Auditoria Redes

Auditoria de Redes
Patrick Hernndez Cuamatzi
Redes de rea Local
Uso generalizado de sistemas y equipos de cmputo.
Derivado de esto surge la necesidad de comunicarse entre

equipos, lo que conlleva la necesidad de tener una red.
La red de rea local (LAN por sus siglas en ingls) como

tal es un medio de comunicacin democrtico, o al menos
esa es la intencin, sin embargo, en ocasiones existen
usuarios que intentan aprovecharse de todos los recursos
que les proporciona la red para explotarla.
Las redes tienen un punto de demarcacin que es hasta

donde llega la responsabilidad de nuestro ISP y comienza
la nuestra.
Nuestra responsabilidad:
Garantizar el acceso a la red, proveer de mecanismos que

ayuden a la seguridad en la red, interoperabilidad entre
sistemas, escalabilidad, etc...
Elementos fundamentales en una red
Computadora o dispositivo capaz de conectarse a la red

de datos.
Firewall
Servidor DHCP
DNS
Proxy
Entoncesqu se audita en una red?
Se pueden auditar 2 elementos principales:
Elementos funcionales
Configuracin de los equipos, accesos, restricciones,

vulnerabilidades en los equipos, polticas de trfico, etc.
Elementos no funcionales
Velocidades constantes (tanto de subida como de bajada),

tiempo de convergencia de los routers en la red, seal
intermitente, cobertura de la seal inalmbrica, etc.
Entoncesqu se audita en una red?
En este curso vamos a enfocarnos en los elementos

funcionales:
1.- Usuarios (equipos) no autorizados en nuestra red.

2.- El trfico de nuestra red (para detectar trfico
sospechoso).
3.- Vulnerabilidad en nuestros usuarios (sobre todo en los
equipos de los jefes).
4.- En caso de tener servidores en nuestra red, se debern
llevar a cabo auditorias especficas para cada servicio.
Para las redes inalmbricas
1.- Seguridad en nuestros puntos de acceso (AP)
Difusin de nuestra seal

Tipo de seguridad en la conexin
Tipo de cifrado (en caso de que el AP lo permita)
Alcance longitudinal (esfrico) de nuestra seal
Auditando nuestra red con

Backtrack 5 R3
Autoscan
Para descubrimiento de red, su principal objetivo es

identificar equipos conectados a la red.
Applications -> BackTrack -> Information Gathering ->

Network Analysis -> Network Scanner -> autoscan
Autoscan
Autoscan
Es
necesario
agregar
una red, l
automtica
mente
detecta las
existentes.
Autoscan
Elijan su
tarjeta de
red.
Autoscan
Les pedir
confirmaci
n de los
parmetro
s.
Autoscan
Un
ejemplo de
salida:
Buscar vulnerabilidades
OpenVAS
Herramienta para la deteccin de vulnerabilidades en la

red.
Applications -> BackTrack -> Vulnerability Assessment

-> Vulnerability Scanners -> OpenVAS
OpenVAS
Paso 1: Agregaremos un usuario para utilizar OpenVAS,

pueden agregar el nombre que gusten:
OpenVAS
Cuando pregunte sobre las reglas del usuario,

presionamos ctrl+D para especificar que hemos
terminado de colocar las reglas al usuario, en este caso se
quedan en blanco, sin reglas, es decir, el usuario que
acabamos de agregar no tendr restricciones de uso.
OpenVAS
Paso 2: Crear un certificado SSL
OpenVAS -> mkcert
Tiempo de vida (1460)

Pas (MX)
Estado o provincia (none)
Etc
Le dejan todo por default, es solo para fines prcticos
OpenVAS
Paso 3: Sincronizando las NVTs (Network Vulnerability

Tests, Pruebas de Vulnerabilidades de Red)
Estas NVTs permiten detectar las vulnerabilidades, son

como una base de datos de vulnerabilidades encontradas,
por ello, es necesario actualizar constantemente dichas
NVTs.
OpenVAS -> NVT Sync
OpenVAS
OpenVAS
Paso 4: Comenzar el escaneo en busca de

vulnerabilidades.
OpenVAS -> Start OpenVAS scanner
Esto puede tomar unos minutos
OpenVAS
OpenVAS
Paso 5: Configurando el gestor de OpenVAS
Lo primero que tenemos que hacer es un certificado de

cliente para el gestor de OpenVAS, esto se hace
ejecutando el siguiente comando:
openvas-mkcert-client -n om i
OpenVAS
OpenVAS
Ahora tenemos que reconstruir la base de datos, ya que

ahora est desactualizada con el agregado de NVT de lo
contrario se obtendrn errores sobre la base de datos. Se
debe hacer esto cada vez que se actualice el NVT. Esto se
hace con un simple comando:
openvasmd --rebuild
OpenVAS
OpenVAS
Paso 6: Configurar el Administrador OpenVAS
Tenemos que crear un usuario administrador que vamos

a utilizar para realizar las evaluaciones. Esto se hace
ejecutando el siguiente comando:
openvasad -c 'add_user' -n openvasadmin -r Admin
En este caso openvasadmin es el nombre del nuevo

usuario que creamos, pueden colocar el nombre que
deseen.
OpenVAS
OpenVAS
Iniciando el gestor de OpenVAS
Iniciando el Administrador OpenVAS
openvasmd -p 9390 -a 127.0.0.1
openvasad -a 127.0.0.1 -p 9393
Iniciando el Asistente de Seguridad Greenbone
gsad --http-only --listen=127.0.0.1 -p 9392
OpenVAS
Start Greenbone Security Desktop (browser: 127.0.0.1:9392)
OpenVAS
OpenVAS
1 Configurar un objetivo (target)

2 Crear una nueva tarea (New task), eligiendo el objetivo
antes creado para ejecutar auditoria.
3 Ejecutar la tarea (Task), aparecer una lista con las
tareas a ejecutar, damos clic en play (botn verde).
OpenVAS
Para ver el estado, den clic en Details (icono azul con una
lupa)
OpenVAS
Resultados (dar clic en la fecha de la tarea):
Analizar el trfico que pasa por

nuestra red
Wireshark
Aplicacin para analizar protocolos de red
Trabaja en modo promiscuo
Puede analizar todo el trfico que pasa en una red
BackTrack -> Information Gattering -> Network Analysis

-> Network Traffic Analysis -> Wireshark
Wireshark
Pantalla inicial
Wireshark
Para empezar con la captura de datos es necesario ir al

men Captura y seleccionar Opciones. El cuadro de
dilogo Opciones provee una serie de configuraciones y
filtros que determinan el tipo y la cantidad de trfico de
datos que se captura.
Wireshark
Wireshark
Primero, es necesario asegurarse de que Wireshark est

configurado para monitorear la interfaz correcta. Desde
la lista desplegable Interfaz, seleccione el adaptador de
red que se utiliza. Generalmente, para una computadora,
ser el adaptador Ethernet conectado.
Luego se pueden configurar otras opciones. Entre las que

estn disponibles en Opciones de captura, merecen
examinarse las siguientes dos opciones resaltadas.
Wireshark
Wireshark
Configurar Wireshark para capturar paquetes en

un modo promiscuo.
Si esta caracterstica NO est verificada, slo se
capturarn las PDU destinadas a esta computadora. Si
esta caracterstica est verificada, se capturarn todas las
PDU destinadas a esta computadora Y todas aquellas
detectadas por la NIC de la computadora en el mismo
segmento de red (es decir, aquellas que pasan por la
NIC pero que no estn destinadas para la computadora).
Nota: La captura de las otras PDU depende del
dispositivo intermediario que conecta las computadoras
del dispositivo final en esta red. Si utiliza diferentes
dispositivos intermediarios (hubs, switches, routers),
experimentar los diferentes resultados de Wireshark.
Wireshark
Configurar Wireshark para la resolucin del

nombre de red
Esta opcin le permite controlar si Wireshark traduce a

nombres las direcciones de red encontradas en las PDU.
A pesar de que esta es una caracterstica til, el proceso
de resolucin del nombre puede agregar ms PDU a sus
datos capturados, que podran distorsionar el anlisis.
Wireshark
Elegir una interfaz para capturar
Wireshark
Elija la interfaz y d clic en el botn start
Recuerde que al estar en modo promiscuo la tarjeta de

red, capturar todo el trfico que pase, por lo que es
recomendable solo utilizarlo por unos 10 a 20 segundos,
es decir, ya detngalo !!.
Wireshark
Wireshark
La ventana de visualizacin principal de Wireshark tiene tres paneles.
Panel Lista de Paquetes
Panel Detalle de Paquetes
Panel Bytes de Paquetes
Wireshark
El panel de Lista de PDU (o Paquete) ubicado en la parte

superior del diagrama muestra un resumen de cada paquete
capturado. Si hace clic en los paquetes de este panel, controla
lo que se muestra en los otros dos paneles.
El panel de detalles de PDU (o Paquete) ubicado en el medio

del diagrama, muestra ms detalladamente el paquete
seleccionado en el panel de Lista del paquete.
El panel de bytes de PDU (o paquete) ubicado en la parte

inferior del diagrama, muestra los datos reales (en nmeros
hexadecimales que representan el binario real) del paquete
seleccionado en el panel de Lista del paquete y resalta el
campo seleccionado en el panel de Detalles del paquete.
Wireshark
Pueden analizar los tres paneles, tomen 3 minutos para

ello.
Wireshark
Ahora haremos una prueba utilizando el comando ping.
Realice un ping hacia alguno de los equipos en la red,

mientras ello ocurre, realice una captura de paquetes con
Wireshark, despus de unos segundo detenga la captura,
y conteste a las siguientes preguntas:
Wireshark
Qu protocolo se utiliza por ping?

______________________________
Cul es el nombre completo del protocolo?
_________________________________
Cules son los nombres de los dos mensajes ping?
_____________________________________
Wireshark
4.- Las direcciones IP de origen y destino que se

encuentran en la lista son las que esperaba?
SI / NO
por qu?
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
Seleccione con el mouse el 1er paquete de solicitud de eco

en la lista.
El panel de detalles del paquete mostrar algo parecido a:
Haga clic en cada uno de los cuatro + para expandir la

informacin.
Wireshark
Como puede ver, los detalles de cada seccin y protocolo

se pueden expandir ms. Tmese el tiempo para leer esta
informacin.
Puede ser que no entienda completamente la informacin

que se muestra, pero tome nota de la que s reconozca.
Conteste lo siguiente utilizando el panel de detalle de

paquetes:
Wireshark
5.- Localice los 2 tipos diferentes de direccin origen y

destino, por qu hay 2 tipos?
_______________________________________
_______________________________________
6.- Cules son los protocolos que estn en la trama de
Ethernet?
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
7.- Ahora en el panel de detalle de bytes, encuentre cual

es el mensaje que se envan los equipos al utilizar el
protocolo ICMP
_______________________________________
_______________________________________
_______________________________________
______________________________________
Desafo - Wireshark
Como podra utilizar wireshark para analizar todo el trfico de

una red, dado que en de esta red, no es usted el administrador,
solo es un invitado, sin embargo, es un invitado privilegiado,
ya que puede tener acceso fsico al router principal y al switch
principal, que se conecta al router antes mencionado (ver
dibujo).
Contemple que usted puede introducir cualquier otro

dispositivo de red, y la idea es que los usuario continen con
sus enlaces existentes (LAN y WAN), pueden conectar o
desconectar, pero no pueden entrar en las configuraciones de
los switches ni de los routers, lo que desconecten debern
conectarlo en menos de 1 minuto para no interrumpir las
comunicaciones.
Tienen 20 minutos para realizar una propuesta
Prctica final de Seguridad:

Auditoria de redes inalmbricas
Comnmente utilizamos todo con una pre-configuracin
Desgraciadamente nuestros Puntos de Acceso vienen preconfigurados con el protocolo WEP (Wired Equivalent
Privacy) que es un sistema de cifrado de 64 y hasta 128
bits, muy vulnerable a ataques.
Sugerencia: cambiar a un cifrado WPA (Wifi Protected

Access), el cul utiliza 128 bits, pero con un vector de
inicializacin de 48 bits.
Desafo: Siga los pasos del manual que se le facilitar

para realizar un ataque a un AP, que utiliza cifrado WEP.
Al terminar dicha prctica y obtener la clave,

conctese al AP y haga un descubrimiento de los
equipos en dicha red, despus realice un
descubrimiento de vulnerabilidades de alguno de
los equipos. Finalmente muestre al instructor sus
resultados.
Bueno como ya no hay mucho tiempo, solo consiga la

clave WEP.
GRACIAS

Auditoria Redes

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Redes

Cargado por

Copyright:

Formatos disponibles

Auditoria de Redes

Patrick Hernndez Cuamatzi

Redes de rea Local

Uso generalizado de sistemas y equipos de cmputo.

Derivado de esto surge la necesidad de comunicarse entre

La red de rea local (LAN por sus siglas en ingls) como

Las redes tienen un punto de demarcacin que es hasta

Garantizar el acceso a la red, proveer de mecanismos que

Elementos fundamentales en una red

Computadora o dispositivo capaz de conectarse a la red

Entoncesqu se audita en una red?

Se pueden auditar 2 elementos principales:

Configuracin de los equipos, accesos, restricciones,

Velocidades constantes (tanto de subida como de bajada),

Entoncesqu se audita en una red?

En este curso vamos a enfocarnos en los elementos

1.- Usuarios (equipos) no autorizados en nuestra red.

Para las redes inalmbricas

1.- Seguridad en nuestros puntos de acceso (AP)

Difusin de nuestra seal

Auditando nuestra red con

Para descubrimiento de red, su principal objetivo es

Applications -> BackTrack -> Information Gathering ->

Herramienta para la deteccin de vulnerabilidades en la

Applications -> BackTrack -> Vulnerability Assessment

Paso 1: Agregaremos un usuario para utilizar OpenVAS,

Cuando pregunte sobre las reglas del usuario,

Paso 2: Crear un certificado SSL

OpenVAS -> mkcert

Tiempo de vida (1460)

Le dejan todo por default, es solo para fines prcticos

Paso 3: Sincronizando las NVTs (Network Vulnerability

Estas NVTs permiten detectar las vulnerabilidades, son

OpenVAS -> NVT Sync

Paso 4: Comenzar el escaneo en busca de

OpenVAS -> Start OpenVAS scanner

Esto puede tomar unos minutos

Paso 5: Configurando el gestor de OpenVAS

Lo primero que tenemos que hacer es un certificado de

Ahora tenemos que reconstruir la base de datos, ya que

Paso 6: Configurar el Administrador OpenVAS

Tenemos que crear un usuario administrador que vamos

openvasad -c 'add_user' -n openvasadmin -r Admin

En este caso openvasadmin es el nombre del nuevo

Iniciando el gestor de OpenVAS

Iniciando el Administrador OpenVAS

openvasmd -p 9390 -a 127.0.0.1

openvasad -a 127.0.0.1 -p 9393

Iniciando el Asistente de Seguridad Greenbone

gsad --http-only --listen=127.0.0.1 -p 9392

Start Greenbone Security Desktop (browser: 127.0.0.1:9392)

1 Configurar un objetivo (target)

Resultados (dar clic en la fecha de la tarea):

Analizar el trfico que pasa por

Aplicacin para analizar protocolos de red

Trabaja en modo promiscuo

Puede analizar todo el trfico que pasa en una red

BackTrack -> Information Gattering -> Network Analysis

Para empezar con la captura de datos es necesario ir al

Primero, es necesario asegurarse de que Wireshark est

Luego se pueden configurar otras opciones. Entre las que

Configurar Wireshark para capturar paquetes en

Configurar Wireshark para la resolucin del

Esta opcin le permite controlar si Wireshark traduce a