Professional Documents
Culture Documents
Pag 12.
Moodle
Pag 6. UTUTO-e, la
primera distribu-
Existe una enorme ción GNU/Linux
demanda para la argentina y con-
educación a dis- formada total-
tancia e e-lear- mente por soft-
ning. ware absoluta-
mente gratis, es
un producto de
En este artículo e x c e l e n t e
describimos a calidad, sin nada que envidiar a distribuciones
Moodle: la herra- con más tiempo en el mundo del Linux.
mienta Open-
Source para la ad- Descubra Ututo-e a través de un análisis pro-
ministración de la fundo que hemos realizado.
enseñanza.
Weblogs y Syndication
Pag 8.
TOOLS (herramientas)
Pag 64.
Fundamentos de Seguridad Informática. Ethical Hacking Paso a Paso
Pag 16. Pag 30. Describiremos las mejores herramientas de la se-
guridad informática: "NMAP y las 75 Mejores
Aquí aprendemos lo básico, la teoría. Está compues- Nos muestra a nuestro enemigo, sus tácticas y Herramientas de
to de una serie de artí- cómo las aplica al S e g u r i d a d
culos que irán barrien- momento de intentar Informática", "SNORT
do las diferentes temá- comprometer nuestras el NIDS (Network in-
ticas sobre las que se redes: "Introducción", trusión Detection
basa la seguridad in- "Footprinting", System) bajo
formática: Introducción " S c a n n i n g " , Windows", "Snort para
a la Arquitectura "Enumeración", Linux", NESSUS: el
C l i e n t e - s e r v i d o r, Hacking Windows NT, scanner de vulnerabili-
Entendiendo TCP/IP, W2K y W2003 (parte dades OPen Source"
"Elementos Basicos de 1)" y "Alguien ha hac- y "KNOPPIX y
Criptografía", keado sistema opera- Distribuciones
"¿Algoritmos de Hash tivo Windows, Especializadas en
Seguros? y "Pass Seguridad bajo
Phrases vs Passwords ¿Ahora Qué?" Linux.".
(parte 1 de 3)".
CaFeLUG
Revista Clarín Informática (Argentina)
Revista Mundo Linux (España)
Los días 12 y 13 de Noviembre, se llevó a cabo en Bs. As. la "3ra
Dominio Digital (Argentina)
Conferencia Abierta de GNU/Linux y Software Libre". Concurrieron aproxima-
damente 1300 personas (de 1800 registradas previamente). Se dictaron 61
Empresas:
conferencias / talleres con 7 salas en simultáneo, durante los 2 días.
Cor-Technologies , Xtech, Pixart , Open Computacion
Participaron 42 disertantes e importantes miembros de la Comunidad de
Software Libre local y de países vecinos.
La repercusión obtenida garantiza la repetición de este evento el año siguiente. Grupos de usuarios y organizaciones :
Dentro de los asistentes a la conferencia se contó con participantes de GrULIC, LANUX, LUGFI, LUGLi, LUGRo, RetroNet, SoLAr, UYLUG, Via Libre.
México, Uruguay, Chile y Bolivia.
Medios Gráficos :
E:\TMP\Página_06.nex
En ella los estudiantes se involucran en su Además por ejemplo MOODLE permite
Uno puede suscribirse en este servicio de syndication en las páginas web y recibir
alertas cuando han cambiado los contenidos. Se dice (en la jerga) que la página web
produce un feed (alimentación) ante un cambio.
Por Núria Prats i Pujol mente el concepto de weblog para profun- tintas publicaciones posteadas en los
dizar luego en el sentido de syndication. nuevos diarios personales aparecen
Apareció el WWW
(World Wide Web, Finalmente analizaremos la situación cronológicamente con fecha y hora y se
1990) actual del tema. pueden renovar, gracias a la simplicidad,
Hace unos años personas como (Sir)Tim varias veces al día. ¡La novedad es que se
Berners-Lee (el creador del HTTP, ver Weblogs logra también la interacción con los lec-
artículo en esta edición: Gente e historia tores! Uno puede publicar comentarios o
en IT) mantenían páginas web con listas Alrededor de 1997 comenzaron a aparecer consultas debajo del artículo del blogger.
que promocionaban las nuevas e incluían diarios personales como páginas webs. En El número de weblogs que existen actual-
pequeñas descripciones de las mismas. estos se publicaban noticias y resúmenes mente es inmenso (entre 2 y 4 millones) y
Sin embargo rápidamente estas guías de sobre diferentes temas que el autor consi- en muchos se hacen varias publicaciones
páginas webs se hicieron imposibles de deraba relevante aportando además links diarias. Si uno está acostumbrado a seguir
mantener ya que diariamente se creaban de utilidad ligados a la temática discutida. algún weblog es muy probable que le in-
miles nuevas. Pero la forma de realizar y mantener la terese también seguir el de alguna otra
página era muy complicada. Se debía pro- persona relacionada con este. Seguir las
Aparecieron los buscadores
(Yahoo, gramar en html el formato de la página y actualizaciones de diferentes weblogs se
1994, Google, 1998
(ver artículo en esta cada vez que se quería introducir una ha hecho cada vez mas complicado.
edición: Gente e historia en IT). modificación a la misma se debía crear un Recordemos que además periódicos y re-
Normalmente uno realizaba una búsque- nuevo documento y ftp-earlo al servidor. vistas también modifican su contenido con
da. Encontrado algún sitio web de interés Luego surgió la necesidad por parte de los asiduidad. La aparición de syndications (en
se lo incorporaba como favorito o book- lectores de interactuar con los editores de cualquiera de los 2 formatos RSS o Atom)
mark en el web browser ( IE, Netscape, los weblogs. Comenzaron mediante con- ha simplificado la labor de los lectores, ya
Mozilla (Firefox aún no existía)
). sultas y respuestas por e-mail. Un modo que automáticamente les es reportado si
Pero, muchas páginas web se modifican muy complicado, especialmente si el se producen modificaciones en los
con bastante frecuencia. Especialmente la editor-autor debía además refrescar la weblogs que le interesen. Por ello, weblogs
de periódicos, sitios de noticias, revistas y página con los comentarios de sus lec- y syndication van siempre de la mano. O
otras. tores. eso es al menos lo que los bloggers dicen.
Entonces uno hacía una especie de syndi- Como respuesta a estas necesidades Syndication
cation (ver nota adjunta) manualmente. surgieron diferentes aplicaciones que per-
¿Qué es esto? Luego de tener marcada la mitían crear páginas web con formatos es- Dijimos anteriormente que uno podría
página web como favorito uno la accede peciales para estas publicaciones perso- hacer algo similar a syndication manual-
diariamente y a veces más veces al día de nales. La forma de introducir las modifica- mente. En la actualidad esto está automa-
modo de ver si hay cambios (novedades). ciones era ahora muy sencilla y los lec- tizado. De hecho es un servicio que
tores podían en forma simple hacer sus co- ofrecen muchas páginas webs (especial-
Aparecieron los weblogs
(páginas web, mentarios. Estas páginas especiales son mente de noticias) y weblogs.
personales con comentarios y links, actua- los weblogs o blogs que es su diminutivo.
lizadas sin ninguna sistemática o frecuen- Uno puede suscribirse a este servicio en
cia). (leer sobre la historia de weblogs en: Las notas, artículos o noticias que el las páginas web y recibir alertas cuando
http://www.rebeccablood.net/essays/weblo blogger (así se llama en la jerga al admin- han cambiado los contenidos. Se dice (en
g_history.html istrador-editor o autor del blog) desea pub- la jerga) que el weblog produce un feed
licar, se introducen rellenando una casilla (alimentación) ante un cambio.
El mercado de la información actualizada como la que brindan actualmente los servi-
como noticias de comercio, portales de dores de web-mail, señalando el tema o Los beneficios son varios ya que el alerta
periódicos y weblogs fue creciendo rápida- título (esto se llama un post o entry hará que uno sólo tenga que actualizar
mente. (entrada)). páginas únicamente cuando ha sido reno-
vado su contenido y le sea de interés verla.
El interés de poseer la información más ac- Una característica esencial es que las dis- Es que en la mayoría de alertas aparecen
tualizada se convirtió en un una necesidad
Nota: RDF
y en un gusto. ¿Quién no ha renovado
varias veces en un día ciertas páginas
webs con la intención de ver si habían sido Proviene de Resource Development Framework y es un recurso standard de desarro-
modificadas? llos de syndication que utiliza XML. Es parte de W3C (World Wide Web Consortium) que
Syndication y weblogs son palabras que guía los desarrollos de la web en el plano legal, social y comercial e intenta hacer la web
van de la mano. Introduciremos breve- accesible a todos los usuarios. [6]
E:\TMP\Página_08.nex
los títulos y un breve extracto de los temas RSS 1.0 desarrollado por un grupo de Atom es un intento de resolver muchos de
Pero existe otra cara de esto que es que a Diferencias entre Wikis y Weblogs.
las compañías de noticias les resuelve en
parte los problemas de tráfico que ralenti-
zan sus páginas cuando hay un acceso Wiki es un Sitio-Web hecho en colaboración. Se forma por el trabajo continuo de
masivo a las mismas. A su vez, promocio- muchos autores. Es similar a un WEBLOG en estructura y lógica. Un wiki le permite a
nan su compañía o weblog ¡directamente cualquiera editar, deletear o modificar los contenidos que han sido publicados en el
al público que lo desea! Sitio-Web. Aún el trabajo de autores previos. Para esto utilizara una browser (IE,
Pero el potencial ha aumentado ya que Mozilla,
). A diferencia, un Blog es tipicamente manejado por un autor y no se permite
hoy en día hay programas llamados aggre- que otros lo modifiquen. Solo se podrán adicionar comentarios al contenido original.
gators de noticias que absorben los
archivos RSS o Atom ( feeds) y presentan El término wiki se refiere indistintamente al Sitio-Web o al software que crea el sitio.
las novedades organizadas en diferentes
formatos. Estos programas permiten Wiki wiki significa rápido(quick) en Hawaiano. El primer Wiki fue creado por Ward
seguir la actualización de varias páginas a Cunnigham en 1995.
la vez. Algunos ejemplos: Feedreader,
Feeddemon o Bloglines. posee una licencia "creative commons"
que liberaliza los tan controversiales dere- Bibliografía:
Historia de la evolución de RSS chos del copyright.[1]
[1]http://blogs.law.harvard.edu/tech/rssVer
1999 un año clave: nace RSS 0.90. Fue Paralelamente a las dos familias de for-
sionHistory
lanzado por Netscape con intención de ser matos RSS (RSS 0.9x-RSS2.0 y RSS 1.0),
[2]http://www.internetnews.com/bus-
un programa que facilitara el intercambio aparece Atom. Este proyecto ha surgido
por quejas que se realizaban a RSS y al news/article.php/3_80051
de datos entre páginas Web (de e-com-
hecho de que los derechos sobre código [3]http://news.zdnet.com/2100-3513_22-
merce y noticias principalmente). De esta
forma se podía inscribir un usuario creando habían sido y eran de una única compañía. 5157662.html
su propio canal en My Netscape. Al ser Atom es un open source software. [3] [4]http://www.xml.com/pub/a/2002/12/18/di
renovada la información de las páginas se- ve-into-xml.html
leccionadas les seria automáticamente Syndication: RSS vs. Atom [5]http://www.webreference.com/author-
enviado a estos un resumen del cambio ing/languages/xml/rss/intro/
(un feed) [2]. Hoy en día podríamos decir que existe una [6]http://www.w3.org/Consortium/#goals
competencia entre dos tipos de syndica-
Dave Winer, en ese entonces en la com- tion: RSS y Atom. Quizás el estallido de
pañía UserLand Software, es quien intro- esta rivalidad surgió cuando Google (uno Para recomendar
duce el Standard que finalmente evolu- de los portales mas visitados de la www)
ciona a la versión RSS 0.91 a la par que el anunció que ofrecería solo Atom syndica-
grupo de Netscape desaparece. Así conti- tion a sus usuarios bloggers. Algunos sitios Rebeca Blood www.rebecablood.net
núa la carrera de los RSS 0.9x. que utilizan RSS son por ejemplo la BBC,
CNN, Disney y Forbes entre otras.[5] Nota en PC Users #163 pag60, 2004 por
Como alternativa a RSS 0.91 aparece Jorge Gobbi.
E:\TMP\Página_09.nex
Quiero tener mi Blog !!!!!!!!!!!!!! Hacer nuestro BLOG es tan
NEX> Revista de Networking y Programación
>>Tengo un servidor Apache y quiero usar aplicaciones del mundo open-source Se la puede contactar en:
para hostear weblogs. nuriapip@nexweb.com.ar
Instalo Blosxom o CORE (ver NEX IT Specialist #10 pag 3)
UTUTO-e: la primera distribución
GNU/Linux argentina y 100%
La evolución de UTUTO ha dado como resultado en nuestros días a UTUTO-e, una
distribución GNU/Linux destinada exclusivamente al uso como escritorio, lista para ser
instalada en el disco rígido y conformada únicamente por software libre
Hacia fines del año 2000 el ingeniero máquina. En particular, podemos El próximo paso es el Menú de
Diego Saravia, de la Universidad elegir entre los tipos 486, III y IV de Instalación en el cual nos encon-
Nacional de Salta, presentó en so- procesadores Pentium y Athlon y tramos con dos posibilidades: insta-
ciedad la primera distribución Duron de la familia AMD. En el caso lación automática o instalación
GNU/Linux argentina, UTUTO. Dos de procesadores Pentium es posible manual. Elegimos la segunda opción.
características permitían sobresalir a descargar la versión 686, válida para La primera operación es la partición
este producto. En primer lugar, un procesadores 486, III y IV. Dado que del disco rígido para lo cual se utiliza
único CD contenía los paquetes nece- las pruebas que se comentan en este cfdisk v2.12. Creamos sólo dos parti-
sarios para tener una distribución fun- artículo se realizaron sobre una PC ciones, la región swap en /dev/hda1,
cional, escritorio incluido, en poco con procesador Celeron de 1.8 Ghz, con un tamaño de 256 MB (la memoria
tiempo. En segundo lugar, el CD era se descargó la versión 686 [2]. de nuestra PC es de sólo 128 MB), y
de modalidad liveCD, es /dev/hda2 para /, con el
decir instala la distribu- resto del disco rígido y ca-
ción en memoria tempo- pacidad de arranque.
ralmente y sin afectar el Optamos por escribir la
o los sistemas operativos tabla de particiones.
ya instalados en el disco
rígido. Luego de haber creado
las particiones, se nos
La evolución de UTUTO ofrece crear y / o configu-
ha dado como resultado rar el gestor de arranque
en nuestros días a de la PC, para lo cual se
UTUTO-e, una distribu- muestra en pantalla el
ción GNU/Linux destina- archivo lilo.conf. Dado
da exclusivamente al uso que el mismo no presenta
como escritorio, lista opciones extrañas, lo sal-
para ser instalada en el vamos sin modificarlo.
disco rígido y conformada
únicamente por software El siguiente paso es el
libre, como no se cansan formateo de las parti-
de enfatizar sus autores, ciones elegidas anterior-
Figura 1. El escritorio de Ututo
Daniel Olivera y Pablo de mente utilizando mke2fs.
Nápoli, integrantes junto a Saravia de Al reiniciar la PC con el CD de la Inmediatamente después del forma-
SOLAR, Software Libre Argentina [1]. distribución, las primeras pantallas teo, se instalan en el disco rígido los
recuerdan mucho a las pantallas de archivos correspondientes al kernel y
El proyecto UTUTO-e tiene en la actu- inicio de la distribución GENTOO al sistema base. Posteriormente, se
alidad su propia página web, [3]. Luego de cargar una imagen del copian archivos del CD al disco rígido
h t t ps : / / e . u t u t o . o r g . a r / i n d e x e s . h t m l . kernel 2.6.6 y reconocer automática- y comienza la instalación de los re-
Desde ella es posible acceder a la mente el hardware básico de la PC, spectivos paquetes, 377 en total.
página de descarga de la distribución. se nos pide seleccionar el idioma a
La primera sorpresa es que podemos u s a r d u r a n t e l a i n s ta l a c i ó n e n t r e Una vez finalizada la instalación de
elegir qué descargar en función del tres posibilidades: inglés, español y los paquetes, es posible seleccionar
tipo de procesador de nuestra portugués. el tipo de teclado y el lenguaje,
E:\TMP\Página_12.nex
generar la clave para el administrador, luego de ejecutar startx nos encon- Suite Ofimática KOFFICE (Procesador
E:\TMP\Página_13.nex
WVDIAL.
NEX> Revista de Networking y Programación
[1] http://www.solar.org.ar.
[3] http://www.gentoo.org.
[4] http://www.alsa-project.org/.
E:\TMP\Página_14.nex
Introducción a la arquitectura cliente servidor
NEX> Revista de Networking y Programación
E:\TMP\Página_16.nex
ganizar la red se llama Active Directory . Y el Control Lists (ACLs). Una vez autenticado la
- ¿Cómo me aseguro
de quién me envía un
cierto e-mail?
Respuesta: digital
signing.
E:\TMP\Página_17.nex
Entendiendo TCP/IP
NEX> Revista de Networking y Programación
ware deberán desarrollarse nuevos proto- cómo funcionan); definir como mover Quench Masaje" a quien envió el mensaje.
colos para la Network Acess Layer. Hay datos entre la Network Accesss Layer y la Este detiene temporariamente los envíos.
muchos protocolos de acceso: uno para Transport Layer, cómo se rutean "datagra-
cada Standard de red física. (Ethernet, mas" a hosts remotos, cómo realizo frag-
Destinos no accesibles:(Unreachable). Si
Token Ring, Cobre-teléfono, Fibra.) mentacion y re-armado de "datagramas".
un sistema se da cuenta que el destino de
Las funciones que se realizan a este nivel La figura 6 nos muestra un esquema del
incluyen encapsulación de datagramas IP datagrama IP. un paquete es no accesible envía a la
("frames" que se transmiten por la red) y el
mapeo de números IP a las direcciones
físicas usadas por la red (ej.: el MAC
address).
Dos ejemplos de RFCs que definen proto-
colos de esta capa son:
Ver Figura 7
E:\TMP\Página_22.nex
Las aplicaciones que corren en esta capa,
Figuras 8 y 9
La naturaleza abierta de los protocolos TCP/IP requiere documentación pública de los estándares. La mayor parte de la
información de TCP/IP se publica como Request for Comments (RFC). Como implica el nombre, el estilo y contenido
de estos documentos es poco rígido. Los RFC contienen información bastante completa y no se remiten solamente a las
especificaciones formales.
Elementos Básicos de Criptografía
NEX> Revista de Networking y Programación
La criptografía es la ciencia que nos permite Un hash, también denominado valor hash o Encriptación con llaves simétricas:
proteger nuestros datos utilizando una trans- síntesis del mensaje, es un tipo de transfor- una sola llave
formación matemática de modo de transfor- mación de datos. Un hash es la conversión
marlos en ilegibles. Algunos ejemplos de su de determinados datos de cualquier tamaño, La encriptación con llaves simétricas, es
utilización son: en un número de longitud fija no reversible, también denominada encriptación con llaves
mediante la aplicación a los datos de una compartidas (shared keys) o criptografía de
- Cuando necesito enviar / recibir información función matemática unidireccional denomina- llave secreta (secret key). Se utiliza una
de un modo seguro a través de una red (in- da algoritmo hash. La longitud del valor hash única llave que poseen tanto el remitente
tranet, extranet ó internet) la "encriptación" resultante puede ser tan grande que las posi- como el destinatario. La única llave que es
(cifrado) es la herramienta fundamental para bilidades de encontrar dos datos determina- usada tanto para encriptar como desencriptar
poder realizar la tarea. dos que tengan el mismo valor hash son se llama llave secreta (pero es también
mínimas. Supongamos que quiero "hashear" conocida como llave simétrica o llave de
- Si mi computadora es extraviada y quiero el siguiente mensaje: "mi mamá". Quiero que sesión). La encriptación con llaves simétricas
proteger la información almacenada allí. el mensaje se resuma en un solo número es un método eficiente para el cifrado de
(valor hash). Podría por ejemplo, asociar a grandes cantidades de datos.
¿Qué funciones de seguridad me cada carácter ASCII su número (ASCII code Existen muchos algoritmos para la en-
permite realizar la encriptación? number) asociado criptación con llaves simétricas, pero todos
tienen el mismo objetivo: la transformación
Autenticación: permite a quien recibe un "m i <espacio> m a m a" reversible de texto sin formato (datos sin en-
mensaje, estar seguro que quien lo envía es criptar, también denominado texto no encrip-
quien dice ser. 109 + 105 + 32 + 109 + 97 + 109 + 97 = 658. tado) en texto encriptado. El texto encriptado
Confidencialidad: asegura que nadie leyó el con una llave secreta es ininteligible para
mensaje desde que partió. Sólo el desti- Así el mensaje se "resumió" (digest) en un quien no tenga la llave para descifrarlo.
natario podrá leerlo. solo número. Notemos que ésta es una Como la criptografía de claves simétricas
Integridad: asegura que el mensaje no ha función en una dirección (no reversible). utiliza la misma llave tanto para la en-
sido modificado. No hay manera de que alguien adivine el criptación como para desencriptar, la seguri-
mensaje "mi mamá" a partir del 658 a dad de este proceso depende de la posibili-
Para entender como lograr esto detallaremos menos que pruebe todos los posibles dad de que una persona no autorizada
tres conceptos básicos de criptografía: mensajes (infinitos) (y calcule su "valor consiga la clave simétrica. Quienes deseen
hash (digest)". Aún así tendría muchísimos comunicarse mediante criptografía de claves
A- Algoritmos hash en un sentido con 658 y debería adivinar cuál es el cor- simétricas deben encontrar algún mecanis-
B- Encriptación con llaves (keys, claves) recto (imposible). Destacamos que la mo para intercambiar de forma segura la
simétricas: se utiliza una llave función (algoritmo) hash usada fue de lo clave antes de intercambiar datos encripta-
C- Encriptación con llaves públicas y pri- más simple. En la vida real son usados al- dos.
vadas: se utilizan dos llaves goritmos mucho más complejos. El criterio principal para valorar la calidad de
Podriamos por ejemplo, usar ese número un algoritmo simétrico es el tamaño de su
En artículos posteriores desarrollaremos para verificar si un mensaje enviado fue llave. Cuanto mayor sea el tamaño de la
infraestructuras que se construyen sobre modificado en el camino: el remitente llave, habrá que probar más combinaciones
éstos. Ejemplos: cómo firmar digitalmente genera con un algoritmo un valor hash del de diferentes llaves para encontrar la correc-
un documento o cómo haríamos para in- mensaje, lo encripta y envía el hash en- ta que desencripte los datos. Cuantas más
tercambiar una llave secreta. El concepto criptado junto con el mensaje. A conti- claves sean necesarias, más difícil será
que sigue entender es la llamada Public nuación, el destinatario desencripta el romper el algoritmo. Con un buen algoritmo
Key Infrastructure (Infraestructura de llave hash, produce otro hash a partir del criptográfico y un tamaño adecuado de clave,
pública) (PKI) que nos detalla las directi- mensaje recibido y compara los dos es imposible, desde un punto de vista infor-
vas, los estándares y el software que hashes. Si son iguales, es muy probable mático, que alguien invierta el proceso de
regulan o manipulan los certificados, y las que el mensaje se transmitiera intacto. transformación y obtenga el texto sin formato
llaves públicas y privadas. En la práctica, Aquí supusimos que ambos conocen la del texto encriptado en una cantidad de
PKI hace referencia a un sistema de certi- llave para encriptar/desencriptar. tiempo razonable.
ficados digitales, entidades emisoras de
certificados (CA) y otras entidades de re- Funciones comunes de hash en un sentido Algoritmos de claves simétricas:
gistro que comprueban y autentican la
validez de cada parte implicada en una Las dos funciones hash siguientes son las DES (Data Encryption Standard): El DES
transacción electrónica. más comunes: nació como consecuencia del criptosis-
E:\TMP\Página_24.nex
tema Lucifer, creado por IBM. Este algoritmo con la llave pública sólo pueden descifrarse del algoritmo RSA se basa en la dificultad (en
E:\TMP\Página_25.nex
Algoritmos de hash seguros
NEX> Revista de Networking y Programación
¿(In) seguros?
Autor: Juan Manuel Zolezzi
E:\TMP\Página_26.nex
Cabe a esta altura aclarar en mayor detalle Homework:
E:\TMP\Página_27.nex
EL GRAN DEBATE: PASS PHRASES vs PASSWORDS
NEX> Revista de Networking y Programación
Parte 1 de 3
E:\TMP\Página_28.nex
supuesto muchos de los passwords serían uno, haciendo padding (acolchonado, caracteres Unicode son convertidos en
E:\TMP\Página_29.nex
Introducción
NEX> Revista de Networking y Programación
"Si conoce al enemigo y se conoce a sí mismo, no debe temer por el resul- número donde puede
tado de cientos de batallas. Si se conoce a sí mismo, pero NO al enemigo, crackear cada carácter de
por cada victoria obtenida sufrirá una derrota. Si no conoce al enemigo ni a la clave uno por uno. Estas
sí mismo, sucumbirá en todas las batallas" simulaciones son total-
mente irreales y nada
tienen que ver con los con-
"El arte de la guerra", Sun Tzu ceptos matemáticos que
gobiernan las metodo-
Paso 0. Introducción
Entendiendo al enemigo logías de encriptación.
Ethical Hacking Paso a
"Si conoce al enemigo y se Entendiendo el problema
Paso estará compuesto por
una serie de artículos, conoce a sí mismo, no
debe temer por el resulta- Describamos el esquema
básicamente sobre de la Figura 1. Nos
do de cientos de batallas.
"metodologías y las he- muestra una empresa con
Si se conoce a sí mismo,
rramientas" de hacking y pero NO al enemigo, por dos firewalls back-to-back
las contramedidas (coun- cada victoria obtenida y una DMZ (Demilitarized
termeasures). Para cada sufrirá una derrota. Zone-Zona Desmilitariza-
acción de hacking existen Si no conoce al enemigo ni da, donde ubicamos, por
a sí ejemplo, nuestros web-
mismo,
server, DNS, ftp-server,
s u -
etc. Es decir servidores ex-
cumbirá
en todas puestos al mundo), un
las batal- hogar y una nube
las" (Internet).
Pero ¿qué representa esa
"El arte nube?. Si incluyésemos en ese
de la esquema a más hogares y a
guerra", más empresas, a miles o mil-
Sun Tzu. lones de ellas obtenemos lo
que se llama Internet, o sea la
Conocer a
nube.
nuestro
Los elementos que componen
enemigo
Figura 1 la llamada red-de-redes
es ta n
complejo (Internet), son dispositivos
como conocerse uno (hardware: CPUs, hubs, switch-
Las personas interactuan- diversas herramientas. es, firewalls, routers y otros),
mismo. A veces los admin-
do con los dispositivos, Algunas de ellas son pun- istradores conocen a su conexiones (por ejemplo:
conforman una comu- tuales para una acción y enemigo sólo a través de cables UTP, antenas para wire-
nidad. Dentro de esa co- otras abarcan un abanico "su idea" sobre él. Muchas less, fibra óptica), programas
munidad existen buenos de ellas, lo que las hace veces esa idea nada tiene (sistemas operativos como
y malos. muy completas y que ver con la realidad. Linux, Windows, Unix, NetWare
poderosas. Nosotros detal- Por ejemplo, en algunas
y aplicaciones como Office,
laremos aquellas más pop- películas se muestra a
Dreamweaver, The Gimp) y
ulares y/o que considere- alguien accediendo a los
recursos de una computa- personas.
mos excelentes para ejem-
dora mediante la rotura de
plificar una dada acción. Las personas interactuan-
una llave de encriptación.
En la sección TOOLS (he- do con los dispositivos,
Se muestra al atacante ti-
rramientas) encontrará peando la clave, adivinán- conforman una comunidad.
detalle de las herramientas dola y lo resuelve en se- Dentro de esa comunidad
más destacadas del mundo gundos. O escribe un pro- existen buenos y malos.
de la seguridad informáti- grama con una interfase
ca. gráfica con grandes El término "hacker" nació
E:\TMP\Página_30.nex
asociado a los entusiastas de la herramientas de destrucción muy Nota: es muy importante saber que
Estudiando los programas, detectan- ¿Cómo hacemos entonces para En esta tarea de "conocer" han a-
do los errores de programación protegernos de los Hackers? parecido un gran número de libros,
(bugs o flaws) e individualizando conferencias, eventos divulgando las
aquellos que permiten obtener privi- L a r e s p u e s ta e s c o n o c e r. P a r a técnicas de hacking buscando de
legios a partes del sistema a los poder mejorar la seguridad y prote- mostrar cómo opera el enemigo.
cuales no se está autorizado, de- gernos debemos conocer bien las
tectan las "vulnerabilidades". Y, tan modalidades usadas por los En cada artículo expuesto en NEX IT
pronto un hacker descubre o alguien hackers. Los hackers cuentan con Specialist, daremos bibliografía,
anuncia una vulnerabilidad, aparece innumerables h e r r a m i e n ta s y pero aquí queremos destacar la
el "exploit" (herramienta que se metodologías que no podemos des- serie de libros cuyos autores
aprovecha de esa vulnerabilidad). conocer. Ellos, debido a su natu- pertenecen a una de las empresas
Hoy el término se refiere a individu- raleza se reinventan continua- más prestigiosas de Seguridad
os que ganan acceso no-autorizado mente al igual que a sus técnicas. Informática (Foundstone Inc.:
a sistemas de cómputo con el w w w.foundstone.com): www.hacking-
propósito de robar o corromper infor- El profesional de seguridad deberá exposed.com. Casi todos han sido
mación. Los hackers mantienen que por tanto conocer muy profunda- traducidos al español y editados en
el nombre apropiado sería "cracker". mente el ámbito de ataque y la McGraw Hill/InterAmericana de
filosofía de los atacantes de modo España (lamentablemente las tra-
Así, hoy se dice: hackeo un sistema ducciones son paupérrimas!!!.
de poder ayudar a las empresas
(una computadora), hackeo una red Excepto el de "Hackers en Linux").
respecto de su seguridad.
(aprovecho un firewall mal configura-
do), hackeo un web-server (aprove- Instituciones privadas y gubernamen-
Deberá crear medidas concretas ha-
cho una vulnerabilidad de Apache o tales también le han dado marco a
ciendo la infraestructura IT de las
el IIS). toda una serie de actividades educa-
empresas menos vulnerables.
tivas y de divulgación. Destacamos
El propósito de algunos hackers es el SANS Institute (www.sans.org), el
decir: "lo hice". Dejan una marca o En los últimos años ha aparecido el
ICS2 (www.ics2.com) creadora de la
evidencia mostrando su habilidad. concepto de "ethical hacker". Este,
prestigiosa certificación CISSP. The
Para otros el fin es dañar: cometer es alguien, quien dotado de las
International Council of Electronic
algún delito fraudulento o simple- mismas herramientas que el hacker
Commerce Consultants (EC-
mente destruir. las utiliza para testear (penetration
Council®) (http://www.eccouncil.org),
testing- test de penetración) nuestra
El hacking solía ser tarea de unos The Institute for Security and
red. Su expertise es tal que realizan-
pocos expertos muy capacitados. Open Methodologies (ISECOM)
do tal test puede darnos el panorama
Hoy, existen un sin número de he- www.isecom.org donde se definen es-
de cuáales son nuestras debilidades
rramientas pre-hechas con las que tándares en tests de seguridad y
al poner nuestra empresa conectada
solo hace falta apuntar a nuestro testeo de la integridad de los negocios.
"target" (objetivo) y hacer clic. Son en una intranet o a Internet.
Paso 1: Footprinting
NEX> Revista de Networking y Programación
Recolección de información
Autor: Juan Manuel Zolezzi
E:\TMP\Página_33.nex
Paso 2 : Scanning
NEX> Revista de Networking y Programación
E:\TMP\Página_34.nex
probe scan. Así, utilizando el protocolo (Escaneo de Puertos) sobre cada >>TCP FYN scan: con esta técnica se
E:\TMP\Página_35.nex
gratuita y se puede buscar y bajar del woody:# nmap -sP -PT80 192.168.0.1-254 Descubrimiento
NEX> Revista de Networking y Programación
Cuando un cliente necesita comunicarse con un servidor, lo hace con algún servicio que está en ejecución en ese servi-
dor. Así el cliente no sólo debe conocer la dirección IP del servidor, sino que también debe conocer el puerto donde este
servicio está "escuchando". .
E:\TMP\Página_36.nex
Paso 3: Enumeración
NEX> Revista de Networking y Programación
Identificación de recursos
E:\TMP\Página_38.nex
activos y las aplicaciones asociadas. NETBIOS
E:\TMP\Página_39.nex
nombre NETBIOS de la máquina blanco
NEX> Revista de Networking y Programación
E:\TMP\Página_40.nex
NIS
Lista de puertos más comunes TCP/IP. Por tanto la infor- En los recuadros adjuntos detallamos
mación que proveen es más someramente las técnicas de adminis-
20 FTP data (File Transfer Protocol)
limitada que la que brinda tración de redes usadas más comúnmente
21 FTP (File Transfer Protocol)
NETBIOS en el caso bajo UNIX: Remote Procedure Call (RPC),
22 SSH (Secure Shell)
Windows. Esto no significa Network Information System (NIS) y
23 Telnet
que no existirá la posibili- Network File System (NFS). La utilización
25 SMTP (Send Mail Transfer Protocol)
dad de hacer "enu- de LDAP como protocolo para Servicio de
43 whois
meración" bajo Unix. Sí que Directorio (Directory Service) abre también
53 DNS (Domain Name Service)
es conocido y predecible lo otro mecanismo posible de enumeración.
68 DHCP (Dynamic Host Control Protocol)
que es posible obtener.
79 Finger
80 HTTP (HyperText Transfer Protocol)
110 POP3 (Post Office Protocol, version 3) SMB
115 SFTP (Secure File Transfer Protocol)
119 NNTP (Network New Transfer Protocol) Server Message Block - (SMB) Un protocolo cliente/servidor que provee
123 NTP (Network Time Protocol) compartición de archivos e impresoras entre computadoras. Además SMB
137 NetBIOS-ns puede compartir puertos y abstracciones de comunicaciones como "named
138 NetBIOS-dgm pipes" y "mail slots". SMB es similar a "remote producer call" (RPC) pero e-
139 NetBIOS specializado en acceso a sistemas de archivo.
143 IMAP (Internet Message Access Protocol) .
161 SNMP (Simple Network Management Protocol) SMB fue desarrollado por Intel, Microsoft e IMB a comienzos de los '80.
194 IRC (Internet Relay Chat) También tuvo influencia de Xerox y 3Com. Es el método nativo de comparti-
220 IMAP3 (Internet Message Access Protocol 3) ción de archivos e impresoras para sistemas de operación de Microsoft,
389 LDAP (Lightweight Directory Access Protocol) donde es llamado Microsoft Networking. Windows for Workgroups. Windows
443 SSL (Secure Socket Layer) 95 y Windows NT todos incluyen clientes y servidores SMB. SMB es usado
445 SMB (NetBIOS over TCP) también por OS/2, Lan Manager y Banyan Vines. Hay servidores y clientes
1433 Microsoft SQL Server SMB para Unix, por ejemplo Samba y smbclient.
1494 Citrix ICA Protocol .
1521 Oracle SQL SMB es un protocolo de la capa de presentación, estructurado como un gran
1604 Citrix ICA / Microsoft Terminal Server conjunto de comandos (Server Message Blocks). Hay comandos para
2049 NFS (Network File System) apoyar la compartición de archivos, la compartición de impresoras, la au-
3306 mySQL tenticación de usuarios, el "browsing" de recursos, y otras funciones va-
4000 ICQ riadas. Como muchos clientes y servidores pueden usar diferentes versiones
5010 Yahoo! Messenger ("dialectos") del protocolo, negocian antes de empezar la sesión. .
5190 AOL Instant Messenger El "redirector" empaqueta consultas SMB en una estructura de bloque de
5632 PCAnywhere control (NCB) que puede ser enviada a través de la red a un dispositivo
5800 VNC remoto.
5900 VNC
6000 X Windowing System SMB originalmente funcionaba encima de los protocolos NetBEUI y
6699 Napster NetBIOS, pero ahora funciona normalmente sobre TCP/IP.
6776 SubSeven (Trojan - security risk!)
7070 RealServer / QuickTime Microsoft desarrolló una versión extendida de SMB para Internet, el Common
7778 Unreal Internet File System (CIFS), que en muchos casos reemplaza a SMB. CIFS
8080 HTTP funciona sólo sobre TCP/IP.
26000 Quake
27010 Half-Life
E:\TMP\Página_41.nex
SAMBA: SMB y NMB (www.samba.org)
NEX> Revista de Networking y Programación
4.Enumeración SNMP
El mecanismo de compartición de archivos usado por Microsoft e IBM., llamada Srerver >>snmpwalk
Message Block (SMB) ha sido implementado como Open Source como un suite de pro-
gramas que se llaman colectivamente SAMBA.
SMB: maneja compartición de archivos e impresoras
NMB: implementa WINS (Windows Internet Name Service), que permite traducir Si hemos detectado que una máquina (con
nombres de NETBIOS de máquinas a números IP. número IP 192.168.0.9) tiene el puerto
activo 2049, significa que está compartien-
Enumeraciones posibles do directorios bajo NFS.
de enumeración que permiten (re
s a l ta d a s e n n e g r i ta ) y d a r e m o s u n
Al igual que en el caso de SOs
ejemplo. Usando el comando "showmount" con la
Windows detallar todas las posibles
opción -e como se muestra en la figura 4,
herramientas de enumeración está 1.Enumeración de recursos compar-
tidos y de red obtendremos un listado de los recursos
que comparte esa máquina.
debian[root$]showmount -e 192.168.0.9 >>showmount Este es el comportamiento normal de
export list for 192.168.0.9
/pub (everyone) 2.Enumeracion de usuarios NFS. Solo deberemos asegurarnos de que
/usr user los recursos que se comparten tengan los
/libros lectores >> finger, rwho, rusers, telnet, tftp permisos correspondientes de lectura y
(trivial ftp)
escritura (read o write).
3.De aplicaciones mediante
Figura 4 "banner grabbing"
Parte 1 de 2
Los sistemas operativos Windows han sido el blanco
preferido de las actividades de los hackers. Existen varias
razones. En lo que sigue analizaremos el porqué de esto y Otro factor, viene pegado al
hecho de ser muy fáciles de
mostraremos las metodologías y herramientas que se uti- usar y contener muchas aplica-
ciones. La simplificación en el
lizan al momento de comprometer nuestros sistemas y uso del sistema operativo
redes. Esto nos enseña cómo defendernos. también hace sencillo el uso de
herramientas para atacarlo. La
Ya hemos recorrido: Sessions o Login anónimo",
Indice gran cantidad de aplicaciones
"Rainbowcrack : "la herramien-
que trae por default amplía el
Paso 1: Footprinting ta" para crackear los pass-
número de posibles vulnerabili-
Paso 2: Scanning words de los sistemas opera-
PARTE 1 Paso 3: Enumeración tivos Windows"
dades a encontrar.
E:\TMP\Página_44.nex
El hacker, muy probablemente comprome- En los paso a paso anteriores (en la enu- Auditing Tool), NTInfoScan.
E:\TMP\Página_45.nex
permite que se pueda realizar el bloque de Identificación, Autenticación, Autorización y 1. un logon a la red de la empresa
NEX> Revista de Networking y Programación
Passwords
No es fácil saber si nos han hackeado y menos aún cómo ser bajada de www.insecure.org).
ni quién. Existen otras alternativas. Por
ejemplo Microsoft sacó una nueva
¿Qué hacer?, ¿Cómo abordar el problema? En este artículo le enseñamos versión de portqry (http://support.mi-
dónde buscar los códigos maliciosos que el hacker ha instalado. crosoft.com/default.aspx?scid=kb;en
-us;832919#2, ver tambien los
artículos de Mark Minasi sobre el
Si nuestra máquina (sea una terminado momento se activa tema.
Workstation o server) corriendo un abriendo un puerto y muy posible-
Sistema Operativo Windows ha sido mente estableciendo una conexión 2. Detectar posibles usuarios NO
comprometida (se dice también con nuestro enemigo. autorizados
hackeada), muy probablemente
estará muy lenta o tendrá una canti- Correr en command prompt: Es muy común que en un
dad de tráfico en su placa de red i- nestat -a
sistema hackeado aparezcan
nusualmente grande. En general que nos dice qué conexiones y
NO es fácil saber si nos han hackea- puertos en escucha tiene nuestra usuarios creados por el hacker.
do y menos aún cómo ni quién. máquina (la víctima). Normalmente con privilegios de
administradores. Es muy prob-
¿Qué hacer?, ¿Cómo abordar el En la figura 1. vemos una lista de los able que estén incluídos en
problema? En este artículo le en- puertos que aparecen abiertos en un grupos privilegiados. Ud en-
señamos dónde buscar los códigos servidor Windows 2000. Por contrará la lista de usuarios y
maliciosos que el hacker ha instala- supuesto, otros puertos pueden a- grupos en "local users and
do. parecer abiertos dependiendo de los groups" o si está en un entorno
A continuación detallamos tres ac- servicios que tengamos corriendo. de Active Directory en "active
ciones importantes a seguir: Debemos saber, qué la salida que
Directory users and comput-
1. Detectar qué puertos tiene a- nos muestra netstat puede estar
biertos nuestro sistema víctima y modificada por el mismo programa ers".
determinar cuáles pueden ser que nos hackea. Por eso, debemos En ambos casos lo que
sospechosos. correr en forma complementaria, debemos hacer es chequear
los usuarios y los grupos tratan-
Microsoft Windows 2000 [Version 5.00.2195] do de identificar los NO autor-
(C) Copyright 1985-2000 Microsoft Corp.
izados.
C:\Documents and Settings\Administrator>netstat -a
3. ¿Dónde buscar el progra-
Active Connections ma hackeador de modo de
detenerlo?
Proto Local Address Foreign Address State
TCP server1:smtp cor-81:0 LISTENING Destaquemos que cada hack es
TCP server1:http cor-81:0 LISTENING
único. Pero existen ciertos "patterns"
TCP server1:epmap cor-81:0 LISTENING
TCP server1:https cor-81:0 LISTENING comunes a la mayoría de los casos.
TCP server1:microsoft-ds cor-81:0 LISTENING
TCP server1:1025 cor-81:0 LISTENING >>A. Registry Subkeys (Tipo run)
TCP server1:1027 cor-81:0 LISTENING
TCP server1:1030 cor-81:0 LISTENING Debemos revisar en las lla-
TCP server1:1058 cor-81:0 LISTENING madas "Registry subkeys". En
TCP server1:1101 cor-81:0 LISTENING
particular en aquellas que
TCP server1:1113 cor-81:0 LISTENING
TCP server1:1400 cor-81:0 LISTENING hacen correr (run) programas.
TCP server1:3372 cor-81:0 LISTENING Cualquier programa que Ud.no
TCP server1:3468 cor-81:0 LISTENING reconozca es un enemigo po-
TCP server1:4662 cor-81:0 LISTENING tencial. Si sospecha vaya a
TCP server1:6711 cor-81:0 LISTENING google y haga una búsqueda
TCP server1:6715 cor-81:0 LISTENING sobre el nombre de ese progra-
ma para ver que encuentra.
C:\Documents and Settings\Administrator> Los lugares más comunes
donde están alojados estos
programas son:
Figura 1 desde otra máquina un scanner de
Recordemos que el hacker pudo puertos sobre la nuestra. La her- C:\windows y
haber instalado un "backdoor", un ramienta más popular es Network
"troyano" o un "Root Kit" que en de- Mapper (nmap) de Fyodor ( puede C:\windows\system32
E:\TMP\Página_48.nex
>>C. Carpeta Startup
¿Qué es un backdoor ?
Un mecanismo oculto en software o hardware que puede ser activado de modo de permitir evitar mecanismos de protección a sis-
temas. Proveerá en general, acceso con muchos privilegios o totales al sistema ya sea con una cuenta o desde una cuenta más re-
stringida. Es activado, de un modo de apariencia inocente. Por ejemplo, una secuencia de llaves en una terminal. Otra alternativa
podría ser enviando un paquete específico a un puerto determinado. Los desarrolladores de software muchas veces introducen
backdoors en sus códigos de modo de permitirles entrar en el sistema y realizar ciertas funciones (a veces se llama mantainence
hook, gancho de mantenimiento). Los backdoors son dejados muchas veces en sistemas de producción por diseño y pero a veces
por accidente. Como sinónimo se utiliza trapdoor.
E:\TMP\Página_49.nex
AUTORUNS una de las SYSINTERNALS Tools
NEX> Revista de Networking y Programación
Todo aquel que sea un profesional en IT conoce el nombre de Mark Russinovich. Mark es un editor y autor de la revista Windows IT
Pro en US (www.windowsitpro.com) y Arquitecto de Software para la empresa Winternals Software Co-autor de libro Windows in-
ternals de Microsoft Press y de muchas utilidades como Process Explorer, Filemon y Regmon (ver www.sysinternals.com)
¿Qué es AUTORUNS?
Autoruns es una utilidad que tiene el más completo conocimiento de donde están ubicadas los programas llamados auto-start.
Autoruns, muestra qué programas están configurados para correr (run) durante el llamado boot-up del sistema (arranque) y poste-
rior login de un usuario. Nos muestra las entradas en el orden en que Windows las procesa (en el Start-up del sistema y logon del
usuario). Estos programas incluyen aquellos en la carpeta startup, Run, RunOnce y otras Registry Keys. Uno puede configurar
Autoruns de modo de que nos muestre otras locaciones, incluyendo extensiones del shell de Explorer, toolbar (barras de tareas), los
llamados browser helper objects, notificaciones Winlogon, servicios auto-start y muchos más. Autoruns supera lejos la herramienta
de Microsoft MSConfig que viene instalada en Windows Me, XP y Windows Server 2003.
Posee una opción, Hide Signed Microsoft Entries (Esconda las entries firmadas por Microsoft) que nos permite concentrarnos sola-
mente en las llamadas auto-starting images de terceros y que han sido agregadas a nuestro sistema posteriormente a la insta-
lación. Tambien está incluído en el paquete que se puede descargar libremente de la web un equivalente que nos permite trabajar
en línea de comandos y cuya salida está en formato CSV (autorunsc).
La figura 1 nos muestra un screenshot del display de Autoruns.Su utilización es muy sencilla y puede llevar 2 minutos aprender su
uso. Una opción interesante es dehabilitar un dado programa al Stara-up con sólo destildar el correspondiente casillero. En el
proximo re-start de la máquina esa aplicación no corre más en forma automática y siempre puedo volver a activarla.
Para remarcar: Autoruns nos indica el orden en que los programas son lanzados por el SO. Recordemos que los programas lanza-
dos primero pueden ser sobre escritos por otros que comiencen a posteriori.
Si nos interesa conocer detalle del entry, en el registry de la imagen correspondiente, la empresa que la creó o el path al archivo de
la imagen, podemos hacer doble clic sobre ese entry. Si hacemos boton derecho, existe la opción google que buscará en internet
información sobre la aplicación de nuestro interés. Esto es muy útil al momento de búsqueda de un posible hack en nuestro sistema.
Muy probablemente, si lo corre, se sorprenderá de cuantos ejecutables se largan automáticamente!!.
Autoruns corre en todas las versiones de Windows.
Se descarga de www.sysinternals.com.
E:\TMP\Página_50.nex
Seguridad Wireless
NEX> Revista de Networking y Programación
Quizás la fuente de riesgo más significativa en una red inalámbrica sea el hecho, que
el medio sostén de las comunicaciones, ondas electromagnéticas en el aire, están
disponibles para los intrusos, siendo equivalente a tener puertos Ethernet
Por Leonel Becchio redes inalámbricas que comunican datos tienen los dispositivos:
asignadas bandas de frecuencias diferentes a ad hoc o de peer to peer (entre pares), donde
las de la radio comercial AM y FM. Estas últimas un dispositivo se comunica directamente con
Introducción son licenciadas y las emisoras deben pagar por otro de su misma especie sin la intervención de
su uso. Las redes inalámbricas hogareñas o em- un dispositivo central (ver Figura 1).
En 1999 el Standard 802.11b fue aprobado por
la IEEE. Así nacen las WLANs (Wireless LANs
(Local Area Networks)). Las computadoras
podían interconectarse en red con un buen
ancho de banda sin tener que estar conectadas
por cables. Surgió la posibilidad de conectar
múltiples computadoras en el hogar compartien-
do una conexión a Internet común. O, juegos en
red que podían realizarse sin necesidad de
cables y conexiones costosas y complicadas.
En la empresa la conectividad wireless y la a-
parición de dispositivos más reducidos permitían
estar en reuniones o seminarios y aún poder
estar realizando tareas como si estuviesemos
sentados en nuestro escritorio. Surgió una era
de elegancia del trabajo en red donde con una
laptop y desde cualquier lugar es posible
acceder a los recursos informáticos de la
empresa o Intenet.
Pero que sucede con la seguridad y los riesgos
de esta nueva tecnología wireless.(inalámbrica).
Algunos de estos riesgos son similares a aquel-
los en redes por cables. Algunos están magnifi-
cados bajo una tecnología wireless. Algunos son
nuevos. Quizás la fuente de riesgo más significa-
tiva en una red inalámbrica sea el hecho, que el presariales tienen asignadas la banda de mi- Figura 1.
medio sostén de las comunicaciones, ondas croondas, banda en la que operan, entre otras
electromagnéticas en el aire, están disponibles cosas, los hornos a microondas y algunos telé- de infraestructura, donde la comunicación entre
para los intrusos, siendo equivalente a tener fonos inalámbricos. Esta banda es de uso libre dispositivos se realiza a través de un equipo central
puertos Ethernet disponibles a cualquiera, en por lo que se desarrollaron diferentes técnicas concentrador de datos conocido como access point
nuestra vereda. para minimizar la interferencia de las redes con o punto de acceso que generalmente está conecta-
otros dispositivos que operan libremente en do a una red cableada que hasta le permite acceso
Las comunicaciones inalámbricas son posibles dicha banda. Dentro de esta gama de frecuen- a Internet o una red corporativa. (ver Figura 2).
gracias a las ondas electromagnéticas que cias una muy típica es la de 2,4 GHz (Giga Hertz)
pueden desplazarse a gran velocidad por el aire cuyos campos oscilan a razón de 2.400 millones Figura 2.
e incluso por el vacío. Estas ondas no son ni más de veces por
ni menos que campos eléctricos y magnéticos segundo en
que oscilan en cuadratura, es decir perpendicu- todas las direc-
lares entre sí, a una frecuencia dada. Por fre- ciones.
cuencia entendemos que lo hacen con cierta
regularidad, una cierta cantidad de veces por Una red local i-
segundo y siempre de la misma manera. Por nalámbrica o
ejemplo, si nos remitimos a una estación emisora WLAN (del
de radio FM, ésta transmite a una cierta frecuen- i n g l é s ,
cia, digamos 105.5 MHz (se lee Mega Hertz). Su Wireless Local
antena transmite y la nuestra recibe campos Area Network)
electromagnéticos que oscilan a razón de ¡105,5 tiene dos
millones de veces en un segundo! modos posi-
bles de comu-
Este ejemplo es para que Ud. tenga una idea de nicación entre
lo que sucede en el aire. Pero resulta que las
E:\TMP\Página_52.nex
Las especificaciones para el armado de una penetrar. A pesar de que no existe una red com- mente de quién dice ser. Por encriptación se en-
E:\TMP\Página_53.nex
entorpece la seguridad más de lo que ayuda. ización (V I) de 24 bits se obtiene una A pesar de poseer un mecanismo al
NEX> Revista de Networking y Programación
nueva clave de 64 bits (40 + 24) mediante parecer tan cerrado, WEP ha sido
Si nos remitimos a la etapa de en- un algoritmo conocido como RC4. probado como poco eficiente pues su clave
criptación, existen diferentes técnicas, RC4 es poco segura. Las razones son
algunas del momento en que surgió el es- varias, pero explicaremos sólo algunas de
La información a transmitir se la combina
ellas.
tándar y otras actuales. con esta nueva clave bajo la operación
lógica OR-Exclusive (XOR) obteniéndose El primer ataque utiliza una vulnerabilidad
Wired Equivalent Privacy (WEP) paquetes totalmente encriptados. A esto se detectada en la limitación numérica del
le concatena el VI (en texto claro) nueva- vector de inicialización. A causa de sus 24
WEP fue pensado para darle a una red mente y se envía por ondas de radio toda bits de longitud, se pueden armar
wireless la seguridad que tienen las redes esta trama. De esta manera, el dispositivo 16.777.216 valores posibles (224).
cableadas. El proceso de encriptación receptor recibe dicho VI y puede mezclar- Mientras esto puede parecer mucho, tenga
lo con su clave estática y generar la clave en cuenta que 16 millones de paquetes se
WEP requiere el uso de una clave estática
transmiten en unas pocas horas en una
de 40 bits introducida por el usuario. de 64 bits para desencriptar el mensaje. El
red con mucho tráfico. Cada cierto tiempo
VI es generado por el transmisor y puede
el algoritmo genera el mismo vector de ini-
Como dicha clave será utilizada para des- cambiar con cada paquete transmitido, de cialización para ser reutilizado en la en-
encriptar el mensaje, es necesario que sea modo que cada paquete nunca sea encrip- criptación, por lo que mediante una
introducida en cada dispositivo de la red. tado con la misma cifra. escucha pasiva del tráfico encriptado se
Con dicha clave y un vector de inicial- Figura 4. puede determinar la clave WEP dada su
reiterada secuencia. Tenga en cuenta
además algo muy simple: el VI viaja en
texto claro (sin encriptar).
E:\TMP\Página_54.nex
idéntica a la clave estática WEP, la
E:\TMP\Página_55.nex
Sin embargo el filtrado de direcciones MAC 802.1X nuevas claves de encriptación sean gener-
NEX> Revista de Networking y Programación
E:\TMP\Página_56.nex
De ser posible, debemos colocar nuestra WLAN Si elige WEP y su dispositivo lo permite, elija claves de
Debemos escoger un SSID que no sea fácil de Si opta por WPA, recuerde que el modo de autenticación
adivinar por el atacante, nombres largos con caracteres al- está basado en un servidor central al que el ACCESS POINT
fanuméricos y simbólicos alternados y, por supuesto, tiene acceso (servidor RADIUS), de nada sirve filtrar direcciones
siempre en nuestra memoria, nunca anotado en un papeli- MAC localmente.
to colgado del ACCESS POINT.
Si bien hemos hecho uso de adaptadores de red y ACCESS
Debemos habilitar WEP si no tenemos una opción POINTs de empresas en particular, las configuraciones pueden
de mayor seguridad como WPA. ser igualmente hechas en forma similar en dispositivos de otras
Muchos ACCESS POINT requieren por defecto que el marcas y / o modelos.
modo de autenticación sea por clave compartida si se ha-
bilita WEP.
Existen en la actualidad una serie de técnicas que derivan de una misma base y
que son diferentes medios de transporte desde los cuales se intentan interceptar
datos en una red inalámbrica. Generalmente las técnicas apuntan a investigar un
área en busca de redes wireless.
Por Leonel Becchio jóvenes utilizaban una técnica conocida
como War Calling para escanear, módem
mediante, líneas telefónicas para poder
Cada vez más debe evaluarse lo crítico
atacar alguna si el módem lograba conec-
que puede resultar tener un sistema in-
tarlos. El término guerra está inspirado en
alámbrico dentro de una empresa y que no
ataque, aunque muchas veces solamos u-
se encuentre debidamente protegido.
tilizar las técnicas de hacking para evaluar
Como ya hemos visto, un descuido a la
cuán segura se encuentra nuestra red de
hora de configurar un access point puede
posibles ataques. La técnica de war
poner en evidencia información sensible
walking consiste en recorrer a pie un área
desde el exterior o aún interior (que es lo
determinada en busca de un access point
más terrible) de la empresa. Hemos visto
mal configurado que nos permita ingresar Figura 2. Elementos mínimos necesarios
una opción tal vez poco económica que
a una red en forma clandestina. para war walking. PDA, adaptador wire-
constaba en cubrir una sala con un film
Generalmente se utiliza un dispositivo less, antena casera
que evitaba que las radiaciones sean cap-
manual, práctico de transportar como
tadas desde el exterior. No estamos
exentos de padecer ataques ya sea por
puede ser una PDA corriendo un software War Driving
apropiado.
venganza, diversión u otras causas, siendo
Esta técnica posee la facilidad de no ir a
los ataques internos los que suceden en
pie sino motorizado en un automóvil e-
mayor medida frente a los externos, sobre
quipado para tal fin. Ahora sí pueden incor-
todo por empleados deshonestos que, mo-
porarse herramientas más complejas e in-
tivados por el desinterés en su trabajo, in-
cómodas de llevar a mano. Generalmente
tentan atacar la empresa donde desarro-
deben ir más de una persona, de modo
llan su labor. Hoy es muy simple pues
que uno conduzca y el otro al menos opere
existe una gran cantidad de opciones para
los dispositivos y registre los eventos.
hacerlo. Por tal motivo debe tomar una
serie de recaudos a la hora de pensar en
seguridad. Debemos aclarar que las técni-
cas de hacking forman parte del proce-
dimiento para realizar un test de intrusión,
las que veremos a continuación son un
conjunto de posibilidades para desarrollar
un test de intrusión externo. No es ilegal
practicarlas si el fin que se pretende alcan-
Figura 1. PDA War Walking
zar es la mera prueba de acceso para re-
forzar la seguridad de nuestra red. Recae
en el lector la responsabilidad por todo uso En la foto vemos un PDA con un módulo
diferente al explicado en el presente artícu- transceiver Wi-Fi corriendo un software
lo. que indica la zona en un mapa geográfi-
co con la ayuda de un GPS (Sistema de
Técnicas de Wireless Hacking Posicionamiento Global) que toma refe-
rencias de un satélite geoestacionario y Figura 3. War Driving
Existen en la actualidad una serie de técni- permite indicarlas en el mapa.
cas que derivan de una misma base y que
son diferentes medios de transporte desde Generalmente quién realiza estos
los cuales se intentan interceptar datos en ataques tratará siempre de pasar inad-
una red inalámbrica. Generalmente las téc- vertido ya que resulta ilegal ingresar a
nicas apuntan a investigar un área en redes privadas, además como los
busca de redes wireless. equipos no poseen demasiada potencia,
deberán ubicarse en las cercanías de la
zona en cuestión. Un equipo más sofisti-
War Walking cado podría incluir antenas de alta
ganancia acopladas a los dispositivos,
El término war, guerra en inglés, fue utiliza- incluso aquellas de fabricación casera
do por primera vez en la película War con latas o tubos metálicos como los re-
cipientes de papas fritas. Figura 4. War Driving
Games (juegos de guerra) en la cual unos
E:\TMP\Página_58.nex
Formas menos disimuladas y bastante alo- War Flying
War Chalking
War Cycling
Lo mismo pero...en bicicleta.
War Kayaking
Figura 8. War cycling
Y hasta aquí llega la...locura ¿?
Figura 13. Símbolos de War Chalking
E:\TMP\Página_59.nex
herramienta genera un sumario con los Básicamente se trata de un scanner
NEX> Revista de Networking y Programación
access points localizados con ayuda de un 802.11 diseñado para PDA´s que corren
GPS. PocketPC 2003.
Scanners Wireless
E:\TMP\Página_60.nex
ducto comercial que permite escuchar el Debemos aclarar que este producto no
AirSnort http://airsnort.shmoo.com
Figura 7. Un antiguo war driver
Esta clase de productos cumple funciones
más específicas que la mera exploración Existe una versión de AirSnort que corre
de una red. bajo Windows y otra bajo Linux.
¿Qué es KISMET?
(http://www.kismetwireless.net)
E:\TMP\Página_61.nex
802.11Seguridad
NEX> Revista de Networking y Programación
El hecho de que la información de una PC conectada a una WLAN sea accesible desde otra computadora,
obliga a implementar la seguridad, para evitar que extraños puedan ver datos que no les corresponde.
Autor: David Alejandro Yanover Equivalent Privacy). Presentado como el la Alianza Wi-Fi, encargada de certificar las
primer estándar de seguridad, se trata de una normas de conectividad inalámbricas, WPA
Director y Fundador de Master Magazine, opción que jamás logró obtener la confianza tenía como objetivo reemplazar a WEP y
revista digital líder en informática, con referen- de los técnicos a raíz de que sus sistemas servir de estándar provisional, hasta que
cia en www.mastermagazine.info invitan a los intrusos. Haciendo uso de claves hiciera su aparición IEEE (Institute for
compartidas, cada usuario de la red necesita Electrical and Electronics Engineers) 802.11i.
Bajada tener su equipo configurado con la con-
traseña asignada para entrar en la WLAN. Temporal Key Integrity Protocol (TKIP) es otra
Durante las conexiones, WEP reserva 24 bits propuesta de seguridad a partir de WPA, la
El caos que gira en torno a la protección de la
para resolver claves que varían con el tiempo cual emplea claves de sesión dinámicas de
redes Wi-Fi respira con la salida de una
de manera automática y se constituyen con 128 bits. Mientras WEP usa claves estáticas,
nueva especificación que busca satisfacer a
las originales, sin embargo el procesamiento TKIP envía una contraseña maestra a los
los sectores más exigentes. Recorremos las
de estos datos no utiliza ninguna herramienta usuarios autentificados de la WLAN al mismo
soluciones actuales hasta llegar a WEP2.
de codificación. No obstante, pueden hacerse tiempo que funciona de parámetro de partida
algunos agregados a WEP, para establecer para generar claves auxiliares.
Desarrollo un mayor reto a los que tratan de invadir la
red. Para monitorear las PCs que participan Otras tecnologías de seguridad que sugiere el
La disponibilidad de zonas Wi-Fi en la so- en la WLAN pueden usarse listas de control organismo Wi-Fi son servidores RADIUS,
ciedad creció de manera notable en estos de acceso basadas en direcciones MAC para trabajar con claves de acceso en usuar-
últimos años, teniendo su mayor expresión en (Media Access Control). ios inalámbricos y remotos, VPN (Virtual
Estados Unidos, impactando en Europa y lle- Private Network), que supone un canal más
gando lentamente a Latinoamérica.
Herramientas de intrusión seguro entre el usuario y la red, Firewalls,
Básicamente, ya sea una PC, notebook, telé- para controlar los datos salientes y entrantes
fono móvil u otro dispositivo con soporte Wi- de las máquinas de tal manera de impedir
Los sistemas que utilizan la seguridad WEP
Fi, que se encuentra con una LAN inalámbri- que usuarios sin autorización tengan acceso
son fáciles de romper, lo cual queda reflejado
ca (WLAN), tiene acceso a Internet. De esta a la información, y Kerberos, servicio de aut-
en dos aplicaciones especializadas, AirSnort y
manera, resulta cada día más habitual encon- entificación desarrollado en el MIT
Kismet. Ambos programas son capaces de re-
trar puntos de conexión o Hotspots en aerop- (Massachussets Institute of Technology).
solver de manera pasiva las claves que son e-
uertos, restaurantes y comercios, siendo una
jecutadas en las WLAN bajo WEP,
forma de atraer al público. Sin embargo, es
aprovechando sus debilidades de en- El lanzamiento de una norma
precisamente la facilidad de acceso a las
redes WLAN uno de sus mayores desafíos,
criptación. Al quebrar la red, es posible real de seguridad.
hacerse pasar como usuario legítimo, y obser-
en el ámbito de la seguridad. Es uno de los
var y modificar los datos del resto de los miem- Cuando la seguridad en las redes wireless
aspectos más débiles, inclusive en entornos
bros de la conexión. Por otro lado, una vez estaba en su peor momento, habiendo de-
corporativos, donde, en varios casos, la im-
destruido WEP, las filtraciones MAC de los cepcionado a los entornos corporativos e
plementación de estas tecnologías está a la
usuarios, en caso de utilizarse, son visibles. inmersa en duras críticas, es presentado, en
espera de mejoras técnicas en el área, que
garanticen la confiabilidad del tráfico de datos. septiembre 2004, WPA2, dos meses después
Sin embargo, es aconsejable activar WEP de la ratificación del estándar 802.11i sobre el
Por otro lado, es extraordinario ver cómo
antes que no establecer ningún parámetro de cual está basado. WPA2 proporciona la ad-
redes privadas de empresas no aplican
seguridad. Otro punto que interviene en la in- ministración segura de las conexiones Wi-Fi,
medidas para proteger la información. La
seguridad de los puntos de conexión inalám- garantizando un completo monitoreo de los
salida de la norma 802.11i tiene previsto
bricos son los ataques de negación de servi- usuarios activos. Entre las características
cambiar las cosas.
cios (DoS, Denial of Service). De esta forma, principales destacan el uso de métodos de
El hecho de que la información de una PC
la capacidad de radio puede afectarse, trans- encriptación AES y el hecho de ser compati-
conectada a una WLAN sea accesible desde
firiéndose datos a un ritmo superior de que la ble con WPA, su antecesor, por lo que es
otra computadora, obliga a que sean anal-
red es capaz de soportar. posible migrar a esta nueva especificación.
izadas las opciones de seguridad, para evitar
que extraños puedan ver datos que no les cor-
responde. Es importante destacar que los La transición: en búsqueda una Las WLAN comienzan a consolidarse, res-
puntos de conexión son fáciles de detectar, ya solución pondiendo a las necesidades de los ámbitos
que revelan su presencia estando en actividad. más exigentes. La aparición de WPA2 es uno
Luego, destaca en la lista WPA (Wi-Fi de los mayores logros en el campo de la se-
Una medida falsa de seguridad Protected Access), una de las soluciones más guridad. Aún es temprano para decir que
usadas hasta la fecha, ya que emplea todos los problemas de intrusión desapare-
métodos de encriptación de 128 bits y auten- cerán, pero la implementación de las medidas
Nos proponemos entonces hacer un análisis
tificación EAP (Extensible Authentication que se han puntualizado debería ser sufi-
de las distintas medidas de protección que
Protocol), además de operar con sesiones di- ciente para que las redes trabajen sin preocu-
abundan hoy en el mercado. Al iniciar el
námicas. Lanzado en noviembre de 2002 por paciones.
camino nos topamos con WEP (Wired
E:\TMP\Página_62.nex
NMap y las 75 mejores herramientas de seguridad.
NEX> Revista de Networking y Programación
No existe página más prestigiosa que insecure.org. En ella, Fyodor desarrolla NMAP,
la herramienta Número 1, y presenta las 75 mejores herramientas de seguridad.
Por Carlos Vaughn OConnor
NMAP (Network Mapper) es una her- -Sin cargo: El objetivo primario del
ramienta Open Source, para exploración Proyecto de Nmap es hacer Internet más
de redes y auditoría de seguridad. Se seguro y proveer a Administradores/audi-
diseñó para scanear rápidamente redes de tores/hackers de una herramienta avanza-
gran escala, aunque funciona muy bien da para explorar sus redes. Nmap está
aplicada a hosts individuales. Usa los pa- disponible para ser bajado gratuitamente
quetes IP de manera novedosa para deter- (free download), pero también viene con el
minar qué hosts están disponibles en la código fuente completo que Usted puede
red, qué servicios (nombre de la aplicación modificar y redistribuirlo bajo los términos lista y podrán también conocer productos
y su versión) ofrecen esos hosts, qué sis- de GNU General Public License (GPL). con los que todavía no están familiariza-
temas operativos (y sus versiones) están dos. Dada la característica especial de los
empleando, qué tipo de filtros/firewalls -Bien documentado: Fácil de comprender consultados, las respuestas tendrán una
están en uso, y muchas características y actualizada documentación que usted leve orientación hacia los ataques más que
más. Nmap puede correrse en la mayoría podrá encontrar en www.insecure.org, en a la defensa.
de las arquitecturas y se puede emplear múltiples lenguajes.
tanto en versiones de consola como gráfi- Hay que pagar
cas. NMAP es software libre, disponible -Con Soporte: No tiene garantía, pero su
con todo su código bajo la licencia autor puede ser consultado ( fyodor@inse-
Trabaja bajo Linux
GNU/GPL. cure.org) Existen muchas listas de correo a
las cuales usted podría pertenecer.
Si desea aprender cómo funciona nmap Trabaja bajo FreeBSD /NetBSD
como herramientas de scanning, lea el -Aclamado: Ha recibido numerosas distin- /OpenBSD y UNIX propietarios
artículo Ethical Hacking Paso a Paso. ciones de revistas e incluso Microsoft la re-
Scanning en esta revista. comienda. Recibió el Information Security Trabaja bajo Windows
Product of the Year de la revista Linux
Características de Nmap: Journal, Info Works y CodeTalker Digest.
1-Nessus: Es la
-Flexible: Dispone de docenas de técni- -Popular: Miles de personas la bajan dia- herramienta más
cas avanzadas para lo que se denomina riamente y está incluida en muchos sis- importante, Open
scaneo de redes (mapping out networks) temas operativos (Red Hat, Debian Linux, Source, de testeo de vulnerabili-
llenas de filtros IP, firewalls, routers y otros Gentoo, FreBSD, OpenBSD, etc). Está dades.
obstáculos. Esto incluye muchos mecanis- entre los primeros diez (de 30.000) progra- Es un scanner de seguridad remoto para
mos de escaneo de puertos (TCP y UDP), mas que se ofrecen en Freshmeat.net. Linux, BSD, Solaris y otros Unix. Está
detección de sistemas operativos, detec- Esto es importante ya que le brinda a basado en plug-ins, tiene una interfase
ción de versiones, barrido de ping (ping Nmap un desarrollo vibrante y lo soportan GTK y lleva a cabo 1200 chequeos de se-
sweeps) y más. activamente. guridad remotos. Permite que los reportes
sean generados en HTLM, XML, LaTex y
-Poderoso: Ha sido usado para el scaneo Encuesta a 20.000 usuarios de Nmap: texto ASCII y sugiere soluciones para prob-
de redes inmensas con cientos o miles de las 75 mejores herramientas de lemas de seguridad.
máquinas. seguridad informática.
2-Ethereal: Sniffea
-Portable: Corre en la mayoría de los sis- De una encuesta realizada por Fyodor a los paquetes TCP/IP
temas operativos, incluyendo Linux, 20.000 hackers que utilizan Nmap, con el que mantienen unida a Internet.
Windows de Microsoft, FreeBSD, Open propósito de que describieran sus he- Es un analizador de protocolos de red de
BSD, Solaris, Irix, Mac OS X, HP UX, rramientas de seguridad favoritas, res- softaware libre y corre bajo Unix y
NetBSD, Sun, Amiga y otros. pondieron 1854 personas. Cada persona Windows. Le permite examinar los datos
podía responder con una lista de 8 he- de una red en actividad o de un archivo del
-Fácil: Ofrece características avanzadas rramientas. disco que contenga el material capturado.
para usuarios avanzados A la vez usted Usted puede interactivamente browsear
puede comenzar con tan simplemente Aquí detallaremos las 5 primeras her- los datos capturados, viendo un resumen y
hacer nmap -v -A hostblanco. Existen ver- ramientas y mencionaremos las 6 sigu- la información detallada de cada paquete.
siones para línea de comandos y GUI de ientes. Quien desee ver la lista completa lo Tiene varias características poderosas., in-
modo de satisfacer cada preferencia. Existen referimos a www.insecure.org. cluyendo una exposición rica y filtrada y la
los binarios para aquellos que no deseen Los interesados en el tema de seguridad habilidad de ver el stream reconstruido de
compilar a Nmap desde las fuentes. encontrarán información de utilidad en la una sesión TCP. Está incluida, una versión
en modo texto llamada Tethereal.
E:\TMP\Página_64.nex
3-Snort: Un siste- 5-TCP Dump / Win 11-John the Ripper:
EL NIDS (Network Intrusion Detection System) OPEN SOURCE ahora corriendo bajo Windows.
Introducción ¿Se necesitan muchos recursos Snort puede obtenerse de la página web
para correr SNORT bajo WINDOWS? de Codecraft.
Infinidad de paquetes con información a- CodeCraft ha sido responsable por
traviesan a gran velocidad las redes de >> Escritura y mantenimiento del Win32.
>> SNORT corre bajo SOs Windows desde
computadoras. Ha realizado la migración de
WIN2k professional y posteriores (XP,
Algunos fueron diseñados con malas inten- Snort1.8,1.9,2.0 y 2.1 de Unix,
Win2K Server, Windows Server 2003).
ciones. Pueden pasar los firewalls y las de- >> soporte inicial para Microsoft SQL.
>> Se necesita por lo menos una placa de
fensas perimetrales ingresando y dañando Servidor en el módulo loggin de la base de
red. Quizás la mejor opción es tener 2
nuestros sistemas. datos.
placas de red. Una conectada a la red a
>> Desarrollar el soporte integrado para
monitorear y otra a nuestra red de produc-
Seguramente, ha experimentado algún Snort para correr como un servicio Win32.
ción.
ataque con SQL SLAMMER, CODE RED, >> Desarrollar la instalación de Snort
>> No se requiere licencia ya que es una
NIMDA y MSBlaster. Todos estos progra- wizard paraWindows.
aplicación OpenSource.
mas maliciosos utilizan protocolos confi- >> No son necesarios demasiados recur-
ables: HTTP o SMB/CIFS de Microsoft http://www.codecraftconsultants.com/Snort
sos computacionales. El programa es muy
para alcanzar a realizar su maligna .aspx o www.snort.org
eficiente. Por ejemplo SNORT con 900
función. MHz y 512MB de Memoria puede manejar
Una vez realizado el download de la
redes de miles de sistemas.
La opción NO es bloquear esos protocolos. página de Codecraft, la instalación es más
Las organizaciones emplean los llamados que sencilla. Deberá tomar algunas deci-
¿Dónde ubico un NIDS dentro de siones en el camino como por ejemplo,
IDS (Intrution Detection Systems)
(Sistemas de detección de intrusos). En
mi infraestructura de red? qué base de datos utilizará: MySQL o
particular, aquellos que monitorean las ODBC (en este caso deje la selección por
redes: los NIDS (Network IDS). Muy probablemente no lo colocaré delante default). Pero, quizás quiera hacerlo a una
del firewall. La idea es dejar al firewall base SQL o Oracle. El resto son simple de-
Es posible encontrar en el mercado exce- filtrar. Si lo pongo delante obtendré la cisiones de ubicación de archivos, etc.
lentes NIDS. Sus precios y capacidades mayor cantidad de paquetes, pero también
son variados. Generalizando son todos de ruido. Aquel que desee usar Snort de forma pro-
buenos y cumplen su función con eficacia. También deberá estar detrás de los dispo- fesional podrá usar la documentación de
sitivos que reciban a sus usuarios remotos su web-page o excelentes libros dedicados
Existe además una versión de fuente (VPNs, conexiones wireless
). a Snort. Allí aprenderá a:
abierta (Open Source) denominada Recordemos que si el tráfico está encripta- -Configurarlo.
SNORT. do SNORT no lo detectará. Como regla -Configurar las reglas.
A diferencia de lo que ocurre generalmente general Ud debería colocar el NIDs tan -Setear las alertas y los logs.
esta aplicación Open Source del mundo atrás como le permitan los componentes -Correrlo como un servicio.
Unix-like (Linux, OpenBSD
) corre en que encriptan el tráfico, pero debe poder
Sistemas Operativos de Microsoft. Y se capturar el tráfico de tantos segmentos y Pero, veamos cómo funciona Snort.
trata de un producto muy eficaz. subredes como sea posible.
Al momento de ejecutar el .exe la siguiente
La historia de SNORT ¿Cómo instalo SNORT en un información deberá ser provista: 1. dónde
Sistema Operativo Windows? escribir los logs y 2. dónde encontrar el
archivo de configuración.
SNORT fue desarrollado alrededor de
1998 por Martin Roesch ( el fundador de Snort es básicamente un sniffer de redes
seteado en modo promiscuo. En el mundo Esta información se provee cuando lan-
Sourcefire, http://www.sourcefire.com
Unix se utiliza libpcap como el driver para zamos snort desde la línea de comando:
/snort.html ) y ofertado con licencia
GPL/GNU .Se trata de un aplicación captura de paquetes. Loris Degioanni hizo la
portación (to port, migrar) para Windows en snort l C:\snort\log c C:\etc\snort.conf
ampliamente probada, realizada con con-
el producto WinPcap. A console
tribuciones de la comunidad Open Source.
La versión actual puede llevar a cabo en ¿Entonces qué es winPcap?. Es un filtro de
paquetes que opera a nivel del kernel, es una -A le dice que deberá mostrar la salida en
tiempo real un análisis del tráfico IP y su
DLL de bajo nivel y una librería de alto nivel la pantalla.
registración (loggin) aún en redes con
Fast Ethernet y Gigabit Ethernet . Snort fue (independiente del sistema): wpcap.dll
(basada en libpcap 0.6.2) . La figura 1 nos muestra la salida de snort a
mirado a la plataforma Windows (Win32)
Se puede bajar WinPcap en esta secuencia de comando en el
por Michael Davis. Chris Reid ha continua-
http://winpcap.polito.it. Winpcap también command prompt. A partir de este
do esta tarea y actualmente SNORT para
soporta el excelente sniffer del mundo oPen momento Snort analizará todo lo que
Windows está presentado como un eje-
source: Ethereal (www. ethereal.com). ocurre en su red.
cutable de muy sencilla implementación.
Instalar WinPcap es muy sencillo.
Si desea activar una alerta intere-
E:\TMP\Página_68.nex
C:\>snort -l c:\snort\log -c\snort\etc\snort.conf -A console ¿Qué es un NIDS?
Snort usa un lenguaje de reglas flexibles para describir el tráfico que debe recolectar o pasar, así como una maquinaria de detec-
ción que utiliza una arquitectura modular de conexión. Snort también tiene capacidad de alerta de tiempo real., incorporando meca-
nismos de alerta para syslog, un archivo específico de usuario, una conexión UNIX, o mensajes de Winpop a los clientes Windows
utilizando el smbclient de Samba.
Tiene 3 usos primarios. Puede ser usado directamente como un sniffer de paquetes similar a tcpdump (1), un logger de paquetes
(de utilidad para el trabajo de red de tráfico debugging, etc.) o como detector de intrusión en el sistema.
-Extractado de snort.org
E:\TMP\Página_69.nex
Snort para Linux
NEX> Revista de Networking y Programación
¿Qué es Snort? cumple o no. binario) o bien para compilar. Una vez
obtenida la versión que más se ajuste
El Snort es un Sistema de detección En el siguiente ejemplo se generará a las necesidades se procederá a la
un alerta en caso que alguien inten- instalación:
de Instrusos (IDS) muy potente, el
tara conectarse al servidor Telnet En caso de haber optado por el
cual hace las veces de sniffer colo-
local, el mismo arrojará un mensaje paquete rpm:
cando la interfaz de red de la máquina con el valor especificado en msg, lo
en la cual se encuentra corriendo en que permitirá identificar rápidamente rpm Uvh snort-1.9a.rpm
modo promiscuo, es decir, brinda la el evento en el archivo de log:
capacidad a la placa de red de Este procedimiento es muy sencillo,
obtener todos los paquetes que circu- alert tcp any any -> 192.168.1.1/32 23
ya que al instalar el paquete rpm, au-
lan en un mismo hub o switch aún sin (content: pass; msg: TELNET!!!!;)
tomáticamente se crean los directo-
ser los suyos.
rios con las diferentes
reglas y el archivo de con-
El objetivo de Snort es,
por sobre todas las figuración principal del pro-
cosas, el de alertar en grama.
caso de recibir un intento
En caso de haber optado
de ingreso o ataque a por el source:
nuestra red. Para ello se
basa en un gran número $ tar zxf snort-2.0.0.tar.gz
de reglas que deciden si $ cd /snort-2.0.0
el evento o paquete $ ./configure
recibido corresponde a un $ make
ataque o no. $ make install
E:\TMP\Página_70.nex
ciones de la red interna: La sintaxis afirma que si en 7 segun- snort se deberá parametrizar el
E:\TMP\Página_71.nex
NESSUS
NEX> Revista de Networking y Programación
E:\TMP\Página_72.nex
de blancos de un archivo txt.) NESSUS lanza el
E:\TMP\Página_73.nex
NEX> Revista de Networking y Programación
E:\TMP\Página_74.nex
Linux, con la lupa en la seguridad.
E:\TMP\Página_75.nex