Programación de herramientas de generación de tráfico malicioso aplicadas a una red virtual

 

Programming malicious traffic generation tools applied to a virtual network

 

Programação de ferramentas de geração de tráfego malicioso aplicada a uma rede virtual

 

 

		Luis Alberto Uvidia-Armijo I la.uvidiaa@uea.edu.ec https://orcid.org/0000-0002-1967-2494
	María Gabriela Moyano-Jácome II maria.moyano@espoch.edu.ec https://orcid.org/0000-00015460-1328

 

 

 

 

 

 

 

 

 

 

Correspondencia: la.uvidiaa@uea.edu.ec

 

Ciencias de la Computación

 

Artículo Científico

 

*Recibido: 25 de junio *Aceptado: 23 de agosto de 2021 * Publicado: 1 de septiembre de 2021

 

                                I.            Máster Universitario en Tecnologías Sistemas y Redes de Comunicaciones, Universidad Estatal Amazónica, Puyo, Ecuador.

                            II.            Máster Universitario en Tecnologías, Sistemas y Redes de Comunicaciones, Escuela Superior Politécnica de Chimborazo, Riobamba, Ecuador.

 

 

Resumen

Con la evolución de las telecomunicaciones y el pasar de los años, se ha visto que las empresas cada vez dependen más de su infraestructura de red, por consecuencia cualquier problema que se genere por más pequeño que sea puede llegar a colapsar sus operaciones. La falta de protección en las redes es un problema común hoy en día, de tal manera que ha surgido un número alarmante de ciberdelincuentes que cada vez mejoran sus habilidades de ataque obteniendo mayores beneficios incluso infiltrándose en la misma empresa. El trabajo actual contiene detalles de una recolección de información sobre seguridad informática y herramientas generadoras de tráfico malicioso, siendo necesarias a la hora de gestionar pruebas de desempeño y funcionalidad de una red empresarial, la mayoría de estas herramientas son de código abierto que están disponibles para poder ser utilizadas, modificadas o mejoradas por la comunidad académica de acuerdo con sus requerimientos. Posteriormente se diseña y simula una red IP virtualizada para poder demostrar el potencial de ataque de dichas herramientas, se realiza un análisis de resultados a tener en cuenta en caso de que suceda un ataque real, concluyendo con una descripción de métodos apropiados para contrarrestar los distintos ataques simulados.

Palabras clave: Programación; seguridad; ip.

 

Abstract

With the evolution of telecommunications and the passing of the years, it has been seen that companies increasingly depend on their network infrastructure, consequently any problem that is generated, no matter how small, can collapse their operations. The lack of protection in networks is a common problem today, in such a way that an alarming number of cybercriminals have emerged that each time improve their attack skills obtaining greater benefits even by infiltrating the same company. The current work contains details of a collection of information on computer security and tools that generate malicious traffic, being necessary when managing performance and functionality tests of a business network, most of these tools are open source that are available for be able to be used, modified or improved by the academic community according to their requirements. Subsequently, a virtualized IP network is designed and simulated in order to demonstrate the attack potential of these tools, an analysis of the results is carried out to take into account in the event of a real attack, concluding with a description of appropriate methods to counteract the different simulated attacks.

Keywords: Programming; security; Ip.

 

Resumo

Com a evolução das telecomunicações e o passar dos anos, tem-se verificado que as empresas dependem cada vez mais da sua infraestrutura de rede, pelo que qualquer problema que seja gerado, por menor que seja, pode colapsar as suas operações. A falta de proteção em redes é um problema comum hoje, de tal forma que um número alarmante de cibercriminosos tem surgido que a cada vez melhoram suas habilidades de ataque obtendo maiores benefícios até mesmo por se infiltrarem na mesma empresa. O presente trabalho contém detalhes de um conjunto de informações sobre segurança de computadores e ferramentas que geram tráfego malicioso, sendo necessárias no gerenciamento de testes de desempenho e funcionalidade de uma rede empresarial, a maioria dessas ferramentas são de código aberto que estão disponíveis para serem utilizadas, modificados ou melhorados pela comunidade acadêmica de acordo com suas necessidades. Posteriormente, é desenhada e simulada uma rede IP virtualizada para poder demonstrar o potencial de ataque das referidas ferramentas, é efectuada uma análise dos resultados para ter em consideração no caso de um ataque real, concluindo com uma descrição dos métodos adequados para neutralizar os diferentes ataques simulados.

Palavras-chave: Programação: segurança; ip.

 

Introducción

Con la evolución de las telecomunicaciones, el pasar de los años y las múltiples investigaciones sobre la seguridad de redes, se ha visto que las empresas cada vez dependen más de su infraestructura de red y cualquier problema que se genere, por más pequeño que sea puede llegar a colapsar las operaciones. La falta de protección de las redes es un problema muy común hoy en día, de tal manera que han salido a la luz un número alarmante de atacantes, y cada vez van mejorando sus habilidades de ataque obteniendo mayores beneficios incluso infiltrándose en la misma empresa.

Generalmente los ataques aprovechan vulnerabilidades de un sistema operativo, comúnmente desconocidos por el fabricante y que conllevan a dejar puertas abiertas para ciberdelincuentes, el proceso de establecimiento de una red segura requiere la necesidad de realizar pruebas de eficiencia y comportamiento, para lo cual se vuelve una necesidad muy relevante la utilización de herramientas que poseen la capacidad de generar tráfico de distintos tipos a redes ya sean reales o simuladas, con el fin de evaluar sus características y rendimientos logrando tener una mejor percepción del comportamiento de las mismas.

Debido a estos requerimientos varios investigadores han recurrido a la necesidad de desarrollar herramientas que posean la capacidad de realizar pruebas de funcionamiento simulando ataques a servidores en entornos virtuales como en redes de infraestructuras en el mundo real, con el objetivo de demostrar que se puede conseguir acceso al sistema, robo de información privilegiada, información de estados bancarios, y más comúnmente desestabilizar el sistema o servidor, encontrando vulnerabilidades del sistema de las cuales se pueda beneficiar el ciberterrorismo.

Gracias a la ayuda de estas herramientas se realiza una gestión de la red, y a partir de un reporte detallado de cada uno de los sucesos durante la ejecución del ataque, se generarán hipótesis en cuanto a qué pasa sí la red o los servicios se ven afectados por un ataque real, lo cual define que tan disponible y eficiente es la red y se determinará si cumple o no con calidad de servicio.

El trabajo actual contiene detalles de una recolección de información sobre seguridad informática y herramientas generadoras de tráfico, las cuales pueden ser de ayuda a la hora de gestionar pruebas de desempeño y funcionalidad de una red, la mayoría de estas herramientas son Open Source (de código abierto) las cuales están disponibles para poder ser utilizados, modificados o mejorados por la comunidad académica e investigadora de acuerdo a las especificaciones de cada investigación o trabajo a realizar.

El contenido de la investigación realizada nos permite apreciar que existe un gran número de herramientas generadoras de tráfico para la realización de ataques de distinto tipo, de los cuales se hace una breve reseña de sus características y aplicación. Adicionalmente se hace una descripción de los métodos para contrarrestar los ataques en distintos sistemas operativos.

 

 

 

Metodología

El presente trabajo consiste en una metodología teórica y práctica. En primer lugar, se ha efectuado una revisión teórica acerca del ciberterrorismo actual y los tipos de ataques más frecuentes, así como también los tipos de herramientas que se utilizan para generar tráfico malicioso, por otra parte, se ha revisado el estado del arte de la seguridad informática con propuestas y proyectos afines a su desarrollo. Para posteriormente realizar el diseño y simulación de una red IP virtual, que permite simular una empresa con equipos interconectados, mediante la utilización de un generador de entornos virtuales, a fin de demostrar la vulnerabilidad de la rede frente a diferentes tipos de ataques a los cuales se puede enfrentar, se ha realizado simulaciones con diferentes sistemas operativos para obtener resultados más apegados a un entorno empresarial de datos real.

 

Resultados

Se realizó la construcción y diseño de la red IP virtualizada en el equipo anfitrión conformada por un equipo servidor basado en el sistema operativo Ubuntu, tres equipos clientes y un equipo enrutador, mediante el uso de la herramienta Virtual Box se logró obtener simulaciones reales gracias a su optimo desempeño, una vez montada la red se usó las herramientas generadoras de tráfico malicioso en los equipos clientes, logrando efectuar diversos ataques al servidor de la red empresarial de entre los cuales están, el ataque de detección de puertos, ataque de fuerza bruta, ataque de hombre en el medio, ataque denegación de servicios y el ataque de suplantación de identidad (phishing), por otro lado se comprobó los análisis obtenidos mediante la herramienta Wireshark que permitió localizar los puertos, el protocolo y el equipo atacante utilizados para efectuar el ataque, logrando identificar las vulnerabilidades del servidor y de la red IP virtualizada. Finalmente se implementó mecanismos de control de ataques en los equipos que conforman la red, a través de la herramienta ESET smart security 9, el cual filtro ataques mediante el módulo de cortafuegos programable brindándonos la opción de eliminar o bloquear las potenciales amenazas, adicionalmente se implementó un cortafuegos generado a través de Iptables dentro del servidor Ubuntu, como complemento adicional se instaló la aplicación ARPwhatch la cual envía al administrador un correo electrónico en el momento que alguien intenta atacar el servidor Ubuntu, de esta manera pudimos contrarrestar los ataques generados. 

 

Ataque de escaneo de puertos y servicios

·         Herramienta generadora de tráfico Nmap

La herramienta Nmap se la instaló en un equipo cliente de la red que lleva como sistema operativo Windows Xp, como primer paso se descargó el archivo de instalación y se lo ejecutó, paso seguido aceptamos los parámetros de políticas de licencia, y seleccionamos los complementos de la herramienta y presionamos next, como se observa en la figura 1.

Fig.1: Instalación de complementos Nmap

Fuente: Autores, 2021

 

Una vez finalizada la instalación se procedió a ejecutar la herramienta, mediante el comando: nmap 192.168.1.17 se logró identificar los puertos disponibles con su respectivo servicio como se detalla en la figura 2.

Fig.2: Listado de puertos abiertos.

Fuente: Autores, 2021

Análisis de resultados

En el servidor: http://192.168.1.17, se detectaron puertos abiertos que poseen servicios de correo electrónico en los protocolos:

·      Smtp: (Simple Mail Transfer Protocol), protocolo empleado para el intercambio de mensajes de correo, proporciona su servicio de salida a través del puerto 25.

·       Http: (Protocolo de transferencia de hipertextos), protocolo empleado para compartir información con la web, proporciona su servicio de salida a través del puerto 80.

·      Pop3: (Protocolo de oficina de correo), protocolo empleado para recibir los mensajes de correo electrónico almacenados en un servidor, proporciona su servicio de salida a través del puerto 110.

·      Imap: (Protocolo de acceso a mensajes de internet), protocolo empleado para acceder a mensajes almacenados en un servidor web, proporciona su servicio de salida a través del puerto 143.

Posteriormente se implementó un escaneo más profundo mediante el código: namap –p110 –T4-A –v 192.168.1.17 que aplica los siguientes parámetros:

-p110: Genera el ataque al puerto (Pop3) por la ruta 110.

-T4: Toma control del temporizador controlando la sincronización.

-A: Permite generar una exploración minuciosa al equipo que está siendo atacado.

-v: Detalla la versión de Zemap o Nmap.

Los resultados obtenidos del análisis los detalla la figura 3, que se resumen en los siguientes:

• Distancia de la red: 2 saltos
• Latencia del Host: 0.0012s
• Capacidades de Pop3: implementacion de courier mail server.

Fig.3: Escaneo más profundo.

Fuente: Autores, 2021

 

Gracias a la implementación de la herramienta Wireshark en la maquina Servidor de Ubuntu, se logró monitorear los eventos generados aplicado un sondeo TCP/SYN, como podemos observar en la figura 4, se verifica el envío de paquetes de control SYN que permiten entablar una conexión real esperando que se cumpla con la petición de la conexión, confirmación de la conexión y recepción de la información, desde el atacante de la red (192.168.1.17); en primer lugar, se recibió una respuesta RST (reset) esto indica que no hay nadie escuchando en el puerto y se reiniciara la conexión debido a SYN duplicados, retardados o comprimidos entonces el puerto se marca como filtrado, a continuación se volvió a enviar un paquete SYN, esta vez se recibió una respuesta ACK indicando que el puerto está abierto y permitiendo una respuesta del protocolo Pop3 con la información (OK Hello There).

Fig.4: Monitoreo Wireshark.

Fuente: Autores, 2021

·         Herramienta generadora de tráfico Look@Lan

La herramienta Look@LAN 2.50 se la instaló en un equipo cliente de la red dotado con el sistema operativo Windows Xp, como primer paso se descargó el archivo de instalación y se lo ejecutó, paso seguido aceptamos los parámetros de políticas de licencia y presionamos next, como se observa en la figura 5.

Fig.5: Proceso de instalación Look@LAN.

Fuente: Autores, 2021

Una vez instalada la herramienta la ejecutamos y seleccionamos crear nuevo perfil y es ahí donde editamos el rango de direcciones IP, para la busqueda de equipos hablilitados dentro de la red, precionamos siguiente y arranca el escaneo de redes una vez termindado dicho escaneo arroja un reporte de red en el cual seleccionamos nuestra direccion Ip: 192.168.1.17 y se obtuvo los resultados mostrados en la figura 6.

·         Sistema operativo: Ubuntu

·         Puertos detectados.

·         Información adicional: Servidor Apache 2.4.7 (Ubuntu).

Fig.6: Resultados generados por Look@LAN.

Fuente: Autores, 2021

Resultados obtenidos mediante Wireshark

Se logró monitorear los eventos suscitados, como podemos observar en la figura 7, se verifica el envío de paquetes de control SYN, por parte del equipo atacante, esta vez se recibió una respuesta ACK indicando que el puerto está abierto y permitiendo el análisis del protocolo Http mostrando información sobre la página de inicio del webmail alojado en apache2.

Fig.7: Monitoreo Wireshark.

Fuente: autores, 2021

 

Ataque de hombre en el medio

·         Herramienta generadora de tráfico Cain&Abel

La herramienta Cain&Abel V 4.9.56, se la instaló en un equipo cliente de la red con sistema operativo Windows Xp, como primer paso se descargó el archivo de instalación y se lo ejecutó, paso seguido aceptamos los parámetros de políticas de licencia y presionamos next, como se observa en la figura 8.

Fig.8: Instalación herramienta Cain&Abel.

Fuente: Autores,2021

Una vez finalizada la instalación fue necesaria instalar WinpCap, que permite la captura de paquetes. Paso siguiente se ejecutó la herramienta Cain&Abel una vez ejecutada presionamos en el icono de interface para verificar que interface tenemos en nuestro caso usamos la tarjeta de red inalámbrica, luego pinchamos en la pestaña Sniffer, dentro de la pestaña pinchamos en el signo +  y seleccionamos un test total de la red, una vez escaneada nos aparecerán todos los dispositivos conectados a nuestra red, paso seguido en las pestañas de abaja le damos clic en ARP, en la primera zona de la pantalla le damos clic en el signo + y seleccionamos la IP del router y le damos en OK, empezara a capturar paquetes, luego nos dirigimos al navegador y entramos en una página de prueba en este caso la página del servidor de correo:

http://192.168.1.17/Webmail/src/login.php

Aquí ponemos nuestro usuario y contraseña y entramos, ahora vamos a la herramienta y pinchamos en la pestaña inferior Passwords estando ahí seleccionamos HTTP, y vemos que se ha generado el nombre de usuario la contraseña y la web, como podemos observar en la figura 9.

 

 

 

 

 

 

 

 

 

 

 

Fig.9: Herramienta Cain&Abel.

Fuente: Autores, 2021

Resultados obtenidos

La herramienta nos permitió almacenar el nombre de usuario, la contraseña y la dirección web generadas desde un cliente, evidenciando un ataque ARP el cual consiste en vincular la dirección MAC del atacante con la dirección IP del servidor, logrando recibir datos que están en tránsito, que se acceden mediante la dirección IP teniendo como destino el servidor.

     Utilizando Wirwshark se logró monitorear los eventos suscitados en el servidor, como podemos observar en la figura 10, se verifica el envío de paquetes de control SYN, por parte del equipo atacante, obteniendo como respuesta un paquete ACK además se capturó información sobre la página del servicio de Webmail.

Fig.10: Monitoreo de eventos hacia el servicio Webmail.

Fuente: Autores, 2021

 

Ataque de fuerza bruta

·         Herramienta generadora de tráfico Medusa

La instalación de la herramienta medusa se la realizo en el equipo cliente Ubuntu escritorio con sistema operativo Linux, mediante los comandos que se visualizan en la figura 11.

Fig.11: Instalación de la herramienta Medusa.

Fuente: Autores,2021

Añadimos el paquete APG que permite generar diccionarios de combinaciones de número símbolos y letras, mediante el comando:

 

Paso seguido ejecutamos el paquete APG para generar el diccionario que permite realizar el ataque de fuerza bruta con el siguiente comando:

 

En donde –m detalla el número mínimo de caracteres que se aplican a las contraseñas generadas, -x número máximo de caracteres que se aplican a las contraseñas generadas, -n indica la cantidad de contraseñas que se van a generar y password.txt representa el nombre del archivo el cual va a contener las contraseñas.

     Ejecutamos la herramienta sobre el servidor 192.168.1.17, esta a su vez mediante el protocolo POP3 trata de identificar al usuario1 mediante los comandos –h, que determina el host, -u, representa al usuario al que procede el ataque, -P, indica la ubicación del diccionario de contraseñas y –F, permite detener el ataque una vez encontrada la contraseña correcta. Logrando como resultado la obtención del nombre de usuario y la contraseña, como lo detalla la figura 12.

 

Fig.12: Ejecución del ataque.

Fuente: Autores, 2021

 

Resultados obtenidos

Se realizó un monitoreo aplicado al servidor 192.168.1.17 con la herramienta Wireshark en la cual se puede evidenciar los intentos por parte del equipo atacante tratando de probar contraseñas aleatoriamente, hasta lograr descifrar la contraseña correcta que en nuestro caso es 1560luis, logrando que el protocolo pop3 permita el acceso mediante la información C: PASS 1560luis y S: + OK logget in. Como podemos ver en la figura 13.

Fig.13: Descubrimiento de usuario y contraseña.

Fuente: Autores,2021

 

Ataque de denegación de servicios dos

Los ataques de DoS se realizaron, con el objetivo de saturar el servidor Web mediante las siguientes herramientas:

·         Herramienta generadora de tráfico Hping3

Se procedió con la instalación de la herramienta Hping3 en el equipo cliente Ubuntu escritorio, mediante la siguiente línea de comandos:

 

Una vez instalada la herramienta se ejecutó los siguientes comandos, -p, indica el puerto al que se va a inyectar tráfico, -S, inicializa la bandera de paquetes SYN, --flood controla la velocidad de inyección de los paquetes ordenando a hping3 que inyecte con la máxima velocidad al servidor 192.168.1.17, -d, determina la extensión del paquete en bytes, esto lo podemos apreciar más detallado en la figura 14.

Fig.14: ejecución del ataque mediante hping3.

Fuente: Autores,2021

Resultados obtenidos

Se monitoreo el servidor IP: 192.168.1.17 con la herramienta Wireshark en la cual se puede evidenciar la gran cantidad de paquetes enviados por parte del equipo atacante que lleva la IP: 192.168.1.16 hacia el servidor se puede observar que al momento de detener el ataque se han enviado 35520 paquetes mediante el puerto 80 de salida a la web, en la figura 30 se observa con más detalles.

Fig.15: Resultados del ataque.

Fuente: Autores,2021

 

·         Herramienta generadora de tráfico Perl

Se procedió con la instalación de la herramienta Perl en el equipo cliente Ubuntu escritorio, mediante la siguiente línea de comandos:

 

Una vez instalada la herramienta se procedió a descargar un script que controla la saturación del servicio Web mediante el puerto 80 dicho script está escrito en lenguaje de programación C++. Posteriormente se ejecutó los siguientes comandos, Ddos.pl, el cual posee el script para ejecutar el ataque, -dns, establece la dirección IP del servidor que va a ser atacado y –port, determina el puerto al cual se pretende colapsar con tráfico, esto lo podemos ver más detallado en la figura 16.

Fig.16: Proceso de ataque DoS.

Fuente: Autores, 2021

Ataque a la web (phishing)

El ataque phishing es cuando alguien clona una página y la utiliza para recabar datos se procede a demostrar dicho ataque con la utilización del sistema operativo Kalilinux implementado en la máquina de uno de los clientes de nuestra red el cual posee distintas herramientas para generación de ataques una de las cuales es:

·         Herramienta SetTokit

Es una herramienta de ingeniería social hecha específicamente para ataques de phishing, como primer paso se procedió a ingresar a la máquina virtual KaliLinux y posteriormente a la pestaña aplicaciones luego a herramientas de explotación y luego hacemos clic sobre SE, en la figura 17 podemos apreciar la interfaz de SET la cual se basa en menús y está desarrollada en lenguaje de programación python.

Fig.17: Selección de la herramienta SET.

Fuente: Autores, 2021

Una vez puesta en marcha la herramienta se procede a seleccionar la opción 1 que contiene una serie de submenús con una lista de ataques que se pueden efectuar, a continuación, se escoge la opción 2 (Vector de ataque a sitio Web), paso seguido se selecciona la opción 3 (Método de ataque de credenciales), luego se selecciona la opción 2 (clonar sitio) la cual especifica la clonación de una dirección Web, luego nos pide una dirección IP de redireccionamiento esta dirección es la que se la va enviar a la víctima en nuestro caso la pusimos 192.168.1.20 y finalmente se ingresó la URL del sitio Web a clonar, como se observa en la figura 18.

Fig.18: Resultado de Ataque phishing.

 

 

 

 

 

 

 

 

Fuente: Autores, 2021

Para hacerle más real el ataque se optó por enviar la dirección IP falsa mediante correo electrónico, de tal manera que la víctima piense que se trata de un correo propio de la empresa y caiga en el ataque phishing, para esto se seleccionó la opción (e-mail attack single email address), en donde se ingresó el correo electrónico de la víctima, adicionalmente se ingresó el correo del remitente y se elaboró el asunto del mensaje y el contenido del mismo, además se incluyó la IP falsa 192.168.1.20 a la cual va acceder la victima una vez que lea el mensaje, finalmente la herramienta Social Engineering atack (SET) se encargara de enviar el mensaje como podemos apreciar en la figura 19.

Fig.19: Cuerpo del mensaje a ser enviado a la víctima.

Fuente: Autores, 2021

Posteriormente, para corroborar el envío del ataque revisamos el correo electrónico simulando que somos la víctima, en la figura 20 podemos apreciar el mensaje recibido con el remitente Departamento de comunicaciones, el asunto Cambio de seguridad y la dirección IP a la cual se efectuará el Phishing.

Fig.20: Correo electrónico recibido.

Fuente: Autores,2021

Una vez que la víctima ingresa a la dirección IP enviada, se abre la página Web que clonamos, permitiendo de esta manera confundir a la víctima, una vez en la página fueron ingresados los datos de usuario (usuario1) y la contraseña (1560luis), como se aprecia en la figura 21.

Fig.21: Página Web clonada.

Fuente: Autores, 2021

Al momento que la víctima hace clic en (Login), el navegador rápidamente redirige a la página Web original.

Resultados obtenidos

Una vez terminado el proceso del ataque la herramienta SET almaceno los datos obtenido de la víctima y se visualizaron en el panel de control de la consola del atacante, además se creó un archivo de texto llamado CLAVES en la carpeta raíz de instalación de la herramienta, el cual contiene el nombre de usuario y contraseña de la víctima, como lo podemos ver en la figura 22.

Fig.22: Archivo generado por SET.

Fuente: Autores, 2021

Adicionalmente en la herramienta Wireshark se aprecia los continuos procesos de redireccionamiento de la página, desde la dirección IP falsa: 192.168.1.20 hasta la dirección IP: 192.168.1.17 del cliente, como podemos observar en la figura 23 los eventos identificados.

 

 

 

 

Fig.23: Eventos visualizados con Wireshark.

Fuente: Autores, 2021

Propuestas para contrarrestar ciberataques

Control de ataque de escaneo de puertos

Para hacer frente al ataque de escaneo de puertos, se realizó la implementación de la herramienta ESET Smart Security 9 dentro del equipo cliente de Microsoft, dicha herramienta posee la capacidad de contrarrestar amenazas de nivel de red (malware), sistema de bloqueo de intrusos a través del Host (HIPS), protección contra ataques basados en scripts, además mayor número de capas especiales de protección ante ataques de cibercriminales. En la figura 24 podemos visualizar la herramienta de protección.

Fig.24: Smart Security 9.

Fuente: Autores, 2021

Por otra parte, como medida de seguridad para el cliente Linux se implementó un potente cortafuego llamado UFW, el cual está desarrollado para abrir y cerrar puertos al momento de arrancar el sistema, otra de las ventajas es que solo se lo modifica con permisos de administrador con esta ventaja, cualquier intruso no puede hacer modificaciones en la herramienta, esto es posible gracias a la configuración de Iptables que habilita (ACCEPT) o deshabilita (DROP) puertos, las configuraciones que le aplicamos se pueden observar en la figura 25.

Fig.25: Configuración de las Iptables.

Fuente: Autores, 2021

 

Resultados Adquiridos

Se volvió a ejecutar la herramienta Look@LAN para escaneo de puertos la cual dio como resultado que ningún puerto está habilitado ya que anteriormente procedimos a deshabilitar el acceso a los puertos de los protocolos smtp, pop3, imap3, mysql, como podemos observar en la figura 26.

Fig.26: Herramienta Look@LAN sin resultados.

Fuente: Autores, 2021

De la misma manera de ejecuto la herramienta Nmap o Zenmap, evidenciando el mismo resultado de la herrameinta anterior la cual no arrojo ninguna informacion sobre el escaneo de puertos como se observa en la figura 27.

Fig.27: Ejecución de la Herramienta Zenmap sin resultados

 Fuente: Autores, 2021

Finalmente se ejecutó la herramienta Wireshark para evidenciar el rechazo de las conexiones que intentaban ser establecidas por parte de las herramientas Look@LAN y Nmap las mismas que fueron controladas en la configuración de las Iptables, en la figura 28 se observa el proceso de intentos de conexión.

Fig.28: Intentos fallidos de conexión.

Fuente: Autores, 2021

Control de ataque de hombre en el medio

Se buscó alternativas de control para este ataque y una de las cuales es la herramienta ESET Smart Security con su sistema de análisis en tiempo real se logró detectar una advertencia donde nos indicaba que se localizaron varias amenazas potencialmente peligrosas, entre ellas los archivos de ejecución de Cain&Abel que lleva extensión ejecutable (.exe), cabe destacar que la herramienta permite aplicar acciones de eliminar, desinfectar o dejar sin acciones, como podemos observar en la figura 29.

 

 

Fig.29: Advertencia amenazas encontradas.

Fuente: Autores, 2021

Por otro lado, en el servidor Ubuntu Linux se aplicó la herramienta ARPWATCH, la cual tiene la capacidad de emitir alertas en el preciso instante que el servidor se encuentra en proceso de un potencial ataque por parte de un equipo extraño a la red. Dicha alerta la realiza mediante el envío de correos electrónicos a una cuenta que se le asocie, en nuestro caso la configuración que la realizamos fue la siguiente:

Finalmente se recibió el correo de aviso de que un equipo con la dirección Ip: 192.168.1.18 en nuestro caso un equipo cliente de la red, intentó acceder al servidor Ubuntu, indicándonos la fecha y la hora del suceso, como se aprecia en la figura 30.

Fig.30: Correo de notificación de posible ataque.

Fuente: Autores,2021

 

Control de ataque de fuerza bruta

Para el control de ataques de fuerza bruta, se realizó la configuración de acceso a los puertos mediante las IPtables del equipo servidor Ubuntu, gracias a esto se pudo controlar el acceso a los puertos, para confirmar el correcto funcionamiento realizamos una prueba de ataque con la herramienta Medusa, pudimos ver que nos muestra un mensaje que dice que el puerto 110 (puerto del protocolo TCP que proporciona el servicio pop3) se encuentra inhabilitado y de esta forma deja de establecer comunicación y finaliza la ejecución, como se ve en la figura 31.

Fig.31: Ataque fallido con Medusa.

Fuente: Autores, 2021

Control de ataque de denegación de servicios

Para el control de ataques de fuerza bruta, se realizó la configuración de acceso a los puertos mediante las Iptables del equipo servidor Ubuntu, gracias a esto se pudo controlar la generación reiterada de tráfico hacia el servidor Web, para esto se añadió unas líneas de códigos las cuales cumplen la función de deshabilitar la conexión si detectan que se ha suscitado varios intentos de conexión, como podemos observar en la figura 32.

 

 

 

 

 

Fig.32: Intento fallido de conexión con el servidor Web.

Fuente: Autores, 2021

Finalmente se probo con la herramienta NetTools la misma que se evidencio que no se puede acceder al servidor Web debido a la restriccion que se le configuro en la Iptables, en la figura 33 se obseva el intento fallido de conexión.

Fig.33: Intento fallido de ataque DoS mediante Nettools5

Fuente: Autores, 2021

Control de ataque a la web (phishing)

Mediante el control de reglas del cortafuego UFW se pudo establecer un control total por parte del equipo servidor al generar un rango de direcciones IP que poseen permiso para ingresar a la comunicación con el servidor, como vemos en la figura 34, aquí nos muestra la regla que deshabilita el ingreso al puerto 80 desde un equipo externo hacia el servidor.

 

 

Fig.34: Regla de denegación de acceso al puerto 80.

Fuente: Autores, 2021

Al intentar realizar el ataque phishing desde el atacante externo en nuestro caso el cliente KaliLinux, fue imposible lograr establecer la conexión hacia el servidor Web, para poder capturar la información del contenido de la página Web víctima del ataque, en la figura 35 podemos observar el error que genera la herramienta SET al intentar comunicarse con el servidor

Fig.35: Intento fallido de conexión mediante SET..

’

Fuente: Autores, 2021

 

Conclusiones

·         Se realizó la construcción y diseño de la red IP en el equipo anfitrión conformada por un equipo servidor basado en el sistema operativo Ubuntu, tres equipos clientes y un equipo enrutador, se logró obtener simulaciones reales mediante el uso de la herramienta Virtual Box gracias a su optimo desempeño, además se logró efectuar diversos ataques a la red de entre los cuales están, el escaneo de puertos, fuerza bruta, hombre en el medio, y el phishing, por otro lado se comprobó los análisis obtenidos mediante la herramienta Wireshark la cual permitió localizar los puertos, el protocolo y el equipo atacante utilizados para efectuar el ataque, logrando identificar las vulnerabilidades del servidor y de la red IP virtualizada.

·         Finalmente se aplicaron soluciones de control en los equipos, a través de la herramienta ESET smart security 9, el cual filtro ataques mediante el módulo de cortafuegos programable brindándonos la opción de eliminar o bloquear las potenciales amenazas, adicionalmente se implementó un cortafuegos generado a través de Iptables dentro del servidor Ubuntu, como complemento adicional se instaló la aplicación ARPwhatch la cual envía al administrador un correo electrónico en el momento que alguien intenta atacar el servidor Ubuntu, de esta manera pudimos contrarrestar los ataques generados.

·         Partiendo del presente estudio se platea promover la generación de desarrollo, como base para futuros análisis a medida del avance de la tecnología y el pasar de los años con futuros ataques, además, es un sustento teórico para implementaciones en un entorno empresarial de datos real, ya que contiene puntos importantes como las posibles amenazas y ataques que puede ser víctima.

 

Referencias

1.      C. Vialfa, «Introducción a la seguridad informática,» Ccn, 15 Octubre 2016. [En línea]. Available: http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica. [Último acceso: 15 Junio 2017].

2.      M. A. Castañeda Vasquez, «Sistemas Operativos,» blogspot, Agosto 2011. [En línea]. Available: http://ingenieria-sistemas-sistemas-opera.blogspot.com.es/p/seguridad-informatica_15.html. [Último acceso: 18 Junio 2017].

3.      S. A. Kaabi, N. A. Kindi, S. A. Fazari y Z. Trabelsi, «Virtualization based ethical educational platform for hands-on lab activities on DoS attacks,» de Global Engineering Education Conference (EDUCON), 2016 IEEE, Abu Dhabi, 2016.

4.      T. Zseby, F. I. Vázquez, A. King y K. C. Claffy, «Teaching Network Security With IP Darkspace Data,» IEEE Transactions on Education , vol. 59, nº 1, pp. 1-7, 2016.

5.      J. Keller y R. Naues, «A Collaborative Virtual Computer Security Lab,» de e-Science and Grid Computing, 2006. e-Science '06. Second IEEE International Conference on, Amsterdam, 2016.

6.      M. Sánchez Gómez, «Infraestructuras Críticas y Ciberseguridad,» 6 Julio 2011. [En línea]. Available: https://manuelsanchez.com/2011/07/06/infraestructuras-criticas-y-ciberseguridad/. [Último acceso: 17 Junio 2017].

7.      G. Vani, «SlideShare,» 28 Diciembre 2013. [En línea]. Available: https://es.slideshare.net/gio_vani/scanners-29542462. [Último acceso: 18 Junio 2017].

8.      J. Vivancos Pérez, «Seguridad,» Seguridad y Alta Disponibilidad, 2012. [En línea]. Available: http://dis.um.es/~lopezquesada/documentos/IES_1213/SAD/curso/UT4/ActividadesAlumnos/13/herramientas.html. [Último acceso: 23 06 2017].

9.      L. Paus, «Welivesecurity,» 2 Febrero 2015. [En línea]. Available: https://www.welivesecurity.com/la-es/2015/02/02/manipulando-paquetes-hping3/. [Último acceso: 18 Junio 2017].

10.  F. Priáñez Gómez, «Formación Profesional a travéz de internet,» I.E.S Mar de Cádiz, 8 Septiembre 2016. [En línea]. Available: http://fpg.x10host.com/VirtualBox/qu_es_la_virtualizacin.html. [Último acceso: 18 Junio 2017].

11.  M. Ferrer Amer, «rootear,» rootear, 19 Agosto 2013. [En línea]. Available: https://rootear.com/virtualizacion/como-utilizar-virtualbox. [Último acceso: 18 Junio 2017].

12.  b. Boss, «Syconet blog de informática y redes,» Syconet, 7 Julio 2012. [En línea]. Available: https://syconet.wordpress.com/2012/07/07/introduccion-al-servidor-de-correo-postfix/. [Último acceso: 7 Junio 2017].

13.  E. Fumás Cases, «Apache HTTP Server: ¿Qué es, cómo funciona y para qué sirve?,» ibrugor, 11 Junio 2014. [En línea]. Available: http://www.ibrugor.com/blog/apache-http-server-que-es-como-funciona-y-para-que-sirve/. [Último acceso: 19 Junio 2017].

14.  M. A. Alvarez, «phpMyAdmin,» desarrolloweb.com, 19 Julio 2002. [En línea]. Available: https://desarrolloweb.com/articulos/844.php. [Último acceso: 20 Junio 2017].

15.  H. Hernández , «Definición y principales características de Joomla,» Hostname, 26 Noviembre 2012. [En línea]. Available: https://www.hostname.cl/blog/que-es-joomla. [Último acceso: 20 Junio 2017].

 

 

 

 

© 2021 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/)