BackTrack Seguridad en Redes

Indice general

I Preliminares 3

1. Recomendaciones 5

II Practicas 7

1. Nmap: rastreador de paquetes 91.1. Introduccion: . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.2. Objetivo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.3. Instalacion: . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.4. Conceptos importantes: . . . . . . . . . . . . . . . . . . . . . . 101.5. Metodologıa: . . . . . . . . . . . . . . . . . . . . . . . . . . . 101.6. Practica propuesta: . . . . . . . . . . . . . . . . . . . . . . . . 121.7. Recomendaciones: . . . . . . . . . . . . . . . . . . . . . . . . . 14

2. NESSUS: Vulnerabilidades en los puertos 152.1. Introduccion: . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.2. Objetivo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.3. Instalacion: . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162.4. Conceptos importantes: . . . . . . . . . . . . . . . . . . . . . . 172.5. Metodologıa: . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.6. Recomendaciones: . . . . . . . . . . . . . . . . . . . . . . . . . 25

3. SET: Ataques de elemento humano 273.1. Introduccion: . . . . . . . . . . . . . . . . . . . . . . . . . . . 273.2. Objetivo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273.3. Instalacion: . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273.4. Conceptos importantes: . . . . . . . . . . . . . . . . . . . . . . 283.5. Metodologıa: . . . . . . . . . . . . . . . . . . . . . . . . . . . 283.6. Practica propuesta: . . . . . . . . . . . . . . . . . . . . . . . . 303.7. Recomendaciones: . . . . . . . . . . . . . . . . . . . . . . . . . 33

1

2 INDICE GENERAL

4. SSLSTRIP 354.1. Introduccion: . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.2. Objetivo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.3. Instalacion: . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354.4. Conceptos importantes: . . . . . . . . . . . . . . . . . . . . . . 364.5. Metodologıa: . . . . . . . . . . . . . . . . . . . . . . . . . . . 374.6. Practica propuesta: . . . . . . . . . . . . . . . . . . . . . . . . 404.7. Recomendaciones: . . . . . . . . . . . . . . . . . . . . . . . . . 40

5. Computo Forense: Imagen forense 435.1. Introduccion: . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.2. Objetivo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.3. Instalacion: . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435.4. Conceptos importantes: . . . . . . . . . . . . . . . . . . . . . . 445.5. Metodologıa: . . . . . . . . . . . . . . . . . . . . . . . . . . . 445.6. Practica propuesta: . . . . . . . . . . . . . . . . . . . . . . . . 475.7. Recomendaciones: . . . . . . . . . . . . . . . . . . . . . . . . . 48

Parte I

Preliminares

3

1Recomendaciones para eldesarrollo de las practicas

1.1 Equipo necesario

Para el desarrollo de las practicas de laboratorio es necesario tener insta-lado como sistema operativo Linux(Ubuntu/Debian/Backtrac). Este manualde practicas esta basado en Backtrac, ya que por default cuenta con todos lospaquetes necesarios que se usan en cada practica de este manual, sin embargose agregan las paginas de descarga e instalacion de los paquetes para las otrasdos versiones de Linux (Ubuntu y Debian), para que no haya problemas si elusuario no las tiene instaladas.

5

Parte II

Practicas

7

Practica 1

Nmap: rastreador de paquetes

1.1. Introduccion:

Nmap (mapeador de redes) es una herramienta de codigo abierto paraexploracion de red y auditoria de seguridad. Se diseno para analizar rapida-mente grandes redes, aunque funciona muy bien contra equipos individuales.Nmap utiliza paquetes IP ”crudos” en formas originales para determinarque equipos se encuentran disponibles en una red, que servicios (nombre yversion de la aplicacion) ofrecen, que sistemas operativos (y sus versiones)ejecutan, que tipo de filtros de paquetes o corta-fuegos se estan utilizando,ası como docenas de otras caracterısticas.

1.2. Objetivo:

El objetivo es que despues de esta practica el alumno sea capaz de realizarauditorias de seguridad. Realizar tareas rutinarias como el inventariado deuna red, planificacion de actualizacion de servicios y la monitorizacion deltiempo que los equipos o servicios se mantienen activos. Ademas del uso de laresolucion inversa, pues se podra conocer un listado de IP’s, sistemas opera-tivos, tipos de dispositivos y direcciones MAC1 que se encuentran conectadosa los puertos de nuestra computadora o red.

1.3. Instalacion:

Ubuntu/Debian: sudo apt-get install nmap

9

10 PRACTICA 1. NMAP: RASTREADOR DE PAQUETES

1.4. Conceptos importantes:

Puerto: Un puerto es una zona en la que dos ordenadores (hosts) in-tercambian informacion.

Servicio: Un servicio es el tipo de informacion que se intercambia conuna utilidad determinada como ssh o telnet.

Firewall: Un Firewall acepta o no el trafico entrante o saliente de unordenador.

Paquetes SYN: Ası por encima, pueden ser paquetes que abren unintento de establecer una conexion TCP.

Debemos tener en cuenta que para Nmap un puerto puede estar de tresmaneras:

1. Open: el puerto es accesible y hay un demonio escuchando.

2. Closed: el puerto es accesible pero no hay un demonio escuchando.

3. Filterd: el puerto no es accesible, un firewall filtra el puerto.

1.5. Metodologıa:

Existen una infinidad de comandos para el uso de Nmap. La instruccionbasica para su uso es con el comando nmap seguido de la IP o dominio:

Figura 1.1: Comando nmap seguido de mi IP.

Como lo muestra la figura 1.1, el uso es tan simple que solo nos devuelvelos puertos que estan abiertos. Ası, dependiendo de la IP que se escanee,

1.5. METODOLOGIA: 11

puede que nos bloquee el escaneo si solo lo hacemos de esta manera. Por talmotivo, se le agrega el comando -sS a la instruccion anterior, que nos permitehace un escaneo mas discreto y sin dejar registros en el sistema:

Figura 1.2: Comando nmap seguido de la opcion -sS y mi IP

Cabe mencionar que ademas de los comandos usados, como lo muestrala figura 1.2, existen varios tipos de modificadores para el escaneo, pero loimportante es lograr identificar la combinacion mas apropiada para el tipo deanalisis que queremos realizar. Algunos modificadores que se pueden utilizarson los siguientes:

sT: se intenta hacer un barrido de puertos por TCP. La ventaja de estatecnica es que no requiere usuarios privilegiados, opuesto a sS.

sU: se intenta hacer un barrido de puertos por UDP. Es util cuando seintentan descubrir puertos de nivel superior que pueden estar detras deun Firewall, lenta pero permite hacer auditorias mas exactas.

SA: se usan mensajes de ACK para lograr que el sistema responda yası determinar si el puerto esta abierto. Algunos Firewall no filtranestos mensajes y por ello puede ser efectivo en algunos casos.

SX: puede pasar algunos Firewall con malas configuraciones y detectarservicios prestandose dentro de la red.

sP: este modificador ayuda a identificar que sistemas estan arriba en lared (en funcionamiento), para luego poder hacer pruebas mas especifi-cas, similar a Ping.


SV: intenta identificar los servicios por los puertos abiertos en el siste-ma. Esto permite evaluar cada servicio de forma individual para inten-tar ubicar vulnerabilidades en los mismos.

SO: con esta opcion se identifica que protocolos de nivel superior acapa tres (Red o Network), responden en el sistema, de esta manera esmas facil saber las caracterısticas de la red o el sistema que se intentaevaluar.

Adicionalmente a las opciones de escaneo, se pueden especificar opcionesque permiten explotar mas aun la herramienta. Dentro de las opciones quemas frecuentemente se usan, estan las de evitar el Ping o mostrar todos losresultados en pantalla al maximo detalle, veamos cuales son estas opciones:

b: Para determinar si la victima es vulnerable al “bounce attack”.

n: no hace conversiones DNS para hacer el -sP mas rapido.

vv: hacer la salida de la herramienta detallada en pantalla.

f: habilita la fragmentacion, de esta forma es mucho mas complejo paraun un Firewall u otro tipo de sistema lograr hacer el rastreo.

ON: redirige la salida a un archivo.

oX: redirige la salida a un archivo XML:

–stylesheet: con esta opcion se usa una hoja de estilo que hace mas facilla lectura de la salida en XML.

PO: indica que no se debe hacer ping a los sistemas objetivo, antes deiniciar el analisis util, para evitar el bloque en algunos Firewall.

p: se usa para especificar puertos de analisis o rango de puertos.

T: se usa para especificar la velocidad general del escaneo, de estaforma se puede pasar inadvertido en algunos sistemas que detectan lavelocidad de los paquetes entrantes.

1.6. Practica propuesta:

Resumen de comandos:

1.6. PRACTICA PROPUESTA: 13

1. Obtener informacion de un host remoto y deteccion del SO:

nmap -sS -P0 -sV -O [direccion]

-sS =escaneo TCP SYN (o escaneo sigiloso) -P0 =no se envıan pingsICMP -sV =detecta las versiones -O =se intenta identificar el SistemaOperativo Otras opciones: -A =habilita OS fingerprinting y deteccionde version -v =usar dos veces -v para obtener mas detalles

2. Listar servidores con un puerto especifico abierto:

nmap -sT -p 80 -oG – 192.168.1.* — grep open

Cambiar el argumento -p por el numero del puerto.

3. Detectar IP’s activas en una red:

nmap -sP 192.168.0.*

Otra opcion para subnets es:

nmap -sP 192.168.0.0/24

4. Hacer ping a un rango de IP’s:

nmap -sP 192.168.1.100-254

Nmap acepta una gran variedad de rangos, notacion de direcciones,objetivos multiples, etc.

5. Encontrar IP’s no usadas en una subnet:

nmap -T4 -sP 192.168.2.0/24 && egrep “00:00:00:00:00:00′′ /proc/net/arp

6. Escanear en busca del virus Conficker:

nmap -PN -T4 -p139,445 -n -v –script=smb-check-vulns –script-argssafe=1 192.168.0.1-254

Reemplazar 192.168.0.1-254 con las IP’s que se quiere escanear.

7. Escanear red en busca de AP falsos:

nmap -A -p1-85,113,443,8080-8100 -T4 –min-hostgroup 50 –max-rtt-timeout 2000 –initial-rtt-timeout 300 –max-retries 3 –host-timeout 20m–max-scan-delay 1000 -oA wapscan 10.0.0.0/8

Funciona incluso en grandes redes.

8. Crear un senuelo durante el escaneo de puertos para evitar ser detec-tado:

sudo nmap -sS 192.168.0.10 -D 192.168.0.2


Escanea los puertos del nodo 192.168.1.10 mientras spoofea la IP 192.168.0.2como nodo atacante (esta IP debe estar activa) ası parecera que el es-caneo se ejecuta desde la IP192.168.0.2 (la ip spoofeada). Comprobarlos logs en /var/log/secure para comprobar si ha funcionado correcta-mente.

9. Listar los registros DNS inversos de una subred:

nmap -R -sL 209.85.229.99/27 — awk ‘if(3 == ”not”)print”(\2′′) noPTR”;else print3′′is\2’ — grep ‘(‘

Este comando hace un reverse DNS lookup en una subred, se crea unalista con las direcciones IP de los registros PTR en la subred indicada.Se puede insertar la subred en notacion CDIR (ejemplo: /24 para laClase C). Puedes agregar “-dns-servers x.x.x.x” despues del parametro“-sL” si quieres realizar el listado sobre un servidor DNS especifico.

10. Cuantos nodos con Linux y cuantos con Windows hay en una red:

sudo nmap -F -O 192.168.0.1-255 — grep “Running: ” > /tmp/os;echo “(cat/tmp/os|grepLinux|wc−l)Linuxdevice(s)”; echo\(cat /tmp/os— grep Windows — wc -l) Window(s) devices

1.7. Recomendaciones:

Nmap trabaja con una serie de instrucciones, que dependiendo de cualessean estas, recaba la informacion solicitada sobre los equipos conectados, lostipos de servicio, etcetera.De esta manera en la seccion anterior, la de ejercicios, estan recopilados lasinstrucciones que mas pueden servir al administrador de una red, para cuandonecesite hacer un analisis profundo del area de trabajo.

Practica 2

NESSUS: Vulnerabilidades enlos puertos

2.1. Introduccion:

Nessus (version 5.02), es un programa de escaneo de vulnerabilidadesque se encuentra disponible para distintos sistemas operativos. Consiste enun servicio o programa, llamado comunmente Daemon, que se ejecuta ensegundo plano y que por tanto no es controlado por el usuario, de tal maneraque este realiza un escaneo del sistema e informa sobre el estado en el que seencuentra. Desde la consola de Nessus se pueden programar los escaneos pormedio de un “cron”, que es un administrador de procesos en segundo plano,es decir que ejecuta procesos de segundo plano en un intervalo de tiempo.Ya en actividad el Nessus comienza con escaneando los puertos con NMAP, elcual sirve para efectuar rastreo de puertos, descubriendo servicios o servidoresen una red informatica. El resultado de las pruebas de vulnerabilidad, sonescritas en NASL (Nessus Attack Scripting Language), un lenguaje scriptingoptimizado para interacciones personalizadas en redes.

2.2. Objetivo:

El objetivo de esta practica es que el alumno sea capaz de hacer sus pro-pias y correctas polıticas de escaneo, ademas de que despues de efectuado elanalisis por parte del programa, sepa eliminar o minimizar las vulnerabilida-des en esos puertos.

15

16 PRACTICA 2. NESSUS: VULNERABILIDADES EN LOS PUERTOS

2.3. Instalacion:

Ubuntu/Debian:

1. Descargar el paquete de instalacion Nessus correspondiente: http://www.tenable.com/products/nessus/nessus-download-agreement

2. Una vez aceptada la licencia, descargamos el producto adecuado a nues-tra arquitectura y sistema operativo, en este caso Ubuntu, arquitectura32 bits, pero las instrucciones son las mismas para la arquitectura 64bits.

3. Instalamos Nessus: dpkg -i Nessus-5.0.2-ubuntu1110 i386.deb

4. Anadimos usuario: /opt/nessus/sbin/nessus-adduser

5. Nos pide el login y contrasena para comprobar que somos administra-dores.

6. Es necesario instalar unos plugins, asi que ponemos afirmativo a lapregunte:

a) Do you want this user to be a Nessus ’admin’ user ? (can uploadplugins, etc...) (y/n) [n]: Y

b) This user will have ’admin’ privileges within the Nessus serverRules : Is that ok ? (y/n) Y

7. Ahora vamos al siguiente link: http://www.tenable.com/products/nessus/nessus-homefeed

8. Aceptamos los terminos de uso, gratis para uso personal. Nos registra-mos y se nos enviara al correo un codigo de activacion.Registramos Nes-sus y automaticamente se actualizaran los plugins: /opt/nessus/bin/nessus-fetch –register “your activation code”

9. Una vez terminada la actualizacion, reiniciamos el servicio: /etc/init.d/nessusdrestart

10. Ejecutamos en terminal: firefox https://localhost:8834

11. Ahora solo esperemos a que se termine de iniciar el servicio. Este puedetardar algo de tiempo (ver figura 2.1), aproximadamente 1 hora:

2.4. CONCEPTOS IMPORTANTES: 17

Figura 2.1: Nessus inicializandose


Credenciales de Windows: Son aquellas que nos permiten almacenardatos como como nombres de usuarios y contrasenas que se usan parainiciar sesion en sitios web o en otros equipos de una red. Medianteel almacenamiento de credenciales, Windows nos permite iniciar sesionautomaticamente en sitios web o en otros equipos. Las credenciales seguardan en carpetas especiales del equipo llamadas almacenes. Win-dows y determinados programas (como los exploradores web) puedenproporcionar con seguridad las credenciales de los almacenes a otrosequipos y sitios web.

Protocolo: Dentro de las redes informaticas se conoce bajo el nombre deprotocolo al lenguaje, que es un conjunto de reglas formales, que per-miten la comunicacion de distintas computadoras entre sı. Dentro delas distintas redes, como Internet, existen numerosos tipos de protoco-los, entre ellos:TPC/IP, TCP (Transmision Control Protocol), HTTP(Hypertext Transfer Protocol), FTP (File Transfer Protocol), SSH (Se-cure Shell), UDP (User Datagram Protocol), SNMP (Simple NetworkManagement Protocol), TFTP (Trivial File Transfer Protocol), SMTP(Simple Mail Transfer Protocol), ARP (Address Resolution Protocol).

Protocolo Samba:Samba es una implementacion para Linux del proto-colo SMB (Server Message Block), con el que podremos acceder (porTCP/IP) a servidores SMB como cliente, o montar un servidor SMBpropio. Con Samba podemos hacer basicamente cuatro operaciones:

1. Compartir una unidad Linux con maquinas Windows

2. Compartir una unidad Windows con maquinas Linux

3. Compartir una impresora Linux con maquinas Windows


4. Compartir una impresora Windows con maquinas Linux

2.5. Metodologıa:

Con la aplicacion ya inicializada, nos sale un cuadro para loguearnos:

Figura 2.2: Cuadro para loguearse en Nessus

Ya logueados, lo primero que se debe hacer es ir a la pestana de Polıticas(Policies). Ahı existen unas polıticas que pudiesemos elegir por default, sinembargo nosotros anadimos una nueva polıtica:

Figura 2.3: Nueva polıtica


Primero le damos un nombre a nuestra polıtica:

Figura 2.4: Configuracion general de las polıticas

Rellenamos las credenciales de Windows, que nos permite guardar a losusuarios y contrasenas, de unidades Linux por medio del protocolo SAMBA(SMB):

Figura 2.5: Polıticas de las credenciales

Elegimos los plugins con los cuales queremos realizar el escaneo. Haydistinta variedad para cada sistema operativo, ademas de poder actualizarlos:


Figura 2.6: Configuracion en las polıticas de los plugins

En Preferencias (Preferences), se puede modificar el login, cambio el es-caneo de los puertos, entre otras muchas cosas:

Figura 2.7: Configuracion de las polıticas

Guardamos la polıtica dando presionando el boton ”Update” de la partede abajo.


Con la polıtica agregada, vamos a la pestana de ”Scans” y agregamos unnuevo escaneo:

Figura 2.8: Nueva polıtica

Primero le damos un nombre a nuestro escaneo, elegimos la polıtica quehicimos anteriormente, eligiendola del menu despegable. En el cuadro ”Scantarget” colocamos el host o IP a escanear, en este caso coloco mi IP. Ahorasolo presionamos el boton ”Create Scan”:

Figura 2.9: Nuevo escaneo

Ahora tenemos nuestro escaneo corriendo,con las caracterısticas que he-mos asignado. El tiempo que durara el escaneo dependera de la cantidad deplugins que hayamos elegimos al crear nuestra polıtica:


Figura 2.10: Escaneo ejecutandose

Cuando ha terminado de hacer el proceso, pasamos a la pestana ”Re-sults”, ahı se encontrara la operacion con los datos que obtuvo despues delescaneo de los puertos:

Figura 2.11: Host escaneado

Como lo muestra la figura 2.11, solo aparece 1 host, esto es porque solointrodujimos una IP. El numero 8, que aparece en esa misma figura, corres-ponde al numero de puertos que tiene algun tipo de vulnerabilidad.

En la pestana ”Vulnerabilities” aparecen las caracterısticas de cada unode esos puertos escaneados:


Figura 2.12: Sumario de puertos

Un puerto en especıfico contiene lo siguiente:




Como lo muestran las figuras 2.13 y 2.14, Nessus nos proporciona datosimportantes sobre el puerto. Descripcion de la vulnerabilidad, una posiblesolucion (si es que la hay), el plugin correspondiente que hizo el escaneo, elnumero de puerto y que tanto riesgo hay al dejar la vulnerabilidad tal comoesta.Para terminar se debe mencionar que el resultado del analisis se puede ex-portar a un archivo como es el NAST, HTML, entre otros segun queramos:


2.6. RECOMENDACIONES: 25


En mi opinion, no hay mejores ni peores polıticas de seguridad para reali-zar escaneos con la herramienta Nessus. Todo depende al principio del sentidocomun y poco a poco de la experiencia.

No es nada difıcil utilizar la herramienta Nessus, pero la diferencia entreun buen auditor/penterster y uno que hace las cosas sin pensar, es que elprimero sabe como afinar las reglas a buscar mucho mas que el segundo. Elsegundo se limitara a activarlo todo y ya esta, el primero sacara de su expe-riencia y sabra las reglas a habilitar.La parte del sentido comun no es marcarlo todo por defecto, si no por ejemplo,si no hay servicios ftp o smtp levantados, no tiene sentido buscar vulnerabi-lidades en ellos. Si hemos hecho una buena investigacion previa y conocemosversiones de software instaladas, centrarnos en la que esten desfasadas, o enalguna que tenga vulnerabilidades conocidas, cosas de este estilo. No hacerescaneados a ciegas, investigar un poco antes el tipo de software. Podemos ha-cer un escaneo con todo los plugins a una solo IP como la que tiene asignadanuestro computador, pero imagınate hacer un escaneo a cientos de maquinasal mismo tiempo. Algo realmente tardado e innecesario, ¿no crees?Creo que nadie puede sacar una formula magica de que tipo de polıtica usarsiempre, pero poco a poco con el tiempo se va afinando la forma de hacerbuenas polıticas para los escaneos.

Practica 3

SET: Ataques de elementohumano

3.1. Introduccion:

Es una suite desarrollada en Python (programado por David Kennedy),que consta de herramientas especıficamente disenadas para realizar ataquesal elemento humano, usando como metodo la Ingenierıa Social en procesosde auditoria en seguridad (Pentesting).

3.2. Objetivo:

Que el alumno sea capaz de identificar esas paginas que roban informacionconfidencial (nombres, direcciones, nombres de usuario, contrasenas, etc.),todo, al hacerse pasar por otras paginas. De esta manera el alumno aprenderla forma en que trabajan dichas paginas y la forma de evitarlas.

3.3. Instalacion:

Los pasos para instalar SET son los siguientes:

1. Ejecutar en terminal: vn co https://github.com/trustedsec/social-engineer-toolkit.git set/

2. Despues que se descargue ingresamos a la carpeta de SET, la cualesta en la carpeta personal: cd set

3. Ahora nos tendremos que loguearnos como root y tecleamos en la car-peta de set: python setup.py install

27

28 PRACTICA 3. SET: ATAQUES DE ELEMENTO HUMANO

4. Despues tecleamos (estando como root en la carpeta de set): ./set

5. Nos salen los terminos y conficiones de uso. Presionamos la tecla “Y”seguido de la tecla Enter para continuar.


Python: Es un lenguaje de scripting independiente de plataforma yorientado a objetos, preparado para realizar cualquier tipo de progra-ma, desde aplicaciones Windows a servidores de red o incluso paginasweb. Es un lenguaje interpretado, lo que significa que no se necesitacompilar el codigo fuente para poder ejecutarlo, lo que ofrece venta-jas como la rapidez de desarrollo e inconvenientes como una menorvelocidad.

Ingenierıa social: El termino “ingenierıa social” hace referencia al ar-te de manipular personas para eludir los sistemas de seguridad. Estatecnica consiste en obtener informacion de los usuarios por telefono,correo electronico, correo tradicional o contacto directo.

URL (Uniform Resource Locator-Localizador Uniforme de Recursos):Es una direccion que permite acceder a un archivo o recurso como serpaginas html, php, asp o archivos gif, jgp,etc.

3.5. Metodologıa:

Iniciando la aplicacion nos sale el siguiente menu y de cuyas opcioneselegiremos la de “Social-Engineering attacks”:

Figura 3.1: Menu de la aplicacion SET.


Como lo muestra la figura 3.2, podemos ver que ofrece opciones muyvariadas desde la creacion de correos fraudulentos hasta enviar mensajes detexto que ayuden en nuestro ataque.

Figura 3.2: Opcion 2, Website Attack Vectors.

A continuacion veremos algunas de las principales opciones del SET:

Sistema de Phishing Este sistema es bastante completo. Permite lacreacion automatica de un sitio web falso para enganar al destinata-rio. Tambien se pueden enviar correos masivos con archivos adjuntosmaliciosos.

Creacion de medios infectados Permite crear el fichero autorun.inf y unpayload de Metasploit. Al insertar el medio, sea este CD/DVD/USBse ejecutara automaticamente y posteriormente nos dara acceso a lamaquina afectada.

Falsificacion de mensajes de texto (SMS) Esta es una de las opcionesmas interesantes y eficientes del SET, pues nos permite enviar mensajesde texto (SMS) falsos, suplantando el numero telefonico del remitente,lo cual ayuda a la hora de hacerle creer al receptor que efectivamenteha sido enviado por esa persona o empresa. Ademas incluye la opcionpara el envıo masivo de SMS sin problema. Las empresas prestadoras


del servicio de envıo de mensajes son: SohoOS, Lleida.net, SMSGANG.La unica gratuita es SohoOS, y debido a esa caracterıstica en el mayorde los casos es limitada.

Interfaz Web Esta version de SET ha integrado una fantastica interfazweb para lanzar cualquier tipo de ataque de una manera mas comodae intuitiva.


Iniciaremos con un primer ejercicio. Elegimos del menu principal “Social-Engineering attacks” t luego “Website attack vectors” (ver figuras 3.1 y 3.2).El tipo de ataque elegido en la figura 3.2, se trata de los vectores de ata-que mejor elaborados, robustos y con mayores probabilidades de exito quese han desarrollado en SET debido a que son especıficamente disenados paraconstruir sitios web “ficticios” que son incitantes y creıbles para el objetivo,ademas cuentan con tecnicas bastante elaboradas que permiten que un obje-tivo sea vıctima sin enterarse tan siquiera que ha sido enganado. Ahora delsiguiente menu, elegimos la opcion 3, “Credential Harvester Attack Method”:

Figura 3.3: Opcion 3, Credential Harvester Attack Method

El tipo de ataque seleccionado, como lo muestra la figura 3.3, permite aun atacante clonar un sitio que tenga algun tipo de formulario de autentifica-cion (formularios donde se solicita usuario y clave, como por ejemplo gmail)posteriormente cuando una vıctima ingresa en dicho sitio e ingresa sus cre-denciales de acceso, SET recolecta toda esta informacion y posteriormenteenvıa al usuario al sitio original, finalmente cuando el atacante desea finalizarla ejecucion del ataque, obtiene un informe con la informacion recolectada.


Figura 3.4: IP que capturara los datos

Despues de seleccionado un ataque del tipo “Credential Harvester AttackMethod” y como lo muestra la figura 3.4, nos pide ingresemos una IP, la cualcapturara la informacion obtenida:

Figura 3.5: Mi IP sera la que capturara la informacion

Despues de haber ingresado la IP, nos pregunta ¿que pagina deseamosclonar? En este caso (y solo para ejemplo), puse la de Facebook, la cual loprimero que pide al ingresar es llenar el formulario para loguearse o regis-trarse:

Figura 3.6: Pagina web ejemplo

Como lo muestra la figura 3.6, al ingresar la direccion web de la pagina,el programa se encarga de clonarla. Para ir a la direccion web de la “paginaclon”, vamos a la IP que ingresamos en un principio y obtenemos lo siguiente:


Figura 3.7: Pagina clon

En la figura 3.7 se ve claramente la pagina clonada es identica a la original,con la diferencia que la direccion web es la otra. Si ingresamos un usuarioy contrasena, estos datos son recolectados y enviados a nuestra IP, pero elusuario es direccionado al sitio original, esto con el fin de que no sospechenada:

Figura 3.8: Datos recolectados por la pagina clon



Las recomendaciones que se deben seguir para este tipo de robo de infor-macion son sumamente obvias, pues la principal caracterıstica de este tipode ataque es que la URL es distinta a la original. Esto se vio perfectamentebien con el ejemplo, donde la URL de la “pagina clon” era una IP (la mıaen este caso), en vez de ser la pagina original tal y como se conoce (en estecaso fue www.facebook.com pero pudo haber sido otra). Para mucha genteesto es obvio, pero para mucha otra no, pues cualquier otra persona solo porver que la pagina es identica a la original da por hecho que sus datos estaranprotegidos, y mas aun si la informacion que introdujo fue la correcta, puesSET hace que el usuario entre a su perfil (cuenta de correo en caso de gmail),como si este se hubiera logueado desde la pagina original.

Practica 4

SSLSTRIP

4.1. Introduccion:

La definicion de SSL Strip es variada, intentemos acercarnos a la realidadpractica que es lo que mas nos puede interesar. SSL Strip consiste en hacercreer al usuario que esta bajo una conexion segura, ya sea porque el usuariove un pequeno candado que indica seguridad, SSL Strip puede falsificarlo, opor que el usuario no se fija si esta bajo trafico cifrado o no.

Cuando un atacante lanza SSL Strip sobre una vıctima, esta sigue na-vegando felizmente por la red. El problema viene cuando se conecta a unapagina bajo HTTPS, la vıctima puede observar como el HTTPS ha desapa-recido de su navegador, si no se fija en ese pequeno detalle y se autentifiqueen algun sitio, sus credenciales iran en texto plano hacia la vıctima. Cabemencionar que esto solo puede pasar cuando el usuario entro a una pagina”segura”(me refiero al protocolo HTTPS), por medio de un liga (un link).

4.2. Objetivo:

Al terminar esta practica el alumno aprendera la forma en que trabajanlos ataques al trafico de una IP especıfica. Cambiando el protocolo HTTPSpor uno HTTP, de tal manera que podemos ver el trafico de la red comotexto plano. Ademas aprendera a como evitar este tipo de ataques.

4.3. Instalacion:

Procedimiento para la instalacion de SSL Strip:

1. Python: apt-get install python

35

36 PRACTICA 4. SSLSTRIP

2. Modulo: twisted-web apt-get install python-twisted-web

3. Descargar el paquete SSLStrip: http://www.thoughtcrime.org/software/sslstrip/

4. Descomprimimos el paquete: tar -zxvf sslstrip-0.9.tar.gz

5. Entramos a la carpeta que se descomprimio: cd ssltrip-0.9

6. Construimos SSLStrip cambiando de directorio y corriendo: pythonsetup.py build

7. Instalamos SSLStrip con la siguiente instruccion: sudo python setup.pyinstall

8. Instalamos arpspoof: sudo apt-get install dsniff

9. Instalamos ettercap: sudo apt-get install ettercap

10. Nota adicional: en caso de contar con alguna distribucion de BackTrack,este cuenta con la herramienta pero muchas veces no esta instalada,por lo que entremos a la carpeta “/pentest/web/sslstrip” usando lainstruccion “cd” y ahı ejecutamos lo siguiente: python sslstrip.py install


Gateway: Un gateway (puerta de enlace) es un dispositivo que permiteinterconectar redes con protocolos y arquitecturas diferentes a todoslos niveles de comunicacion. Su proposito es traducir la informacion delprotocolo utilizado en una red al protocolo usado en la red de destino.

HTTPS: Tipo de protocolo que es usado para asegurar paginas WorldWide Web para aplicaciones de comercio electronico, utilizando certi-ficados de clave publica para verificar la identidad de los extremos.

MITM (Man in the Middle): Es un ataque en el que el enemigo adquierela capacidad de leer, insertar y modificar a voluntad, los mensajes entredos partes sin que ninguna de ellas conozca que el enlace entre ellosha sido violado. El atacante debe ser capaz de observar e interceptarmensajes entre las dos vıctimas. En este caso SSL se ejecuta en unacapa entre los protocolos de aplicacion como HTTP, SMTP, NNTP ysobre el protocolo de transporte TCP, que forma parte de la familia deprotocolos TCP/IP.


ARP SPOOFING: Es una tecnica usada para infiltrarse en una redLAN, en donde el atacante pude husmear, modificar el trafico, o inclu-so detener el trafico (a esto ultimo se le conoce como Denegacion deservicio o DoS). La funcion basica del ARP Spoofing es el de emitirfalsos mensajes ARP llamados (spoofed), en la LAN. La finalidad deesta funcion es la asociar la direccion MAC del atacante con la puertade enlace predeterminada (Gateway), con la intencion de confundir alas otras maquinas conectadas en ese segmento de red LAN, asiendoque estas le envıen las peticiones de conexion al atacante. Pudiendoeste elegir entre reenviar el trafico al verdadero Gateway (modificando,leyendo los datos), o bien no reenviarlos y producir un ataque DoS.

4.5. Metodologıa:

1. Configurar IP Forwarding:

Figura 4.1: Activamos para trabajar con multiples direcciones IP

2. Comprobamos que se activo (debe salir un “1”):

Figura 4.2: IP Forwarding activado


3. Redireccionar trafico con iptables:

Figura 4.3: Cambio de trafico del puerto 80 al 10000

4. Realizando ataque ARP MITM entre las 2 maquinas:arpspoof -i INTERFAZ -t VICTIMA HOST

Figura 4.4: Envenenamiento Arp Spoofing

5. Abrimos una nueva ventana en la que iniciaremos SSLSTRIP, pero sincerrar la que estamos usando con el ARP SPOOFING:


Figura 4.5: SSLStrip corriendo en BackTrack 5

6. Hasta este momento ya somos capaces de capturar el trafico de la vıcti-ma, y hacerle creer que esta trabajando con un protocolo HTTPS, loque para nosotros significar poder ver en texto plano lo que el estahaciendo. Las figuras muestran el uso de esto que menciono:

Figura 4.6: Pagina de correo electronico


Figura 4.7: Pagina de redes sociales

7. Despues de que la vıctima hizo tales consultas, nosotros procedemos arevisar el log del SSLStrip, es decir, el archivo que nos va guardandotodos los eventos que van ocurriendo. Para esto, vamos a la carpeta delSSLStrip y con el comando “cat” abrimos dicho archivo:

Figura 4.8: Log del SSLStrip


Para la practica propuesta es necesario realizar los pasos anteriores, co-rrespondientes a la Metodologıa. Para ello se necesita de un companero quenos facilite su IP. Existen comandos com los siguientes para conocer quemaquinas estan conectadas a la red:

netdiscover -i wlan0 -r 192.168.0.1/24

netdiscover -i eth0 -r 192.168.1.1/24

Otra forma es usando NMAP. Pero si tiene a un companero junto, basta conpedirle la ip, ya sea poniendo ifconfig en Linux o ipconfig en Windows.


La forma de protegerse de los ataques SSLStrip es evitando el ARPSPOOFING, por lo que prestare mas atencion a como evitar este. Lo pri-mero es tener en cuenta que la mayorıa de estos posibles ataques pueden sercuando estamos en una red LAN, es decir, en el hogar, un bar, estacion deservicio, las redes abiertas de algun restaurante u hotel, etcetera.


Como mencione antes, lo mejor es evitar el ARP SPOOFING, y para estosexisten diversas herramientas que lo detectan:

Wireshark: Windows y Linuxwww.wireshark.org/download.htmlEs una herramienta tipo sniffer, que entre sus funciones tiene la dedeteccion de ARP Spoofing. Al analizar nuestra red y poner la palabraARP como filtro se puede ver que un host anuncia su MAC sin queotros se lo pidan, y nos encontramos dos respuestas de la misma IPpero con MAC diferente, para este punto Wireshark nos avisa con elmensaje “duplicate use of (ip) detected!”.

DecaffeinatID: Windowshttp://www.irongeek.com/i.php?page=security/decaffeinatid-simple-ids-arpwatch-for-windowsEs un tipo de aplicacion que checa los Event y Firewall logs, dandoalertas cuando haya un cambiio de MAC del Gateway.

Arpalert: Linuxhttp://www.arpalert.org/Esta aplicacion no cuenta con entorno grafico y genera un log llamado“arpalert.log” en “/var/log” corre como un demonio (que se ejecuta ensegundo plano y no tiene interaccion con el usuario), y su configuraciones muy sencilla, con un archivo de configuracion que se encuentra en/etc/arpalert/arpalert.conf en el que hay que definir alguno parame-tros. El log lo podemos ver en una consola con el comando: tail –f/var/log/arpalert.log

Con estas aplicaciones podremos saber si estamos siendo vıctimas de un ata-que con SSLStrip, sin embargo solo quedara ahı, pues solo estaremos cons-cientes de ello. Es por eso que la unica y probable solucion es encriptartodas las conexiones HTTP por HTTPS (reemplazarlo), sin importar paginao servicio. Es un problema tener un protocolo “seguro” que depende de unprotocolo “inseguro”.Ya para terminar lo que puedo decir, es que nadie estara siempre exento deun ataque con SSLStrip.

Practica 5

Computo Forense: Imagenforense

5.1. Introduccion:

Una imagen forense o tambien llamado “Espejo”, es un tipo de copia bita bit de un medio electronico de almacenamiento (Discos duros, memoriasUSB, etcetera). En esta imagen quedan grabados los espacios que ocupan losarchivos y las areas borradas incluyendo particiones escondidas. Este tipo deprocedimiento es usado en los procesos penales o por companıas que tuvieronalgun tipo de ataque informatico y desean conocer el alcance que tuvo este.

5.2. Objetivo:

Al terminar esta practica el alumno sera capaz de realizar copias bit a bitde dispositivos de almacenamiento y esa copia sera analizada con los metodosde computo forense.

5.3. Instalacion:

dd (Duplicate disk): Unix/Linux

1. Este paquete ya esta incluido en Linux

FTK Imager: Windows

1. El paquete es gratuito y podemos descargarlo desde la Web dispo-nible de AccessData: http://www.accessdata.com/support/product-downloads

43

44 PRACTICA 5. COMPUTO FORENSE: IMAGEN FORENSE


MBR (Master Boot Record): Registro principal de arranque o registrode arranque maestro como tambien se conoce, es un sector de 512 by-tes al principio del disco duro que contiene una secuencia de comandosnecesarios para cargar un sistema operativo. Es decir, es el primer re-gistro del disco duro, el cual contiene un programa ejecutable y unatabla donde estan definidas las particiones del disco duro (Un primersector fısico Cilindro 0, Cabeza 0, Sector 1).

Particion: En informatica, creacion de divisiones logicas (volumenes) enun disco duro para aplicarles un formato logico (sistema de archivos)del sistema operativo especıfico que se instalara.A cada volumen (puedeser un unico volumen) se le da un formato de sistema de archivo y se laasigna una letra de unidad (en Windows, C:, D:) o un nombre (comohda1, hda2 en Linux).En sistemas operativos como Linux se suelencrear tres particiones, la principal para datos, otra para el directorio“home” que contiene la configuracion del usuario y una tipo “swap”para la memoria virtual.

Unidades IDE y SATA: Las unidades IDE usan un cable plano de 40pines que puede conectar un maximo de dos unidades, en cambio lasSATA usan un cable mucho mas pequeno de 7 pines que solo permiteconectar una unidad, por lo que no se pueden conectar ambas sin unadaptador. La unidades IDE al ser mas antiguas tienen una unidad detransferencia desde 33 MB/s a 133 MB/s a diferencia de las SATA quetienen una tasa de transferencia de 150 MB/s en SATA I y 300 MB/sen SATA II. Esto se ve muy reflejado en el tiempo de busqueda de cadauna de estas unidades.

5.5. Metodologıa:

1. Comando ddLa sintaxis mas basica para el uso del comando dd, serıa esta:

Figura 5.1: Comando mas basico de dd


En el comando anterior el if significa “input file” (archivo de entrada) yof “output file” (archivo de salida). El origen y destino de los dispositi-vos pueden ser desde una lectora de CD o DVD, disco duro, diskettera,usb, particion, imagen de disco, etcetera, pero nunca carpetas o sub-carpetas.Para su correcto funcionamiento siempre es necesario conocer el dis-co/particion de origen y el de destino, algo que averiguamos facilmentecon el comando sudo fdisk -l o con algun programa grafico de parti-ciones como gparted.

Con el uso basico del comando “dd”, no sabremos los datos que vanpasando o el tiempo que hace falta, por lo que se agrega “pv”, la cualnos darıa como resultado una especie de barra de progreso, la informa-cion sobre bytes transferidos, el tiempo que lleva ejecutandose y la tasade transferencia. Obviamente todo esto en tiempo real:

Figura 5.2: Anadiendo el comando pv

(*) Comprobar que se tiene instalado el paquete pv. Se puede descargardesde Synaptic. O con el comando: apt-get install pvBueno en este punto, ya se sabe todo lo necesario acerca del comandodd y del disco duro, ası que pasemos a las instrucciones mas elementa-les del comando dd.

a) Copiando discos duros y particiones:Antes de la realizacion de cualquier copia es necesario conocer losdispositivos que tenemos conectados y sobre cual queremos haceruna copia. Para eso utilizamos el comando df -h:


Figura 5.3: Dispositivos conectados: Disco duro y memoria extraible

Cabe mencionar que para un disco duro SATA el nombre del dis-positivo es “sda” mas el numero, y en caso de ser IDE es “hda”mas el numero. De tal manera, los comandos para copiar el discoduro serıan los siguientes:

Figura 5.4: Discos IDE: Instruccion para clonar hda en hdb

Figura 5.5: Discos SATA: Instruccion para clonar sda en sdb

El comando “bs”, usado en las figuras 5.4 y 5.5 consigue que lalectura y escritura se haga en bloques de 1 megabyte. Menos queesto, el proceso serıa mas lento, pero mas seguro y con mas nosarriesgamos a perder datos en copiado.Cabe resaltar que de esta forma se hace una copia exacta del disco,como el MBR, tabla de particiones, espacio vacıo, etcetera, por loque no es recomendable que el lugar de salida sea el mismo discoque de entrada. Por esta razon el lugar de salida debe ser en un


disco del mismo o mayor tamano que el de entrada.Como ultimo punto y tomando como referencia la figura 5.3, siem-pre debemos poner atencion a lo que queramos clonar, ya sea unacopia completa del disco (sda) o de alguna particion en especifico(sda1, sda2, ...).

b) Copiando de un CD/DVDHabiendo explicado lo mas importante sobre el comando “dd”,podemos ahorrarnos la explicacion sobre el siguiente comando:

Figura 5.6: Para crear la imagen .iso de un CD en el directorio /home

Una opcion de lo mas interesante del comando “dd”, es que nospermite recuperar la informacion de discos duros danados (Estono recupera todo el disco, en este caso, solo los sectores legibles):

Figura 5.7: Copia de un disco duro a nuestro directorio home

En este caso la opcion noerror de la figura 5.7, sirve para obviarlos errores de lectura en cualquier situacion.


1. Usando el comando dd.Para este ejercicio se pueden usar 2 memorias, en este caso yo use unade 1GB con algo de informacion y otra de 8GB completamente vacıa(el proceso puede ser lento, por lo que se recomienda que la unidad oparticion, sea de poco volumen).En ese punto quiero dejar muy claro que se hara una copia exacta deldispositivo, es decir, si la unidad es de 1GB y solo tenemos ocupados200MB, la copia igual sera de 1GB, pues al ser copia bit a bit se co-pian los espacios vacıos, datos que no se vean, etcetera. Estas son losdispositivos antes del proceso:

Ahora con el siguiente comando, procedemos al copiado bit a bit:

Despues de haber finalizado la copia, esto es lo que ocurre:


Figura 5.8: Memorias extraibles de 1 y 8GB

Figura 5.9: Copia bit a bit

Como se puede ver en la figura 5.10 y como mencione antes, esta esla razon de usar un disco de igual o mayor tamano al que se hara lacopia, ya que al ser una copia bit a bit, se copia todo por completo.En este caso la memoria extraible de 8GB se redimenciono a 1GB, es-to con el fin de que la memoria de 8GB sea una copia clon de la de 1GB.


Este tipo de copia es muy utilizada al haber recibido un ataque o haceruna copia de emergencia ante una actualizacion de algo y no sabemos quepueda ocurrir. Por lo tanto, algunas medidas que debemos tomar son lassiguientes:

1. Si se recibio un ataque informatico y se necesita hacer una copia deldisco duro, lo mejor es ya no hacer cambios sobre este, sino simplementehacer el copiado lo antes posible. No queremos que al querer hacer uncambio, borremos evidencia importante en el disco duro.

2. Otra cosa muy importante es tener en cuenta que el proceso de copiadosera lento (recordando que estamos copiando a 1MB/seg), por lo quese deben tomar las medidas necesarias.

3. Por ultimo y como se menciono durante el desarrollo de la practica,es necesaria una unidad del mismo o mayor tamano a la que se estacopiando, es imprescindible esto.


Figura 5.10: Proceso resultante de la copia bit a bit

Bibliografıa

[1] http://nmap.org/book/man.html

[2] http://windows.microsoft.com/es-mx/windows7/what-is-credential-manager

[3] http://www.tiposde.org/informatica/513-tipos-de-protocolos/

[4] https://www.trustedsec.com/

[5] http://underc0de.org/foro/gnulinux/como-instalar-set-(social-engineering-toolkit-)-en-ubuntu/

[6] http://www.cyberciti.biz/faq/how-to-detect-arp-spoofing-under-unix-or-linux/

[7] http://linux-tipps.blogspot.com/2008/06/detect-and-counter-arp-poisoning-under.html

[8] http://informacion.wordpress.com/2006/07/14/master-boot-record-definicion/

[9] http://linuxzone.es/dd-clona-y-graba-discos-duros-facilmente/

51

BackTrack Seguridad en Redes

Documents

Transcript of BackTrack Seguridad en Redes