DESAYUNOS TECNOLÓGICOS
                                              Institut Catalá de Tecnologia

                      ...
Índice

       Mapeo de red: ping, traceroute, whois
       Búsqueda de recursos
       Sniffers: Ethereal
       Scanner ...
Mapeo de Hosts

       Para qué sirve?
                   Reconstruir la organización de la red
                   Identif...
Identificación de Servicios I

       Para qué sirve?
                   Identificar servicios/hosts y sobre ellos sus vul...
Identificación de Servicios III

       RPC
                   Remote procedure call
                            Windows: ...
Vulnerabilidades

      Mala configuración de un servicio.
      Buffer Overflow en programas que se ejecutan con altos pr...
Exploits

      Programa malicioso especialmente diseñado para explotar una vulnerabilidad
      y así:
            • Cons...
¿Cómo protegerse? I



          Cerrar todos los servicios innecesarios.
          Eliminar todas las cuentas de usuarios...
¿Cómo protegerse? II



          Estar subscrito a las listas de correo sobre vulnerabilidades y a las de
          aviso...
Sniffers

      Son programas que permiten pinchar una conexión.
                  Capturan tráfico de la PC origen y de s...
Sniffers: ¿Quién los instala?



          Los instalan los intrusos, con el fin de capturar passwords para poder
        ...
¿Qué es un ROOTKIT?

      Conjunto de programas que sustituyen parte del Sistema Operativo y
      que sirven para:
     ...
¿Cómo se detectan?

      Forma directa: mirando si la tarjeta de red está en modo promiscuo.
                  Localmente...
¿Cómo protegerse?

      No enviar nunca passwords sin cifrar por la red.
      Usar protocolos en los que el password va ...
Un ejemplo práctico




Master de Tecnología de la Seguridad Informática MTSI 2002-2003   http://escert.upc.es   http://ww...
¿Qué es un scanner?



          Programa que comprueba, desde el exterior, los servicios activos en una
          máquina...
Utilidad de un Scanner

      Verificar el funcionamiento y la conectividad de una máquina.
      Verificar el funcionamie...
Ejemplo I



   # nmap -O -sS -p1-5000 147.83.153.103

   Starting nmap V. 2.3BETA4 by Fyodor (http://www.insecure.org/nma...
Ejemplo II
    # nmap -O -sS -p1-5000 147.83.153.105

    Starting nmap V. 2.3BETA4 by Fyodor (fyodor@dhp.com, www.insecur...
Scanner de Vulnerabilidades




          Sistema de Detección Automática de Fallos de Sistema
          Tipos Scanner
   ...
Anonimizadores

      Objetivos
                  Para usuario: habilitar a los host
                  de un lado de un SO...
Anonimizadores: Socks

      Socks
                  es un genérico proxy protocolo para aplicaciones en redes TCP/IP
    ...
Anonimizadores: Referencias

      Web
                          Anonymizer                       http://anonymizer.com/
 ...
Upcoming SlideShare
Loading in …5
×

Técnicas de Intrusión

1,387 views
1,323 views

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,387
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Técnicas de Intrusión

  1. 1. DESAYUNOS TECNOLÓGICOS Institut Catalá de Tecnologia Técnicas de Intrusiones Roger Carhuatocto rcarhuatocto@escert.upc.es Versión 1 – 9.Julio.2003 http://escert.upc.es http://www.inetsecur.com Atención: No se permite la reproducción total o parcial de este material sin el permiso del autor ©2002-2003 esCERT-UPC ~ InetSecur S.L. 1
  2. 2. Índice Mapeo de red: ping, traceroute, whois Búsqueda de recursos Sniffers: Ethereal Scanner de puertos Vulnerabilidades y exploits Anonimizadores: proxy, socks Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 2
  3. 3. Mapeo de Hosts Para qué sirve? Reconstruir la organización de la red Identificar servicios/hosts y sobre ellos sus vulnerabilidades Objetivo Conocer el terreno Herramientas ping <host> envia paquetes ICMP a un host determinado traceroute <host> tracea el recorrido de los paquetes hacia un host whois <host> whois upc.es Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 3
  4. 4. Identificación de Servicios I Para qué sirve? Identificar servicios/hosts y sobre ellos sus vulnerabilidades Objetivo Conocer los servicios mal configurados y aprovechar sus vulnerabilidades Herramientas netcat ir probando conexiones a cada puerto y verificar si está abierto o no LandGuard Etc…. Inconvenientes/Beneficios Dejan logs de actividad Problemas comunes: null sessions SNMP RPC NFS Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 4
  5. 5. Identificación de Servicios III RPC Remote procedure call Windows: Network Computer System (NCN) Unix: Open Network Computing (ONC) Permite a los prgramadores desarrollar aplicaciones distribuidas Servicios implementados sobre el: Unix: Network File system (NFS) Network Information Service (NIS) Windows: Directory Services DCOM Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 5
  6. 6. Vulnerabilidades Mala configuración de un servicio. Buffer Overflow en programas que se ejecutan con altos privilegios. Usar los parámetros por defecto. Mantener ejemplos y demostraciones en entornos de producción. Ofrecer servicios sin saberlo. No mantener actualizados los programas. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 6
  7. 7. Exploits Programa malicioso especialmente diseñado para explotar una vulnerabilidad y así: • Conseguir acceso no autorizado a una máquina o a unos recursos. • Conseguir mayores privilegios. • Provocar Denegación de Servicio (DoS). • Suplantar la personalidad de otro usuario para acceder a su correo o sus ficheros. • … Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 7
  8. 8. ¿Cómo protegerse? I Cerrar todos los servicios innecesarios. Eliminar todas las cuentas de usuarios por defecto (guest, etc). Eliminar todos los programas que no se usen. Eliminar los ejemplos. Adecuar las configuraciones por defecto a las necesidades individuales. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 8
  9. 9. ¿Cómo protegerse? II Estar subscrito a las listas de correo sobre vulnerabilidades y a las de avisos del fabricante. Mantener el software actualizado. Utilizar “wrappers” en los servicios activos. Revisar periódicamente los logs generados. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 9
  10. 10. Sniffers Son programas que permiten pinchar una conexión. Capturan tráfico de la PC origen y de su segmento de colisión A pesar de usar switchs puedo capturar tráfico cambiando la tabla ARP No permiten participar en la conexión de manera activa. Los hackers los usan para capturar los passwords que se envían al inicio de una conexión y poder después suplantar la personalidad del usuario. Refencias: http://www.tcpdump.org http://ettercap.sourceforge.net http://ethereal.ntop.org http://winpcap.polito.it Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 10
  11. 11. Sniffers: ¿Quién los instala? Los instalan los intrusos, con el fin de capturar passwords para poder atacar nuevas máquinas. Para instalarlo, el intruso ha de conseguir primero acceso como administrador a la máquina. Al instalarlo, se ayudan de un conjunto extra de herramientas para esconder el sniffer: ROOTKIT. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 11
  12. 12. ¿Qué es un ROOTKIT? Conjunto de programas que sustituyen parte del Sistema Operativo y que sirven para: esconder cosas. introducir puertas falsas en la máquina atacada. Los rootkits suelen traer incorporado un sniffer junto con utilidades que hacen difícil su detección. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 12
  13. 13. ¿Cómo se detectan? Forma directa: mirando si la tarjeta de red está en modo promiscuo. Localmente: ifconfig $ ifconfig eth0 Link encap:10Mbps Ethernet HWaddr 00:C2:F3:B1:9E:72 inet addr:17.3.35.62 Bcast:17.3.35.255 Mask:255.0.0.0 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:873987 errors:0 dropped:0 overruns:0 TX packets:464944 errors:6 dropped:0 overruns:0 Interrupt:9 Base address:0xb000 Remotamente neped • http://www.securiteam.com/tools/Neped_-_Detect_sniffers_on_your_local_network.html • http://apostols.org AntiSniff - http://www.atstake.com Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 13
  14. 14. ¿Cómo protegerse? No enviar nunca passwords sin cifrar por la red. Usar protocolos en los que el password va encriptado, como SSH. Comprobar modificaciones en ficheros del Sistema Operativo. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 14
  15. 15. Un ejemplo práctico Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 15
  16. 16. ¿Qué es un scanner? Programa que comprueba, desde el exterior, los servicios activos en una máquina. Otras funcionalidades: Detecta el Sistema Operativo de la máquina de manera remota. Busca máquinas activas en una red. Descubre la estructura de la red. Simula ataques coordinados y masivos. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 16
  17. 17. Utilidad de un Scanner Verificar el funcionamiento y la conectividad de una máquina. Verificar el funcionamiento de los servicios de una máquina. Comprobar que no se ofrecen servicios extra. Comprobar las reglas de un firewall. Analizar la estructura de una red. Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 17
  18. 18. Ejemplo I # nmap -O -sS -p1-5000 147.83.153.103 Starting nmap V. 2.3BETA4 by Fyodor (http://www.insecure.org/nmap/) Interesting ports on maquina1.dominio.es (147.83.153.103): Port State Protocol Service 22 open tcp ssh 25 open tcp smtp TCP Sequence Prediction: Class=random positive increments Difficulty=2253747 (Good luck!) Remote operating system guess: Linux 2.1.122 - 2.2.10 Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 18
  19. 19. Ejemplo II # nmap -O -sS -p1-5000 147.83.153.105 Starting nmap V. 2.3BETA4 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on maquina2.dominio.es (147.83.153.105): Port State Protocol Service 21 open tcp ftp 22 open tcp ssh 25 open tcp smtp 79 open tcp finger 80 open tcp http 111 open tcp sunrpc 443 open tcp https 512 open tcp exec 513 open tcp login 514 open tcp shell 3306 open tcp mysql 4045 open tcp lockd TCP Sequence Prediction: Class=random positive increments Difficulty=21075 (Worthy challenge) Remote operating system guess: Solaris 2.6 - 2.7 Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 19
  20. 20. Scanner de Vulnerabilidades Sistema de Detección Automática de Fallos de Sistema Tipos Scanner Locales Remotos Mixtos Usos legítimos o no autorizados Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 20
  21. 21. Anonimizadores Objetivos Para usuario: habilitar a los host de un lado de un SOCKS Server para ganar acceso a hots del otro lado del SOCKS Server, sin requerir alcanzabilidad de IP Para atacante: medio para esconder el registro de nuestra actividad en las redes Tecnología Socks, es un genérico proxy protocolo para aplicaciones en redes TCP/IP Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 21
  22. 22. Anonimizadores: Socks Socks es un genérico proxy protocolo para aplicaciones en redes TCP/IP ¿Qué hace? Cuando una aplicación necesita conectarse a un servidor de aplicaciones, el cliente se conecta a un SOCKS proxy server. El proxy server se conecta al servidor de aplicaciones en nombre del cliente, y transmite los datos entre el cliente y el servidor de aplicaciones. Para el Servidor de aplicaciones, el proxy server es un cliente. Socks versón 5 (RFC 1928) Socks servidor está implementado en la CAPA DE APLICACIÓN Socks cliente está implementado en la CAPA DE TRANSPORTE Y DE APLICACIÓN Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 22
  23. 23. Anonimizadores: Referencias Web Anonymizer http://anonymizer.com/ The Cloak http://www.the-cloak.com FTP, NetBios, etc… Socks Utiles Proxy Checker ProxyHunter AATools http://www.glocksoft.com/proxy_analyzer.htm ProTon Master de Tecnología de la Seguridad Informática MTSI 2002-2003 http://escert.upc.es http://www.inetsecur.com ©2002-2003 esCERT-UPC ~ InetSecur S.L. 23

×