More Related Content
Similar to Técnicas de Intrusión
Similar to Técnicas de Intrusión (20)
More from Roger CARHUATOCTO
More from Roger CARHUATOCTO (20)
Técnicas de Intrusión
- 1. DESAYUNOS TECNOLÓGICOS
Institut Catalá de Tecnologia
Técnicas de Intrusiones
Roger Carhuatocto
rcarhuatocto@escert.upc.es
Versión 1 – 9.Julio.2003
http://escert.upc.es http://www.inetsecur.com
Atención: No se permite la reproducción total o parcial de este material sin el permiso del autor
©2002-2003 esCERT-UPC ~ InetSecur S.L. 1
- 2. Índice
Mapeo de red: ping, traceroute, whois
Búsqueda de recursos
Sniffers: Ethereal
Scanner de puertos
Vulnerabilidades y exploits
Anonimizadores: proxy, socks
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 2
- 3. Mapeo de Hosts
Para qué sirve?
Reconstruir la organización de la red
Identificar servicios/hosts y sobre ellos sus vulnerabilidades
Objetivo
Conocer el terreno
Herramientas
ping <host>
envia paquetes ICMP a un host determinado
traceroute <host>
tracea el recorrido de los paquetes hacia un host
whois <host>
whois upc.es
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 3
- 4. Identificación de Servicios I
Para qué sirve?
Identificar servicios/hosts y sobre ellos sus vulnerabilidades
Objetivo
Conocer los servicios mal configurados y aprovechar sus vulnerabilidades
Herramientas
netcat
ir probando conexiones a cada puerto y verificar si está abierto o no
LandGuard
Etc….
Inconvenientes/Beneficios
Dejan logs de actividad
Problemas comunes:
null sessions
SNMP
RPC
NFS
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 4
- 5. Identificación de Servicios III
RPC
Remote procedure call
Windows: Network Computer System (NCN)
Unix: Open Network Computing (ONC)
Permite a los prgramadores desarrollar aplicaciones distribuidas
Servicios implementados sobre el:
Unix:
Network File system (NFS)
Network Information Service (NIS)
Windows:
Directory Services
DCOM
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 5
- 6. Vulnerabilidades
Mala configuración de un servicio.
Buffer Overflow en programas que se ejecutan con altos privilegios.
Usar los parámetros por defecto.
Mantener ejemplos y demostraciones en entornos de producción.
Ofrecer servicios sin saberlo.
No mantener actualizados los programas.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 6
- 7. Exploits
Programa malicioso especialmente diseñado para explotar una vulnerabilidad
y así:
• Conseguir acceso no autorizado a una máquina o a unos recursos.
• Conseguir mayores privilegios.
• Provocar Denegación de Servicio (DoS).
• Suplantar la personalidad de otro usuario para acceder a su correo o sus
ficheros.
• …
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 7
- 8. ¿Cómo protegerse? I
Cerrar todos los servicios innecesarios.
Eliminar todas las cuentas de usuarios por defecto (guest, etc).
Eliminar todos los programas que no se usen.
Eliminar los ejemplos.
Adecuar las configuraciones por defecto a las necesidades individuales.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 8
- 9. ¿Cómo protegerse? II
Estar subscrito a las listas de correo sobre vulnerabilidades y a las de
avisos del fabricante.
Mantener el software actualizado.
Utilizar “wrappers” en los servicios activos.
Revisar periódicamente los logs generados.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 9
- 10. Sniffers
Son programas que permiten pinchar una conexión.
Capturan tráfico de la PC origen y de su segmento de colisión
A pesar de usar switchs puedo capturar tráfico cambiando la tabla ARP
No permiten participar en la conexión de manera activa.
Los hackers los usan para capturar los passwords que se envían al inicio de
una conexión y poder después suplantar la personalidad del usuario.
Refencias:
http://www.tcpdump.org
http://ettercap.sourceforge.net
http://ethereal.ntop.org
http://winpcap.polito.it
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 10
- 11. Sniffers: ¿Quién los instala?
Los instalan los intrusos, con el fin de capturar passwords para poder
atacar nuevas máquinas.
Para instalarlo, el intruso ha de conseguir primero acceso como
administrador a la máquina.
Al instalarlo, se ayudan de un conjunto extra de herramientas para
esconder el sniffer: ROOTKIT.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 11
- 12. ¿Qué es un ROOTKIT?
Conjunto de programas que sustituyen parte del Sistema Operativo y
que sirven para:
esconder cosas.
introducir puertas falsas en la máquina atacada.
Los rootkits suelen traer incorporado un sniffer junto con utilidades
que hacen difícil su detección.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 12
- 13. ¿Cómo se detectan?
Forma directa: mirando si la tarjeta de red está en modo promiscuo.
Localmente: ifconfig
$ ifconfig
eth0 Link encap:10Mbps Ethernet HWaddr 00:C2:F3:B1:9E:72
inet addr:17.3.35.62 Bcast:17.3.35.255 Mask:255.0.0.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:873987 errors:0 dropped:0 overruns:0
TX packets:464944 errors:6 dropped:0 overruns:0
Interrupt:9 Base address:0xb000
Remotamente
neped
• http://www.securiteam.com/tools/Neped_-_Detect_sniffers_on_your_local_network.html
• http://apostols.org
AntiSniff - http://www.atstake.com
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 13
- 14. ¿Cómo protegerse?
No enviar nunca passwords sin cifrar por la red.
Usar protocolos en los que el password va encriptado, como SSH.
Comprobar modificaciones en ficheros del Sistema Operativo.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 14
- 15. Un ejemplo práctico
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 15
- 16. ¿Qué es un scanner?
Programa que comprueba, desde el exterior, los servicios activos en una
máquina.
Otras funcionalidades:
Detecta el Sistema Operativo de la máquina de manera remota.
Busca máquinas activas en una red.
Descubre la estructura de la red.
Simula ataques coordinados y masivos.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 16
- 17. Utilidad de un Scanner
Verificar el funcionamiento y la conectividad de una máquina.
Verificar el funcionamiento de los servicios de una máquina.
Comprobar que no se ofrecen servicios extra.
Comprobar las reglas de un firewall.
Analizar la estructura de una red.
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 17
- 18. Ejemplo I
# nmap -O -sS -p1-5000 147.83.153.103
Starting nmap V. 2.3BETA4 by Fyodor (http://www.insecure.org/nmap/)
Interesting ports on maquina1.dominio.es (147.83.153.103):
Port State Protocol Service
22 open tcp ssh
25 open tcp smtp
TCP Sequence Prediction: Class=random positive increments
Difficulty=2253747 (Good luck!)
Remote operating system guess: Linux 2.1.122 - 2.2.10
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 18
- 19. Ejemplo II
# nmap -O -sS -p1-5000 147.83.153.105
Starting nmap V. 2.3BETA4 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on maquina2.dominio.es (147.83.153.105):
Port State Protocol Service
21 open tcp ftp
22 open tcp ssh
25 open tcp smtp
79 open tcp finger
80 open tcp http
111 open tcp sunrpc
443 open tcp https
512 open tcp exec
513 open tcp login
514 open tcp shell
3306 open tcp mysql
4045 open tcp lockd
TCP Sequence Prediction: Class=random positive increments
Difficulty=21075 (Worthy challenge)
Remote operating system guess: Solaris 2.6 - 2.7
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 19
- 20. Scanner de Vulnerabilidades
Sistema de Detección Automática de Fallos de Sistema
Tipos Scanner
Locales
Remotos
Mixtos
Usos legítimos o no autorizados
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 20
- 21. Anonimizadores
Objetivos
Para usuario: habilitar a los host
de un lado de un SOCKS Server
para ganar acceso a hots del otro
lado del SOCKS Server, sin
requerir alcanzabilidad de IP
Para atacante: medio para
esconder el registro de nuestra
actividad en las redes
Tecnología
Socks, es un genérico proxy
protocolo para aplicaciones en
redes TCP/IP
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 21
- 22. Anonimizadores: Socks
Socks
es un genérico proxy protocolo para aplicaciones en redes TCP/IP
¿Qué hace?
Cuando una aplicación necesita conectarse a un servidor de
aplicaciones, el cliente se conecta a un SOCKS proxy server. El proxy
server se conecta al servidor de aplicaciones en nombre del cliente, y
transmite los datos entre el cliente y el servidor de aplicaciones.
Para el Servidor de aplicaciones, el proxy server es un cliente.
Socks versón 5 (RFC 1928)
Socks servidor está implementado en la CAPA DE APLICACIÓN
Socks cliente está implementado en la CAPA DE TRANSPORTE Y
DE APLICACIÓN
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 22
- 23. Anonimizadores: Referencias
Web
Anonymizer http://anonymizer.com/
The Cloak http://www.the-cloak.com
FTP, NetBios, etc… Socks
Utiles
Proxy Checker
ProxyHunter
AATools http://www.glocksoft.com/proxy_analyzer.htm
ProTon
Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com
©2002-2003 esCERT-UPC ~ InetSecur S.L. 23