UNIVERSIDAD SIMÓN BOLÍVAR Decanato de Estudios de Postgrado Especialización Técnica en Telecomunicaciones

UNIVERSIDAD SIMÓN BOLÍVAR Decanato de Estudios de Postgrado Especialización Técnica en Telecomunicaciones TRABAJO ESPECIAL DE GRADO PROPUESTA DE DISEÑO DE SEGURIDAD BASADO EN LA DETECCIÓN DE INTRUSOS PARA LA RED LAN DE TELEVEN Trabajo Técnico Presentado a la Universidad Simón Bolívar Por Angel Jassin Romero Pérez Como requisito parcial para optar al título de Especialista Técnico en Telecomunicaciones Realizado con la Tutoría de la Profesora Vidalina de Freitas Septiembre, 2006

i DEDICATORIA Dedico este trabajo de grado a mi Dios todo poderoso, que me ha permitido a llegar a este lugar tan importante para mi, sin su ayuda no hubiese podido culminar. A mi hija Michelle, que me ha hecho ver el mundo de una forma más humana y tierna. A mi amada Esposa, que cree en mí, como yo creo en ella. A mi Mamá que siempre esta allí, soportando las buenas y las malas, con dolores y con alegrías. A mi Papá que con sus chistes malos hace de la vida un viaje de alegría. A mi querida Tía Flor es uno de los seres más especiales que conozco. A mi amado Abuelo que con Díos en su gloria, me guia y me proteje; Abuelo eres mi guía y mi norte. A mi querido amigo Angel Ramón García que reposa en el mundo de los espíritus, nunca te he olvidado mi hermano del alma. A los amigos que son esa pieza tan importante en la vida de cualquier ser humano.

ii AGRADECIMIENTOS Cuando me senté por primera vez, a la realizar este trabajo me di cuenta que me hacia falta mucho, tanto que hasta dude que podía hacerlo. Pero es ese trabajo silencioso de muchas personas que hicieron posible que culminara este proyecto de grado. Por ello agradezco esa ayuda eficaz y alentadora de Vidalina de Freitas coordinadora y tutora de este proyecto, al Ing Ricardo Sardinas, a los compañeros de trabajo Jesús Vela y Romi Padrón, a Carlos Palacios por sus buenas ideas y ayuda técnica, a Sara Otero y Hermes Rodrigues gracias por su ayuda y apoyo adelante mucho en mi trabajo.

iii RESUMEN Hablar de seguridad de información en redes, es un tema sumamente extenso. Llevaría horas y hasta días hablar de tan solo un punto. A medida que se desarrollan nuevas herramientas de seguridad; están siendo creadas nuevas estrategias de ataques. Es un ciclo que parece no tener fin. Pero es la organización, la aplicación de políticas acertadas y el esfuerzo colectivo de los usuarios y administradores de redes lo que permitirá minimizar este problema. Según un informe de Espiñeira, Sheldon y asociados, el 70 % de los ataques informáticos y robo de información provienen de los mismos usuarios de las redes internas. Actualmente se conocen varios intententos de ataques e intrusiones que han ocurrido en la red de Televen. La exploración de vulnerabilidades, fallos en el sistema o puntos de riesgo generados por el usuario pueden crear una invitación a un ataque, siendo éste el punto de partida para la realización de este trabajo. El presente trabajo propone la aplicación de un sistema de identificación de intrusos dentro de la red de datos de la Corporación Televen. Definidos los puntos críticos en la red se realizará la comparación, selección y aplicación de un sistema de detección de intrusos que refuerce la confiabilidad, la integridad y la disponibilidad que son los bastiones principales de la seguridad, que se ha dejado de lado por otras preocupaciones externas e internas. Lo que realmente se busca es un mejor control en toda la red, tanto de los usuarios, como de los recursos que en ésta se encuentran. Por ello se busca la observación de comportamientos anómalos de usuarios en la red, virus, caballos de Troya, entre otros, mediante los IDS para establecer políticas o herramientas que minimicen las vulnerabilidades encontradas. Palabras Claves: IDS, Snort, Seguridad de Datos, Ataques y Políticas de Seguridad.

iv ÍNDICE GENERAL ÍNDICE GENERAL... iv INDICE DE FIGURAS... xii INDICE DE TABLAS... xiii INDICE DE GRÁFICOS... xiv Pag. CAPÍTULO I INTRODUCCIÓN... 1 1.2 Planteamiento del Problema... 3 1.3 Justificación del Problema... 4 1.4 Objetivos del Trabajo... 4 1.4.1 Objetivo General... 5 1.4.2 Objetivo Especifico.... 5 1.5 Limitaciones... 5 1.6 Metodología de Empleada... 6 1.6.1 Levantamiento de la Información del Estado Actual de la Red... 6 1.6.2 Propuesta de Diseño... 6 1.6.3 Implementación... 6 1.6.4 Pruebas y Evaluación... 7 1.7 Estructura del Trabajo... 7 CAPÍTULO II SEGURIDAD EN REDES... 8 2.1 Topologías de Red... 8 2.1.1 Topología Bus... 9 2.1.2 Topología de Anillo... 10 2.1.3 Topología de Anillo Doble... 11 2.1.4 Topología en Estrella... 12 2.1.5 Topología en Estrella Extendida... 13 2.1.6 Topología en Árbol... 13 2.1.7 Topología en Malla Completa... 14 2.1.8 Topología de Red Celular... 15 2.2 Definición de Seguridad Informática... 16 2.2.1 Definición de Seguridad... 16 2.2.2 Definición de Informática... 17 2.3 Requerimientos de Seguridad en Redes... 17 2.3.1 Integridad... 17 2.3.3 Autorización... 17 2.3.4 Confidencialidad... 17 2.3.5 No Repudio... 18

2.3.6 Disponibilidad... 18 2.4 TCP (Transmission Control Protocol)... 18 2.4.1 Funciones de TCP... 18 2.4.2 Formato de los Segmentos TCP... 19 2.4.3 Funcionamiento del protocolo en detalle... 20 2.4.3.1 Establecimiento de la conexión (negociación en tres pasos)... 20 2.4.3.2 Transferencia de datos... 21 2.4.3.3 Fin de la conexión... 23 2.5 Métodos, Clasificación y Tipos de Ataques... 23 2.5.1 Los Métodos... 23 2.5.1.1 Interrupción... 24 2.5.1.2 Intercepción... 24 2.5.1.3 Modificación... 25 2.5.1.4 Fabricación... 26 2.5.2 Clasificación general de los Ataques... 26 2.5.2.1 Ataques Pasivos... 26 2.5.2.2 Ataques Activos... 27 2.5.2.2.1 Suplantación de Identidad... 27 2.5.2.2.2 Reactuación... 27 2.5.2.2.3 Modificación de Mensajes... 28 2.5.2.2.4 Denegación de Servicio... 28 2.6 Tipos de Atacantes... 28 2.6.1 Hacker... 29 2.6.2 Cracker... 29 2.6.3 Script kiddie... 30 2.6.4 Lamer... 30 2.6.5 Newbies... 30 2.7 Tipos de Ataques... 31 2.7.1 Ping of Death... 31 2.7.2 Land... 32 2.7.3 Spoofing... 33 2.7.3.1 DNS Spoofing... 34 2.7.3.2 ARP Spoofing... 34 2.7.3.3 Web Spoofing... 35 2.7.4 ICMP Echo (Ping Sweep)... 35 2.7.5 Spamming... 35 2.7.6 Net Flood... 36 2.7.7 Connection Flood... 36 2.7.8 TCP Syn Flood... 36 2.7.9 SMTP Flood... 37 2.7.10 Sniffers... 38 2.7.10.1 Snifing... 38 2.7.11 Snooping... 40 2.7.12 DoS: Denial of Service... 40 2.7.13 Supernuke o Winnuke... 41 2.7.14 OOB NUKE... 41 2.7.15 Trojan Horse (Caballo de Troya o Troyano )... 41 2.7.15.1 Características... 42 2.7.15.2 Tipos de Troyanos... 42 2.7.15.2.1 Troyanos del Tipo cliente/servidor... 42 2.7.15.2.2 Troyano del Tipo Pasivo... 42 v

2.7.16 Teardrop... 43 2.8 Elementos de Seguridad... 43 2.8.1 Firewall... 43 2.8.1.1 Clasificación... 44 2.8.1.1.1 Clasificación por Tecnología... 45 2.8.1.1.1.1 Filtros de Paquetes... 45 2.8.1.1.1.2 Filtros de Proxy... 46 2.8.1.1.1.3 Paquetes con Estados... 47 2.8.1.1.1.4 Híbridos... 48 2.8.1.1.2 Clasificación de los Firewalls por su Ubicación... 48 2.8.1.1.2.1 Cortafuegos Personales... 48 2.8.1.1.2.2 Cortafuegos para Pequeñas Oficinas (SOHO)... 48 2.8.1.1.2.3 Equipos Hardware (Appliances)... 49 2.8.1.1.2.4 Firewalls Corporativos... 49 2.8.1.2 Filtrado de Paquetes... 49 2.8.1.2.1 Ipfwadm... 50 2.8.1.2.2 Ipchains... 50 2.8.1.2.3 Netfilter... 50 2.8.1.2.4 IPTABLES... 51 2.8.2 IDS... 51 2.8.2.1 Intrusión... 52 2.8.2.2 Clasificación de los IDS... 52 2.8.2.2.1 Clasificación según los Modelos de Detección... 52 2.8.2.2.1.1 Detección de Anomalías (Anomaly Detection)... 53 2.8.2.2.1.2 Detección de Usos Indebidos (Misuse Detection)... 53 2.8.2.2.2 Clasificación Según el Origen... 53 2.8.2.2.2.1 HIDS (Host Intrusion Detection System)... 53 2.8.2.2.2.2 NIDS (Network Intrusion Detection System)... 54 2.8.2.2.2.3 DIDS (Distributed Intrusion Detection System)... 55 2.8.2.3 Arquitectura de Operación... 55 2.8.2.3.1 Conexión en Serie... 56 2.8.2.3.2 Conexión en Paralelo... 56 2.8.2.4 Elementos Básicos de un Sistema IDS... 57 2.8.2.4.1 Sensores... 57 2.8.2.4.1.1 Push... 58 2.8.2.4.1.2 Pull... 58 2.8.2.4.2 Cónsola (Console)... 58 2.8.2.5 Ubicación... 58 2.8.2.5.1 NIDS delante del Firewall... 59 2.8.2.5.2 NIDS Detrás del Firewall... 59 2.8.2.5.3 NIDS Detrás y Delante del Firewall... 60 2.8.2.5.4 IDS en el Firewall... 60 2.8.2.5.5 IDS para Conexiones Avanzadas... 61 2.8.2.6 Sistemas Identificación de Intrusos... 62 2.8.2.6.1 Snort... 63 2.8.2.6.2 IDSCenter... 63 2.8.2.6.3 ManHunt Smart Agent... 64 2.8.2.6.4 EagleX... 64 2.8.2.6.5 Prelude... 65 2.8.2.6.6 BlackIce... 65 2.8.2.6.7 Cisco Intrusion Detection System... 66 vi

2.8.2.6.8 NFR... 66 2.8.2.6.9 GFI LAN Guard Security Event Log Monitor... 67 2.8.2.6.10 etrust Intrusion Detection... 67 2.8.2.6.11 Dragón... 68 2.8.2.6.12 Tripwire... 68 2.8.2.6.13 GFI LANGuard System Integrity Monitor... 68 2.8.2.6.14 InstallWatch Pro... 69 2.8.3 Honeypot... 69 2.8.3.1 Definiciones... 69 2.8.3.2 Clasificación... 71 2.8.3.2.1 Honeypots para la Investigación... 71 2.8.3.2.2 Honeypots para la Producción... 71 2.8.3.3 Ventajas de los Honeypots... 71 2.8.3.4 Desventajas de los Honeypot... 72 2.8.4 Herramientas de Seguridad... 73 2.8.4.1 TCPLOGD... 74 2.8.4.2 HostSentry (proyecto Abacus)... 74 2.8.4.3 Deceptión Toolkit: dtk... 74 2.8.4.4 Ethereal... 74 2.8.4.5 Whisker/Libwhisker... 75 2.8.4.6 Sam Spade... 75 2.8.4.7 Etherscan... 75 2.8.4.8 Chkwtmp... 76 2.8.4.9 Tripwire... 76 2.8.4.10 Shadow... 76 2.8.5 Algoritmos de Encriptación... 77 2.8.5.1 Criptografía Simétrica... 77 2.8.5.1.1 Algoritmos de Clave Privada ó Simétricos... 77 2.8.5.1.1.1 DEA ( Data Encryption Algorithm )... 78 2.8.5.1.1.2 Blowfish (llave de 448 bits)... 79 2.8.5.1.1.3 Rijndael (llave de 256 bits)... 79 2.8.5.1.1.4 Triple DES (llave de 168 bits)... 79 2.8.5.1.1.5 Gost. (llave de 256 bits)... 80 2.8.5.1.1.6 RC4... 80 2.8.5.1.1.7 RC5... 80 2.8.5.1.1.8 SAFER... 81 2.8.5.2 Criptografía Asimétrica... 81 2.8.5.2.1 Algoritmos de Clave Pública o Asimétricos... 81 2.8.5.2.1.1 RSA... 82 2.8.5.2.1.2 Diffie-Hellman... 83 2.8.5.2.1.3 El Gamal... 85 2.8.5.2.1.4 DSA (Digital Signature Algorithm)... 85 2.8.6 Ataques más Importantes sobre Algoritmos Criptográficos... 86 2.8.6.1 Criptoanálisis Diferencial... 87 2.8.6.2 Criptoanálisis Lineal... 87 2.8.6.3 Explotación de Claves Débiles... 87 2.8.6.4 Ataques Algebraicos... 87 2.8.6.5 Algoritmos de Cifrado Simétrico de Flujo de Datos... 88 2.8.6.6 Complejidad Lineal... 88 2.8.6.7 Ataques de Correlación... 88 2.8.6.8 Ataque del Cumpleaños... 88 vii

viii 2.8.6.9 Ataque de diccionario... 89 2.8.7 Exploración de Vulnerabilidades... 89 2.8.7.1 SATAN... 90 2.8.7.2 Nessus... 90 2.8.7.3 Nmap... 90 2.8.7.4 SAINT... 91 2.8.7.5 ISS. Real Secure Network Protection... 91 2.8.7.6 Real Secure Server Protection.... 91 2.8.8 Software Antivirus... 92 2.8.9 Controles de Acceso... 92 2.8.10 VLAN... 93 2.8.10.1 Tipos de VLANs... 94 2.8.10.1.1 VLAN por Puerto... 94 2.8.10.1.2 VLAN por MAC... 94 2.8.10.1.3 VLAN por Protocolo... 94 2.8.10.1.4 VLAN por Subredes de IP o IPX... 95 2.8.10.1.5 VLAN por Direcciones IP multicast... 95 2.8.10.1.6 VLAN Definidas por el Usuario... 95 2.8.10.1.7 VLAN Binding... 95 2.8.10.1.8 VLAN por DHCP... 95 2.8.11 Biometría... 96 CAPÍTULO III TELEVEN... 99 3.1 Visión... 102 3.2 Misión... 102 3.3. Valores... 102 3.3.1. Lealtad... 102 3.3.2. Calidad... 102 3.3.3. Respeto... 103 3.3.4. Reto por Innovar... 103 3.3.5. Productividad... 103 3.4. Principios... 103 3.5. Departamento de Sistemas... 106 3.5.1. Objetivo General... 106 3.5.2. Sub-objetivos... 106 CAPÍTULO IV DESARROLLO DEL PROYECTO... 108 4.1 Levantamiento de la Información de la Red de TELEVEN... 108 4.1.1. Situación Actual... 108 4.1.2. Estaciones de Trabajo... 109 4.1.3. Versiones de software... 110 4.1.4. Cuartos de HUB... 110 4.1.4.1. Piso 1... 111 4.1.4.2. Piso 2... 112 4.1.4.3. Piso 3... 113 4.1.4.4. Piso 4... 115 4.1.5. Estructura del Cableado... 116

ix 4.1.6. Identificación... 116 4.1.7. Certificación... 117 4.1.8. Planos... 117 4.1.9. Sala de Servidores... 117 4.1.10. Especificaciones de los Servidores... 118 4.1.11. Diseño Lógico de la Red... 128 4.1.12. Distribución de las Direcciones IP... 129 4.1.13. Arquitectura Actual... 129 4.2. Pruebas de Vulnerabilidades... 130 4.3. Pruebas de Realizadas... 131 4.4. Activando SPAN en Puerto del Switch... 133 4.5. LINUX DEBIAN... 134 4.5.1. Instalación de SNORT... 135 4.5.1.1. Instalación de MySQL-Server... 135 4.5.1.2. Instalación de PhpMyAdmin con SYNAPTIC... 136 4.5.1.3. Instalación de Snort-MySQL... 138 4.5.1.4. Archivo de Configuración de Snort: Snort.conf... 139 4.5.1.5. Instalación de Acidlab... 140 4.5.1.6. Configuración grafica de Acidlab... 141 4.5.1.7. Archivo de configuración de Acidlab: acid_conf.php... 143 4.6. Pruebas al Sistema IDS SNORT... 144 4.7. Resultados Obtenidos... 146 CAPÍTULO V PROPUESTA DE NUEVA ARQUITECTURA... 148 5.1 Arquitectura Actual... 148 5.2 Propuesta de Diseño para la Red de Televen... 148 CAPÍTULO VI PROPUESTA DE UNA POLÍTICA PARA TELEVEN... 152 6.1 Historia ISO 17799... 152 6.2 Evaluación de los Riesgos de Seguridad... 156 6.2.1 Selección de Controles... 157 6.3 Política de Seguridad... 157 6.3.1 Documentación de la Política de Seguridad de la Información... 157 6.4 Organización de la Seguridad... 158 6.4.1 Infraestructura de Seguridad de la Información... 158 6.4.2 Foro Gerencial sobre Seguridad de la Información... 159 6.4.3 Asignación de Responsabilidades en Materia de Seguridad de la Información... 159 6.5 Clasificación y Control de Activos... 159 6.5.1 Responsabilidad por Rendición de Cuentas de los Activos... 159 6.5.2 Clasificación de la información... 159 6.5.3 Pautas de Clasificación... 160 6.6 Seguridad Personal... 161 6.6.1 Capacitación del Usuario... 161 6.6.2 Formación y Capacitación en Materia de Seguridad de la Información... 161 6.6.3 Respuesta a Incidentes y Anomalías en Materia de Seguridad... 161 6.6.4 Comunicación de Debilidades en Materia de Seguridad... 162 6.6.5 Comunicación de Anomalías del Software... 162

6.6.6 Proceso Disciplinario... 162 6.7 Seguridad Física... 162 6.7.1 Áreas seguras... 162 6.7.2 Perímetro de Seguridad Física... 162 6.7.3 Controles de Acceso Físico... 163 6.7.4 Protección de Oficinas, Recintos e Instalaciones... 164 6.7.5 Seguridad del Equipo... 164 6.7.6 Ubicación y Protección del Equipo... 164 6.7.7 Seguridad del Cableado... 164 6.7.8 Mantenimiento de Equipos... 165 6.7.9 Desincorporación o Reutilización de Equipo... 165 6.7.10 Controles Generales... 165 6.7.11 Políticas de Escritorios y Pantallas Limpias... 165 6.8 Administración de Operaciones y Comunicaciones... 166 6.8.1 Control de Cambios en las Operaciones... 166 6.8.2 Procedimientos de Manejo de Incidentes... 167 6.8.3 Planificación y Aprobación de Sistemas... 169 6.8.4 Planificación de la capacidad... 169 6.8.5 Protección Contra Software Malicioso... 169 6.8.6 Controles Contra Software Malicioso... 169 6.8.7 Mantenimiento... 171 6.8.8 Registro de Actividades del Personal Operativo... 171 6.8.9 Registro de Fallas... 171 6.8.10 Administración de Medios Informáticos Removibles... 172 6.8.11 Eliminación de Medios Informáticos... 172 6.8.12 Seguridad del Correo Electrónico... 172 6.8.13 Política de Correo Electrónico... 173 6.9 Control de Accesos... 173 6.9.1 Requerimientos de Negocio para el Control de Accesos... 173 6.9.2 Administración de Accesos de Usuarios... 173 6.9.3 Registro de Usuarios... 174 6.9.4 Administración de Privilegios... 175 6.9.5 Administración de Contraseñas de Usuario... 175 6.9.6 Revisión de Derechos de Acceso de Usuario... 176 6.9.7 Responsabilidades del Usuario... 176 6.9.8 Uso de Contraseñas... 176 6.9.9 Equipos Desatendidos en Áreas de Usuarios... 178 6.9.10 Seguridad de los Servicios de Red... 178 6.9.11 Control de Acceso al Sistema Operativo... 178 6.9.12 Identificación y Autenticación de los Usuarios... 179 6.9.13 Sistema de Administración de Contraseñas... 179 6.9.14 Desconexión de Terminales por Tiempo Muerto... 180 6.9.15 Limitación del Horario de Conexión... 180 6.9.16 Monitoreo del Acceso y Uso de los Sistemas... 180 6.9.17 Registro de Eventos... 180 6.9.18 Procedimientos y Áreas de Riesgo... 181 6.9.19 Registro y Revisión de Eventos... 182 6.10 Desarrollo y Mantenimiento de Sistemas... 182 6.10.1 Política de Utilización de Controles Criptográficos... 183 6.10.2 Cifrado... 183 6.10.3 Seguridad de los Archivos del Sistema... 184 x

xi 6.10.4 Revisión Técnica de los Cambios en el Sistema Operativo... 184 6.10.5 Restricción del Cambio en los Paquetes de Software... 184 CAPÍTULO VII CONCLUSIONES Y RECOMENDACIONES... 186 7.1 Conclusiones... 186 7.2 Recomendaciones... 188 7.2.1 Primera Etapa... 188 7.2.2 Segunda Etapa... 188 7.2.2.1 Creación de VLANS... 188 7.2.2.2 Establecimientos de HIDS... 189 7.2.2.3 Migrar Versiones de Windows 9X a Windows 2000... 190 7.2.2.4 Establecimientos de Honey Pod... 190 7.2.2.5 Tercera Etapa... 190 BIBLIOGRAFÍA... 193 APÉNDICE... 196

xii INDICE DE FIGURAS Figura Pág Figura 2.1 Topología de Bus... 10 Figura 2.2 Topología de Anillo... 12 Figura 2.3 Topología de Estrella.... 13 Figura 2.4 Topología de Arbol... 14 Figura 2.5 Topología de Malla... 15 Figura 2.6 Topología de Red Celular.... 16 Figura 2.7 Formato de Segmento TCP... 19 Figura 2.8 Negociación en tres pasos o Three-way handshake... 20 Figura 2.9 Fin de una conxión TCP según el estándar... 23 Figura 2.10 Ataque de Interrupción.... 24 Figura 2.11 Ataque de Intercepción.... 25 Figura 2.12 Ataque de Modificación... 25 Figura 2.13 Ataque de Fabricación.... 26 Figura 2.14 Tipos de Atacantes... 29 Figura 2.15 Clasificación de Firewalls... 44 Figura 2.16 Ubicación de IDS Antes del Firewall... 59 Figura 2.17 Ubicación de IDS Después del Firewall... 60 Figura 2.18 Ubicación de IDS Antes y Después del Firewall... 60 Figura 2.19 IDS Ubicado en el Firewall... 61 Figura 2.20 Ubicación de IDS para ciertos Servicios... 62 Figura 4.1 Red Actual de Televen... 109 Figura 4.2 Servidores de Aplicaciones... 118 Figura 4.3 Conexión Actual de la Red de Televen... 130 Figura 4.5 Gestor de Paquetes Synaptic... 136 Figura 4.6 Phpmyadmin Página de Inicio.... 137 Figura 4.7 Opciones de Synaptic... 138 Figura 4.8 Configuración de la Estructura de la Base de Datos... 138 Figura 4.9 Cónsola de Análisis de Acid... 146 Figura 5.1 Propuesta de Arquitectura de Seguridad... 149 Figura 7.1 Propuesta de una VLAN para Televen.... 189 Figura 7.2 Araquitectura Actual... 191 Figura 7.3 Nuevo Esquema de Conexión de la Red... 192

xiii INDICE DE TABLAS Tabla Pág Tabla 2.1. Programas de Sniffing Incluidos en Algunos Sistemas Operativos.... 39 Tabla 2.2. Comparación de parámetros de Criptografía Simétrica y Asimétrica... 86 Tabla 2.3. Comparación de Métodos Biométricos.... 97 Tabla 4.1. Servidor tlvn-ndp... 119 Tabla 4.2. Servidor tlvn-itv... 120 Tabla 4.3. Servidor tlvn-intranet... 121 Tabla 4.4. Servidor tlvn-print... 122 Tabla 4.5. Servidor tlvn-prensa... 123 Tabla 4.6. Servidor tlvn-correo... 124 Tabla 4.7. Servidor Excalibur... 125 Tabla 4.8. Servidor louise... 126 Tabla 4.9. Servidor tlvn-acceso... 127 Tabla 4.10. Servidor tlvn-sus... 128 Tabla 4.11. Características de Equipo Snort... 135

xiv INDICE DE GRÁFICOS Gráfica Pág Gráfico 4.1 Sitemas operativos en Televen.. 110

CAPÍTULO I INTRODUCCIÓN El proceso de la seguridad de la información en las redes es uno de los puntos más importantes a los que tienen que enfrentarse muchos de los administradores de sistemas informáticos. Este representa un reto importante dado el valor estratégico que tiene la información para las organizaciones. El mercado actual está lleno de muchas soluciones de seguridad dada la gama de conexiones e implementaciones existentes; lo que pareciera indicar que existe una solución técnica para cada necesidad; sin embargo la tecnología por sí misma no es suficiente. En una encuesta realizada sobre seguridad en redes, la firma Espiñeira, Sheldon y Asociados (la seguridad de activos de información en las empresas en Venezuela" 2002-2003), indicó algunas cifras alarmantes sobre los ataques que sufren muchas empresas. En ella se indica que el 45% de los ataques son causados por empleados. Y aunque muchas empresas gastan buena cantidad de recursos en defensa contra ataques; estos siguen en aumento. Los expertos en seguridad han diseñando una serie de herramientas con el propósito de detener, detectar o contener los daños de estos ataques como cortafuegos (firewalls), antivirus, sistemas de biometría, sistemas de detección de intrusos (IDS), entre otros. La gran mayoría de los ataques provienen desde dentro de la empresa, es decir, internamente. Éstos muchas veces no son perceptibles por los administradores de la red como cuando un usuario busca datos en archivos a los que no tienen acceso. El daño causado por este tipo de ataque llamado intrusión puede traer consecuencias mayores a las que generaría el ataque de un Hacker desde el exterior. Es erróneo creer que una filosofía de seguridad tradicional, basada en passwords y protección de directorios o archivos, es suficiente para protegerse internamente, es relativamente fácil, y mucho más aún si se utilizan sistemas operativos antiguos que no han sido actualizados realizar un ataque exitoso. En la red es posible encontrar, sin mucho esfuerzo, listas de debilidades tanto de protocolos como de sistemas operativos, así como guías que señalan los pasos a seguir para explotar dichas debilidades.

2 Incluso existen servidores de FTP anónimo con todo tipo de herramientas orientadas a tomar el control de cualquier máquina. Por ello es necesario una herramienta de seguridad capaz de detectar este tipo de incidentes, y parte de esas tareas las realizan los Sistemas de Identificación de Intrusos. Los Sistemas de Detección de Intrusos han existido desde tiempos inmemoriales. Algunas formas de las más antiguas eran los vigilantes de las torres de los castillos o perros guardianes. El propósito de éstos eran y es disuadir al enemigo o atacante a que se alejara. Actualmente se puede encontrar ejemplos básicos de un IDS en una tienda, cuando se ve por ejemplo una cámara de vigilancia o cuando se enciende la alarma de un carro. Uno de los elementos que contribuyen a la seguridad de una red son los IDS pero tocando la tierra con los pies, éstos no son la herramienta mágica de seguridad, son parte de un esquema de seguridad que debe funcionar lo más óptimo posible. De forma general, estos realizan su tarea observando un sistema (puede ser una red, un sólo computador o una aplicación) para avisar de todas las irregularidades que observe. Si nos centramos en el caso de monitorear una red, el IDS observa el tráfico que entra y sale buscando dentro de cada paquete indicios de un posible ataque, y aquí es donde viene el problema: el IDS necesita ver el contenido de cada paquete igual que lo va a ver la aplicación a la que va destinado. Por qué supone que es un problema? Al igual que se fue extendiendo el uso de IDS para contribuir a la seguridad de una red, se optó también por el uso de protocolos cifrados para garantizar la confidencialidad de los datos intercambiados entre cliente y servidor. Estos protocolos fueron diseñados con la finalidad de que nadie pudiera descifrar el contenido de los paquetes, a excepción del receptor, y ésto es lo que necesitaría un IDS para poder realizar su trabajo. De esta forma se tiene un elemento de seguridad que se ve afectado negativamente por otro elemento de seguridad. Dentro de la gran gama de sistemas IDS que se pueden encontrar existe uno que ha llamado potentemente la atención de los administradores de redes el cual se conoce como SNORT. Este software está disponible bajo licencia GPL (General Public License o licencia pública general) y gratuito, lo que evita gastos adicionales para la aplicación del proyecto y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos

3 boletines de seguridad. Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Aunque Check Point, empresa especializada en soluciones de seguridad a nivel empresarial, ha anunciado la adquisición de Sourcefire Network Security, empresa que desarrolla Snort, ahora queda con un futuro ciertamente incierto, ya que Check Point se encuentra dentro del segmento empresarial de soluciones tecnológicas propietarias, por lo que es muy probable que este software deje de ser una solución opensource. 1.2 Planteamiento del Problema La idea para la realización de este trabajo se basa en el hecho de establecer un monitoreo mucho más profundo y un análisis de las actividades ocurridas en la red para obtener un control mucho más definido sobre recursos ofrecidos en ésta. Desde que la Corporación Televen, comenzó sus labores en la nueva sede, todo lo concerniente a su organización se ha tratado de poner en su punto más óptimo, y debido a la falta de los recursos principalmente de personal y seguidamente del tiempo, la implementación de un sistema de identificación de intrusos no había podido ser realizada. Este proyecto bien permitirá ser ayuda a los administradores a tomar las decisiones en lo referente a la seguridad permitiendo detectar las posibles vulnerabilidades y detectando los posibles usuarios que incurran en hechos de ataques o intrusión dentro de la red de Televen. El problema principal que lleva a realizar este trabajo se basa en la vulnerabilidad de la seguridad de los datos informáticos dentro de la Corporación Televen. Se ha establecido muy bien la limitación de los privilegios de los usuarios, el cual no representa la solución definitiva al problema. Esto sugiere la implementación de un esquema que complemente eficazmente las fallas de seguridad contra amenazas tales como: uso indebido, denegación de servicio u otros ataques para los que no está diseñado el sistema actual. Por lo que este trabajo permitirá reforzar mucho más los puntos críticos de la red y hacer más seguro los datos. Se requiere que en Televen se implanten medidas de seguridad que avisen y archiven las 24 horas y los 365 días del año el funcionamiento y uso de la red, por parte de los usuarios. Hasta el momento se desconoce si han ocurrido robo de información, intrusiones, ataques de negación de servicio (DoS) por la falta de software o un esquema de seguridad que cubra

4 esta necesidad para la seguridad. Si se sabe que casi la mayoría de los ataques se realizan internamente. 1.3 Justificación del Problema El presente trabajo se encuentra enfocado hacia la seguridad de los datos y la información, punto muy importante para la red, hacia un sistema cada vez más seguro. La idea de este trabajo es complementar los niveles de seguridad y privacidad de la Intranet de Televen. Detectando, analizando e implementado medidas de seguridad hacia los ataques que pudieran ocurrir dentro de la red. Este servicio de detección de intrusos (IDS) desplazado en cierta forma, debido a tiempo del personal, recursos disponibles y a otras actividades que por su importancia han retrasado su implementación, permitirá evitar que se comprometa la integridad, confiabilidad o disponibilidad de un recurso. La implementación de un servicio de identificación de intrusos dentro de la red de Televen solventará en gran medida parte de un vacío de seguridad interna, y ayudará a conocer un poco más sobre las debilidades de la red. Con el desarrollo de este proyecto se espera que se solucione algunos problemas presentados en la red de Televen, y despejar las dudas sobre si han ocurrido intrusiones o robo de información desde la red. En ese mismo orden de idea y considerando la complejidad de la red, ya que posee con muchos usuarios con distintas necesidades y privilegios, con acceso a los recursos de la red de alguna u otra forma, se busca reforzar el acceso a los recursos. Se sabe que la mayoría de los ataques vienen dados desde dentro de la empresa, es por ello que el objetivo fundamental de este trabajo se basa en la propuesta de una implementación de seguridad basada en IDS para la Red de Televen, el cual ayudará también a conocer mucho más de las vulnerabilidades y se espera preparar a los administradores a conocer los puntos críticos y a tomar medidas que permitan evitar ataques o pérdidas de información. 1.4 Objetivos del Trabajo La realización de este trabajo se ha desglosado en un objetivo general y varios objetivos específicos.

5 1.4.1 Objetivo General Evaluar las vulnerabilidades de la red LAN de TELEVEN, para diseñar un sistema de seguridad basado en un sistema identificador de intrusos (IDS) de posibles intrusiones o ataques internos. 1.4.2 Objetivo Especifico. 1.4.1.1 Evaluación de la topología física y lógica, y sus métodos de conectividad. 1.4.1.2 Comprobar los sistemas de seguridad física y lógica existentes para datos y equipos. 1.4.1.3 Implementación de pruebas en la red, para detectar puntos vulnerables en equipos conectados a ésta. 1.4.1.4 Seleccionar y analizar programas detectores de intrusos para su implementación en la red Lan de Televen. 1.4.1.5 Establecer la metodología de trabajo con los resultados que se obtengan diariamente de los identificadores de intrusos (IDS). 1.4.1.6 Propuesta de medidas de seguridad viables acordes a los resultados obtenidos. 1.5 Limitaciones Una de las limitantes más importantes que se presentó para la realización de este proyecto fue sin duda el tiempo; sin quitarle su espacio al presupuesto. El personal dedicado a las labores de mantenimiento o administración de la red es muy poco; lo que implica que éstos se encuentra la mayoría del tiempo realizando labores de atención a usuarios, lo que deja muy poco tiempo de implementación y estudio del proyecto. Esto implica análisis de ataques, estudio de las vulnerabilidades de la red, desarrollo de las reglas de detección de los intrusos, análisis de los datos obtenidos de los sistemas de identificación de intrusos, comportamientos anómalos en el sistema, entre otros, y es sabido de antemano que no todos los intrusos usan los mismos procedimientos. Otro factor, no menos importante, es el hecho de la poca cultura en seguridad encontrada en la empresa. La mayoría de los usuarios no comprende el significado de la seguridad de la