DSBOX: herramienta docente para el diseño y simulación deentornos de red virtualizados

Francisco J. Ribadas-Pena, Rubén Anido-Bande, Víctor M. Darriba-BilbaoDepartamento de Informática, Universidade de Vigo

Escola Superior de Enxeñería InformáticaEdificio Politécnico, Campus As Lagoas, S/N. 32004 Ourense

ribadas@uvigo.es, rabande@esei.uvigo.es, darriba@uvigo.es

ResumenEn este trabajo se describe DSBOX, una herramientagráfica para el diseño y simulación empleando virtu-alización de pequeñas redes de computadores. Se de-scribe el contexto que ha dado origen a esta herramien-ta y se detalla su arquitectura y las optimizaciones quese han realizado con el fin de dotar a los alumnos deuna herramienta operativa que les facilite la realizaciónde prácticas relacionadas con la seguridad informáticay la administración de sistemas. Se presenta tambiénun repositorio de actividades prácticas que hacen usode la herramienta desarrollada.

AbstractThis paper describes DSBOX, a graphical tool for thedesign and simulation of small computer networks,employing virtualization software. We describe thecontext where this tool was created and its architec-ture and the optimizations that have been made in or-der to provide our students with a tool giving supportto teaching activities in computer security and systemsmanagement. Finally, a repository with practical exer-cises using this tool is also described.

Palabras clavevirtualización, recurso docente, simulación de redes,seguridad, administración de sistemas

1. IntroducciónEn multitud de contextos dentro de la docencia de

Ingeniería Informática es habitual el uso de herramien-tas de virtualización, bien como un modo sencillo dedistribuir entornos de trabajo preconfigurados listos

para su uso o como un mecanismo para facilitar la real-ización de entregas por parte de los alumnos. Tambiénes frecuente el uso de virtualización en la docencia dematerias relacionas con la administración de redes ysistemas operativos o en ámbitos como la docencia deseguridad informática. Es precisamente en estos con-textos donde estas técnicas ofrecen todo su potencialdocente al permitir contar con pequeños laboratoriosde uso personal donde definir redes virtualizadas y ex-perimentar con herramientas y configuraciones simi-lares a las utilizadas en el mundo real.

En este trabajo se describe una herramienta docentedenominada DSBOX que ofrece una interfaz multi-plataforma para el diseño de redes virtualizadas y suposterior puesta en ejecución, haciendo uso, en su ver-sión actual, de la plataforma de virtualización Virtu-alBox (http://www.virtualbox.org/). Des-de el punto de vista técnico, se trata de una aplicaciónde escritorio desarrollada en Java donde el usuariopuede especificar los equipos que conforman la redsimulada y definir las conexiones entre ellos. Una vezdefinida la red, esta puede ser puesta en ejecución de-splegando las respectivas máquinas virtuales huéspedsobre el motor de virtualización de VirtualBox, quese encarga a su vez de simular los dispositivos de redque interconectan a los equipos simulados. La her-ramienta desarrollada permite incorporar cualquier im-agen compatible con VirtualBox, tanto las que formanparte de la distribución por defecto de DSBOX, co-mo cualquier otra imagen que se desee integrar en laredes diseñadas. El esquema empleado trata de sacarprovecho de las funcionalidades que ofrece el motorde virtualización VirtualBox para simplificar la con-figuración de las máquinas virtuales por parte de losalumnos, empleando para ello los mecanismos de co-municación con las máquinas huésped que ofrece estaherramienta. También se hace uso de imágenes difer-enciales para reducir los requisitos de almacenamientoy hacer posible la exportación e importación del estadode las simulaciones en curso.

Actas de las XXII Jenui. Almería, 6-8 de julio 2016ISBN: 978-84-16642-30-4Páginas: 335-342

335

Junto a la descripción de esta herramienta se in-cluye la presentación de un repositorio de actividadesguiadas relacionadas con aspectos de seguridad infor-mática y administración de sistemas. La herramientaDSBOX se ha desarrollado en el marco de la materia“Seguridad en Sistemas Informáticos” y este reposi-torio de actividades se ha alimentado con las prácti-cas de laboratorio propuestas en cursos precedentes,habiéndolas adaptado para emplear las imágenes basedisponibles en la distribución por defecto de DSBOXy generado los correspondientes ficheros de configu-ración con las especificaciones de las redes y de lasmáquinas virtuales necesarias.

El trabajo presentado se organiza en tres grandespartes. En primer lugar se describe el contexto en elque ha surgido el desarrollo de esta herramienta, de-tallando las necesidades específicas derivadas de ladocencia práctica en seguridad informática y admin-istración de sistemas que una herramienta como DS-BOX debe abordar, junto con una revisión de las her-ramientas similares actualmente existentes. La segun-da parte del trabajo detalla el diseño de DSBOX y lasestrategias empleadas para sacar provecho de las fun-cionalidades específicas ofrecidas por el entorno devirtualización empleado para hacer de DSBOX unaherramienta práctica y productiva desde el punto devista del alumno. Se describen también las funcional-idades y opciones que ofrece la versión actual de laherramienta. Finalmente, en la última parte del traba-jo se presenta el repositorio de actividades prácticasdisponible para su uso con esta herramienta de simu-lación, la estructura del mismo y la filosofía seguida enel diseño de este conjunto de actividades.

2. ContextoLa herramienta descrita en este trabajo, DSBOX,

surge como una evolución del esquema empleado porlos autores en la docencia práctica de la materia “Se-guridad en Sistemas Informáticos” [3], donde se em-pleaban redes de máquinas virtuales para proponer alalumnado entornos de trabajo cercanos a los reales. Eluso de máquinas virtuales para la construcción de labo-ratorios y entornos de experimentación es una prácticahabitual en el campo de la seguridad informática y dela administración de sistemas, tanto a nivel profesion-al como en el ámbito docente [4, 6]. La flexibilidad ylas ventajas que aportan estas tecnologías en este con-texto son bien conocidas y eliminan o atenúan muchosde los problemas típicos a la hora de afrontar las ac-tividades prácticas en este tipo de materias (acceso conprivilegios, uso de herramientas de administración, ex-plotación de vulnerabilidades, etc).

Trabajar con máquinas virtuales permite experimen-tar en entornos muy similares a los reales, con la ven-

taja del aislamiento, la facilidad de recuperación anteerrores o problemas y la posibilidad de replicar, co-municar y compartir los experimentos realizados sim-plemente mediante el intercambio de las imágenes uti-lizadas. Desde el punto de vista de la docencia, estosentornos virtualizados proporcionan numerosas venta-jas [5] y existe una variada bibliografía [1, 2] sobresu empleo en la docencia de Sistemas Operativos, Re-des de Computadoras o Seguridad Informática. Lasmáquinas virtuales son fáciles de crear y son muyseguras, ya que es posible aislarlas totalmente de lared de docencia y del exterior. La mayor parte delas herramientas de virtualización actuales contemplanla posibilidad de definir redes virtualizadas de com-plejidad arbitraria sobre las que podrán trabajar losalumnos. Adicionalmente, se consigue maximizar elaprovechamiento del tiempo de prácticas del alumno,ofreciéndole un entorno preconfigurado y adaptado es-pecíficamente a cada una de las actividades prácticasque se le propongan, reduciendo el tiempo y el trabajoextra necesario para su puesta en marcha.

En este contexto, con el desarrollo de DSBOX, seha pretendido ofrecer al alumno, dentro de una únicamáquina (bien sea un equipo de un laboratorio com-partido o bien su propio equipo personal), un entornovirtual a modo de “laboratorio personal”. Se pretendeque los alumnos trabajen con múltiples computadoresconectados formando pequeñas redes, listos para serusados, que contarán con una colección de herramien-tas preinstaladas y configuradas, simplificando al máx-imo las tareas de preparación y agilizando la puesta enmarcha de las actividades prácticas propuestas.

2.1. Herramientas similaresEn el uso docente de herramientas de virtualización

nos encontramos, por una parte, con el empleo direc-to de soluciones convencionales como QEMU, KVM(Kernel Virtual Machine), Xen, VMware, VirtualBox,herramientas basadas en éstas como Vagrant o inclusoel gestor de contenedores ligeros Docker. En esto casoes uso más habitual se da en la realización de pruebaso experimentos ocasionales o como una forma cómo-da de distribuir entornos preconfigurados y/o gestionarentregables por parte de los alumnos.

Por otra parte, nos encontramos también con her-ramientas más sofisticadas que se abstraen del softwarede virtualización subyancente, ofreciendo mecanismossimplificados para la configuración del entorno virtual-izado mediante documentos XML o incluso interfacesgráficas propias, como es el caso de DSBOX. Dentrode este tipo de herramientas tenemos ejemplos comoNetkit (http://wiki.netkit.org/) 1, basado

1Existe un proyecto derivado más reciente, Netkit-NG, https://netkit-ng.github.io/

336 XXII Jornadas sobre la Enseñanza Universitaria de la Informática

Figura 1: Visión general de DSBOX: escenario “Uso de Shorewall: DMZ con doble firewall” y configuración deconexiones en el cortafuegos contención.

en la plataforma de virtualización a nivel de sistemaoperativo User Mode Linux (UML); o como VirtualNetworks over LinuX (VNX) (http://web.dit.upm.es/vnxwiki/), que a su vez es una evoluciónde VNUML(Virtual Networks over User Mode Linux),también basada en UML, y que en VNX se ha abstraídode la plataforma de virtualización concreta empleandoel API de libvirt 2 e integrado el soporte para vir-tualización ligera mediante Linux Containers (LXC).En ambos casos, Netkit y VNX, se trata de herramien-tas con una clara orientación docente y los respectivosequipos de desarrollo mantienen sendos repositorios de“laboratorios” con diversos escenarios 3 4.

Otras herramientas similares a estas serían elproyecto Marionnet (http://www.marionnet.org/), originado como una interfaz gráfica paraNetkit, aunque sin actividad reciente; y el simu-lador GNS3. Graphical Network Simulator (http://www.gns3.com/) con un enfoque más general-ista, que permite experimentar con dispositivos CIS-CO emulados mediante la herramienta Dynamips yque soporta la inclusión de máquinas virtuales basadasen VirtualBox dentro de las redes emuladas. Para másdetalles, en [2] se presenta un estudio comparativo dealgunas de estas herramientas y de otras similares re-specto a su uso docente en la enseñanza de redes decomputadoras.

2http://libvirt.org/3Laboratorios Netkit: http://wiki.netkit.org/

index.php/Labs_Official4Laboratorios VNX: http://web.dit.upm.es/

vnxwiki/index.php/Allexamples

3. Diseño y funcionalidades deDSBOX

Nuestra propuesta está a medio camino entre los dosgrandes tipos de aproximaciones descritas en la sec-ción anterior. En el caso de DSBOX se hace uso deuna herramienta de virtualización convencional, Vir-tualBox, sobre la cual la interfaz gráfica desarrolladasimplifica la definición de los escenarios a emplear,siendo posible, no obstante, el uso de las máquinas yredes virtuales definidas directamente desde Virtual-Box, sin hacer uso de nuestra herramienta.

VirtualBox es una plataforma de virtualización com-pleta para arquitecturas x86 y AMD64, distribuida ensu versión básica bajo licencia GNU General PublicLicense v2 y disponible para GNU/Linux, MS Win-dows, Mac OS y Solaris. Permite la ejecución deuna amplia variedad de sistemas operativos en lasmáquinas virtuales huésped sin requerir privilegios deadministrador y permitiendo, si así se requiere, ais-lamiento total respecto al equipo anfitrión y la red dedocencia. Cuenta con una extensa documentación yuna amplia comunidad de usuarios. Desde el punto devista del diseño de DSBOX, las principales ventajasque aporta esta herramienta y que han llevado a su em-pleo son, por orden de importancia, las siguientes:

1. Soporte multiplataforma. Se trata de una her-ramienta disponible para los sistemas operativosy arquitecturas más usuales y que no impone re-stricciones especiales respecto al tipo de equipoanfitrión a utilizar. La principal limitación prácti-ca es la cantidad de memoria RAM disponible.

2. Soporta la emulación de múltiples interfaces de

Recursos docentes, Posters and Beers 337

red en cada máquina virtual, que se pueden in-terconectar con las de otros huéspedes o con elanfitrión, formando redes virtualizadas.Existen cuatro modos básicos: (a) modo NAT,que permite conexiones salientes desde los hués-pedes empleando NAT (Network Address Trans-lation) gestionada por el motor de VirtualBox;(b) modo Bridged, que permite el acceso direc-to del huésped a las redes donde resida el an-fitrión, configurando la correspondiente interfazde red en modo puente; (c) modo Host Only, quepropociona al huésped una interfaz de red a travésde la que puede comunicarse con el anfitrión; y(d) modo Internal Network, que proporciona unmecanismo para que distintas máquinas huéspedcompartan una red virtualizada común, aisladadel exterior y del propio anfitrión.En las simulaciones gestionadas por DSBOX,se utilizan fundamentalmente conexiones Inter-nal Network para definir redes locales arbitrariassegún las necesidades del escenario trabajado encada actividad. Cada una de estas redes virtual-izadas conforma un dominio de colisión, a modode concentrador o hub virtual, donde se conectanlas diferentes instancias de los equipos huésped.

3. Soporta la compartición de las imágenes de dis-cos virtuales entre diferentes máquinas huéspedy permite la creación de imágenes diferenciales.De este modo, es posible definir una única im-agen base que será reutilizada por todas lasmáquinas virtuales que conforman un escenariodado, ahorrando espacio de disco y minimizan-do los tiempos de descarga de las imágenes uti-lizadas. Asimismo, es posible distribuir imágenesdiferenciales que añadan modificaciones sobre lasimágenes iniciales, permitiendo una actualizaciónsencilla de los huéspedes utilizados.

4. Ofrece mecanismos de control de las máquinasvirtuales muy potentes y flexibles, más allá de suinterfaz gráfica. En concreto, la herramienta delínea de comandos VBoxManage permite con-figurar la totalidad de los parámetros relativos alas máquinas virtuales, así como controlar su eje-cución, haciendo posible la definición y controlde estas máquinas desde shell scripts fáciles dedistribuir y ampliar.VirtualBox también expone sus funcionalidades através de diversas APIs disponibles para distintoslenguajes de programación.

5. Permite la comunicación entre anfitrión y hués-pedes mediante el intercambio de Guest Proper-ties. Se trata de pares atributo-valor que son es-tablecidos por la máquina anfitrión, bien desde laherramienta VBoxManage o desde alguna de lasAPIs ofrecidas por VirtualBox. Los valores vincu-

Figura 2: Arquitectura y componentes de DSBOX.

lados a estos atributos que pueden ser recuperadosdesde las máquinas huésped que tengan instaladoel software denominado VirtualBox Guest Addi-tions, que proporciona una colección de driversnativos, servicios y ejecutables, entre ellos el co-mando VBoxControl que permite consultar losvalores de estas Guest Properties.En nuestro caso, este mecanismo se utilizará parainyectar en los equipos huésped los parámetrosde configuración especificados por los usuarios enlos correspondientes paneles de la interfaz de DS-BOX. De este modo, es posible configurar, desdeel exterior de las máquinas virtuales, aspectos co-mo las conexiones de red, rutas por defecto, nom-bres y direcciones de máquinas conocidas, etc.

3.1. Interfaz gráfica DSBOXEl objetivo primordial de DSBOX es simplificar al

máximo la creación de escenarios de red virtualizadospor parte de los usuarios finales. Esencialmente, DS-BOX proporciona un editor gráfico de redes donde sepueden vincular equipos, seleccionados a partir de unapaleta con los tipos de equipos disponibles, con dispos-itivos de red, seleccionados de entre la paleta de tiposde dispositivos soportados. Adicionalmente, es posibleconfigurar los parámetros de red de cada una de lasconexiones presentes en los equipos de la red, juntocon características relativas al modo en que VirtualBoxasignará recursos a las máquinas huésped, como puedeser la cantidad de memoria RAM o el porcentaje detiempo de CPU dedicado a cada máquina huésped.

Por último, desde la propia interfaz de DSBOX tam-bién es posible lanzar y controlar la ejecución de lasmáquinas virtuales que constituyen el escenario simu-lado, iniciándolas, suspendiendo su ejecución o final-izándola. En tiempo de simulación, a cada uno de losequipos le corresponderá una máquina virtual y los dis-tintos dispositivos de red serán simulados configuran-do, de forma apropiada, las conexiones de red de estasmáquinas, de acuerdo a las funcionalidades que ofrez-

338 XXII Jornadas sobre la Enseñanza Universitaria de la Informática

ca la plataforma de virtualización externa empleada.En la figura 1 se muestra un ejemplo del tipo de es-

cenarios que es posible diseñar con DSBOX. En con-creto, este caso se corresponde con la red utilizada en laactividad “Uso de Shorewall: DMZ con doble firewall”del repositorio de actividades prácticas que acompañaa DSBOX. Se muestra también uno de los paneles deconfiguración de las conexiones de red del cortafuegos“contención”.

En cuanto a la arquitectura de esta herramienta,cuyo código fuente está disponible en https://github.com/repossi/dsbox2/, se trata de unaaplicación de escritorio Java, desarrollada sobre eltoolkit gráfico JavaFX 8. Se ha diseñado buscando lamáxima modularidad, de modo que la interfaz gráficapara el diseño de redes sea independiente de los com-ponentes encargados de interactuar con la plataformade virtualización empleada para la creación, configu-ración y control de las máquinas virtuales que imple-mentan la simulación. En la versión actual se empleaVirtualBox como plataforma de virtualización exter-na, aplicando todas las optimizaciones descritas en lassecciones precedentes: compartición de imágenes basemediante imágenes diferenciales, uso de Guest Prop-erties para la configuración interna de los huéspedes,etc. Como se muestra en la figura 2, la interacción conVirtualBox se lleva a cabo empleando la API de servi-cios web disponible para esta herramienta, en concretola versión Java basada en JAX-WS (Java API for XMLWeb Services). De este modo, realizando invocacionesSOAP (Simple Object Access Protocol) a los métodospublicados mediante esta API es posible crear y config-urar las máquinas utilizadas y controlar su ejecución.

Por defecto, el tipo de equipos soportados por laversión actual de DSBOX emplea una imagen basecomún distribuida con la propia herramienta. No ob-stante, es posible utilizar cualquier tipo de imagen so-portado por VirtualBox. En estos casos no es posiblela configuración automática de las conexiones de red,salvo que en dicha imagen se cuente con scripts especí-ficos que procesen adecuadamente las Guest Proper-ties descritas en el cuadro 1. En lo que respecta al tipode dispositivos de red soportados, se corresponden conswitches o hubs Ethernet simulados configurando con-venientemente los equipos huésped para que empleenconexiones de tipo Internal Network. También se so-porta la simulación de dos tipos de conexiones con elexterior, utilizando los modos de conexión bridged yNAT ofrecidos por VirtualBox.

Por último, toda la información relativa a las re-des diseñadas y los datos necesarios para configurary poner en marcha las máquinas virtuales que poste-riormente las simularán se almacena en documentosXML (eXtensible Markup Language). Esta funcionali-dad hace posible la distribución, intercambio y modifi-

Imagen base (base.vdi)

Debian 8.x (Jessie)Entorno gráfico ligero LXDE (deshabilitado por defecto)VirtualBox Guest Additions 5.0.xServicios (desactivados por defecto):

servidor web (Apache 2)servidores inetd: telnetd, ftpd, fingerdservidor BD (mysql)servidor smtp (postfix)servidor pop3, imap (dovecot)servidor ssh (openSSH)servidor ldap (openLDAP)

Herramientas de seguridad:analizador de protocolos WIRESHARK

escaner de vulnerabilidades: OPENVASescaner de puertos NMAP (interfaz ZENMAP)metasploit frameworksistema de detección de intrusiones en red SNORT

sistema de detección de intrusiones en host SAGAN

cortafuegos: netfilter/iptablesinterfaces iptables: Firestarter, Shorewallconsola eventos IDS SNORBY

openVPN, openssl, easy-rsa, tinycaotras: netcat (nc), hping3, iptraf, netstat-nat, tcptraceroute

Aplicaciones web vulnerables:OWASP WebGOAT (http://webgoat.github.io/)Mutillidae (http://sourceforge.net/projects/mutillidae/)Damn Vulnerable Web App (http://www.dvwa.co.uk/)foro PHP vulnerable (desarrollo propio)Wordpress 1.5.1.1

Software general:clientes telnet, ftp y sshnavegador web modo texto Lynxnavegador web Mozilla Firefoxeditores: vi, nano, jed, leafpad

Otras herramientas:balanceo de carga basado en proxies (HAProxy)LinuxHA (heartbeat, pacemaker)

Tamaño de la imagen: aprox. 4,7 GB (2,1 GB comprimida)

Figura 3: Descripción de la imagen base común em-pleada en las actividades.

cación de los entornos de red diseñados.

3.2. Estructura de los equipos y las redesvirtualizadas

En lo que respecta al uso que se hace de las tec-nologías de virtualización a la hora de plantear el “lab-oratorio personal” ofrecido por DSBOX, el esquemaempleado es una evolución del descrito por los autoresen [3]. Se ha pretendido optimizar las necesidades dealmacenamiento mediante el empleo de imágenes dedisco diferenciales creadas a partir de una imagen basecomún. También se ha perseguido simplificar el proce-so de puesta en marcha de las simulaciones, consigu-iendo reducir al mínimo el trabajo del alumnado previoa la realización de las actividades en sí, automatizan-do tareas como la configuración de conexiones de red,direcciones y rutas.

En la distribución por defecto de DSBOX se dispone

Recursos docentes, Posters and Beers 339

CLAVE ATRIBUTO TIPO VALOR DESCRIPCIÓN

/DSBOX/num_interfaces núm. entero Número de dispositivos de red conectados a la MV huésped/DSBOX/{interface}/tipo cadena: dhcp ó static Asignación de direcciones IP para {interface}: modo au-

tomático con DHCP ó modo manual (configuración estática)/DSBOX/{interface}/address dirección IP Dirección IP a asignar {interface} en modo estático/DSBOX/{interface}/netmask máscara de red (formato

nnn.nnn.nnn.nnn)Máscara de red de {interface} en modo estático

/DSBOX/{interface}/broadcast dirección IP Dirección IP de broadcast de {interface} en modo estático/DSBOX/default_gateway dir. IP o nombre completo Dirección IP o nombre de la máquina que hace el papel de puerta

de enlace (ruta por defecto de la MV)/DSBOX/default_nameserver dirs. IP separadas por ”,” Direcciones IP de los servidores de nombres a utilizar por la MV/DSBOX/host_name cadena de texto Nombre completo de la máquina virtual en su respectiva red/DSBOX/etc_hosts_dump pares

nombre:direcciónseparados por ”,”

Pares (nombre máquina, dir. IP) a incluir en el fichero/etc/hosts del huésped (permite que las MVs sean accesi-bles por nombre sin necesidad de un servidor DNS propio en lared virtualizada)

Cuadro 1: Parámetros configurables en las máquinas virtuales mediante Guest Properties.

de una imagen base de un sistema GNU/Linux quehace uso de la distribución Debian 8.0, y que cuen-ta una serie de herramientas preinstaladas, junto conun conjunto de servidores típicos (gestor de base dedatos, servidor HTTP, etc) inicialmente deshabilitados.Los detalles de dicha imagen base se presentan en lafigura 3. Esta imagen es la que se utilizará para lan-zar la mayoría de los huéspedes que formarán parte delas redes virtuales diseñadas con DSBOX, para, de estemodo sacar provecho del soporte de imágenes diferen-ciales de VirtualBox y minimizar las necesidades dealmacenamiento.

Además del control de la simulación desde la inter-faz DSBOX, para cada entorno diseñado con esta her-ramienta, el usuario puede generar un shell script depuesta en marcha, tanto para GNU/Linux como paraMS Windows, que permite automatizar su puesta enfuncionamiento desde fuera de la interfaz gráfica. Es-tos scritps hacen uso de las funcionalidades de la her-ramienta VBoxManage y replican las funcionalidadesde la interfaz gráfica DSBOX, encargándose de creary definir los parámetros de las respectivas máquinashuésped, configurándolas para utilizar réplicas difer-enciales de la imagen base descrita anteriormente. Laotra gran responsabilidad de estos scripts es definirlas conexiones de red de los huéspedes en modo In-ternal Network de modo que se pueda realizar la in-terconexión entre huéspedes para conformar las redesvirtualizadas definidas. Adicionalmente, estos scriptstambién pueden configurar los parámetros de red pro-pios de cada huésped, como direcciones IP, máscarasde red, rutas, fichero /etc/hosts inicial, etc.

Para permitir la configuración automática de es-tos parámetros de red en los equipos huésped, tan-to desde DSBOX como desde los scripts de pues-ta en marcha, se hace uso de las Guest Proper-ties ofrecidas por VirtualBox. Las imágenes base quevayan a soportar la configuración automática de la

red deben de incluir un script de arranque específico(dsbox_network_autconfigure.pl) y deberán decontar con una instalación funcional de las Guest Ad-ditions de VirtualBox. Este script de autoconfiguraciónse ejecuta durante el arranque de las máquinas virtualesy consulta los valores de las Guest Properties descritasen el cuadro 1 mediante el comando VBoxControlpara, en el caso de que éstas estuvieran establecidas, in-vocar los correspondientes comandos de configuraciónde redes de la máquina huésped.

4. Repositorio de actividadesComo complemento a la herramienta de diseño de

entornos virtualizados DSBOX, se ha publicado unrepositorio web donde se recoge la colección de activi-dades y ejercicios basados en máquinas virtuales desar-rollados a lo largo de estos años de actividad docenteen la materia “Seguridad en Sistemas Informáticos”.En este repositorio, además de la imagen base utiliza-da, se incluye para cada actividad el documento XMLcon la definición DSBOX del entorno de red utiliza-do, los respectivos scripts de puesta en marcha paraGNU/Linux y MS Windows, junto con un fichero enformato Markdown con el código fuente del enunciadoy las instrucciones proporcionadas a los alumnos pararealizar cada actividad concreta.

Este repositorio está publicado en https://github.com/repossi/repossi/ y se organizaen 4 secciones, que se corresponden aproximadamentecon la estructura seguida en las actividades prácticasde las asignaturas de seguridad impartidas.

• Seguridad en redes. Incluye ejemplos de téc-nicas y herramientas de seguridad en redes, or-ganizados en dos subsecciones: (a) Protocolosseguros, donde se revisan los problemas deluso de protocolos no cifrados y se presentael funcionamiento interno de protocolos como

340 XXII Jornadas sobre la Enseñanza Universitaria de la Informática

SEGURIDAD EN REDES: SEGURIDAD PERIMETRAL DIFICULTAD HERRAMIENTAS/TECNOLOGÍAS

Uso de Shorewall: DMZ con doble firewall media shorewall, nmapUso de Shorewall: DMZ con firewall de 3 interfaces alta shorewall, nmapTúneles con openVPN media openvpn, openssl, tinyca, shorewallDMZ con firewall de 3 interfaces empleando NETFILTER/iptables media iptables, nmapSNORT: sistema de detección de intrusiones en red media snort, barnyard2, snorby, scapySAGAN: sistema de detección de intrusiones en host media snort, barnyard2, snorby, syslog

SEGURIDAD EN REDES: PROTOCOLOS SEGUROS DIFICULTAD HERRAMIENTAS/TECNOLOGÍAS

Análisis de protocolos y escaneo de puertos baja wireshark, nmapMan in the middle sobre SSL en redes locales media ettercap, sslsniff, sslstrip

DESARROLLO SEGURO DIFICULTAD HERRAMIENTAS/TECNOLOGÍAS

Aplicaciones web inseguras: SQLi y XSS baja wordpress, webgoat, mutillidae, dvwaSecurización de aplicaciones web con mod-security media mod-security, wordpress, mutillidae, dvwa

ADMINISTRACIÓN DE SISTEMAS DIFICULTAD HERRAMIENTAS/TECNOLOGÍAS

Autenticación centralizada en GNU/Linux: OpenLDAP y PAM alta openldap, pam, phpldapadmin, gosaControlador de dominio AD sobre MS Windows Server 2008 baja windows server, active directory, ldapBalanceo de carga con HAproxy baja haproxyAlta disponiblidad con LinuxHA (heartbeat y pacemaker) media linuxHA, heartbeat, pacemaker

TESTS DE INTRUSIÓN DIFICULTAD HERRAMIENTAS/TECNOLOGÍAS

Análisis de vulnerabilidades: openVAS baja nmap, openvasExplotación de vulnerabilidades: Metasploit sobre Metasploitable2 alta nmap, metasploit, armitage, metasploitable

Cuadro 2: Listado de actividades disponibles y herramientas empleadas.

TLS/SSL, y (b) Protección perimetral, con activi-dades relacionadas con el uso de cortafuegos y lasdistintas topologías disponibles para definir zonasdesmilitarizadas, ejemplos de uso de herramien-tas de detección de intrusos, así como solucionespara la construcción de redes privadas virtuales.

• Desarrollo seguro. Con ejemplos de vulnera-bilidades típicas en aplicaciones web. Se haceuso de aplicaciones educativas que cuentan in-tencionadamente con vulnerabilidades conocidas,como inyección SQL o Cross Site Scripting.También se presentan alternativas para mitigar es-tos problemas mediante el uso de “cortafuegos denivel de aplicación” como mod-security.

• Administración de sistemas. Se revisan cues-tiones relativas a la administración segura de sis-temas, fundamentalmente las relacionadas con laautenticación centralizada. Se incluyen tambiénejercicios complementarios relacionados con bal-anceo de carga y con soluciones de alta disponi-bilidad, que si bien van más allá de lo que abar-ca típicamente un curso sobre seguridad, sirvenpara mostrar la versatilidad de nuestra propuestaal aplicarla en otros campos relacionados.

• Tests de intrusión. Se presentan ejemplos de usode herramientas empleadas típicamente para darsoporte a tareas habituales en los tests de in-trusión, como detectores/analizadores de vulner-abilidades o frameworks de explotación de vul-nerabilidades como Metasploit.

En el cuadro 2 se detallan las actividades actualmentedisponibles dentro de cada una de estas secciones, jun-to con una indicación de las herramientas concretas tra-bajadas en cada una de ellas.

Se ha intentado seguir un esquema uniforme a la ho-ra de describir cada actividad. Así, la documentaciónde las actividades que actualmente forman parte delrepositorio responde a la siguiente estructura:

1. Descripción general de la actividad.- Objetivos (y vinculación con contenidos teóricos).- Escenario: redes, equipos, herramientas.- Recursos: información de las herramientas, man-

uales, tutoriales externos, etc.2. Desarrollo guiado.

- Documento XML con la especificación DSBOXdel entorno a utilizar.

- Scripts de puesta en marcha para entornosGNU/Linux y MS Windows.

- Pasos a seguir comentados.3. Actividades autónomas.

- Pruebas/experimentos a realizar.- Cuestionarios.

4. Descripción de entregables requeridos (opcional).

5. Uso docente y conclusionesSi bien DSBOX aún no ha sido puesto en uso a gran

escala en la docencia, en la figura 4 se presentan losresultados de las encuestas realizadas a los alumnosque durante los cursos 2013/14 y 2014/15 han utilizado

Recursos docentes, Posters and Beers 341

Figura 4: Evaluación global por parte del alumnado y principales problemas o dificultades.

la misma aproximación basada en máquinas virtualesen la que se basa DSBOX para llevar a cabo parte delas actividades prácticas de la materia obligatoria de 6créditos ECTS “Seguridad en Sistemas Informáticos”.Esta materia se ubica en el último curso del Grado enIngeniería Informática impartido en nuestro centro, laEscola Superior de Enxeñería Informática, ubicadadaen el Campus de Ourense de la Universidade de Vi-go . En ambas ediciones del curso sólo fueron uti-lizadas parte de las actividades incluidas en el repos-itorio descrito anteriormente, sin llegar a emplearse laherramienta DSBOX, que no estaba disponible en esemomento.

Los resultados en cuanto a la valoración global deluso de entornos virtualizados son positivos, así comola percepción de los alumnos respeto a su facilidad deuso, a la adecuación de las actividades propuestas conrespecto a los contenidos de la materia y al nivel de di-ficultad en el desarrollo de los ejercicios concretos queles fueron asignados. Nuestro objetivo es que con la in-troducción de DSBOX se simplifique aún más la real-ización de estas actividades prácticas, dado que añadefuncionalidades demandadas por los alumnos como laposibilidad de exportar e importar en otros equipos lassimulaciones en curso, de modo que permitirá trasladarel trabajo iniciado en el laboratorio a sus equipos per-sonales y viceversa.

Por último, en cuanto a las futuras líneas de traba-jo, el paso inmediato es integrar completamente el usode DSBOX en la docencia práctica y explorar mejoresformas de usar este tipo de actividades guiadas parafomentar el interés de los alumnos, sacando prove-cho de la facilidad de diseño de entornos virtualiza-dos que nos ofrece DSBOX para proponer tareas másautónomas que permitan profundizar en el aprendiza-je y asimilación de los conceptos y herramientas es-tudiadas. En cuanto al desarrollo futuro de DSBOX,la línea a seguir se orienta a mejorar las funcionali-dades relativas al control de la ejecución de las simula-ciones, la inclusión de asistentes que simplifiquen in-corporación de nuevas imágenes base y nuevos tipos deequipos a la paleta de componentes del editor de redeso incorporar el uso de otros motores de virtualización,

bien de forma nativa o mediante APIs independientescomo libvirt.

Referencias[1] Juan Antonio Gil Martínez-Abarca, Adolfo Al-

baladejo Blázquez, Francisco Maciá Pérez, Fran-cisco José Mora Gimeno, Segismundo FerrairóPons. Entorno de red virtual para la realización deprácticas realistas de administración de sistemasoperativos y redes de computadores. En Actas delas XI Jornadas sobre la Enseñanza Universitariade la Informática, Jenui 2005, pp. 349 – 356.Madrid, 2005.

[2] Fernando Pereñíguez-García, Antonio RuizMartínez, Francisco J. Ros, Rafael Marín Lópezy Pedro M. Ruíz Martínez. VNUML vs GNS3 enel desarrollo de laboratorios de redes virtuales. EnActas de las XVIII Jornadas sobre la Enseñanzauniversitaria de la Informática, Jenui 2012,pp.263 – 270. Ciudad Real, 2012.

[3] F.J. Ribadas-Pena, F.M Barcala-Rodríguez,V.M Darriba-Bilbao, J.Otero-Pombo. Diseño deun entorno virtualizado para la docencia prácticade Seguridad en Sistemas de Información. EnActas de las XIV Jornadas sobre la EnseñanzaUniversitaria de la Informática, Jenui 2008, pp.325 – 332. Granada, 2008

[4] J. Son, C. Irrechukwu, P. Fitzgibbons. A Compar-ison of Virtual Lab Solutions for Online CyberSecurity Education. Communications of the IIMA,Vol. 12(4), 2012

[5] Adam Vollrath, Steven Jenkins. Using virtual ma-chines for teaching system administration. Jour-nal of Computing on Small Colleges (JCSC), Vol.20(2), pp. 287–292, 2004.

[6] C. Willems, C. Meinel. Practical Network Secu-rity Teaching in an Online Virtual Laboratory.Proc. of 2011 International Conference on Secu-rity and Management, pp. 65–71, 2011.

342 XXII Jornadas sobre la Enseñanza Universitaria de la Informática