Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Spoong: Suplantacin de iden dad. Cambiar direccin MAC por la de otro equipo.
Arp poisoning: Man in the middle, cambiando la cache arp de los 2 equipos de una
conversacin.
Capa Aplicacin:
Cualquier ataque a dns, escuchas a protocolos no seguros p, h p, telnet, etc.
Podemos ver si una maquina es suscep ble de este po de ataque con el comando:
Nmap sU p 7,19 localhost
Generamos el ataque con:
de aplicacin.
PAC2
Con esta clave generar un cer cado de CA auto rmado, usar extensin X509
Hemos generado un cdigo MAC que garan za la integridad del mensaje: este no ha
sido modicado.
El cdigo HMAC combina una funcin hash (creada por ejemplo en el ejemplo anterior)
con la combinacin de una clave secreta. Aun as esto no garan za la propiedad de no
repudio, es decir nos aporta nicamente integridad.
Para la propiedad de no repudio debemos usar una rma digital.
PAC 3
Se cifra con clave simtrica el mensaje, y con la clave publica de cada des natario la
clave simtrica que hemos usado.
Como tunelizar el puerto 80 web de una maquina mediante el puerto 8000 ssh:
De cara al cliente todo estar cifrado, y entre servidor ssh y servidor web en texto
claro.
PAC4
Honeypot vs HoneyNet:
Desde mi punto de vista un honeypot es un falso servicio de nuestra red ofrecido hacia un
posible atacante con la simple intencin de localizar a dicho atacante.
El conocer al atacante o las tcnicas que usa nos proporcionara cierta ventaja a la hora de
defender nuestros sistemas reales.
Un honeynet es una red totalmente creada para localizar a posibles atacantes o so ware
malintencionado
SpamHole
idea de hacer ver hacia el exterior un servicio de relay smtp (servidor de envo de correos), en
realidad no realiza la tarea y los descarta.
Funcionamiento Snort
-v : Vemos toda la informacin a nivel de paquetes recibidos. (Cabeceras IP y TCP).
-e: Vemos las cabeceras de los paquetes transmi dos y recibidos a nivel de la capa de enlace.
Vemos que nos ha creado una estructura de directorio para cada maquina cliente, y dentro de
cada una de ellas genera un chero ASCII con los paquetes capturados
Generamos la regla de alerta, en la cual denimos que por cada equipo que se conecte a
nuestro servidor de ssh inserte el mensaje indicado por cada paquete capturado.
Lanzamos snort indicando el chero de reglas y que nos guarde las alertas.:
snort c rules.ids l log
Ejemplos Alertas:
-sS : SYN scan: Enviando nicamente paquetes de inicio de conexin (SYN) por cada uno de los
puertos que se quieren analizar se puede determinar si stos estn abiertos o no. Es decir
emulamos el comienzo de una conexin a nivel de cada puerto y si obtenemos una respuesta
SYN-ACK signica que el puerto (servicio) esta ac vo.
-sF: FIN scan: Al enviar un paquete FIN a un puerto, deberamos recibir un paquete de reset
(RST) s dicho puerto est cerrado
-sX : Xmas Tree scan: Usando la misma tcnica que el parmetro sF buscamos recibir un
paquete reset para saber que el puerto esta cerrado pero ampliando el po de mensajes
enviados a: FIN, URG, y PUSH.
-sP descubrimiento de direcciones ip ac vas con icmp (ul ma versin sus tuye por sn
Forzar alerta:
Nmap 192.168.56.101 sS
nmap sT que realiza una exploracin para ver los puertos TCP ac vos
Para no confundir con una conexin real comprobamos que cuando encuentra un puerto
ac vo manda los bit ACK y RST para cerrar la conexin, por lo tanto si nuestra regla snort los
detecta detectara un nmap sT:
Alert tcp any any -> any 22 (ags: AR;msg: SYNC;sid:1;)
Bits de ags:
Unidad de respuesta:
Ante los eventos generados por el analizador, dispondr tambin de un conjunto de reglas pero
en este caso son acciones ante los patrones detectados por el analizador
Almacenamiento:
Ficheros generados.
Tipo de analizadores:
Tenemos 2 esquemas que son:
El modelo de deteccin de usos indebidos, por ejemplo el reconocimiento de patrones
indebidos, o en transiciones de estado. Snort es de este po.
El modelo de deteccin de anomalas. Iden can anomalas comparando el comportamiento
con el comportamiento normal que debera exis r.