Uso generalizado de sistemas y equipos de cmputo. Derivado de esto surge la necesidad de comunicarse entre equipos, lo que conlleva la necesidad de tener una red. La red de rea local (LAN por sus siglas en ingls) como tal es un medio de comunicacin democrtico, o al menos esa es la intencin, sin embargo, en ocasiones existen usuarios que intentan aprovecharse de todos los recursos que les proporciona la red para explotarla. Redes de rea Local Las redes tienen un punto de demarcacin que es hasta donde llega la responsabilidad de nuestro ISP y comienza la nuestra. Nuestra responsabilidad: Garantizar el acceso a la red, proveer de mecanismos que ayuden a la seguridad en la red, interoperabilidad entre sistemas, escalabilidad, etc... Computadora o dispositivo capaz de conectarse a la red de datos. Firewall Servidor DHCP DNS Proxy Elementos fundamentales en una red Se pueden auditar 2 elementos principales: Elementos funcionales Configuracin de los equipos, accesos, restricciones, vulnerabilidades en los equipos, polticas de trfico, etc. Elementos no funcionales Velocidades constantes (tanto de subida como de bajada), tiempo de convergencia de los routers en la red, seal intermitente, cobertura de la seal inalmbrica, etc. Entoncesqu se audita en una red? En este curso vamos a enfocarnos en los elementos funcionales: 1.- Usuarios (equipos) no autorizados en nuestra red. 2.- El trfico de nuestra red (para detectar trfico sospechoso). 3.- Vulnerabilidad en nuestros usuarios (sobre todo en los equipos de los jefes). 4.- En caso de tener servidores en nuestra red, se debern llevar a cabo auditorias especficas para cada servicio. Entoncesqu se audita en una red? 1.- Seguridad en nuestros puntos de acceso (AP) Difusin de nuestra seal Tipo de seguridad en la conexin Tipo de cifrado (en caso de que el AP lo permita) Alcance longitudinal (esfrico) de nuestra seal Para las redes inalmbricas Auditando nuestra red con Backtrack 5 R3 Patrick Hernndez Cuamatzi Para descubrimiento de red, su principal objetivo es identificar equipos conectados a la red. Applications -> BackTrack -> Information Gathering -> Network Analysis -> Network Scanner -> autoscan Autoscan Autoscan Es necesario agregar una red, l automtica mente detecta las existentes. Autoscan Elijan su tarjeta de red. Autoscan Les pedir confirmaci n de los parmetro s. Autoscan Un ejemplo de salida: Autoscan Buscar vulnerabilidades Patrick Hernndez Cuamatzi Herramienta para la deteccin de vulnerabilidades en la red. Applications -> BackTrack -> Vulnerability Assessment -> Vulnerability Scanners -> OpenVAS OpenVAS Paso 1: Agregaremos un usuario para utilizar OpenVAS, pueden agregar el nombre que gusten: OpenVAS Cuando pregunte sobre las reglas del usuario, presionamos ctrl+D para especificar que hemos terminado de colocar las reglas al usuario, en este caso se quedan en blanco, sin reglas, es decir, el usuario que acabamos de agregar no tendr restricciones de uso. OpenVAS Paso 2: Crear un certificado SSL OpenVAS -> mkcert Tiempo de vida (1460) Pas (MX) Estado o provincia (none) Etc Le dejan todo por default, es solo para fines prcticos OpenVAS Paso 3: Sincronizando las NVTs (Network Vulnerability Tests, Pruebas de Vulnerabilidades de Red) Estas NVTs permiten detectar las vulnerabilidades, son como una base de datos de vulnerabilidades encontradas, por ello, es necesario actualizar constantemente dichas NVTs. OpenVAS -> NVT Sync OpenVAS OpenVAS Paso 4: Comenzar el escaneo en busca de vulnerabilidades. OpenVAS -> Start OpenVAS scanner Esto puede tomar unos minutos OpenVAS OpenVAS Paso 5: Configurando el gestor de OpenVAS Lo primero que tenemos que hacer es un certificado de cliente para el gestor de OpenVAS, esto se hace ejecutando el siguiente comando: openvas-mkcert-client -n om i OpenVAS OpenVAS Ahora tenemos que reconstruir la base de datos, ya que ahora est desactualizada con el agregado de NVT de lo contrario se obtendrn errores sobre la base de datos. Se debe hacer esto cada vez que se actualice el NVT. Esto se hace con un simple comando: openvasmd --rebuild OpenVAS OpenVAS Paso 6: Configurar el Administrador OpenVAS Tenemos que crear un usuario administrador que vamos a utilizar para realizar las evaluaciones. Esto se hace ejecutando el siguiente comando: openvasad -c 'add_user' -n openvasadmin -r Admin En este caso openvasadmin es el nombre del nuevo usuario que creamos, pueden colocar el nombre que deseen. OpenVAS OpenVAS Iniciando el gestor de OpenVAS openvasmd -p 9390 -a 127.0.0.1 Iniciando el Administrador OpenVAS openvasad -a 127.0.0.1 -p 9393 Iniciando el Asistente de Seguridad Greenbone gsad --http-only --listen=127.0.0.1 -p 9392 OpenVAS Start Greenbone Security Desktop (browser: 127.0.0.1:9392) OpenVAS OpenVAS 1 Configurar un objetivo (target) 2 Crear una nueva tarea (New task), eligiendo el objetivo antes creado para ejecutar auditoria. 3 Ejecutar la tarea (Task), aparecer una lista con las tareas a ejecutar, damos clic en play (botn verde). OpenVAS Para ver el estado, den clic en Details (icono azul con una lupa) OpenVAS Resultados (dar clic en la fecha de la tarea): OpenVAS Analizar el trfico que pasa por nuestra red Patrick Hernndez Cuamatzi Aplicacin para analizar protocolos de red Trabaja en modo promiscuo Puede analizar todo el trfico que pasa en una red BackTrack -> Information Gattering -> Network Analysis -> Network Traffic Analysis -> Wireshark Wireshark Pantalla inicial Wireshark Para empezar con la captura de datos es necesario ir al men Captura y seleccionar Opciones. El cuadro de dilogo Opciones provee una serie de configuraciones y filtros que determinan el tipo y la cantidad de trfico de datos que se captura. Wireshark Wireshark Primero, es necesario asegurarse de que Wireshark est configurado para monitorear la interfaz correcta. Desde la lista desplegable Interfaz, seleccione el adaptador de red que se utiliza. Generalmente, para una computadora, ser el adaptador Ethernet conectado. Luego se pueden configurar otras opciones. Entre las que estn disponibles en Opciones de captura, merecen examinarse las siguientes dos opciones resaltadas. Wireshark Wireshark Configurar Wireshark para capturar paquetes en un modo promiscuo. Si esta caracterstica NO est verificada, slo se capturarn las PDU destinadas a esta computadora. Si esta caracterstica est verificada, se capturarn todas las PDU destinadas a esta computadora Y todas aquellas detectadas por la NIC de la computadora en el mismo segmento de red (es decir, aquellas que pasan por la NIC pero que no estn destinadas para la computadora). Nota: La captura de las otras PDU depende del dispositivo intermediario que conecta las computadoras del dispositivo final en esta red. Si utiliza diferentes dispositivos intermediarios (hubs, switches, routers), experimentar los diferentes resultados de Wireshark. Wireshark Configurar Wireshark para la resolucin del nombre de red Esta opcin le permite controlar si Wireshark traduce a nombres las direcciones de red encontradas en las PDU. A pesar de que esta es una caracterstica til, el proceso de resolucin del nombre puede agregar ms PDU a sus datos capturados, que podran distorsionar el anlisis. Wireshark Elegir una interfaz para capturar Wireshark Elija la interfaz y d clic en el botn start Recuerde que al estar en modo promiscuo la tarjeta de red, capturar todo el trfico que pase, por lo que es recomendable solo utilizarlo por unos 10 a 20 segundos, es decir, ya detngalo !!. Wireshark Wireshark La ventana de visualizacin principal de Wireshark tiene tres paneles. Wireshark Panel Lista de Paquetes Panel Detalle de Paquetes Panel Bytes de Paquetes El panel de Lista de PDU (o Paquete) ubicado en la parte superior del diagrama muestra un resumen de cada paquete capturado. Si hace clic en los paquetes de este panel, controla lo que se muestra en los otros dos paneles. El panel de detalles de PDU (o Paquete) ubicado en el medio del diagrama, muestra ms detalladamente el paquete seleccionado en el panel de Lista del paquete. El panel de bytes de PDU (o paquete) ubicado en la parte inferior del diagrama, muestra los datos reales (en nmeros hexadecimales que representan el binario real) del paquete seleccionado en el panel de Lista del paquete y resalta el campo seleccionado en el panel de Detalles del paquete. Wireshark Pueden analizar los tres paneles, tomen 3 minutos para ello. Wireshark Ahora haremos una prueba utilizando el comando ping. Realice un ping hacia alguno de los equipos en la red, mientras ello ocurre, realice una captura de paquetes con Wireshark, despus de unos segundo detenga la captura, y conteste a las siguientes preguntas: Wireshark Qu protocolo se utiliza por ping? ______________________________ Cul es el nombre completo del protocolo? _________________________________ Cules son los nombres de los dos mensajes ping? _____________________________________ Wireshark 4.- Las direcciones IP de origen y destino que se encuentran en la lista son las que esperaba? SI / NO por qu? _______________________________________ _______________________________________ _______________________________________ _______________________________________ _______________________________________ _______________________________________ Wireshark Seleccione con el mouse el 1er paquete de solicitud de eco en la lista. El panel de detalles del paquete mostrar algo parecido a: Haga clic en cada uno de los cuatro + para expandir la informacin. Wireshark Como puede ver, los detalles de cada seccin y protocolo se pueden expandir ms. Tmese el tiempo para leer esta informacin. Puede ser que no entienda completamente la informacin que se muestra, pero tome nota de la que s reconozca. Conteste lo siguiente utilizando el panel de detalle de paquetes: Wireshark 5.- Localice los 2 tipos diferentes de direccin origen y destino, por qu hay 2 tipos? _______________________________________ _______________________________________ 6.- Cules son los protocolos que estn en la trama de Ethernet? _______________________________________ _______________________________________ _______________________________________ _______________________________________ Wireshark 7.- Ahora en el panel de detalle de bytes, encuentre cual es el mensaje que se envan los equipos al utilizar el protocolo ICMP _______________________________________ _______________________________________ _______________________________________ ______________________________________ Wireshark Como podra utilizar wireshark para analizar todo el trfico de una red, dado que en de esta red, no es usted el administrador, solo es un invitado, sin embargo, es un invitado privilegiado, ya que puede tener acceso fsico al router principal y al switch principal, que se conecta al router antes mencionado (ver dibujo). Contemple que usted puede introducir cualquier otro dispositivo de red, y la idea es que los usuario continen con sus enlaces existentes (LAN y WAN), pueden conectar o desconectar, pero no pueden entrar en las configuraciones de los switches ni de los routers, lo que desconecten debern conectarlo en menos de 1 minuto para no interrumpir las comunicaciones. Tienen 20 minutos para realizar una propuesta Desafo - Wireshark Prctica final de Seguridad: Auditoria de redes inalmbricas Patrick Hernndez Cuamatzi Comnmente utilizamos todo con una pre-configuracin Desgraciadamente nuestros Puntos de Acceso vienen pre- configurados con el protocolo WEP (Wired Equivalent Privacy) que es un sistema de cifrado de 64 y hasta 128 bits, muy vulnerable a ataques. Sugerencia: cambiar a un cifrado WPA (Wifi Protected Access), el cul utiliza 128 bits, pero con un vector de inicializacin de 48 bits. Auditoria de redes inalmbricas Desafo: Siga los pasos del manual que se le facilitar para realizar un ataque a un AP, que utiliza cifrado WEP. Al terminar dicha prctica y obtener la clave, conctese al AP y haga un descubrimiento de los equipos en dicha red, despus realice un descubrimiento de vulnerabilidades de alguno de los equipos. Finalmente muestre al instructor sus resultados. Auditoria de redes inalmbricas Bueno como ya no hay mucho tiempo, solo consiga la clave WEP. Auditoria de redes inalmbricas GRACIAS Patrick Hernndez Cuamatzi