Seguridad en Redes

Herramientas de
seguridad
 Sistemas de Seguridad:

 Físicos:
• Estaciones de trabajo. -> Fiables y alto
rendimiento.

• Servidores Alta disponibilidad:

• Raid 0,1,5….
• Cluster (Características).
• Otros elementos:
• Routers redundantes.
• Switches (vlans)
• Sistemas de Refrigeración.
• Estructura y certificación del cableado (redundancia).
• Sistemas de Avisos/Alarmas/Incidencias.
• Sistema de Alarmas por central.
• Propio SMS/Mail.
 Seguridad en los contenidos:

 Política de seguridad Adecuada: En conocimiento de todos los usuarios.

 Ingeniería Social…
 Entorno bajo un dominio:
• Definición correcta de usuarios:
• Grupos.
• Directorios Públicos
• Directorios Privados.

 Privilegios de usuario:
• Tipo de cuenta:
• Administrador.
• Usuario limitado.
• Disponibilidad de Hardware:
• CDR, USB, zip….
• Limitación de Software:
• Limitación en el envío de correo.
• Instalación de software limitada.
 Seguridad en S.O.

• Tras la instalación de un S.O. hay que tener en cuenta:

•1ª Acción a realizar, instalación de parches y Service Packs.
•Evitamos, virus, gusanos y vulnerabilidades, DoS, etc.
•Actualizar otras aplicaciones adicionales:
• Navegadores, Suites Ofimáticas, etc.
 Seguridad Aplicada, limitaciones de acceso

• Red por igual. (redes pequeñas, redes grandes)

• Red con dominio.
• Generación de un controlador de Dominio, DNS
• Usuarios, grupos.
• Asignación de permisos, directorios.
•Compartir y seguridad.
• Filtrado TCP/IP.
•Ejemplo: generación usuario Gerente, Director, Asesor, administracion1, administracion2,
comercial1, comercial2, empleado1, empleado2.
•Generación de grupo Gerencia: gerente, director
•Generación de grupo Administración: asesor, administracion1, administrador2
•Generación de grupo Comercial: comercial1, comercial2
•Generación de grupo general: empleado1, empleado2

•Delimitar permisos usuario administrador.

Seguridad en comunicaciones

• PC aislado: Firewall personal

• Redes pequeñas: Firewall/Proxy
• Redes Internet: Firewall/DMZ/IDS
• Wireless: WEP, WEP Dinámico.
• SPAM:
•Sobre el servidor de correo:
• Bajo Linux: Spam assasin.
• Permite filtrado por dominios
“indeseables”.
 Herramientas de seguridad

Wireshark es un analizador de protocolos de red.

Permite la captura de tráfico de manera interactiva
de una red de computadoras.
Puede ejecutarse sobre distintas plataformas:
Windows, OS X, Linux, y UNIX.
Wireshark es open source y tiene licencia GNU
General Public License version 2.
Esta herramienta es desarrollada y mantenida por un
equipo de expertos en protocolos de distintos países
del mundo.
 Herramientas de seguridad.

Snort: Un sistema de detección de intrusiones (IDS) libre.

Snort es una herramienta que realiza el análisis de tráfico de la

red en tiempo real, además de registro de paquetes.
Puede realizar análisis de protocolos, búsqueda de contenidos
por criterio y puede utilizarse para detectar una gran variedad de
ataques, como buffer overflows, escaneo silencioso de puertos,
ataques CGI, intentos OS fingerprinting, entre otros.
Snort tiene tres usos principales: puede utilizarse como un sniffer
de paquetes como tcpdump, como un logger de paquetes (útil a
la hora de realizar debugging de tráfico de red) o como un
completo sistema para prevención de intrusos.
 Herramientas de seguridad.

TCPDump/WinDump: El sniffer clásico para monitoreo de redes y

adquisición de información. Se instalan para examinar el tráfico en la
red y recoger información sobre IP’s, usuarios y servicios (recursos)

Tcpdump es un conocido analizador de paquetes de red basado en

texto. Puede ser utilizado para mostrar los encabezados de los
paquetes en una interfaz de red {"network interface"} que concuerden
con cierta expresión de búsqueda. Podemos utilizar esta herramienta
para rastrear problemas en la red o para monitorear actividades de la
misma.

Necesita de la librería Libcap y WinPcab.

 Herramientas de seguridad.

GFI LanGuard: Un escáner de red no-libre para Windows.

GFI LanGuard permite analizar, detectar, evaluar y rectificar

vulnerabilidades de seguridad en una red y asegurarla con un
mínimo esfuerzo administrativo.
Brinda una visión completa de la configuración de la red, lo que
ayuda a mantenerla segura.
Permite la administración de actualizaciones.
Evalúa vulnerabilidades.
Puede integrarse con otras herramientas de seguridad.
Permite realizar auditoria de red y software.
Genera informes.
 Herramientas de seguridad.
Ettercap: es un interceptor/sniffer/registrador para LANs con
switch. Soporta direcciones activas y pasivas de varios
protocolos (incluso aquellos cifrados, como SSH y HTTPS).
Hace posible la inyección de datos en una conexión establecida
y filtrado al vuelo aun manteniendo la conexión sincronizada
gracias a su poder para establecer un Ataque Man-in-the-
middle(Spoofing).
Permite comprobar si se está en una LAN con switches o no, y
de identificar huellas de sistemas operativos {OS fingerprints}
para dejarnos conocer la geometría de la LAN.
Permite la inyección de caracteres en una conexión establecida
emulando comandos o respuestas mientras la conexión está
activa.
Herramientas de seguridad.

Puede interceptar users y passwords incluso en conexiones

"seguras" con SSH.
Tiene compatibilidad con HTTPS: intercepta conexiones
mediante http SSL (supuestamente seguras) incluso si se
establecen a través de un proxy.
Intercepta tráfico remoto mediante un túnel GRE: si la
conexión se establece mediante un túnel GRE con un router
Cisco, puede interceptarla y crear un ataque "Man in the
Middle".
"Man in the Middle" contra túneles PPTP (Point-to-Point
Tunneling Protocol).
Plataformas: Linux / Windows
 Herramientas de seguridad.

Open SSH/SSH: Una manera segura de acceder a computadoras

remotas.

ssh (secure shell) es un programa para loggearse en una máquina

remota y para ejecutar comandos en una máquina remota.

Provee de comunicaciones cifradas y seguras entre dos hosts no

confiables {"untrusted hosts"} sobre una red insegura.

Los usuarios de Windows pueden utilizar el cliente de SSH librePuTTy.

 Herramientas de seguridad.

Kismet: es un sniffer, un husmeador de paquetes, y un sistema de

detección de intrusiones para redes inalámbricas 802.11.
Funciona con cualquier tarjeta inalámbrica que soporte el modo de
monitorización raw, y puede rastrear tráfico 802.11b, 802.11a,
802.11g y 802.11n. El programa corre bajo Linux, FreeBSD, NetBSD,
OpenBSD, y Mac OS X.

Kismet se diferencia de la mayoría de los otros sniffers inalámbricos

en su funcionamiento pasivo, es decir que lo hace sin enviar ningún
paquete detectable, permitiendo detectar la presencia de varios
puntos de acceso y clientes inalámbricos, asociando unos con otros.
Detecta programas de rastreo inalámbricos e incluye la posibilidad de
graficar redes detectadas y rangos de red estimados sobre mapas o
imágenes.
 Herramientas de seguridad.

Network Stumbler: Sniffer gratuito de 802.11 para Windows..

Netstumbler es la más conocida herramienta para Windows

utilizada para encontrar "access points" inalámbricos abiertos
("wardriving").

También distribuyen una versión para WinCE para PDAs y

similares llamada Ministumbler. Esta herramienta es actualmente
gratis pero sólo para Windows.
 Herramientas de seguridad.

N-Stealth: Escáner de Servidores de Web.

N-Stealth es un escáner de seguridad de servidores de web no-

libre.

N-stealth es sólo para Windows y no se incluye el código fuente.

 Relación de herramientas de seguridad.

AirSnort: Herramienta de crackeo del cifrado WEP de 802.11.

AirSnort es una herramienta para LANs inalámbricas (WLAN) que
recupera las llaves de cifrado.

Fue desarrollada en modo GNU y opera monitoreando pasivamente las

transmisiones, computando la llave de cifrado cuando suficientes
paquetes han sido recolectados.

NBTScan: Recolecta información de NetBIOS de redes de Windows.

NBTscan es un programa que escanea redes IP en busca de
información de nombres de NetBIOS. Envía pedidos de "status" de
NetBIOS a cada dirección en un rango provisto por el usuario y lista la
información recibida de manera humanamente legible. Por cada host
que responde, se lista su dirección, nombre de NetBIOS, nombre de
usuario con sesión iniciada en la máquina {"logged in"}, y dirección de
MAC.
 Herramientas de seguridad.

Achiles: Un proxy de ataques por web para Windows.

Achilles es una herramienta designada para comprobar la seguridad de

aplicaciones web.

Achilles es un servidor proxy, que actúa como una persona-en-el-medio

{man-in-the-middle} durante una sesión de HTTP. Un proxy de HTTP
típico pasa paquetes hacia y desde el explorador de web cliente y un
servidor de web. Achilles intercepta los datos en una sesión de HTTP en
cualquier dirección y le da al usuario la habilidad de alterar los datos antes
de ser transmitidos. Por ejemplo, durante una conexión de HTTP SSL
normal, un proxy típico pasa la sesión entre el servidor y el cliente y
permite a ambos nodos negociar SSL.

En contraste, cuando Achilles está en modo de intercepción, Achilles

simula ser el servidor y negocia dos sesiones de SSL, una con el
explorador de web cliente y otra con el servidor de web. Mientras la
información se transmite entre ambos nodos, Achilles descifra los datos y
 Herramientas de seguridad.

Brutus: Un cracker de autenticación de fuerza bruta para redes.

Este cracker sólo para Windows se lanza sobre servicios de red de

sistemas remotos tratando de averiguar passwords utilizando un
diccionario y permutaciones de éste.

Soporta HTTP, POP3, FTP, SMB, TELNET, IMAP, NTP, y más. El código
fuente no está disponible.
 Herramientas de seguridad.
Fragroute: La peor pesadilla de los IDS.

Fragroute intercepta, modifica, y reescribe el tráfico de salida,

implementando la mayoría de los ataques descriptos en el "IDS Evasion
paper" de Secure Networks.

Entre sus características, se encuentra un lenguaje de reglas simple para

retrasar, duplicar, descartar, fragmentar, superponer, imprimir, reordenar,
segmentar, especificar source-routing y otras operaciones más en todos
los paquetes salientes destinados a un host en particular, con un mínimo
soporte de comportamiento aleatorio o probabilístico.

Esta herramienta se utiliza para ver el correcto funcionamiento de un

servicio IDS.
Herramientas de seguridad.

Port knocking Port Knocking es una técnica de abrir puertos

determinados mediante una secuencia de golpeteo de puertos, en este
caso envió de packetes SYN hacia un puerto o secuencia determinada.
Una vez que se recibe la secuencia correcta de los intentos de conexión,
las reglas del firewall son modificadas dinámicamente para permitir al
host que envió a los intentos de conexión para conectar a través del
puerto específico.
La complejidad de los golpes pueden ser desde una simple lista ordenada
(por ejemplo, el puerto TCP 1000, el puerto TCP 2000, el puerto UDP
3000) a un complejo que depende del tiempo, hash cifrado de código
basado en IP, etc.
Herramientas de seguridad.

En la práctica tendríamos lo siguiente:

 Intentamos entrar al puerto 22 (aparece cerrado).
 Abrimos una conexión con el puerto 1200 (responderá
que esta cerrado) pero el servidor sigue en espera de las
demás conexiones.
 Abrimos una conexión con el puerto 234 (nos aparece
cerrado) el servidor ya sabe que tenemos las primeras
dos combinaciones correctas.
 Abrimos una conexión con el puerto 654, luego 4509 y
luego el 12.
 Ahora tenemos 5 segundos para iniciar la conexion por
ssh.
 Iniciamos la conexión exitosamente.
Relación de herramientas de seguridad.

Hay que recordar que esto a pesar de

ser una buena forma de asegurar un
puerto, necesita tener detrás una buena
contraseña y unas buenas políticas, ya
que para alguien que estuviera
analizando nuestro tráfico sería trivial
obtener la combinación de puertos.
 Manual de metodologia abierta de testeo de
seguridad.
 OSSTMM 2.1.

 Esta metodología es un estándar profesional para el testeo de seguridad

en cualquier entorno.

 Es una metodología abierta (del INSTITUTE FOR SECURITY AND OPEN

METHODOLOGIES)

 Incluye:
• Los planes de acción.
• La ética de actuación del testeador.
• Legislación sobre la seguridad.

 Su objetivo es: Crear un método aceptado para ejecutar un test de

seguridad minucioso.
Manual de metodología abierta de testeo de
seguridad.