01 Aspectos Básicos de Redes

Aspectos Bsicos de Redes 1

CIBERTEC

Aspectos Bsicos de Redes

Al finalizar el captulo, el alumno podr: Identificar los campos ms importantes de los protocolos: ICMP, IP, TCP y

UDP.

Reconocer los distintos tipos de patrones de ataque en el trfico de red.

Manejar herramientas de software de deteccin de sistemas operativos.

Temas:

1. Suite TCP/IP.

2. Fragmentacin.

3. Internet Control Message Protocol (ICMP).

4. Teora de estmulo y respuesta.

5. Uso de NMAP para escaneo de redes


CIBERTEC

1. Suite TCP/IP

La suite TCP/IP es el stack de protocolos utilizado para comunicaciones en Internet y en redes privadas. Se encuentra compuesto de 4 capas:

A. Interfase de red Define las capas fsica y enlace del modelo OSI, as como, el modo en el que TCP/IP accede a las redes de transporte de datos, tanto LAN como WAN. Sin embargo, no define el funcionamiento de la red, slo cmo se accede a ella.

B. Internet

La capa de red del modelo OSI define el modo en que son encaminados los paquetes, a travs de rutas lgicas, bajo un determinado formato de paquetes, que incluyen direcciones fuente y destino, siguiendo un esquema de direccionamiento. Entre otras funciones tiene:

Especifica las direcciones lgicas, a travs de las cuales se identificar a cada uno de los sistemas accesibles desde Internet.

Define un modo de comunicacin no orientado a conexin basado en el mejor esfuerzo, es decir, los protocolos de enrutamiento definen las mejores rutas para que un paquete llegue a su destino. En esta capa no se exige confirmacin de llegada de paquetes al destino.

Realiza el proceso de asociacin de direcciones fsicas con direcciones Internet.


CIBERTEC

Provee fragmentacin y reensamblaje de paquetes para soportar enlaces de datos con tamaos distintos de unidades de transmisin (Maximum Transmisin Unit, MTU).

C. Transporte

Este protocolo est descrito en el RFC 793 y es un servicio orientado a conexin, y de naturaleza confiable. Tiene una conexin punto a punto, cuyas caractersticas principales son:

Slo existe una ruta de destino, es decir, un punto por el cual el paquete ingresa y sale.

Los paquetes tienen identificadores que indican el orden en el cual fueron enviados.

Corresponde a la capa de transporte del modelo OSI.

Provee control de errores.

Maneja la secuencia de datos.

Mantiene la integridad de los datos.

En esta capa se segmentan los datos que provienen de la capa de aplicacin. Presenta dos tipos de protocolos: Transmission Control Protocol (TCP), el cual ofrece servicios orientados a conexin y User Datagram Protocol (UDP), el cual no ofrece servicios orientados a conexin. Tipos de conexin Servicios orientados a conexin: primero deben establecer una conexin antes de transferir algn dato.

Consta de 3 fases:

Establecimiento de conexin Transferencia de datos Finalizacin de conexin

Servicios no orientados a conexin: transmite datos sin necesidad de establecer una conexin previamente.

D. Aplicacin Esta capa agrupa las tres capas superiores del modelo OSI (Sesion, Presentacin y Aplicacin). La aplicacin es el cliente del protocolo de la capa de transporte que es utilizado para enviar o recibir una secuencia de mensajes.


CIBERTEC

2. Fragmentacin

La fragmentacin permite el paso de paquetes de gran tamao (hasta 1420 bytes), a travs de redes que slo permiten paquetes de tamao pequeo a mediano (64 a 256 bytes). La fragmentacin se puede dar de 2 formas: fragmentacin normal y anormal.

2.1. Fragmentacin Normal de Paquetes

A nivel de la cabecera IP, existen 2 campos que regulan la fragmentacin de paquetes: Flags y Fragment Offset.

La fragmentacin se da cuando el paquete IP viaja de una red a otra, donde las redes tienen especificado un mximo MTU (Maximum Transmisin Unit) que limita la longitud del paquete en ese segmento de red. Por lo tanto, cuando cada paquete es mayor al MTU especificado, ste es fragmentado.

El tamao mximo -llamado MTU- de los paquetes a enviar puede variar dependiendo del medio fsico utilizado para la transmisin.

El valor mximo que tcnicamente puede utilizarse para un datagrama IP es de 65536 bytes, aunque en la prctica se utilizan otros tamaos mucho ms pequeos:

Ethernet: 1518 bytes (tpicamente 1500 bytes). PPPoE: 1492 bytes. ATM: 8190 bytes. FDDI: 4470 bytes. PPP: 576 bytes.


CIBERTEC

En la fragmentacin normal de paquetes se tiene una serie de consideraciones, tales como:

Hay una secuencia de los paquetes fragmentados, de tal manera que son ubicados en una posicin especfica en el buffer de almacenamiento.

Hay un reclculo de los campos header length, total length y header checksum.

Un paquete no fragmentado tiene toda la informacin de fragmentacin con valor 0, esto es, los campos more fragments y fragment offset son 0. Cuando se ejecuta la fragmentacin, se efectan los siguientes pasos.

El campo flag Dont Fragment (DF) es revisado para ver si es permitida la fragmentacin. Si el bit es puesto a 1, el paquete ser descartado y un mensaje de error ser enviado al emisor por medio de un paquete ICMP.

Basado en el valor MTU, el campo de datos es dividido en 2 ms partes. Todas las nuevas porciones de datos creados deben tener una longitud que sea mltiplo de 8 bytes, con la excepcin de la ltima porcin de datos.

Todas las porciones de datos son ubicadas en paquetes IP. Las cabeceras de paquetes son copias del original con algunas modificaciones. - El bit del campo More Fragments (MF) es fijado a 1 en todos los

fragmentos menos en el ltimo. - El campo fragment offset es fijado en cada paquete a la ubicacin de

la porcin de datos, ocupado en el paquete original relativo al comienzo del paquete original no fragmentado. El offset es medido en unidades de 8 bytes.

- Si fueron incluidas opciones en el paquete original, el bit de alto orden del tipo de opcin, determina si ellos sern o no, copiados a todos los paquetes fragmentados o slo en el primero. Por instancia, la opcin Source Route tiene que ser copiado en todos los fragmentos y por lo tanto, ellos tienen este bit fijado a 1.

- El campo header length del nuevo paquete es fijado. - El campo total length del nuevo paquete es fijado. - El campo header checksum es recalculado.

Cada uno de estos paquetes fragmentados es dirigido ahora, como un paquete normal IP. Luego, IP maneja cada fragmento de manera independiente, por lo que el fragmento puede atravesar diferentes ruteadores hacia su destino y puede ser sujeto de mayor fragmentacin si pasa a travs de una red que maneja MTUs ms pequeos.

En el host destino, todos los paquetes son reensamblados en el mensaje original. El campo de identificacin de los paquetes fue fijado por el host emisor en un nmero nico. Como la fragmentacin no altera este campo, los fragmentos que llegan en el lado receptor pueden ser identificados por este campo el cual es utilizado con la direccin fuente y destino en el paquete. En orden a reensamblar los fragmentos, el host receptor asigna un buffer de almacenamiento tan pronto como el primer fragmento llega. Un temporizador de rutina es iniciado. Cuando el tiempo del temporizador termina y no llegan todos los fragmentos, el paquete es descartado.


CIBERTEC

Cuando los fragmentos subsecuentes del paquete principal llegan antes de que el temporizador expire, el dato es copiado en el buffer de almacenamiento en la ubicacin indicada por el campo fragment offset.

Proceso de fragmentacin de un paquete de 4028 bytes

En el paquete original, la suma de las cabeceras y los datos ICMP suman 4028 bytes. Este paquete al ser transmitido en una red Ethernet deber ser fragmentado, generandose as 3 paquetes de 1500 bytes o menos. Cada fragmento llevar obligatoriamente al menos la cabecera IP (necesaria para saber hacia dnde se dirige el fragmento), que en este caso ocupa 20 bytes, as que tendremos realmente 1480 bytes tiles.

El primer fragmento contendr la Cabecera IP + la cabecera ICMP + la informacin restante para llegar a 1500 bytes, en este caso 1472 bytes. Puesto que es el primer fragmento, el valor de Offset valdr 0 y el bit MF valdr 1 ya que hay ms paquetes.


CIBERTEC

El segundo fragmento contendr la Cabecera IP + la informacin restante para llegar a 1500 bytes, en este caso 1480. Ahora el valor de Offset valdr 1480, ya que es la posicin que debe ocupar al ensamblar el fragmento (recordemos que el primer fragmento tena 8+1472 = 1480). El bit MF valdr 1 ya que no es el ltimo paquete.

El tercer fragmento contendr la Cabecera IP + la informacin restante, en este caso 1048 bytes (ya no hay ms bytes). El valor de Offset valdr 2960, ya que el primer y segundo fragmento ocupaban 1480 cada uno. El bit MF se establece a 0 porque es el ltimo fragmento del paquete.

2.2. Fragmentacin anormal de Paquetes

Existen ataques que se aprovechan de la capacidad de fragmentacin para anular sistemas. Dentro de estos ataques destacan: A. Teardrop / Teardrop2

Los ataques de tipo Teardrop toman ventaja del cdigo que no es apropiadamente reensamblado, sobrescribiendo paquetes UDP. El ataque empieza mediante la fragmentacin de un paquete UDP que es enviado hacia el host vctima. El primer paquete tiene un tamao y un identificador de desplazamiento. El siguiente paquete tiene un desplazamiento de inicio que no corresponde al del paquete previo y que es menor al que corresponde. Cuando el host vctima trata de reensamblar el paquete original, queda fuera de servicio. Los sistemas operativos propensos a este ataque son Linux y Windows (9x, Me, NT/2000) sin parchar.

Teardrop es un ataque de tipo Denial Of Service cuyo resultado es la famosa pantalla azul de la muerte la cual muestra el mensaje de error: STOP 0x0000000A. Aunque los sistemas parchados pueden tolerar este ataque, puede consumir tiempo de procesador, memoria y ancho de banda.

La diferencia entre Teardrop y Teardrop2 es que en este ltimo, los 20 ltimos bytes son utilizados para padding de datos y adems, hace spoofing de la longitud de datos UDP.

B. Ping of death

El ping de la muerte anula un sistema envindole un paquete ICMP tipo PING que es mayor a 65535 bytes. Tericamente, el tamao mximo de un paquete es 65535 bytes y por lo tanto, es imposible enviar un paquete mayor a ste. Un atacante crea un paquete mayor a 65535 bytes y lo enva fragmentado hacia el host vctima. Los paquetes son fragmentados en el host origen y es reensamblado al llegar al host vctima. Este proceso causa un buffer overflow en la vctima anulndola por completo, ya que el sistema no est preparado para manejar un paquete de este tamao.


CIBERTEC

C. ICMP

ICMP es un protocolo estndar descrito en los RFC 792 y 950. Es utilizado cuando un ruteador o host destino, debe informar al host o ruteador fuente, acerca de errores en el procesamiento de los paquetes. Tiene como propsito, proveer retroalimentacin acerca de problemas en el ambiente de comunicacin.


CIBERTEC

3. ICMP Internet Control Messages Protocol

ICMP es un protocolo estndar descrito en los RFC 792 y 950. Es utilizado cuando un ruteador o host destino, debe informar al host o ruteador fuente, acerca de errores en el procesamiento de los paquetes. Tiene como propsito, proveer retroalimentacin acerca de problemas en el ambiente de comunicacin. No existen mecanismos que permitan indicar que los paquetes han sido entregados. Algunos paquetes pueden no ser entregados. Adems, los protocolos de alto nivel que utilizan IP deben implementar sus propios procedimientos de confiabilidad si desean una comunicacin confiable. ICMP es aparentemente un protocolo simple; sin embargo, puede ser utilizado con propsitos destructivos.

3.1. Teora de ICMP

El Protocolo de Mensajes de Control de Internet - ICMP (Internet Control Message Protocol) es un protocolo que para su funcionamiento se apoya sobre el protocolo IP dentro de la arquitectura TCP/IP. Su misin es informar del estado y situaciones de error en el funcionamiento de la capa de red, sobre todo, de aspectos como el encaminamiento, congestin, fragmentacin, etc.


CIBERTEC

Los mensajes ICMP son transmitidos en el interior de datagramas IP, como se muestra en la siguiente figura.

El mensaje ICMP consta de una cabecera, donde aparecen los campos tipo, cdigo, SVT e informacin variable, y un cuerpo de datos.

A continuacin, se listan algunos tipos de mensajes ICMP comunes.

Tipo 0: Echo Reply

Respuesta de eco Respuesta al mensaje Echo Request.

Tipo 3: Destination

Unreachable

Destino Inaccesible

El destino no se puede alcanzar, debido a

que no se sabe cmo llegar a su direccin

IP, debido a que no se tiene un servidor en

el puerto solicitado o porque no se pudo

fragmentar un paquete.

Tipo 4: Source Quench

Cadencia de envo

demasiado elevada

Enviado por un router cuando debe

descartar paquetes de entrada porque su

cola de salida se ha llenado.

Tipo 5: Redirect

Redireccionar

Enviado por un router a otro equipo para

indicarle una mejor puerta de enlace para

llegar al destino deseado.

Tipo 8: Echo Request

Peticin de Eco

Solicitud de eco, habitualmente generada

por el comando ping.

Tipo 9: Router

Advertisement

Aviso de Router

Enviado por un router para dar a conocer

un nuevo equipo a la red. Se enva a una

direccin de multicast.

Tipo 10: Router Solicitation

Solicitud de router

Enviado por un equipo o router, para pedir

que otros routers enven mensajes Router

Advertisement.

Tipo 11: Time Exceded

Tiempo Sobrepasado

Enviado por un router cuando debe eliminar

un paquete IP porque ha agotado su


CIBERTEC

contador de saltos, o enviado por el destino

cuando no recibe a tiempo todos los

fragmentos de un paquete.

Tipo 12: Parameter Problem

Problema de Parmetros

Se usa como respuesta para errores que

no tienen un mensaje ICMP especfico.

Tipo 13: Timestamp Request

Peticin de marca de tiempo Solicita un paquete Timestamp Reply.

Tipo 14: Timestamp Reply

Respuesta de marca de

tiempo

Contiene una marca de tiempo del equipo

que lo enva, que permite calcular retardos.

Tipo 17: Address Mask

Request

Peticin de Mscara de

Direccin

El router que recibe este mensaje debe

responder con un Address Mask Reply.

Tipo 18. Address Mask

Reply

Respuesta de Mscara de

Direccin

Es una respuesta a la peticin de tipo 17,

con la que un router informa sobre la

mscara correspondiente, a la red por la

que recibi la peticin.

Tipo 30. Traceroute Reply

Respuesta de Camino

Este mensaje lo debe enviar cada router

que encamina o recibe un determinado

paquete IP que contiene la opcin

Traceroute, aadida a su cabecera.

El mensaje contiene informacin sobre

MTU, velocidad, saltos sobre la red

conectada al router.


CIBERTEC

Tabla 1 : Tipos de Paquetes ICMP

Con la nueva versin del protocolo IP (IPv6), se definen nuevos mensajes ICMP que no existen en la versin IPv4. El campo tipo se complementa con la informacin suministrada por el campo cdigo. En funcin del valor que tomen ambos, el receptor del mensaje puede obtener informacin muy concreta acerca de cul es el estado de funcionamiento de la red. Asimismo, el campo SVT se denomina secuencia de verificacin de trama y consiste en una suma de control de todo el paquete ICMP. Los siguientes 32 bits despus del campo SVT, informacin variable, tienen un propsito que vara y se especifican de forma diferente para cada tipo de mensaje ICMP considerado. Este campo resulta muy til para aplicar traduccin de direcciones (NAT) a los mensajes de ICMP.

3.2. Uso Convencional de ICMP

ICMP es utilizado para manejar control de errores y mensajes de control de intercambio. Puede ser utilizado para determinar si una estacin en Internet est activa. Para ello, se enva un mensaje ICMP echo-request (PING) a la mquina destino. Si la mquina recibe el paquete, retornar un paquete ICMP echo-reply (Reply). Los siguientes RFCs definen otras funcionalidades de ICMP:

RFC 896 Source Quench

RFC 950 Address Mask Extensions.

RFC 1191 Path MTU Discovery.


CIBERTEC

RFC 1256 Router Discovery.

RFC 1349 Type of Service in the Internet Protocol Suite.

3.2.1. Generacin de un mensaje ICMP

a) Un host fuente enva un mensaje Telnet a un host localizado en un segmento de una intranet.

b) El router destino, al no poder entregar el paquete al host, genera un mensaje ICMP del tipo destino inalcanzable, dirigido al host origen.

3.2.2. Mensaje ICMP de Plazo excedido


CIBERTEC

3.2.3. Mensaje ICMP de Destino Inalcanzable

3.2.4. Mensaje ICMP de Redireccin

a) El host enva un datagrama IP a R1, debido a que R1 es el router por defecto.

b) R1 recibe el datagrama y decide que R2 es el router adecuado. Cuando lo enva a R2 se da cuenta que est utilizando la misma red fsica, por donde ha llegado el datagrama.

c) R1 enva un ICMP redirect al host, indicando que los siguientes datagramas con el mismo destino se deben enviar a R2.


CIBERTEC

3.3. Uso no Convencional de ICMP

ICMP es considerado una herramienta indispensable en cada red TCP/IP implementada. El formato del paquete es estndar y es reconocido por cada dispositivo IP existente en Internet, y por su utilidad en la administracin, evaluacin y monitoreo de una red. Hackers y otros expertos en redes, descubrieron que este protocolo poda ser utilizado con fines hostiles, como: 3.3.1. Reconocimiento

Es el primer estado en el proceso de obtencin de informacin acerca de estaciones activas y cualquier otra informacin que pueda ser obtenida para planificar un ataque. De la tabla 1 se tiene los tipos de mensajes ICMP existentes. Manipulando estos mensajes, el atacante puede obtener informacin referente a:

Deteccin de estaciones.

Identificacin de la topologa de red.

Deteccin de listas de control de acceso (ACL).

Deteccin de filtros de paquetes.

Identificacin de sistemas operativos.

a. Deteccin de Estaciones

Mediante comando ICMP echo-request se pueden identificar estaciones que son alcanzables desde Internet. Mediante Traceroute se puede mapear una red mediante la identificacin del trayecto de un paquete desde el host emisor hasta el host destino.

b. Deteccin de Listas de Control de Acceso (ACL)

Los mensajes de error ICMP pueden ayudar a determinar el tipo de ACL que el dispositivo de filtrado est utilizando y permitir escoger las tcticas de ataque. El concepto es manipular la longitud total del campo Header IP y crear un paquete modificado con este campo de longitud mayor de lo que realmente es. Cuando estos paquetes alcanzan el host, tratar de grabar los datos en el rea que no existe. El host de esta manera, emitir un paquete de tipo ICMP Parameter Problem, de regreso a la direccin IP origen del trfico. Para identificar a un dispositivo de filtrado de trfico, se evala a toda la red destino con todas las posibles combinaciones de protocolos y servicios existentes, lo cual permitir determinar qu listas de control de acceso existen. El paquete modificado puede ser ICMP, TCP o UDP.


CIBERTEC

c. Protocol/Port Scan

Los mensajes de error ICMP (Protocol /Port Unreachable) son mecanismos comunes para determinar qu tipo de puertos/protocolos estn ejecutndose en el host. NMAP utiliza este mecanismo mediante el envo de paquetes IP toscos, sin cabecera de protocolo (payload), a cada protocolo especfico en la mquina destino. Si es recibido un mensaje ICMP Protocol Unreachable, entonces el protocolo no es utilizado.

d. Identificacin de Sistema Operativo

Para poder identificar el sistema operativo, se sigue el principio: cul sistema operativo responde a que tipo de mensaje ICMP? Esto es posible debido a las diferentes implementaciones de sistemas operativos. Algunos no cumplen estrictamente al RFC, mientras que para otros, el RFC puede ser opcional. La identificacin del S.O. puede ser efectuada utilizando:

Mensaje ICMP Query.

Mensaje ICMP Error.

Adems, los tipos de ICMP se utilizan de la siguiente manera:

El par de mensajes ICMP Echo Request/Reply fue desarrollado para determinar si un host est presente o no. La respuesta negativa podra indicar que no lo est o que el trfico ICMP Echo est filtrado.

El par de mensajes ICMP Information Request/Reply fue desarrollado para soportar sistemas auto-configurados, tales como estaciones sin disco en el momento de inicio para permitir descubrir las direcciones de red.

El par de mensajes Timestamp Request/Reply permite a un host preguntarle a otro por el tiempo actual. Esto le permite calcular la cantidad de latencia que una red en particular est experimentando. La mayora de los sistemas operativos lo implementan.

El par de mensajes ICMP Address Mask Request/Reply fue desarrollado para sistemas sin disco para obtener su mscara de subred, en uso en la red local al momento de inicio. Es utilizado adems, cuando un host quiere conocer la mscara de la direccin de una interface. El RFC 1122 establece que esto es opcional.

Los mensajes de error tambin proporcionan informacin. Por ejemplo, recibir un paquete Protocol Unreachable revela que el host est activo y que el protocolo requerido no es soportado.


CIBERTEC

Basado en la naturaleza de las diferentes implementaciones de S.O. se puede obtener informacin valiosa, manipulando los mensajes ICMP y observando la respuesta del host destino. Las tcnicas estn listadas a continuacin.

Respuesta a ICMP Query Messages Types en el host destino.

Respuesta a ICMP Query Messages Types a direcciones broadcast.

Valor IP TTL en los mensajes ICMP (Request y Reply).

Respuesta a ICMP Query Messages Types con campo Code distinto de 0.

Respuesta en los mensajes ICMP Query con bits de precedencia de valor distinto de 0.

Respuesta en los mensajes ICMP Query con valor ToS distinto de 0.

Respuesta en los mensajes ICMP Query con valor ToS no utilizado igual a 1.

Respuesta en los mensajes ICMP Query con valor de la bandera de bit reservado igual a 1.

Respuesta en los mensajes ICMP Query con el campo Dont Fragment puesto.

Mensajes de error ICMP de integridad con mensajes de error ICMP Port Unreachable.

Las siguientes figuras representan cmo se puede identificar a los sistemas operativos.


CIBERTEC

HPUX, Solaris y Linux

Figura 1. Mtodo de reconocimiento de S.Os. HPUX, Solares y Linux utilizando ICMP.

Familia Windows (95/98/Me/NT/2000)

Figura 2. Mtodo de reconocimiento de S.Os. Windows 95/98/Me/NT y 2000 utilizando ICMP.


CIBERTEC

3.3.2. Denial Of Service

El uso de ICMP como medio para iniciar ataques de negacin de servicio se hizo muy conocido con el ataque del Ping de la Muerte. Se mencionan los ataques ms conocidos de negacin de servicio.

a. Smurf DoS Este ataque toma ventaja de la capacidad que tiene ICMP de enviar mensajes a direcciones broadcast, lo cual es utilizado para iniciar ataques de inundacin. Intervienen 3 partes: la estacin atacante, la vctima y redes cmplices. La estacin atacante genera un paquete ICMP echo-request con origen falso de la estacin vctima y con destino a un rango de direcciones IP, con direccin de broadcast (ping 12.255.255.255). Estas estaciones reciben el mensaje ping con direccin falsa (vctima) y responden a la vctima. Como el nmero de estaciones que responden es elevado (como mximo 16646,144 estaciones), el enlace de la vctima se satura.

b. Tribe Flood Network TFN est compuesto de un cliente y demonios (daemons) de programas, que implementan una herramienta de ataque tipo Distributed DoS y as, generar ataques: ICMP flood, SYN flood y de tipo Smurf. La comunicacin del cliente con los demonios se realiza por medio de paquetes ICMP echo-reply. Cada comando es enviado a los demonios en la forma de un nmero binario de 16 bits en el campo ID, en un paquete ICMP echo-reply con el nmero de secuencia como constante (0x0000), el que podra verse como la respuesta al paquete inicial enviado por el comando ping. Esto previene al kernel en el demonio de replicar con un paquete ICMP echo-reply. El demonio responde entonces a los clientes, utilizando un paquete ICMP echo-reply. El contenido vara en el TFN, tanto si es utilizado para enviar argumentos de comandos y rplicas.


CIBERTEC

Figura 3. Representacin esquemtica de un ataque de negacin de servicio.

c. WinFreeze

Es un tipo de ataque contra Windows. Un cdigo pequeo puede causar que una caja Windows 9x/NT se congele completamente. El programa inicia una tormenta de mensajes ICMP/Redirect-host que aparenten venir de un ruteador. La mquina Windows recibir mensajes de tipo redirect-host provocando que cambie su tabla de rutas, lo que provoca que trabaje lentamente hasta que se ejecute un reinicio.

3.3.3. Covert Channel

ICMP puede tambin ser utilizado como un covert channel (canal oculto de transmisin de datos), a travs de la red por la cual pasa. LOKI es una herramienta de ataque que explota esta caracterstica. La forma de trabajo es sencilla: cierta informacin arbitraria es enviada por medio de tunneling en la parte de datos de los paquetes ICMP echo-request y echo-reply. LOKI explota el covert channel que existe dentro del trfico ICMP echo. Estos paquetes tienen la opcin de incluir datos en el paquete. Esta seccin de datos es utilizada cuando es especificada la opcin record route, o el caso ms comn para almacenar informacin de registro de tiempo (timing) para determinar el tiempo de ida y vuelta. Aunque la parte de datos es informacin de timing, no hay chequeo del contenido. La mayora de los dispositivos de red no filtra el contenido del trfico ICMP echo. El paquete troyano es enmascarado como trfico ICMP echo comn. Si un host es comprometido y se instala un servidor Loki, ste puede responder al trfico enviado por el cliente Loki. Considerando que los programas utilizan paquetes ICMP echo-request y echo-reply, es difcil poder detectar esta actividad.


CIBERTEC

4. Teora de Estmulo y Respuesta

La necesidad de conocer muy bien el proceso de estmulo y respuesta es el afinamiento de los sistemas de deteccin de intrusos, ya que buena parte de las firmas definidas son genricas y ello origina que se registren muchas falsas alarmas. A continuacin, se detallan diferentes tcnicas de anlisis de puertos utilizando paquetes TCP/IP. Para escoger la tcnica adecuada a utilizar en un determinado entorno a analizar, se deber tener en cuenta la topologa de la red, la presencia de cortafuegos y de sistemas de deteccin de intrusos, as como, las caractersticas de registro de actividad en los ordenadores destino.

TCP CONNECT() SCAN. Es la forma ms bsica de anlisis de puertos. Se intenta establecer una conexin normal al puerto mediante la llamada connect() del sistema.


CIBERTEC

Ventajas: - No se necesita privilegios especiales para realizar el anlisis. - Se consigue una gran velocidad al analizar puertos en paralelo. Desventajas: - Muy fcil de filtrar y detectar, ya que en los registros del sistema para cada puerto

analizado, aparece que se ha intentado establecer una conexin y a continuacin, se ha cerrado la conexin sin enviar la informacin.

TCP SYN SCAN. No establece una conexin TCP completa, sino que cuando recibe la respuesta SYN|ACK indicando que el puerto est a la escucha, inmediatamente enva un paquete RST para romper la conexin. Existe otra variante que no enva el paquete RST y, por lo tanto, deja el proceso de establecimiento de la conexin a medias.

Ventajas: - Los IDS ms modestos (basados en conexin) no registran este intento de conexin - Se consigue una gran velocidad al analizar puertos en paralelo.

Desventajas: - Hacen falta privilegios de administrador para construir el paquete SYN inicial.

TCP SYN|ACK SCAN. Salta el primer paso en el establecimiento de conexin TCP, enviando directamente un paquete SYN|ACK al ordenador destino. Si el puerto est abierto no se recibe respuesta, pero si est cerrado se recibe RST. En este caso, se puede determinar qu puertos estn cerrados y, por exclusin, cules estn abiertos (mapeo inverso). En las tcnicas de mapeo inverso, se pueden producir lentos falsos positivos debido a paquetes destruidos, ya sea por la accin de cortafuegos, filtros de paquetes o lmites de tiempo.


CIBERTEC

Ventajas: - Los paquetes SYN|ACK son capaces de pasar a travs de algunos cortafuegos que

slo filtran paquetes SYN a puertos restringidos. - Los IDS ms modestos no registran este intento de conexin. Desventajas: - Se pueden producir falsos positivos lentos. - La familia de sistemas BSD (BSD, OpenBSD, NetBSD y FreeBSD) ignoran los

paquetes SYN|ACK, sea cual sea el estado del puerto.

TCP ACK SCAN. Consiste en enviar un paquete ACK al ordenador destino, que siempre responder con un paquete RST. No obstante, si el puerto est abierto, el valor del campo TTL ser menor o igual a 64, o el valor del campo win ser diferente de 0.

Ventajas: - Evita IDS. - Es difcil de registrar. - Los paquetes ACK se pueden utilizar para mapear el conjunto de reglas de algunos

cortafuegos que no devuelven respuesta para los puertos filtrados. Desventajas: - Su funcionamiento depende del sistema operativo del ordenador analizado, que

debe ser de tipo BSD.

TCP FIN SCAN. Ante un paquete FIN, los puertos cerrados deberan replicar con el debido RST y los puertos abiertos deberan ignoran el paquete FIN (mapeo inverso).


CIBERTEC

Ventajas: - Los paquetes FIN son capaces de pasar a travs de cortafuegos que filtran paquetes SYN

a puertos restringidos. Desventajas: - Algunos sistemas (por ej. Microsoft) responden paquetes RST, sea cual sea el estado del

puerto. - Se pueden producir falsos positivos lentos.

TCP NULL SCAN. Consiste en enviar un paquete con todas las seales de cdigo (URG, ACK, PSH, RST, SYN y FIN) de la cabecera TCP desactivada. Si el puerto est abierto, no se recibe respuesta (mapeo inverso), pero si est cerrado, se recibe RST|ACK.

Ventajas: - Los paquetes NULL son capaces de evitar algunos sistemas de deteccin de intrusos. Desventajas: - Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser

una variante de Unix. - Es fcil de detectar y registrar. - Se pueden producir falsos positivos lentos.

TCP XMAS SCAN. Consiste en enviar un paquete con todas las seales de cdigo (URG, ACK, PSH, RST, SYN y FIN) de la cabecera TCP activadas. Si el puerto est abierto, no se recibe respuesta (mapeo inverso), pero si est cerrado se recibe RST|ACK.

Ventajas: - Los paquetes XMAS son capaces de evitar algunos sistemas de deteccin de intrusos. Desventajas: - Su funcionamiento depende del sistema operativo del ordenador analizado, que debe ser

una variante de Unix. - Es fcil de detectar y registrar. - Se pueden producir falsos positivos lentos.


CIBERTEC

UDP ICMP PORT UNREACHABLE SCAN. Utiliza el protocolo UDP en lugar de TCP. En dicho protocolo los puertos abiertos no envan paquetes ACK en respuesta a las pruebas y los puertos cerrados no estn obligados a enviar un paquete RST. En ocasiones, muchos sistemas responden con un error ICMP de puerto inalcanzable en sus puertos cerrados. En este caso, se puede determinar qu puertos estn cerrados y, por exclusin, cules estn abiertos.

Ventajas: - Permite saber qu puertos UDP estn abiertos. - Evita IDS que slo registran trfico TCP. Desventajas: - Hacen falta privilegios de administrador. - Es lento. - Es fcilmente detectable. - No se garantiza la llegada de los paquetes UDP ni de los errores ICMP, as que en el

anlisis, se pueden encontrar falsos positivos debido a paquetes que no llegaron.

4.1. Comportamiento Normal El comportamiento esperado de un protocolo se define en los Request For Comments (RFCs). Los protocolos ms importantes son los que se mencionan a continuacin.

RFC 793. Este RFC describe el Transmisin Control Protocol (TCP).

RFC 768. Este RFC describe el User Datagram Protocol (UDP).

RFC 791. Este RFC describe el Internet Protocol (IP).

RFC 792. Este RFC describe el Internet Control Message Protocol (ICMP). 4.1.1. TCP Estmulo y Respuesta

Se analiza los procesos de intentos de conexin en diferentes condiciones al servicio Telnet. El objetivo es reflejar el comportamiento del protocolo. Sin embargo, tiene las siguientes condiciones.

Servidor destino tiene el servicio solicitado habilitado

El host tel_client.com intenta conectarse al servicio Telnet (TCP:23) en myhost.com.


CIBERTEC

19:53:12.448176 IP tel_client.com.2548 > myhost.com.23: S 1352841283:1352841283(0) win 16384 (DF) 19:53:12.449572 IP myhost.com.23 > tel_client.com.2548: S 3752820523:3752820523(0) ack 1352841284 win 64240 (DF) 19:53:12.449636 IP tel_client.com.2548 > myhost.com.23: . ack 1 win 16560 (DF)

En la captura de trfico mostrada se observa primero, el paquete de solicitud de inicio de sesin Telnet de tel_client.com a myhost.com. En el segundo paquete, se muestra la respuesta positiva por parte de myhost.com. Finalmente, en el tercer paquete, tel_client.com informa a myhost.com de que est listo para iniciar la transmisin de paquetes. El proceso de handshaking se ha producido.

Servidor destino no tiene habilitado el servicio solicitado

En este escenario myhost.com no tiene habilitado el servicio Telnet y por lo tanto no escucha en el puerto respectivo. Cuando se trata de establecer una sesin Telnet, se obtiene la siguiente respuesta.

tel_client.com.38060 > myhost.com.telnet: S 3774957990:3774957990 win 8760 (DF) myhost.com.telnet > tel_client.com.38060: R 0:0 ack 3774957991 win 0

El servidor responde con un RESET/ACK al intento de conexin terminando sta de manera abrupta.

Servidor destino no existe

Uno de las situaciones que tambin se dan, en especial en Internet, es la no existencia de servidores por diversas razones. En la siguiente captura se refleja el comportamiento de trfico en esta situacin.

tel_client.com.38060 > myhost.com.telnet: S 3774957990:3774957990(0) win 8760 (DF) router.com > tel_client.com: icmp: host myhost.com unreachable

Como se observa, el nombre del servidor myhost.com s existe, pero la direccin IP no est activa. La respuesta proviene del ruteador, router.com quien le informa a tel_client.com de una condicin de error utilizando el protocolo ICMP.


CIBERTEC

Puerto/servicio destino bloqueado

La siguiente condicin se refiere al hecho de la existencia de un mecanismo de bloqueo que no permite que se establezcan sesiones Telnet desde el exterior con myhost.com. En este caso, el router.com tambin juega un papel activo. Cuando tel_client.com intenta iniciar una sesin Telnet, sta es rechazada por el mecanismo de filtrado y router.com, que le informa a tel_client, mediante un mensaje de unreachable admin. prohibited filter, que el acceso est bloqueado. Esta respuesta puede ser utilizada como una manera de efectuar un reconocimiento de la red objetivo. En un ruteador Cisco esto se puede evitar colocando la siguiente instruccin. no ip unreachables Esto previene al ruteador Cisco a no proveer mucha informacin al origen del intento de conexin. El trfico es el que se muestra a continuacin.

tel_client.com.38060 > myhost.com.telnet: S 3774957990:3774957990(0) win 8760 (DF) router.com > tel_client.com: icmp: myhost.com unreachable - admin prohibited filter

Puerto/servicio destino bloqueado y el ruteador no responde

En esta situacin, el servidor tiene el servicio bloqueado y adems, el ruteador ha sido configurado para no responder ante un intento de conexin. El trfico observado indica que slo hay flujo en una sola direccin: desde tel_client.com hacia myhost.com. El trfico se muestra a continuacin.

17:14:18.726864 tel_client.com.38060 > myhost.com.telnet: S 3774957990:37 17:14:21.781140 tel_client.com.38060 > myhost.com.telnet: S 3774957990:3774957990(0) win 8760 (DF) 17:14:27.776662 tel_client.com.38060 > myhost.com.telnet: S 74957990(0) win 8760 (DF) 17:14:27.776662 tel_client.com.38060 > myhost.com.telnet: S 3774957990:3774957990(0) win 8760 (DF) 17:14:39.775929 tel_client.com.38060 > myhost.com.telnet: S 3774957990:3774957990(0) win 8760 (DF)


CIBERTEC

4.1.2. UDP Estmulo y Respuesta

UDP no es un protocolo orientado a conexin, pero tiene sus parmetros de comunicacin. A continuacin se analizarn los siguientes.

Servidor destino tiene el servicio solicitado habilitado

Se ver el caso de la resolucin de nombres que trabajan bajo el protocolo Domain Name System (DNS). La estacin nslookup.com trata de conectarse a myhost.com para resolver un nombre. En este caso, se deber resolver el nombre windowsupdate.com.

14:56:43.197592 nslookup.com.1026 > myhost.com.53:2+ A? windowsupdate.com. 14:56:43.364051 myhost.com.53 > nslookup.com.1026: 2*- 0/1/0

Servidor destino no tiene habilitado el servicio solicitado

UDP no es un protocolo orientado a conexin, por lo tanto, si una estacin trata de conectarse a un servidor, a travs de un servicio que ste no tiene habilitado, el servidor lo notificar por medio del protocolo ICMP, mediante el mensaje de port unreachable. El trfico capturado muestra la siguiente situacin.

nslookup.com.45070 > myhost.com.domain: 51007+ (31) (DF) myhost.com > nslookup.com: icmp:myhost.com udp port domain unreachable

Estas respuestas tambin pueden ser utilizadas por los hackers para efectuar pruebas de reconocimiento en la red objetivo y por lo tanto, es recomendable filtrar en la red.

4.2. Estmulo y Respuesta Anormal

El stack de protocolos TCP/IP si bien define parmetros de conducta de los protocolos descritas en los RFCs, las investigaciones posteriores demostraron que las implementaciones de protocolos en determinados sistemas operativos tenan ciertas respuestas a estmulos que pueden ser utilizados de forma hostil contra los servidores instalados en la red. Entre ellos, se describen las siguientes respuestas.


CIBERTEC

Estmulos de evasin, ausencia de respuesta

Una de las tcnicas descubiertas por los hackers para el proceso de reconocimiento fue el envo de trfico TCP con el flag FIN habilitado. Esta es una forma de detectar si un puerto est habilitado o no. Segn el RFC 793 el puerto escuchante no debera responder, sin embargo, un puerto deshabilitado responder con un paquete RESET/ACK. A continuacin se analiza un caso.

stealthy.com.50141 > victim.org.5: F 0:0(0) win 4096 (DF) stealthy.com.50141 > victim.org.3: F 0:0(0) win 4096 (DF) stealthy.com.50141 > victim.org.26: F 0:0(0) win 4096 (DF) stealthy.com.50141 > victim.org.45: F 0:0(0) win 4096 (DF) stealthy.com.50141 > victim.org.17: F 0:0(0) win 4096 (DF) stealthy.com.50141 > victim.org.7: F 0:0(0) win 4096 (DF) stealthy.com.50141 > victim.org.51: F 0:0(0) win 4096(DF)

Este escaneo es considerado de tipo oculto porque los IDS no lo consideraba dentro de sus firmas de deteccin.

Estmulos malignos, respuesta fatal

Los ataques de negacin de servicio intentan consumir los recursos de un servidor para evitar que funcione correctamente. Dentro de estas variedades, Jolt2 es un ataque que consume todos los recursos de memoria para que no pueda funcionar. El trfico de ataque se muestra a continuacin.

10:48:56.848099 verbo.com > win98.com: (frag 1109:9@65520) 10:48:56.848099 verbo.com > win98.com: (frag 1109:9@65520) 10:48:56.848295 verbo.com > win98.com: (frag 1109:9@65520) 10:48:56.848295 verbo.com > win98.com: (frag 1109:9@65520) 10:48:56.848351 verbo.com > win98.com: (frag 1109:9@65520) 10:48:56.848351 verbo.com > win98.com: (frag 1109:9@65520)

Jolt2 enva una corriente de trfico sin fin de paquetes ICMP Echo-Request hacia un objetivo Windows. Estos paquetes son fragmentos con el mismo identificador de fragmento, pero con desplazamientos de fragmento no cero duplicados. Considerando que todos los fragmentos no portan datos con excepcin del primero y sin cabeceras de protocolos, el host receptor slo sabe que el protocolo encapsulado es ICMP. Existen problemas para hosts Windows 98/NT/2000 donde no pueden recibir el fragmento de desplazamiento inicial. El host objetivo consume sus recursos reensamblando paquetes, consumiendo los recursos de memoria y provocando el DoS.


CIBERTEC

Ningn estmulo, todas las respuestas Esta es una estrategia que se utiliza con IP Spoofing. En el trfico registrado se observa muchos hosts pertenecientes a la red 1.2, los cuales envan trfico que provoca estas respuestas. De otro lado, ningn trfico saliente es encontrado desde estos hosts. El trfico se muestra seguidamente. router.com > 1.2.10.72: icmp: time exceeded in-transit router.com > 1.2.18.13: icmp: time exceeded in-transit router.com > 1.2.11.67: icmp: time exceeded in-transit router.com > 1.2.16.13: icmp: time exceeded in-transit router.com > 1.2.19.1: icmp: time exceeded in-transit router.com > 1.2.1.252: icmp: time exceeded in-transit router.com > 1.2.13.56: icmp: time exceeded in-transit

La explicacin a este trfico es que un host false el origen y el trfico fue enviado a una red externa utilizndola como direccin fuente. El indicador de esto es que slo se detecta una parte del trfico. Este tipo de trfico indica que alguien inici una actividad hostil contra la red externa. El razonamiento para concluir que esto tampoco es trfico de reconocimiento por parte de los hosts de la red 1.2, es que es un mensaje de error ICMP; el RFC 112 indica que un mensaje de error ICMP no puede provocar otro mensaje de error ICMP. Considerando que no existe algn protocolo que pueda responder a esta actividad, la teora de spoofing es la ms lgica.

Estmulo no convencional, respuesta de identificacin de sistemas operativos

Los sistemas operativos tienen distintas respuestas cuando reciben determinado tipo de trfico. Esta particularidad es utilizada para identificar el sistema operativo que tiene el host para poder dirigir ms inteligentemente, sus ataques. Esto es posible ya que el stack TCP/IP es implementado de manera diferente en cada sistema. Para ello, se trata de obtener respuestas a estmulos, principalmente en el campo flags del protocolo TCP. La forma en que esto se puede realizar se hace la siguiente manera.


CIBERTEC

Un paquete con el flag FIN no solicitado hacia un puerto abierto. De acuerdo al RFC 793 no debera haber respuesta estos paquetes, pero algunos hosts responden con un RESET.

Valores falsos de flag TCP reservados. Este es otro mtodo de identificar sistemas operativos. TCP tiene 6 flags y hay adems, 2 bits extra reservados. Para identificar estos bytes, a travs de windump, se debe ejecutar con la opcin x. en el siguiente trfico capturado. Se observa cmo se descubre el sistema operativo.

scanner.com.44388 > target.com.domain: S 403915838:403915838 win 4096 (DF) [4500 003c 7542 4000 3b06 15bd 0102 0304 0102 0305] ad64 0035 1813 443e 0000 0000 a042 1000 fa4c 0000 0303 0a01 0204 0109 080a 3f3f 3f3f 0000 0000 0000

Los primeros 20 bytes son de la cabecera IP, los siguientes bytes corresponden a la cabecera TCP y los datos; el 13 byte, que sigue a la cabecera IP es el byte de flag. En este caso el valor es 42 hexadecimal. Los bits de mayor orden tienen un valor mayor que 3, lo que significa que un bit reservado ha sido habilitado. Al enviar el escner este paquete, pretende obtener una respuesta por parte de la estacin para determinar cul es el sistema operativo. En el siguiente paquete se observa la respuesta del objetivo target.com a scanner.com.

target.com.domain > scanner.com.44388: S 4154976859:4154976859(0) ack 403915839 win 8855 (DF) [4500 003c e04e 4000 ff06 e6af 83da d684 83da d683] 0035 ad64 f7a7 ea5b 1813 443f a012 2297 fd3f 0000 0101 080a 0102 0f9f 3f3f 3f3f 0103 0300 0204 0109

Target.com responde a este paquete con los flags SYN/ACK, lo que indica que no ha reaccionado al flag anormal (flag=12). Esto es, la respuesta del sistema operativo ha descartado el bit de flag reservado errneo. Otro sistema operativo lo podra haber preservado en la respuesta.

Combinaciones anmalas de Flags TCP. El RFC 793 describe y determina el comportamiento y la secuencia normal de los estados de los flags TCP. La mayora de sistemas operativos siguen las reglas completamente, pero a pesar de ello,


CIBERTEC

existen excepciones las cuales son utilizadas como debilidades para efectuar el reconocimiento. En el siguiente trfico se observa un escaneo a la estacin win98 envindole un paquete con los flags SYN, FIN y PUSH, de manera simultnea. 20:33:16.409759 verbo.47322 > win98.netbios-ssn: SFP 861966446:861966446(0) win 3072 urg 0 20:33:16.410387 win98.netbios-ssn > verbo.47322: S 49904150:49904150 ack 861966447 win 8215 (DF)

Este trfico aparenta ser completamente anmalo, ya que los 3 flags no deberan estar habilitados en un paquete convencional porque con el bit SYN se establece una sesin; con el bit FIN se termina y con el bit PUSH, se envan datos despus que una sesin es abierta o antes de que se cierre. Lo natural para el host receptor ser ignorar el paquete o responder con un RESET; sin embargo, el sistema operativo Windows 98 interpreta esto como un inicio de sesin y responde con un SYN/ACK. Esta nica reaccin permite identificar rpidamente al host como una estacin con S.O. Windows 98.

Ningn flag TCP. El envo de paquetes TCP sin ningn flag habilitado es otra tcnica utilizada para determinar la identidad del sistema operativo objetivo. Este tipo de conexin se conoce como sesin nula (Null Session). El trfico detectado es el siguiente.

scanner.com.44389 > target.com.domain: . win 4096 (DF) [4500 003c 7543 4000 3b06 15bc 0102 0304 0102 0305] ad65 0035 1813 443e 0000 0000 a000 1000 fa8d 0000 0303 0a01 0204 0109 080a 3f3f 3f3f 0000 0000 0000

Como se muestra en el byte resaltado, el valor de los flags es cero. La mayora de los sistemas operativos no responden a una sesin nula y descartan el paquete, en cambio otros responden con un paquete RESET.


CIBERTEC

5. Uso de NMAP para escaneo de redes

Nmap (mapeador de redes) es una herramienta de cdigo abierto para exploracin de red y auditora de seguridad. Se dise para analizar rpidamente grandes redes, aunque funciona muy bien contra equipos individuales. Utiliza paquetes IP "crudos" (raw, N. del T.) en formas originales para determinar qu equipos se encuentran disponibles en una red, qu servicios ofrecen, qu sistemas operativos ejecutan, qu tipo de filtros de paquetes o cortafuegos se estn utilizando, as como docenas de otras caractersticas. La salida de Nmap es un listado de objetivos analizados, con informacin adicional para cada uno dependiente de las opciones utilizadas. La informacin primordial es la tabla de puertos interesantes, dicha tabla lista el nmero de puerto y protocolo, el nombre ms comn del servicio y su estado. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado) o unfiltered (no filtrado). - Abierto significa que la aplicacin en la mquina destino se encuentra esperando

conexiones o paquetes en ese puerto. - Filtrado indica que un cortafuego, filtro u otro obstculo en la red est bloqueando

el acceso a ese puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado.

- Cerrado no tiene ninguna aplicacin escuchando en los mismos, aunque podra abrirse en cualquier momento.

- No filtrados, aquellos que responden a los sondeos de Nmap, pero para los que Nmap no puede determinar si se encuentran abiertos o cerrados.


CIBERTEC

Nmap informa de las combinaciones de estado open|filtered y closed|filtered cuando no puede determinar en cul de los dos estados est un puerto. La tabla de puertos tambin puede incluir detalles de la versin de la aplicacin cuando se ha solicitado deteccin de versiones. Nmap ofrece informacin de los protocolos IP soportados, en vez de puertos abiertos, cuando se solicita un anlisis de protocolo IP con la opcin (-sO). Ejemplo tpico de anlisis con Nmap.

# nmap -A -T4 scanme.nmap.org saladejuegos Starting nmap ( http://www.insecure.org/nmap/ ) Interesting ports on scanme.nmap.org (205.217.153.62): (The 1663 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) 53/tcp open domain 70/tcp closed gopher 80/tcp open http Apache httpd 2.0.52 ((Fedora)) 113/tcp closed auth Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11 Uptime 33.908 days (since Thu Jul 21 03:38:03 2005) Interesting ports on saladejuegos.nmap.org (192.168.0.40): (The 1659 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn 389/tcp open ldap? 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 1002/tcp open windows-icfw? 1025/tcp open msrpc Microsoft Windows RPC 1720/tcp open H.323/Q.931 CompTek AquaGateKeeper 5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900) 5900/tcp open vnc VNC (protocol 3.8) MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications) Device type: general purpose Running: Microsoft Windows NT/2K/XP OS details: Microsoft Windows XP Pro RC1+ through final release Service Info: OSs: Windows, Windows XP Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds

Uso: nmap [Tipo(s) de Anlisis] [Opciones] {especificacin de objetivos}


CIBERTEC

ESPECIFICACIN DE OBJETIVO Se pueden indicar nombres de sistema, direcciones IP, redes, etc. Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254

-iL : Lee una lista de sistemas/redes del archivo.

-iR : Selecciona objetivos al azar.

--exclude :

Excluye ciertos sistemas o redes.

--excludefile :

Excluye los sistemas indicados en el fichero.

DESCUBRIMIENTO DE HOSTS

-sL: Sondeo de lista. Simplemente lista los objetivos a analizar.

-sP: Sondeo Ping Slo determina si el objetivo est vivo.

-P0: Asume que todos los objetivos estn vivos.

-PS/PA/PU [listadepuertos]:

Anlisis TCP SYN, ACK o UDP de los puertos indicados.

-PE/PP/PM: Solicita un anlisis ICMP del tipo echo, marca de fecha y mscara de red.

-n/-R: No hace resolucin DNS / Siempre resolver [por omisin: a veces]

--dns-servers :

Especifica servidores DNS especficos.

--system-dns: Utiliza la resolucin del sistema operativo.

TCNICAS DE ANLISIS

-sS/sT/sA/sW/sM: Anlisis TCP SYN/Connect()/ACK/Window/Maimon

-sN/sF/sX: Anlisis TCP Null, FIN, y Xmas.

--scanflags : Personaliza los indicadores TCP a utilizar.

-sI :

Anlisis pasivo (Idle, N. del T.)

-sO: Anlisis de protocolo IP.

-b : Anlisis por rebote FTP.


CIBERTEC

ESPECIFICACIN DE PUERTOS Y ORDEN DE ANLISIS

-p :

Slo sondea los puertos indicados.

-F: Rpido -Analiza slo los puertos listados en el archivo nmap-services

-r: Analiza los puertos secuencialmente, no al azar..

DETECCIN DE SERVICIO/VERSIN

-sV: Sondea puertos abiertos, para obtener informacin de servicio/versin.

--version-intensity :

Fija de 0 (ligero) a 9 (probar todas las sondas)

--version-light: Limita a las sondas ms probables (intensidad 2)

--version-all: Utiliza todas las sondas (intensidad 9)

--version-trace: Presenta actividad detallada del anlisis (para depurar)

DETECCIN DE SISTEMA OPERATIVO

-O: Activa la deteccin de sistema operativo (SO).

--osscan-limit: Limita la deteccin de SO a objetivos prometedores.

--osscan-guess: Adivina el SO de la forma ms agresiva.

TEMPORIZADO Y RENDIMIENTO

-T[0-5]: Selecciona plantilla de temporizado. (Los nmeros altos son ms rpidos)

--min-hostgroup/max-hostgroup :

Paralelizacin los sondeos.

--min-parallelism/max-parallelism :

Paralelizacin de sondeos.

--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout :

Indica el tiempo de ida y vuelta de la sonda.

--max-retries :

Limita el nmero mximo de retransmisiones de las sondas de anlisis de puertos.

--host-timeout :

Abandona un objetivo pasado este tiempo.

--scan-delay/--max-scan-delay :

Ajusta el retraso entre sondas.


CIBERTEC

EVASIN Y FALSIFICACIN PARA CORTAFUEGOS/IDS

-f; --mtu : Fragmenta paquetes (opc. con el MTU indicado)

-D :

Disimula el anlisis con seuelos.

N. del T.: ME es YO mismo.

-S : Falsifica la direccin IP origen.

-e : Utiliza la interfaz indicada.

-g/--source-port :

Utiliza el nmero de puerto dado.

--data-length : Agrega datos al azar a los paquetes enviados.

--ttl : Fija el valor del campo time-to-live (TTL) de IP.

--spoof-mac :

Falsifica la direccin MAC.

--badsum: Enva paquetes con una suma de comprobacin TCP/UDP falsa

SALIDA

-oN/-oX/-oS/-oG :

Guarda el sondeo en formato normal, XML, s|


CIBERTEC

MISCELNEO:

-6: Habilita anlisis IPv6

-A: Habilita la deteccin de SO y de versin

--datadir :

Indica la ubicacin de los archivos de datos Nmap personalizados.

--send-eth/--send-ip:

Enva paquetes utilizando tramas Ethernet o paquetes IP "crudos"

--privileged: Asume que el usuario tiene todos los privilegios.

-V: Muestra el nmero de versin.

-h: Muestra esta pgina resumen de la ayuda.

Ejemplos: nmap -v -A scanme.nmap.org nmap -v -sP 192.168.0.0/16 10.0.0.0/8 nmap -v -iR 10000 -P0 -p 80

- Especificacin de objetivos Todo lo que se escriba en la lnea de parmetros de Nmap que no sea una opcin, se considera una especificacin de sistema objetivo. El caso ms sencillo es la indicacin de slo una IP, o nombre de sistema, para que sea analizado.

Puede darse la situacin en que se desee analizar una red completa de equipos adyacentes. Nmap soporta el direccionamiento estilo CIDR para estos casos. Adems, se puede aadir /numBits a una direccin IP o nombre de sistema para que Nmap sondee toda IP cuyos primeros numBits sean los mismos que los de la direccin IP o nombre de sistema indicado. En el caso del sistema scanme.nmap.org que posee una direccin IP 205.217.153.62, la especificacin scanme.nmap.org/16 analizara las 65.536 direcciones IP entre 205.217.0.0 y 205.217.255.255. La mscara ms pequea permitida es /1, que analizara media Internet, la ms grande, /32, analizara nicamente la IP o nombre de sistema indicados porque todos los bits estaran fijos.

La notacin CDIR es breve pero no siempre es suficientemente flexible. En lugar de especificar una direccin IP normal, se podr especificar una lista separada por comas de nmeros o rangos para cada octeto. Los rangos no tienen por qu estar limitados a los ltimos octetos. Por ejemplo, si especifica 0-255.0-255.13.37 se realizar un sondeo en todo Internet de las direcciones IP que terminan en 13.37. Este tipo de muestreo amplio puede ser til para encuestas en Internet y con fines de investigacin.


CIBERTEC

Con Nmap se podr especificar mltiples sistemas en la lnea de rdenes y no tienen por qu ser del mismo tipo. Por ejemplo, la orden nmap scanme.nmap.org 192.168.0.0/16 10.0.0,1,3-7.0-255 hace lo que uno esperara.

Aunque habitualmente se especifican los objetivos en la lnea de rdenes se podrn utilizar las siguientes opciones para controlar la seleccin de objetivos.

-iL (Entrada de una lista) Toma la especificacin de objetivos del archivo archivo_entrada. Por ejemplo, si el servidor DHCP puede exportar un listado de las 10.000 direcciones entregadas IP que querra analizar. O tal vez quiera analizar todas las direcciones IP excepto esas mismas direcciones, para as localizar sistemas que estn utilizando direcciones IP estticas sin autorizacin. Para sondear un nmero elevado de objetivos slo tiene que generar la lista en un archivo, y entregrselo a Nmap con la opcin -iL. Cada elemento debe estar separado por uno o ms espacios, tabuladores, o por lneas.

- Descubriendo sistemas

Analizar cada puerto de cada una de las direcciones IP es lento e innecesario. Por supuesto, lo que hace a un sistema interesante depende ampliamente del propsito del anlisis. Asimismo, Nmap ofrece una gran variedad de opciones para personalizar las tcnicas utilizadas. Al descubrimiento de sistemas (Host Discovery) se le suele llamar sondeo ping. Los usuarios pueden evitar el paso de ping utilizando un sondeo de lista (-sL) o deshabilitando el ping (-P0), o enviando combinaciones arbitrarias de sondas TCP SYN/ACK, UDP e ICMP a mltiples puertos de la red remota. El propsito de estas sondas es solicitar respuestas que demuestren que una direccin IP se encuentra activa. En varias redes solo un pequeo porcentaje de direcciones IP se encuentran activos en cierto momento, esto es particularmente comn en las redes basadas en direccionamiento privado RFC1918, como la 10.0.0.0/8, puesto que dicha red tiene ms de 16 millones de direcciones IP.

Si no se proveen opciones de descubrimiento de sistemas, Nmap enva un paquete TCP ACK al puerto 80 y un ICMP Echo Request a cada mquina objetivo. Una excepcin a este comportamiento es cuando se utiliza un anlisis ARP, para los objetivos que se encuentren en la red Ethernet local. Para usuarios de shell UNIX que no posean privilegios, un paquete SYN es enviado en vez del ACK, utilizando la llamada al sistema connect(). Estos valores por omisin son el equivalente a las opciones -PA -PE.

Las opciones -P* pueden combinarse; aumentar sus probabilidades de penetrar cortafuegos estrictos enviando muchos tipos de sondas utilizando diferentes puertos o banderas TCP y cdigos ICMP. Cabe resaltar que el ARP discovery (-PR) se realiza por omisin contra objetivos de la red Ethernet local, incluso si se especifica otra de las opciones -P*.


CIBERTEC

Las siguientes opciones controlan el descubrimiento de sistemas.

* sL (Sondeo de lista) El sondeo de lista es un tipo de descubrimiento de sistemas que tan solo lista cada equipo de la/s red/es especificada/s, sin enviar paquetes de ningn tipo a los objetivos. Por omisin, Nmap va a realizar una resolucin inversa DNS en los equipos, para obtener sus nombres. Adicionalmente, al final, Nmap reporta el nmero total de direcciones IP. El sondeo de lista es una buena forma de asegurarse de tener las direcciones IP correctas. Si se desea deshabilitar el anlisis ping, an realizando dicha funcionalidad de mayor nivel, se deber comprobar la documentacin de la opcin -P0. * sP (Sondeo ping) Esta opcin le indica a Nmap que realice descubrimiento de sistemas mediante un sondeo ping y que luego, emita un listado de los equipos que respondieron al mismo. Permite un reconocimiento liviano de la red objetivo. De la misma forma, puede ser fcilmente utilizada para contabilizar las mquinas disponibles en una red o monitorizar servidores. A esto se lo suele llamar barrido ping, y es ms fiable que hacer ping a la direccin de broadcast. La opcin -sP enva una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisin. Cuando un usuario sin privilegios ejecuta Nmap se enva un paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (-PR), a no ser que se especifique la opcin --send-ip. Adems, -sP puede combinarse con cualquiera de las opciones de sondas de descubrimiento (excepto -P0) para disponer de mayor flexibilidad. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y nmero de puerto, se ignoran las sondas por omisin (ACK y solicitud de eco ICMP).

- Tcnicas de sondeo de puertos Los usuarios sin experiencia y los "script kiddies" intentan resolver cada problema con el sondeo SYN por omisin. Dado que Nmap es libre, la nica barrera que existe para ser un experto en el sondeo de puertos es el conocimiento.

En los entornos Windows es recomendable utilizar una cuenta de administrador, aunque Nmap algunas veces funciona para usuarios no privilegiados en aquellas plataformas donde ya se haya instalado WinPcap. Aunque Nmap intenta generar resultados precisos, hay que tener en cuenta que stos se basan en los paquetes que devuelve el sistema objetivo. Estos sistemas pueden no ser fiables y enviar respuestas cuyo objetivo sea confundir a Nmap. Son especialmente susceptibles a este problema los sondeos FIN, Null y Xmas.


CIBERTEC

Para que sea fcil de recordar, las opciones de los sondeos de puertos son del estilo -sC, donde C es una letra caracterstica del nombre del sondeo. La nica excepcin a esta regla es la opcin obsoleta de sondeo FTP rebotado (-b). Nmap hace un sondeo SYN por omisin, aunque lo cambia a un sondeo Connect(), si el usuario no tiene los suficientes privilegios para enviar paquetes en crudo o si se especificaron objetivos IPv6.

De los sondeos que se listan en esta seccin los usuarios sin privilegios slo pueden ejecutar los sondeos Connect() o de rebote FTP.

* sS (sondeo TCP SYN) Puede realizarse rpidamente, sondeando miles de puertos por segundo en una red rpida en la que no existan cortafuegos. El sondeo SYN es relativamente sigiloso y poco molesto, ya que no llega a completar las conexiones TCP. Tambin funciona contra cualquier pila TCP, en lugar de depender de la idiosincrasia especfica de una plataforma concreta, al contrario de lo que pasa con los sondeos de Nmap Fin/Null/Xmas, Maimon o pasivo. A esta tcnica se la conoce como sondeo medio abierto, porque no se llega a abrir una conexin TCP completa. Se enva un paquete SYN, como si se fuera a abrir una conexin real y despus se espera una respuesta. Si se recibe un paquete SYN/ACK esto indica que el puerto est en escucha (abierto), mientras que si se recibe un RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe ninguna respuesta despus de realizar algunas retransmisiones, entonces el puerto se marca como filtrado. * sT (sondeo TCP connect()) Es el sondeo TCP por omisin cuando no se puede utilizar el sondeo SYN. Nmap le pide al sistema operativo subyacente que establezcan una conexin con el sistema objetivo en el puerto indicado, utilizando la llamada del sistema connect(). sta es la misma llamada del sistema de alto nivel que la mayora de las aplicaciones de red, como los navegadores web o los clientes P2P, utilizan para establecer una conexin. Esta llamada es parte del interfaz de programacin conocido como la API de conectores de Berkeley. Nmap tiene menos control sobre la llamada de alto nivel Connect() que cuando utiliza paquetes en crudo. La llamada al sistema, completa las conexiones para abrir los puertos objetivo, en lugar de realizar el reseteo de la conexin medio abierta como hace el sondeo SYN. Esto significa que se tarda ms tiempo y son necesarios ms paquetes para obtener la informacin, pero tambin significa que los sistemas objetivos van a registrar probablemente la conexin. Un IDS decente detectar cualquiera de los dos, pero la mayora de los equipos no tienen este tipo de sistemas de alarma. Un administrador que vea muchos intentos de conexin en sus registros que provengan de un nico sistema debera saber que ha sido sondeado con este mtodo. *sO (sondeo de protocolo IP) El sondeo de protocolo IP permite determinar qu protocolos (TCP, ICMP, IGMP, etc.) soportan los sistemas objetivos. El sondeo de protocolos, demuestra el poder del software de fuentes abiertas (opensource, N. del T.). Utiliza mecanismos parecidos al sondeo UDP. Enva cabeceras de paquetes IP iterando por el campo de 8 bits que indica el protocolo IP, en lugar de iterar por el campo de nmero de puerto de un


CIBERTEC

paquete UDP. Las cabeceras generalmente estn vacas y no contienen datos. Las tres excepciones son TCP, UDP e ICMP.

- Especificacin de puertos y orden de sondeo Nmap ofrece distintas opciones para especificar los puertos que se van a sondear y si el orden de los sondeos es aleatorio o secuencial. Nmap, por omisin, sondea todos los puertos hasta el 1024 adems de algunos puertos con nmeros altos listados en el fichero nmap-services, para los protocolos que se sondeen.

* p (Slo sondea unos puertos especficos) Esta opcin especifica los puertos que se desean sondear y toma precedencia sobre los valores por omisin. Puede especificar tanto nmeros de puerto de forma individual, como rangos de puertos separados por un guin, adems de omitir el valor inicial y/o el valor final del rango. De esta forma, se podr especificar -p- para sondear todos los puertos desde el 1 al 65535. Se permite sondear el puerto cero siempre que se especifique explcitamente. Asimismo, se podr especificar un protocolo especfico cuando se sondeen puertos TCP y UDP, si precede el nmero de puerto con T: o U: Para sondear UDP y TCP se deber especificar la opcin -sU y al menos un tipo de sondeo TCP (como -sS, -sF o -sT). Si no se da un calificador de protocolo se aadirn los nmeros de puerto a las listas de todos los protocolos.

*F (Sondeo rpido (puertos limitados)) Indica que solo se quieren sondear los puertos listados en el fichero nmap-services que se incluye con nmap. La diferencia de velocidad con el sondeo TCP por omisin, no es muy alta, dado que esta lista contiene muchos puertos TCP. *r (No aleatorizar los puertos) Nmap ordena de forma aleatoria los puertos a sondear por omisin. Esta aleatorizacin, generalmente, es deseable, pero si se desea, se podr especificar la opcin -r para analizar de forma secuencial los puertos.

- Deteccin de sistema operativo Nmap enva una serie de paquetes TCP y UDP al sistema remoto, y analiza todos los bits de las respuestas. Adems, compara los resultados de una docena de pruebas como el anlisis de ISN de TCP, el soporte de opciones TCP y su orden, as como, el anlisis de IPID y las comprobaciones de tamao inicial de ventana, con su base de datos nmap-os-fingerprints. Esta base de datos consta de ms de 1500 huellas de sistema operativo y cuando existe una coincidencia se presentan los detalles del sistema operativo. Cada huella contiene una descripcin en texto libre del sistema operativo, una clasificacin que indica el nombre del proveedor, el sistema operativo subyacente, la versin del SO y el tipo de dispositivo.

Nmap indicar una URL a donde se podrn enviar las huellas si se conoce el sistema operativo que utiliza el equipo, si no se puede adivinar el sistema operativo de ste y si las condiciones son ptimas.


CIBERTEC

La deteccin de sistema operativo activa una serie de pruebas que hacen uso de la informacin que sta recoge.

La deteccin de sistema operativo se activa y controla con las siguientes opciones. * O (Activa la deteccin de sistema operativo) Activa la deteccin de sistema operativo. Tambin se puede utilizar la opcin -A para activar la deteccin de sistema operativo y de versiones. *osscan-limit (Limitar la deteccin de sistema operativo a los objetivos prometedores) La deteccin de sistema operativo funcionar mejor si se dispone de un puerto TCP abierto y otro cerrado. Esta opcin puede ahorrar mucho tiempo, sobre todo si se est realizando sondeos -P0 sobre muchos sistemas. Slo es de aplicacin cuando se ha solicitado la deteccin de sistema operativo con la opcin -O o -A. *osscan-guess; --fuzzy (Aproximar los resultados de la deteccin de sistema operativo) Cuando Nmap no puede detectar un sistema operativo que encaje perfectamente, a veces ofrece posibilidades que se aproximan lo suficiente.

- Control de tiempo y rendimiento Un sondeo por omisin (nmap nombre_de_sistema) de cualquier sistema en una red local, tarda un quinto de segundo. Adems, ciertas opciones de sondeo como el sondeo UDP y la deteccin de versiones, pueden incrementar los tiempos de sondeos de forma sustancial. Los usuarios con experiencia pueden definir las rdenes a Nmap para obtener slo la informacin que necesitan mientras que, al mismo tiempo, cumplen las limitaciones de tiempo que tengan. Algunas tcnicas que pueden ayudar a mejorar los tiempos de sondeo son el limitar el nmero de pruebas que no sean crticas y actualizar a la ltima versin de Nmap. La optimizacin de los parmetros de control de tiempo puede introducir tambin diferencias significativas. Las opciones aplicables se detallan a continuacin.

*scan-delay ; --max-scan-delay (Ajusta la demora entre sondas) Esta opcin hace que Nmap espere el tiempo indicado entre cada sonda enviada a un sistema determinado. Esto es muy til cuando se quiere limitar la tasa de trfico. Los sistemas Solaris respondern a paquetes de sondeos UDP con slo un mensaje ICMP por segundo. El sondeo se ralentiza de forma drstica cuando Nmap incrementa el valor del tiempo de espera, para poder tratar las limitaciones de tasa. Se podr utilizar la opcin --max_scan-delay para indicar el tiempo mximo de espera. Si especifica un valor muy pequeo se tendrn retransmisiones intiles de paquetes.


CIBERTEC

Tambin se puede usar --scan-delay para evitar sistemas de deteccin y prevencin de intrusos (IDS/IPS) basados en umbrales. *T (Fija una plantilla de tiempos) Nmap ofrece un acercamiento ms sencillo, basado en seis plantillas de tiempos. Puede especificar cualquiera de stas con la opcin -T seguido de un nmero o su nombre. Los nombres de las plantillas son: paranoico (0), sigiloso (1), amable (2), normal (3), agresivo (4) y loco (5) (respectivamente "paranoid", "sneaky", "polite", "normal", "aggressive" e "insane", N. de. T.). Las primeras dos se utilizan para evadir IDS. El modo amable reduce el sondeo para que ste utilice menos ancho de banda y menos recursos de los sistemas analizados. El modo normal es el valor por omisin, as que la opcin -T3 no hace nada realmente. El modo agresivo hace que los sondeos sean ms rpidos al asumir que est en una red razonablemente ms rpida y fiable. En modo loco asume que est en una red extraordinariamente rpida o que est dispuesto a sacrificar fiabilidad por velocidad. Estas plantillas permiten que el usuario especifique cuan agresivo quiere ser, al mismo tiempo que deja que sea Nmap el que escoja los valores exactos de tiempos. Las plantillas hacen tambin algunos ajustes menores de velocidad para los cuales no existe an una opcin de control de grano fino. Por ejemplo, -T4 prohbe que la expiracin en sondeos dinmicos exceda los 10ms para puertos TCP y -T5 limita ese valor a 5 milisegundos. Las plantillas pueden utilizarse combinadas con controles de grano fino, siempre que se especifique primero la plantilla. Si no lo hace as los valores especificados por la plantilla modificarn los valores que defina como opcin. Le recomiendo utilizar -T4 cuando sondee redes razonablemente modernas y fiables. Mantenga esa opcin al principio de la lnea de rdenes an cuando especifique otras opciones de control de grano fino para poder beneficiarse de las optimizaciones menores que activa. Mientras que puede ser til evitar alarmas de IDS con -T0 y -T1, ste tardar mucho ms tiempo para sondear miles de sistemas o puertos. Para este tipo de sondeos puede que prefiera fijar los valores exactos de tiempos que necesita antes que utilizar los valores predefinidos para -T0 y -T1. Los efectos principales del uso de T0 es la serializacin de los sondeos de forma que slo se sondea un puerto cada vez, y se espera cinco minutos antes de enviar cada sonda. Las opciones T1 y T2 son similares pero slo esperan 15 y 0.4 segundos entre sondas, respectivamente. El comportamiento por omisin de Nmap es T3, que incluye sondeos en paralelo.

01 Aspectos Básicos de Redes

Documents

Transcript of 01 Aspectos Básicos de Redes