Upload
alano-carmona
View
251
Download
0
Embed Size (px)
Citation preview
Auditoría de RedesAuditoría de RedesAUD 721AUD 721Módulo 5Módulo 5
Carmen R. Cintrón Ferrer - 2004, Derechos Carmen R. Cintrón Ferrer - 2004, Derechos ReservadosReservados
Contenido TemáticoContenido Temático
Tecnología de redesTecnología de redes
Planificación y evaluación de redesPlanificación y evaluación de redes
Seguridad y protección de redesSeguridad y protección de redes
Integración de peritos técnicosIntegración de peritos técnicos
Proceso de auditoría de redesProceso de auditoría de redes
Informe de auditoría de redesInforme de auditoría de redes
Integración de peritos técnicos Integración de peritos técnicos Quinto móduloQuinto módulo
Tipo de peritos técnicosTipo de peritos técnicos
Áreas a examinarÁreas a examinar
Herramientas disponiblesHerramientas disponibles
Tipos de análisis o auditoría técnicaTipos de análisis o auditoría técnica
Ejercicio de IntegraciónEjercicio de Integración
Integración de peritos técnicos Integración de peritos técnicos Tipo de peritos técnicosTipo de peritos técnicos
Especialistas en “routers” (Cisco) y “switchs”Especialistas en “routers” (Cisco) y “switchs”
Especialista en seguridad:Especialista en seguridad:““Firewall”Firewall”
““DNS”DNS”
Análisis de vulnerabilidadesAnálisis de vulnerabilidades
Programador de sistemas operativos:Programador de sistemas operativos:Unix/LinuxUnix/Linux
Windows NT/2000Windows NT/2000
OtrosOtros
Programador en DBMSProgramador en DBMS
Técnico de telecomunicaciones (red voz/datos)Técnico de telecomunicaciones (red voz/datos)
Integración de peritos técnicos Integración de peritos técnicos Áreas a examinarÁreas a examinar
Configuración de la redConfiguración de la red
Configuración de Router y FirewallConfiguración de Router y Firewall
Configuración de servidores y serviciosConfiguración de servidores y servicios
Código maliciosoCódigo malicioso
AtaquesAtaques
Terrorismo cibernéticoTerrorismo cibernético
““Information warfare”Information warfare”
Integración de peritos técnicos Integración de peritos técnicos Áreas a examinarÁreas a examinar
Código malicioso:Código malicioso:VirusVirus
GusanosGusanos
Bombas lógicas: código escondido que se ejecuta al Bombas lógicas: código escondido que se ejecuta al ocurrir un evento o una fechaocurrir un evento o una fecha
Troyanos: código escondido que parece inofensivo y Troyanos: código escondido que parece inofensivo y permite su ejecución dentro de otros programas o permite su ejecución dentro de otros programas o procesosprocesos
““Back doors”: Caminos para acceder la red o sus Back doors”: Caminos para acceder la red o sus recursos que utilizan los intrusosrecursos que utilizan los intrusos
Integración de peritos técnicos Integración de peritos técnicos Áreas a ExaminarÁreas a Examinar
Tipo de Ataques:Tipo de Ataques:Acceso: Acceso: Intento de acceder información o servicios Intento de acceder información o servicios
Modificación:Modificación: Intento de cambiar información, Intento de cambiar información,
configuración o controlesconfiguración o controles ““Denial of Service”: Denial of Service”: Denegar acceso o servicios a Denegar acceso o servicios a quien tiene derechoquien tiene derecho
Repudiación: Repudiación: Intento de proveer información falsa Intento de proveer información falsa o de esconder trámiteso de esconder trámites
Integración de peritos técnicos Integración de peritos técnicos Áreas a ExaminarÁreas a Examinar
Ataques de Acceso:Ataques de Acceso:““Snooping”Snooping”““Eavesdropping”Eavesdropping”InterceptarInterceptar
Ataques de Modificación:Ataques de Modificación: Cambiar Cambiar InsertarInsertarEliminarEliminar
Ataques de Denegar acceso (“Denial of Service”): Ataques de Denegar acceso (“Denial of Service”): InformaciónInformaciónAplicacionesAplicacionesSistemasSistemasMedio de comunicación o conexiónMedio de comunicación o conexión
Ataques de Repudiación:Ataques de Repudiación:““Masquerading”Masquerading”Denegar un eventoDenegar un evento
Integración de peritos técnicos Integración de peritos técnicos Áreas a ExaminarÁreas a Examinar
Ejemplos de tipos de ataque:Ejemplos de tipos de ataque:Nivel de aplicación: utiliza las debilidades de los sistemas y/o Nivel de aplicación: utiliza las debilidades de los sistemas y/o aplicaciones a través de puertos o servicios disponiblesaplicaciones a través de puertos o servicios disponibles““Denial of service (DoS)”: interrumpe o limita la disponibilidad Denial of service (DoS)”: interrumpe o limita la disponibilidad de los recursos o servicios en redde los recursos o servicios en red““Ping of Death”: envío de paquetes que exceden el tamaño Ping of Death”: envío de paquetes que exceden el tamaño máximo y colman los “buffers”máximo y colman los “buffers”““IP-spoofing”: Cuando el invasor se hace pasar por un usuario IP-spoofing”: Cuando el invasor se hace pasar por un usuario válido (valid IP) interno o externoválido (valid IP) interno o externo““Passwords”: Intentos de identificar cuentas y claves de Passwords”: Intentos de identificar cuentas y claves de usuario válidas para lograr acceso autorizadousuario válidas para lograr acceso autorizadoRedireccionamiento de puertos: permite atravesar el “Firewall” Redireccionamiento de puertos: permite atravesar el “Firewall” y acceder recurso o servicios en áreas protegidasy acceder recurso o servicios en áreas protegidas““Man in the middle”: coloca al intruso entre medio del tráfico Man in the middle”: coloca al intruso entre medio del tráfico para examinarlo, redirigirlo, o controlarlo para examinarlo, redirigirlo, o controlarlo
Integración de peritos técnicos Integración de peritos técnicos Áreas a ExaminarÁreas a Examinar
Ejemplos de tipos de ataque:Ejemplos de tipos de ataque:• ““TCP SYN flood”: Mientras se establece la conexión entre el TCP SYN flood”: Mientras se establece la conexión entre el
cliente y el servidor ésta permanece abierta permitiendo un cliente y el servidor ésta permanece abierta permitiendo un ataque que sobrepasa la capacidad de manejo de conexiones ataque que sobrepasa la capacidad de manejo de conexiones abiertas al servidor.abiertas al servidor.
• ““Packet sniffers”: se instalan para examinar el tráfico en la red Packet sniffers”: se instalan para examinar el tráfico en la red y recoger información sobre IP’s, usuarios y servicios y recoger información sobre IP’s, usuarios y servicios (recursos)(recursos)
• ““NW reconnaissance”: el examen de la red utilizando NW reconnaissance”: el examen de la red utilizando programas para recoger datos sobre DNS (servidores y programas para recoger datos sobre DNS (servidores y direcciones), PING (direcciones y servicios), Puertos direcciones), PING (direcciones y servicios), Puertos (servicios), características de las aplicaciones instaladas, etc.(servicios), características de las aplicaciones instaladas, etc.
• ““Autorooters”: rutinas automáticas para analizar el entorno de Autorooters”: rutinas automáticas para analizar el entorno de la red, sus controles, servicios y aplicacionesla red, sus controles, servicios y aplicaciones
• ““Tribe Network Flood”Tribe Network Flood”• ““Stacheldraht”Stacheldraht”
Integración de peritos técnicos Integración de peritos técnicos Áreas a ExaminarÁreas a Examinar
Terrorismo cibernético:Terrorismo cibernético:Ataques concertadosAtaques concertados
Secuestro de instalacionesSecuestro de instalaciones
““Information warfare”: Information warfare”: PersonalPersonal
CorporativoCorporativo
GlobalGlobal
Herramientas disponiblesHerramientas disponiblesShareware & FreewareShareware & Freeware
NombreNombre DescripciónDescripción DirecciónDirección
BlackWidowBlackWidow Web site browserWeb site browser www.softbytelabs.com/files/BlackWidow.exewww.softbytelabs.com/files/BlackWidow.exe
CrackCrack Password crackerPassword crackerwww.users.dircon.co.uk/-crypto/dowload/c50-www.users.dircon.co.uk/-crypto/dowload/c50-faq.htmlfaq.html
DumpelDumpel Dumps Win2k Dumps Win2k event logsevent logs
www.microsoft.com/windows2000/techinfo/reskit/twww.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.aspools/existing/dumpel-o.asp
DumpsecDumpsec Win Security Win Security auditing programauditing program
http://www.somarsoft.comhttp://www.somarsoft.com
EtherealEthereal Network sniffing Network sniffing and packet analisysand packet analisys
www.ethereal.com/distribution/win32/ethereal-setuwww.ethereal.com/distribution/win32/ethereal-setup-0.9.0-1.exep-0.9.0-1.exe
Forensic Forensic ToolkitToolkit
File properties File properties analyzeranalyzer
www.foundstone.com/rdlabs/tools.php?category=www.foundstone.com/rdlabs/tools.php?category=ForensicForensic
FportFport Reports open TCP Reports open TCP & UDP ports& UDP ports
www.foundstone.com/rdlabs/termsofuse.php?www.foundstone.com/rdlabs/termsofuse.php?
FragrouterFragrouter Fragments packetsFragments packets www.packetstormsecurity.comwww.packetstormsecurity.com
Herramientas disponiblesHerramientas disponiblesShareware & Freeware Shareware & Freeware (Cont. 2)(Cont. 2)
NombreNombre DescripciónDescripción DirecciónDirección
Hping2Hping2 Expands ICMPExpands ICMP www.hping.org/hping2.0.0-rc1.tar.gzwww.hping.org/hping2.0.0-rc1.tar.gz
IIS lockdownIIS lockdownHardens IIS Hardens IIS installationinstallation
www.microsoft.com/Dowloads/Release.asp?Releawww.microsoft.com/Dowloads/Release.asp?ReleaseID=32362seID=32362
JohntheripperJohntheripper Password crackerPassword cracker www.packetstormsecurity.comwww.packetstormsecurity.com
JstegJsteg Stenography toolStenography tool www.tiac.net/users/korejwa/jsteg.htmwww.tiac.net/users/korejwa/jsteg.htm
LeakTestLeakTest Firewall testerFirewall tester www.grc.com/lt/leaktest.htmwww.grc.com/lt/leaktest.htm
LegionLegion Share scannerShare scanner www.nmrc.org/files/sntwww.nmrc.org/files/snt
Netbus 1.7Netbus 1.7 Remote control Remote control trojan softwaretrojan software
www.packetstorm.decepticons.org/trojans/NetBuswww.packetstorm.decepticons.org/trojans/NetBus170.zip170.zip
PgpPgp Encryption swEncryption sw www.pgpi.org/products/pgp/versions/freeewarewww.pgpi.org/products/pgp/versions/freeeware
Ping WarPing War Tool to ping large Tool to ping large range of IP’srange of IP’s
www.simtel.net/autodownload.html?mirror=5&prodwww.simtel.net/autodownload.html?mirror=5&product=17874&key=00dbb38ca3570c3050b1uct=17874&key=00dbb38ca3570c3050b1
Herramientas disponiblesHerramientas disponiblesShareware & Freeware Shareware & Freeware (Cont. 3)(Cont. 3)
NombreNombre DescripciónDescripción DirecciónDirección
Purge-It!Purge-It! Trojan removal Trojan removal www.purge-it.comwww.purge-it.com
PWDump3PWDump3 Password crackerPassword cracker www.ebiz-tech.com/pwdump3www.ebiz-tech.com/pwdump3
S-toolsS-tools Steganography toolSteganography tool www.members.tripod.com/steganography/stego/sowww.members.tripod.com/steganography/stego/software.htmlftware.html
SnortSnort IDS&packet snifferIDS&packet sniffer www.snort.org/downloads.html#1.19www.snort.org/downloads.html#1.19
Socket 80Socket 80 Unicode attack swUnicode attack sw www.astalavista.com/tools/auditing/network/http-sewww.astalavista.com/tools/auditing/network/http-serverrver
Startup Startup CopCop
Startup profiles Startup profiles creatorcreator
www.pcmag.com/article/0,2997,s=400&a=8066,00.www.pcmag.com/article/0,2997,s=400&a=8066,00.asp?download_url=http://common.ziffdavisinternet.asp?download_url=http://common.ziffdavisinternet.com/download/0/1098/startcop.zipcom/download/0/1098/startcop.zip
SubSevenSubSeven Remote control Remote control trojan swtrojan sw
www.securityfocus.com/tools/1403www.securityfocus.com/tools/1403
SuperScanSuperScan Win port scannerWin port scanner www.packetstormsecurity.comwww.packetstormsecurity.com
TCP TCP Wrappers Wrappers 7.67.6
Inetd wrapper Inetd wrapper controls access to controls access to net servicesnet services
ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz.6.tar.gz
Herramientas disponiblesHerramientas disponiblesShareware & Freeware Shareware & Freeware (Cont. 4)(Cont. 4)
NombreNombre DescripciónDescripción DirecciónDirección
TFN2KTFN2K DDoS toolDDoS tool www.packetstormsecurity.comwww.packetstormsecurity.com
TinyTiny Personal FirewallPersonal Firewall www.tinysoftware.com/tiny/files/apps/pf2.exewww.tinysoftware.com/tiny/files/apps/pf2.exe
TripwireTripwire Host-based Host-based Intrusion Intrusion detectiondetection
www.tripwire.org/downloads.index.phpwww.tripwire.org/downloads.index.php
WebsluethWebslueth Web site analysisWeb site analysis www.download.comwww.download.com
WhiskerWhisker CGI scannerCGI scanner www.wiretrip.netwww.wiretrip.net
Wildpackets’sWildpackets’s Windows IP Windows IP Subnet calculatorSubnet calculator
www.wildpackets.com/products/ipsubnetcalculatorwww.wildpackets.com/products/ipsubnetcalculator
WindumpWindump Packet snifferPacket sniffer www.netgroup-serv.polito.it/windump/install/www.netgroup-serv.polito.it/windump/install/Default.htmDefault.htm
Xinetd2.3.3Xinetd2.3.3 Inetd & TCP Inetd & TCP wrapperswrappers
www.synack.net/xinetd/www.synack.net/xinetd/
Zonealarm Zonealarm Personal FirewallPersonal Firewall www.zonealarm.com/za_download_1.htmwww.zonealarm.com/za_download_1.htm
Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoríaTipos de análisis o auditoría
Auditoría interna periódica:Auditoría interna periódica:• Revisión de bitácoras (acceso/modificación)Revisión de bitácoras (acceso/modificación)• Verificación de versiones e instalación de parchosVerificación de versiones e instalación de parchos• Análisis de cumplimiento con políticas y procedimientosAnálisis de cumplimiento con políticas y procedimientos• Análisis de vulnerabilidades de sistemasAnálisis de vulnerabilidades de sistemas• Análisis de vulnerabilidades de la redAnálisis de vulnerabilidades de la red• ““Penetration test”Penetration test”
Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoríaTipos de análisis o auditoría
Trust relationships:Trust relationships:rlogin (Unix)rlogin (Unix)
Trojans: Trojans: NetbusNetbusSubsevenSubseven
Host-based intrusion detection:Host-based intrusion detection:TCP Wrappers (Unix)TCP Wrappers (Unix)Xinetd Xinetd TripwireTripwireSwatchSwatchPort sentryPort sentryDumpel (Win2K)Dumpel (Win2K)
Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoría Tipos de análisis o auditoría (Cont. 2)(Cont. 2)
Network based intrusion detection:Network based intrusion detection:TCPDumpTCPDumpNuking (Win 95/98)Nuking (Win 95/98)SnortSnort
Firewalls:Firewalls:ZoneAlarm – Leak TestZoneAlarm – Leak TestTiny – Leak TestTiny – Leak Test IPChains (Linux)IPChains (Linux)
Scanning tools:Scanning tools:NMap/NMapNTNMap/NMapNTSuperScanSuperScanNessusNessusLegionLegionHPing2HPing2
Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoría Tipos de análisis o auditoría (Cont. 3)(Cont. 3)
Servidores vulnerables:Servidores vulnerables:““Null Sessions” – HUNTNull Sessions” – HUNT
““DumpSec” – “shares”, RAS Dial-in, PoliciesDumpSec” – “shares”, RAS Dial-in, Policies
Cambios en Firewall, router (ACL’s)Cambios en Firewall, router (ACL’s)
Descifrar passwords:Descifrar passwords:John the RipperJohn the Ripper
Lopht Crack (LC3)Lopht Crack (LC3)
Imagen de discos:Imagen de discos:GhostGhost
Dd (Linux/UNIX)Dd (Linux/UNIX)
Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoría Tipos de análisis o auditoría (Cont. 4)(Cont. 4)
Denial of Service attacks (DoS):Denial of Service attacks (DoS):floods UDP, SYN packets floods UDP, SYN packets
ICMP broadcast packets and echo requestsICMP broadcast packets and echo requests
TFN2K & TrinooTFN2K & Trinoo
Deception:Deception:FragrouterFragrouter
Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoría Tipos de análisis o auditoría (Cont. 5)(Cont. 5)
Auditoría de la sede virtual:Auditoría de la sede virtual:BlackWidowBlackWidow
WebSleuthWebSleuth
Whisker (CGI Web Scanner)Whisker (CGI Web Scanner)
Cierre de la sede virtual (“IIS Lockdown”):Cierre de la sede virtual (“IIS Lockdown”):Permite al administrador determinar que Permite al administrador determinar que servicios estarán disponiblesservicios estarán disponibles
Vulnerabilidad frente uso de Unicode:Vulnerabilidad frente uso de Unicode:Socket80Socket80
Integración de peritos técnicos Integración de peritos técnicos Ejercicio de IntegraciónEjercicio de Integración
Tomados de SANS GIACTomados de SANS GIAC
Configuración de Windows:Configuración de Windows:Troyanos Troyanos (Subseven p.49)(Subseven p.49)
Auditar servidor/equipo Auditar servidor/equipo (Dumpel p.83)(Dumpel p.83)
Verificar configuración y seguridad Verificar configuración y seguridad (mmc(mmc p. 292)p. 292)
Análisis del RouterAnálisis del Router (ACL) (p. 245, 249, 253) (ACL) (p. 245, 249, 253)
Análisis del Web Análisis del Web (Whois/BlackWidow/WebSleuth) (Whois/BlackWidow/WebSleuth) (p.200,203,209)(p.200,203,209)
Conseguir Claves Conseguir Claves (John the Ripper) (p. 168)(John the Ripper) (p. 168)
Vulnerabilidad Vulnerabilidad (Nmap/Nessus) (p.125, 136)(Nmap/Nessus) (p.125, 136) IDS:IDS:
Sniffing Sniffing (TCPDUMP p. 89)(TCPDUMP p. 89)
Nukking Nukking (Winnuke/Tiny FW p. 94)(Winnuke/Tiny FW p. 94)
Snort Snort (p.99)(p.99)
EjercicioEjercicioConfiguración de WindowsConfiguración de Windows
Configuración de Windows:Configuración de Windows:Dumpel Dumpel (ver archivo)(ver archivo)
Dumpreg Dumpreg (ver archivo)(ver archivo)
Wininfo Wininfo
Configuración de seguridad:Configuración de seguridad:Leak Test Leak Test (Firewall penetration)(Firewall penetration)
Attacker Attacker (port scanner)(port scanner)
Control de equipo:Control de equipo:
Subseven Subseven (troyano)(troyano)
John the Ripper John the Ripper (password cracker)(password cracker)
EjercicioEjercicioConexiónConexión
Router: Router: (cmd prompt)(cmd prompt)
TracerouteTraceroutePing Ping (Hping/Fping UNIX)(Hping/Fping UNIX)
Ipconfig Ipconfig (rpcinfo UNIX)(rpcinfo UNIX)
Router Audit Tool Router Audit Tool (RAT)(RAT)
Web address:Web address:Whois – Whois – www.whois.netwww.whois.net
www.arin.netwww.arin.net
Black Widow – Black Widow – www.softbytelabs.comwww.softbytelabs.com
Web Inspect - Web Inspect -
EjercicioEjercicioExaminar la redExaminar la red
Vulnerabilidad:Vulnerabilidad:NmapNmap
NessusNessus
IDS:IDS:Sniffing - Sniffing - TCPDUMPTCPDUMP
Nukking - Nukking - Winnuke/Tiny FWWinnuke/Tiny FW
Snort Snort
ReferenciasReferencias
GSEC Security Essentials ToolkitGSEC Security Essentials Toolkit, Cole, Newfield & , Cole, Newfield & Millican, SANS Press, 2002Millican, SANS Press, 2002Network Security: A Beginner’s GuideNetwork Security: A Beginner’s Guide, Maiwald, Eric , Maiwald, Eric Osborne/McGraw Hill, 2001Osborne/McGraw Hill, 2001Data Communications Network AuditingData Communications Network Auditing, Griffis, Bruce, , Griffis, Bruce, Flatiron Publishing, 1996Flatiron Publishing, 1996Security Planning & Disaster RecoverySecurity Planning & Disaster Recovery, Maiwald & , Maiwald & Sieglein, McGraw Hill, 2002Sieglein, McGraw Hill, 2002Web Security Portable ReferenceWeb Security Portable Reference, Shema, Mike, Osborne-, Shema, Mike, Osborne-McGraw Hill, 2003McGraw Hill, 2003Security AssessmentSecurity Assessment, Miles, Rogers, Fuller, Hoagberg & , Miles, Rogers, Fuller, Hoagberg & Dykstra, Syngress, 2004Dykstra, Syngress, 2004Security CompleteSecurity Complete, Taylor, Tiffany, Editor, Sybex, 2, Taylor, Tiffany, Editor, Sybex, 2ndnd Edition, 2002Edition, 2002IT Security, IT Security, Educause, 2004Educause, 2004
ReferenciasReferencias
Information Systems Control and AuditInformation Systems Control and Audit, Weber, Ron, Prentice Hall, , Weber, Ron, Prentice Hall, 19991999Absolute Beginner’s Guide to networkingAbsolute Beginner’s Guide to networking, 4, 4thth Edition, Habraken, Joe, Edition, Habraken, Joe, QUE, 2004QUE, 2004Teach Yourself VISUALLY NetworkingTeach Yourself VISUALLY Networking, 2, 2ndnd Edition, IDG Books, 2000 Edition, IDG Books, 2000How Networks Work, How Networks Work, Derfler & Freed, Ziff Davis Press, 1993Derfler & Freed, Ziff Davis Press, 1993How to ConnectHow to Connect, Shipley, Chris, Ziff Davis Press, 1993, Shipley, Chris, Ziff Davis Press, 1993How the Internet WorksHow the Internet Works, Eddings, Joshua, Ziff Davis Press, 1994, Eddings, Joshua, Ziff Davis Press, 1994Handbook of Information Security Management, Handbook of Information Security Management, Ruthberg & Tipton, Ruthberg & Tipton, Auerbach, 1993Auerbach, 1993Handbook of Information Security Management, Handbook of Information Security Management, Krause & Tipton, Krause & Tipton, Auerbach, 1999Auerbach, 1999Network Security: A hacker’s perspectiveNetwork Security: A hacker’s perspective, Fadia, Premier Press,2003, Fadia, Premier Press,2003Lectures on Network Auditing, IT Audit, Institute of Internal Auditors, Lectures on Network Auditing, IT Audit, Institute of Internal Auditors, 2003-20042003-2004ISACA CISA Examination DomainsISACA CISA Examination Domains