Herramientas de seguridad SSI
-
Upload
xoangz -
Category
Technology
-
view
1.359 -
download
0
Transcript of Herramientas de seguridad SSI
![Page 1: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/1.jpg)
Herramientas de análisis de seguridad
Juan Miguel García LosadaRaúl Alonso Álvarez
![Page 2: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/2.jpg)
Wireshark
• Analizador de red (de código libre)• Funciona en Linux, Windows y Mac• Permite capturar datos de una conexión live.• Permite navegar en los datos capturados y
profundizar tan solo en aquellos paquetes que necesitemos.
• Tiene varias herramientas poderosas, incluyendo un lenguaje de filtro y la posibilidad de reconstruir una sesión TCP.
![Page 3: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/3.jpg)
Kismet
• Es un detector de red inalámbrica, sniffer y detector de intrusos.
• Identifica las redes por inhalación pasiva.• Puede detectar bloques IP capturando
paquetes TCP, UDP, ARP y DHCP. • Puede guardar un log en un formato
compatible con Wireshark o TCPDum• No tiene interfaz gráfica
![Page 4: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/4.jpg)
TCPDump
• Es el sniffer clásico para monitoreo de red y adquisición de datos.
• Era el sniffer IP usado antes de Ethereal (Wireshark).
• No tiene interfaz gráfica pero hace bien su trabajo y no tiene agujeros de seguridad como Wireshark.
• Otra ventaja con respecto a Wireshark es que consume menos recursos del sistema. Es ideal para diagnosticar problemas de red.
![Page 5: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/5.jpg)
Cain and Abel
• Una herramienta de recuperación de contraseñas. • Puede recuperar contraseñas por inhalación
(sniffing) de la red, craqueo de contraseñas encriptadas usando un diccionario, fuerza bruta y criptoanálisis, grabación de conversaciones VoIP, descubrimiento de contraseñas en caché y análisis de protocolos de enrutamiento.
• Anécdota: Algunos antivirus detectan cain and abel como malware.
![Page 6: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/6.jpg)
Ettercap
• Es un sniffer de red basado en sniffer/interceptor/logger.
• Permite la inyección de datos en una conexión establecida y el filtrado al vuelo, manteniendo la conexión sincronizada.
• Tiene la capacidad para comprobar si usted está en una LAN conmutada o no, y para utilizar las huellas dactilares del sistema operativo (activa o pasiva) para hacerle saber la geometría de la LAN.
![Page 7: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/7.jpg)
Dsniff
• Es una suit popular que incluye varias herramientas: dsniff, filesnarf, mailsnarf, el msgsnarf, urlsnarf, y WebSpy pasivamente monitorizar una red de datos de interés (contraseñas, correo electrónico, archivos, etc.) arpspoof, dnsspoof y macof facilitar la interceptación del tráfico de red que normalmente no está disponible a un atacante. sshmitm y webmitm aplicar activa ataques mono-en-el-medio (monkey-in-the-middle) contra ssh redirigido y sesiones de https mediante la explotación de los enlaces débiles en ad-hoc PKI.
![Page 8: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/8.jpg)
Ntop
• Hace un análisis de la red de forma parecida a la herramienta ‘top’ para los procesos.
• En modo interactivo muestra el estado de la red en el terminal del usuario. Y en modo web, actúa como un servidor web almacenando persistentemente estadísticas del tráfico y después se pueden ver en gráficos.
![Page 9: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/9.jpg)
Snort
• En este detector de intrusiones de red ligero destaca el sistema de prevención en el análisis de tráfico y registro de paquetes en redes IP. A través de análisis de protocolos, el contenido de la búsqueda, y varios pre-procesadores, Snort detecta miles de gusanos, la vulnerabilidad de intentos de exploits, análisis de puertos, y otros comportamientos sospechosos.
• Snort utiliza un lenguaje flexible basado en reglas para describir el tráfico que debe recoger o pasar, y un motor de detección modular. También hay un programa gratuito basado en una interfaz web para el análisis de las alertas de Snort.
![Page 10: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/10.jpg)
Nikto
• Es un scanner de seguirdad• Nikto es un scanner de código abierto (Licencia
GPL) que realiza exhaustivos tests, incluyendo más de 3200 ficheros/CGI que potencialmente son dañinos, en más de 625 tipos de servidores, y problemas típicos de versiones en más de 230 servidores. Lo que se escanea así como sus plugins se actualizan muy frecuentemente y pueden descargarse gratuitamente si se desea.
![Page 11: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/11.jpg)
Nessus
• Programa de escaneo de vulnerabilidades• Para diversos sistemas operativos• Desde consola nessus puede ser programado para hacer
escaneos programados con cron• Nessus comienza escaneando los puertos con nmap o con
su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo
• los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX
![Page 12: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/12.jpg)
Ping / telnet / dig / traceroute / whois / netstat
• Todo el mundo debe estar muy familiarizado con estas herramientas, ya que vienen con la mayoría de sistemas operativos (Windows, excepto que omite whois y utiliza el nombre tracert).
• Pueden ser muy útil en caso de apuro, aunque para un uso más avanzado es mejor utilizar otras herramientas.
![Page 13: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/13.jpg)
Ejemplo Ettercap
![Page 14: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/14.jpg)
Ettercap Usamos el programa Ettercap -gtk Vamos a escanear los paquetes que se
intercambian entre PC1(Victima) y el router de la red Wifi, con el Ettercap en PC2(Atacante)
Vamos a usar el metodo envenamiento por ARP.
Le vamos hacer creer a PC1 que nuestra IP es la del router, y al router que nuestra IP es la de PC1.
![Page 15: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/15.jpg)
Configuración del Ataque Clickamos en Sniff → Unified Sniffing ->Wlan0 Clickamos en host → Scan for Host Clickamos en Host → Host List Seleccionamos la Ip de PC1 como target1 y la
Ip del router como target2 Clickamos en Mitm → Arp poisoning Clickamos en View → Connections Clickamos en Start → Start Sniffing
![Page 16: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/16.jpg)
Ataque Ettercap En la pantalla Connections vemos todos los paquetes
que entran y salen de PC1, podemos ver los parámetros de Host Origen Puerto Origen, Host Destino Puerto Destino, protocolo, estado y Bytes.
Analizando los paquetes se puede ver por ejemplo las páginas en las que entra PC1 y los datos que envia no cifrados.
En la siguiente captura podemos ver una conversación que mantiene PC1 en un chat que no tiene los mensajes cifrados.
![Page 17: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/17.jpg)
Ataque Ettercap
![Page 18: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/18.jpg)
Ejemplo Nmap
![Page 19: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/19.jpg)
Nmap Nmap es un programa silencioso de Escano de
Puertos. Se usa para saber que puertos tiene abiertos
una cierta dirección de IP (a la que lanzamos el ataque) y saber que aplicacion escucha en ese puerto.
Vamos usar el comando nmap -sS -Sv -PO ipdestino sobre un PC que tiene el servidor XMAPP instalado.
![Page 20: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/20.jpg)
Resultado Nmap
• Port STATE Service Version• 21/tcp open ftp ProFTPD 1.3.3d• 80/tcp open http Apache httpd 2.2.17• 443/tcp open ssl/http Apache httpd 2.2.17• 3306/tcp open mysql MySql
• Service info: OS:Linux
![Page 21: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/21.jpg)
![Page 22: Herramientas de seguridad SSI](https://reader035.fdocument.pub/reader035/viewer/2022062319/5588fb6dd8b42a401a8b45e8/html5/thumbnails/22.jpg)
Nmap Podemos observar que este comando nos dio
como respuesta los puertos y el programa que tienen asociado a ellos, como por ejemplo el puerto 80/TCP tiene asociado en servicio http con la versión del Apache 2.2.17, despues podemos buscar en páginas como exploit-db.com que vulnerabilidad tiene esta versión del apache para poder explotarla.