Seguridad y Alta Disponibilidad:Test de intrusión (I): recogida de información

Jesús Moreno León

jesus.moreno.edu@juntadeandalucía.es

Septiembre 2012

Estas diapositivas son una obra derivada del artículo Test de intrusión de Chema Alonso y de los seminarios de formación impartidos por Antonio Guzmán y Marta Beltrán

© Jesús Moreno León, Septiembre de 2012

Algunos derechos reservados.Este artículo se distribuye bajo la licencia

“Reconocimiento-CompartirIgual 3.0 España" de CreativeCommons, disponible en

http://creativecommons.org/licenses/by-sa/3.0/es/deed.es

Este documento (o uno muy similar)está disponible en (o enlazado desde)

http://informatica.gonzalonazareno.org

Test de intrusión

● Un test de intrusión (test de penetración o PenTest) es un método de auditoría por el que se intenta vulnerar la seguridad de los sistemas informáticos de una organización para comprobar el nivel de resistencia a una intrusión no deseada.

● La mejor forma de probar la fortaleza de los sistemas de seguridad es simular una intrusión utilizando las mismas técnicas que usaría un atacante real.

http://www.s21sec.com/es/servicios/assessment/test-de-intrusion-internos-y-externoshttp://informatica64.com/ASExterna.aspx

Test de intrusión

● Un test de intrusión presenta las siguientes fases:● Contrato● Recogida de información● Análisis de vulnerabilidades● Explotación● Generación de informes para corregir los problemas

Recogida de información

¿Qué información interesa recoger? ¡TODA!

Footprinting: se pretende obtener la huella identificativa, toda la información posible de la red, sistema o usuario objetivo del ataque.

La primera etapa consiste en recuperar información general del objetivo en los medios públicos:

● DNS● Tracear y posicionar● ICANN● Buscadores

La biblia del FootprintingPentest:recolección de información

DNS

Una fuente de información muy importante es el servicio DNS, que puede usarse para conocer qué servidores tiene registrados nuestro objetivo y con qué servicios. Normalmente se obtienen las direcciones IP de los servidores DNS, de los servidores Web, de los servidores de correo y … todo lo que se pueda.

● Transferencias de zona

● Primary master

● Registros PTR

● DNS Cache Snooping

DNS: Transferencias de zona

DNS: Primary Master

El registro SOA (Start of Authority) indica el email del responsable del dominio, sus tiempos de actualización y, entre otras cosas, el primary master, que informa sobre el servidor DNS que tiene la copia maestra de la información relativa a este dominio.

En muchos casos ese primary master es un servidor no expuesto a Internet. Esto, que a priori puede parecer una desventaja, puede ayudar a descubrir el direccionamiento de la red interna, que puede utilizarse para tratar de descubrir más equipos de la red interna mediante PTR Scanning.

DNS: Primary Master

DNS: PTR Scan

DNS Cache Snooping

Es posible forzar al servidor DNS a que tan sólo consulte su caché para resolver las consultas, anulando las resoluciones recursivas, de forma que se puede conocer si un usuario del dominio había resuelto un nombre previamente.

Tracear y posicionar

Una vez que se tienen los objetivos iniciales marcados con direcciones IPs es posible situarlos en la red y geográficamente, para averiguar cuál es la ubicación física y quiénes son sus proveedores de acceso a Internet.

http://www.visualroute.com/http://www.yougetsignal.com/tools/visual-tracert/

Whois

Cuando una empresa registra un dominio en Internet debe rellenar una serie de datos en el registrador que deben estar en una base de datos de información que se llama Whois. La información que se registra en esta base de datos es pública por defecto.

Netcraft

Búsqueda en la web

Existe mucha información que han indexado los buscadores y que está disponible públicamente para su consulta. Tan sólo hay que saber qué preguntar a los buscadores.

● site

● filetype

● intitle

● inurl

● cache

● define

● link

● related

● Info

● ...

Búsqueda en la web

Con el operador IP de Bing es posible localizar otros dominios que se encuentran alojados en el mismo servidor

Spidering

Las técnicas de Spidering se utilizan para poder encontrar toda la información que se ofrece gratuitamente a través de los sitios web de la compañía. Se recopilan páginas html, ficheros de imágenes, documentos, javascripts, applets, etc…

http://www.informatica64.com/foca.aspx

Fingerprinting

Una vez recogida toda la información que era pública, el siguiente paso es recoger aquella que también está accesible públicamente pero que a priori no se puede ver. Es decir, se trata de inferir información a partir de pruebas que se van realizando a cada uno de los servicios y servidores.

Fingerprinting

● Nmap

● SuperScan

● Netcat