Sning: poner la tarjeta en modo promiscuo y ver el trco.

Spoong: Suplantacin de iden dad. Cambiar direccin MAC por la de otro equipo.
Arp poisoning: Man in the middle, cambiando la cache arp de los 2 equipos de una
conversacin.

Interceptacin de sesiones TCP: Localizando el nmero de sesin TCP.

TCP/SYN Flooding: Exceder el numero de conexiones que soporta un equipo.
Mandamos solicitudes SYN con direcciones de origen falsas. El servidor responde a los
equipos errneos con SYN/ACK y espera el ACK del cliente que nunca llegara.

Capa Aplicacin:
Cualquier ataque a dns, escuchas a protocolos no seguros p, h p, telnet, etc.

Los ataques ms picos de DDoS son por tcnicas de Botnet.

Podemos ver si una maquina es suscep ble de este po de ataque con el comando:
Nmap sU p 7,19 localhost
Generamos el ataque con:

de aplicacin.

PAC2

Con esta clave generar un cer cado de CA auto rmado, usar extensin X509

Para conectar sedes usamos una pasarela VPN.

Hemos generado un cdigo MAC que garan za la integridad del mensaje: este no ha
sido modicado.
El cdigo HMAC combina una funcin hash (creada por ejemplo en el ejemplo anterior)
con la combinacin de una clave secreta. Aun as esto no garan za la propiedad de no
repudio, es decir nos aporta nicamente integridad.
Para la propiedad de no repudio debemos usar una rma digital.
PAC 3

SSH permite auten cacin de:

Nula: sin auten cacin.
Basada en listas de acceso y auten cacin de cliente: Conexin por ip y contrasea.
Basada en contrasea: Nombre de usuario y contrasea.
Clave publica: Acceso por cer cados digitales (usa clave privada que pertenece a la
clave publica que usa el servidor).

Se cifra con clave simtrica el mensaje, y con la clave publica de cada des natario la
clave simtrica que hemos usado.

Como tunelizar el puerto 80 web de una maquina mediante el puerto 8000 ssh:

De cara al cliente todo estar cifrado, y entre servidor ssh y servidor web en texto
claro.

PAC4

Honeypot vs HoneyNet:
Desde mi punto de vista un honeypot es un falso servicio de nuestra red ofrecido hacia un
posible atacante con la simple intencin de localizar a dicho atacante.
El conocer al atacante o las tcnicas que usa nos proporcionara cierta ventaja a la hora de
defender nuestros sistemas reales.
Un honeynet es una red totalmente creada para localizar a posibles atacantes o so ware
malintencionado

SpamHole
idea de hacer ver hacia el exterior un servicio de relay smtp (servidor de envo de correos), en
realidad no realiza la tarea y los descarta.
Funcionamiento Snort
-v : Vemos toda la informacin a nivel de paquetes recibidos. (Cabeceras IP y TCP).

-d: Vemos los datos transmi dos a nivel de la capa de aplicacin.

-e: Vemos las cabeceras de los paquetes transmi dos y recibidos a nivel de la capa de enlace.

snort port 22 l log

Vemos que nos ha creado una estructura de directorio para cada maquina cliente, y dentro de
cada una de ellas genera un chero ASCII con los paquetes capturados
Generamos la regla de alerta, en la cual denimos que por cada equipo que se conecte a
nuestro servidor de ssh inserte el mensaje indicado por cada paquete capturado.
Lanzamos snort indicando el chero de reglas y que nos guarde las alertas.:
snort c rules.ids l log

Conguracin del nivel de alerta

Console: Es igual a Fast pero mostrado por consola.

None: No muestra ni registra ninguna ac vidad.

Ejemplos Alertas:
-sS : SYN scan: Enviando nicamente paquetes de inicio de conexin (SYN) por cada uno de los
puertos que se quieren analizar se puede determinar si stos estn abiertos o no. Es decir
emulamos el comienzo de una conexin a nivel de cada puerto y si obtenemos una respuesta
SYN-ACK signica que el puerto (servicio) esta ac vo.
-sF: FIN scan: Al enviar un paquete FIN a un puerto, deberamos recibir un paquete de reset
(RST) s dicho puerto est cerrado
-sX : Xmas Tree scan: Usando la misma tcnica que el parmetro sF buscamos recibir un
paquete reset para saber que el puerto esta cerrado pero ampliando el po de mensajes
enviados a: FIN, URG, y PUSH.
-sP descubrimiento de direcciones ip ac vas con icmp (ul ma versin sus tuye por sn

Forzar alerta:
Nmap 192.168.56.101 sS

nmap sT que realiza una exploracin para ver los puertos TCP ac vos
Para no confundir con una conexin real comprobamos que cuando encuentra un puerto
ac vo manda los bit ACK y RST para cerrar la conexin, por lo tanto si nuestra regla snort los
detecta detectara un nmap sT:
Alert tcp any any -> any 22 (ags: AR;msg: SYNC;sid:1;)
Bits de ags:

4 elements genrics d'un sistema IDS

Sensor:
Es decir ser el componente o sistema por el que circulara el mismo trco o eventos que en el
equipo que estemos monitorizando
Analizador:
Datos que han circulado por el sensor para poder analizarlo y estudiar si coinciden con los
patrones que hayas congurado a detectar

Unidad de respuesta:
Ante los eventos generados por el analizador, dispondr tambin de un conjunto de reglas pero
en este caso son acciones ante los patrones detectados por el analizador

Almacenamiento:
Ficheros generados.

Tipo de analizadores:
Tenemos 2 esquemas que son:
El modelo de deteccin de usos indebidos, por ejemplo el reconocimiento de patrones
indebidos, o en transiciones de estado. Snort es de este po.
El modelo de deteccin de anomalas. Iden can anomalas comparando el comportamiento
con el comportamiento normal que debera exis r.

Tipos de unidades de respuesta

El po de respuesta puede ser ac va, es decir el propio analizador sabe que hacer y lo har
autom camente, o bien pasivo en el cual la interaccin de una persona ser necesaria.
Snort puede usar la respuesta ac va o bien guardar la informacin para que alguien la revise y
determine qu accin realizar.