PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS"

Transcripción

1 PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS TRABAJO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO DE SISTEMAS Y COMPUTACIÓN ANÁLISIS DE LA HERRAMIENTA DE SEGURIDAD HONEYPOT (TARRO DE MIEL) PARA EL TRABAJO EN NETWORKING AUTOR: VARGAS PUJOS CHRISTIAN FERNANDO Quito, 2006

2 ÍNDICE INDICE DE GRÁFICOS... IX INDICE DE TABLAS... XI INDICE DE CUADROS... XII I. INTRODUCCIÓN... XIII 1.1 Historia del Networking... xiii 1.2 Significado de Networking... xiv 1.3 Concepto de una Red... xv 1.4 Estructura de una Red... xvi 1.5 Componentes de una Red... xvii El Software de Aplicaciones... xviii El software de red... xviii El Hardware de Red... xviii 1.6 Conexiones de Red... xix 1.7 Tendencias Futuras... xx Ventajas de una Red... xxi Aumento en la Productividad de los Empleados... xxi Menores Costos de Comunicaciones... xxi 1.8 Nacimiento del Internet... xxi 1.9 Seguridades... xxii Seguridad informática... xxiii 1.10 Amenazas... xxiv II. HONEYPOT... XXV 2.1 Historia de los Honeypots... xxv 2.2 Significado... xxvi 2.3 Tipos de Honeypots... xxvii Honeypot de Baja Interacción... xxvii Honeypot de Alta Interacción... xxix ii ii

3 2.4 Formas de utilización de un Honeypot... xxxi Honeypots para la Investigación... xxxii Honeypots para la Producción... xxxii 2.5 Tipos de sistemas operativos en los que trabaja.... xxxiii 2.6 Forma de trabajo... xxxiv 2.7 Ventajas y Desventajas de los Honeypots... xxxvi Ventajas de un HoneyPot... xxxviii Valor de los datos... xxxviii Recursos... xxxviii Simplicidad... xxxviii Retorno de la Inversión... xxxix Desventajas de los HoneyPots... xxxix Campo visual limitado... xl Fingerprinting... xl Riesgo... xl 2.8 Requerimientos mínimos de implementación de un Honeypot... xli Requerimientos de Hardware... xli Requerimientos de Software... xli 2.9 Casos de Prueba... xlii Ataque a una Institución Educativa... xlii Ataques a Bancos... xlv Ataque en una red Inalámbrica... xlv Interpretación de resultados... xlvi III. ENCUESTAS A EMPRESAS NACIONALES... XLVIII 3.1 Compañía Quality Print... xlviii Descripción del trabajo en Networking... xlviii Análisis de seguridades... xlviii Implementación de un Honeypot... l 3.2 Compañía TSC (Telecommunication Solution Center)... li Descripción del trabajo en Networking... li Análisis de seguridades... lii Implementación de un Honeypot... lii IV. HONEYPOT DE PRUEBA KFSENSOR... LIV 4.1 Descripción KFSensor... liv 4.2 Perspectiva del producto... liv 4.3 Tecnología Honeypot... lv 4.4 Funcionamiento de KFSensor... lvi 4.5 Características de KFSensor... lvii iii iii

4 4.6 Beneficios de KFSensor... lviii Detecta ventanas de ataque en la red... lviii Arquitectura Ampliada... lviii Baja en lo alto... lviii Simplicidad... lix Detección en Tiempo Real... lix Detecta amenazas desconocidas... lix Seguridad en lo Profundo... lix Diseñado para ambientes Corporativos... lix 4.7 Forma de trabajo de KFSensor... lx 4.8 Componetes de KFSensor... lx Servidor KFSensor... lx KFSensor Monitoreo... lx Visitantes... lxi Eventos... lxi Servidor Sim... lxi Sim Banner... lxii Servidor Estándar Sim... lxiii Listen... lxiv Escenario... lxv Severidad... lxv 4.9 KFSensor como complemento de otras formas de Seguridad... lxvi 4.91 Server Lock-down... lxvi Firewalls... lxvii Programa Anti-Virús... lxviii Red Basada en el Sistema de Detección de Intrusos (NIDS)... lxviii 4.10 Formas de uso de KFSensor... lxix 4.11 Objetivos de Seguridad... lxix Detectar ataques... lxix Tipos de Ataques... lxx Los Perpetradores... lxx Mitigando o entorpeciendo un ataque... lxx Respuesta de Incidencias... lxxi Investigación... lxxi 4.12 Situando KFSensor en una Red... lxxi Conexión directa a Internet... lxxi Red Interna... lxxi Zona de Detección... lxxii KFSensor como Firewall... lxxii 4.13 Alertas de KFSensor... lxxiii Sistemas de bandeja de Alertas (System Tray Alerts)... lxxiii Alertas de Audio (Audio Alerts)... lxxv Alertas de ( Alerts)... lxxv Alertas del Syslog... lxxvii Alertas de Registro de Eventos (Event Log Alerts)... lxxvii Alertas Externas... lxxviii iv iv

5 4.14 Interpretación de Eventos de KFSensor... lxxix Características de un Evento... lxxix Puerto (Port)... lxxx Recibir... lxxx Visitante IP y Dominio... lxxxi Tiempo de Inicio y Fin... lxxxii 4.15 Patrón de Eventos (Event Patterns)... lxxxii Velocidad... lxxxiii Puertos Múltiples... lxxxiii 4.16 Reglas del Escenario de KFSensor... lxxxiii Configuración del Escenario... lxxxiii Condiciones de las Reglas... lxxxiv Reglas de Acción... lxxxv Cerrar (Close)... lxxxv Ignorar... lxxxv Fijar Seguridad Severa... lxxxv 4.17 Forma en que las reglas pueden ser usadas... lxxxv Incrementar la severidad para ataques internos... lxxxv Ignorar tráfico legítimo... lxxxvi Ocultar de vulnerabilidades de Escáners... lxxxvii Solo registrar los tres primeros eventos... lxxxviii 4.18 Emulación KFSensor del Networking de Windows... lxxxviii Significado de Networking de Windows/ NetBIOS / SMB / CIFS... lxxxix Networking de Windows... lxxxix Nombres NetBIOS... xc Tipo de Emulación... xciii Configurando KFSensor... xciv Transmisión de archivos... xciv Como trabaja la transferencia... xcv Como trabaja la carga... xcv Filtrando Eventos... xcvi Probando con comandos propios de Windows... xcvii Probando el nombre del servicio NBT... xcviii 4.19 Emulación del Servidor Proxy KFSensor... xcix Servidores Proxy... xcix Reglas de configuración Proxy... c Reglas de Implementación Proxy... c Como funcionan las reglas... c Tipos de Servidores Proxy... ci Ataques usando Servidores Proxy... ci Encontrando Servidores Proxy... cii Tipos de servidores Proxy emulados por KFSensor... ciii Opciones de Configuración Proxy... civ Configuraciones Proxies SOCKS y HTTP... civ Emulación Interna HTTP... cviii Conexión HTTP y SOCKS... cx HTTP Proxy... cxi Emulación interna SMTP... cxi v v

6 4.20 Configuración Proxy adicional... cxii Reglas de conexión Proxy Socks/http... cxiii Configuración... cxiii Parámetros... cxiii Reglas del SMTP Proxy... cxvi Configuración... cxvi Parámetros... cxvii V. DISEÑO Y CONFIGURACIÓN DE UN PROTOTIPO... CXX 5.1 Diseño... cxx 5.2 Instalación... cxxi Consideraciones previas a la instalación de KFSensor... cxxi Funcionalidades de la Versión Completa (Full Functionality Version)... cxxi Alta integridad de la versión (High Integrity Version)... cxxii Corriendo el Instalador... cxxiii 5.3 Elementos de KFSensor y sus configuraciones...cxxxii KFSensor Monitor...cxxxii Vistas ( Views)...cxxxii KFSensor Server... cxxxiii Corriendo el Servidor KFSensor... cxxxiii Vista de Puertos... cxxxv Servidor... cxxxv Protocolo... cxxxvi Puerto... cxxxvi Ver Visitantes...cxxxvii Visitante...cxxxvii Vista de Eventos... cxxxviii 5.4 Menús de KFSensor... cxl Menú Archivo (File)... cxl Exportación... cxl Conexión del sensor... cxli Servicio... cxlii Cerrar... cxliii Salir... cxliv Menú Ver (View)... cxliv Detalle de Eventos... cxlv Puertos... cxlv Visitantes... cxlv Actualizar desde el sensor Seleccionado... cxlv Cargar Eventos... cxlv Ocultar Eventos... cxlv Primero Eventos Nuevos (Newest Events First)... cxlvi Primero Eventos Antiguos (Oldest Events First)... cxlvii Filtrado por Sensor... cxlvii Adjuntar/Remover Columnas... cxlvii Barra de Herramientas... cxlvii Barra de Estado... cxlvii Menú del Escenario (Scenario)... cxlviii Adjuntar Servidor Sim... cxlviii vi vi

7 Opciones... cxlviii Cambiar Todo... cxlviii Cambio de Opciones... cxlix Cambiar Escenario (Switch Scenario.)... cxlix Editar escenarios (Edit Scenarios.)... cl Editar el Escenario Activo (Edit Active Scenario.)... cli Editar las Reglas Activas (Edit Active Rules)... clii Editar Reglas del Proxy Activo (Edit Active Proxy Rules)... cliii Editar Servidor Sim (Edit Sim Server)... cliv Adjuntar (Add)... cliv Editar (Edit)... cliv Borrar (Delete)... clv Menú de Configuraciones (Settings)... clv DOS Attack Settings. (... clv Alerts (Alertas de s )... clv Syslog Alerts (Alertas de SysLog)... clvi Event Log Alerts (Alertas de Registro de Sucesos )... clvi External Alerts (Alertas Externas )... clvi Configuración del Sensor Local... clvi Administrador remoto del Sensor Local... clvi Administrador de Sensores Remotos... clvi Crear Archivo Sensor Clave... clvi Registro de la Base de Datos... clvii Asistente de Configuración... clvii Menú de Ayuda... clvii Contenido... clvii Índice... clvii Leyenda... clviii Acerca de KFSensor... clviii Página Principal KFSensor... clviii Registrar KFSensor... clviii 5.5 Configuración... clviii Sitio del Archivo de Registro (Log Path)... clviii Instalando como un servicio de Sistema... clviii Configuración Segura... clix Segundo Plano (Background)... clix El mínimo privilegio al principio... clix Buffer-overflow... clx Configurando KFSensor... clx Paso a Paso el procedimiento de configuración... clxii Usando el Asistente de Configuración... clxiv Dominio del Asistente de Configuración.... clxv Asistente de Configuración Alertas de s... clxv Componentes del asistente de configuración... clxv Asistente de Configuración Sistema de servicio... clxvi Configurando Emulación KFSensor del Networking de Windows... clxvi Deshabilitando NBT/SMB.... clxvii Deshabilitar NBT... clxvii Deshabilitando SMD Direct... clxviii Configuración Alerta principal... clxviii Configuración Ventana principal... clxix Intervalos de Actividad... clxix Inicio desde el Buteo... clxx vii vii

8 5.6 Pruebas básicas... clxx Usando tu browser de Internet.... clxxi 5.6.2Usando el Escáner (Use a scanner)... clxxi 5.7 Sugerencias Adicionales sobre KFSensor... clxxii Registro de la Base... clxxii Alertas... clxxii Reglas del Escenario... clxxiii Negar el ataque al servicio DOS... clxxiii HTTP - Sim Std Server... clxxiii SMTP - Sim Std Server...clxxiv Window networking / NetBIOS / SMB / CIFS...clxxiv Emulación del Servidor Proxy KFSensor (KFSensor Proxy Server emulation)... clxxv 5.8 Desinstalar KFSensor (Un-installing KFSensor)... clxxv CONCLUSIONES... CLXXVI RECOMENDACIONES... CLXXIX ANEXO A... CLXXXI GLOSARIO DE TÉRMINOS TÉCNICOS...clxxxi ANEXO B... CXCII GLOSARIO DE SIGLAS... cxcii ANEXO C... CC ENCUESTA PARA EMPRESAS NACIONALES... cc BIBLIOGRAFÍA... CCIII viii viii

9 INDICE DE GRÁFICOS GRÁFICO 1.1: EJEMPLO DE LA ESTRUCTURA DE UNA RED... XVII GRÁFICO 1.2: COMPONENTE, EJEMPLO DE HARDWARE DE RED...XIX GRÁFICO 2.1: DIAGRAMA DE UN HONEYPOT... XXXI GRÁFICO 4.1: HONEYPOT EN UNA RED... LV GRÁFICO 4.2: ICONO DE ACTIVO DE KFSENSOR... LXXIV GRÁFICO 4.3: FORMATO DE EJEMPLO DE UN MENSAJE CORTO.... LXXVI GRÁFICO 4.4: FORMATO DE EJEMPLO DE UN MENSAJE DE REGISTRO... LXXVI GRÁFICO 4.5: FORMATO DE EJEMPLO DE UN MENSAJE SYSLOG... LXXVII GRÁFICO 4.6: ALERTA DEL REGISTRO DE EVENTOS... LXXVIII GRÁFICO 5.1: RED DE PRUEBA... CXX GRÁFICO 5.1: ICONO DEL INSTALADOR KFSENSOR... CXXIII GRÁFICO 5.2: PANTALLA INICIAL DE LA INSTALACIÓN KFSENSOR... CXXIV GRÁFICO 5.3: PANTALLA LICENCIA KFSENSOR... CXXV GRÁFICO 5.4: PANTALLA CARPETA DONDE SE INSTALARÁ KFSENSOR... CXXVII GRÁFICO 5.5: PANTALLA GRUPO DE PROGRAMAS DONDE SE INSTALARÁ KFSENSOR... CXXVIII GRÁFICO 5.6: PANTALLA DE ÚLTIMO AVISO ANTES DE INSTALAR KFSENSOR... CXXIX GRÁFICO 5.7: PANTALLA PROCESO DE INSTALACIÓN KFSENSOR... CXXX GRÁFICO 5.8: PANTALLA DE REINICIO DEL COMPUTADOR... CXXXI GRÁFICO 5.8: PANTALLA DE REINICIO DEL COMPUTADOR... CXXXI GRÁFICO 5.8: MENÚ DE ARCHIVO... CXL GRÁFICO 5.9: MENÚ EXPORTACIÓN... CXLI ix ix

10 GRÁFICO 5.10: MENÚ DE CONEXIÓN DEL SENSOR... CXLI GRÁFICO 5.11: MENÚ DE SERVICIO... CXLII GRÁFICO 5.12: MENÚ CERRAR... CXLIII GRÁFICO 5.13 MENÚ SALIR... CXLIV GRÁFICO 5.14: MENÚ VER... CXLIV GRÁFICO 5.15: MENÚ OCULTAR EVENTOS... CXLVI GRÁFICO 5.16: MENÚ DEL ESCENARIO... CXLVIII GRÁFICO 5.17: CAMBIAR ESCENARIO... CXLIX GRÁFICO 5.18: EDICIÓN ESCENARIO... CL GRÁFICO 5.19: EDICIÓN ESCENARIO ACTIVO... CLI GRÁFICO 5.20: EDICIÓN REGLAS ACTIVAS... CLII GRÁFICO 5.21: EDICIÓN REGLAS PROXY ACTIVO... CLIII GRÁFICO 5.22: EDICIÓN SERVIDOR SIM... CLIV GRÁFICO 5.23: MENÚ DE CONFIGURACIONES... CLV GRÁFICO 5.24: MENÚ DE CONFIGURACIONES... CLVII x x

11 INDICE DE TABLAS TABLA 2.1: ANÁLISIS COMPARATIVO DE TIPOS DE HONEYPOT... XXXV TABLA 4.1: PUERTOS PRINCIPALES QUE UTILIZA KFSENSOR... LXIII TABLA 4.2: SERVIDORES ESTÁNDARES... LXXXIX TABLA 4.3: SERVICIOS DEL NETWORKING DE WINDOWS... XCI TABLA 4.3: PROPUESTAS QUE KFSENSOR MANEJA... CV TABLA 4.4: REGLAS DE RESPUESTA A PETICIONES EXTERNAS... CIX TABLA 4.5: DESCRIPCIÓN PROXY DE CONEXIÓN Y DEL PROXY DE EMULACIÓN... CX TABLA 5.1: CONFIGURACIÓN DE PERMISOS DE RECURSOS DE KFSENSOR... CLXI xi xi

12 INDICE DE CUADROS CUADRO 4.2: ALARMAS KFSENSOR... LXVI CUADRO 4.3: ALERTAS DE KFSENSOR... LXXIV CUADRO 4.4: REGLAS PARA INCREMENTO DE SEGURIDAD... LXXXVI CUADRO 4.5: REGLAS PARA IGNORAR TRÁFICO LEGÍTIMO... LXXXVI CUADRO 4.6: REGLAS PARA OCULTAR DE VULNERABILIDADES DE ESCÁNERS LXXXVII CUADRO 4.7: REGLAS PARA OCULTAR DE VULNERABILIDADES DE ESCÁNERS... LXXXVIII CUADRO 4.8: EJEMPLO 1... XCVII CUADRO 4.9: EJEMPLO 2... XCVII CUADRO 4.10: EJEMPLO 3... XCVIII CUADRO 4.11: FORMATO PARA REQUERIMIENTO NBT... XCVIII CUADRO 4.12: VALORES DE CONFIGURACIÓN PROXY... CXII CUADRO 4.13: CONFIGURACIÓN DE REGLAS PROXY SOCKS/HTTP... CXIII CUADRO 4.14: CONFIGURACIÓN DE PARÁMETROS PROXY SOCKS/HTTP... CXIV CUADRO 4.15: CONFIGURACIÓN DE REGLAS SMTP PROXY... CXVI CUADRO 4.16: CONFIGURACIÓN DE PARÁMETROS SMTP PROXY... CXVII CUADRO 5.1: CARACTERÍSTICAS DESHABILITADAS V. ALTA INTEGRIDAD... CXXII CUADRO 5.2: TIPO DE CONFIGURACIONES... CXXVI CUADRO 5.3: ESTADOS DEL SERVIDOR KFSENSOR... CXXXV CUADRO 5.4: ESTADOS DE LOS PUERTOS... CXXXVI CUADRO 5.5: ESTADOS DE LOS PUERTOS... CXXXVIII CUADRO 5.6: COLORES DE LOS ESTADOS DE KFSENSOR... CXXXIX xii xii

13 I. INTRODUCCIÓN 1.1 Historia del Networking Hace unos 40 años comenzó, en una universidad americana, un estudio en el que se buscaba un sistema de comercialización más justo en la distribución de la ganancia, que sea accesible a todos y con el cual se puedan obtener beneficios tan grandes o mayores que los negocios tradicionales. Una vez inventado el sistema de comercialización, pasaron a implementarlo y, año tras año, descubrieron que superaba a los resultados del tradicional. Mediante éste sistema de comercialización lograron ahorrar la publicidad, la cadena de distribución (Fábrica-mayorista-repartidor-minorista-comercio-cliente) y el servicio de posventa. Todo ese ahorro (un gran porcentual del precio de venta al público) se le abonaba a una única persona encargada de llevar los productos y el servicio directamente al cliente. El nuevo sistema fue llamado network marketing ó networking. Hoy el sistema es usado por las grandes empresas que intentan reducir sus costos en estrategias de marketing y próximamente será uno de los tres únicos sistemas de comercialización en el mundo, además de los hipermercados y la venta por Internet xiiixiiixiiixiiixiiixiiixiiixiii 1 Fuente: xiii xiii

14 1.2 Significado de Networking Dar el significado correcto de la palabra Networking es complejo, es por ello que la mejor forma de describirla es comprendiendo de que forma trabaja. El networking no es más que la utilización de una red para trabajo en conjunto, es decir permite que diversos usuarios compartan ciertos equipos, principalmente impresoras, servidores, así como el acceso a dichos recursos en cualquier momento, además brinda la ventaja de permitir el acceso a los archivos, datos o servicios claves desde cualquier lugar de la red, y con la implantación del acceso remoto por medio del Internet se puede dar dicho acceso online a más usuarios sin grandes costos adicionales. Networking implica movilidad, por ello un usuario puede viajar o trabajar a distancia y seguir conectado. El acceso a archivos, datos y mensajes aunque esté fuera de la oficina, confiere mayor flexibilidad al empleado. Los usuarios podrán dar respuesta a sus compañeros y a sus clientes con mayor rapidez y desde cualquier lugar. Existen numerosos métodos para el networking, incluyendo comunicaciones de serie, TCP/IP y UUCP 2. El Control de la transmisión Protocol/Internet Protocol (TCP/IP, siglas en inglés) ha llegado a ser el mecanismo más exitoso para computadoras de networking alrededor del mundo. TCP/IP es un conjunto de protocolos que define cómo las máquinas se comunican una con otra dentro de una red. La dirección de IP xivxivxivxivxivxivxivxiv 2 UNIX-to-UNIX Copy -- UUCP (Copia de UNIX a UNIX) Inicialmente se trataba de un programa que se procesaba en el sistema operativo UNIX y que permitía a un sistema UNIX enviar ficheros a otro sistema UNIX a través de línea telefónica. Después se utilizó sobre todo para describir la red internacional que utilizaba el protocolo UUCP para enviar noticias y correo electrónico. Hoy está en desuso. xiv xiv

15 es importante, porque son los datos de ruta de una máquina a otra. TCP transmite y recibe los datos en unidades conocidas como Paquetes, que contienen las porciones de información que envían entre estaciones. 3 El Networking nace a partir de la utilización de las redes informáticas y del uso de la herramienta que hoy por hoy se conoce como Internet. Es por ello que para entenderlo hay que tomar en cuenta otros conceptos como Qué es una red?, Qué componentes tiene un red?, así como, el concepto y nacimiento de Internet. 1.3 Concepto de una Red La definición más clara de una red es la de un sistema de comunicaciones, ya que permite comunicarse con otros usuarios y compartir archivos y periféricos. Un sistema de comunicaciones conecta a varias unidades y les permite intercambiar información; o pudiendo decir también que una red es un conjunto de computadores, impresoras y otros dispositivos electrónicos, conectados entre sí mediante cables o enlaces inalámbricos, que les permiten comunicarse unos con otros. Una red permite a sus usuarios compartir e intercambiar información (archivos y programas), acceder a servicios comunes (correo electrónico y aplicaciones), y compartir elementos de hardware (impresoras, servidores, escáneres y equipos de fax, entre otros) xvxvxvxvxvxvxvxv 3 Fuente: xv xv

16 Se dice que dos ordenadores están interconectados, si éstos son capaces de verse el uno al otro e intercambiar información. La conexión no necesita hacerse a través de un hilo de cobre, también puede hacerse mediante el uso de láser, microondas y satélites de comunicación Estructura de una Red Las redes están formadas por conexiones entre grupos de computadoras y dispositivos asociados que permiten a los usuarios la transferencia electrónica de información. La red de área local, representada en el gráfico 1.1, es un ejemplo de la configuración utilizada en muchas oficinas y empresas. Las diferentes computadoras se denominan estaciones de trabajo y se comunican entre sí a través de un cable o línea telefónica conectada a los servidores. Éstos son computadoras como las estaciones de trabajo, pero poseen funciones administrativas y están dedicados en exclusiva a supervisar y controlar el acceso de las estaciones de trabajo a la red y a los recursos compartidos. Un módem 5 permite a las computadoras transferir información a través de las líneas telefónicas normales. El módem convierte las señales digitales a analógicas y viceversa, y permite la comunicación entre computadoras muy distantes entre sí xvixvixvixvixvixvixvixvi 4 Referencia: OpenDocument 5 Módem: Modulador / de modulador. Convierte las señales digitales en analógicas, y viceversa, y que permite la comunicación entre dos ordenadores por medio de la línea telefónica. 6 Referencia: xvi xvi

17 GRÁFICO 1.1: Ejemplo de la estructura de una Red FUENTE: Componentes de una Red Según estándares tradicionales, una red tiene tres niveles de componentes: Software de aplicaciones Software de red Hardware de red xvii xvii

18 1.5.1 El Software de Aplicaciones Está formado por programas informáticos que se comunican con los usuarios de la red y permiten compartir información (como archivos, gráficos o vídeos) y recursos (como impresoras o unidades de disco). Un tipo de software de aplicaciones se denomina cliente-servidor. Las computadoras cliente envían peticiones de información o de uso de recursos a otras computadoras llamadas servidores, que controlan datos y aplicaciones. Otro tipo de software de aplicación se conoce como punto a punto (peer to peer). En una red de este tipo, los ordenadores se envían entre sí mensajes y peticiones directamente sin utilizar un servidor como intermediario El software de red Consiste en programas informáticos que establecen protocolos o normas, para que las computadoras se comuniquen entre sí. Estos protocolos se aplican enviando y recibiendo grupos de datos formateados denominados paquetes. Los protocolos indican cómo efectuar conexiones lógicas entre las aplicaciones de la red, dirigir el movimiento de paquetes a través de la red física y minimizar las posibilidades de colisión entre paquetes enviados simultáneamente El Hardware de Red Está formado por los componentes físicos que unen las computadoras. Dos componentes importantes son los medios de transmisión que transportan las señales de los ordenadores y el adaptador de red, que permite acceder al medio material que conecta a los ordenadores, recibir paquetes desde el software de red y transmitir xviii xviii

19 instrucciones y peticiones a otras computadoras. La información se transfiere en forma de dígitos binarios, o bits (unos y ceros), que pueden ser procesados por los circuitos electrónicos de los ordenadores. 7 GRÁFICO 1.2: Componente, ejemplo de Hardware de Red FUENTE: Conexiones de Red Una red tiene dos tipos de conexiones: conexiones físicas que permiten a los ordenadores transmitir y recibir señales directamente y conexiones lógicas o virtuales, que permiten intercambiar información a las aplicaciones informáticas, por ejemplo a un procesador de textos. Las conexiones físicas están definidas por el medio empleado para transmitir la señal, por la disposición geométrica de los ordenadores (topología) y por el método usado para compartir información. Las xixxixxixxixxixxixxixxix 7 Referencia: xix xix

20 conexiones lógicas son creadas por los protocolos de red y permiten compartir datos a través de la red entre aplicaciones correspondientes a ordenadores de distinto tipo, como un Apple Macintosh y un PC de IBM. Algunas conexiones lógicas emplean Software de tipo cliente-servidor y están destinadas principalmente a compartir archivos e impresoras. El conjunto de Protocolos de Control de Transmisión y Protocolo de Internet, desarrollado originalmente por el Departamento de Defensa estadounidense, es el conjunto de conexiones lógicas empleado por Internet que es la red de redes planetaria. El TCP/IP, basado en software de aplicación punto a punto crea una conexión entre dos computadoras cualesquiera. 1.7 Tendencias Futuras El uso extendido de ordenadores portátiles ha impulsado avances en las redes inalámbricas. Las redes inalámbricas utilizan transmisiones a través de infrarrojos o radiofrecuencias para unir las computadoras portátiles a las redes. Las LAN inalámbricas con infrarrojos sólo funcionan dentro de una misma habitación, mientras que las LAN inalámbricas de radiofrecuencias pueden funcionar a través de casi cualquier pared. Las LAN inalámbricas tienen velocidades de transmisión que van desde menos de 1 Mbps hasta 11 Mbps 8, y funcionan a distancias de hasta unos cientos de metros. Las WAN inalámbricas emplean redes de telefonía celular, xxxxxxxxxxxxxxxx 8 Fuente para velocidades de las redes LAN Inalámbricas: xx xx

21 transmisiones vía satélite o equipos específicos como routers o switches que proporcionan una cobertura regional o mundial Ventajas de una Red A continuación las ventajas que posee una red informática Aumento en la Productividad de los Empleados Cuando los equipos de una oficina están conectados, también lo están las personas que trabajan en ella. Se comparten ideas con mayor rapidez. A la hora de tomar decisiones, se dispone de toda la información necesaria. El estar conectado ahorra tiempo, porque la comunicación se realiza online. Se puede avanzar en trabajos de equipo sin tener que reunirse tan a menudo. Los datos se comparten de forma adecuada, sin intercambiar medios de almacenamiento externos. Los usuarios tienen acceso a todos los equipos compartidos. Se producen colaboraciones en línea. Las empresas son cada vez más competitivas al aumentar su productividad Menores Costos de Comunicaciones Las comunicaciones basadas en la red, tales como el correo electrónico y los "mensajes instantáneos" son alternativas eficaces en costes 9 frente al teléfono o al fax, que permiten lograr ahorros considerables en las comunicaciones a larga distancia. La combinación de la red Internet pública con la tecnología segura de "red privada virtual" (VPN) permite el networking entre oficinas sin necesidad de xxixxixxixxixxixxixxixxi 9 Costes: Palabra que hace referencia al ahorro de dinero. xxi xxi

22 costosas conexiones dedicadas de Red de Área Extensa (WAN), lo que supone otro gran ahorro. 1.8 Nacimiento del Internet El Internet es la vía principal para el trabajo de Networking, por lo que su creación, así como la funcionalidad del mismo es importante conocerlo. El Internet desde su nacimiento hace 30 años, ha llegado hoy en día a ser la principal herramienta de trabajo; por ejemplo: para consultas, investigaciones, comercio, diversión, entre otros. Es un conglomerado de ordenadores de diferente tipo, marca y sistema operativo, distribuidos por todo el mundo y unidos a través de enlaces de comunicaciones muy diversos, su forma de trabajo se da gracias al empleo de sofisticados protocolos de comunicaciones como el TCP/IP, que es el lenguaje de comunicación entre ordenadores, que permite la interconexión e intercambio de información entre equipos muy diversos Seguridades Los usuarios del Internet no están concientes de los riesgos y falta de seguridad a los que se exponen. El hecho de disponer de rápidas redes de computadoras capaces de interconectarse, no constituye el punto final de este enfoque, ya que la seguridad de xxiixxiixxiixxiixxiixxiixxiixxii 10 Si se desea conocer más a fondo temas sobre el nacimiento, estructura del Internet o sobre el protocolo de transmisión TCP/IP se sugiere visitar las siguientes direcciones xxii xxii

23 la información privada de personas o empresas que se maneja dentro de esta interconexión es muy vulnerable Seguridad informática Son técnicas desarrolladas para proteger los equipos informáticos individuales y conectados en una red, frente a daños accidentales o intencionados. Estos daños incluyen el mal funcionamiento del hardware, la pérdida física de datos y el acceso a bases de datos, por personas no autorizadas. Diversas técnicas sencillas pueden dificultar la delincuencia informática. Por ejemplo, el acceso a información confidencial puede evitarse destruyendo la información impresa, impidiendo que otras personas puedan observar la pantalla del ordenador, manteniendo la información y los ordenadores bajo llave o retirando de las mesas los documentos sensibles. Sin embargo, impedir los delitos informáticos exige también métodos más complejos. El mayor problema que tienen que resolver las técnicas de seguridad informática es el acceso no autorizado a datos. En un sistema seguro, el usuario antes de realizar cualquier operación, se tiene que identificar mediante una clave de acceso, que son secuencias confidenciales de caracteres que permiten que los usuarios autorizados puedan acceder a un ordenador. Para ser eficaces, las claves de acceso deben resultar difíciles de adivinar. Las claves eficaces suelen contener una mezcla de caracteres y símbolos que no corresponden a una palabra real. Para ponérselo difícil a los xxiiixxiiixxiiixxiiixxiiixxiiixxiiixxiii 11 Si desea conocer más a fondo sobre el tema de seguridades consulte las siguientes páginas: xxiii xxiii

24 impostores, los sistemas informáticos suelen limitar el número de intentos de introducir la clave Amenazas Últimamente todos los ataques son originalmente hechos por personas con intención de robo, porque el vandalismo les califica como hackers de elite, o en muchos casos, tan solo por la emoción de poder hacer algo diferente. Muchos de estos ataques son realizados por herramientas automáticas que son publicados en el Internet, por los mismos hackers. Entre los más comunes existen los siguientes. 13 Virus Gusano (Worm) Toyano (Trojan) Root Kit Scanners Hacker xxivxxivxxivxxivxxivxxivxxivxxiv 12 Si se desea conocer más a fondo sobre el tema, se sugiere visitar la siguiente página Ver Anexo A Glosario de términos xxiv xxiv

25 II. HONEYPOT 2.1 Historia de los Honeypots El término honeypot se utiliza para referenciar al monitoreo de intrusos en una red de computadores. Históricamente las primeras referencias a un sistema de monitorización de intrusos, aparecen ya en la bibliografía sobre los años 90, de la mano de Clifford Stoll 14, sin embargo los líderes en la investigación y desarrollo del concepto de Honeypot se agrupan en el HoneyNet Project. Este proyecto se inició informalmente en la lista de correo Wargames 15 en abril de 1999, gracias a los correos cruzados entre varios expertos en seguridad de redes que culminaron con el desarrollo formal del proyecto antes de finalizar el año. En junio de 2000 y por espacio de tres semanas, el Honeypot del proyecto fue atacado y comprometido por un famoso grupo de hackers, lo que permitió el estudio del comportamiento de este grupo de forma directa y en momentos reales, así como demostrar la viabilidad y utilidad de esta nueva herramienta de seguridad. Este conocido incidente catapultó el concepto de Honeypot como la última tendencia en seguridad de redes, convirtiendo su libro en un best-seller de lectura obligatoria para todos los profesionales de la seguridad xxvxxvxxvxxvxxvxxvxxvxxv 14 Clifford Stoll : Astrofísico y pionero de Internet, uno de los primeros en contribuir con las investigación sobre los métodos utilizados por Hackers para la infiltración y robo de información privada. Para mayor información: y 15 Blackhats: Sofisticado gusano que pretende borrar archivos.exe del disco duro Para mayor información: xxv xxv

26 A inicios de 2001 se convirtió en una organización sin ánimo de lucro dedicada al estudio de los hackers (blackhats 16 ), que actualmente está compuesta por más de 30 miembros permanentes. 2.2 Significado El concepto de Honeypot no surgió de la nada, sino que es fruto de la realización de varios estudios en el campo de la seguridad de redes de ordenadores. Un Honeypot es conocido de forma textual como tarro de miel por su traducción de inglés a español, con el fin de ser un recurso o dispositivo de seguridad 17, cuyo valor consiste en ser probado, atacado o comprometido. Los Honeypot no tienen en ningún caso la finalidad de resolver o arreglar fallos de seguridad en nuestra red; más bien, son los encargados de proporcionar información valiosa sobre los posibles atacantes en potencia a una red antes de que comprometan sistemas reales. Un Honeypot es un sistema diseñado para detectar cómo los intrusos emplean sus armas para intentar entrar en un sistema (analizan las vulnerabilidades) y alterar, copiar o destruir sus datos o la totalidad de éstos (por ejemplo borrando el disco duro del servidor). Por medio del aprendizaje de sus herramientas y métodos se puede, entonces, proteger mejor los sistemas. Pueden constar de diferentes aplicaciones, una de ellas sirve para capturar al intruso o aprender cómo actúan sin que ellos sepan que están siendo vigilados xxvixxvixxvixxvixxvixxvixxvixxvi 16 Blackhats: Son conocidos por crackear e introducirse dentro de los sistemas por pura diversión y por el simple hecho de jactarse de los agujeros de seguridad de otros. 17 Sin importar si son un router, scripts emulando servicios o un sistema puesto en producción. xxvi xxvi

27 2.3 Tipos de Honeypots Los honeypots se pueden describir como de alta o baja interacción, distinción que se basa en el nivel de actividad que le permiten al atacante. Un sistema de baja interacción ofrece actividad limitada; la mayoría de las veces funciona al emular los servicios y sistemas operativos. La principal ventaja de un honeypot de baja interacción es su fácil instalación y configuración; también implican un riesgo mínimo porque el atacante nunca tiene acceso a un sistema operativo real que pueda perjudicar a otros sistemas Honeypot de Baja Interacción Solución que emula sistema operativo y servicios. Un Honeyd es un honeypot de baja interacción, fue desarrollado por Niels Provos 18. Honeyd es OpenSource y está diseñado para correr principalmente en sistemas Unix (aunque fue portado a Windows). Honeyd trabaja en el concepto del monitoreo del espacio IP no utilizado. Cualquier instante que observa un intento de conexión a un IP no utilizado, éste intercepta la conexión e interactúa con el atacante, pretendiendo ser la víctima. Por defecto, Honeyd detecta y guarda cualquier conexión a cualquier puerto UDP 19 o TCP 20. Como si fuera poco, se pueden configurar a los servicios emulados para que monitoreen puertos específicos, como un servidor FTP 21 emulado xxviixxviixxviixxviixxviixxviixxviixxvii 18 Niels Provos: Alemán, radicado en Estados Unidos, creador de la herramienta Honeyd original. Para mayor información 19 UDP: User Datagram Protocol / Protocolo de Datagrama de Usuario. Ver Anexo B Glosario de Siglas 20 TCP: Transmission Control Protocol / Protocolo de Control de Transmisión. Ver Anexo B Glosario de Siglas 21 FTP: (Protocolo de Transferencia de Ficheros) Protocolo que permite a un usuario de un sistema xxvii xxvii

28 monitoreando el puerto TCP 21. Cuando un atacante conecta al servicio emulado, el honeypot no sólo detecta y guarda la actividad, sino que captura también toda la actividad del atacante con el servicio emulado. En caso de un servidor FTP emulado, se puede potencialmente capturar el login y password, los comandos que ingresa y quizás también descubrir lo que está buscando; o, su identidad misma. Todo depende del nivel de emulación del honeypot. Ellos esperan un tipo específico de comportamiento, y están programados para reaccionar en una forma predeterminada, dependiendo del tipo de ataque que reciban. Existe una limitación, que es si el atacante hace algo que la emulación no tiene previsto, entonces no saben cómo responder. La mayoría de los honeypots de baja interacción, incluyendo Honeyd, simplemente genera un mensaje de error. Se puede ver cuales son los comandos que soporta el servidor FTP emulado de Honeyd viendo el código fuente. Algunos honeypots, como Honeyd, no sólo emulan servicios sino que también emulan el Sistema Operativo. En otras palabras, Honeyd puede simular ser un router Cisco, un webserver WinXP o un servidor DNS Linux. Existen varias ventajas en emular diferentes sistemas operativos. Primero, el honeypot puede encajar mejor con la red existente si el honeypot tiene la misma apariencia y comportamiento que las computadoras productivas. Segundo, se puede apuntar a atacantes específicos acceder a, y transferir desde, otro sistema de una red. Ver Anexo B Glosario de Siglas xxviii xxviii

29 proveyéndoles sistemas y servicios que buscan a menudo o sistemas y servicios que usted quiere aprender al respecto. En los sistemas operativos emulados, existen dos elementos que se debe considerar, primero cuando un atacante se conecta a un servicio emulado, se puede tener al servicio comportándose y aparentando ser un sistema operativo determinado. Por ejemplo, si tiene un servicio emulando un webserver y quiere que su honeypot aparente ser un Win2000 servidor, entonces deberá emular el comportamiento de un IIS webserver, en cambio para el caso del sistema operativo Linux, debería emular el comportamiento de un webserver Apache. Algunos honeypots sofisticados llevan la emulación un paso adelante (como lo hace el Honeyd): No sólo emulan en el nivel de servicio, sino que en el nivel del stack del IP. Si alguien realiza active fingerprinting 22 para determinar el SO de su honeypot, muchos honeypots responderán al nivel del IP Stack del SO real en donde esté instalado el honeypot. Honeyd falsea la respuesta, emulando no sólo el servicio sino emulando también el stack del IP, comportándose como si fuera realmente otro sistema operativo. El nivel de emulación y sofisticación depende en qué tecnología de honeypot elige para usar Honeypot de Alta Interacción En los Honeypots de este tipo no se presentan ya emulaciones de servicios, sino se ponen a disposición de los atacantes sistemas operativos y servicios reales. Los Honeynets son un ejemplo ideal de honeypots de alta interacción, no son solo un producto o una solución software que se instala en una computadora; sino, más xxixxxixxxixxxixxxixxxixxxixxxix 22 Active Fingerprinting: Activación por impresión de huella digital. xxix xxix

30 bien son una arquitectura completa, como una red entera de máquinas diseñadas para ser atacadas. Lo adecuado es tener una arquitectura que sea una red altamente controlada, es decir un lugar donde toda actividad sea controlada y capturada. En esta red se pone a las victimas en forma intencionada, computadoras reales corriendo aplicaciones reales. Los intrusos caen en la trampa atacan y rompen estos sistemas en su propia iniciativa, sin que se den cuenta que están en un Honeynet. Toda su actividad, desde sesiones encriptadas SSH 23 hasta s y archivos subidos son capturados sin que lo noten. Este proceso de control se lo realiza introduciendo módulos en el kernel de los "sistemas víctima" que capturan todas las acciones de los atacantes. Los Honeynets controlan la actividad del atacante mediante la utilización de un gateway Honeywall, que permite el tráfico de entrada a los "sistemas víctima", y controlan el tráfico de salida usando tecnologías de prevención contra intrusos, dando al atacante la flexibilidad de interactuar con los sistemas víctimas, pero previene al atacante de dañar otros sistemas que no forman parte del Honeynet xxxxxxxxxxxxxxxxxxxxxxxx 23 SSH:(Secure SHell). Protocolo seguro y un conjunto de herramientas para reemplazar otras más comunes (inseguras). Fue diseñado desde el principio para ofrecer un máximo de seguridad y permitir el acceso remoto a servidores de forma segura. xxx xxx

31 GRÁFICO 2.1: Diagrama de un HoneyPot FUENTE: Formas de utilización de un Honeypot A los Honeypots también se los puede dividir de acuerdo al modo de trabajo que se desee o se necesite, definiendo el campo en que se lo quiere utilizar, puede ser en la investigación o directamente en un sistema de producción, es decir mientras los sistemas reales son expuestos. xxxi xxxi

32 2.4.1 Honeypots para la Investigación Gran parte de la atención actual se centra en los honeypots para la investigación, que se utilizan para recolectar información sobre las acciones de los intrusos. El proyecto Honeynet, por ejemplo, es una organización para la investigación sobre seguridad voluntaria, sin fin de lucro que utiliza los honeypots para recolectar información sobre las amenazas del ciberespacio Honeypots para la Producción Se les ha prestado menor atención a los honeypots para la producción, que son los que se utilizan para proteger a las organizaciones. En la actualidad, se les concede cada vez más importancia debido a las herramientas de detección que pueden brindar y por la forma cómo pueden complementar la protección en la red y en el host. Entre Honeypots para la producción más importantes se tiene: KFSensor 24 BackOfficer Friendly Specter Honeyd ManTrap xxxiixxxiixxxiixxxiixxxiixxxiixxxiixxxii 24 Las especificaciones de estos Honeypots se los puede ver en el Anexo A Glosario de Términos. xxxii xxxii

33 HoneyNets 2.5 Tipos de sistemas operativos en los que trabaja. El sistema de detección de intrusos Honeypots, puede ser instalado en diferentes tipos de Sistemas Operativos, como por ejemplo los siguientes: Linux: Sistema operativo que posee un código libre y gratuito. Es un sistema de multitarea, multiusuario y de 32 bits. FreeBSD: es un sistema operativo libre para ordenadores personales basado en CPU's de arquitectura Intel, incluyendo procesadores 386, 486 (versiones SX y DX), y Pentium. Solaris: Solaris es un sistema operativo de la empresa Sun Microsystems basado inicialmente en el sistema UNIX BSD Windows (Variantes): Sistema operativo de Microsoft, de los más utilizados a nivel mundial y a todo nivel tanto familiar como empresarial. AIX (de IBM): Sistema operativo desarrollado por la compañía IBM, basado en Unix. Se trata de un sistema operativo diseñado principalmente para estaciones de trabajo y servidores corporativos. GNU/Linux: El Proyecto GNU se inició en 1984 con el propósito de desarrollar un sistema operativo compatible con Unix que fuera software libre (GNU es un acrónimo recursivo para "GNU No es xxxiii xxxiii

34 Unix" y se pronuncia fonéticamente). Hoy en día se utiliza una gran variedad de sistemas GNU con un núcleo Linux. Aunque a menudo se haga referencia a estos sistemas como "Linux", la forma correcta de denominarlos es sistemas GNU/Linux. HP-UX (de HP): es la versión de Unix de Hewlett-Packard. HP-UX es la versión de Unix desarrollada y mantenida por Hewlett-Packard UNIX de BSD: es un sistema operativo portable, multitarea y multiusuario; desarrollado en principio por un grupo de empleados de los laboratorios Bell de AT&T. 2.6 Forma de trabajo Para iniciar el trabajo con un honeypot es recomendable comenzar con un honeypot simple de baja interacción, como el KFSensor o Specter para usuarios de Windows, o Honeyd para usuarios de Unix. También existe un "Kit de herramientas Honeyd para Linux" (Honeyd Linux Toolkit) para el fácil uso del Honeyd en computadoras con sistemas operativos Linux. Honeypots de baja interacción tienen la ventaja de ser más fáciles de usar con pocos riesgos, ya que contienen la actividad del atacante. Una vez que haya tenido la oportunidad de trabajar con soluciones de baja interacción, puede tomar las habilidades y el conocimiento que haya desarrollado para trabajar con soluciones de alta interacción. Para entender mejor el funcionamiento de los honeypots, las principales características se resumen en la siguiente tabla: xxxiv xxxiv

35 TABLA 2.1: Análisis comparativo de tipos de Honeypot Baja Interacción Solución que emula sistema operativos y Servicios. Alta Interacción No hay emulación, se exponen sistemas operativos y servicios reales. Fácil instalación y utilización. Por lo general se requiere simplemente la instalación y la configuración del software en la Puede ser complejo de instalar y utilizar (versiones comerciales tienden a ser mucho más simples). Puede capturar mucha más computadora. Captura cantidades información, nuevas incluyendo herramientas, limitadas de información, como datos transaccionales y alguna interacción mínima. Mínimo riesgo, ya que el servicio emulado controla lo que los atacantes pueden y no comunicaciones, o manejo del teclado de los atacantes. Mayor Riesgo, ya que se le provee a los atacantes un sistema operativo real con la cual interactuar. pueden hacer. Realizado por: Christian Vargas xxxv xxxv

36 Fuente: Ventajas y Desventajas de los Honeypots Los expertos en seguridad informática afirman que los honeypots pueden tener éxito en gran cantidad de áreas, donde se necesitan sistemas de detección de intrusos (IDS 25 ) tradicionales. En especial, señalan lo siguiente: A. Demasiada información: Uno de los problemas comunes de los IDS tradicionales es que generan un gigantesco volumen de alertas. El solo peso de este "ruido" consume tiempo, demanda demasiados recursos y costos para revisar los datos. Por el contrario, los honeypots recolectan los datos únicamente cuando alguien interactúa con ellos. Los grupos de pequeña información pueden facilitar y hacer más eficiente la labor de identificar las actividades no autorizadas. B. Falsos positivos: Quizás el mayor inconveniente de un IDS es que muchas de las alertas generadas son falsas. Los falsos positivos son un gran problema incluso para las organizaciones que gastan mucho tiempo sincronizando sus sistemas. Si un IDS crea constantemente falsos positivos, los administradores eventualmente comenzarán a ignorar el sistema. Los honeypots obvian este problema porque toda actividad que realiza es por definición no autorizada. Esto hace que las organizaciones reduzcan las alertas falsas si es que no las eliminan xxxvixxxvixxxvixxxvixxxvixxxvixxxvixxxvi 25 IDS: (Intrusion Detection System). Sistema de detección de intrusos xxxvi xxxvi

37 C. Falsos negativos: Las tecnologías IDS también tienen dificultad para identificar los ataques o comportamientos desconocidos. Además, toda actividad con un honeypot es anómala haciendo que se destaquen los ataques nuevos o previamente desconocidos. D. Recursos: Un IDS requiere demasiados recursos de hardware para seguir el tráfico de la red de la organización. Cuando una red aumenta en velocidad y genera más información, el IDS tiene que aumentar para no quedarse rezagado. (Administrar toda esa información también demanda muchos recursos). Los honeypots requieren recursos mínimos, incluso en las grandes redes. De acuerdo con Lance Spitzner, fundador del Proyecto Honeynet, se puede utilizar una computadora Pentium con 128 Mb de RAM para monitorear millones de direcciones IP. E. Encriptación: Más y más organizaciones están adoptando la encriptación de la información por razones de seguridad o de reglamentación (como la HIPAA 26 ). No resulta sorprendente que cada vez más atacantes utilicen también la encriptación, lo que impide ver la habilidad del IDS para monitorear el tráfico de la red. Con un honeypot, no importa si un atacante utiliza la encriptación, la actividad se captará de todas formas. A diferencia de los firewalls y los sistemas normales de detección de intrusos, un honeypot no ataca únicamente un solo problema, si no que es una herramienta que contribuye a lo largo de toda la arquitectura de seguridad xxxviixxxviixxxviixxxviixxxviixxxviixxxviixx xvii 26 Health Insurance Portability and Accountability Act (HIPAA): es una ley norteamericana que se hizo pública en 1996 con el fin de mejorar y garantizar la información y continuidad de los servicios relacionados a planes de salud. xxxvii xxxvii

38 Un honeypot incurre en una serie de ventajas y desventajas, como se expone a continuación: Ventajas de un HoneyPot Entre las principales ventajas del uso de un Honeypot se tiene las siguientes: Valor de los datos Las organizaciones diariamente capturan grandes cantidades de información, logs de firewalls, logs de sistema, alertas de detección de intrusos, etc. Las cantidades de información pueden convertirse en una tarea titánica en el caso que se desee analizar esta información, peor aun si se consideran los tiempos comparados entre la generación de la información y el análisis de la misma. La información generada o capturada de un honeypot por lo general será de un alto valor para los temas de seguridad Recursos Otro gran reto de la mayoría de los mecanismos de seguridad son las limitaciones de recursos, un firewall o un detector de intrusos se satura con altos niveles de trafico de red, que terminan saturando los sensores y perdiendo paquetes que son seguramente ataques de seguridad potenciales. Los honeypots por lo general son implementados en equipos pequeños sin una gran configuración o un equipo de alta performance, o un gran disco duro Simplicidad xxxviii xxxviii

39 Es considerada como una de las ventajas de los honeypots, no hay que desarrollar complicados algoritmos, no es necesario mantener base datos, no hay reglas que debido a sus constantes modificaciones puedan generar fallas de seguridad. Tan solo tienes que agarrar tu honeypot buscarle algún lugar donde colocarlo y a esperar. Sin importar el tipo de honeypot sea de producción o de investigación, todos funcionan bajo la misma premisa: Si hay actividad de algún tipo en el honeypot, se debe revisarlo. Como mencionan muchos expertos en seguridad, mientras más sencillo sea el concepto, más efectivo este habrá de ser Retorno de la Inversión Cuando los firewalls aparecieron manteniendo a los atacantes fuera de las "redes seguras", ellos se convirtieron en las víctimas de su propio éxito. La gerencia empieza a cuestionarse de cual es la ventaja de tener un firewall si nunca tuvieron un hackeo, la respuesta probablemente es que si existieron intentos de hacking, seguramente no tuvieron hackeos por que el firewall redujo el riesgo, tecnologías como fuerte autenticación o encripcion deben sufrir los mismos problemas, son inversiones de alto costo, recursos y tiempo de implementación pero se convierten a la larga en víctimas de su propio éxito. En contraste, los honeypots demuestran su valor constantemente cuando estos son atacados, dan muestras de la existencia de hackers en nuestros sistemas, capturando actividad no autorizada. Cuando los administradores de la red perciben que no hay amenazas a simple vista, los honeypots fácilmente pueden dar fe de lo contrario Desventajas de los HoneyPots xxxix xxxix

40 Entre las desventajas del uso de un Honeypot se tiene: Campo visual limitado Un HoneyPot solo percibe los ataques que son dirigidos directamente hacia si mismo. Si un atacante ingresa al sistema filtrando a una serie de equipos, el honeypot no estará al tanto de las actividades en el sistema, a no ser que sea victima del atacante directamente. Si el atacante detecta el honeypot, posiblemente que el atacante busque evadir este sistema e infiltrarse a la organización, sin levantar sospecha alguna Fingerprinting Otra desventaja especialmente en las versiones comerciales son los fingerprints 27 que puede dejar un honeypot, desde errores sencillos en la respuesta de las solicitudes hechas a un servidor de correo, así como comportamientos de la emulación hecha por nuestro honeypot que hacen sospechar al atacante que algo no esta funcionando correctamente convirtiéndose en un riesgo potencial para la organización Riesgo Un honeypot puede introducir riesgo al entorno, al decir introducir riesgo, se refiere a que un honeypot puede verse comprometido ante la infiltración y dominio por parte de un atacante, y una vez atacada ser usada para atacar a otros sistemas u xlxlxlxlxlxlxlxl 27 Fingerprints: Huellas digitales xl xl

41 organizaciones. Dependiendo del tipo de honeypot puede variar el grado de riesgo que este presente a la organización. Debido a sus desventajas, los honeypots no pueden reemplazar a otros mecanismos de seguridad tales como: firewalls y sistemas de detección de intrusos. Sin embargo, añaden valor trabajando junto con estos mecanismos, jugando un papel importante dentro de la estrategia de defensa de una red. 2.8 Requerimientos mínimos de implementación de un Honeypot El Honeypot es un sistema que no requiere de grandes costos, su implementación requiere tan solo de las siguientes características en Hardware y Software: Requerimientos de Hardware PC 128 RAM 2 Tarjeta de red Switch Requerimientos de Software Sistema Unix Linux FreeBSD Solaris. Windows xli xli

42 2.9 Casos de Prueba A lo largo del crecimiento de los Honeypot como una herramienta adicional para mejorar las condiciones de seguridad informática, a continuación se mencionarán algunos casos donde se ha conseguido resultados positivos al utilizar esta herramienta Ataque a una Institución Educativa 28 Este primer caso coloca como escenario una Institución Educativa, la cual posee en su red interna varios equipos conectados, con diferentes versiones de Windows en cada estación. El número de usuarios que acceden a esta red es grande; dividido entre estudiantes, profesores y personal administrativo. Debido al uso y a la necesidad muchas veces de introducir medios de almacenamiento secundarios y computadoras que pueden contener códigos maliciosos que proveniente de redes externas, se convirtieron en el principal problema de control dentro la institución. En cierto momento tuvieron el reporte de perdida de archivos de los discos duros de algunos profesores. Y a pesar de contar con un sistema antivirus, no pudieron detectar cual era el problema, ya que el reporte de esta aplicación era de encontrarse todo en perfectas condiciones. Ante el problema se ha tomado la siguiente determinación: xliixliixliixliixliixliixliixlii 28 Por cuestiones de Seguridad el nombre de la Institución no puede ser proporcionada. xlii xlii

43 Ante la sospecha de que existan más códigos maliciosos desconocidos por los antivirus circulando a través de la red, se decidió poner a prueba un procedimiento para confirmar o rechazar las sospechas. Se estableció una red de comunicación entre los encargados, aplicando el principio de los Honey-Tokens y HoneyPots, con lo que se intentó pasar a una manera proactiva para detectar las nuevas amenazas antes de difundirse ampliamente 29. El resultado obtenido por esta Institución ha sido la siguiente: Poco tiempo después, se capturó el primero de los gusanos que no fue detectado por todo el sistema antivirus. Después de analizar las cadenas de texto contenidas en el ejecutable, se emitió una breve alerta a los centros de cómputo, además de enviarse a analizar con nuestro proveedor del antivirus. En esa ocasión se trató de otro gusano que no se conocía en algún otro lado. La compañía del antivirus preparó y envió las protecciones en menos de 12 horas. Al analizar las estadísticas del sistema antivirus, se confirmó la presencia en una decena de computadoras más y, gracias a la prontitud de la respuesta, la infección fue contenida rápidamente en sus etapas iniciales. Este sencillo esquema nos ha permitido conocer cuándo un nuevo gusano de alta dispersión (como bagle, mydoon, netsky, entre otros 30 ) ha llegado a nuestra red en sus primeras horas de actividad y no hay protección automática aún; en algunos xliiixliiixliiixliiixliiixliiixliiixliii 29 Fuente: 30 Tipos de virus. Revisar Anexo A Glosario de términos técnicos. xliii xliii

44 casos se envían las muestras recolectadas a diferentes compañías de antivirus, para que sean estudiadas y así ayudar a la pronta detección de posibles variantes xlivxlivxlivxlivxlivxlivxlivxliv 31 Fuente: xliv xliv

45 2.9.2 Ataques a Bancos El segundo escenario que se presenta es a través de la simulación de dos Bancos Europeos online 32 con la ayuda de un Honeypot. La característica de simulación del primer Banco fue de dotarlo de un sistema de seguridad (cortafuegos), mientras que al segundo se lo configuró sin ningún tipo de protección y se los expuso durante ocho semanas. Ambos servidores registraron miles de intentos fallidos e intrusiones reales que, de no ser por la ausencia o falsedad de los datos, hubiesen desembocado en el robo o espionaje de toda la información que alojaba el sitio Web. Los resultados obtenidos fueron los siguientes: En cifras absolutas, el banco sin protección sufrió ataques o intentos de ataque, lo que supone uno cada cuatro minutos. El banco que contaba con el cortafuego sufrió ataques, una media de uno cada hora. Algunos ataques dejaron inservible el servicio, y otros lograron tomar el control del servidor que alojaba las webs, sin que en ello supusiera una pérdida de datos reales Ataque en una red Inalámbrica En el tercer escenario se intento analizar el potencial de las redes inalámbricas (wireless) como objetivo hacker, debido a que este tipo de tecnología se está implantando rápidamente en empresas de todo el mundo xlvxlvxlvxlvxlvxlvxlvxlv 32 Online: En línea 33 Fuente: _next=prev xlv xlv

46 Esta investigación la realizó el equipo de seguridad de la consultora KPMG 34, colocando tres puntos independientes en diferentes lugares en Londres, simulando la red de una empresa. La finalidad era ver si se detectaba actividad de tipo War drive 35. Tras el tiempo de prueba, la KPMG obtuvo el siguiente resultado: Los resultados obtenidos del honeypot configurado reveló que el momento preferido de los intrusos para acceder ilícitamente a estas redes es durante el camino a o de regreso a casa en periodos laborales. Concretamente un 24% accedió entre las 9 y las 10 de la mañana, mientras que un 18% lo hizo entre las 5 y las 6 de la tarde, franjas horarias que sugieren que el acceso se realizó mientras conducían, paseaban o hacían ciclismo. La media de intentos de accesos al día se cifró en 3,4. El 16 por ciento de los accesos terminaron con un acceso eventual a la red, de los cuales un tercio de éstos emprendieron alguna actividad hostil en el sistema como por ejemplo: desconfigurandolo o ejecutando código que podía dañar el sistema Interpretación de resultados Después de ver tres casos en donde se ha puesto a prueba un Honeypot, podemos decir con certeza que es una herramienta útil, junto a las herramientas de seguridad de informática existentes xlvixlvixlvixlvixlvixlvixlvixlvi 34 KPMG: Es una multinacional con sede central en Amsterdam, que realiza auditorías y consultorías en diversos campos. Tiene varias divisiones, según los países, como Kpmg Management Consulting o Kpmg's Information, Communications and Entertainment (ICE). En los EUA es conocida como Kpmg Peat Marwick LLP. 35 War drive: Consiste en recorrer una zona en un vehículo tratando de localizar puntos de acceso inalámbrico. Para obtener información de la red wireless o para acceder a Internet gratuitamente. 36 Fuente: xlvi xlvi

47 En el primer escenario, en la Institución Educativa, con la ayuda del Honeypot se logró detectar el virus que amenazaba la información de muchos ordenadores y adicionalmente ayudo a prevenir futuras infecciones. Con lo que se puede concluir que el Honeypot ayuda a vigilar sobre todo si la red es muy grande, pues sólo hay que poner atención a la actividad de las carnadas, junto con los registros de los sistemas antivirus. El segundo escenario es el caso de un Honeypot como herramienta de estudio, ya que con la información recopilada se puede lograr mejorar las herramientas de seguridad informáticas existentes. El tercer escenario muestra la importancia que está teniendo el Honeypot, ya que con el auge que empiezan a tener alrededor del mundo las redes inalámbricas se hacen indispensables las necesidades de mejorar las seguridades de las mismas. Los resultados del estudio que se realizo en Londres, ayudaron a mostrar el nivel de ataques y posibles consecuencias si no se toman medidas a tiempo xlviixlviixlviixlviixlviixlviixlviixlvii 37 Fuente: xlvii xlvii

48 III. Encuestas a empresas nacionales En este capitulo se analiza la forma de trabajo de dos empresas nacionales, el tipo de seguridades que poseen para el trabajo en Networking y la facilidad para la implementación de un Honeypot. 3.1 Compañía Quality Print Es una empresa que presta servicios de impresión digital, entre sus principales clientes se encuentra el club de fútbol Liga Deportiva Universitaria de Quito y la Pontificia Universidad Católica del Ecuador Descripción del trabajo en Networking Según lo información recopilada en base a la entrevista y a través de una encuesta 38 hecha a la persona encargada del Área de Sistemas, se conoció que dentro del Networking principalmente tienen el inventario, facturación, proveedores a nivel intranet configurada en una red inalámbrica. Como trabajo externo poseen el portal o sitio Web del equipo Liga de Quito Análisis de seguridades Del resultado de la encuesta, la cantidad de información que maneja la empresa es grande y de carácter muy importante 39, tanto para el cliente como para Quality Print, pero el tipo de seguridades que la empresa maneja es muy baja, por no existir un esquema de seguridades especifico para el acceso a esta información xlviiixlviiixlviiixlviiixlviiixlviiixlviiixlviii 38 Para observar formato de la encuesta realizada a la empresa Quality Print ver Anexo C. 39 Importante por el hecho de manejar información personal de sus clientes, como nombres completos, números de cédula, estados financieros y otros. xlviii xlviii

49 xlix xlix

50 Para acceder a la intranet, no existen contraseñas para dicho acceso, mientras que la forma de ingreso a la página Web del equipo de fútbol se lo hace proporcionando una contraseña que hace referencia al código del usuario. No poseen un firewall 40, la única herramienta de seguridad que tienen es el antivirus AVG; además, el acceso a la información es fácil, especialmente al inventario, facturación y proveedores; cualquier persona con una laptop y una tarjeta inalámbrica que se encuentra cerca del área inalámbrica, podría acceder a esta red y ver o manipular la información sin ningún problema. Además, el hecho de no tener firewall, a pesar de poseer un antivirus, no es una garantía al 100% de que un virus o un perpetrador ingresen en el sistema Implementación de un Honeypot Dado el esquema de seguridad de la empresa Quality Print, por la importancia de la información y sabiendo que los antivirus no son una garantía del 100% de protección, lo adecuado sería la implementación de un firewall, adicionalmente como se ha explicado en el capitulo dos, un Honeypot es una herramienta de apoyo muy útil, la cual podría ayudar significativamente a la seguridad de esta empresa, permitiendo monitorear cualquier anomalía en cualquier punto de la red o intento de perpetración al sistema. El Honeypot se lo podría instalar fácilmente en cualquiera de las máquinas que se encuentren en la red, gracias a los requerimientos mínimos que se necesita, sin olvidar que el costo beneficio debido al nivel de importancia de la información que llllllll 40 Firewall: Forma que asegurar las comunicaciones dentro de una red informática. Ver Anexo A Glosario de Términos Técnicos. l l

51 maneja la empresa Quality Print. Adicionalmente el registro de eventos que el Honeypot genere, ayudará en el futuro a mejorar el tipo de seguridades, como a saber que otro tipo de herramienta se puede implementar para incrementar estas seguridades, sin olvidar que se puede llegar a detectar a tiempo la aparición de nuevos virus y derivados, ya que ese es uno de los fuertes que poseen los Honeypots, como ya se ha explicado en este documento. Este caso es muy similar al de la Unidad Educativa, presentado como caso de prueba en el capitulo dos. 3.2 Compañía TSC (Telecommunication Solution Center) Es una empresa que presta servicio de Call Center 41, entre sus principales clientes se puede nombrar a la Mutualista Pichincha, Pronaca, Electrolux y Los Adobes Descripción del trabajo en Networking Según la información recopilada en base a la entrevista y a través de una encuesta 42 realizada a la persona encargada del Área de Sistemas, se conoció que dentro del Networking tienen la base de datos de sus clientes. El Sistema que utilizan para el manejo de esta información tiene el nombre de GoldMine el cual es un CRM 43, esta información puede ser vista por sus clientes en base a un programa de acceso remoto vía Internet, esto es posible ya que la dirección IP del Proxy es de tipo público, el lililililililili 41 Call Center: Funciona como centro de recepción y salida de llamadas para una empresa. Este es un servicio tercerizado. 42 Para observar el formato de la encuesta realizada a la empresa T.S.C ver Anexo C. 43 CRM (Gestiones de las relaciones con el cliente): Recoge el conjunto de aplicaciones informáticas que tratan de poner en relación los datos relacionados con los clientes, las ventas y en general todo lo relacionado con la actividad comercial de las empresas, a fin de explotar todos estos datos de cara a una mejor gestión de los procesos de negocio. li li

52 ingreso se lo hace con el nombre de usuario y contraseña. La red se encuentra protegida por la herramienta antivirus de Symantec Norton Análisis de seguridades La cantidad de información que maneja la empresa es grande y exige mucha seguridad y reservada, tanto para el cliente como para T.S.C. El tipo de seguridades que la empresa maneja es medianamente alta ya que a pesar de tener nombres de usuarios y contraseñas para el ingreso al sistema, el hecho de tener la dirección Proxy de forma pública y no poseer un firewall, puede dejar caminos abiertos, lo que facilitaría a un espía tener el acceso a la información de la compañía, sin olvidar que el riego de propagación o ingreso de virus al sistema es mucho mayor Implementación de un Honeypot Dado el esquema de seguridad de la empresa T.S.C, por la importancia de la información y sabiendo que los antivirus no son una garantía del 100% de protección, lo adecuado sería la implementación de un firewall, por las exigencias en cuanto a seguridad por parte de las empresas clientes, especialmente hablando de las de tipo bancaria, adicionalmente como se ha explicado en el capitulo dos un Honeypot es una herramienta de apoyo muy útil la cual podría ayudar significativamente a la seguridad de esta empresa ya que monitorearía cualquier anomalía o intento de infiltración al sistema en cualquier puerto o puntos de la red, lii lii

53 sobre todo tomando en cuenta que basados en la información recopilada en la encuesta, ya se ha detectado anteriormente la infección con un spyware 44. El Honeypot se lo podría instalar fácilmente en cualquiera de las máquinas que se encuentren en la red, gracias a los requerimientos mínimos que se necesita. En este caso, el registro de eventos que el Honeypot generaría, ayudará en el futuro a mejorar el tipo de seguridades, sin olvidar que se puede llegar a detectar a tiempo la aparición de nuevos virus y derivados, por ser esta bondad una de los fuertes que poseen los Honeypots, como se explicó en el capítulo dos liiiliiiliiiliiiliiiliiiliiiliii 44 Spyware: Conocidos como archivos espías. Ver anexo A Glosario de Términos Técnicos. liii liii

54 IV. HONEYPOT DE PRUEBA KFSENSOR 4.1 Descripción KFSensor KFSensor es un honeypot basado en un sistema de detección de intrusos (Intrusion Detection System (IDS)). Actúa como un honeypot que atrae y detecta hackers 45, con la simulación de servicios de sistemas vulnerables. Este sistema es altamente configurable y presenta detalles de registro, análisis de ataques y alertas de seguridad. Se enfoca como otro complemento de seguridad y se vuelve otra defensa frente al crecimiento de amenazas de seguridad por todas las organizaciones. 4.2 Perspectiva del producto Nuevas amenazas constantemente emergen contra las seguridades de las organizaciones y su infraestructura de sistemas de información. Cortafuegos y VPNs 46 no pueden prevenir todas las intromisiones y hacen muy poco para prevenir ataques dentro de las mismas organizaciones. La detección de intrusos juega un rol vital para garantizar las seguridades de una red y su integridad. El sistema de detección de intrusos en una red (Network intrusion detection systems (NIDS)), ha sido visto como el mas efectivo en detectar ataques livlivlivlivlivlivlivliv 45 Hackers: Nombre que se da a los atacantes de sistemas informáticos. Ver anexo A Glosario de Términos Técnicos. 46 VPN S: Redes privadas virtuales. Ver anexo B Glosario de Siglas. liv liv

55 4.3 Tecnología Honeypot Un Honeypot es un sistema que se coloca en la red con la intensión de ser probado y atacado, con el fin de obtener información del ataque. Este concepto es radical y otra diferente forma de aproximación a otras formas de seguridad, la cual a crecido y a empezado a ser reconocida y a ser muy efectiva en la detección segura de ataques. Al permitir a los intrusos la interacción con el Honeypot, captura información detallada pudiendo ser incluso de las técnicas y herramientas que lo usan. GRÁFICO 4.1: HoneyPot en una Red FUENTE: lv lv

56 4.4 Funcionamiento de KFSensor Es fácil de instalar y configurar, toma solo cinco minutos configurar y volverse manejable. No requiere hardware especial y está eficientemente diseñado para correr incluso en maquinas de Windows, de bajas especificaciones. Es una simple interfase de controles y funcionalidad de Windows. No necesita editar complejos archivos de configuración, además viene preconfigurado con la mayoría de servicios de sistema requerido. KFSensor trabaja simulando servicios de sistema a alto nivel de la capa de red del modelo OSI 47 (Capa de aplicación). Esto permite hacer uso completo del mecanismo de seguridades de Windows y las librerías de red, reduciendo el riesgo de detección y comprometimiento al no tener que introducir drivers adicionales. Una máquina en la cual se esté corriendo el KFSensor puede ser solo tratado como otro servidor en la red, sin la necesidad de hacer complejos cambios a routers y firewalls. KFSensor provee beneficios inmediatos al revelar la naturaleza y cualidad de los ataques en la red. Al consolidar todo el tráfico de la red en un ataque dentro de una sencilla alerta, KFSensor hace fácil de explicar un tratamiento de seguridad a un personal no especialista. La información que KFSensor generada puede ser usada lvilvilvilvilvilvilvilvi 47 OSI: El modelo OSI (Open Systems lnterconnection; Interconexión de sistemas abiertos) Modelo para explicar cómo debe trabajar una red y enlazar sistemas abiertos. Ver anexo B Glosario de Siglas. lvi lvi

57 para redefinir las reglas del firewall y producir nuevas formas en el sistema de detección de intrusos de red. KFSensor es una vía extremadamente efectiva para realzar la infraestructura de seguridad de la red. 4.5 Características de KFSensor En su interior KFSensor presenta un poderoso servicio de Internet que está hecho para soportar múltiples puertos y direcciones IP. Construido con esta flexibilidad KFSensor puede responder a varios tipos de conexiones, desde escuchar un simple puerto y un básico servicio como un eco, para simulaciones más complejas de servicios estándares de un sistema. Para protocolos http, KFSensor simula con precisión la forma de un servidor Web de Microsoft (IIS). Así también son capaces de sostener un sitio de Internet además soporta complejidades como peticiones de rangos y negociación de cache del lado del cliente. Esto hace difícil al atacante ver huellas o identificar a KFSensor como un Honeypot. En un ataque, cada byte es grabado en los registros del KFSensor. Los eventos pueden ser asignados con diferentes colores de acuerdo al grado de severidad, haciendo fácil detectar inusuales o serios ataques. El reporte de usuario puede ser definido y el registro puede ser filtrado para mostrar ciertos puertos, protocolos o fuentes de direcciones IP. lvii lvii

58 4.6 Beneficios de KFSensor Entres los beneficios más relevantes del uso del Honeypot KFSensor tenemos los siguientes: Detecta ventanas de ataque en la red KFSensor es el único que contiene red de trabajo Windows/ NetBIOS / SMB emulación honeypot. Esta única característica permite detectar la naturaleza de ataque en archivos compartidos y administración de servicios Windows, lo más relevante y dañino en Internet en estos tiempos. Firewalls pueden detectar la observación de puertos, pero no la naturaleza del ataque. NIDS puede identificar certeros ataques pero con el riesgo de comprometer la seguridad. Solo KFSensor puede proveer la máxima información en un ataque, sin riesgo a estar comprometido Arquitectura Ampliada La emulación y reportes característicos de KFSensor pueden ser más extendidos al crear sus propios guiones de acciones y consultas de bases de datos Baja en lo alto KFSensor permanece oculto durante el ataque, consume muy poco procesador y recursos de la red. Sensores pueden ser instalados en las máquinas de los usuarios sin afectar su normal uso, eliminando la necesidad de Hardware adicional. lviii lviii

59 4.6.4 Simplicidad Los conceptos detrás de KFSensor son fáciles de entender. La configuración y operación es directamente, requiere poco entrenamiento y mantenimiento Detección en Tiempo Real Los ataques son detectados, analizados y se reportan inmediatamente permitiendo una rápida respuesta en un ataque mientras está en proceso Detecta amenazas desconocidas A diferencia de otros productos, KFSensor no cree en firmas 48 conocidas en un ataque, por lo tanto detecta nuevas amenazas, como nuevos gusanos, virus y a hackers de élite Seguridad en lo Profundo KFSensor complementa otros tipos de productos de seguridad, como los firewalls, antivirus y redes basadas en sistemas IDS, para proveer un estrato adicional de protección Diseñado para ambientes Corporativos El diseño seguro de KFSensor y su habilidad de trabajar en dos partes, dentro de una LAN y frente a un firewall lo hace apropiado para organizaciones que demandan requerimientos de seguridad muy altos lixlixlixlixlixlixlixlix 48 Firmas: Nombre que se le da Información sobre programas que son seguros para un usuario. lix lix

60 4.7 Forma de trabajo de KFSensor El KFSensor es un sistema de detección de intrusos y desempeña este rol al abrir puertos de maquinas que se encuentran instaladas y en espera de conexiones. Lo hace exactamente en la misma forma que un servidor convencional, como un servidor Web o un servidor SMTP. Al hacer esto coloca blancos, o un servidor honeypot, que grabara las acciones de un hacker. KFSensor es flexible y altamente configurable. 4.8 Componetes de KFSensor Hay dos componentes principales del sistema KFSensor Servidor KFSensor El servidor KFSensor provee el núcleo de funcionalidad del sistema KFSensor. Escucha ambos puertos el TCP 49 y UDP 50 en la máquina e interactúa con los visitantes y genera eventos. Este servidor no tiene interfaz de usuario, corre por debajo del sistema KFSensor Monitoreo El monitor KFSensor contiene la interfase del usuario del sistema KFSensor. Al usarlo puede configurarlo y monitoriar los eventos generados por el KFSensor lxlxlxlxlxlxlxlx 49 TCP: Transmission Control Protocol / Protocolo de Control de Transmisión. Ver Anexo B Glosario de Siglas 50 UDP: User Datagram Protocol / Protocolo de Datagrama de Usuario. Ver Anexo B Glosario de Siglas lx lx

61 4.8.4 Visitantes Un visitante en términos generales es usado para referirse a la entidad que se conecta al KFSensor, como los hackers, gusanos, virus o incluso usuarios legítimos que por error tropiezan en el KFSensor. Los visitantes pueden ser referidos como clientes de los servicios provistos por KFSensor Eventos Un evento es grabado por el servicio de KFSensor cuando un incidente o ataque es detectado. Por ejemplo si un visitante intenta conectarse al servidor Web simulado, un evento detallado de la conexión es generado. Los eventos son grabados en un archivo de registro y se despliega en el monitor del KFSensor Servidor Sim 51 Servidor Sim es una simulación mínima de un servidor. Es una definición de como el KFSensor debe comportarse en orden de impresionar y emular un sistema de servidor real. Una típica máquina de servidor corre una dirección de servidor para proveer un rango de diferentes servicios, como un servidor Web o un servidor SMTP lxilxilxilxilxilxilxilxi 51 SIM: (Single Identification Module) Módulo Simple de Identificación. 52 SMTP: Protocolo Simple de Transferencia de Correo. Ver anexo B Glosario de Siglas lxi lxi

62 No hay un número límite de servidores Sim que pueden ser definidos. Se debería levantar diferentes simulaciones de servidores Sim para diferentes implementaciones, como IIS 53 y el servidor Web Apache, o diferentes versiones del mismo servicio. Existen dos tipos de servidores Sim disponibles, el Sim Banner (Pancarta Sim) y el servidor Sim Standar Sim Banner Un Sim Banner es el tipo más básico de un servidor Sim. Tiene la habilidad de leer y de grabar la información que le llega desde un visitante y envía al visitante un pedazo de información llamada banner. El texto del banner puede contener parámetros, que son remplazados cuando el banner es enviado al cliente con los valores que presenta. Esto habilita una respuesta más realista, como incluir el tiempo actual y no un pedazo de texto arreglado, por ejemplo, el propósito de un eco Server es solo retornar una copia de la información enviada al servidor. Esto puede ser fácilmente ejecutado con un Sim Banner. En la misma forma se puede simular un servidor más complejo como un servidor Web. En este caso el visitante envía una petición http por un archivo en particular y el Servidor Sim Banner puede retornar un Banner estándar, conteniendo un http estándar como respuesta. Un experto hacker no va hacer burlado por mucho tiempo por una simple emulación, pero esto es suficiente para identificar su intento de acceso lxiilxiilxiilxiilxiilxiilxiilxii 53 IIS: (Internet Information Service) Es el servidor web que se instala bajo Windows 2000 Server.Ver anexo B Glosario de Siglas. lxii lxii

63 4.8.8 Servidor Estándar Sim Un Servidor Estándar, es una muy sofisticada emulación de un servidor real. El nivel de emulación del engaño es más alto que un Sim Banner y provee muchos más detalles de información al analizar el ataque. Servidor Sim estándar que KFSensor soporta: Servidor TABLA 4.1: Puertos principales que utiliza KFSensor Puerto Descripción FTP 21 Archivo protocolo de transferencia HTTP 80 Un servidor HTTP es otro nombre de un servidor Web NBT Name 137 Archivo Windows y impresión compartida Service NBT Datagram Service NBT Session Service 138 Archivo windows y impresión compartida 139 Archivo windows y impresión compartida NBT SMB 445 Archivo windows y impresión compartida POP3 110 Relay SMTP 25 SOCKS 1080 Protocolo de Correo El servidor POP3 es usado para almacenar mensajes de correo electronico, los cuales pueden ser respondidos usando sistemas de correo como Microsoft Outlook. Es un servidor de retransmisión que se utiliza para permitir a los visitantes acceder a otro servicio que corre en otra máquina. Protocolo de transferencia simple para mail. Un servidor SMTP es usado para aceptar mensajes de de entrada. Un servidor Proxy SOCKS es usado para transmitir todo tipo de tráfico TCP y UDP a través de un servidor Proxy. SQL Server 1433 El principal servicio de Servidor MS SQL. SQL Server UDP Telnet El servicio UDP de servidor MS SQL. Un servidor Telnet es usado para permitir a los visitantes abrir una consola remota en la maquina servidor. lxiii lxiii

64 Terminal Server 3389 VNC 5900 Terminal Server es una aplicación de Microsoft que permite a los usuarios remotos firmarse o logearse en un servidor. VNC es una plataforma cruzada remota para el control de una aplicación. Realizado por: Christian Vargas Fuente: Ayuda KFSensor Listen 54 Un listen es una instrucción que el servidor KFSensor abre, para unirse a un puerto especifico y realizar una acción especifica cuando un visitante se conecte a ese puerto. La misma o diferente acción puede se realizada en muchos y diferentes puertos con definidos Listen. Hay tres diferentes tipos de acciones que pueden ser configuradas para un Listen, cuando un visitante se conecta al puerto definido por este: Cerrar Cerrar la conexión inmediatamente e ingresar el evento Leer y Cerrar Esperar que el visitante envié una petición y cerrar la conexión sin enviar una respuesta. La información recibida es grabada como parte del evento que se registra lxivlxivlxivlxivlxivlxivlxivlxiv 54 Listen: En español Escuchas Configuración que se utiliza para monitorear/escuchar puertos. lxiv lxiv

65 Sim Banner Desempeña las acciones especificadas por la definición Banner seleccionado y guarda cualquier información en el evento que se registra. Servidor Std Sim Desempeña la acción especificada por la definición del Servidor Std Sim seleccionado y guarda cualquier información en el evento que se registra Escenario Un escenario es una colección de definiciones de Listen, los cuales controlan todas las acciones que el servidor KFSensor deba realizar. Muchos escenarios definidos pueden ser apropiados para diferentes propósitos, así como detectar un ataque a la estación de trabajo o al servidor. Solo un escenario puede ser activado a la vez, pero es fácil de cambiar entre escenarios Severidad KFSensor usa una clasificación de eventos en tres niveles de importancia; baja, media y alta. La gravedad de un evento se coloca de acuerdo a la severidad que el Listen presenta. Cuando un evento es generado, el tipo de alarma depende del nivel de severidad del mismo. lxv lxv

66 CUADRO 4.2: Alarmas KFSensor FUENTE: Pantalla de ayuda del Programa KFSensor Explicación Cuadro 4.2 Low: Ninguna Alerta es generada por eventos de baja severidad. Médium: El icono del sistema de monitor KFSensor estará intermitente y de color amarillo. High: El icono del sistema de monitor KFSensor estará intermitente y de color rojo. 4.9 KFSensor como complemento de otras formas de Seguridad Lo básico de una buena seguridad es tenerla por debajo, es decir como una aplicación que no se sepa que se encuentra corriendo a nivel del resto de las otras aplicaciones. KSensor complementa otro tipo de seguridades, pero no las reemplaza, es usado como parte de los detalles de políticas de seguridad, además, adiciona una capa de protección para detectar seguridades rotas que quizás no son seleccionadas por otras Server Lock-down Lock-down es importante para asegurar la red o endurecer su servidor y estaciones de trabajo. lxvi lxvi

67 Esto implica apagar cualquier servicio que este corriendo y que no se necesite. Por ejemplo raras veces cualquier estación de trabajo solicita correr un servidor Web o un servidor SMTP, pero estos frecuentemente están instalado y quedan corriendo. KFSensor puede ser configurado para monitorear puertos usados por un servicio conocido y reportar un error si este servicio se deja corriendo Firewalls Existen similitudes en la forma en que KFSensor y un firewalls trabaja. Ambos monitores de puertos detectan conexiones no autorizadas. Sin embargo, sus propósitos son muy diferentes. Un firewall esta dirigido a prevenir accesos a la mayor cantidad de puertos al bloquear conexiones de acuerdo a la regla base. Un Hacker atacando una red protegida por un firewall será prevenido totalmente, incluso identificará el servicio que esta corriendo. KFSensor sin embargo da la bienvenida a las conexiones y envía respuestas; de esta manera el Hacker será mal informado acerca del servicio que se esta corriendo. Dependiendo de la configuración de red, un firewall quizás bloquee el acceso al KFSensor y reducirá su efectividad en detectar ataques, por lo que se debe procurar que esto no ocurra, ya que lo optimo es que el firewall y KFSensor funcionen en conjunto. lxvii lxvii

68 4.9.3 Programa Anti-Virús El programa Anti-Virus usa una base firmada para identificar virus conocidos, troyanos y gusanos, conocidos de forma colectiva como malware; que examina el disco duro o el contenido de los archivos adjuntos de los s. KFSensor detecta la acción que desempeña malware. Por ejemplo una nueva instalación de gusano código rojo inmediatamente comienza a escanear otras máquinas en la misma red, para detectar vulnerabilidad que pueden ser explotadas. Estas acciones son detectadas y reportadas inmediatamente por KFSensor. Otra ventaja de KFSensor es la efectividad al detectar nuevos virus que no han sido todavía colocados en la base de seguridad del programa anti-virus por sus proveedores Red Basada en el Sistema de Detección de Intrusos (NIDS) 55 NIDS desempeña el mismo rol que KFSensor, usando una técnica diferente. Ellos monitorean el tráfico en la red, buscando patrones conocidos de ataque sin ser transferida la información. Además ellos tienden a equivocarse al identificar un tráfico legítimo como sospechoso. A menudo los falsos positivos pueden inundar el reporte de ataques genuinos. Porque la baja incidencia de falsos positivos reportados por KFSensor pueden atraer atención a ataques actuales que activan la interpretación de una auditoria NIDS para ser mas productivo lxviiilxviiilxviiilxviiilxviiilxviiilxviiilxviii 55 NIDS (Network intrusión detection system): Son las siglas con las que se denomina al sistema que sirve para la detección de intrusos dentro de una red. lxviii lxviii

69 Otra ventaja clave de usar KFSensor con NIDS es que KFSensor atrae ataques de afuera, haciéndolos mucho más parecido a generar tráfico que puede ser escogido por un NIDS; por ejemplo, un hacker puede correr un sistema para escanear pero de baja intensidad en contra de la red. Estos escaneos son a menudo perdidos por un NIDS. Si un ataque como éste detecta un servidor Web simulado proveído por KFSensor, son parecidos a ir a escanear mas allá vulnerabilidades conocidas, como son un IIS Unicote exploit. Este es más parecido a ser seleccionado por el NIDS, como el KFSensor Formas de uso de KFSensor Existen muchas maneras de usar y configurar KFSensor, la forma como se lo haga, depende que es lo que se quiere conseguir y el tipo de red que se quiere proteger. KFSensor no debe ser usado en aislamiento como su única forma de seguridad, pero debe ser usado al lado de otros mecanismos de seguridad para proveer seguridad por debajo y como parte de unas buenas y bien definidas políticas de seguridad. Esta sección explica algunos de los factores para determinar como y donde configurar KFSensor Objetivos de Seguridad Kfsensor entre los objetivos de seguridad tiene los siguientes: Detectar ataques. El propósito primario de KFSensor es detectar y reportar ataques hechos en la máquina en la que fue instalado. lxix lxix

70 Tipos de Ataques Existen demasiados tipos, métodos y mecanismos de ataque para proveer una descripción comprensiva. Nuevas técnicas de ataques están constantemente siendo desarrolladas y descubiertas. Una de las ventajas más importantes de KFSensor es que asume que todas las conexiones hechas a él son malévolas, como ellas no hay razón legítima para no conectar al servidor simulado. Porque con esto es efectivo para detectar nuevas y no conocidas técnicas de ataque que no aparecen en la base de ataques conocidos Los Perpetradores Últimamente todos los ataques son originalmente hechos por personas con intención de robar o porque el vandalismo provee a ellos el ser un hacker de elite, o solo por la emoción que les da. Muchos de estos ataques son realizados por herramientas automáticas que esta misma gente publica en el Internet. Algunas de estas herramientas fueron ya mensionadas anteriormente en el Capítulo 1, sección 1.10 Amenazas Mitigando o entorpeciendo un ataque Al emular servicios vulnerables KFSensor puede desviar la atención, confundir y perder el tiempo de un hacker en potencia. Algunas veces un hacker puede ser asustado y advertido que se ha conectado con un IDS, como el KFSensor. lxx lxx

71 Respuesta de Incidencias Los registros de eventos producidos por KFSensor provee un camino de auditoria muy amplia, describiendo quien, cuando y como sucede cualquier ataque Investigación Al exponer el KFSensor directamente al Internet, que es sin protección de firewall, un número grande de ataques no serán evitados de ser generados y detectados. Esto puede proveer valioso material de investigación para mostrar los tipos y frecuencias que se experimentaría de ataques por servicios de producción Situando KFSensor en una Red Una típica red de comercio que esta conectada a Internet comprende de un sin número de zonas protegidas y separadas por FireWalls. Cada zona ofrece diferentes niveles de acceso y protección desde Internet y a otras zonas de la red Conexión directa a Internet Una máquina con una conexión directa a Internet esta expuesta a varios y malévolos hackers y gusanos de Internet. Así como va tener un sin numero de ataques de forma randómica y planificada. Este es el caso de los PC de casa Red Interna Una red Interna compromete las estaciones de trabajo y servidores internos de la empresa. Estas máquinas son normalmente las menos protegidas y son las que lxxi lxxi

72 contienen los datos e información más sensible de la empresa. Un firewall es típicamente configurado para proveer el máximo aislamiento de la red interna del Internet. Hay muchas formas en las que la red interna puede ser comprometida, como una configuración del firewall olvidada, o un archivo adjunto de un . Una de las más comunes y peligrosas vías en que una red cooperativa interna puede ser comprometida es por un empleado malévolo. Ese tipo de trabajos internos encontrados son difíciles de proteger y detectar con otras formas de seguridad. KFSensor es especialmente efectivo cuando se configura en una red interna. Todos los ataques detectados son serios y los registros de eventos hacen fácil determinar la fuente del ataque dentro de la red interna Zona de Detección Una zona separada puede se preparada para un solo propósito que es detectar ataques. Esta zona puede ser configurada por una cuidadosa configuración de las reglas del firewall y la traducción de la dirección de la red (NATS) para proveer una zona sin uso legitimo, pero con toda la probabilidad de ser expuesta a intrusos que buscan sistemas vulnerables KFSensor como Firewall Depende de la configuración estratégica que se desea, se necesita ajustar las reglas del firewall para permitir al visitante conectarse al KFSensor. Esto es verdad si lxxii lxxii

73 KFSensor esta corriendo en la misma maquina como un servidor de firewall personal Alertas de KFSensor KFSensor constantemente monitorea la máquina y responde a intrusos en tiempo real. Los eventos que estos intrusos generan son grabados en los archivos de Log. Cada uno de los métodos de alerta es opcional. Se debería configurar el que sea apropiado para cada circunstancia. Estos son los diferentes tipos de alertas que soporta KFSensor. 1. Sistemas de bandeja de Alertas (System Tray Alerts ) 2. Alertas de audio (Audio Alerts) 3. Alertas de mail ( Alerts) 4. Alertas syslog (SysLog Alerts) 5. Alertas de registro de Eventos (Event Log Alerts) 6. Alertas externas (External Alerts) Sistemas de bandeja de Alertas (System Tray Alerts) Cuando KFSensor se encuentra corriendo, se coloca un icono de una sirena en la parte derecha inferior de la pantalla de Windows. lxxiii lxxiii

74 GRÁFICO 4.2: Icono de activo de KFSensor + Realizado por: Christian Vargas Si no existen alertas, un icono de color verde se despliega. Cuando un evento ocurre, el icono comienza a parpadear dependiendo de la severidad del evento. Si el monitor de KFSensor es minimizado el icono se pondrá intermitente hasta que la pantalla de monitoreo sea visible nuevamente y continuará parpadeando por un número específico se segundos. El parpadeo en la alerta puede ser deshabilitada y la duración del parpadeo puede ser configurado en el cuadro de dialogo del Usuario. CUADRO 4.3: Alertas de KFSensor FUENTE: Pantalla de ayuda Programa KFSensor Explicación Cuadro 4.3 Low Severity: Los eventos de baja severidad no generan una alerta visual. El icono permanercera en verde. Médium Severity: Los eventos de mediana severidad provocan que el icono parpadee y se torne amarillo y anaranjado. lxxiv lxxiv

75 High Severity: Los eventos de alta severidad provocan que el icono parpadee y se torne rojo y anaranjado Alertas de Audio (Audio Alerts) KFSensor puede tocar un sonido como alerta cuando un evento ocurre. El evento de sonido solo se acciona una vez y no se accionará ni sonara hasta que el icono regrese a verde Alertas de ( Alerts) KFSensor puede enviar alertas vía . Esto tiene algunas ventajas. Se habilita alertas para ser enviadas fuera de la red local, incluso a un dispositivo de mano. Las alertas de se encuentran deshabilitadas por defecto y necesita ser configurada vía el cuadro de diálogo de alertas de . Existen dos diferentes formatos de mensajes de alertas de ; cortos y largos. El formato corto provee mínima información de un evento y es fácil de ser enviado a un dispositivo de mano o por un mensage SMS. El formato largo provee muchos detalles de información y es adecuado para ser enviado a un mail personal. lxxv lxxv

76 GRÁFICO 4.3: Formato de Ejemplo de un mensaje corto. KFSensor Alert : /07/ :39: IIS, port: 80 visitante: localhost, :4278 FUENTE: Pantalla de ayuda Programa KFSensor GRÁFICO 4.4: Formato de Ejemplo de un mensaje de registro KFSensor Alert, id:11508, visitor: :4369, Severity: High KFSensor Event id: ===================== Start:07/07/ :57: End: 07/07/ :58: Type: Severity: Protocol: Connection High TCP Host: :110 Visitor: localhost, :4369 POP3 Action: SimStdServer Sim Server: POP3 Connection closed by Visitor Received: 25 bytes user admin pass secret Response: 107 bytes >>>>+OK Microsoft Windows POP3 Service Version 2.0 ready. user admin >>>>+OK pass secret >>>>-ERR Logon Failure FUENTE: Pantalla de ayuda Programa KFSensor lxxvi lxxvi

77 Alertas del Syslog KFSensor puede ser enviado a un servidor SysLog. SysLog es la forma estándar para grabar eventos en máquinas UNIX y en Windows. Las alertas Syslog son deshabilitadas por defecto y necesitan ser configuradas por el cuadro de dialogo de las alertas de Syslog. GRÁFICO 4.5: Formato de Ejemplo de un mensaje SysLog <84>Jul 7 13:34: kfsensor id: 11510, sensor: TCP :110, visitor: localhost, :4484, recbytes: 25 FUENTE: Pantalla de ayuda Programa KFSensor Alertas de Registro de Eventos (Event Log Alerts) KFSensor puede enviar alertas a una máquina local Event Log. Existen dos ventajas para grabar eventos de los intrusos en el Event Log: 1. El Event Log talvez puede ser visto desde otra computadora, proveyendo al usuario los permisos correctos. 2. Existen aplicaciones que monitorean el Event Log en una red para proveer reportes unificados de los eventos. lxxvii lxxvii

78 GRÁFICO 4.6: Alerta del Registro de Eventos Realizado por: Christian Vargas Fuente: Programa KFSensor Alertas Externas KFSensor tiene la habilidad de invocar una aplicación externa para manejar un evento de alerta. Esta característica flexible puede tener muchos y diferentes usos tales como: Crear su propio archivo de evento de actividades para un usuario. Iniciar inmediatamente el escaneo de un puerto en la IP o en el visitante al Honeypot. lxxviii lxxviii

79 Enviar alertas a una tercera aplicación. Las alertas externas trabajan al activar una consola en la misma forma en que trabaja el servicio de consola App externa. La diferencia es que la aplicación de alerta externa es activada inmediatamente después de que un evento está completo. Alertas externas están deshabilitadas por defecto y necesitan ser configuradas vía el cuadro de dialogo de alertas externas. Las características de alertas externas están deshabilitadas en la versión de alta integridad de KFSensor Interpretación de Eventos de KFSensor Los eventos indican la presencia de un ataque, determinando quién, cómo y porqué un ataque que se está realizando. A menudo, un simple evento no es suficiente para analizar un ataque, pero varios eventos simples juntos pueden producir mas evidencia detallada. Esta sección provee advertencia en buscar e interpretar indicaciones específicas. Nuevos patrones de ataque están constantemente desarrollándose y un hacker hace lo mejor por esconder el propósito del ataque Características de un Evento Dentro de las características de los Eventos que se generan en KFSensor se debe considerar lo siguiente. lxxix lxxix

80 Puerto (Port) Diferentes servicios se espera correr en un cierto puerto. De tal manera que si un evento ocurre en el puerto 80, es más parecido a un ataque directo contra un servidor Web. Usar el número del puerto y escuchar el nombre que nos de para indicarnos cual es el ataque y a donde lo esta haciendo Recibir Los eventos reciben información de los campos de datos enviados a KFSensor por el visitante. Interpretar esta información es la vía más importante para identificar la naturaleza del ataque. Este no estará disponible si el Listen se encuentra cerrado. Si el campo de datos recibido está vació esto puede indicar una exploración del sistema. Una exploración puede cerrar la conexión de inmediato después de que fue abierta, es decir solo busca la presencia de puertos abiertos. Si este es el caso el campo Close By (Cerrado Por) indicara que la conexión fue cerrada por el visitante. La información recibida es parecida a una simple y legitima petición diseñada para recoger y desplegar la información de la versión, o quizás un intento directo a explorar una vulnerabilidad. La siguiente información es un ejemplo de un intento de ataque Nimba a explotar un Troyano dejado por un código Rojo en el puerto 80 de un IIS servicio Web infectado. lxxx lxxx

81 GET /scripts/root.exe?/c+dir HTTP/1.0 Host: www Connection: close Aunque es una buena forma de crear una petición HTTP es muy diferente en un formato HTTP solicitado desde el Browser Visitante IP y Dominio El campo de visitantes de direcciones IPs nos da la dirección IP de la máquina que genera el evento. Si la dirección IP esta dentro del siguiente rango, indica que es una dirección IP privada, que debe estar en su red de área local y no en la red pública del Internet. o to o to o to El campo de nombre de dominio del visitante que generó el evento, es obtenido al invertir el DNS buscando en la dirección IP del visitante. No será posible ejecutar una búsqueda inversa o el servidor DNS puede ser comprometido, por lo que se desconfía de la dirección IP y no en el nombre de Dominio. lxxxi lxxxi

82 En el caso de la conexión UDP es posible que un Hacker engañe la dirección IP, pero esto no es posible para una conexión TCP. Aunque la dirección IP muestra donde fue hecha la conexión, quizás el ataque no se originó desde esa máquina. Servidores Proxy, firewalls y troyanos pueden ser usados para transmitir una petición, entonces las máquinas de hackers pueden estar escondidas. Este es un truco favorito de un hacker experimentado para cubrir sus ataques. Para encontrar la máquina de un hacker se necesitara consultar los registros de los archivos logs 56 de la máquina que hizo la petición. Esto puede ser difícil o imposible, particularmente si éste viene de un troyano instalado en la máquina del usuario Tiempo de Inicio y Fin Los campos de tiempo de inicio y de fin dan la duración de la conexión mientras se mantuvo abierta. Si la duración es extremadamente corta y la conexión fue cerrada por el visitante, esto indica que el visitante no esperó por una respuesta y esto es parecido a indicar una actividad de escaneo Patrón de Eventos (Event Patterns) Cosas para observar y buscar cuando se mira en un grupo de eventos: lxxxiilxxxiilxxxiilxxxiilxxxiilxxxiilxxxiilxxxii 56 Logs: Son registros o historiales en formato de texto que se guardan, conteniendo la información necesaria de un evento. lxxxii lxxxii

83 Velocidad Si un número de eventos ocurren en un mismo puerto en sucesiones inmediatas, es parecido a una vulnerabilidad escaneada y automatizada que empieza a correr contra un servicio en particular; por ejemplo, Whisker es un servidor Web explorador vulnerable que corre numerosas peticiones HTTP buscando diferentes vulnerabilidades. Una mas lenta y errática petición quizás indica una presencia humana. Un intervalo largo entre eventos quizás indica un escaneo lento. Algunos escáners automatizados corren deliberadamente de manera lenta para intentar eludir una red basada en IDS Puertos Múltiples Si conexiones son hechas a más de un puerto, esto indica un sistema de exploración. Esta exploración esta diseñada para dejar huellas en un servidor al examinar todos los servicios que están corriendo en una máquina en particular Reglas del Escenario de KFSensor Cada escenario puede contener un ilimitado número de reglas que definen acciones a tomar. Las reglas son definidas usando el cuadro de dialogo de Reglas de Escenario, el cual puede ser accedido por los botones de reglas en Editar Escenario o al editar las reglas activas en las opciones de menú de escenario Configuración del Escenario KFSensor puede ser configurado para detectar ataques en diferentes puertos y servicios. Por ejemplo KFSensor puede ser configurado para escuchar y responder a lxxxiii lxxxiii

84 los puertos usados por los 20 Troyanos más comunes. Sería poco probable que un sistema real sea infectado por 20 diferentes troyanos al mismo tiempo. Un balance por lo tanto debe ser hecho entre decepción y entre detección. La configuración que se escoja por lo tanto depende de las metas de seguridad. Cuando se despliega múltiples instalaciones de KFSensor cada una puede ser configurada en diferentes vías, incrementando las oportunidades de detección de un hacker y adjuntar a su confusión Condiciones de las Reglas Una regla es activada si esta condición es encontrada. Cada regla puede poseer la siguiente condición, un rango de dirección IP, el protocolo de transporte y el número de puerto sensor. Un rango opcional para un número de conexiones hechas a un puerto especifico que además puede ser fijado. Cuando una conexión ocurre eso encuentran las condiciones de reglas severas de ahí KFSensor va a escoger una regla. La regla con más condiciones específicas será escogida de acuerdo a las siguientes prioridades: Una regla con una IP simple, siempre tendrá prioridad sobre una regla con una IP de rango. Una regla con un puerto específico, va tener prioridad sobre una regla la cual se aplica a todos los puertos. lxxxiv lxxxiv

85 Una regla con un protocolo específico, va tener prioridad sobre una regla la cual se aplica a todos los protocolos Reglas de Acción Hay tres posibles acciones que pueden ser tomadas por una regla: Cerrar (Close) KFSensor cerrará una conexión inmediatamente sin enviar respuesta Ignorar KFSensor no anotará un evento para la conexión. Las acciones de cerrar e ignorar pueden ser usadas juntas Fijar Seguridad Severa La severidad del evento generado por la conexión será fijada en la regla específica Forma en que las reglas pueden ser usadas Los siguientes ejemplos muestran como las reglas pueden ser usadas para lograr un propósito específico Incrementar la severidad para ataques internos Ataques originados desde a dentro de la organización, pueden ser considerados más severos que aquellos desde Internet. lxxxv lxxxv

86 CUADRO 4.4: Reglas para incremento de Seguridad Rule Conditions First IP Last IP Protocol Any Port Any Min Connections Max Connections Rule Action Close False Ignore False Set Severity High FUENTE: Pantalla de ayuda programa KFSensor Ignorar tráfico legítimo Una máquina confiable puede generar un mensaje emitido por un servidor SQL. Eventos desde esta máquina al puerto 1434 pueden ser ignorados con esta regla. CUADRO 4.5: Reglas para ignorar tráfico legítimo Rule Conditions First IP Last IP Protocol UDP Port 1434 Min Connections Max Connections Rule Action Close False lxxxvi lxxxvi

87 Ignore Set Severity True No Change FUENTE: Pantalla de ayuda programa KFSensor Ocultar de vulnerabilidades de Escáners Si la vulnerabilidad a escáners está siendo usada como parte de una auditoria de seguridad por lo que se generará alertas en el KFSensor y en el mismo escáner. Una regla puede ser usada para conseguir que KFSensor no responda a ciertas direcciones IP específicas. CUADRO 4.6: Reglas para Ocultar de vulnerabilidades de Escáners Rule Conditions First IP Last IP Protocol Any Port Any Min Connections Max Connections Rule Action Close True Ignore False Set Severity No Change FUENTE: Pantalla de ayuda programa KFSensor lxxxvii lxxxvii

88 Solo registrar los tres primeros eventos Algunos visitantes pueden hacer un largo número de conexiones a un puerto en particular. Este práctico ejemplo usa una regla para controlar la acción tomada por un visitante que realiza repetidas conexiones al puerto UDP 137 ó el nombre del servicio NBT. Solo las tres primeras conexiones serán registradas. En el caso del UDP 137, es además útil para especificar un límite de separación máxima de conexiones para este puerto. CUADRO 4.7: Reglas para Ocultar de vulnerabilidades de Escáners Rule Conditions First IP Last IP Protocol UDP Port 137 Min Connections 4 Max Connections Rule Action Close False Ignore Trae Set Severity No Change FUENTE: Pantalla de ayuda programa KFSensor 4.18 Emulación KFSensor del Networking de Windows KFSensor soporta los cuatro servicios windows networking, usando cuatro servidores estándar Sim: lxxxviii lxxxviii

89 TABLA 4.2: Servidores Estándares Service Puerto Sim Std Server NetBIOS Name Service (NBNS) UDP 137 NBT Name Service NetBIOS Datagram UDP 138 NBT Datagram Service NetBIOS Session Service TCP 139 NBT Session Service SMB Direct TCP 445 NBT SMB FUENTE: Ayuda programa KFSensor Significado de Networking de Windows/ NetBIOS / SMB / CIFS El Networking de windows es un grupo de protocolos y servicios que permite a las máquinas de windows comunicarse para proveer facilidades tales como archivos e impresoras y grupos de programas y dominios de navegación Networking de Windows El Networking de windows es extremadamente complejo y confuso de entender, tiene una larga historia de desarrollo. Las máquinas de DOS podían comunicarse una con otra usando protocolos llamados NetBIOS. Este antiguo protocolo es inferior en casi todos los aspectos a los protocolos IP. lxxxix lxxxix

90 Sin embargo, Microsoft no puede abandonarlo completamente como programa. Microsoft introdujo NetBIOS sobre TCP/IP (NBT). NBT permite al NetBIOS API correr sobre una red IP. Microsoft introduce otro protocolo llamado archivo de sistema de Internet común Common Internet File System (CIFS) el cual habilita el núcleo de funcionalidad de Windows Networking; archivos e impresoras compartidas y dominios. El núcleo de CIFS es un protocolo llamado SMB (Servidor de Bloqueo de Mensajes). El SMB se sienta arriba del NBT 57 como un transportador de capa. SMB puede ser implementado sobre otros protocolos que en NBT. Las intensiones a largo de Microsoft es abandonar NBT. Mientras NBT es esencialmente un protocolo de windows, existe un modulo para Linux llamado Samba que permite a Linux proveer servicios a clientes de Windows Nombres NetBIOS Los nombres NETBIOS son usados para identificar máquinas y grupos de trabajo y forma parte de la llave construida para bloquear el sistema NBT. Los nombres son limitados a 16 caracteres y siempre estarán en mayúsculas. Los 16 caracteres de un nombre NetBios es usado para indicar el tipo de servicio y el nombre al que se refiere. Una máquina de Windows tendrá varios nombres que varían solo por sus 16 caracteres xcxcxcxcxcxcxcxc 57 NBT: NetBIOS sobre TCP/IP xc xc

91 Los nombres de NetBIOS son usualmente codificados dentro de un formato especial de 32 caracteres, el cual los hace no leíbles a menos que sean decodificados. Existen cuatro diferentes servicios que son usados para implementar windows Networking. KFSensor emula cada uno de estos como se describe a continuación. TABLA 4.3: SERVICIOS DEL NETWORKING DE WINDOWS Service Port Descripción ARREGLAR FORMATO Y REDACIÓN DE TEXTO DEL CUADRO NetBIOS Name Service (NBNS) UDP 137 NBNS es además conocido como WINS (Windows Internet Name Service). El trabajo de NBNS es para coincidir direcciones IP con nombres NetBIOS y permitir comprobar las coincidencias. El nombre del servicio usualmente es el primer servicio en ser atacado. Un visitante necesitara la información que se pueda proporcionar para iniciar una sesión en los servicios. NetBIOS Datagram UDP 138 El servicio Datagram es usado para recibir emisiones de paquetes SMB vía UDP. Este servicio recibe mucho y legítimo tráfico desde otras máquinas de Windows en la red LAN que emiten sus nombres y servicios. Es raro para un xci xci

92 atacante usar este servicio, a menos que este tratando de adjuntar su máquina a la red de Windows. NetBIOS Service Session TCP 139 La sesión de servicio es usada para soportar sesiones NBT. Sesiones NBT es un protocolo usado para contener una sesión SMB. El protocolo SMB y sesiones basadas en esta son usadas para proporcionar la compleja funcionalidad de estos servicios soportados por la red de Windows; tal como archivos e impresoras compartidos. Este es el servicio en el que los atacantes estarán más interesados. SMB Direct TCP 445 En Windows 2000 se introduce una implementación de SMB que no necesita NBT para comunicarse. Este servicio en práctica es similar a la sesión del servicio de NetBIOS, pero sin el protocolo NBT adicional alrededor de la sesión SMB. El SMB directamente no es soportado en versiones antiguas de Windows. Las herramientas viejas de hackeo no logra apuntar a este servicio, mejor va por la sesión de NetBIOS. xcii xcii

93 FUENTE: Ayuda programa KFSensor Tipo de Emulación Actualmente hay un solo tipo de emulación, llamado "Anything Goes 58 ". Esta emulación no hace cumplir ninguna regla o restricciones sobre un visitante, como insistir en una sesión y establecer antes de abrir un archivo. Este siempre retorna una respuesta positiva a cualquier petición recibida. El "Anything Goes" esta diseñado para atrapar un número máximo de trucos usados por un hacker. La emulación parecerá ser Windows 98 si se accede desde el Puerto 139 y Windows NT basado en acceso por el Puerto 445. Existen docenas de comandos SMB e incluso más en el sub-protocolo como RAP. KFSensor solo procesa correctamente un sub-set de estos, el cual es el más conocido, que será usado por los atacantes. En el Futuro KFSensor mejora para sostener más comandos. El nombre de la emulación del servicio de NetBIOS deliberadamente no toma parte de la elección del navegador o si la retransmisión esta presente. Este es invisible al uso en la misma LAN cuando examina Mis Sitos de Red en Windows. Responde directamente a las peticiones hechas a las direcciones IP xciiixciiixciiixciiixciiixciiixciiixciii 58 Anyything Goes: el significado al español es dar una respuesta a cualquier visitante. xciii xciii

94 Configurando KFSensor Los cuatro servicios Windows Networking son adjuntados como parte del NetBIOS/NBT/SMB y RPC, opciones en los componentes del asistente de configuración. Las cosas mas importantes para configurar son los nombres NBT que KFSensor deba retornar en respuesta al nombre del servicio. Se puede cambiar usando el cuadro de dialogo de NBT Settings (configuración NBT). Los nombres por defecto son GIMLI para la computadora y MORIA para el grupo de trabajo. Se puede cambiar todos los acontecimientos de estos nombres a los más apropiados para su red Transmisión de archivos El principal propósito de NBT es transferir archivos entre dos computadoras. Hackers y gusanos usan esto para leer archivos de sistema para así desde el mismo sistema apuntado cargar malware en el mismo. Como parte de la emulación KFSensor, permite transmitir archivos reales. Por supuesto puede ser extremadamente peligroso si KFSensor permite a los visitantes ver o cargar un genuino archivo de sistema, por lo que los archivos que pueden ser transmitidos son limitados a dos específicos directorios. xciv xciv

95 Si la transferencia de archivos esta deshabilitada, o si los archivos no son encontrados, KFSensor va generar una en memoria de tamaño randomico y que contiene información randomica, el cual será transmitido al visitante Como trabaja la transferencia Si un visitante solicita un archivo para ser abierto y leído, KFSensor busca en el directorio de Download. Cualquier Sub directorio especifico solicitado es siempre ignorado. Si el archivo es encontrado, es transmitido al visitante usando una solicitud posterior de lectura. KFSensor incluye dos archivos de sistema de ejemplos en el directorio Download como parte de la instalación. Los archivos WIN.INII y el SYSTEM.INI que provienen desde una máquina típica Windows 98 y son puntos comunes de ataque para un gusano Como trabaja la carga Si un visitante solicita un archivo para ser abierto y ser escrito, KFSensor aceptara y escribirá información en el archivo. Cuando el archivo es cerrado KFSensor va a crear un archivo en el directorio de Carga (Upload) usando el siguiente formato: <visitor's ip address><visitor's port><requested file name>.bin xcv xcv

96 Ejemplos: 80_34_127_201_1674_Brasil_pif.bin 80_221_253_175_1431_win_ini.bin A los archivos se les da la extensión.bin Los archivos cargados son parecidos a ser Troyanos o gusanos. Hay que manejarlos con cuidado. Un Anti-Virus es extremadamente útil para identificar el tipo de malware que ha sido cargado Filtrando Eventos NBT genera más eventos que cualquier otro servidor, los cuales pueden ser accesos legítimos ó ilegítimos. Si se tiene una red LAN grande, se debe encontrar los limites de DOS que se han excedidos de forma silenciosa y rápida. Para reducir el número de eventos recibidos y registrados por este servicio, es mejor usar las reglas de Escenario para ignorar conexiones desde máquinas en subred local. Es además posible deshabilitar el servicio de NBT Name Service con el cual se consigue mucho tráfico y que es raramente atacado. xcvi xcvi

97 Probando con comandos propios de Windows Windows incluye muy poderosos comandos, los cuales están disponibles desde los comandos de consola. Este comando de red provee una simple y poderosa vía para probar KFSensor sin necesidad de usar como tercero un scanner. Para correr esta prueba simplemente se debe abrir un cuadro de DOS en otra máquina y usar la dirección IP del KFSensor como se muestra en los siguientes cuadros: CUADRO 4.8: Ejemplo 1 C:\>net time \\ Current time at \\ is 10/21/ :01 PM FUENTE: Ayuda programa KFSensor El comando net time 59 despliega el tiempo en la máquina remota. Una simple y buena vía para ver si se tiene una conexión con una computadora remota. Este es favorito para los hackers. CUADRO 4.9: Ejemplo 2 C:\>net use * \\ \DOCS Drive Z: is now connected to \\ \DOCS. FUENTE: Ayuda programa KFSensor xcviixcviixcviixcviixcviixcviixcviixcvii 59 Net Time: Tiempo actual de un computador. xcvii xcvii

98 La red usa mapas de comandos a un archivo remoto compartido a una unidad virtual. CUADRO 4.10: Ejemplo 3 C:\>net use \\ \ipc$ "" /user:"" The command completed successfully. FUENTE: Ayuda programa KFSensor Este comando abre conexiones nulas en una computadora remota. No se usa en si mismo mucho, pero indica si un ataque es posible y hay abundantes herramientas que requieren una conexión nula previamente establecida para que funcionen Probando el nombre del servicio NBT Para iniciar una sesión NBT sobre el Puerto 139 un ataque necesita saber el nombre del sistema NetBIOS que es el objetivo establecido en la sesión. 60 La mayoría de estos requerimientos tiene el siguiente formato: CUADRO 4.11: Formato para requerimiento NBT NBT NS Packet: id:256 Op: Name Query Question: *<00 Workstation Service>, Node Status, Internet class FUENTE: Ayuda programa KFSensor xcviiixcviiixcviiixcviiixcviiixcviiixcviiixcviii 60 Nota: Los ataques botados directamente encontrados del Puerto 445 SMB, no necesitan pasar por este escenario. xcviii xcviii

99 KFSensor no intentara registrarse así mismo con otras máquinas de Windows en la LAN, por lo que no aparecerá en Mis Conexiones de Red en el explorador de Windows. Responderá a la petición enviada directamente a su dirección IP Emulación del Servidor Proxy KFSensor Esta sección describe como y porque el servidor Proxy es explotado Servidores Proxy Un servidor Proxy actúa como un intermediario entre un cliente y un servidor de aplicaciones. Para los hacker existen dos principales beneficios al usar servidores Proxy. Primeramente, un servidor Proxy puede permitir el acceso a máquinas que un hacker no puede acceder directamente. Por ejemplo un servidor Proxy puede permitir a un hacker en el Internet conectarse a una máquina en la red interna de una Empresa. Segundo, un servidor Proxy puede proveer anónimamente a un hacker. Es esta característica que es más valorada por aquellos con intenciones maliciosas. Por supuesto servidores Proxy pueden ser usados los registros de eventos, pero es razonable asumir que administradores quienes dejan un servidor Proxy sin vigilancia es poco probable monitorear los registros de Eventos del mismo. xcix xcix

100 Reglas de configuración Proxy Las reglas de Proxy controlan si una conexión Proxy o un es o no en realidad retransmitido a la intensión de destino. Permitir a un visitante acceder a otro sistema a través de la computadora es siempre un gran riesgo. Sin embrago existe solo una vía para engañar a un sofisticado hacker haciéndolo creer que cruzó un servidor Proxy y de éste modo seguir con el descubrimiento de sus verdaderas intensiones. El secreto de la implementación de un HoneyPot Proxy exitoso es permitir solo el mínimo número de conexiones, que sean necesarios para proporcionar un engaño exitoso Reglas de Implementación Proxy Las reglas de Proxy necesitan ser personalizadas para cada implementación y a menudo tienen que ser ideadas para capturar un hacker en particular. Las reglas tienen la ventaja adicional de ser usadas como un producto de reportes y los reportes implementados como reglas de Proxy Como funcionan las reglas Cuando KFSensor necesita hacer decisiones para retransmitir una conexión o , llama a la configuración de la aplicación y le envía la información necesaria para tomar la decisión a la aplicación stdin. c c

101 Tipos de Servidores Proxy Existen muchos y diferentes tipos de servidores Proxy que pueden ser explotados. Los más importantes y comúnmente explorados servidores de Proxy son: 61 SOCKS SMTP HTTP TROJANS No importa el tipo de servidor Proxy usado. Tanto como permita el trafico de transmisión. Para una garantía anónima adicional, los hackers a menudo encadenan servidores Proxy juntos para hacer sus identificaciones más difíciles o incluso imposibles de identificar. Por ejemplo un hacker puede conectarse a un Troyano (SubSeven) y solicitar que se conecte a un servidor SOCKS público el cual es usado para conectarse a un Proxy HTTP, mismo que servirá para conectarse al servidor que sea el objetivo final para el ataque Ataques usando Servidores Proxy Servidores Proxy pueden ser y son usados para proveer anonimato para cualquier tipo de ataque cicicicicicicici 61 Los significados se los debe revisar en el Anexo A Glosarios de Términos y Anexo B Glosario de Siglas. ci ci

102 Estos ataques comunes son los siguientes: 62 Spam Anonymous surfing IRC Encontrando Servidores Proxy Encontrar servidores Proxy no es nada fácil. Existen numerosos sitios Web que proveen listas de direcciones proxies IP/puertos (solo digita Proxy list en el buscador de Google). Muchas de estas listas son de libre acceso y otras tienen un costo por las mejores listas, como parte del soporte industrial que se ha dado alrededor del Spam. Para los propietarios de estas listas y gente que quiere hacerlo por si mismas, existe un numero de herramientas disponibles para el trabajo. El más básico de estos es un scanner que busca por puertos abiertos donde los proxies pueden ser encontrados: e.g. 1080,3128 y Existen además un número de sitios Web que proveen un chequeo de Proxy en línea. Una vez que el servidor Proxy ha sido localizado, necesita ser probado para estar seguros que permite el acceso para el tipo de conexión deseada y estar seguro que provee anonimato ciiciiciiciiciiciiciicii 62 Los significados se los debe revisar en los glosarios de términos o en el de siglas. cii cii

103 Después de identificar y probar el servidor Proxy puede ser explotado o sumado a la lista de servidores vulnerables. Ejemplos de pruebas de proxies abiertos pueden ser encontrados en el siguiente URL Si un servidor Proxy de un HoneyPot es efectivo, será capaz de burlar la etapa de prueba. Existen muchas aproximaciones para probar un servidor Proxy, muchas son más sofisticadas que otras. En la comunidad hacker un Proxy es de los mejores si este provee rápido acceso y total anonimato Tipos de servidores Proxy emulados por KFSensor KFSensor puede emular mucho y diferentes tipos de servidores proxies: HTTP Proxy SOCKS Proxy SMTP open relay server SubSeven trojan Así como el servidor Proxy emula un servidor del mismo KFSensor puede además emular los servicios del objetivo y manejar un Proxy cambiando peticiones. Por ejemplo un atacante puede conectarse con KFSensor en el puerto 8080 y solicitar una conexión HTTP a un servidor SOCKS de Después pregunta al servidor SOCKS para conectarse al SMTP objetivo del atacante y finalmente empieza a ciii ciii

104 enviar a través del servidor SMTP. Todo esto es manejado con seguridad dentro del KFSensor sin que el atacante sea prevenido de que algo anda mal. Las emulaciones de proxies SOCKS y HTTP tienen muy similares opciones de configuración y uso Opciones de Configuración Proxy Existen tres principales métodos para proveer una conexión Proxy; Proxy HTTP, Conectar HTTP y SOCKS. Los protocolos son diferentes, pero la manera en que ellos lo manejan internamente es muy similar. Los tres son controlados por un combo de selección. Cada opción en la lista provee un nivel diferente de emulación Configuraciones Proxies SOCKS y HTTP La utilización del Proxy de honeypot es más difícil que otros tipos de Honeypots, porque la meta de un ataque es no comprometer el sistema honeypot pero atacar al mismo tiempo otros sistemas en el Internet. La emulación aproximada usada a través de KFSensor es limitada en su efectividad, como no es posible con precisión emular otras máquinas, especialmente una bajo el control del atacante. Para seguir adelante para el atacante es indispensable correr una prueba para asegurarse que el servidor de Proxy esta trabajando como lo espera. civ civ

105 Es muy fácil utilizar una completa funcionalidad del Proxy que registra el tráfico usado por un atacante. Este es extremadamente efectivo y es muy difícil de ser detectado. Sin embargo, la exposición del HoneyPot a un gran peligro, será el propietario el responsable si los resultados causan algún daño. Por lo que encontrar las metas de prevenir ataques causan daño a otros servicios y hacer al HoneyPot convincente a los requerimientos del atacante y es la mezcla de dos propuestas descritas a continuación. KFSensor tiene un número de propuestas para abordar este tema. TABLA 4.3: PROPUESTAS QUE KFSENSOR MANEJA Propuesta Acceso Negado Descripción La propuesta más conservadora es informar al atacante que su requerimiento ha fallado. Esto con precisión emula un sistema Proxy seguro. Esto detendrá un ataque en su camino, pero alguna buena información puede todavía ser reunida, como la locación del atacante y el sistema que ellos tratan de comprometer. Solo Lectura Esta propuesta responde a la posibilidad de retransmitir respuestas y después leer información posteriormente enviada por el atacante sin dar una respuesta a estas. Esto puede mostrar la primera parte de una secuencia del ataque. Un evento tendrá grabada solo una entrada. cv cv

106 Reflejar una emulación interna Muchos de los ataques usando proxies son hechos a notables servicios estándar SMTP y HTTP y otros servidores Proxies. KFSensor puede redireccionar el ataque para usar sus propios puertos, para permitir a un atacante interactuar con ellos. Esto se refiere a una operación reflejada. Este trabaja con cualquier puerto abierto por KFSensor, excepto el propio puerto del administrador. Por razones de seguridad KFSensor no permitirá el acceso a puertos usados por otras aplicaciones. Por ejemplo si el atacante solicita una retransmisión al puerto 21 de una máquina remota, KFSensor redireccionará a ésta a la emulación FTP. Esto resultara en dos eventos a ser grabados. La conexión Proxy y la conexión FTP, las cuales tendrán como la IP del visitante. Un evento se reflejará al KFSensor, puerto:21 Existen dos casos especiales; HTTP y SMTP, donde KFSensor corre la emulación del cliente dentro de la conexión del Proxy sin redireccionar al atacante a otro puerto. cvi cvi

107 Banner grab Interacciones a servidores SMTP empiezan con el servidor enviando un banner al cliente, los cuales identificaran el servidor SMTP. No hay un formato estándar para este banner y muchos atacantes usan estos para chequear que se han conectado al servidor SMTP correcto. Para mejorar las oportunidades de un engaño exitoso KFSensor puede conectarse al servidor de SMTP para obtener el banner correcto, el cual es después retornado al atacante. La conexión al servidor que es el objetivo es después cerrado y todas las posteriores comunicaciones serán entre el atacante y el servidor emulado por KFSensor. Esto necesita que KFSensor permita hacer una conexión de salida a un servidor SMTP externo, el cual será considerado inaceptable en algunas utilizaciones. Retransmisión Limitada El truco es identificar y permitir a la prueba desempeñarse, mientras se emula el ataque. Una de las pruebas más comunes envuelve a un cliente solicitando que una retransmisión se abra en la propia máquina. Se puede entonces chequear la presencia de esta conexión y compara la respuesta que retorna. KFSensor cvii cvii

108 puede permitir que las conexiones proxies retransmitan de regreso a las máquinas de los clientes, los cuales son siempre confiables de hacerse. Un evento tendrá retransmisión al :25 como se describe si esta propuesta se usa. Transmisión completa La ultima y más riesgosa propuesta es permitir una completa y no restringida funcionalidad de Proxy de retransmisión. Este provee el máximo nivel de posibilidades de engaño y un completo registro de todos los ataques. Este solo se recomienda usarlo para propósitos de investigación. Realizado por: Christian Vargas Fuente: Ayuda programa KFSensor Emulación Interna HTTP La emulación interna HTTP es usada para simular un servidor remoto HTTP que es usado a través del servidor Proxy HTTP. Sin retornar el contenido correcto esto será muy obvio para un humano que el Proxy no trabaja y no es posible hacer esto. Sin embargo muchos hackers usan proxies HTTP para correr ataques automáticos en servidores HTTP, tales como peticiones de Cabecera las cuales buscan la presencia de webs vulnerables, páginas de guiones y ataques de diccionario en autenticaciones cviii cviii

109 HTTP. En contra de estos ataques KFSensor emula un HTTP interno que puede ser efectivo. Las siguientes reglas son usadas para determinar la respuesta. TABLA 4.4: REGLAS DE RESPUESTA A PETICIONES EXTERNAS Petición Respuesta GET, POST Cualquier página HTML en blanco o una imagen Gif 1x1 se retorna dependiendo del tipo de URL. HEAD Retorna OK Request includes authentication Retorna 401 no autorizados. Request includes If-Modified Retorna 304 no midificadas Realizado por: Christian Vargas Fuente: Ayuda programa KFSensor cix cix

110 Conexión HTTP y SOCKS Estas son las opciones de un Proxy de conexión y del Proxy de emulación. TABLA 4.5: DESCRIPCIÓN PROXY DE CONEXIÓN Y DEL PROXY DE EMULACIÓN Opción Descripción 1 Deshabilitar Un Servidor Sim HTTP retorna un error de no soportado. Con un servidor Sim Socks, al visitante se le pedirá un usuario/contraseña el cual no será aceptado. 2 No se puede Conectar Un servidor Sim HTTP retornará 502 conexiones de entrada Erróneos. Un servidor Sim SOCKS retornará un codigo de fallo. 3 Solo Lectura El servidor Sim retornará un código de exitoso como respuesta y después leer la entrada desde el visitante. 4 Solo Reflejar El servidor Sim reflejara un requerimiento a su propia emulación de la petición del puerto objetivo. Si KFSensor no tiene respuesta de un puerto abierto entonces solo la operación de lectura es realizada. 5 Reflect y loopback El servidor Sim permitirá una conexión de retrasmisión de regreso a un visitante en su IP y reflejará todas las otras peticiones. cx cx

111 6 Reflect, loopback y banner grab Este es parecido a la opción anterior, con la adición de habilitar el banner grabbing. 7 Reflect, loopback, banner Esta opción permite un limitado número de proxies y s SMTP ser retransmitidos, si es permitido por las reglas del Proxy. grab y limited relay 8 Unrestricted full Proxy Una funcionalidad completa del Proxy. Usarse con cuidado. Realizado por: Christian Vargas HTTP Proxy Un Proxy HTTP se refiere al apoderamiento de solicitudes HTTP como parte del protocolo HTTP y es por eso limitado a otros servidores HTTP. La opción Solo Leer y Reflejar, Banner Grab no tiene sentido en este contexto y no se encuentran habilitados Emulación interna SMTP Si el Grab Banner es habilitado, el servidor Banner objetivo es usado. Si la conexión al servidor objetivo falla, un mensaje de no se pudo conectar / error de mal entrada se retornará. cxi cxi

112 Si el Grab Banner no es habilitado entonces un banner será creado usando nombres de dominios del servidor objetivo, obteniéndolo vía una petición DNS de reversa. La configuración interna SMTP puede retransmitir s si lo permiten las Reglas Proxy Configuración Proxy adicional Un servidor Proxy HoneyPot expuesto en Internet puede captar mucha atención. KFSensor puede arreglárselas con volúmenes altos de trafico del Proxy pero un sin número de cambios pueden ser hechos para configurar y optimizar la tarea. 1. Database logging Ingresar en la Base de Datos es mucho más veloz y más efectivo para altos volúmenes de trafico.la opción de conservación de Memoria debe ser chequeada en el cuadro de dialogo Database Log. 2. Reglas de configuración de Proxy Las reglas de Proxy deben ser configuradas y personalizadas para las necesidades.los siguientes cambios se deben hacer. Esto se puede aumentar si se desea. CUADRO 4.12: Valores de configuración Proxy Field Value Max Relays 10 Lock Out For 120 FUENTE: Programa KFSensor cxii cxii

113 Reglas de conexión Proxy Socks/http Se debe tomar en cuenta lo siguiente Configuración Usar el cuadro de dialogo Proxy Rules para configurar la regla del script, ejemplo Proxy: CUADRO 4.13: Configuración de Reglas Proxy Socks/http Campo Valor Comment Camino de La aplicación C:\Perl\bin\perl.exe Locación del ejecutable de PERL Argumentos "C:\Program Files\KeyFocus\KFSensor\fi les\scripts\kfconnectproxyte st.pl" Camino completo del sript de ejemplo Directorio de trabajo C:\kfsensor Directorio donde el cliente generara los reportes. Realizado por: Christian Vargas Fuente: Programa KFSensor Parámetros La siguiente información será pasada a la aplicación en el tubo srdin. Cada parámetro esta en una nueva línea y un signo igual es usado para separar el nombre del parámetro de este valor. cxiii cxiii

114 CUADRO 4.14: Configuración de Parámetros Proxy Socks/http Parámetro Ejemplo Comentario KFSENSOR CONNECTCHECK Este valor es siempre presentado par permitir al script chequear si se ha llamado con los parámetros correctos. SENSORIP La dirección IP del KFSensor SENSORPORT 8080 El puerto de KFSensor VISITORDOMAIN MESHCOMP El dominio del visitante si se conoce VISITORIP La dirección IP del visitante VISITORPORT 7026 El puerto del visitante TARGETDOMAIN target.com El nombre del Dominio al que el visitante quiere conectarse TARGETIP La dirección IP al que el visitante quiere conectarse TARGETPORT 25 El puerto al que el visitante quiere conectarse cxiv cxiv

115 CONNECTIONS 1 El número de conexiones que el visitante a hecho a KFSensor REQUESTTYPE HTTPCONNECT Indica el tipo de conexiones: HTTPPROXY HTTPCONNECT SOCKS REQUEST GET etc. Para peticiones de tipo HTTPPROXY (este parámetro contiene peticiones HTTP). Este permite desiciones que se hagan en base al URL así como el objetivo host. Este es decodificado en base64 para fácil proceso del Script. Realizado por: Christian Vargas Fuente: Programa KFSensor cxv cxv

116 Reglas del SMTP Proxy Se debe tomar en cuenta lo siguiente: Configuración Usar el cuadro de dialogo Proxy Rules para configurar la regla del script ejemplo Proxy: CUADRO 4.15: Configuración de Reglas SMTP Proxy Campo Valor Comentario Camino de la Aplicación C:\Perl\bin\perl.exe Locación del ejecutable de PERL Argumentos "C:\Program Files\KeyFocus\KFSensor\f iles\scripts\kfsmtpproxytest. pl" Camino completo del sript de ejemplo Directorio de Trabajo C:\kfsensor Directorio donde el cliente generara los reportes. Realizado por: Christian Vargas Fuente: Programa KFSensor cxvi cxvi

117 Parámetros La siguiente información es pasada a la aplicación en el tubo stdin. Cada parámetro es en una nueva línea y un signo similar es usado para separar el nombre del parámetro de este valor. CUADRO 4.16: Configuración de parámetros SMTP Proxy Parameter Example Comment KFSENSOR SMTPCHECK Este valor es siempre presentado par permitir al script chequear si se ha llamado con los parámetros correctos. HELO El HELO SMTP comando que el visitante usa BANNER 220 spammer.com El SMTP banner enviado al visitante.este es codificado en base64 para fácil procesamiento del script. SENSORIP La dirección IP de KFSensor SENSORPORT 8080 El puerto KFSensor VISITORDOMAIN MESHCOMP El dominio del visitante si es conocido VISITORIP La dirección IP del visitante VISITORPORT 7026 El puerto del visitante cxvii cxvii

118 ISEMULATINGHO ST 1 1 = KFSensor ipretende ser un servidor SMTP remoto 2 = KFSensor pretende ser un servidor abierto de retransmisión EMULATEDDOMA IN spamtarget.com El nombre de dominio del servidor SMTP que el visitante cree que usa EMULATEDIP El nombre del servidor IP que el visitante cree que usa EMULATEDPORT 25 El puerto del servidor SMTP que el visitante cree que esta usando CONNECTIONS 1 El número de conexiones que el visitante a hecho al KFSensor TOTALSMTPCON NECTIONS 10 El número total de conexines SMTP que el visitante a hecho TOTALRCPTS 100 El número total de destino de Spam,, i.e. rcpt a: comandos que el visitante a realizado cxviii cxviii

119 GRANDTOTALSM TPCONNECTIONS 30 El número total de conexiones SMTPT que todos los visitantes han realizado GRANDTOTALRC PTS 300 El número total de destinos de Spam, i.e. rcpt to: Comandos que todos los visitantes ha realizado FROM com> Desde donde la dirección TO A la Primera direccion. KFSensor retransmitirá un a la primera dirección de . NUMTOS 1 El número de destinatarios al que van los s TOS[1..n] <chalms_99@ > Cada uno de los destinatarios TOS1, TOS2, TOS3, etc. MESSAGE {encoded} El contenido del mensaje es codificado en base64 para fácil procesamiento del script. Realizado por: Christian Vargas Fuente: Programa KFSensor cxix cxix

120 V. DISEÑO Y CONFIGURACIÓN DE UN PROTOTIPO 5.1 Diseño La red de prueba de un Honeypot se compone de tres máquinas, una conectada a Internet, otra sin conexión a Internet, ambas con un sistema operativo XP y una máquina con un sistema operativo Windows Server 2003, configurada como Server estas máquinas se encuentra en red a través de un switch/router. El Honeypot se instala en el servidor, que receptara toda la información de la herramienta de detección de intrusos. GRÁFICO 5.1: Red de Prueba INTERNET HoneyPot Autor: Christian Vargas cxx cxx

121 5.2 Instalación La guía de instalación contiene detalladas instrucciones de como instalar KFSensor y los pasos que se deben tomar para probar y configurar el sistema, tal y como se lo ha realizado en el laboratorio de computación de la Escuela de Sistemas de la facultad de Ingeniería Consideraciones previas a la instalación de KFSensor Antes de instalar KFSensor es necesario decidir si instalar la versión completa o la versión de alta integridad. La elección de la versión, depende del nivel de riesgo que la máquina que esta corriendo KFSensor será comprometida y decir si es necesario una funcionalidad extra de la versión completa Funcionalidades de la Versión Completa (Full Functionality Version) La funcionalidad de la versión completa contiene todas las opciones disponibles y características de KFSensor. Algunas de estas características pueden ser potencialmente consideradas riesgosas. Todo esfuerzo se ha realizado para hacer estas características más seguras, mismas que se encuentran deshabilitadas en la configuración inicial; sin embargo, si la máquina en donde se corre KFSensor es comprometida, entonces es posible reconfigurar algunas de estas características. cxxi cxxi

122 Alta integridad de la versión (High Integrity Version) La alta integridad de la versión de KFSensor tiene ciertas características que originalmente están deshabilitadas. CUADRO 5.1: Características deshabilitadas V. Alta integridad Feature HTTP Sim Server Descripción FORMATO Y REDACCIÓN DE TODO EL TEXTO DEL CUADRO Y SOLO RESUMEN La habilidad del servidor Sim HTTP para recibir archivos está deshabilitada. Todas las peticiones validas serán devueltas como Respuestas no autorizadas, cuya precisión simula una contraseña protegida por un sitio Web. SMTP Sim Server La habilidad del servidor SMTP Sim para retransmitir e- Mails ó para recibir a otro servidor. Relay Sim Server Este tipo de servidor Sim. External Console App Este tipo de servidor Sim. External Alerts Este mecanismo de alerta está completamente deshabilitado. Realizado por: Christian Vargas Fuente: Programa KFSensor cxxii cxxii

123 5.2.2 Corriendo el Instalador Para instalar KFSensor se debe considerar primero estar logeado en la máquina con permisos de administrador, para no tener ningún problema el momento de realizar la instalación. Si se esta instalando desde el CD-ROM de KFSensor el programa empezará automáticamente al insertar el CD-ROM. Si la instalación no inicia automáticamente o si se esta instalando desde una copia adquirida desde Internet, simplemente se localiza el ejecutable de instalación y se le da doble clic en el mismo. 63 GRÁFICO 5.1: Icono del Instalador KFSensor Realizado por: Christian Vargas Fuente: Instalador KFSensor cxxiiicxxiiicxxiiicxxiiicxxiiicxxiiicxxiiicxxiii 63 Nota: La versión que se utiliza para esta guía fue adquirida desde Internet. cxxiii cxxiii

124 La primera pantalla que se presenta es la siguiente: GRÁFICO 5.2: Pantalla Inicial de la instalación KFSensor Fuente: Instalador del Programa Se debe tomar en cuenta las indicaciones expuestas en esta pantalla antes de continuar con la instalación. Una vez preparados se debe presionar el botón siguiente (Next) como se muestra en el gráfico 5.2. cxxiv cxxiv

125 La siguiente pantalla corresponde a la aceptación o no de la licencia. GRÁFICO 5.3: Pantalla Licencia KFSensor Fuente: Instalador del Programa Después de haber aceptado la licencia de KFSensor, activando un visto como se muestra en el gráfico 5.3 y después presionando el botón siguiente (Next), se presentara frente al usuario cuatro opciones de configuración las cuales se muestran en el cuadro 5.2. cxxv cxxv

126 Cuadro 5.2: Tipo de Configuraciones Tipo de Configuración (Setup Type) Descripción Versión Completa (Full version) Esta opción instala el sistema completo de KFSensor. Integridad Alta (High Integrity) Esta opción instala la versión de alta integridad. Actualizar a versión Completa (Upgrade Full Version) Actualiza la instalación actual con una versión completa. Actualiza a una alta integridad. (Upgrade High Integrity) Actualiza la instalación actual con una versión de alta integridad. Realizado por: Christian Vargas Fuente: Programa KFSensor En el siguiente paso se le preguntara en que carpeta se desea colocar a KFSensor. Dependiendo de como se desea configurar KFSensor se deberá cambiar la locación que viene como defecto. cxxvi cxxvi

127 GRÁFICO 5.4: Pantalla carpeta donde se instalará KFSensor Fuente: Instalador del Programa La carpeta archivos de programa (Program Files) es un buen lugar donde se puede instalar KFSensor, ya que hereda un nivel alto de seguridad para el acceso. Esto se explica en la siguiente sección. Una vez definido el lugar de instalación, presionar el botón de siguiente (Next) como se muestra en el gráfico 5.4. cxxvii cxxvii

128 La siguiente pantalla que se mostrará al usuario es la de definir en que grupo de programas se instalara KFSensor. GRÁFICO 5.5: Pantalla grupo de programas donde se instalará KFSensor Fuente: Instalador del Programa Luego de seleccionar el grupo de programa donde KFSensor será instalado en el menú de inicio, se debe presionar el botón siguiente (Next) y la instalación es iniciada. cxxviii cxxviii

129 Las pantallas que se presentan al iniciarse la instalación son las siguientes: GRÁFICO 5.6: Pantalla de último aviso antes de instalar KFSensor Fuente: Instalador del Programa Al presionar el botón siguiente (Next), la instalación se inicia y se mostrará una pantalla igual a la del gráfico 5.7. cxxix cxxix

130 GRÁFICO 5.7: Pantalla proceso de instalación KFSensor Fuente: Instalador del Programa Una vez instalado el programa, el sistema pedirá que se reinicie el ordenador antes de iniciar el uso de KFSensor, como se muestra el siguiente gráfico. cxxx cxxx

131 GRÁFICO 5.8: Pantalla de reinicio del Computador Fuente: Instalador del Programa GRÁFICO 5.8: Pantalla de reinicio del Computador Fuente: Instalador del Programa cxxxi cxxxi

132 Se debe registrar la copia de KFSensor dentro de dos días para hacerla versión de completo manejo. Se puede usar KFSensor directamente, o completar la configuración de los aspectos de seguridad, como se lo describe en la siguiente sección. 5.3 Elementos de KFSensor y sus configuraciones KFSensor esta compuesto de dos aplicaciones; el servidor y el monitor. El monitor de KFSensor contiene la interfaz de usuario y corre con los mismos privilegios de seguridad de la cuenta del usuario. Es el servidor de KFSensor quien escucha y responde a las conexiones de Internet y por tanto la aplicación con mas riesgos KFSensor Monitor El monitor de KFSensor es un modulo que proporciona la faz de usuario al sistema de KFSensor. Con esto se puede configurar el servidor KFSensor y examinar lo que genera Vistas ( Views) La ventana principal del Monitor de KFSensor comprende un número diferente de vistas. Ports View Visitors View Events View cxxxii cxxxii

133 5.3.3 KFSensor Server El servidor de KFSensor proporciona el núcleo de funcionalidad del sistema KFSensor. Escucha los puertos TCP y UDP en la máquina e interactúa con visitantes y genera eventos. El servidor de KFSensor no tiene interfaz de usuario y corre en segundo plano Corriendo el Servidor KFSensor El servidor de KFSensor provee el núcleo de la funcionalidad del sistema KFSensor. Este escucha a los puertos TCP y UDP en la máquina y interactúa con los visitantes y genera los eventos. Esto se configura a través del monitor de KFSensor. El servidor KFSensor no tiene interfaz de usuario y corre en segundo plano. Existen dos maneras en las que se puede correr el servidor KFSensor.: 1. Como consola de aplicación, en este modo de operación el servidor de KFSensor se inicia directamente por el monitor de KFSensor. Si se abandona el monitor de KFSensor entonces el servidor de KFSensor se apagará. Este es el único modo de operación disponible en usuarios de Windows 98 y ME. 2. Como servicio de sistema, el servidor Web KFSensor puede ser instalado como un sistema de servicio solo en Windows NT, 2000, 2003 y en XP. cxxxiii cxxxiii

134 Como servicio de sistema es un tipo especial de aplicación que corre Windows en segundo plano y es similar en concepto al demonio de UNIX. Existen muchas ventajas de correr el servidor KFSensor como sistema de Servicio: o El KFSensor puede ser configurado para iniciar automáticamente cuando el sistema empieza, incluso antes de que se registre el usuario en la máquina. o EL servidor KFSensor se acciona independiente del usuario que se registra, por lo que se puede iniciar la sesión propia y otra persona iniciar su sesión sin afectar al servidor. o El servidor de KFSensor puede ser configurado para correr como un usuario diferente, con permisos de seguridad diferentes. o Se puede configurar una acción de recuperación en caso de que el servidor de KFSensor falle. Por ejemplo, si reinicia la computadora o el servidor. o Se puede iniciar o detener el servidor de KFSensor desde otra máquina sin usar el monitor de KFSensor. En ambos modos de operación el menú de opciones Iniciar Servidor, Detener Servidor y Reiniciar Servidor y así como los botones de la barra de herramientas trabajan de la misma forma. cxxxiv cxxxiv

135 5.3.4 Vista de Puertos La vista de los puertos es mostrado en el panel izquierdo de la ventana principal, éste consta del árbol de estructura que muestra el nombre y status del servidor KFSensor y del puerto en el que escucha. La vista de Puertos puede ser mostrada al seleccionar la opción de puertos desde el menú y está conectado a la Vista de Eventos y actúa como un filtro. Por ejemplo si se selecciona el puerto 80, entonces solo los eventos relacionados al puerto 80 serán mostrados en la vista de Eventos. Comprende de los siguientes elementos y niveles: Servidor El ítem de máximo nivel es el Servidor. La dirección IP del servidor de KFSensor y el mismo nombre del actual escenario activo será presentado. El icono de servidor indica el estado del servidor: CUADRO 5.3: Estados del servidor KFSensor Fuente: Pantalla de ayuda Programa KFSensor cxxxv cxxxv

136 Explicación del cuadro 5.3 Running: El Servidor KFSensor se encuentra corriendo y en operación. Stopped: El Servidor KFSensor detenido. Error: Un error a ocurrido al correr el Servidor de KFSensor Protocolo El nivel de Protocolo es usado para agrupar los puertos basados en sus protocolos; tanto TCP como UDP Puerto Cada puerto que el servidor KFSensor escucha es listado en orden numérico. Esto es controlado por las definiciones para escuchar en escenario activo actualmente. El número del puerto y el nombre escuchado es desplegado, junto con un icono indicando el estado del puerto: CUADRO 5.4: Estados de los puertos Fuente: Pantalla de ayuda Programa KFSensor cxxxvi cxxxvi

137 Explicación del cuadro 5.4 No recent activity: No se han detectado eventos en el puerto. Recent activity: Se ha detectado un evento recientemente en el puerto Very recent activitty: Se ha detectado un evento muy recientemente en el puerto Inactive: El puerto no se encuentra activo y no generara eventos. Error: El listen fallo al iniciarse en el puerto Ver Visitantes La vista de visitantes es mostrado en el panel izquierdo de la ventana principal. Este consta de tres estructuras que muestran el nombre y estatus del servidor de KFSensor y los visitantes que se hayan conectado al servidor. La vista de visitantes pueden ser mostrados al seleccionar la opción de Visitantes desde el menú Ver. La vista de visitantes esta ligado a la Vista de Eventos y actúa como un filtro a el. Si se selecciona un visitante entonces esos eventos relacionados a ese visitante serán mostrados en la Vista de Eventos. El árbol de estructura comprende de los siguientes elementos y niveles: Visitante Cada visitante detectado por el servidor de KFSensor esta en listado. La dirección IP del visitante y nombre del dominio es mostrado. Esto se consigue por un DNS cxxxvii cxxxvii

138 inverso buscando en la dirección IP del visitante. Un icono es mostrado indicando por última vez que el visitante se conecto al servidor: CUADRO 5.5: Estados de los puertos Fuente: Pantalla de ayuda Programa KFSensor Explicación del cuadro 5.5 No recent activity: No se han generado eventos por este visitante por algun tiempo. Activity: Se ha detectado actividad desde este visitante recientemente. Recent activity: Se ha detectado actividad desde este visitante muy recientemente Vista de Eventos La vista de Eventos es mostrada en el panel derecho de la ventana principal. Este comprende de una lista de todos los eventos seleccionados y detectados por el servidor de KFSensor. Los eventos que son mostrados son filtrados por el ítem seleccionado actualmente en los ítems Ver Puertos o en Ver Visitantes. Los eventos en ambos casos están en orden de clases ascendentes o descendentes cronológicamente. Este es controlado por opciones en el Menú Ver. cxxxviii cxxxviii

139 El Ver Puerto esta ligado al Ver Eventos y actúa como un filtro. Por ejemplo se selecciona el puerto 80, entonces solo los eventos relacionados al puerto 80 se mostrarán en el Ver Eventos. La lista comprende de un número de columnas. Esas columnas son mostradas y pueden ser configuradas por el cuadro de dialogo Adjuntar/Quitar columnas. Todos los detalles de un evento pueden ser vistos por evento seleccionado en ese momento con solo ver el cuadro de dialogo Detalle de Eventos. Existen tres formas de desplegar el cuadro de dialogo Detalle de Eventos: 1. Seleccionar del menú la opción Detalle de Eventos desde Ver Menú. 2. Doble clic en el evento. 3. Presionar el botón ALT y Enter El icono mostrado junto a cada evento son códigos de colores de un evento de severidad como se muestra: CUADRO 5.6: Colores de los estados de KFSensor Severidad baja Severidad media Severidad alta Fuente: Pantalla de ayuda Programa KFSensor cxxxix cxxxix

140 5.4 Menús de KFSensor En este punto se enumeraran y describirán los menús y submenús de KFSensor Menú Archivo (File) GRÁFICO 5.8: Menú de archivo Realizado por: Christian Vargas Exportación Escribe los detalles de evento a un archivo, en uno de los tantos formatos; HTML, XML, TSV o CSV. o o o o Listar Evento Saca todos los eventos en el visor de Eventos. Evento seleccionado Saca solo los eventos seleccionados. cxl cxl

141 GRÁFICO 5.9: Menú exportación Conexión del sensor Realizado por: Christian Vargas o Conectar Se conecta al servidor activo de KFSensor. o Desconectar Desconecta del servidor activo de KFSensor. GRÁFICO 5.10: Menú de conexión del sensor Realizado por: Christian Vargas cxli cxli

142 Servicio o Iniciar Servidor Inicia el servidor de KFSensor activo o Parar el Servidor Parar el servidor de KFSensor activo. o Reiniciar Servidor detener y Iniciar el servidor activo de KFSensor. o o Instalar como Servicio del Sistema Desinstalar Servicio del Sistema Estas opciones están solo disponibles en Windows NT, 2000 y XP. GRÁFICO 5.11: Menú de servicio Realizado por: Christian Vargas cxlii cxlii

143 Cerrar Cierra la ventana principal, pero deja el Monitor de KFSensor corriendo en segundo plano. La ventana principal puede ser reabierta desde el icono que se encuentra en la bandeja del sistema. GRÁFICO 5.12: Menú cerrar Realizado por: Christian Vargas cxliii cxliii

144 Salir Apagar el Monitor de KFSensor. Si el servidor de KFSensor no se ha instalado como un servicio de sistema, se deberá apagarla de igual forma. GRÁFICO 5.13 Menú salir Realizado por: Christian Vargas Menú Ver (View) GRÁFICO 5.14: Menú Ver Realizado por: Christian Vargas cxliv cxliv

145 Detalle de Eventos Muestra el cuadro de dialogo de Detalle de Eventos para el evento seleccionado actualmente Puertos Seleccionar para mostrar Ver Puertos Visitantes Seleccionar para mostrar el Ver Visitantes Actualizar desde el sensor Seleccionado Provoca que el monitor inmediatamente chequee el servidor KFSensor activo por nuevos eventos Cargar Eventos Usar el cuadro de dialogo Cargar Eventos para cargar eventos antiguos en el Monitor Ocultar Eventos La opción de eventos ocultos remueve eventos desde el monitor mostrado. Ellos pueden ser recargados usando el cuadro de dialogo Cargar Eventos. o o Todos Antes de Hoy cxlv cxlv

146 o o o Severidad Baja Severidad Media Severidad Alta GRÁFICO 5.15: Menú Ocultar eventos Realizado por: Christian Vargas Primero Eventos Nuevos (Newest Events First) Seleccionar para ordenar los eventos en Ver Eventos en orden reverso cronológico. cxlvi cxlvi

147 Primero Eventos Antiguos (Oldest Events First) Seleccionar para ordenar los eventos en Ver Eventos en orden cronológico Filtrado por Sensor Si se selecciona esta opción, filtrará los eventos que se verán en el Visor de Eventos, incluyendo aquellos desde el sensor activo. Si se lo quita entonces todos los eventos serán mostrados Adjuntar/Remover Columnas. Usar el cuadro de dialogo Adjuntar/Remover Columnas para cambiar los tipos y el orden de las columnas mostrado en la lista de eventos Barra de Herramientas Ocultar o mostrar la Barra de Herramientas Barra de Estado Ocultar o Mostrar la Barra de Estado. cxlvii cxlvii

148 5.4.3 Menú del Escenario (Scenario) GRÁFICO 5.16: Menú del escenario Realizado por: Christian Vargas Adjuntar Servidor Sim 64 Usando el cuadro de dialogo de Adjuntar Servidor Sim para adjuntar o crear una nueva definición Opciones Tipo de Acción Seleccionar el tipo de Servidor Sim que se desea crear. Tipo de Sim Si se selecciona se puede escoger el tipo específico de servidor a crear Cambiar Todo Usando el cuadro de dialogo Adjuntar Todo para hacer cambios a todas las definiciones de los Listen cxlviiicxlviiicxlviiicxlviiicxlviiicxlviiicxlviiicxl viii 64 Disponible en la versión completa y pagada. cxlviii cxlviii

149 Cambio de Opciones Entrar los valores en el campo que se desee cambiar y presionar el botón Cambio. Estructurar la dirección Especificar la dirección IP al que se va escuchar. Si está la parte izquierda en blanco, entonces los listen van a limitar a todos los listen disponibles. Activo Si el control Activo se quita, los listen se apagaran. Severidad El nivel de severidad de los eventos generados serán dados por los listen Cambiar Escenario (Switch Scenario.) Usar el cuadro de dialogo Cambiar Escenario para cambiar el actual escenario activo. GRÁFICO 5.17: Cambiar escenario Realizado por: Christian Vargas cxlix cxlix

150 Editar escenarios (Edit Scenarios.) Usar el cuadro de dialogo Editar Escenario para adjuntar, cambiar o remover definiciones de Escenarios. GRÁFICO 5.18: Edición escenario Realizado por: Christian Vargas cl cl

151 Editar el Escenario Activo (Edit Active Scenario.) Usar el cuadro de dialogo Editar Escenario para cambiar las definiciones del escenario activo. GRÁFICO 5.19: Edición escenario activo Realizado por: Christian Vargas cli cli

152 Editar las Reglas Activas (Edit Active Rules) Usar el cuadro de dialogo Reglas de Escenario para cambiar las reglas del escenario activo. GRÁFICO 5.20: Edición reglas activas Realizado por: Christian Vargas clii clii

153 Editar Reglas del Proxy Activo (Edit Active Proxy Rules) Usar el cuadro de dialogo Reglas del Proxy para cambiar las reglas definidas del escenario de proxy actual. GRÁFICO 5.21: Edición reglas Proxy activo Realizado por: Christian Vargas cliii cliii

154 Editar Servidor Sim (Edit Sim Server) Usar el cuadro de dialogo del Servidor Sim para adjuntar, cambiar o remover las definiciones del servidor Sim. GRÁFICO 5.22: Edición Servidor Sim Realizado por: Christian Vargas Adjuntar (Add) Crear una nueva definición de Servidor Sim Editar (Edit) Cambiar una definición de un Servidor Sim existente. cliv cliv

155 Borrar (Delete) Remueve una definición del Servidor Sim. Se puede evitar de hacer esto, si el Servidor Sim es usado en un escenario por una definición de Listen Menú de Configuraciones (Settings) GRÁFICO 5.23: Menú de configuraciones Realizado por: Christian Vargas DOS Attack Settings. (Fijar Ataque DOS) Usar el cuadro de dialogo Fijar Ataque DOS para configurar el fijar el negar ataque de servicios Alerts (Alertas de s ) Usar el cuadro de dialogo Alertas de s para configurar las alarmas de s enviados. clv clv

156 Syslog Alerts (Alertas de SysLog) Usar el cuadro de dialogo Alertas de Syslog para configurar el envió de alertas al servidor SysLog Event Log Alerts (Alertas de Registro de Sucesos ) Usar el cuadro de dialogo Alertas de Registro de Sucesos para configurar el envió de alertas a la ventana de registro de sucesos External Alerts (Alertas Externas ) Usar el cuadro de dialogo Alertas Externas para configurar el manejo de alertas por aplicaciones externas Configuración del Sensor Local Usar el cuadro de dialogo Configuración del Sensor Local para configurar el Sensor Local Administrador remoto del Sensor Local Usar el cuadro de dialogo Administrador remoto del Sensor Local para configurar cual monitor remoto puede controlar el sensor remoto Administrador de Sensores Remotos Usar el cuadro de dialogo Administrador de Sensores Remotos para configurar cual sensor remoto puede ser controlado desde este monitor Crear Archivo Sensor Clave Usar el cuadro de dialogo Crear Archivo Sensor Clave para crear una nueva clvi clvi

157 clave par publico/privado Registro de la Base de Datos Usar el cuadro de dialogo Registro de la Base de Datos para cambiar la configuración de la base de datos Asistente de Configuración Usar el cuadro de dialogo Asistente de Configuración para configurar paso a paso KFSensor Menú de Ayuda GRÁFICO 5.24: Menú de configuraciones Contenido Realizado por: Christian Vargas Muestra la lista de contenido de ayuda Índice Muestra la lista de índices de ayuda. clvii clvii

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

ESCUELA POLITÉCNICA NACIONAL 28 DE OCTUBRE, 2015 ORTIZ JÁCOME LEONARDO JOSÉ

ESCUELA POLITÉCNICA NACIONAL 28 DE OCTUBRE, 2015 ORTIZ JÁCOME LEONARDO JOSÉ ESCUELA POLITÉCNICA NACIONAL INGENIERIA DE SISTEMAS INFORME 1 APLICACIONES WEB SERVICIOS SOBRE INTERNET 28 DE OCTUBRE, 2015 ORTIZ JÁCOME LEONARDO JOSÉ 1. INTRODUCCIÓN Internet es un conjunto descentralizado

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

UD 1: Adopción de pautas de seguridad informática

UD 1: Adopción de pautas de seguridad informática UD 1: Adopción de pautas de seguridad informática Análisis forense en sistemas informáticos Análisis forense en sistemas informáticos El análisis forense es la técnica de capturar, procesar e investigar

Más detalles

Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos:

Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos: Protege tu WiFi Qué riesgos hay en que alguien utilice nuestra WiFi? Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos: Reducción del ancho de banda. Dependiendo

Más detalles

Para tener una visión general de las revistas de estadística, ir a: http://www.statsci.org/jourlist.html

Para tener una visión general de las revistas de estadística, ir a: http://www.statsci.org/jourlist.html 8. Difusión 8.4. Documentos - Métodos La expresión "publicar o perecer" hace referencia a la presión de publicar trabajos constantemente para continuar o sostener una carrera en el sector académico. La

Más detalles

VIVIENDO EN LÍNEA. IC3 Redes

VIVIENDO EN LÍNEA. IC3 Redes VIVIENDO EN LÍNEA IC3 Redes Redes informáticas Una red de computadoras es un conjunto de equipos informáticos conectados entre sí por medio de cables o cualquier otro medio para el transporte de datos,

Más detalles

Introducción a las redes informáticas. El programa Packet Tracer

Introducción a las redes informáticas. El programa Packet Tracer 29 Introducción a las redes informáticas. El programa Packet Tracer 1) Concepto de red informática. 2) Elementos de una red informática. 3) Clasificación de las redes informáticas. 4) El programa Packet

Más detalles

CAPITULO 3 MOVILIDAD EN LA NAVEGACIÓN Y ALMACENAMIENTO EN BASES DE DATOS

CAPITULO 3 MOVILIDAD EN LA NAVEGACIÓN Y ALMACENAMIENTO EN BASES DE DATOS CAPITULO 3 MOVILIDAD EN LA NAVEGACIÓN Y ALMACENAMIENTO EN BASES DE DATOS La introducción de las redes locales marca una nueva etapa en la evolución de las computadoras personales al permitir ligar varias

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Dirección de Informática y Telecomunicaciones

Dirección de Informática y Telecomunicaciones 2009 Dirección de Informática y Telecomunicaciones MANUAL DE INSTALACIÓN Y CONFIGURACIÓN DE LAS AULAS DE INNOVACIÓN PEDAGOGICA CON LÍNEAS ADSL IP Roddy Guillén Olivares MED/DIGETE/DIT 12/05/2009 MANUAL

Más detalles

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET 1 EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET Cada capa de la pila añade a los datos a enviar a la capa inferior, información de control para que el envío sea correcto. Esta información

Más detalles

Redes I Clase # 3. Licda. Consuelo E. Sandoval

Redes I Clase # 3. Licda. Consuelo E. Sandoval Redes I Clase # 3 Licda. Consuelo E. Sandoval 1. PROCESAMIENTO CENTRALIZADO El proceso centralizado es utilizado en los Mainframes, Minicomputadoras y en las Micro multiusuario. Los enlaces a estas máquinas

Más detalles

Introducción a las redes de computadores

Introducción a las redes de computadores Introducción a las redes de computadores Contenido Descripción general 1 Beneficios de las redes 2 Papel de los equipos en una red 3 Tipos de redes 5 Sistemas operativos de red 7 Introducción a las redes

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE ICIENCIAS ECONOMICAS LAS REDES I. Licda. Consuelo Eleticia Sandoval

UNIVERSIDAD DE ORIENTE FACULTAD DE ICIENCIAS ECONOMICAS LAS REDES I. Licda. Consuelo Eleticia Sandoval UNIVERSIDAD DE ORIENTE FACULTAD DE ICIENCIAS ECONOMICAS LAS REDES I Licda. Consuelo Eleticia Sandoval OBJETIVO: ANALIZAR LAS VENTAJAS Y DESVENTAJAS DE LAS REDES DE COMPUTADORAS. Que es una red de computadoras?

Más detalles

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM 59 En este tercer capítulo se presenta el diseño de un mecanismo de detección de tráfico malicioso para RedUNAM. Abarca

Más detalles

Hardware III: Redes. En esencia, una red es un conjunto de equipos informáticos interconectados

Hardware III: Redes. En esencia, una red es un conjunto de equipos informáticos interconectados Hardware III Redes 1. Redes: Tipos En esencia, una red es un conjunto de equipos informáticos interconectados entre sí con el fin de compartir recursos y transmitir información. Todos los ordenadores de

Más detalles

MATERIAL 2 EXCEL 2007

MATERIAL 2 EXCEL 2007 INTRODUCCIÓN A EXCEL 2007 MATERIAL 2 EXCEL 2007 Excel 2007 es una planilla de cálculo, un programa que permite manejar datos de diferente tipo, realizar cálculos, hacer gráficos y tablas; una herramienta

Más detalles

MANUAL TÉCNICO DE IMPLEMENTACIÓN PROYECTO SOCIAL COMPUESCUELA. Elaborado por: Julián A. Hernández M.

MANUAL TÉCNICO DE IMPLEMENTACIÓN PROYECTO SOCIAL COMPUESCUELA. Elaborado por: Julián A. Hernández M. MANUAL TÉCNICO DE IMPLEMENTACIÓN PROYECTO SOCIAL COMPUESCUELA Elaborado por: Julián A. Hernández M. PONTIFICIA UNIVERSIDAD JAVERIANA CALI SANTIAGO DE CALI 2011 CONTENIDO Pág. INTRODUCCIÓN...3 1. ANÁLISIS

Más detalles

Guía de Usuario. Seguridad Internet. Triara.com SA de CV. Todos los derechos reservados

Guía de Usuario. Seguridad Internet. Triara.com SA de CV. Todos los derechos reservados Guía de Usuario Seguridad Internet Triara.com SA de CV Todos los derechos reservados Esta guía no puede ser reproducido ni distribuida en su totalidad ni en parte, en cualquier forma o por cualquier medio,

Más detalles

MANUAL DE USUARIO DE OFICINA CONECTADA

MANUAL DE USUARIO DE OFICINA CONECTADA MANUAL DE USUARIO DE OFICINA CONECTADA 1 OFICINA CONECTADA INDICE 1 INTRODUCCIÓN...3 2 USO DEL SERVICIO...4 2.1 CONFIGURACIÓN EQUIPO CLIENTE...4 2.2 ADMINISTRACIÓN AVANZADA...5 2.2.1 Gestión de usuarios...7

Más detalles

Capitulo V Administración de memoria

Capitulo V Administración de memoria Capitulo V Administración de memoria Introducción. Una de las tareas más importantes y complejas de un sistema operativo es la gestión de memoria. La gestión de memoria implica tratar la memoria principal

Más detalles

QUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A)

QUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A) APRENDERAPROGRAMAR.COM QUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A) Sección: Divulgación Categoría: Herramientas Informáticas Fecha

Más detalles

INDICE DE CUADROS CUADRO PAGINA

INDICE DE CUADROS CUADRO PAGINA INDICE DE CUADROS CUADRO PAGINA I.-Distritos electorales según la ley de 1837 59 II.-Evolución del censo electoral en la provincia de Alicante según la ley 62 de 1837 III.-Evolución del censo electoral

Más detalles

Memoria del Trabajo Fin de Máster realizado por MARTA FERNÁNDEZ GARCÍA. para la obtención del título de

Memoria del Trabajo Fin de Máster realizado por MARTA FERNÁNDEZ GARCÍA. para la obtención del título de Memoria del Trabajo Fin de Máster realizado por MARTA FERNÁNDEZ GARCÍA para la obtención del título de Máster en Ingeniería de Automatización e Informática Industrial APLICACIÓN PARA LA ADQUISICIÓN Y GESTIÓN

Más detalles

Acceso al Disco Compartido y Dispositivos USB y DVD

Acceso al Disco Compartido y Dispositivos USB y DVD Acceso al Disco Compartido y Dispositivos USB y DVD Los Técnicos Académicos de las carreras de Matemáticas y Actuaría del Departamento de Matemáticas en el Tlahuizcalpan, ponen a su disposición este mini-manual,

Más detalles

La publicación. Pere Barnola Augé P08/93133/01510

La publicación. Pere Barnola Augé P08/93133/01510 La publicación Pere Barnola Augé P08/93133/01510 FUOC P08/93133/01510 La publicación Índice Introducción... 5 1. El dominio... 7 2. Alojamiento web... 9 3. FTP... 11 3.1. Cliente FTP... 11 3.1.1. Cómo

Más detalles

Concepto de sistema operativo

Concepto de sistema operativo Concepto de sistema operativo Son un elemento fundamental en cualquier sistema informático. Sin ellos, los sistemas informáticos no podrían funcionar. Un sistema operativo está formado por un conjunto

Más detalles

Solución de telefonía para empresas TL 200 - Presentación de producto. Telefonía IP

Solución de telefonía para empresas TL 200 - Presentación de producto. Telefonía IP Solución de telefonía para empresas TL 200 - Presentación de producto Telefonía IP Qué ofrece la telefonía IP? La Telefonía IP puede realizar las mismas funciones o características de la telefonía tradicional,

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Descarga Automática. Manual de Usuario. Operador del Mercado Ibérico de Energía - Polo Español Alfonso XI, 6 28014 Madrid

Descarga Automática. Manual de Usuario. Operador del Mercado Ibérico de Energía - Polo Español Alfonso XI, 6 28014 Madrid Descarga Automática Manual de Usuario Operador del Mercado Ibérico de Energía - Polo Español Alfonso XI, 6 28014 Madrid Versión 5.2 Fecha: 2008-10-15 Ref : MU_DescargaAutomática.doc ÍNDICE 1 INTRODUCCIÓN...

Más detalles

TELEX. SISTEMA PARA EL CONTROL DE GASTOS TELEFÓNICOS Anyell Cano Ramos anyell@minrex.gov.cu Ministerio de Relaciones Exteriores Cuba RESUMEN

TELEX. SISTEMA PARA EL CONTROL DE GASTOS TELEFÓNICOS Anyell Cano Ramos anyell@minrex.gov.cu Ministerio de Relaciones Exteriores Cuba RESUMEN TELEX. SISTEMA PARA EL CONTROL DE GASTOS TELEFÓNICOS Anyell Cano Ramos anyell@minrex.gov.cu Ministerio de Relaciones Exteriores Cuba RESUMEN El Ministerio de Relaciones Exteriores de Cuba (MINREX) es el

Más detalles

AUTORES: OBREGON CARLA 20.621.330 ROMERO MARIA 19.118.452 MARACAIBO FEBRERO 2012

AUTORES: OBREGON CARLA 20.621.330 ROMERO MARIA 19.118.452 MARACAIBO FEBRERO 2012 REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONAL EXPERIMENTAL DE LAS FUERZAS ARMADAS BOLIVARIANA DOCENTE: JOSE PARRA CATEDRA: REDES MARACAIBO FEBRERO

Más detalles

Servicio de estadísticas de Alojamiento Fecha de revisión: 19/09/2005

Servicio de estadísticas de Alojamiento Fecha de revisión: 19/09/2005 Servicio de estadísticas de Alojamiento Fecha de revisión: 19/09/2005 1. Acerca de este documento Este documento describe el servicio de estadísticas del que actualmente disfrutan algunas de las páginas

Más detalles

Instructivo de Microsoft Windows

Instructivo de Microsoft Windows Instructivo de Microsoft Windows El presente instructivo corresponde a una guía básica para el manejo de los programas y la adquisición de conceptos en relación a estos utilitarios. No obstante ello, para

Más detalles

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA TEMA 3. REDES Y SEGURIDAD INFORMÁTICA REDES INFORMÁTICAS. 1. Qué ventajas tiene usar ordenadores en red, frente al trabajo aislado? 2. Explica la diferencia entre el área de alcance de una red LAN y una

Más detalles

INSTALACIÓN DE ORACLE 8i (8.1.7) SOBRE NT

INSTALACIÓN DE ORACLE 8i (8.1.7) SOBRE NT INSTALACIÓN DE ORACLE 8i (8.1.7) SOBRE NT Versión 1. Mayo de 2001 Luis Vinuesa Martínez. Departamento de Informática Universidad de Oviedo vinuesa@correo.uniovi.es www.di.uniovi.es/~vinuesa ÍNDICE. Introducción...

Más detalles

Introducción. Ciclo de vida de los Sistemas de Información. Diseño Conceptual

Introducción. Ciclo de vida de los Sistemas de Información. Diseño Conceptual Introducción Algunas de las personas que trabajan con SGBD relacionales parecen preguntarse porqué deberían preocuparse del diseño de las bases de datos que utilizan. Después de todo, la mayoría de los

Más detalles

Descripción y alcance del servicio INTERNET NEGOCIOS IPLAN. IPLAN iplan.com.ar NSS S.A. Reconquista 865 C1003ABQ Buenos Aires Argentina

Descripción y alcance del servicio INTERNET NEGOCIOS IPLAN. IPLAN iplan.com.ar NSS S.A. Reconquista 865 C1003ABQ Buenos Aires Argentina Descripción y alcance del servicio INTERNET NEGOCIOS IPLAN 1. Introducción El servicio INTERNET NEGOCIOS provee una conexión a Internet permanente, simétrica, de alta confiabilidad, seguridad y velocidad.

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

Capítulo 9 Redes y Teleinformática 9.1 Introducción

Capítulo 9 Redes y Teleinformática 9.1 Introducción 9.1 Introducción El objetivo principal de una red consiste en "compartir recursos", es decir, que todos los programas, datos y equipos estén disponibles para cualquiera de la red que así lo solicite, sin

Más detalles

MANUAL DE USUARIO TARIFICADOR SIPTAR Y REPORTES SIPTAR.

MANUAL DE USUARIO TARIFICADOR SIPTAR Y REPORTES SIPTAR. MANUAL DE USUARIO Y REPORTES SIPTAR. Fecha: 2008. CONTENIDO CONTENIDO... 2 1. Ingreso al Tarificador SipTar.... 3 2. Utilidades del SipTar.... 5 3. Monitoreo Cabinas... 20 4. Consola.... 26 5. Reportes

Más detalles

OSORES DARDO LU: 2238

OSORES DARDO LU: 2238 INTEGRANTES: BUCZEK GUILLERMO SEBASTIAN LU: 2464 CRUZ SONIA LU: 2443 OSORES DARDO LU: 2238 BUCZEK, CRUZ Y OSORES Página 1 1) Es un componente software de una computadora que tiene como objetivo coordinar

Más detalles

GUÍA DE INSTALACIÓN Y ACTIVACIÓN

GUÍA DE INSTALACIÓN Y ACTIVACIÓN GUÍA DE INSTALACIÓN Y ACTIVACIÓN El software Hyper Renta es un programa diseñados para funcionar en ambiente Windows, por lo que es indispensable que este sistema operativo se encuentre instalado en su

Más detalles

SIGAN 1.0 SISTEMA DE INFORMACIÓN DE GESTIÓN ADMINISTRATIVA DE NÓMINA

SIGAN 1.0 SISTEMA DE INFORMACIÓN DE GESTIÓN ADMINISTRATIVA DE NÓMINA RIF: V-16233325-5 SIGAN 1.0 SISTEMA DE INFORMACIÓN DE GESTIÓN ADMINISTRATIVA DE NÓMINA Sistema desarrollado bajo software libre, con orientación al manejo de base de datos a través de una interfaz gráfica

Más detalles

Administración de infraestructura IT

Administración de infraestructura IT Administración de infraestructura IT MANAGED IT INFRASTRUCTURE Administración de infraestructura IT No importa cuál sea el tamaño su negocio, la infraestructura IT juega un papel crítico en el mantenimiento

Más detalles

INTRODUCCIÓN A LAS REDES INFORMÁTICAS

INTRODUCCIÓN A LAS REDES INFORMÁTICAS Instituto Tecnológico Argentino Técnico en Redes Informáticas Plan TRI2A03B Reservados los Derechos de Propiedad Intelectual Tema: Introducción a las redes Archivo: CAP2A03BTRI0102.doc informáticas Clase

Más detalles

Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL

Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL Índice 1 Introducción... 5 1.1 Perfil de la aplicación... 5 1.2 Requisitos técnicos... 5 2 Manual de usuario... 7 2.1 Instalación del certificado...

Más detalles

cpbackup le protege frente a cualquier eventualidad: virus, averías de hardware, incendios, desastres naturales...

cpbackup le protege frente a cualquier eventualidad: virus, averías de hardware, incendios, desastres naturales... Características generales Más que un backup cpbackup ofrece un servicio de copias de seguridad basado en un software programable y de fácil uso que, a través de sus líneas de comunicaciones, almacena toda

Más detalles

Direccionamiento IPv4

Direccionamiento IPv4 Direccionamiento IPV4 Página 1 de 15 www.monografias.com Direccionamiento IPv4 1. Direccionamiento IP 2. Componentes de una dirección IP 3. Determinación de la clase de dirección 4. Determinación de los

Más detalles

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com Productos Web Hosting Costo: tipo de facturación por cantidad de facturas emitidas. $6,000 $5,000 $4,000 $3,000 Tradicional $2,000 Electrónica $1,000 12 24 75 100 150 200 100% en línea, ya que no requiere

Más detalles

HP Backup and Recovery Manager

HP Backup and Recovery Manager HP Backup and Recovery Manager Manual de usuario Version 1.0 Índice Introducción Instalación Cómo se instala Opciones de idioma HP Backup and Recovery Manager Recordatorios Copias de sguridad programadas

Más detalles

Colección de Tesis Digitales Universidad de las Américas Puebla. Morales Salcedo, Raúl

Colección de Tesis Digitales Universidad de las Américas Puebla. Morales Salcedo, Raúl 1 Colección de Tesis Digitales Universidad de las Américas Puebla Morales Salcedo, Raúl En este último capitulo se hace un recuento de los logros alcanzados durante la elaboración de este proyecto de tesis,

Más detalles

MANUAL DE USUARIO TARIFICADOR SIPTAR Y REPORTES SIPTAR.

MANUAL DE USUARIO TARIFICADOR SIPTAR Y REPORTES SIPTAR. TARIFICADOR SIPTAR Y REPORTES SIPTAR. Fecha: 2009. CONTENIDO CONTENIDO... 2 1. Ingreso al Tarificador SipTar.... 3 2. Utilidades del SipTar.... 4 3. Monitoreo Cabinas... 18 4. Consola.... 24 5. Reportes

Más detalles

Guía de uso de Moodle para participantes

Guía de uso de Moodle para participantes Guía de uso de Moodle para participantes ÍNDICE 1 ACCESO... 4 1.1 PORTAL... 4 1.2 INGRESAR A PLATAFORMA... 6 1.3 ESTRUCTURA DEL CURSO... 7 1.3.1 BLOQUES... 8 2 RECURSOS Y MÓDULOS... 10 LOS RECURSOS SE

Más detalles

WINDOWS 2008 5: TERMINAL SERVER

WINDOWS 2008 5: TERMINAL SERVER WINDOWS 2008 5: TERMINAL SERVER 1.- INTRODUCCION: Terminal Server proporciona una interfaz de usuario gráfica de Windows a equipos remotos a través de conexiones en una red local o a través de Internet.

Más detalles

4. METODOLOGÍA. 4.1 Materiales. 4.1.1 Equipo

4. METODOLOGÍA. 4.1 Materiales. 4.1.1 Equipo 4. METODOLOGÍA 4.1 Materiales 4.1.1 Equipo Equipo de cómputo. Para el empleo del la metodología HAZOP se requiere de un equipo de cómputo con interfase Windows 98 o más reciente con procesador Pentium

Más detalles

POLÍTICAS DE USO DEL SERVICIO DE INTERNET ANEXO H

POLÍTICAS DE USO DEL SERVICIO DE INTERNET ANEXO H ANEXO H El acceso a Internet, es un medio importante de comunicación para la Universidad, puesto que provee un medio eficiente para potenciar las tareas de investigación y estudio por parte de docentes

Más detalles

Manual del Profesor Campus Virtual UNIVO

Manual del Profesor Campus Virtual UNIVO Manual del Profesor Campus Virtual UNIVO Versión 2.0 Universidad de Oriente UNIVO Dirección de Educación a Distancia INDICE 1. Campus Virtual. 03 1.1 Accesos al Curso 04 1.2 Interfaz del Curso...06 1.3

Más detalles

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación Vicerrectorado de Tecnologías de la Información y la Comunicación Conexión mediante Escritorio Remoto de Windows Última Actualización 22 de enero de 2015 Histórico de cambios Fecha Descripción Autor 16/09/13

Más detalles

MANUAL DEL USUARIO Y GUÍA DE SOPORTE TÉCNICO

MANUAL DEL USUARIO Y GUÍA DE SOPORTE TÉCNICO MANUAL DEL USUARIO Y GUÍA DE SOPORTE TÉCNICO Estimado cliente, para poder brindarle una solución rápida y efectiva en caso de que usted tenga algún problema en su servicio, es necesario que tenga un conocimiento

Más detalles

ESCUELA NORMAL PROF. CARLOS A CARRILLO

ESCUELA NORMAL PROF. CARLOS A CARRILLO ESCUELA NORMAL PROF. CARLOS A CARRILLO QUE ES UNA RED L A S T I C S E N L A E D U C A C I O N P R E E S C O L A R P R O F. C R U Z J O R G E A R A M B U R O A L U M N A : D U L C E C O R A Z Ó N O C H

Más detalles

Guía de instalación del sistema Vigilant Security CS

Guía de instalación del sistema Vigilant Security CS Gracias por adquirir el sistema Vigilant Security CS. Esta guía le ayudará a escoger la instalación mas conveniente para su empresa, y le guiará en los pasos para realizar una instalación sin problemas.

Más detalles

P2: Configuración Básica de Redes IP con Equipos TELDAT

P2: Configuración Básica de Redes IP con Equipos TELDAT Prácticas sobre Protocolos Internet P2: Configuración Básica de Redes IP con Equipos TELDAT Curso 2005/2006 Duración: 3 horas Objetivo: El objetivo de esta práctica es familiarizar al alumno con las tareas

Más detalles

Plataforma de Formación Online con Moodle!

Plataforma de Formación Online con Moodle! Plataforma de Formación Online con Moodle! Moodle es un alternativa a las soluciones comerciales como Blackboard y WebCT, y se distribuye gratuitamente bajo licencia Open Source. El entorno de aprendizaje

Más detalles

JHAN EVER ANDRADE CASTRO

JHAN EVER ANDRADE CASTRO OBJETIVOS: HERRAMIENTAS DE OFIMÁTICA NIVEL BÁSICO Aprender a comprimir y empaquetar archivos y carpetas Conocer el procedimiento adecuado para utilizar un antivirus Entender las diferente herramientas

Más detalles

Servicio de hospedaje de servidores

Servicio de hospedaje de servidores Servicio de hospedaje de servidores Tomás P. de Miguel Gabinete de Informática y Comunicaciones ETSIT Madrid, 18 de Marzo de 2004 1. Introducción Cada día se hace más necesaria la utilización de nuevas

Más detalles

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información

Más detalles

SISTEMA InfoSGA Manual de Actualización Mensajeros Radio Worldwide C.A Código Postal 1060

SISTEMA InfoSGA Manual de Actualización Mensajeros Radio Worldwide C.A Código Postal 1060 SISTEMA InfoSGA Manual de Actualización Mensajeros Radio Worldwide C.A Código Postal 1060 Elaborado por: Departamento de Informática Febrero 2012 SISTEMA InfoSGA _ Manual de Actualización 16/02/2012 ÍNDICE

Más detalles

CAPITULO 3: SISTEMAS ADICIONALES PARA EL CENTRO DE LLAMADAS DE EMERGENCIA

CAPITULO 3: SISTEMAS ADICIONALES PARA EL CENTRO DE LLAMADAS DE EMERGENCIA CAPITULO 3: SISTEMAS ADICIONALES PARA EL CENTRO DE LLAMADAS DE EMERGENCIA 3.1 INTRODUCCIÓN En un centro de llamadas de emergencia de nueve llamadas que se reciben solo una es real y las ocho restantes

Más detalles

Instructivo Asesoría Básica Comunidad Virtual SharePoint 2010

Instructivo Asesoría Básica Comunidad Virtual SharePoint 2010 Instructivo Asesoría Básica Comunidad Virtual SharePoint 2010 CONTENIDO 1. Qué es? 2. Cómo crear y acceder a la Comunidad Virtual en Microsoft SharePoint 2010? Ejemplo. 3. Qué tengo en la página de inicio

Más detalles

Guía de usuario del Administrador CPA BT icomms

Guía de usuario del Administrador CPA BT icomms Guía de usuario del Administrador CPA BT icomms Enero 2015 Contenido Bienvenido... 3 Usuarios... 3 Convenciones de texto... 3 Siglas... 4 Publicaciones relacionadas... 4 Cómo obtener ayuda... 4 Capítulo

Más detalles

Capítulo 6: Conclusiones

Capítulo 6: Conclusiones Capítulo 6: Conclusiones 6.1 Conclusiones generales Sobre el presente trabajo se obtuvieron varias conclusiones sobre la administración del ancho de banda en una red inalámbrica, basadas en la investigación

Más detalles

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

1. Solicitando una cuenta de correo a nuestro proveedor de Internet. 2. Adquiriendo una cuenta de correo a través de la web (webmail).

1. Solicitando una cuenta de correo a nuestro proveedor de Internet. 2. Adquiriendo una cuenta de correo a través de la web (webmail). CORREO ELECTRÓNICO NIVEL BÁSICO DE CORREO ELECTRÓNICO INICIACIÓN A CORREO ELECTRÓNICO OBTENER UNA CUENTA DE CORREO ELECTRÓNICO GRATUITA Al correo electrónico también se lo conoce como e-mail, abreviatura

Más detalles

Funcionamiento del Correo Electrónico

Funcionamiento del Correo Electrónico file:///d /Mis%20Webs/miWeb2/PUBLIC/Temas%20de%20clase/primero/Entrega1/Como%20funciona%20el%20correo%20electronico/index.htm Funcionamiento del Correo Electrónico En esta página encontrarás la información

Más detalles

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 Este documento proporciona información sobre la función de soporte remoto seguro de

Más detalles

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información

Más detalles

Existe una solicitud disponible a tal efecto en la url: http://cms.ual.es/ual/universidad/serviciosgenerales/stic/servicios/servicio/servicio1 4774

Existe una solicitud disponible a tal efecto en la url: http://cms.ual.es/ual/universidad/serviciosgenerales/stic/servicios/servicio/servicio1 4774 1. Conceptos Generales. Un cortafuegos o firewall lo que hace es filtrar el tráfico de red entrante (desde un PC de fuera al nuestro) o saliente (desde nuestro PC hacia fuera). Este tráfico se puede filtrar

Más detalles

PROCEDIMIENTO DE ENLACE TCPIP

PROCEDIMIENTO DE ENLACE TCPIP DISPOSITIVOS TCP/IP. Los dispositivos TCP/IP son equipos autónomos que funcionan de forma independiente a la PC y que tiene incorporado el procesamiento de identificación por medio de la huella digital,

Más detalles

REDES AD HOC INFORME DE REDES DE COMPUTADORES I. Felipe Muñoz 201321074-0 Jonathan Porta 201321054-6 Matías Contreras 201321034-1

REDES AD HOC INFORME DE REDES DE COMPUTADORES I. Felipe Muñoz 201321074-0 Jonathan Porta 201321054-6 Matías Contreras 201321034-1 REDES AD HOC INFORME DE REDES DE COMPUTADORES I Nombre ROL Felipe Muñoz 201321074-0 Jonathan Porta 201321054-6 Matías Contreras 201321034-1 Profesor: Agustín González Fecha: 28 de Julio del 2014 Nota:

Más detalles

Módulos: Módulo 1. El núcleo de Linux - 5 Horas

Módulos: Módulo 1. El núcleo de Linux - 5 Horas Módulos: Módulo 1 El núcleo de Linux - 5 Horas En este módulo se centrará en el estudio en profundidad del núcleo de Linux. Los estudiantes tendrán que ser capaces de conocer en profundidad los distintos

Más detalles

Guía rápida. Nero BackItUp. Ahead Software AG

Guía rápida. Nero BackItUp. Ahead Software AG Guía rápida Nero BackItUp Ahead Software AG Información sobre derechos de autor y marcas comerciales El manual del usuario de Nero BackItUp y todo su contenido son propiedad de Ahead Software y están protegidos

Más detalles

CONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su

Más detalles

CONCEPTOS BASICOS DE REDES

CONCEPTOS BASICOS DE REDES BENEMERITA Y CENTENARIA ESCUELA NORMAL DEL ESTADO CONCEPTOS BASICOS DE REDES LAS TICS EN LA EDUCACION PREESCOLAR 1 B 2013 L U I S A M A R I A R I N C O N C A S T R O Conceptos Básicos de Redes Red de Computadoras

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio

Más detalles

Cada computadora conectada a la red suele recibir el nombre de estación de trabajo o nodo de la red.

Cada computadora conectada a la red suele recibir el nombre de estación de trabajo o nodo de la red. Trimestre III Qué es una red? Una red de computadoras es la conexión de dos o más equipos de computadoras a través de algún medio físico de transmisión, con el objetivo de que sus usuarios puedan compartir

Más detalles

Manual de OpenOffice Impress

Manual de OpenOffice Impress Manual de OpenOffice Impress. Capítulo 4. Trabajando con gráficos, esquemas y plantillas 1 Manual de OpenOffice Impress Capítulo 4: Trabajando con gráficos, esquemas y plantillas Este material es una adaptación

Más detalles

TUTORIAL PARA CREAR UN SERVIDOR FTP

TUTORIAL PARA CREAR UN SERVIDOR FTP TUTORIAL PARA CREAR UN SERVIDOR FTP A continuación ustedes podrán observar y luego implementar el informe que elaboré a fin de que TODOS puedan aprender a montar y mantener su propio Servidor FTP. Comenzaremos

Más detalles

Los elementos que usualmente componen la identidad digital son:

Los elementos que usualmente componen la identidad digital son: Enero 2016 Programa Civismo Digital - Escolar Material Educativo Lección: TU IDENTIDAD EN INTERNET v. 1.0 Topico: Alfabetización Digital, Huella Digital Objetivo: Fomentar en los alumnos la importancia

Más detalles

INFORME TECNICO SOBRE DEPARTAMENTO DE INFORMATICA REALIZADO A LA EMPRESA ACIPROSALUD.

INFORME TECNICO SOBRE DEPARTAMENTO DE INFORMATICA REALIZADO A LA EMPRESA ACIPROSALUD. INFORME TECNICO SOBRE DEPARTAMENTO DE INFORMATICA REALIZADO A LA EMPRESA ACIPROSALUD. Realizado: Lic. Darwin Meneses PERSONAL Apellidos C.I. Nivel Tiempo Cargo Jean Carlos T.S.U. Informatica 2 Años Analista

Más detalles

Manual de usuario. Curso Móvil 1.0

Manual de usuario. Curso Móvil 1.0 Manual de usuario Curso Móvil 1.0 Manual de usuario Curso Móvil 1.0 Es la primera aplicación para dispositivos móviles del TEC Digital. Está dirigido a los estudiantes usuarios de la plataforma con dispositivos

Más detalles

MANUAL DE AYUDA INSTALACIÓN VERSIÓN DEMO

MANUAL DE AYUDA INSTALACIÓN VERSIÓN DEMO MANUAL DE AYUDA INSTALACIÓN VERSIÓN DEMO Fecha última revisión: Marzo 2016 INDICE DE CONTENIDOS MANUAL DE INSTALACIÓN DEMO GOTELGEST.NET... 3 1. INSTALACIÓN DEMO GOTELGEST.NET... 3 2. DESINSTALACIÓN DE

Más detalles

Facultad de Ciencias del Hombre y la Naturaleza SISTEMAS OPERATIVOS DE REDES CICLO II 2014. Materia: Sistemas Operativos de Redes Tema:

Facultad de Ciencias del Hombre y la Naturaleza SISTEMAS OPERATIVOS DE REDES CICLO II 2014. Materia: Sistemas Operativos de Redes Tema: Facultad de Ciencias del Hombre y la Naturaleza SISTEMAS OPERATIVOS DE REDES CICLO II 2014 Materia: Sistemas Operativos de Redes Tema: Sistema de archivo en red Docente: Ing. Manuel de Jesús Flores Villatoro

Más detalles

Figura No. IV-111. Página No. 125

Figura No. IV-111. Página No. 125 7. opción del menú principal: ventana 7.3. Nombre de la opción: Cascada. Objetivo del módulo: Ordenar las ventanas abiertas por el usuario en forma de cascada. Descripción Funcional: a) Acceso Para utilizar

Más detalles

Para poder acceder al sistema sólo deberá ingresar la siguiente liga desde el navegador de su preferencia: http://funcionpublica.ceneval.edu.

Para poder acceder al sistema sólo deberá ingresar la siguiente liga desde el navegador de su preferencia: http://funcionpublica.ceneval.edu. MANUAL DEL USUARIO DE SAC... 1 REQUERIMIENTOS MÍNIMOS... 1 ACCESO AL SISTEMA... 1 FUNCIONALIDAD DEL SISTEMA... 1 ENTRADA AL SISTEMA... 2 NAVEGACIÓN... 3 BARRA DE HERRAMIENTAS... 4 0-1 Manual del usuario

Más detalles

Informática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2)

Informática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2) 1. Qué es un sistema operativo?...2 2. Funciones de los sistemas operativos...2 3. Windows...2 3.1. La interfaz gráfica...2 3.2. La administración y los usuarios...3 3.3. El sistema de archivos...3 3.4.

Más detalles

Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no

Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no guiados o una combinación de ambos. El medio de transmisión

Más detalles

I NTRODUCCIÓN 1. ORDENADOR E INFORMÁTICA

I NTRODUCCIÓN 1. ORDENADOR E INFORMÁTICA I. INTRODUCCIÓN 1. ORDENADOR E INFORMÁTICA 1.1. Informática Informática (Información Automática) es la ciencia y la técnica del tratamiento automatizado de la información mediante el uso de ordenadores.

Más detalles

Instalación y Configuración del IIS para la facturación WEB en Aspel-SAE 6.0

Instalación y Configuración del IIS para la facturación WEB en Aspel-SAE 6.0 Instalación y Configuración del IIS para la facturación WEB en Aspel-SAE 6.0 Para utilizar la modalidad de facturación WEB es necesario realizar los siguientes procedimientos: 1. Instalar IIS de acuerdo

Más detalles