2251M11 EAC2 Enunciat 1415S2 Solucio v1

Generalitat de Catalunya Departament dEnsenyamentInstitut Obert de Catalunya

Nom i cognoms

2251 CFGS Administraci de sistemes en xarxa

Mdul 11 Seguretat i Alta DisponibilitatUF2 Seguretat activa i accs remotU2 - Seguretat activa i accs remot

EAC2(Curs 2014-15/ 2n semestre)

Presentaci i resultats d'aprenentatge

Aquest exercici davaluaci contnua (EAC) es correspon amb els continguts treballats a la unitat 2Seguretat activa i accs remot.

Els resultats d'aprenentatge que es plantegen sn:

RA 1. Implanta mecanismes de seguretat activa seleccionant i executant contramesures davantd'amenaces o atacs al sistema.

RA 2. Implanta tcniques segures d'accs remot a un sistema informtic aplicant el pla deseguretat.

Criteris davaluaci

La puntuaci mxima assignada a cada pregunta sindica a lenunciat.

Els criteris que es tindran en compte per avaluar el treball de lalumnat sn els segents:

1.1. Classifica els principals tipus d'amenaces lgiques contra un sistema informtic.

1.2. Verifica l'origen i l'autenticitat de les aplicacions installades en un equip, aix com l'estatd'actualitzaci del sistema operatiu.

1.3. Identifica l'anatomia dels atacs ms habituals, aix com les mesures preventives i palliativesdisponibles.

1.4. Analitza diversos tipus d'amenaces, atacs i programari malicis, en entorns d'execucicontrolats.

1.5. Implanta aplicacions especfiques per a la detecci d'amenaces i l'eliminaci de programarimalicis.

1.6. Utilitza tcniques de xifrat, signatures i certificats digitals en un entorn de treball basat en l'sde xarxes pbliques.

1.7. Avalua les mesures de seguretat dels protocols usats en xarxes sense fil.

1.8. Reconeix la necessitat d'inventariar i controlar els serveis de xarxa que s'executen en unsistema.

1.9. Descriu els tipus i caracterstiques dels sistemes de detecci d'intrusions.

Codi: I71 Exercici d'avaluaci contnua 2 Pgina 1 de 20

Versi: 02 2251M11_EAC2_Enunciat_1415S2 Lliurament:25/03/2015

Formaci professionalNom i cognoms

2.1. Descriu escenaris tpics de sistemes amb connexi a xarxes pbliques en els quals es precisafortificar la xarxa interna.

2.2. Classifica les zones de risc d'un sistema, segons criteris de seguretat perimtrica.

2.3. Identifica els protocols segurs de comunicaci i els seus mbits d'utilitzaci.

2.4. Configura xarxes privades virtuals mitjanant protocols segurs a diferents nivells.

2.5. Implanta un servidor com a passarella d'accs a la xarxa interna des d'ubicacions remotes.

2.6. Identifica i configura els possibles mtodes d'autenticaci en l'accs d'usuaris remots a travsde la passarella.

2.7. Installa, configura i integra en la passarella un servidor remot d'autenticaci.

La correcci i claredat en les respostes dels diferents apartats.

El nivell adequat (s de vocabulari tcnic, nivell cientfic,...) utilitzat a l'hora de respondre.

La participaci en el frum amb aportacions positives.

Forma i data de lliurament

Per respondre les qestions heu dutilitzar aquest mateix fitxer. Elimineu els apartats Presentaci i resultatsd'aprenentatge, Criteris davaluaci i Forma i data de lliurament. Lenunciat est disponible en el format deLibreOffice/OpenOffice (.odt).

Un cop finalitzat lexercici davaluaci contnua heu denviar el document des de l'apartat M11 - LliuramentEAC2 de l'aula, dins del termini establert. Tingueu en compte que el sistema no permetr fer lliuramentsdesprs de la data i hora indicades.

El nom del document seguir el segent format: 2251M11_EAC2_Cognom1_Inicial_del_cognom2. Elscognoms sescriuran sense accents. Per exemple, lestudiant Marta Garca Soler posaria el segent nom alseu fitxer de lEAC1: 2251M11_EAC2_Garcia_S.odt".

Substituu Nom i cognoms de la capalera d'aquest document per les vostres dades personals.

Comprimiu tots els fitxers (aquest document amb les respostes o altres fitxers que requeriu) que heu delliurar amb un format lliure (zip o tar.gz, per exemple, rar no s lliure). Anomeneu el fitxer comprimit amb elmateix criteri que el fitxer odt: "2251M11_EAC2_Cognom1_Inicialdelcognom2.zip". Pengeu aquest fitxercomprimit a l'rea de lliurament de la plataforma anomenada Lliurament EAC2.

El termini de lliurament finalitza a les 23:55 h del dia 25/03/2015. La proposta de soluci es publicar el10/04/2015 i les qualificacions de lEAC es publicaran el dia el dia 10/04/2015.




Enunciat

Aquest EAC es troba estructurat en 2 apartats, amb les segents ponderacions:

A Mecanismes de seguretat activa [50% = 5 punts] B Implantaci de tcniques d'accs remot [50% = 5 punts]

Aquest exercici complementa l'estudi de la segona unitat del mdul, donant alhora -dintre de lespossibilitats- un enfocament prctic. s recomanable que hagueu llegit la documentaci d'aquesta unitat ihagueu provat les activitats proposades, aix com l'autoavaluaci.

Aquest exercici est orientat cap a l's de Linux Ubuntu, tot i que qualsevol altra distribuci Linux us hauria de servir, sempre que inclogui les eines que es requereixen. Podeu baixar una imatge gratuta d'Ubuntu a:

http://www.ubuntu.com/desktop/get-ubuntu/download.

Si a l'exercici es demana una captura de pantalla, aquesta ha de ser de tot l'escriptori i ha devisualitzar-se el vostre nom i cognom, la data i el document de l'EAC en elaboraci. Aquest ltim potestar en segon pla on noms es vegi el nom del mateix.

Part A Mecanismes de seguretat activa 5 punts

1 Anlisis de la seguretat (1 punt).

La comanda Nmap tamb coneguda com Network Mapper s una eina de codi obert molt verstil per alsadministradors de sistemes Linux. Nmap s'utilitza per explorar xarxes, realitzar anlisis de seguretat,auditoria de xarxa i cerques de ports oberts en la mquina remota. Nmap analitza hosts en busca desistemes operatius, filtres de paquets i ports oberts que s'executen en mquines remotes.

Es vol auditar una xarxa on hi hagi almenys 3 PCs: Un Host amb un S.O. Windows Un Host amb un S.O. Linux amb el paquet openssh-server installat Un Host que utilitzareu per executar les comandes amb l'eina nmap.

Es vol que detecteu les segents caracterstiques dels hosts Windows i Linux: Sistema Operatiu Ports Oberts IP i adrea MAC del pc

Al finalitzar aquest apartat haureu de realitzar les segents passes:

1. Captura de pantalla on es vegi la installaci de nmap a la vostra mquina




2. Captura de pantalla on es vegi la comanda nmap amb els parmetres utilitzats

Amb la comanda anterior, l'eina nmap realitza una cerca de tota la xarxa i mostra els ports oberts, l'adrea

mac i el sistema operatiu de cadascun del pcs trobats a la xarxa.

3. Captura de pantalla on es vegi la informaci del host Windows

4. Captura de pantalla on es vegi la informaci del host Linux.




2 Assegurar ports (2 punts)

Heu vist que amb el programa nmap es poden detectar els ports oberts dels Sistemes Operatius. Aquestaprctica s molt freqent quan es vol intentar explotar una vulnerabilitat d'un programa que escolta peraquest ports.

Per tal d'intentar evitar un possible atac es vol ocultar els ports, es a dir, tancar-los i quan els necessitemoberts obrir-los, per noms durant un instant de temps. El temps necessari per establir la connexi.

Utilitzareu l'eina anomenada port knocking. Aquesta eina s'installa en el servidor que voleu assegurar.Ocultareu el servei ssh d'una mquina amb el Sistema Operatiu Ubuntu.

Cada vegada que alg, de manera legtima, vulgui accedir al servei ocult ssh del servidor haur de 'trucar'als ports 9854, 2341 i 998, una vegada s'hagi trucat, s'obrir el port durant un cert temps i acte seguit, estancar automticament per la connexi ssh continuar establerta.Es pot trucar a un port utilitzat la mateixa eina portknocking installada en el client (paquet knockd).

Al finalitzar aquest apartat haureu de realitzar les segents captures:

1. Captura de pantalla on es vegi la installaci de portknocking a la mquina servidor




2. Captures de pantalla amb la configuraci del servei portknocking. Una vegada estigui configurat

recorda que has de tancar tots els ports (via iptables).

2.1 Captura de pantalla amb l'activaci del servei: /etc/default/knockd

2.2 Captura de pantalla amb la configuraci del servei /etc/knockd.conf:

2.3 Captura de pantalla on es tanquen els ports per es deixin passar les connexions ja establertes i

es tanquin tots els ports (iptables):

3. Captura de pantalla del client amb l'intent d'error de connexi via ssh. Es confirma que el port ssh est

tancat.




4. Captura de pantalla amb la trucada als ports 9854, 2341 i 998 i posterior connexi correcta del servei

ssh.

3 Intrussion Detection System (IDS) (2 punts)

Un sistema de detecci d'intrusions (IDS) inspecciona tota l'activitat de xarxa entrant i sortint i identificapatrons sospitosos que podrien indicar un atac d'alg intentant entrar i comprometre un sistema.

Un IDS inspecciona i avalua el trnsit i determina si s sospits i genera alertes basades en l'anlisi de les dades obtingudes.

Existeixen diverses opcions per ubicar un IDS a la xarxa. Es podriaubicar com un servidor especialitzat en realitzar aquesta tasca, llavorsles dades que arriben a la xarxa d'rea local (LAN) es reflectirien en elport on el IDS est connectat. Es configuraria la interfcie del IDS enmode promiscu permetent-li inspeccionar tot el trnsit.

Es tracta en aquest exercici d'installar i configurar l'IDS SNORT en unservidor. Existeixen altres programes per veure la informaci generadaen format Web, nosaltres noms veurem el funcionament del Snort i, pertant, la informaci la veurem en el terminal d'Ubuntu.

Installareu i configurareu l'eina IDS Snort a Ubuntu Server perdetectar els pings que es realitzen al servidor snort. Aquest haur demostrar per consola quin PC li ha fet un PING.

En aquest exercici noms se us demanar que seguiu els passos (se us proporcionen totes lescomandes) i realitzeu les captures de pantalla corresponents:





1. Captura de pantalla on es vegi la installaci del snort. Si et demana la xarxa a vigilar pots configurar

la xarxa: 192.168.1.0/24. (sudo apt-get install snort)

2. Captura/res de pantalla on es vegi la configuraci del programa. Aquesta configuraci ha de mostrar

la xarxa protegida (HOME_NET: 192.168.1.0/24) i la modificaci del tipus de registres (LOG) queutilitzareu:

output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types

El fitxer a editar s: /etc/snort/snort.conf

3. Captura de pantalla on es vegi l'edici del fitxer /etc/snort/rules/local.rules. Aquest fitxer cont lesregles del snort que afecten al propi servidor, es a dir, quins paquets de la xarxa ha de enregistrar o mirar

per tal de detectar alguna intrusi dirigida contra ell. Les regles que heu d'utilitzar son les segents:

alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)

alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test NOW!!!"; classtype:not-suspicious; sid:1000002; rev:1;)

Existeixen paquets predefinits amb un conjunt de regles. Aquests els pots descarregar des de la prpia

pgina de snort. Les regles busquen a la xarxa paquets sospitosos per als diferents atacs que podem patir

en un Sistema Informtic. Aquest conjunt de regles s'installen a part (No ho heu de fer, noms heu

d'introduir les regles que vegeu a dalt).




4. Testeig del snort. Realitza les segents captures de pantalla:

4.1. Captura de pantalla on s'executi la segent ordre i s'ha de veure que, al final, el programa informa

que la configuraci s correcte.$sudo snort -A console -u snort -g snort -c /etc/snort/snort.conf -i eth0 -T

5. Executeu el programa snort en el servidor amb les segents comandes: $sudo service snort restart$sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 A continuaci, des de un altre PC, realitzeu un ping al servidor del snort. El servidor snort, hauria de

detectar-lo i mostrar-vos la informaci per la consola.

Feu una captura de pantalla on es vegi aquest succs.




Part B Implantaci de tcniques d'accs remot 5 punts

4. Administraci remota massiva (1 punt)

Moltes vegades necessitem installar els mateixos paquets o actualitzar diversos servidors i s'ha de repetir les mateixes comandes cada vegada en cada servidor. Existeix una comanda per Linux anomenada 'mssh' (multi ssh) que fa la feina per nosaltres.

Aquesta eina es connecta a diversos servidors i obre un terminal per cada servidor que es vol administrar. Cada vegada que escrivim un ordre al terminal mssh s'executar en tots els altres terminals a la vegada.

Es demana que utilitzeu aquesta comanda per: Actualitzar dos servidors Ubuntu a la vegada Installar el programa 'apache2' als dos servidors al mateix temps.


1. Captura de pantalla on es vegi la installaci del programa mssh

2. Captura de pantalla on es vegi l'actualitzaci dels dos servidors mitjanant el terminal mssh




3. Captura de pantalla on es vegi la installaci del apache als dos servidors mitjanant el terminal mssh

5. Monitoritzaci de servidors amb nagios (2 punts)

Nagios s un sistema de monitoritzaci dequips i serveis de xarxa que permet tenir un complet control de ladisponibilitat de serveis, processos i recursos dequips informant a ladministrador dels problemes abans incls de que els usuaris es donin compte, aix es pot actuar de forma pro-activa.

Els fitxers ms importants que s'ha de conixer de Nagios sn els segents:

nagios.cfg: Fitxer de configuraci del servei: /etc/nagios3/nagios.cfg

conf.d: Carpeta de configuraci de la estructura i dels serveis a monitoritzar : /etc/nagios3/conf.d

Dintre d'aquest directori trobareu:

hostgroups_nagios2.cfg: Agrupaci de host amb els mateixos serveis. Existeixen serveis que s'utilitzen en molts hosts. Per tal d'estalviar-nos feina de configuraci es pot utilitzar aquest arxiu on definim els serveis i a quins hosts els monitoritzen. Ex: ssh

localhost_nagios2.cfg: Fitxer de monitoritzaci del propi nagios. (El podem utilitzar com a plantilla pels altres servidors)

contacts_nagios2.cfg: Persona a la que notifiquem via e-mail, sms, etc, quan succeeix un problema. (es cau un servei, etc)




Es vol installar nagios en un servidor i monitoritzar el servei SSH d'un altre servidor (servidor2).

Per realitzar l'exercici feu els segents passos:


1. Captura de pantalla amb la installaci de nagios.

2. Haureu de copiar el fitxer localhost_nagios2.cfg amb el nom del servidor a monitoritzar. Ex:

server2.cfg. Canviar les referncies a localhost pel nom del servidor apropiat i la seva ip.

Accedir al fitxer hostgroups_nagios2.cfg i afegir al grup de serveis ssh el nou host a monitoritzar.

2.1Realitza una captura de pantalla de la primera part del fitxer server2.cfg:

2.2. Realitza una captura de pantalla del fitxer hostgroups_nagios2.cfg on s'especifiquen els

servidors amb ssh que es monitoritzaran:




3. Captura de pantalla del programa nagios (web) amb la informaci del servidors monitoritzats (menu-

>current status->services). Ha de sortir el propi nagios i el servidor 2 (tots els serveis han d'estar

funcionant).

La Web del nagios: http://ip_servidor_nagios3/nagios3

usuari: nagiosadminpass: -la que has possat quan vas installar el nagios-

4. Para el servei ssh del servidor 2. Realitza una captura de pantalla del programa nagios (web) per

veure que ha detectat que el servei ssh del servidor 2 no funciona.




6. Accs remot via VPN (2 punts)

Es vol crear una VPN rpida i senzilla per tal d'accedir als serveis de la xarxa local interna de la empresa. Aquesta xarxa VPN ens permetr accedir als servidors i serveis que no estan accessibles (pblics) des de Internet. L'esquema de la Xarxa s el segent:

Es tracta de crear una connexi VPN fent servir el protocol PPTP. Aquest protocol s molt rpid i facild'utilitzar. Per tal de simular un cas real necessitarem:

MV amb un Ubuntu Server (router/firewall). Aquesta mquina realitzar el paper de 'router' de laempresa.

MV amb el servei PPTP (vpn). Est dintre de la xarxa interna de la empresa. Pot ser tamb unUbuntu Server,

Client. Pot ser el Host anfitri de les dues mquines anteriors. El Sistema Operatiu pot ser unUbuntu Desktop. (Tamb, si voleu fer la prova, podeu utilitzar com a client un mvil Android us podeu connectar viaVPN al servidor VPN que heu creat, el protocol pptp est integrat a Android)

La MV Router tindr dues targetes de xarxa:1. En mode Adaptador Pont. Pot ser una IP dinmica. 2. En mode Xarxa Interna. Posarem el nom LAN a aquesta xarxa interna.

Els parmetres d'aquesta targeta noms seran:IP:172.16.0.1.Mascara: 255.255.0.0

La MV VPN tindra una targeta de xarxa:1. En mode Xarxa Interna. Estar dintre de la xarxa interna LAN, igual que la segona targeta del

Router.La IP: 172.16.0.2\16Gateway: (La IP de la 2n targeta del router: 172.16.0.1)

La mquina Client (Desktop) est a la mateixa xarxa que l'adaptador 1 del router i pot tindre una ipdinmica.

Seguiu aquests passos i feu les captures de pantalla que es demanen:

1. Creeu la MV Router amb Ubuntu Server. Aquesta mquina ha de tindre dues targetes de xarxa

configurades com s'ha explicat anteriorment.

Heu d'executar el fitxer que se us proporciona per realitzar l'exercici (router.sh).




Feu una captura de pantalla de l'execuci del fitxer (router.sh). Cada vegada que reinicieu la MV s'ha de

tornar a executar el fitxer (router.sh):

2. Creeu la MV VPN amb Ubuntu Server. Configureu la targeta de xarxa com es demana a l'enunciat.

Feu una captura de pantalla (ifconfig).

3. A la MV VPN installeu el paquet pptp. Una vegada installat, editeu el fitxer:sudo apt-get install pptpdsudo vim /etc/pptpd.conf Modifica els segents parmetres del fitxer anterior:localip 172.16.1.1-99remoteip 172.16.1.100-199 Fes una captura de pantalla amb la modificaci anterior:




4. A la MV VPN editeu el fitxer:sudo vim /etc/ppp/chap-secretsEn aquest fitxer posareu l'usuari i la contrasenya del servei pptp.

Usuari: uservpn, Pass: p@ssw0rd, Protocol: pptpd, IP's que es poden connectar: * (totes)

Afegiu-los de la segent manera:uservpn pptpd p@ssw0rd *Reinicia el servei: sudo /etc/init.d/pptpd restart Fes una captura de pantalla amb la modificaci del fitxer anterior:

5. Connectar-se a la VPN des de el Client. Per fer-ho creareu una nova connexi de xarxa de tipus VPN

Mostreu una captura de pantalla similar a la que mostro a continuaci per amb les dades segents:

Pasarela: IP de la MV Router

Usuari: uservpn

Contrasenya: p@ssw0rd




A continuaci feu click a Avanat (en la pantalla anterior):

I seleccioneu Usar cifrado punto a punto (MPPE).

Connecteu-vos a la connexi vpn creada. Si heu seguit correctament els passos us informar de que s'ha

establert la connexi. Una vegada connectat realitza les segents captures de pantalla.

Fes una captura de pantalla de les interficies de xarxa del client vpn (ifconfig)




Fes una captura de pantalla de les interficies de xarxa del servidor VPN (ifconfig)



2251 CFGS Administraci de sistemes en xarxaMdul 11 Seguretat i Alta DisponibilitatUF2 Seguretat activa i accs remotU2 - Seguretat activa i accs remot

2251M11 EAC2 Enunciat 1415S2 Solucio v1

Documents

Transcript of 2251M11 EAC2 Enunciat 1415S2 Solucio v1