Blog Archives

07 feb

Seguridad Sistemas y Redes (8)

By admin

No. 7 de 9 de articulos.

Cadenas identificativas y otros recursos 4

Complementando a las herramientas administración y servicios de internet, existen otras técnicas que permiten detectar maquinas en una red. A este tipo de técnicas junto con las herramientas administrativas se les suele conocer con el nombre de fingerprinting, que viene a significar “huella identificativa”. Esta huella identificativa suele ser para un atacante toda la información de la implementación de pila TCP/IP, esta información permite descubrir de forma bastante fiable el sistema operativo que esta ejecutando la maquina,  esto junto a otras informaciones permiten averiguar las versiones de los servicios que utiliza el servidor, con lo que se puede consultar si existen vulnerabilidades y herramientas para aprovecharse de las mismas.

La mayoría de las técnicas utilizadas para la obtención de huellas identificativas están basadas en la información de la pila del protocolo TCP/IP. El protocolo TCP es un protocolo de la capa de transporte que asegura que el envió de datos sea correcto, es decir que la información recibida se corresponda con la información enviada.

A la hora de realizar una búsqueda de sistemas, podemos distinguir quizás dos partes, la primera seria simplemente detectar si un dispositivo esta activo en una red y la segunda seria examinar las características de dicho dispositivo, como servicios en funcionamiento, puertos abiertos en el dispositivo y sistema operativo que utiliza el mismo. Para realizar estos tipos de análisis se pueden utilizar dos tipos de análisis:

  • Análisis activo: Un análisis activo es aquel que envía información a la red para que los sistemas conectados a la misma, detecten dicha información y respondan en base a dicha información. Según la información obtenida de las respuestas de los diferentes sistemas el programa de análisis utilizado o nosotros mismos podemos realizar las deducciones pertinentes.
  • Análisis pasivo: A diferencia del anterior tipo de análisis, en este tipo de análisis la maquina que quiere realizar el análisis no envía información a la red, sino que “escucha” la información que viaja por la misma y determina los resultados en base a la captura de dicha información. Lógicamente este tipo de análisis es mas difícil de detectar por parte de las maquinas analizadas.





Normalmente un intruso después de haber obtenido información de un sistema, intentara un intento de acceso utilizando técnicas de escaneo, estas acciones tendrán como finalidad conocer los servicios que tiene el sistema como ftp, web, telnet, mail, etc… Estos servicios se interpretan como puertos activos o abiertos en el sistema. La función de saber que puertos están disponibles por parte del  intruso es la de conocer dichos puertos, ya que suelen ser las puertas de entrada al sistema. Si el intruso llegar a conocer el sistema operativo y las versiones de los servicios utilizados, es posible que pueda documentarse sobre alguna vulnerabilidad, herramienta o exploit que permita el acceso a la maquina atacada.

Los puertos disponibles van desde el 1 hasta el 65535 que se pueden clasificar de la siguiente forma:

Puertos estándar: su rango oscila entre el 1 y 1024.

Puertos registrados: su rango oscila entre el 1025  hasta el 49151

Puertos dinámicos: su rango oscila entre el 49152 y el valor 65535

La formas de analizar redes a través de paquetes tcp o udp, se suelen englobar dentro de los análisis activos. Ya que suelen enviar paquetes para determinar que puertos están activos o a la espera de recibir una conexión. Este hecho de cierta forma favorece al encargado de la seguridad del sistema, ya que se puede decir que este tipo de análisis “hacen mucho ruido”, y un sistema de detección de intrusos seria capaz de determinar el ataque y de donde proviene. Aun así ciertas herramientas utilizadas por intrusos son capaces de modificar el ataque para que su detección sea mas problemática por el ids (“sistema de detección de intrusos”), siendo estos distribuidos de la siguiente forma:

Análisis lentos:  el análisis realizado de esta forma consiste en demorar o retardar el tiempo de envió entre paquetes aumentando los tiempos de espera, el análisis durara mucho mas tiempo, pero por otra parte el ids no tendrá claro si es un ataque o un acceso normal.

Análisis de puertos aleatorios: otra forma de realizar este tipo de ataque para que el ids no lo detecte es realizar el análisis de los puertos aleatoriamente y no siguiendo un orden secuencial, que podría “despertar” sospechas al ids, este tipo de ataque se suele combinar con el análisis lento, por parte del atacante su análisis durara mucho mas tiempo, pero no se notara tanto en la maquina atacada.

Análisis distribuidos: Este tipo de análisis consiste en realizar el análisis utilizando varias maquinas distintas, de esta forma y combinando el análisis con los dos anteriores, es prácticamente imposible que el ids detecte el análisis.

Análisis a través de proxy: este tipo de análisis lo realiza la maquina atacante utilizando un proxy, es decir una maquina intermedia que hace de proxy entre la maquina atacada y el atacante, así aun cuando se descubra el ataque se obtendrá información sobre el proxy y no sobre la maquina atacante.

Análisis fragmentación de paquetes:  en análisis de la maquina atacada se realiza enviando paquetes lo suficientemente pequeños para así dividir la información de cabecera del paquete. Así el ids es posible que no sea capaz de reconstruir el paquete fragmentando y por tanto su identificación o detección se vuelve errónea, este tipo de análisis también puede afectar a los cortafuegos o “firewalls”. Como es lógico los paquetes son reconstruidos por la maquina atacada al llegar a la misma. La fragmentación se suele hacer generando trozos pequeños de 8 bytes, de esta forma los flag de cabecera TCP no van en el primer paquete o se envía un paquete fragmentado, que el segundo fragmento tiene desplazamiento negativo, con lo cual al unirlos en el destino se sobrescribe la información del mismo.

Análisis por cebos o señuelos: El envió de señuelos consiste en enviar paquetes a la maquina atacada con direcciones ip falsas y entre una de estas direcciones se envía la verdadera, con lo que el ids cree que no es un ataque y resulta muy difícil que lo detecte.

 






Publicado por admin en , , , , , ,

02 feb

Seguridad Sistemas y Redes (7)

By admin

No. 8 de 9 de articulos.

Cadenas identificativas y otros recursos 3

 

Telnet

Telnet (TELecommunication NETwork) es un protocolo que se utiliza para conectar de forma remota a través de una red con otra maquina y manejarla como si se estuviera sentado en la propia maquina. Aparte de recibir el nombre de Telnet el protocolo, también se denomina al programa cliente para conectar al servidor de la misma forma. El puerto utilizado normalmente por el protocolo y sus programas asociados es el numero 23.

El programa cliente permite normalmente acceder en modo consola o terminal, no se utilizan gráficos. Se solía utilizar normalmente para configurar, arreglar o consultar datos de forma remota. Uno de los principales problemas de este protocolo y sus programas asociados, es en si la comunicación que se realiza, ya que esta no es cifrada y por tanto son transmitidas como texto plano, así que si algún intruso consiguiera realizar un sniffer (fisgón), conseguiría fácilmente las contraseñas y nombres de usuarios de la personas que se conecten utilizando este servicio.

Actualmente si se utiliza es conveniente realizar una conexión cifrada SSH, la cual permite tener mas privacidad ante ataques de escuchas de red. Telnet funciona en un entorno de cliente/servidor, lo que significa que el equipo remoto es el que actúa como servidor y por tanto se ha de configurar para ello. En sistemas Unix/Linux este servicio es proporcionado por lo que se conoce como un daemon (demonio), El demonio utilizado para este servicio se denomina Telnetd.

Entre los programas cliente mas conocidos para acceder a un servidor y teniendo en cuenta de antemano el propio programa telnet, que por regla general esta incluido en todos los sistemas operativos, los mas famosos programas clientes son mTelnet!, NetRunner, Zoc, y quizás uno de los mas utilizados Putty.

Su forma de utilización básica es muy simple, la sintaxis de la orden es la siguiente:

telnet nombre_maquina_servidor

telnet dirección_ip_maquina_servidor

 

Una vez se haya realizado la conexión con la maquina servidor, el equipo remoto solicitara un nombre de usuario y contraseña como medida de seguridad, de esta forma el usuario se ha de identificar sobre los usuarios definidos en el servidor o equipo remoto.

los comandos mas usuales que se pueden utilizar son los que se muestran a continuación, aunque se ha de tener en cuenta que al tener acceso de forma remota a la maquina se tendrá a disposición por parte del usuario todos los comandos que el administrador del sistema haya permitido ejecutar sobre este tipo de conexiones.

?

visualiza la ayuda correspondiente al programa.

close

cierra la sesión de telnet

display

muestra información sobre la conexión en pantalla.

logout

cierra la sesión

mode

permite cambiar entre los modos de trasferencia ASCII y BINARIA.

open

Abrir otra conexión a la actual.

quit

Cierra la aplicación de telnet.

set

Cambia la configuración de la conexión.

unset

Cargar la configuración de conexión predeterminada.

 

 





Los motivos de seguridad por los que no se recomienda actualmente su utilización en sistemas actuales o modernos, pueden ser las siguientes: las aplicaciones de telnet tienen varias vulnerabilidades descubiertas a lo largo de los años. Otro de los motivos es que no cifra los datos transmitidos, por lo cual un “fisgón” podría intervenir la comunicación y conseguir datos relevantes para la seguridad del sistema, otro motivo es que telnet no tiene un sistema de autentificación que permita asegurar que la comunicación se realiza entre los dos anfitriones deseados y no sobre un tercero que haya interceptado la comunicación.

 





Publicado por admin en , , , , , ,

03 may

Seguridad sistemas y redes (10)

By admin

No. 9 de 9 de articulos.

Cadenas identificativas y otros recursos (6)

Rastrear redes
Escaneo de puertos con UDP

Este tipo de escaneo se realiza utilizando paquetes de tipo UDP  (User Datagram Protocol) en vez de utilizar paquetes TCP. Los puertos UDP abiertos no realizan contestacion con el flag ACK activado a diferencia de los puertos TCP. Los puertos cerrados UDP no están obligados a responder con un paquete RST activado, pero responden con un mensaje de tipo ICMP_PORT_UNREACHABLE. Al igual que en los dos últimos tipos de escaneos tcp comentados se utiliza para realizar mapeos inversos y deducir así que puertos están abiertos.

Envio con el puerto cerrado

Equipo A ————> UDP ————–> Equipo B

Equipo A <———— ICMP UNREACHABLE <——- Equipo B

Ejemplo con NMAP:

root@ubuntu:~# nmap -sU 192.0.2.1

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-03 11:35 CEST
Interesting ports on 192.0.2.1:
Not shown: 999 closed ports
PORT   STATE         SERVICE
53/udp open|filtered domain
MAC Address: 00:30:DA:XX:XX:XX (Comtrend CO.)

Nmap done: 1 IP address (1 host up) scanned in 1085.72 seconds

Ejemplo con Hping:

root@ubuntu:~# hping3 -V -c 4 -2 -p 2049 192.0.2.1
using eth0, addr: 192.0.2.245, MTU: 1500
HPING 192.0.2.1 (eth0 192.0.2.1): udp mode set, 28 headers + 0 data bytes
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1274 seq=0
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1275 seq=1
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1276 seq=2
ICMP Port Unreachable from ip=192.0.2.1 name=UNKNOWN
status=0 port=1277 seq=3

--- 192.0.2.1 hping statistic ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.6/250.6/1000.5 ms

Entre las ventajas de este método se puede destacar que es fácil detectar si una maquina esta activa y que puertos udp tiene abiertos, por el contrario se ha de tener privilegios de superusuario para realizar este tipo de escaneo, son bastante lentos y los paquetes que se envían no tienen porque garantizar respuestas positivas, ya que puede ser que se pierdan los paquetes al enviarlos o recibirlos.








Escaneo utilizando el puerto ECHO

El puerto ECHO (No. 7) es un tipo de conexión que los sistemas linux actualmente lo traen cerrado ya que no se utiliza, pero en otros sistemas vienen por defecto activado. Se utiliza para realizar comprobaciones de conexión, es decir si la maquina esta activa o no, actualmente se utiliza ping. Se puede utilizar TCP o UDP para realizar la conexión a este puerto. En cualquiera de los casos la función de este puerto ECHO (Eco) es devolver lo que se le envía, de ahí su nombre. En el caso de TCP se puede utilizar el programa telnet para probar si la maquina esta activa, de hecho la conexión a la maquina destino implica una negociación completa en tres pasos (Treeway-handshaking), lo cual significa que la maquina destino se encuentra en la red.

Ejemplo tcp con telnet:

#telnet 192.168.1.1   7

Trying 192.168.1.1…

Connected to 192.168.1.1.

Escape character is ‘^]’.

Envio de eco

Envio de ecotelnet>close

Ejemplo udp con netcat:

#nc –v –u 192.168.1.1 echo

192.168.1.1: inverse host lookup failed: Unknown host

(UNKNOWN) [192.168.1.1] 7 (echo) open

Envio de prueba

Envio de prueba
Envio de ICMP de tipo ECHO

El protocolo ICMP (Internet Control Message Protocol) es el que informa de posibles errores en la capa de red.  Este tipo de escaneo se puede considerar como la forma mas simple de saber si un equipo responde, ya que se utiliza para realizarlo el conocido comando ping, que genera un mensaje ICMP de tipo echo, al cual también se le llama de tipo 8 o simplemente ping. Al realizar el ping la maquina responde con un mensaje también de tipo ICMP pero esta vez de tipo REPLY, también denominado pong.

Ejemplo utilizando el comando ping:

root@ubuntu:~# ping -c 4 192.0.2.1
PING 192.0.2.1 (192.0.2.1) 56(84) bytes of data.
64 bytes from 192.0.2.1: icmp_seq=1 ttl=255 time=0.559 ms
64 bytes from 192.0.2.1: icmp_seq=2 ttl=255 time=0.562 ms
64 bytes from 192.0.2.1: icmp_seq=3 ttl=255 time=0.553 ms
64 bytes from 192.0.2.1: icmp_seq=4 ttl=255 time=0.566 ms

--- 192.0.2.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2998ms
rtt min/avg/max/mdev = 0.553/0.560/0.566/0.004 ms
Envio ICMP tipo broadcast

Este tipo de envíos o escaneos realizan una petición ICMP de tipo 8 o ping a broadcast , al realizar este tipo de envió al broadcast se esta solicitando respuesta a toda la red de forma que todos los equipos que la componga enviaran respuesta.  Es un tipo de escaneo peligroso también denominado smurf broadcast, ya que puede dar lugar a un bloqueo de la red por colapso.

Ejemplo utilizando el comando hping:

root@ubuntu:~# hping3 -1 -c 5 192.0.255.255
HPING 192.0.255.255 (eth0 192.0.255.255): icmp mode set, 28 headers + 0 data bytes
len=46 ip=192.0.255.255 ttl=32 id=39545 icmp_seq=0 rtt=0.3 ms
DUP! len=46 ip=192.0.3.201 ttl=255 id=25118 icmp_seq=0 rtt=0.4 ms
len=46 ip=192.0.3.201 ttl=255 id=25119 icmp_seq=1 rtt=0.2 ms
DUP! len=46 ip=192.0.255.255 ttl=32 id=39547 icmp_seq=1 rtt=0.2 ms
len=46 ip=192.0.3.201 ttl=255 id=25120 icmp_seq=2 rtt=0.4 ms

--- 192.0.255.255 hping statistic ---
3 packets transmitted, 5 packets received, -66% packet loss
round-trip min/avg/max = 0.2/0.3/0.4 ms

Una de las ventajas a destacar es que en la mayoría de redes Unix/Linux suelen responder a este tipo de petición, por el contrario en redes Windows este tipo de escaneo es omitido por defecto, en redes unix se puede llegar a producir el colapso de la red debido a este tipo de petición, es recomendable configurar o asegurar la red para que no responda a este tipo de peticiones.

envio ICMP tipo 10 o router

Este tipo de envió es el que realizan los routers para que las maquinas de la red detecten su presencia. El router envía mediante multicast o multidifusión (el envió de información en una red a múltiples destinos simultáneamente), una trama ICMP, de esta forma equipos en la red que no hubieran localizado su router darán con el suyo. Este tipo de envió se ha de generar con una aplicación especial, en este caso esta aplicación se denomina icmpush y es bastante fácil de localizar en cualquier distribución linux.

Ejemplo utilizando el comando icmpush:

nacho@ubuntu:~$ sudo icmpush -vv -rts 192.0.3.10
 -> Outgoing interface = 192.0.2.245
 -> ICMP total size = 8 bytes
 -> Outgoing interface = 192.0.2.245
 -> MTU = 1500 bytes
 -> Total packet size (ICMP + IP) = 28 bytes
ICMP Router Solicitation packet sent to 192.0.3.10 (192.0.3.10) 

Receiving ICMP replies ...
icmpush: Program finished OK
Envio ICMP de tipo 13 o marcas de tiempo

Las marcas de tiempo se utilizan como protección para evitar la falsificación de paquetes TCP que alteren la secuencia de conexión, existe un limite de tiempo de espera entre cada paquete de una misma conexión de forma que si se supera este limite de tiempo la conexión queda cancelada. Las marcas de tiempo o timestamps permiten obtener información de las maquinas activas, ya que si se envía una petición de tipo 13 a una maquina esta indicara si esta activa y resolverá también su zona horaria con lo que se puede determinan la zona geográfica a la cual pertenece dicha maquina. Para realizar este tipo de envíos se utiliza también la herramienta mencionada anteriormente denominada icmpush. Los sistemas Unix suelen responder a este tipo de peticiones mientras que los equipos windows no.

Ejemplo utilizando el comando icmpush:

nacho@ubuntu:~$ sudo icmpush -vv -tstamp 192.0.2.1
 -> Outgoing interface = 192.0.2.245
 -> ICMP total size = 20 bytes
 -> Outgoing interface = 192.0.2.245
 -> MTU = 1500 bytes
 -> Total packet size (ICMP + IP) = 40 bytes
ICMP Timestamp Request packet sent to 192.0.2.1 (192.0.2.1)

Receiving ICMP replies ...
192.0.2.1       -> Timestamp Reply transmited at 01:00:00
icmpush: Program finished OK
Envio ICMP de tipo 15

Este envió ya es obsoleto pero algunas versiones de sistema Unix antiguas todavía siguen respondiendo al mismo, al realizar el envió la maquina destino respondía con su dirección de red.

Ejemplo utilizando el comando icmpush:

nacho@ubuntu:~$ sudo icmpush -vv -mask 192.0.2.1
 -> Outgoing interface = 192.0.2.245
 -> ICMP total size = 16 bytes
 -> Outgoing interface = 192.0.2.245
 -> MTU = 1500 bytes
 -> Total packet size (ICMP + IP) = 36 bytes
ICMP Address Mask Request packet sent to 192.0.2.1 (192.0.2.1)

Receiving ICMP replies ...
icmpush: Program finished OK





Publicado por admin en , , , , , , , , ,

Navegacion

anteriorpausasiguiente

Dame Animo… haz clic !!!

Buscar en Google

Interesa ver…

Referencias

Sitio seleccionado por
el Directorio Flesko


Blog Directory, Find A Blog, Submit A Blog, Search For The Best Blogs
Blog Directory

Otras opciones