Diego Auyón Redes 27 de Mayo de Port Scanning

Transcripción

1 Universidad del Valle de Guatemala Alejandra Canahui Diego Auyón Redes 27 de Mayo de 2012 Definición 1 Port Scanning Port Scanning es comparable a un ladrón revisando cada una de las puertas y ventanas de cada casa en un vecindario para ver cuáles están abiertas y cuáles están cerradas. TCP (Transmission Control Protocol) y UDP (User Datagram Protocol) son dos de los protocolos que hacen que TCP/IP sea la serie de protocolos utilizados universalmente para comunicaciones a través de Internet. Cada uno de estos tiene disponibles los puertos desde el 0 hasta el 65535, lo cual significa que hay más de 65,000 puertas para probar. El software para escaneo de puertos, en su estado más básico, simplemente envía una petición para conectar a la computadora destino puerto por puerto y toma nota de qué puertos respondieron o parecieron abiertos para más escrutinio. Si el escaneo se realiza con intenciones maliciosas, el intruso preferiría generalmente no ser detectado. Se pueden configurar aplicaciones de seguridad de red para alertar a los administradores si se detectan conexiones a través de varios puertos desde un host. Para evitar esto, el intruso puede realizar el escaneo en modo strobe o stealth. Strobing limita los puertos a un conjunto más pequeño en vez de escanearlos todos. Stealth utiliza técnicas como ralentizar el escaneo, ya que si el período de tiempo se extiende, se reduce la posibilidad de que se genere una alerta. Al cambiar las diferentes banderas TCP o enviando diferentes tipos de paquetes TCP, el escaneo de puertos puede generar diferentes resultados o localizar puertos abiertos de formas diferentes. Un escaneo SYN puede indicar al scanner qué puertos están escuchando y cuáles no en base al tipo de respuesta generada. Un FIN scan generará una respuesta por parte de los peurtos cerrados, pero los puertos que están abuertos y escuchando no enviarán una respuesta, así que el escaner podrá determinar qué puertos están abiertos y cuáles no. 1

2 Herramientas disponibles en el mercado 1 nmap nmap es probablemente la herramienta mejor conocida para sistemas Linux. El comando nmap puede ser utilizado para encontrar todos los puertos abiertos en un rango de direcciones IP. También retorna dos datos importantes sobre éstos hosts: la probabilidad que tiene el programa de adivinar exitosamente el número inicial de secuencia TCP y el sistema operativo del host. Toda esta información provee al atacante información con la cual podría realizar un ataque contra uno o más de estos hosts. hping Otra herramienta importante en este género es hping, que podría ser mejor descrita como un port scanner con esteroides. hping es una herramienta de línea de comandos para sistemas basados en Unix quee ensambla y/o analiza paquetes TCP/IP. Se utiliza para muchas tareas, tales como pruebas de firewall, escaneo avanzado de puertos, pruebas de detección de intrusos, etc. Otro software Hay otros escáners basados en Windows, y uno de los mejores se encuentra en Este escáner primero encuentra puertos TCP abiertos, pero no UDP. También incluye ping, traceroute, escaneo de direcciones IP, finger y funciones whois. Foundstone distribuye SuperScan, con funciones de escaneo de puertos. WildPackets distribuye inettools, una extensión a su software sniffer EtherPeek, que incluye lookup DNS, finger, lookup por nombre, escaneo de puertos y whois. 1

3 Ejemplo real de funcionamiento 1 El uso básico de nmap es simple. Se puede hacer con nmap <host_ip> Un ejemplo más complejo incluye la identificación del número de versión del servicio que está corriendo por medio de las opciones -sv. Para intentar determinar el sistema operativo del host, se puede correr como root con la opción -O 1

4 HP Storage Mirroring

5 Definición 1 Hp Storage Mirroring es una solución de implemantación para hacer un fail over. Un fail over (tolerancia a fallos) la capacidad de un sistema de almacenamiento de acceder a información aún en caso de producirse algún fallo. Esta falla puede deberse a daños físicos (mal funcionamiento) en uno o más componentes de hardware lo que produce la pérdida de información almacenada. La tolerancia a fallos requiere para su implementación que el sistema de almacenamiento guarde la misma información en más de un componente de hardware o en una máquina o dispositivo externos a modo de respaldo. De esta forma, si se produce alguna falla con una consecuente pérdida de datos, el sistema debe ser capaz de acceder a toda la información recuperando los datos faltantes desde algún respaldo disponible. Por lo general, el término tolerancia a fallos está asociado al almacenamiento en RAID (Redundant Array of Independent Disks). Los RAID (a excepción de RAID 0) utilizan la técnica Mirroring (en espejo) que permite la escritura simultánea de los datos en más de un disco del array. Los sistemas de almacenamiento con tolerancia a fallos son vitales en ambientes donde se trabaje con información crítica, como el caso de los bancos, entidades gubernamentales, algunas empresas, etc. El nivel de tolerancia a fallos dependerá de la técnica de almacenamiento utilizada y de la cantidad de veces que la información está duplicada, sin embargo, la tolerancia nunca es del 100% puesto que si fallan todos los "mirrors" disponibles, incluyendo el origen, los datos quedan incompletos por lo tanto la información se leerá corrupta. Las características de este software son: - Protección y restauración de información de aplicaciones, servidores y dispositivos de almacenamiento. - No necesita infraestructura especializada para su instalación - Wizard automatizado para el respaldo de base de datos como MSSQL - Fácil de usar en un ambiente NAS - Fácil manejo en dispositivos DAS, NAS o SAN - Rápido (replica información en tiempo real) 1

6

7

8

9 Log de Verificación VERIFICATION OF CONNECTION 2 (Sales data for alpha --> : 1100) Start Time: 1/24/ :15:20 PM for connection 2 (Sales data for alpha --> : 1100) File: beta\users\diego\music\jose Andres\doodle.mp3 DIFFERENT ON TARGET Source Attributes: Timestamp = 05/27/2012 8:21:36 PM Size = 1272 Mask = [0x20] Target Attributes: Timestamp = 05/27/2012 8:21:36 PM Size = 1272 Mask = [0x20] Security descriptors are different. 0 BYTES OUT OF SYNC File: beta\users\diego\download\caballo.jpf DIFFERENT ON TARGET Source Attributes: Timestamp = 05/27/2012 8:21:37 PM Size = 1272 Mask = [0x20] Target Attributes: Timestamp = 05/27/2012 8:21:37 PM Size = 1272 Mask = [0x23]

10 0 BYTES OUT OF SYNC File: beta\users\diego\universidad.doc DIFFERENT ON TARGET Source Attributes: Timestamp = 05/27/2012 3:28:20 PM Size = 17 Mask = [0x20] Target Attributes: Timestamp = 05/27/2012 5:05:26 PM Size = 2 Mask = [0x20] 17 BYTES OUT OF SYNC Completion Time: 05/27/ :37:44 PM for connection 2 (Sales data for alpha --> : 1100) Elapsed Time (seconds): Total Directories Compared: 657 Total Directories Missing: 0 Total Directories Remirrored: 0 Total Files Compared: Total Files Missing: 0 Total Files Different: 3 Total Files Encrypted: 0 Total Files Remirrored: 1 Total Bytes Skipped: 0 Total Bytes Compared: Total Bytes Missing: 0 Total Bytes Different: 17 Total Bytes Remirrored: 17 Related links and directory attributes have been adjusted END OF VERIFICATION -----