Auditoria de Redes

Patrick Hernndez Cuamatzi

Redes de rea Local
Uso generalizado de sistemas y equipos de cmputo.

Derivado de esto surge la necesidad de comunicarse entre

equipos, lo que conlleva la necesidad de tener una red.

La red de rea local (LAN por sus siglas en ingls) como

tal es un medio de comunicacin democrtico, o al menos
esa es la intencin, sin embargo, en ocasiones existen
usuarios que intentan aprovecharse de todos los recursos
que les proporciona la red para explotarla.
 Las redes tienen un punto de demarcacin que es hasta
donde llega la responsabilidad de nuestro ISP y comienza
la nuestra.

Nuestra responsabilidad:
Garantizar el acceso a la red, proveer de mecanismos que
ayuden a la seguridad en la red, interoperabilidad entre
sistemas, escalabilidad, etc...
Elementos fundamentales en una red
Computadora o dispositivo capaz de conectarse a la red
de datos.

Firewall

Servidor DHCP

DNS

Proxy
Entoncesqu se audita en una red?
Se pueden auditar 2 elementos principales:

Elementos funcionales
Configuracin de los equipos, accesos, restricciones,
vulnerabilidades en los equipos, polticas de trfico, etc.

Elementos no funcionales
Velocidades constantes (tanto de subida como de bajada),
tiempo de convergencia de los routers en la red, seal
intermitente, cobertura de la seal inalmbrica, etc.
Entoncesqu se audita en una red?
En este curso vamos a enfocarnos en los elementos
funcionales:

1.- Usuarios (equipos) no autorizados en nuestra red.

2.- El trfico de nuestra red (para detectar trfico
sospechoso).
3.- Vulnerabilidad en nuestros usuarios (sobre todo en los
equipos de los jefes).
4.- En caso de tener servidores en nuestra red, se debern
llevar a cabo auditorias especficas para cada servicio.
Para las redes inalmbricas
1.- Seguridad en nuestros puntos de acceso (AP)
Difusin de nuestra seal
Tipo de seguridad en la conexin
Tipo de cifrado (en caso de que el AP lo permita)
Alcance longitudinal (esfrico) de nuestra seal
Auditando nuestra red con
Backtrack 5 R3
Patrick Hernndez Cuamatzi
Autoscan
Para descubrimiento de red, su principal objetivo es
identificar equipos conectados a la red.

Applications -> BackTrack -> Information Gathering ->

Network Analysis -> Network Scanner -> autoscan
Autoscan
Autoscan
Es
necesario
agregar
una red, l
automtica
mente
detecta las
existentes.
Autoscan
Elijan su
tarjeta de
red.
Autoscan
Les pedir
confirmaci
n de los
parmetro
s.
Autoscan
Un
ejemplo de
salida:
Buscar vulnerabilidades

Patrick Hernndez Cuamatzi

OpenVAS
Herramienta para la deteccin de vulnerabilidades en la
red.

Applications -> BackTrack -> Vulnerability Assessment

-> Vulnerability Scanners -> OpenVAS
OpenVAS
Paso 1: Agregaremos un usuario para utilizar OpenVAS,
pueden agregar el nombre que gusten:
OpenVAS
Cuando pregunte sobre las reglas del usuario,
presionamos ctrl+D para especificar que hemos
terminado de colocar las reglas al usuario, en este caso se
quedan en blanco, sin reglas, es decir, el usuario que
acabamos de agregar no tendr restricciones de uso.
OpenVAS
Paso 2: Crear un certificado SSL

OpenVAS -> mkcert

Tiempo de vida (1460)

Pas (MX)
Estado o provincia (none)
Etc

Le dejan todo por default, es solo para fines prcticos

OpenVAS
Paso 3: Sincronizando las NVTs (Network Vulnerability
Tests, Pruebas de Vulnerabilidades de Red)

Estas NVTs permiten detectar las vulnerabilidades, son

como una base de datos de vulnerabilidades encontradas,
por ello, es necesario actualizar constantemente dichas
NVTs.

OpenVAS -> NVT Sync

OpenVAS
OpenVAS
Paso 4: Comenzar el escaneo en busca de
vulnerabilidades.

OpenVAS -> Start OpenVAS scanner

Esto puede tomar unos minutos

OpenVAS
OpenVAS
Paso 5: Configurando el gestor de OpenVAS

Lo primero que tenemos que hacer es un certificado de

cliente para el gestor de OpenVAS, esto se hace
ejecutando el siguiente comando:

openvas-mkcert-client -n om i
OpenVAS
OpenVAS
Ahora tenemos que reconstruir la base de datos, ya que
ahora est desactualizada con el agregado de NVT de lo
contrario se obtendrn errores sobre la base de datos. Se
debe hacer esto cada vez que se actualice el NVT. Esto se
hace con un simple comando:

openvasmd --rebuild
OpenVAS
OpenVAS
Paso 6: Configurar el Administrador OpenVAS

Tenemos que crear un usuario administrador que vamos

a utilizar para realizar las evaluaciones. Esto se hace
ejecutando el siguiente comando:

openvasad -c 'add_user' -n openvasadmin -r Admin

En este caso openvasadmin es el nombre del nuevo

usuario que creamos, pueden colocar el nombre que
deseen.
OpenVAS
OpenVAS
Iniciando el gestor de OpenVAS

openvasmd -p 9390 -a 127.0.0.1

Iniciando el Administrador OpenVAS

openvasad -a 127.0.0.1 -p 9393

Iniciando el Asistente de Seguridad Greenbone

gsad --http-only --listen=127.0.0.1 -p 9392

OpenVAS
Start Greenbone Security Desktop (browser: 127.0.0.1:9392)
OpenVAS
OpenVAS
1 Configurar un objetivo (target)
2 Crear una nueva tarea (New task), eligiendo el objetivo
antes creado para ejecutar auditoria.
3 Ejecutar la tarea (Task), aparecer una lista con las
tareas a ejecutar, damos clic en play (botn verde).
OpenVAS
Para ver el estado, den clic en Details (icono azul con una
lupa)
OpenVAS
Resultados (dar clic en la fecha de la tarea):
Analizar el trfico que pasa por
nuestra red
Patrick Hernndez Cuamatzi
Wireshark
Aplicacin para analizar protocolos de red

Trabaja en modo promiscuo

Puede analizar todo el trfico que pasa en una red

BackTrack -> Information Gattering -> Network Analysis

-> Network Traffic Analysis -> Wireshark
Wireshark
Pantalla inicial
Wireshark
Para empezar con la captura de datos es necesario ir al
men Captura y seleccionar Opciones. El cuadro de
dilogo Opciones provee una serie de configuraciones y
filtros que determinan el tipo y la cantidad de trfico de
datos que se captura.
Wireshark
Wireshark
Primero, es necesario asegurarse de que Wireshark est
configurado para monitorear la interfaz correcta. Desde
la lista desplegable Interfaz, seleccione el adaptador de
red que se utiliza. Generalmente, para una computadora,
ser el adaptador Ethernet conectado.

Luego se pueden configurar otras opciones. Entre las que

estn disponibles en Opciones de captura, merecen
examinarse las siguientes dos opciones resaltadas.
Wireshark
Wireshark
Configurar Wireshark para capturar paquetes en
un modo promiscuo.
Si esta caracterstica NO est verificada, slo se
capturarn las PDU destinadas a esta computadora. Si
esta caracterstica est verificada, se capturarn todas las
PDU destinadas a esta computadora Y todas aquellas
detectadas por la NIC de la computadora en el mismo
segmento de red (es decir, aquellas que pasan por la
NIC pero que no estn destinadas para la computadora).
Nota: La captura de las otras PDU depende del
dispositivo intermediario que conecta las computadoras
del dispositivo final en esta red. Si utiliza diferentes
dispositivos intermediarios (hubs, switches, routers),
experimentar los diferentes resultados de Wireshark.
Wireshark
Configurar Wireshark para la resolucin del
nombre de red

Esta opcin le permite controlar si Wireshark traduce a

nombres las direcciones de red encontradas en las PDU.
A pesar de que esta es una caracterstica til, el proceso
de resolucin del nombre puede agregar ms PDU a sus
datos capturados, que podran distorsionar el anlisis.
Wireshark
Elegir una interfaz para capturar
Wireshark
Elija la interfaz y d clic en el botn start

Recuerde que al estar en modo promiscuo la tarjeta de

red, capturar todo el trfico que pase, por lo que es
recomendable solo utilizarlo por unos 10 a 20 segundos,
es decir, ya detngalo !!.
Wireshark
Wireshark
La ventana de visualizacin principal de Wireshark tiene tres paneles.

Panel Lista de Paquetes

Panel Detalle de Paquetes

Panel Bytes de Paquetes

Wireshark
El panel de Lista de PDU (o Paquete) ubicado en la parte
superior del diagrama muestra un resumen de cada paquete
capturado. Si hace clic en los paquetes de este panel, controla
lo que se muestra en los otros dos paneles.

El panel de detalles de PDU (o Paquete) ubicado en el medio

del diagrama, muestra ms detalladamente el paquete
seleccionado en el panel de Lista del paquete.

El panel de bytes de PDU (o paquete) ubicado en la parte

inferior del diagrama, muestra los datos reales (en nmeros
hexadecimales que representan el binario real) del paquete
seleccionado en el panel de Lista del paquete y resalta el
campo seleccionado en el panel de Detalles del paquete.
Wireshark
Pueden analizar los tres paneles, tomen 3 minutos para
ello.
Wireshark
Ahora haremos una prueba utilizando el comando ping.

Realice un ping hacia alguno de los equipos en la red,

mientras ello ocurre, realice una captura de paquetes con
Wireshark, despus de unos segundo detenga la captura,
y conteste a las siguientes preguntas:
Wireshark
Qu protocolo se utiliza por ping?
______________________________

Cul es el nombre completo del protocolo?

_________________________________

Cules son los nombres de los dos mensajes ping?

_____________________________________
Wireshark
4.- Las direcciones IP de origen y destino que se
encuentran en la lista son las que esperaba?
SI / NO
por qu?
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
Seleccione con el mouse el 1er paquete de solicitud de eco
en la lista.
El panel de detalles del paquete mostrar algo parecido a:

Haga clic en cada uno de los cuatro + para expandir la

informacin.
Wireshark
Como puede ver, los detalles de cada seccin y protocolo
se pueden expandir ms. Tmese el tiempo para leer esta
informacin.

Puede ser que no entienda completamente la informacin

que se muestra, pero tome nota de la que s reconozca.

Conteste lo siguiente utilizando el panel de detalle de

paquetes:
Wireshark
5.- Localice los 2 tipos diferentes de direccin origen y
destino, por qu hay 2 tipos?
_______________________________________
_______________________________________

6.- Cules son los protocolos que estn en la trama de

Ethernet?
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
7.- Ahora en el panel de detalle de bytes, encuentre cual
es el mensaje que se envan los equipos al utilizar el
protocolo ICMP

_______________________________________
_______________________________________
_______________________________________
______________________________________
Desafo - Wireshark
Como podra utilizar wireshark para analizar todo el trfico de
una red, dado que en de esta red, no es usted el administrador,
solo es un invitado, sin embargo, es un invitado privilegiado,
ya que puede tener acceso fsico al router principal y al switch
principal, que se conecta al router antes mencionado (ver
dibujo).

Contemple que usted puede introducir cualquier otro

dispositivo de red, y la idea es que los usuario continen con
sus enlaces existentes (LAN y WAN), pueden conectar o
desconectar, pero no pueden entrar en las configuraciones de
los switches ni de los routers, lo que desconecten debern
conectarlo en menos de 1 minuto para no interrumpir las
comunicaciones.

Tienen 20 minutos para realizar una propuesta

 Prctica final de Seguridad:
Auditoria de redes inalmbricas
Patrick Hernndez Cuamatzi
Auditoria de redes inalmbricas
Comnmente utilizamos todo con una pre-configuracin

Desgraciadamente nuestros Puntos de Acceso vienen pre-

configurados con el protocolo WEP (Wired Equivalent
Privacy) que es un sistema de cifrado de 64 y hasta 128
bits, muy vulnerable a ataques.

Sugerencia: cambiar a un cifrado WPA (Wifi Protected

Access), el cul utiliza 128 bits, pero con un vector de
inicializacin de 48 bits.
Auditoria de redes inalmbricas
Desafo: Siga los pasos del manual que se le facilitar
para realizar un ataque a un AP, que utiliza cifrado WEP.

Al terminar dicha prctica y obtener la clave,

conctese al AP y haga un descubrimiento de los
equipos en dicha red, despus realice un
descubrimiento de vulnerabilidades de alguno de
los equipos. Finalmente muestre al instructor sus
resultados.
Auditoria de redes inalmbricas
Bueno como ya no hay mucho tiempo, solo consiga la
clave WEP.
 GRACIAS

Patrick Hernndez Cuamatzi