FASE 3

Objetivo
En esta semana conoceremos los ataques ms comunes a
las redes de informacin de las organizaciones, y las
herramientas que nos permiten vigilar la red y corregir
dichos ataques.

ATAQUES Y VULNERABILIDADES
Objetivos del tema

Conocer los ataques ms comunes a las redes de

las organizaciones
Conocer herramientas para la vigilancia de las redes
organizacionales
Conocer herramientas para la solucin de problemas
en las redes organizacionales
Tener en cuenta diversas herramientas para
agregarlas en los manuales de procedimientos de la
organizacin.

VULNERABILIDADES EN LA ORGANIZACIN: TIPOS Y

SOLUCIONES

A continuacin se presentarn los modos de ataques ms comunes a las

organizaciones, cules son sus modos de operacin y que hacer, de modo
general, para solucionar estas vulnerabilidades.

1. Denial of service
2. Cracking de passwords.
3. E mail bombing y spamming.

1 Curso de redes y seguridad

Fase
 4. Problemas de seguridad en el FPT
5. Telnet.

Existen otros problemas de vulnerabilidades que exigen gran conocimiento

tcnico en cuanto a redes. Es por esto que no los explicaremos, pero los
nombraremos para que consulten si desean aumentar sus conocimientos:

- Seguridad en WWW
- TFTP
- Los comandos r
- Seguridad en NETBios.
- Cracking en cloud computing.
- Virus troyanos y Worms.

Procederemos entonces a comunicar los ms comunes:

1. Denial of service:

Este ataque consiste, principalmente, en cortar la conexin entre productor o

consumidor. Se trata de evitar que un usuario pueda acceder a un recurso de la
red, o a un recurso de la propia mquina.
Si, por ejemplo, toda la red quedara incapacitada para obtener determinados
recursos, toda la organizacin quedara desconectada y, de esta manera, se
interrumpira el algoritmo P-C.

Hay diversos tipos de ataque en este modo, los cuales veremos a continuacin:
- Consumo de recursos escasos
- Destruccin o alteracin de informacin de configuracin
- Destruccin o alteracin fsica de los componentes de la red.
2 Curso de redes y seguridad
Fase
Veremos cada uno de estos ataques:

a. Consumo de recursos escasos:

Es entendido que los computadores requieren recursos que son limitados,

como el ancho de banda, espacio en memoria, disco duro, etc. Estos
ataques funcionan bloqueando o reduciendo significativamente dichos
recursos, y generalmente son llevados a cabo por personas
malintencionadas, a las que llamaremos crackers. Recordemos que, como
lo explicamos anteriormente, los hackers vulneran la seguridad de un
sistema para conocer sus debilidades, mientras que un cracker lo hace con
el objetivo de destruir el sistema.

El primer recurso atacado es la conectividad, haciendo que los

computadores o mquinas no puedan conectarse a la red.

Ejemplo: SYN flood.

El cracker genera una conexin a otra mquina usando el protocolo TCP,
pero en el momento en que va a terminar, lo interrumpe. Las mquinas que
reciben una conexin TCP interrumpida, necesitan un determinado tiempo
para terminar esas falsas conexiones. Mientras esto sucede, la maquina
rechaza conexiones legtimas, evitando as la comunicacin con el
elemento. Estos ataques no funcionan consumiendo recursos de la red, sino
recursos propios del ncleo implicado en generar las conexiones TCP. Es
por esto que una mquina con un modem sencillo puede generar este
ataque. Cuando un cracker usa mquinas con recursos muy bajos para
generar ataques sobre sistemas grandes y robustos, este ataque es
llamado asimtrico.

3 Curso de redes y seguridad

Fase
El segundo recurso, es el uso de las caractersticas del sistema sobre si
mismo.

Ejemplo: Deny of service UDP

El cracker toma paquetes UDP del sistema y los copia, generando paquetes
falsos y envindolos a una mquina para que genere eco, es decir, que los
multiplique, y otra mquina destino es la encargada de recibir los ecos.
Estas 2 mquinas consumen todo el ancho de banda de la red entre ellas,
bloqueando as todas las conexiones de las otras mquinas a la red.

El tercer recurso atacado es el ancho de banda del sistema, consumindolo

todo y evitando que otras mquinas se conecten a la red

Ejemplo: Bombing
Es un mecanismo muy usado actualmente para saturar las redes y
consumir toda la banda. Consiste en generar una gran cantidad de
paquetes dirigidos nicamente a la misma red. Existe un paquete especial,
llamado ping, que se usa para detectar la longitud de conexiones que
debe recorrer el paquete para llegar de un origen a un destino. Si un cracker
inunda (otro trmino para esta inundacin es el flodeo, o flooding) una red
con muchos paquetes ping, consume todo el ancho de banda de la misma.
Actualmente existen millones de computadores en red, llamados
computadores zombies, que se dedican a flodear redes de empresas o
urganizaciones. Tambin son usados para el e-mail bombing, que ser
explicado en breve.

Y el cuarto recurso atacado es la capacidad de almacenamiento de la

mquina

4 Curso de redes y seguridad

Fase
Ejemplo: Virus scrip.
Consiste en un cdigo malicioso generado por un cracker, que por si no
hace nada til o destructivo directamente a la mquina. Este cdigo tiene
como objetivo nicamente reproducirse. Esto hace que se consuman
muchos recursos de la mquina, al mismo tiempo que se satura la
capacidad de almacenamiento del dispositivo, evitando su uso y el acceso a
servicios desde y hacia l.

Puede usarse cualquier otro mecanismo que permita escribir de manera

ilimitada archivos en una mquina. Recordemos que debemos hacer
logsticos por cada evento realizado en la red. Si, por ejemplo, no hay una
tasa lmite de registros en un sistema, un cracker puede instalar un
programa craqueador de contraseas que sature un servidor de archivos
logsticos (logs), y evite su conexin a determinado recurso.

Recuerde: siempre disponga de un mtodo para acceder ante la

emergencia de este tipo de ataques.

b. Destruccin o alteracin de la informacin de configuracin

Todos los sistemas contienen informacin bsica para su funcionamiento,

Windows, por ejemplo, tiene los programas de arranque que le permiten
cargar el sistema operativo en la memoria, o un router, por ejemplo, tiene
una lista de direcciones IP que le permiten redirigir los paquetes de la red a
los puntos apropiados. Si un cracker borra parte de los archivos de inicio de
Windows, o modifica la lista de IPs de los routers, desequilibrar el
algoritmo P-C, evitando as que se acceda a un recurso.

5 Curso de redes y seguridad

Fase
 c. Destruccin o alteracin fsica de los componentes de la red

Este problema, aunque evidente, requiere un gran cuidado. Todos los

elementos fsicos de la red, como routers, servidores, suiches, cables, etc,
deben estar protegidos al acceso pblico, y solo personal calificado puede
acceder a ellos. Cualquier dao en los componentes fsicos de la red
inmediatamente traban el algoritmo P-C.

Cmo prevenimos y respondemos a estos inconvenientes?

Como los ataques de negacin de servicio afectan directamente nuestra

organizacin y consumen recursos para ser arreglados, es mejor tener una
serie de medidas que permitan corregir estos problemas. Ac colocamos unas
de las medidas ms tiles y usadas para evitar este tipo de vulnerabilidades:

Usar programas y parches para evitar el SYN flood

Colocar listas de accesos en los routers, para que solo determinados
sistemas puedan usarlos.
Separar siempre la informacin crtica de la que no lo es, generando
particiones en los discos, o guardando la informacin en lugares
alejados de la red.
Eliminar cualquier servicio innecesario en la red, para reducir los
accesos posibles de crackers.
Use los logsticos de trfico para establecer cuando la red se
comporta de una manera anmala.
Genere un procedimiento para revisar la integridad fsica de los
sistemas de la red, como cableado, servidores, suiches, routers,
antenas de wifi, etc.

6 Curso de redes y seguridad

Fase
 Usar, siempre que se pueda, configuraciones de almacenamiento
redundantes, as como conexiones de redes redundantes.

2. Cracking de passwords

Este tema es muy comentado y requiere mucho conocimiento tcnico que a la

fecha se encuentra fuera del objetivo de este curso. Sin embargo, en las
referencias bibliogrficas, se indicar bibliografa que se puede consultar para
saber ms sobre este tipo de contenidos.

Por ahora veremos de manera general en qu consiste este ataque.

El objetivo principal del craqueo de passwords es, de alguna manera, acceder

al sistema logueado como un usuario legtimo. Cualquier sistema que posea
usuarios y passwords, debe guardar dichos passwords en algn lugar del
sistema. Este lugar se convierte entonces en el sitio ms vulnerable de todo el
sistema de seguridad, por lo que debe conocerse para poder protegerlo.

La forma general de proteccin de un sistema consiste en tomar el password

del usuario y encriptarlo mediante una regla de encriptacin propia de a
mquina. Este password encriptado es almacenado en el sistema y nunca se
desencripta. En cambio, cuando se intenta acceder al usuario correspondiente,
el sistema encripta la contrasea ingresada y la compara con la almacenada,
nunca se procede a desencriptar la contrasea almacenada. En pocas
palabras, el sistema siempre funciona de afuera hacia adentro, y no de adentro
hacia afuera.

Los crackers que intentan entrar a un sistema de red, deben usar un programa
que encripte palabras y que compare dichas encriptaciones con el original. El
7 Curso de redes y seguridad
Fase
xito depende de la calidad del diccionario que contiene los posibles
passwords, el programa usado, la mquina craqueadora y la paciencia del
sujeto.

Tambin se puede usar la fuerza bruta, que consiste en usar todas las
combinaciones posibles de passwords sobre el login, hasta encontrar la
correcta.

Si supusiramos una velocidad de bsqueda de100.000 passwords por

segundo, obtenemos la siguiente tabla:

Vemos entonces que, a mayor cantidad de smbolos usados en el password, y

a mayor longitud, mayor es la dificultad de desencriptacin. Esta informacin es
interesante para cuando creemos el procedimiento de creacin de passwords.

3. E-mail bombing y spamming

Ambas definiciones estn relacionadas con los correos electrnicos, aunque

existen diferencias entre ambos. Mientras que el Email bombing consiste en
mandar muchsimas veces el mismo mensaje a un usuario, el spamming

8 Curso de redes y seguridad

Fase
consiste en mandar un mensaje a miles, e incluso, millones de usuarios, con
cuentas repetidoras o con listas de inters. Si a esto agregamos el spoofing,
es decir, la alteracin de la identidad del remitente del mensaje, se hace ms
difcil an detectar quienes hacen los ataques,

Prevenir el spam o el bombing es casi imposible. Desde que se tenga una

cuenta de usuario con correo, siempre se podr ser vctima del estas
vulnerabilidades. Cuando un correo es sobrecargado de elementos, puede
darse un denial of service porque la mquina se sobrecarga con la cantidad
de mails que debe procesar, llenando el disco duro con logsticos de mails
recibidos, o una sobrecarga de las conexiones de red.

Acciones a tomar

Si se detecta una accin de esta ndole, (a travs del anlisis de logsticos o de

simple inspeccin), se pueden llevar a cabo los siguientes pasos:

Identificacin del origen del spamming y del bombing, para evitar el

acceso de estos paquetes a la red.
Usar programas que lean informacin de los mails para detectar si
son spam y eliminarlos.
Identificar los sitios de los que se genera el spamming, y
comunicarles el evento a los dueos del sitio.
NUNCA responder o hacer un forward de un spam.

4. Problemas de seguridad en el FTP

El Ftp es un protocolo de transferencia de informacin usado en las redes para

transmitir, de acuerdo a determinados datos, informacin de una mquina a
9 Curso de redes y seguridad
Fase
otra de manera confiable. Es un protocolo de la capa 4 de comunicaciones,
como lo vimos en la unidad 1, y su funcionamiento, si bien es tcnico, se tratar
de explicar en trminos generales. Para mayor comprensin, es necesario
dirigirse a la bibliografa y a los enlaces adjuntos con el objeto de ampliar el
tema.

El protocolo FTP funciona de la siguiente manera:

Un usuario quiere obtener un servicio. Para esto, intenta conectarse con un

servidor. Para generar esa conexin se debe habilitar un puerto de entrada por
el que se har la transferencia de informacin. Para que el servidor pueda
mandar nuevamente datos a la mquina que pidi el servicio, el usuario debe
enviar un comando port, que incluye informacin de la direccin IP del cliente
y el puerto que debe abrir en l para crear la comunicacin. Esta conexin es
luego abierta entre el cliente y el servidor y se establece la comunicacin.

Ahora, cmo se hace un ataque con esto? Un cracker puede, mediante un

comando port, crear una conexin entre un servidor y un computador arbitrario,
si modifica el comando port para ser enviado desde un computador legtimo,
pero con un destino diferente al del computador usado para generar el
comando. En pocas palabras, es pedirle al servidor S, que genere una
conexin con un computador B, ilegtimo, a travs de un comando port
modificado, y enviado desde una mquina A, legtima. A este ataque se le
llama FTP bounce

Este FTP bounce se puede usar en varios procedimientos que pueden dar
lugar a una vulnerabilidad. Uno de ellos, usado por hackers y crackers por igual
es el escaneo de puertos. Mediante una mquina ordinaria, se hace un
conjunto de paquetes port dirigidos a otra mquina, y a cada uno de los

10 Curso de redes y seguridad

Fase
paquetes port se le pone el puerto que quiere ser escaneado, para saber si
est abierto, si se puede abrir, o si est bloqueado.

Otro uso es el llamado bypass de filtros. Luego de hacer un escaneo de

puertos de una mquina protegida por un firewall a travs de un servidor
pblico (un servidor de acceso a cualquier usuario), se detectan los puertos
abiertos y luego se genera una conexin, a travs del servidor pblico, con
cualquier mquina protegida por el firewall.

Tambin existen bypass de filtros dinmicos, que corresponden a aplicativos de

java que se bajan al pc, y crean paquetes port enviados al computador de
destino. Estos paquetes son habilitados por el firewall, ya que fueron hechos
por la mquina protegida, de una manera aparentemente decidida.

Soluciones?

Si bien, como se ha indicado, este tema es complejo y requiere una mayor

cantidad de conocimientos, se indicarn de manera general las acciones a
llevar a cabo cuando se detecta un problema de este tipo.

No permitir que una mquina haga conexiones arbitrarias a travs del

mismo puerto. Esto es un tanto problemtico para ciertos servicios, pero
para subsanar esa dificultad, los vendedores de software implementan
soluciones que se adaptan a las necesidades de cada usuario
comprador.
Muchos de los ataques por FTP Bounce se producen debido a que se
confa en ciertas mquinas de la red. El administrador de la seguridad de
red debe otorgar privilegios solo a ciertas mquinas y en casos muy
aislados

11 Curso de redes y seguridad

Fase
 Separar en la red las mquinas que se encargan de prestar unos
servicios de otros. Por ejemplo, separar las mquinas encargadas de
prestar el servicio de mail y de web. Usar, en lo posible, un firewall entre
cada nivel de mquinas-servicio.
Administrar de una manera muy crtica los servidores pblicos usados
en la empresa para prestar servicios, permitir la lectura y escritura de los
usuarios, etc. Nunca dejar informacin de los passwords de los usuarios,
ni dar al servidor pblico privilegios de conexin.

5. TELNET

TELNET es un daemon o demonio (demonio: es un programa que se

ejecuta en segundo plano, y que no tiene interfaz grfica para comunicarse
con el usuario. Su objetivo principal es brindar procesos y servicios de
manera silenciosa) que permite a los usuariostener acceso de terminal a un
sistema, es decir, ser clientes del mismo. A travs del demonio telnet, se
crea una conexin entre cliente y servidor que sirve para transferir
informacin, solo que el login y el password para acceder al sistema es
hecho automticamente por el demonio.

El problema ac radica en que un cracker puede instalar un sniffer en la

red (Sniffer: oledor. Programa que rastrea datos en una red) y pinchar o
intervenir el programa cliente de TELNET. Con estas acciones, obtiene los
nombres de usuario y las contraseas que se mueven a travs de la red.

La solucin principal para esto es usar un programa que encripte las

contraseas y las envo una sola vez por la red. As, si se tiene un sniffer, el
cracker solo podr obtener la contrasea 1 ves, y tendr que hacer un
ataque de diccionario (el mismo ataque se hace para craquear paswords)

12 Curso de redes y seguridad

Fase
Herramientas de control de accesos.

Hasta ac hemos observado una gran cantidad de ataques que vulneran la

seguridad de nuestra organizacin, y hemos visto que su operacin ms comn
consiste en acceder recursos o mquinas del sistema inestabilizando o
interrumpiendo el algoritmo P-C.

Cmo nos protegemos? Curiosamente las protecciones que usaremos

(algunas, no todas) son casi las mismas herramientas que usan los crackers y
hackers para vulnerar sistemas o probar fallas en la seguridad de las redes.
Estas herramientas nos permiten monitorear algunas funciones de red, generar
logsticos de dichas funciones y usar esta informacin para detectar un ataque
o un sabotaje.

Una de las ventajas de estas herramientas consiste en su ubicuidad. Esto

significa que solo basta con instalarlas o usarlas en una mquina conectada a
una red de trabajo, y ella monitorear todas las otras mquinas conectadas a la
mquina principal.

Hemos de hacer la aclaracin que se ha repetido durante todo el curso: los

temas a tratar en estos contenidos son complejos y tcnicos. Ac daremos un
pequeo acercamiento y una vista general de estas herramientas y su uso
principal, mas no ahondaremos en cuestiones tcnicas referentes a su uso.
Para esto, se invita al aprendiz a consultar la bibliografa, otros cursos del
SENA e informacin referente al tema

Las herramientas que analizaremos son las siguientes:

13 Curso de redes y seguridad

Fase
 Tcp- wrapper
Netlog
Argus
TcpDump
SATAN
ISS
Courtney
Gabriel
Nocol
TcpList

Empezaremos a explicar cada una de ellas

Tcp-Wrapper.

La idea de este software pblico es la de restringir la conexin de sistemas no

deseados a servicios de nuestra red. Tambin permite ejecutar algn tipo de
comando de manera automtica cuando se generan determinadas acciones en
la red.

Algo muy importante de este programa es que permite dejar una traza de las
conexiones hechas en la red, tanto a servicios admitidos como no admitidos,
indicando el servicio al que se intent acceder y la mquina que intent
hacerlo.

El programa posee 2 archivos principales, en los que se definen las reglas que
deben usarse para el control de paquetes en la red (recordemos que al trfico
de la red, dependiendo de la capa en la que estemos trabajando del modelo

14 Curso de redes y seguridad

Fase
OSI, se le puede llamar paquete). Dependiendo de la complejidad de los
cdigos escritos en estos programas, es decir, de las reglas definidas por el
tcnico de la red, ser la eficiencia de filtrado de elementos y la proteccin del
mismo.

Este programa no es el nico que genera trazas o logsticos de las actividades

de la red, por lo que haremos una recomendacin extensiva para todos los
elementos que generen trazas, que es se puede resumir en una frase
centralizacin de trazas.

La centralizacin de trazas consiste en mandar la informacin generada por el

programa protector, a un computador que centraliza todos los logsticos de
todos los otros elementos. Como los crackers suelen borrar sus pistas en los
sistemas que atacan, suelen borrar los logsticos de archivos protectores, por lo
que tener un sistema que contenga la informacin de una mquina, aparte de
la mquina misma, es una forma de asegurar una mayor proteccin. De hecho,
si una mquina tiene un conjunto de trazos diferentes que los enviados a la
mquina principal, se puede deducir que hubo un ataque y que fue tratado de
encubrir.

En suma, podemos concluir que el Tcp_Wrapper es una herramienta que nos

permite controlar y monitorear el trfico de las redes de nuestra organizacin,
permitindonos a su vez el control sobre las conexiones que se generan en la
misma.

Para concluir, podemos decir que el tcp-wrappers es una simple pero efectiva
herramienta para controlar y monitorear la actividad de la red en nuestra
mquina, y nos permite un control sobre las conexiones que se efectan en
nuestra red.

15 Curso de redes y seguridad

Fase
NetLog

Existen ataques a una red que pueden pasar desapercibidos si se llevan a

cabo con extremada velocidad, con intervalos muy cortos de tiempo de
conexin, y de manera repetida al mismo elemento de la red. Cmo funcionan
estos ataques? Digamos que nuestra herramienta de seguridad registra las
conexiones que se llevan a cabo cada milisegundo en nuestro sistema. Si de
alguna manera yo pudiera generar un ataque que se repita 10 veces en un
milisegundo, en el registro de conexiones solo aparecera un solo intento de
ataque, mientras que en realidad hice 10. Si la vulnerabilidad la hubiera
alcanzado en la novena conexin, no habra aparecido en el registro, y an as
se habra violado mi seguridad. Estos ataques se les llama SATAN o ISS.
Estas vulnerabilidades pueden ser corregidas con este programa, que es, en
realidad, un conjunto de programas que trabajan de manera conjunta para
generar trazas de los paquetes movidos en la red, sobre todo aquellos que
pueden ser sospechosos y que indican un posible ataque a una mquina.

Los 5 subprogramas que componen este programa principal son los siguientes:

- TCPLogger: Genera trazos sobre todos los paquetes que usan el

protocolo TCP.

- UDPLogger: Genera trazos sobre los paquetes que usan el protocolo

UDP.

- ICMPLogger: Genera igualmente trazos, pero de las conexiones

basadas en ICMP

Estos 3 programas pueden guardar su informacin en formato Ascii o en

formato binario. En el segundo caso, el programa contiene un extractor

16 Curso de redes y seguridad

Fase
 que permite consultar los archivos generados, e incluso contiene un
buscador que permite acceder patrones de bsqueda, como por ejemplo
el trfico de una red en particular, el de una mquina o los intentos de
conexin a un puerto definido por el usuario

- Etherscan: Esta herramienta monitorea el uso de otros protocolos con

actividad inusual, y nos indica qu archivos se han modificado o llevado
por el uso de dichos protocolos.

- Nstat: Es usado principalmente para detectar cambios en los patrones

del uso de la red. Este subprograma, a su vez, posee herramientas que
nos dan informacin sobre ciertos periodos de tiempo, o nos dan la
posibilidad de graficar determinados datos.

Argus

Es una herramienta de dominio pblico que permite auditar el trfico IP que se

produce en nuestra red, mostrndonos todas las conexiones del tipo indicado
que descubre.

Este programa se ejecuta como un demonio, escucha directamente la interfaz

de red de la mquina y su salida es mandada bien a un archivo de trazas o a
otra mquina para all ser leda. En la captura de paquetes IP se le puede
especificar condiciones de filtrado como protocolos especficos, nombres de
mquinas, etc.

Al igual que el NetLog, el Argus tambin tiene una herramienta buscadora que
permite filtrar los contenidos y ver aquellos que solo nos interesan.

17 Curso de redes y seguridad

Fase
TcpDump

Este software permite ver las cabeceras de los paquetes que circulan por la
red. La cabecera de un paquete contiene informacin relacionada con la
mquina origen, la mquina destino, el tipo de protocolo usado, entre otros
datos importantes para el anlisis. Y no solo esto, podemos aplicar filtros que
nos pemitan ver solo determinados protocolos, determinados puertos de la red,
mquinas, y an usar operadores entre paquetes (>, <, =, and, or, not), para
comparar

SATAN (Security Administrator Tool for Analyzing Networks)

Es una herramienta pblica francamente excelente. Permite chequear las

mquinas que estn conectadas a la red, genera informacin sobre el tipo de
mquina conectada, los servicios que presta cada una, y la herramienta quiz
ms importante, permite detectar fallos de seguridad. Sus datos se muestran
en un navegador, por lo que su lectura es sencilla.

Cuando hace el chequeo de las mquinas conectadas a la red, al detectar una

vulnerabilidad en alguna de ellas, la marca como insegura, y a todas aquellas
mquinas conectadas a ella tambin las marca. De acuerdo a los fallos
encontrados, se califica a la mquina como baja, media o altamente insegura,
se genera un registro de los fallos encontrados con una breve explicacin de
cada uno e informacin (si se encuentra disponible) sobre una posible solucin
del mismo. Para todo esto, debe entonces generar una base de datos con
todas las mquinas registradas, con toda la informacin obtenida.

Recordemos que todas estas herramientas se pueden usar tanto para bien
como para mal. SATAN, como genera un registro de todas las mquinas

18 Curso de redes y seguridad

Fase
conectadas en una red, permite descubrir la topologa de la red de una
organizacin, lo cual puede usarse de buena o mala manera. Se debe tener
mucho cuidado con las personas que administran estas herramientas.

ISS (Internet Security Scanner)

Esta herramienta permite chequear el nivel de seguridad de una mquina

evaluando diversos servicios, as como direcciones IP. Podemos ver tambin
con este programa todos los puertos que usan el protocolo TCP y que se
encuentran en la mquina que analizamos. De igual manera, esta herramienta
nos permite transferir archivos de contraseas a travs de la red, y generar un
registro de la mquina que posee dicha contrasea con su direccin IP.

Courtney

Ahora dijimos que estos programas pueden ser usados tanto como
herramientas de proteccin como herramientas de ataque. Siendo SATAN una
herramienta tan buena para la deteccin de topologas de redes, se necesitaba
otro programa que detectara el uso de la misma. Esta herramienta es esta, que
permite detectar a la mquina que genera el ataque SATAN (ya explicamos el
funcionamiento de estos ataques) a partir de informacin pasada por el
programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso
corto de tiempo, el programa genera un aviso.

19 Curso de redes y seguridad

Fase
Gabriel

Es similar al Courtney, pues permite detectar ataques tipo SATAN. Este

programa tiene 2 partes: la parte cliente y la parte servidor. La primera se
instala en toda mquina que quiera ser monitoreada, y la segunda se instala en
la mquina que debe recoger toda la informacin. En el momento en que se
detecta un posible ataque, inmediatamente la mquina afectada genera una
alerta via e-mail u otro medio, a la mquina servidor.

TcpList

Este programa indica todas las conexiones que usen el protocolo TCP creadas
desde la mquina en la que lo estamos ejecutando, o aquellas entrantes a
dicha mquina. Tambin es un programa de dominio pblico.

Nocol (Network Operations Center On-Line)

Es un paquete que contiene diversos programas para monitorear la red de una

organizacin. Recopila informacin, la analiza, la agrupa en eventos, y le
asigna una gravedad, que puede ser: info, warning, error, crtical.

Cada tipo de gravedad es manejada con una clase distinta de agente, y se

tiene una herramienta que permite observar la informacin de cada agente,
para filtrarla y analizar la que nos interesa, como en otras herramientas.

20 Curso de redes y seguridad

Fase
Estas herramientas mostradas son solo una pequea parte del gran repertorio
que existe en la red. Es responsabilidad del administrador de red y del
administrador de seguridad seleccionar aquellas que considere apropiadas de
acuerdo al grado de complejidad adicional que se quiera obtener en la red de la
organizacin, la seguridad que se quiera alcanzar, y finalmente, las polticas de
seguridad a generar.

Herramientas que chequean la integridad del sistema

En la unidad anterior mostramos diversas herramientas que nos permitan

detectar accesos a nuestros computadores a travs de puertos y ataques tipo
SATAN, ataques que se consideran como una intromisin entre la
comunicacin P-C, y que pueden representar una violacin a la seguridad de la
organizacin.

En este apartado veremos otro tipo de herramientas, que permiten chequear la

integridad de nuestros archivos y, en caso tal de que hayan sido modificados,
nos alerta sobre dichas modificaciones, al igual que lo hace con programas
sospechosos que se puedan estar ejecutando en nuestra red.

Las herramientas a usar son las siguientes:

COPS
Tiger
Crack
Tripwire
Chkwtmp
Chklastlog
Spar
Lsof
21 Curso de redes y seguridad
Fase
 Cpm
Ifstatus
Osh
Noshell
Trinux

Explicaremos su funcionamiento bsico a continuacin:

COPS (Computer Oracle and Password System)

Este programa se encarga de chequear aspectos de seguridad relacionados

con el sistema operativo UNIX, como lo son los permisos a determinados
archivos, chequeo de passwords dbiles, permisos de escritura y lectura sobre
elementos importantes de la configuracin de red, entre otras funcionalidades.

La configuracin del sistema operativo UNIX es muy usada en servidores que

prestan servicios a clientes en una red, por lo que recomendamos al aprendiz
que consulte sobre este tema si quiere ampliar sus conocimientos.

Tiger

Funciona de manera similar al COPS. Chequea diversos elementos de

seguridad del sistema para detectar problemas y vulnerabilidades, elementos
como:
Configuracin general del sistema
Sistema de archivos
Caminos de bsqueda generados

22 Curso de redes y seguridad

Fase
 Alias y cuentas de usuarios
Configuraciones de usuarios
Chequeo de servicios
Comprobacin de archivos binarios

Toda esta informacin recogida es almacenada en un archivo, que luego es

analizado con una herramienta que permite explicar cada elemento generado
en el archivo anteriormente mencionado. Tambin es posible seleccionar el tipo
de chequeo que se quiere llevar a cabo sobre el sistema

Crack

Ha sido mencionado en repetidas ocasiones durante el curso. Este archivo

permite forzar las contraseas de los usuarios, para medir el grado de
complejidad de las mismas. El archivo genera un diccionario y una serie de
reglas que le ayudan a generar passwords comunes. Como en este caso est
siendo usado para chequear la seguridad del sistema, le proveemos el archivo
de passwords de nuestro sistema (recordemos que los passwords de nuestro
sistema SIEMPRE estn encriptados y nunca los podemos desencriptar) y el
programa, mediante reglas diversas y algortimos de cifrado, hace un barrido,
detectando as las contraseas ms dbiles y ms vulnerable, tratando de
deducir contraseas del archivo cifrado de nuestro sistema.

Es una buena prctica, para el manual de procedimientos, generar un barrido

peridico del programa crack sobre nuestro sistema, para as notificar a los
dueos de las respectivas contraseas sobre la necesidad de cambiarlas y
aumentar la seguridad en caso de ser vctimas de un ataque con un
craqueador.

23 Curso de redes y seguridad

Fase
Tripwire

Tripwire es, sin lugar a dudas, otra herramienta vital en nuestro sistema, al
igual que el crack. Su funcin principal es la de detectar cualquier cambio o
modificacin en el sistema de archivos, como modificaciones no autorizadas o
alteraciones maliciosas de algunos softwares.

El programa genera una base de datos en la que genera una firma o archivo
identificador por cada elemento en el sistema de archivos. En esta firma
almacena informacin relevante como el nombre del usuario propietario del
archivo, ltima fecha de modificacin, ltima fecha de acceso, etc. Esta base
de datos de firmas, guardada, puede ser comparada en cualquier momento con
una nueva base de datos actuales, y detectar as las modificaciones en los
archivos del sistema.

Es til tener una base de datos main, sobre la que se hacen comparaciones
peridicas para detectar cambios, y que esta main sea actualizada cada vez
que se ingresa un elemento nuevo al sistema de manera autorizada. Otro punto
a tener en cuenta en el manual de procedimientos de nuestra organizacin.

Chkwtmp

Este programa permite detectar a presencia de usuarios encubiertos en nuestro

sistema a travs del chequeo de algunas huellas que dejan al acceder al
mismo, generando un aviso sobre este hallazgo y notificando la hora en la que
se produjo

24 Curso de redes y seguridad

Fase
Chklastlog

Es similar al anterior, salvo que este compara los logines que se han
realizado en la mquina con la informacin del ltimo login en la misma,
detectando as usuarios que hayan sido eliminados del archivo de logines. Esto
con el objeto de detectar borrones en los accesos y descubrir intrusiones
cubiertas.

Spar

Con este programa podemos auditar la informacin de los procesos del

sistema, permitindonos filtrarla y ver aquella que nos interesa, as como nos
permite usar operadores comparativos (=, >, <, >=, &&...) para analizar los
resultados obtenidos.

Lsof (List Open Files)

Sencillamente, nos permite tener una lista de todos los archivos abiertos por el
sistema, as como directorios, archivos de ref, etc.

Cpm (Check Promiscuous Mode)

Qu es el modo promiscuo? El modo promiscuo en una red, en pocas

palabras, se define como aquel en el que una mquina, o un conjunto de
mquinas, se encuentra escuchando todo el trfico de la red.

25 Curso de redes y seguridad

Fase
Si bien es importante usar algunas mquinas en modo promiscuo para poder
correr archivos de proteccin de la red, de esta manera tambin funcionan los
sniffers u olfateadores. El Cpm, nos permite entonces detectar las mquinas
que funcionan en modo promiscuo.

Otro punto para nuestro manual de procedimientos: correr de manera peridica

el Cpm en nuestro sistema para detectar sniffers que pueden estar recopilando
informacin de las contraseas de la red.

Ifstatus

Es un software cuya utilidad es la misma del software anterior, permite

encontrar mquinas en modo promiscuo.
Este programa genera alertas como la siguiente:

WARNING: ACME INTERFACE le0 IS IN PROMISCUOUS MODE.

Osh (Operator Shell)

Este archivo permite indicar al administrador de red cuales son los comandos
que puede ejecutar cada usuario de la red.

Genera entonces un archivo de permisos con todos los nombres de los

usuarios y as listas de los comandos que cada uno de ellos puede usar, as
como otro archivo que indica los comandos ejecutados por todos los usuarios,
e informacin sobre si los pudo ejecutar o no.

26 Curso de redes y seguridad

Fase
Es usado principalmente para otorgar determinados permisos de uso de
comandos a usuarios especiales, que en otras circunstancias no podran usar
esos comandos.

Noshell

El uso de este programa nos permite detectar intentos de conexin a nuestro

sistema a travs de cuentas canceladas. Cada intento de conexin generar
entonces un mensaje que se puede obtener via e-mail, con informacin sobre
el usuario remoto que intent genera la conexin, hora y fecha del intento,
direccin IP del usuario que intent generar la conexin y nombre de la
computadora remota.

Trinux

Trinux, ms que un programa, es un conjunto de herramientas para monitorear

redes que usan el protocolo TCP-IP. Esta herramienta no se instala en el
sistema, sino que es usada directamente desde el dispositivo de
almacenamiento en que se encuentra, corriendo enteramente en la memoria
RAM del computador.

Este paquete trae aplicaciones para controlar el trfico de mails entrantes y

salientes, herramientas bsicas de redes, detector de sniffers, y herramientas
de seguridad para los servidores de nuestra organizacin.

27 Curso de redes y seguridad

Fase