Karla Tandazo, Miguel Ángel Rueda 1 Dirigida: PhD. Walter Fuertes, Ing. Diego Marcillo Quito-Junio de 2013 ESCUELA POLITÉCNICA DEL EJÉRCITO PREVENCIÓN, DETECCIÓN Y REDUCCIÓN DE RIESGOS DE ATAQUES POR ESCANEO DE PUERTOS USANDO TECNOLOGÍAS DE VIRTUALIZACIÓN Previa a la obtención del Título de: Ingeniero en Sistemas

CONTENIDO MOTIVACIÓN Y ANTECEDENTES OBJETIVO GENERAL Y OBJETIVOS ESPECÍFICOS CONSTRUCCIÓN DEL LABORATORIO Y LINEA BASE PROPUESTA, DISCUSIÓN Y RESULTADOS CONCLUSIONES 2

MOTIVACIÓN Y ANTECEDENTES  Las empresas son informáticamente dependientes.  Hay que garantizar la seguridad de la información  La mayoría de ataques son perpetrados por personal interno  Cada vez se crean más herramientas y técnicas para hackeo de redes.  Exploración de vulnerabilidades.  El escaneo de puertos es un ataque muy utilizado. 3

OBJETIVO GENERAL Diseñar e implementar una plataforma experimental basada en tecnología de Virtualización que permita evaluar, controlar y mitigar los ataques reales por escaneo de puertos. 4

OBJETIVOS ESPECÍFICOS  Analizar el estado del arte  Evaluar herramientas  Diseñar e implementar plataforma de Experimentación  Implementar solución.  Mostrar resultados. 5

ESCANEO DE PUERTOS  Acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Detecta si un puerto está abierto, cerrado, o protegido por un cortafuegos. 6

VIRTUALIZACIÓN  Permite particionar de una forma lógica un dispositivo físico con la particularidad de que el trabajo lo realizan en forma independiente usando recursos del mainframe (Fernández, 2008). 7

ISO

OSSTMM V3.0 9

 NMAP  Identificación de host  Lista puertos  Determina tipos de SO  Obtención de Topologías 10 Herramientas de Seguridad y Análisis de Vulnerabilidades  Wireshark  Modo Promiscuo  Captura datos  Trabaja con protocolos  Análisis de Red  Muestra estadísticas

11 LABORATORIO DE PRUEBAS

12

LABORATORIO DE PRUEBAS 13

CONFIGURACIÓN  Concepto Firewall  Las reglas de Firewall: Nivel de Internet Nivel de acceso DNS Externo.  Firewall TMG usado en este trabajo. 14

ACCESO INTERNET 15

ACCESO DNS EXTERNO 16

LÍNEA BASE  3 muestras por cada tipo de ataque.  Se diferencia cada segmento  Computador situado estratégicamente para perpetrar el ataque.  Métricas a medir: Paquetes enviados Tiempos de retardo 17

LÍNEA BASE-Paquetes Enviados 18

LÍNEA BASE-Tiempos de Retardo 19

Topología de Red 20

PROPUESTA TCP SCAN 21 Cabecera Connect

PROPUESTA UDP SCAN 22

PROPUESTA ACK SCAN 23

PROPUESTA NULL SCAN 24

RESULTADOS-Paquetes enviados 25

TABLA DE MEJORAS-Paquetes enviados 26

RESULTADOS-Tiempos de Retardo 27

TABLA DE MEJORAS-Tiempos de Retardo 28

CONCLUSIONES Ataques del tipo TCP 96,75%. Ataques de tipo UDP 97.27%. Ataques de tipo ACK 91.67%. Ataques de tipo NULL Scan 98.5% Existe disminución del 96 % en envío de paquetes Existe aumento del 41% en tiempos de retardo 29

BIBLIOGRAFIA  Fuertes, W., Zambrano, P., Sánchez, M., & Gamboa, P. (2011). Alternative Engine to Detect and Block Port Scan Attacks using Virtual Network Environments. IJCSNS International Journal of Computer Science and Network Security, 2-6.  Fernández, D. (04 de 2008). Obtenido de  Fuente, I. R. (2011). Certificaciones Uruguay. Obtenido de Certificaciones Uruguay: nl.pdf  Linux para todos. (s.f.). Obtenido de /wiki/Base+de+Conocimiento/Kernel+Based+Virtual+Machine+%28KVM%29;jsessionid = DBC57B6E1FD21C048854E5209#section- Kernel+Based+Virtual+Machine+%28KVM%29-Caracter%C3%ADsticas+KVM  Llerena, M., & Saa, J. D. (20 de 04 de 2006). Espe Repositorio.  Márquez, O. (25 de 09 de 2008). Director de la División de Soluciones Servidores y Almacenamiento de HP. (Caracas Digital, Entrevistador).  Wireshark. (s.f.). Obtenido de impresiones-en-red  nmap. (s.f.). Obtenido de  cheswick, W. R.; Bellovin, S. M.; Rubin, A. D. (2003). Firewalls and Internet 30