Home

Descargar Documento - Forum de Ciencia y Técnica

1. E o m o 3 o Original Original N no se afectan pc TER 56 r a proxy etecsa cu agp squid Original d eno Original se obligan a usai Fa net_tunas ANEXO 3 Actions Attack profile Select the actions you want to take against the attack profile Rule summary Prompt before taking action when an attack has the following profile Attack of type DOS Ascend Route SID 281 Direcci n https 192 168 22 19 index jsp n n8h h StillSecure Strata Guard Free Name amp description Research Set rule to NOTE all settings apply to future attacks iB block always automatically take action O black if vulnerable automatically take action only if against a vulnerable device 8 black if accessible automatically take action only if against an accessible device F O block if both automatically take action only if against a device that is both vulnerable and accessible WD prompt alert me inthe Make decisions tab before taking action fog oniy only log to the database disable always ignore attack and disable actions for this rule insert a firewall policy and block 20 on using the system default current setting responsive the attack source host responsive based on attack content pre emptive the attack source host and based on attack content both run a custom script Also alert me by sending NOTE enable alerts
2. 5 8 082 2634PM 192 108 2219 8 192 168 22 11 0 EE Y El b Database block if accessible block if both 5 806 2 26 36 PM 192 168 2210 8 192 168 22 11 0 event details a El b Web Microsoft 5 8 06 2 25 38 PM_ 192 168 2219 8 192 168 22 11 0 event details vi El b Email SMTP 14 ATTACK RESPONSES 403 Forbidden O Blocksource host pomp Sw gt Pornography i O dear E b TCP IP DNS FTP prompt decide later Bb Other prompt meum 18 ANEXO 3 StillSecure Monitor detect amp make decisions Security status Make decisions Attack activity graph list date time 5 8 06 2 36 49 PM 5 8 06 2 36 49 PM 5 8 06 2 36 49 PM 5 8 06 2 36 48 PM 5 8 06 Display activity for the past 24 hours Y attack 192 168 22 41 4684 192 168 235 146 0 192 168 22 41 4685 192 168 22 41 4684 192 168 22 41 4684 10 00 40 0 BON LA Xx GN 325 PRINTABLE FORMAT Activity for the last 24 hours Actions taken 16 Total attacks 48791 Firewall policies Attack s Bac vL doth verity le device El direct attacks PB vulnerable device El re Search tor attack destination rule description 192 168 22 1 161 192 168 22 8 0 192 168 22 1 161 192 168 22 1 161 192 168 22 1 161 SNMP public access ud ICMP Echo Repl event details SNMP request ud SNMP request ud SNMP request udp DELIMITED TEXT action status DENY DENY DENY DENY DE
3. Squid Analysis Report Generator Squid User Access Reports Per odo EEC A Top 100 sitios Nun SITIO ACCEDIDO CONEXION BYTES HORA EE wWww openwares org 9 45K 13 32M 661 EEJ www siemens com 3 84K 12 70M 254 46K EE office microsoft com 3 50k 3 88M 4 52K a www google com cu 2 28K 9 36M 1 24M EE www almadecuba cu 1 88K 10 24M 779 11K horoscopo cubasi cu 1 42K 3 73M 165 96K _ 3 cocina cuba cu 1 36K 1 90M o el images google com cu 1 32k 4 68M 1 18M al www mitel com 1 28k 5 29M 39 73K _1ol www granma cubaweb cu 1 25k 4 73M 36 12K 41 officeimages microsoft com 1 22k 3 00M EE www cienfuegos jovenclub cu 17K 4 32M 0 _ 13 www atenas inf cu 1 12k 2 11M 177 33K 14 www ericsson com 1 10K 5 98M 360 61K Periodo 2006Apr19 2006Apr19 DENEGADO Reporte USERID IP NOMBRE FECHA HORA srrio ACCEDIDO 192 168 22 126 gventasS ltuteletecsa cu 04 19 2006 08 23 17 http www siemens coms 192 169 22 132 istel2 Ituteletecsa cul 04 19 2006 09 39 42 http www siemens com misc pageMailer pageMailerPopup jsp 04 19 2006 09 39 51 http fwww siemens comimisc pageMailerfpageMailerPopup jsp 04 19 2006 09 49 40 http www siemens com misc pageMailer pageMailerPopup jsp 192 168 22 135 sgtetpi ltu tel etecsa cu 04 19 2006 08 42 22 http www siemens com indesjsp 04 19 2006 08 45 02 httpi www siemens com indes jsp 192 168 22 139 almacenltu ltu tel etecsa cu 04 19 2006 08 01 45 http www siemens com indes js
4. GHZ con 256mb de memoria y 17 GB de disco duro y 2 tarjetas de red 2 instalo el sistema operativo Linux Centos 4 3 con kernel 2 6 3 Se iniciaron las dos tarjetas de red ethO y eth1 sin direcciones IP y se creo y configur la interface bridge brO adicionando las 2 tarjetas en este caso se le puso direcci n IP a la Bridge por motivos de administraci n de la m quina pudiera no pon rsele y as no seria alcanzable de la red externa gt Con esto tenemos un dispositivo que reenv a el tr fico de una tarjeta a otra de modo transparente por lo que al ponerlo entre la red y el router es totalmente transparente INSTALACION DEL SERVIDOR PROXY Se instalo el Proxy Squid 2 5 con autentificaci n NTLM esto permite autentificar a los usuarios contra el servidor de dominio para los usuarios que est n dentro del dominio esto es totalmente transparente ya que no necesitan autentificarse esto nos permite obtener las trazas por usuarios Se aplicaron las reglas de control de acceso siguiente Se permiti todo el dominio etecsa cu para que el Proxy lo resuelva de manera directa Todo lo dem s ser enviado al Proxy nacional para que este lo resuelva siempre y cuando no este denegado en nuestro Proxy haciendo cache de todas las p ginas Se deneg el uso de los v nculos en las p ginas que dan servicio de postales y correo electr nico internacional Aqu se pondr una regla para que las m quinas que atienden directamente al publi
5. packe 473 IP packets 14 19 kbits s outgoing oming 15 20 kbits s outgoing CS r 313 packets 21596 bytes incoming 0 72 kbits s 369 53 kbits s 5283 packets 388578 bytes 357 24 kbits s 45 kbits s 714 packets 86226 bytes 2 72 kbits s 625 packets 53660 bytes 2 28 kbits s Estos informes son de suma importancia para un administrador pues nos permite obtener el trafico que se esta generando por interfase y puertos de manera que podemos obtener el trafico de entrada salida para todos los servicios que prestamos permiti ndonos reorientar alg n servicio o mejorar alg n servidor seg n se requiera 10 INSTALACI N DEL SISTEMA STILLSECURE BORDER GUARD Este sistema es una versi n libre del Border Guard Que es un sistema para la detecci n prevenci n de intrusos en la red que permite protegerla de los huecos de seguridad El Border Guard identifica y elimina los virus gusanos trojans exploraciones de puerto ataques e intrusiones antes de que entren a la red y causen dafio es f cil de usar y ofrece incomparable flexibilidad en responder a los ataques puede bloquear instant neamente el paquete que esta haciendo el ataque o bloquear la IP de donde se esta haciendo el mismo se puede usar como sistema de protecci n de intrusos o como un sistema de detecci n de intrusos IDS Este puede se configurado en modo est ndar usado con un firewall externo o en modo gateway donde se utiliza poniendo la m quina en mod
6. 0 3128 squid El tcp 192 168 22 60 1437 192 168 91 10 3128 squid 3 tcp 192 168 22 69 1446 192 168 91 10 3128 squid 3 tcp 192 168 22 69 1450 192 168 91 10 3128 squid 32 udp 192 168 24 83 138 netbios dgm 192 168 24 87 138 netbios dgm DATOS DEL AUTOR AUTOR Alberto Bello Espinosa EDAD 32 A os CALIFICACION Ingeniero en Telecomunicaciones y Electr nica CARGO Administrador de Red DIRECCION Calle Menocal Edif 21 Rpto Medico Las Tunas INTEGRACION PCC UJC MTT CDR CI 73122402060 CENTRO DE PROCEDENCIA Filial de Tecnolog a y Software Las Tunas de Participaci n 50 EMAIL abello ltu etecsa cu TELEFONO 46208 COAUTORES Franklin Manzano Rodr guez CI 73062602641 Mart n Jodar Vel squez Cl 73062602641 21 Carta de participaci n Este trabajo fue realizado con la participaci n del autor y de los coactares respectivamente de manera que fue realizado por los administradores de red de nuestra filial con el apoyo intelectual del subgerente de la Filial a continuaci n se detalla el por ciento de participaci n de cada uno AUTOR Alberto Bello Espinosa 5096 COAUTORES Franklin Manzano Rodr guez 30 Mart n Jodar Vel squez 20 Alberto Bello Espinosa Franklin Manzano Rodr guez Mart n Jodar Vel squez 22
7. 6 total 36 IP 0 non IP 0 IP checksum errors average activity 5 00 kbits s last 5 second activity 0 00 kbits s eth0 1817 total 1779 IP 38 non IP O0 IP checksum errors incoming 730 packets 110768 bytes outgoing 631 packets 467357 bytes incoming 704 packets 97755 bytes outgoing 624 packets 458255 bytes incoming 493 packets 79207 bytes outgoing 500 packets 446762 bytes incoming 203 packets 18056 bytes outgoing 105 packets 10361 bytes 772 bytes 13 24 2006 activity 0 71 kbits s peak average activity 154 17 kbits s peak activity 488 60 kbits s last 5 second activity 47 20 kbits s eth1 1359 total 1326 IP 33 non IP O0 IP checksum errors average activity 97 37 kbits s peak activity 251 60 kbits s last 5 second activity 43 00 kbits s gt Trafico IP por una interface o total permitiendo definir filtros para monitorear una conexi n espec fica de una maquina a otra o de un servicio a otro Tue Apr 25 11 10 16 2006 IP traffic monitor started Tue Apr 25 11 10 16 2006 UDP eth0 75 bytes source MAC address 000bcdcf3776 from 192 168 22 11 1042 to 192 168 91 4 53 Tue Apr 25 11 10 16 2006 UDP eth0 78 bytes source MAC address 00a0c9cde9ce from 192 168 22 5 137 to 192 168 22 255 2137 Tue Apr 25 11 10 16 2006 TCP eth0 48 bytes from 192 168 22 75 2301 to 10 1 0 4 80 source MAC addr 00018040b5e9 first packet SYN Tue Apr 25 11 10 16 2006 TCP eth0 41
8. NY Attack severity Awaiting user input in Make decisions Awaiting user input in Make decisions Awaiting user input in Make decisions Awaiting user input in Make decisions Awaiting user E direct attacks n vulnerable device 3 recon attacks FJ accessible device 3 suspicious traffic GD both 4 connection attempt Dest IP of attacks of total 192 168 22 1 21835 50 97 192 168 22 3 8603 20 08 192 168 22 41 4297 10 03 J 192 168 22 11 3585 8 37 192 168 22 4 1101 257 192 168 22 195 776 1 81 192 168 22 200 772 1 80 192 168 22 8 302 0 70 192 168 22 196 279 0 65 192 168 22 2 177 0 41 192 168 22 112 95 0 22 192 168 22 5 92 0 21 192 168 226 20 0 21 19 ANEXO 4 fwlogwatch summary Generated Thursday June 22 11 12 08 CDT 2006 by root 1d 54726 older than 86400 seconds of 93487 entries in the file var log messages are packet logs 394 have unique ch First packet log entry Jun 22 10 37 21 last Jun 22 11 12 05 All entries were logged by the same host proxy All entries are from the same chain RULE 46 DENY All entries have the same target All entries are from the same interface bro Only entries with a count of at least 3 are shown proto source port service destination port service E tcp 192 168 22 69 1424 192 168 91 10 3128 squid 3 tcp 192 168 22 60 1426 192 168 91 10 3128 squid a tcp 192 168 22 60 1431 192 168 91 10 3128 squid 3 tcp 192 168 22 60 1435 192 168 91 1
9. Z A ETECSA EMPRESA DE TELECOMUNICACIONES DE CUBA S A XVI FORUM DE CIENCIA Y TECNICA 2DA ETAPA TITULO Una plataforma para la supervis n y el control activo de la Red AUTOR Alberto Bello Espinosa COAUTORES Franklin Manzano Rodr guez Mart n Jodar Vel squez CENTRO DE PROCEDENCIA Filial de Tecnolog a y Software Las Tunas Organismo ETECSA Sindicato Inform tica y Comunicaciones Municipio Las Tunas Provincia Las Tunas C digo de la ponencia 1050354 A o de presentaci n 2006 INDICE INTRODUCCION Sci 4 DESARROLLO uta A As 5 INSTALACION DEL SERVIDOR PROXY visit di a A adri 7 INSTALACION DEAL LAB LES Li OA pe nce a tact em AN E 8 requiera INSTALACI N DEL SISTEMA STILLSECURE BORDER GUARD see 10 INSTALACI N DEL SISTEMA STILLSECURE BORDER GUARD eeeeeeeteeeeeeens 11 VALORACI N ECONOMICA cuina A veut eo A A A 12 CONCLUSIONES id dto 13 RECOMENTACION Espot A ve tid sre ibis 14 BIBLIOGRAFIA A A o 15 ANEXO PT 16 ANEXO H WR 17 ANEX O T Sa a Aa 18 ANEXO F A ais 20 DATOS DEL AUTOR Sec a o A E A E aa E 21 CARTA DE PARTICIPACI N copii O e ae EOSO rA ages etse 22 RESUMEN TITULO Una plataforma para la supervis n y el control activo de la Red AUTOR Alberto Bello Espinosa Este trabajo consiste en la implementaci n a partir de herramientas de software libre de un sistema Firewall Proxy y analizador de trafico a la vez de manera transparente que nos permite ponerlo en cualquier intr
10. afico que circula hacia dentro y hacia fuera de la red 3 Permite controlar y auditar todo el trafico http y al hacer cache de las paginas visitadas disminuyendo el trafico hacia el Proxy nacional 4 Permite proteger la red corporativa de posibles ataques de la red externa 5 Permite establecer las pol ticas de seguridad de la red 6 Permite realizar auditorias a todo el tr fico desde la red y hacia la red detectando posibles indisciplinas o ataques 7 Permite observar el tr fico generado por la red y hacia la red por protocolo por puertos y por interface obteniendo datos sobre el ancho de banda que nos permita ampliar o reorientar la red 8 Con el sistema IDS IPS se puede mantener la detecci n o prevenci n dependiendo de la configuraci n de posibles ataques o huecos de seguridad de los software actualiz ndose autom ticamente de Internet de los ltimos ataques surgido y as mantener nuestra red libre de estos 13 RECOMENTACIONES 1 Generalizar esta plataforma para el control y supervisi n de las redes que lo necesiten 2 Establecer los procedimientos adecuados para que una vez implementada esta herramienta se mantenga el chequeo de las trazas de auditoria peri dicamente 14 BIBLIOGRAFIA Qv dee cot De cm Manual de Instalaci n del Squid P ginas de Internet de Linux como Bridge Manual Practico y Tutorial de iptables Manual de usuario del Stillsecure Border Guard Howto de Linux 15 ANEXO 1
11. anet para controlar y supervisar todo el trafico que sale y entra hacia esa intranet tambi n puede ponerse para controlar y supervisar el trafico generado hacia servidores importantes en nuestra red todo esto sin tener que hacer ning n cambio en el direccionamiento en la infraestructura de la red en la configuraci n de los servicios que se brindan a los clientes ni en las m quinas de las mismos con este sistema podemos desde cualquier parte de la red obtener informes sobre los sitios hacia los que est n navegando los usuarios denegar cualquier sitio que se este utilizando indebidamente denegar el acceso a cualquier servicio dentro y fuera de la red a determinado usuario que haga uso indebido del mismo se obtienen informes sobre el trafico hacia cualquier servicio que brindemos se puede detectar y controlar los virus inform ticos por trafico y por puertos con este sistema se puede tener un control total de una intranet sin que los usuarios detecten que el mismo esta realizando estas funciones pues no los afecta en nada se puede cambiar autom ticamente el Proxy que se va a usar en la red si tener que cambiar la configuraci n de las m quinas y sin que los usuarios tengan que cambiar nada INTRODUCCION La resoluci n 8 del presidente establece las medidas de control para el uso adecuado de nuestras redes de datos en ella entre otras se expresa Proponer e implementar las soluciones t cnicas para impedir a trabajadores que brindan servic
12. ara esto tambi n se instalo y configuro al programa arpwatch para cuando un usuario cambie de IP o de mac env a un mensaje y un beeper a los administradores Se definieron adem s reglas para que las direcciones de Internet pasaran a trav s de firewall hacia el Proxy nacional SIPTABLES t nat A PREROUTING p tcp m tcp m mac mac source 00 11 d8 2c f0 d7 s 192 168 22 43 d 192 168 91 20 dport 3128 j DNAT to destination 92 168 91 20 3128 Todo el trafico http que resta para el Proxy nacional es redirigido al Proxy local de manera que no se necesita cambiar ninguna configuraci n en las m quinas esto es lo que hace que el Proxy sea transparente para esto se usa la siguiente regla A PREROUTING d 192 168 91 20 i br0 p tcp m tcp dport 3128 j REDIRECT to ports 3128 Para la configuraci n del firewall se instalo el firewallbuilder un programa sobre Windows que permite en un ambiente grafico y amigable escribir las reglas y compilarlas para iptables este programa tiene objetos predefinidos pero tambi n se pueden agregar nuevos lo que lo hace muy flexible despu s que se compilan el programa detecta si hay reglas repetidas y luego se instalan directamente en el servidor Linux a trav s de la red con el protocolo SSH En el anexo 2 podemos observar im genes de este programa y sus reglas Como supervisar el Firewall se hace Log solo de los paquetes denegados y se monto el programa fwlogwath que nos permit
13. bytes from 192 168 90 52 1433 to Tue Apr 25 192 168 22 7 3465 source MAC addr 000f24018870 first packet 0 18 2006 TCP eth0 46 bytes from 192 168 22 2 110 to 192 168 235 149 1861 source MAC addr 000bcd4efa06 FIN sent 7 packets 524 bytes avg flow rate 0 00 kbits s gt Trafico por direcci n MAC LAN traffic log generated Tue Apr 25 11 000 24018870 744 packets 1185 packets 33 94 kbits s incoming Ethernet address Incoming total Outgoing total Average rates Last 5 second rates 67953 bytes 0001804bba4a 933 packets 473 packets 28446 bytes 662 06 kbits s incoming 717 60 kbits s inc Ethernet address Incoming total Outgoing total Average rates Last 5 second rates gt Trafico TCP y UDP P 161 625 packets 44457 bytes total 68 kbits s 312 packets TCP 80 ncoming 13141 packets 12 28 kbits s 11686374 bytes total 7858 packets 54 U P 1 ncom 3T ing 1428 packets 2 72 kbits s 172452 bytes total 714 packets G DP 53 ncoming 1231 packets 125533 bytes total 1 70 kbits s 606 packets p 1518317 bytes 48 20 kbits s incoming 1324238 bytes 1 40 kbits s 22861 bytes outgoing 11297796 bytes outgoing 86226 bytes outgoing 3 98 kbits s 71873 bytes outgoing 15 10 2006 744 IP packets 1181 IP packets 759 12 kbits s outgoing 762 60 kbits s outgoing 933 IP
14. co solo tengan acceso a la intranet de etecsa Se podr filtrar cualquier trafico http que se desee en dependencia de la IP o la direcci n MAC en el Caso que sea necesario Las direcciones de Internet se machean con la Direcci n Mac y se dejan pasar a trav s del firewall directamente al Proxy nacional 4 Instalaci n del sarg Este programa nos permites a partir de los Log del squid generar varios reportes en formato html para esto se configuro el servidor http en el propio Linux y este pone las paginas en este servidor Los reportes que nos da el sarg son VV ON ON WV Sitios accedidos por cada usuario Los sitios mas accedidos por lo usuarios Las p ginas bajadas por usuarios Cantidad de byte bajados por cada usuario Relaci n de usuarios en un fichero que han bajados mas de una determinada cantidad de MB En el anexo 1 se pueden observar im genes de los reportes antes mencionados INSTALACION DE IPTABLES Con el iptables se revisa todo el Tr fico desde la red y hacia la red permitiendo filtrar cualquier trafico en funci n de la direcci n IP de la MAC del puerto de origen o destino La pol tica que debe utilizarse es denegar todo primero y despu s ir permitiendo lo estrictamente necesario Primeramente se eliminaron el Spoofing de las direcciones de Internet de manera que solo puede salir con la direcci n IP de Internet la m quina a la cual le fue asignada y esto se filtra por la Mac de la tarjeta P
15. e Destination Service Time Options fg Objects o Any d siprec Any Any E Bl Address Ranges 1 Any 3 sap etecsa Any Any Addresses amp Groups 2 Any d recarga etecsa Any Any gp Hosts 3 Any 18 cobros Any Any ag Networks E Services 4 3 gos sql Any Arp A Custom 5 Any dA gos Any Any EA Groups cm 5 q alicMP Any calm proxy etecsa cu Mess Any cai 7 Any d proxy ltu etecsa cu UB squid Any Object Type Any 8 Ren m m m Object Name Any iid A E pe A pi 3 Any d router tunas GE Tiempo Any Any Network 10 ES TielefoniaLtu Any Any Any 11 Ganet tunas d broadcast Any Any 12 ES centos Any Any Any 13 ca sus antivirus pcduo Any Any Any 14 fii coneo tuetecsa cu Any Any Policy inside outside loopback Breadge Original Src Driginal Dst Original Srv Original no se afectan pc Original no se afectan pc no se afectan pc no se afectan pc Original no se afectan pc Original Original no se afectan pc no se afectan pc proxy etecsa cu squi T8 proxy etecsa eu no se afectan pc TER E 3 proxy etecsa cu gi said TCR E 3 proxy etecsa cu Agi savia no se afectan pc can IER no se afectan pc proxy etecsa cu squid no se afectan pc T a T E pros etecsa cu ouid Original d oro etecsa cu abis Original CB proxy etecsa cu Jg C proxy etecsa cu E o o a a 0 mM D m o a no se afectan pc
16. e obtener a trav s de una pagina html los Log del Firewall obteniendo los paquetes que han sido denegados ordenados por puerto o por direcci n de origen o destino as como los paquetes denegados hacia un puerto especifico o una direcci n especifica permitiendo detectar cualquier ataque a la red o el ataque de alg n virus por el trafico generado al poner esta pagina autom ticamente en el servidor web permite que desde cualquier parte de la red se puedan obtener estos informes En el anexo 4 se observa una imagen de una p gina obtenida 5 Se instalo el iptraf que permite auditar todo el tr fico que pasa hacia y desde la red dando los siguientes reportes gt Trafico por protocolo por una interface o por todas las interfaces Detailed statistics for interface eth0 generated Tue Apr 25 11 13 58 2006 Total 1361 packets 578125 bytes IP 1328 packets 556010 bytes TCP 993 packets 525969 bytes UDP 308 packets 28417 bytes ICMP 21 packets 1264 bytes incoming 8 packets 492 bytes outgoing 13 packets Average rates Total 165 18 kbits s 48 61 packets s Incoming 31 64 kbits s 26 07 packets s Outgoing 133 50 kbits s 22 54 packets s Peak total activity 262 52 kbits s 58 00 packets s Peak incoming rate 48 52 kbits s 28 60 packets s Peak outgoing rate 237 37 kbits s 29 60 packets s gt Trafico total por cada interface General interface statistics log generated Tue Apr 25 11 lo 3
17. ed Corporativa NY y A Figura 2 esquema de firewall entre red local y la red corporativa Este esquema utilizado es un esquema t pico de firewall para proteger una red local conectada a Internet a trav s de un router El firewall debe colocarse entre el router con un nico cable y la red local conectado al switch o al hub de la LAN IPtables es un sistema de firewall vinculado al kernel de Linux que se ha extendido enormemente a partir del kernel 2 4 de este sistema operativo Un firewall de iptables no es como un servidor que lo iniciamos o detenemos y nunca tendr tanto peligro como las aplicaciones que escuchan en determinado puerto TCP iptables esta integrado con el kernel es parte del sistema operativo C mo se pone en marcha Realmente lo que se hace es aplicar reglas Para ellos se ejecuta el comando iptables con el que a adimos borramos o creamos reglas Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall Un Proxy webcache es una computadora que se sit a entre su red local e Internet usualmente en el gateway el trabajo de este es capturar todas las paginas que lo clientes de su red visitan y guardarla en cache de manera que la segunda ves que un cliente la pida el Proxy la tenga y se la env e al cliente esto permite reducir el ancho de banda Pasos que se siguieron para la intalacion del sistema 1 Se seleccion un servidor Pentium 4 A 2 8
18. in System configuration email notification SNMP trap Set payload logging for this rule to use system default current setting enabled CO enable payload logging CO disable payload logging suesoniee Load Monitor detect amp make decisions Security status STOP MONITORI Currently monitoring My Network Mode Strata Guard Gateway Activity for the last 24 hours Ripert Actions taken 16 gem LICHEN Set rules to do the following Action status Make decisions Attack activity ewall poli 1 automatically block attacks block lool if 2 block attacks if vulnerable if accessible EY prompt BY wulner Attack severity irec cks abah Ellgony gt acces peal as 3 prompt you in Make decisions disable El both v severity fiter by all de 4 take no action and log the attack in D mixed 2008 Ea qa m ae BI vulnerat loe E recon attacks reporting ita traffic 5 disable and never respond to an attack BD both 4 connection attempt Search for Id sev rule current actions in the future ICMP Large ICMP Packet O blodesource host rompt v category sub category rule current action O clear El P Best Practices 521 prompt O decide later D b NETBIOS Research this rule p MA eio En Fi b Denial of Service prompt Note lick on one check box t all shift click on El b Unix date time attack source flag attack destination apply action BD Web
19. io a los clientes externos Ej Oficinas Comerciales y Call Center otros siempre que no se vea afectado su trabajo la navegaci n en sitios que no pertenezcan a la intranet de ETECSA Presentar el Plan de Implementaci n de mecanismos de auditorias que permitan el registro de los eventos que se producen en nuestras redes Como parte del cumplimiento de estas medidas y de la pol tica de nuestro pa s de elevar el control y supervisi n de las redes de datos para eliminar algunas manifestaciones de indisciplinas e ilegalidades que empa an el uso adecuado de los recursos que el estado ha puesto en nuestras manos nos dimos a la tarea de buscar soluciones tecnol gicas que permitieran cumplir con estos objetivos sin afectar la configuraci n que hasta el momento tienen todas nuestras maquina y mantener la infraestructura de la red y el direccionamiento de la misma evitando as alg n cambio que pudiera afectar los servicios que brindamos a nuestros usuarios la soluci n fue la instalaci n y puesta a punto de un Firewall Proxy transparente DESARROLLO Para la implementaci n del Firewall Proxy transparente se utilizo el sistema operativo Linux Centos 4 3 con kernel 2 6 el Proxy Squid 2 5 y el firewall Iptables Primeramente empezaremos por exponer los conceptos b sicos Un Brige es un componente de red que une dos segmentos de red de cualquier tipo Ethernet Token Ring etc de modo transparente para formar una subred De modo transparen
20. o bridge y se integra con el iptables EI Border Guard usa dos pol ticas de firewall fundamentales para responder a un ataque Pre emptive firewall policy Esta se usa en modo Gateway y wireless solamente Esta pol tica bloquea los paquetes de un ataque sin afectar otro tr fico investigando el contenido del tr fico se instala autom ticamente en el firewall y todo el tr fico siguiente conteniendo este ataque es bloqueada inmediatamente Responsive firewall policy Esta se usa en todo los modos esta pol tica bloquea todo el trafico desde la IP que origina el ataque dependiendo del tipo de ataque la pol tica elimina el trafico hacia la maquina atacada o hacia toda la red esta pol tica ser insertada de manera autom tica e el firewall y tiene efecto por un determinado tiempo 30 minutos de modo predeterminado Border Guard puede mantener actualizado desde Internet una serie de reglas de ataques y huecos de seguridad cuando un ataque de estos es lanzado contra la red y machea contra una de estas reglas el programa lo detecta como un ataque Una regla es la l gica sobre la cual Border Guard detecta y responde a un ataque los par metros l gicos pueden se seteados en el editor de reglas la base de datos de reglas puede ser actualizada constantemente de Internet de los nuevos huecos de seguridad y ataques esta incluye mas de 1800 reglas una regla tiene dos componentes Atack Profile y Atack respose Attack Profile esta propiedad se u
21. p 04 19 2006 08 21 00 http www siemens com index jsp 192 168 22 140 auxiliarvi Itu tel etecsa cu 04 19 2006 09 04 28 http www siemens com misc paqeMailer paqeMailerPopup isp Squid User Access Reports Per odo 2006May02 2006M ay02 Bajados Reporte 3ERID IP NOMBRE FECHA HORA SITIO ACCEDIDO 32 168 22 130 pefinan Itu tel etecsa cu 05 02 2006 16 31 03 httpi acti ves mic rosoft com objects ocget dll 05 02 2006 16 3 1 03 http acti ves mic rosoft com objects ocget dll 32 168 22 153 balancista Itu etecsa cu 05 02 2006 16 20 52 http cdm micros oft comfUPDATE Ident cab 05 02 2006 16 20 52 http cdm micros oft com UPDATE Ident cab 32 168 22 157 j9005 02 2006 17 12 03 http actives mic rosoft com objects ocget dll 05 02 2006 17 1 2 03 http activex microsoft com objects ocget dll 05 02 2006 17 1 2 03 htep activex microsoft com objects ocgetdll 05 02 2006 17 1 2 25 http activex microsoft com objects ocget dll 05 02 2006 17 1 2 25 http activex microsoft com objects ocget dll n amp na onnz 13 1 DT heen action mic vacant nA rab inc eI ennt All 16 ANEXO 2 Firewall Builder centosfw fwb File Edit Object Rules Help aad 4 de y ai User y E centos Sr Erica 4 inside outside loopback Breadge NAT irewalls m ifllcentos Sourc
22. sa para detectar un tipo de ataque especifico el profile contiene el tipo de ataque la direcci n ip o la red fuente la direcci n IP o la red destino el nivel del ataque la cantidad de ocurrencia del ataque y el d a y hora cuando un ataque machea con todas estas propiedades el sistema inicia una acci n Attack response es el m todo que Border Guard usa para bloquear o alertar sobre un posible ataque En el anexo 3 podemos observar im genes de esta herramienta 11 VALORACION ECONOMICA 1 El costo en la modificaci n y direccionamiento de la Red es 0 pues no se necesita ninguna inversi n en el cambio de la red 2 Una m quina sin grandes prestaciones puede se usada para esta plataforma 3 El costo de Software para la implementaci n del Firewall Proxy Transparente es O pues todas estas herramientas son Libres 12 CONCLUSIONES Con el uso de un Firewall transparente con Proxy Webcache obtenemos las siguientes ventajas 1 Cero configuraciones este se puede poner entre 2 router o entre un router y un Swith o frente a un simple servidor y no se necesita hacer ninguna variaci n al direccionamiento ni a la infraestructura de la Red existente este se puede poner y quitar sin ninguna Implicaci n para la red 2 Este opera en la capa 2 de modelo de la OSI lo que permite que Se puede poner sin direcciones IP esto lo hace mas seguro al no ser alcanzable desde la red externa nadie sabe que esta ah y esta revisando todo el tr
23. te significa que usted no necesita decirle a los componentes de la red M quinas Aplicaciones Etc que hay un nuevo dispositivo entre ellos por lo tanto no se necesita configuraci n adicional en los mismos Este es realmente seguro pues no necesita IP para configurarse Esto puede verse en la siguiente figura1 Los paquetes son reenviados basados en la ethernet address no en la IP como lo hacen los router este reenv o se hace basado en la capa 2 del modelo de la OSI Todos los protocolos atraviesan transparentemente el Bridge A Network Linux Bridging Firewall Figura 1 Linux como Bridge Un firewall es un dispositivo que filtra el tr fico entre redes como m nimo dos El firewall puede ser un dispositivo f sico o un software sobre un sistema operativo En general debemos verlo como una caja con DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se decide si una conexi n determinada puede establecerse o no Incluso puede ir m s all y realizar modificaciones sobre las comunicaciones como el NAT Esa ser a la definici n gen rica hoy en d a un firewall es un hardware especifico con un sistema operativo o una IOS que filtra el tr fico TCP UDP ICMP IP y decide si un paquete pasa se modifica se convierte o se descarta Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red Esta ser a la tipolog a del Firewall Montado FIREWALL R

Descargar Documento - Forum de Ciencia y Técnica

Contents

Download Pdf Manuals

Related Search

Related Contents

Descargar Documento - Forum de Ciencia y T&eacute;cnica

Contents

Download Pdf Manuals

Related Search

Related Contents

Descargar Documento - Forum de Ciencia y Técnica