PENTESTING A REDES

Introducción al
pentesting a
redes
01
Modelo de ataques
Pentesting es la abreviatura de “penetration” y “testing” (pruebas/test de penetración), es una técnica o práctica que consiste en atacar
diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en un sistema de información.
Gracias a este test, las empresas pueden conocer los peligros que se exponen y cuál es el nivel de eficiencia de sus defensas.

Antes de iniciar con este test en una empresa, debemos acordar que:
• se solicitará al cliente la autorización para ejecutar ataques controlados en la infraestructura empresarial, sustentados conscientemente
en un marco legal acordado por la empresa y el pentester.
• se aplicarán procesos que podrían poner en riesgo la funcionalidad de los servicios de la empresa, por ejemplo, un ataque de
denegación de servicio para conocer rendimiento del hardware y los servicios que sostiene, podría afectar al desempeño del servicio
informático.
• el objetivo de estas pruebas es desactivar o apagar los servicios, por lo tanto, se busca mejorar la seguridad de los sistemas de
información auditados.
• Si desconoce la forma de decirle a su cliente como corregir la falla de seguridad encontrada, entonces, evite aplicar procesos de
ataque.
Modelo de ataques
ETAPAS DEL PENTESTING
1. Reconocimiento
Esta etapa involucra la obtención/recolección de información (Information Gathering) con respecto a una
potencial víctima que puede ser una persona u organización.
Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos
otros, para recolectar datos del objetivo.
Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el
sniffing.
Modelo de ataques
ETAPAS DEL PENTESTING
2. Escaneo
Esta etapa se utiliza la información obtenida en la etapa de reconocimiento para sondear el blanco y tratar
de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de
autenticación, entre otros.
Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network
mappers (Nmap), port mappers, network scanners (Recon-ng), port scanners, y vulnerability scanners, etc.
Modelo de ataques
ETAPAS DEL PENTESTING
3. Explotación
En esta etapa comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y
defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y escaneo.
Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, Denial of Service
(DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking.
Modelo de ataques
ETAPAS DEL PENTESTING
4. Post Explotación
Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le
permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.
Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos.
En función de la vulnerabilidad encontrada, se intentarán realizar algunas de las siguientes acciones:
• Obtener información confidencial
• Evadir mecanismos de autenticación
• Realizar acciones del lado de los usuarios
• Acceder a otros sistemas o servicios accesibles desde el sistema comprometido
• Realizar acciones sin el consentimiento y/o conocimiento de la organización comprometida
 Direccionamiento IP estático
Una dirección IP (IPv4 o IPv6) se puede configurar en los dispositivos finales (PCs, tablets, etc.) de dos maneras:
• Estática o manual
• Automática (Protocolo de configuración dinámica de host - DHCP).

Para configurar de forma estática una dirección IP en un host de Windows, abra:

Panel de Control > Redes e Internet > Cambiar configuración del adaptador y elija el adaptador.

A continuación, haga clic con el botón derecho y seleccione Propiedades para mostrar el Local Area Connection Properties:
Direccionamiento IP estático
Resalte Protocolo de Internet versión 4 (TCP/IPv4) y haga clic Properties para abrir la ventana Internet
Protocol Version 4 (TCP/IPv4) Properties.

Configure la información de la dirección IPv4 y la

máscara de subred, y el gateway predeterminado.

Nota: Las opciones de configuración y

direccionamiento IPv6 son similares a IPv4.
La dirección del servidor DNS es la dirección IPv4 del
servidor del sistema de nombres de dominio (DNS),
que se utiliza para traducir direcciones IP a
direcciones web.
Direccionamiento IP Dinámico
Los dispositivos finales suelen usar DHCP (Dynamic Host Configuration Protocol) de manera predeterminada para la configuración
automática de la dirección IPv4. DHCP es una tecnología que se utiliza en casi todas las redes.
DHCPv4 asigna direcciones IPv4 y otra información de configuración de red en forma dinámica. Dado que los clientes de escritorio suelen
componer gran parte de los nodos de red, DHCPv4 es una herramienta extremadamente útil para los administradores de red y que ahorra
mucho tiempo.

DHCPv4 asigna o arrienda dinámicamente, una dirección IPv4 de un

conjunto de direcciones durante un período limitado elegido por el servidor o
hasta que el cliente ya no necesite la dirección.
Por lo general este arrendamiento dura 24 horas. Cuando caduca el
arrendamiento, el cliente debe solicitar otra dirección, aunque generalmente
se le vuelve a asignar la misma.
DHCPv4 funciona en un modo cliente/servidor.
Direccionamiento IP Dinámico
FUNCIONAMIENTO
Cuando el cliente arranca (o quiere unirse a una red), comienza un proceso de cuatro pasos para obtener un arrendamiento.

1. Cuando un dispositivo configurado con DHCP e IPv4 se inicia o se conecta a la

red, el cliente transmite un mensaje de detección de DHCP (DHCPDISCOVER)
para identificar cualquier servidor de DHCP disponible en la red.

2. Un servidor de DHCP responde con un mensaje de oferta de DHCP

(DHCPOFFER), que ofrece una concesión al cliente. El mensaje de oferta
contiene la dirección IPv4 y la máscara de subred que se deben asignar, la
dirección IPv4 del servidor DNS y la dirección IPv4 del gateway predeterminado.
La oferta de concesión también incluye la duración de esta.
Direccionamiento IP Dinámico
FUNCIONAMIENTO

3. El cliente puede recibir varios mensajes DHCPOFFER si hay más de un servidor

de DHCP en la red local. Por lo tanto, debe elegir entre ellos y enviar un mensaje
de solicitud de DHCP (DHCPREQUEST) que identifique el servidor explícito y la
oferta de concesión que el cliente acepta. Un cliente también puede optar por
solicitar una dirección previamente asignada por el servidor.
4. Suponiendo que la dirección IPv4 solicitada por el cliente, u ofrecida por el
servidor, aún está disponible, el servidor devuelve un mensaje de reconocimiento
de DHCP (DHCPACK) que le informa al cliente que finalizó la concesión.
Si la oferta ya no es válida, el servidor seleccionado responde con un mensaje de
reconocimiento negativo de DHCP (DHCPNAK). Si se devuelve un mensaje
DHCPNAK, entonces el proceso de selección debe volver a comenzar con la
transmisión de un nuevo mensaje DHCPDISCOVER.
Una vez que el cliente tiene la concesión, se debe renovar mediante otro mensaje
DHCPREQUEST antes de que expire.
Direccionamiento IP Dinámico
• Instalación Debian (Router):
1. Descargar Debian: https://www.debian.org/download
2. Video instalación: https://www.youtube.com/watch?v=BXO6PJTV6EE
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router): Actualice el sistema Operativo

Reinicie la máquina virtual (reboot) y apáguela

Direccionamiento IP Dinámico
• Instalación Debian (Router):
Direccionamiento IP Dinámico
• Instalación Debian (Router):
1. Inicie nuevamente la máquina virtual e Ingrese con las credenciales (root /toor)
Direccionamiento IP Dinámico
• Instalación Debian (Router):
2. Configuramos los puertos de red y guardamos Control + X
Direccionamiento IP Dinámico
• Instalación Debian (Router):
3. Reiniciamos los servicios de red para verificar la conexión

4. Verifico la conexión con un ping a Google

5. Instalamos las herramientas de red para verificar las interfaces activas e Instalamos el paquete de DHCP para activar este
servicio en DEBIAN
Direccionamiento IP Dinámico
• Instalación Debian (Router)
6. Verificamos la instalación del servicio DHCP

7. Configuramos la interfaz que asignará DHCP

Direccionamiento IP Dinámico
• Instalación Debian (Router)
8. Configuramos el dominio, los DNS y el direccionamiento de del DHCP
Direccionamiento IP Dinámico
• Instalación Debian (Router)
9. Reiniciamos el servicio DHCP

10. Revisamos el estado del servicio DHCP

Direccionamiento IP Dinámico
• Instalación Windows 10:
1. Descargar Windows 10 de la página web o de la carpeta de recursos: https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/
2. Video instalación (2:07 - 6:54): https://www.youtube.com/watch?v=SbD7Q7i0tEE

Passw0rd!
Direccionamiento IP Dinámico
• Instalación Windows 10:
3. Configure DHCP en el host de Windows

Passw0rd!
Configuración de protocolos de enrutamiento dinámico
Los protocolos de routing dinámico se utilizan en el ámbito de las redes desde finales de la década de los ochenta.
Uno de los primeros protocolos de routing fue el RIP.
• RIPv1 se lanzó en 1988, pero ya en 1969 se utilizaban algunos de los algoritmos básicos en dicho protocolo en la Advanced Research Projects Agency
Network (ARPANET).
• A medida que las redes evolucionaron y se volvieron más complejas, surgieron nuevos protocolos de routing.
• El protocolo RIP se actualizó a RIPv2 para hacer lugar al crecimiento en el entorno de red; sin embargo, RIPv2 aún no se escala a las
implementaciones de red de mayor tamaño de la actualidad.
• Con el objetivo de satisfacer las necesidades de las redes más grandes, se desarrollaron dos protocolos de routing: el protocolo OSPF (abrir
primero la ruta más corta) y sistema intermedio a sistema intermedio (IS-IS).
• Cisco desarrolló el protocolo de routing de gateway interior (IGRP) e IGRP mejorado (EIGRP), que también tiene buena escalabilidad en
implementaciones de redes más grandes.
• En la actualidad, se utiliza el protocolo de Gateway Fronterizo (BGP) entre proveedores de servicios de Internet (ISP) y entre los ISP y sus clientes
privados más grandes para intercambiar información de routing.
Configuración de protocolos de enrutamiento dinámico
Un protocolo de routing es un conjunto de procesos, algoritmos y mensajes que se usan para intercambiar información de routing y
completar la tabla de routing con la elección de los mejores caminos que realiza el protocolo.
Su funcionamiento comprende:
• Detección de redes remotas
• Mantener la información de routing actualizada
• Escoger el mejor camino hacia las redes de destino
• Poder encontrar un mejor camino nuevo si la ruta actual deja de estar disponible

Sus principales componentes son:

• Estructuras de datos: utilizan tablas o bases de datos para sus operaciones, cuya información se guarda en la RAM.
• Mensajes del protocolo de routing: usan varios tipos de mensajes para descubrir routers vecinos, intercambiar información de routing y
realizar otras tareas para descubrir la red y conservar información precisa acerca de ella.
• Algoritmo: usados para facilitar información de routing y para determinar el mejor camino.
Uno de los beneficios principales de los protocolos de routing dinámico es que los routers intercambian información de routing cuando se
produce un cambio en la topología.
Este intercambio permite a los routers obtener automáticamente información sobre nuevas redes y también encontrar rutas alternativas cuando
se produce una falla de enlace en la red actual.
Configuración de protocolos de enrutamiento dinámico
Configuración de protocolos de enrutamiento dinámico
CLASIFICACIÓN
Los protocolos de routing se pueden clasificar en diferentes grupos según sus características:

• Propósito: protocolo de gateway interior (IGP) o protocolo de gateway

exterior (EGP).
• Operación: protocolo de vector distancia, protocolo de estado de enlace,
protocolo de vector ruta.
• Comportamiento: protocolo con clase (antiguo) o protocolo sin clase.

Los protocolos de routing IPv4 se clasifican de la siguiente manera:

• RIPv1 (antiguo): IGP, vector distancia, protocolo con clase

• IGRP (antiguo): IGP, vector distancia, protocolo con clase desarrollado por
Cisco (cayó en desuso a partir del IOS 12.2)
• RIPv2: IGP, vector distancia, protocolo sin clase
• EIGRP: IGP, vector distancia, protocolo sin clase desarrollado por Cisco
• OSPF: IGP, estado de enlace, protocolo sin clase
• IS-IS: IGP, estado de enlace, protocolo sin clase
• BGP: EGP, vector ruta, protocolo sin clase
Configuración de protocolos de enrutamiento dinámico

COMPARACIÓN DE LOS PROTOCOLOS DE ROUTING

Configuración de protocolos de enrutamiento dinámico
MÉTRICAS DE LOS PROTOCOLOS DE ROUTING

Para seleccionar la mejor ruta, el protocolo de routing debe poder evaluar y diferenciar entre las rutas disponibles. Esto se logra
mediante el uso de métricas de routing.

Una MÉTRICA es un valor mensurable que el protocolo de routing asigna a distintas rutas según la utilidad que tengan.

En situaciones donde hay varias rutas hacia la misma red remota, las métricas de routing se utilizan para determinar el “costo” total de una
ruta de origen a destino. Los protocolos de routing determinan la mejor ruta sobre la base del costo más bajo.

La métrica utilizada por un protocolo de routing no es comparable con la métrica utilizada por otro. Como resultado, dos protocolos de
routing distintos pueden elegir diferentes rutas hacia el mismo destino.

Los diferentes protocolos de routing pueden usar diferentes métricas:

Protocolo de información de routing (RIP): conteo de saltos.

Protocolo OSPF (Abrir primero la ruta más corta): el costo de Cisco según el ancho de banda acumulativo de origen a destino.
Protocolo mejorado de routing de gateway interior (EIGRP): ancho de banda mínimo, demora, carga y confiabilidad.
Configuración de protocolos de enrutamiento dinámico
PROTOCOLOS DE ROUTING VECTOR DISTANCIA

“Vector distancia” significa que las rutas se anuncian proporcionando dos características:

• Distancia: identifica la distancia hasta la red de destino. Se basa en una métrica

como el conteo de saltos, el costo, el ancho de banda y el retraso, entre otros.

• Vector: especifica el sentido en que se encuentra el router de siguiente salto o la

interfaz de salida para llegar al destino.

Un router que utiliza un protocolo de routing vector distancia no tiene la información de la ruta completa hasta la red de destino.

Los protocolos vector distancia utilizan routers como letreros a lo largo de la ruta hacia el destino final.
La única información que conoce el router sobre una red remota es la distancia o métrica para llegar a esa red y qué ruta o interfaz usar para
alcanzarla. No tienen un mapa de la topología de red como otros tipos de protocolos de routing.

Hay cuatro IGP vector distancia IPv4:

• RIPv1: protocolo antiguo de primera generación
• RIPv2: protocolo de routing vector distancia simple
• IGRP: protocolo exclusivo de Cisco de primera generación (obsoleto y reemplazado por EIGRP)
• EIGRP: versión avanzada del routing vector distancia
Configuración de protocolos de enrutamiento dinámico
PROTOCOLOS DE ROUTING DE ESTADO DE ENLACE
Un protocolo de routing de estado de enlace puede crear una “vista completa” o una topología de la red al reunir información proveniente de todos los
demás routers.
• Usa la información de estado de enlace para crear un mapa de la topología y
seleccionar el mejor camino hacia todas las redes de destino en la topología.
• No usan actualizaciones periódicas. Después de que los routers hayan
aprendido sobre todas las redes requeridas (es decir, que hayan logrado la
convergencia), solo se envía una actualización de estado de enlace cuando hay un
cambio en la topología.
Los protocolos de estado de enlace funcionan mejor en situaciones donde:
• El diseño de red es jerárquico, lo cual suele suceder en redes extensas.
• La adaptación rápida a los cambios de la red es fundamental.
• Los administradores están bien informados sobre la implementación y el
mantenimiento de un protocolo de routing de estado de enlace.

Hay dos IGP de estado de enlace IPv4:

• OSPF: popular protocolo de routing que se basa en normas
• IS-IS: popular en redes de proveedores
Configuración de NAT
NAT tiene muchos usos, pero el principal es conservar las direcciones IPv4 públicas.
Esto se logra al permitir que las redes utilicen direcciones IPv4 privadas internamente y al proporcionar la traducción a una dirección pública solo
cuando sea necesario.
NAT tiene el beneficio adicional de proporcionar cierto grado de privacidad y seguridad adicional a una red, ya que oculta las direcciones IPv4
internas de las redes externas.
Los routers con NAT habilitada se pueden configurar con una o más direcciones IPv4
públicas válidas.

Estas direcciones públicas se conocen como “conjunto de NAT”.

Cuando un dispositivo interno envía tráfico fuera de la red, el router con NAT habilitada
traduce la dirección IPv4 interna del dispositivo a una dirección pública del conjunto de
NAT.

Para los dispositivos externos, todo el tráfico entrante y saliente de la red parece tener una
dirección IPv4 pública del conjunto de direcciones proporcionado.
Configuración de NAT
En general, los routers NAT funcionan en la frontera de una red de rutas internas.

Una red de rutas internas es aquella que tiene una única conexión a su red vecina, una entrada hacia la red y una salida desde ella.

Por ejemplo, en la ilustración, el R2 es un router de frontera. Visto desde el ISP, el R2 forma una red de rutas internas.

Cuando un dispositivo dentro de la red de rutas internas desea comunicarse

con un dispositivo fuera de su red, el paquete se reenvía al router de frontera.

El router de frontera realiza el proceso de NAT, es decir, traduce la dirección

privada interna del dispositivo a una dirección pública, externa y enrutable.

NOTA: la conexión al ISP también puede utilizar una dirección privada o pública
compartida entre clientes.
Configuración de NAT
Según la terminología de NAT, la red interna es el conjunto de redes sujetas a traducción. La red externa se refiere a todas las otras redes.

NAT incluye cuatro tipo de direcciones:

• Dirección local interna
• Dirección global interna
• Dirección local externa
• Dirección global externa
NAT siempre se aplica desde la perspectiva del dispositivo con la
dirección traducida:

Dirección local: cualquier dirección que aparece en la porción interna de la

red.
Dirección global: cualquier dirección que aparece en la porción externa de
la red.
Dirección interna: la dirección del dispositivo que se traduce por medio de
NAT.
Dirección externa: la dirección del dispositivo de destino.

La PC1 tiene la dirección local interna 192.168.10.10.

Desde la perspectiva de la PC1, el servidor web tiene la dirección externa 209.165.201.1. Cuando se envían los paquetes de la PC1 a la dirección global del servidor web,
la dirección local interna de la PC1 se traduce a 209.165.200.226 (dirección global interna). En general, la dirección del dispositivo externo no se traduce, ya que suele ser
una dirección IPv4 pública.
Desde la perspectiva del servidor web, el tráfico que se origina en la PC1 parece provenir de 209.165.200.226, la dirección global interna.
El router NAT R2, es el punto de demarcación entre las redes internas y externas, así como entre las direcciones locales y globales.
Configuración de NAT
Los términos “interna” y “externa” se combinan con los términos “global” y “local” para hacer referencia a direcciones específicas.
El router R2 se configuró para proporcionar NAT, este tiene un conjunto de direcciones públicas para asignar a los hosts internos.

• Dirección local interna: la dirección de origen vista desde el interior de la red.

La dirección IPv4 192.168.10.10 se asignó a la PC1, es la dirección local interna.

• Dirección global interna: la dirección de origen vista desde la red externa.

Cuando se envía el tráfico desde la PC1 al servidor web el 209.165.201.1, el R2
traduce la dirección local interna a una dirección global interna. En este caso, R2
cambia la dirección IPv4 de origen de 192.168.10.10 a 209.165.200.226. De
acuerdo con la terminología de NAT, la dirección local interna 192.168.10.10 se
traduce a la dirección global interna 209.165.200.226.

• Dirección global externa: la dirección del destino vista desde la red externa. Es
una dirección IPv4 enrutable globalmente y asignada a un host en Internet. Por
ejemplo, se puede llegar al servidor web en la dirección IPv4 209.165.201.1. Por
lo general, las direcciones externas globales y locales son iguales.

• Dirección local externa: la dirección del destino vista desde la red interna. En
este ejemplo, la PC1 envía tráfico al servidor web en la dirección IPv4
209.165.201.1. Si bien es poco frecuente, esta dirección podría ser diferente de
la dirección globalmente enrutable del destino.
Configuración de NAT
Existen tres tipos de traducción NAT:
• Traducción estática de direcciones (NAT estática): asignación de direcciones uno a uno entre una dirección local y una global.

• Traducción dinámica de direcciones (NAT dinámica): asignación de varias direcciones a varias direcciones entre direcciones locales y globales.

• Traducción de la dirección del puerto (PAT): asignación de varias direcciones a una dirección entre direcciones locales y globales. Este método
también se conoce como “sobrecarga” (NAT con sobrecarga).
Configuración de NAT
NAT ESTÁTICA
Consiste en una asignación uno a uno entre direcciones locales y globales.
Por ejemplo, R2 se configuró con las asignaciones estáticas para las direcciones locales internas del Svr1, la PC2 y la PC3.
Cuando estos dispositivos envían tráfico a Internet, sus direcciones locales
internas se traducen a las direcciones globales internas. Para las redes externas,
estos dispositivos tienen direcciones IPv4 públicas.

La NAT estática resulta útil, en especial para los servidores web o los dispositivos
que deben tener una dirección constante que sea accesible tanto desde Internet,
como desde el servidor web de una empresa.

También es útil para los dispositivos a los que debe poder acceder el personal
autorizado cuando no está en su lugar de trabajo, pero no el público en general en
Internet.

Por ejemplo, un administrador de red puede acceder a la dirección global interna del
Svr1 (209.165.200.226) desde la PC4 mediante SSH. El R2 traduce esta dirección
global interna a la dirección local interna y conecta la sesión del administrador al
Svr1.

La NAT estática requiere que haya suficientes direcciones públicas disponibles para
satisfacer la cantidad total de sesiones de usuario simultáneas.
Configuración de NAT
NAT DINÁMICA
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada.

Cuando un dispositivo interno solicita acceso a una red externa, la NAT

dinámica asigna una dirección IPv4 pública disponible del conjunto.

Por ejemplo, PC3 accede a Internet mediante la primera dirección disponible del
conjunto de NAT dinámica. Las demás direcciones siguen disponibles para
utilizarlas.

Al igual que la NAT estática, la NAT dinámica requiere que haya suficientes
direcciones públicas disponibles para satisfacer la cantidad total de sesiones de
usuario simultáneas.
Configuración de NAT
PAT - TRADUCCIÓN DE LA DIRECCIÓN DEL PUERTO
También conocida como “NAT con sobrecarga”, asigna varias direcciones IPv4 privadas a una única dirección IPv4 pública.
Esto es lo que hace la mayoría de los routers domésticos; el ISP asigna una dirección al router, no obstante, varios miembros del hogar pueden acceder a Internet
de manera simultánea. Esta es la forma más común de NAT.
Con PAT, se pueden asignar varias direcciones a una o más direcciones, debido a que
cada dirección privada también se rastrea con un número de puerto.

Cuando un dispositivo inicia una sesión TCP/IP, genera un valor de puerto de origen TCP o
UDP para identificar la sesión de forma exclusiva.

Cuando el router NAT recibe un paquete del cliente, utiliza su número de puerto de origen
para identificar de forma exclusiva la traducción NAT específica.

PAT garantiza que los dispositivos usen un número de puerto TCP distinto para cada sesión con
un servidor en Internet.
Cuando llega una respuesta del servidor, el número de puerto de origen, que se convierte en el
número de puerto de destino en la devolución, determina a qué dispositivo el router reenvía los
paquetes.

El proceso de PAT también valida que los paquetes entrantes se hayan solicitado, lo que
añade un grado de seguridad a la sesión.

Por ejemplo: a medida que el R2 procesa cada paquete, utiliza un número de puerto (1331 y 1555) para identificar el dispositivo en el que se originó el paquete. La
dirección de origen (SA) es la dirección local interna a la que se agregó el número de puerto TCP/IP asignado. La dirección de destino (DA) es la dirección local externa a
la que se agregó el número de puerto de servicio.
Configuración de NAT
PAT - TRADUCCIÓN DE LA DIRECCIÓN DEL PUERTO
Debe considerar un detalle importante con el manejo de los puertos, y es que existe una gran posibilidad de que estos números de puerto ya se hayan conectado a
otras sesiones activas.
PAT intenta conservar el puerto de origen inicial.
Sin embargo, si el puerto de origen inicial ya está en uso, PAT asigna el primer número
de puerto disponible desde el comienzo del grupo de puertos correspondiente de:
• 0 a 511,
• 512 a 1023 o
• 1024 a 65 535

Cuando no hay más puertos disponibles y hay más de una dirección externa en el
conjunto de direcciones, PAT avanza a la siguiente dirección para intentar asignar el
puerto de origen inicial.

Este proceso continúa hasta que no haya más direcciones IP externas o puertos
disponibles.
Por ejemplo, los hosts eligieron el mismo número de puerto 1444. Esto resulta aceptable
para la dirección interna, porque los hosts tienen direcciones IP privadas únicas.

Sin embargo, en el router NAT, se deben cambiar los números de puerto; de lo contrario,
los paquetes de dos hosts distintos saldrían del R2 con la misma dirección de
origen.

En este ejemplo, PAT asignó el siguiente puerto disponible (1445) a la segunda

dirección host.
Configuración de NAT
VENTAJAS Y DESVENTAJAS DE NAT
Análisis de DNS
En Internet, los nombres de dominio, como http://www.clase.com, son mucho más fáciles de recordar para las personas que 198.133.219.25, que es
la dirección IP numérica real para este servidor.
Si clase decide cambiar la dirección numérica de www.clase.com, esto no afecta al usuario, porque el nombre de dominio se mantiene.
Simplemente se une la nueva dirección al nombre de dominio existente y se mantiene la conectividad.

El protocolo DNS define un servicio automatizado que coincide

con nombres de recursos que tienen la dirección de red numérica
solicitada.

Incluye el formato de consultas, respuestas y datos.

Las comunicaciones del protocolo DNS utilizan un único

formato llamado “mensaje”.
El cual se utiliza para todos los tipos de solicitudes de clientes y
respuestas del servidor, mensajes de error y para la transferencia
de información de registro de recursos entre servidores.

1. El usuario escribe el donimio en un campo Dirección de aplicación del

explorador.
Análisis de DNS

2. Se envía una consulta DNS al servidor DNS designado para el

equipo cliente. 3. El servidor DNS coincide con el FQDN con su dirección IP.
Análisis de DNS

4. La respuesta de consulta DNS se envía de nuevo al cliente con la 5. El equipo cliente utiliza la dirección IP para realizar solicitudes del
dirección IP del FQDN. servidor.

Al configurar un dispositivo de red, se proporcionan una o más direcciones de servidor DNS que el cliente DNS puede utilizar para la resolución de nombres.
En general, el proveedor de servicios de Internet (ISP) suministra las direcciones para utilizar con los servidores DNS.
Cuando la aplicación del usuario pide conectarse a un dispositivo remoto por nombre, el cliente DNS solicitante consulta al servidor de nombres para resolver el nombre
para una dirección numérica.
Los sistemas operativos informáticos también cuentan con una herramienta llamada nslookup que permite que el usuario consulte de forma manual los servidores de
nombres para resolver un nombre de host dado.
Esta utilidad también puede utilizarse para solucionar los problemas de resolución de nombres y verificar el estado actual de los servidores de nombres.
Análisis de DNS
El protocolo DNS utiliza un sistema jerárquico para crear una base de datos que proporcione la resolución de nombres, como se muestra en la figura.
DNS utiliza nombres de domino para formar la jerarquía.
La estructura de nomenclatura se divide en zonas pequeñas y manejables.

Cada servidor DNS mantiene un archivo de base de datos específico y sólo es

responsable de administrar las asignaciones de nombre a IP para esa pequeña
porción de toda la estructura DNS.
Cuando un servidor DNS recibe una solicitud para una traducción de nombre que no
se encuentra dentro de esa zona DNS, el servidor DNS reenvía la solicitud a otro
servidor DNS dentro de la zona adecuada para su traducción.

DNS es escalable, porque la resolución de los nombres de hosts se distribuye entre

varios servidores.

Los diferentes dominios de primer nivel representan el tipo de organización o el país

de origen. Algunos ejemplos de dominios de nivel superior son los siguientes:

.com - una empresa o industria

.org - una organización sin fines de lucro
.au - Australia
.ec - Ecuador
Análisis de DNS
En kali podemos identificar los DNS mediante el comando host:

Si necesitamos conocer todos los dominios y subdominios de una empresa podemos enumerarlas
(dnsenum) para luego realizar el escaneo respectivo:

Otra herramienta importante es dnsmap, pero antes la debe instalar:

Ataques a
protocolos de
red
02
ARP Poisoning
Es un tipos de ataque donde, el atacante envía mensajes falsificados ARP (Address Resolution
Protocol) a una LAN. Como resultado, el atacante vincula su dirección MAC con la dirección IP
de un equipo legítimo (Gateway o servidor) en la red.
Si el atacante logró vincular su dirección MAC a una dirección IP auténtica, va a empezar a
recibir cualquier dato que se puede acceder mediante la dirección IP.
Este ataque permite interceptar, modificar o incluso retener datos que están en tránsito. Los
ataques de suplantación ARP ocurren en redes LAN que utilizan protocolo de resolución de
direcciones (ARP).
Para evitar este tipo de ataques puede implementar estos métodos:

• Aplicar filtrado de paquetes: se inspeccionan los paquetes transmitidos a través de una red y se bloquean aquellos con información de
la dirección fuente de conflicto.
• Usar antivirus
• Usar protocolos de red criptográficos: Transport Layer Security (TLS), Secure Shell (SSH), HTTP seguro (HTTPS).
ARP Poisoning
1. Usamos Debian DHCP, Kali, Windows 10
2. Abrimos la herramienta Ettercap en Kali

Dejamos la opción Sniffing at startup,

ya que sólo disponemos de un puerto
de red para la entrada y salida del
tráfico.
La opción Bridged sniffing se usa
cuando tenemos varias interfaces de
red.
ARP Poisoning
3. Abrimos Wireshark e iniciamos la captura del tráfico de la red en el equipo, hacemos doble clic en la interfaz eth0:

4. En Ettercap damos clic en el botón visto para iniciar el sniffing:

ARP Poisoning
5. Hacemos clic en el ícono “Host”

Se despliegan los host identificados en la

red.
MV Windows 10

Debian DHCP

En caso de no presentarse más equipos de la red, haga clic en los botones:

ARP Poisoning
6. Seleccionamos el equipo víctima y el equipo suplantado (gateway)

Target 1 – Seleccionamos la IP del dispositivo a monitorizar, en este caso, el

dispositivo víctima, y pulsamos sobre dicho botón.

Target 2 – Pulsamos la IP que queremos suplantar, en este caso, la de la puerta de

enlace.
ARP Poisoning
7. Vamos a la máquina de Windows 10 y abrimos el explorador, navegamos un momento y verificamos en Wireshark de kali como el
tráfico fue capturado. Esto se conoce como ataque Man in the middle.
DNS Spoofing
Los servidores DNS permiten la resolución de nombres en direcciones IP.
Es un método para alterar las direcciones de los servidores DNS que utiliza la potencial víctima y
de esta forma poder tener control sobre las consultas que se realizan.

1. Usamos Debian DHCP, Kali, Windows 10

2. Abrimos la herramienta Ettercap en Kali
DNS Spoofing
3. Antes de iniciar se deben modificar varios archivos en Ettercap:

Este archivo posee la configuración de Ettercap.

Cambiar estos valores en 0, para que el usuario administrador tenga acceso y pueda aplicar el sniffing

4. Habilitamos las líneas de redirección (quitamos los comentarios)

Guardamos
con Control+X
DNS Spoofing
5. Antes de iniciar se deben modificar varios archivos en Ettercap:

Este archivo tiene los nombres de dominio y aquí se agregarán los dominios con la dirección IP
asignada a Kali.

Guardamos con Control+X

DNS Spoofing
6. Activamos la página falsa

Verificamos el acceso a la página de apache

DNS Spoofing
7. Nuevamente Abrimos Wireshark e iniciamos la captura del tráfico de la red en el equipo, hacemos doble clic en la interfaz eth0:

8. En Ettercap damos clic en el botón visto para iniciar el sniffing:

DNS Spoofing
9. Hacemos clic en el ícono “Host”

Se despliegan los host identificados en la

red.
MV Windows 10

Debian DHCP

En caso de no presentarse más equipos de la red, haga clic en los botones:

DNS Spoofing
10. Seleccionamos el equipo víctima y el equipo suplantado (gateway)

Target 1 – Seleccionamos la IP del dispositivo a monitorizar, en este

caso, el dispositivo víctima, y pulsamos sobre dicho botón.
DNS Spoofing
11. Cargamos el plugin dns_spoof

Doble clic

10. Activar ARP poisoning

DNS Spoofing
12. Pasamos a Windows 10, abrimos el explorador e ingresamos a Google; podemos observar que nos envía a la página de Kali
DHCP Spoofing
Esta técnica de ataque consiste básicamente en la asignación de parámetros de
configuración de DHCP “desde un servidor DHCP” no autorizado en la red.
Un atacante inicia una instancia de servidor DHCP en la LAN ofreciendo
configuraciones IP a los host que lo soliciten. En este punto, el atacante entra en
condición de carrera con el DHCP legítimo de la red.
Por ejemplo:
Alice es un host de la red, el servidor DHCP de la misma le asigna una dirección IP
mediante DHCP.
Existe un atacante que ha iniciado un servidor DHCP con una configuración
especialmente manipulada, indicando que dirección IP debe asignarse a Alice y en
particular que la dirección IP del Atacante debe ser indicada como puerta de enlace
predeterminada.
Si Alice solicita configuración mediante DHCP, es posible que el Atacante gane la
carrera al DHCP legítimo y logre reconfigurar la puerta de enlace predeterminada de
Alice, forzándola a utilizar como puerta de enlace predeterminada al Atacante.
Ataque de
ingeniería social 03
Credential Harvesting
Es un método utilizado para clonar un sitio web, de tal manera se puedan capturar los campos del nombre de usuario y contraseña, además
de toda la información enviada hacia el sitio.
Para aplicar este método de ataque usaremos la herramienta SET (Social-Engineer Toolkit) que es un framework open source de pruebas
de penetración diseñado para realizar Ingeniería Social.
Para usarlo ejecute el comando:

La primera vez que lo use acepte las condiciones de uso:

Seleccione la opción 1) para Ataques de Ingeniería Social:
Credential Harvesting
Seleccione la opción 2) Website Attack Vectors:

Seleccione la opción 3) Credential Harvester Attack Method:

Credential Harvesting
En esta ocasión tomaremos la opción 1) Web Templates, y emplearemos un template que nos permita
la herramienta:

Debe ingresar la dirección IP del equipo que recibirá la información de la víctima y que también será el que cargue el sitio web cuando la
víctima acceda a este. Digitando enter confirmamos la dirección IP que se presenta por pantalla:

Seleccionamos un template, en este caso, tomaremos el template de Twitter:

Credential Harvesting
El servicio se activa y esperamos a que la víctima entregue la información:

Suponiendo que se ha realizado previamente un ataque de DNS spoofing a la misma

víctima, hacemos que esta ingrese a twitter.com. En esta ocasión usaremos la IP de Kali:
Credential Harvesting
La víctima ingresa su usuario y contraseña:

Al instante que el usuario da clic en el botón ”Sign in”, el sitio se redirige al sitio web original y las credenciales se observan en la herramienta:
Ataques de
denegación de
servicios
04
Ataque DDoS
Un ataque de denegación de servicio distribuido (DDoS) es un intento malintencionado de interrumpir el tráfico normal de un servidor, servicio o red
determinada, sobrecargando el objetivo o su infraestructura asociada con una avalancha de tráfico de Internet.
Su efectividad reside en el uso de sistemas informáticos vulnerables desde los que se
origina el ataque de tráfico.
Entre los equipos afectados puede haber ordenadores y otros recursos de red, tales
como dispositivos IoT.

Un ataque DDoS es como un atasco de tráfico que impide que llegues a tu destino y se
llevan a cabo con redes de equipos conectados a Internet.

Estas redes constan de ordenadores y otros dispositivos (como dispositivos IoT) que
han sido infectados con malware, permitiendo a un atacante controlarlos de forma
remota.
Estos dispositivos individuales se denominan bots (o zombis), y un grupo de bots
recibe el nombre de botnet o red de bots.

Establecida la red de bots, el atacante puede dirigir un ataque enviando instrucciones

remotas a cada bot.
Cuando el servidor o la red de una víctima es el blanco de una red de bots, cada bot envía solicitudes a la dirección IP del destino, lo que puede llegar a
sobrecargar el servidor o la red y, por consiguiente, provocar una denegación de servicio al tráfico normal.

Debido a que cada bot es un dispositivo legítimo de Internet, puede resultar complicado disociar el ataque de tráfico del tráfico normal.
Ataque DDoS
Un ataque DDoS se puede identificar por la ralentización de un sitio o servicio o la inaccesibilidad de los mismos, asociado con el aumento legítimo del
tráfico.
Las herramientas de análisis de tráfico pueden ayudarte a detectar
algunas de las siguientes señales de advertencia para detectar un ataque
DDoS:

• Cantidades sospechosas de tráfico procedente de una única

dirección o rango de direcciones IP.

• Una avalancha de tráfico de usuarios que comparten un mismo

perfil de comportamiento como el tipo de dispositivo, la
geolocalización o la versión del navegador web.

• Un aumento inexplicable de las solicitudes a una sola página o

servidor.

• Patrones de tráfico raros, tales como picos a deshoras o patrones

que parecen anómalos (por ejemplo, picos de tráfico cada 10
minutos).
Ataque DDoS
TIPOS DE ATAQUE
ATAQUES A LA CAPA DE APLICACIÓN
Los ataques se dirigen contra la capa de aplicación, donde se generan las páginas web en el servidor y se entregan en respuesta a solicitudes HTTP.

A nivel computacional, la ejecución de una única solicitud HTTP es fácil en

el lado del cliente, pero la respuesta del servidor de destino puede
complicarse, ya que este carga a menudo varios archivos y ejecuta consultas
de base de datos para crear una página web.

La protección frente a ataques de capa 7 no está exenta de dificultades, ya que

diferenciar el tráfico malintencionado del tráfico legítimo no es una tarea fácil.

Inundación HTTP: Este ataque es similar a pulsar la tecla de actualización de

un navegador una y otra vez en muchos equipos diferentes simultáneamente.
El resultado es que un gran número de solicitudes HTTP inunda el servidor, lo
que provoca una denegación del servicio.
Ataque DDoS
TIPOS DE ATAQUE
ATAQUE DE PROTOCOLO
También conocido como ataque de agotamiento de estado, causan una interrupción del servicio al consumir todos los recursos de los servidores o los
equipos de red, tales como firewalls y equilibradores de carga.

Utilizan las vulnerabilidades de las capas 3 y 4 del conjunto de

protocolos para que el objetivo se vuelva inaccesible.

Inundación SYN: Este ataque explota el protocolo de enlace TCP, la

secuencia de comunicaciones por la cual dos equipos inician una
conexión de red, mediante el envío a un servidor de un gran número
de paquetes de "solicitud de conexión inicial" con marca de
sincronización (SYN), con direcciones IP de origen falsificadas.

El servidor responde a cada solicitud de conexión y, a continuación, espera el último paso del protocolo de enlace, que nunca se produce, lo que agota los
recursos del servidor durante el proceso.
Ataque DDoS
TIPOS DE ATAQUE
ATAQUE VOLUMÉTRICO
Este ataque intenta saturar el tráfico mediante el consumo de todo el ancho de banda disponible entre el objetivo e Internet.

Se envían grandes cantidades de datos a un servidor de destino

mediante el uso de una forma de amplificación u otro medio de
creación de tráfico masivo, como las solicitudes de una red de bots.

Amplificación DNS: Una amplificación de DNS es como si un cliente

llamara a un restaurante, pidiera todo lo que aparece en el menú y
solicitara que le volvieran a llamar repitiendo todo el pedido a un
número de teléfono que pertenece a la víctima. Sin apenas esfuerzo,
se genera una extensa respuesta y se envía a la víctima.

Al enviar una solicitud a un servidor DNS con una dirección IP

falsificada (la verdadera dirección IP del objetivo), la dirección IP de
destino recibe una respuesta del servidor.
Ataque ICMP y SYN Flood
Encendemos Kali y metasploitable.

En Kali abrimos Wireshark e iniciamos la captura para visualizar el ataque DDoS.

Abrimos una Terminal y trabajamos con el comando hping3 para enviar

segmentos TCP sin flags de control:

Hping3 es una aplicación de terminal para Linux que permite analizar y

ensamblar fácilmente paquetes TCP/IP.
A diferencia de un Ping convencional utilizado para enviar paquetes
ICMP, esta aplicación permite el envío de paquetes TCP, UDP y RAW-IP.

Junto al análisis de los paquetes, hping3 puede ser utilizada también con
otros fines de seguridad, por ejemplo, para probar la eficacia de un
firewall a través de diferentes protocolos, la detección de paquetes
sospechosos o modificados, e incluso la protección frente a ataques DoS
de un sistema o de un Firewall.
Ataque ICMP y SYN Flood
Ahora saturaremos el puerto 80:

Saturamos mediante paquetes UDP:

Ataque Smurf y DoS
El ataque smurf es un ataque de denegación de servicio que utiliza mensajes de ping al broadcast con spoofing para inundar (flood) un objetivo
(sistema atacado).
Con hping3 se realizará un ataque dirigido al broadcast, todas las máquinas disponibles en la red responderán a la solicitud.
Ataque con LOIC
Low Orbit Ion Cannon (LOIC) es una herramienta que se suele utilizar para lanzar ataques DoS y DDoS.
Fue desarrollado originalmente por Praetox Technology como una aplicación de pruebas de estrés de la red, pero ahora es de código abierto y se utiliza
sobre todo con fines maliciosos.

Es conocido por ser una herramienta accesible y muy fácil de usar, y se hizo famosa porque la usaron miembros del grupo hacktivista Anonymous, así
como usuarios de 4Chan.

LOIC inunda al equipo víctima con paquetes TCP, UDP o HTTP, con
el objetivo de interrumpir el servicio.

Un solo atacante que utilice LOIC no puede generar suficiente tráfico

basura para ocasionar problemas serios en un objetivo; los ataques
serios requieren que miles de usuarios coordinen un ataque
simultáneo contra el mismo objetivo.

La herramienta la puede descargar de:

https://sourceforge.net/projects/loic/
Diseño de una
red básica 05
 Contacto:
Franklin Carrasco

facarrasco@pucese.edu.ec
(593) 99 367 5 99

QUITO – AMAZONAS – AMBATO – ESMERALDAS – IBARRA – MANABÍ – SANTO DOMINGO