Professional Documents
Culture Documents
AGENDA
Introduccin Ataques de red
INTRODUCCIN
Instalacin Sensor de Monitoreo Conceptos bsicos computacin forense
Mayores funcionalidades para el manejo de paquetes y dispositivos de red que un sistema operativo Windows
http://www.ubuntu.com
5
http://www.ubuntu.com
6
HERRAMIENTAS INSTALADAS
Herramientas de red
dsniff 2.4b1
ettercap NG 0.7.3 tcpdump 3.9.8
netcat 1.10
nmap 4.53-3 wireshark 1.0.2
ngrep 1.45
tcpreplay tcprewrite
7
AMBIENTE DE TRABAJO
Mquina virtual VMWARE
Modo Host-only: Conexin de red con el sistema operativo principal Adaptador de red directo con la mquina Windows
CONFIGURACIN DE RED
10
INTRODUCCIN
Instalacin Sensor de Monitoreo TCP/IP para deteccin de intrusiones
11
DETECCIN DE INTRUSIONES
Existen numerosas amenazas En la red circula trfico normal y malicioso Es necesario un esquema de monitoreo para eventos maliciosos en la infraestructura de las compaas Una sola intrusin puede ocasionar un impacto catastrfico
ENCABEZADO IP
Fuente: http://www.networksorcery.com/enp/protocol/ip.htm
ENCABEZADO IP (2)
Version: Versin del Paquete IP IHL (Internet Header Length): Nmero de palabras de 4 bytes que componen el encabezado IP. Si el IHL es mayor a 5, el paquete IP tiene opciones.
Differentiated Services: Prioridad definida para el paquete de acuerdo con el RFC 2474.
ENCABEZADO IP (3)
Total Length: Tamao total del paquete IP en bytes
ENCABEZADO IP (4)
Time To Live (TTL): Campo que se decrementa por cada salto de nivel 3 que tenga el paquete IP Protocol: Nmero del protocolo encapsulado en el paquete IP Header Checksum: Chequeo de errores para el encabezado IP y opciones Source IP and Destination IP address: Direcciones IP fuente y destino.
ENCABEZADO TCP
Fuente: http://www.networksorcery.com/enp/protocol/tcp.htm
Control Bits:
URG: Usado para comunicar datos urgentes al stack de TCP/IP ACK: Usado para confirmar la recepcin de un paquete. SYN: Usado para sincronizacin de comunicaciones
Window:
Cantidad de informacin que puede enviarse al mismo tiempo sin ser confirmada por el receptor
Urgent Pointer: Puntero a la informacin urgente que debe ser procesado por el sistema operativo Opciones: Parmetros adicionales para la conexin
ENCABEZADO UDP
Fuente: http://www.networksorcery.com/enp/protocol/udp.htm
ENCABEZADO ICMP
Fuente: http://www.networksorcery.com/enp/protocol/icmp.htm
EJERCICIO
Cmo catalogara usted los siguientes paquetes?
4600 0020 d2d1 0000 0102 558d 0a01 027e efff fffa 9404 0000 1600 fa04 efff fffa
4500 0028 d2d3 4000 8006 dd56 0a01 027e 0a78 33af 0dc3 06b3 a1c3 a798 0921 1f24 5010 ff37 dfdf 0000 4500 003c da85 0000 ff01 c9ba 0a01 0101 0a01 027e 0000 d35b 0200 8000 6162 6364 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 7576 7761 6263 6465 6667 6869
EJERCICIO (2)
Cmo catalogara usted los siguientes paquetes?
4500 0028 879a 4000 4006 9a7c 0a01 023a 0a01 027e 1f90 0e7d 7b0b 92c5 e52e ceed 5010 c1e8 e537 0000 0000 0000 0000 4500 006e f0f4 0000 7e11 012d 0a78 3367 0a01 027e 0035 0e80 005a e721 0001 8580 0001 0001 0000 0000 0331 3033 0235 3103 3132 3002 3130 0769 6e2d 6164 6472 0461 7270 6100 000c 0001 c00c 000c 0001 0000 04b0 001a 0865 706d 2d64 6330 3104 636f 7270 0365 706d 0363 6f6d 0263 6f00
AGENDA
Introduccin Ataques de red
28
ATAQUES DE RED
Reconocimiento Tipos de exploits
29
RECONOCIMIENTO
Portscanners Preguntas a DNS
Google Hacking
30
PORTSCANNERS
Su finalidad es determinar si un puerto est o no abierto
Tcnicas TCP:
Connect Scan SYN Scan
Tcnica UDP
UDP Scan
CONNECT SCAN
SYN SCAN
UDP SCAN
NMAP
Es el portscan ms popular de Internet http://www.nmap.org Soporta varios tipos de portscan
SYN Scan
FIN Scan
XMAS scan (Bits SFPUA activos) Connect Scan
UDP Scan
NMAP (2)
Connect Scan
nmap -sT <direccin ip>
Christmas Scan
nmap -sX <direccin ip>
Syn Scan
nmap -sS <direccin ip>
UDP Scan
nmap -sU <direccin ip>
NMAP (3)
NMAP (4)
NMAP (5)
NMAP (6)
EJERCICIO
En la red se encuentra una mquina Linux vulnerable. Ejecute un portscan y determine los puertos TCP y UDP abiertos.
RECONOCIMIENTO
Portscanners Preguntas a DNS
Google Hacking
44
SERVICIO DNS
Domain Name Service Servicio que permite manejar la conversion entre nombres de mquina y direcciones IP a nivel mundial Compuesto por 8 servidores DNS distribuidos a nivel mundial
Estos a su vez se distribuyen en muchos mas Nombres:
a.root-servers.net (198.41.0.4): Verisign INC
b.root-servers.net (192.228.79.201): Information Science institute
45
46
48
49
51
52
RECONOCIMIENTO
Portscanners Preguntas a DNS
Google Hacking
53
pero tambin cualquier otra informacin que coloquemos en los sitios web!!
54
Directiva link
Muestra todos los sitios enlazados a un sitio web especfico link:www.eltiempo.com
55
Directiva inurl
Muestra las pginas web que tengan dentro de su URL las palabras clave buscadas inurl:hack
Directiva related
Muestra pginas relacionadas a la buscada
56
57
Pueden utilizarse mltiples combinaciones de directivas Si existe en el sitio web, es muy probable que google lo haya indexado
EJEMPLOS
Archivos de configuracin mysql
filetype:cnf my.cnf -cvs example
Impresoras HP en Internet?
inurl:hp/device/this.LCDispatcher
EJERCICIO
Sobre una plataforma en la cual usted tenga permiso, realice consultas de google para determinar si existen vulnerabilidades interesantes que pudiera aprovechar Considere las existentes en este sitio web: http://www.hackersforcharity.org/ghdb/
60
ATAQUES DE RED
Reconocimiento Tipos de exploits
61
TIPOS DE EXPLOITS
Buffer overflow Denial of Service
62
Cul es el resultado?
63
64
65
Code Segment: Segmento que contiene las instrucciones a ejecutar en el procesador BSS Segment: Segmento que contiene las variables no inicializadas y las variables estticas
67
Ejecutemos el programa
68
69
70
AAAAAAAAA AAAAAAAAAA AAAAAA Code Segment BSS Segment Heap Segment Stack Segment
71
El primer caso materializa en Windows una pantalla azl y en UNIX un Kernel Panic.
El mximo trfico que puede generar el cliente es lo que soporte su tarjeta de red El servidor normalmente tiene una tarjeta de red de alta capacidad Es dificil congestionarlo con trfico de un equipo
74
75
Cul es el ancho de banda de un canal de internet corporativo promedio? Qu le ocurrira a la salida a Internet de una compaa?
76
Vulnerabilidades especficas
en
programas
versiones
Exploits posiblemente disponibles en las herramientas de anlisis de vulnerabilidades y en los sitios web especializados del tema
78
79
Ms informacin en https://www.blackhat.com/presentations/bh-usa07/Afek/Whitepaper/bh-usa-07-afek-WP.pdf
80
81
Qu puede ocurrir con esta aplicacin a partir de los datos entrados? Dos escenarios: msantand y msantand; DROP TABLE usuarios;
82
Segundo caso:
Se ejecuta lo siguiente:
SELECT * FROM usuarios WHERE nombre msantand'; DROP TABLE usuarios; =
Los comandos inyectados se ejecutan con los privilegios del usuario de la base de datos que accede la aplicacin Imagine las posibilidades
83
84
85
Forma sencilla de insertar cdigo malicioso en las aplicaciones para que otros usuarios los ejecuten
86
87
88
No es necesario tener activos los puertos en el firewall Permite enfocar mejor los ataques, una vez se conocen los servicios abiertos de las mquinas
89
No es necesario tener activos los puertos en el firewall Permite enfocar mejor los ataques, una vez se conocen los servicios abiertos de las mquinas
Brute Force
Su objetivo es conseguir mediante suposicin la contrasea correspondiente a un nombre de usuario
90
AGENDA
Introduccin Ataques de red
92
93
ANALIZADORES DE PROTOCOLOS
Su finalidad es recolectar informacin correspondiente al trfico que est pasando a la interfaz de red del equipo. Vulnerabilidades en protocolos (texto plano?) til cuando hay ataques desconocidos
Antivirus no detecta Firewall no detecta IDS no detecta Qu pasa entonces?
Estos filtros son la base de las firmas que se colocan en los Sistemas de Deteccin de Intrusos
EJERCICIO
Intercambie la informacin de su direccin IP con alguno de sus compaeros
EJERCICIO (2)
Defina y aplique un filtro para conocer los puertos cerrados de la maquina remota Hay alguna forma de saber, desde la captura de red, qu sistema operativo tiene la mquina que usted est escaneando? Utilice nmap para realizar un syn scan, un connect scan y un UDP scan. Cmo se define el patrn de cada uno de estos tipos de scan en trminos de la variacin de los campos de los encabezados tcp, udp e ip?
EJERCICIO (3)
Utilizando wireshark, Qu filtros colocara usted para determinar qu puertos estn abiertos? Qu filtros colocara usted para determinar qu puertos estn cerrados? Utilice nessus contra la mquina del profesor y realice una captura de red. Qu ataques puede reconocer? Cmo parametrizara el ataque en trminos de los encabezados tcp, udp, icmp e ip?
106
FIREWALLS
Dispositivo utilizado para el control de accesos a mquinas individuales o zonas de red Control mediante reglas
Encabezados de los protocolos: nivel 3 Encabezados y contenidos de los protocolos: nivel 7
Recolecta evidencia por conexiones exitosas e intentos de conexin no autorizados Tipos de firewalls
Nivel 3: Stateful Packet Filter y Packet Filter
FIREWALLS (2)
Tipos de firewalls
Nivel 7: Proxy Packet Filter: Realiza el control de trfico mediante reglas correspondientes a los encabezados ip, tcp, udp, icmp.
Stateful Packet Filter: Iguales funcionalidades pero realiza el control de sesin de los paquetes
Proxy: Realiza el control de trfico mediante inspeccin del contenido y el origen de la transmisin
FABRICANTES FIREWALLS
Comerciales
Cisco ASA (http://www.cisco.com/en/US/products/ps6120/index.html) Checkpoint Power-1 (http://www.checkpoint.com/products/power-1/index.html) 3com Firewall (http://www.h3cnetworks.com/en_US/product.page?pathtype= Purchase&category=CAT_SECURITY&class=CLS_SEC_APP LIANCES&family=FAM_SP_FRWL&product=0235A11L&nam e=H3C-SecPath-F100-A-Advanced-VPN-Firewall) Astaro Security Gateway (Linux) (http://www.astaro.com/our_products/astaro_security_gateway ) ISA Server (Proxy Microsoft)
Cmo escoger cul usar? Dependiendo de las funcionalidades requeridas y el presupuesto disponible
IPTABLES
Firewall en kernel disponible para Linux Funcionalidades
Stateful Packet Filtering NAT
IPTABLES (2)
Definicin de reglas
Soporta protocolos TCP, UDP, ICMP e IP Puede referenciarse cualquiera de los campos correspondientes a los encabezados de los protocolos
IPTABLES (3)
Argumentos para reglas:
s: Direccin ip fuente o direccin de red fuente. La direccin de red puede darse en formato CIDR d: Direccin ip destino o direccin de red destino. Tambin puede darse en formato CIDR.
IPTABLES (4)
Argumentos para reglas:
-tcp-flags [SYN|RST|ACK|FIN|PUSH|URG]: Realiza match con las banderas tcp definidas. -state [INVALID|ESTABLISHED|NEW|RELATED]
o INVALID: El paquete no pudo ser identificado como parte de una conexin o ESTABLISHED: El paquete est asociado a una conexin previamente establecida o NEW: El paquete est iniciando una conexin o RELATED: Inicio de una conexin nueva pero relacionada a otra establecida previamente (Ej: FTP)
IPTABLES (5)
Existen manejadores grficos para evitar teclear comandos en modo texto
fwbuilder (http://www.fwbuilder.org/)
Bifrost (http://freshmeat.net/projects/bifrost-fw/)
IPTABLES (6)
Ejemplo: Realice una regla para restringir la salida de trfico de internet slo a http a la mquina www.google.com
iptables A FORWARD p tcp s 192.168.17.0/24 d www.google.com --destination-port 80 j ACCEPT
IPTABLES (7)
Ejemplo: Realice una regla para permitir conexiones entrantes ssh a la mquina ssh.homelinux.org
iptables A FORWARD p tcp s 0.0.0.0/0 d ssh.homelinux.org --destination-port 22 j ACCEPT
IP FILTER
Firewall en kernel disponible para Linux Funcionalidades
Packet Filtering NAT
IP FILTER (2)
Definicin de reglas
Soporte de protocolos tcp, udp, icmp e ip Bloqueo de entrada y salida de trfico en las interfaces Uso de in y out para determinar la direccin del trfico Comodn all para todas las direcciones ip Directiva port para especificacin del puerto Ms informacin en http://www.obfuscation.org/ipf/ipf-howto.html
IP FILTER (2)
Ejemplo: Permitir acceso por http a Internet a travs de la interfaz de salida eth1
pass out quick on eth1 proto tcp from 192.168.17.0/24 to all port = 80 block out quick all on eth1
Ejemplo: Permitir acceso por ssh a la maquina intercambio.udi.edu.co a travs de la interfaz de entrada eth1
pass in quick on eth1 proto tcp from all to intercambio.udi.edu.co port = 22 block in quick all on eth1
SQUID
Proxy para plataformas Linux y Windows Permite habilitar cache para navegacin de http y ftp Permite bloqueo de contenido
Extensin dansguardian: http://dansguardian.org/
SQUID (2)
Desde Ubuntu se instala as:
apt-get install squid
DELEGATE
Proxy para mltiples servicios
FTP, HTTP, SOCKS, SSL, POP3, IMAP, LDAP, SMTP, DNS
DELEGATE (2)
Usos ms comunes
Proxy: delegate P8080 SERVER=http ftp a ssh: delegated -P21 SERVER=ftp MOUNT="/* sftp://server/* servidor relay smtp: delegated -P25 SERVER=smtp
Ms informacin en:
http://www.delegate.org/delegate/HowToDG.html http://www.delegate.org/delegate/Manual.htm
SNORT
IDS/IPS codigo abierto Dos tipos de reglas
Community: Libres sin costo Licenciadas: Pago completo con mltiples tipos de detecciones