of 23
HerramientasdeSeguridadenGNU/Linux
ExistenmuchasherramientasdeseguridadenGNU/Linux,puedenencontrarunalistabastantecompletadelasmasusadasen:http://sectools.org/,aquhablaremosdealgunasbastantesconocidas,dandoalgunosejemplosdeusosdecadauna:
Ettercap(http://ettercap.sourceforge.net):BsicamenteEttercapesunSniffer(puedecapturareltraficoenunaLan),tienevariasformasdefuncionamiento,entreunadeellaspodemosencontrar,Mitm(ManintheMiddle),dentrodeesteArpPoisoning,Icmpredirect,Portstealing,Dhcpspoofing
Instalacin:Loprimeroquevamosahaceresinstalarloconapt,deestamanera:#aptgetinstallettercap(estonosdescargaraettercap,ettercapcommonyalgunaslibreriasnecesarias)Primerovamosaeditarelarchivodeconfiguracinqueestaen/etc/etter.confydescomentarlalineaquedice:#redir_command_on="iptablestnatAPREROUTINGi%ifaceptcpdport%por$paraquenohayaproblemasalahoradesniffearLuegodeyatenerloinstaladovamosaabrirlocon:#ettercapC
HerramientasdeSeguridadenGNU/Linux
Ytendramosqueverunapantallacomoesta:
HerramientasdeSeguridadenGNU/Linux
Luegopodemosirporlosdiferentesmensapretandoshift+laprimerletradelmen,ennuestrocasoelegiremoselmenSniffydentrodeestelaprimeropcinUnifiedSniffing
HerramientasdeSeguridadenGNU/Linux
Nosaparecerunapantalladondedebemoscolocarlaplacaderedautilizar:
HerramientasdeSeguridadenGNU/Linux
Unavezqueelegimoslaplacaautilizar,vamosaverquenoscambioelmenamuchasmasopciones,buenoahoravamosaelegirlaopcinHostsydentrodeestaScanforhosts,deestamaneranosharunescaneoentodalared,chequeandoquehostsestndisponiblesenlamisma.
HerramientasdeSeguridadenGNU/Linux
Nosvaaaparecerunaimagencomoesta,dondenosindicaratodosloshostsencontrados,loscualeslosaadiraaunalistadehosts,quepodemosverllendoaHostsydentrodeestaaHostsList.
HerramientasdeSeguridadenGNU/Linux
Seguidoaestoloquetenemosquehaceresseleccionarprimerounodeloshost,queenestecasosera192.168.1.100,lamaneradeelegirlosesparndonosencimadeeldetalleypresionarelbotn1,luegovamosaelegira192.168.1.1,enestecasoelrouterypresionamos2.ContodoestoyavamosaestarpreparadospararealizarunARPPoisoningycapturarlainfoquepasaentreelhostyelrouter.
HerramientasdeSeguridadenGNU/Linux
DespueselegimosMitmydentrodeesteArppoisoning,cuandonospidaparametroslecolocamosremote,seguidoaestovamosaStartyahidentroaStartsniffing,acayaempezaraasnifearypodremosvertodoloocurridodentrodeView>Connections
HerramientasdeSeguridadenGNU/Linux
ParasalirsolotendremosqueiraMitmyhacerunStopmitmattack(s)yluegoaStartyelegirExit,recuerdenqueparamovernosentrelosmenspodemosusarShiftylaprimerletradecadamen,yparaelegirunaopcindentrodeestospodemosusarCtrl+laletraqueseindiquejuntoaC,odirectamentelaletrasolasiestaaparecedeesaforma.
HerramientasdeSeguridadenGNU/Linux
Nmap(http://nmap.org)Nmapesunescnerdepuertospoderosisimo,nosvaaayudarbastanteenlastareasdiariasdeadministracin,yaqueseguramentenospasaraelquererobservarquepuertostenemosabiertosenundeterminadohosts,parasaberdeestamaneraaqueserviciospuedenpertenecer,comoastambinquizsquerersaberqueSistemaOperativoposeeymuchsimascosasmas.Vamosaveralgunasdelastantasopcionesquedisponemospararealizarestetipodeescaneo:
InstalacinSinoseencuentrainstalado,bastaconrealizarunaptgetinstallnmap,ymuybrevementeyaseencontrarainstalado.Laformadeusoeslasiguiente:
Mododeuso#nmap[opciones]host_a_escanear
HerramientasdeSeguridadenGNU/Linux
Ejemplos
EscaneoBasico:
#nmaplocalhostStartingNmap4.53(http://insecure.org)at2008070121:42ARTInterestingportsonlocalhost(127.0.0.1):Notshown:1709closedportsPORTSTATESERVICE25/tcpopensmtp80/tcpopenhttp139/tcpopennetbiosssn445/tcpopenmicrosoftds631/tcpopenipp
Esteeselmasbsicodetodoslosescaneos,enmicasoescanemipropioequipo,tambinpodrahabersidounodelared.Lainformacinquenospresentaes:numerodepuerto/tipo,elestadodelmismoyelservicioqueestacorriendosobreeste.
HerramientasdeSeguridadenGNU/LinuxEscaneoconversionesdelosservicios:
#nmapsVlocalhost
StartingNmap4.53(http://insecure.org)at2008071021:48ARTInterestingportsonlocalhost(127.0.0.1):Notshown:1709closedportsPORTSTATESERVICEVERSION
25/tcpopensmtpEximsmtpd4.6980/tcpopenhttpApachehttpd2.2.8((Ubuntu))139/tcpopennetbiosssnSambasmbd3.X(workgroup:WORKGROUP)445/tcpopennetbiosssnSambasmbd3.X(workgroup:WORKGROUP)631/tcpopenippCUPS1.2ServiceInfo:Host:emilianox
Hostscriptresults:|_DiscoverOSVersionoverNetBIOSandSMB:Unix
Servicedetectionperformed.Pleasereportanyincorrectresultsathttp://insecure.org/nmap/submit/.Nmapdone:1IPaddress(1hostup)scannedin11.486seconds
HerramientasdeSeguridadenGNU/Linux
Comopodemosverenelejemploanterior,yanospresentalasversionesdelosserviciosqueestncorriendo,estoesmuytilsicontamostambinconlasvulnerabilidadesparacadaversin,yaquesabremossiestamossegurosositendremosqueaplicaralgnparche.Obviamentealiraplicandoopcionesmascomplejas,tardaramastiempoendevolvernoslarespuesta,asquepaciencia.EntrerangodepuertosOtradelasopcionesquedisponemosesescanearentreunpuertoyotro,paradelimitardeestamaneraelrangoaescanear,yaqueprobablementenospasaraquesolonecesitemosescanearunrangopequeodepuertosynotodos.Pararealizarestoharemoslossiguiente:#nmapp80631localhost
StartingNmap4.53(http://insecure.org)at2008071022:32ARTInterestingportsonlocalhost(127.0.0.1):Notshown:548closedportsPORTSTATESERVICE80/tcpopenhttp139/tcpopennetbiosssn445/tcpopenmicrosoftds631/tcpopenippNmapdone:1IPaddress(1hostup)scannedin0.074seconds
631/tcpopenippNmapdone:1IPaddress(1hostup)scannedin0.074seconds
HerramientasdeSeguridadenGNU/Linux
Enelejemploanteriorpodemoscomprobarquesoloescaneoelrangoqueleaplicamos(80631).
RangosdeIp#nmap192.168.1.110
Deestamaneraveremostodosloshostsqueestenentreelrangodeipespecificado(.1a.10).
HerramientasdeSeguridadenGNU/Linux
Conociendoelsistemaoperativo#nmapOlocalhost
StartingNmap4.53(http://insecure.org)at2008071022:41ARTInterestingportsonlocalhost(127.0.0.1):Notshown:1709closedportsPORTSTATESERVICE25/tcpopensmtp80/tcpopenhttp139/tcpopennetbiosssn445/tcpopenmicrosoftds631/tcpopenippDevicetype:generalpurposeRunning:Linux2.6.XOSdetails:Linux2.6.172.6.18Uptime:0.137days(sinceThuJul1019:23:192008)NetworkDistance:0hops
OSdetectionperformed.Pleasereportanyincorrectresultsathttp://insecure.org/nmap/submit/.Nmapdone:1IPaddress(1hostup)scannedin1.630seconds
HerramientasdeSeguridadenGNU/Linux
ComopodemosobservarconlaopcinO,nosmuestraelsistemaoperativocorriendoenelhostescaneado,aunquequizsenestecasonofuemuycorrectolaversindekernelmostrada,yaqueposeola2.6.24,yestamostrandocomosifuerala2.6.172.6.18,peroigualmentenosdaunaaproximacinasquedetodosmodossirvebastante.
Falsearladireccioniporigen#nmapS192.168.1.5eeth0PN200.200.x.x
deestaformaelequipoquerecibiralaspeticionessecreeraquelasmismasvienendelip192.168.1.5,sirvemuchocuandohayfirewallsdepormedioquenodejanpasarrequestdesdeinternet.
Haymuchisimasopcionescomoyalodijimosanteriormente,unbuenlistadodelasmismasconsuscomentariosencastellano,laspodemosencontraraqui:http://nmap.org/man/es/manbriefoptions.html
HerramientasdeSeguridadenGNU/Linux
Snort(http://www.snort.org)SnortesunIDS(IntrussionDetectionSystem),bsicamenteloquerealizaesunseguimientodelospaquetesquecirculanenunared,ydeestamaneraybasndoseenunasreglasyconfiguraciones,nospuedeotorgardistintasalertaseinformacionesdeimportanciaquenosayudaranadetectaryprevenirintrusiones.
TiposdeIDS:
BsicamenteexistedostiposdeIDS,unoeselHIDS(HostIDS)quesoloactasobreunnicohostsyelNIDS(NetIDS)quepuedeactuarsobreunared,esteultimopodramosdecirqueactacomounSnifferperoanalizayenelcasoquehayaalgntipodeconcordanciaconsusreglas,alertadeloocurrido,segnseconfigure.
LugardondecolocarelIDS:Siempresetratadecolocarlolomascercaposiblededondesalgotodoeltraficodelaredaanalizar,paraevitarfalsospositivos(alarmasfalsas),muchasvecessesuelencolocarantesydespuesdelfirewallprincipal,paraevaluardeestamaneralosdistintostrficosprovenientesdelosdiferenteslugaresydescartardeestamaneralosfalsospositivos.
HerramientasdeSeguridadenGNU/Linux
Instalacin
#aptgetinstallsnort
estonosinstalaralossiguientespaquetes:
snort,snortcommonysnortrulesdefault
HerramientasdeSeguridadenGNU/Linux
Nosaparecerunapantallacomolaanteriordondetendremosquedecirlecualeslaredodistintoshostsquequeremosquesnortnosmonitorice.
ArchivodeconfiguracinUnavezinstaladopodremosiraelarchivodeconfiguracinqueseencuentraen:/etc/snort/snort.conf,enelmismovamosaencontrardistintosparmetrosaconfigurar,comoporejemplo:
DireccionesIpde:Servidores(SMTP,HTTP,SQL),LocalHosts,RedExterna(podraserinternet)
Luegomasabajoestnlospreprocessor,quesonbsicamentecomoactuaraoqueregistraraporcadaevento.ElgrupodereglaspordefectoquetraeSnortlaspodremosverdentrodeldirectorio/etc/snort/rules/.
VamosadescomentareldeArpspoofaslopodremosprobarconlosataquesdeArpqueyavimosanteriormenteenEttercap:
preprocessorarpspoof(estaeslalineaadescomentar)
HerramientasdeSeguridadenGNU/Linux
BienahorapodremosreiniciarSnortdelasiguientemanera:
#/etc/init.d/snortrestar
osiqueremosverenpantallaloquevasucediendopodemoscolocarlasiguientelinea:
#snortdevl/var/log/snort/h10.0.2.15/24c/etc/snort/snort.conf
luegopodemosirverificandodentrode/var/log/snort/alert,lasdistintasalertasquenosestainformando.
Snort+ACID(AnalysisConsoleforIntrussionDatabases)+Mysql
SepuedeconfigurarSnortjuntoconACIDymysql,parapodertenerdeestamaneraunaherramientagrficavaweb,parapodercontrolarlasdistintasalarmasdeSnort,yaquelasmismassepuedenconfigurarparaguardarseenunabasededatosMysqlyluegoconACIDpoderverlasenelnavegador.
HerramientasdeSeguridadenGNU/Linux
Netcat(http://netcat.sourceforge.net/)Netcatconocidacomolanavajasuiza,yaqueesunaherramientapoderosisima,lacualhaceusodelprotocoloTCP/IP,conlamismapodremoscrearconexionesentredistintoshostsyusandodiferentespuertos,bsicamenteloquerealizaes;abrirunpuertoyquedaralaescuchaencasodeserservidor,paraluegorecibiroenviaralgoporesepuertoaunclientequeseconecteconelmismo:
UsoPrimerovamosaversilatenemosinstalada,paraesopodemosfijarnosen/bin/puedeaparecerconelnombrencoconelnombrenetcatqueenrealidadesunenlacequehacerreferenciaanc.Enelcasodenocontarconlamismaharemosun:
#aptgetinstallnetcat
Sintaxis#nc[options]hostnameport[s][ports]#nclpport[options][hostname][port]
HerramientasdeSeguridadenGNU/Linux
AlgunosParmetros:
l:listen,enesperadeconexionesentrantesp:puertou:UDPe:ejecutarcomandoluegodeconectarsec:ejecutardenesdeshell(hace/bin/shc[cadena]despusdeconectar
Ejemplos:
Conexinentredoshosts:
#nclp8888(enelservidor,sequedaescuchandoenelpuerto2000alaesperadeunaconexin)
#nc192.168.1.18888(enelcliente,leestamosdiciendoqueseconecteaelipdelservidorydentrodeestealpuerto2000,deestamaneratodoloqueescribamosdeunladosaldrenelotro,mientrasqueelservidornocortelaconexinconctrl+x)
HerramientasdeSeguridadenGNU/Linux
Ejecucindecomandosdesdeelcliente
Servidor#nclp8888e/bin/bash(leindicamosqueunavezconectadoejecute/bin/bash,entonceselclientepodrhacerusodelmismo,Ojocomoqueusuarionosconectemos,yaqueelbashotorgadoseraeldelmismo)
Cliente#nc192.168.1.18888(acyapodemostipearcualquiercomandoyseracomosiestuviramosaccediendodesdelaconsola).
Algodivertido
#nctowel.blinkenlights.nl23