Auditoria de Redes

Patrick Hernndez Cuamatzi

Uso generalizado de sistemas y equipos de cmputo.
Derivado de esto surge la necesidad de comunicarse entre
equipos, lo que conlleva la necesidad de tener una red.
La red de rea local (LAN por sus siglas en ingls) como
tal es un medio de comunicacin democrtico, o al menos
esa es la intencin, sin embargo, en ocasiones existen
usuarios que intentan aprovecharse de todos los recursos
que les proporciona la red para explotarla.
Redes de rea Local
Las redes tienen un punto de demarcacin que es hasta
donde llega la responsabilidad de nuestro ISP y comienza
la nuestra.
Nuestra responsabilidad:
Garantizar el acceso a la red, proveer de mecanismos que
ayuden a la seguridad en la red, interoperabilidad entre
sistemas, escalabilidad, etc...
Computadora o dispositivo capaz de conectarse a la red
de datos.
Firewall
Servidor DHCP
DNS
Proxy
Elementos fundamentales en una red
Se pueden auditar 2 elementos principales:
Elementos funcionales
Configuracin de los equipos, accesos, restricciones,
vulnerabilidades en los equipos, polticas de trfico, etc.
Elementos no funcionales
Velocidades constantes (tanto de subida como de bajada),
tiempo de convergencia de los routers en la red, seal
intermitente, cobertura de la seal inalmbrica, etc.
Entoncesqu se audita en una red?
En este curso vamos a enfocarnos en los elementos
funcionales:
1.- Usuarios (equipos) no autorizados en nuestra red.
2.- El trfico de nuestra red (para detectar trfico
sospechoso).
3.- Vulnerabilidad en nuestros usuarios (sobre todo en los
equipos de los jefes).
4.- En caso de tener servidores en nuestra red, se debern
llevar a cabo auditorias especficas para cada servicio.
Entoncesqu se audita en una red?
1.- Seguridad en nuestros puntos de acceso (AP)
Difusin de nuestra seal
Tipo de seguridad en la conexin
Tipo de cifrado (en caso de que el AP lo permita)
Alcance longitudinal (esfrico) de nuestra seal
Para las redes inalmbricas
Auditando nuestra red con
Backtrack 5 R3
Patrick Hernndez Cuamatzi
Para descubrimiento de red, su principal objetivo es
identificar equipos conectados a la red.
Applications -> BackTrack -> Information Gathering ->
Network Analysis -> Network Scanner -> autoscan
Autoscan
Autoscan
Es
necesario
agregar
una red, l
automtica
mente
detecta las
existentes.
Autoscan
Elijan su
tarjeta de
red.
Autoscan
Les pedir
confirmaci
n de los
parmetro
s.
Autoscan
Un
ejemplo de
salida:
Autoscan
Buscar vulnerabilidades
Patrick Hernndez Cuamatzi
Herramienta para la deteccin de vulnerabilidades en la
red.
Applications -> BackTrack -> Vulnerability Assessment
-> Vulnerability Scanners -> OpenVAS
OpenVAS
Paso 1: Agregaremos un usuario para utilizar OpenVAS,
pueden agregar el nombre que gusten:
OpenVAS
Cuando pregunte sobre las reglas del usuario,
presionamos ctrl+D para especificar que hemos
terminado de colocar las reglas al usuario, en este caso se
quedan en blanco, sin reglas, es decir, el usuario que
acabamos de agregar no tendr restricciones de uso.
OpenVAS
Paso 2: Crear un certificado SSL
OpenVAS -> mkcert
Tiempo de vida (1460)
Pas (MX)
Estado o provincia (none)
Etc
Le dejan todo por default, es solo para fines prcticos
OpenVAS
Paso 3: Sincronizando las NVTs (Network Vulnerability
Tests, Pruebas de Vulnerabilidades de Red)
Estas NVTs permiten detectar las vulnerabilidades, son
como una base de datos de vulnerabilidades encontradas,
por ello, es necesario actualizar constantemente dichas
NVTs.
OpenVAS -> NVT Sync
OpenVAS
OpenVAS
Paso 4: Comenzar el escaneo en busca de
vulnerabilidades.
OpenVAS -> Start OpenVAS scanner
Esto puede tomar unos minutos
OpenVAS
OpenVAS
Paso 5: Configurando el gestor de OpenVAS
Lo primero que tenemos que hacer es un certificado de
cliente para el gestor de OpenVAS, esto se hace
ejecutando el siguiente comando:
openvas-mkcert-client -n om i
OpenVAS
OpenVAS
Ahora tenemos que reconstruir la base de datos, ya que
ahora est desactualizada con el agregado de NVT de lo
contrario se obtendrn errores sobre la base de datos. Se
debe hacer esto cada vez que se actualice el NVT. Esto se
hace con un simple comando:
openvasmd --rebuild
OpenVAS
OpenVAS
Paso 6: Configurar el Administrador OpenVAS
Tenemos que crear un usuario administrador que vamos
a utilizar para realizar las evaluaciones. Esto se hace
ejecutando el siguiente comando:
openvasad -c 'add_user' -n openvasadmin -r Admin
En este caso openvasadmin es el nombre del nuevo
usuario que creamos, pueden colocar el nombre que
deseen.
OpenVAS
OpenVAS
Iniciando el gestor de OpenVAS
openvasmd -p 9390 -a 127.0.0.1
Iniciando el Administrador OpenVAS
openvasad -a 127.0.0.1 -p 9393
Iniciando el Asistente de Seguridad Greenbone
gsad --http-only --listen=127.0.0.1 -p 9392
OpenVAS
Start Greenbone Security Desktop (browser: 127.0.0.1:9392)
OpenVAS
OpenVAS
1 Configurar un objetivo (target)
2 Crear una nueva tarea (New task), eligiendo el objetivo
antes creado para ejecutar auditoria.
3 Ejecutar la tarea (Task), aparecer una lista con las
tareas a ejecutar, damos clic en play (botn verde).
OpenVAS
Para ver el estado, den clic en Details (icono azul con una
lupa)
OpenVAS
Resultados (dar clic en la fecha de la tarea):
OpenVAS
Analizar el trfico que pasa por
nuestra red
Patrick Hernndez Cuamatzi
Aplicacin para analizar protocolos de red
Trabaja en modo promiscuo
Puede analizar todo el trfico que pasa en una red
BackTrack -> Information Gattering -> Network Analysis
-> Network Traffic Analysis -> Wireshark
Wireshark
Pantalla inicial
Wireshark
Para empezar con la captura de datos es necesario ir al
men Captura y seleccionar Opciones. El cuadro de
dilogo Opciones provee una serie de configuraciones y
filtros que determinan el tipo y la cantidad de trfico de
datos que se captura.
Wireshark
Wireshark
Primero, es necesario asegurarse de que Wireshark est
configurado para monitorear la interfaz correcta. Desde
la lista desplegable Interfaz, seleccione el adaptador de
red que se utiliza. Generalmente, para una computadora,
ser el adaptador Ethernet conectado.
Luego se pueden configurar otras opciones. Entre las que
estn disponibles en Opciones de captura, merecen
examinarse las siguientes dos opciones resaltadas.
Wireshark
Wireshark
Configurar Wireshark para capturar paquetes en
un modo promiscuo.
Si esta caracterstica NO est verificada, slo se
capturarn las PDU destinadas a esta computadora. Si
esta caracterstica est verificada, se capturarn todas las
PDU destinadas a esta computadora Y todas aquellas
detectadas por la NIC de la computadora en el mismo
segmento de red (es decir, aquellas que pasan por la
NIC pero que no estn destinadas para la computadora).
Nota: La captura de las otras PDU depende del
dispositivo intermediario que conecta las computadoras
del dispositivo final en esta red. Si utiliza diferentes
dispositivos intermediarios (hubs, switches, routers),
experimentar los diferentes resultados de Wireshark.
Wireshark
Configurar Wireshark para la resolucin del
nombre de red
Esta opcin le permite controlar si Wireshark traduce a
nombres las direcciones de red encontradas en las PDU.
A pesar de que esta es una caracterstica til, el proceso
de resolucin del nombre puede agregar ms PDU a sus
datos capturados, que podran distorsionar el anlisis.
Wireshark
Elegir una interfaz para capturar
Wireshark
Elija la interfaz y d clic en el botn start
Recuerde que al estar en modo promiscuo la tarjeta de
red, capturar todo el trfico que pase, por lo que es
recomendable solo utilizarlo por unos 10 a 20 segundos,
es decir, ya detngalo !!.
Wireshark
Wireshark
La ventana de visualizacin principal de Wireshark tiene tres paneles.
Wireshark
Panel Lista de Paquetes
Panel Detalle de Paquetes
Panel Bytes de Paquetes
El panel de Lista de PDU (o Paquete) ubicado en la parte
superior del diagrama muestra un resumen de cada paquete
capturado. Si hace clic en los paquetes de este panel, controla
lo que se muestra en los otros dos paneles.
El panel de detalles de PDU (o Paquete) ubicado en el medio
del diagrama, muestra ms detalladamente el paquete
seleccionado en el panel de Lista del paquete.
El panel de bytes de PDU (o paquete) ubicado en la parte
inferior del diagrama, muestra los datos reales (en nmeros
hexadecimales que representan el binario real) del paquete
seleccionado en el panel de Lista del paquete y resalta el
campo seleccionado en el panel de Detalles del paquete.
Wireshark
Pueden analizar los tres paneles, tomen 3 minutos para
ello.
Wireshark
Ahora haremos una prueba utilizando el comando ping.
Realice un ping hacia alguno de los equipos en la red,
mientras ello ocurre, realice una captura de paquetes con
Wireshark, despus de unos segundo detenga la captura,
y conteste a las siguientes preguntas:
Wireshark
Qu protocolo se utiliza por ping?
______________________________
Cul es el nombre completo del protocolo?
_________________________________
Cules son los nombres de los dos mensajes ping?
_____________________________________
Wireshark
4.- Las direcciones IP de origen y destino que se
encuentran en la lista son las que esperaba?
SI / NO
por qu?
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
Seleccione con el mouse el 1er paquete de solicitud de eco
en la lista.
El panel de detalles del paquete mostrar algo parecido a:
Haga clic en cada uno de los cuatro + para expandir la
informacin.
Wireshark
Como puede ver, los detalles de cada seccin y protocolo
se pueden expandir ms. Tmese el tiempo para leer esta
informacin.
Puede ser que no entienda completamente la informacin
que se muestra, pero tome nota de la que s reconozca.
Conteste lo siguiente utilizando el panel de detalle de
paquetes:
Wireshark
5.- Localice los 2 tipos diferentes de direccin origen y
destino, por qu hay 2 tipos?
_______________________________________
_______________________________________
6.- Cules son los protocolos que estn en la trama de
Ethernet?
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Wireshark
7.- Ahora en el panel de detalle de bytes, encuentre cual
es el mensaje que se envan los equipos al utilizar el
protocolo ICMP
_______________________________________
_______________________________________
_______________________________________
______________________________________
Wireshark
Como podra utilizar wireshark para analizar todo el trfico de
una red, dado que en de esta red, no es usted el administrador,
solo es un invitado, sin embargo, es un invitado privilegiado,
ya que puede tener acceso fsico al router principal y al switch
principal, que se conecta al router antes mencionado (ver
dibujo).
Contemple que usted puede introducir cualquier otro
dispositivo de red, y la idea es que los usuario continen con
sus enlaces existentes (LAN y WAN), pueden conectar o
desconectar, pero no pueden entrar en las configuraciones de
los switches ni de los routers, lo que desconecten debern
conectarlo en menos de 1 minuto para no interrumpir las
comunicaciones.
Tienen 20 minutos para realizar una propuesta
Desafo - Wireshark
Prctica final de Seguridad:
Auditoria de redes inalmbricas
Patrick Hernndez Cuamatzi
Comnmente utilizamos todo con una pre-configuracin
Desgraciadamente nuestros Puntos de Acceso vienen pre-
configurados con el protocolo WEP (Wired Equivalent
Privacy) que es un sistema de cifrado de 64 y hasta 128
bits, muy vulnerable a ataques.
Sugerencia: cambiar a un cifrado WPA (Wifi Protected
Access), el cul utiliza 128 bits, pero con un vector de
inicializacin de 48 bits.
Auditoria de redes inalmbricas
Desafo: Siga los pasos del manual que se le facilitar
para realizar un ataque a un AP, que utiliza cifrado WEP.
Al terminar dicha prctica y obtener la clave,
conctese al AP y haga un descubrimiento de los
equipos en dicha red, despus realice un
descubrimiento de vulnerabilidades de alguno de
los equipos. Finalmente muestre al instructor sus
resultados.
Auditoria de redes inalmbricas
Bueno como ya no hay mucho tiempo, solo consiga la
clave WEP.
Auditoria de redes inalmbricas
GRACIAS
Patrick Hernndez Cuamatzi