Aprendo en casa

Seguridad Sistemas y Redes ( 3 )

Por admin

• Cursos
• ejercicios
• gratis
• internet
• practicas
• redes
• Seguridad
• Sistemas

Utilización de herramientas de administración ( 1 )

Como es lógico, cualquier atacante que pretenda atacar nuestro sistema, ha de tener conocimientos sobre una serie de herramientas que le permitan obtener información sobre el sistema que esta atacando en busca de alguna debilidad. Las siguientes herramientas permiten obtener información sobre el sistema tanto a nosotros como administradores del sistema como a los atacantes.

Ping

Esta herramienta permite comprobar el estado de la conexión de uno o varios equipos remotos utilizando los paquetes de solicitud de eco y de respuesta del mismo (definidos en el protocolo ICMP), de esta forma es posible determinar si un equipo es accesible a través de la red. También se utiliza para medir el tiempo de respuesta ( latencia ) entre dos equipos remotos.

Como curiosidad el nombre de esta utilidad viene dado por el sonar de los submarinos, que enviaban una señal para esperar el eco de la misma y así obtener información. el protocolo utilizado por ping es ICMP que es el acrónimo de Internet Control Message Protocol, este protocolo es el encargado de controlar si existen errores en la comunicación entre dos redes. Para realizar esta acción ICMP envía un mensaje a un destino concreto y dependiendo de lo que suceda con el mensaje el remitente tendrá una respuesta. La respuesta viene determinada por un campo dentro del paquete ICMP que contiene un valor de respuesta, según el valor se determina el diagnostico y el resultado. Los valores de este campo con su significado pueden ser:

0     Respuesta de eco ( Echo Reply )
3     Destino inaccesible ( Destination Unreachable )
4     Disminución del trafico desde el origen ( Source Quench )
5     Redireccionar , cambio de ruta ( Redirect )
8     Solicitud de eco ( Echo )
11   Tiempo excedido por un datagrama ( Time Exceeded )
12   Problema de parámetros ( Parameter problem )
13   Solicitud de marca de tiempo ( Timestamp )
14   Respuesta de marca de tiempo ( Timestamp Reply )
15   Solicitud de información ( Information Request ) – obsoleto
16   Respuesta de información ( Information Reply ) – obsoleto
17   Solicitud de mascara ( Addressmask )
18   Respuesta de mascara ( Addressmask Reply )

La sintaxis del comando es la siguiente:

ping [Opciones] nombre ordenador | dirección ip

Las opciones que se pueden utilizar son las siguientes:

-c cuantos

esta opción para la ejecución del comando cuando se hayan enviado y recibido cierto numero ( cuantos ) de paquetes ECHO_RESPONSE. Si esta opción no se especifica el comando continua enviando hasta que sea interrumpido, por ejemplo con Ctrl + C.

-a

esta opción emite un pitido audible cada vez que envía un paquete.

-i intervalo

esta opción permite especificar el numero de segundos antes de enviar el siguiente paquete de prueba, el valor por defecto es 1 segundo.

-s valor

esta opción permite especificar el numero de bytes de datos que se envían. A este valor hay que sumarle los 8 bytes correspondientes a la cabecera ICMP. El valor por defecto es de 56 bytes.

-q

esta opción solo muestra el resumen final del comando.

Traceroute

Esta utilidad es una herramienta de diagnostico de red que permite trazar la ruta que siguen los paquetes transmitidos desde un punto de red ( host ) a otro punto. Se consigue también información sobre RTT ( Round-Trip delay Time ), que es el tiempo que tarda un paquete enviado desde un emisor en volver al mismo emisor después de haber pasado por el receptor. Este comando es efectivo para realizar un mapa de los routers que se encuentran entre el punto de origen y el punto de destino. Un ejemplo de trazado es el que se muestra a continuación:

user@localhost:/# traceroute www.google.com

  traceroute to www.l.google.com (64.233.169.99), 64 hops max, 40 byte packets
  1  * * *
  2  172.16.183.1 (172.16.183.1)  23 ms  23 ms  22 ms
  3  10.127.66.229 (10.127.66.229) [MPLS: Label 1479 Exp 0]  38 ms  51 ms  38 ms
  4  cnt-00-tge1-0-0.gw.cantv.net (200.44.43.85)  38 ms  38 ms  37 ms
  5  cri-00-pos1-0-0.border.cantv.net (200.44.43.50)  51 ms  43 ms  43 ms
  6  sl-st21-mia-14-1-0.sprintlink.net (144.223.245.233)  94 ms  93 ms  93 ms
  7  sl-bb20-mia-5-0-0.sprintlink.net (144.232.9.198)  95 ms  93 ms  93 ms
  8  sl-crs1-mia-0-4-0-0.sprintlink.net (144.232.2.248)  94 ms  95 ms  95 ms
  9  sl-crs1-atl-0-0-0-1.sprintlink.net (144.232.20.48)  104 ms  104 ms  103 ms
 10  sl-st20-atl-1-0-0.sprintlink.net (144.232.18.133)  104 ms  103 ms *
 11  144.223.47.234 (144.223.47.234)  103 ms  103 ms  103 ms
 12  64.233.174.86 (64.233.174.86)  98 ms  97 ms 64.233.174.84 (64.233.174.84)  103 ms
 13  216.239.48.68 (216.239.48.68)  105 ms  104 ms  106 ms
 14  72.14.236.200 (72.14.236.200)  106 ms *  105 ms
 15  72.14.232.21 (72.14.232.21)  110 ms  109 ms  107 ms
 16  * yo-in-f99.google.com (64.233.169.99)  100 ms  99 ms

El valor de la primera columna es el numero de salto, a continuación se muestra el nombre y dirección IP del nodo por el que pasa, a continuación se muestran tres valores que son los tiempos de respuesta para los paquetes enviados ( en caso de aparecer un símbolo de *, es que no se ha obtenido respuesta ).

este comando envía un paquete UDP de prueba hacia el host destino y hacia un puerto en el que confía que no haya ninguna aplicación esperando datos. Cuando se envía el paquete de prueba la primera vez, el campo TTL (Time-to-live) de la cabecera IP vale 1. El valor de este campo representa el numero máximo de nodos por los que puede circular un paquete. En la practica, cada nodo de la red decrementa en una unidad el campo TTL así que, cuando el paquete de prueba inicial alcance el primer router, el TTL se decrementara y, como el valor de este campo será igual a 0, el paquete habrá de ser descartado. Además, el router enviara a la dirección IP origen del paquete de prueba un paquete ICMP del tipo TIME EXCEEDED.

Cuando el host que esta haciendo el traceroute reciba este paquete de error sabrá que con un TTL igual a 1 no se puede llegar hasta el host destino y además habrá averiguado la dirección IP del primer router en el camino hacia el destino. A continuación, se ira incrementando sucesivamente el valor inicial del campo TTL hasta conseguir que el paquete de prueba alcance el host destino. En ese momento, si efectivamente no hay ninguna aplicación atendiendo al puerto seleccionado, se enviara un mensaje ICMP del tipo PORT UNREACHABLE al host origen del paquete de prueba.

la sintaxis del comando mas básica es la siguiente:

traceroute nombre.de.servidor

A continuación se describen brevemente las principales opciones de este comando:

-f n

con esta opción, se establece el valor inicial del campo TTL en el primer paquete de prueba (valor por defecto: 1).

-m n

con esta opción, se establece el valor máximo del campo TTL que puede utilizarse en los paquetes de prueba (valor por defecto: 30).

-q n

esta opción permite especificar el numero de paquetes de prueba que se envían para cada valor del campo TTL (valor por defecto: 3).

-w s

con esta opción, se fija el tiempo máximo de espera por la respuesta a un paquete de prueba (valor por defecto: 5 segundos).

-p n

de esta forma se puede modificar el numero de puerto base utilizado en los paquetes de prueba (valor por defecto: 33435).  El numero de puerto que se utiliza realmente en los paquetes de prueba se incrementa en una unidad para cada paquete.

-I

con esta opción, en vez de utilizar paquetes UDP de prueba, se utilizan paquetes ICMP.

Whois

Esta utilidad permite realizar una petición a una base de datos en la cual se puede obtener  o determinar el propietario de un nombre de dominio o una dirección IP de internet. Existen dos formas de almacenar la información, el modo “ligero” y el modo “denso”. En el modo denso un servidor almacena toda la información de un conjunto de dominios o IP’s, con lo que es capaz de responder a cualquier consulta sobre un dominio. Mientras que en el modo “ligero”, el servidor guarda el nombre de otro servidor que contiene los datos completos del registrador del mismo. El siguiente ejemplo muestra el resultado de una consulta whois en este caso de wikipedia:

nacho@nacho-desktop:~$ whois wikipedia.org
Domain ID:D51687756-LROR
Domain Name:WIKIPEDIA.ORG
Created On:13-Jan-2001 00:12:14 UTC
Last Updated On:08-Jun-2007 05:48:52 UTC
Expiration Date:13-Jan-2015 00:12:14 UTC
Sponsoring Registrar:GoDaddy.com, Inc. (R91-LROR)
Status:CLIENT DELETE PROHIBITED
Status:CLIENT RENEW PROHIBITED
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Registrant ID:GODA-09495921
Registrant Name:DNS Admin
Registrant Organization:Wikimedia Foundation, Inc.
Registrant Street1:P.O. Box 78350
Registrant Street2:
Registrant Street3:
Registrant City:San Francisco
Registrant State/Province:California
Registrant Postal Code:94107-8350
Registrant Country:US
Registrant Phone:+1.4158396885
Registrant Phone Ext.:
Registrant FAX:+1.4158820495
Registrant FAX Ext.:
Registrant Email:dns-admin@wikimedia.org
Admin ID:GODA-29495921
Admin Name:DNS Admin
Admin Organization:Wikimedia Foundation, Inc.
Admin Street1:P.O. Box 78350
Admin Street2:
Admin Street3:
Admin City:San Francisco
Admin State/Province:California
Admin Postal Code:94107-8350
Admin Country:US
Admin Phone:+1.4158396885
Admin Phone Ext.:
Admin FAX:+1.4158820495
Admin FAX Ext.:
Admin Email:dns-admin@wikimedia.org
Tech ID:GODA-19495921
Tech Name:DNS Admin
Tech Organization:Wikimedia Foundation, Inc.
Tech Street1:P.O. Box 78350
Tech Street2:
Tech Street3:
Tech City:San Francisco
Tech State/Province:California
Tech Postal Code:94107-8350
Tech Country:US
Tech Phone:+1.4158396885
Tech Phone Ext.:
Tech FAX:+1.4158820495
Tech FAX Ext.:
Tech Email:dns-admin@wikimedia.org
Name Server:NS0.WIKIMEDIA.ORG
Name Server:NS1.WIKIMEDIA.ORG
Name Server:NS2.WIKIMEDIA.ORG

La sintaxis mas básica del comando es la siguiente:

whois nombre.servidor

Las opciones mas comunes que se pueden utilizar con el comando son las siguientes:

- a

busca en todas las bases de datos

-F

modo rápido

-h host

se conecta al servidor especificado en host

-H

oculta el aviso legal

-r

desactiva la búsqueda recursiva

–verbose

muestra en pantalla lo que se esta haciendo

–version

muestra la versión del programa

Ejemplos de uso común

whois aprendoencasa.com –H

whois aprendoencasa.com –a –H

Finger

Otra de las utilidades para obtener información es con el uso de la utilidad y su protocolo asociado finger. Esta utilidad es una de las clásicas en el mundo Unix, Linux y como es lógico puede ocasionar ciertos problemas de seguridad. Esta utilidad muestra información sobre un usuario o grupo de usuarios de una maquina conectada a la red. Su utilizacion normal es la de saber si una persona concreta tiene cuenta en un sitio determinado, ya que muestra la información relativa a los usuarios que han iniciado una sesión en un sistema local o remoto, suele mostrar el nombre completo, la ultima vez que se conecto el usuario, el tiempo de inactividad y la línea del terminal y su ubicación si es aplicable. Por defecto utiliza el puerto 79. Se ha de tener en cuenta que la maquina ha de admitir el envió de información sobre una petición de finger, sino lógicamente la petición será rechazada. La sintaxis mas básica del comando es la siguiente:

finger @nombre.servidor

Los siguientes ejemplos muestran el resultado de una consulta finger de todos los usuarios del sistema que han tenido actividad:

nacho@nacho-desktop:~$ finger
  Login     Name             Tty      Idle  Login Time   Office     Office Phone

nacho     jose i.r. saez   tty7    20:18  Nov  9 16:46 (:0)

nacho     jose i.r. saez   pts/0          Nov 10 12:26 (:0.0)

nacho@nacho-desktop:~$ finger -l
  Login: nacho                      Name: jose i.r. saez 

Directory: /home/nacho                  Shell: /bin/bash 

On since Mon Nov  9 16:46 (CET) on tty7 from :0 

    20 hours 18 minutes idle 

On since Tue Nov 10 12:26 (CET) on pts/0 from :0.0 

No mail. 

No Plan.

nacho@nacho-desktop:~$ finger @localhost
  [netbsd.bridge.nacho] 

Login Name TTY Idle When Where 

root Super-User console 3d Sun 19:14 :0 

nacho Nacho *pts/3 43 Mon 19:24 openbsd.firewall.nacho

Las opciones mas comunes del comando son las siguientes:

-l

formato largo, se utiliza en peticiones a maquinas remotas.

-s

formato corto