base

cpbase_conf.php.distbase_conf.php

Editar base_conf.php como sigue ('snort_password' es la contraseña que se

coloco en la línea 'outputdatabase' de el archivo snort.conf):

$BASE_urlpath = “/base”;

$DBlib_path = "/srv/www/adodb5";

$DBtype = "mysql";

$alert_dbname = "snort";

$alert_host = "localhost";

$alert_port = "";

$alert_user = "snort";

$alert_password = "snort_password";

Grabar el archivo.

Modificar el archivo php.ini ubicado en:/etc/php5/apache2/php.ini

Cambiar: include_path = "/usr/share/php"

A:include_path = "/srv/www/htdocs:/usr/share/php5"

INICIO DE BASE

Abrir el navegador y escribir http://localhost/base

157

La siguiente pantalla debería aparecer:

Fig. 25. Pantalla al iniciar por primera vez BASE

Esto nos dice que la base de datos está incompleta o no es valida. Dar clic en el link

“Setup page” luego en el botón “Create Base AG”, para finalizar la configuración de

la base de datos BASE.

Se verá la siguiente pantalla:

Ir hasta abajo de la página y dar clic en "Main page". La página principal de BASE

debe aparecer

158

PROTECCION DEL DIRECTORIODE BASE

Creamos un archivo de contraseñas y configuramos el control de acceso para el

usuario “base” (el switch –c crea un archivo).

mkdir /srv/www/htpasswd2 –c /srv/www/htdocs/passwords/ base

(el programa le pedirá que establezca una contraseña para el usuario base).

Agregamos las siguientes líneas a el archivo /etc/apache2/httpd.conf

<Directory “/srv/www/htdocs/base”>

AuthType Basic

159

AuthName “SnortIDS”

AuthUserFile “/srv/www/htdocs/passwords/passwords

Requireuser base

</Directory>

Grabamos el archive y reiniciamos el servicio Apache

/etc/init.d/apache2 restart

Una vez hecho esto el directorio de BASE esta protegido con contraseña.

160

SCRIPT SNORT

#!/bin/sh

#

#chkconfig: 2345 99 82

#description: Starts and stops the snort intrusion detection system

#

#config: /etc/snort/snort.conf

#processname: snort

#Source function library - for Redhat

#./etc/rc.d/init.d/functions

BASE=snort

DAEMON="-D"

INTERFACE="-h 192.168.56.0/24"

CONF="/etc/snort/snort.conf"

#Check that $BASE exists.

[ -f /usr/local/bin/$BASE ] || exit 0

# Source networking configuration.

161

# ./etc/sysconfig/network

#

# Check that networking is up.

# [${NETWORKING}="no"] && exit 0

RETVAL=0

# See how we were called.

case "$1" in

start)

if [ -n "`/sbin/pidof $BASE`" ]; then

echo -n $"$BASE: already running"

echo ""

exit $RETVAL

fi

echo -n "Starting snort service:"

/usr/local/bin/$BASE $INTERFACE -c $CONF $DAEMON

sleep 1

# action "" /sbin/pidof $BASE

/sbin/pidof $BASE

RETVAL=$?

[ $RETVAL -eq 0 ] && touch /var/lock/subsys/snort

162

;;

stop)

echo -n "Shutting down snort service:"

killproc $BASE

RETVAL=$?

echo

[ $RETVAL -eq 0 ] &&rm -f /var/lock/subsys/snort

;;

restart|reload)

$0 stop

$0 start

RETVAL=$?

;;

status)

status $BASE

RETVAL=$?

;;

*)

echo "Usage: snort {start|stop|restart|reload|status}"

exit 1

esac

exit $RETVAL

163

BIBLIOGRAFÍA

Detección de intrusos. Disponible en:

<http://www.segu-info.com.ar/ataques/ataques.htm>

Diccionario informático. Disponible en:

<http://www.glosarium.com>

García Alfaro, Joaquín. Aspectos avanzados de seguridad en redes.Disponible

en:

<http://revistaenter.net/biblia/012.1%20Aspectos%20avanzados%20en%20seguridad

%20en%20redes%20modulos.pdf>

Jiménez, Carlos. Diseño y Optimización de un Sistema de Detección de Intrusos

Híbrido. Disponible en: <http://www.adminso.es/images/8/88/PFC_carlos.pdf>

Revista Red. (noviembre 2002). Seguridad informática ¿Qué, por qué y para

qué?. Disponible en:

http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/redes/

seguridad/intro.htm

http://www.segu-info.com.ar/ataques/ataques.htm

164

Seguridad informática. Disponible en:

<http://es.wikipedia.org/wiki/Seguridad_informatica>

Tipos de IDS. (19 agosto del 2003). Disponible en:

<http://www.maestrosdelweb.com/editorial/snort/>

Verdejo Alvarez, Gabriel. Seguridad en redes IP.Disponible en:

<http://www.elrinconcito.com/articulos/SeguridadIP/SeguridadIP.pdf>


UNIVERSIDAD DE GUAYAQUIL - UGrepositorio.ug.edu.ec/bitstream/redug/6685/1/... · AUMENTAR LA...

Documents

Transcript of UNIVERSIDAD DE GUAYAQUIL - UGrepositorio.ug.edu.ec/bitstream/redug/6685/1/... · AUMENTAR LA...