LECCIN 5 IDENTIFICACIN DE SISTEMAS

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

License for Use Information

The following lessons and workbooks are open and publicly available under the following terms and conditions of ISECOM: ll works in the !acker !ighschool pro"ect are provided for non#commercial use with elementary school students$ "unior high school students$ and high school students whether in a public institution$ private institution$ or a part of home#schooling% These materials may not be reproduced for sale in any form% The provision of any class$ course$ training$ or camp with these materials for which a fee is charged is e&pressly forbidden without a license including college classes$ university classes$ trade#school classes$ summer or computer camps$ and similar% To purchase a license$ visit the 'ICE(SE section of the !acker !ighschool web page at www%hackerhighschool%org)license% The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence of the instructor and not the tool% ISECOM cannot accept responsibility for how any information herein is applied or abused% The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask you support us through the purchase of a license$ a donation$ or sponsorship% ll works copyright ISECOM$ +,,-%

Informacin sobre la Licencia e Uso

'as lecciones y cuadernos de traba"o siguientes son de acceso p.blico y est/n disponibles ba"o las siguientes condiciones de ISECOM: Todos los traba"os del proyecto 0!acker !ighschool1 son proporcionados para su uso no comercial con estudiantes de escuelas primarias$ secundarias$ bachilleratos y ciclos formativos dentro de las actividades acad2micas propias de la instituci3n% 4ichos materiales no pueden ser reproducidos con fines comerciales de ning.n tipo% 'a impartici3n con estos materiales de cual5uier clase$ curso o actividad de formaci3n para el 5ue sea necesario pagar un importe$ 5ueda totalmente prohibida sin la licencia correspondiente$ incluyendo cursos en escuelas y universidades$ cursos comerciales o cual5uier otro similar% *ara la compra de una licencia visite la secci3n 0'ICE(SE1 de la p/gina web del proyecto 0!acker !ighschool1 en www%hackerhighschool%org)license% El proyecto !!S es una herramienta de aprendi6a"e y$ como tal$ la formaci3n final debe proceder realmente de la influencia del instructor y no basarse .nicamente en el uso de la herramienta% ISECOM no puede aceptar ba"o ning.n concepto responsabilidad alguna sobre la forma de aplicar$ ni sus consecuencias$ de cual5uier informaci3n disponible dentro del proyecto% El proyecto !!S es un esfuer6o de una comunidad abierta$ por lo 5ue si encuentra .til este proyecto le invitamos a esponsori6arlo a trav2s de la compra de una licencia$ una donaci3n o una esponsori6aci3n% ll works copyright ISECOM$ +,,-%

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

#n ice

0'icense for 7se1 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% + Informaci3n sobre la 0'icencia de 7so1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% + Contribuciones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%8%9% Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%8 8%+% Identificaci3n de un servidor%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%: 8%+%9 Identificaci3n del propietario de un dominio%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%: 8%+%+ Identificaci3n de la direcci3n I* de un dominio%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%: 8%;% Identificaci3n de servicios%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% < 8%;%9 *ing y Traceroute%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%< 8%;%+ Obtenci3n del banner%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%< 8%;%; Identificaci3n de servicios a partir de puertos y protocolos%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%= 8%-% Identificaci3n de un sistema%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 9, 8%-%9 Escaneo de ordenadores remotos%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9, 8%8% 'ecturas recomendadas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9;

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

Contrib%ciones
Chuck Truett$ ISECOM >aume bella$ 'a Salle 7?' @arcelona A ISECOM Buiomar Corral$ 'a Salle 7?' @arcelona *ete !er6og$ ISECOM Marta @arcel3$ ISECOM Cim Truett$ ISECOM

&

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

5'(' Intro %ccin

Es obvio 5ue 5ual5uiera 5ue se siente en el teclado de tu ordenador puede obtener informaci3n sobre el mismo$ incluyendo el sistema operativo y los programas 5ue se est/n e"ecutando$ pero tambi2n es posible para alguien 5ue utili6a una cone&i3n de red recoger informaci3n sobre un ordenador remoto% Esta lecci3n describe algunas de las formas en las 5ue se puede obtener esta informaci3n% Saber como se recoge esta informaci3n te ayudar/ a asegurar 5ue tu ordenador local est2 a salvo de estas actividades%

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

5'!' I entificacin e %n ser)i or

!ay un buen n.mero de fuentes .tiles en la web 5ue te ayudar/n a recoger informaci3n sobre nombres de dominio y direcciones I*%

5'!'( I entificacin el *ro*ietario e %n ominio

El primer paso para identificar un sistema remoto es determinar el nombre de dominio y su direcci3n I*% !aciendo una b.s5ueda de Whois (whois lookup)$ puedes descubrir informaci3n valiosa$ incluyendo el propietario del dominio e informaci3n de contacto$ 5ue puede incluir direcciones y n.meros de tel2fono% !as de saber 5ue ahora hay unos cuantos registradores de nombres de dominio$ y 5ue no todas la bases de datos whois contienen toda la informaci3n de todos los dominios% *uede 5ue tengas 5ue buscar en m/s de una base de datos whois para encontrar la informaci3n 5ue est/s investigando%

5'!'! I entificacin e la ireccin I+ e %n ominio

!ay unas cuantas formas de determinar la direcci3n I* de un dominio% 'a direcci3n puede estar contenida en la informaci3n de whois o puede 5ue tengas 5ue buscar en un 4(S o Servidor de (ombres de 4ominio% D!ay motores de b.s5ueda 5ue proporcionan un buen n.mero de recursos para el descubrimiento de direcciones I* de nombres de dominioE% 7na ve6 se dispone de la direcci3n I*$ se puede acceder a los registros de diversos miembros de la Number Resource Organization Dhttp:))www%arin%net) y http:))www%ripe%net)E$ para obtener informaci3n sobre c3mo se distribuyen las direcciones I*% 'os n.meros I* se asignan a los proveedores de servicios y a las redes en grandes agrupaciones% Conocer en 5u2 grupo est/ contenida la direcci3n I* y 5ui2n tiene los derechos de ese grupo puede ser de gran ayuda% Esto puede ayudarte a determinar informaci3n sobre el servidor o el proveedor de servicios 5ue utili6a el servidor web% E"ercicios: Escoge un nombre de dominio v/lido Disecom%orgE y reali6a una b.s5ueda de whois para encontrar 5ui2n es el propietario de ese dominio Dhttp:))www%whois%com #F 0isecom%org1GBo #F Hhois 'ookupE% IJu2 otra informaci3n est/ disponibleK ICuando se cre3 el dominioK ICuando e&pirar/K ICuando fue actuali6ada por .ltima ve6K Encuentra la direcci3n I* para este nombre de dominio% 7tili6ando los whois lookups de diversos miembros de la Number Resource Organization$ determina a 5ui2n se ha asignado esta direcci3n I*% DEmpie6a con la pagina ,,,'arin'net$ 5ue tambi2n tiene enlaces a otros miembros de la (?O #F ripeE% ICual es el margen de direcciones I* 5ue tambi2n tiene registrado esta entidadK

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

5'$' I entificacin e ser)icios

7na ve6 se ha establecido el propietario y la direcci3n I* de un dominio$ entonces se puede empe6ar a buscar informaci3n sobre el servidor al 5ue este dominio se refiere%

5'$'( +in. / Tracero%te

hora 5ue sabes a 5ui2n pertenece el dominio y a 5ui2n se ha asignado el n.mero I*$ puedes comprobar si el servidor web est/ actualmente activo% El comando ping te dir/ si hay un ordenador o servidor asociado con ese nombre de dominio o I*% El comando ping dominio o ping direccinip te dir/ si hay un ordenador activo en esa direcci3n% Si el resultado del comando ping indica 5ue se est/n recibiendo los pa5uetes ping enviados$ entonces puedes asumir 5ue el ordenador est/ activo% Otro comando$ tracert Den HindowsE o traceroute Den 'inu&E muestra los pasos 5ue reali6a la informaci3n a medida 5ue via"a desde tu ordenador al remoto% Tra6ando la ruta 5ue reali6an los pa5uetes a veces t2 ofrecer/ informaci3n adicional sobre los ordenadores de la red donde est/ situado el ob"etivo de tu tra6a% *or e"emplo$ ordenadores con direcciones I* similares muy a menudo formar/n parte de la misma red% E0ercicios: !a6 un ping a un website o direcci3n I* Dping www%isecom%org o ping +9:%L+%99:%9;E% Si obtienes una respuesta e&itosa$ ha6 ping sobre la direcci3n I* consecutiva D%9-E% I!a sido positivo el resultadoK I 5u2 dominio pertenece esta nueva direcci3n I*K 7tili6a tracert o traceroute para tra6ar la ruta desde tu ordenador local hasta la I* 5ue has utili6ado en el e"ercicio previo% ICu/ntos pasos se necesitanK I lguno de los ordenadores listados tiene direcciones I* similaresK

5'$'! 1btencin el banner

El pr3&imo paso para identificar al sistema remoto es intentar conectarse utili6ando telnet o MT*% El servidor programa para estos servicios mensa"es de te&to de bienvenida llamados banners% 7n banner puede mostrar claramente y con precisi3n 5u2 programa se est/ e"ecutando para este servicio% *or e"emplo$ cuando te conectas a un servidor MT* an3nimo$ podrNas obtener el mensa"e siguiente: Connected to anon.server. 220 ProFTPD Server (Welcome . . . ) User (anon.server:(none)):

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

El n.mero ++, es un c3digo para MT* 5ue indica 5ue el servidor esta preparado para recibir un nuevo usuario y el mensa"e de te&to *roMT* Server identifica el programa MT* 5ue se est/ e"ecutando en el ordenador remoto% 7tili6ando un motor de b.s5ueda$ puedes aprender 5u2 sistema operativo utili6a y otros detalles sobre sus re5uerimientos$ capacidades$ limitaciones y defectos% El principal defecto en el uso de esta t2cnica de obtenci3n de banners sobre un sistema es 5ue los administradores de sistemas inteligentes pueden poner banners engaOosos% 7n banner 5ue muestre 0Estonoesasuntotuyo1 no puede ser obviamente confundido$ pero un sistema 7ni& con un banner 5ue muestra 0HSPMT* Server1 DMT* Server basado en HindowsE va a complicar mucho cual5uier intento de obtenci3n de datos 5ue se intente%

5'$'$ I entificacin e ser)icios a *artir e *%ertos / *rotocolos

Tambi2n se puede determinar 5u2 programas est/n funcionando en un sistema mirando 5u2 puertos DTC* y 74*E est/n abiertos y 5u2 protocolos los utili6an% *uedes empe6ar mirando tu propio ordenador% bre un shell MS#4OS o linea de comandos DHindows: e"ecutar #F cmdE y e"ecuta el programa netstat usando el sufi"o Aa Do todosE: netstat #a El ordenador mostrar/ la lista de puertos abiertos y algunos de los servicios 5ue utili6an estos puertos% ctive Connections Proto !ocal TCP TCP TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP ddress Foreign ddress State !&ST'(&() !&ST'(&() !&ST'(&() !&ST'(&() !&ST'(&() T&3'4W &T "o#rComp#ter:microso$t%ds "o#rComp#ter:*02+ "o#rComp#ter:*0,0 "o#rComp#ter:+000 "o#rComp#ter:net-ios%ssn "o#rComp#ter:***0 "o#rComp#ter:microso$t%ds "o#rComp#ter:isa6mp "o#rComp#ter:*020 "o#rComp#ter:*0,1 "o#rComp#ter:*0,. "o#rComp#ter:ntp "o#rComp#ter:net-ios%ns "o#rComp#ter:net-ios%dgm "o#rComp#ter:0 "o#rComp#ter:0 "o#rComp#ter:0 "o#rComp#ter:0 "o#rComp#ter:0 2*..2,/.+0.*10:2ttp 5:5 5:5 5:5 5:5 5:5 5:5 5:5 5:5

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

partir de a5uN puedes ver muchos de los programas 5ue se est/n e"ecutando en tu ordenador local$ muchos de los cuales ni si5uiera sabes 5ue est/n funcionando% Otro programa$ llamado fport$ proporciona informaci3n similar a la de netstat$ pero detalla$ adem/s$ 5u2 programas est/n utili6ando estos puertos y protocolos% Dfport est/ disponible gratuitamente en www%foundstone%comE% Otro programa$ llamado nmap Dproviene de network mapperE$ anali6ar/ m/s concien6udamente los puertos abiertos de tu ordenador% Cuando nmap se e"ecuta$ muestra una lista de puertos abiertos y los servicios o protocolos 5ue utili6an estos puertos% Tambi2n puede ser capa6 de determinar 5ue sistema operativo est/ usando un ordenador% *or e"emplo$ si se e"ecuta nmap en tu ordenador local$ podrNas observar el siguiente resultado: Por 227tcp .87tcp *,/7tcp 11+7tcp State open open open open Service ss2 d2cpclient net-ios%ssn microso$t%ds

Device t9pe: general p#rpose :#nning: !in#; 2.1<=2.+.< >S details: !in#; ?ernel 2.1.0 @ 2.+.20 Uptime *.021 da9s (since Sat A#l 1 *2:*+:18 2001) Nmap est/ disponible para descargar en www%insecure%org% E0ercicios E"ecuta netstat en tu ordenador local$ utili6ando el sufi"o Aa% netstat #a IJu2 puertos est/n abiertosK 7tili6ando un motor de b.s5ueda web Dwww%google%comE I*uedes encontrar a 5u2 servicios pertenecen estos puertosK Deste serNa un buen e"ercicio para reali6ar en casa para comprobar si se est/n e"ecutando servicios innecesarios o potencialmente peligrosos$ como MT* o TelnetE% E"ecuta nmap utili6ando los sufi"os AsS Dpara escaneo SQ( StealthE i AO Dpara 5ue intente adivinar el sistema operativoE con la direcci3n I* 9+<%,%,%9 como ob"etivo del escaneo% nmap #sS #O 9+<%,%,%9 'a direcci3n I* 9+<%,%,%9 especifica el host local Do ordenador localE% D(ota: esta direcci3n es diferente de la 5ue utili6an otros ordenadores en Internet para conectarse contigoR en cual5uier m/5uina la direcci3n I* 9+<%,%,%9 se refiere siempre al ordenador localE% IJu2 puertos abiertos encuentra nmapKIJu2 servicios y programas utili6an estos puertosK Intenta e"ecutar nmap mientras tienes abierta una p/gina web de Internet o un cliente de Telnet% ICambia esto los resultadosK

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

5'&' I entificacin e %n sistema

hora 5ue sabes c3mo identificar un servidor$ c3mo escanear los puertos abiertos y utili6ar esta informaci3n para determinar 5u2 servicios se estan e"ecutando$ puedes poner esta informaci3n "unta para identificar Dfingerprint E un sistema remoto$ estableciendo cual debe ser el sistema operativo y 5u2 servicios est/n e"ecut/ndose en ese ordenador remoto%

5'&'( Escaneo e or ena ores remotos

7tili6ar una direcci3n I* o un nombre de dominio 5ue no sea 9+<%,%,%9 como argumento para nmap permite escanear puertos abiertos de ordenadores remotos% Esto no 5uiere decir 5ue haya puertos abiertos o 5ue los encuentres$ pero permite buscarlos% *or e"emplo$ imagina 5ue has estado recibiendo una gran cantidad de e#mails de spam y 5uieres descubrir informaci3n sobre la persona 5ue los est/ enviando% Mirando las cabeceras de cual5uiera de estos e#mails$ puedes ver 5ue muchos de estos e#mails se han originado desde la misma direcci3n I*: +8:%L+%99:%9; Dver 0'ecci3n L: Seguridad del e#mail1 para ver m/s detalles al respectoE% 7n whois lookup muestra 5ue la direcci3n forma parte de un blo5ue asignado a un gran IS*$ pero no te da informaci3n sobre esta direcci3n en particular% Si utili6as nmap para escanear el ordenador de esa direcci3n$ podrNas obtener los siguientes resultados% nmap %sS %> 2+../2.**..*, Starting nmap ,.+0 ( 2ttp:77BBB.insec#re.org7nmap ) at 2001%00%0, 20:*, 'astern Da9lig2t Time &nteresting ports on 2+../2.**..*,: (T2e *.,2 ports scanned -#t not s2oBn -eloB are in state: closed) P>:T 2*7tcp 227tcp 2,7tcp 2+7tcp 807tcp **07tcp **,7tcp *,+7tcp *,.7tcp *,07tcp ST T' open open open open open open open S':C&C' $tp ss2 telnet smtp 2ttp pop, a#t2

$iltered msrpc $iltered pro$ile $iltered net-ios%ns

(5

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

*,87tcp *,/7tcp *1,7tcp *117tcp *.*7tcp ,0.7tcp 11,7tcp 11+7tcp +*,7tcp +*17tcp

$iltered net-ios%dgm $iltered net-ios%ssn open open open open open open imap neBs #n6noBn 2ttps login s2ell

$iltered snmp

$iltered microso$t%ds

(o e;act >S matc2es $or 2ost (&$ 9o# 6noB B2at >S is r#nning on itD see 2ttp:77BBB.insec#re.org7cgi%-in7nmap%s#-mit.cgi). TCP7&P $ingerprint: S&n$o(CE,.+0FPEi.8.%pc%BindoBs%BindoBsFDE07,FTimeE10'01'C0F>E2*FCE*) TSeG(ClassET:F&P&DE:DFTSE*000HI) T*(:espE"FDFE"FWEFFFFF C?ESJJFFlagsE SF>psE3(W((T) T2(:espE() T,(:espE() T1(:espE() T+(:espE"FDFE(FWE0F C?ESJJFFlagsE :F>psE) T.(:espE() T0(:espE() Uptime *.800 da9s (since T2# A#l 0* 2,:2,:+. 2001) (map r#n completed %% * &P address (* 2ost #p) scanned in 00+.+08 seconds 'os puertos marcados como filtered son conocidos como vulnerables a ser atacados$ por lo 5ue no es una sorpresa encontrarlos listados como filtrados% 'o m/s interesante es 5ue los puertos +9$ ++ y +; Apor MT*$ SS! y Telnet# est/n listados como abiertos% 'a .ltima cosa 5ue hace nmap es intentar identificar el sistema operativo 5ue se est/ e"ecutando en el ordenador escaneado% En este caso$ las pruebas 5ue ha reali6ado nmap no son concluyentes al respecto D0no exact OS matches1E$ aun5ue como nmap muestra 5ue los puertos de MT* y Telnet est/n abiertos$ puedes intentar conectarte a trav2s de cada uno de estos puertos para ver si devuelve un banner% Cuando te conectas a trav2s de MT* podrNas ver un banner como el siguiente: 220 $tp,*..pair.com (cFTPd Server (licensed cop9) read9. Cuando te conectas a trav2s de Telnet podrNas ver un banner como el siguiente:

((

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

FreeKSD7i,8. (tt9p0) 7na b.s5ueda r/pida vNa web Dwww%google%comE muestra 5ue (cMT*d es un programa de 7ni& y 5ue Mree@S4 es un tipo de sistema operativo basado en 7ni&$ asN 5ue es probable 5ue el servidor este e"ecutando alguna versi3n del sistema operativo Mree@S4% (o se puede estar completamente seguro Dse pueden modificar estos bannersE$ pero es aceptable pensar 5ue es una pista admisible% sN pues$ utili6ando nmap$ con"untamente con MT* y Telnet$ has determinado 5ue el servidor 5ue ha estado enviando e#mails de spams utili6a un sistema operativo basado en 7ni& A probablemente Mree@S4# y est/ configurado para enviar y recibir una gran cantidad de informaci3n a trav2s de m.ltiples servicios$ incluyendo MT*$ Telnet$ http$ SMT* y *O*;%

(!

LECCIN 5 " IDENTIFICACIN DE SISTEMAS

5'5' Lect%ras recomen a as

(map: http:))www%insecure%org)nmap) M/s sobre (map: http:))www%networkmaga6ine%com)shared)article)show rticle%"htmlKarticleIdS=<, +L-+Tclassroom Mport: http:))www%foundstone%com)inde&%htmKsubnavSresources)navigation%htmTsubc ontentS)resources)proddesc)fport%htm Sitios web detallando puertos y los servicios 5ue los utili6an: http:))www%chebucto%ns%ca)Urakerman)port#table%html http:))www%chebucto%ns%ca)Urakerman)port#table%htmlVI ( http:))www%iana%org)assignments)port#numbers http:))www%networksorcery%com)enp)protocol)ip)ports,,,,,%htm 4iversos 4(S lookups: http:))www%dnsstuff%com) *ing: http:))www%freesoft%org)CIE)Topics)8;%htm

($