Estudios de Informtica, Multimedia y Telecomunicaciones

Seguridad en Redes de Computadores

Practica obligatoria
Para dudas y aclaraciones sobre el enunciado, dirgete al consultor responsable de tu aula. Para dudas sobre programas especficos, dirgete al consultor de laboratorio. Hay que entregar la solucin en un fichero PDF (preferentemente), Word u OpenOffice. Adjunta el fichero en un mensaje usando el registro de evaluacin continua. El nombre del archivo debe ser ApellidosNombre_SRC _PRAC.pdf o con la extensin segn el formato en que se haga la entrega. Para ejercicios con mltiples documentos (por ejemplo, archivos de configuracin), comprmelos todos en un nico fichero. ZIP. Razona la respuesta en todos los ejercicios e indica las fuentes de informacin que utilizaste para realizarlos. Las respuestas sin justificacin, que sean una copia de una fuente de informacin y/o que no contengan las referencias utilizadas, no recibirn puntuacin.

Objetivos
Los objetivos a alcanzar durante el desarrollo de esta actividad son los siguientes: Estudiar un escenario concreto de aplicacin de los conceptos tratados durante las PEC. Disear un sistema cortafuegos con DMZ con la herramienta IPTables. Ubicar la herramienta Snort como parte fundamental de un sistema de deteccin de intrusiones. Implementar un servidor web seguro. Implementar una conexin segura con SSH que utilice certificados de cliente como sistema de autenticacin.

Entorno de pruebas
Para la realizacin de la prctica hay que hacer una serie de pruebas sobre una distribucin Linux, tal y como ya se ha pedido en alguna PEC. Adicionalmente, este semestre os proponemos montar un escenario de mquinas virtuales. Claramente, hay ejercicios que pueden probarse con una sola mquina virtual, o incluso desde el LiveCD de la distribucin Linux.

1 de 4

Sin embargo, queremos ir un paso ms all y por eso os planteamos que el vuestro sistema "real" montis varias mquinas "virtuales" conectadas en una "red virtual". Probar todo ello tendr repercusiones positivas en la calificacin. Disponis de un pequeo manual que os guiar en el proceso.

Enunciado
Una discogrfica ha implantado un sistema de autoras de remezcla en el que pueden participar aficionados de todo el mundo. De este modo, un aficionado se puede registrar en el sistema para descargar las pistas (base electrnica, meloda, guitarra, etc.) que luego mezclar con su ordenador. Una vez la cancin est terminada, la sube al servidor. A partir de entonces, una serie de DJ de msica electrnica pueden escuchar las remezclas, emitir votos y, en definitiva, elegir cul de las remezclas encabezar el prximo single del sello discogrfico. Los conocemos como mix judges. Estos se conectan a un servidor SFTP para descargar las mezclas. El acceso a las pistas y el registro de aficionados se hace por medio de un servidor web HTTP/HTTPS ubicado en las instalaciones de la discogrfica. En stas, tambin hay una red de rea local, desde donde el mix manager sube las pistas al servidor web o descarga las mezclas. Tambin pone las mezclas en el servidor SFTP para que los mix judges las puedan escuchar. Cuando un aficionado sube una mezcla al servidor web, el mix manager recibe una notificacin. La discogrfica tiene el servicio SMTP/IMAP de correo electrnico externo, ubicado en la IP 90.91.92.93. El siguiente esquema resume el funcionamiento del sistema

Discogrfica Mix judges

SFTP
10..40.1.3

10.40.1.100

Internet

s0:80.80.1.5 eth1:10.40.1.1

FW

SMTP/IMAP
90.91.92.93

web
10.40.1.2

Mix manager
10.40.1.99

Ejercicio 1 (10%)
La industria musical es salvaje y un xito discogrfico puede reportar ganancias millonarias. En este sentido, el servidor web y las mquinas de la red LAN son susceptibles de ser atacadas con el objetivo de robar pistas que an no son pblicas.

2 de 4

1.1. Describe detalladamente las pautas a tener en cuenta a la hora de analizar el riesgo de intrusiones de las mquinas de la discogrfica para recibir ataques. Qu herramientas usars para este anlisis y con qu parmetros? 1.2. Inicia una mquina virtual y aplica las herramientas indicadas en el apartado anterior para estudiar el riesgo de ataques a la mquina FW. Puedes montar un escenario con la mquina virtual 'FW' y la mquina virtual 'web' (en esta ltima, instala Apache) o incluso con la mquina sftp para hacer las pruebas.

Ejercicio 2 (20%)
2.1. La mquina FW contiene una cortafuegos implementado con IPtables. Disea el script correspondiente, teniendo en cuenta las siguientes especificaciones: Todos los usuarios de la red local deben poder navegar por Internet (HTTP, HTTPS, DNS) y usar el correo electrnico (SMTP/IMAP). El servidor SFTP debe ser accesible, desde la red interna, por el mix manager. Desde el exterior se debe poder acceder al servidor SFTP (si eres un mix judge y tienes que escuchar las pistas) Los aficionados deben poder subir la mezcla desde el exterior.

2.2. Verifica el funcionamiento en la mquina virtual. Puedes montar un escenario con la mquina virtual 'FW' y la mquina virtual 'web' para hacer las pruebas (pings, nmap, etc.). El mix manager ya ha tenido alguna que otra sorpresa: alguien de dentro de la empresa ha tenido acceso, antes de que se hicieran pblicas, a las remezclas. E incluso lleg a escuchar alguna un viernes, cuando estaba tranquilamente en un local con unos amigos! Como cree que hay un problema de seguridad alrededor de su sistema, deciden contratarte para que los asesores sobre DLP (Data Lost Prevention). Lo primero que haces es tomar una decisin con la ubicacin de los servidores. Propones hacer una DMZ y ubicar dentro los servidores web y SFTP. 2.2. Haz un dibujo de la arquitectura DMZ utilizando un segundo cortafuegos. Para no tener que cambiar las IPs, supone que cambiaremos la mscara a 255.255.255.128. 2.3. Disea el script IPtables correspondiente a los dos cortafuegos. Considera que el cortafuegos que da al exterior se llama FW1 y el del interior FW2. En su caso, haz cambios en el FW que habas programado antes y verifica el funcionamiento.

Ejercicio 3 (30%)
Como experto en seguridad, tambin te has percatado de que el servidor web no dispone de ninguna web segura. Los participantes en las remezclas se dan de alta, tienen un login y una contrasea pero no se utiliza realmente una conexin HTTPS. Segn los de la discogrfica, uno de ellos, que tiene mano para el diseo, implement la web sin tener en cuenta su seguridad. 3.1. Utiliza la herramienta OpenSSL para generar un certificado para el servidor Apache. Detalla los pasos seguirs, especifica los comandos empleados y adjunta el certificado generado en la solucin de esta prctica. Supn que la pgina web de tu servidor es www.<usuarioUOC>.es. Te adjuntamos un certificado AC raz para firmar los certificados de la 3 de 4

prctica, que consta de la clave privada (key-AC-UOC-Test.pem con contrasea "test") y del certificado pblico asociado (AC-UOC-Test.cer). 3.2. Especifica qu hay que hacer para instalar este certificado que has creado en el Apache de tu distribucin. 3.3. Da de alta el nombre del dominio en el archivo host. Muestra con captura de pantalla que lo has conseguido. Muestra las propiedades del certificado. Puedes montar la mquina virtual 'web' para hacer las pruebas y mostrar el resultado obtenido. 3.4. Has tenido algn mensaje de error / aviso? En caso afirmativo, qu crees que se debe hacer para resolver este problema de forma permanente? (no lo pida cada vez que abrimos el navegador).

Ejercicio 4 (20%)
Los mix judges se conectan al servidor SFTP con un certificado de cliente. 4.1. Crea dos certificados nuevos utilizando tambin el certificado de AC que te adjuntamos. Uno con tu nombre como "certificado de usuario", y el otro como sftp.<usuarioUOC>.es para el servidor. Muestra las propiedades de los certificados. 4.2. Configura el servidor SFTP del entorno de pruebas con el certificado de servidor y autenticacin con cliente. Indica qu pasos has realizado. 4.3. Realiza la conexin al SFTP con autenticacin de certificado cliente. Puedes usar la mquina virtual 'sftp' para hacer las pruebas y mostrar el resultado obtenido. 4.4. Los archivos que se envan estn cifrados mediante la tcnica del sobre digital. Crea un archivo de texto cualquiera para enviar al servidor y utiliza esta tcnica con OpenSSL.

Ejercicio 5 (20%)
Cuando un aficionado sube una mezcla al servidor web, el mix manager recibe una notificacin. Para recibir esta notificacin y controlar el acceso, se quiere utilizar Snort. 5.1. Recoge las reglas que propondras para hacer este control y crear una alerta cuando se publique un archivo. Muestra el fichero de reglas. 5.2. Inicia Snort, reproduce una subida de una mezcla y muestra que se generan las alertas. Puedes montar un escenario virtual para hacer las pruebas y mostrar el resultado obtenido. 5.3. Explica con qu otros objetivos podras utilizar Snort en el escenario de la prctica.

4 de 4