Seguridad en las Tecnologías de Internet utilizando PHLAK

Seguridad en las Tecnologías de internet
utilizando PHLAK
Alonso E. Caballero Quezada
Diciembre 4, 5 / Trujillo - Peru
alonso_caballero@informatizate.net
http://www.informatizate.net

Seguridad en las Tecnologías de Internet utilizando PHLAK
Alonso E. Caballero Q. / Diciembre 4, 5 Trujillo, Peruúwww.informatizate.net
¿Qué es OSSTMM?
OSSTMM, son las iniciales en ingles de, Manual de Metodologia Abierta de
Testeo de Seguridad.
Este manual es un estandar profesional para el testeo de seguridad en
cualquier entorno desde el exterior al interior. Como cualquier estandar
profesional, incluye los lineamientos de acción, la ética del testeador
profesional, la legislación sobre el testeo de seguridad y un conjunto integral
del test.
Debido a que los testeos de seguridad continuan evolucionando en una
profesion válida y respetada, el OSSTMM intenta ser el manual de referencia
del profesional.

Conceptos Preliminares:
Detallar y realizar todo lo indicado por el OSSTMM, escapa al objetivo
de la presentación. Nuestro objetivo es conocer la metodología y usar
las herramientas adecuadas para su adecuada realización.
Debido a ello, la presentación se enfoca solo a las tareas
correspondientes al tercer modulo de la OSSTMM, denominado
“Seguridad en las Tecnologías de internet”.
Cada tarea de tercer módulo de la metodología, es mucho mas
laborioso de lo presentado aquí; es por éste motivo; que solo se
presentan ejemplos puntuales para la realización de las tareas
indicadas.

1. Logística y Controles.
Reducir los falsos positivos y negativos realizando ajustes necesarios en las
herramientas de análisis.
Resultados Esperados:
• Discrepancias por el Ancho de Banda usado en el Testeo.
• Paquetes TCP Perdidos.
• Paquetes UDP Pedidos.
• Paquetes ICMP Perdidos.
• Problemas de enrutamiento.
• Trafico de enrutamiento del ISP y Vendedores de Tráfico.

2. Sondeo de Red.
Sirve como introduccion a los sistemas a ser analizados. Se podría definir
mejor como una combinación de datos, obtención de información y política de
control.
• Nombres de Dominio, Nombres de Servidores.
• Direcciones IP, Mapa de Red.
• Información ISP / ASP.
• Propietarios del Sistema y del Servicio.
• Posibles limitaciones del Test.

3. Identificación de los Servicios de Sistemas.
El escaneo de puertos es la prueba invasiva de los puertos del sistema en los
niveles de transporte y red.
• Puertos Abiertos.
• Direcciones IP de los sistemas Activos.
• Direccionamiento de los sistemas de la Red interna.
• Lista de los protocolos descubiertos de tunelizado y encapsulado.
• Lista de los protocolos descubiertos de enrutado soportados.
• Servicios Activos.
• Tipo y niveles de Parchado de las Aplicaciones de los Servicios.
• Tipo de Sistema Operativo, Nivel de Parchado.
• Tipo de Sistema.
• Lista de Sistemas Activos.
• Mapa de Red.

4. Busqueda de información competitiva.
La Busqueda de IC es la busqueda de información útil a partir de la presencia
que se tiene en internet y que puede ser tratada como información sobre el
negocio.
• Una medida de las justificaciones del negocio sobre la red de la
organización.
•Tamaño y alcanze de la presencia en Internet.
• Una medición de la política de Seguridad a planes futuros de la red.

5. Revisión de Privacidad
La revisión de privacidad se centra en como se gestiona, desde el punto de
vista ético y legal, el almacenamiento, transmisión y control de datos de
información privada perteneciente a empleados y clientes.
• Listado de cualquier revelación.
• Listado de las inconsistencias entre la política que se ha hecho pública y la
practica actual que se hace con ella.
• Listado de sistemas involucrados en la recolección de datos.
• Listado de la técnicas de recolección de datos.
• Listado de datos recolectados.

6. Obtención de Documentos.
Este modulo es importante para la verificación de gran cantidad de la
información probada y pertenece a muchos niveles de lo que se considera
seguridad de la información
• Un perfil de la organización.
• Un perfil de los empleados.
• Un perfil de la red de la organización.
• Un perfil de las tecnologías utilizadas por la organización.
• Un perfil de los partners, alianzas y estratégias de la organización.

7. Busqueda y Verificación de Vulnerabilidades.
La finalidad de este modulo es la identificación, comprensión y verificación de
debilidades, errores de configuración y vulnerabilidades en un servidor o en
una red.
• Tipo de aplicación o servicio por vulnerabilidad.
• Niveles de parches de los sistemas y aplicaciones.
• Listado de posibles vulnerabilidades de denegación de servicio.
• Listado de areas securizadas a través de ocultación o acceso visible.
• Listado de vulnerabilidades actuales eliminando falsos positivos.
• Listado de sistemas internos o en la DMZ.
• Listado de convenciones para direcciones de e-mail, nombres de servidores,
etc.
• Mapa de red.

8. Testeo de Aplicaciones de Internet.
Un test de Aplicaciones de internet emplea diferentes Técnicas de testeo de
Software para encontrar “fallos de seguridad” en aplicaciones cliente/servidor
de un sistema desde Internet.
Resulados Esperados:
• Lista de Aplicaciones.
• Lista de los Componentes de las Aplicaciones.
• Lista de las Vulnerabilidades de las Aplicaciones.
• Lista de los Sistemas Confiados por las Aplicaciones.

9. Enrutamiento.
Las Protecciones de un Router son unas defensas que se encuentran a
menudo en una red donde se restringe el flujo del tráfico entre la red de la
empresa e Internet.ç
• Tipo de Router y Propiedades implementadas.
• Informacion del router como servicio y como sistema.
• Perfil de la política de seguridad de una red a partir de la ACL.
• Lista de los tipos de paquetes que deben entrar en la red.
• Mapa de las respuestas del router a varios tipos de tráfico.
• Lista de los sistemas vivos encontrados.

10. Testeo de Sistemas confiados.
El propósito de los testeos de sistemas confiados es afectar la presencia en
internet planteándose como una entidad confiada en la red.
• Mapa de los sistemas dependientes de otros sistemas
• Mapa de las aplicaciones con dependencias a otros sistemas
• Tipos de vulnerabilidades que afectan a los sistemas de confianzas y
aplicaciones.

11. Testeo de Control de Acceso.
El cortafuegos controla el flujo del tráfico de la red corporativa, la DMZ; e
Internet. Opera en una política de Seguridad y usa ACL's (Listas de Control de
Acceso).
• Información en el firewall como servicio y como sistema.
• Información de las características implementadas en el firewall.
• Perfil de la política de seguridad de la red a partir de la ACL.
• Lista de los sistemas “vivos” encontrados.
• Lista de paquetes, por número de puerto, que entran en la red.
• Lista de protocolos que han entrados en la red.
• Lista de rutas sin monitorizar dentro de la red.

12. Testeo de Sistemas de Detección de Intrusos.
Este test esta enfocado al rendimiento y susceptibilidad de un IDS. La mayor
parte de este test no puede ser llevada a cabo adecuadamente sín acceder a
los registros del IDS.
• Tipo de IDS.
• Nota del rendimiento de los IDS bajo una sobrecarga.
• Tipo de paquetes eliminados o no escaneados por el IDS.
• Tipo de protocolos eliminados o no escaneados por el IDS.
• Nota del tiempo de reacción y tipo del IDS.
• Nota de la susceptibilidad del IDS.
• Mapa de reglas del IDS.
• Lista de Falsos positivos del IDS.
• Lista de alarmas perdídas del IDS.
• Lista de rutas no monitorizadas en la red.

13. Testeo de Medidas de contingencia.
Las medidas de contingencia dictan el manejo de lo atravesable, programas
maliciosos y emergencias.
• Definición de las capacidades Anti-Troyano.
• Definición de las capacidades Anti-Virus.
• Identificación de las Medidas de Contingencia de Escritorio.
• Identificación de las Debilidades de Contingencia de Escritorio.
• Lista de recursos de contingencia.

14. Descifrado de Contraseña.
Descrifrar las contraseñas es el proceso de validar la robustez de una
contraseña a través del uso de herramientas de recuperación de contraseñas
automatizados, que dejan al descubierto la aplicación de algoritmos
criptográficos débiles.
• Ficheros de Contraseñas descifrados o no descifrados.
• Lista de cuentas, con usuario o contraseña de sistema.
• Lista de sistemas vulnerables a atáques de descifrado de contraseñas.
• Lista de archivos o documentos vulnerables a atáques de descifrado de
contraseñas.
• Lista de sistemas con usuario o cuenta de sistema que usan las mismas
contraseñas.

15. Testeo de Denegacion de Servicios
La Denegacion de Servicios (DoS) es una situacion donde una circunstancia,
sea intencionada o accidental, previene el sistema de tal funcionalida como
sea destinada.
• Lista de puntos debiles en presencia de Internet incluidos los puntos
individuales por averias.
• Establecer un punto de referencia para un uso normal.
• Lista de comportamientos de sistema por un uso excesivo.
• Lista de sistemas vulnerables a DoS.

16. Evaluación de Políticas de Seguridad
La política de seguridad resaltada aquí es el documento escrito legible que
contiene las políticas que delinean la reducción de riesgos en una
organización con la utilización de tipos específicos de tecnologías.
Tareas a realizar:
1. Comparar la política de seguridad.
2. Aprobación de la Gerencia.
3. Documentación adecuandamente almacenada.
4. Identificar los procedimientos de manejo de incidentes.
5.Conexiones entrantes.
6. Conexiones salientes.
7. Medidas de Seguridad.
8. Comprobar las polítcas de Seguridad.
9. Modems.
10. Máquinas de Fax.
11. PBX.
12.Verificar que las políticas de seguridad establesca medidas de contención.

www.informatizate.net
¿Qué es PHLAK? áéíóúñ
PHLAK, son las iniciales en ingles de Professional Hacker's Linux Assault Kit.
Concebido por James Hartman y Shawn Hawkins, dado que no encontraban
una distribución orientada a la seguridad que satisfaga sus expecativas. Es
por ello que emprendieron la idea de crear la más completa distribución “live
CD” orientada a la Seguridad, basada en Linux.
En lugar de iniciar desde cero, se basaron en otra distribución “live CD”, que
es Morphix, debido a su modularidad.
Esta diseñado como un “kit” de herramientas para el profesional de Seguridad.
Incluye las herramientas más “reconocidas”, y también incluye servicios Linux
como una distribución Linux real.
“La responsabilidad no recae en la herramienta, sino, en quien la usa...”

Herramientas:
PHLAK incluye las más “reconocidas” herramientas, como nmap, Nessus,
snort, ethereal, y muchos otros paquetes de seguridad. Algunas de ellas son
menos conocidas pero igualmente efectivas, estas incluyen hping2, lczroex,
ettercap, hunt, y muchas otras.
Hay que tener presente que PHLAK es una real distribución Linux, e incluye
muchos servicios, como apache, mysql, ssh, iptables, y servicios que son
incluidas en otras distribuciones Linux.
* Es esta presentación se detallará solo algunas de las más de 150
herramientas para GNU/Linux, que podemos encontrar en PHLAK. *

ADMsnmp
Scanner de auditoría para SNMP.

amap
Herramienta de escaneo, que permite identificar las aplicaciones que estan “corriendo”
en un puerto (s) específico. Realiza ésto, conectandose al puerto (s) y enviando
paquetes. Reconoce las respuestas en una lista e imprime las ocurrencias que localiza.
Nuevas identificaciones de respuesta, puede ser obtenidas solo con editar un archivo
de texto. Con amap, se puede identificar servicios SSL “corriendo” en un puerto 3445 y
algunos oracle en el puerto 233.

arping
Arping es una utilidad ping a nivel ARP el cual difunde un paquete ARP “who-has” sobre
la red, e imprime las respuestas.

babelweb
Babelweb es un programa que permite automatizar pruebas sobre servidores http.
Permite seguir los enlaces y las redirecciones http, pero esta programada para
permanecer en el servidor objetivo.

bing
Ping de Ancho de Banda. Estima el ancho de banda entre redes, host y routers.

cheops
Es una “cuchilla suiza”. Es una combinación de una variedad de herramientas de red
que proporciona a los administradores de red y usuarios una interface simple para
manejar y accesar a sus redes. Sus características incluyen, mapeo de red vía paquetes
UDP y/o ICMP, detección de puertos usando conexiones “half open”, detección de S.O.
Utilizando “flags” no validas sobre paquetes TCP, escaneo de dominios y mucho más.

chkrootkit
Comprueba síntomas de un rootkit. Incluye ifpromisc.x para comprobar y “ver” si la
interface esta en modo promiscuo, chlastlog.c, para comprobar eliminaciones en el
lastlog, y chkwtmp.c para comprobar otras eliminaciones. Probado en Linux 2.0.x, 2.2.x y
FreeBSD 2.2.x 3.x y 4.0.

dlint
Dlint analiza cualquier zona DNS que se especifique, y reporta los problemas
encontrados, mostrando los errores y advertencias. Desciende recursivamente para
examinar todas las zonas siguientes a la elegida.

dnswalk
Es un depurador de base de datos DNS. Trabaja con tranferencia de zonas, de la zona
actual, inspecciona registros individuales para encontrar inconsistencias con otros datos,
y genera advertencias y errores. No es un interprete para archivos de datos DNS, trabaja
estrictamente con métodos de consultas de DNS existentes, sobre un sistemas “vivo”.

etherape
Es un clon de etherman, el cual muestra graficamente actividad de la red. Hosts activos
son mostrados como círculos de tamaños variables, y el tráfico entre ellos es mostrado
como líneas de diferente ancho. Esta basado en GNOME y pcap.

ethereal
Ethereal es un sniffer/analizador de protocolos de red, basado en GTK+

floodconnect

fping
Es un ping, como el programa el cual usa ICMP, para determinar si un host esta “up”.
Fping difiere de el ping, en que se puede especificar cualquier número de hosts en la
línea de comando, o especificar un archivo conteniendo la lista de hosts a probar. En
lugar de esperar la “resolución” de un host, fping envía un paquete y se dirige al
siguiente host.

hackbot
Herramienta para la exploración de host y “extractor” de banners. Escanea hosts en
busca de banners de FTP, SSH, Open Relays, opciones EXPN y VRFY , más de 200
vulnerabilidades de CGI conocidas, vulnerabilidades NT unicode, entre otros.

hammerhead
Herramienta para “saturar” un servidor web y un sitio web. Inicializa múltiples
conecciones desde alias de IP, y simula numerosos (256+) usuarios en un momento
dado. El nivel al cual hammerhead intenta promediar el sitio web, es totalmente
configurable, con numerosas opciones que intentan crear problemas en un sítio web.

hping2
Hping2 es un software para realizar auditorias a la pila TCP/IP, para descubrir políticas
de firewalls, para escanear puertos TCP de diversos modos, para tranferir archivos entre
firewalls, probar la performance de redes, probar el manejo de TOS, etc.

hydra
El primer “hacker” de “login” en paralelo del mundo. Con ésta herramienta es posible
atacar muchos servicios al mismo tiempo.

icmpinfo
Vigila paquetes ICMP. Permite que proactivamente se supervice comportamiento
sospechoso, mayormente ICMP inalcanzables.

idswakeup
Es un shell script “Bourne” que invoca a hpin2 e iwu (parte de éste paquete) para
generar falsas alarmas para comprobar que un sistema detector de intrusos funciona
adecuadamente.

iproute
Conjunto profesional de herramientas para controlar el comportamiento en los kernels
2.2.x y posteriores.

iptraf
Monitor de redes IP basado en ncurses que genera numerosas estadísticas de red,
incluyendo información TCP, conteo UDP, información ICMP y OSPF, información de
carga ethernet, estadísticas de los nodos, errores en los “checksum” de IP, y otros.

isnprober
Herramienta que ejemplifica los ISN (Numeros de secuencia Inicial) de TCP y puede
usar ésta información para determinar si un conjunto de direcciones IP conrresponde a
la mísma pila TCP (maquina) o no.

lcrzoex
Caja de Herramientas para los administradores de red y hackers de redes. Lcrzoex
contiente más de 200 funcionalidades usando la librería de red lcrzo. Por ejemplo, se
puede usar para sniff, spoof, crear clientes/servidor, crear decodificar y mostrar
paquetes, etc. Los protocolos Ethernet, IP, UDP, TCP, ICMP, ARP, y RARP son
soportados.

macchanger
Es una utilidad para mostrar y manipular la dirección MAC de las interfaces de red, el
cual puede definirse específicamente, aletaoriamente, basado en el nombre del
fabricante, y basado en el típo de disposítivo de la MAC.

mtr
mtr combina la funcionalidad de “traceroute” y “ping” en una sola herramienta de
diagnóstico de redes.

nbtscan
Es un programa para escanear redes IP en busca de información de nombres NetBIOS.
Enviando consultas NetBIOS para cada dirección proporcionada en un rango y listar la
información recibida de manera ententible por los “humanos”. Para cada host que
responde se lista la dirección IP, el nombre NetBIOS de la PC, el nombre de usuario y la
dirección MAC.

Nessus
Nessus es “Libre”, actualizado y con todas las características de un escanner remoto de
seguridad para Linux, BSD, Solaris y algunos otros sistemas. Es multihilo, basado en
“plugins”, con una buena interface GTK, y actualmente realiza mas de 330
comprobaciones remotas de seguridad. Con un poderoso sistema de reporte (HTML,
LaTeX, ASCII) y no solo apunta los problemas, sino también sugiere las soluciones a
ello.

Nikto
Escaner de servidores web que soporta SSL. Comprueba por (y si es posible
“explotarlos”) vulnerabilidaes y errores de configuración en servidores web. También
busca software y modulos desactualizados, advierte de los problemas de versiones,
soporta escaneo a través de proxys (con autentificación), autentificación basica de hosts
y más. Lo datos se mantienen un una base de datos en formato CVS para un fácil
mantenimiento, y tiene la habilidad de actualizar la base de datos local, con la versión
actual del sitio web de Nikto.

Nmap
El mejor y más conocido escaner de redes que existe. Entre sus muchas funcionalidades
tenemos, escaneo de puertos, detección del S.O, detección del servicio, detección del
servicio rpc, etc.

Numby
Escanea en busca de proxys http vulnerables a “relay”.

onesixtyone
Escaner SNMP eficiente el cual utiliza técnicas para alcanzar buena performance.
Localiza dispositivos SNMP en la red. Es posible escanear una red de clase B (65536
direcciones IP) por debajo de 13 segundos con un alto grado de aproximación.

P0f
Realiza detección del S.O de manera pasiva, “vigilando” los paquetes SYN con
tcpdump. Adicionalmente, es capaz de determinar la distancia del host remoto, y puede
ser utilizado para determinar la estructura de una red foranea o local. Cuando se ejecuta
sobre una pasarela de una red, es capaz de obtener grandes cantidades de datos y
proporciona estadísticas útiles. Sobre un usuario “normal” puede ser usado para saber
que S.O esta siendo usado por cada conección. P0f soporta filtrado completo al estilo
tcpdump, y puede ser facilmente modificable las “huellas” en la B.D

screamingcobra
Aplicacion para “descubrir” vulnerabilidades remotas de tipo desconocido en
aplicaciones web, tales como en páginas CGI,PHP. Simplemente intenta encontrar
vulneravilidades de aplicaciones en todas las aplicaciones web o sobre un host sin
conocer nada sobre las aplicaciones. Modernos escaners CGI, escanean un host en
busca de vulnerabilidades conocidas. Este es capaz de “encontrar” vulnerabilidades
existentes en cualquier CGI, hayan sido descubiertas antes o no.

Seguridad en las tecnologías de Internet utilizando PHLAK
Alonso E. Caballero Q. / Diciembre 4, 5 Trujillo, Peruwww.informatizate.net
Conclusiones:
La OSSTMM es una metodología escalable pública y abierta. Lo cual permite a los
administradores de sistemas y personas relacionadas al área la utilicen y contribuyan
a su mejora.
La OSSTMM se ajusta a los estándares internacionales como el ISO 17799.
PHLAK como otros “live-cds” orientados a la Seguridad, deben ser utlizados con
prudencia y con pleno conocimiento de las consecuencias que su uso puede
ocasionar.
Una buena Metodología de testeo de Seguridad de Sistemas, aunado a un buen
conjunto de conocimientos, experiencia y herramientas adecuadas, da como resultado
una buena aproximación al utópico concepto de “Seguridad”.

Seguridad en las tecnologías de Internet utilizando PHLAK
Muchas Gracias…
Dedicado a mi [M,P]adre,
hermana,
sobrino,
e Isabel

Seguridad en las tecnoloías de Internet utilizando PHLAK.
Enlaces de Referencia:
OSSTMM - http://www.osstmm.org
PHLAK - http://www.phlak.org
Morphix - http://www.morphix.org
Knoppix http://www.knoppix.org
Debian GNU/Linux The Universal Operating System http://www.debian.org
ADMsmp - http://www.freshports.org/security/ADMsnmp/
arping - http://freshmeat.net/projects/arping/
Babelweb - http://www.hsc-labs.com/tools/babelweb/
bing - http://www.freenix.fr/freenix/logiciels/bing.html
cheops - http://www.marko.net/cheops/ cheops
chkrootkit -http://www.chkrootkit.org/
dlint - http://www.domtools.com/dns/#Dlint
dnswalk http://sourceforge.net/projects/dnswalk/
etherape - http://etherape.sourceforge.net/
flood_connect - http://www.thehackerschoice.com
fping - http://www.fping.com/
hackbot - http://ws.obit.nl/hackbot/manpage.html
hammerhead - http://hammerhead.sourceforge.net/
hydra - hping2 - http://www.hping.org/ http://thc.org/thc-hydra/
idswakeup - http://www.hsc.fr/ressources/outils/idswakeup/index.html.e
iptraf - http://freshmeat.net/projects/iptraf/
lcrzoex - http://www.laurentconstantin.com/en/lcrzoex/
mtr - http://www.bitwizard.nl/mtr/
nbtscan -http://www.inetcat.org/software/nbtscan.html
p0f - http://lcamtuf.coredump.cx/p0f.shtml

Seguridad en las tecnoloías de Internet utilizando PHLAK.
Agradecimientos:
Centro Federado de la Esc. De informatica de la UNT.
Grupo informatizate - http://www.informatizate.net
Camara de Comercio de La Libertad - http://www.camaratru.org.pe
Security Wari Projects - http://www.swp-zone.org
RareGaZz Security Team - http://www.raregazz.org
Perunderforos - http://perunderforos.tk
Esc. de informatica de la UNT - http://inf.unitru.edu.pe
Noticias Trujillo - http://www.noticiastrujillo.com
Universidad Nacional de Trujillo - http://www.unitru.edu.pe

Seguridad en las Tecnologías de Internet utilizando PHLAK

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Similar a Seguridad en las Tecnologías de Internet utilizando PHLAK

Similar a Seguridad en las Tecnologías de Internet utilizando PHLAK (20)

Más de Alonso Caballero

Más de Alonso Caballero (20)

Último

Último (20)

Seguridad en las Tecnologías de Internet utilizando PHLAK