1

Técnicas de Técnicas de Escaneo de puertosEscaneo de puertosReynaldo ReyesReynaldo ReyesFrancisco VergaraFrancisco Vergara

Seguridad en Redes - UCVSeguridad en Redes - UCV

2

AgendaAgenda IntroducciónIntroducción Qué es un puertoQué es un puerto Puertos Bien conocidos vs puertos poco comunesPuertos Bien conocidos vs puertos poco comunes Qué es un escaneo de puertos. ¿Para qué?Qué es un escaneo de puertos. ¿Para qué? Por qué el escaneo de puertos es peligroso?Por qué el escaneo de puertos es peligroso? Técnicas de escaneo de puertosTécnicas de escaneo de puertos Aplicaciones más usadas para escaneo de puertosAplicaciones más usadas para escaneo de puertos

Nmap, unicornScan, Scapy, hping3, SolarWindsNmap, unicornScan, Scapy, hping3, SolarWinds Cómo evitar y protegerse ante un ataque por escaneo de Cómo evitar y protegerse ante un ataque por escaneo de puertos.puertos.

Firewall como backbone ante ataques.Firewall como backbone ante ataques. Snort como estándar de facto en protección de redes. Snort como estándar de facto en protección de redes.

Casos de estudio - Demostración de escaneo de puertos Casos de estudio - Demostración de escaneo de puertos ConclusionesConclusiones y Recomendaciones y Recomendaciones

3

IntroducciónIntroducciónCuan vulnerables son nuestras actividades Cuan vulnerables son nuestras actividades diarias en el mundo de la computación ?diarias en el mundo de la computación ?

Nada es totalmente seguro en Internet!!!Nada es totalmente seguro en Internet!!!

Todos somos víctimas potenciales!!Todos somos víctimas potenciales!!

4

Anatomía de un AtaqueAnatomía de un Ataque

Obtención de Información

Escaneo

Enumeración

Obtención de Acceso

Escalamiento Privilegios

Hurto

Ocultando Evidencias

Creación de Puertas Traseras

Negación de Servicios

Recordando …Recordando …

5

6

Qué es un puerto?Qué es un puerto?

Nro. PuertoNro. Puerto + Dirección ip = Socket+ Dirección ip = Socket

8080 201.209.61.14201.209.61.14

16 bits16 bits 32 bits (128 bits en IPv6)

7

Algunos puertos muy usados Algunos puertos muy usados y sus serviciosy sus servicios

8

Qué es un escaneo de puertos. ¿Para qué?Qué es un escaneo de puertos. ¿Para qué?

Es una de las primeras actividades que un potencial (o no tan Es una de las primeras actividades que un potencial (o no tan potencial) atacante realizará contra su objetivo será sin duda un potencial) atacante realizará contra su objetivo será sin duda un escaneo de puertosescaneo de puertos

•FacilidadFacilidad

•Muchos ProgramasMuchos Programas

•No es Ilegal!! No es Ilegal!!

9

Técnicas de escaneo de puertosTécnicas de escaneo de puertos

Los Tipos de escaneo se clasifican en:Los Tipos de escaneo se clasifican en:

•AbiertoAbierto

•Medio AbiertoMedio Abierto

•SilenciosoSilencioso

•BarridosBarridos

•OtrosOtros

10

Aplicaciones más usadas para escaneo de puertosAplicaciones más usadas para escaneo de puertos

• unicornScanunicornScan

• SolarWindsSolarWinds

• ScapyScapy

• Nmap Nmap

• Hping3Hping3

11

Técnicas de escaneo de puertosTécnicas de escaneo de puertos

•TCP connect() / Full Open Scan

12

•TCP SYN:

también conocida como Half-open scan (es el escaneo medio abierto por excelencia), es parecida a TCP connect () con la importante salvedad de no establecer completamente las conexiones.

13

•TCP FINTCP FIN

14

•TCP Reverse IdentTCP Reverse Ident

15

TCP XMAS ScanTCP XMAS Scan

16

TCP NULL ScanTCP NULL Scan

17

TCP ACK ScanTCP ACK Scan

18

The FTP Bounce AttackThe FTP Bounce Attack

19

UDP ICMP port scanUDP ICMP port scan

20

ICMP ping-sweepingICMP ping-sweeping

21

•TCP echo: Envío de paquetes TCP al puerto echo (TCP/7). Si TCP echo: Envío de paquetes TCP al puerto echo (TCP/7). Si recibe respuesta, el host está activo. recibe respuesta, el host está activo.

•UDP echo: Envío de paquetes UDP al puerto echo (UDP/7). Si UDP echo: Envío de paquetes UDP al puerto echo (UDP/7). Si recibe respuesta, el host está activo.recibe respuesta, el host está activo.

•TCP ACK: Envío de paquetes TCP ACK. Si se obtiene respuesta TCP ACK: Envío de paquetes TCP ACK. Si se obtiene respuesta RST, el host está activo.RST, el host está activo.

•TCP SYN: Envío de paquetes TCP SYN. Si se obtiene respuesta TCP SYN: Envío de paquetes TCP SYN. Si se obtiene respuesta RST o SYN/ACK, el host está activo.RST o SYN/ACK, el host está activo.

•ICMP echo: Este es el ping de toda la vida. ICMP echo request e ICMP echo: Este es el ping de toda la vida. ICMP echo request e ICMP echo reply.ICMP echo reply.

Los métodos para comprobar esto son varios:Los métodos para comprobar esto son varios:

22

Protección frente a escaneosProtección frente a escaneos•Abrir solamente los puertos necesariosAbrir solamente los puertos necesarios

•Controlar los puertos abiertos dinámicamenteControlar los puertos abiertos dinámicamente

•Proteger los puertos que no usemosProteger los puertos que no usemos

•Proteger el acceso a los servicios que deban ser Proteger el acceso a los servicios que deban ser restringidosrestringidos

•Proteger las conexionesProteger las conexiones

•Usar un firewallUsar un firewall

•Usar un IDSUsar un IDS

•Usar esquemas de seguridad redundantesUsar esquemas de seguridad redundantes

•Ocultar información sensibleOcultar información sensible

•Usar sistemas de seguridad avanzadosUsar sistemas de seguridad avanzados

•Tener el software actualizadoTener el software actualizado

23

Y si me encuentro en Y si me encuentro en Linux?Linux?

/etc/hosts.allow

/etc/hosts.deny

24

Otra manera de Otra manera de defendernos: PortSentrydefendernos: PortSentry

25

Firewall como backbone Firewall como backbone ante ataquesante ataques

26

Snort Snort ® como estándar de facto como estándar de facto en protección de redes. en protección de redes.

•Snort es un sistema open source de prevención y detección de intrusos (IDS/IPS)

•Se ha convertido en el estándar de facto para IPS

27

Ejemplo de uso de SnortEjemplo de uso de Snort

28

Qué es lo ideal?Qué es lo ideal?

+ =

29

Conclusiones y Conclusiones y RecomendacionesRecomendaciones

• Todo sistema es vulnerable a un escaneo de puertos (sin Todo sistema es vulnerable a un escaneo de puertos (sin excepción) excepción)

• La mejor Ofensiva frente a un ataque es una buena defensaLa mejor Ofensiva frente a un ataque es una buena defensa

• Jamás hay que hacer la instalación predeterminada en los Jamás hay que hacer la instalación predeterminada en los sistemas operativossistemas operativos

• Antes de que un sistema sea puesto en línea, un escaneo de Antes de que un sistema sea puesto en línea, un escaneo de puertos se debe realizar contra el sistema.puertos se debe realizar contra el sistema.

• Hay que tener en cuenta que entre más servicios ofrezca el Hay que tener en cuenta que entre más servicios ofrezca el sistema, más vulnerable será.sistema, más vulnerable será.

• Revise periodicamente el archivo Revise periodicamente el archivo /etc/inetd.conf y /etc/inetd.conf y • /etc/init.d file y los run control files en el sistema para eliminar /etc/init.d file y los run control files en el sistema para eliminar

los servicios innecesarios.los servicios innecesarios.• Si un sistema ha sido comprometido, los atacantes podrían Si un sistema ha sido comprometido, los atacantes podrían

tratar de abrir más puertos en el sistema para que sea más fácil tratar de abrir más puertos en el sistema para que sea más fácil explotar las debilidades de los puertos.explotar las debilidades de los puertos.

30

Links de interés:Links de interés:

•http://nmap.org/book/man.html

•http://www.snort.org/

•http://www.sans.org/reading_room/ http://www.sans.org/reading_room/

•http://www.unicornscan.org/ http://www.unicornscan.org/

•http://www.hping.org/ http://www.hping.org/

•http://www.sans.org/reading_room/whitepapers/http://www.sans.org/reading_room/whitepapers/auditing/port-scanning-techniques-defense_70 auditing/port-scanning-techniques-defense_70

•http://www.kernelnet.com/articulos/seguridad/59-http://www.kernelnet.com/articulos/seguridad/59-ataques-mas-comunes-en-redes-y-servidores ataques-mas-comunes-en-redes-y-servidores

31

Preguntas ¿?Preguntas ¿?