Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual para El Control de Métodos Intrusivos en Un Data Center
Manual para El Control de Métodos Intrusivos en Un Data Center
SEGURIDAD INFORMÀTICA
27 de noviembre de 2017
Autor: Arnold Danilo Morales Gomez
Tabla de contenido
RESUMEN: .................................................................................................................... 2
1. CAUSA DE LAS AMENAZAS EN UN DETERMINADO CENTRO DE PROCESAMIENTO DE LOS
DATOS ......................................................................................................................... 2
2. ESTRUCTURA DE UN DATA CENTER.......................................................................... 2
3. TIPOS DE MALWARE ........................................................................................... 3
3.1. MALWARE I NFECCIOSO .................................................................................. 3
3.2 MALWARE OCULTO ....................................................................................... 3
3.3 MALWARE PARA OBTENER BENEFICIOS ............................................................ 3
3.4 MALWARE WEB.............................................................................................. 3
4. ATAQUES WEB ................................................................................................... 3
5. PROTECCIÓN CONTRA LOS MÉTODOS INTRUSIVOS ............................................... 3
5.1. SNIFFER .......................................................................................................... 4
5.1.1. INSTALACIÓN DEL SNIFFER ........................................................................... 4
5.2. DETECCIÓN DE VULNERABILIDADES ................................................................. 7
5.2.1. ANALIZADOR DE VULNERABILIDADES ............................................................ 7
5.2.1.1. INSTALACIÓN DE NESSUS ....................................................................... 7
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017
1
MANUAL PARA EL CONTROL DE MÉTODOS INTRUSIVOS EN UN DATA CENTER
Resumen:
En nuestra actualidad, todos contamos con antivirus instalados en nuestras
maquias o dispositivos que utilizamos diariamente y son ellos que relativamente
nos protegen de vulnerabilidades y amenazas que podemos tener a un nivel
de sistema, generalmente de clásicos ataque como troyanos, gusanos,
ataques de métodos intrusivos, etc.
Es por ello que la seguridad informática tiene la gran labor de proteger los
archivos en los ámbitos de infraestructura computacional, los usuarios y la
información [1].
• Usuarios
o Las acciones pueden llegar a dañar potencialmente la seguridad
• Programas Maliciosos
o Se instalan, ya sea por falta de atención o maldad, en el
ordenador objetivo, abriendo una puerta a intrusos o bien
modifican datos del sistema, en algunos casos robando la
información de este.
• Errores de programación
o Suelen ser aprovechados por loa atacantes para fines ilegales
• Intrusos
o Hay muchos tipos, como pueden ser: Crackers, defacers, hackers.
o Fallos: Principalmente electrónico o lógicos de los sistemas
informáticos
2
ven que son de los más seguros puesto que los atacantes utilizan paquetes
camuflados lo cual pasa por los firewalls de forma ilícita.
3. Tipos de Malware
4. Ataques Web
Es un ataque que utiliza una web modificada o copiado, generalmente
el atacante por sustancias que posee es capaz de obtener los archivos
de la web y este suele cambiar algunos campos con la finalidad de
sacar información beneficiosa.
3
5.1. Sniffer
Es una aplicación singular para las redes informáticas que se instala en
el sistema operativo de algún ordenador, esta aplicación como tal
permite capturar los paquetes que interactúan en esa red. Existen dos
maneras de instalar un sniffer en un ordenador, la primera es propia del
administrador el cual procede a instalar un software que le permite
controlar el tráfico en su red mediante los paquetes solicitados y
respondidos.
4
Figura 1.1 Ventana de casilla de filtros que se puede hacer con los
datos
1
Seleccionar la interfaz
para la captura de
paquetes
5
o Comenzar a capturar los paquetes
1
Clic para ver las
opciones de captura
2
Iniciar la captura de
paquetes
6
Aquí veremos los paquetes capturados. En
este caso, estoy mostrando paquetes TCP
desde y hacia mi ordenador (mi IP es la
192.168.142.33).
Vemos el contenido
de los paquetes.
▪ NESSUS
▪ ISS Security Scanner
▪ NAI CyberCop Scanner
7
Figura 1. Terminal de Linux Para la instalación de NESSUS
Comando para
la instalación de
NESSUS
Comando para
iniciar el servicio
de NESSUS
8
Figura 1.4Venta de registro de NESSUS
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017
Acceder a la
aplicación por el
usuario por defecto
9
Esta es una de las formas de poder hacer un análisis de Vulnerabilidades lo
cual reforzará la superficie de ataques para la organización en que la requiera
además de asegurar el cumplimiento.
10
principalmente se caracteriza por que la API utiliza los programas
de una red local, el problema que suscita es que el atacante
puede ver la información en la memoria atreves de la red y ser
captados dichos paquetes para que sea visualizados en gran
parte en código HTML, sucede respondió a la consulta de servicio
de nombre NetBT, lo cual los atacantes aprovechan esta
vulnerabilidad para lograrlo debe poder enviar una solicitud
NetBT manipulada al puerto 137 al equipo de la víctima y luego
verifica la respuesta para ver algún dato brindado por la memoria
del equipo. Por lo general dicho puerto está abierto, pero con
equipos que cuentan con conexión a internet suele estar
protegido por un servidor de seguridad.
Ejemplo de salida:
| smb-os-discovery:
| OS CPE: cpe:/o:microsoft:windows_server_xxxx::-
| Workgroup: WorkGroup
11
•Utilizar este comando para obtener información sobre el sistema
a través del servicio NetBios/NetBT:
# nbtstat -A <IP-del-servidor>
# nmblookup -S -R -A <IP-del-servidor>
Ejemplo de salida:
[...]
La solución:
12
- Utilizar el cortafuegos (firewall) para filtrar las conexiones
entrantes a los servicios SMB y NetBios/NetBT y solamente autorizar
la IP de los d dispositivos de confianza.
13
Algo más precisa y exacta, pero sigue siendo bastante brutal, es
la solicitud de inundaciones servicio. Se trata de un gran volumen de
determinados tipos de peticiones, como TCP, peticiones de apretón de
manos de tres vías, VPN configurados peticiones, o incluso peticiones
HTTP.
La mayor parte de las soluciones son en la nube para este tipos de ataques en
realidad hay muchas empresas que prestan servicios para la protección de los
ataques de inundaciones.
14
5.5. Dns Spoofing
Este ataque hace referencia al falseamiento de una dirección IP
ante una consulta de resolución de nombre (esto es, resolver con una
dirección falsa un cierto nombre DNS), o viceversa (resolver con un
nombre falso una cierta dirección IP). Esto se puede conseguir de
diferentes formas, desde modificando las entradas del servidor
encargado de resolver una cierta petición para falsear las relaciones
dirección-nombre, hasta comprometiendo un servidor que infecte la
caché de otro (lo que se conoce como DNS Poisoning); incluso sin
acceso a un servidor DNS real, un atacante puede enviar datos
falseados como respuesta a una petición de su víctima sin más que
averiguar los números de secuencia correctos.
15
Figura 1.1 Explicación de soluciones ante ataques de DNS
La protección avanzada contra DDoS que ofrece Cloudflare, se puede
16
5.6. RootKit
Se caracteriza por ser un programa o un conjunto de ellas que permiten
que los virus, o cualquier malware se pueda alojar en el sistema, así como
los hackers puedan trabajar a escondidas sin que el sistema operativo
pueda detectarlos o las actividades ilícitas que este realiza.
del antivirus.
17
de red (en complementación a las actividades capturadas por el
controlador) puede agregar información al informe que permita la
identificación de ciertas acciones maliciosas.
18
Otra de las aplicaciones mas recomendad o antivirus eficaz es Kasperski Lab
la herramienta de TDSSKiller lo cual los rootkits es su especialidad.
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017
19
Las nuevas tecnologías no basan su funcionamiento en condicionantes
previamente aprendidos sobre patrones cerrados de identificación de
amenazas. Su funcionalidad se basa en la investigación inteligente y
automática de la situación de un proceso en un ordenador.
20
CD, para que así sea reconocido el rootkit y se elimine. Apesar de ello pueda
que se dé el caso que el rootkit no sea conocido haciendo que todo antivirus
no tenga efecto alguno se recomienda que se tomen medidas mucho más
profundas como una investigación forense a los discos duros.
21
La protección Para la suplantación de IP´s se da de la siguiente manera:
Cabe aclarar que el ARP Spoofing puede ser usado también con
fines legítimos. Por ejemplo, algunas herramientas de registro de
22
• Verificar si existe direcciones MAC clonadas también es una
de las formas que existe ARP Spoofing, es por ello que hay que
tener en cuenta que también hay usos legítimos de las
direcciones de MAC clamadas.
ahora:
$ cd /path/to/arpon
$ mkdir build
$ cd build
$ cmake ..
$ make
23
$ cd /path/to/arpon
$ mkdir build
$ cd build
$ cmake -DCMAKE_INSTALL_PREFIX="/path/to/install" ..
$ make
Normalmente las rutas de la instalación son: "/", "/ usr" o "/ usr /
local".
$ cd /path/to/arpon
$ mkdir build
$ cd build
$ cmake -
DCMAKE_INCLUDE_PATH="/path/to/include1;/path/to/include2"
\
$ make
$ cd /path/to/arpon
$ mkdir build
$ cd build/
$ cmake -DCMAKE_C_FLAGS="your-cflags-here" ..
$ make
24
Conexión del servidor a la victima
5. 9 Keyloggers
Características
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017
25
controladores de dispositivos. En especial del teclado porque es
por ese medio que el usuario interactúa con la computadora.
26
En esta imagen podemos ver el log almacenado por un
keylogger que vendría a ser todo lo interceptado de la máquina,
desde direcciones de páginas web hasta usuarios y contraseñas.
27
Para eso actualmente existen diversos softwares libres y de paga
que permiten la detección y eliminación de este programa.
28
Su nombre lo describe en cortas palabras. Este es un tipo de ataque
para capturar datos entre un emisor y un receptor. Se diferencia de
otros por actuar como un espía. No modifica ningún dato ni hace
alguna alteración de la información interceptada, simplemente
obtiene las credenciales de acceso y de esta manera da inicio a un
ataque diferente.
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017
¿Cómo protegerse?
29
La técnica más sencilla es dejar el trabajo a un antivirus especializado
en detectar conexiones duplicadas o algún dispositivo desconocido,
que muy probablemente sea un atacante.
30
herramientas como strobe o nmap lo cual realiza tareas de
forma automatizada.
Clasificación de los escaneos
• Horizontal: Cuando el atacante busca la disponibilidad de
determinado servicio en diferentes máquinas de una red; por
ejemplo, si el pirata dispone de un exploit que aprovecha un
fallo en la implementación de sendmail para saber qué
maquinas aceptan peticiones SMTP lo cual hace posible el
ataque al sistema
• Vertical: generalmente es cuando el atacante hace
escaneo a una solo maquina
Al momento de que se quiera averiguar los puertos de una
maquina al enviar datagramas UDP a un puerto abierto esto no
hace la respuesta, pero si está cerrado devuelve un mensaje:
error ICMP: ICMP/SMALL>_PORT/SMALL>_UNREACHABLE
Estos son las técnicas más habituales en muchos casos suficiente
para iniciar un ataque más serio contra la máquina:
Manual para el Control de métodos intrusivos en un Data Center | 27/11/2017
Bibliografía
Blunden, B. (2009), “The Rootkit Arsenal: Escape and Evasion in the Dark
Corners of
Choi, Y., Kim, I., Oh, J. and Ryou, J. (2008). “PE File Header Analysis-Based
Packed
2008.
Dinaburg, A., Royal, P., Sharif, M., and Lee, W. (2008). “Ether: Malware analysis
via
31
Conference on Computer and Communications Security (CCS 2008),
Alexandria,
API.pdf.
http://es.wikipedia.org/wiki/Malware
http://support.kaspersky.com/sp/viruses/general/614
http://www.pandasecurity.com/spain/homeusers/securityinfo/about-
malware/general-concepts/concept-2.htm
https://climbo.wordpress.com/2007/01/31/tipos-de-ataquesen-
aplicaciones-jueb/
http://roble.pntic.mec.es/jprp0006/tecnologia/4eso_informatica
http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico
http://listas.20minutos.es/lista/los-tipos-de-malware-310619/
http://www.welivesecurity.com/la-es/2013/01/02/ataquesaplicaciones-
web/
http://infoynet.blogspot.com.es/2009/04/malware.html
https://www.infospyware.com/articulos/que-son-los-malwares/
http://www.idearius.com/es/tipos-de-malware-virus-troyanospyware-
gusano/
http://www.kaspersky.es/internet-securitycenter/threats/malware-
classifications
32