Trabajo final

Mdulo Herramientas de seguridad y deteccin de intrusos

Durante el desarrollo del mdulo de herramientas de seguridad y deteccin de intrusos, se
han descrito herramientas que permiten ejecutar tareas de seguridad y que detectan cuando
algn atacante intenta de manera no autorizada el acceso a sistemas informticos.
El atacante sigue por lo general unos pasos que permiten o no lograr ese objetivo, estos
pasos podran ser:
1. Fase 1 Reconocimiento (Reconnaissance)
El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la
informacin necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase tambin
puede incluir el escaneo de la red que el Hacker quiere atacar no importa si el ataque va a
ser interno o externo. Esta
fase le permite al atacante crear una estrategia para su
ataque.
Para el desarrollo de este tem el atacante puede usar multiples medios para cumplir su
objetivo, uno de ellos puede ser la Ingeniera Social, buscar en la basura (Dumpster diving),
buscar que tipo de sistema operativo y aplicaciones usa el objetivo o vctima, cuales son los
puertos que estn abiertos, donde estn localizados los routers (enrutadores), cuales son los
host (terminales, computadoras) ms accesibles, buscar en las bases de datos del Internet
(Whois) informacin como direcciones de Internet (IP), nombres de dominios, informacin de
contacto, servidores de email y toda la informacin que se pueda extraer de los DNS
(Domain Name Server).
Existen dos tipos de reconocimiento
Reconocimiento Pasivo: El reconocimiento pasivo implica la adquisicin de informacin, sin
la interaccin directa con el objetivo.
Ejemplo:

DumpsterDiving (Buscar en la basura)

Bsqueda de informacin en los buscadores como google
Buscar en la base de datos de Internet (Whois)
Buscar pas y ciudad donde residen los servidores
Buscar nombres de dominios
Buscar informacin de contacto
Buscar toda la informacin que se pueda extraer de los DNS (Domain Name Server)

En el caso anterior se puede optar por el uso del software FOCA, donde gracias al escaneo
que ofrece se puede encontrar:
Nombres de usuarios del sistema
Rutas de archivos
Versin del Software utilizado
Correos electrnicos encontrados
Fechas de Creacin, Modificacin e Impresin de los documentos.
Sistema operativo desde donde crearon el documento
Nombre de las impresoras utilizadas
Permite descubrir subdominios y mapear la red de la organizacin
Nombres e IPs descubiertos en Metadatos
Bsqueda de nombres de dominio en Web: Google o Bing [Interfaz web o API]
Bsqueda de registros Well-Known en servidor DNS
Bsqueda de nombres comunes en servidor DNS
Bsqueda de IPs con resolucin DNS
Bsqueda de nombres de dominio con BingSearch ip
Bsqueda de nombres con PTR Scanning del segmento de red con DNS interno
Transferencia de Zonas
Deteccin automtica de DNS Cache
Vista de Roles
Filtro de criticidad en el log
Reconocimiento Activo: implica la adquisicin de informacin, con
la interaccin directa con el objetivo.
Ejemplo:

Ingeniera Social

Port Scanning

Usar herramientas de software para hacer un escaneo de la red.

Descubrir el rango de direcciones IPs

Identificar Sistemas Operativos

Identificar Nombres de Equipos

Identificar las Cuentas de Usuarios

Buscar donde estn localizados los Routers

Recolectar todo tipo de informacin del objetivo es necesario para el hacker, no importa si el
ataque va a ser interno o externo.
Al hacker le puede tomar bastante tiempo en esta fase ya que tiene que analizar toda
la informacin que ha obtenido para despus crear una buena estrategia y lanzar el ataque
con mayor precisin.
Como evitarlo?
Lo ms importantes es no hacer clic sobre cualquier enlace que nos enve cualquier
desconocido, esto nos previene de la ingeniera social, tampoco debemos descargar
archivos desconocidos, menos an lo hacemos de sitios que no son confiables. Estar
atentos es muy importante la manipulacin podra jugar en nuestra contra y en este
sentido, es recomendable no compartir muchos datos sobre nuestros gustos y afinidades
para que no los usen en contra nuestra.
Tambin es recomendable usar protocolos de seguridad con el mximo nivel para nuestras
redes inalmbricas.
2. Fase 2 Escaneo (Scanning)
Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En el
escaneo el atacante utiliza toda la informacin que obtuvo en la Fase del Reconocimiento
(Fase 1) para
identificar vulnerabilidades especficas.
El escaneo de puertos permite descubrir puertos abiertos, los mismos que son usados
para encontrar las vulnerabilidades del sistema. Durante este proceso, se puede
encontrar el host, los sistemas operativos involucrados, firewalls, sistemas de deteccin de
intrusos, servidores / servicios, dispositivos perimetrales, enrutamiento y la topologa de red
en general (disposicin fsica de la red), que forman parte de la organizacin de destino.

Por ejemplo, si en la Fase 1 el atacante descubri que su objetivo o su vctima usa el

sistema operativo Windows XP entonces el buscara vulnerabilidades especficas que tenga
ese sistema operativo para saber por dnde atacarlo.
Tambin hace un escaneo de puertos para ver cules son los puertos abiertos para saber
por cual puerto va entrar y usa herramientas automatizadas para escanear la red y los host
en busca de ms vulnerabilidades que le permitan el acceso al sistema.
Se puede utilizar cualquier herramienta automatizada para escanear toda red, cuentas de
usuarios, hosts, servicios y vulnerabilidades que permitan el acceso al sistema vulnerable.
Analoga Ataque Informtico:
Puerto 3389, 80, 1433 y
25 TCP Abiertos, esperando
conexiones.
Servicios Terminal Server,
HTTP, MS-SQL Server y
SMTP.
Versiones Apache, SQL
Server 2005.
Analoga de un ataque a un Banco:
Puerta delantera y trasera
permanecen abiertas.
Las cerraduras que usan son
marca XYZ, Con tecnologa
XZZ.
En la puerta permanece un
Vigilante de la empresa XFF

Ejemplo de ello es el SoftPerfect Network Scanner, un escner de IPv4 / IPv6 multi-hilo libre
permite realizar exploraciones para escuchar los puertos TCP / UDP y descubrimiento de
carpetas compartidas, incluyendo el sistema y las ocultas.
Adems, se puede recuperar prcticamente cualquier informacin sobre los equipos de red a
travs de WMI, SNMP, HTTP, NetBIOS, puede resolver nombres de host y detectar
automticamente el rango de direcciones IP local y externa. Para ayudar con la
administracin de la red, que soporta el apagado remoto y Wake-on-LAN.
Como administradores de la red, la solucin que podemos implementar es cerrar el programa
o servicio que mantiene dichos puertos abiertos, para as evitar que el atacante use el medio
como puente para realizar los ingresos

Tambin hace un escaneo de puertos para ver cules son los puertos abiertos para saber por
cual puerto va entrar y usa herramientas automatizadas para escanear la red y los host en
busca de mas vulnerabilidades que le permitan el acceso al sistema.
Objetivos del escaneo

Detectar sistemas vivos en la red

Descubrir puertos activos

Descubrir el sistema operativo

Descubrir los servicios ejecutndose y presentes en el sistema

Descubrir direcciones ips

TIPOS
Se puede dar :

Escaneo de puertos: Es comprobar los servicios corriendo en el objetivo enviando una

secuencia de mensajes en un intento de entrar.

Escaneo de Red: Es el proceso de identificar host activos en la red

Escaneo de Vulnerabilidades:Es un mtodo autom

HERRAMIENTAS PARA EL ESCANEO

HPING2

Firewalk

NMAP

Netscan

Megaping

Global Network Inventor

Telnet

Httprint

Fase 3 Ganar Acceso (Gaining Access)

Esta es una de las fases ms importantes para el Hacker porque es la fase de penetracin al
sistema,
en esta fase el Hacker explota las vulnerabilidades que encontr en la
fase 2
La explotacin puede ocurrir de forma:

LAN (Local Area Network)

Offline (sin estar conectado)

Internet

Y puede incluir tcnicas como:

Buffer Overflows (Desbordamiento del buffer)

DoS (Denial of Service)

DDoS (Distributed Denial of Service)

Sesin Hijacking (Secuestro de sesin)

Password Cracking (Romper o adivinar claves usando varios mtodos como:

Diccionary Attack o Brute Force Attack)

Ataques Man-in-the-middle

Los factores que ayudan al Hacker en esta fase a tener una penetracin exitosa al sistema
dependen de:
Cmo es la arquitectura del sistema informtico y de cmo est configurado el
sistema. Una instalacin y configuracin de seguridad informtica simple significa un
acceso ms fcil a un sistema informtico.

Cul es el nivel de destrezas, conjunto de habilidades y conocimientos sobre

seguridad informtica de los ingenieros, profesionales y auxiliares que instalen y
configuren un sistema informtico.

Nivel de destrezas, conjunto de habilidades y conocimientos sobre seguridad

informtica y redes que tenga un hacker y el nivel de acceso que obtuvo al principio
de la penetracin.

Pueden ser ataques a:

Sistema Operativo

Aplicaciones de escritorio

Aplicaciones Web

Aprovechndose de configuraciones por defecto o mal configurados.

En esta tercera fase los factores que ayudarn al hacker a tener una penetracin con
xito al sistema vulnerable depender de:

Cmo es la arquitectura y de cmo este configurado el sistema vulnerable, una

instalacin y configuracin de seguridad simple significa un acceso ms fcil al
sistema objetivo.

Del nivel de destrezas, conjunto de habilidades y conocimientos sobre seguridad

informtica de los ingenieros, profesionales y auxiliares que instalen y configuren el
sistema objetivo.

herramientas para ganar acceso

o
Inyeccin SQL
o
Herramienta Telnet
o
Metasploit Framework
Metasploit Framework:Metasploit proporciona informacin til y herramientas para pruebas
de penetracin, los investigadores de seguridad, y la firma de los desarrolladores de IDS.
Este proyecto fue creado para proporcionar informacin sobre las tcnicas de explotacin y
crear una base de conocimiento funcional para explotar los desarrolladores y profesionales
de la seguridad.Metasploit es un proyecto de cdigo abierto gestionados por Rapid7

4. Fase 4 Mantener el Acceso (Maintaining Access)

Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el
acceso que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del
sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para escanear
y explotar a otros sistemas que quiere atacar, tambin usa programas llamados sniffers para
capturar todo el trafico de la red, incluyendo sesiones de telnet y FTP (File Transfer Protocol).
En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas
y data.
En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y
data.
En esta fase el hacker quiere permanecer indetectable, invisible, y para ello elimina cualquier
evidencia de su penetracin a un sistema informtico y hace uso de tcnicas de:

Backdoor: Son puertas traseras encontradas en el sistema.

Troyanos: Para ganar acceso en otra ocasin y tratar de tener acceso a cuentas de
usuario con privilegios de Administrador.

Los caballos de Troya (Trojans): Para transferir nombres de usuarios, passwords e

incluso informacin de tarjetas de crdito o cuentas bancarias almacenados en el
sistema informtico.

5. Fase 5 Cubrir las huellas (Covering Tracks)

En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades ilcitas
y lo hace por varias razones entre ellas seguir manteniendo el acceso al sistema
comprometido ya que si borra sus huellas los administradores de redes no tendrn pistas
claras del atacante y el Hacker podr seguir penetrando el sistema cuando quiera, adems
borrando sus huellas evita ser detectado y ser atrapado por la polica o los Federales.
Las herramientas y tcnicas que usa para esto son caballos de Troya, Steganography,
Tunneling, Rootkits y la alteracin de los log files (Archivos donde se almacenan todos los
eventos ocurridos en un sistema informtico y permite obtener informacin detallada sobre
los hbitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el
sistema este asume que tiene control total del sistema.
OBJETIVOS

Mantener escondido el acceso al sistema

Modificar los logs del sistema donde se encuentren evidencias.

Esconder los archivos que se usara para el hacking.

2.5.2. HERRAMIENTAS PARA CUBRIR LAS HUELLAS

AUDITPOL

ELSAVE

EVIDENCE ELIMINATOR

WINZAPPER

ADS SPY

Elabore un informe (presentando ejemplos) en donde se describa en cada punto las

herramientas que pueden ser usadas por el atacante y como se podra prevenir que el
mismo logre su propsito en cada una de ellas.