Instalacion de un servidor vpn en windows 2008 server.

                                          Elegimos quienes se pueden conectar

Indicamos que la realizaremos a través de internet

Aquí configuramos el protocolo TCP para indicar el rango de ips

Rangos de ips

Finalizamos el proceso de instalación

Vemos como se ha creado la conexión vpn

Riesgos potenciales en los servicios de red


TCP/IP es la arquitectura de protocolos que usan los ordenadores para comunicarse en Internet. Emplean puertos de comunicaciones o numeración lógica que se asigna para identificar cada una de las conexiones de red, tanto en el origen como en el destino.

Los servicios de red más habituales tienen asignados los llamados puertos bien conocidos, por ejemplo el 80 para HTTP o web, 21 para FTP, 23 par TELNET, etc.

Los distintos sistemas y sus aplicaciones de red, ofrecen y reciben servicios a través de dichos puertos de comunicaciones. A través de un análisis exhaustivo de los puertos podemos asegurar nuestras redes. Éste análisis se puede realizar desde distintos frentes:

En una máquina local observando qué conexiones y puertos se encuentran abiertos y qué aplicaciones los controlan.

• El comando netstat permite ver el estado en tiempo real de nuestras conexiones
• El cortafuegos o firewall personales son una medida de protección frente a ataques externos.

En la administración de red para ver qué puertos y en qué estado se encuentran los de un conjunto de equipos.

• La aplicación nmap permite el escaneo de puertos, aplicaciones y sistemas operativos, en un rango de direcciones.
• Los cortafuegos y proxys perimetrales ofrecen protección mediante un filtrado de puertos y conexiones hacia y desde el exterior de una red privada.

Recomendaciones de seguridad en wlan.

Recomendaciones para mejorar la seguridad:

• Asegurar el punto de acceso,por ser el punto de control de las comunicaciones,cambiar la contraseña y actualizar el firmware.
• Aumentar la seguridad,usando encriptación wep o wpa/wpa2,cambiando las claves regularmente.
• Cambiar el SSID y desactivar el broadcasting SSID. Así se deberá conocer el SSID e introducirlo manualmente.
• Administración y monitorización minuciosa :

           -Desactivar el servidor DHCP y asignar manualmente las ip

           -Activar el filtrado por direcciones MAC.

           -Establecer el numero máximo de dispositivos que pueden conectarse.

           -Analizar periódicamente los usuarios conectados.

• Desconexión AP cuando no se use.
• Actualizar el firmware del dispositivo para evitar vulnerabilidades.

Redes Inalambricas

En los últimos años han irrumpido con fuerza las comunicaciones inalambricas,sus principales ventajas son:

• Brindan conectividad en cualquier lugar.
• Instalación simple y económica.
• Se amplían fácilmente,escalabilidad.

Riesgos y limitaciones:

• Utilizan rangos de radiofrecuencia sin costes de licencia.Estos rangos suelen ser de uso publico por lo que suelen estar saturados y las señales interfieren entre si.
• Problemas de seguridad.Cualquier equipo con tarjeta de red pude interceptar comunicaciones. 

Para proteger las comunicaciones se han desarrollado técnicas para proteger las transmisiones como la encriptación y la autenticación.

A pesar del deterioro de los materiales los medios de acceso físico son los mas seguros que existen en la actualidad.

Sistemas de seguridad en wlan.

Sistemas de cifrado:

• Sistema abierto:Sin autenticacion en el control de acceso a la red
• Wep: Sistema estandar diseñado en la norma básica de redes inalambricas 802.11.Emplea para la encriptacion de los mensajes claves de 13(104bits) o 5(40bits) caracteres.Metodos de autenticación:

                        -Sistema abierto.El cliente no tiene que identificarse.El cliente tendrá que tener la                                 clave wep correcta.

                        -Claves precompartida. Se envía la misma clave de cifrado wep para la                                                   autenticación,verificando y controlando el acceso.

• Wpa o acceso protegido a wifi:creado para corregir las deficiencias del sistema wep.Se proponen 2 soluciones según el ámbito de aplicación:

                        - Wpa Empresarial:La autenticación es mediante un servidor RADIUS,donde se                                   almacenan las claves y los usuarios.

                        -Wpa Personal:La autenticación se realiza mediante clave precompartida.

Una de las mejoras de WPA sobre WEP es la implementación de TKIP,que cambia claves dinamicamente.

Aportando mayor nivel de seguridad es posible emplear AES,requiere hardware mas potente.

Aunque WPA es mas seguro,uno de los grandes problemas es la compatibilidad y la disponibilidad de las distintas versiones.

 

Sistemas de detección de intrusos (IDS)

Un sistema de detección de intrusos o IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos de comprometer la seguridad de dicho sistema.

Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

Tipos IDS.

• HIDS (Host IDS): Protegen un único servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.

• NIDS (Net IDS): Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan en tiempo real todos los paquetes que circulan por un segmento de red ).

Arquitectura IDS

• Fuente de recogida de datos: Pueden ser un log, dispositivo de red o el propio sistema
• Reglas y filtros sobre los datos y patrones para detectar anomalías de seguridad en el sistema
• Dispositivo generador de informes y alarmas.

Con respecto a la ubicación del IDS se recomienda disponer uno delante y otro detrás del cortafuegos perimetral de nuestra red, para obtener información exacta de los tipos de ataques que recibe nuestra red .

Amenazas Externas e Internas.

Las amenazas de seguridad causadas por intrusos  pueden originarse tanto de forma interna como externa.

• Amenaza externa o de acceso remoto: Los atacantes son externos a la red privada o interna de una organización, y logran introducirse desde redes públicas. Los objetivos de los atacantes son servidores y routers accesibles desde el exterior.
• Amenaza interna o corporativa: Los atacantes acceden sin autorización o pertenecen a la red privada de la organización. De esta forma  comprometen la seguridad y sobre todo la información y servicios.

Para protegernos de las posibles amenazas internas algunas propuestas son:

1. Realizar un buen diseño de direccionamiento, parcelación y servicios de subredes dentro de nuestra red corporativa. Para ello se emplean distintas técnicas como subnetting, redes locales virtuales o VLAN y creación de zonas desmilitarizadas o DMZ, aislando y evitando que los usuarios puedan acceder directamente en red local.
2. Políticas de administración de direccionamiento estático para servidores y routers.
3. Monitorización del tráfico de red y de las asignaciones de direccionamiento dinámico y de sus tablas ARP.
4. Modificación de configuración de seguridad y, en especial contraseñas por defecto de la administración de servicios.
5. En redes inalámbricas emplear máximo nivel de seguridad

Tema6.Amenazas y Ataques.

 Las amenazas en comunicaciones podemos dividirlas en 4 grandes grupos:

• Interrupcion:servicio del sistema o datos se pierden,quedan inutilizados o no disponibles.
• Interceptación:Un elemento no autorizado consigue acceso a un determinado objeto.
• Modificación: Además de conseguir acceso, consigue modificar dicho objeto.
• Fabricación: modificación destinada a conseguir un objeto similar al atacado.

Algunas técnicas de ataque informático en redes son:

• Ataque de denegación de servicio(DoS): interrupción del servicio a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red o sobrecarga del sistema
• Sniffing: técnica de interceptación. Consiste en rastrear monitorizando el tráfico de una red
• Man in the middle (MitM): interceptación y modificación de identidad. Un atacante supervisa una comunicación entre dos partes, falsificando las identidades de los extremos.
• Spoofing: técnica de modificación. Modifica las tablas DNS redirigiendo un nombre de dominio conocido a otra máquina distinta, falsificada y probablemente falsificada

  NOTICIA.

http://unaaldia.hispasec.com/2010/05/aza-raskin-ha-desvelado-un-nuevo-metodo.html

¿Qué tipo de amenaza de las anteriormente vistas supone el Tabnabbing? ¿Como funciona?


Está basado en una técnica que permite modificar el aspecto de una página cuando no tiene el "foco" de la pestaña del navegador.


Un usuario navega hacia la página del atacante, que no tiene por qué simular ningún banco o página de login. Simplemente es una página más equipada con un código JavaScript que hará el "truco". La víctima cambia de pestaña (o de programa, lo importante es que pierda el foco) y sigue con sus visitas cotidianas a otras páginas. Mientras, la web del atacante cambia por completo gracias al JavaScript: el favicon, el título, el cuerpo... todo excepto el dominio, lógicamente. La página ahora podría parecerse a (por ejemplo) la web de login de Gmail. La víctima, vuelve a la pestaña más tarde y piensa que ha caducado su sesión. Introduce su contraseña y ésta viaja hacia el atacante.


¿Qué tipo de precaución podemos tomar ante este tipo de amenaza?


No tener abiertas demasiadas ventanas del navegador, para  controlar los cambios que experimenta nuestro navegador.

VPN.

Es una tecnología de red que permite una extensión de una red local de forma segura sobre una red publica,como Internet.

Algunas aplicaciones de dicha tecnología son la posibilidad de conectar utilizando la infraestructura de internet 2 o mas sucursales de una empresa,permitir conexiones desde casa ...
Los medios para realizarla de manera segura son:

• Autenticación y autorización: se controla a usuarios y equipos
• Integridad: Uso de funciones de resumen como MD5 Y SHA.
• Confidencialidad:La información solo puede ser interpretada por los destinatarios de la misma.
• No repudio:Los mensajes deben ir firmados.

Existen tres arquitecturas de conexión VPN:

1. VPN de acceso remoto.Usuarios o proveedores que se conectan a la empresa de manera remota.
2. VPN punto a punto.Conecta ubicaciones remotas como una oficina,con una sede central.el Servidor VPN acepta las conexiones,mediante tunneling se encapsulara un protocolo de red sobre otro creando un túnel dentro de la red.
3. VPN over LAN.Emplea la red de area local de la empresa,aislando zonas y servicios de red interna(se les puede añadir cifrado adicional mediante VPN).

El protocolo estandar que usa VPN es IPSEC pero también trabaja entre otros con :

• PPTP.Desarrollado por microsoft,disponible para plataformas windows,menor seguridad que L2TP.
• L2TP.Estandar abierto y disponible para la mayoría de plataformas.Se implementa sobre IPSec y proporciona altos niveles de seguridad

6.4 Comunicaciones seguras.

la mayoria de las comunicaciones que empleamos en la red como HTTP,FTP o SMTP/POP,no emplean cifrado.Existen protocolos que usan cifrado como SSH , a través del puerto 22.

Otras alternativas para establecer comunicaciones seguras son:

SSL Y TLS:protocolo de capa de conexión segura(SSL) y seguridad de la capa de transporte(TLS).
Se ejecutan en una capa entre los protocolos de aplicación y sobre el protocolo de transporte.

IPSEC,es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el protocolo de internet(IP) autenticando y/o cifrando cada `paquete ip en flujo de datos.Actuan en la capa 3 lo que hace que sea mas flexible ya que puede ser utilizado para proteger protocolos de la capa 4 incluyendo TSP,UDP.

Tema 6. Puertos de comunicaciones más vulnerables

La Port Vulnerability Reference (PVR) es un listado de puertos de Internet (TCP y UDP) con sus riesgos asociados. La idea es que usando esta tabla podras determinar de forma rápida y fácil los diferentes ataques que puedes sufrir en caso que tengas alguno de estos puertos abiertos.

• Unix.
• Windows (9x/NT/2000)
• Ambas Plataformas
• Paréntesis:
• (Troyano) El nombre lo dice todo.
• (Prog) Programa que usa un determinado puerto..

AMENAZA	PUERTOS
Posiblidad de sniffer.	21	FTP	TCP
Buffer Overflow Denegacion de Servicio (DoS) Ataque de Fuerza Bruta Punto de Acceso	22	SSH	TCP
Buffer Overflow Ataque de Fuerza Bruta. Punto de Acceso	23	Telnet	TCP
Buffer Overflow Denegacion de Servicio (DoS) Ataque de Fuerza Bruta Punto de Acceso Posibilidad de sniffer	25	STMP	TCP
Buffer Overflow Denegacion de Servicio (DoS) Recogida de Informacion Punto de Acceso	43	Ipswitch IMail 5.0 (Prog)	TCP
Denegacion de Servicio (DoS)	53	DOMAIN	TCP/UDP
Buffer Overflow Denegacion de Servicio (DoS) Punto de Acceso	69	Trivial FTP	UDP
Recogida de Informacion	80	HTTP	TCP
Ataque CGI Buffer Oveflow Denegacion de Servicio (DoS) Recogida de Informacion Punto de Acceso Posibilidad de sniffer.	110	POP3	TCP
Denegacion de Servicio (DoS) Ataque de Fuerza Bruta Punto de Acceso Recogida de Informacion	149	IMAP	TCP
Punto de Acceso	8080	HTTP	TCP

Para que sirven los puertos:

23: Telnet
135: Cuando un ordenador recibe una conexión en el puerto 135, sabe que debe dirigir el trafico hasta el epmap (Endpoint Mapper - Asignador de puntos finales) de la RPC (Remote Procedure Call - Llamada a procedimiento remoto).
443: HTTPS/SSL usado para la transferencia segura de páginas web

Tema 6 packet sniffers.

¿Qué es un packet sniffers?


Es un analizador de paquetes, un programa de captura de las tramas de una red de computadoras.
Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, cable de par trenzado, fibra óptica, etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el analizador pone la tarjeta de red en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la dirección MAC de la tarjeta; de esta manera se puede capturar (sniff, "olfatear") todo el tráfico que viaja por la red.
Los analizadores de paquetes tienen diversos usos, como monitorear redes para detectar y analizar fallos, o para realizar ingeniería inversa en protocolos de red. También es habitual su uso para fines maliciosos, como robar contraseñas, interceptar correos electrónicos, espiar conversaciones de chat, etc.

Sniffing/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, comoSSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing).	Ettercap
Es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la cual el ordenador está conectado	TCPDump
Es la versión para Windows de tcpdump (el cual funciona en Unix y derivados de él), siendo una herramienta gratuita de gestión y control de redes que funciona mediante línea de comandos. Permite diversas funciones como interceptar y mostrar los paquetes, TCP/IP o de otros tipos, que son transmitidos sobre la red a la que está conectado, o diagnosticar el estado de la red y guardar los registros en ficheros, todo esto en función de reglas más o menos complejas.	WinDump
WinSniffer es una herramienta de supervisión de paquetes y sniffing. Fue diseñado para oler contraseñas y que supuestamente puede oler los siguientes protocolos: FTP, POP3, HTTP, ICQ, SMTP, Telnet, IMAP y NNTP. La aplicación sólo mostrará los paquetes relevantes que contienen los nombres de usuario y contraseñas.También dará formato a esos paquetes para que el usuario promedio puede entenderlos. Así, en lugar de mostrar una enorme URL, Win Sniffer muestra una dirección IP de origen y destino, un protocolo y un nombre de usuario, y una contraseña	WinSniffer
Para Linux	Hunt
Herramienta muy sencilla de utilizar especial-mente desarrollada para monitorizar el tráfico de red en servidores, aunque puede utilizarse sin problemas en una red doméstica.	Darkstat
Sistema de detección de intrusiones para redes inalámbricas. Kismet funciona con cualquier tarjeta inalámbrica que soporte el modo de monitorización raw.	Kismet
Programa para Windows que permite detectar redes inalámbricas (WLAN). Existe una versión para Windows CE (PDA) llamada MiniStumbler	Network Stumbler

Tema 6 Seguridad en redes corporativas

A continuación se lista una serie de enlaces que permiten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior al contratado podría ser una sintonía de tener ocupantes no deseados en nuestra máquina ¿Son las velocidades de subida y bajada las esperadas?


http://www.adsl4ever.com/test/
http://www.testdevelocidad.es/

Tema 4 - ejercicio propuesto 10

Entra en la web http:/www.siteadvisor.com (McAfee) y verifica distintas URL de las que tengas dudas sobre su nivel de seguridad.

La mejor herramienta antimalware.

Conocer qué herramienta se ajusta mejor a nuestras necesidades en cuanto a consumo de recursos, opciones de escaneo y cantidad de malware encontrado en test de pruebas, no es fácil.


Muchas de las empresas desarrolladoras de software antimalware, muestran estudios en sus propias web demostrando que son mejores que la competencia, estos estudios pierden validez al ser realizados por la propia empresa.


Los estudios con más validez son los que son hechos por empresas o laboratorios independientes, entre las más importantes y precisas que realizan los estudios tenemos:



AV Comparatives http://www.comparatives.org
AV-Test.org http://www.av-test.org
ICSA Labs http://www.icsalabs.com
Virus Bulletin http://www.virusbtn.com
West Coast Labs http://vestcoastlabs.org


En ocasiones las herramientas antimalware no suponen una solución a una infección, ya que detectan posibles amenazas pero no corrigen el problema. En estos casos es más efectivo un control a fondo de los procesos de arranque, los que se encuentran en ejecución y otros archivos del sistema que hagan uso por ejemplo de las conexiones de red establecidas.

PROTECCIÓN Y DESINFECCIÓN.

PROTECCIÓN Y DESINFECCIÓN.

Es muy fácil prevenir el quedarse infectado siguiendo unas recomendaciones de seguridad:

•  Mantente informado en cuanto a novedades y alertas de seguridad.
•  Mantén actualizado tu equipo, tanto el Sistema Operativo como cualquier aplicación que tengas instalada, sobre todo herramientas antimalware (base de datos actualizada en función del nuevo malware que se conozca).
• Copias de seguridad: Hacerlas con cierta frecuencia y guardarlas en un lugar y soporte seguro.
• Software legal:Ventajas mayor garantía y soporte.
• Contraseñas: Fuertes para dificultar la suplantación de tu usuario.
• Crear diferentes usuarios en tu sistema: Permisos mínimos necesarios (realizar acciones permitidas) y utilizar la mayor parte del tiempo usuarios limitados (no modificar la configuración del sistema ni instalar aplicaciones).
• Utilizar Herramientas de seguridad: Proteger y reparar el equipo frente a amenazas. Actualizar la base de datos malware antes de realizar cualquier análisis ya que el malware muta y se transforma constantemente.
• Analizar nuestro sistema de ficheros con varias herramientas. Ya que si una herramienta no encuentra malware no significa que no estemos infectado. Es bueno el contraste de herramientas.
• Escaneo de puertos, test de velocidad y de las conexiones de red: Realizarlos periódicamente.
• No fiarse de herramientas antimalware que pueden descargase por Internet sobre todo si son de forma gratuita o alertan que tu sistema está infectado. ya que algunas pueden estar infectadas.

CLASIFICACIÓN DEL SOFTWARE ANTIMALWARE.

Existen numerosas herramientas antimalware dependiendo el frente que desees atajar.estas herramientas suelen estar desarrolladas para entornos  Windows aunque cada vez más aparecen infectados archivos alojados en servidores de archivos y correo bajo GNU/Linux.

-Antivirus: Programa informático específicamente diseñado para detectar, bloquear y eliminar códigos maliciosos. Pretende ser un escudo de defensa en tiempo real para evitar ejecuciones de archivos o accesos a web maliciosas. Existen versiones de pago y gratuitas.

Variantes actuales que podemos encontrar:

· Antivirus de escritorio: Instalado como una aplicación, permite el control antivirus en tiempo real o del sistema de archivos.

· Antivirus en línea: Aplicaciones web que permiten mediante instalación de plugins analizar nuestro sistema de archivos.

· Análisis de ficheros en línea: Comprobar si algún fichero sospechoso contiene o no algún tipo de código malicioso.

· Antivirus portable: No requiere instalación en nuestro sistema y consume una pequeña cantidad de recursos.

· Antivirus Live: Arrancable y ejecutable desde una unidad extraíble USB, CD, DVD. Permite analizar nuestro disco duro en caso de no poder arrancar nuestro sistema operativo tras quedar inutilizable.

Herramientas especificas:

· Antispyware: El spyware o programa espía: Son aplicaciones que se dedican a recopilar información del sistema en el que se encuentran instaladas para luego enviarla a través de Internet, generalmente a alguna empresa de publicidad. Herramientas de escritorio y en línea.

· Herramientas de bloque web: Informan de la peligrosidad de los sitios web que visitamos. Existen varios tipos de analizadores en función de cómo se accede al servicio: los que realizan un análisis en línea, los que se descargan como extensión/plugin de la barra del navegador y los que se instalan como una herramienta de escritorio.