Auditoria de Redes

Patrick Hernández Cuamatzi

Redes de Área Local
 Uso generalizado de sistem as y equipos de cóm puto.

 Derivado de esto surge la necesidad de com unicarse entre

equipos, lo que conlleva la necesidad de tener una red.

 La red de área local (LAN por sus siglas en inglés) com o

tal es un m edio de com unicación dem ocrático, o al m enos
esa es la intención, sin em bargo, en ocasiones existen
usuarios que intentan aprovecharse de todos los recursos
que les proporciona la red para explotarla.
 Las redes tienen un punto de dem arcación que es hasta
donde llega la responsabilidad de nuestro ISP y com ienza
la nuestra.

 Nuestra responsabilidad:
 “Garantizar el acceso a la red, proveer de mecanismos que
ayuden a la seguridad en la red, interoperabilidad entre
sistemas, escalabilidad, etc...”
Elementos fundamentales en una red
 Com putadora o dispositivo capaz de conectarse a la red
de datos.

 Firewall

 Servidor DHCP

 DNS

 Proxy
Entonces…¿qué se audita en una red?
 Se pueden auditar 2 elem entos principales:

 Elem entos funcionales

 Configuración de los equipos, accesos, restricciones,
vulnerabilidades en los equipos, políticas de tráfico, etc.

 Elem entos no funcionales

 Velocidades constantes (tanto de subida como de bajada),
tiempo de convergencia de los routers en la red, señal
intermitente, cobertura de la señal inalámbrica, etc.
Entonces…¿qué se audita en una red?
 En este curso vam os a enfocarnos en los elem entos
funcionales:

 1.- Usuarios (equipos) no autorizados en nuestra red.

 2.- El tráfico de nuestra red (para detectar tráfico
sospechoso).
 3.- Vulnerabilidad en nuestros usuarios (sobre todo en los
equipos de los jefes).
 4.- En caso de tener servidores en nuestra red, se deberán
llevar a cabo auditorias específicas para cada servicio.
Para las redes inalámbricas
 1.- Seguridad en nuestros puntos de acceso (AP)
 Difusión de nuestra señal
 Tipo de seguridad en la conexión
 Tipo de cifrado (en caso de que el AP lo permita)
 Alcance longitudinal (esférico) de nuestra señal
Auditando nuestra red con
Backtrack 5 R3
Patrick Hernández Cuamatzi
Autoscan
 Para descubrim iento de red, su principal objetivo es
identificar equipos conectados a la red.

 Applications -> BackTrack -> Inform ation Gathering ->

Network Analysis -> Network Scanner -> au to s can
Autoscan
Autoscan
 Es
necesario
agregar
una red, él
autom ática
m ente
detecta las
existentes.
Autoscan
 Elijan su
tarjeta de
red.
Autoscan
 Les pedirá
confirm aci
ón de los
parám etro
s.
Autoscan
 Un
ejem plo de
salida:
Buscar vulnerabilidades

Patrick Hernández Cuamatzi

OpenVAS
 Herram ienta para la detección de vulnerabilidades en la
red.

 Applications -> BackTrack -> Vulnerability Assessm ent

-> Vulnerability Scanners -> Op e n VAS
OpenVAS
 Paso 1: Agregarem os un usuario para utilizar OpenVAS,
pueden agregar el nom bre que gusten:
OpenVAS
 Cuando pregunte sobre las reglas del usuario,
presionam os ctrl+D para especificar que hem os
term inado de colocar las reglas al usuario, en este caso se
quedan en blanco, sin reglas, es decir, el usuario que
acabam os de agregar no tendrá restricciones de uso.
OpenVAS
 Paso 2: Crear un certificado SSL

 OpenVAS -> m kcert

 Tiempo de vida (1460)

 País (MX)
 Estado o provincia (none)
 Etc…

 Le dejan todo por default, es solo para fines prácticos

OpenVAS
 Paso 3: Sincronizando las NVTs (Network Vulnerability
Tests, Pruebas de Vulnerabilidades de Red)

 Estas NVTs perm iten detectar las vulnerabilidades, son

com o una base de datos de vulnerabilidades encontradas,
por ello, es necesario actualizar constantem ente dichas
NVTs.

 OpenVAS -> NVT Sync

OpenVAS
OpenVAS
 Paso 4: Com enzar el escaneo en busca de
vulnerabilidades.

 OpenVAS -> Start OpenVAS scanner

 Esto puede tom ar unos m inutos…

OpenVAS
OpenVAS
 Paso 5: Configurando el gestor de OpenVAS

 Lo prim ero que tenem os que hacer es un certificado de

cliente para el gestor de OpenVAS, esto se hace
ejecutando el siguiente com ando:

 openvas-mkcert-client -n om –i
OpenVAS
OpenVAS
 Ahora tenem os que reconstruir la base de datos, ya que
ahora está desactualizada con el agregado de NVT de lo
contrario se obtendrán errores sobre la base de datos. Se
debe hacer esto cada vez que se actualice el NVT. Esto se
hace con un sim ple com ando:

 openvasmd --rebuild
OpenVAS
OpenVAS
 Paso 6: Configurar el Adm inistrador OpenVAS

 Tenem os que crear un usuario adm inistrador que vam os

a utilizar para realizar las evaluaciones. Esto se hace
ejecutando el siguiente com ando:

 openvasad -c 'add_user' -n openvasadmin -r Admin

 En este caso o p e n vas ad m in es el nom bre del nuevo

usuario que cream os, pueden colocar el nom bre que
deseen.
OpenVAS
OpenVAS
 Iniciando el gestor de OpenVAS

 openvasmd -p 9390 -a 127.0.0.1

 Iniciando el Adm inistrador OpenVAS

 openvasad -a 127.0.0.1 -p 9393

 Iniciando el Asistente de Seguridad Greenbone

 gsad --http-only --listen=127.0.0.1 -p 9392

OpenVAS
 Start Greenbone Security Desktop (browser: 127.0.0.1:9392)
OpenVAS
OpenVAS
 1° Configurar un objetivo (target)
 2° Crear una nueva tarea (New task), eligiendo el objetivo
antes creado para ejecutar auditoria.
 3° Ejecutar la tarea (Task), aparecerá una lista con las
tareas a ejecutar, dam os clic en play (botón verde).
OpenVAS
 Para ver el estado, den clic en Details (icono azul con una
lupa)
OpenVAS
 Resultados (dar clic en la fecha de la tarea):
Analizar el tráfico que pasa por
nuestra red
Patrick Hernández Cuamatzi
Wireshark
 Aplicación para analizar protocolos de red

 Trabaja en m odo prom iscuo

 Puede analizar todo el tráfico que pasa en una red

 BackTrack -> Inform ation Gattering -> Network Analysis

-> Network Traffic Analysis -> W ire s h ark
Wireshark
 Pantalla inicial
Wireshark
 Para em pezar con la captura de datos es necesario ir al
m enú Cap tu ra y seleccionar Op cio n e s . El cuadro de
diálogo Op cio n e s provee una serie de configuraciones y
filtros que determ inan el tipo y la cantidad de tráfico de
datos que se captura.
Wireshark
Wireshark
 Prim ero, es necesario asegurarse de que Wireshark está
configurado para m onitorear la interfaz correcta. Desde
la lista desplegable In te rfaz, seleccione el adaptador de
red que se utiliza. Generalm ente, para una com putadora,
será el adaptador Ethernet conectado.

 Luego se pueden configurar otras opciones. Entre las que

están disponibles en Op cio n e s d e cap tu ra, m erecen
exam inarse las siguientes dos opciones resaltadas.
Wireshark
Wireshark
 Co n figu rar W ire s h ark p ara cap tu rar p aqu e te s e n
u n m o d o p ro m is cu o .
 Si esta característica NO está verificada, sólo se
capturarán las PDU destinadas a esta com putadora. Si
esta característica está verificada, se capturarán todas las
PDU destinadas a esta com putadora Y todas aquellas
detectadas por la NIC de la com putadora en el m ism o
segm ento de red (es decir, aquellas que “pasan por” la
NIC pero que no están destinadas para la com putadora).
Nota: La captura de las otras PDU depende del
dispositivo interm ediario que conecta las com putadoras
del dispositivo final en esta red. Si utiliza diferentes
dispositivos interm ediarios (hubs, switches, routers),
experim entará los diferentes resultados de Wireshark.
Wireshark
 Co n figu rar W ire s h ark p ara la re s o lu ció n d e l
n o m bre d e re d

 Esta opción le perm ite controlar si Wireshark traduce a

nom bres las direcciones de red encontradas en las PDU.
A pesar de que esta es una característica útil, el proceso
de resolución del nom bre puede agregar m ás PDU a sus
datos capturados, que podrían distorsionar el análisis.
Wireshark
 Elegir una interfaz para capturar
Wireshark
 Elija la interfaz y dé clic en el botón s tart

 Recuerde que al estar en m odo prom iscuo la tarjeta de

red, capturará todo el tráfico que pase, por lo que es
recom endable solo utilizarlo por unos 10 a 20 segundos,
es decir, ya deténgalo !!.
Wireshark
Wireshark
 La ventana de visualización principal de Wireshark tiene tres paneles.

 Panel Lista de Paquetes

 Panel Detalle de Paquetes

 Panel Bytes de Paquetes

Wireshark
 El panel de Lista de PDU (o Paquete) ubicado en la parte
superior del diagram a m uestra un resum en de cada paquete
capturado. Si hace clic en los paquetes de este panel, controla
lo que se m uestra en los otros dos paneles.

 El panel de detalles de PDU (o Paquete) ubicado en el m edio

del diagram a, m uestra m ás detalladam ente el paquete
seleccionado en el panel de Lista del paquete.

 El panel de bytes de PDU (o paquete) ubicado en la parte

inferior del diagram a, m uestra los datos reales (en núm eros
hexadecim ales que representan el binario real) del paquete
seleccionado en el panel de Lista del paquete y resalta el
cam po seleccionado en el panel de Detalles del paquete.
Wireshark
 Pueden analizar los tres paneles, tom en 3 m inutos para
ello.
Wireshark
 Ahora harem os una prueba utilizando el com ando ping.

 Realice un ping hacia alguno de los equipos en la red,

m ientras ello ocurre, realice una captura de paquetes con
Wireshark, después de unos segundo detenga la captura,
y conteste a las siguientes preguntas:
Wireshark
 ¿Qué protocolo se utiliza por ping?
 ______________________________

 ¿Cuál es el nom bre com pleto del protocolo?

 _________________________________

 ¿Cuáles son los nom bres de los dos m ensajes ping?

 _____________________________________
Wireshark
 4.- Las direcciones IP de origen y destino que se
encuentran en la lista ¿son las que esperaba?
 SI / NO
 ¿por qué?
 _______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
 Seleccione con el m ouse el 1er paquete de solicitud de eco
en la lista.
 El panel de detalles del paquete m ostrará algo parecido a:

 Haga clic en cada uno de los cuatro «+» para expandir la

inform ación.
Wireshark
 Com o puede ver, los detalles de cada sección y protocolo
se pueden expandir m ás. Tóm ese el tiem po para leer esta
inform ación.

 Puede ser que no entienda com pletam ente la inform ación

que se m uestra, pero tom e nota de la que sí reconozca.

 Conteste lo siguiente utilizando el panel de detalle de

paquetes:
Wireshark
 5.- Localice los 2 tipos diferentes de dirección «origen» y
«destino», ¿por qué hay 2 tipos?
 _______________________________________
_______________________________________

 6.- ¿Cuáles son los protocolos que están en la tram a de

Ethernet?
 _______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
 7.- Ahora en el panel de detalle de bytes, encuentre cual
es el m ensaje que se envían los equipos al utilizar el
protocolo ICMP

 _______________________________________
_______________________________________
_______________________________________
______________________________________
Desafío - Wireshark
 Com o podría utilizar wireshark para analizar todo el tráfico de
una red, dado que en de esta red, no es usted el adm inistrador,
solo es un invitado, sin em bargo, es un invitado privilegiado,
ya que puede tener acceso físico al router principal y al switch
principal, que se conecta al router antes m encionado (ver
dibujo).

 Contem ple que usted puede introducir cualquier otro

dispositivo de red, y la idea es que los usuario continúen con
sus enlaces existentes (LAN y WAN), pueden conectar o
desconectar, pero no pueden entrar en las configuraciones de
los switches ni de los routers, lo que desconecten deberán
conectarlo en m enos de 1 m inuto para no interrum pir las
com unicaciones.

 Tienen 20 m inutos para realizar una propuesta

 Práctica final de Seguridad:
Auditoria de redes inalámbricas
Patrick Hernández Cuamatzi
Auditoria de redes inalámbricas
 Com únm ente utilizam os todo con una pre-configuración

 Desgraciadam ente nuestros Puntos de Acceso vienen pre-

configurados con el protocolo WEP (Wired Equivalent
Privacy) que es un sistem a de cifrado de 64 y hasta 128
bits, m uy vulnerable a ataques.

 Sugerencia: cam biar a un cifrado WPA (Wifi Protected

Access), el cuál utiliza 128 bits, pero con un vector de
inicialización de 48 bits.
Auditoria de redes inalámbricas
 Desafío: Siga los pasos del m anual que se le facilitará
para realizar un ataque a un AP, que utiliza cifrado WEP.

 Al te rm in ar d ich a p ráctica y o bte n e r la clave ,

co n é cte s e al AP y h aga u n d e s cu brim ie n to d e lo s
e qu ip o s e n d ich a re d , d e s p u é s re alice u n
d e s cu brim ie n to d e vu ln e rabilid ad e s d e algu n o d e
lo s e qu ip o s . Fin alm e n te m u e s tre al in s tru cto r s u s
re s u ltad o s .
Auditoria de redes inalámbricas
 Bueno com o ya no hay m ucho tiem po, solo consiga la
clave WEP.
 GRACIAS

Patrick Hernández Cuamatzi