Este documento presenta una introducción a las amenazas a la seguridad en redes GNU/Linux y herramientas para la seguridad de redes. Explica conceptos clave como los tipos de amenazas, los fundamentos de redes TCP/IP incluyendo los diferentes niveles del modelo OSI, y cómo las herramientas de seguridad pueden utilizarse para recopilar información de tráfico de red y detectar intrusos.

1. Miguel Ángel Molinero Álvarez
m.molinero@usc.es
Area TIC - Desenvolvemento
Universidade de Santiago de Compostela
Amenazas en redes GNU/Linux
Herramientas de seguridad para redes: recopilación de información y análisis de
tráfico
Ferramentas de seguridade en GNU/Linux
Curso de Extensión Universitaria
23 de xuño de 2010

2. Índice de Contenidos
Seguridad en Sistema Informáticos
Amenazas a la seguridad
Tipos de ataques
Fundamentos de redes
Elementos de redes de computadores
Cómo obtener datos de la red
Cómo detectar sniffers
Herramientas
Conclusiones
2

3. Seguridad en Sistemas Informáticos
3

4. Seguridad en Sistemas Informáticos
La seguridad debe garantizar:
Confidencialidad
Integridad
Disponibilidad
(Autenticación - No repudio)
(Trazabilidad)
La mejor arma para defendernos de ataques es utilizar el
sentido común en el diseño de sistemas y contemplar todas
las posibilidades: claves robustas, cambio periódico de
claves, formación del personal, cuidado en la eleeción de
nombres de equipos, etc.
Una máxima: El sistema de seguridad no puede ser más
valioso que el sistema o los datos que protege.
4

5. Seguridad en Sistemas Informáticos
“El sistema de seguridad nunca puede ser más
costoso que la información que protege”
“Un sistema de seguridad es tan seguro como
su eslabón más débil”
Para poder defender nuestros sistemas, es necesario
conocer la forma en que los atacantes actúan y cuáles
son sus armas.
5

6. Amenazas a la seguridad
6

7. Amenazas a la seguridad
Existen cuatro tipos de amenazas genéricas:
Interrupción: Hace que el objetivo del ataque se pierda,
quede inutilizable o no disponible.
Interceptación: Consiste en acceder a un determinado
objeto del sistema.
Modificación: Además de la interceptación, el objeto del
ataque es modificado.
Fabricación: Modificación destinada a suplantar el objeto
real.
7

8. Amenazas a la seguridad
Origen de las amenazas
Personas:
Personal de la organización.
Ex-empleados.
Terroristas.
Curiosos.
Crackers. (atacantes malignos con el objetivo de utilizar, modificar o
incluso destruir)
Intrusos remunerados.
Ingeniería social
Catástrofes: Sean naturales o artificiales, constituyen la amenaza
menos probable.
Terremotos, incendios, inundaciones, fallos eléctricos, etc.
8

9. Amenazas a la seguridad
Origen de las amenazas:
Amenazas Lógicas: Son todo tipo de programas que de
una forma u otra pueden dañar nuestro sistema, ya sea
intencionadamente o por error.
Software incorrecto (exploits).
Herramientas de seguridad
Puertas traseras
Bombas lógicas
Virus (gusanos, troyanos, programas conejo o bacteria)
Técnicas Salami
9

10. Fundamentos de redes
10

11. Fundamentos de redes
Protocolo TCP/IP
Nivel Aplicación
Nivel Aplicación: Es nivel que las aplicaciones más
comunes usan para comunicarse a través de una red
con otros programas.
Nivel Transporte
Incluye protocolos de alto nivel como HTTP (Hyper
Nivel Internet
Text Transfer Protocol), FTP (File Transfer Protocol),
etc.
Nivel Enlace
Nivel Físico
11

12. Fundamentos de redes
Protocolo TCP/IP
Nivel Aplicación
Nivel Aplicación
Nivel Transporte
Nivel Transporte Nivel Transporte: Los protocolos del nivel de
transporte se encargan de gestionar la fiabilidad y el
Nivel Internet
Nivel Internet orden de recepción de los paquetes enviados.
También en este nivel se determina a qué aplicación
Nivel Enlace
Nivel Enlace
(puerto) van dirigidos los datos.
Existen dos protocolos fundamentales: TCP (fiable y
Nivel Físico
Nivel Físico orientado a conexión) y UDP (sin gestión de
conexión).
12

13. Fundamentos de redes
Protocolo TCP/IP
Nivel Aplicación
Nivel Aplicación
Nivel Transporte
Nivel Transporte
Nivel Internet
Nivel Internet
Nivel Internet: Este nivel se encarga de transportar
paquetes a través de una red sencilla. Incluye el
enrutamiento de paquetes a través de la red.
Nivel Enlace
Nivel Enlace
El protocolo fundamental es el IP (Internet Protocol)
Nivel Físico
Nivel Físico
que permite asignar direcciones únicas a los
sistemas. Otros como ICMP (Internet Control
Message Protocol) pueden ser considerados de este
nivel a pesar de estar por encima de IP.
13

14. Fundamentos de redes
Protocolo TCP/IP
Nivel Aplicación
Nivel Aplicación
Nivel Transporte
Nivel Transporte
Nivel Internet
Nivel Internet
Nivel Enlace
Nivel Enlace Nivel Enlace: Especifica cómo son transportados los
paquetes sobre el nivel físico, incluyendo los
delimitadores. Es dependiente del hardware de red
Nivel Físico
Nivel Físico
que utilicemos (tarjeta de red).
Podemos encontrar tecnologías como Ethernet, ATM,
token ring, etc.
A este nivel se corresponden las direcciones MAC
(Medium Access Control address).
14

15. Fundamentos de redes
Protocolo TCP/IP
Nivel Aplicación
Nivel Aplicación
Nivel Transporte
Nivel Transporte
Nivel Internet
Nivel Internet
Nivel Enlace
Nivel Enlace
Nivel Físico
Nivel Físico Nivel Físico: Describe las características físicas de la
comunicación. Detalla los conectores, código de
canales y modulación, potencias de señal, longitudes
de onda, temporización, etc.
15

16. Fundamentos de redes
Esquema redes TCP/IP
Aplicación Aplicación
Transporte Transporte
Red Red Red
Enlace Enlace Enlace Enlace
Física Física Física Física
1110010111011100101001101111001011 1001001100101010011001010100110
Protocolos TRANSPORTE: Protocolos RED:
(TCP) Transmission Control Protocol (IP) Internet Protocol
(UDP) User Datagram Protocol (ICMP) Internet Control Message
Protocolos ENLACE:
(ARP) Address Resolution Protocol 16

17. Fundamentos de redes
Protocolo TCP/IP
Sistema Origen (Dir. IP1) Sistema Destino (Dir. IP2)
Dato X Dato X
Paquete X1 Paquete X2 Paquete X3
Dir. MAC1 Dir. MAC2
Medio Físico
17

18. Fundamentos de redes
Protocolo TCP/IP
En la práctica, una máquina tiene dos direcciones:

Dirección IP (Nivel Internet): 192.168.100.1

Dirección MAC (Nivel Enlace): 12:34:56:78:9A:BC
18

19. Fundamentos de redes
Modo Promiscuo (Modo Monitor):
En modo promiscuo, una máquina intermedia captura
todos los paquetes que desecharía.
En lugar de limitar su recorrido al nivel de enlace, los
paquetes pueden pueden ser procesados por
aplicaciones en los niveles superiores.
¡¡GRAN FUENTE DE INFORMACION!!
Las máquinas en modo promiscuo suelen copiar cada
paquete y ponerlo de nuevo en el medio para que
lleguen a su destino real.
19

20. Fundamentos de redes
Modo Promiscuo (Modo Monitor):
Como herramienta de administración, el modo
promiscuo resulta muy útil para conocer que paquetes
atraviesan nuestra red.
Es especialmente útil en los routers que unen varias
redes: detectar errores, ataques, pérdida de paquetes
o actividades extrañas.
Como herramienta de ataque, permite obtener datos
de la red. Incluso es posible obtener datos concretos
de las aplicaciones de un equipo e incluso nombres de
usuario y passwords.
En Linux, podemos activar el modo promiscuo
simplemente haciendo:
sudo ifconfig <interfaz> promisc (-promisc)
20

21. Elementos de redes de computadores
Elementos conectores:
Hub: Extienden las redes LAN.
Son simplemente repetidores que envían TODOS los
paquetes por TODOS sus puertos conectados.
Switch: Son hubs avanzados.
Son capaces de reconocer direcciones MAC de los equipos
conectados a cada uno de sus puertos y redirigir el tráfico a su
correcto destinatario.
Router: Conecta subredes trabajando en el nivel de RED.
Es capaz de distribuir el tráfico en base a direcciones IP.
Además, es capaz de ejecutar aplicaciones de control, filtrado,
etc. sobre los paquetes que distribuye.
21

22. Cómo obtener datos de la red
22

23. Cómo obtener datos de la red
Sniffing (técnicas de escucha)
Los sniffers son herramientas de software y/o hardware que
interceptan tráfico en una red y lo muestran en distintos
formatos
Pueden capturar paquetes (nivel de RED: direcciones IP) o
tramas (nivel de ENLACE: direcciones MAC)
Algunos más sofisticados interpretan los paquetes y pueden
reensamblar flujos
Utilidad principal: leer el tráfico de una red
Un atacante puede descubrir nombres de usuario, passwords, y
otra información confidencial
Muchos ataques complejos requieren del uso de técnicas de
sniffing en algún momento
Otros usos: auditoría, análisis de carga, depuración, como
herramienta didáctica, etc.
23

24. Cómo obtener datos de la red
Los sniffers de software trabajan capturando paquetes no
destinados a la MAC del sistema donde residen
Normalmente, un sistema responde solamente al tráfico
enviado a su propia dirección MAC
Si un dispositivo de red se encuentra en “modo promiscuo” el
sistema lee todo el tráfico y lo envía al sniffer
Cualquier protocolo que no cifre sus datos es susceptible al
sniffing
Los protocolos como HTTP, POP3, SNMP y FTP son los
mas comúnmente capturados utilizando sniffing
24

25. Cómo obtener datos de la red
Sniffing Pasivo
Se refiere a escuchar y capturar tráfico, y es útil en
redes interconectadas por hubs (o en redes
inhalámbricas) donde el tráfico es visto por todos los
equipos de la red.
Ejemplo: Wireshark
Sniffing Activo
Se refiere al lanzamiento de ataques de ARP Spoofing
o flooding contra un switch para poder capturar el
tráfico
Ejemplo: Ettercap
El sniffing activo es detectable porque genera acciones,
a diferencia del pasivo
25

26. Cómo obtener datos de la red
Capturando paquetes de red:
Es necesario estar en modo promiscuo y estar
conectado al mismo segmento de red que la víctima.
Si el elemento que une las redes es un hub (que actúa
a nivel de enlace), no necesitamos realizar ningún
paso adicional.
En cambio, si es un router (que actúa a nivel de red o
nivel internet) sólo podremos engañarlo si le
saturamos o suplantamos la IP de la puerta de enlace.
26

27. Cómo obtener datos de la red
Capturando paquetes de red:
Si lo que tenemos es un switch, sigue siendo posible
capturar paquetes de la red mediante ciertas técnicas.
27

28. Cómo obtener datos de la red
Capturando paquetes de red:
Un switch trabaja en el nivel de enlace, habitualmente en
modo hardware para ser más rápido.
En las redes con switches, la información se transmite
basándose en la dirección MAC y manteniendo una tabla con
los puertos físicos asignados a cada MAC
Los switches son la forma más común de segmentar redes
en subredes para mejorar su rendimiento y su seguridad
No distingue los protocolos del nivel superior (IP, IPX,
Appletalk, etc. ) y por lo tanto toma decisiones menos
inteligentes que un router.
28

29. Cómo obtener datos de la red
Capturando paquetes de red:
Un switch puede funcionar en modo aprendizaje
(memorizar parejas MAC-puerto) o en modo manual.
En modo aprendizaje, crea una tabla con las
direcciones MAC de origen de los paquetes que van
pasando por él:
Si llega una nueva MAC de origen que no está en sus
tablas, la guarda junto con el número de puerto por el
que llegó.
Si llega una nueva MAC de destino que no está en su
tabla se reenvía por todos los puertos menos por el que
llegó.
29

30. Cómo obtener datos de la red
Engañando al switch: Saturación
El switch tiene un espacio de memoria para
direcciones limitado.
Cuando la memoria se llena, es decir, cuando el switch
se satura, puede actuar de varias maneras:
Enviar las tramas a todos los puertos.
Ignorar las direcciones que no estén en sus tablas.
Enviar las tramas por puertos equivocados.
Reiniciarse.
La defensa contra este tipo de ataques consiste en
usar siempre el modo manual.
30

31. Como obtener datos de la red
ARP poisoning
Utilizado para atacar redes Ethernet y permitir a un atacante
sniffear datos en una red con switch o detener un tráfico
determinado.
ARP poisoning usa el spoofing (suplantación de dirección)
para enviar mensajes de origen falso por la red.
Estas tramas contienen falsas direcciones MAC que confunden
a los dispositivos de red.
Como resultado, las tramas pueden ser erróneamente enviadas
o reenviadas.
Prevención:
Utilizar tablas estáticas para las direcciones MAC del gateway
en equipos clientes.
Fijar estáticamente los puertos físicos de los switches
asociándolos unívocamente con las direcciones MAC
31

32. Cómo obtener datos de la red
Engañando al switch: ARP redirect
Incluso estando en modo promiscuo, es posible que no todos los
paquetes lleguen a nuestra máquina.
Podemos forzar esta situación haciendo creer al resto de
equipos de la subred que nuestra máquina es la puerta de
enlace de la red.
Para ello, podemos utilizar el paquete dsniff: Este paquete
contiene una serie de herramientas para captura y análisis de
paquetes de una red.
32

33. Cómo obtener datos de la red
Engañando al switch: ARP redirect
El comando arpspoof permite engañar a la red enviando
un paquete diciendo que la dirección MAC de la puerta
de enlace es precisamente nuestra MAC.
Lograremos esto enviando paquetes ARP no solititadas
a nuestra victima/s:
sudo arpspoof -t <ip_victima> <ip_puerta_de_enlace>
33

34. Cómo obtener datos de la red
Engañando al switch: ARP redirect
La víctima procesará este mensaje y tomará nuestro
equipo como puerta de enlace de la red.
Este efecto es temporal, ya que la puerta de enlace
verdadera también enviará sus propios paquetes.
Por defecto, Linux descarta todos los paquetes que no
son dirigidos a nosotros, así que para que la víctima
no pierda la conexión, debemos redirigir todos los
paquetes a la puerta de enlace original:
echo “1” > /proc/sys/net/ipv4/ip_forward
echo “0” > /proc/sys/net/ipv4/ip_forward (para
desconectarlo)
34

35. Cómo obtener datos de la red
Engañando al switch: Técnicas ICMP
ICMP sirve fundamentalmente para enviar
informaciones de control entre las máquinas.
ICMP Redirect: Sirve para decir a una máquina que
utilice una ruta (una puerta de enlace) alternativa. De
este modo, podriamos decir que envíe todo su tráfico a
nuestra máquina para que podamos capturarlo.
ICMP Router Advertisements:Informa directamente cuál
es el router.
La mayoría de los sistemas no usan estos paquetes
ICMP. Incluso es posible encontrar el puerto ICMP
cerrado (Puerto 8) para paquetes ICMP echo (ping).
35

36. Cómo obtener datos de la red
Engañando al switch: Suplantar MAC de la víctima
Para capturar el tráfico de una máquina o subred
concreta, podemos suplantar su identidad.
Enviaremos al switch paquetes ARP en los que
hayamos cambiado nuestra MAC por la de la víctima.
Así, el switch asociará a nuestro puerto todo el tráfico
que vaya destinado a esa máquina o subred.
36

37. Cómo obtener datos de la red
Engañando al switch: Suplantar MAC de la vícitma
Sin embargo, este efecto es temporal puesto que la
máquina real enviará también tramas al switch:
Podemos hacer un ataque de Denegación de Servicio
(DoS) a la máquina objetivo.
Podemos robar todas las tramas enviando paquetes que
suplanten su MAC continuamente. Los paquetes que
recibamos para la víctima, debe de serle reenviados.
37

38. Cómo obtener datos de la red
Engañando al switch: usando un hub
Si tenemos acceso físico a la red, podemos capturar
todo su tráfico simplemente poniendo un hub entre dos
switches.
Esta técnica es tremendamente efectiva y muy difícil
de detectar.
¡¡LA SEGURIDAD FÍSICA ES MUY IMPORTANTE!!
38

39. Cómo detectar sniffers
39

40. Cómo detectar sniffers
La idea es detectar equipos en la red que
estén en modo promiscuo.
La mayoría de las técnicas se basan en
intentar que el intruso se traicione a sí
mismo respondiendo a un mensaje al
que nadie debería responder.
40

41. Cómo detectar sniffers
El método Ping: Consiste simplemente en enviar una
petición ICMP echo request, con una dirección IP de
destino correcta, y una dirección MAC incorrecta.
Una máquina en modo promiscuo responderá a este
mensaje delatándose.
Algunos sniffers ya cuentan con protección ante esto
mediante filtrados de direcciones MAC.
El método ARP: Similar al anterior pero con paquetes
ARP.
41

42. Cómo detectar sniffers
Método de Decodificación: Consiste en establecer
varias conexiones en las que se transmita sin cifrar el
usuario y contraseña de cuentas ficticias.
Luego, monitorizaremos dichas cuentas para detectar
si algún intruso las ha utilizado y por tanto estaba a la
escucha.
Medidas temporales: Existen otros métodos basados
en sobrecargar la red con muchos paquetes, de modo
que la máquina en modo promiscuo se sobrecargue
también. En este caso podríamos descubrirla
comparando los tiempos de repuesta de ciertas
peticiones (Por ejemplo ping).
42

43. Herramientas
43

44. Herramientas
Sniffers/Capturadores de Tráfico:
tcpdump:
Está formado por un conjunto de programas cuya
utilidad principal es analizar el tráfico que circula por la
red.
Ofrece múltiples opciones usando parámetros al
ejecutarlo: tamaño de paquetes capturados, resolución
de nombres de máquinas, redirección a fichero de los
resultados, etc.
Para ejecutarlo:
tcpdump -i <interfaz>
44

45. Herramientas
Sniffers/Capturadores de Tráfico:
tcpdump:
Permite establecer filtros para determinar que paquetes
capturar en base a tres modificadores:
Tipo: Puede ser host (una máquina), net (una red) o port
(un puerto/protocolo).
tcpdump -i eth0 host este.uvigo.es
Dirección del flujo: Puede ser src (origen) o dst (destino).
tcpdump -i eth0 src este.uvigo.es
Protocolo: Puede ser tcp, udp, ip, ether, arp, y muchos
otros.
tcpdump -i eth0 tcp
45

46. Herramientas
Sniffers/Capturadores de Tráfico:
tcpdump:
Los filtros pueden combinarse mediante conectores
lógicos (and, or y not) para generar filtros más
complejos:
tcpdump -i eth0 tcp and host este.uvigo.es
tcpdump -i eth0 http or telnet
tcpdump -i eth0 tcp and (port 22 or port 23)
46

47. Herramientas
Sniffers/Capturadores de Tráfico:
Wireshark (Antes Ethereal):
Es un analizador de tráfico de red OpenSource de gran
potencia.
Es un front (una interfaz) para tcpdump por lo que sus
funcionalidades son las de éste, más algunas propias de
la interfaz.
Proporciona poderosos filtros de captura y de
visualización así como estadísticas del tráfico de red.
47

48. Herramientas
Sniffers/Capturadores de Tráfico:
Wireshark:
Funcionalidades:
Opciones de captura.
Tres visualizaciones de los datos: resumido, por
protocolos y binario.
Muestra identificador, marca de tiempo, IP origen, IP
destino, protocolo e información extra.
Filtros de captura: Similares a tcpdump, pero además
permite acceso a bytes concretos del paquete
(icmp[0]==8).
Filtros de captura predefinidos.
Filtros de visualización con acceso a bytes concretos
(tcp.flags).
Estadísticas detalladas: por protocolos y
conversaciones.
48

49. Herramientas
Sniffers/Capturadores de Tráfico:
Wireshark:
Paquetes TCP:
src > dst:flags [dataseq ack window urgent options]
src: Dirección y puerto de origen.
dst: Dirección y puerto de destino
flags: Dan información de control y tipo del paquete
ack: Indica el número siguiente de secuencia que
espera recibir en una comunicación.
este.uvigo.es.2 > servidor.uvigo.es.22: . ack 2
49

50. Herramientas
Sniffers/Capturadores de Tráfico:
Wireshark:
Paquetes UDP:
src.srcport > dst.dstport: udp len
src: Nombre o dirección de origen
srcport: Puerto de origen
dst: Nombre o dirección de destino
dstport: Puerto de destino
len: Longitud de los datos del usuario
192.168.100.11.1050 > 192.168.100.33: udp 121
50

51. Herramientas
Escaneado de puertos:
NMap: Es probablemente una de las herramientas
más completas para escanear redes.
Normalmente se instala por defecto en todas las
distribuciones de Linux.
Se basa en el intercambio y análisis de paquetes TCP
con las máquinas objetivo.
Es capaz de reconocer el Sistema Operativo de una
máquina, los servicios que están activos y las versiones
de los mismos.
51

52. Herramientas
Escáneado de puertos:
NMap:
Es muy sigiloso y difícil de detectar.
Como herramienta de administración, permite encontrar
vulnerabilidades antes que los atacantes.
Usa una base de datos de ‘huellas’ (OSfingerprint) para
identificar remotamente el Sistema Operativo.
52

53. Herramientas
Escáneado de puertos:
NMap:
Técnica Básica:
Nuestro Sistema
Intento de conexión TCP (Flag SYN)
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
53

54. Herramientas
Escáneado de puertos:
NMap:
Técnica Básica:
Nuestro Sistema
Si no hay servicio devuelve Flag RST
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
¡Sabemos que ese puerto está cerrado!
54

55. Herramientas
Escáneado de puertos:
NMap:
Técnica Básica:
Nuestro Sistema
Si hay servicio envía Flags SYN y ACK
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
55

56. Herramientas
Escáneado de puertos:
NMap:
Técnica Básica:
Nuestro Sistema
Envía un ACK que estable la conexión
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
56

57. Herramientas
Escáneado de puertos:
NMap:
Técnica Básica:
Nuestro Sistema
Envía un RST que cierra conexión
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
¡Sabemos que ese puerto está abierto y tiene un servicio escuchando!
Pero... Saben que hemos estado ahí :(
57

58. Herramientas
Escáneado de puertos:
NMap:
Técnica Sigilosa:
Nuestro Sistema
Intento de conexión TCP (Flag SYN)
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
58

59. Herramientas
Escáneado de puertos:
NMap:
Técnica Sigilosa:
Nuestro Sistema
Si hay servicio envía Flags SYN y ACK
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
59

60. Herramientas
Escáneado de puertos:
NMap:
Técnica Sigilosa:
Nuestro Sistema
Envía un RST que cierra conexión
NMap
Sistema Objetivo
IP: 192.168.100.1
Puerto 8
¡Sabemos que ese puerto está abierto y tiene un servicio escuchando!
Y al no haber conexión, no hay registro :)
60

61. Herramientas
Escáneado de puertos:
NMap:
Usando paquetes especialmente manipulados (FIN,
XMAS y NULL) con combinaciones no conocidas de
Flags, NMap averigua de qué Sistema Operativo se trata
en base a la respuesta obtenida.
Por Ejemplo: Los sistemas Windows, ante un paquete de
petición de conexión desconocido, resetean la conexión.
Los sistemas Linux ignoran el paquete y no dan
respuesta.
61

62. Herramientas
Escáneado de puertos:
NMap:
Ping Scan (-sP): Muestra todas las máquinas que
responden a un ping en un rango dado.
Escaneados básicos (-sT y -sS): Se escanea usando
conexión TCP completa o sigilosa respectivamente.
Escaneados con paquetes imposibles (-sF, -sN y -sX):
Se utilizan los paquetes FIN, Null y Xmas para
determinar la información del objetivo.
62

63. Herramientas
Escáneado de puertos:
NMap:
Idle Scanning (-sI): Es una forma de escanear muy
sigilosa. Se basa en predecir los identificadores que se
asignaran a cada nuevo paquete IP. Se realiza
suplantando a otra máquina que se conoce como
zombie. Un análisis del ataque tomará al zombie como
el causante.
Detección de versión (-V): Intenta averiguar la versión
del servicio.
Completo (-A): Activa la detección de versión y el
OSfingerprint.
63

64. Herramientas
Otras Aplicaciones:
Ettercap: Otro capturador analizador de paquetes.
Soporta escucha activa y pasiva de varios protocolos.
Permite inyectar datos en una conexión ya establecida
emulado comandos o respuestas.
Puede realizar ataques Man-in-the-middle
Puede interceptar y fabricar tráfico SSH, SSL y HTTPS.
Admite plugins para recolección de contraseñas, filtrado
y sustitución de paquetes, OS fingerprint
Aircrack: Suite completa para descifrar claves WEP de
redes wireless.
Superscan: Potente (aunque no tanto como nmap)
escaneador de puertos.
64

65. Conclusiones
Existen herramientas tan potentes que
la seguridad mediante la oscuridad
mediante la falta de información, no
es eficiente.
El cifrado de los datos es fundamental
en la seguridad de los sistemas
informáticos.
65

66. Miguel Ángel Molinero Álvarez
m.molinero@usc.es
Area TIC - Desenvolvemento
Universidade de Santiago de Compostela
Amenazas en redes GNU/Linux
Herramientas de seguridad para redes: recopilación de información y análisis de
tráfico
Ferramentas de seguridade en GNU/Linux
Curso de Extensión Universitaria
23 de xuño de 2010