Seguridad Informatica Muy Interesante Nex It 13

Indice de Contenidos NEX IT Specialist # 13 Ututo
Pag 12.
Moodle
Pag 6. UTUTO-e, la
primera distribu-
Existe una enorme ción GNU/Linux
demanda para la argentina y con-
educación a dis- formada total-
tancia e e-lear- mente por soft-
ning. ware absoluta-
mente gratis, es
un producto de
En este artículo e x c e l e n t e
describimos a calidad, sin nada que envidiar a distribuciones
Moodle: la herra- con más tiempo en el mundo del Linux.
mienta Open-
Source para la ad- Descubra Ututo-e a través de un análisis pro-
ministración de la fundo que hemos realizado.
enseñanza.
Weblogs y Syndication
Pag 8.
El número de weblogs que existen actualmente es inmenso (entre 2 y

4 millones) y en muchos se hacen varias publicaciones diarias.
Seguir las actualizaciones se ha hecho cada vez mas complicado.
Además, periódicos y revistas también modifican su contenido con asi-

duidad.
La aparición de syndications (en cualquiera de los 2 formatos RSS o

Atom) ha simplificado la labor de los lectores, ya que automáticamente
les es reportado si se producen modificaciones.
Ethical Hacking Volumen 1
Pag 15. Seguridad
Wireless Pag 52.
En Ethical Hacking Vol 1 y 2 presentamos una serie de artículos que conforman
un verdadero libro sobre la seguridad informática con una propuesta diferente. Es tan novedoso que
necesariamente
El contenido lo hemos dividido en 4 secciones: aparece en una
sección separada:
Fundamentos de Seguridad Informática abarca 3 artículos:
Ethical Hacking Paso a Paso "Seguridad Wireless",
Seguridad Wireless "Wireless Hacking" y
Herramientas. "802.11Seguridad".
En esta edición le presentamos el Volumen 1.
TOOLS (herramientas)
Pag 64.
Fundamentos de Seguridad Informática. Ethical Hacking Paso a Paso
Pag 16. Pag 30. Describiremos las mejores herramientas de la se-
guridad informática: "NMAP y las 75 Mejores
Aquí aprendemos lo básico, la teoría. Está compues- Nos muestra a nuestro enemigo, sus tácticas y Herramientas de
to de una serie de artí- cómo las aplica al S e g u r i d a d
culos que irán barrien- momento de intentar Informática", "SNORT
do las diferentes temá- comprometer nuestras el NIDS (Network in-
ticas sobre las que se redes: "Introducción", trusión Detection
basa la seguridad in- "Footprinting", System) bajo
formática: Introducción " S c a n n i n g " , Windows", "Snort para
a la Arquitectura "Enumeración", Linux", NESSUS: el
C l i e n t e - s e r v i d o r, Hacking Windows NT, scanner de vulnerabili-
Entendiendo TCP/IP, W2K y W2003 (parte dades OPen Source"
"Elementos Basicos de 1)" y "Alguien ha hac- y "KNOPPIX y
Criptografía", keado sistema opera- Distribuciones
"¿Algoritmos de Hash tivo Windows, Especializadas en
Seguros? y "Pass Seguridad bajo
Phrases vs Passwords ¿Ahora Qué?" Linux.".
(parte 1 de 3)".
CaFeLUG
Revista Clarín Informática (Argentina)
Revista Mundo Linux (España)
Los días 12 y 13 de Noviembre, se llevó a cabo en Bs. As. la "3ra
Dominio Digital (Argentina)
Conferencia Abierta de GNU/Linux y Software Libre". Concurrieron aproxima-
damente 1300 personas (de 1800 registradas previamente). Se dictaron 61
Empresas:
conferencias / talleres con 7 salas en simultáneo, durante los 2 días.
Cor-Technologies , Xtech, Pixart , Open Computacion
Participaron 42 disertantes e importantes miembros de la Comunidad de
Software Libre local y de países vecinos.
La repercusión obtenida garantiza la repetición de este evento el año siguiente. Grupos de usuarios y organizaciones :
Dentro de los asistentes a la conferencia se contó con participantes de GrULIC, LANUX, LUGFI, LUGLi, LUGRo, RetroNet, SoLAr, UYLUG, Via Libre.
México, Uruguay, Chile y Bolivia.
Las siguientes entidades auspiciaron el evento:
UADE (Universidad Argentina de la Empresa)

USUARIA (Asociación Argentina de Usuarios de Informática y Comunicaciones)
GLEDUCAR (Construcción Cooperativa de Conocimientos , Software Libre
en Educación)
LUGUM (Grupo de Usuarios de GNU/Linux , Universidad de La Matanza)
LANUX (Grupo de Usuarios GNU/Linux , ciudad de Lanús)
Medios Gráficos :
Revista Nex IT Specialist (Argentina)

Revista Users Linux (Argentina)
MOODLE
NEX> Revista de Networking y Programación
La herramienta Open-Source para la administración de la enseñanza.

www.moodle.org
Existe una enorme demanda para la edu- el logging and tracking del usuario, el
cación a distancia. Esta necesidad se basa ¿Por qúe se llama MOODLE? empleo de multimedios, integración de
en factores especiales de la vida cotidiana mails, entre otras posibilidades que lo
en donde se mezclan responsabilidades La palabra MOODLE, originalmente fue hacen similar a las herramientas pro-
laborales y compromisos familiares. un anacronismo para Modular Object- pietarias.
Oriented Dynamic Learning
La competitividad del mercado laboral Environment Es también un verbo MOODLE se desarrolla sobre la plataforma
lleva a la necesidad de un mayor entre- que describe el proceso de abordar algo LAMP, GNU/LINUX, APACHE, MySQL y
namiento como herramienta para acceder en forma desganada, haciendo cosas a PHP. Una característica muy interesante
a un mejor empleo. Se hace imprescindible medida que se nos ocurra, una manera es que puede usarse sobre cualquier servi-
por ello contar con un fácil acceso a la edu- de moldear disfrutando y que muchas dor que pueda correr PHP. Además puede
cación y perfeccionamiento. veces condice a profundizar y crear. emplearse PostgreSQL en vez de MySQL.
Puede usarse incluso en servidores de
Una herramienta para la administración de hosteadores de sitios web. MOODLE se
el Blackboard y webCT.
enseñanza (en inglés se dice learning ofrece bajo la GPL de GNU (Licencia
management system o LMS) es un sistema
El elevado costo de las soluciones propie-
de software que da las herramientas nece-
tarias unido a la necesidad de poder modi-
sarias para proveer educación on-line.
ficar el software con el propósito de
atender necesidades específicas de en-
Es decir, utilizando computadoras en red
señanza y aprendizaje, hacen que sea
ya sean en intranets o accediendo a
necesario considerar con qué más se
Internet. Se utilizan principalmente en u-
puede contar.
niversidades, escuelas, instituciones de
entrenamiento y empresas con el propósi-
Existen varias herramientas open source.
to de acercar conocimientos.
En este artículo presentaremos a
Pública General).
MOODLE que reúne
Las herramientas para
muchos de los requerim-
la administración de Es muy fácil utilizar MOODLE e integrarlo
ientos necesarios.
enseñanza hacen uso con otros programas Open Source. Lo
Además, es una her-
extenso de la red in- único que requiere el alumno es tener un
ramienta open source
cluyendo foros de dis- browser (IE, Mozilla, Firefox) y una
popular.
cusión, chats, informa- conexión a Internet.
ción en revistas de
MOODLE comenzó en
estudio (journals), sis- La gran mayoría de los LMS están centra-
Australia en 1999 por el
temas de evaluación dos en el instructor y en cómo se desarro-
entonces estudiante de
automatizados, her- llan los contenidos de la clase.
doctorado en Educación ,
ramientas de nivelación
Martin Dougaimas . Había
y seguimiento de los alumnos . Pueden Una particularidad interesante de
sido formado en ciencias computacionales
emplearse también para enriquecer la en- MOODLE es que está basado en una
y no le satisfacían completamente las alter-
señanza tradicional. filosofía orientada hacia el aprendizaje
nativas propietarias.
llamada pedagogía construccionista social.
Los costos de educar on-line han sido
Moodle, desde entonces, se desarrolló
siempre altos. Existen soluciones de soft- ¿Qué es LAMP?
muy velozmente con el empuje de su
ware propietario de mucho prestigio como
creador y gracias a una gran comunidad
de usuarios y desarrolladores. Resume a Linux, Apache, MySQL y
PHP. Es una plataforma open-source
Un sitio Web bajo MOODLE puede admi- para desarrollo Web. Utiliza Linux como
nistrar un gran número de cursos. Además sistema operativo, Apache como servi-
existen gran variedad de posibilidades : los dor Web, MySQL como base de datos y
cursos por ejemplo pueden estar dirigidos PHP como lenguaje de scripting tipo
por uno o varios maestros, se pueden re- object-oriented. Perl o Python susti-
alizar actividades múltiples como asigna- tuyen muchas veces a PHP. LAMP se
ciones, chats, seminarios, foros de dis- ha transformado en un estándar de de-
cusión, revistas de estudio y planteamien- sarrollo de facto.
to de problemática a resolver. Aporta Vea el sitio web de O´Reilly:
también la posibilidad de asignar puntajes, www.onlamp.com
E:\TMP\Página_06.nex
En ella los estudiantes se involucran en su Además por ejemplo MOODLE permite

propio conocimiento. que se adjunten comentarios de cada
El concepto de esta filosofía de apren- término permitiendo a los participantes
dizaje es que los maestros construyen redefinir y aclarar esas definiciones.
activamente nueva sabiduría, apren-
diendo más y mejor al explicar el MOODLE es muy popular, se usa en
conocimiento a otros. Además adquieren cientos de países y muchos idiomas.
así una perspectiva más subjetiva del Logra reunir características especiales
conocimiento que han creado. que lo hacen apto para la cada día
mayor demanda de educación a distan-
Este ideal corre en forma paralela a la cia.
forma en la que se han desarrollado los A pesar de evolucionar rápidamente
trabajos Open Source. MOODLE se ha mantenido fiel a sus ob-
Los desarrolladores son también usua- jetivos. Su última implementación es un
rios. Cada uno se encuentra libre para calendario integrado.
hacer su aporte al software y el código
se va construyendo desde múltiples Uno de sus aspectos más criticados es
puntos de vista y se redefine a través de que se trata de un software únicamente
para un ambiente de enseñanza en
para expertos en tecnología informática,
Las metas del proyecto módulos, dinámico y orientado hacia el
ya que es dificultoso de instalar y utilizar
MOODLE. objeto (en inglés Modular Object
para usuarios básicos.
Estas se encuentran descriptas en el Orientated Dinamic Learning

Moodle Developers Manual (Manual de Environment)
Desarrolladores):
El tipo de pedagogía está reflejado en el
-Fácil de instalar, aprender y modificar. diseño y elección de las características
de MOODLE. Por ejemplo en cada curso
-Corre en múltiples plataformas. hay un glosario de terminología. En el
glosario los participantes del curso
-Fácil de ascender de una versión a la pueden agregar sus propios términos y
siguiente.
definiciones.
-Permite la utilización en conjunto con
otros sistemas. Una encuesta realizada entre usuarios
Sinónimos de LMS de MOODLE identificó que 66% de ellos
-Al ser modular permite el crecimiento.
se trataba de maestros, investigadores
>> entorno educativo administrado de e-learning o administradores educa-
una discusión abierta. cionales.
>> entorno de educación virtual
Esta filosofía es la base del nombre es- Un producto LMS puede ser complejo.
>> sistema de administración de cursos
pecial del proyecto. MOODLE simplifica muchas de las
tareas. Pero, quizás lo mas rico es la co-
>> sistema de soporte educativo
El sitio de la red MOODLE explica el munidad que ha crecido alrededor de él.
origen del nombre siendo un acrónimo
Weblogs y Syndication
Uno puede suscribirse en este servicio de syndication en las páginas web y recibir
alertas cuando han cambiado los contenidos. Se dice (en la jerga) que la página web
produce un feed (alimentación) ante un cambio.
Por Núria Prats i Pujol mente el concepto de weblog para profun- tintas publicaciones posteadas en los
dizar luego en el sentido de syndication. nuevos diarios personales aparecen
Apareció el WWW(World Wide Web, Finalmente analizaremos la situación cronológicamente con fecha y hora y se
1990) actual del tema. pueden renovar, gracias a la simplicidad,
Hace unos años personas como (Sir)Tim varias veces al día. ¡La novedad es que se
Berners-Lee (el creador del HTTP, ver Weblogs logra también la interacción con los lec-
artículo en esta edición: Gente e historia tores! Uno puede publicar comentarios o
en IT) mantenían páginas web con listas Alrededor de 1997 comenzaron a aparecer consultas debajo del artículo del blogger.
que promocionaban las nuevas e incluían diarios personales como páginas webs. En El número de weblogs que existen actual-
pequeñas descripciones de las mismas. estos se publicaban noticias y resúmenes mente es inmenso (entre 2 y 4 millones) y
Sin embargo rápidamente estas guías de sobre diferentes temas que el autor consi- en muchos se hacen varias publicaciones
páginas webs se hicieron imposibles de deraba relevante aportando además links diarias. Si uno está acostumbrado a seguir
mantener ya que diariamente se creaban de utilidad ligados a la temática discutida. algún weblog es muy probable que le in-
miles nuevas. Pero la forma de realizar y mantener la terese también seguir el de alguna otra
página era muy complicada. Se debía pro- persona relacionada con este. Seguir las
Aparecieron los buscadores (Yahoo, gramar en html el formato de la página y actualizaciones de diferentes weblogs se
1994, Google, 1998(ver artículo en esta cada vez que se quería introducir una ha hecho cada vez mas complicado.
edición: Gente e historia en IT). modificación a la misma se debía crear un Recordemos que además periódicos y re-
Normalmente uno realizaba una búsque- nuevo documento y ftp-earlo al servidor. vistas también modifican su contenido con
da. Encontrado algún sitio web de interés Luego surgió la necesidad por parte de los asiduidad. La aparición de syndications (en
se lo incorporaba como favorito o book- lectores de interactuar con los editores de cualquiera de los 2 formatos RSS o Atom)
mark en el web browser ( IE, Netscape, los weblogs. Comenzaron mediante con- ha simplificado la labor de los lectores, ya
Mozilla (Firefox aún no existía)). sultas y respuestas por e-mail. Un modo que automáticamente les es reportado si
Pero, muchas páginas web se modifican muy complicado, especialmente si el se producen modificaciones en los
con bastante frecuencia. Especialmente la editor-autor debía además refrescar la weblogs que le interesen. Por ello, weblogs
de periódicos, sitios de noticias, revistas y página con los comentarios de sus lec- y syndication van siempre de la mano. O
otras. tores. eso es al menos lo que los bloggers dicen.
Entonces uno hacía una especie de syndi- Como respuesta a estas necesidades Syndication
cation (ver nota adjunta) manualmente. surgieron diferentes aplicaciones que per-
¿Qué es esto? Luego de tener marcada la mitían crear páginas web con formatos es- Dijimos anteriormente que uno podría
página web como favorito uno la accede peciales para estas publicaciones perso- hacer algo similar a syndication manual-
diariamente y a veces más veces al día de nales. La forma de introducir las modifica- mente. En la actualidad esto está automa-
modo de ver si hay cambios (novedades). ciones era ahora muy sencilla y los lec- tizado. De hecho es un servicio que
tores podían en forma simple hacer sus co- ofrecen muchas páginas webs (especial-
Aparecieron los weblogs (páginas web, mentarios. Estas páginas especiales son mente de noticias) y weblogs.
personales con comentarios y links, actua- los weblogs o blogs que es su diminutivo.
lizadas sin ninguna sistemática o frecuen- Uno puede suscribirse a este servicio en
cia). (leer sobre la historia de weblogs en: Las notas, artículos o noticias que el las páginas web y recibir alertas cuando
http://www.rebeccablood.net/essays/weblo blogger (así se llama en la jerga al admin- han cambiado los contenidos. Se dice (en
g_history.html istrador-editor o autor del blog) desea pub- la jerga) que el weblog produce un feed
licar, se introducen rellenando una casilla (alimentación) ante un cambio.
El mercado de la información actualizada como la que brindan actualmente los servi-
como noticias de comercio, portales de dores de web-mail, señalando el tema o Los beneficios son varios ya que el alerta
periódicos y weblogs fue creciendo rápida- título (esto se llama un post o entry hará que uno sólo tenga que actualizar
mente. (entrada)). páginas únicamente cuando ha sido reno-
vado su contenido y le sea de interés verla.
El interés de poseer la información más ac- Una característica esencial es que las dis- Es que en la mayoría de alertas aparecen
tualizada se convirtió en un una necesidad
Nota: RDF
y en un gusto. ¿Quién no ha renovado
varias veces en un día ciertas páginas
webs con la intención de ver si habían sido Proviene de Resource Development Framework y es un recurso standard de desarro-
modificadas? llos de syndication que utiliza XML. Es parte de W3C (World Wide Web Consortium) que
Syndication y weblogs son palabras que guía los desarrollos de la web en el plano legal, social y comercial e intenta hacer la web
van de la mano. Introduciremos breve- accesible a todos los usuarios. [6]
los títulos y un breve extracto de los temas RSS 1.0 desarrollado por un grupo de Atom es un intento de resolver muchos de

renovados. Así uno podrá seguir alguna O´Reilly (www.oreilly.com) (no es un los problemas asociados con RSS. Sus de-
noticia que se está desarrollando momento upgrade de la versión de Dave Winer como sarrolladores hicieron de la internaciona-
a momento, los resultados de un partido de se puede llegar a pensar, sino que tiene un lización una prioridad. De este modo Atom
football, el valor de ciertas acciones, o las formato original). RSS 1.0 usa RDF (ver puede producir Syndication Feeds en
novedades que ha publicado el blogger nota) producido por el W3C( World Web cualquier idioma. También se buscó intro-
que uno sigue. Consortium). ducir extensiones: que sea posible sumar
funcionalidades sin tener que redefinir las
Entendiendo qué es Syndication especificaciones base de Atom.
RSS se diseñó para resumir un Feed. Atom
se creó con un propósito más general. Por
En el mundo de los periódicos o diarios un syndicate distribuye información a los ejemplo es posible usarlo en bibliotecas
suscriptores (en este caso revistas o diarios), permitiendo que cada publicación use (si donde se podrán producir feeds de Atom
lo desea) los contenidos de la información que recibió. Tiras cómicas, noticias y colum- de las últimas adquisiciones o máquinas
nas de opinión son distribuídas por syndicates dando más exposición a los autores y en una fábrica producirán reportes sobre
más contenido a los lectores. Desde hace pocos años, los desarrolladores de páginas su estado en Atom. Programas tipo agreg-
web comenzaron a usar el término syndicate como verbo o sustantivo. gators leerán los feeds mostrando los
nuevos libros o que máquinas no funcio-
nan correctamente (ver [4])
RSS son las siglas de Real Simple Los RSS 0.9x al día de hoy han evolu-
Syndication que es el formato más conoci- cionado a la versión RSS 2.0. Dave Winer Estos objetivos diferentes han hecho que
do sobre el que se programa la automati- cedió sus derechos a la Universidad de los dos proyectos vayan en paralelo y es
zación de este servicio.To Syndicate sig- Harvard. Este continúa participando del muy difícil predecir cual será el futuro en
nifica exactamente distribuir y creo que proyecto en el Berkman Center for Internet syndication. Solo el uso y el tiempo mar-
queda clara su utilidad. & Society at Harvard Law School. RSS 2.0 carán el camino.
Pero existe otra cara de esto que es que a Diferencias entre Wikis y Weblogs.
las compañías de noticias les resuelve en
parte los problemas de tráfico que ralenti-
zan sus páginas cuando hay un acceso Wiki es un Sitio-Web hecho en colaboración. Se forma por el trabajo continuo de
masivo a las mismas. A su vez, promocio- muchos autores. Es similar a un WEBLOG en estructura y lógica. Un wiki le permite a
nan su compañía o weblog ¡directamente cualquiera editar, deletear o modificar los contenidos que han sido publicados en el
al público que lo desea! Sitio-Web. Aún el trabajo de autores previos. Para esto utilizara una browser (IE,
Pero el potencial ha aumentado ya que Mozilla,). A diferencia, un Blog es tipicamente manejado por un autor y no se permite
hoy en día hay programas llamados aggre- que otros lo modifiquen. Solo se podrán adicionar comentarios al contenido original.
gators de noticias que absorben los
archivos RSS o Atom ( feeds) y presentan El término wiki se refiere indistintamente al Sitio-Web o al software que crea el sitio.
las novedades organizadas en diferentes
formatos. Estos programas permiten Wiki wiki significa rápido(quick) en Hawaiano. El primer Wiki fue creado por Ward
seguir la actualización de varias páginas a Cunnigham en 1995.
la vez. Algunos ejemplos: Feedreader,
Feeddemon o Bloglines. posee una licencia "creative commons"
que liberaliza los tan controversiales dere- Bibliografía:
Historia de la evolución de RSS chos del copyright.[1]
[1]http://blogs.law.harvard.edu/tech/rssVer
1999 un año clave: nace RSS 0.90. Fue Paralelamente a las dos familias de for-
sionHistory
lanzado por Netscape con intención de ser matos RSS (RSS 0.9x-RSS2.0 y RSS 1.0),
[2]http://www.internetnews.com/bus-
un programa que facilitara el intercambio aparece Atom. Este proyecto ha surgido
por quejas que se realizaban a RSS y al news/article.php/3_80051
de datos entre páginas Web (de e-com-
hecho de que los derechos sobre código [3]http://news.zdnet.com/2100-3513_22-
merce y noticias principalmente). De esta
forma se podía inscribir un usuario creando habían sido y eran de una única compañía. 5157662.html
su propio canal en My Netscape. Al ser Atom es un open source software. [3] [4]http://www.xml.com/pub/a/2002/12/18/di
renovada la información de las páginas se- ve-into-xml.html
leccionadas les seria automáticamente Syndication: RSS vs. Atom [5]http://www.webreference.com/author-
enviado a estos un resumen del cambio ing/languages/xml/rss/intro/
(un feed) [2]. Hoy en día podríamos decir que existe una [6]http://www.w3.org/Consortium/#goals
competencia entre dos tipos de syndica-
Dave Winer, en ese entonces en la com- tion: RSS y Atom. Quizás el estallido de
pañía UserLand Software, es quien intro- esta rivalidad surgió cuando Google (uno Para recomendar
duce el Standard que finalmente evolu- de los portales mas visitados de la www)
ciona a la versión RSS 0.91 a la par que el anunció que ofrecería solo Atom syndica-
grupo de Netscape desaparece. Así conti- tion a sus usuarios bloggers. Algunos sitios Rebeca Blood www.rebecablood.net
núa la carrera de los RSS 0.9x. que utilizan RSS son por ejemplo la BBC,
CNN, Disney y Forbes entre otras.[5] Nota en PC Users #163 pag60, 2004 por
Como alternativa a RSS 0.91 aparece Jorge Gobbi.
Quiero tener mi Blog !!!!!!!!!!!!!! Hacer nuestro BLOG es tan
>>Lo más simple. fácil como hacer 1, 2, 3.

El proceso es similar que con el webmail. Alguien me provee un weblog server que hosteará mi
blog y una interfase gráfica donde editaré y postearé mi contenido. en www.blogger.com (su dueño actual es
Ejemplos: www.blogger.com; blogs.ya (Pitas, Diaryland) Google Inc.)
>>Si deseo una infrestructura más profesional.

Puedo utilizar Word Press (WP) o Movible Type (MT). Aquí debo poseer un hosting propio que
acepte Perl y CGI para MT o PHP y MySQL para WP. El procedimiento es aún sencillo pero más Núria Prats i Pujol
involucrado. Pero, da más funcionalidades mediante el uso de plug-ins.
>> No estoy on-line Es consultora en programación web/base

Creo todo mi blog sobre mi PC sin estar conectado a internet (no estoy on-line). Luego lo subo (ftp- de datos. En la actualidad realiza su doc-
eo) a mi web-site. torado en Física Teórica en la Universidad
de Barcelona, España.
Ejemplos: http://thingamablog.sourceforge.net ; www.wbloggar.com
>>Tengo un servidor Apache y quiero usar aplicaciones del mundo open-source Se la puede contactar en:
para hostear weblogs. nuriapip@nexweb.com.ar
Instalo Blosxom o CORE (ver NEX IT Specialist #10 pag 3)
UTUTO-e: la primera distribución
GNU/Linux argentina y 100%
La evolución de UTUTO ha dado como resultado en nuestros días a UTUTO-e, una
distribución GNU/Linux destinada exclusivamente al uso como escritorio, lista para ser
instalada en el disco rígido y conformada únicamente por software libre
Autor: Dr. Reinaldo Piz Diez
Hacia fines del año 2000 el ingeniero máquina. En particular, podemos El próximo paso es el Menú de
Diego Saravia, de la Universidad elegir entre los tipos 486, III y IV de Instalación en el cual nos encon-
Nacional de Salta, presentó en so- procesadores Pentium y Athlon y tramos con dos posibilidades: insta-
ciedad la primera distribución Duron de la familia AMD. En el caso lación automática o instalación
GNU/Linux argentina, UTUTO. Dos de procesadores Pentium es posible manual. Elegimos la segunda opción.
características permitían sobresalir a descargar la versión 686, válida para La primera operación es la partición
este producto. En primer lugar, un procesadores 486, III y IV. Dado que del disco rígido para lo cual se utiliza
único CD contenía los paquetes nece- las pruebas que se comentan en este cfdisk v2.12. Creamos sólo dos parti-
sarios para tener una distribución fun- artículo se realizaron sobre una PC ciones, la región swap en /dev/hda1,
cional, escritorio incluido, en poco con procesador Celeron de 1.8 Ghz, con un tamaño de 256 MB (la memoria
tiempo. En segundo lugar, el CD era se descargó la versión 686 [2]. de nuestra PC es de sólo 128 MB), y
de modalidad liveCD, es /dev/hda2 para /, con el
decir instala la distribu- resto del disco rígido y ca-
ción en memoria tempo- pacidad de arranque.
ralmente y sin afectar el Optamos por escribir la
o los sistemas operativos tabla de particiones.
ya instalados en el disco
rígido. Luego de haber creado
las particiones, se nos
La evolución de UTUTO ofrece crear y / o configu-
ha dado como resultado rar el gestor de arranque
en nuestros días a de la PC, para lo cual se
UTUTO-e, una distribu- muestra en pantalla el
ción GNU/Linux destina- archivo lilo.conf. Dado
da exclusivamente al uso que el mismo no presenta
como escritorio, lista opciones extrañas, lo sal-
para ser instalada en el vamos sin modificarlo.
disco rígido y conformada
únicamente por software El siguiente paso es el
libre, como no se cansan formateo de las parti-
de enfatizar sus autores, ciones elegidas anterior-
Figura 1. El escritorio de Ututo
Daniel Olivera y Pablo de mente utilizando mke2fs.
Nápoli, integrantes junto a Saravia de Al reiniciar la PC con el CD de la Inmediatamente después del forma-
SOLAR, Software Libre Argentina [1]. distribución, las primeras pantallas teo, se instalan en el disco rígido los
recuerdan mucho a las pantallas de archivos correspondientes al kernel y
El proyecto UTUTO-e tiene en la actu- inicio de la distribución GENTOO al sistema base. Posteriormente, se
alidad su propia página web, [3]. Luego de cargar una imagen del copian archivos del CD al disco rígido
h t t ps : / / e . u t u t o . o r g . a r / i n d e x e s . h t m l . kernel 2.6.6 y reconocer automática- y comienza la instalación de los re-
Desde ella es posible acceder a la mente el hardware básico de la PC, spectivos paquetes, 377 en total.
página de descarga de la distribución. se nos pide seleccionar el idioma a
La primera sorpresa es que podemos u s a r d u r a n t e l a i n s ta l a c i ó n e n t r e Una vez finalizada la instalación de
elegir qué descargar en función del tres posibilidades: inglés, español y los paquetes, es posible seleccionar
tipo de procesador de nuestra portugués. el tipo de teclado y el lenguaje,
generar la clave para el administrador, luego de ejecutar startx nos encon- Suite Ofimática KOFFICE (Procesador

escoger los servicios que se activarán tramos con un escritorio GNOME con de textos, Planilla de cálculos, gener-
durante el arranque, configurar el un papel tapiz con la pequeña lagarti- ador de presentaciones, gratificador
acceso a internet o una red interna ja que le presta su nombre al proyec- de vectores, generador de reportes
con la posibilidad de activar samba si to, ver figura 1. Para mi sorpresa, la profesionales, generador de "charts",
se forma editor de formulas, generador de
parte de "flowcharting" estilo Visio), ver figura
una red 5.
Windows y
c r e a r Grabador de CD y DVD K3B, ver
cuentas de figura 6.
usuarios.
Finalmente, Reproductor de CD.
la configu-
ración del Reproductor de archivos de música.
e n t o r n o
gráfico se Sistema de impresión CUPS.
realiza au-
tomática- Sistema de Sonido ALSA.
mente.
Manejo de protocolos de comuni-
¡Listo! Ya cación de Windows (SAMBA).
estamos en
c o n d i - Sistema de administración remota me-
ciones de diante WEBMIN.
reiniciar la Figura 2. Planilla de cálculos Gnumeric
máquina. Al hacerlo se nos permite tarjeta de sonido tipo Intel810, empo- Sistema de reconocimiento automáti-
elegir entre un kernel 2.4.25 y uno trada en una placa madre no Intel, fue co de hardware.
2.6.6. Al ingresar en la cuenta de ad- configurada automáticamente y con
ministrador nos encontramos que por éxito por el sistema ALSA [4]. Sistema de "hotpluging" para disposi-
alguna razón la configuración au- tivos PCI y USB.
tomática del entorno gráfico falló, Veamos ahora una resumida lista de
razón por la cual ingresamos al los programas y utilidades disponibles Configuración automática del servidor
sistema en modo consola. No ob- en UTUTO-e: gráfico X.
stante, UTUTO-e tiene un excelente
menú de configuración post-insta- Procesador de textos Abiword. Soporte de protocolos de Internet IPv4
lación en /admin/menu. Desde allí e IPv6 integrados en todas sus aplica-
configuramos manualmente el entorno Planilla de cálculos Gnumeric, ver ciones.
gráfico para una tarjeta SIS650 y figura 2.
Kernel con soporte SMP hasta 8
Cliente de procesadores.
C o r r e o
Sylpheed, Firewall basado en iptables y ncurses
ver figura 3. FIREWALL-JAY.
Navegador Reproductor multimedia MPLAYER.

de Internet
Firefox, ver MPLAYER "plug in" integrado en el
figura 4. navegador de Internet.
Paquete para edición y manejos de

gráficos GIMP 2.0.
Sistema de edición de diagramas DIA.
Sistema de acceso telefónico a redes PPP.
Manejador de conexiones ppp

Figura 3. Cliente de Correo Sylpheed
WVDIAL.
Manejador de tablas de particiones QTPARTED.
Manejador de paquetes fuentes Portage de

Gentoo.
Se desprende claramente de esta lista que se

dispone prácticamente de todas las herramientas
necesarias para desarrollar tareas de escritorio u
oficina, aunque el entorno se adapta perfecta-
mente también a los requerimientos de un progra-
mador. Dado que los paquetes han sido optimiza-
dos para cada arquitectura, el rendimiento es el
óptimo aunque no debemos olvidar que los en-
tornos gráficos, aun en Linux, consumen aprecia-
bles recursos de memoria.
Es importante dejar en claro que la ausencia de

Figura 1. Navegador de Internet Firefox
algunos paquetes muy conocidos, como el suite de
oficina OpenOffice, no implica que no puedan uti-
lizarse. Simplemente, su política de distribución no
es compatible con la filosofía de los desarrol-
ladores de UTUTO-e y por lo tanto el paquete no
es incluido en el CD. El usuario final es libre, no
obstante, de descargarlo e instalarlo.
Para finalizar este artículo, digamos que UTUTO-e,

la primera distribución GNU/Linux argentina y con-
formada totalmente por software absolutamente
gratis, es un producto de excelente calidad, sin
nada que envidiar a distribuciones con más tiempo
en el mundo del Linux. Además, la distribución
completa esta contenida en un único CD, a diferen-
cia de otras distribuciones tradicionales.
Finalmente, UTUTO-e tiene el orgullo de ser una de
las pocas distribuciones recomendadas por la Free
Software Foundation como Free Operating System
[5]. Por todo esto, UTUTO-e merece ser considera-
Figura 5. Suite Ofimática KOFFICE
do por los linuxeros argentinos como una fuerte
opción para una configuración de escritorio.
Referencias y links de interés
[1] http://www.solar.org.ar.
[2] Las pruebas que se comentan fueron efectu-

adas con la versión 1.1 de UTUTO-e. Al momento
de escribir este artículo se encuentra disponible la
versión 1.2.
[3] http://www.gentoo.org.
[4] http://www.alsa-project.org/.
[5] Ver http://www.fsf.org/links

/links.html#FreeGNULinuxDistributions.
Figura 6. Grabador de CD y DVD K3B
Introducción a la arquitectura cliente servidor
redes y la seguridad informática
En este artículo veremos un panorama general de los elemen-

Las máquinas (sus sistemas operativos)
tos básicos en los que se basan las redes de computadoras deben hablar el mismo "idioma de red"
hoy. Muchas tecnologías entran en juego. En los artículos (network transport protocol).
que siguen discutiremos detalles de cada una de ellas. Han existido diversos protocolos de comuni-
cación:
-NetBEUI (Network Basic Input /Output
1. ¿Qué beneficio obtenemos en tener nexweb.com.ar que está alojada en algún
System Extended User Interfase)., un Viejo
una red? servidor llamado www". En nuestro caso no
protocolo de Microsoft /IBM/ Sytex usado para
está en las oficinas de NEX sino en un
soportar pequeñas redes).
Respuesta: tener máquinas en red nos ayuda proveedor de web-hosting (towebs).
-IPX / SPX (Internet Packet Exchange /
a resolver un gran número de problemas. Los paquetes saben encontrar donde está el
Sequenced Packet Exchange), el protocolo
El fin último de cualquier proyecto de redes es servidor. ¿Cómo?
la de proveer algún tipo de servicio en una o Se lo preguntan al servidor DNS: ¿"cuál es el
sistemas operativos más usados: UNIX,
en un conjunto (caso de clusters) de número IP del servidor (llamado www) que
Windows, Linux, Novell
máquinas que será utilizado por usuarios aloja la página web de nexweb.com.ar". DNS
desde otras máquinas de la red. Ejemplos: devuelve el IP correcto y los paquetes con el
que Novell NetWare utilizó durante muchos
-Necesito ver la página web de Ovis Link para pedido viajan hasta la máquina con ese IP. El
años.
conocer los precios de routers, hubs, switch- web-server (servidor) que está constante-
-TCP / IP (Transmition Control Protocol/
es, productos wireless. Existe un Web Server mente "escuchando" (tiene corriendo un
Internet Protocol), el protocolo casi universal
que aloja las páginas del dominio ovislink.com pequeño programa llamado daemon,
utilizado hoy.
-Necesito enviar un e-mail. Deberá existir un demonio). Toma el pedido y envía, por
mail server y deberé ejecutar una aplicación ejemplo, el archivo index.html. El cliente lee el
Si TCP/IP es nuestro protocolo de comuni-
cliente que me envíe y reciba una posible res- html y me lo muestra en pantalla.
cación, utilizaremos ciertos servidores funda-
puesta.
mentales para soportar su implementación:
-Necesito compartir archivos y carpetas a Otros tipos de servidores incluyen: file servers
toda mi empresa. Y que estén en un solo (servidores para compartir archivos), print
-Servidor DNS (Domain Naming System) que
server (file server) de modo de centralizar los servers, (servidores de impresión), E-Mail
conoce los nombres de las computadoras en
back-ups. servers; Servers de Negocios online (E-com-
la red y nos traduce a su numero IP.
-Necesito comprar una flauta traversa de merce).
plata: www.ebay.com y tipear ¨traverse flutes¨.
-Servidor DHCP (Dynamic Host Configuration
B. Las redes necesitan hardware para conec-
Protocol) nos ayuda a configurar las
2. ¿Cuáles son los elementos fundamen- tarse (switches, hubs, routers, modems) y
maquinas de nuestra red con su configu-
tales en una red ? conexiones (cables de red, líneas telefónicas,
ración IP.
frame relay, DSL, cable modem, ISDN y
-WINS (Windows Internet Name Service)
A. Todo tipo de servicio de red necesita un otros). Sino, los clientes NO pueden conec-
hace algo parecido a DNS pero sobre los
server-software y un client-software. tarse a los servidores.
nombres NetBIOS de nuestras máquinas.
Relación ¨cliente servidor¨ entre máquinas.
Web-browsers más conocidos: Netscape, Como NETBIOS es una interfase (API) de la
Mozilla, Internet Explorer, Firefox. implementación de redes Microsoft WINS NO
Conectamos las máquinas en red con un
será necesario en un entorno exclusivo UNIX.
propósito: la computadora que actúa como
cliente se beneficia de las computadoras que Web-servers más conocidos: Apache (nor-
malmente bajo Linux) e IIS (Internet D. Las redes necesitan seguridad.
actúan como servidores (ver fig. 1)
-En la maquina cliente debe correr un progra- Information Server) sólo trabaja bajo
Windows. Una vez establecidos los puntos a, b y c el
ma que sepa solicitar un servicio y saber
trabajo ha concluido: puedo leer y escribir
como recibir y mostrar lo que recibió: "apli-
archivos en el file server, ver páginas web en
cación cliente". En la figura 1 vemos un esquema sobresim-
el web server, imprimir en impresoras mane-
-Necesito en el servidor un programa que esté plificado de una LAN (Local Area Network)
jadas por el print server
atento y sepa escuchar pedidos y enviar la in- con conexión a internet.
formación solicitada: "aplicación servidor" Por ejemplo la subnet (red) 192.168.57.0 se
Pero ésta idea de compartir y de estar ofre-
Un ejemplo muy popular es el de Web conecta con 192.168.60.0 a través de un
ciendo los servicios lleva implícita un peligro.
browser (cliente) - web server (servidor): router (Router 1) El router tiene dos interfases
Nos está faltando entender cómo me protejo
Si quiero ver la página web del periódico NEX (una en cada subnet). Las máquinas de cada
de alguien que quiera aprovechar esta confi-
utilizo mi "web-browser" (cliente web) y en subnet están conectadas por un hub o switch.
guración para hacer un daño o robar informa-
algún lugar tipeo: http://www.nexweb.com.ar La conexión a internet la realiza el Router 2.
ción. La palabra seguridad aparece junto con
(http hipertext transfer protocol, es el protoco-
dos conceptos fundamentales: autenticación
lo que permite transferir hipertexto). C. Los clientes y servidores deben hablar los
y permisos.
He dicho a la red: "quiero la página web de mismos protocolos de red.
ganizar la red se llama Active Directory . Y el Control Lists (ACLs). Una vez autenticado la

1. Debo autenticar (verificar, identificar) a servidor con cuentas y passwords (Domain pregunta es a qué tiene derecho dentro de la
quien pretenda entrar a mi red y obtener un Controler) DC que lo podemos pensar como red. Eso se gobierna con una infraestructura
servicio. un servidor de logueo. de permisos también llamados derechos y
Ahora cualquiera que quiera acceder a los privilegios. Ejemplos:
2. Una vez autenticado debo tener almacena- "beneficios" de la red se deberá sentar en -El file server de la empresa tiene 6 carpetas
do en algún lugar la información de "qué" alguna máquina y entrar user ID y password: compartidas, pero el usuario "Pepe" sólo
tiene permitido hacer en la red. (sus per- logonearse. puede acceder (tiene permiso) para una sola.
misos). Pero ahora surge un problema muy serio. Yo Y quizás el permiso sólo lo deje "read" (leer)
tipeo mi user ID y password y estos deberán los archivos pero no modificarlos.
El punto 1 de seguridad llamado autenticación viajar por la red para ser verificados en el DC. -El usuario "administrador" tiene derecho a
normalmente se logra con una "cuenta" ¿Pero no existen programas llamados "snif- crear cuentas de usuarios.
(nombre de usuario, user id) y un password fers" que pueden ver los paquetes que viajan
(contraseña). Hoy existen variantes más por la red ? Sí. Por eso diferentes estrategias Con lo anterior (autenticación y permisos) e-
sofisticadas: smart cards y tecnologías bio- han sido y son utilizadas para realizar ésta jemplificamos uno de los temas que compo-
métricas (huellas digitales, cara, voz, retina). acción de logonearme para poder acceder a nen la seguridad en el mundo IT. Pero no son
Ahora debo guardar la información de usua- algún recurso de red compartido sin compro- los únicos. Por ejemplo
- Cuando solicito in-
formación a un
website o envío /
recibo un e-mail,
¿cómo puedo hacer
para que nadie vea
los contenidos? La
respuesta es encrip-
tándola.
- ¿Cómo me aseguro
de quién me envía un
cierto e-mail?
Respuesta: digital
signing.
- ¿Cómo hago una

compra segura con
mi tarjeta de crédito
via web?
Normalmente
aparece https y no
http en el browser. La
comunicación a partir
de ahí se hará encrip-
tada usando SSL
(Secure Sockets
rios y sus passwords en alguna base de datos meter el password. Layer) que utiliza encriptación asimétrica de
centralizada y necesito "encriptar" esa infor- Por ejemplo MS utilizó hasta los servidores llaves pública y privada (PKI).
mación. Recordar que siempre existe la posi- NT un método de autenticación llamado
bilidad de que alguien acceda o robe esa NTLM (NT LAN MANAGER). Hoy en una red - ¿Porqué un hacker puede acceder a mi
base de datos. Por ejemplo los servidores que use Active Directory se usará un viejo computadora utilizando las llamadas "vulnera-
NT4 guardaban información de usuarios en método del mundo UNIX (1980) llamado bilidades"?
un archivo llamado SAM. Aún cuando el Kerberos.
archivo estaba encriptado un grupo de - ¿Qué significa que el programa .exe que
hackers logró saber cómo crackear la infor- Aparecen hoy otros modos de autenticarse llega como attachment en un e-mail me cree
mación. Hoy Windows 2000 y 2003, que se como por ejemplo las llamadas "smart cards". un back-door?
basan en dominios, usan un modo más Ellas utilizan una infraestructura diferente
sofisticado de encriptación cuya información llamada PKI (Public Key Infrastructure) En los artículos de esta colección que siguen
también es posible descifrar (el archivo se lla- basada en certificados y dos claves (keys), expondremos todos estos y otros conceptos
ma NTDS.DIT en lugar de SAM). Aclaremos una pública y otra privada que conforman la seguridad informatica (inge-
que el peligro esta si alguien accede física- Aclaremos que hemos ejemplificado el niería social, hashes, virus, gusanos,
mente a esos servidores (domain controlers, proceso de autenticación al de una persona troyano).
DC) donde se guardan las cuentas / pass- (usuario). Pero también deberán autenticarse
words. Por eso normalmente esos servidores las máquinas entre sí y los servicios. Las in- (Para complementar este artículo los invita-
deberán estar a buen resguardo. fraestructuras detalladas antes también serán mos a ver una excelente presentación en
Síntesis: tenemos un servidor en algún lugar usadas en estos casos. video (de 12 minutos) donde se ejemplifica
de la red con las cuentas y passwords. Por todo el proceso de uso de TCP / IP en redes).
ejemplo la infraestructura que MS usa para or- El segundo punto son los Permisos y Access (download: www.warriorsofthe.net)
Entendiendo TCP/IP
Los fundamentos para comprender seguridad informática
TCP/IP es una suite (conjunto) de protocolos. Allí se incluye la in-

formación del número IP del que envía, del que recibe, el puerto
Modelos para describir la
de la aplicación que envía los datos, el puerto destino y toda otra arquitectura de comuni-
información relevante a la comunicaci n. cación de datos
Un modelo arquitectónico fue desarrollado
Toda la información que viaja por Internet cosas enviar correo electrónico, poder ver por la International Standards
(y en redes en general) está contenida en páginas Web y realizar transacciones Organization (ISO) y usado para describir
"frames" (paquetes). Estos paquetes están comerciales en materia de segundos sin la estructura y función de los protocolos de
conformados por los "datos" que una tener un límite geográfico. Los protocolos comunicación de datos: OSI (Open
cierta aplicación quiere enviar (por TCP/IP fueron originalmente desarrollados Systems Interconnect Referente Model).
ejemplo al hacer http://www.yahoo.com para tareas de investigación pero han Ver Figura 2.
estoy enviando algo como: "dominio logrado un alto grado de madu-
yahoo.com dame tu pagina web"). A éstos ración y aceptación casi univer-
"datos" se le adicionan "headers" (en- sal. Las investigaciones rea-
cabezados) por los diferentes protocolos lizadas por el mundo académico
de TCP/IP. Lo malo, lo bueno, lo que fueron financiadas en su mayor
quiere hacer mal, todo está dentro de los parte con subsidios de las
"frames". fuerzas armadas americanas, a
través del proyecto ARPANET
TCP/IP es una suite (conjunto) de protoco- (Advanced Research Project for
los. Como ya dijimos, cada protocolo en un Networking. Año 1969).
dado orden, agrega a los "datos" a ser en-
viados un "header". Allí se incluye la infor- En 1983 se divide en dos redes:
mación del número IP del que envía, del MILNET (de uso militar) e IN-
que recibe, el puerto de la aplicación que TERNET (de uso académico). En
envía los datos, el puerto destino y toda 1990 INTERNET se hace comer-
otra información relevante a la comuni- cial y surge el boom del e-com-
Figura 2
cación. merce e infinidad de otros
mundos. Contiene siete capas (layers) que definen
Quienes quieran realizar una maldad TCP/IP se refiere a un conjunto (suite) de proto- las funciones de los protocolos de comuni-
(hackers) o quienes desarrollen her- colos para comunicación de datos. La suite toma cación de datos. TCP/IP puede ser des-
ramientas de protección (antiviruses, fire- su nombre de dos de los protocolos que lo con- crito con el modelo OSI pero existe un
walls, proxys) deberán conocer a fondo el forman: Transmition Control Protocol (TCP) e modelo de arquitectura (alternativo) propio
detalle de cómo están conformados los Internet Protocol (IP). (ver Figura 2, TCP/IP implementación)
paquetes. La figura 1 nos detalla algunos de los pro- compuesto por cuatro capas.
En este artículo se explicará ese detalle. tocolos más comunes que conforman la Cada capa representa una función que se
Se verá una introducción histórica de suite. (Figura 1) realiza en la transferencia de datos entre
TCP/IP, el modelo que lo describe, y un aplicaciones a través de la red.
análisis de los headers que se agregan Se lo llama un "apilamiento" o
cuando se conforman los paquetes. "stack".
Si desea entender cualquier artículo sobre
seguridad o implementar alguna her- Una capa no define un solo pro-
ramienta será indispensable tener claro lo tocolo. Define una función que
aquí expuesto. En otro artículo de esta puede ser realizada por un
colección estará dedicado a explicitar en número de protocolos. Por
detalle ampliado sobre los protocolos IP, ejemplo, un protocolo de trans-
TCP y UDP. ferencia de archivos (FTP) y uno
de correo electrónico (SMTP)
TCP/IP proveen servicios al usuario y
son parte del Application layer.
Los protocolos TCP/IP (también llamados Cuando dos máquinas se comu-
"Internet Protocols") son la "amalgama" nican, cada protocolo se comu-
que conecta hoy la mayoría de las redes nica con su "peer" (par). Un par
de computadoras. También son respon- es una implementación del mis-
sables de la existencia de Internet: la red mo protocolo en la capa equiva-
de redes que nos permiten entre otras lente en el sistema remoto.
Figura 1
En principio cada protocolo debería sólo Cada capa trata toda la

interesarse de la comunicación con su información que recibe
peer. Sin embargo, deberá también haber de las capas superiores
un acuerdo de cómo pasar los datos entre como "datos" y adiciona
capas dentro de una sola computadora. "su" propio "header"
Los datos son pasados bajando por el (proceso llamado en-
"stack" de una capa a la otra hasta que es capsulación). Cuando
transmitida por los protocolos de la se recibe información
llamada "Physical Layer" por la red. Por sucede lo opuesto.
otro lado los datos son tomados de la red Es importante resaltar
y subidos a través del "stack" hasta la apli- que cada capa define
cación receptora. una estructura de datos
independiente de las
Las capas individuales no necesitan saber otras y su propia termi-
cómo funcionan la capa superior e inferior a nología que la describe.
ella: solo como pasar los datos (ver Figura 3). Figura 4
recibe de la capa superior que lo toma
La Figura 5 muestra como "datos". Esta información adicional
los términos usados que garantiza el "delivery"(entrega), como
en las diferentes ya dijimos, se llama "encapsulación".
capas para referirse a Cuando se reciben "datos" lo opuesto
los datos transmitidos sucede. Cada layer elimina su "header"
(ej.: un "datagrama" antes de pasar los "datos" a la capa supe-
tiene el "header" co- rior. Cuando la información sube el stack,
rrespondiente a la in- lo que llega de la capa inferior es interpre-
ternet layer y lo que le tada como header y datos.
pasa la capa supe- La información de los estándares de los di-
rior). ferentes protocolos es desarrollada y pub-
licada a través de los llamados "Request
Descripción For Comments". (Ver nota)
de cada layer Network Access (o Interface)

Figura 3 Las figuras 6, 7 y 8 Layer (Capa de Acceso a la red)
muestran una repre-
Este aislamiento de funciones en cada sentación pictórica de la estructura de los La Network Acess Layer es la de más
capa minimiza el impacto sobre toda la "headers" y datos. "Los "headers" están abajo en la jerarquía de protocolos
suite, que se puede producir por los conformados por varios "words" de 32 bits TCP/IP. Los protocolos en esta capa
avances tecnológicos. donde se incluye información. Recordar proveen el modo en que el sistema envía
que cada layer tiene su propia estructura los datos a otros dispositivos en una red a
En cada capa del "stack" se adiciona infor- (Figura 4) y agrega un "header" a lo que la que está directamente conectado.
mación de control llamado "header" (en- Figura 5
cabezado) ya que se coloca al frente de
los datos a transmitir (ver Figura 4).
Si aparecen nuevas tecnologías de hard- esquema de addressing (números IP y camino, manda el llamado ICMP "Source
ware deberán desarrollarse nuevos proto- cómo funcionan); definir como mover Quench Masaje" a quien envió el mensaje.
colos para la Network Acess Layer. Hay datos entre la Network Accesss Layer y la Este detiene temporariamente los envíos.
muchos protocolos de acceso: uno para Transport Layer, cómo se rutean "datagra-
cada Standard de red física. (Ethernet, mas" a hosts remotos, cómo realizo frag-
Destinos no accesibles:(Unreachable). Si
Token Ring, Cobre-teléfono, Fibra.) mentacion y re-armado de "datagramas".
un sistema se da cuenta que el destino de
Las funciones que se realizan a este nivel La figura 6 nos muestra un esquema del
incluyen encapsulación de datagramas IP datagrama IP. un paquete es no accesible envía a la
("frames" que se transmiten por la red) y el
mapeo de números IP a las direcciones
físicas usadas por la red (ej.: el MAC
address).
Dos ejemplos de RFCs que definen proto-
colos de esta capa son:
RFC 826 ARP (Address Resolution

Protocol) resuelve numeros IP a MAC ad-
dressses.
RFC 894 especifica cómo se encapsulan

Figura 6
los datagramas para transmitirlos por las
redes Ethermet. fuente (source) un "Destination
Recomendamos estudiar este esquema. Unreachable Message". Si el destino no
Internet Layer En otro artículo de esta colección accesible es un host o network, el mensaje
veremos el detalle de cómo se utiliza toda
lo envía un gateway (router) intermedio.
Esta es la capa arriba de la Network la información en el header.
Pero si el destino es un "puerto" no acce-
Access Layer. El "Internet Protocol"(IP) es
ICMP (Internet Control Message sible, el host destino envía el mensaje.
el corazón de TCP/IP y el protocolo más
importante de esta layer. Todos los proto- Protocol). Protocolo de Control de
colos en capas superiores e inferiores lo Mensajes de Internet Redireccionamiento de ruta: Si un
usan para "el delivery" de datos. IP está gateway (router) se da cuenta que otro
complementado por ICMP (Internet Es complementario al Internet Protocol y gateway es una mejor opción, le envía
Control Message Protocol). fue definido por el RFC 792. Forma parte al host fuente un "ICMP Redirect
de la Internet Layer. Manda mensajes re- Message".
IP (Internet Protocol) alizando tareas de control como reporte
de errores e información de funcionamien- Chequeo de hosts remotos. Un host
IP es el protocolo sobre el que se basa
to de TCP/IP. puede querer saber si otro host está
Internet. IP es un protocolo connection-
operando. Envía un ICMP "Echo
less. (Ver nota). Además se basa en proto-
colos de otras layers para realizar "error Algunos ejemplos de sus funcionalidades: Message". Cuando el segundo host
detection y recovery". recibe el echo message, contesta re-
Sus funciones incluyen: definición de Control de flujo: Si los datagramas llegan enviando el mismo paquete. El
"datagrama" (la unidad básica de trans- muy rápido para ser procesados, el host comando "ping" usa este mensaje.
misión en Internet), definición del que los recibe o un gateway (router) en el La tabla 1 muestra los códigos que son
utilizados por ICMP para los ejemplos an-
teriores y otros casos.

Protocolos Connection oriented
Tipo de código Mensaje ICMP Tabla 1 y Protocolos connectionless (no
0 Respuesta a eco (respuesta a PING) orientado a connección)
3 Destino inaccesible Protocolo connection oriented: intercam-
4 Source query bia información de control con el sistema
remoto (llamado handshake - dado de
5 Redirección mano), para verificar que está listo para
8 Eco (petición de PING) recibir datos antes de enviarlos. Se es-
tablece una "connection" en-to-end.
11 Tiempo de vida excedido (TTL) (Ejemplos TCP)
12 Problema en algún parámetro Protocolo connectionless: NO intercambia
información de control.
13 Petición de marca de tiempo
14 Respuesta de marca de tiempo
17 Petición de máscara de red
18 Respuesta de máscara de red En el word1 (al igual que en UDP) se envía
la información de los puertos origen y
Transport Layer TCP (Transmission Control Protocol) destino. Pero en este caso es enviada mucha
(Procolo de Control de Transmisión) más información.
Los dos protocolos más importantes en
esta capa son TCP (Transmission Control Las aplicaciones que necesiten que Application Layer
Protocol) y el UDP (User Datagram se les provea de una infraestructura
Protocol). TCP nos provee un servicio de confiable usarán TCP. Usando TCP
entrega de datos confiable. Incluye detec- Protocolos de capa de aplicación
estará segura de que los datos lle-
ción y corrección de errores end-to-end
garon a destino y en la secuencia
(de punta a punta). UDP provee un servi- En la capa superior de la arquitectura
cio de entrega "connectionless" y mucho adecuada. TCP es un protocolo con-
TCP/IP está la Application Layer. Esta
más reducido. Ambos, además, mueven fiable, "connection-oriented" y "byte-
incluye todos los procesos que utilizan a la
los datos entre los Application layer y stream".
Transport Layer como medio de entrega
Internet layer dentro de la misma máquina. de datos.
Quien programe una aplicación dada Un estudio de la Figura 8 y 9 nos indica
elegirá qué servicio es el más apropiado. qué información utiliza para establecer lo
Es la parte de TCP/IP donde se procesan
que se llama el "three.way hanshake" (es-
UDP (User Datagram Protocol) los pedidos de "datos" o servicios. Las
trechado de mano de tres pasos).
aplicaciones de esta capa estan también
UDP es un protocolo "connectionless" y no-con- esperando pedidos para procesar y están
fiable (no-confiable significando que no existe "escuchando" por sus puertos respectivos.
dentro del protocolo una infraestructura que cer- ¿Por que triunfó TCP/IP sobre
ifique que los datos llegan al destino correcta- La Application Layer NO es donde está
mente). El header UDP (ver figura 7) utiliza en otras alternativas? corriendo un procesador de palabras (por
la "word1" 16 bits para detallar el Source-Port ejemplo WORD), una hoja de cálculo o un
(puerto fuente) y otros 16 para el Destination- Son protocolos abiertos, disponibles gra- browser de internet (Netscape o Internet
Port (puerto destino). De este modo sabe (por el tuitamente y desarrollados en forma inde- Explorer).
número de puerto) qué aplicación lo envió y cuál pendiente de cualquier vendor de hard-
lo recibirá. ware o sistema operativo.
Son independientes de cualquier hard- Protocolos
¿Por qué decide, quien programa una apli- ware físico particular. TCP/IP puede correr
cación, usar UDP?. Puede haber varias sobre Ethernet, Token Ring, línea telefóni- Cuando las computadoras se comunican,
razones. Por ejemplo, si la cantidad de datos es ca dial-up, X.25 net y virtualmente es necesario definir un conjunto de reglas
muy pequeña, el overhead de crear la conexión cualquier otro tipo de medio físico de que gobiernen su comunicación. Este
y asegurarse la entrega puede ser mayor que transmisión. conjunto de reglas se llaman protocolos.
re-transmitir los datos. Aplicaciones del tipo pre- Un esquema de "addressing" (direc- Los protocolos TCP/IP están disponibles
gunta-respuesta son excelentes candidatos. La cionamiento) universal que permite a para cualquiera, desarrollados y cambia-
respuesta misma se puede usar como un aviso cualquier dispositivo TCP/IP dirigirse en dos por consenso. Y han sido adoptados
positivo de entrega. Si no llega una respuesta en forma única a cualquier otro dispositivo de universalmente, lo que permite la conec-
un dado tiempo la aplicación vuelve a enviar su la red aún cuando la red sea tan grande tividad de redes heterogéneas.
pedido. Puede también ser que una dada apli- como el world-wide Internet.
cación provea su propia infraestructura para
entrega confiable y no necesitara una in-
fraestructura más compleja que UDP. Figura 7
Ver Figura 7
Las aplicaciones que corren en esta capa,

SI interactuan con los procesadores de
texto, programas de hojas de cáculo y
otras.
Los protocolos SMTP, http, Telnet, POP,

DNS o FTP son ejemplos de protocolos de
esta layer.
Figuras 8 y 9
Request For Comment (RFC)
La naturaleza abierta de los protocolos TCP/IP requiere documentación pública de los estándares. La mayor parte de la
información de TCP/IP se publica como Request for Comments (RFC). Como implica el nombre, el estilo y contenido
de estos documentos es poco rígido. Los RFC contienen información bastante completa y no se remiten solamente a las
especificaciones formales.
Elementos Básicos de Criptografía
En este artículo expondremos: MD5. MD5 es un algoritmo hash diseñado

por Ron Rivest que produce un valor hash de
¿Qué es criptografía? 128 bits. El diseño de MD5 está optimizado
Concepto de hash para los procesadores Intel. Los elementos
del algoritmo se han visto comprometidos, lo
Encriptación simétrica: una sola llave que explica su menor uso.
SHA-1. Al igual que el algoritmo de llaves
Encriptación asimétrica: llave-pública y llave-privada públicas DSA, Secure Hash Algorithm-1
Entendiendo un algoritmo: el algoritmo RSA (SHA-1) fue diseñado por la NSA e incorpo-
rado por el NSIT en un FIPS para datos de
hash. Produce un valor hash de 160 bits.
SHA-1 es un conocido algoritmo hash de un
¿Qué es criptografía? Hash sentido utilizado para crear firmas digitales.
La criptografía es la ciencia que nos permite Un hash, también denominado valor hash o Encriptación con llaves simétricas:
proteger nuestros datos utilizando una trans- síntesis del mensaje, es un tipo de transfor- una sola llave
formación matemática de modo de transfor- mación de datos. Un hash es la conversión
marlos en ilegibles. Algunos ejemplos de su de determinados datos de cualquier tamaño, La encriptación con llaves simétricas, es
utilización son: en un número de longitud fija no reversible, también denominada encriptación con llaves
mediante la aplicación a los datos de una compartidas (shared keys) o criptografía de
- Cuando necesito enviar / recibir información función matemática unidireccional denomina- llave secreta (secret key). Se utiliza una
de un modo seguro a través de una red (in- da algoritmo hash. La longitud del valor hash única llave que poseen tanto el remitente
tranet, extranet ó internet) la "encriptación" resultante puede ser tan grande que las posi- como el destinatario. La única llave que es
(cifrado) es la herramienta fundamental para bilidades de encontrar dos datos determina- usada tanto para encriptar como desencriptar
poder realizar la tarea. dos que tengan el mismo valor hash son se llama llave secreta (pero es también
mínimas. Supongamos que quiero "hashear" conocida como llave simétrica o llave de
- Si mi computadora es extraviada y quiero el siguiente mensaje: "mi mamá". Quiero que sesión). La encriptación con llaves simétricas
proteger la información almacenada allí. el mensaje se resuma en un solo número es un método eficiente para el cifrado de
(valor hash). Podría por ejemplo, asociar a grandes cantidades de datos.
¿Qué funciones de seguridad me cada carácter ASCII su número (ASCII code Existen muchos algoritmos para la en-
permite realizar la encriptación? number) asociado criptación con llaves simétricas, pero todos
tienen el mismo objetivo: la transformación
Autenticación: permite a quien recibe un "m i <espacio> m a m a" reversible de texto sin formato (datos sin en-
mensaje, estar seguro que quien lo envía es criptar, también denominado texto no encrip-
quien dice ser. 109 + 105 + 32 + 109 + 97 + 109 + 97 = 658. tado) en texto encriptado. El texto encriptado
Confidencialidad: asegura que nadie leyó el con una llave secreta es ininteligible para
mensaje desde que partió. Sólo el desti- Así el mensaje se "resumió" (digest) en un quien no tenga la llave para descifrarlo.
natario podrá leerlo. solo número. Notemos que ésta es una Como la criptografía de claves simétricas
Integridad: asegura que el mensaje no ha función en una dirección (no reversible). utiliza la misma llave tanto para la en-
sido modificado. No hay manera de que alguien adivine el criptación como para desencriptar, la seguri-
mensaje "mi mamá" a partir del 658 a dad de este proceso depende de la posibili-
Para entender como lograr esto detallaremos menos que pruebe todos los posibles dad de que una persona no autorizada
tres conceptos básicos de criptografía: mensajes (infinitos) (y calcule su "valor consiga la clave simétrica. Quienes deseen
hash (digest)". Aún así tendría muchísimos comunicarse mediante criptografía de claves
A- Algoritmos hash en un sentido con 658 y debería adivinar cuál es el cor- simétricas deben encontrar algún mecanis-
B- Encriptación con llaves (keys, claves) recto (imposible). Destacamos que la mo para intercambiar de forma segura la
simétricas: se utiliza una llave función (algoritmo) hash usada fue de lo clave antes de intercambiar datos encripta-
C- Encriptación con llaves públicas y pri- más simple. En la vida real son usados al- dos.
vadas: se utilizan dos llaves goritmos mucho más complejos. El criterio principal para valorar la calidad de
Podriamos por ejemplo, usar ese número un algoritmo simétrico es el tamaño de su
En artículos posteriores desarrollaremos para verificar si un mensaje enviado fue llave. Cuanto mayor sea el tamaño de la
infraestructuras que se construyen sobre modificado en el camino: el remitente llave, habrá que probar más combinaciones
éstos. Ejemplos: cómo firmar digitalmente genera con un algoritmo un valor hash del de diferentes llaves para encontrar la correc-
un documento o cómo haríamos para in- mensaje, lo encripta y envía el hash en- ta que desencripte los datos. Cuantas más
tercambiar una llave secreta. El concepto criptado junto con el mensaje. A conti- claves sean necesarias, más difícil será
que sigue entender es la llamada Public nuación, el destinatario desencripta el romper el algoritmo. Con un buen algoritmo
Key Infrastructure (Infraestructura de llave hash, produce otro hash a partir del criptográfico y un tamaño adecuado de clave,
pública) (PKI) que nos detalla las directi- mensaje recibido y compara los dos es imposible, desde un punto de vista infor-
vas, los estándares y el software que hashes. Si son iguales, es muy probable mático, que alguien invierta el proceso de
regulan o manipulan los certificados, y las que el mensaje se transmitiera intacto. transformación y obtenga el texto sin formato
llaves públicas y privadas. En la práctica, Aquí supusimos que ambos conocen la del texto encriptado en una cantidad de
PKI hace referencia a un sistema de certi- llave para encriptar/desencriptar. tiempo razonable.
ficados digitales, entidades emisoras de
certificados (CA) y otras entidades de re- Funciones comunes de hash en un sentido Algoritmos de claves simétricas:
gistro que comprueban y autentican la
validez de cada parte implicada en una Las dos funciones hash siguientes son las DES (Data Encryption Standard): El DES
transacción electrónica. más comunes: nació como consecuencia del criptosis-
tema Lucifer, creado por IBM. Este algoritmo con la llave pública sólo pueden descifrarse del algoritmo RSA se basa en la dificultad (en

cifra bloques de 64 bits mediante per- con la llave privada. Los datos cifrados con la términos de velocidad y tiempo de proce-
mutación y sustitución. Fue usado por el go- llave privada sólo pueden descifrarse con la samiento) de factorización de números
bierno de los Estados Unidos hasta que se llave pública. grandes. El algoritmo RSA es único entre los
determinó que no era seguro. algoritmos de llaves públicas utilizados habit-
3DES (Triple-DES): La evolución del DES. Al igual que la criptografía de llaves simétri- ualmente ya que puede realizar operaciones
Utilizando el Standard ANSI X9.52, este algo- cas, la criptografía de llave pública también tanto de firma digital como de intercambio de
ritmo encripta 3 veces la información y sigue tiene diversos tipos de algoritmos. Sin llaves. Los algoritmos criptográficos RSA son
siendo compatible con DES. embargo, el diseño de los algoritmos de llave compatibles con Microsoft Base
AES (Advanced Encryption Standard): simétrica y de llave pública es diferente. Cryptographic Service Provider (Microsoft
Hubo un concurso abierto para analizar qué Puede sustituir un algoritmo simétrico por Base CSP1 ) y con Microsoft Enhanced
algoritmo iba a reemplazar al DES. El 2 de otro simétrico dentro de un programa sin Cryptographic Service Provider (Microsoft
octubre de 2000, el NIST anunció el algoritmo cambios o con cambios mínimos, ya que Enhanced CSP2 ), y están integrados en nu-
ganador: Rijndael, propuesto por los belgas ambos algoritmos funcionan de la misma merosos productos software, incluido
Vincent Rijmen y Joan Daemen (de ahí su manera. Por otro lado, los algoritmos de llave Microsoft Internet Explorer.
nombre). Rijndael es un cifrador de bloque pública que no son iguales funcionan de
que opera con bloques y claves de longitudes manera muy diferente y, por tanto, no se DSA: únicamente para firmas digitales. El
variables, que pueden ser especificadas in- pueden intercambiar. National Institute of Standards and
dependientemente a 128, 192 ó 256 bits. Los algoritmos de llave pública son ecua- Technology (NIST, Instituto Nacional de
IDEA (International Data Encryption ciones matemáticas complejas en las que se Estándares y Tecnología) de Estados Unidos
Algorithm): Sistema criptográfico simétrico, utilizan números muy grandes. Su principal incorporó el Algoritmo de firma digital (DSA),
creado en 1990 por Lai y Massey, que trabaja inconveniente es que proporcionan formas inventado por la National Security Agency
con bloques de texto de 64 bits, operando relativamente lentas de criptografía. En la (NSA, Agencia de Seguridad Nacional), al
siempre con números de 16 bits. Este algorit- práctica, se utilizan generalmente sólo en Federal Information Processing Standard
mo es de libre difusión y no está sometido a situaciones críticas, como en el intercambio (FIPS, Estándar Federal para el Proce-
ningún tipo de restricciones o permisos, por lo de una llave simétrica entre entidades o para samiento de Información) para firmas digi-
que se ha difundido ámpliamente, utilizán- la firma de un hash de un mensaje. El uso de tales. El DSA obtiene su nivel de seguridad
dose en sistemas como UNIX y en progra- otras formas de criptografía, como la crip- de la dificultad para calcular logaritmos dis-
mas de cifrado de correo como PGP. tografía de llaves simétricas, junto con la crip- cretos. Este algoritmo sólo puede utilizarse
tografía de llaves públicas optimiza el para realizar operaciones de firma digital (no
Encriptación con llaves pública: dos rendimiento. También puede combinar la en- para la encriptación de datos). Microsoft CSP
llaves (una pública y otra privada) criptación con llaves públicas con algoritmos es compatible con el algoritmo DSA.
hash para producir una firma digital.
En la encriptación de llave pública (public key Diffie-Hellman: únicamente para el inter-
Algoritmos típicos de claves públicas cambio de llaves. Diffie-Hellman, el primer al-
encription) se utilizan dos llaves: una pública
y una privada, que se encuentran rela- goritmo de llaves públicas, recibió el nombre
Los tres algoritmos siguientes de llaves públi- de sus inventores Whitfield Diffie y Martin
cionadas matemáticamente. Para diferencia-
cas son los que se utilizan con más frecuen- Hellman. Diffie-Hellman obtiene su nivel de
rlo del cifrado de claves simétricas, en oca-
cia: seguridad de la dificultad para calcular loga-
siones el cifrado de claves públicas también
RSA: para las firmas digitales y los intercam- ritmos discretos en un campo finito. El algorit-
se denomina encriptación con llaves
bios de llaves. Hoy en día, los algoritmos crip- mo Diffie-Hellman puede utilizarse única-
asimétricas. En la encriptación de llaves
tográficos Rivest-Shamir-Adleman (RSA) son mente para el intercambio de llaves.
públicas, la llave pública puede intercam-
los algoritmos de llave pública más utilizados, Microsoft Base DSS3 y Diffie-Hellman CSP
biarse libremente entre las partes o publi-
especialmente para los datos que se envían son compatibles con el algoritmo Diffie-
carse en un repositorio público. Sin embargo,
a través de Internet. El algoritmo toma su Hellman.
la llave privada será privada a quien cree el
nombre de sus tres inventores: Ron Rivest,
par (público/privado). Los datos encriptados
Adi Shamir y Leonard Adleman. La seguridad
Explicación matemática del algoritmo RSA

El sistema RSA se basa en la dificultad de factorizar números muy grandes. Para factorizar un número el sistema más común con-
siste en empezar a dividir sucesivamente éste entre 2, entre 3, entre 4,..., y así sucesivamente, buscando que el resultado de la di-
visión sea exacto, es decir, de resto 0, con lo que ya tendremos un divisor del número.
Si el número considerado es un número primo (el que sólo es divisible por 1 y por él mismo), para factorizarlo habría que empezar
por 1, 2, 3, hasta llegar a él mismo, ya que por ser primo, ninguno de los números anteriores es divisor suyo. Y si el número primo
es lo suficientemente grande, el proceso de factorización es complicado y lleva mucho tiempo.
Basado en la exponenciación modular de exponente y módulo fijos, el sistema RSA crea sus claves de la siguiente forma:
1. Se buscan dos números primos lo suficientemente grandes: p y q (de entre 100 y 300 dígitos).
2. Se obtienen los números n = p * q y Ø = (p-1) * (q-1).
3. Se busca un número e (e menor que n) tal que no tenga múltiplos comunes con Ø.
4. Se encuentra d tal que (ed-1) sea divisible por Ø.
Y ya con estos números obtenidos, e es la clave pública y d es la clave privada. Los números p, q y Ø se destruyen. También se
hace público el número n, necesario para alimentar el algoritmo. El cálculo de estas claves se realiza en secreto en la máquina en
la que se va a guardar la clave privada, y una vez generada ésta conviene protegerla mediante un algoritmo criptográfico simétrico.
En cuanto a las longitudes de claves, el sistema RSA permite longitudes variables, siendo aconsejable actualmente el uso de claves
de no menos de 1024 bits (se han roto claves de hasta 512 bits, aunque se necesitaron más de 5 meses y casi 300 ordenadores tra-
bajando juntos para hacerlo).
RSA basa su seguridad es ser una función computacionelmente segura, ya que si bien realizar la exponenciación modular es fácil, su op-
eración inversa, la extracción de raíces de módulo Ø no es factible a menos que se conozca la factorización de d, clave privada del sistema.
Algoritmos de hash seguros
¿(In) seguros?
Autor: Juan Manuel Zolezzi
Durante la CRYPTO 2004 tres grupos de cripto-analistas momento "comprometidas": SHA0

("Secure Hash Algorithm Rev.0" -
probaron que las funciones Hash más utilizadas estarían Algoritmo Seguro de Hash Revisión 0),
"rotas". ¿Qué significa? ¿Qué implica? ¿Cómo nos MD5 ("Message Digest 5" - Digestión de
Mensajes Versión 5), HAVAL, MD4
impacta este descubrimiento? (hermano menor de MD5), y RIPEMD; la
función sobre la cual se había depositado
toda la confianza para llegar a satisfacer
Analisis de las "colisiones" hecho de ser dos firmas iguales SIN
los requisitos de seguridad hasta el año
comprobadas recientemente en pertenecer al mismo dato) en las fun-
2010, SHA1 (hermano mayor de SHA0),
ciones HASH (los procesos mediante los
MD5 y otras funciones hash. cuales se generan éstas).
se encuentra ahora "bajo sospecha" y
todavía queda por evaluar el estado de su
Durante la CRYPTO 2004 tres grupos de sucesora SHA2.
Gran parte del trabajo de un cripto-analista
cripto-analistas probaron que las fun- consiste en encontrar, para una función
ciones Hash más utilizadas estarían Las MALAS NOTICIAS vienen de la mano
Hash dada, situaciones (si bien teóricas)
"rotas". ¿Qué significa? ¿Qué implica? de la ingeniería de software; infinidad de
bajo las cuales sea posible encontrar coli-
¿Cómo nos impacta este descubrimiento? aplicaciones y servicios considerados
siones. Un número moderado de coli-
hasta el momento "infalibles" se ven ahora
siones bajo condiciones relativamente re-
Uno de los principales "pilares" sobre los frente a un futuro incierto al mismo tiempo
strictivas es normal, pero lo que estos
que se yergue la criptografía moderna es que la confianza en ellas depositada (que
grupos hallaron fueron probabilidades i-
el de la capacidad de identificar inequívo- en última instancia es lo único que cuenta
nusualmente altas de hallar colisiones en
camente a un mensaje y diferenciarlo de en este ámbito) se tambalea peligrosa-
las funciones Hash más utilizadas, de allí
otro tan sólo ligeramente distinto. Es mente. Es probable que estemos viendo
la importancia del "problema".
incluso tan importante que todo DSA los albores de una crisis similar a la Y2K,
("Data Signature Argorithm" - Algoritmo de ya que la cantidad de software a "reparar"
Firma de Datos) se arma en torno a él, en
Lo que implica: es incalculable (como lo son también los
torno a "la capacidad de obtener de un gastos que ello significaría).
mensaje arbitrariamente largo, un número Ahora bien, ¿qué significa (para el resto de
de longitud fija", número al cual se convino los mortales) que se hayan encontrado Para los usuarios la amenaza que esto
en denominar: "firma". colisiones? implica es directa, ya que representa una
Bueno, como en la mayoría de los casos, grieta profunda en todas las herramientas
Ahora, esta "firma" haría las veces de el daño al darse cuenta de una falla con las que actualmente se cuenta a la
"huella digital"; la analogía es directa, ya depende de cuánto se dependa de ella; en hora de proteger la privacidad individual.
que si fuera éste el ÚNICO método que tu- este caso particular: MUCHO. El proble- Esto se hace extensivo a todos los
viéramos para diferenciar a una persona ma es que con el correr de los años y los ámbitos, ya que bajo esta premisa no es
de otra (y de establecer que dicha persona avances de la criptografía gran parte de ya seguro el manejo que se hace de los
es en verdad quien dice ser) nos encon- las tareas diarias (tanto dentro como fuera datos personales (nombres, direcciones,
traríamos en igualdad de condiciones con del ámbito informático) se han ido tornan- documentos, cuentas bancarias, números
los DSAs. Imagínense ahora que cabiese do "cripto-dependientes". Por ejemplo: de tarjeta de crédito, etc.) por parte de las
la posibilidad (mejor aún, que se haya cada vez que se ejecuta un programa en instituciones, así como tampoco lo es el
dado el caso) de encontrar a dos personas Windows XP, el mismo kernel genera un manejo que hacen éstas de los suyos
DISTINTAS con LA MISMA huella digital, Hash de éste y lo chequea para ver si propios (secretos industriales, balances,
TODO lo que se hubiera basado en la cor- posee el "logotipo de Windows"; si la información financiera, etc.).
respondencia "uno en uno" de personas a función Hash que utilizara estuviera rota,
huellas digitales pierde todo sentido, ya un atacante podría aplicar un troyano a Conclusión en este respecto: de extender-
que en este caso no nos es posible dife- nuestro programa en teoría "legal" y XP no se esta brecha, las consecuencias pueden
renciarlas. notaría la diferencia ya que ¡AMBAS ser más que importantes, y lo que es más
FIRMAS SERÍAN IGUALES! (1). No pueden afectar a una porción significativa
vamos a entrar en detalles sobre qué de los usuarios eventuales.
El Problema: ámbitos se encontrarían comprometidos y
cuáles no, pero es bastante seguro que la
Es exactamente esto lo que (aunque se lista sería MUY larga e implicaría sin
sospechaba desde un principio) se dio a Buenas noticias:
ninguna duda una amenaza para la pri-
conocer definitivamente durante la vacidad individual.
CRYPTO 2004, la mayor conferencia Si bien el panorama se tornó súbitamente
anual sobre criptografía, en su 24ª edición, lúgubre para quienes dependemos de
cuando tres grupos de investigadores por
Malas noticias: estas herramientas, no todo está perdido
separado probaron la relativamente alta (para hacer honor a la verdad, aún NADA
probabilidad de hallar "colisiones" (el Cinco de las más usadas funciones se ha perdido).
de Hashing se encuentran en este
Cabe a esta altura aclarar en mayor detalle Homework:

el tipo y alcance de los descubrimientos
teóricos al respecto. Los descubrimientos
- ¿Qué es un "Hash"? ¿Qué es una "función Hashing"?
se basaron en métodos teóricos de alta
Un Hash es el valor retornado por una "función Hashing" o "función Hash".
complejidad (salvo el método expuesto por
el Dr. Dengguo Feng, mediante el cual las
Una función Hash es una primitiva que se utiliza en varios ámbitos, desde la criptografía
colisiones para MD4 podrían calcularse "a
hasta las búsquedas en tablas ("Hash-tables" - Tablas "Hasheadas"). Estas funciones
mano" con nada más que papel, lápiz y
toman un texto, dato o mensaje y generan un número (usualmente MUY grande) de lon-
una calculadora científica). Otro aspecto a
gitud fija. Pero una función Hash debe reunir una serie de condiciones para resultar
tener en cuenta es que las colisiones sólo
práctica, y éstas se vuelven mucho más restrictivas a la hora de empleárselas en crip-
se han probado altamente probables
tografía (se dice entonces que son "cryptographically safe" - criptográficamente
(valga la redundancia) pero un uso prácti-
seguras). Básicamente deben ser "one-way" (en un solo sentido) y "collision-resistant"
co de ellas aún queda por verse. Cabe ex-
(resistentes a colisiones). ¿Qué significa esto?:
plicar esto último con más detalle: si bien
las colisiones existen y se han probado, los
One-way ("en un solo sentido"): debe ser relativamente fácil generar el Hash a partir del
textos que generan la misma firma (aque-
mensaje, pero debe ser "computacionalmente imposible" generar el mensaje a partir del
llos "que colisionan") no guardan relación
Hash.
entre sí, de manera tal que no se pueden
prever fines prácticos para ellas; existe la
Collision-resistant ("resistentes a colisiones"): la probabilidad de encontrar dos textos
posibilidad de que se perpetren actos de
que generen el mismo Hash debe ser cuasi nula y los textos que colisionen no deben
"vandalismo informático" en los cuales no
guardar relación.
se busca ganar el acceso (a través de la
"confianza" depositada en la firma en sí),
- Colisiones: ¿Por qué no se pueden evitar?
sino tan sólo intercambiar un mensaje con
Como dijimos antes, una colisión se da cuando dos mensajes distintos generan el mismo
sentido por otro que nada significa pero
Hash.
que comparte la misma firma que el origi-
Como también dijimos anteriormente las colisiones se "sospechaban desde un princi-
nal, perdiéndose éste y obteniendo
pio". Esto no es totalmente correcto, ya que desde un primer momento se SABE que
"basura" como resultado.
existirán colisiones. ¿Por qué? por la misma razón por la que no puede existir un algo-
ritmo de compresión de razón independiente (3):
Conclusión en este respecto: no hay
Consideremos un alfabeto de 26 letras y mensajes de 20; la cantidad de mensajes dis-
necesidad de entrar en pánico, si bien el
tintos posibles es 26^20 o 19.928.148.895.209.409.152.340.197.376: MUCHOS.
hecho de que estas colisiones siquiera
Supongamos que queremos generar un Hash con el mismo alfabeto, pero de 10 carac-
existan representa un punto débil en los
teres; la cantidad de Hashes distintos es ahora: 26^10 o 141.167.095.653.376: muchos
esquemas de firma digital, pasará aún
también, pero MENOS que la cantidad de mensajes.
mucho tiempo hasta que puedan tornarse
¿Qué significa esto? simple: que no hay suficientes Hashes para todos los mensajes,
un problema mayor. Para los ingenieros en
por lo tanto SIEMPRE va a haber colisiones.
software: es mejor evitar las funciones
Hash "dudosas" o "rotas" y se recomienda
Una última nota: los mensajes del ejemplo no tenían más de 20 letras, consideren lo que
la migración a funciones de la familia de al-
sucede en el mundo real, donde los mensajes tienen varios cientos de MILLONES de
goritmos SHA1 o SHA2 (2).
caracteres...
En fin:
(1) Esto es, en realidad, ligeramente DivX, etc.) siempre puede dejar de
¿Representa un peligro? Sí. ¿Habría que más complicado y se lo denomina lado parte del mensaje y llegar a una
preocuparse? También. "ataque de segunda preimagen" (partir razón fija de compresión. Este fenó-
¿Representa un peligro INMINENTE? No. de un archivo original y generar uno meno fue analizado desde el punto de
¿Habría que preocuparse MUCHO? distinto que posea su misma firma) vista de la transinformancia y la en-
Tampoco. aunque estrictamente sería relativa- tropía dentro de un mensaje por el
mente fácil a partir de los datos genial C. E. Shannon en su tesis "A
obtenidos hasta el momento. Mathematical Theory of Communication"
Referencias: (Una Teoría Matemática de la
(2) Los laboratorios RSA ("RSA Comunicación) en la cual se basa la
RSA Security: http://www.rsasecurity.com Laboratories") ya habían sugerido la mi- teoría de la mayoría de los algoritmos
(4) gración a los algoritmos SHA1 en el año de compresión sin pérdidas de hoy en
1996. día (Huffman, Lempel-Ziv, etc.).
RSA Laboratories (centro académico de
RSA Security): http://www.rsa.com (3) Un algoritmo de compresión de razón (4) RSA Security es la empresa de
independiente es uno con el cual se puede criptografía de mayor renombre en el
NIST (EE.UU.) ("National Institute of comprimir un mensaje SIEMPRE a la mundo, fundada por Ron Rivest uno
Standards and Technology" - Instituto misma razón (al mismo x%), independien-
Nacional de Estándares y Tecnología): de los inventores del primer esquema
temente del contenido del mensaje. Cabe
http://www.nist.gov de llaves públicas, mejor conocido
aclarar que nos referimos a algoritmos de
compresión "lossless" (sin pérdidas), ya como RSA (siglas de los inventores: R. L.
CRYPTO 2004: http://www.iacr.org/con- que un algoritmo "lossy" (con pérdidas, Rivest, A. Shamir, L. M. Adleman).
ferences/crypto2004 como por ejemplo: Jpeg, la familia MP,
EL GRAN DEBATE: PASS PHRASES vs PASSWORDS
Parte 1 de 3
por Jesper M.Johansson teclado como dos categorías diferentes.

Nosotros los pensaremos como dentro de
PhD.,ISSAP,CISSP
la misma categoría. Aún más, para todos
Supervisor del Programa de Seguridad. los propósitos el término "carácter" se
Corporación Microsoft referirá a las cuatro categorías colectiva-
mente. Por ejemplo, asumamos que los
passwords que hemos elegido son pa-
labras no-de-diccionario, que usamos
La seguridad informática presenta debates tokens son palabras en vez de símbolos
ocho caracteres con por lo menos tres o
interesantes. Los tópicos varían en impor- escogidos entre un grupo de caracteres.
cuatro tipos diferentes y que expirarán en
tancia, pero todos demuestran que el tema Un pass phrase no necesariamente será
70 días. Para que un atacante sin
es excitante y sigue creciendo. Me gus- una frase correctamente deletreada, libre
conocimiento previo de ninguno de estos
taría resumir algunos de estos debates, y de sustituciones de símbolos, como los
passwords, pudiese adivinar uno de ellos
además ofrecer mi punto de vista perso- usados en el ejemplo anterior.
antes de que expire, requeriría que la
nal. En la primera parte de estos artículos, Las diferencias claves entre pass phrase
computadora tuviese un ancho de banda
introduciré el tema de passwords y expli- y password son:
equivalente a 53.000 T-3 (44.736 Mbps
caré el debate de pass phrases vs. pass- (1) Un pass phrase usualmente contiene
cada uno). Esto es lo que se requeriría so-
words. espacios, los passwords no.
lamente para mandar el tráfico de autenti-
(2) Un pass phrase es más largo que la
cación, de modo de poder probar la mitad
En realidad podría discutirse si "pass gran mayoría de las palabras, y, lo más im-
de todos los passwords posibles (asu-
phrases vs. passwords" es realmente el portante, es más largo que un grupo de
miendo que cada uno es igualmente prob-
gran debate o algo aburrido que no le in- letras elegidas al azar, que cualquier
able).
teresa a mucha gente. De cualquier persona pudiera recordar.
manera ¿cuál es más seguro? La res- A pesar de que un pass phrase puede ser
Si restringimos el conjunto de caracteres
puesta no es tan clara como aparenta. simplemente considerado como un pass-
para adivinar, a los 76 símbolos más
De manera de analizar el tema dividí el word muy largo, típicamente se constituye
comunes y asumimos que el password es
artículo en tres partes. En la primera se de una secuencia de palabras, o algo
seleccionado al azar, o que así lo ve un
cubren los temas fundamentales de pass similar a palabras. En particular, las pass
atacante, hay 1.11 x 10^5 passwords posi-
phrases y passwords y se describe como phrases que elegiré en estos artículos son
bles de 8 caracteres. Si el atacante adivina
se guardan y otros temas. En la próxima compatibles para el uso con Windows
300 de éstas por segundo, lo que es muy
entrega describiré la fortaleza de cada uno 2000 y más actuales. Otros productos
difícil incluso con los programas más opti-
y aplicaré algunos argumentos matemáti- usan pass phrases de acceso con carac-
mizados, le tomaría 58.783 años para
cos con el propósito de determinar cual es terísticas diferentes, o puede ser que no
adivinar el password. Si el atacante sim-
más fuerte. En la última entrega arribaré a las acepten.
plemente "scriptea" (hace uso de un script)
la conclusión de la serie y ofreceré una
el comando "net use", podría como mucho
guía de cómo elegir un password y confi- Como segundo concepto usted necesita
hacer dos o tres intentos por segundo, lo
gurar una política de password. entender la diferencia entre password
que significa que le tomaría 5.878.324
guessing (en inglés, adivinar el password)
años adivinar el password.
Algunos fundamentos y password cracking (en inglés, romper el
password).El password guessing es
Cracking, por otro lado, se puede realizar
Lo primero y más importante es compren- cuando alguien se sienta en la consola o
después que el atacante ha obtenido los
der la diferencia entre pass prhase y pass- en una máquina remota probando pass-
"hashes crudos" (raw hashes, es decir los
word. Cuando la mayoría de la gente se- words. Adivinar no es relevante a este
hashes puros). (Un hash es una repre-
lecciona un password elige una palabra artículo, porque si una cuenta tiene un
sentación matemática usualmente utiliza-
como "password" o una serie de símbolos password relativamente complejo, el adi-
da para guardar passwords. Nosotros lo
al azar como "X2!aZ@<dF:" o alguna com- vinarlo no será exitoso de cualquier
discutiremos en mayor detalle más abajo)
binación de las dos como "P@s$w0rd". Un manera. Si la adivinanza es exitosa puede
El atacante genera passwords de prueba,
pass phrase es una frase, como por ser por suerte increíble del atacante o
los hashea y entonces los compara con
ejemplo "Éste es realmente un pass porque el password era débil.
los hashes almacenados. Cracking es
phrase complejo". Un pass phrase es típi- mucho más veloz que adivinar (guessing).
camente más largo que un password y Miremos un ejemplo. Primero considere
Incluso usando hardware moderado, un
contiene espacios. Alguna gente construye que los passwords permiten cuatro cate-
atacante puede generar y probar
un password seleccionando la primera gorías de símbolos: mayúsculas, minúscu-
3.000.000 de passwords por segundo. Un
letra de cada palabra de una frase. Ese las, números y no-alfanuméricos. Los sím-
ataque de cracking contra todos los pass-
password no constituye un pass phrase; bolos no-alfanuméricos incluyen todos los
words generados con 8 caracteres y uti-
es un password hecho con una lógica in- del teclado, así como todo lo que no se
lizando un conjunto de 76 caracters posi-
teresante. Un pass phrase en contraste, muestra en el teclado, como los caracteres
bles, basándonos en la cifra anterior, lle-
es diferente de un password basada en Unicode. Algunas personas consideran a
varía no menos de 6 años. Por
símbolos (token-based), donde ahora los los caracteres Unicode y los símbolos del
supuesto muchos de los passwords serían uno, haciendo padding (acolchonado, caracteres Unicode son convertidos en

encontrados en menor tiempo, y para acción de completar) si es necesario. otros caracteres antes de ser hasheados.
cualquier password dado será estadística- Ambos tipos de hashes generan un valor Existe una preocupación con la remoción
mente encontrado en la mitad de ese de 128 bits que es guardado. La mayoría de los hashes LM. ¡Hacerlo hará que
tiempo. Si los passwords son sólo de 7 de los crackers de password, hoy crack- ciertas cosas dejen de funcionar! Una
caracteres, crackear todos los passwords ean el hash LM primero y luego crackean razón por la cual los hashes LM son
dejados activos por default es porque re-
tomará solo 28 días aproximadamente. el hash NT simplemente probando todas
moviéndolos genera problemas sobre
Cómo el atacante obtiene los hashes, es las combinaciones mayúscula minúscula cualquier aplicación que use autenticación
un tópico abierto, así como si el cracking del passwords "case -insensitive" obtenido basada en UDP para RPC (Remote
es una preocupación primaria. Considere del hash LM. Procedure Call). Esto incluye los Servicios
que en Windows el atacante necesita de Cluster de Windows, el Servidor de
tener un nivel de acceso de "system, o AD- El hash LM es una función one-way muy Comunicación de Tiempo Real, y proba-
MINISTRATOR" a un domain controler débil usada para guardar passwords. blemente otros. Estos problemas se solu-
(DC, controlador de Dominio en Active Originalmente inventada para el sistema cionan activando el seteo
Directory) para poder crackear el pass- oiperativo Lan Manager, el hash LM fue in- NtlmMinClientSec, que aparece expuesto
word de dominio. Si un atacante ya ha cluido en Windows NT para tener compa- como "Network Security: Seguridad
comprometido un domain controler, crack- tibilidad con sistemas legacy (anteriores). mínima de la sesión para clientes basados
ear las passwords es sólo un problema Todavía se encuentra incluido por compa- en NTLM SSP (incluyendo secure RPC)"
secundario. Sin embargo, la mayoría de tibilidad con anteriores sistemas opera- en Políticas de Grupo en Windows Server
2003. NTLMinClientSec necesita ser
los atacantes realizan el cracking de los tivos. Debido a la forma en que el pass-
seteado como mínimo a "Requiere integri-
passwords. ¿Por qué? Mayormente, word hash LM es calculado, ningún pass- dad de mensaje" y "Requiere NTLMv2
porque el atacante espera que alguno word con un hash LM es más fuerte que Session security (0x80010)". Cuando se
tenga una cuenta en un sistema diferente, un password de 7 caracteres elegido de un setea de ese modo RPC utiliza autenti-
en otro dominio con el mismo nombre de conjunto de 142 caracteres. cación NTLMv2, que usa el hash NT( Vea
usuario y password. Eso es conocido el artículo KB828861 para más informa-
como una "dependencia administrativa", Removiendo los hashes LM ción en problemas de cluster cuando usted
un tópico que trataremos en un artículo no tiene un hash LM). Otras aplicaciones
futuro. Aún más, como el único secreto Existen muchas maneras de asegurarse también dejan de funcionar en ausencia
usado en un protocolo de tipo challenge- de un hash LM. Por ejemplo el Outlook
que el Hash LM no sea guardado. Una de
response (desafío-respuesta) es el hash 2001 para la Macintosh requiere que todas
ellas es usar passwords o pass phrases las cuentas que usará tengan uno.
del password, crackear el password es de más largas de 14 caracteres. Se puede Windows3.x definitivamente tiene proble-
algún modo superfluo porque los hashes también usar el switch NoLMHash que mas sin un hash LM, y Windows 95 y 98
son todo lo que el atacante necesita para aparece en la Política de Grupo (Group en algunos escenarios. Además algunos
acceder a la cuenta. De cualquier manera, Policy) de Windows Server2003 y productos de terceros, como los disposi-
los atacantes típicamente crackean los Windows XP como "Network security: no tivos de almacenamiento adjuntos a la red,
passwords y su posibilidad de éxito es alta guarde el valor del hash Lan Manager en pueden requerir hashes LM.
siendo esto un serio problema. el próximo cambio de password". Usando
ese switch globalmente desactiva el Comentarios finales:
Tenga presente que los sistemas opera- guardado de los hashes LM para todas las
tivos modernos no guardan usualmente cuentas. El cambio se va a llevar a cabo la Esta primera entrega de la serie de artícu-
passwords o pass phrases en texto plano. próxima vez que el password se cambie. los sobre passwords ha tratado sobre lo
Normalmente, el valor guardado es el re- básico de los passwords. En la próxima
Los hashes LM ya existentes para el pass-
sultado de una función one-way (de trataremos de analizar si las pass phrases
word actual y cualquier password pasado tienen una ventaja real sobre los pass-
sentido único), como el hash. En los sis- no son removidos con simplemente activar words. De cualquier manera, dado la poca
temas operativos basados en Windows ese switch. Es más, el hecho de que los cantidad de gente que los usa actual-
NT (incluyendo Windows 2000, XP y efectos de ese switch no sean inmediatos mente, tenemos muy pocos datos reales
Server 2003) el password está guardado significa que no notará enseguida de las pass phrases. De manera de enten-
de diferentes maneras. Las representa- cualquier problema potencial causado por der más de ellas, deseamos pedirle un
ciones más comunes son el hash-LM (Lan no guardar los hashes LM. Vea el artículo favor. Si usted desea ayudarnos, piense
Manager) y el hash-NT. Para los propósi- de Conocimientos Básicos de Microsoft en una pass phrase que usted podría usar
tos de este artículo usted no necesita (Knowledge Base), KB 299656 para (de preferencia no la que usted usa actual-
saber exactamente cómo trabajan. mayor información. El artículo del KB mente) y envíela por mail a passstud@mi-
Solamente necesita saber tres cosas: también tiene información sobre cómo crosoft.com. Esperamos recibir suficientes
El hash LM es "case-insensitive" resultados de manera de hacer algún
usar el switch NoLMHash con Windows
(no sensible a mayúscula- minúscula), análisis de pass phrases y comprender
2000. cómo están estructuradas en la realidad.
mientras el NT hash es "case-sensitive"
Como siempre, esta columna es para
(sensible a mayúscula- minúscula). Usted puede también remover el hash LM usted. Déjenos saber si hay algo que
El hash LM tiene un set de carac- utilizando ciertos caracteres en su pass- usted desee discutir, o si hay una mejor
teres limitado a sólo 142, mientras que el word. Es ampliamente creído que usando manera en que lo podamos ayudar a ase-
has NT soporta casi enteramente el con- caracteres ALT en su password se pre- gurar su sistema.
junto de caracteres de Unicode de 65.536 viene que los hash LM sean generados.
caracteres. En realidad, sólo algunos de los carac- Este artículo también apareció en
El hash NT calcula el hash teres Unicode provocan que los hashes Microsoft Security Newsletter, Vol 1 Issue
basándose en el password entero que el LM desaparezcan. Por ejemplo los carac- 13 (gratuito) al que recomendamos
teres Unicode entre 0128 y 0159 provocan suscribirse.
usuario ingresó. El hash LM corta el pass-
que el hash LM no sea generado. Algunos
word en dos trozos de 7 caracteres cada
Introducción
ETHICAL HACKING PASO A PASO
"Si conoce al enemigo y se conoce a sí mismo, no debe temer por el resul- número donde puede
tado de cientos de batallas. Si se conoce a sí mismo, pero NO al enemigo, crackear cada carácter de
por cada victoria obtenida sufrirá una derrota. Si no conoce al enemigo ni a la clave uno por uno. Estas
sí mismo, sucumbirá en todas las batallas" simulaciones son total-
mente irreales y nada
tienen que ver con los con-
"El arte de la guerra", Sun Tzu ceptos matemáticos que
gobiernan las metodo-
Paso 0. Introducción
Entendiendo al enemigo logías de encriptación.
Ethical Hacking Paso a
"Si conoce al enemigo y se Entendiendo el problema
Paso estará compuesto por
una serie de artículos, conoce a sí mismo, no
debe temer por el resulta- Describamos el esquema
básicamente sobre de la Figura 1. Nos
do de cientos de batallas.
"metodologías y las he- muestra una empresa con
Si se conoce a sí mismo,
rramientas" de hacking y pero NO al enemigo, por dos firewalls back-to-back
las contramedidas (coun- cada victoria obtenida y una DMZ (Demilitarized
termeasures). Para cada sufrirá una derrota. Zone-Zona Desmilitariza-
acción de hacking existen Si no conoce al enemigo ni da, donde ubicamos, por
a sí ejemplo, nuestros web-
mismo,
server, DNS, ftp-server,
s u -
etc. Es decir servidores ex-
cumbirá
en todas puestos al mundo), un
las batal- hogar y una nube
las" (Internet).
Pero ¿qué representa esa
"El arte nube?. Si incluyésemos en ese
de la esquema a más hogares y a
guerra", más empresas, a miles o mil-
Sun Tzu. lones de ellas obtenemos lo
que se llama Internet, o sea la
Conocer a
nube.
nuestro
Los elementos que componen
enemigo
Figura 1 la llamada red-de-redes
es ta n
complejo (Internet), son dispositivos
como conocerse uno (hardware: CPUs, hubs, switch-
Las personas interactuan- diversas herramientas. es, firewalls, routers y otros),
mismo. A veces los admin-
do con los dispositivos, Algunas de ellas son pun- istradores conocen a su conexiones (por ejemplo:
conforman una comu- tuales para una acción y enemigo sólo a través de cables UTP, antenas para wire-
nidad. Dentro de esa co- otras abarcan un abanico "su idea" sobre él. Muchas less, fibra óptica), programas
munidad existen buenos de ellas, lo que las hace veces esa idea nada tiene (sistemas operativos como
y malos. muy completas y que ver con la realidad. Linux, Windows, Unix, NetWare
poderosas. Nosotros detal- Por ejemplo, en algunas
y aplicaciones como Office,
laremos aquellas más pop- películas se muestra a
Dreamweaver, The Gimp) y
ulares y/o que considere- alguien accediendo a los
recursos de una computa- personas.
mos excelentes para ejem-
dora mediante la rotura de
plificar una dada acción. Las personas interactuan-
una llave de encriptación.
En la sección TOOLS (he- do con los dispositivos,
Se muestra al atacante ti-
rramientas) encontrará peando la clave, adivinán- conforman una comunidad.
detalle de las herramientas dola y lo resuelve en se- Dentro de esa comunidad
más destacadas del mundo gundos. O escribe un pro- existen buenos y malos.
de la seguridad informáti- grama con una interfase
ca. gráfica con grandes El término "hacker" nació
asociado a los entusiastas de la herramientas de destrucción muy Nota: es muy importante saber que

computación interesados en apren- poderosas capaces de causar mucho 50% de los eventos de seguridad
der sobre los lenguajes de com- daño a nuestra "cyber-comunidad". provienen de nuestras redes inter-
putación y los sistemas de cómputo. nas.
Estudiando los programas, detectan- ¿Cómo hacemos entonces para En esta tarea de "conocer" han a-
do los errores de programación protegernos de los Hackers? parecido un gran número de libros,
(bugs o flaws) e individualizando conferencias, eventos divulgando las
aquellos que permiten obtener privi- L a r e s p u e s ta e s c o n o c e r. P a r a técnicas de hacking buscando de
legios a partes del sistema a los poder mejorar la seguridad y prote- mostrar cómo opera el enemigo.
cuales no se está autorizado, de- gernos debemos conocer bien las
tectan las "vulnerabilidades". Y, tan modalidades usadas por los En cada artículo expuesto en NEX IT
pronto un hacker descubre o alguien hackers. Los hackers cuentan con Specialist, daremos bibliografía,
anuncia una vulnerabilidad, aparece innumerables h e r r a m i e n ta s y pero aquí queremos destacar la
el "exploit" (herramienta que se metodologías que no podemos des- serie de libros cuyos autores
aprovecha de esa vulnerabilidad). conocer. Ellos, debido a su natu- pertenecen a una de las empresas
Hoy el término se refiere a individu- raleza se reinventan continua- más prestigiosas de Seguridad
os que ganan acceso no-autorizado mente al igual que a sus técnicas. Informática (Foundstone Inc.:
a sistemas de cómputo con el w w w.foundstone.com): www.hacking-
propósito de robar o corromper infor- El profesional de seguridad deberá exposed.com. Casi todos han sido
mación. Los hackers mantienen que por tanto conocer muy profunda- traducidos al español y editados en
el nombre apropiado sería "cracker". mente el ámbito de ataque y la McGraw Hill/InterAmericana de
filosofía de los atacantes de modo España (lamentablemente las tra-
Así, hoy se dice: hackeo un sistema ducciones son paupérrimas!!!.
de poder ayudar a las empresas
(una computadora), hackeo una red Excepto el de "Hackers en Linux").
respecto de su seguridad.
(aprovecho un firewall mal configura-
do), hackeo un web-server (aprove- Instituciones privadas y gubernamen-
Deberá crear medidas concretas ha-
cho una vulnerabilidad de Apache o tales también le han dado marco a
ciendo la infraestructura IT de las
el IIS). toda una serie de actividades educa-
empresas menos vulnerables.
tivas y de divulgación. Destacamos
El propósito de algunos hackers es el SANS Institute (www.sans.org), el
decir: "lo hice". Dejan una marca o En los últimos años ha aparecido el
ICS2 (www.ics2.com) creadora de la
evidencia mostrando su habilidad. concepto de "ethical hacker". Este,
prestigiosa certificación CISSP. The
Para otros el fin es dañar: cometer es alguien, quien dotado de las
International Council of Electronic
algún delito fraudulento o simple- mismas herramientas que el hacker
Commerce Consultants (EC-
mente destruir. las utiliza para testear (penetration
Council®) (http://www.eccouncil.org),
testing- test de penetración) nuestra
El hacking solía ser tarea de unos The Institute for Security and
red. Su expertise es tal que realizan-
pocos expertos muy capacitados. Open Methodologies (ISECOM)
do tal test puede darnos el panorama
Hoy, existen un sin número de he- www.isecom.org donde se definen es-
de cuáales son nuestras debilidades
rramientas pre-hechas con las que tándares en tests de seguridad y
al poner nuestra empresa conectada
solo hace falta apuntar a nuestro testeo de la integridad de los negocios.
"target" (objetivo) y hacer clic. Son en una intranet o a Internet.
Paso 1: Footprinting
Recolección de información
Autor: Juan Manuel Zolezzi
La importancia del footprinting >>Directivas de seguridad o

Una de las acciones más importantes a la hora de hackear un sistema (o in- privacidad que indiquen los
tentar) es obtener la máxima información disponible sobre él. En definitiva tipos de mecanismos de seguri-
se trata de obtener las versiones de sus sistemas operativos, los puertos dad instalados
que tiene abiertos y toda información que nos pueda ser útil.
>>Enlaces a otros servidores web
relacionados con la empresa
Cuando un ladrón se dirige a realiza dicho análisis.
un Banco con intenciones de
Ahora lo que hará es identificar
robarlo, él no sólo camina al Determinar el alcance del análisis
nombres de dominio y redes
mostrador y dice "arriba las
asociadas relacionadas con la
manos". Primero se toma su El primer punto a resolver es
empresa en particular. Los
tiempo para recolectar la infor- determinar el ámbito de las ac-
nombres de dominio represen-
mación necesaria para que su tividades de rastreo. ¿Se va a
tan la presencia de la compañía
obra sea perfecta. Información analizar la estructura de toda
en Internet y son, en Internet, el
sobre rutas de los autos blinda- una empresa o bien limitar a
equivalente al nombre de su
dos, los tiempos de entrega, ciertas ubicaciones (por
compañía, por ejemplo,
cámaras de video, salidas de ejemplo, sedes o filiales)? En
"nombre-empresa.com.ar".
escape y un sinfín de detalles ciertos casos, la tarea de deter-
que lo ayudarán a cometer el minar todas las entidades aso-
Existen numerosas bases de
delito con éxito. ciadas a una empresa puede
datos que podrá consultar y
ser un tanto complejo. Internet
que proporcionan gran canti-
Lo mismo sucede con los pone a nuestra disposición del
dad de información sobre las
hacker una gran cantidad de
distintas entidades cuyo rastro
recursos que podrá utilizar y
esté intentando seguir. Hasta
que le ayudarán a reducir el
hace un tiempo, la compañía
ámbito de sus actividades, así
Network Solutions tuvo el mo-
como también ideas sobre el
nopolio como registro principal
tipo y cantidad de información
de los nombres de dominio:
pública de una empresa y sus
.com, .net, .edu y.org), pero en
empleados.
la actualidad existen nu-
merosos registros disponibles.
Como punto de partida el
hacker examinará la página
Si dispone de un sistema ope-
web de la empresa objetivo, si
rativo tipo UNIX, podrá utilizar
es que tiene una. Muchas
el comando "whois" o "xwhois".
veces una página web de una
En Windows, utilizará progra-
empresa proporciona una can-
mas como "Netscan" o "Sam
hackers cuando se plantean tidad increíble de información
Visual Route proporciona Spade". Estos programas o co-
hackear un sistema, primero que puede ayudar a los ata-
información de las rutas y mandos muestran la informa-
comienzan con lo que se llama cantes. Se ha llegado a ver
también la localización ción disponible sobre el
"systematic footprinting", que incluso las opciones de confi-
geográfica. . dominio consultado. Con esto
simplemente es obtener infor- guración de seguridad de sus
http://www.visualroute.com logramos obtener información
mación relevante como para firewall en los servidores web
sobre:
crear un perfil de la configu- de Internet de algunas empre-
ración de seguridad de dicho sas. Otros puntos de interés son:
sistema, organización, etc. >>El nombre del administrador
>>Ubicaciones
Cómo realizar el footprinting
>>Cuándo fue creado y actua-
>>Compañías o entidades rela-
Resulta difícil dar una guía de cionadas lizado el registro
cómo efectuar el footprinting (a
veces llamado "actividades de >>Noticias de fusiones o
adquisiciones >>Los servidores DNS prima-
rastreo"), ya que es una activi-
dad que puede conducir a rios y secundarios
>>Números de teléfono
varios caminos posibles. Sin
embargo, aquí esbozamos algunas >>Nombres de contacto y di- >>Los dominios asociados al
acciones que muestran como se recciones de correo electrónico de la empresa.
Después de haber identificado todos los
topología, así como sus rutas de acceso Quizás uno de los mejores es gra-

dominios asociados, comenzará a consul-
potenciales. tuito: SNORT (www.snort.org) de
tar los DNS. El DNS es una base de datos
Para esto, existe una herramienta llamada Marty Roesch al cual dedicaremos
"traceroute" uno de nuestros
[bash]$ whois "empresa."@whois.crsnic.net
[whois.crsnic.net] que nos per- Existen infinidad de a r t í c u l o s .
Whois Server Versión 1.1 mite seguir un herramientas en Humble de
paquete IP Rhino9 ha desar-
Domain Names in the .com, .net, and .org domains can desde un host Internet que facili- rollado un pro-
now be registered with many different competing regis - al siguiente. tarán información grama llamado
trars. Go to http://www.internic.net for detailed in - Es decir, a-
RotoRouter
formation. naliza la ruta que (http://packetstorm.security.com/UNIX
sigue un paquete /loggers/rr-1.0.tgz . Este le permitirá
empresa-travel.com
empresa.net dentro de una de- registrar las solicitudes del traceroute
empresa.org terminada red, y generando respuestas falsas.
empresas.com así permite detec-
tar redes activas, Siempre podrá configurar sus routers
Con el comando whois, si ponemos un "." al final del filtrador de pa- frontera limitando el tráfico ICMP y
dominio a consultar, se quetes o firewalls. UDP.
listarán todos los dominios que comiencen con el nombre
de la empresa.
Es posible que en
Con el comando whois, si ponemos un "." al final del dominio a un entorno grá-
consultar, se listarán todos los dominios que comiencen con el fico, como el
nombre de la empresa. VisualRoute, que
no solo propor-
distribuida que se utiliza para transformar ciona información de las rutas, sino
las direcciones IP en los nombres de host, que también la localización geo-
y viceversa. Si un DNS está configurado gráfica.
de forma insegura, es posible obtener in-
formación muy relevante sobre la Herramientas
empresa. El comando "nslookup" es la
herramienta más popular para realizar Existen infinidad de herramientas en
dicha tarea. Internet que facilitarán información o ayu-
[bash]$ nslookup darán a encontrar lo buscado. En la si-
Default Server: dns2.acme.net guiente tabla enumeramos alguna de ellas
Address: 10.10.20.2
con sus respectivas páginas web.
>> server 10.10.10.2
Contramedidas
D e f a u l t S e rv e r : [ 1 0 . 1 0 . 1 0 . 2 ]
Address: 10.10.10.2 Hemos visto las técnicas y herramien-
tas de footprinting. Existen muchas
>> set type=any contramedidas. Por ejemplo muchos
>> ls -d Acme.net. >> programas y herramientas comer-
/ tmp / z o n e _ o ut ciales permiten la detección de intru-
sos en la red (llamado Network
Una vez identificadas las redes poten-
Intrution Detection Systems) NIDS.
ciales, podrá intentar determinar su
Paso 2 : Scanning
Escaneo de puertos lizando rangos en cualquiera

de los octetos (como en la
Footprinting permite obtener información, entre otras cosas, sobre rangos de di- Figura 1), también se pueden
recciones IP, servidores DNS y servidores de e-Mail. Con esta información en especificar bloques de red
nuestro poder, ya es posible determinar que sistemas están "vivos" (usando por ejemplo:
192.168.0.0/24 ó 192.168.0 -
12.0/25). Cuando se hace un
barrido de direcciones IP uti-
Introducción sobre rangos de direcciones IP
lizando el protocolo ICMP, hay
y/o bloques de red para deter-
que hacer todo lo posible por
Hemos visto que, aplicando la minar cuales sistemas están
evitar las direcciones de broad-
técnica de footprinting se "vivos". Este paso se realiza
cast (difusión), debido a que
puede obtener una lista de di- con herramientas que permiten
estas direcciones tienden a
recciones IP correspondientes hacer la misma tarea que el
producir DoS (Denial of
a hosts y redes usando los uti- rudimentario ping, es decir
Service-Negacion de Servicio).
litarios whois y nslookup. Estas enviar un ICMP Echo (Tipo 8)
herramientas nos permiten al posible destinatario y
El primer problema que se
obtener información, entre esperar obtener un ICMP
puede presentar, al hacer un
otras cosas, sobre rangos de Echo_Reply (tipo 0), determi-
barrido de direcciones IP uti-
direcciones IP, servidores DNS nando así que el posible desti-
lizando el protocolo ICMP, es
y servidores de e-Mail. Con natario esta "vivo".
que este protocolo esté blo-
esta información en nuestro
queado en un router o firewall
poder, ya es posible determinar Aunque existen muchas her-
en el borde de una DMZ (De-
ramientas disponibles en el
woody:# nmap -sP 192.168.0.1-254 Militarized Zone - Zona
mercado, en este artículo nos
DesMilitarizada). Aquí es nece-
Starting nmap 3.55 ( http://www.insecure.org/nmap/) concentraremos en el uso de
sario hacer un barrido de direc-
Host 192.168.0.1 appears to be up. nmap, una poderosísima her-
ciones utilizando otro protocolo
Host 192.168.0.2 appears to be up. ramienta desarrollada por
y/o evaluando ciertos puertos
Host 192.168.0.3 appears to be up. Fyodor (http://www. insecure.
Host 192.168.0.4 appears to be up. conocidos de los posibles des-
org/nmap). En la Figura 1
Host 192.168.0.5 appears to be up. tinatarios del barrido. En la
vemos la sintaxis para realizar
Host 192.168.0.7 appears to be up. Figura 2 vemos la sintaxis para
un barrido de direcciones IP u-
Host 192.168.0.8 appears to be up. realizar un barrido de direc-
tilizando el protocolo ICMP.
Host 192.168.0.11 appears to be up. ciones IP sin utilizar el protoco-
Host 192.168.0.21 appears to be up. lo ICMP.
Host 192.168.0.41 appears to be up. El modificador -s permite deter-
Host 192.168.0.51 appears to be up. minar el tipo de escaneo que
El modificador -s permite deter-
Host 192.168.0.123 appears to be up. se va a realizar (en la Figura 1,
Host woody (192.168.0.210) appears to be up. minar el tipo de escaneo que se
la P adicional indica a nmap
Nmap run completed -- 254 IP addresses(13 hosts up) va a realizar (en la Figura 2, la
que haga un ping scan); las di-
woody:# P adicional indica a nmap que
recciones IP de los posibles
haga un ping scan); pero el
destinatarios se pueden es-
Figura 1 - Resultado de ICMP ping sweep con nmap modificador PT80 le dice a
pecificar individualmente ó uti-
nmap que haga un TCP
qué sistemas están "vivos" (en-
cendidos) y alcanzables desde Figura 2 - Resultado de TCP probe scan con nmap
internet utilizando una variedad woody:# nmap -sP -180 192.168.0.1-254
de herramientas que incluyen
ping sweeps (barridos de ping), Starting nmap 3.55 ( http://www.insecure.org/nmap/)
port scans (escaneos de Host 192.168.0.1 appears to be up.
Host 192.168.0.2 appears to be up.
puertos), detección de
Sistemas Operativos y auto- Host 192.168.0.4 appears to be up.
mated discovery (descubri- Host 192.168.0.5 appears to be up.
miento automatico). Host 192.168.0.7 appears to be up.
Ping Sweeps Host 192.168.0.12 appears to be up.
Uno de los pasos más impor- Host 192.168.0.31 appears to be up.
tantes en el trazado de un
Host woody (192.168.0.210) appears to be up.
mapa esquemático de una red Nmap run completed -- 254 IP addresses(12 hosts up)
es realizar un barrido de ping woody:#
probe scan. Así, utilizando el protocolo (Escaneo de Puertos) sobre cada >>TCP FYN scan: con esta técnica se

TCP sobre el puerto 80, se logra que el equipo/sistema individual. Port Scanning envía un paquete con el flag FIN a la
barrido supere un posible router y/o fire- consiste en establecer conexiones TCP "víctima", y está debe responder un
wall debido a que muy probablemente el y UDP a un equipo de destino (una paquete con el flag RST para los puertos
tráfico sobre el puerto 80 del protocolo posible "víctima") para establecer qué que estén cerrados.
TCP este permitido. servicios están en ejecución o en estado
Como se puede ver, esta técnica es muy Listening (escuchando). Los servicios >>TCP Xmas Tree scan: con esta técnica
efectiva para superar el escollo del activos que estén escuchando pueden se envía un paquete con los flags FIN,
bloqueo del tráfico ICMP. También vale la permitir el acceso no autor- URG y PUSH a la "víctima", y ésta debe
pena reintentar el mismo rango de direc- izado a usuarios no desead- Existen varios tipos de responder un paquete con el
ciones utilizando diferentes puertos de os. Estos usuarios podrían escaneo de puertos, flag RST para los puertos
protocolos conocidos, por ejemplo: FTP lograr acceso a servidores dando una perspectiva que estén cerrados.
(21) SMTP (25), POP3 (110), RPCBIND que están mal configurados o distinta de cómo detec-
(111), IMAP (143), MSRPC (135). que tienen instaladas ver- tar servicios >>TCP Null scan: con esta
siones de aplicaciones que técnica se envía un paquete
tienen vulnerabilidades conocidas. que tiene todos los flags apagados a la
Ping Sweeps - Contramedidas "víctima", y esta debe responder un
Port Scanning - Tipos de Scan paquete con el flag RST para los puertos
El proceso de detección de un Ping que estén cerrados.
Sweep es crucial para determinar si va a Existen varios tipos de escaneo de
ocurrir un ataque, cuándo va a ocurrir y puertos, dando una perspectiva distinta de >>UDP scan: con esta técnica se envía un
quién lo va a realizar. El principal cómo detectar servicios y/o aplicaciones. paquete a un puerto específico de la
método de detección de un Ping Sweep "víctima", y ésta debe responder un
es utilizar un NIDS (Network-based Asimismo, los diferentes tecnicismos de paquete ICMP Port_Unreachable para los
Intrusion Detection System-Sistema de cada uno de ellos permitirá hacer los esca- puertos que estén cerrados. Los únicos
Detección de Intrusos basado en Red). neos con un mayor o menor grado de problemas de esta técnica son: su falta de
sigilo. fiabilidad y su baja performance.
Mientras que la detección de los Ping
Sweeps es crítica, la prevención también >>TCP connect scan: este tipo de scan En la Figura 3 podemos ver a nmap ha-
hará una contribución substancial. se conecta al puerto de destino haciendo ciendo un TCP SYN scan sobre uno de los
un Three-Way Handshake completo. destinos "vivos" de la red.
Es recomendable que evalúe el tipo de (Pasos 1, 2 y 3 de la Figura A de la pastilla)
tráfico ICMP que permite circular en su El modificador -s permite determinar el tipo
red. Recuerde que existen 18 (diecio- >>TCP SYN scan: esta técnica es conoci- de escaneo que se va a realizar (en la
cho) tipos distintos de tráfico ICMP, Echo da también como "half-open scanning", Figura 3, la S adicional indica a nmap que
y Echo_Reply son sólo 2 (dos) de ellos. debido a que solamente se envia un haga un TCP SYN scan); es posible es-
paquete con el flag SYN a la "víctima", si pecificar el FQDN de la "victima", pero es
Port Scanning ésta responde con un flag SYN/ACK el preferible usar su dirección IP.
puerto está escuchando, si responde con
un flag RST/ACK el puerto está cerrado. Las direcciones IP de los posibles
Hasta aquí hemos visto cómo se puede
Para evitar el Three-Way Handshaking, se destinatarios se pueden especificar
determinar que sistemas están "vivos",
individualmente ó utilizando rangos
woody:# nmap -0 192.168.0.21
en cualquiera de los octetos (como en
Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) la Figuras 1 y 2, pero hay que hacer
Interesting ports on 192.168.0.21: todo lo posible por evitar las direc-
(The 1643 ports scanned but not shown below are in state: closed) ciones de broadcast (difusión).
PORT STATE SERVICE
9/tcp open discard Para los demás tipos de escaneo es
13/tcp open daytime necesario usar una T (TCP connect
. scan), F (TCP FIN scan), X (TCP
.
901/tcp open samba-swat
Xmas Tree scan), N (TCP Null scan) ó
933/tcp open unknown U (UDP scan).
9999/tcp open abyss
MAC Address: 00:08:54:06:16:DB (Netronix) Si agregamos el modificador V (resultando
Device type: general purpose en -sSV) nmap tratará de informarnos de
Running: Linux 2.4.X12.5.X12.6.x la versión de la aplicación y/o servicio que
OS details: Linux 2.4.0 - 2.5.20. Linux 2.4.18 - 2.6.4. (x86) está escuchando en ese puerto.
Nmap run completed -- 1 IP address (1 host up)
woody:#
La cantidad de modificadores que tiene
nmap y sus posibles combinaciones hacen
Figura 3 - Resultado de TCP SYN scan con nmap imposible que lo mostremos en este
artículo.
utilizando las técnicas de Ping Sweep ó envía un paquete con el flag RST/ACK, y
de TCP Probe Scanning. Habiendo así se logra que la "víctima" no registre Existen además otras herramientas
recolectado esta información, ya es una conexión. disponibles, un ejemplo es la he-
posible hacer un Port Scanning rramienta portqry de Microsoft. Es
gratuita y se puede buscar y bajar del woody:# nmap -sP -PT80 192.168.0.1-254 Descubrimiento
Knowledge Base del sitio de Microsoft automático

Starting nmap 3.55 ( http://www.insecure.org/nmap/ )
(www.microsoft.com). Otro ejemplo es
netcat o nc, escrita por Hobbit, Host 192.168.0.2 appears to be up.
Existen herramien-
(http://www.atstake.com Host 192.168.0.3 appears to be up. tas muy completas
research/tools/network_utilities) que se ha Host 192.168.0.4 appears to be up. diseñadas para en-
ganado el apodo "TCP/IP Swiss Army Host 192.168.0.5 appears to be up. globar varias fun-
Knife", ya que puede cumplir una gran Host 192.168.0.6 appears to be up. cionalidades en el s-
variedad de funciones. Host 192.168.0.7 appears to be up. canning. Menciona-
Host 192.168.0.8 appears to be up. remos dos:
Port Scanning - Contramedidas i) Cheops que
engloba usando
El principal método de detección de un Host 192.168.0.41 appears to be up. una interfaz
Port Scanning es utilizar un HIDS (Host- Host woody (192.168.0.210) appears to be up. gráfica a ping,
based Intrusion Detection System-Sistema Nmap run completed -- 254 IP addresses (12 hosts up) traceroute, port s-
de Detección de Intrusos basado en woody:# canning, y scan-
Sistemas Individuales). También es Figura 4 - Resultado de detección de SO con nmap ning de SOs.
posible utilizar un NIDS con su placa de
red configurada en modo promiscuo. de acuerdo al fingerprint del stack TCP cuál (http://www.marko.net /cheops/) .
De la misma manera que la prevención es el sistema operativo de la "víctima". ii) Tkined (parte del paquete Scotty,
ayudaba a evitar los Ping Sweeps, la correc- Vemos en la Figuras 4 un ejemplo de detec- ( h t t p : / / w w w. h o m e . c s . u t w e n t e . n l
ta configuración y mantenimiento de los ción de sistema operativo. También /~schoenw/scotty/).
routers y/ó firewalls hará que sea más difícil existen otras herramientas
disponibles para la detección de sis-
que un intruso conozca los puertos/servi- Conclusión
temas operativos, un ejemplo muy
cios/aplicaciones abiertos en los sistemas conocido es QueSo.
que se estén asegurando. (QueSo www.apostols.org/projectz/). Hemos visto hasta aquí las principales her-
ramientas y técnicas de scanning existentes,
Es importante recordar que QueSo no es un
Detección de SO la información que es posible obtener y la u-
Port Scanner, solamente hace detección de
tilidad de dicha información.
sistema operativo a través del puerto
Si prestamos atención a las respuestas que Como postre a nuestro banquete de
TCP:80.
dio nmap al TCP SYN scan, podemos inter- herramientas y técnicas, sólo queda
pretar esos datos y deducir, siguiendo nombrar una herramienta que permite
Detección de SO - Contramedidas
algunas premisas conocidas, que la máquina hacer todas estas tareas en conjunto
Debido a que el proceso de detección de
"víctima" tiene alguna clase de sistema oper- y desde una única interfaz: Nessus
Sistema Operativo de una máquina
ativo Windows (debido a los puertos 135 y (www.nessus.org), una herramienta
"víctima" es esencialmente un análisis del
139 abiertos). Pero muchas veces, los que consta de 2 partes, el Server está
puertos abiertos en un sistema no son fáciles fingerprint del stack TCP, las herramientas disponible sólo para plataformas Unix
de deducir y producen incertidumbre. Aquí para evitar ésta técnica son las mismas y/o Linux y el cliente està disponible
entra en juego nuevamente nmap que nos que para evitar un Port Scanning: HIDSs y para cualquier plataforma. El cliente
permite mediante el modificador -O identificar NIDSs. funciona en modo gráfico.
Three Way Handshaking

En toda comunicación TCP/IP, así como en la vida real, existen 2 (dos) interlocutores, de aquí en más llamaremos
"cliente" al que inicia la comunicación y "servidor" a quien recibe y contesta la comunicación. .
Cuando un cliente necesita comunicarse con un servidor, lo hace con algún servicio que está en ejecución en ese servi-
dor. Así el cliente no sólo debe conocer la dirección IP del servidor, sino que también debe conocer el puerto donde este
servicio está "escuchando". .
En todo paquete TCP/IP, en el header (encabeza-

do) del paquete, están la dirección IP y puerto de
origen, la dirección IP y puerto de destino y un
flag (bandera de estado) que establece el tipo de
paquete. El estado de este flag tiene como
propósito establecer un three way handshaking
(saludo de 3 vías) para luego dar paso a un inter-
cambio fluido de paquetes. .
En la siguiente figura podemos ver un esquemáti-

co de este proceso de Three-Way Handshaking.
Claramente puede verse que el intercambio de
paquetes para acordar la finalización de la comu-
nicación responde al mismo criterio de Tree-Way
Handshaking.
Paso 3: Enumeración
Identificación de recursos
La técnicas de enumeración serán específicas de cada que es necesario comprender

sistema operativo. en cada uno de los sistemas
operativos.
Si el hacker logró identificar su objetivo (footprinting y scanning), intentará identi-
ficar recursos de red, cuentas de usuario y aplicaciones que brinden servicios. A Puertos activos
esto se lo denomina enumeración y es el paso previo al hackeo. En este artículo
veremos enumeración en detalle. Cada puerto "activo" detectado
durante el "scanning" significa
Introducción tante entre "footprinting" y
un servicio. El método de
"scanning" y la enumeración.
"banner grabbing" (establecer
Hemos visto las dos primeras Esta es el grado de intrusión.
una conexión al puerto activo y
acciones que realizará un obtener un mensaje respuesta)
hacker: "footprinting" y "scan- Durante la enumeración
nos dá información sobre qué
ning". Lo que habrá logrado es haremos una conexión activa a
aplicación está escuchando en
identificar su objetivo (su los sistemas. Esto implica que
ese puerto y detalles de ella
número IP, nombre de estas intrusiones serán detec-
(por ejemplo su versión). Con
máquina, dominio de Internet al tadas y quizás registradas
esta información podremos
(existirá un log (registro del
decidir si existe alguna vulnera-
c:>> Microsoft Windows 2000 [Version 5.00.2195] evento) por la víctima. La infor-
(C) Copyright 1985-2000 Microsoft Corp. bilidad asociada.
mación que se obtiene durante
la enumeración no parecería
C:\>nbtstat -A 192.168.0.22 Podríamos por tanto ir reco-
representar gran peligro. Pero
rriendo los distintos puertos
no es así. Conocer el UID
posibles (del 1 al 65535) e ir
NetBIOS Remote Machine Name Table (nombre de cuenta de los
detallando qué herramientas
usuarios) o recursos compar-
usar en cada caso y qué infor-
Name Type Status tidos o detalles de las aplica-
mación obtendríamos.
- - - - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ciones que están corriendo es
MAQ-81 <00> UNIQUE Registered de gran ayuda para los pasos
MAQ-81 <20> UNIQUE Registered En el libro "Hackers Exposed"
que continúan durante el
WORKGROUP <00> GROUP Registered versión 4 (autores: Stuart
hackeo de una máquina.
WORKGROUP <1E> GROUP Registered McClure, Joel Scambray,
MAQ-81 <03> UNIQUE Registered George Kurtz, McGraw-Hill
MAQ-81 <64> UNIQUE La técnicas de enumeración
Registered Osborne Media; 4 edition
I N e t~ S e r v i c e s <1C> GROUP serán específicas de cada
Registered
(February 25, 2003)) que re-
IS~MAQ-81......<00> UNIQUE sistema operativo. Por ello, de-
Registered
comendamos, se desarrolla el
ADMINISTRATOR <03> UNIQUE beríamos dividir este artículo
Registered
tema de enumeración de este
en tres partes: Windows
modo y resulta muy instructivo.
NT/2000-2003, Novell Netware
MAC Address = 00-08-54-04-32-F6 Aquí lo haremos de un modo
y Unix. Por razones de espacio,
más ortodoxo. Para cada SO,
nosotros nos concentraremos
Figura 1. Pedido de la tabla de nombres de un sistema remoto usando "nbtstat" veremos qué herramientas son
en Windows y sistemas Unix-
apropiadas para cada tipo de
cuál pertenece) y conocer los like (UNIX, BSD-like y Linux).
puertos que tiene "activos" y su SNMP
sistema operativo.
El nombre corto para "Simple Network Management Protocol", un
El paso siguiente, que des-
conjunto de protocolos para manejar redes complejas. La primera
cribiremos a continuación, se
versión de SNMP fue desarrollada a comienzos de los '80. SNMP
NBSTAT extrae el nombre llama "enumeración".
trabaja mandando mensajes, llamados "unidades de datos de pro-
NETBIOS de la máquina
tocolo" (protocol data units - PDUs) a diferentes partes de una red.
blanco, el dominio en el que Enumerar significa identificar:
"SNMP-compliant devices" (dispositivos SNMP-compatibles), lla-
se encuentra, cualquier
mados agentes, almacenan datos sobre ellos mismos en
usuario que haya iniciado >>Recursos de red
Management Information Bases (MIBs) y devuelven estos datos a
una sesión , cualquier servi- (máquinas y dominios) y re-
los consultantes-SNMP (SNMP-requester). .
cio que se encuentre en e- cursos compartidos
jecución .
>>Cuentas de usuarios En este artículo de NEX IT
enumeración posible.
Specialist, vamos a dar una in-
>>Aplicaciones que estén troducción, un panorama
La Tabla 1 muestra los puertos
brindando servicios. global. Destacaremos algunos
más comunes a encontrar
Existe una diferencia impor- conceptos muy importantes
activos y las aplicaciones asociadas. NETBIOS

Enumeración de Windows NT / Protocolo de red originalmente creado para redes locales de computadoras IBM PC.
2000-2003 NetBIOS fue la API del producto llamado "PC Network", desarrollado por Sytec, empresa
contratada por IBM. "PC Network" no soportaba más de 80 nodos y era bastante simple,
Desde los tiempos de Windows NT los pero en aquella época era más apropiado para los ordenadores personales que su pari-
SOs Windows han permitido a los posibles ente más viejo y complejo para mainframes de IBM, el SNA.
atacantes obtener mucha información. NetBIOS engloba un conjunto de protocolos de nivel de sesión, que proveen 3 tipos de
Esto se ha debido, fundamentalmente a la servicios:Servicio de nombres, servicio de paquetes,servicio de sesión.
utilización del protocolo NETBIOS y del El servicio de nombres permite el registro de nombres de computador, aplicaciones y
CIFS/SMB, utilizados para la compartición otros identificadores en general en la red. Un programa puede, a través de este servicio,
de archivos. determinará qué computadora en la red corresponde un determinado nombre.
El servicio de paquetes (en inglés, datagram) es análogo al protocolo UDP y posibilita el
Dos grandes debilidades de los SOs envío y recibimiento de paquetes en la red.
Windows. El servicio de sesión permite el establecimiento de conexiones entre dos puntos en la red
y es análogo al protocolo TCP..
1. Null session-anonymous login NetBIOS es utilizado por protocolos de nivel más alto como SMB.
CIFS/SMB y NETBIOS incluyen APIs

modo de acceder a esos APIs es a través rramientas llamadas "Resource Kit": NTRK
(Application Programming Interface) que
del llamado "Null Session" o "Anonymous (NT Resource Kit) para Windows NT y
permiten acceder a mucha información de
Login". En esta colección encontrará un W2RK para Windows 2000. Sumado a
nuestros sistemas. Particularmente sobre
artículo detallado sobre esta debilidad y esto una cantidad de herramientas muy
los puertos TCP y UDP 135 a 139 y 445. El
sus contramedidas
poderosas son incluidas en los CD de in-
C:\>enum -U -d -P -L -c 192.168.0.12 para NT, W2K, XP y
stalación en el directorio Support/Tools.
server: 192.168.0.12 Windows 2003.
setting up session... success.
password policy:
NFS (Network File System)
Allí podrá ver ejempli-
min length: none ficada una de las her-
m i n a g e : n on e Compartir archivos e impresoras es uno
ramientas más popu-
max age: 42 days de los servicios de red más fundamen-
lockout threshold: none
lares de enumeración
tales ofrecidos por los diferentes SOs. Por
lockout duration: 30 mins de cuentas de usua-
muchos años, el protocolo de comparti-
lockout reset: 30 mins rios: enum.exe.
ción de UNIX ha sido NFS. Este protocolo
opening lsa policy... success.
fue originalmente desarrollado por Sun
server role: 3 [primary (unknown)] 2. Windows NT/ 2K-
names: Microsystems y ha sido implementado en
2003 Resource Kit
n etbios: MAQ-FILESERVER casi todos los sistemas Unix-like.
domain: WORKGROUP .
quota:
Windows NT 3.1 y los Cualquier sistema Linux puede actuar
paged pool limit: 33554432 SOs que siguieron tanto como cliente o servidor NFS. Los
non paged pool limit: 1048576 fueron complementa- clientes utilizan el concepto de "montar"
min work set size: 65536 dos con una serie de (mount) Sistemas de Archivos (File
max work set size: 251658240
herramientas (soft- Systems, FS) de servidores NFS a "sus"
pagefile limit: 0
time limit: 0 ware y documen- FSs. Una vez montada la jerarquía de di-
trusted d omains: tación) para ayudar a rectorios sobre el cliente aparece a los
indeterminate administrar las redes usuarios como un FS local.
netlogon done by a PDC server
getting user list (pass 1, index 0)... success, got
bajo SOs Windows.
24. Enumeraciones posibles
__vmware_user__ (VMware User) Estas incluyen Perl
attributes: (un poderoso lenguaje Detallar todas las posibles enumeraciones
Administrator (Built-in account for administering
de scripting), y aplica- posibles sería muy extenso. A conti-
the computer/domain)
attributes: ciones equivalentes a nuación se mencionan diferentes he-
AFernandez (Profesora de Linux) otras del mundo UNIX rramientas (resaltadas en negrita) que
attributes: hemos ordenado dependiendo de qué de-
junto con herramien-
ASPNET (Account used for running the ASP.NET worker seamos enumerar y que característica
tas de administración
process (aspnet_wp.exe)) usemos (NETBIOS, SNMP, transferencia
attributes: no_passwd remota (lea el artículo de zonas DNS). Seguido a esto, damos
BPerez (Profesor Linux) Windows Services for tres ejemplos (uno de cada tipo de enu-
attributes: Unix (WSFU) en #12 meración ) de modo de poder obtener una
Cecilia (Recepcion)
attributes:
pag 39 de NEX IT idea de qué significa enumerar.
Charlie (Gerencia General) Specialist).
attributes: 1. Enumeración de recursos de red (máquinas y
... Es indispensable para dominios) y recursos compartidos.
C:\> cualquier adminis-
Figura 2. "enum.exe" en plena acción trador tener esas he- a) enumeración NETBIOS
nombre NETBIOS de la máquina blanco
c:>> Microsoft Windows 2000 [Version 5.00.2195]

(C) Copyright 1985-2000 Microsoft Corp. c) de AD usando cliente (MAQ-81), el dominio en el que se encuen-
ldp.exe (está en tra ( WORKGROUP), cualquier usuario
C:\>telnet w ww.itspecialist.com.ar Support/Tools) que haya iniciado una sesión (ADMINIS-
TRATOR), cualquier servicio que se en-
HTTP/1.1 400 Bad Request 3. Enumeración de apli- cuentre en ejecución (INet-Services).
Server: Microsoft-IIS/5.0 caciones Además nos da el MAC address de la
Date: Wed, 29 Sep 2004 17: 38:18 GMT
máquina víctima. Notar que hay dos
Content-Type: text/html
Content-Length: 87 a) números entre corchetes a la derecha del
>>telnet "name". Estos identifican los tipos de ser-
<html><head><title>Error</title></head> >>netcat (escrita origi- vicios NETBIOS que corren en la máquina.
</html> nalmente por Hobbit
(www.avian.org) es lla- Ejemplo 2 Enumeracion de usuarios de
Connection to host lost. mada la navaja suiza cuentas
TCP/IP). Fue portado a
Figura 3. "Banner grabbing"
Windows por Weld "enum.exe" es una herramienta que
Pond cuando pertenecía al Security Group uni f i c a t o d a s l a s f u n c i o n e s d e
>>De dominios y equipos en el dominio de L0pht). Está considerada la segunda enumeración posibles de rea-
(netview) herramienta de seguridad más importante lizar sobre NETBIOS. Fue
>>Nombres netbios de sistemas remotos después de nmap. Desarrollaremos un artícu- hecha por el equipo Razor de
(nbtstat, nbtscan) lo de esta colección) BindView y puede obtenerse en
>>De Domain controlers (nltest) h t t p : / / r a z o r. b i n d v i e w. c o m .
>>Recursos compartidos (netview, b)
dumpsec, legion). Mediante obtención del contenido del En la figura 2, podemos observar la
>>De servidores tipo ras (netviewx) registry (regdmp) cantidad de información que podemos
b) SNMP (snmputil) CIFS

c) Transferencia de Zona DNS (nslookup) El Common Internet File Siystem (CIFS) es la manera más común en que los usuarios
DNS (Domain Name Service), de computadoras comparten archivos a través de intranets (redes internas) e Internet.
Es el protocolo por default en Windows 2000 para compartir archivos y es una extensión
del protocolo SMB (Server Message Block). .
Es la base de datos distribuida de
nombres a números IP. Técnicamente, no
CIFS define una serie de comandos usados para pasar información entre computadoras
es necesario utilizar nombres de host y
en red. El "redirector" empaqueta consultas para computadoras remota en una estruc-
dominios como www.cortech.com.ar
tura CIFS. CIFS puede ser enviado mediante una red a dispositivos remotos. El "redi-
(nombre host www que pertenece al
rector" también usa CIFS para hacer consultas al stack del protocolo de la computadora
dominio cortech.com.ar). Es el número IP
local. Los mensajes CIFS pueden ser clasificados como: .
el que necesita el sistema para comuni-
carse. DNS fue creado para poder usar
>>mensajes para establecer conexión: consisten en comandos que empiezan y termi-
nombre de dominios y de máquinas y no
nan una conexión del "redirector" a un recurso compartido en el servidor.
deber recordar los números IP.
>>mensajes con manipulación de nombres y archivos son usados por el "redirector"
Cuando tipeo en mi web-browser:
para lograr el acceso a archivos en el servidor y para leerlos y escribirlos.
http://www.cortech.com.ar, un pedido sale
hacia el servidor DNS que se ha definido
>>mensajes a las impresoras son usados por el "redirector" para enviar información a
de modo que éste me devuelva el IP aso-
una cola de impresión en el servidor y para obtener información sobre su estado.
ciado. Con ese IP se envían los paquetes
al servidor web correspondiente.
>> mensajes variados son usados por el "redirector" para escribir a "mailslots" y "named
pipes". .
2. Enumeración de usuarios/cuentas Ejemplos: obtener cuando la dirigimos a una

máquina víctima. Lista políticas de
a) mediante CIFS/SMB Ejemplo 1.: Enumeración de los nombres password, nombres NETBIOS y de
NETBIOS de sistemas remotos dominio, usuarios de la máquina y
>>nbtstat y nbtscan (no requiere null mucha más información que depen-
session) "nbtstat" está incorporada dentro de los derá de qué opciones activemos.
>>dumpsec sistemas operativos Windows. Usada
>>sid2user, user2sid (ver artículo de como se ejemplifica en la figura 1., nos Haciendo sólo "enum" obtenemos una
Mark Russinovich en win2000mag.com permite obtener la tabla de nombres lista de todas sus posibilidades.
artículo #3143) NETBIOS de un sistema remoto. En este
>>enum caso la máquina con número IP En esta colección de Ethical Hacking
>>nete (escrita por Sir Dystic del grupo 192.168.0.22. encontrará "enum.exe" mucho más
Cult of the Dead Cow) detallado en el artículo por Carlos
Como podemos observar "nbstat" extrae el Vaughn O´Connor "Entendiendo Null
b) usando SNMP Sessions o Login anónimo" .
NIS

Ejemplo 3 Enumeración de aplicaciones
mediante "banner grabbing"
El Network Information Service o NIS es un protocolo de servicio de directorio de
"páginas amarillas" (YP, yellow pages) cliente-servidor. Fue desarrollado originalmente
La Figura 3 nos muestra el "banner"
por Sun Microsystem para configuración de sistemas de distribución de datos como
que nos devuelve la máquina víctima
nombres de usuarios y "hostnames" entre computadoras en una red de computadoras.
al hacer telnet sobre un puerto que
NIS/YP es usado para mantener un directorio central de usuarios, "hostnames" y
sabemos está activo. En este caso
muchas otras cosas útiles en una red de computadoras. Por ejemplo, en un ambiente
vemos que la aplicación es el web-
UNIX , la lista de usuarios (para autenticación) está situada en /etc/passwd. Usar NIS
server IIS 5.0 de Microsoft (Internet
agrega otra lista de usuario global que es usada para autentificar usuarios en cualquier
Information Server 5.0). Si conocié-
"host".
semos alguna vulnerabibilidad del IIS
Sun licencia esta tecnología para virtualmente todo otro "vendor" de Unix.
5.0 podríamos intentar aplicar un
Como "páginas amarillas" es una marca registrada en el Reino Unido, de British
exploit sobre la misma.
Telecommunications PLC para su directorio telefónico comercial (en papel), Sun cambió
el nombre de su sistema a NIS, aunque todos sus comandos y funciones aún empiezan
Enumeración de UNIX. con "yp".
En ambientes modernos, servicios de directorio como Lightweight Directory Access
Los sistemas operativos UNIX, basan Protocol (LDAP) y Kerberos han reemplazado a NIS. ya que son considerados más
todas sus funciones de red bajo modernos y seguros que NIS.
Lista de puertos más comunes TCP/IP. Por tanto la infor- En los recuadros adjuntos detallamos
mación que proveen es más someramente las técnicas de adminis-
20 FTP data (File Transfer Protocol)
limitada que la que brinda tración de redes usadas más comúnmente
21 FTP (File Transfer Protocol)
NETBIOS en el caso bajo UNIX: Remote Procedure Call (RPC),
22 SSH (Secure Shell)
Windows. Esto no significa Network Information System (NIS) y
23 Telnet
que no existirá la posibili- Network File System (NFS). La utilización
25 SMTP (Send Mail Transfer Protocol)
dad de hacer "enu- de LDAP como protocolo para Servicio de
43 whois
meración" bajo Unix. Sí que Directorio (Directory Service) abre también
53 DNS (Domain Name Service)
es conocido y predecible lo otro mecanismo posible de enumeración.
68 DHCP (Dynamic Host Control Protocol)
que es posible obtener.
79 Finger
80 HTTP (HyperText Transfer Protocol)
110 POP3 (Post Office Protocol, version 3) SMB
115 SFTP (Secure File Transfer Protocol)
119 NNTP (Network New Transfer Protocol) Server Message Block - (SMB) Un protocolo cliente/servidor que provee
123 NTP (Network Time Protocol) compartición de archivos e impresoras entre computadoras. Además SMB
137 NetBIOS-ns puede compartir puertos y abstracciones de comunicaciones como "named
138 NetBIOS-dgm pipes" y "mail slots". SMB es similar a "remote producer call" (RPC) pero e-
139 NetBIOS specializado en acceso a sistemas de archivo.
143 IMAP (Internet Message Access Protocol) .
161 SNMP (Simple Network Management Protocol) SMB fue desarrollado por Intel, Microsoft e IMB a comienzos de los '80.
194 IRC (Internet Relay Chat) También tuvo influencia de Xerox y 3Com. Es el método nativo de comparti-
220 IMAP3 (Internet Message Access Protocol 3) ción de archivos e impresoras para sistemas de operación de Microsoft,
389 LDAP (Lightweight Directory Access Protocol) donde es llamado Microsoft Networking. Windows for Workgroups. Windows
443 SSL (Secure Socket Layer) 95 y Windows NT todos incluyen clientes y servidores SMB. SMB es usado
445 SMB (NetBIOS over TCP) también por OS/2, Lan Manager y Banyan Vines. Hay servidores y clientes
1433 Microsoft SQL Server SMB para Unix, por ejemplo Samba y smbclient.
1494 Citrix ICA Protocol .
1521 Oracle SQL SMB es un protocolo de la capa de presentación, estructurado como un gran
1604 Citrix ICA / Microsoft Terminal Server conjunto de comandos (Server Message Blocks). Hay comandos para
2049 NFS (Network File System) apoyar la compartición de archivos, la compartición de impresoras, la au-
3306 mySQL tenticación de usuarios, el "browsing" de recursos, y otras funciones va-
4000 ICQ riadas. Como muchos clientes y servidores pueden usar diferentes versiones
5010 Yahoo! Messenger ("dialectos") del protocolo, negocian antes de empezar la sesión. .
5190 AOL Instant Messenger El "redirector" empaqueta consultas SMB en una estructura de bloque de
5632 PCAnywhere control (NCB) que puede ser enviada a través de la red a un dispositivo
5800 VNC remoto.
5900 VNC
6000 X Windowing System SMB originalmente funcionaba encima de los protocolos NetBEUI y
6699 Napster NetBIOS, pero ahora funciona normalmente sobre TCP/IP.
6776 SubSeven (Trojan - security risk!)
7070 RealServer / QuickTime Microsoft desarrolló una versión extendida de SMB para Internet, el Common
7778 Unreal Internet File System (CIFS), que en muchos casos reemplaza a SMB. CIFS
8080 HTTP funciona sólo sobre TCP/IP.
26000 Quake
27010 Half-Life
SAMBA: SMB y NMB (www.samba.org)
4.Enumeración SNMP
El mecanismo de compartición de archivos usado por Microsoft e IBM., llamada Srerver >>snmpwalk
Message Block (SMB) ha sido implementado como Open Source como un suite de pro-
gramas que se llaman colectivamente SAMBA.
SMB: maneja compartición de archivos e impresoras
NMB: implementa WINS (Windows Internet Name Service), que permite traducir Si hemos detectado que una máquina (con
nombres de NETBIOS de máquinas a números IP. número IP 192.168.0.9) tiene el puerto
activo 2049, significa que está compartien-
Enumeraciones posibles do directorios bajo NFS.
de enumeración que permiten (re
s a l ta d a s e n n e g r i ta ) y d a r e m o s u n
Al igual que en el caso de SOs
ejemplo. Usando el comando "showmount" con la
Windows detallar todas las posibles
opción -e como se muestra en la figura 4,
herramientas de enumeración está 1.Enumeración de recursos compar-
tidos y de red obtendremos un listado de los recursos
que comparte esa máquina.
debian[root$]showmount -e 192.168.0.9 >>showmount Este es el comportamiento normal de
export list for 192.168.0.9
/pub (everyone) 2.Enumeracion de usuarios NFS. Solo deberemos asegurarnos de que
/usr user los recursos que se comparten tengan los
/libros lectores >> finger, rwho, rusers, telnet, tftp permisos correspondientes de lectura y
(trivial ftp)
escritura (read o write).
3.De aplicaciones mediante
Figura 4 "banner grabbing"
fuera de lo que haremos aquí. >> pcinfo, nmap

Solo mencionaremos algunas por RPC (Remote Procedure Call)
c o m p l e t i t u d a g r u pa d a s p o r e l t i p o
Los servicios de RPC (Remote Procedure Call) son un conjunto de servicios desarrolla-
dos por Sun para permitir la interacción de varias máquinas en una red. Los protocolos
de comunicación son públicos, lo que permite que la mayoría de los servicios se imple-
Si hemos detectado que una menten sobre distintos sistemas operativos. Este un elemento esencial para la interop-
máquina tiene el puerto activo erabilidad. Los servicios de RPC tienen un punto en común: la utilización de un portmap-
per. Se trata de un servicio similar a inetd. Sin embargo, si bien inetd tiene puertos fijos
2049, significa que está compara cada servicio, este no es el caso de RPC. Los servicios RPC son registrados en el
partiendo directorios bajo NFS. portmapper, que les ofrece un puerto cuando lo necesitan. Cuando una maquina nece-
sita un servicio RPC, esta se contacta con el portmapper que ejecutara el servicio e in-
formara al cliente a que puerto debe dirigirse.
Paso 4: Hacking NT, 2K, 2003.
Parte 1 de 2
Los sistemas operativos Windows han sido el blanco
preferido de las actividades de los hackers. Existen varias
razones. En lo que sigue analizaremos el porqué de esto y Otro factor, viene pegado al
hecho de ser muy fáciles de
mostraremos las metodologías y herramientas que se uti- usar y contener muchas aplica-
ciones. La simplificación en el
lizan al momento de comprometer nuestros sistemas y uso del sistema operativo
redes. Esto nos enseña cómo defendernos. también hace sencillo el uso de
herramientas para atacarlo. La
Ya hemos recorrido: Sessions o Login anónimo",
Indice gran cantidad de aplicaciones
"Rainbowcrack : "la herramien-
que trae por default amplía el
Paso 1: Footprinting ta" para crackear los pass-
número de posibles vulnerabili-
Paso 2: Scanning words de los sistemas opera-
PARTE 1 Paso 3: Enumeración tivos Windows"
dades a encontrar.
1. Introducción Tanto en los medios como en la

Lo primero que debemos PARTE 1 ficción se obtiene la idea de
comprender es que cual-
2. Ataques NO autenticados que la mayoría de los ataques
quier hacker buscará tener 1. Introducción son externos a las redes de las
A. Debilidades de SMB privilegio de Administrador
empresas.
/CIFS o System. Una vez obte-
Los sistemas operativos
nidos estos es el dueño ab-
Windows conforman gran parte Esto no es así. La mayoría de
a) Password guessing soluto.
de los sistemas de la mayoría los ataques son conducidos por
de la redes en las empresas. gente dentro de la empresa y
b) Espiando en la red los Poder acceder a una cuenta
Esta popularidad los ha hecho que tienen acceso a la red.
passwords: L0phtcrack. de usuario común sólo le
blanco de las actividades de
sirve al hacker para luego
hacking en los últimos años.
B. Ataques sobre IIS realizar lo que se denomina
Realizados los paso de foot-
"escalada de privilegios".
Desde 1997 en que Hobbit printing, scanning y enu-
publicó un artículo sobre las meración (que describimos en
Es decir, el target del
vulnerabilidades (ver nota en los pasos 1 a 3) el hacker
hacker es tener los privile-
este artículo) en NETBIOS pasará a intentar comprometer
gios de ADMINISTRADOR.
/CIFS/SMB y LM (los protoco- (hackear) el sistema (computa-
Dueño absoluto, robará
los sobre los que los sistemas dora) elegido.
PARTE 2 cuanta información encuen-
Windows basan su conectivi-
tre y finalmente esconderá
dad, compartición de archivos, Para esto existen diferentes
sus huellas. Si le interesase
3. Ataques autenticados y autenticación) el número de herramientas que automatizan
volver en un futuro, insta-
"exploits" ha sido muy grande. la acción (algunas son comer-
lará los llamados backdoors
a) Escalada de privilegios o prepará todo para permi- ciales y otras pueden bajarse
Microsoft ha sistemáticamente de Internet).
tirle acceso remoto.
corregido las vulnerabilidades
b) Sondeo y robo para dominar encontradas y los nuevos sis- En este artículo, describiremos
En este artículo estudiare-
toda la empresa (pilfering) temas operativos Windows han más las ideas básicas y
mos las metodologías, las
logrado una madurez, siempre algunas herramientas como e-
vulnerabilidades conocidas
que estén bien configurados.
c) Control Remoto y Back y las herramientas que se jemplos de modo de poder en-
pueden utilizar para com- tender el"big picture" de este
Doors. Mencionemos solamente las
prometer sistemas y redes tema. No daremos detalle de
completas. mejoras que Windows 2000 cada herramienta disponible
d) Redireccionamiento de /2003 trajo sobre Windows NT: (que son muchas).
puertos A menos que ya conozca IPsec, EFS, Group Policies,
del tema, le recomendamos Security Templates, RADIUS y Aquel interesado las podrá en-
e) Borrado de huellas complementar con la lectura autenticación Kerberos. contrar por ejemplo bien des-
de los artículos relaciona- criptas en la 4ta edición de
dos a cuentas de usuarios Quizás uno de los factores que "Hackers Exposed" (Mc Graw
y passwords en Funda- Hill- Osborne, www.hackingex-
hacen más difícil resolver muchos
mentos de seguridad posed.com) (si compra la
problemas, es la necesaria compat-
Informática de esta colec- versión en español le adverti-
ción: "El gran debate pass ibilidad con sistemas operativos lla-
mos que la traducción es
phrases versus passwords", mados legacy (DOS/Windows paupérrima).
"Kerberos", "Entendiendo Null 1.x/3.x/9x/Me).
El hacker, muy probablemente comprome- En los paso a paso anteriores (en la enu- Auditing Tool), NTInfoScan.

terá primero una máquina no muy crítica meración por ejemplo) hemos visto que CyberCop Scanner de Network Associates
(por ejemplo usada como desktop) en la gracias a las "null sessions" y mediante el Inc. que incluye la utilidad SMBGrind
organización y una cuenta de un usuario comando de línea "net use" era posible
común. Este será un ataque No autentica- obtener la lista de usuarios de la máquina. Como evitar adivinanza de passwords
do.y el primer escalón. El segundo, será También existen herramientas completas
hacer lo que se denomina "escalada de para hacer esto. Netcat, DumpACL, Si nuestra máquina no cumple funciones
privilegios". Aquí realizará ya un ataque DumpSec de Somarsoft Inc. y sid2user o de file server y es un host de Internet lo
autenticado. Intentará obtener la cuenta user2sid de E. Rudnyi. Conocido el UID más conveniente es bloquear el acceso a
ADMINISTRATOR de la máquina conquis- sólo queda adivinar la contraseña. los puertos TCP y UDP 135-139 en el fire-
tada. Si logra esos privilegios muy proba- wall o router de nuestra red. También de-
blemente, desde esa máquina, intentará Equivalente a lo anterior es usar el sactivar WINS.
proyectarse a servidores más importante comando net use en el cmd prompt como
(hará sondeos y robos en la red , en inglés se muestra en la figura 1 También podremos setear una serie de ac-
"pilfering") hasta finalmente lograr hackear ciones relacionadas a los passwords.
el total de la empresa. Dejará posibili- Bloqueo de
Microsoft Windows 2000 [Version 5.00.2195]
dades de acceder en forma remota y back c u e n t a s
(C) Copyright 1985-2000 Microsoft Corp.
doors para visitas futuras o redireccionará después de un
puertos. El muy experto, logrará borrar sus C:\>net use \\192.168.7.18\IPC$ * /user:Administrator número fallido
huellas de modo de que nadie advierta su Type the password for \\192.168.7.18\IPC$: de intentos,
conquista. forzar políticas
Figura 1. de passwords
2. Ataques NO autenticados ¿Pero es posible automatizar a nivel de empresa y exigidas a cada
este proceso de "adivinar" los passwords?. usuario de modo que cumplan ciertos req-
Sí, empleando el comando FOR en el uisitos. Por ejemplo, la figura 3 nos
A. Debilidades de SMB /CIFS comand prompt. muestra la GUI donde se setean estos
Podemos generar un archivo con nombres parámetros en W2K.
de usuario s y contraseñas que pediremos
desde el command prompt como muestra Existen 2 herramientas passfilt y passprop
a) PASSWORD GUESSING
la figura 2. que debemos discutir en este contexto:
Lo que pedimos es que se analice el
GUESS en inglés significa "adivinar".
archivo uidpass.txt y extraer los primeros 2 Passfilt: fuerza políticas de passwords
elementos de cada línea. El primero queda fuertes. Viene instalado por default en
Uno puede sentarse frente a una máquina
el %i y el segundo en %j. net use usará en- W2K, pero no está habilitado. Si lo activa-
y comenzar a adivinar UID (nombre de
tonces las variables %i y %j mos servirá para exigir cierto nivel de
usuario) y su password. A menos que
passwords en la empresa.
tengamos una suerte increíble este archivo uipass.txt
proceso es muy improbable de conducir al
Passprop: Recordemos que la cuenta del
éxito. usuario1 ted
administrador es lo más buscado por el
Pero, si el servicio NETBIOS session con usuario2 pepe
hacker. Esta cuenta (RID 500) no se
su puerto TCP 139 están activos, podré
ver recursos compartidos en la máquina
Microsoft Windows 2000 [Version 5.00.2195]
victima desde otra máquina simplemente
haciendo en Start->run
\\192.168.1.6\IPC$ (recordar que IPC$, C$

o ADMIN$ por ejemplo son recursos com- C:\>FOR /F "tokens=1,2*" %i in (uidpass.txt)
partidos "hidden" casi siempre expuestos do net use \\192.168.0.8\IPC$ %i /u:%j
en Windows).
C:\>net use \\192.168.0.8\IPC$ te d /u:usuario1
System error 1219 has occurred.
Esto nos traerá la GUI siguiente:
The credentials supplied conflict with an existing set of credentials.
C:\>net use \\192.168.0.8\IPC$ pepe /u:usuario2

System error 1219 has occurred.
The credentials supplied conflict with an existing set of credentials.
Allí podremos probar nuestra suerte nue-

vamente tipeando. Figura 2. puede bloquear por defecto, de modo que
un atacante podrá probar passwords en
Por supuesto, este ejercicio se simplifi-
Existen numerosos programas especiales forma indefinida sin que la cuenta se
caría si ya conociésemos el UID. Es decir
que pueden realizar esta acción automatiza- bloquee. Passprop, es una herramienta
nombres de cuentas de usuarios.
da: que viene con el REsource Kit de los
De costo cero Legion y NAT (NetBIOS sistemas operativos Windows y nos
permite que se pueda realizar el bloque de Identificación, Autenticación, Autorización y 1. un logon a la red de la empresa
ADMINISTRATOR. Responsabilidad (Accountability). 2. cuando accede remotamente a la red de

la empresa (dial-up o mediante una VPN a
Auditoria y event logs. Los sistemas op- Cuando un sujeto (entendido como un través de Internet)
erativos Windows producen logs (reg- usuario, un programa o un proceso) desea 3. Acceso a un web-server desde su web-
istros) de muchas acciones: Application acceder a un recurso, muchas veces se browser en una intranet o desde internet.
logs, System logs, security logs. Además utiliza la palabra "autenticación", engloban- 4. Acceso wireless a un access point.
es posible activar auditorías. do cuatro procesos: Cada uno de ellos tiene sus métodos y pro-
Simplemente habilitando las Existen infinidad de tocolos de autenticación.
auditorías no es suficiente. herramientas en Identificación: describe el
Uno debe examinar regular-
Internet que nos fa- método de asegurarme que Protocolos de autenticación de
mente los logs buscando ev- el sujeto existe en la base acceso a una red (caso 1. del
idencias de intrusión. cilitarán información de datos de los sujetos que
Analizar los logs manual- pueden acceder a los recur-
párrafo anterior) bajo sistemas
mente puede ser muy tedioso. Pero, la her- sos. Esto se logra tipeando el UID o operativos Windows
ramienta Event Viewer nos permite filtrar número de cuenta.
por día, tipo, fuente, categoría, usuario, Los siguientes protocolos son soportados
computadora y ID del evento. Autenticación: el sujeto debe proveer un por Windows NT: LAN Manager (LM),
segundo elemento identificatorio. Puede NTLM, NTLMv2. Windows 2000-2003 y XP
IDS (Intrusión Detection System) ser su password, passphrase, llave crip- usan Kerberos v5 como el método de aut-
Sistema de Detección de Intrusos: Un tográfica, un PIN (Personal Identification enticación por default si utilizan Active
sistema de detección de intrusos o IDS es Number), atributo anatómico o un token. Directory (AD). Ya que es muy posible que
una herramienta de software empleada Estas dos piezas son comparadas con la en nuestra infrestructura tengamos
para detectar el acceso no autorizado a un información almacenada anteriormente en clientes "legacy" (Windows 95,98 etc) NT,
sistema de computación o a una red de la base de datos sobre este sujeto. Si Windows 2000/2003 y XP también sopor-
computadoras. Nos dá la capacidad de existe coincidencia el sujeto está identifica- tan las autenticaciones anteriores (LM,
alerta en tiempo real. Referimos al lector do y autenticado. NTLM y NTLMv2). Hay que recordar que
al artículo "IDS (Intrusión Detection éstas son autenticaciones más débiles que
System)" de esta colección. El sujeto ahora intentará acceder a algún Kerberos y por lo tanto mucho más sencil-
las de comprometer.
En cada una de estas metodologías varían
la complejidad de los passwords permiti-
dos, el modo de transmitir la información
vía la red y dónde y cómo se almacenan
las passwords.
Passwords
Las passwords de los usuarios componen

uno de los riesgos más grande a la seguri-
dad de las redes. Este riesgo incluye: la
creación de las passwords, el modo en que
los usuarios las protegen, cómo el sistema
Figura 3. operativo las guarda y cómo las password
recurso o realizar alguna acción. ¿Tiene son transmitidas a través de la red.
b) ESPIANDO EN LA RED LOS PASS- asignado ese derecho o privilegio? (no
WORDS: L0phtcrack todos los sujetos autenticados podrán re- El sistema operativo es el responsable de
alizar las mismas acciones ni acceder a los guardar y transmitir a través de la red las
Adivinar los passwords es tarea dificil. Casi mismos recursos). El sistema buscará en "credenciales" (nombre de usuario y pass-
diríamos imposible de hacer si el admin- algún tipo de lista, matriz o etiquetas de se- word) para las cuentas.
istrador tomó recaudos en la elección de guridad que le dirán si está autorizado o
los passwords y hubo concientización del no. Este proceso se llama la Autorización Windows 2000/2003 y XP soportan una
manejo de los mismas por parte de los (por ejemplo: autorizado a leer informa- variedad de distintos protocolos para trans-
mitir las credenciales. También existen una
usuarios. ción, escribirla, en qué horarios, etc.)
variedad de formas de guardar las creden-
Pero hoy los usuarios y sistemas envían ciales.
su autenticación a través de la red a los Responsabilidad (Accountability): el
servidores. Un simple programa que sujeto deberá ser responsable de sus ac- Historia de L0phtcrack
sniffee (en inglés " to sniff" significa ol- ciones. En el sistema que él accede exis-
fatear y que se entiende como la acción tirán log files y medidas de monitoreo y au- Hace unos años The L0pht mostró la debil-
de estudiar y reconocer los paquetes de la ditoría donde se registrarán todas las ac- idad de la autenticación LM de Windows.
red) nuestra red nos dará información de ciones que realice el sujeto. L0pht introdujo su programa de crackeo de
los passwords. Pero, existe una her- passwords. Y, se transformó en el progra-
ramienta que hace precisamente esto: Instancias de autenticación. ma más popular de password-craking del
L0phtcrack (LC). Entendamos entonces sistema operativo Windows. L0phtcrack
los mecanismos de autenticación de los Existen muchas instancias en las que un LC5 (ver atstake INC., www.atstake.com), es
sistemas operativos Windows, sus debili- usuario debe autenticarse en una red. una herramienta administrativa muy res-
dades y veamos qué hace LC. Entre otras: petada y LM ha sido reemplazada por
NTLM, NTLMv2 y Kerberos v5. Pero, hoy Protocol) en VPNs. (ver http://packetstorm- "escalada de privilegios".

LC5 ha sido superado por Rainbowcrack. security.com/sniffers/ppptp-sniff.tar.gz)
Ya obtenidos privilegios de administrador,
Sniffing de nuestra red al auten- Contramedidas: evitar que la autenticación lo que sigue es lo que llamanos un sondeo
ticarse los sistemas y usuarios. LM ocurra. Lea un detalle de esto en el y robos para dominar toda la empresa (en
artículo: ""Rainbowcrack : "la herramienta" inglés se lo conoce como "pilfering"). El
L0phtcrack incluye una herramienta para crackear los passwords de los sis- paso que sigue será muy probablemente
llamada SMB Packet Capture que nos temas operativos Windows" y Pass
elimina la necesidad de poseer el archivo phrases vs passwords" en esta colección. HIDDEN SHARES (recursos
dónde se hallan las passwords. Escucha compartidos ocultos)
en nuestra red local y captura las sesiones B. Ataques sobre IIS
individuales de login entre máquinas que En el SO Windows Server uno encuentra
corren WINDOWS. Saca la información Cuando salió W2K Microsoft IIS 5.0 se in- varios "shares"(recursos para compartir)
pertinente que le exporta al programa prin- stalaba por default. El puerto 80 aparecía que fueron creados sin nuestra interven-
cipal de L0phtcrack que se encargará de abierto y NO todos eran concientes de ción. La mayoría de estos shares son
"hidden" (ocultos) y se los nombra con $ al
crackear el password. esto. La explotación por parte de los
final. Ejemplos: C$.D$, ADMIN$.
Recordemos que ahora el tiempo hacker de vulnerabibilidades utilizando el Existe un "share" muy particular que
disponible es infinito y no se bloquean las puerto 80 fueron devastadoras. Windows debemos entender: IPC$. Es quizás, uno
cuentas.!!!! SERVER 2003 trae IIS 6.0 (una versión de los shares mas usados en comunica-
corregida) y además el ADMINISTRATOR ciones entre servidores. ¿Por ejemplo,
En un artículo próximo veremos el detalle deberá levantar IIS si así lo desea. cómo leemos los "event logs" en otra
de cómo funciona L0phtcrack para hallar computadora?. Uno no mapea un "drive"
el password cuando en realidad el hash En otro artículo de esta colección sino los llamados "named pipes": un
analizaremos en detalle WEB SERVER pedazo de la memoria que maneja la co-
nunca cruza la red. Recordemos que LM y HACKING y WEB APPLICATION municación entre procesos ya sean
sus variantes usan una autenticación chal- HACKING.
locales o remotos
lenge/response.
COMO SIGUE ESTA HISTORIA
En resumen, si puedo sniffear la red por un (ver PARTE 2)
utilizar herramientas para crear los llama-
tiempo suficiente es casi seguro que puedo dos "backdoors" o herramientas de control
obtener la cuenta de ADMINISTRATOR en Supongamos haber podido comprometer
remoto y rediraccionamiento de puertos.
pocos días. un Server W2K, conociendo el uid de un
Es decir tener a disposición la red cuándo
Si tiene dudas de cómo se puede realizar usuario sin privilegios y su passwords.
y cómo la desee. NETCAT (llamada la
esto en una red switcheada, la respuesta Esto es un logro, pero nuestra objetivo es
navaja suiza de las herramientas de se-
es "técnicas de ARP spoofing" que detal- ser ADMINISTRATOR o que la cuenta
guridad, se destaca entre todas y la
laremos en otro artículo. tenga los privilegios (es decir pertenecer al
veremos en detalle en un artículo especial
grupo de Administradores) de
bajo TOOLS. Al igual que un robo sofistica-
La gente de L0pht ha incluso elaborado un Administrador. A partir de aquí los ataques
do, el hacker intentará borrar sus huellas
sniffer que saca los passwords de son autenticados.
como paso final. Su acción ha sido devas-
WINDOWS de conexiones que usan el El proceso de pasar de usuario común a
tadora.
protocolo PPTP (Point to Point Tunneling tener privilegios de Administrador se llama
Paso 5: Alguien ha hackeado mi S.O. Windows
Por Carlos Vaughn OConnor
No es fácil saber si nos han hackeado y menos aún cómo ser bajada de www.insecure.org).
ni quién. Existen otras alternativas. Por
ejemplo Microsoft sacó una nueva
¿Qué hacer?, ¿Cómo abordar el problema? En este artículo le enseñamos versión de portqry (http://support.mi-
dónde buscar los códigos maliciosos que el hacker ha instalado. crosoft.com/default.aspx?scid=kb;en
-us;832919#2, ver tambien los
artículos de Mark Minasi sobre el
Si nuestra máquina (sea una terminado momento se activa tema.
Workstation o server) corriendo un abriendo un puerto y muy posible-
Sistema Operativo Windows ha sido mente estableciendo una conexión 2. Detectar posibles usuarios NO
comprometida (se dice también con nuestro enemigo. autorizados
hackeada), muy probablemente
estará muy lenta o tendrá una canti- Correr en command prompt: Es muy común que en un
dad de tráfico en su placa de red i- nestat -a
sistema hackeado aparezcan
nusualmente grande. En general que nos dice qué conexiones y
NO es fácil saber si nos han hackea- puertos en escucha tiene nuestra usuarios creados por el hacker.
do y menos aún cómo ni quién. máquina (la víctima). Normalmente con privilegios de
administradores. Es muy prob-
¿Qué hacer?, ¿Cómo abordar el En la figura 1. vemos una lista de los able que estén incluídos en
problema? En este artículo le en- puertos que aparecen abiertos en un grupos privilegiados. Ud en-
señamos dónde buscar los códigos servidor Windows 2000. Por contrará la lista de usuarios y
maliciosos que el hacker ha instala- supuesto, otros puertos pueden a- grupos en "local users and
do. parecer abiertos dependiendo de los groups" o si está en un entorno
A continuación detallamos tres ac- servicios que tengamos corriendo. de Active Directory en "active
ciones importantes a seguir: Debemos saber, qué la salida que
Directory users and comput-
1. Detectar qué puertos tiene a- nos muestra netstat puede estar
biertos nuestro sistema víctima y modificada por el mismo programa ers".
determinar cuáles pueden ser que nos hackea. Por eso, debemos En ambos casos lo que
sospechosos. correr en forma complementaria, debemos hacer es chequear
los usuarios y los grupos tratan-
Microsoft Windows 2000 [Version 5.00.2195] do de identificar los NO autor-
izados.
C:\Documents and Settings\Administrator>netstat -a
3. ¿Dónde buscar el progra-
Active Connections ma hackeador de modo de
detenerlo?
Proto Local Address Foreign Address State
TCP server1:smtp cor-81:0 LISTENING Destaquemos que cada hack es
TCP server1:http cor-81:0 LISTENING
único. Pero existen ciertos "patterns"
TCP server1:epmap cor-81:0 LISTENING
TCP server1:https cor-81:0 LISTENING comunes a la mayoría de los casos.
TCP server1:microsoft-ds cor-81:0 LISTENING
TCP server1:1025 cor-81:0 LISTENING >>A. Registry Subkeys (Tipo run)
TCP server1:1027 cor-81:0 LISTENING
TCP server1:1030 cor-81:0 LISTENING Debemos revisar en las lla-
TCP server1:1058 cor-81:0 LISTENING madas "Registry subkeys". En
particular en aquellas que
TCP server1:1400 cor-81:0 LISTENING hacen correr (run) programas.
TCP server1:3372 cor-81:0 LISTENING Cualquier programa que Ud.no
TCP server1:3468 cor-81:0 LISTENING reconozca es un enemigo po-
TCP server1:4662 cor-81:0 LISTENING tencial. Si sospecha vaya a
TCP server1:6711 cor-81:0 LISTENING google y haga una búsqueda
TCP server1:6715 cor-81:0 LISTENING sobre el nombre de ese progra-
ma para ver que encuentra.
C:\Documents and Settings\Administrator> Los lugares más comunes
donde están alojados estos
programas son:
Figura 1 desde otra máquina un scanner de
Recordemos que el hacker pudo puertos sobre la nuestra. La her- C:\windows y
haber instalado un "backdoor", un ramienta más popular es Network
"troyano" o un "Root Kit" que en de- Mapper (nmap) de Fyodor ( puede C:\windows\system32
>>C. Carpeta Startup

Las Registry Subkeys a investigar son:
Haga una revision de:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Documents and Settings\All Users\Start
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Menu\Programs\Startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices C:\Documents and Settings\user_name\Start
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce Menu\Programs\Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (tenga cuidado de tener las cosas configuradas de
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce modo que le muestre los "hidden files" también).
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce Chequee en:
C:\windows\tasks
Estas llaves (validas desde Windows 9x a Windows Server 2003) instruyen a la máquina víctima a
correr los programas. Vaya a: Start/run/ y ejecute regedt32.exe. En cada una de las registry subkeys >>E. Win.ini
antes detallada verá en el panel de la derecha los programas que se activan y donde se hallan ubicados.
Algunos codigos maliciosos pueden estar
Para el caso particular de NT, W2K, XP y W2003 deberá además chequear la subkey: ocultos en: C:\windows\win.ini en la sección:
[windows]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\run Run=
Load=
Las siguientes subkeys son menos comunres paro también utilizadas por los hackers:
>>F. System.ini
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command Es posible que un hacker use comandos de shell
HKEY_CLASSES_ROOT\exefile\shell\open\command buscando programas en: C:\windows\system.ini
HKEY_CLASSES_ROOT\htafile\shell\open\command Busque en
HKEY_CLASSES_ROOT\piffile\shell\open\command [boot]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command shell=explorer.exe<nombre del programa>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command Existen otros lugares utilizados por los hackers
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htafila\shell\open\command pero estos son los más comunes.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command Existe una herramienta de la empresa
Sysinternals (Freeware) que nos indica qué pro-
Si aparece otro valor que el por "default" (por defecto) : "%1"%*, sospeche que es un programa de hackeo. gramas se cargan al bootear nuestro sistema.
(www.sysinternals.com/ntw2k/freeware/autorun.s
>>B. Registry subkeys de Servicios. html). Muy recomendable (ver nota adjunta)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Es importante resaltar que es casi imposi-

ble limpiar completamente una computa-
Las entradas debajo de estas llaves especifican los servicios de su sistema. Uno puede dora hackeada. La única forma de estar
ver los servicios mediante una herramienta grafica. Pero tenga en cuenta que algunos 100% seguro de que una computadora
servicios (llamados Type 1.) no aparecerán. Ni tampoco algunos puestos por quien nos esté limpia es formatear el disco rígido y
hackea. Lo más sensato es realizar una comparación con otra máquina con el mismo SO reinstalar la máquina desde cero.!!!
y que estemos seguros no está comprometida.
¿Qué son Root Kits?

Son programas silenciosos (stealth programms) que corren a nivel del SO. Abren puertos en la máquina comprometida de modo que
un intruso puede hacer una conexión remota.
Conforman una colección de herramientas que permiten a un hacker crear un backdoor a un sistema. Una vez instalado coleccionar
información sobre otros sistemas en la red, capturar passwords y mtrafico en la red, esconder el hecho que el sistema está compro-
metido, etc.
¿Qué es un backdoor ?
Un mecanismo oculto en software o hardware que puede ser activado de modo de permitir evitar mecanismos de protección a sis-
temas. Proveerá en general, acceso con muchos privilegios o totales al sistema ya sea con una cuenta o desde una cuenta más re-
stringida. Es activado, de un modo de apariencia inocente. Por ejemplo, una secuencia de llaves en una terminal. Otra alternativa
podría ser enviando un paquete específico a un puerto determinado. Los desarrolladores de software muchas veces introducen
backdoors en sus códigos de modo de permitirles entrar en el sistema y realizar ciertas funciones (a veces se llama mantainence
hook, gancho de mantenimiento). Los backdoors son dejados muchas veces en sistemas de producción por diseño y pero a veces
por accidente. Como sinónimo se utiliza trapdoor.
¿Qué son Troyanos?

Un Troyano (también llamado Trojan horse, caballo de Troya) es un programa (software) en el cuál código malicioso o dañino está
contenido dentro de otro progre (en apariencia inofensivo). Cuando este programa se ejecuta, el Troyano realiza una serie de ac-
ciones, normalmente realizando acciones de modo de poder persistir en el sistema víctima. Los Troyanos permiten además a los
hackers a abrir bacdoors (puertas traseras) en nuestro sistema, dándoles acceso a los archivos y conectividad a nuestra red.
AUTORUNS una de las SYSINTERNALS Tools
(UN FREEWARE INDISPENSABLE EN LA SEGURIDAD WINDOWS)
Todo aquel que sea un profesional en IT conoce el nombre de Mark Russinovich. Mark es un editor y autor de la revista Windows IT
Pro en US (www.windowsitpro.com) y Arquitecto de Software para la empresa Winternals Software Co-autor de libro Windows in-
ternals de Microsoft Press y de muchas utilidades como Process Explorer, Filemon y Regmon (ver www.sysinternals.com)
¿Qué es AUTORUNS?
Autoruns es una utilidad que tiene el más completo conocimiento de donde están ubicadas los programas llamados auto-start.
Autoruns, muestra qué programas están configurados para correr (run) durante el llamado boot-up del sistema (arranque) y poste-
rior login de un usuario. Nos muestra las entradas en el orden en que Windows las procesa (en el Start-up del sistema y logon del
usuario). Estos programas incluyen aquellos en la carpeta startup, Run, RunOnce y otras Registry Keys. Uno puede configurar
Autoruns de modo de que nos muestre otras locaciones, incluyendo extensiones del shell de Explorer, toolbar (barras de tareas), los
llamados browser helper objects, notificaciones Winlogon, servicios auto-start y muchos más. Autoruns supera lejos la herramienta
de Microsoft MSConfig que viene instalada en Windows Me, XP y Windows Server 2003.
Posee una opción, Hide Signed Microsoft Entries (Esconda las entries firmadas por Microsoft) que nos permite concentrarnos sola-
mente en las llamadas auto-starting images de terceros y que han sido agregadas a nuestro sistema posteriormente a la insta-
lación. Tambien está incluído en el paquete que se puede descargar libremente de la web un equivalente que nos permite trabajar
en línea de comandos y cuya salida está en formato CSV (autorunsc).
La figura 1 nos muestra un screenshot del display de Autoruns.Su utilización es muy sencilla y puede llevar 2 minutos aprender su
uso. Una opción interesante es dehabilitar un dado programa al Stara-up con sólo destildar el correspondiente casillero. En el
proximo re-start de la máquina esa aplicación no corre más en forma automática y siempre puedo volver a activarla.
Para remarcar: Autoruns nos indica el orden en que los programas son lanzados por el SO. Recordemos que los programas lanza-
dos primero pueden ser sobre escritos por otros que comiencen a posteriori.
Si nos interesa conocer detalle del entry, en el registry de la imagen correspondiente, la empresa que la creó o el path al archivo de
la imagen, podemos hacer doble clic sobre ese entry. Si hacemos boton derecho, existe la opción google que buscará en internet
información sobre la aplicación de nuestro interés. Esto es muy útil al momento de búsqueda de un posible hack en nuestro sistema.
Muy probablemente, si lo corre, se sorprenderá de cuantos ejecutables se largan automáticamente!!.
Autoruns corre en todas las versiones de Windows.
Se descarga de www.sysinternals.com.
Seguridad Wireless
Quizás la fuente de riesgo más significativa en una red inalámbrica sea el hecho, que
el medio sostén de las comunicaciones, ondas electromagnéticas en el aire, están
disponibles para los intrusos, siendo equivalente a tener puertos Ethernet
Por Leonel Becchio redes inalámbricas que comunican datos tienen los dispositivos:
asignadas bandas de frecuencias diferentes a ad hoc o de peer to peer (entre pares), donde
las de la radio comercial AM y FM. Estas últimas un dispositivo se comunica directamente con
Introducción son licenciadas y las emisoras deben pagar por otro de su misma especie sin la intervención de
su uso. Las redes inalámbricas hogareñas o em- un dispositivo central (ver Figura 1).
En 1999 el Standard 802.11b fue aprobado por
la IEEE. Así nacen las WLANs (Wireless LANs
(Local Area Networks)). Las computadoras
podían interconectarse en red con un buen
ancho de banda sin tener que estar conectadas
por cables. Surgió la posibilidad de conectar
múltiples computadoras en el hogar compartien-
do una conexión a Internet común. O, juegos en
red que podían realizarse sin necesidad de
cables y conexiones costosas y complicadas.
En la empresa la conectividad wireless y la a-
parición de dispositivos más reducidos permitían
estar en reuniones o seminarios y aún poder
estar realizando tareas como si estuviesemos
sentados en nuestro escritorio. Surgió una era
de elegancia del trabajo en red donde con una
laptop y desde cualquier lugar es posible
acceder a los recursos informáticos de la
empresa o Intenet.
Pero que sucede con la seguridad y los riesgos
de esta nueva tecnología wireless.(inalámbrica).
Algunos de estos riesgos son similares a aquel-
los en redes por cables. Algunos están magnifi-
cados bajo una tecnología wireless. Algunos son
nuevos. Quizás la fuente de riesgo más significa-
tiva en una red inalámbrica sea el hecho, que el presariales tienen asignadas la banda de mi- Figura 1.
medio sostén de las comunicaciones, ondas croondas, banda en la que operan, entre otras
electromagnéticas en el aire, están disponibles cosas, los hornos a microondas y algunos telé- de infraestructura, donde la comunicación entre
para los intrusos, siendo equivalente a tener fonos inalámbricos. Esta banda es de uso libre dispositivos se realiza a través de un equipo central
puertos Ethernet disponibles a cualquiera, en por lo que se desarrollaron diferentes técnicas concentrador de datos conocido como access point
nuestra vereda. para minimizar la interferencia de las redes con o punto de acceso que generalmente está conecta-
otros dispositivos que operan libremente en do a una red cableada que hasta le permite acceso
Las comunicaciones inalámbricas son posibles dicha banda. Dentro de esta gama de frecuen- a Internet o una red corporativa. (ver Figura 2).
gracias a las ondas electromagnéticas que cias una muy típica es la de 2,4 GHz (Giga Hertz)
pueden desplazarse a gran velocidad por el aire cuyos campos oscilan a razón de 2.400 millones Figura 2.
e incluso por el vacío. Estas ondas no son ni más de veces por
ni menos que campos eléctricos y magnéticos segundo en
que oscilan en cuadratura, es decir perpendicu- todas las direc-
lares entre sí, a una frecuencia dada. Por fre- ciones.
cuencia entendemos que lo hacen con cierta
regularidad, una cierta cantidad de veces por Una red local i-
segundo y siempre de la misma manera. Por nalámbrica o
ejemplo, si nos remitimos a una estación emisora WLAN (del
de radio FM, ésta transmite a una cierta frecuen- i n g l é s ,
cia, digamos 105.5 MHz (se lee Mega Hertz). Su Wireless Local
antena transmite y la nuestra recibe campos Area Network)
electromagnéticos que oscilan a razón de ¡105,5 tiene dos
millones de veces en un segundo! modos posi-
bles de comu-
Este ejemplo es para que Ud. tenga una idea de nicación entre
lo que sucede en el aire. Pero resulta que las
Las especificaciones para el armado de una penetrar. A pesar de que no existe una red com- mente de quién dice ser. Por encriptación se en-

WLAN fueron establecidas en 1999 por el IEEE pletamente segura, lo que se trata de lograr es tiende que es el hecho de desmenuzar y dis-
(Instituto de Ingenieros Eléctricos y Electrónicos) una red con la máxima seguridad posible. frazar la información para que su lectura resulte
bajo el estándar 802.11. Uno de los estándares incomprensible a aquel que no es el destinatario
utilizados hoy en día es el 802.11b que, entre Service Set Identifier (SSID) del mensaje.
tantas cosas, define una frecuencia de trabajo de
2,4 GHz, una distancia operativa que ronda los Es un parámetro utilizado para diferenciar una Tipo de autenticación
100 metros y una tasa de transferencia de datos red de otra. Inicialmente los ACCESS POINTS lo
de 11 Mbps (mega bits por segundo). El están- traen configurado por defecto según su marca
comercial. Por ejemplo, todos los ACCESS Antes de que cualquier otra comunicación se
dar IEEE 802.11 y sus variantes a, b, g, h son lleve a cabo entre un cliente wireless y un
POINTS Cisco vienen configurados como
conocidos como Wi-Fi por Wireless Fidelity ACCESS POINT, ellos comienzan un diálogo.
Tsunami. El hecho de no cambiar el SSID por
(Fidelidad inalámbrica). defecto hace que la red sea mucho más fácil de Este proceso se conoce como asociación.
El modelo de infraestructura es el más utilizado a detectar. Otro error muy común es asignarle Posterior a esto existe una etapa de autenti-
causa de que se implementa toda la seguridad nombres significativos como el nombre de la cación donde el cliente debe acreditarse frente al
en torno al dispositivo central o ACCESS POINT. empresa o el departamento al que pertenece el ACCESS POINT y éste debe asegurarse de que
El estándar define 15 canales que pueden ser u- ACCESS POINT o algún nombre igualmente
tilizados para realizar la comunicación. Cada aquel es quién dice ser. Esto agrega una protec-
adivinable. El SSID debería de ser creado con ción extra frente al mero uso de SSID. La auten-
placa de red ubicada en cada computadora las mismas reglas para la creación de PASS-
rastrea cada uno de los 15 canales en busca de ticación puede ser de dos tipos:
WORDS, es decir, poseer cierta cantidad de car-
una WLAN. Tan pronto como los parámetros acteres como mínimo, incluir caracteres al-
configurados en el cliente y en ACCESS POINT autenticación abierta.
fanuméricos y simbólicos y no contener nombres
coincidan, éstos iniciarán la comunicación y la autenticación de clave compartida.
fácilmente adivinables, etc.
computadora cliente pasará a formar parte de la
red. Los canales son rastreados por la placa de Por defecto el ACCESS POINT difunde el SSID La más simple y por defecto es la autenticación
red y configurados en el ACCESS POINT. varias veces por segundos. La ventaja de esto abierta donde cualquiera puede iniciar una con-
Algunos modelos sólo permiten el uso de 11 es que los usuarios autorizados encuentran con versación con el ACCESS POINT pues no
canales únicamente. facilidad la red, pero también la encuentran aque- provee seguridad alguna. Cuando se utiliza aut-
llos que no lo son. Este rasgo es lo que permite enticación de clave compartida, el cliente le envía
Seguridad a las WLAN ser detectadas por la mayorías de al ACCESS POINT una solicitud de asociación,
los software de detección sin conocer su SSID. acto seguido el ACCESS POINT le contesta en-
Es muy evidente que si las ondas electromag- La forma en que los ACCESS POINTS dan a viándole una cadena de texto de desafío que el
néticas se propagan en todas las direcciones pu- conocer el SSID es a través de la publicación al cliente debe encriptar y devolver. Si el texto fue
diendo atravesar obstáculos como paredes, aire de información como si se tratara de una encriptado correctamente, al cliente se le permite
puertas y ventanas, la seguridad de nuestra especie de faro o baliza por lo que dicha informa-
empresa se verá seriamente comprometida. comunicarse con el ACCESS POINT pudiendo
ción se la conoce como tramas beacon (del
inglés, baliza, faro). pasar a la próxima etapa de seguridad.
Actualmente la empresa inglesa BAE Systems
se encuentra desarrollando una cobertura para Figura 3. (Configuración del SSID y el modo de La debilidad de esta etapa reside en el envío por
paredes capaz de filtrar las frecuencias que comunicación en el cliente wireless) parte del ACCESS POINT de la cadena de texto
utiliza Wi-Fi dejando pasar aquellas destinadas a en forma plana (sin
radio y comunicaciones celulares. El material, encriptar). Si un ata-
una suerte de capa de cobre sobre un polímero cante conoce la
llamado Kapton, posee el mismo tratamiento que cadena de texto
los circuitos impresos y hasta ahora era utilizado plano y la cadena
en aviones de combate. El panel tendrá un después de haber
espesor de 50 a 100 micrones (milésimas de
sido encriptada,
milímetro) y podrá ser aplicado a la mayoría de
las superficies incluso vidrio. Aunque aún no se puede fácilmente
encuentra a la venta, la compañía asegura que conocer la clave
no costará caro y lo comercializará a través de compartida. Como
sus subsidiarias. veremos a contin-
uación, WEP y la
Ésta es una forma de evitar que el tráfico de autenticación de
nuestra empresa sea visto desde el exterior de la clave compartida u-
misma. Pero incluso existen otras técnicas que tilizan la misma
ayudan a que la información sea un poco más clave para encriptar,
difícil sino imposible de ser accedida desde el ex- de esta manera
terior. Imagínese que cualquier persona podría queda comprometi-
estar interceptando información desde la calle
da la seguridad
con una simple notebook adaptada con Wi-Fi,
pues un atacante
tiempo y voluntad y estar robándole los datos de
su clave bancaria mientras Ud. confía en que su podría descifrar
sistema es ¿seguro?. A este tipo de hacking se Si de seguridad de la información se trata, habit- todo el tráfico a y desde el ACCESS POINT.
lo llama Wardriving. ualmente se llevan a cabo dos procesos o técni- Irónicamente conviene configurar el modo de au-
cas que, en conjunto, minimizan el riesgo de tenticación como abierto y dejar que cualquiera
Medidas básicas de seguridad ingreso ilegal a una red. Los dos procesos son acceda al ACCESS POINT, recayendo en otros
autenticación y encriptación. Autenticación se métodos que manejen la seguridad. A pesar de
Existen una serie de medidas básicas a imple- refiere al hecho de verificar la identidad del que remover una etapa de seguridad pueda
mentar para lograr una red un poco más difícil de usuario para comprobar que se trata efectiva- parecer contradictorio, esta capa en particular
entorpece la seguridad más de lo que ayuda. ización (V I) de 24 bits se obtiene una A pesar de poseer un mecanismo al
nueva clave de 64 bits (40 + 24) mediante parecer tan cerrado, WEP ha sido
Si nos remitimos a la etapa de en- un algoritmo conocido como RC4. probado como poco eficiente pues su clave
criptación, existen diferentes técnicas, RC4 es poco segura. Las razones son
algunas del momento en que surgió el es- varias, pero explicaremos sólo algunas de
La información a transmitir se la combina
ellas.
tándar y otras actuales. con esta nueva clave bajo la operación
lógica OR-Exclusive (XOR) obteniéndose El primer ataque utiliza una vulnerabilidad
Wired Equivalent Privacy (WEP) paquetes totalmente encriptados. A esto se detectada en la limitación numérica del
le concatena el VI (en texto claro) nueva- vector de inicialización. A causa de sus 24
WEP fue pensado para darle a una red mente y se envía por ondas de radio toda bits de longitud, se pueden armar
wireless la seguridad que tienen las redes esta trama. De esta manera, el dispositivo 16.777.216 valores posibles (224).
cableadas. El proceso de encriptación receptor recibe dicho VI y puede mezclar- Mientras esto puede parecer mucho, tenga
lo con su clave estática y generar la clave en cuenta que 16 millones de paquetes se
WEP requiere el uso de una clave estática
transmiten en unas pocas horas en una
de 40 bits introducida por el usuario. de 64 bits para desencriptar el mensaje. El
red con mucho tráfico. Cada cierto tiempo
VI es generado por el transmisor y puede
el algoritmo genera el mismo vector de ini-
Como dicha clave será utilizada para des- cambiar con cada paquete transmitido, de cialización para ser reutilizado en la en-
encriptar el mensaje, es necesario que sea modo que cada paquete nunca sea encrip- criptación, por lo que mediante una
introducida en cada dispositivo de la red. tado con la misma cifra. escucha pasiva del tráfico encriptado se
Con dicha clave y un vector de inicial- Figura 4. puede determinar la clave WEP dada su
reiterada secuencia. Tenga en cuenta
además algo muy simple: el VI viaja en
texto claro (sin encriptar).
El segundo ataque se debe a la vulnerabil-

idad del algoritmo RC4 con ciertos vec-
tores de inicialización conocidos como
débiles. Parece ser que ciertos números
entre 0 y 16.777.215 no trabajan bien en el
mecanismo de encriptación RC4. Cuando
se los utiliza, los paquetes mal encriptados
pueden ser analizados matemáticamente
por funciones que revelan parte del código
WEP. Capturando una gran cantidad de
éstos, un atacante puede comprometer la
seguridad de la red.
Un tercer problema yace en torno a la ad-

ministración de las claves. Si se decide
usar WEP de acuerdo al estándar 802.11b,
se debe programar la misma clave WEP en
cada dispositivo cliente y ACCESS POINT.
Si por alguna razón esta clave se encuen-
tra comprometida (ya sea por empleados
despedidos, porque alguien la comunicó
por teléfono, o porque simplemente algún
atacante pudo adivinarla) se deberá repro-
gramar todo nuevamente en cada disposi-
tivo.
Esto no parece ser tan complicado si la

WLAN consta de pocos dispositivos. En
cambio si se trata de un campus universi-
tario o de una gran empresa, el trabajo de
cambiar las claves se convierte en una ter-
rible pesadilla. Reiteramos además que la
clave WEP es la misma clave que se utiliza
para codificar el modo de autenticación por
clave compartida, por lo que vulnerar ésta
en la primera etapa significa que se encon-
trará ya vulnerada en el proceso de en-
criptación, no resultando conveniente la
combinación clave compartida WEP.
idéntica a la clave estática WEP, la

WEP de 128 empresa Cisco introdujo la idea de que sea
bits generada dinámicamente y que posea una
vida corta. Esta característica no requiere
La empresa una instalación extra pues es de muy fácil
Lucent también implementación. El administrador debe es-
fue pionera en pecificar en el ACCESS POINT una canti-
el desarrollo de dad de tiempo, en segundos, y cada vez
una clave WEP que se inicialice el contador dicho
de 128 bits de- ACCESS POINT difundirá una nueva clave
nominada ¡pero encriptándola con la vieja!. Con
WEP Plus. estos parámetros no habrá el tiempo sufi-
Esto incremen- ciente para que un atacante pueda inter-
ta de 40 bits a ceptar una determinada cantidad de pa-
104 bits la quetes necesaria para corromper la clave.
clave a lo que Este método representa sólo una parte del
hay que su- plan de seguridad.
marle los 24
bits del vector Redes privadas virtuales (VPN)
Figura 5. Access point. Configuración de inicialización, resultando 128 bits
del canal de transmisión, SSID, tipo
totales. Esto llevaría muchísimo más Si bien las VPN han sido utilizadas desde
de autenticación, WEP.
tiempo determinar la clave mediante un 1990 en redes cableadas para asegurar
Más allá de lo básico. ¿Qué hay ataque por fuerza bruta. Sin embargo las comunicaciones entre usuarios
disponible para asegurar mi red ? todavía existen inconvenientes con el uso remotos y sus redes corporativas a través
de 128 bits. Aunque se utilicen 128 bits de Internet, su funcionalidad puede ser
Closed Network (104 de clave + 24 de VI) en vez de 64 bits adaptada a las WLAN. Esta técnica provee
(40 de clave + 24 de VI), la longitud del una especie de túnel donde los datos
Uno de los primeros intentos por encauzar vector de inicialización sigue siendo la viajan totalmente encriptados desde un
la inseguridad de las redes inalámbricas
fue desarrollado por la empresa Lucent misma, y ésta la causa de la vulnerabili- sitio hasta el otro. Generalmente el
para su equipamiento. Habían desarrollado dad. Actualmente se encuentran ACCESS POINT se ubica por detrás del
una red cerrada que difería de las redes disponibles claves de 192 bits y de 256 gateway VPN, por lo que los datos viajan
estándar 802.11b en que los ACCESS bits. En la figura 4, en su parte inferior encriptados aún desde la PC al ACCESS
POINTS no difundían periódicamente las veíamos que se pueden ingresar hasta 4 POINT.
tramas que componen el SSID (beacon)
sino cada una cantidad prefijada de tiempo claves de 26 dígitos hexadecimales (104
mayor que en las redes estándar. A pesar bits) cada una, pues se encuentra habilita- Filtrado de direcciones MAC
de que el SSID es todavía transmitido en el do el modo WEP de 128 bits. A eso, el
aire en texto plano (sin encriptar), el hecho mecanismo de encriptación WEP le adi- Otro método a tener en cuenta es el filtra-
de retransmitirlo cada una cantidad de
tiempo mayor hace que sea más difícil en- ciona el vector de inicialización de 24 bits, do de direcciones MAC. Toda placa de red
contrar la red. Muchos de los clientes wire- resultando los 128 bits totales. Se debe e- posee un número de identificación que la
less actuales permiten el ingreso manual specificar en cada cliente wireless, cuál de hace única frente a cualquier otra placa del
del SSID, medida un poco más segura que las 4 claves deberá utilizar e ingresarla mundo. Éste consta de 48 bits expresados
el simple proceso automático de explo- manualmente. en forma hexadecimal divididos en dos
ración. Si bien esta técnica no resulta per-
suasiva frente a un ataque planificado, grupos, 24 bits que identifican al fabricante
protege la red contra atacantes casuales. Rotación de claves y los 24 bits restantes que identifican al
producto de dicho fabricante. A causa de
Figura 6. Access point. Configuración del La rotación de la clave es otro método que que cada placa de red posee su dirección
tiempo de publicación del SSID (Beacon
interval). ayuda contra los defectos en WEP. En la e- individual, se podría limitar el acceso hacia
specificación el ACCESS POINT a sólo aquellas direc-
802.11b existen ciones MAC de dispositivos autorizados y
dos claves WEP. bloquear el resto.
Una es para en-
criptar el flujo de El primer inconveniente reside en la admin-
datos entre el istración de direcciones. El administrador de
ACCESS POINT la red debe mantener una suerte de base de
y los clientes datos de cada dispositivo permitido. Esta
wireless, la otra base de datos debe ser mantenida en cada
es para encriptar ACCESS POINT individualmente o en un
la difusión de servidor RADIUS al que cada ACCESS
mensajes de POINT tenga acceso. Cada vez que se
broadcast tales agregue o remueva un dispositivo, el admin-
istrador debe actualizar dicha base de datos.
como DHCP o
Hacer esto en una red pequeña es un trabajo
peticiones ARP.
poco tedioso pero hacerlo en una donde la canti-
A causa de que
dad de dispositivos ascienda a más de cien o
esta clave es
incluso más de mil no es una solución práctica.
Sin embargo el filtrado de direcciones MAC 802.1X nuevas claves de encriptación sean gener-
es fácil vencerlo si se tienen las herramientas adas y distribuidas frecuentemente. Esto

correctas. Utilizando un software de sniffing, se conoce como distribución de clave d-
(ver www.wi-fiplanet.com/tutorials
un atacante puede monitorear el tráfico que inámica, un elemento esencial para
/article.php /1041171)
circula por la red y fácilmente escoger del aire obtener una buena solución de seguridad.
las direcciones MAC de usuarios autorizados Al expirar rápidamente el tiempo de uso de
Si bien este estándar nació para las redes
y validarse como tales enviando tramas idén- una clave, dado su constante cambio, hace
cableadas, pronto fue adoptado por la in-
ticas a las robadas. Reiteramos que para que los atacantes tengan menos tiempo
dustria de las WLAN y su uso se masificó.
redes pequeñas, el filtrado de direcciones para recoger datos y deducir la clave.
802.1X utiliza el Protocolo de Autenticación
MAC se presenta como una alternativa viable Existen actualmente una cantidad de vari-
Extensible (EAP) y un servidor RADIUS
mientras que para redes grandes no justifica antes de EAP las cuales se encuentran en
para autenticar usuarios y distribuir las
semejante administración. estudio para su probable incorporación
claves. Esta opción es más bien empresar-
dentro del estándar.
ial y no hogareña
aunque nada
impide que WPA
dispongamos de
un servidor WPA, contracción de Wi-Fi Protected Access, es
RADIUS en un estándar Wi-Fi diseñado para mejorar la en-
nuestro hogar o criptación de WEP. Fue contemplado como una
pequeña oficina. solución de seguridad que no requiera de hard-
Nota: RADIUS ware adicional sino que presente como una solu-
( R e m o t e ción actualizable vía software. Diseñado para
Authentication contemplar las funcionalidades de 802.1X y EAP,
Dial-In User pero agregándole mejoras como ser un nuevo
Service) es un esquema de encriptación y de distribución de
servidor destina- claves, WPA utiliza un protocolo de integridad de
do a la autenti- clave temporal TKIP (Temporal Key Integrity
cación y acred- Protocol) que produce una clave temporal de
itación de usuar- 128 bits para encriptar los datos.
ios que se Otros estándares como AES utilizan algoritmos
conectan a una matemáticos similares pero que no son comple-
red. Su origen tamente compatibles con los dispositivos certifi-
reside en los cados, por lo que habría que adquirir nuevo hard-
Figura 7. Access point. Configuración del ware. ( Figuras 8 y 9 ) .
proveedores de Internet. Cuando nos
filtrado de direcciones MAC.
conectamos a uno de ellos, debemos in-
gresar nuestro
Se puede combinar el filtrado MAC con el nombre de
filtrado de direcciones IP basado en la usuario y con-
creación de listas de acceso, especifican- traseña, el servi-
do qué direcciones y qué puertos asocia- dor contrasta
dicha información
dos tendrán autorización de ingreso.
con la que posee
Incluso ciertos modelos poseen filtros de de antemano y si
determinados sitios web. Todo esto es ac- coinciden, lo-
tualmente de fácil implementación pues los graremos conec-
ACCESS POINT actuales poseen fun- tarnos.
ciones de firewall incorporado. WEP regula el
acceso a la red a
Actuales técnicas de seguridad través de direc-
ciones MAC,
Los problemas descriptos en lo referente a mientras que EAP
WEP han dado posibilidad al surgimiento provee una in-
fraestructura que permite a los usuarios Figura 8. Access point. Configuración del modo
de diversas técnicas de encriptación,
autenticarse frente a un servidor central WPA
algunas de finales del año 2003, con lo
basado en claves públicas. El servidor le
cual algunos equipos anteriores deberán pide al ACCESS POINT una prueba de i- Conclusiones
ser reemplazados para aprovechar todos dentidad la cual obtiene del usuario, acto
los beneficios de las nuevas técnicas. seguido el ACCESS POINT se la envía al Si bien la seguridad al 100% no
Algunos ya están preparados de fábrica y servidor. Cuando el servidor prueba la i- existe, todas las medidas que
dentidad del cliente, envía a éste y al tomemos ayudarán a minimizar los
sólo será necesario una actualización de
ACCESS POINT la clave, cerrando una riesgos. A continuación brindaremos
su software. WEP planteaba una única relación de confianza entre ambos. una serie de consejos prácticos gen-
clave estática que el administrador debía erales que pueden ajustarse a la
cambiar, pues no lo hace por sí sola. Éstas técnicas aseguran también que las mayoría de los casos.
De ser posible, debemos colocar nuestra WLAN Si elige WEP y su dispositivo lo permite, elija claves de

detrás de un FIREWALL si el ACCESS POINT no incorpo- la mayor cantidad de dígitos posible. Establezca filtrado MAC e
ra funciones de tal. IP si es posible.
Debemos escoger un SSID que no sea fácil de Si opta por WPA, recuerde que el modo de autenticación
adivinar por el atacante, nombres largos con caracteres al- está basado en un servidor central al que el ACCESS POINT
fanuméricos y simbólicos alternados y, por supuesto, tiene acceso (servidor RADIUS), de nada sirve filtrar direcciones
siempre en nuestra memoria, nunca anotado en un papeli- MAC localmente.
to colgado del ACCESS POINT.
Si bien hemos hecho uso de adaptadores de red y ACCESS
Debemos habilitar WEP si no tenemos una opción POINTs de empresas en particular, las configuraciones pueden
de mayor seguridad como WPA. ser igualmente hechas en forma similar en dispositivos de otras
Muchos ACCESS POINT requieren por defecto que el marcas y / o modelos.
modo de autenticación sea por clave compartida si se ha-
bilita WEP.
Debe colocar su red en modo cerrado, es decir

asignando un tiempo grande a la emisión del SSID por
parte del ACCESS POINT.
Figura 9. Cliente. Configuración del modo WP.

Wireless Hacking
Existen en la actualidad una serie de técnicas que derivan de una misma base y
que son diferentes medios de transporte desde los cuales se intentan interceptar
datos en una red inalámbrica. Generalmente las técnicas apuntan a investigar un
área en busca de redes wireless.
Por Leonel Becchio jóvenes utilizaban una técnica conocida
como War Calling para escanear, módem
mediante, líneas telefónicas para poder
Cada vez más debe evaluarse lo crítico
atacar alguna si el módem lograba conec-
que puede resultar tener un sistema in-
tarlos. El término guerra está inspirado en
alámbrico dentro de una empresa y que no
ataque, aunque muchas veces solamos u-
se encuentre debidamente protegido.
tilizar las técnicas de hacking para evaluar
Como ya hemos visto, un descuido a la
cuán segura se encuentra nuestra red de
hora de configurar un access point puede
posibles ataques. La técnica de war
poner en evidencia información sensible
walking consiste en recorrer a pie un área
desde el exterior o aún interior (que es lo
determinada en busca de un access point
más terrible) de la empresa. Hemos visto
mal configurado que nos permita ingresar Figura 2. Elementos mínimos necesarios
una opción tal vez poco económica que
a una red en forma clandestina. para war walking. PDA, adaptador wire-
constaba en cubrir una sala con un film
Generalmente se utiliza un dispositivo less, antena casera
que evitaba que las radiaciones sean cap-
manual, práctico de transportar como
tadas desde el exterior. No estamos
exentos de padecer ataques ya sea por
puede ser una PDA corriendo un software War Driving
apropiado.
venganza, diversión u otras causas, siendo
Esta técnica posee la facilidad de no ir a
los ataques internos los que suceden en
pie sino motorizado en un automóvil e-
mayor medida frente a los externos, sobre
quipado para tal fin. Ahora sí pueden incor-
todo por empleados deshonestos que, mo-
porarse herramientas más complejas e in-
tivados por el desinterés en su trabajo, in-
cómodas de llevar a mano. Generalmente
tentan atacar la empresa donde desarro-
deben ir más de una persona, de modo
llan su labor. Hoy es muy simple pues
que uno conduzca y el otro al menos opere
existe una gran cantidad de opciones para
los dispositivos y registre los eventos.
hacerlo. Por tal motivo debe tomar una
serie de recaudos a la hora de pensar en
seguridad. Debemos aclarar que las técni-
cas de hacking forman parte del proce-
dimiento para realizar un test de intrusión,
las que veremos a continuación son un
conjunto de posibilidades para desarrollar
un test de intrusión externo. No es ilegal
practicarlas si el fin que se pretende alcan-
Figura 1. PDA War Walking
zar es la mera prueba de acceso para re-
forzar la seguridad de nuestra red. Recae
en el lector la responsabilidad por todo uso En la foto vemos un PDA con un módulo
diferente al explicado en el presente artícu- transceiver Wi-Fi corriendo un software
lo. que indica la zona en un mapa geográfi-
co con la ayuda de un GPS (Sistema de
Técnicas de Wireless Hacking Posicionamiento Global) que toma refe-
rencias de un satélite geoestacionario y Figura 3. War Driving
Existen en la actualidad una serie de técni- permite indicarlas en el mapa.
cas que derivan de una misma base y que
son diferentes medios de transporte desde Generalmente quién realiza estos
los cuales se intentan interceptar datos en ataques tratará siempre de pasar inad-
una red inalámbrica. Generalmente las téc- vertido ya que resulta ilegal ingresar a
nicas apuntan a investigar un área en redes privadas, además como los
busca de redes wireless. equipos no poseen demasiada potencia,
deberán ubicarse en las cercanías de la
zona en cuestión. Un equipo más sofisti-
War Walking cado podría incluir antenas de alta
ganancia acopladas a los dispositivos,
El término war, guerra en inglés, fue utiliza- incluso aquellas de fabricación casera
do por primera vez en la película War con latas o tubos metálicos como los re-
cipientes de papas fritas. Figura 4. War Driving
Games (juegos de guerra) en la cual unos
Formas menos disimuladas y bastante alo- War Flying

cadas, producto del fanatismo, son las
siguientes. A todo esto pongámosle alas...
Figura 12. War Kayaking
War Chalking
Esta técnica consiste en detectar una red

Figura 5 & 6. War Driving penetrable y dejar aviso para que otros
puedan acceder posteriormente. Toma del
inglés la palabra chalk que significa tiza,
pues los atacantes hacen uso de un trozo
de tiza para indicar, mediante una sim-
bología específica, la presencia de una red
vulnerable.
Se utiliza tiza pues puede borrarse y corre-

girse si cambian las condiciones de la red
en cuestión.
Figuras 9 & 10
Veamos la simbología específica que se
suele utilizar y ejemplos de dicha técnica.
Generalmente estos símbolos se encuen-
tran en zonas poco transitadas como
suelen ser playas de estacionamiento en
cercanías de empresas. Los parámetros
que suelen representarse son: el SSID de
la red, si se trata de un nodo abierto o
cerrado, si posee encriptación WEP y el
Y una forma anticuada pero que dio ancho de banda.
origen a lo que hoy conocemos como
war driving.
(Foto tomada del website de
Laboratorios Bell).
Variantes de war driving pero siempre

sobre ruedas son
War Cycling
Lo mismo pero...en bicicleta.
Figura 11. War Flying. Aquí vemos la uti-

lización de una antena casera formada por
la unión de tres latas
War Kayaking
Figura 8. War cycling
Y hasta aquí llega la...locura ¿?
Figura 13. Símbolos de War Chalking
herramienta genera un sumario con los Básicamente se trata de un scanner
access points localizados con ayuda de un 802.11 diseñado para PDA´s que corren
GPS. PocketPC 2003.
Es una herramienta muy completa que no

tiene nada que envidiarle a un producto
comercial para plataforma PC, pues de un
vistazo podemos conocer qué tipo de dis-
positivo es, su SSID, canal de trabajo y si
tiene encripción WEP habilitada.
En su sitio web, el autor aclara que este

Figura 14. War Chalking producto NO es para uso comercial y que
si se piensa usarlo con tal fin, invita a es-
cribirle para discutir el tema de la licencia.
Figura 16. NetStumbler
Figura 19. Mapa con zonas de influencia de

Figura 15. War Chalking acuerdo al diámetro y color de los círculos
Scanners Wireless
Hoy en día existe una vasta cantidad de

herramientas utilizadas para explorar las Figura 17. MiniStumbler, la versión para
redes inalámbricas en busca de accesos PDA´s
mal configurados. Existen productos co-
merciales o los hay gratuitos y en ver- Con la ayuda de un software llamado
siones que corren en plataforma PC o bien StumbVerter, se pueden volcar los datos
en una PDA para mayor portabilidad. extraídos por NetStumbler y visualizarlos
Siempre debemos apuntar a ser más pre- en un mapa de la ciudad a través de
cavidos con aquellas herramientas gra- Microsoft MapPoint (a la fecha no se
tuitas ya que, al tratarse de productos de conocen mapas de Bs. As.). Los access
consumo masivo, existe una mayor proba- points registrados son mostrados como pe-
bilidad de que seamos atacados con este queños conos donde sus colores y formas
tipo de software que con uno comercial. denotan el nivel de la señal y el modo
WEP. (WiFiFofum www.wififofum.org)
NetStumbler & MiniStumbler
http://www.netstumbler.com
Estos scanners trabajan con redes

802.11a, 802.11b, 802.11g. NetStumbler
trabaja sobre plataforma PC Windows Figura 20. WiFiFofum
mientras que MiniStumbler es la versión
para handheld que corre Windows CE. Se AiroPeek /www.airopeek.de
define como un sniffer de redes wireless no
intrusivo pues identifica a los access points Para aquellos que conocen el analizador
que están realizando broadcast de sus de protocolos Ether Figura 21. WiFiFofum
nombres (SSID), además permite identi- Figura 18. Distribución de access points en Peek para redes cableadas, AiroPeek es un
ficar la dirección MAC del dispositivo. Esta un mapa visualizado con Microsoft producto con similares características pero
MapPoint. para redes inalámbricas. Es un pro-
ducto comercial que permite escuchar el Debemos aclarar que este producto no

tráfico que circula por la red y analizarlo
por protocolo.
funciona con todas las tarjetas de red in-

alámbricas.
AirSnort http://airsnort.shmoo.com
Figura 7. Un antiguo war driver
Esta clase de productos cumple funciones
más específicas que la mera exploración Existe una versión de AirSnort que corre
de una red. bajo Windows y otra bajo Linux.
Se define como una herramienta para

redes inalámbricas capaz de recuperar
llaves de encriptación. Kismet: el sniffer wireless
(inalámbrico) más popular de la
Opera monitoreando la red en forma lista de Fyodor.
pasiva y reuniendo una suficiente cantidad
de paquetes hasta adivinar la clave (www.insecure.org)
usada en la encriptación permitiendo es-
pecificar si se trabajará con claves de 40 ó Fyodor, autor de nmap y quien mantiene
Figura 21. WiFiFofum de 128 bits. la web page www.insecure.org realiza an-
ualmente una compulsa sobre ¿cuáles
son las herramientas más usadas por los
expertos en seguridad informática?
Su mailing list recoge seguramente a los

mejores expertos en seguridad informáti-
ca, quienes normalmente utilizan nmap
para variadas funciones.
Para el caso de un SNIFFER WIRELESS,

es KISMET quién logra el lugar más
destacado.
¿Qué es KISMET?
(http://www.kismetwireless.net)
Kismet es un poderoso sniffer para redes

inalámbricas. Es un sniffer de red sobre el
protocolo 802.11b, a y g. También es lo
que se denomina un analizador de redes
(network dissector). Es capaz de realizar:
sniffing sobre la mayoría de las tarjetas i-
Figura 21.AiroPeek nalámbricas, detección automática de
bloques de IP via paquetes UDP, ARP y
DHCP, lista de equipos Cisco vía Cisco
Discovery Protocol, loggin de paquetes
bajo criptografía débil y con archivos de
paquetes compatibles de Ethereal y
tcpdump. También incluye la habilidad de
graficar las redes detectadas y rangos de
redes estimados en mapas ya bajados o
archivos de imágenes provistos por el
usuario. El soporte para correr bajo el
sistema operativo Windows está aún en
desarrollo preliminar, así que en este
caso Netstumbler es la opción. Usuarios
Linux (y aquellos con PDAs bajo Linux)
Figura 23. AirSnort ha crackeado exitosa- Los requerimientos para su correcto fun- pueden querer mirar al scanner
mente el protocolo WEP. cionamiento podrá encontrarlos en su sitio Wellenreiter.
web.
802.11Seguridad
El hecho de que la información de una PC conectada a una WLAN sea accesible desde otra computadora,
obliga a implementar la seguridad, para evitar que extraños puedan ver datos que no les corresponde.
Autor: David Alejandro Yanover Equivalent Privacy). Presentado como el la Alianza Wi-Fi, encargada de certificar las
primer estándar de seguridad, se trata de una normas de conectividad inalámbricas, WPA
Director y Fundador de Master Magazine, opción que jamás logró obtener la confianza tenía como objetivo reemplazar a WEP y
revista digital líder en informática, con referen- de los técnicos a raíz de que sus sistemas servir de estándar provisional, hasta que
cia en www.mastermagazine.info invitan a los intrusos. Haciendo uso de claves hiciera su aparición IEEE (Institute for
compartidas, cada usuario de la red necesita Electrical and Electronics Engineers) 802.11i.
Bajada tener su equipo configurado con la con-
traseña asignada para entrar en la WLAN. Temporal Key Integrity Protocol (TKIP) es otra
Durante las conexiones, WEP reserva 24 bits propuesta de seguridad a partir de WPA, la
El caos que gira en torno a la protección de la
para resolver claves que varían con el tiempo cual emplea claves de sesión dinámicas de
redes Wi-Fi respira con la salida de una
de manera automática y se constituyen con 128 bits. Mientras WEP usa claves estáticas,
nueva especificación que busca satisfacer a
las originales, sin embargo el procesamiento TKIP envía una contraseña maestra a los
los sectores más exigentes. Recorremos las
de estos datos no utiliza ninguna herramienta usuarios autentificados de la WLAN al mismo
soluciones actuales hasta llegar a WEP2.
de codificación. No obstante, pueden hacerse tiempo que funciona de parámetro de partida
algunos agregados a WEP, para establecer para generar claves auxiliares.
Desarrollo un mayor reto a los que tratan de invadir la
red. Para monitorear las PCs que participan Otras tecnologías de seguridad que sugiere el
La disponibilidad de zonas Wi-Fi en la so- en la WLAN pueden usarse listas de control organismo Wi-Fi son servidores RADIUS,
ciedad creció de manera notable en estos de acceso basadas en direcciones MAC para trabajar con claves de acceso en usuar-
últimos años, teniendo su mayor expresión en (Media Access Control). ios inalámbricos y remotos, VPN (Virtual
Estados Unidos, impactando en Europa y lle- Private Network), que supone un canal más
gando lentamente a Latinoamérica.
Herramientas de intrusión seguro entre el usuario y la red, Firewalls,
Básicamente, ya sea una PC, notebook, telé- para controlar los datos salientes y entrantes
fono móvil u otro dispositivo con soporte Wi- de las máquinas de tal manera de impedir
Los sistemas que utilizan la seguridad WEP
Fi, que se encuentra con una LAN inalámbri- que usuarios sin autorización tengan acceso
son fáciles de romper, lo cual queda reflejado
ca (WLAN), tiene acceso a Internet. De esta a la información, y Kerberos, servicio de aut-
en dos aplicaciones especializadas, AirSnort y
manera, resulta cada día más habitual encon- entificación desarrollado en el MIT
Kismet. Ambos programas son capaces de re-
trar puntos de conexión o Hotspots en aerop- (Massachussets Institute of Technology).
solver de manera pasiva las claves que son e-
uertos, restaurantes y comercios, siendo una
jecutadas en las WLAN bajo WEP,
forma de atraer al público. Sin embargo, es
aprovechando sus debilidades de en- El lanzamiento de una norma
precisamente la facilidad de acceso a las
redes WLAN uno de sus mayores desafíos,
criptación. Al quebrar la red, es posible real de seguridad.
hacerse pasar como usuario legítimo, y obser-
en el ámbito de la seguridad. Es uno de los
var y modificar los datos del resto de los miem- Cuando la seguridad en las redes wireless
aspectos más débiles, inclusive en entornos
bros de la conexión. Por otro lado, una vez estaba en su peor momento, habiendo de-
corporativos, donde, en varios casos, la im-
destruido WEP, las filtraciones MAC de los cepcionado a los entornos corporativos e
plementación de estas tecnologías está a la
usuarios, en caso de utilizarse, son visibles. inmersa en duras críticas, es presentado, en
espera de mejoras técnicas en el área, que
garanticen la confiabilidad del tráfico de datos. septiembre 2004, WPA2, dos meses después
Sin embargo, es aconsejable activar WEP de la ratificación del estándar 802.11i sobre el
Por otro lado, es extraordinario ver cómo
antes que no establecer ningún parámetro de cual está basado. WPA2 proporciona la ad-
redes privadas de empresas no aplican
seguridad. Otro punto que interviene en la in- ministración segura de las conexiones Wi-Fi,
medidas para proteger la información. La
seguridad de los puntos de conexión inalám- garantizando un completo monitoreo de los
salida de la norma 802.11i tiene previsto
bricos son los ataques de negación de servi- usuarios activos. Entre las características
cambiar las cosas.
cios (DoS, Denial of Service). De esta forma, principales destacan el uso de métodos de
El hecho de que la información de una PC
la capacidad de radio puede afectarse, trans- encriptación AES y el hecho de ser compati-
conectada a una WLAN sea accesible desde
firiéndose datos a un ritmo superior de que la ble con WPA, su antecesor, por lo que es
otra computadora, obliga a que sean anal-
red es capaz de soportar. posible migrar a esta nueva especificación.
izadas las opciones de seguridad, para evitar
que extraños puedan ver datos que no les cor-
responde. Es importante destacar que los La transición: en búsqueda una Las WLAN comienzan a consolidarse, res-
puntos de conexión son fáciles de detectar, ya solución pondiendo a las necesidades de los ámbitos
que revelan su presencia estando en actividad. más exigentes. La aparición de WPA2 es uno
Luego, destaca en la lista WPA (Wi-Fi de los mayores logros en el campo de la se-
Una medida falsa de seguridad Protected Access), una de las soluciones más guridad. Aún es temprano para decir que
usadas hasta la fecha, ya que emplea todos los problemas de intrusión desapare-
métodos de encriptación de 128 bits y auten- cerán, pero la implementación de las medidas
Nos proponemos entonces hacer un análisis
tificación EAP (Extensible Authentication que se han puntualizado debería ser sufi-
de las distintas medidas de protección que
Protocol), además de operar con sesiones di- ciente para que las redes trabajen sin preocu-
abundan hoy en el mercado. Al iniciar el
námicas. Lanzado en noviembre de 2002 por paciones.
camino nos topamos con WEP (Wired
NMap y las 75 mejores herramientas de seguridad.
No existe página más prestigiosa que insecure.org. En ella, Fyodor desarrolla NMAP,
la herramienta Número 1, y presenta las 75 mejores herramientas de seguridad.
Por Carlos Vaughn OConnor
NMAP (Network Mapper) es una her- -Sin cargo: El objetivo primario del
ramienta Open Source, para exploración Proyecto de Nmap es hacer Internet más
de redes y auditoría de seguridad. Se seguro y proveer a Administradores/audi-
diseñó para scanear rápidamente redes de tores/hackers de una herramienta avanza-
gran escala, aunque funciona muy bien da para explorar sus redes. Nmap está
aplicada a hosts individuales. Usa los pa- disponible para ser bajado gratuitamente
quetes IP de manera novedosa para deter- (free download), pero también viene con el
minar qué hosts están disponibles en la código fuente completo que Usted puede
red, qué servicios (nombre de la aplicación modificar y redistribuirlo bajo los términos lista y podrán también conocer productos
y su versión) ofrecen esos hosts, qué sis- de GNU General Public License (GPL). con los que todavía no están familiariza-
temas operativos (y sus versiones) están dos. Dada la característica especial de los
empleando, qué tipo de filtros/firewalls -Bien documentado: Fácil de comprender consultados, las respuestas tendrán una
están en uso, y muchas características y actualizada documentación que usted leve orientación hacia los ataques más que
más. Nmap puede correrse en la mayoría podrá encontrar en www.insecure.org, en a la defensa.
de las arquitecturas y se puede emplear múltiples lenguajes.
tanto en versiones de consola como gráfi- Hay que pagar
cas. NMAP es software libre, disponible -Con Soporte: No tiene garantía, pero su
con todo su código bajo la licencia autor puede ser consultado ( fyodor@inse-
Trabaja bajo Linux
GNU/GPL. cure.org) Existen muchas listas de correo a
las cuales usted podría pertenecer.
Si desea aprender cómo funciona nmap Trabaja bajo FreeBSD /NetBSD
como herramientas de scanning, lea el -Aclamado: Ha recibido numerosas distin- /OpenBSD y UNIX propietarios
artículo Ethical Hacking Paso a Paso. ciones de revistas e incluso Microsoft la re-
Scanning en esta revista. comienda. Recibió el Information Security Trabaja bajo Windows
Product of the Year de la revista Linux
Características de Nmap: Journal, Info Works y CodeTalker Digest.
1-Nessus: Es la
-Flexible: Dispone de docenas de técni- -Popular: Miles de personas la bajan dia- herramienta más
cas avanzadas para lo que se denomina riamente y está incluida en muchos sis- importante, Open
scaneo de redes (mapping out networks) temas operativos (Red Hat, Debian Linux, Source, de testeo de vulnerabili-
llenas de filtros IP, firewalls, routers y otros Gentoo, FreBSD, OpenBSD, etc). Está dades.
obstáculos. Esto incluye muchos mecanis- entre los primeros diez (de 30.000) progra- Es un scanner de seguridad remoto para
mos de escaneo de puertos (TCP y UDP), mas que se ofrecen en Freshmeat.net. Linux, BSD, Solaris y otros Unix. Está
detección de sistemas operativos, detec- Esto es importante ya que le brinda a basado en plug-ins, tiene una interfase
ción de versiones, barrido de ping (ping Nmap un desarrollo vibrante y lo soportan GTK y lleva a cabo 1200 chequeos de se-
sweeps) y más. activamente. guridad remotos. Permite que los reportes
sean generados en HTLM, XML, LaTex y
-Poderoso: Ha sido usado para el scaneo Encuesta a 20.000 usuarios de Nmap: texto ASCII y sugiere soluciones para prob-
de redes inmensas con cientos o miles de las 75 mejores herramientas de lemas de seguridad.
máquinas. seguridad informática.
2-Ethereal: Sniffea
-Portable: Corre en la mayoría de los sis- De una encuesta realizada por Fyodor a los paquetes TCP/IP
temas operativos, incluyendo Linux, 20.000 hackers que utilizan Nmap, con el que mantienen unida a Internet.
Windows de Microsoft, FreeBSD, Open propósito de que describieran sus he- Es un analizador de protocolos de red de
BSD, Solaris, Irix, Mac OS X, HP UX, rramientas de seguridad favoritas, res- softaware libre y corre bajo Unix y
NetBSD, Sun, Amiga y otros. pondieron 1854 personas. Cada persona Windows. Le permite examinar los datos
podía responder con una lista de 8 he- de una red en actividad o de un archivo del
-Fácil: Ofrece características avanzadas rramientas. disco que contenga el material capturado.
para usuarios avanzados A la vez usted Usted puede interactivamente browsear
puede comenzar con tan simplemente Aquí detallaremos las 5 primeras her- los datos capturados, viendo un resumen y
hacer nmap -v -A hostblanco. Existen ver- ramientas y mencionaremos las 6 sigu- la información detallada de cada paquete.
siones para línea de comandos y GUI de ientes. Quien desee ver la lista completa lo Tiene varias características poderosas., in-
modo de satisfacer cada preferencia. Existen referimos a www.insecure.org. cluyendo una exposición rica y filtrada y la
los binarios para aquellos que no deseen Los interesados en el tema de seguridad habilidad de ver el stream reconstruido de
compilar a Nmap desde las fuentes. encontrarán información de utilidad en la una sesión TCP. Está incluida, una versión
en modo texto llamada Tethereal.
3-Snort: Un siste- 5-TCP Dump / Win 11-John the Ripper:

ma de detección Dump: El clásico Es un cracker de
de intrusos (IDS) sniffer para moni- hashes de pass-
de software libre. torear la red y adquirir datos. words multiplataforma, extraordinaria-
Es liviano, capaz de realizar análisis Es un analizador de paquetes de red mente poderoso, flexible y rápido.
de tráfico en tiempo real y registro de (sniffer) muy conocido y apreciado. Puede
los paquetes IP de las redes. ser usado para printear los headers (en- 12-OpenSSH/ SHH:
Puede realizar análisis de protocolo, cabezamientos) de los paquetes en una in- una manera segura
búsqueda / correspondencia de con- terfase de red que coincidan con una dada de acceder a com-
tenidos y puede ser usado para detec- expresión. Se puede usar esta herramien- putadoras remotas.
tar una variedad de ataques y ta para hallar problemas de redes y para
pruebas, como buffer overflows, monitorear las actividades de las mismas. 13-Sam Spade: Herramienta free-
stealth port scans (scans de puertos Hay una portación llamada WinDump para ware para Windows, que nos
en modo silencioso), ataques CGI, Windows. TCPDump es también la fuente permite indagar en la redes.
pruebas SMB, intentos de caracteriza- del Libpcap/WinPcap, la librería de captura
ciones de sistemas operativos y de paquetes usada por Nmap. Note que
mucho más. Usa un lenguaje basado ¿Quién es Fyodor?
muchos usuarios prefieren el sniffer
en reglas flexibles para describir el Ethereal que es más nuevo.
tránsito que debe recolectar o pasar y Se trata de un hacker (definido por él
un dispositivo de detección modular. como quien se divierte jugando con las
6-Hping2 : Una utilidad para
Mucha gente aconseja que la he- computadoras y empujando al hardware y
sensar las redes. Es un ping
rramienta Analysis Console for software a sus límites), que tiene interés
en esteroides.
Intrsion Databases (ACID) sea usado en la seguridad, las redes y la criptografía.
en conjunto con Snort. Estos temas se superponen pero son esen-
7-DSniff: Un grupo
ciales para la seguridad de las redes públi-
de herramientas
4-Netcat. Se trata cas como es Internet.
poderosas para
de la navaja del e- Su actividad favorita es programar y aún sa-
auditar redes y realizar tests de pene-
jército suizo biendo muchos lenguajes, la mayoría de su
tración.
(Swiss army knife). trabajo lo hace en C/C++ o Perl. Se siente
Es una herramienta Unix que lee y cómodo en máquinas corriendo bajo UNIX,
8-GFI LAN guard: Un
escribe datos a través de las co- especialmente en sistemas open source. Su
scanner de seguridad co-
opinión es que estas plataformas son muy
nexiones de red, usando protocolos mercial para Windows.
poderosas, pueden redistribuirse llibremente
TCP o UDP. Se diseñó para ser una
y vienen con una colección muy grande de
herramienta confiable back-end que 9-Ettercap: En caso
software de utilidad. La disponibilidad del
puede ser usada directamente o fácil- de que usted todavía
código fuente los hace más seguros y más
mente transportada por otros progra- crea que LANs switc-
fáciles de utilizar y comprender. Su scanner
mas y scripts. headas le aportan mucha más seguridad,
de seguridad Nmap ahora corre bajo
Al mismo tiempo es una herramienta conozca esta herramienta.
Windows y por ello se ha esforzado en
con muchas características para aprender lo básico de ese ambiente de pro-
1 0 - W i s k e r
hacer un debugging y explorar, ya gramación.
/Libwisker: un
que puede crear casi cualquier tipo de Como muchos hackers, le gusta leer. Se
scanner que permite
conexión que usted puede necesitar y inspiró en el autor ruso Fyodor Dostoyewski
testear servidores http, en particular vul-
para su elegir su handle (seudónimo).
tiene varias capacidades incluidas. nerabilidades CGI.
SNORT bajo Windows
EL NIDS (Network Intrusion Detection System) OPEN SOURCE ahora corriendo bajo Windows.
Introducción ¿Se necesitan muchos recursos Snort puede obtenerse de la página web
para correr SNORT bajo WINDOWS? de Codecraft.
Infinidad de paquetes con información a- CodeCraft ha sido responsable por
traviesan a gran velocidad las redes de >> Escritura y mantenimiento del Win32.
>> SNORT corre bajo SOs Windows desde
computadoras. Ha realizado la migración de
WIN2k professional y posteriores (XP,
Algunos fueron diseñados con malas inten- Snort1.8,1.9,2.0 y 2.1 de Unix,
Win2K Server, Windows Server 2003).
ciones. Pueden pasar los firewalls y las de- >> soporte inicial para Microsoft SQL.
>> Se necesita por lo menos una placa de
fensas perimetrales ingresando y dañando Servidor en el módulo loggin de la base de
red. Quizás la mejor opción es tener 2
nuestros sistemas. datos.
placas de red. Una conectada a la red a
>> Desarrollar el soporte integrado para
monitorear y otra a nuestra red de produc-
Seguramente, ha experimentado algún Snort para correr como un servicio Win32.
ción.
ataque con SQL SLAMMER, CODE RED, >> Desarrollar la instalación de Snort
>> No se requiere licencia ya que es una
NIMDA y MSBlaster. Todos estos progra- wizard paraWindows.
aplicación OpenSource.
mas maliciosos utilizan protocolos confi- >> No son necesarios demasiados recur-
ables: HTTP o SMB/CIFS de Microsoft http://www.codecraftconsultants.com/Snort
sos computacionales. El programa es muy
para alcanzar a realizar su maligna .aspx o www.snort.org
eficiente. Por ejemplo SNORT con 900
función. MHz y 512MB de Memoria puede manejar
Una vez realizado el download de la
redes de miles de sistemas.
La opción NO es bloquear esos protocolos. página de Codecraft, la instalación es más
Las organizaciones emplean los llamados que sencilla. Deberá tomar algunas deci-
¿Dónde ubico un NIDS dentro de siones en el camino como por ejemplo,
IDS (Intrution Detection Systems)
(Sistemas de detección de intrusos). En
mi infraestructura de red? qué base de datos utilizará: MySQL o
particular, aquellos que monitorean las ODBC (en este caso deje la selección por
redes: los NIDS (Network IDS). Muy probablemente no lo colocaré delante default). Pero, quizás quiera hacerlo a una
del firewall. La idea es dejar al firewall base SQL o Oracle. El resto son simple de-
Es posible encontrar en el mercado exce- filtrar. Si lo pongo delante obtendré la cisiones de ubicación de archivos, etc.
lentes NIDS. Sus precios y capacidades mayor cantidad de paquetes, pero también
son variados. Generalizando son todos de ruido. Aquel que desee usar Snort de forma pro-
buenos y cumplen su función con eficacia. También deberá estar detrás de los dispo- fesional podrá usar la documentación de
sitivos que reciban a sus usuarios remotos su web-page o excelentes libros dedicados
Existe además una versión de fuente (VPNs, conexiones wireless). a Snort. Allí aprenderá a:
abierta (Open Source) denominada Recordemos que si el tráfico está encripta- -Configurarlo.
SNORT. do SNORT no lo detectará. Como regla -Configurar las reglas.
A diferencia de lo que ocurre generalmente general Ud debería colocar el NIDs tan -Setear las alertas y los logs.
esta aplicación Open Source del mundo atrás como le permitan los componentes -Correrlo como un servicio.
Unix-like (Linux, OpenBSD) corre en que encriptan el tráfico, pero debe poder
Sistemas Operativos de Microsoft. Y se capturar el tráfico de tantos segmentos y Pero, veamos cómo funciona Snort.
trata de un producto muy eficaz. subredes como sea posible.
Al momento de ejecutar el .exe la siguiente
La historia de SNORT ¿Cómo instalo SNORT en un información deberá ser provista: 1. dónde
Sistema Operativo Windows? escribir los logs y 2. dónde encontrar el
archivo de configuración.
SNORT fue desarrollado alrededor de
1998 por Martin Roesch ( el fundador de Snort es básicamente un sniffer de redes
seteado en modo promiscuo. En el mundo Esta información se provee cuando lan-
Sourcefire, http://www.sourcefire.com
Unix se utiliza libpcap como el driver para zamos snort desde la línea de comando:
/snort.html ) y ofertado con licencia
GPL/GNU .Se trata de un aplicación captura de paquetes. Loris Degioanni hizo la
portación (to port, migrar) para Windows en snort l C:\snort\log c C:\etc\snort.conf
ampliamente probada, realizada con con-
el producto WinPcap. A console
tribuciones de la comunidad Open Source.
La versión actual puede llevar a cabo en ¿Entonces qué es winPcap?. Es un filtro de
paquetes que opera a nivel del kernel, es una -A le dice que deberá mostrar la salida en
tiempo real un análisis del tráfico IP y su
DLL de bajo nivel y una librería de alto nivel la pantalla.
registración (loggin) aún en redes con
Fast Ethernet y Gigabit Ethernet . Snort fue (independiente del sistema): wpcap.dll
(basada en libpcap 0.6.2) . La figura 1 nos muestra la salida de snort a
mirado a la plataforma Windows (Win32)
Se puede bajar WinPcap en esta secuencia de comando en el
por Michael Davis. Chris Reid ha continua-
http://winpcap.polito.it. Winpcap también command prompt. A partir de este
do esta tarea y actualmente SNORT para
soporta el excelente sniffer del mundo oPen momento Snort analizará todo lo que
Windows está presentado como un eje-
source: Ethereal (www. ethereal.com). ocurre en su red.
cutable de muy sencilla implementación.
Instalar WinPcap es muy sencillo.
Si desea activar una alerta intere-
C:\>snort -l c:\snort\log -c\snort\etc\snort.conf -A console ¿Qué es un NIDS?

Running in IDS mode
Log directory = c:\snort\log
Initializing Network Interface \Device\Packet_NdisWanIp NIDS es básicamente un SNIFFER especializado. Un ol-
OpenPcap() device \Device\Packet_NdisWanIp network lookup: fateador de paquetes. Estudia cada paquete que pasa por
The operation completed successfully. la interfase tratando de localizar determimadas formas pre-
--== Initializing Snort ==-- cisas dentro del payload de los paquetes donde residen e-
Initializing Output Plugins! specíficamente los códigos maliciosos.
Decoding Ethernet on interface \Device\Packet_NdisWanIp
Initializing Preprocessors!
Initializing Plug-ins! Con un NIDS como SNORT podrá vigilar dentro de su red,
Parsing Rules file \snort\etc\snort.conf el contenido y la correspondencia de cada paquete que a-
traviesa su organización y detectar así una gran cantidad
+++++++++++++++++++++++++++++++++++++++++++++++++++ de ataques y tráfico hostil.
Initializing rule chains...
,-----------[Flow Config]---------------------- ¡Todo esto en tiempo real!
| Stats Interval: 0
| Hash Method: 2 Mellon que permite realizar esto (ACID:
... Análisis Console for Intrusión Databases.
IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG
Non-RFC Compliant Characters: NONE
¡¡Una herramienta casi indispensable!
rpc_decode arguments:
Ports to decode RPC on: 111 32771
alert_fragments: INACTIVE Snort 2.0
alert_large_fragments: ACTIVE Intrusion
sante, simule lo que hace el ataque de Nimda Recomendamos leer la bibliografía sobre Snort Detection
y Code Red: para volverse un experto. En nota aparte les
Desde su web.browser haga: mostramos un libro muy popular sobre como uti-
por Brian Caswell,
http://www.prueba.com.ar/cmd.exe (prueba es lizar Snort.
Jay Beale,
por supuesto genérico).
James C. Foster,
¿Qué es ACID? Jeremy Faircloth.
Verá en la otra pantalla la alerta que nos da Snort
y por supuesto también quedará grabado en Normalmente
c:\snort.log Snort aparece
Se recomienda tener cuidado con el sitio web en conjunto
que se usa ya que muchos administradores con- con las siglas
siderarían esto como el ataque de un hacker. ACID.
Otro modo de activar de forma sencilla un alerta Supongamos
es enviar un ping a un servidor de nuestra subred que de-
con un paquete extremadamente grande : seamos re-
alizar Data
ping -l 32767 192.168.0.33 mining sobre
los datos de
este paquete dirigido a la máquina con número alertas de
IP 192.168.0.33, no es de rutina y Snort nos dará Snort.
la alerta.
Se puede
Más allá del primer nivel. incluir un Add-
on desarrolla-
Lo anterior fue jugar a ver como funciona Snort. do por la Uni-
Snort es una aplicación muy completa. Y, es versidad de
posible incrementar sus posibilidades. Carnegie
SNORT, el sistema de detección de intrusos de la fuente libre

SNORT es un sistema de detección de intrusos de tipo liviano. Es capaz de llevar a cabo en tiempos reales un análisis del tráfico y
logonear un paquete en trabajos de red IP.
Está preparado para hacer análisis protocolizado, buscar contenidos y unirlos y puede detectar variedad de ataques y pruebas como
neutralizar sobreflujo, escanea rport steath, ataques CGI, pruebas SMB, intentos de huella digital y mucho más.
Snort usa un lenguaje de reglas flexibles para describir el tráfico que debe recolectar o pasar, así como una maquinaria de detec-
ción que utiliza una arquitectura modular de conexión. Snort también tiene capacidad de alerta de tiempo real., incorporando meca-
nismos de alerta para syslog, un archivo específico de usuario, una conexión UNIX, o mensajes de Winpop a los clientes Windows
utilizando el smbclient de Samba.
Tiene 3 usos primarios. Puede ser usado directamente como un sniffer de paquetes similar a tcpdump (1), un logger de paquetes
(de utilidad para el trabajo de red de tráfico debugging, etc.) o como detector de intrusión en el sistema.
-Extractado de snort.org
Snort para Linux
autor: Martin Sturm

MCSA, MCSE, LPIC (101/102/201)
¿Qué es Snort? cumple o no. binario) o bien para compilar. Una vez
obtenida la versión que más se ajuste
El Snort es un Sistema de detección En el siguiente ejemplo se generará a las necesidades se procederá a la
un alerta en caso que alguien inten- instalación:
de Instrusos (IDS) muy potente, el
tara conectarse al servidor Telnet En caso de haber optado por el
cual hace las veces de sniffer colo-
local, el mismo arrojará un mensaje paquete rpm:
cando la interfaz de red de la máquina con el valor especificado en msg, lo
en la cual se encuentra corriendo en que permitirá identificar rápidamente rpm Uvh snort-1.9a.rpm
modo promiscuo, es decir, brinda la el evento en el archivo de log:
capacidad a la placa de red de Este procedimiento es muy sencillo,
obtener todos los paquetes que circu- alert tcp any any -> 192.168.1.1/32 23
ya que al instalar el paquete rpm, au-
lan en un mismo hub o switch aún sin (content: pass; msg: TELNET!!!!;)
tomáticamente se crean los directo-
ser los suyos.
rios con las diferentes
reglas y el archivo de con-
El objetivo de Snort es,
por sobre todas las figuración principal del pro-
cosas, el de alertar en grama.
caso de recibir un intento
En caso de haber optado
de ingreso o ataque a por el source:
nuestra red. Para ello se
basa en un gran número $ tar zxf snort-2.0.0.tar.gz
de reglas que deciden si $ cd /snort-2.0.0
el evento o paquete $ ./configure
recibido corresponde a un $ make
ataque o no. $ make install
Una vez instalado el

Una de las ventajas más
source se deberá instalar
importantes a la hora de el paquete de reglas actu-
optar por Snort como alizadas, el cual incluye el
nuestro IDS preferido por archivo de configuración
sobre los demás, es la general, este mismo puede
gran cantidad de reglas ser obtenido también
que se encuentran pre- dentro de la sección
definidas hoy en día y el downloads de la página
oficial (www.snort.org).
respetable grupo de de-
sarrolladores con el que la organi- Es muy importante prestar gran aten- $ mkdir /etc/snort
zación cuenta, ya que estos últimos ción a la configuración del mismo, ya $ cp snortrules-stable.tar.gz /etc/snort
son quienes constantemente actua- que si éste se encuentra configurado $ tar -zxfv snortrules-stable.tar.gz
lizan dichas reglas. Una regla se encon una sintaxis errónea podría $ rm snortrules-stable.tar.gz
cuentra definida por dos secciones generar lo que se conoce como
Falsos positivos, es decir, estaría in- Luego se procederá a la edición del
lógicas: Cabecera de la Regla ó Rule
formando alertas falsas, las cuales no archivo de configuración principal me-
Header y Opciónes de la Regla ó
harán más que llenar el disco de infor- diante cualquier editor de texto:
Rule Options donde: mación innecesaria.
Cabecera de la Regla: Contiene la $ vi /etc/snort/snort.conf
acción, protocolo, puerto e ¿Cómo instalarlo?
IP/máscara de red Origen y puerto e Al editarlo se podrá observar gran
IP/máscara de red Destino. Para instalar Snort se deberá bajar el cantidad de líneas comentadas, las
código compreso de su sitio oficial mismas ayudarán a la comprensión de
Opciónes de la Regla: Contiene men- (www.snort.org); en la sección down- cada una de las opciones a configurar.
sajes de alerta e información del loads se encuentran las versiones Las opciones más importantes para
sector del paquete donde se debe in- configurar son las siguientes:
disponibles, las mismas pueden
speccionar para determinar si esta se
bajarse precompiladas (en formato
# Definición del rango de direc-
ciones de la red interna: La sintaxis afirma que si en 7 segun- snort se deberá parametrizar el

dos se accedieran a 5 puertos distin- soporte para SQL:
# Para ello se deberá optar por alguna tos, entonces la información quedará
de las posibilidades descriptas (sólo reflejada en el archivo de log ./configure --with-mysql
una) portscan.log.
La información recolectada por el
var HOME_NET 192.168.0.0/24 preprocessor portscan-ignore- Servidor de base de datos puede ser
# Define un rango de direcciones de hosts:
consultada por línea de comandos o
red. 192.168.1.1/32 192.168.0.1/32
vía web mediante un soft adicional
var HOME_NET $eth0_ADDRESS En este caso se estaría ignorando llamado ACID, quien se encargará de
# Define el rango de direcciones de cualquier tipo de scaneo de puertos la visualización de los logs recogidos
red al cual pertenece la interface de proveniente de los hosts especifica- por Snort, este soft no necesita ningún
red eth0 al iniciar Snort dos. tipo de instalación, simplemente se
var HOME_NET [ 192.168.0.0/24 Finalmente, se

,192.168.1.0 / 24,10.0.0.0/24 ] deberán con-
# Define diversos rangos de direc- figurar las
ciones de red. s a l i d a s
(Output) de in-
formación, es
# Definición del rango de direcciones decir, qué
de la red externa: tipos de reg-
istros generar
var EXTERNAL_NET any (utilizando
S y s l o g ,
# Definición de direcciones de red de archivos de
algunos servidores importantes: textos propios,
registros en
var DNS_SERVERS [192.168.0.1, una base de
232.0.17,24.132.21.0.18] datos), dónde
se alojarán
var SMTP_SERVERS 192.168.0.1
dichas salidas
y cuál será su
var HTTP_SERVERS [192.168.0.2,
formato.
192.168.1.2]
En caso de
var SQL_SERVERS [192.168.0.1]
necesitar refle-
jar los eventos
Una vez configuradas las variables
en el syslog se
más importantes se deberán habilitar deberá descomentar la siguiente línea deberá bajar el paquete tar.gz del sitio
los diversos preprocesadores, los donde se podrá apreciar tanto la faci- http://acidlab.sourceforge.net/, des-
cuales se encargarán de analizar los lidad como el argumento del syslog:
compactar el archivo en algún directo-
paquetes y detectar intentos de
output alert_syslog: rio dentro del DocumentRoot (por
hackeo, ataques, escaneo de puertos,
LOG_AUTH LOG_ALERT ejemplo /acid) correspondiente a la
y demás.
configuración del Servidor apache y
Si por el contrario se deseara arrojar luego acceder a la interfaz web vía:
El mecanismo a seguir para la acti-
la información de los eventos a una h t t p : / / d i r e c c i o n - d e l -
vación de los diferentes preproce- base de datos (MySQL) se deberá virtualhost/acid/acid_main.php
sadores es la de visualizar los comen- descomentar la siguiente línea:
tarios de cada una de las opciones
output database: En la sección final del archivo de con-
para reconocer cuáles son los que se
log, mysql, user=snort figuración se invocan todas las reglas
ajustarán a las necesidades y luego
password=ppp incluídas dentro del directorio
descomentar cada una de las líneas,
dbname=snort host=localhost /etc/snort, las mismas contienen
por ejemplo, para activar la detección
definiciones de alertas como la co-
de escaneo de puertos se deberá
Cabe aclarar que en caso de arrojar la mentada en el ejemplo del comienzo.
activar el procesador portscan, para
información a una base de datos, pre-
ello habrá que descomentar la si-
viamente se deberán instalar los pa- Para incluir nuevas reglas tan solo
guiente línea:
quetes necesarios para el fun- hay que agregar una línea al final del
preprocessor portscan: cionamiento del Servidor SQL (Mysql / archivo con el siguiente formato:
192.168.1.0/24 5 7 Postgresql).
/var/log/portscan.log include $RULE_PATH/regla _nueva.rules
Además al momento de compilar el
NESSUS
El scanner de vulnerabilidades Open Source.

La redes modernas deben ser monitore- Al finalizar el scaneo se produce mucha in- Usar el cliente UNIX o Windows:
adas de modo de poder detectar vulnera- formación que es presentada como un
bilidades en los sistemas que las compo- reporte. La mayoría provee archivos .mdb. La interfase gráfica y sus diferentes
nen. Si no lo hace nuestro administrador, lo Muchos para un SQL server. Si uno solapas me permitirán decidir qué deseo
hará un hacker. conoce de base de datos puede procesar hacer . La figura 1 muestra la GUI para el
la información en otros formatos. caso de un cliente UNIX.
Un scanner de vulnerabilidades se aplica Conocida la vulnerabilidad es también im-
sobre un dado sistema y la información portante conocer la solución. La mayoría
que obtiene se chequea (compara) contra nos provee de suficiente información para
una base de datos de vulnerabilidades hacerlo o aún ya nos da el remedio.
conocidas. Al final nos provee un reporte
de los agujeros de seguridad (security NESSUS
holes) encontrados.
Nessus está compuesto de 2 partes: un
Existen scanners de vulnerabilidades co- cliente y un servidor. Se necesita un
merciales cuyos costos pueden estar en sistema UNIX-like como server (Linux por
los miles de dólares. Nessus es de la ejemplo). El cliente Nessus puede insta-
misma calidad que la mayoría de ellos larse en una máquina bajo Windows o
pero su costo es cero (gratis) y su código Unix-like (Unix, Linux, FreeBSD).
Open-Source.
Por ejemplo, su puesta en marcha sobre
En un reciente artículo de la prestigiosa un sistema Linux es muy sencillo.
revista WindowsITPro (www.windowsit-
pro.com) se realizó una comparación entre Configuración del server UNIX por el
NESSUS y otros scanners de vulnerabili- administrador
dades comerciales. NESSUS comparó
muy favorablemente con Retina de e-eye, 1. hacer un download e instalar figura 1.Interfase gráfica del cliente Nessus
que fue elegido como el más destacado. nessusd(servidor) y nessus (cliente). bajo LINUX
Otros a destacar: Sunbelt Network Security
Inspector (SNSI) de la empresa Sunbelt, 2. crear una cuenta en el servidor Como ya dijimos, Nessus cliente también
Vulnerability Manager de NetIQ, LANguard nessusd. El servidor nessusd tiene su se puede instalar sobre plataforma
Network Security Scanner de GFI, Retina propia base de datos de usuarios, Windows. Uno puede hacer un download
de e-eye Digital Security y pudiendo tener cada usuario su en http://nessuswx.nessus.org.
RMS vulnerabibity-manage- propio conjunto de restricciones.
ment solution de BindView. Esto nos permite compartir un solo Recalquemos que siempre se debe insta-
Destacamos, que LANguard server nessusd en un red amplia y lar un back-end server sobre Unix. El
figura como número #8 en la restrigir a diferentes administradores cliente (front-end) puede correr sobre
lista (Nessus es el primero) de a poder testear sólo su parte de la UNIX o Windows. Usar un cliente Windows
los más populares en la lista de red. puede traer problemas de credenciales
Fyodor (www.insecure.org) (ver que se deberá resolver. Existe excelente
el artículo en esta edición). La utilidad nessus-adduser me permite documentación en los sitios detallados an-
crear nuevas cuentas. Puedo por ejemplo, teriormente donde se podrá consultar.
Los scanners mantienen bases de datos a través de reglas, permitir a un usuario
que categorizan y describen las vulnerabi- sólo poder testear a un sólo host. Incluso Nessus provee una muy completa base de
lidades que pueden detectar. sólo su host. datos para el chequeo de vulnerabilidades.
Son llamados plugins. Es posible (si así se
Los más completos hasta proveen la 3. configurar el demonio nessus. desea, operar a Nesus en un modo intrusi-
posible solución a la vulnerabilidad detec- En el archivo /usr/local/etc/nessus vo) (ver nota).
tada o links a las listas de Bugtraq /nessusd.conf se pueden setear opciones
(www.securityfocus.com) (ver nota ) y CVE varias. Típicamente los recursos que le En la página web de Nessus es posible
(Common Vulnerability and Exposures) permitiremos usar a nessusd, la velocidad obtener más de 2100 plugins que cubren la
(http://www.cve.mitre.org )(ver nota). en la que debe leer los datos, etc. mayoría de las plataformas. Los plugins se
organizan por familias: abusos CGI, fire-
La mayoría de los scanners requieren 4. activar nessusd walls, ftps, scanners de puertos etc
tengamos que tener privilegios de admi- Una vez que esto está hecho, puedo
nistrador sobre la máquina estudiada. activar nessusd como usuario root ha- Lo primero que hacemos al realizar un
Aunque se provee casi siempre la opción ciendo: scan es crear una session donde defini-
de hacer el estudio sin ese privilegio, es mos el blanco y opciones (hostname, o
decir como atacante anónimo. nessus -D número IP o podemos importar una lista
de blancos de un archivo txt.) NESSUS lanza el

Manage Session
Nessus incluye Network Mapper (nmap) de Result (un resu-
Fyodor (www.insecure.org). Pero, da la men ordenado de
posiblidad de realizar otros tipos de scan- los resultados para
ning de puertos (ping,o SNMP por cada máquina es-
ejemplo). tudiada)
Desde la interfase gráfica uno elige los (figura 3 y 4).
plugins que usará. La figura 2 nos muestra
la GUI donde elegimos los plugins desea-
dos para el caso de un cliente Windows.
Los plugins se pueden habilitar por familia
o individualmente. Como ya referimos, es
posible pedir no usar plugins intrusivos
(botón: Enable Non-DoS(habilite No-
Denial of Service, negación de Servicio).
figura 4 GUI bajo cliente WS: Manage

Session Result
El resultado del uno puede exportar la salida a archivos

scan aparece en HTML, PDF o TXT. Tambien es posible ex-
otra ventana. Allí portar para MySQL o archivo propietario.
se puede ver el
progreso en En la info provista aparece una descripción
tiempo real. Las de los problemas hallados. La salida no es
vulnerabilidades muy sofisticada y aparece como una larga
encontradas son lista.a estudiar.
clasificadas
como Holes, NESSUS y Tenable Network
Warnings, Infos y
Ports (agujeros,
Security (Historia y negocio)
Alertas, Infos y Nessus es el scanner de vulnerabilidades
Puertos). open-source más popular del mundo. Y,
es usado mundialmente por cerca de
figura 2 GUI del cliente Nessus mostrando 75.000 organizaciones que le permiten
la elección de plugins Cada vulnerabilidad hallada se clasifica auditar dispositivos y aplicaciones críti-
cos a un costo cero.
El proyecto Nessus fue comenzado por

Renaud Deraison en 1998 con la idea de
proveer a la comunidad de Intenet un
scanner remoto de seguridad gratis,
poderoso, actualizado y de muy sencillo
uso. Está ubicado actualmente entre los
productos más prestigiosos de la industria
de seguridad y avalado por organiza-
ciones muy prestigiosas tales como el
SANS Institute (www.sans.org).
En el año 2002, Renaud co-fundó Tenable

Network Security (www.tenablese
curity.com) conjuntamente con Ron Gula,
creador de Dragon Intrution Detection
System y Jack Huffard. Esta empresa es
la única desarrolladora y licenciadora del
código Nessus, la marca Nessus y del
dominio nessus.org. Está ubicada en
Columbia, MD, USA.
Tenable ofrece productos de software fo-
calizados en 3 áreas de la seguridad de la
información: >>Decubrimiento de vulnera-
bilidades y Administración
>>Administración de Eventos de seguri-
por su peligrosidad: high, médium o low dad
figura 3. Cliente Linux de Nessus con un
(alta, media o baja). Terminado el Scan, >>Comunicación Técnica y Ejecutiva
report.
Scanning Intrusivo ¿Qué es BugTraq?
Se denomina así cuando la herra- (extractado de las FAQ de www.securityfocus.com)

mienta usada trata de realizar un BugTraq es un maling list (lista de personas suscriptas para recibir e-mails) de ex-
exploit de la vulnerabilidad encon- posición completa y moderada, para la discusión detallada y anuncios de vulnerabili-
trada en la máquina que estudia. dades en la seguridad de computadoras: qué son, cómo abusar de ellas (exploit) y
Diferentes herramientas usan distin- cómo solucionarlas.
tos niveles de intrusión. Debemos
tener mucho cuidado al realizar estos ¿Cuál sería un contenido apropiado?
tests de no ejecutar (por error) un
exploit sobre un sistema en produc- Uno deberá seguir los siguientes lineamientos sobre qué tipo de información deberá
ción. ser posteada en la lista de Bugtraq:
>>Información sobre vulnerabilidades en seguridad de computadoras y redes (UNIX,

Windows NT y otros)
>>Programas de exploit (abuso), scripts o procesos detallados referidos al punto an-
terior
>>Patches (parches), workarounds(como encontrarle la vuelta) y fixes (arreglos).
>> Anuncios, consejos o avisos.
>> Ideas, planes futuros o trabajo en progreso relacionados con seguridad en
redes/computadoras.
>> Material de información relativo a contactos en vendors (fabricantes) y procedimien-
tos.
>> Consejos de incidentes o reportes informativos.
Common Vulnerabilities and >> Herramientas de seguridad nuevas o mejoradas.
Exposures (CVE®) es:
¿Qué contenido es inapropiado?
Una lista de nombre estandarizados
de vulnerabilidades y otra informa- >> Propaganda de productos
ción sobre exposures de seguridad. >> Preguntas básicas (how to´s)
CVE pretende estandarizar los >> Material de seguridad que nada tiene que ver con redes/computadoras.
nombres de todas las vulnerabili- >> Información sobre otro nuevo troyano o virus, a menos que sea muy especial.
dades y debilidades de seguridad
conocidas públicamente. ¿La lista se encuentra moderada?
>> CVE es un diccionario, NO una Sí y es Dave Ahmad <da@securityfocus.com> el moderador.
Base de Datos Breve Historia
>> CVE es un esfuerzo COMUNI-
TARIO ¿Cuándo se creó BugTraq?
>> Está abierto a ser revisado o
bajado (downloaded). BugTraq fue creada en Noviembre 5, 1993 por Scott Chasin. Aleph One tomó mando
el martes 14 de Mayo de 1996. Sobre los años, se ha transformado en una lista de se-
Nota: CVE considera que el término guridad muy respeta con más de 27.000 suscriptores.
vulnerabilidad tiene diferentes usos.
Por tanto es importante hacer una
distinción cuando es necesario. Se ¿Cómo fue que se hizo moderada?
introdujo el término security expo-
sure de modo de poder referirse a Esto sucedió el 5 de Junio de 1995. Al mismo tiempo se la movió a netscape.org. Se
hechos de seguridad que justamente hizo moderada cuando el nivel de ruido se volvió inaceptable.
NO conforman dentro de vulnerabili-
dad para todo el mundo. Por ¿Cómo me suscribo?
ejemplo, este modo más restrigido de
entender al término vulnerabilidad Enviar un e-mail a bugtraq-subscribe@securityfocus.com. El contenido del tema o
hace que por ejemplo se ponga a cuerpo del mensaje no tienen importancia. Ud. Recibirá un email, respuesta, que
finger como una exposure. deberá contestar.
Linux, con la lupa en la seguridad.

Fuente: www.hispasec.com tarjeta de crédito. También está basada en Más Información:
Knoppix y utiliza el núcleo 2.4.20.
A continuación vamos a enumerar una lista LocalAreaSecurity está pensado para la rea- Knoppix-STD
de distribuciones Linux que ponen énfasis en lización de pruebas de verificación de la se- http://www.knoppix-std.org/
las herramientas para aumentar los niveles guridad y pruebas de penetración. Para eso
de seguridad. Es importante aclarar que cuenta con un gran número de herramientas LocalAreaSecurity Linux
todas funcionan como Live CD lo que quiere especializadas: sniffers, cifrado, monitoreo de http://www.localareasecurity.com/
decir que se ejecutan directamente desde el redes, detección de información oculta, ob-
CD, no hace falta instalarlas. Esto es particu- tención de información, etc. PHLAX
larmente útil en los casos en que lo que nece- http://www.phlak.org/
sitamos es una herramienta para revivir el Phlak (Profesional Hacker's Linux
disco o recuperar los datos. Assault Kit) 0.1 RIP Linux
http://www.tux.org/pub/people
Como varias de las distribuciones que pre- /kent-robotti/looplinux/rip/
Basado en Morphix. Viene con dos GUI li-
sentamos a continuación están basadas en
vianas (fluxbox y XFCE4). Está especializada
Knoppix, comentaremos que esta distribución WARLINUX
en la realización de análisis de seguridad,
es un CD arrancable con una colección de http://sourceforge.net/projects/warlinux/
pruebas de penetración, análisis forense y
programas GNU/Linux software, detección
auditorios de seguridad.
automática de hardware, y soporte de FIRE
Incluye herramientas de análisis de tráfico, de
muchas tarjetas gráficas, tarjetas de sonido, http://biatchux.dmzs.com/
protocolos, de funcionamiento del sistema, de
dispositivos SCSI y USB y otros periféricos.
extracción de datos de sistemas de archivos,
KNOPPIX puede ser usuado como una demo Penguin Sleuth Kit
cifrado de archivos, sniffers, etc.
de Linux, CD educacional, sistema de http://www.linux-forensics.com
rescate, o adaptado y usado como plataforma /downloads.html
comercial de demos de productos. Como ya
R.I.P. (Recovery Is Possible)
hemos dicho NO es necesario instalar nada @stake Pocket Security Toolkit v3.0
en el disco duro. Debido a la descompresión Esta distribución, está pensada para recu-
http://www.atstake.com/research/tools
en demanda el CD tiene casi 2 GB de progra- perar datos de sistemas de archivos
/pst/
mas ejecutables instalados en él. dañados. Funciona con lso sistemas de
archivos ext2, ext3, reiser, jfs, xfs, ufs,
ThePacketMaster Linux Security Server
NTFS, FAT16 y FAT32.
http://freshmeat.net/projects
/tpmsecurityserver/
WARLINUX 0.5
Knoppix STD 0.1b Trinux
Es una distribución live CD pensada es- http://trinux.sourceforge.net/
STD (Security Tools Distribution) es una versión pecíficamente para identificar las redes
personalizada de Knoppix. Utiliza el núcleo inalámbricas que están al alcance y re- Lo anterior evidencia que existe una
2.4.20 y KDE 3.1, da soporte a una gran cantidad alizar auditorías y verificaciones de los enorme cantidad de herramientas
de dispositivos de hardware (que son detectados niveles de seguridad de las mismas. puestas a nuestra disposición.
y configurados automáticamente). Cuando se
arranca la máquina con Knoppix STD, no se F.I.R.E. Lo más interesante de esto es que
realiza ningún tipo de modificación en la configu-
podemos contar con sistemas ope-
ración de la computadora.
rativos completamente funcionales
sin necesidad de instalarlos, esto es
Todas las herramientas de Knoppix, al igual que
muy útil, cuando NO PODEMOS ins-
toda la distribución, están diseñadas para ser e-
talarlos justamente debido a que
jecutadas directamente desde el CD y están divi-
nuestro sistema ha dejado de res-
didas en varias categorías: herramientas para la Esta versión de Linux incluye las he- ponder.
gestión de redes; herramientas para la rea- rramientas necesarias para la real-
lización de valoraciones de seguridad y he- ización de valoraciones de seguridad,
rramientas para la realización de pruebas de Aunque debemos destacar que la
respuesta a incidentes de seguridad, existencia de estas herramientas no
redes; un gran número de herramientas para la pruebas de penetración y análisis
realización de pruebas de penetración, sniffers; nos absuelve de la responsabilidad
forense de sistemas y recuperación de
herramientas para el análisis forense, cortafue- d e r e a l i z a r b a c k u ps d e n u e s t r o s
datos en sistemas Windows, Solaris
gos, honeypots, sistemas de detección de intru- datos ni de prestar la debida aten-
(SPARC) y Linux (x86). Adicionalmente,
siones ; autenticación, identificación de con- ción a las configuraciones de se-
FERIO incluye un programa para la de-
traseñas y cifrado. guridad de nuestras redes; el dicho
tección de virus (F-Prot).
es muy viejo pero sigue siendo
Existen otras distribuciones similares a
LocalAreaSecurity 0.4 cierto y muy aplicable a las
estas: Penguin, Sleuth Kit, @stake
Te c n o l o g í a s d e l a I n f o r m a c i ó n :
Pocket Security Toolkit v3.0,
mejor prevenir que curar.
Muy pequeña (185 MB), pensada para ins- ThePacketMaster, Linux Security
talarse en un CD chico, como los tipo Server y Trinux.

Seguridad Informatica Muy Interesante Nex It 13

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad Informatica Muy Interesante Nex It 13

Uploaded by

Copyright:

Available Formats

Indice de Contenidos NEX IT Specialist # 13 Ututo

El número de weblogs que existen actualmente es inmenso (entre 2 y

Seguir las actualizaciones se ha hecho cada vez mas complicado.

Además, periódicos y revistas también modifican su contenido con asi-

La aparición de syndications (en cualquiera de los 2 formatos RSS o

En esta edición le presentamos el Volumen 1.

Las siguientes entidades auspiciaron el evento:

UADE (Universidad Argentina de la Empresa)

Revista Nex IT Specialist (Argentina)

La herramienta Open-Source para la administración de la enseñanza.

NEX> Revista de Networking y Programación

Estas se encuentran descriptas en el Orientated Dinamic Learning

NEX> Revista de Networking y Programación

>>Lo más simple. fácil como hacer 1, 2, 3.

>>Si deseo una infrestructura más profesional.

>> No estoy on-line Es consultora en programación web/base

Autor: Dr. Reinaldo Piz Diez

NEX> Revista de Networking y Programación

Navegador Reproductor multimedia MPLAYER.

Paquete para edición y manejos de

Sistema de edición de diagramas DIA.

Sistema de acceso telefónico a redes PPP.

Manejador de conexiones ppp

Manejador de tablas de particiones QTPARTED.

Manejador de paquetes fuentes Portage de

Se desprende claramente de esta lista que se

Es importante dejar en claro que la ausencia de

Para finalizar este artículo, digamos que UTUTO-e,

Referencias y links de interés

[2] Las pruebas que se comentan fueron efectu-

[5] Ver http://www.fsf.org/links

Figura 6. Grabador de CD y DVD K3B

redes y la seguridad informática

En este artículo veremos un panorama general de los elemen-

NEX> Revista de Networking y Programación

- ¿Cómo hago una

Los fundamentos para comprender seguridad informática

TCP/IP es una suite (conjunto) de protocolos. Allí se incluye la in-

NEX> Revista de Networking y Programación

de cada layer Network Access (o Interface)

RFC 826 ARP (Address Resolution

RFC 894 especifica cómo se encapsulan

teriores y otros casos.

NEX> Revista de Networking y Programación

Los protocolos SMTP, http, Telnet, POP,

Request For Comment (RFC)

En este artículo expondremos: MD5. MD5 es un algoritmo hash diseñado

NEX> Revista de Networking y Programación

Explicación matemática del algoritmo RSA

Durante la CRYPTO 2004 tres grupos de cripto-analistas momento "comprometidas": SHA0

NEX> Revista de Networking y Programación

por Jesper M.Johansson teclado como dos categorías diferentes.

NEX> Revista de Networking y Programación

ETHICAL HACKING PASO A PASO

NEX> Revista de Networking y Programación

La importancia del footprinting >>Directivas de seguridad o

NEX> Revista de Networking y Programación

Escaneo de puertos lizando rangos en cualquiera

NEX> Revista de Networking y Programación

Knowledge Base del sitio de Microsoft automático

Three Way Handshaking

En todo paquete TCP/IP, en el header (encabeza-

En la siguiente figura podemos ver un esquemáti-

Por Carlos Vaughn OConnor

Debe colocar su red en modo cerrado, es decir