Amenazas y ataques en redes corporativas

AMENAZAS Y ATAQUES EN REDES

CORPORATIVAS

Clemente Cervantes Bustos


Índice: 1.- Utiliza un software (Windows o GNU/Linux) para “recrear o simular” una amenaza en una

red ................................................................................................................................................. 2

1.1.- ARP Spoofing/MAC Spoofing/IP Spoofing ......................................................................... 2

1.2.- Man in the Midle (MitM) /Sniffing/ Pharming .................................................................. 4

2.- Uso de netstat para análisis de puertos en Windows y GNU/Linux ...................................... 9

3.- Uso de software (Windows o GNU/Linux) para análisis de puertos de un equipo en la red

..................................................................................................................................................... 10

4.- Inyección SQL ......................................................................................................................... 12

4.1.- ¿Qué es la inyección de código SQL? .............................................................................. 12

4.3.- Indica cómo puede utilizar la distribución Bactrack de GNU/Linux para investigar sobre

la inyección de código SQL y que te permita obtener las tablas de usuarios y contraseñas de

las bases de datos de sitios web ............................................................................................. 13


1.- Utiliza un software (Windows o GNU/Linux) para

“recrear o simular” una amenaza en una red

1.1.- ARP Spoofing/MAC Spoofing/IP Spoofing Utilizaré la herramienta cain en Windows. Es una herramienta enfocada principalmente a la

recuperación de contraseñas utilizando para esto distintos medios.

Permite sniffear tu red en busca de contraseñas, recupera tus passwords de internet explorer,

conexión telefónica, red inalámbrica, cuenta con un excelente crackeado que permite

decodificar gran cantidad de contraseñas, permite ver detrás de los asteriscos “**” en

contraseñas guardadas… en fin… es una excelente herramienta para entornos Windows.

En primer lugar, descargamos e instalamos el software. Es importante mencionar, que para

instalarlo necesitaremos tener acceso a Internet.

A continuación, hacemos clic en configure.

Seleccionamos nuestro equipo. Como podemos ver, abajo en options tenemos la opción de

hacer un ARP o Sniffer. Podemos elegir la que queramos. En mi caso elegiré Sniffer.


En la misma ventana también tenemos la opción de hacer un ARP usando tanto la IP del

equipo como la MAC o suplantándolas.

Una vez hecho esto solo tenemos que iniciar el sniffer. Para probarlo me meteré a una página

y pondré un usuario y una contraseña al azar para ver si lo recoge el programa.


Vemos que lo ha cogido, el usuario que puse fue pepe y la contraseña apruebam.

En Linux tendríamos la herramienta ARP Watch. Es una herramienta para sistemas Linux que

nos puede ayudar a detectar el envenenamiento ARP en nuestro sistema operativo. Con esta

herramienta podemos comprobar la correspondencia entre pares (IP/MAC). En el caso en que

se esté provocando un ataque, ARP Watch manda un correo de notificación a la cuenta

administrador del sistema. También puede detectar nuevos hosts en la red (si alguien falsifica

su IP/MAC para hacer un ataque de envenenamiento ARP).

1.2.- Man in the Midle (MitM) /Sniffing/ Pharming Ettercap en una suite completa para realizar ataques de hombre en el medio. Permite

interceptar conexiones en vivo, filtrar contenido al vuelo y varios otros trucos interesantes.

Soporta disección activa y pasiva de varios protocolos e incluye diversas características para el

análisis de red y host

Instalamos en un equipo Ubuntu el programa ettercap.


Deberemos poner nuestra contraseña de usuario para poder acceder.

Nos vamos a la siguiente pestaña:

Seleccionamos nuestra tarjeta de red.


Añadir a la lista de hosts, los objetivos contra los cuales se realizará el ARP Spoofing. Para ello

hacemos clic en la opción Hosts -> Scan for Host.

Seleccionamos la opción Host -> Host List. Ante lo cual se presentará una nueva pestaña con el

listado de los Hosts.


Del listado de Hosts presentado seleccionamos la dirección IP de mi equipo en mi caso y

definirla como objetivo 1 haciendo clic en el botón Add to Target 1. Y la dirección

192.168.70.60 la defino como Add to Target 1 para probar.

Hacemos clic en Mitm -> Arp poisoning...


Nos aparecerá una ventana donde se debe seleccionar la opción Sniff remote connections. o

husmear conexiones remotas.

Hacemos clic en la opción Start -> Start sniffing o Empezar a Husmear.

En Windows 7 notamos que la dirección MAC asignada a Kali Linux, es la misma dirección MAC

relacionada con la dirección IP 192.168.70.141 asignada a mi equipo.


2.- Uso de netstat para análisis de puertos en Windows y

GNU/Linux Es una herramienta de línea de comandos que muestra un listado de las conexiones activas de

un ordenador, tanto entrantes como salientes. Podemos utilizar el netstat para ver si tenemos

alguna conexión activa que no debería estarlo o que es una conexión desconocida, pudiendo

tratarse de un virus.

Para usar esta herramienta en Windows nos deberemos dirigir a inicio>ejecutar y escribir

netstat. Otra opción sería ejecutarlo directamente en el cmd.

En Linux lo ejecutaremos en el terminal. Podemos ejecutar un netstat o podemos ejecutarlo

junto con la opción –tlnp para ver los puertos usados por el equipo junto con el nombre del

programa.


3.- Uso de software (Windows o GNU/Linux) para análisis

de puertos de un equipo en la red Utilizaré el Nmap para analizar los puertos de un equipo en la red.

Ponemos nuestra IP y tenemos diferentes opciones a elegir, en mi caso elijo el escaneo

intenso.


Para iniciar el escaneo pulsamos en Escaneo.

Veo que en mi caso solo tengo puertos TCP abiertos. Si nos vamos a la pestaña

Puertos/Servidores, vemos todos los puertos abiertos que tengamos.


4.- Inyección SQL

4.1.- ¿Qué es la inyección de código SQL? Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad

informática presente en una aplicación en el nivel de validación de las entradas para realizar

consultas a una base de datos.

El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables

utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de

una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de

programación o script que esté embebido dentro de otro.

La inyección de SQL es una técnica que inyecta código malicioso en una aplicación web,

aprovechando una vulnerabilidad en seguridad a nivel de base de datos, con la intención de

cambiar su funcionamiento. Es una técnica poderosa, ya que puede manipular tanto las URL

(cadenas de consulta) como cualquier otro formulario (registro de correo electrónico, inicio de

sesión, búsqueda) para inyectar código malicioso.

Hay algunas precauciones que pueden tomarse para evitar este tipo de ataques. Por ejemplo,

es una buena práctica agregar una capa entre un formulario visible y la base de datos. En PHP,

la extensión PDO [inglés] se usa a menudo para trabajar con parámetros (a veces llamados

variables bind o placeholder) en lugar de incrustar el contenido del usuario en la declaración.

Otra técnica muy fácil es escapar caracteres, donde todos los caracteres peligrosos que

pueden tener un efecto directo sobre la estructura de base de datos se escapan. Por ejemplo,

cada comilla simple ['] en un parámetro se debe sustituir por dos comillas simples [''] para

formar una cadena literal de SQL válida. Estas son sólo dos de las acciones más comunes que

puedes tomar para mejorar la seguridad de un sitio web y evitar las inyecciones SQL. En

Internet puedes encontrar muchos recursos que se ajustan a tus necesidades (lenguajes de

programación, aplicaciones web específicas, etc).

4.2.- Buscar enlaces en Internet que indiquen como evitar SQL inyection


https://www.genbetadev.com/seguridad-informatica/evita-los-ataques-de-inyeccion-de-sql

4.3.- Indica cómo puede utilizar la distribución Bactrack de GNU/Linux para

investigar sobre la inyección de código SQL y que te permita obtener las

tablas de usuarios y contraseñas de las bases de datos de sitios web Arrancamos la máquina Linux con la iso de Bactrack.

Para acceder al modo gráfico deberemos escribir startx en la línea de comandos.

Una vez en el modo gráfico nos dirigimos a la siguiente pestaña:

https://www.genbetadev.com/seguridad-informatica/evita-los-ataques-de-inyeccion-de-sql


Para hacer el ataque sql deberemos poner ./sqlmap.py –u + la página web que queramos

atacar.

Amenazas y ataques en redes corporativas

Documents

Transcript of Amenazas y ataques en redes corporativas