Herramientas de análisis de seguridad

Juan Miguel García LosadaRaúl Alonso Álvarez

Wireshark

• Analizador de red (de código libre)• Funciona en Linux, Windows y Mac• Permite capturar datos de una conexión live.• Permite navegar en los datos capturados y

profundizar tan solo en aquellos paquetes que necesitemos.

• Tiene varias herramientas poderosas, incluyendo un lenguaje de filtro y la posibilidad de reconstruir una sesión TCP.

Kismet

• Es un detector de red inalámbrica, sniffer y detector de intrusos.

• Identifica las redes por inhalación pasiva.• Puede detectar bloques IP capturando

paquetes TCP, UDP, ARP y DHCP. • Puede guardar un log en un formato

compatible con Wireshark o TCPDum• No tiene interfaz gráfica

TCPDump

• Es el sniffer clásico para monitoreo de red y adquisición de datos.

• Era el sniffer IP usado antes de Ethereal (Wireshark).

• No tiene interfaz gráfica pero hace bien su trabajo y no tiene agujeros de seguridad como Wireshark.

• Otra ventaja con respecto a Wireshark es que consume menos recursos del sistema. Es ideal para diagnosticar problemas de red.

Cain and Abel

• Una herramienta de recuperación de contraseñas. • Puede recuperar contraseñas por inhalación

(sniffing) de la red, craqueo de contraseñas encriptadas usando un diccionario, fuerza bruta y criptoanálisis, grabación de conversaciones VoIP, descubrimiento de contraseñas en caché y análisis de protocolos de enrutamiento.

• Anécdota: Algunos antivirus detectan cain and abel como malware.

Ettercap

• Es un sniffer de red basado en sniffer/interceptor/logger.

• Permite la inyección de datos en una conexión establecida y el filtrado al vuelo, manteniendo la conexión sincronizada.

• Tiene la capacidad para comprobar si usted está en una LAN conmutada o no, y para utilizar las huellas dactilares del sistema operativo (activa o pasiva) para hacerle saber la geometría de la LAN.

Dsniff

• Es una suit popular que incluye varias herramientas: dsniff, filesnarf, mailsnarf, el msgsnarf, urlsnarf, y WebSpy pasivamente monitorizar una red de datos de interés (contraseñas, correo electrónico, archivos, etc.) arpspoof, dnsspoof y macof facilitar la interceptación del tráfico de red que normalmente no está disponible a un atacante. sshmitm y webmitm aplicar activa ataques mono-en-el-medio (monkey-in-the-middle) contra ssh redirigido y sesiones de https mediante la explotación de los enlaces débiles en ad-hoc PKI.

Ntop

• Hace un análisis de la red de forma parecida a la herramienta ‘top’ para los procesos.

• En modo interactivo muestra el estado de la red en el terminal del usuario. Y en modo web, actúa como un servidor web almacenando persistentemente estadísticas del tráfico y después se pueden ver en gráficos.

Snort

• En este detector de intrusiones de red ligero destaca el sistema de prevención en el análisis de tráfico y registro de paquetes en redes IP. A través de análisis de protocolos, el contenido de la búsqueda, y varios pre-procesadores, Snort detecta miles de gusanos, la vulnerabilidad de intentos de exploits, análisis de puertos, y otros comportamientos sospechosos.

• Snort utiliza un lenguaje flexible basado en reglas para describir el tráfico que debe recoger o pasar, y un motor de detección modular. También hay un programa gratuito basado en una interfaz web para el análisis de las alertas de Snort.

Nikto

• Es un scanner de seguirdad• Nikto es un scanner de código abierto (Licencia

GPL) que realiza exhaustivos tests, incluyendo más de 3200 ficheros/CGI que potencialmente son dañinos, en más de 625 tipos de servidores, y problemas típicos de versiones en más de 230 servidores. Lo que se escanea así como sus plugins se actualizan muy frecuentemente y pueden descargarse gratuitamente si se desea.

Nessus

• Programa de escaneo de vulnerabilidades• Para diversos sistemas operativos• Desde consola nessus puede ser programado para hacer

escaneos programados con cron• Nessus comienza escaneando los puertos con nmap o con

su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo

• los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX

Ping / telnet / dig / traceroute / whois / netstat

• Todo el mundo debe estar muy familiarizado con estas herramientas, ya que vienen con la mayoría de sistemas operativos (Windows, excepto que omite whois y utiliza el nombre tracert).

• Pueden ser muy útil en caso de apuro, aunque para un uso más avanzado es mejor utilizar otras herramientas.

Ejemplo Ettercap

Ettercap Usamos el programa Ettercap -gtk Vamos a escanear los paquetes que se

intercambian entre PC1(Victima) y el router de la red Wifi, con el Ettercap en PC2(Atacante)

Vamos a usar el metodo envenamiento por ARP.

Le vamos hacer creer a PC1 que nuestra IP es la del router, y al router que nuestra IP es la de PC1.

Configuración del Ataque Clickamos en Sniff → Unified Sniffing ->Wlan0 Clickamos en host → Scan for Host Clickamos en Host → Host List Seleccionamos la Ip de PC1 como target1 y la

Ip del router como target2 Clickamos en Mitm → Arp poisoning Clickamos en View → Connections Clickamos en Start → Start Sniffing

Ataque Ettercap En la pantalla Connections vemos todos los paquetes

que entran y salen de PC1, podemos ver los parámetros de Host Origen Puerto Origen, Host Destino Puerto Destino, protocolo, estado y Bytes.

Analizando los paquetes se puede ver por ejemplo las páginas en las que entra PC1 y los datos que envia no cifrados.

En la siguiente captura podemos ver una conversación que mantiene PC1 en un chat que no tiene los mensajes cifrados.

Ataque Ettercap

Ejemplo Nmap

Nmap Nmap es un programa silencioso de Escano de

Puertos. Se usa para saber que puertos tiene abiertos

una cierta dirección de IP (a la que lanzamos el ataque) y saber que aplicacion escucha en ese puerto.

Vamos usar el comando nmap -sS -Sv -PO ipdestino sobre un PC que tiene el servidor XMAPP instalado.

Resultado Nmap

• Port STATE Service Version• 21/tcp open ftp ProFTPD 1.3.3d• 80/tcp open http Apache httpd 2.2.17• 443/tcp open ssl/http Apache httpd 2.2.17• 3306/tcp open mysql MySql

• Service info: OS:Linux

Nmap Podemos observar que este comando nos dio

como respuesta los puertos y el programa que tienen asociado a ellos, como por ejemplo el puerto 80/TCP tiene asociado en servicio http con la versión del Apache 2.2.17, despues podemos buscar en páginas como exploit-db.com que vulnerabilidad tiene esta versión del apache para poder explotarla.