Herramientas de análisis de seguridad<br />Juan Miguel García Losada<br />Raúl Alonso Álvarez<br />
Wireshark<br /><ul><li>Analizador de red (de código libre)
Funciona en Linux, Windows y Mac
Permite capturar datos de una conexión live.
Permite navegar en los datos capturados y profundizar tan solo en aquellos paquetes que necesitemos.
Tiene varias herramientas poderosas, incluyendo un lenguaje de filtro y la posibilidad de reconstruir una sesión TCP.</li>...
TCPDump<br /><ul><li>Es el sniffer clásico para monitoreo de red y adquisición de datos.
Era el sniffer IP usado antes de Ethereal (Wireshark).
No tiene interfaz gráfica pero hace bien su trabajo y no tiene agujeros de seguridad como Wireshark.
Otra ventaja con respecto a Wireshark es que consume menos recursos del sistema. Es ideal para diagnosticar problemas de r...
Puede recuperar contraseñas por inhalación (sniffing) de la red, craqueo de contraseñas encriptadas usando un diccionario,...
Anécdota: Algunos antivirus detectan cainandabel como malware.</li></li></ul><li>Ettercap<br /><ul><li>Es un sniffer de re...
Permite la inyección de datos en una conexión establecida y el filtrado al vuelo, manteniendo la conexión sincronizada.
Tiene la capacidad para comprobar si usted está en una LAN conmutada o no, y para utilizar las huellas dactilares del sist...
Snort<br /><ul><li>En este detector de intrusiones de red ligero destaca el sistema de prevención en el análisis de tráfic...
Snort utiliza un lenguaje flexible basado en reglas para describir el tráfico que debe recoger o pasar, y un motor de dete...
Niktoes un scanner de código abierto (Licencia GPL) que realiza exhaustivos tests, incluyendo más de 3200 ficheros/CGI que...
Para diversos sistemas operativos
Desde consola nessus puede ser programado para hacer escaneos programados con cron
Nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y despu...
los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX  </l...
Ejemplo Ettercap<br />
Upcoming SlideShare
Loading in …5
×

Herramientas de seguridad SSI

1,411
-1

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,411
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
82
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Herramientas de seguridad SSI

  1. 1. Herramientas de análisis de seguridad<br />Juan Miguel García Losada<br />Raúl Alonso Álvarez<br />
  2. 2. Wireshark<br /><ul><li>Analizador de red (de código libre)
  3. 3. Funciona en Linux, Windows y Mac
  4. 4. Permite capturar datos de una conexión live.
  5. 5. Permite navegar en los datos capturados y profundizar tan solo en aquellos paquetes que necesitemos.
  6. 6. Tiene varias herramientas poderosas, incluyendo un lenguaje de filtro y la posibilidad de reconstruir una sesión TCP.</li></li></ul><li>Kismet <br />Es un detector de red inalámbrica, sniffer y detector de intrusos.<br /> Identifica las redes por inhalación pasiva.<br /> Puede detectar bloques IP capturando paquetes TCP, UDP, ARP y DHCP. <br />Puede guardar un log en un formato compatible con Wireshark o TCPDum<br />No tiene interfaz gráfica<br />
  7. 7. TCPDump<br /><ul><li>Es el sniffer clásico para monitoreo de red y adquisición de datos.
  8. 8. Era el sniffer IP usado antes de Ethereal (Wireshark).
  9. 9. No tiene interfaz gráfica pero hace bien su trabajo y no tiene agujeros de seguridad como Wireshark.
  10. 10. Otra ventaja con respecto a Wireshark es que consume menos recursos del sistema. Es ideal para diagnosticar problemas de red.</li></li></ul><li>Cain and Abel<br /><ul><li>Una herramienta de recuperación de contraseñas.
  11. 11. Puede recuperar contraseñas por inhalación (sniffing) de la red, craqueo de contraseñas encriptadas usando un diccionario, fuerza bruta y criptoanálisis, grabación de conversaciones VoIP, descubrimiento de contraseñas en caché y análisis de protocolos de enrutamiento.
  12. 12. Anécdota: Algunos antivirus detectan cainandabel como malware.</li></li></ul><li>Ettercap<br /><ul><li>Es un sniffer de red basado en sniffer/interceptor/logger.
  13. 13. Permite la inyección de datos en una conexión establecida y el filtrado al vuelo, manteniendo la conexión sincronizada.
  14. 14. Tiene la capacidad para comprobar si usted está en una LAN conmutada o no, y para utilizar las huellas dactilares del sistema operativo (activa o pasiva) para hacerle saber la geometría de la LAN.</li></li></ul><li>Dsniff<br /><ul><li>Es una suit popular que incluye varias herramientas: dsniff, filesnarf, mailsnarf, el msgsnarf, urlsnarf, y WebSpy pasivamente monitorizar una red de datos de interés (contraseñas, correo electrónico, archivos, etc.) arpspoof, dnsspoof y macof facilitar la interceptación del tráfico de red que normalmente no está disponible a un atacante. sshmitm y webmitm aplicar activa ataques mono-en-el-medio (monkey-in-the-middle) contra ssh redirigido y sesiones de https mediante la explotación de los enlaces débiles en ad-hoc PKI. </li></li></ul><li>Ntop<br />Hace un análisis de la red de forma parecida a la herramienta ‘top’ para los procesos.<br /> En modo interactivo muestra el estado de la red en el terminal del usuario. Y en modo web, actúa como un servidor web almacenando persistentemente estadísticas del tráfico y después se pueden ver en gráficos.<br />
  15. 15. Snort<br /><ul><li>En este detector de intrusiones de red ligero destaca el sistema de prevención en el análisis de tráfico y registro de paquetes en redes IP. A través de análisis de protocolos, el contenido de la búsqueda, y varios pre-procesadores, Snort detecta miles de gusanos, la vulnerabilidad de intentos de exploits, análisis de puertos, y otros comportamientos sospechosos.
  16. 16. Snort utiliza un lenguaje flexible basado en reglas para describir el tráfico que debe recoger o pasar, y un motor de detección modular. También hay un programa gratuito basado en una interfaz web para el análisis de las alertas de Snort.</li></li></ul><li>Nikto<br /><ul><li>Es un scanner de seguirdad
  17. 17. Niktoes un scanner de código abierto (Licencia GPL) que realiza exhaustivos tests, incluyendo más de 3200 ficheros/CGI que potencialmente son dañinos, en más de 625 tipos de servidores, y problemas típicos de versiones en más de 230 servidores. Lo que se escanea así como sus plugins se actualizan muy frecuentemente y pueden descargarse gratuitamente si se desea.</li></li></ul><li>Nessus<br /><ul><li>Programa de escaneo de vulnerabilidades
  18. 18. Para diversos sistemas operativos
  19. 19. Desde consola nessus puede ser programado para hacer escaneos programados con cron
  20. 20. Nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo
  21. 21. los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX </li></li></ul><li>Ping / telnet / dig / traceroute / whois / netstat<br />Todo el mundo debe estar muy familiarizado con estas herramientas, ya que vienen con la mayoría de sistemas operativos (Windows, excepto que omite whois y utiliza el nombre tracert). <br />Pueden ser muy útil en caso de apuro, aunque para un uso más avanzado es mejor utilizar otras herramientas.<br />
  22. 22. Ejemplo Ettercap<br />
  23. 23. Ettercap<br /><ul><li>Usamos el programa Ettercap -gtk
  24. 24. Vamos a escanear los paquetes que se intercambian entre PC1(Victima) y el router de la red Wifi, con el Ettercap en PC2(Atacante)
  25. 25. Vamos a usar el metodo envenamiento por ARP.
  26. 26. Le vamos hacer creer a PC1 que nuestra IP es la del router, y al router que nuestra IP es la de PC1.</li></li></ul><li>Configuración del Ataque<br /><ul><li>Clickamos en Sniff -> Unified Sniffing ->Wlan0
  27. 27. Clickamos en host -> Scan for Host
  28. 28. Clickamos en Host -> Host List
  29. 29. Seleccionamos la Ip de PC1 como target1 y la Ip del router como target2
  30. 30. Clickamos en Mitm -> Arp poisoning
  31. 31. Clickamos en View -> Connections
  32. 32. Clickamos en Start -> Start Sniffing</li></li></ul><li>Ataque Ettercap<br /><ul><li>En la pantalla Connections vemos todos los paquetes que entran y salen de PC1, podemos ver los parámetros de Host Origen Puerto Origen, Host Destino Puerto Destino, protocolo, estado y Bytes.
  33. 33. Analizando los paquetes se puede ver por ejemplo las páginas en las que entra PC1 y los datos que envia no cifrados.
  34. 34. En la siguiente captura podemos ver una conversación que mantiene PC1 en un chat que no tiene los mensajes cifrados.</li></li></ul><li>Ataque Ettercap<br />
  35. 35. Ejemplo Nmap<br />
  36. 36. Nmap<br /><ul><li>Nmap es un programa silencioso de Escano de Puertos.
  37. 37. Se usa para saber que puertos tiene abiertos una cierta dirección de IP (a la que lanzamos el ataque) y saber que aplicacion escucha en ese puerto.
  38. 38. Vamos usar el comando nmap -sS -Sv -PO ipdestino sobre un PC que tiene el servidor XMAPP instalado.</li></li></ul><li>Resultado Nmap<br /><ul><li>Port STATE Service Version
  39. 39. 21/tcp open ftp ProFTPD 1.3.3d
  40. 40. 80/tcp open http Apache httpd 2.2.17
  41. 41. 443/tcp open ssl/http Apache httpd 2.2.17
  42. 42. 3306/tcp open mysql MySql
  43. 43. Service info: OS:Linux</li></li></ul><li>
  44. 44. Nmap<br /><ul><li>Podemos observar que este comando nos dio como respuesta los puertos y el programa que tienen asociado a ellos, como por ejemplo el puerto 80/TCP tiene asociado en servicio http con la versión del Apache 2.2.17, despues podemos buscar en páginas como exploit-db.com que vulnerabilidad tiene esta versión del apache para poder explotarla.</li>
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×