Karla Tandazo, Miguel Ángel Rueda 1 Dirigida: PhD. Walter Fuertes, Ing. Diego Marcillo Quito-Junio de 2013 ESCUELA POLITÉCNICA DEL EJÉRCITO PREVENCIÓN, DETECCIÓN Y REDUCCIÓN DE RIESGOS DE ATAQUES POR ESCANEO DE PUERTOS USANDO TECNOLOGÍAS DE VIRTUALIZACIÓN Previa a la obtención del Título de: Ingeniero en Sistemas
CONTENIDO MOTIVACIÓN Y ANTECEDENTES OBJETIVO GENERAL Y OBJETIVOS ESPECÍFICOS CONSTRUCCIÓN DEL LABORATORIO Y LINEA BASE PROPUESTA, DISCUSIÓN Y RESULTADOS CONCLUSIONES 2
MOTIVACIÓN Y ANTECEDENTES Las empresas son informáticamente dependientes. Hay que garantizar la seguridad de la información La mayoría de ataques son perpetrados por personal interno Cada vez se crean más herramientas y técnicas para hackeo de redes. Exploración de vulnerabilidades. El escaneo de puertos es un ataque muy utilizado. 3
OBJETIVO GENERAL Diseñar e implementar una plataforma experimental basada en tecnología de Virtualización que permita evaluar, controlar y mitigar los ataques reales por escaneo de puertos. 4
OBJETIVOS ESPECÍFICOS Analizar el estado del arte Evaluar herramientas Diseñar e implementar plataforma de Experimentación Implementar solución. Mostrar resultados. 5
ESCANEO DE PUERTOS Acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Detecta si un puerto está abierto, cerrado, o protegido por un cortafuegos. 6
VIRTUALIZACIÓN Permite particionar de una forma lógica un dispositivo físico con la particularidad de que el trabajo lo realizan en forma independiente usando recursos del mainframe (Fernández, 2008). 7
ISO
OSSTMM V3.0 9
NMAP Identificación de host Lista puertos Determina tipos de SO Obtención de Topologías 10 Herramientas de Seguridad y Análisis de Vulnerabilidades Wireshark Modo Promiscuo Captura datos Trabaja con protocolos Análisis de Red Muestra estadísticas
11 LABORATORIO DE PRUEBAS
12
LABORATORIO DE PRUEBAS 13
CONFIGURACIÓN Concepto Firewall Las reglas de Firewall: Nivel de Internet Nivel de acceso DNS Externo. Firewall TMG usado en este trabajo. 14
ACCESO INTERNET 15
ACCESO DNS EXTERNO 16
LÍNEA BASE 3 muestras por cada tipo de ataque. Se diferencia cada segmento Computador situado estratégicamente para perpetrar el ataque. Métricas a medir: Paquetes enviados Tiempos de retardo 17
LÍNEA BASE-Paquetes Enviados 18
LÍNEA BASE-Tiempos de Retardo 19
Topología de Red 20
PROPUESTA TCP SCAN 21 Cabecera Connect
PROPUESTA UDP SCAN 22
PROPUESTA ACK SCAN 23
PROPUESTA NULL SCAN 24
RESULTADOS-Paquetes enviados 25
TABLA DE MEJORAS-Paquetes enviados 26
RESULTADOS-Tiempos de Retardo 27
TABLA DE MEJORAS-Tiempos de Retardo 28
CONCLUSIONES Ataques del tipo TCP 96,75%. Ataques de tipo UDP 97.27%. Ataques de tipo ACK 91.67%. Ataques de tipo NULL Scan 98.5% Existe disminución del 96 % en envío de paquetes Existe aumento del 41% en tiempos de retardo 29
BIBLIOGRAFIA Fuertes, W., Zambrano, P., Sánchez, M., & Gamboa, P. (2011). Alternative Engine to Detect and Block Port Scan Attacks using Virtual Network Environments. IJCSNS International Journal of Computer Science and Network Security, 2-6. Fernández, D. (04 de 2008). Obtenido de Fuente, I. R. (2011). Certificaciones Uruguay. Obtenido de Certificaciones Uruguay: nl.pdf Linux para todos. (s.f.). Obtenido de /wiki/Base+de+Conocimiento/Kernel+Based+Virtual+Machine+%28KVM%29;jsessionid = DBC57B6E1FD21C048854E5209#section- Kernel+Based+Virtual+Machine+%28KVM%29-Caracter%C3%ADsticas+KVM Llerena, M., & Saa, J. D. (20 de 04 de 2006). Espe Repositorio. Márquez, O. (25 de 09 de 2008). Director de la División de Soluciones Servidores y Almacenamiento de HP. (Caracas Digital, Entrevistador). Wireshark. (s.f.). Obtenido de impresiones-en-red nmap. (s.f.). Obtenido de cheswick, W. R.; Bellovin, S. M.; Rubin, A. D. (2003). Firewalls and Internet 30