72
25 de xuño de 2008 Miguel Angel Molinero Alvarez [email protected] Departamento de Computación Universidade de A Coruña Ferramentas de seguridade en GNU/Linux Curso de Extensión Universitaria Amenazas en redes GNU/Linux Herramientas de seguridad para redes: recopilación de información y análisis de tráfico

Herramientas de seguridad en redes. WIRESHARK. NMAP

Embed Size (px)

DESCRIPTION

Herramientas de seguridad en redes. WIRESHARK. NMAP Curso: Herramientas de seguridad en GNU/Linux

Citation preview

Page 1: Herramientas de seguridad en redes. WIRESHARK. NMAP

25 de xuño de 2008

Miguel Angel Molinero [email protected]

Departamento de ComputaciónUniversidade de A Coruña

Ferramentas de seguridade en GNU/LinuxCurso de Extensión Universitaria

Amenazas en redes GNU/Linux Herramientas de seguridad para redes: recopilación de información y

análisis de tráfico

Page 2: Herramientas de seguridad en redes. WIRESHARK. NMAP

2

Índice de Contenidos

Seguridad en Sistema InformáticosAmenazas a la seguridadTipos de ataquesFundamentos de redesElementos de redes de computadoresCómo obtener datos de la redCómo detectar sniffersHerramientasConclusiones

Page 3: Herramientas de seguridad en redes. WIRESHARK. NMAP

3

Seguridad en Sistemas Informáticos

Page 4: Herramientas de seguridad en redes. WIRESHARK. NMAP

4

Seguridad en Sistemas Informáticos

Es un elemento fundamental para proteger las estructuras organizativas de hoy en día.

La mejor arma para defendernos de ataques es utilizar el sentido común en el diseño de sistemas y contemplar todas las posibilidades: claves robustas, cambio periódico de claves, formación del personal, cuidado en la eleeción de nombres de equipos, etc.

Una máxima: El sistema de seguridad no puede ser más valioso que el sistema o los datos que protege.

Page 5: Herramientas de seguridad en redes. WIRESHARK. NMAP

5

Seguridad en Sistemas Informáticos

La seguridad debe garantizar la confidencialidad, la integridad y la disponibilidad de los datos protegidos.

La mayor parte de los ataques exitosos son debidos a Ingeniería Social total o parcialmente.

Kevin Mitnick es considerado el primer hacker que la usó. (Doc: Freedom downtown)

Page 6: Herramientas de seguridad en redes. WIRESHARK. NMAP

6

Seguridad en Sistemas Informáticos

Pocos ataques tienen éxito sin una preparación previa: Infiltrado de programas, recopilación de información sobre usuarios, claves, etc.

Un sistema de seguridad es tan fuerte como su eslabón más débil.

Para poder defender nuestros sistemas, es necesario conocer la forma en que los atacantes actúan y cuáles son sus armas.

Page 7: Herramientas de seguridad en redes. WIRESHARK. NMAP

7

Amenazas a la seguridad

Page 8: Herramientas de seguridad en redes. WIRESHARK. NMAP

8

Amenazas a la seguridad

Existen cuatro tipos de amenazas:

Interrupción: Hace que el objetivo del ataque se pierda, quede inutilizable o no disponible. Interceptación: Consiste en acceder a un determinado objeto del sistema.Modificación: Además de la interceptación, el objeto del ataque es modificado.Fabricación: Modificación destinada a suplantar el objeto real.

Page 9: Herramientas de seguridad en redes. WIRESHARK. NMAP

9

Amenazas a la seguridad

Origen de las amenazas

Personas: Piratas que buscan nivel de privilegios en un sistema. Además de conocimientos técnicos, usan tácticas como la Ingeniería Social y el Basureo.

Personal de la organización: Cualquier empleado puede ser una amenaza. Pueden causar daños no intencionados, pero cuando lo hacen de forma intencionada son extremadamente dañinos.Ex-empleados: Pueden tener motivos para atacar.Curiosos: Aunque se trata de ataques no destructivos, el borrado de huellas puede causar daños.

Page 10: Herramientas de seguridad en redes. WIRESHARK. NMAP

10

Amenazas a la seguridad

Origen de las amenazas:

Personas:Crackers: Realizan ataques malignos con el objetivo de utilizar, modificar o incluso destruir.Terroristas: Ataques destructivos con ideologías religiosas o políticas.Intrusos remunerados: Es el grupo más peligroso pero el menos habitual. Son piratas con experiencia pagados por terceros para atacar a la competencia empresarial, política, etc.

Page 11: Herramientas de seguridad en redes. WIRESHARK. NMAP

11

Amenazas a la seguridad

Origen de las amenazas:

Amenazas Lógicas: Son todo tipo de programas que de una forma u otra pueden dañar nuestro sistema, ya sea intencionadamente o por error.

Software incorrecto: Son la amenaza más habitual. Programas con bugs que generan errores en el sistema o que los intrusos pueden aprovechar (exploits).Herramientas de seguridad: Son armas de doble filo. Las usa el administrador para detectar fallos en los sistemas, pero también los atacantes para recopilar información.Puertas traseras: Son ‘atajos’ dejados por los programadores para acelerar los procesos de pruebas del software.

Page 12: Herramientas de seguridad en redes. WIRESHARK. NMAP

12

Amenazas a la seguridad

Origen de las amenazas:

Amenazas Lógicas:

Bombas lógicas: Partes del código de ciertos programas que permanecen inactivos hasta que se cumple cierta condición (ausencia o presencia de ciertos ficheros, fechas, etc.).Canales de comunicación ocultos: Permiten que un proceso transfiera información de forma que viole la política de seguridad.Virus: Son secuencias de código que se insertan en un fichero ejecutable denominado huesped.Gusanos (worms): Programas capaces de ejecutarse y propagarse por sí mismos a través de redes.

Page 13: Herramientas de seguridad en redes. WIRESHARK. NMAP

13

Amenazas a la seguridad

Origen de las amenazas:

Amenazas Lógicas:

Caballos de Troya (Troyanos): Son instrucciones de código escondidas en programa que realizan funciones ocultas, generalmente destinadas a tomar el control de un sistema (Por ejemplo, rootkit).Programas conejo (Bacterias): Son programas que no hacen nada salvo reproducirse hasta agotar los recursos del sistema.Técnicas salami: Robo automatizado de pequeñas cantidades de bienes de una gran cantidad original.

Page 14: Herramientas de seguridad en redes. WIRESHARK. NMAP

14

Amenazas a la seguridad

Origen de las amenazas:

Catástrofes: Sean naturales o artificiales, constituyen la amenaza menos probable. La defensa contra ellos se basa en recursos físicos y diseño adecuado de la sede física de nuestros sistemas.

IncendiosInundacionesTerremotosTormentas eléctricasTemperaturas extremas

Page 15: Herramientas de seguridad en redes. WIRESHARK. NMAP

15

Tipos de ataques

Page 16: Herramientas de seguridad en redes. WIRESHARK. NMAP

16

Tipos de ataques

Tipos de ataques:

Ingeniería Social: Manipular a las personas del entorno para obtener acceso a los sistemas o información fundamental para realizar ataques técnicos.Shoulder-surfing (‘mirar por encima del hombro’): Relacionado con el control de acceso físico. Consiste en espiar físicamente a los usuarios descuidados.Piggy-backing: Relacionado con el anterior. Hoy en día hace referencia al uso de redes wireless ajenas, pero su significado original era el de ‘colarse’ en un lugar detrás de otra persona.

Page 17: Herramientas de seguridad en redes. WIRESHARK. NMAP

17

Tipos de ataques

Tipos de ataques:

Masquerading (Suplantación): Suplantación electrónica o física de personas autorizadas para acceder al sistema u obtener información relevante sobre el mismo. El fishing podría considerarse un tipo de suplantación

Basureo: Paradójicamente, uno de los ataques más efectivos. Consiste en inspeccionar los dehechos en papeleras, contenedores, etc.

Actos delictivos: Actos tipificados como delito como la amenaza, el chantaje o el soborno.

Page 18: Herramientas de seguridad en redes. WIRESHARK. NMAP

18

Fundamentos de redes

Page 19: Herramientas de seguridad en redes. WIRESHARK. NMAP

19

Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Aplicación: Es nivel que las aplicaciones más comunes usan para comunicarse a través de una red con otros programas.Incluye protocolos de alto nivel como HTTP (Hyper Text Transfer Protocol), FTP (File Transfer Protocol), etc.

Page 20: Herramientas de seguridad en redes. WIRESHARK. NMAP

20

Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Transporte: Los protocolos del nivel de transporte se encargan de gestionar la fiabilidad y el orden de recepción de los paquetes enviados. También en este nivel se determina a qué aplicación (puerto) van dirigidos los datos.Existen dos protocolos fundamentales: TCP (fiable y orientado a conexión) y UDP (sin gestión de conexión).

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Page 21: Herramientas de seguridad en redes. WIRESHARK. NMAP

21

Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Internet: Este nivel se encarga de transportar paquetes a través de una red sencilla. Incluye el enrutamiento de paquetes a través de la red. El protocolo fundamental es el IP (Internet Protocol) que permite asignar direcciones únicas a los sistemas. Otros como ICMP (Internet Control Message Protocol) pueden ser considerados de este nivel a pesar de estar por encima de IP.

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Page 22: Herramientas de seguridad en redes. WIRESHARK. NMAP

22

Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Enlace: Especifica cómo son transportados los paquetes sobre el nivel físico, incluyendo los delimitadores. Es dependiente del hardware de red que utilicemos (tarjeta de red).Podemos encontrar tecnologías como Ethernet, ATM, token ring, etc.A este nivel se corresponden las direcciones MAC (Medium Access Control address).

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Page 23: Herramientas de seguridad en redes. WIRESHARK. NMAP

23

Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico Nivel Físico: Describe las características físicas de la comunicación. Detalla los conectores, código de canales y modulación, potencias de señal, longitudes de onda, temporización, etc.

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Page 24: Herramientas de seguridad en redes. WIRESHARK. NMAP

24

Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Medio Físico

Dir. MAC1 Dir. MAC2

Sistema Origen Sistema DestinoNivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Page 25: Herramientas de seguridad en redes. WIRESHARK. NMAP

25

Fundamentos de redes

Protocolo TCP/IP

Medio Físico

Dir. MAC1 Dir. MAC2

Sistema Origen (Dir. IP1) Sistema Destino (Dir. IP2)

Dato X Dato XPaquete X1 Paquete X2 Paquete X3

Page 26: Herramientas de seguridad en redes. WIRESHARK. NMAP

26

Fundamentos de redes

Protocolo TCP/IP

En la práctica, una máquina tiene dos direcciones:

Dirección IP (Nivel Internet): 192.168.100.1 Dirección MAC (Nivel Enlace): 12:34:56:78:9A:BC

Page 27: Herramientas de seguridad en redes. WIRESHARK. NMAP

27

Fundamentos de redes

Protocolo TCP/IP

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Medio Físico

Dir. MAC1 Dir. MAC2

Sistema Origen Sistema DestinoNivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Nivel Aplicación

Nivel Transporte

Nivel Internet

Nivel Enlace

Nivel Físico

Page 28: Herramientas de seguridad en redes. WIRESHARK. NMAP

28

Fundamentos de redes

Modo Promiscuo (Modo Monitor):

En modo promiscuo, una máquina intermedia captura todos los paquetes que desecharía.En lugar de limitar su recorrido al nivel de enlace, los paquetes pueden pueden ser procesados por aplicaciones en los niveles superiores.

¡¡GRAN FUENTE DE INFORMACION!!

Las máquinas en modo promiscuo suelen copiar cada paquete y ponerlo de nuevo en el medio para que lleguen a su destino real.

Page 29: Herramientas de seguridad en redes. WIRESHARK. NMAP

29

Fundamentos de redes

Modo Promiscuo (Modo Monitor):

Como herramienta de administración, el modo promiscuo resulta muy útil para conocer que paquetes atraviesan nuestra red.Es especialmente útil en los routers que unen varias redes: detectar errores, ataques, pérdida de paquetes o actividades extrañas.Como herramienta de ataque, permite obtener datos de la red. Incluso es posible obtener datos concretos de las aplicaciones de un equipo e incluso nombres de usuario y passwords.En Linux, podemos activar el modo promiscuo simplemente haciendo:

sudo ifconfig <interfaz> promisc (-promisc)

Page 30: Herramientas de seguridad en redes. WIRESHARK. NMAP

30

Elementos de redes de computadores

Elementos:Hub: Extienden las redes LAN. Son simplemente repetidores que envían TODOS los paquetes por TODOS sus puertos conectados.Switch: Son hubs avanzados. Son capaces de reconocer direcciones MAC de los equipos conectados a cada uno de sus puertos y redirigir el tráfico a su correcto destinatario.Router: Conecta subredes trabajando en el niver internet. Es decir, es capaz de distribuir el tráfico en base a direcciones IP. Además, es capaz de ejecutar aplicaciones de control, filtrado, etc. sobre los paquetes que distribuye.

Page 31: Herramientas de seguridad en redes. WIRESHARK. NMAP

31

Cómo obtener datos de la red

Page 32: Herramientas de seguridad en redes. WIRESHARK. NMAP

32

Cómo obtener datos de la red

Capturando paquetes de red:

Es necesario estar en modo promiscuo y estar conectado al mismo segmento de red que la víctima.Si el elemento que une las redes es un hub (que actúa a nivel de enlace), no necesitamos realizar ningún paso adicional.En cambio, si es un router (que actúa a nivel de red o nivel internet) sólo podremos engañarlo si le saturamos o suplantamos la IP de la puerta de enlace.

Page 33: Herramientas de seguridad en redes. WIRESHARK. NMAP

33

Cómo obtener datos de la red

Capturando paquetes de red:

Si lo que tenemos es un switch, es posible capturar paquetes de la red mediante ciertas técnicas.

Page 34: Herramientas de seguridad en redes. WIRESHARK. NMAP

34

Cómo obtener datos de la red

Capturando paquetes de red:

Un switch trabaja en el nivel de enlace, habitualmente en modo hardware para ser más rápido.

Los switches son la forma más común de segmentar redes en subredes para mejorar su rendimiento y su seguridad

No distingue los protocolos del nivel superior (IP, IPX, Appletalk, etc. ) y por lo tanto toma decisiones menos inteligentes que un router.

Page 35: Herramientas de seguridad en redes. WIRESHARK. NMAP

35

Cómo obtener datos de la red

Capturando paquetes de red:

Habitualmente, funcionan en modo aprendizaje (memorizar parejas MAC-puerto).En este modo, crea una tabla con las direcciones MAC de origen de los paquetes que van pasando por él:

Si llega una nueva MAC de origen que no está en sus tablas, la guarda junto con el número de puerto por el que llegó.Si llega una nueva MAC de destino que no está en su tabla se reenvía por todos los puertos menos por el que llegó.

Page 36: Herramientas de seguridad en redes. WIRESHARK. NMAP

36

Cómo obtener datos de la red

Capturando paquetes de red:

Es posible configurar el modo de funcionamiento del switch entre modo aprendizaje o modo manual (la tabla de direcciones debe crearse manualmente).

Page 37: Herramientas de seguridad en redes. WIRESHARK. NMAP

37

Cómo obtener datos de la red

Engañando al switch: Saturando el switch

El switch tiene un espacio de memoria para direcciones limitado.Cuando la memoria se llena, es decir, cuando el switch se satura, puede actuar de varias maneras:

Enviar las tramas a todos los puertos.Ignorar las direcciones que no estén en sus tablas.Enviar las tramas por puertos equivocados.Reiniciarse.

La defensa contra este tipo de ataques consiste en usar siempre el modo manual.

Page 38: Herramientas de seguridad en redes. WIRESHARK. NMAP

38

Cómo obtener datos de la red

Engañando al switch: ARP redirect

Incluso estando en modo promiscuo, es posible que no todos los paquetes lleguen a nuestra máquina.Podemos forzar esta situación haciendo creer al resto de equipos de la subred que nuestra máquina es la puerta de enlace de la red.Para ello, podemos utilizar el paquete dsniff: Este paquete contiene una serie de herramientas para captura y análisis de paquetes de una red.

Page 39: Herramientas de seguridad en redes. WIRESHARK. NMAP

39

Cómo obtener datos de la red

Engañando al switch: ARP redirect

El comando arpspoof permite engañar a la red enviando un paquete diciendo que la dirección MAC de la puerta de enlace es precisamente nuestra MAC.

Lograremos esto enviando paquetes ARP no solititadas a nuestra victima/s:sudo arpspoof -t <ip_victima> <ip_puerta_de_enlace>

Page 40: Herramientas de seguridad en redes. WIRESHARK. NMAP

40

Cómo obtener datos de la red

Engañando al switch: ARP redirect

La víctima procesará este mensaje y tomarñá nuestro equipo como puerta de enlace de la red.Este efecto es temporal, ya que la puerta de enlace verdadera también enviará sus propios paquetes.Por defecto, Linux descarta todos los paquetes que no son dirigidos a nosotros, así que para que la víctima no pierda la conexíón, debemos redirigir todos los paquetes a la puerta de enlace original:echo “1” > /proc/sys/net/ipv4/ip_forwardecho “0” > /proc/sys/net/ipv4/ip_forward (para desconectarlo)

Page 41: Herramientas de seguridad en redes. WIRESHARK. NMAP

41

Cómo obtener datos de la red

Engañando al switch: Técnicas ICMP

ICMP sirve fundamentalmente para enviar informaciones de control entre las máquinas.

ICMP Redirect: Sirve para decir a una máquina que utilice una ruta (una puerta de enlace) alternativa. De este modo, podriamos decir que envíe todo su tráfico a nuestra máquina para que podamos capturarlo.ICMP Router Advertisements:Informa directamente cuál es el router.

La mayoría de los sistemas no usan estos paquetes ICMP. Incluso es posible encontrar el puerto ICMP cerrado (Puerto 8) para paquetes ICMP echo (ping).

Page 42: Herramientas de seguridad en redes. WIRESHARK. NMAP

42

Cómo obtener datos de la red

Engañando al switch: Suplantar MAC de la vícitma

Para capturar el tráfico de una máquina o subred concreta, podemos suplantar su identidad.

Enviaremos al switch paquetes ARP en los que hayamos cambiado nuestra MAC por la de la víctima. Así, el switch asociará a nuestro puerto todo el tráfico que vaya destinado a esa máquina o subred.

Page 43: Herramientas de seguridad en redes. WIRESHARK. NMAP

43

Cómo obtener datos de la red

Engañando al switch: Suplantar MAC de la vícitma

Sin embargo, este efecto es temporarl puesto que la máquina real enviará también tramas al switch:

Podemos hacer un ataque de Denegación de Servicio (DoS) a la máquina objetivo.Podemos robar todas las tramas enviando paquetes que suplanten su MAC continuamente. Los paquetes que recibamos para la víctima, debe de serle reenviados.

Page 44: Herramientas de seguridad en redes. WIRESHARK. NMAP

44

Cómo obtener datos de la red

Engañando al switch: usando un hub

Si tenemos acceso físico a la red, podemos capturar todo su tráfico simplemente poniendo un hub entre dos switches.Esta técnica es tremendamente efectiva y muy difícil de detectar.

¡¡LA SEGURIDAD FÍSICA ES MUY IMPORTANTE!!

Page 45: Herramientas de seguridad en redes. WIRESHARK. NMAP

45

Cómo detectar sniffers

Page 46: Herramientas de seguridad en redes. WIRESHARK. NMAP

46

Cómo detectar sniffers

La idea es detectar equipos en la red que estén en modo promiscuo.

La mayoría de las técnicas se basan en intentar que el intruso se traicione a sí mismo respondiendo a un mensaje al que nadie debería responder.

Page 47: Herramientas de seguridad en redes. WIRESHARK. NMAP

47

Cómo detectar sniffers

El método Ping: Consiste simplemente en enviar una petición ICMP echo request, con una dirección IP de destino correcta, y una dirección MAC incorrecta.Una máquina en modo promiscuo responderá

a este mensaje delatándose.Algunos sniffers ya cuentan con protección

ante esto mediante filtrados de direcciones MAC.

El método ARP: Similar al anterior pero con paquetes ARP.

Page 48: Herramientas de seguridad en redes. WIRESHARK. NMAP

48

Cómo detectar sniffers

Método de Decodificación: Consiste en establecer varias conexiones en las que se transmita sin cifrar el usuario y contraseña de cuentas ficticias.Luego, monitorizaremos dichas cuentas para

detectar si algún intruso las ha utilizado y por tanto estaba a la escucha.

Medidas temporales: Existen otros métodos basados en sobrecargar la red con muchos paquetes, de modo que la máquina en modo promiscuo se sobrecargue también. En este caso podríamos descubrirla comparando los tiempos de repuesta de ciertas peticiones (Por ejemplo ping).

Page 49: Herramientas de seguridad en redes. WIRESHARK. NMAP

49

Herramientas

Page 50: Herramientas de seguridad en redes. WIRESHARK. NMAP

50

Herramientas

Sniffers/Capturadores de Tráfico:tcpdump:

Está formado por un conjunto de programas cuya utilidad principal es analizar el tráfico que circula por la red.

No suele instalarse por defecto con las distribuciones Linux.

Ofrece múltiples opciones usando parámetros al ejecutarlo: tamaño de paquetes capturados, resolución de nombres de máquinas, redirección a fichero de los resultados, etc.

Para ejecutarlo:tcpdump -i <interfaz>

Page 51: Herramientas de seguridad en redes. WIRESHARK. NMAP

51

Herramientas

Sniffers/Capturadores de Tráfico:tcpdump:

Permite establecer filtros para determinar que paquetes capturar en base a tres modificadores:

Tipo: Puede ser host (una máquina), net (una red) o port (un puerto/protocolo).

tcpdump -i eth0 host este.uvigo.es

Dirección del flujo: Puede ser src (origen) o dst (destino).

tcpdump -i eth0 src este.uvigo.es

Protocolo: Puede ser tcp, udp, ip, ether, arp, y muchos otros.

tcpdump -i eth0 tcp

Page 52: Herramientas de seguridad en redes. WIRESHARK. NMAP

52

Herramientas

Sniffers/Capturadores de Tráfico:tcpdump:

Los filtros pueden combinarse mediante conectores lógicos (and, or y not) para generar filtros más complejos:

tcpdump -i eth0 tcp and host este.uvigo.es

tcpdump -i eth0 http or telnettcpdump -i eth0 tcp and (port 22 or port 23)

Page 53: Herramientas de seguridad en redes. WIRESHARK. NMAP

53

Herramientas

Sniffers/Capturadores de Tráfico:Wireshark (Antes Ethereal):

Es un analizador de tráfico de red OpenSource de gran potencia.

Es un front (una interfaz) para tcpdump por lo que sus funcionalidades son las de éste, más algunas propias de la interfaz.

Proporciona poderosos filtros de captura y de visualización así como estadísticas del tráfico de red.

Page 54: Herramientas de seguridad en redes. WIRESHARK. NMAP

54

Herramientas

Sniffers/Capturadores de Tráfico:Wireshark:

Funcionalidades:

Opciones de captura.Tres visualizaciones de los datos: resumido, por protocolos y binario.Muestra identificador, marca de tiempo, IP origen, IP destino, protocolo e información extra.Filtros de captura: Similares a tcpdump, pero además permite acceso a bytes concretos del paquete (icmp[0]==8).Filtros de captura predefinidos.Filtros de visualización con acceso a bytes concretos (tcp.flags).Estadísticas detalladas: por protocolos y conversaciones.

Page 55: Herramientas de seguridad en redes. WIRESHARK. NMAP

55

Herramientas

Sniffers/Capturadores de Tráfico:Wireshark:

Paquetes TCP:

src > dst:flags [dataseq ack window urgent options]

src: Dirección y puerto de origen.dst: Dirección y puerto de destinoflags: Dan información de control y tipo del paqueteack: Indica el número siguiente de secuencia que espera recibir en una comunicación.

este.uvigo.es.2 > servidor.uvigo.es.22: . ack 2

Page 56: Herramientas de seguridad en redes. WIRESHARK. NMAP

56

Herramientas

Sniffers/Capturadores de Tráfico:Wireshark:

Paquetes UDP:

src.srcport > dst.dstport: udp len

src: Nombre o dirección de origensrcport: Puerto de origendst: Nombre o dirección de destinodstport: Puerto de destinolen: Longitud de los datos del usuario

192.168.100.11.1050 > 192.168.100.33: udp 121

Page 57: Herramientas de seguridad en redes. WIRESHARK. NMAP

57

Herramientas

Escaneado de puertos:NMap: Es probablemente una de las herramientas más completas para escanear redes.

Normalmente se instala por defecto en todas las distribuciones de Linux.

Se basa en el intercambio y análisis de paquetes TCP con las máquinas objetivo.

Es capaz de reconocer el Sistema Operativo de una máquina, los servicios que están activos y las versiones de los mismos.

Page 58: Herramientas de seguridad en redes. WIRESHARK. NMAP

58

Herramientas

Escáneado de puertos:NMap:

Es muy sigiloso y difícil de detectar.

Como herramienta de administración, permite encontrar vulnerabilidades antes que los atacantes.

Usa una base de datos de ‘huellas’ (OSfingerprint) para identificar remotamente el Sistema Operativo.

Page 59: Herramientas de seguridad en redes. WIRESHARK. NMAP

59

Herramientas

Escáneado de puertos:NMap:

Técnica Básica:

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Intento de conexión TCP (Flag SYN)

Page 60: Herramientas de seguridad en redes. WIRESHARK. NMAP

60

Herramientas

Escáneado de puertos:NMap:

Técnica Básica:

¡Sabemos que ese puerto está cerrado!

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Si no hay servicio devuelve Flag RST

Page 61: Herramientas de seguridad en redes. WIRESHARK. NMAP

61

Herramientas

Escáneado de puertos:NMap:

Técnica Básica:

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Si hay servicio envía Flags SYN y ACK

Page 62: Herramientas de seguridad en redes. WIRESHARK. NMAP

62

Herramientas

Escáneado de puertos:NMap:

Técnica Básica:

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Envía un ACK que estable la conexión

Page 63: Herramientas de seguridad en redes. WIRESHARK. NMAP

63

Herramientas

Escáneado de puertos:NMap:

Técnica Básica:

¡Sabemos que ese puerto está abierto y tiene un servicio escuchando!Pero... Saben que hemos estado ahí :(

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Envía un RST que cierra conexión

Page 64: Herramientas de seguridad en redes. WIRESHARK. NMAP

64

Herramientas

Escáneado de puertos:NMap:

Técnica Sigilosa:

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Intento de conexión TCP (Flag SYN)

Page 65: Herramientas de seguridad en redes. WIRESHARK. NMAP

65

Herramientas

Escáneado de puertos:NMap:

Técnica Sigilosa:

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Si hay servicio envía Flags SYN y ACK

Page 66: Herramientas de seguridad en redes. WIRESHARK. NMAP

66

Herramientas

Escáneado de puertos:NMap:

Técnica Sigilosa:

¡Sabemos que ese puerto está abierto y tiene un servicio escuchando!Y al no haber conexión, no hay registro :)

NMap

Nuestro SistemaNuestro Sistema

Sistema ObjetivoIP: 192.168.100.1Puerto 8

Envía un RST que cierra conexión

Page 67: Herramientas de seguridad en redes. WIRESHARK. NMAP

67

Herramientas

Escáneado de puertos:NMap:

Usando paquetes especialmente manipulados (FIN, XMAS y NULL) con combinaciones no conocidas de Flags, NMap averigua de qué Sistema Operativo se trata en base a la respuesta obtenida.

Por Ejemplo: Los sistemas Windows, ante un paquete de petición de conexión desconocido, resetean la conexión. Los sistemas Linux ignoran el paquete y no dan respuesta.

Page 68: Herramientas de seguridad en redes. WIRESHARK. NMAP

68

Herramientas

Escáneado de puertos:NMap:

Ping Scan (-sP): Muestra todas las máquinas que responden a un ping en un rango dado.

Escaneados básicos (-sT y -sS): Se escanea usando conexión TCP completa o sigilosa respectivamente.

Escaneados con paquetes imposibles (-sF, -sN y -sX): Se utilizan los paquetes FIN, Null y Xmas para determinar la información del objetivo.

Page 69: Herramientas de seguridad en redes. WIRESHARK. NMAP

69

Herramientas

Escáneado de puertos:NMap:

Idle Scanning (-sI): Es una forma de escanear muy sigilosa. Se base en predecir los identificadores que se asignaran a cada nuevo paquete IP. Se realiza suplantando a otra máquina que se conoce como zombie. Un análisis del ataque tomará al zombie como el causante.

Detección de versión (-V): Intenta averiguar la versión del servicio.

Completo (-A): Activa la detección de versión y el OSfingerprint.

Page 70: Herramientas de seguridad en redes. WIRESHARK. NMAP

70

Herramientas

Otras Aplicaciones:

Ettercap: Otro capturador analizador de paquetes.

Aircrack: Suite completa para descifrar claves WEP de redes wireless.

Superscan: Potente (aunque no tanto como nmap) escaneador de puertos.

Page 71: Herramientas de seguridad en redes. WIRESHARK. NMAP

71

Conclusiones

Existen herramientas tan potentes que la seguridad mediante la oscuridad mediante la falta de información, no es eficiente.

El cifrado de los datos es fundamental en la seguridad de los sistemas informáticos.

Page 72: Herramientas de seguridad en redes. WIRESHARK. NMAP

25 de xuño de 2008

Miguel Angel Molinero [email protected]

Departamento de ComputaciónUniversidade de A Coruña

Ferramentas de seguridade en GNU/LinuxCurso de Extensión Universitaria

Amenazas en redes GNU/Linux Herramientas de seguridad para redes: recopilación de información y

análisis de tráfico