PDF de programación - Laboratorio Virtualizado de Seguridad Informática con Kali Linux

Universidad de Valladolid

E.U. DE INFORMÁTICA (SEGOVIA)

Trabajo de Fin de Grado

Laboratorio Virtualizado
de Seguridad Informática

con Kali Linux

Alumno: Fernando Gutiérrez Benito

DNI: 71106599-Y

Tutor: Juan José Álvarez Sánchez

Laboratorio Virtualizado de Seguridad en Kali Linux - Introducción

INTRODUCCIÓN



Una de las inquietudes que más ha crecido entre las empresas y particulares con respecto a la
informática se encuentra en el campo de la seguridad.
El auge de Internet ha provocado que las empresas ofrezcan en la red una gran cantidad de sus
servicios, sin embargo, esta lucrativa actividad no viene exenta de problemas y entre las mayores se
encuentra el tema de la seguridad.
El aumento del número de programas maliciosos así como delincuentes informáticos ha provocado
una subida de la demanda de los profesionales de esta especialidad, las empresas quieren que sus
servicios en la web y sus sistemas sean seguros.
Además, la aparición de dispositivos como móviles o tablets capaces de conectarse a la red no han
hecho sino aumentar aún más la preocupación sobre este tema, debido a la gran cantidad de
información personal que se pueden llegar a guardar en estos dispositivos.

El principal objetivo de la seguridad informática es evitar que alguien externo tenga acceso a
nuestros recursos y para ello se deben preparar una serie de medidas que protejan nuestros equipos
de accesos y escuchas no permitidos.

Una de las formas más prácticas, y probablemente la más eficiente, de comprobar el nivel de
seguridad de nuestras aplicaciones, equipos, redes, etc. es el uso de la llamada seguridad ofensiva
o aggressive security en inglés.
La estrategia de esta forma de seguridad consiste en lo que vulgarmente se conoce como “atacarnos
a nosotros mismos”, es decir, pondremos a prueba nuestros sistemas atacándolos como si fuéramos
hackers(1), buscando puntos débiles y vulnerabilidades que podamos explotar.
Una vez conseguido “hackearnos” y encontrado nuestras deficiencias de seguridad, podemos buscar
la manera de blindarnos contra esos ataques.

Por ejemplo, si hemos construido una página web con acceso a una base de datos MySql nos
interesará protegerla en lo posible protegerla contra ataques de SQL-injections. Para ello
intentaremos efectuar ataques de este tipo, ver cómo estas acciones consiguen éxito, cuánta
resistencia se opondría contra estos ataques y de qué forma debiéramos cambiar la página o la base
de datos para dificultar todo lo posible la entrada del intruso.

“El 99% de los problemas informáticos se encuentran entre la silla y el teclado”

Esta frase define muy bien cual es el eslabón más débil en la seguridad de un sistema, y no es otro
que el propio usuario. Después de todo, de poco sirve tener una clave muy segura si se deja
apuntada en un papel junto al equipo, por ejemplo.
Concienciar al usuario de usar los protocolos de seguridad mínimos (como el uso de contraseñas
fuertes) es fundamental a la hora de crear un sistema seguro.

(1) Pese a que es común que se llamen hackers a todos los “piratas” informáticos
malintencionados, en la comunidad y medios especializados se hacen varias distinciones, siendo
los hackers aquellos quienes buscan las vulnerabilidades en pos de probarse a así mismos y
mejorar la seguridad de los sistemas (como lo vamos a intentar nosotros) y los crackers aquellos
que intentan aprovecharse de las vulnerabilidades para beneficio propio.

3

Laboratorio Virtualizado de Seguridad en Kali Linux - Introducción

Sobre Kali

“The quieter you become, the more you able to hear”
“Cuanto mas silencioso seas, más serás capaz de escuchar”

Kali es una distribución Linux diseñada para la seguridad informática. Como la mayoría de
distribuciones Linux es de código abierto y gratuita así como la mayoría de sus herramientas.
Este sistema operativo contiene una gran colección de herramientas dedicadas a la auditoría
informática entre las que se encuentran las populares Hydra, Maltego, Ettercap o Zaproxy.
Las aplicaciones se encuentran divididas por secciones, dependiendo de que ramo de seguridad
abarquen.
Kali Linux fue desarrollada a partir de la distribución de seguridad Backtrack
(http://www.backtrack-linux.org/) la cual iba por su versión 5, por lo que muchos consideran a Kali
como un Backtrack 6.
Sin embargo, mientras Backtrack estaba basada en la distribución Ubuntu, Kali se reescribió sobre
Debian; considerada más segura y eficiente, aunque menos fácil de usar que Ubuntu.
Además, se facilitaron los accesos, haciéndola más agradable de manejar, y se actualizaron los
programas, corrigiendo errores y añadiendo nuevas funcionalidades.
Está fundada y mantenida por Offensive Security (https://www.offensive-security.com/)

4

Laboratorio Virtualizado de Seguridad en Kali Linux - Introducción

Sobre Proxmox

Proxmox es un programa virtualizador de código abierto. Su cometido es gestionar máquinas
virtuales, redes virtualizadas, clústeres HA, etc.
Se ha elegido esta plataforma de virtualización sobre otras (como Virtualbox que habíamos utilizado
anteriormente) debido a su mayor potencia y la capacidad de actuar remotamente.

Sobre Proxmox se ha montado el laboratorio de seguridad. Se ha instalado el sistema operativo Kali
Linux en una máquina virtual, así como los sistemas operativos (Windows) que iban a actuar como
víctimas en otras máquinas virtuales conectadas todas ellas por la red virtualizada de Proxmox

5

Laboratorio Virtualizado de Seguridad en Kali Linux - Introducción

Sobre el proyecto

El objetivo principal del trabajo fin de grado es construir un laboratorio de seguridad informática,
donde los alumnos puedan aprender la importancia de la seguridad así como la capacidad de
construir sus aplicaciones, redes y sistemas de la forma más segura posible.
Para ello se les enseñará a usar las herramientas de seguridad más utilizadas por los expertos en
seguridad, administradores de sistemas y hackers; todas ellas ya incluidas y preconfiguradas en la
distribución dedicada Kali Linux.

Se da por hecho que los alumnos tienen una base de conocimientos de ciertas asignaturas del grado,
en particular las asignaturas de redes y seguridad informática.

Se intentará mostrar los ejemplos de la forma más sencilla y amena posible, amén de ejercicios de
diversa dificultad para asentar los conocimientos aprendidos.
Se quiere, sobre todo, dar a los alumnos una base sólida desde la que puedan continuar sus estudios
e investigaciones en materia de seguridad informática si tienen el deseo de encaminar su vida
profesional hacia esta especialidad o si simplemente tienen curiosidad en este tema.

Dada la vasta cantidad de aplicaciones así como la enorme cantidad de opciones en cada una de las
herramientas incluidas en Kali se pretende que este proyecto se vea una toma de contacto para el
alumno que quiera introducirse en el mundo de la seguridad informática.

6

Laboratorio Virtualizado de Seguridad en Kali Linux - Introducción

La estructura del proyecto se ha dividido por capítulos según las herramientas a estudiar, lo cuál es
mucho más cómodo para el alumno a la hora de buscar secciones concretas.
Cada capítulo cuenta con sus propias secciones, iguales o similares entre sí, salvo aquellos que son
diferentes debido a la estructura del propio programa. Las mismas secciones (o las que son
similares) se han acompañado con el mismo tipo de icono para la comodidad del alumno en una
búsqueda rápida

Las secciones son:

•

•

Introducción: Una breve introducción a la aplicación y la vulnerabilidad que
explora

Índice del capítulo: Índice dedicado a la herramienta

• Objetivos: Objetivos didácticos a aprender por el alumno

• Básico: La forma de funcionamiento más básico del programa

• Avanzado: Otros funcionamientos más complejos

• Opciones: Opciones o subprogramas de la aplicación

•

¿Cómo funciona?: Funcionamiento interno de la aplicación. Esta sección puede
estar incluida dentro de otras, dependiendo de la estructura del propio programa

• Cuestiones: Preguntas al alumno. Se ha intentado que sean cuestiones que el
alumno deba responder experimentando con el programa en lugar de releer la
documentación

• Historia: Historia de la aplicación

•

Impacto: Impacto que ha tenido el programa en el mundo de la seguridad
informática

Se han incluido capturas de pantalla (o cuadros equivalentes si se trata de una terminal) así como
anotaciones (recuadros con la imagen de una chincheta
del
programa

) y alguna curiosidad cultural

7

Laboratorio Virtualizado de Seguridad en Kali Linux - Introducción

Desarrollo del Proyecto

El proyecto se ha desarrollado durante 2 meses, desde el 1 julio al 31 de agosto.

Las tareas siguientes han sido las siguientes:

•

Preparación de equipos: instalación de Kali Linux en los equipos propios (formateo y
particiones) y Proxmox y los diferentes sistemas operativos en el laboratorio de informática
de la Universidad
Proxmox: estudio y adaptación a esta plataforma de virtualización de sistemas

•
• Búsqueda de aplicaciones: Búsqueda de las aplicaciones que nos han parecido más

interesantes entre todas las presentes en Kali Linux

• Ettercap: investigación, pruebas y documentación de Ettercap
• Zaproxy: investigación, pruebas y documentación de Zaproxy
• Hydra: investigación, pruebas y documentación de Hydra
• Maltego: investigación, pruebas y documentación de Maltego
•

Fin de documentación: creación de la documentación completa.

Como se ve en el diagrama de Gantt se produjeron dos líneas de trabajo paralelas.
La primera línea consta de la preparación de equipos y el estudio de Proxmox.
Puesto que en agosto la facultad está cerrada, nos preocupamos de cerrar esta etapa durante el mes
de julio.
Mientras tanto se pudo ir avanzando en la búsqueda de aplicaciones y realizar el trabajo propuesto
con Ettercap en los equipos propios.

8

Laboratorio Virtualizado de Seguridad en Kali Linux - Introducción

Pres