Amenazas y ataques en redes corporativas a) Identidad digital Qué es un certificado digital de servidor? Un certificado digital de servidor es un componente que habilita las siguientes características de seguridad en un servidor WEB: Cifrado de datos: Los datos intercambiados entre el navegador del usuario y el servidor se cifrarán, con lo que no serían directamente inteligibles en caso de intercepción en su tránsito por la red. Esta característica es muy útil si se utilizan formularios para que el usuario envíe datos críticos o personales, o si el contenido del web o parte del mismo es un área privada cuyos datos son confidenciales y deben ser únicamente accesibles por un grupo cerrado de personas. Autenticación del servidor: El visitante podrá saber que el propietario de la web indicada en el certificado ha seguido un proceso de identificación ante un tercero (autoridad de certificación) que es quien emite el certificado. Este proceso de identificación varía según el emisor del certificado y el tipo de certificado, y puede ir desde la validación por correo electrónico del propietario del dominio hasta la validación documental de la existencia de la organización propietaria del dominio. INSTALACION DE UN SERVIDOR DE CERTIFICADOS EN WINDOWS SERVER 2003 Inicio, todos los programas, agregar o quitar software, componentes de windows
Servicios de certificare server de Microsoft Nos avisara de que no se cambia el nombre del equipo ni su pertenencia el dominio, le damos a si. Entidad emisora raíz independiente, le damos a esa opción y siguiente
Elegimos el nombre de los certificados y la duración Empieza a generar la clave de cifrado
Nos indica el lugar donde se van a guardar los certificados y las bases de datos Empieza la instalación INSTALACION DE ISS Servicios de aplicaciones, instalar internet information services y aceptar
Empieza a instalarse
Finaliza la instalación b) Instalacion de cain y Abel en Windows Asistente de instalación
Finaliza la instalación Abrimos el programa Con el sniffer capturamos los paquetes que contienen información sobre nuestra navegación, en la pestaña HTTP tenemos 4 notificaciones
Vamos al menu configure y en la pestaña Sniffer seleccionamos la tarjeta de red que estamos ultilizando
En la pestaña hosts aparece la IP
ANALISIS DE PUERTOS CON NETSTAT Vemos los puertos TCP y UDP con NETSTAT a Las direcciones IP con netstat n
En Linux con netstat r vemos las tablas de enrutamiento Interfaces del sistema con i Analisis de puertos online
Empezamos el análisis rápido Escanea los puertos mas habituales Esta es la advertencia Hemos detectado 3 puertos abiertos. Estás dando algún tipo de servicio al exterior?. Si no lo estas haciendo, procura cerrar esos puertos (cerrando los programas que los han abierto) y es muy aconsejable la instalación de un firewall/cortafuegos. Si realmente los estas utilizando para dar servicio al exterior, debes de tener siempre actualizado el software para evitar posibles agujeros de seguridad
INYECCION SQL BACKTRACK Backtrack/ explotation tools/ web explotation tools/ sqlmap Ejecutamos python.sqlmap.py u y ponemos la url del sitio Escribimos lo anterior mas d databaseusername tables para visualizar las tablas RIESGOS POTENCIALES EN LOS SERVICIOS DE RED Configurar en modo seguro un switch cisco Comandos para seguridad de switch enable secret inves=>para poner contraseña Direccion Mac segura int f0/1 switchport port-security mac-address DIRECCION MAC Numero maximo de direcciones Mac permitidas int f0/1 int f0/2 switchport port-security maximun 4 Direccion Mac dinámica segura int f0/3
switchport port-security FastEthernet0/3 is a dynamic port CONFIGURACION EN MODO SEGURO DE ROUTER CISCO Comandos basicos enable conf t enable secret inves Desactivamos los puertos que no vayamos a utilizar interface FastEthernet0/1 shutdown c) VULNERABILIDADES EN LAS CAPAS DE RED (IP), TCP-UDP Y APLICACIÓN (DHCP, DNS ) Y PROTECCION DE LAS MISMAS Vulnerabilidades de la capa de red: los ataques en la capa de red son muy dificiles de hacer ya que hay que tener acceso fisico alos equipos que se quieren atacar en esto se implemeta el desvio de cables pinchar lineas Vulnerabilidad capa de internet: en esta capa se puede hacer cualquier ataque que afecte un datagrama IP se incluyen en esta capa los ataques de sniffing (yo los conosco con el nombre de sniffers),suplantacion de mensajes, modificacion de datos los retrasos de mensajes y la denegacion de mensajes cualquier atacante puede suplantar un paquete si indica que viene de otro sistema la suplantacion de mensaje se puede dar por ejemplo dando respuesta a un paquete primero o antes que lo haga el suplantado. Vulnerabilidades en la capa de transporte: en esta capa podemos encontrar problemas de autentificacion, algunos de los ataques mas comunes o conocidos son las denegaciones de servicio debidas aprotocolos de transporte tambien hay posibilidad de interceptacion de sesiones TCP establecidas con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos, estos ataques de secuestro aprovechan la poca exigencia en el protocolo de interncambio de TCP respecto ala auntentificacion de los equipos involucrados en una sesión. Vulnerabilidades en la capa de aplicacion: como en el resto de niveles la capa de aplicacion presenta varias deficiencias de seguridad debido ala gran cantidad de protocolos definidos en esta capa la cantidad de deficiencias tambien seran superores al resto de capas.
Ejemplos de deficiencias de seguridad Servicio de nombre de dominio. (DNS) Un sistema solicita conecion a una servicio pide la direccion IP de un nombre de dominio y envia un paquete UDP a un servidor DNS entonces este responde con la direccion ip del sitio solicitado o una referencia que apunta hacia otro servidor DNS que pueda tener esa direccion que necesitamos para ingresar a una web. Un servidor DNS debe de entregar la direccion ip que necesita el usuario para ingresar a un dominio en conclucion el servidor DNS es una especie de traductora que te pasa el www.google.com.co a la direccion IP de este domino por ejemplo 192.168.125.8. Un servidor DNS en el fondo es una base de datos accesible desde internet por lo tanto, un atacante puede modificar la informacion que suministra esta base de datos o accedeer a informacion sencible almacenada en la base de datos como por error, puediendo obtener iformacion relativa ala topologia de la red de una organizacion concreta (por ejemplo, la lista de los sistemas que tiene una organizacion). MONITORIZACION DEL TRAFICO EN REDES WIRESHARK Y KISMER Ahora los mensajes UDP