Seguridad en las Tecnologías de Internet utilizando PHLAK

Seguridad en las Tecnologías de internetutilizando PHLAK

Alonso E. Caballero Quezada

Diciembre 4, 5 / Trujillo - Peru

[email protected]://www.informatizate.net

Seguridad en las Tecnologías de Internet utilizando PHLAK

Alonso E. Caballero Q. / Diciembre 4, 5 Trujillo, Peruúwww.informatizate.net

¿Qué es OSSTMM?

OSSTMM, son las iniciales en ingles de, Manual de Metodologia Abierta de Testeo de Seguridad.

Este manual es un estandar profesional para el testeo de seguridad en cualquier entorno desde el exterior al interior. Como cualquier estandar profesional, incluye los lineamientos de acción, la ética del testeador

profesional, la legislación sobre el testeo de seguridad y un conjunto integral del test.

Debido a que los testeos de seguridad continuan evolucionando en una profesion válida y respetada, el OSSTMM intenta ser el manual de referencia del profesional.



Conceptos Preliminares:

Detallar y realizar todo lo indicado por el OSSTMM, escapa al objetivo de la presentación. Nuestro objetivo es conocer la metodología y usar las herramientas adecuadas para su adecuada realización.

Debido a ello, la presentación se enfoca solo a las tareas correspondientes al tercer modulo de la OSSTMM, denominado “Seguridad en las Tecnologías de internet”.

Cada tarea de tercer módulo de la metodología, es mucho mas laborioso de lo presentado aquí; es por éste motivo; que solo se presentan ejemplos puntuales para la realización de las tareas indicadas.



1. Logística y Controles.

Reducir los falsos positivos y negativos realizando ajustes necesarios en las herramientas de análisis.

Resultados Esperados:

• Discrepancias por el Ancho de Banda usado en el Testeo.• Paquetes TCP Perdidos.• Paquetes UDP Pedidos.• Paquetes ICMP Perdidos.• Problemas de enrutamiento.• Trafico de enrutamiento del ISP y Vendedores de Tráfico.



2. Sondeo de Red.

Sirve como introduccion a los sistemas a ser analizados. Se podría definir

mejor como una combinación de datos, obtención de información y política de control.


• Nombres de Dominio, Nombres de Servidores.• Direcciones IP, Mapa de Red.

• Información ISP / ASP.• Propietarios del Sistema y del Servicio.• Posibles limitaciones del Test.



3. Identificación de los Servicios de Sistemas.

El escaneo de puertos es la prueba invasiva de los puertos del sistema en los niveles de transporte y red.


• Puertos Abiertos.• Direcciones IP de los sistemas Activos.• Direccionamiento de los sistemas de la Red interna.• Lista de los protocolos descubiertos de tunelizado y encapsulado.• Lista de los protocolos descubiertos de enrutado soportados.• Servicios Activos.• Tipo y niveles de Parchado de las Aplicaciones de los Servicios.• Tipo de Sistema Operativo, Nivel de Parchado.• Tipo de Sistema.• Lista de Sistemas Activos.• Mapa de Red.



4. Busqueda de información competitiva.

La Busqueda de IC es la busqueda de información útil a partir de la presencia

que se tiene en internet y que puede ser tratada como información sobre el negocio.


• Una medida de las justificaciones del negocio sobre la red de la organización.

•Tamaño y alcanze de la presencia en Internet.

• Una medición de la política de Seguridad a planes futuros de la red.



5. Revisión de Privacidad

La revisión de privacidad se centra en como se gestiona, desde el punto de

vista ético y legal, el almacenamiento, transmisión y control de datos de

información privada perteneciente a empleados y clientes.


• Listado de cualquier revelación.

• Listado de las inconsistencias entre la política que se ha hecho pública y la practica actual que se hace con ella.

• Listado de sistemas involucrados en la recolección de datos.

• Listado de la técnicas de recolección de datos.• Listado de datos recolectados.



6. Obtención de Documentos.

Este modulo es importante para la verificación de gran cantidad de la

información probada y pertenece a muchos niveles de lo que se considera

seguridad de la información


• Un perfil de la organización.• Un perfil de los empleados.

• Un perfil de la red de la organización.

• Un perfil de las tecnologías utilizadas por la organización.

• Un perfil de los partners, alianzas y estratégias de la organización.



7. Busqueda y Verificación de Vulnerabilidades.

La finalidad de este modulo es la identificación, comprensión y verificación de

debilidades, errores de configuración y vulnerabilidades en un servidor o en una red.


• Tipo de aplicación o servicio por vulnerabilidad.• Niveles de parches de los sistemas y aplicaciones.

• Listado de posibles vulnerabilidades de denegación de servicio.

• Listado de areas securizadas a través de ocultación o acceso visible.• Listado de vulnerabilidades actuales eliminando falsos positivos.• Listado de sistemas internos o en la DMZ.• Listado de convenciones para direcciones de e-mail, nombres de servidores, etc.• Mapa de red.



8. Testeo de Aplicaciones de Internet.

Un test de Aplicaciones de internet emplea diferentes Técnicas de testeo de Software para encontrar “fallos de seguridad” en aplicaciones cliente/servidor de un sistema desde Internet.

Resulados Esperados:

• Lista de Aplicaciones.• Lista de los Componentes de las Aplicaciones.• Lista de las Vulnerabilidades de las Aplicaciones.• Lista de los Sistemas Confiados por las Aplicaciones.



9. Enrutamiento.

Las Protecciones de un Router son unas defensas que se encuentran a menudo en una red donde se restringe el flujo del tráfico entre la red de la empresa e Internet.ç


• Tipo de Router y Propiedades implementadas.• Informacion del router como servicio y como sistema.

• Perfil de la política de seguridad de una red a partir de la ACL.• Lista de los tipos de paquetes que deben entrar en la red.• Lista de los tipos de paquetes que deben entrar en la red.

• Mapa de las respuestas del router a varios tipos de tráfico.• Lista de los sistemas vivos encontrados.



10. Testeo de Sistemas confiados.

El propósito de los testeos de sistemas confiados es afectar la presencia en

internet planteándose como una entidad confiada en la red.


• Mapa de los sistemas dependientes de otros sistemas• Mapa de las aplicaciones con dependencias a otros sistemas• Tipos de vulnerabilidades que afectan a los sistemas de confianzas y aplicaciones.



11. Testeo de Control de Acceso.

El cortafuegos controla el flujo del tráfico de la red corporativa, la DMZ; e

Internet. Opera en una política de Seguridad y usa ACL's (Listas de Control de Acceso).


• Información en el firewall como servicio y como sistema.

• Información de las características implementadas en el firewall.

• Perfil de la política de seguridad de la red a partir de la ACL.• Lista de los tipos de paquetes que deben entrar en la red.• Lista de los sistemas “vivos” encontrados.

• Lista de paquetes, por número de puerto, que entran en la red.• Lista de protocolos que han entrados en la red.• Lista de rutas sin monitorizar dentro de la red.



12. Testeo de Sistemas de Detección de Intrusos.

Este test esta enfocado al rendimiento y susceptibilidad de un IDS. La mayor parte de este test no puede ser llevada a cabo adecuadamente sín acceder a los registros del IDS.


• Tipo de IDS.• Nota del rendimiento de los IDS bajo una sobrecarga.• Tipo de paquetes eliminados o no escaneados por el IDS.• Tipo de protocolos eliminados o no escaneados por el IDS.

• Nota del tiempo de reacción y tipo del IDS.• Nota de la susceptibilidad del IDS.• Mapa de reglas del IDS.• Lista de Falsos positivos del IDS.

• Lista de alarmas perdídas del IDS.• Lista de rutas no monitorizadas en la red.



13. Testeo de Medidas de contingencia.

Las medidas de contingencia dictan el manejo de lo atravesable, programas maliciosos y emergencias.


• Definición de las capacidades Anti-Troyano.

• Definición de las capacidades Anti-Virus.

• Identificación de las Medidas de Contingencia de Escritorio.

• Identificación de las Debilidades de Contingencia de Escritorio.• Lista de recursos de contingencia.



14. Descifrado de Contraseña.

Descrifrar las contraseñas es el proceso de validar la robustez de una

contraseña a través del uso de herramientas de recuperación de contraseñas

automatizados, que dejan al descubierto la aplicación de algoritmos criptográficos débiles.


• Ficheros de Contraseñas descifrados o no descifrados.

• Lista de cuentas, con usuario o contraseña de sistema.

• Lista de sistemas vulnerables a atáques de descifrado de contraseñas.

• Lista de archivos o documentos vulnerables a atáques de descifrado de

contraseñas.• Lista de sistemas con usuario o cuenta de sistema que usan las mismas contraseñas.



15. Testeo de Denegacion de Servicios

La Denegacion de Servicios (DoS) es una situacion donde una circunstancia, sea intencionada o accidental, previene el sistema de tal funcionalida como sea destinada.


• Lista de puntos debiles en presencia de Internet incluidos los puntos individuales por averias.• Establecer un punto de referencia para un uso normal.• Lista de comportamientos de sistema por un uso excesivo.• Lista de sistemas vulnerables a DoS.



16. Evaluación de Políticas de Seguridad

La política de seguridad resaltada aquí es el documento escrito legible que contiene las políticas que delinean la reducción de riesgos en una

organización con la utilización de tipos específicos de tecnologías.

Tareas a realizar:1. Comparar la política de seguridad.

2. Aprobación de la Gerencia.3. Documentación adecuandamente almacenada.4. Identificar los procedimientos de manejo de incidentes.5.Conexiones entrantes.6. Conexiones salientes.7. Medidas de Seguridad.8. Comprobar las polítcas de Seguridad.9. Modems.10. Máquinas de Fax.11. PBX.12.Verificar que las políticas de seguridad establesca medidas de contención.




www.informatizate.net

¿Qué es PHLAK? áéíóúñ

PHLAK, son las iniciales en ingles de Professional Hacker's Linux Assault Kit.

Concebido por James Hartman y Shawn Hawkins, dado que no encontraban una distribución orientada a la seguridad que satisfaga sus expecativas. Es

por ello que emprendieron la idea de crear la más completa distribución “live CD” orientada a la Seguridad, basada en Linux.

En lugar de iniciar desde cero, se basaron en otra distribución “live CD”, que es Morphix, debido a su modularidad.

Esta diseñado como un “kit” de herramientas para el profesional de Seguridad.

Incluye las herramientas más “reconocidas”, y también incluye servicios Linux

como una distribución Linux real.

“La responsabilidad no recae en la herramienta, sino, en quien la usa...”





Herramientas:

PHLAK incluye las más “reconocidas” herramientas, como nmap, Nessus, snort, ethereal, y muchos otros paquetes de seguridad. Algunas de ellas son menos conocidas pero igualmente efectivas, estas incluyen hping2, lczroex, ettercap, hunt, y muchas otras.

Hay que tener presente que PHLAK es una real distribución Linux, e incluye muchos servicios, como apache, mysql, ssh, iptables, y servicios que son incluidas en otras distribuciones Linux.

* Es esta presentación se detallará solo algunas de las más de 150 herramientas para GNU/Linux, que podemos encontrar en PHLAK. *





ADMsnmpScanner de auditoría para SNMP.





amapHerramienta de escaneo, que permite identificar las aplicaciones que estan “corriendo” en un puerto (s) específico. Realiza ésto, conectandose al puerto (s) y enviando paquetes. Reconoce las respuestas en una lista e imprime las ocurrencias que localiza. Nuevas identificaciones de respuesta, puede ser obtenidas solo con editar un archivo de texto. Con amap, se puede identificar servicios SSL “corriendo” en un puerto 3445 y algunos oracle en el puerto 233.





arpingArping es una utilidad ping a nivel ARP el cual difunde un paquete ARP “who-has” sobre la red, e imprime las respuestas.





babelwebBabelweb es un programa que permite automatizar pruebas sobre servidores http. Permite seguir los enlaces y las redirecciones http, pero esta programada para permanecer en el servidor objetivo.





bingPing de Ancho de Banda. Estima el ancho de banda entre redes, host y routers.





cheopsEs una “cuchilla suiza”. Es una combinación de una variedad de herramientas de red que proporciona a los administradores de red y usuarios una interface simple para manejar y accesar a sus redes. Sus características incluyen, mapeo de red vía paquetes UDP y/o ICMP, detección de puertos usando conexiones “half open”, detección de S.O. Utilizando “flags” no validas sobre paquetes TCP, escaneo de dominios y mucho más.





chkrootkitComprueba síntomas de un rootkit. Incluye ifpromisc.x para comprobar y “ver” si la interface esta en modo promiscuo, chlastlog.c, para comprobar eliminaciones en el lastlog, y chkwtmp.c para comprobar otras eliminaciones. Probado en Linux 2.0.x, 2.2.x y FreeBSD 2.2.x 3.x y 4.0.





dlintDlint analiza cualquier zona DNS que se especifique, y reporta los problemas encontrados, mostrando los errores y advertencias. Desciende recursivamente para examinar todas las zonas siguientes a la elegida.





dnswalkEs un depurador de base de datos DNS. Trabaja con tranferencia de zonas, de la zona actual, inspecciona registros individuales para encontrar inconsistencias con otros datos, y genera advertencias y errores. No es un interprete para archivos de datos DNS, trabaja estrictamente con métodos de consultas de DNS existentes, sobre un sistemas “vivo”.





etherapeEs un clon de etherman, el cual muestra graficamente actividad de la red. Hosts activos son mostrados como círculos de tamaños variables, y el tráfico entre ellos es mostrado como líneas de diferente ancho. Esta basado en GNOME y pcap.





etherealEthereal es un sniffer/analizador de protocolos de red, basado en GTK+





floodconnect





fpingEs un ping, como el programa el cual usa ICMP, para determinar si un host esta “up”. Fping difiere de el ping, en que se puede especificar cualquier número de hosts en la línea de comando, o especificar un archivo conteniendo la lista de hosts a probar. En lugar de esperar la “resolución” de un host, fping envía un paquete y se dirige al siguiente host.





hackbotHerramienta para la exploración de host y “extractor” de banners. Escanea hosts en busca de banners de FTP, SSH, Open Relays, opciones EXPN y VRFY , más de 200 vulnerabilidades de CGI conocidas, vulnerabilidades NT unicode, entre otros.





hammerheadHerramienta para “saturar” un servidor web y un sitio web. Inicializa múltiples conecciones desde alias de IP, y simula numerosos (256+) usuarios en un momento dado. El nivel al cual hammerhead intenta promediar el sitio web, es totalmente configurable, con numerosas opciones que intentan crear problemas en un sítio web.





hping2Hping2 es un software para realizar auditorias a la pila TCP/IP, para descubrir políticas de firewalls, para escanear puertos TCP de diversos modos, para tranferir archivos entre firewalls, probar la performance de redes, probar el manejo de TOS, etc.





hydraEl primer “hacker” de “login” en paralelo del mundo. Con ésta herramienta es posible atacar muchos servicios al mismo tiempo.





icmpinfoVigila paquetes ICMP. Permite que proactivamente se supervice comportamiento sospechoso, mayormente ICMP inalcanzables.





idswakeupEs un shell script “Bourne” que invoca a hpin2 e iwu (parte de éste paquete) para generar falsas alarmas para comprobar que un sistema detector de intrusos funciona adecuadamente.





iprouteConjunto profesional de herramientas para controlar el comportamiento en los kernels 2.2.x y posteriores.





iptrafMonitor de redes IP basado en ncurses que genera numerosas estadísticas de red, incluyendo información TCP, conteo UDP, información ICMP y OSPF, información de carga ethernet, estadísticas de los nodos, errores en los “checksum” de IP, y otros.





isnproberHerramienta que ejemplifica los ISN (Numeros de secuencia Inicial) de TCP y puede usar ésta información para determinar si un conjunto de direcciones IP conrresponde a la mísma pila TCP (maquina) o no.





lcrzoexCaja de Herramientas para los administradores de red y hackers de redes. Lcrzoex contiente más de 200 funcionalidades usando la librería de red lcrzo. Por ejemplo, se puede usar para sniff, spoof, crear clientes/servidor, crear decodificar y mostrar paquetes, etc. Los protocolos Ethernet, IP, UDP, TCP, ICMP, ARP, y RARP son soportados.





macchangerEs una utilidad para mostrar y manipular la dirección MAC de las interfaces de red, el cual puede definirse específicamente, aletaoriamente, basado en el nombre del fabricante, y basado en el típo de disposítivo de la MAC.





mtrmtr combina la funcionalidad de “traceroute” y “ping” en una sola herramienta de diagnóstico de redes.





nbtscanEs un programa para escanear redes IP en busca de información de nombres NetBIOS. Enviando consultas NetBIOS para cada dirección proporcionada en un rango y listar la información recibida de manera ententible por los “humanos”. Para cada host que responde se lista la dirección IP, el nombre NetBIOS de la PC, el nombre de usuario y la dirección MAC.





NessusNessus es “Libre”, actualizado y con todas las características de un escanner remoto de seguridad para Linux, BSD, Solaris y algunos otros sistemas. Es multihilo, basado en “plugins”, con una buena interface GTK, y actualmente realiza mas de 330 comprobaciones remotas de seguridad. Con un poderoso sistema de reporte (HTML, LaTeX, ASCII) y no solo apunta los problemas, sino también sugiere las soluciones a ello.









NiktoEscaner de servidores web que soporta SSL. Comprueba por (y si es posible “explotarlos”) vulnerabilidaes y errores de configuración en servidores web. También busca software y modulos desactualizados, advierte de los problemas de versiones, soporta escaneo a través de proxys (con autentificación), autentificación basica de hosts y más. Lo datos se mantienen un una base de datos en formato CVS para un fácil mantenimiento, y tiene la habilidad de actualizar la base de datos local, con la versión actual del sitio web de Nikto.





NmapEl mejor y más conocido escaner de redes que existe. Entre sus muchas funcionalidades tenemos, escaneo de puertos, detección del S.O, detección del servicio, detección del servicio rpc, etc.





NumbyEscanea en busca de proxys http vulnerables a “relay”.





onesixtyoneEscaner SNMP eficiente el cual utiliza técnicas para alcanzar buena performance. Localiza dispositivos SNMP en la red. Es posible escanear una red de clase B (65536 direcciones IP) por debajo de 13 segundos con un alto grado de aproximación.





P0fRealiza detección del S.O de manera pasiva, “vigilando” los paquetes SYN con tcpdump. Adicionalmente, es capaz de determinar la distancia del host remoto, y puede ser utilizado para determinar la estructura de una red foranea o local. Cuando se ejecuta sobre una pasarela de una red, es capaz de obtener grandes cantidades de datos y proporciona estadísticas útiles. Sobre un usuario “normal” puede ser usado para saber que S.O esta siendo usado por cada conección. P0f soporta filtrado completo al estilo tcpdump, y puede ser facilmente modificable las “huellas” en la B.D





screamingcobraAplicacion para “descubrir” vulnerabilidades remotas de tipo desconocido en aplicaciones web, tales como en páginas CGI,PHP. Simplemente intenta encontrar vulneravilidades de aplicaciones en todas las aplicaciones web o sobre un host sin conocer nada sobre las aplicaciones. Modernos escaners CGI, escanean un host en busca de vulnerabilidades conocidas. Este es capaz de “encontrar” vulnerabilidades existentes en cualquier CGI, hayan sido descubiertas antes o no.

Seguridad en las tecnologías de Internet utilizando PHLAK

Alonso E. Caballero Q. / Diciembre 4, 5 Trujillo, Peruwww.informatizate.net

Conclusiones:

La OSSTMM es una metodología escalable pública y abierta. Lo cual permite a los administradores de sistemas y personas relacionadas al área la utilicen y contribuyan a su mejora.

La OSSTMM se ajusta a los estándares internacionales como el ISO 17799.

PHLAK como otros “live-cds” orientados a la Seguridad, deben ser utlizados con prudencia y con pleno conocimiento de las consecuencias que su uso puede ocasionar.

Una buena Metodología de testeo de Seguridad de Sistemas, aunado a un buen conjunto de conocimientos, experiencia y herramientas adecuadas, da como resultado una buena aproximación al utópico concepto de “Seguridad”.

Seguridad en las tecnologías de Internet utilizando PHLAK


Muchas Gracias…

Dedicado a mi [M,P]adre, hermana,

sobrino, e Isabel

Seguridad en las tecnoloías de Internet utilizando PHLAK.


Enlaces de Referencia:

OSSTMM - http://www.osstmm.orgPHLAK - http://www.phlak.orgMorphix - http://www.morphix.orgKnoppix http://www.knoppix.orgDebian GNU/Linux The Universal Operating System http://www.debian.org

ADMsmp - http://www.freshports.org/security/ADMsnmp/arping - http://freshmeat.net/projects/arping/Babelweb - http://www.hsc-labs.com/tools/babelweb/bing - http://www.freenix.fr/freenix/logiciels/bing.htmlcheops - http://www.marko.net/cheops/ cheopschkrootkit -http://www.chkrootkit.org/ dlint - http://www.domtools.com/dns/#Dlint dnswalk http://sourceforge.net/projects/dnswalk/ etherape - http://etherape.sourceforge.net/ flood_connect - http://www.thehackerschoice.com fping - http://www.fping.com/hackbot - http://ws.obit.nl/hackbot/manpage.html hammerhead - http://hammerhead.sourceforge.net/hydra - hping2 - http://www.hping.org/ http://thc.org/thc-hydra/ idswakeup - http://www.hsc.fr/ressources/outils/idswakeup/index.html.e iptraf - http://freshmeat.net/projects/iptraf/lcrzoex - http://www.laurentconstantin.com/en/lcrzoex/mtr - http://www.bitwizard.nl/mtr/ nbtscan -http://www.inetcat.org/software/nbtscan.html p0f - http://lcamtuf.coredump.cx/p0f.shtml

Seguridad en las tecnoloías de Internet utilizando PHLAK.


Agradecimientos:

Centro Federado de la Esc. De informatica de la UNT.

Grupo informatizate - http://www.informatizate.net

Camara de Comercio de La Libertad - http://www.camaratru.org.pe

Security Wari Projects - http://www.swp-zone.org

RareGaZz Security Team - http://www.raregazz.org

Perunderforos - http://perunderforos.tk

Esc. de informatica de la UNT - http://inf.unitru.edu.pe

Noticias Trujillo - http://www.noticiastrujillo.com

Universidad Nacional de Trujillo - http://www.unitru.edu.pe

Seguridad en las Tecnologías de Internet utilizando PHLAK

Technology

Transcript of Seguridad en las Tecnologías de Internet utilizando PHLAK