Vulnerabilidades y soluciones

1 Curso de redes y seguridad
Fase
FASE 3
Objetivo
En esta semana conoceremos los ataques más comunes a
las redes de información de las organizaciones, y las
herramientas que nos permiten vigilar la red y corregir
dichos ataques.
VULNERABILIDADES EN LA ORGANIZACIÓN: TIPOS Y
SOLUCIONES
A continuación se presentarán los modos de ataques más comunes a las
organizaciones, cuáles son sus modos de operación y que hacer, de modo
general, para solucionar estas vulnerabilidades.
1. Denial of service
2. Cracking de passwords.
3. E mail bombing y spamming.
ATAQUES Y VULNERABILIDADES
Objetivos del tema
• Conocer los ataques más comunes a las redes de
las organizaciones
• Conocer herramientas para la vigilancia de las redes
organizacionales
• Conocer herramientas para la solución de problemas
en las redes organizacionales
• Tener en cuenta diversas herramientas para
agregarlas en los manuales de procedimientos de la
organización.

Fase
4. Problemas de seguridad en el FPT
5. Telnet.
Existen otros problemas de vulnerabilidades que exigen gran conocimiento
técnico en cuanto a redes. Es por esto que no los explicaremos, pero los
nombraremos para que consulten si desean aumentar sus conocimientos:
- Seguridad en WWW
- TFTP
- Los comandos “r”
- Seguridad en NETBios.
- Cracking en cloud computing.
- Virus troyanos y Worms.
Procederemos entonces a comunicar los más comunes:
1. Denial of service:
Este ataque consiste, principalmente, en cortar la conexión entre productor o
consumidor. Se trata de evitar que un usuario pueda acceder a un recurso de la
red, o a un recurso de la propia máquina.
Si, por ejemplo, toda la red quedara incapacitada para obtener determinados
recursos, toda la organización quedaría desconectada y, de esta manera, se
interrumpiría el algoritmo P-C.
Hay diversos tipos de ataque en este modo, los cuales veremos a continuación:
- Consumo de recursos escasos
- Destrucción o alteración de información de configuración
- Destrucción o alteración física de los componentes de la red.

Fase
Veremos cada uno de estos ataques:
a. Consumo de recursos escasos:
Es entendido que los computadores requieren recursos que son limitados,
como el ancho de banda, espacio en memoria, disco duro, etc. Estos
ataques funcionan bloqueando o reduciendo significativamente dichos
recursos, y generalmente son llevados a cabo por personas
malintencionadas, a las que llamaremos “crackers”. Recordemos que, como
lo explicamos anteriormente, los hackers vulneran la seguridad de un
sistema para conocer sus debilidades, mientras que un cracker lo hace con
el objetivo de destruir el sistema.
El primer recurso atacado es la conectividad, haciendo que los
computadores o máquinas no puedan conectarse a la red.
Ejemplo: SYN flood.
El cracker genera una conexión a otra máquina usando el protocolo TCP,
pero en el momento en que va a terminar, lo interrumpe. Las máquinas que
reciben una conexión TCP interrumpida, necesitan un determinado tiempo
para terminar esas falsas conexiones. Mientras esto sucede, la maquina
rechaza conexiones legítimas, evitando así la comunicación con el
elemento. Estos ataques no funcionan consumiendo recursos de la red, sino
recursos propios del núcleo implicado en generar las conexiones TCP. Es
por esto que una máquina con un modem sencillo puede generar este
ataque. Cuando un cracker usa máquinas con recursos muy bajos para
generar ataques sobre sistemas grandes y robustos, este ataque es
llamado “asimétrico”.

Fase
El segundo recurso, es el uso de las características del sistema sobre si
mismo.
Ejemplo: Deny of service UDP
El cracker toma paquetes UDP del sistema y los copia, generando paquetes
falsos y enviándolos a una máquina para que genere “eco”, es decir, que los
multiplique, y otra máquina destino es la encargada de recibir los ecos.
Estas 2 máquinas consumen todo el ancho de banda de la red entre ellas,
bloqueando así todas las conexiones de las otras máquinas a la red.
El tercer recurso atacado es el ancho de banda del sistema, consumiéndolo
todo y evitando que otras máquinas se conecten a la red
Ejemplo: Bombing
Es un mecanismo muy usado actualmente para saturar las redes y
consumir toda la banda. Consiste en generar una gran cantidad de
paquetes dirigidos únicamente a la misma red. Existe un paquete especial,
llamado “ping”, que se usa para detectar la longitud de conexiones que
debe recorrer el paquete para llegar de un origen a un destino. Si un cracker
inunda (otro término para esta inundación es el flodeo, o flooding) una red
con muchos paquetes ping, consume todo el ancho de banda de la misma.
Actualmente existen millones de computadores en red, llamados
“computadores zombies”, que se dedican a flodear redes de empresas o
urganizaciones. También son usados para el e-mail bombing, que será
explicado en breve.
Y el cuarto recurso atacado es la capacidad de almacenamiento de la
máquina

Fase
Ejemplo: Virus scrip.
Consiste en un código malicioso generado por un cracker, que por si no
hace nada útil o destructivo directamente a la máquina. Este código tiene
como objetivo únicamente reproducirse. Esto hace que se consuman
muchos recursos de la máquina, al mismo tiempo que se satura la
capacidad de almacenamiento del dispositivo, evitando su uso y el acceso a
servicios desde y hacia él.
Puede usarse cualquier otro mecanismo que permita escribir de manera
ilimitada archivos en una máquina. Recordemos que debemos hacer
logísticos por cada evento realizado en la red. Si, por ejemplo, no hay una
tasa límite de registros en un sistema, un cracker puede instalar un
programa craqueador de contraseñas que sature un servidor de archivos
logísticos (logs), y evite su conexión a determinado recurso.
Recuerde: siempre disponga de un método para acceder ante la
emergencia de este tipo de ataques.
b. Destrucción o alteración de la información de configuración
Todos los sistemas contienen información básica para su funcionamiento,
Windows, por ejemplo, tiene los programas de arranque que le permiten
cargar el sistema operativo en la memoria, o un router, por ejemplo, tiene
una lista de direcciones IP que le permiten redirigir los paquetes de la red a
los puntos apropiados. Si un cracker borra parte de los archivos de inicio de
Windows, o modifica la lista de IPs de los routers, desequilibrará el
algoritmo P-C, evitando así que se acceda a un recurso.

Fase
c. Destrucción o alteración física de los componentes de la red
Este problema, aunque evidente, requiere un gran cuidado. Todos los
elementos físicos de la red, como routers, servidores, suiches, cables, etc,
deben estar protegidos al acceso público, y solo personal calificado puede
acceder a ellos. Cualquier daño en los componentes físicos de la red
inmediatamente traban el algoritmo P-C.
¿Cómo prevenimos y respondemos a estos inconvenientes?
Como los ataques de “negación de servicio” afectan directamente nuestra
organización y consumen recursos para ser arreglados, es mejor tener una
serie de medidas que permitan corregir estos problemas. Acá colocamos unas
de las medidas más útiles y usadas para evitar este tipo de vulnerabilidades:
• Usar programas y parches para evitar el SYN flood
• Colocar listas de accesos en los routers, para que solo determinados
sistemas puedan usarlos.
• Separar siempre la información crítica de la que no lo es, generando
particiones en los discos, o guardando la información en lugares
alejados de la red.
• Eliminar cualquier servicio innecesario en la red, para reducir los
accesos posibles de crackers.
• Use los logísticos de tráfico para establecer cuando la red se
comporta de una manera anómala.
• Genere un procedimiento para revisar la integridad física de los
sistemas de la red, como cableado, servidores, suiches, routers,
antenas de wifi, etc.

Fase
• Usar, siempre que se pueda, configuraciones de almacenamiento
redundantes, así como conexiones de redes redundantes.
2. Cracking de passwords
Este tema es muy comentado y requiere mucho conocimiento técnico que a la
fecha se encuentra fuera del objetivo de este curso. Sin embargo, en las
referencias bibliográficas, se indicará bibliografía que se puede consultar para
saber más sobre este tipo de contenidos.
Por ahora veremos de manera general en qué consiste este ataque.
El objetivo principal del craqueo de passwords es, de alguna manera, acceder
al sistema logueado como un usuario legítimo. Cualquier sistema que posea
usuarios y passwords, debe guardar dichos passwords en algún lugar del
sistema. Este lugar se convierte entonces en el sitio más vulnerable de todo el
sistema de seguridad, por lo que debe conocerse para poder protegerlo.
La forma general de protección de un sistema consiste en tomar el password
del usuario y encriptarlo mediante una regla de encriptación propia de a
máquina. Este password encriptado es almacenado en el sistema y nunca se
desencripta. En cambio, cuando se intenta acceder al usuario correspondiente,
el sistema encripta la contraseña ingresada y la compara con la almacenada,
nunca se procede a desencriptar la contraseña almacenada. En pocas
palabras, el sistema siempre funciona de afuera hacia adentro, y no de adentro
hacia afuera.
Los crackers que intentan entrar a un sistema de red, deben usar un programa
que encripte palabras y que compare dichas encriptaciones con el original. El

Fase
éxito depende de la calidad del diccionario que contiene los posibles
passwords, el programa usado, la máquina craqueadora y la paciencia del
sujeto.
También se puede usar la fuerza bruta, que consiste en usar todas las
combinaciones posibles de passwords sobre el login, hasta encontrar la
correcta.
Si supusiéramos una velocidad de búsqueda de100.000 passwords por
segundo, obtenemos la siguiente tabla:
Vemos entonces que, a mayor cantidad de símbolos usados en el password, y
a mayor longitud, mayor es la dificultad de desencriptación. Esta información es
interesante para cuando creemos el procedimiento de creación de passwords.
3. E-mail bombing y spamming
Ambas definiciones están relacionadas con los correos electrónicos, aunque
existen diferencias entre ambos. Mientras que el Email –bombing consiste en
mandar muchísimas veces el mismo mensaje a un usuario, el spamming

Fase
consiste en mandar un mensaje a miles, e incluso, millones de usuarios, con
cuentas “repetidoras” o con listas de interés. Si a esto agregamos el spoofing,
es decir, la alteración de la identidad del remitente del mensaje, se hace más
difícil aún detectar quienes hacen los ataques,
Prevenir el spam o el bombing es casi imposible. Desde que se tenga una
cuenta de usuario con correo, siempre se podrá ser víctima del estas
vulnerabilidades. Cuando un correo es sobrecargado de elementos, puede
darse un “denial of service” porque la máquina se sobrecarga con la cantidad
de mails que debe procesar, llenando el disco duro con logísticos de mails
recibidos, o una sobrecarga de las conexiones de red.
Acciones a tomar
Si se detecta una acción de esta índole, (a través del análisis de logísticos o de
simple inspección), se pueden llevar a cabo los siguientes pasos:
• Identificación del origen del spamming y del bombing, para evitar el
acceso de estos paquetes a la red.
• Usar programas que lean información de los mails para detectar si
son spam y eliminarlos.
• Identificar los sitios de los que se genera el spamming, y
comunicarles el evento a los dueños del sitio.
• NUNCA responder o hacer un forward de un spam.
4. Problemas de seguridad en el FTP
El Ftp es un protocolo de transferencia de información usado en las redes para
transmitir, de acuerdo a determinados datos, información de una máquina a

Fase
otra de manera confiable. Es un protocolo de la capa 4 de comunicaciones,
como lo vimos en la unidad 1, y su funcionamiento, si bien es técnico, se tratará
de explicar en términos generales. Para mayor comprensión, es necesario
dirigirse a la bibliografía y a los enlaces adjuntos con el objeto de ampliar el
tema.
El protocolo FTP funciona de la siguiente manera:
Un usuario quiere obtener un servicio. Para esto, intenta conectarse con un
servidor. Para generar esa conexión se debe habilitar un puerto de entrada por
el que se hará la transferencia de información. Para que el servidor pueda
mandar nuevamente datos a la máquina que pidió el servicio, el usuario debe
enviar un comando “port”, que incluye información de la dirección IP del cliente
y el puerto que debe abrir en él para crear la comunicación. Esta conexión es
luego abierta entre el cliente y el servidor y se establece la comunicación.
Ahora, ¿cómo se hace un ataque con esto? Un cracker puede, mediante un
comando port, crear una conexión entre un servidor y un computador arbitrario,
si modifica el comando port para ser enviado desde un computador legítimo,
pero con un destino diferente al del computador usado para generar el
comando. En pocas palabras, es pedirle al servidor S, que genere una
conexión con un computador B, ilegítimo, a través de un comando “port”
modificado, y enviado desde una máquina A, legítima. A este ataque se le
llama “FTP bounce”
Este FTP bounce se puede usar en varios procedimientos que pueden dar
lugar a una vulnerabilidad. Uno de ellos, usado por hackers y crackers por igual
es el escaneo de puertos. Mediante una máquina ordinaria, se hace un
conjunto de paquetes “port” dirigidos a otra máquina, y a cada uno de los

Fase
paquetes port se le pone el puerto que quiere ser escaneado, para saber si
está abierto, si se puede abrir, o si está bloqueado.
Otro uso es el llamado “bypass” de filtros. Luego de hacer un escaneo de
puertos de una máquina protegida por un firewall a través de un servidor
público (un servidor de acceso a cualquier usuario), se detectan los puertos
abiertos y luego se genera una conexión, a través del servidor público, con
cualquier máquina protegida por el firewall.
También existen bypass de filtros dinámicos, que corresponden a aplicativos de
java que se bajan al pc, y crean paquetes “port” enviados al computador de
destino. Estos paquetes son habilitados por el firewall, ya que fueron hechos
por la máquina protegida, de una manera “aparentemente” decidida.
¿Soluciones?
Si bien, como se ha indicado, este tema es complejo y requiere una mayor
cantidad de conocimientos, se indicarán de manera general las acciones a
llevar a cabo cuando se detecta un problema de este tipo.
• No permitir que una máquina haga conexiones arbitrarias a través del
mismo puerto. Esto es un tanto problemático para ciertos servicios, pero
para subsanar esa dificultad, los vendedores de software implementan
soluciones que se adaptan a las necesidades de cada usuario
comprador.
• Muchos de los ataques por FTP Bounce se producen debido a que se
confía en ciertas máquinas de la red. El administrador de la seguridad de
red debe otorgar privilegios solo a ciertas máquinas y en casos muy
aislados

Fase
• Separar en la red las máquinas que se encargan de prestar unos
servicios de otros. Por ejemplo, separar las máquinas encargadas de
prestar el servicio de mail y de web. Usar, en lo posible, un firewall entre
cada nivel de máquinas-servicio.
• Administrar de una manera muy crítica los servidores públicos usados
en la empresa para prestar servicios, permitir la lectura y escritura de los
usuarios, etc. Nunca dejar información de los passwords de los usuarios,
ni dar al servidor público privilegios de conexión.
5. TELNET
TELNET es un daemon o demonio (demonio: es un programa que se
ejecuta en segundo plano, y que no tiene interfaz gráfica para comunicarse
con el usuario. Su objetivo principal es brindar procesos y servicios de
manera silenciosa) que permite a los usuariostener acceso de terminal a un
sistema, es decir, ser clientes del mismo. A través del demonio telnet, se
crea una conexión entre cliente y servidor que sirve para transferir
información, solo que el login y el password para acceder al sistema es
hecho automáticamente por el demonio.
El problema acá radica en que un cracker puede instalar un “sniffer” en la
red (Sniffer: “oledor”. Programa que rastrea datos en una red) y “pinchar” o
intervenir el programa cliente de TELNET. Con estas acciones, obtiene los
nombres de usuario y las contraseñas que se mueven a través de la red.
La solución principal para esto es usar un programa que “encripte” las
contraseñas y las envío una sola vez por la red. Así, si se tiene un sniffer, el
cracker solo podrá obtener la contraseña 1 ves, y tendrá que hacer un
ataque de diccionario (el mismo ataque se hace para craquear paswords)

Fase
Herramientas de control de accesos.
Hasta acá hemos observado una gran cantidad de ataques que vulneran la
seguridad de nuestra organización, y hemos visto que su operación más común
consiste en acceder recursos o máquinas del sistema inestabilizando o
interrumpiendo el algoritmo P-C.
¿Cómo nos protegemos? Curiosamente las protecciones que usaremos
(algunas, no todas) son casi las mismas herramientas que usan los crackers y
hackers para vulnerar sistemas o probar fallas en la seguridad de las redes.
Estas herramientas nos permiten monitorear algunas funciones de red, generar
logísticos de dichas funciones y usar esta información para detectar un ataque
o un sabotaje.
Una de las ventajas de estas herramientas consiste en su ubicuidad. Esto
significa que solo basta con instalarlas o usarlas en una máquina conectada a
una red de trabajo, y ella monitoreará todas las otras máquinas conectadas a la
máquina principal.
Hemos de hacer la aclaración que se ha repetido durante todo el curso: los
temas a tratar en estos contenidos son complejos y técnicos. Acá daremos un
pequeño acercamiento y una vista general de estas herramientas y su uso
principal, mas no ahondaremos en cuestiones técnicas referentes a su uso.
Para esto, se invita al aprendiz a consultar la bibliografía, otros cursos del
SENA e información referente al tema
Las herramientas que analizaremos son las siguientes:

Fase
• Tcp- wrapper
• Netlog
• Argus
• TcpDump
• SATAN
• ISS
• Courtney
• Gabriel
• Nocol
• TcpList
Empezaremos a explicar cada una de ellas
Tcp-Wrapper.
La idea de este software público es la de restringir la conexión de sistemas no
deseados a servicios de nuestra red. También permite ejecutar algún tipo de
comando de manera automática cuando se generan determinadas acciones en
la red.
Algo muy importante de este programa es que permite dejar una traza de las
conexiones hechas en la red, tanto a servicios admitidos como no admitidos,
indicando el servicio al que se intentó acceder y la máquina que intentó
hacerlo.
El programa posee 2 archivos principales, en los que se definen las reglas que
deben usarse para el control de paquetes en la red (recordemos que al tráfico
de la red, dependiendo de la capa en la que estemos trabajando del modelo

Fase
OSI, se le puede llamar “paquete”). Dependiendo de la complejidad de los
códigos escritos en estos programas, es decir, de las reglas definidas por el
técnico de la red, será la eficiencia de filtrado de elementos y la protección del
mismo.
Este programa no es el único que genera trazas o logísticos de las actividades
de la red, por lo que haremos una recomendación extensiva para todos los
elementos que generen trazas, que es se puede resumir en una frase
“centralización de trazas”.
La centralización de trazas consiste en mandar la información generada por el
programa protector, a un computador que centraliza todos los logísticos de
todos los otros elementos. Como los crackers suelen borrar sus pistas en los
sistemas que atacan, suelen borrar los logísticos de archivos protectores, por lo
que tener un sistema que contenga la información de una máquina, aparte de
la máquina misma, es una forma de asegurar una mayor protección. De hecho,
si una máquina tiene un conjunto de trazos diferentes que los enviados a la
máquina principal, se puede deducir que hubo un ataque y que fue tratado de
encubrir.
En suma, podemos concluir que el Tcp_Wrapper es una herramienta que nos
permite controlar y monitorear el tráfico de las redes de nuestra organización,
permitiéndonos a su vez el control sobre las conexiones que se generan en la
misma.
Para concluir, podemos decir que el tcp-wrappers es una simple pero efectiva
herramienta para controlar y monitorear la actividad de la red en nuestra
máquina, y nos permite un control sobre las conexiones que se efectúan en
nuestra red.

Fase
NetLog
Existen ataques a una red que pueden pasar desapercibidos si se llevan a
cabo con extremada velocidad, con intervalos muy cortos de tiempo de
conexión, y de manera repetida al mismo elemento de la red. ¿Cómo funcionan
estos ataques? Digamos que nuestra herramienta de seguridad registra las
conexiones que se llevan a cabo cada milisegundo en nuestro sistema. Si de
alguna manera yo pudiera generar un ataque que se repita 10 veces en un
milisegundo, en el registro de conexiones solo aparecería un solo intento de
ataque, mientras que en realidad hice 10. Si la vulnerabilidad la hubiera
alcanzado en la novena conexión, no habría aparecido en el registro, y aún así
se habría violado mi seguridad. Estos ataques se les llama “SATAN” o “ISS”.
Estas vulnerabilidades pueden ser corregidas con este programa, que es, en
realidad, un conjunto de programas que trabajan de manera conjunta para
generar trazas de los paquetes movidos en la red, sobre todo aquellos que
pueden ser sospechosos y que indican un posible ataque a una máquina.
Los 5 subprogramas que componen este programa principal son los siguientes:
- TCPLogger: Genera trazos sobre todos los paquetes que usan el
protocolo TCP.
- UDPLogger: Genera trazos sobre los paquetes que usan el protocolo
UDP.
- ICMPLogger: Genera igualmente trazos, pero de las conexiones
basadas en ICMP
Estos 3 programas pueden guardar su información en formato Ascii o en
formato binario. En el segundo caso, el programa contiene un extractor

Fase
que permite consultar los archivos generados, e incluso contiene un
buscador que permite acceder patrones de búsqueda, como por ejemplo
el tráfico de una red en particular, el de una máquina o los intentos de
conexión a un puerto definido por el usuario
- Etherscan: Esta herramienta monitorea el uso de otros protocolos con
actividad inusual, y nos indica qué archivos se han modificado o llevado
por el uso de dichos protocolos.
- Nstat: Es usado principalmente para detectar cambios en los patrones
del uso de la red. Este subprograma, a su vez, posee herramientas que
nos dan información sobre ciertos periodos de tiempo, o nos dan la
posibilidad de graficar determinados datos.
Argus
Es una herramienta de dominio público que permite auditar el tráfico IP que se
produce en nuestra red, mostrándonos todas las conexiones del tipo indicado
que descubre.
Este programa se ejecuta como un demonio, escucha directamente la interfaz
de red de la máquina y su salida es mandada bien a un archivo de trazas o a
otra máquina para allí ser leída. En la captura de paquetes IP se le puede
especificar condiciones de filtrado como protocolos específicos, nombres de
máquinas, etc.
Al igual que el NetLog, el Argus también tiene una herramienta buscadora que
permite filtrar los contenidos y ver aquellos que solo nos interesan.

Fase
TcpDump
Este software permite ver las cabeceras de los paquetes que circulan por la
red. La cabecera de un paquete contiene información relacionada con la
máquina origen, la máquina destino, el tipo de protocolo usado, entre otros
datos importantes para el análisis. Y no solo esto, podemos aplicar filtros que
nos pemitan ver solo determinados protocolos, determinados puertos de la red,
máquinas, y aún usar operadores entre paquetes (>, <, =, and, or, not…), para
comparar
SATAN (Security Administrator Tool for Analyzing Networks)
Es una herramienta pública francamente excelente. Permite chequear las
máquinas que están conectadas a la red, genera información sobre el tipo de
máquina conectada, los servicios que presta cada una, y la herramienta quizá
más importante, permite detectar fallos de seguridad. Sus datos se muestran
en un navegador, por lo que su lectura es sencilla.
Cuando hace el chequeo de las máquinas conectadas a la red, al detectar una
vulnerabilidad en alguna de ellas, la marca como insegura, y a todas aquellas
máquinas conectadas a ella también las marca. De acuerdo a los fallos
encontrados, se califica a la máquina como baja, media o altamente insegura,
se genera un registro de los fallos encontrados con una breve explicación de
cada uno e información (si se encuentra disponible) sobre una posible solución
del mismo. Para todo esto, debe entonces generar una base de datos con
todas las máquinas registradas, con toda la información obtenida.
Recordemos que todas estas herramientas se pueden usar tanto para bien
como para mal. SATAN, como genera un registro de todas las máquinas

Fase
conectadas en una red, permite descubrir la topología de la red de una
organización, lo cual puede usarse de buena o mala manera. Se debe tener
mucho cuidado con las personas que administran estas herramientas.
ISS (Internet Security Scanner)
Esta herramienta permite chequear el nivel de seguridad de una máquina
evaluando diversos servicios, así como direcciones IP. Podemos ver también
con este programa todos los puertos que usan el protocolo TCP y que se
encuentran en la máquina que analizamos. De igual manera, esta herramienta
nos permite transferir archivos de contraseñas a través de la red, y generar un
registro de la máquina que posee dicha contraseña con su dirección IP.
Courtney
Ahora dijimos que estos programas pueden ser usados tanto como
herramientas de protección como herramientas de ataque. Siendo SATAN una
herramienta tan buena para la detección de topologías de redes, se necesitaba
otro programa que detectara el uso de la misma. Esta herramienta es esta, que
permite detectar a la máquina que genera el ataque SATAN (ya explicamos el
funcionamiento de estos ataques) a partir de información pasada por el
programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso
corto de tiempo, el programa genera un aviso.

Fase
Gabriel
Es similar al Courtney, pues permite detectar ataques tipo SATAN. Este
programa tiene 2 partes: la parte cliente y la parte servidor. La primera se
instala en toda máquina que quiera ser monitoreada, y la segunda se instala en
la máquina que debe recoger toda la información. En el momento en que se
detecta un posible ataque, inmediatamente la máquina afectada genera una
alerta via e-mail u otro medio, a la máquina servidor.
TcpList
Este programa indica todas las conexiones que usen el protocolo TCP creadas
desde la máquina en la que lo estamos ejecutando, o aquellas entrantes a
dicha máquina. También es un programa de dominio público.
Nocol (Network Operations Center On-Line)
Es un paquete que contiene diversos programas para monitorear la red de una
organización. Recopila información, la analiza, la agrupa en eventos, y le
asigna una gravedad, que puede ser: info, warning, error, crítical.
Cada tipo de gravedad es manejada con una clase distinta de agente, y se
tiene una herramienta que permite observar la información de cada agente,
para filtrarla y analizar la que nos interesa, como en otras herramientas.

Fase
Estas herramientas mostradas son solo una pequeña parte del gran repertorio
que existe en la red. Es responsabilidad del administrador de red y del
administrador de seguridad seleccionar aquellas que considere apropiadas de
acuerdo al grado de complejidad adicional que se quiera obtener en la red de la
organización, la seguridad que se quiera alcanzar, y finalmente, las políticas de
seguridad a generar.
Herramientas que chequean la integridad del sistema
En la unidad anterior mostramos diversas herramientas que nos permitían
detectar accesos a nuestros computadores a través de puertos y ataques tipo
SATAN, ataques que se consideran como una intromisión entre la
comunicación P-C, y que pueden representar una violación a la seguridad de la
organización.
En este apartado veremos otro tipo de herramientas, que permiten chequear la
integridad de nuestros archivos y, en caso tal de que hayan sido modificados,
nos alerta sobre dichas modificaciones, al igual que lo hace con programas
“sospechosos” que se puedan estar ejecutando en nuestra red.
Las herramientas a usar son las siguientes:
• COPS
• Tiger
• Crack
• Tripwire
• Chkwtmp
• Chklastlog
• Spar
• Lsof

Fase
• Cpm
• Ifstatus
• Osh
• Noshell
• Trinux
Explicaremos su funcionamiento básico a continuación:
COPS (Computer Oracle and Password System)
Este programa se encarga de chequear aspectos de seguridad relacionados
con el sistema operativo UNIX, como lo son los permisos a determinados
archivos, chequeo de passwords débiles, permisos de escritura y lectura sobre
elementos importantes de la configuración de red, entre otras funcionalidades.
La configuración del sistema operativo UNIX es muy usada en servidores que
prestan servicios a clientes en una red, por lo que recomendamos al aprendiz
que consulte sobre este tema si quiere ampliar sus conocimientos.
Tiger
Funciona de manera similar al COPS. Chequea diversos elementos de
seguridad del sistema para detectar problemas y vulnerabilidades, elementos
como:
• Configuración general del sistema
• Sistema de archivos
• Caminos de búsqueda generados

Fase
• Alias y cuentas de usuarios
• Configuraciones de usuarios
• Chequeo de servicios
• Comprobación de archivos binarios
Toda esta información recogida es almacenada en un archivo, que luego es
analizado con una herramienta que permite explicar cada elemento generado
en el archivo anteriormente mencionado. También es posible seleccionar el tipo
de chequeo que se quiere llevar a cabo sobre el sistema
Crack
Ha sido mencionado en repetidas ocasiones durante el curso. Este archivo
permite “forzar” las contraseñas de los usuarios, para medir el grado de
complejidad de las mismas. El archivo genera un diccionario y una serie de
reglas que le ayudan a generar passwords comunes. Como en este caso está
siendo usado para chequear la seguridad del sistema, le proveemos el archivo
de passwords de nuestro sistema (recordemos que los passwords de nuestro
sistema SIEMPRE están encriptados y nunca los podemos desencriptar) y el
programa, mediante reglas diversas y algortimos de cifrado, hace un “barrido”,
detectando así las contraseñas más débiles y más vulnerable, tratando de
deducir contraseñas del archivo cifrado de nuestro sistema.
Es una buena práctica, para el manual de procedimientos, generar un barrido
periódico del programa crack sobre nuestro sistema, para así notificar a los
dueños de las respectivas contraseñas sobre la necesidad de cambiarlas y
aumentar la seguridad en caso de ser víctimas de un ataque con un
craqueador.

Fase
Tripwire
Tripwire es, sin lugar a dudas, otra herramienta vital en nuestro sistema, al
igual que el crack. Su función principal es la de detectar cualquier cambio o
modificación en el sistema de archivos, como modificaciones no autorizadas o
alteraciones maliciosas de algunos softwares.
El programa genera una base de datos en la que genera una “firma” o archivo
identificador por cada elemento en el sistema de archivos. En esta firma
almacena información relevante como el nombre del usuario propietario del
archivo, última fecha de modificación, última fecha de acceso, etc. Esta base
de datos de firmas, guardada, puede ser comparada en cualquier momento con
una nueva base de datos actuales, y detectar así las modificaciones en los
archivos del sistema.
Es útil tener una base de datos “main”, sobre la que se hacen comparaciones
periódicas para detectar cambios, y que esta “main” sea actualizada cada vez
que se ingresa un elemento nuevo al sistema de manera autorizada. Otro punto
a tener en cuenta en el manual de procedimientos de nuestra organización.
Chkwtmp
Este programa permite detectar a presencia de usuarios encubiertos en nuestro
sistema a través del chequeo de algunas huellas que dejan al acceder al
mismo, generando un aviso sobre este hallazgo y notificando la hora en la que
se produjo

Fase
Chklastlog
Es similar al anterior, salvo que este compara los “logines” que se han
realizado en la máquina con la información del último “login” en la misma,
detectando así usuarios que hayan sido eliminados del archivo de logines. Esto
con el objeto de detectar “borrones” en los accesos y descubrir intrusiones
cubiertas.
Spar
Con este programa podemos auditar la información de los procesos del
sistema, permitiéndonos filtrarla y ver aquella que nos interesa, así como nos
permite usar operadores comparativos (=, >, <, >=, &&...) para analizar los
resultados obtenidos.
Lsof (List Open Files)
Sencillamente, nos permite tener una lista de todos los archivos abiertos por el
sistema, así como directorios, archivos de ref, etc.
Cpm (Check Promiscuous Mode)
¿Qué es el modo promiscuo? El modo promiscuo en una red, en pocas
palabras, se define como aquel en el que una máquina, o un conjunto de
máquinas, se encuentra “escuchando” todo el tráfico de la red.

Fase
Si bien es importante usar algunas máquinas en modo “promiscuo” para poder
correr archivos de protección de la red, de esta manera también funcionan los
“sniffers” u olfateadores. El Cpm, nos permite entonces detectar las máquinas
que funcionan en modo promiscuo.
Otro punto para nuestro manual de procedimientos: correr de manera periódica
el Cpm en nuestro sistema para detectar sniffers que pueden estar recopilando
información de las contraseñas de la red.
Ifstatus
Es un software cuya utilidad es la misma del software anterior, permite
encontrar máquinas en modo promiscuo.
Este programa genera alertas como la siguiente:
WARNING: ACME INTERFACE le0 IS IN PROMISCUOUS MODE.
Osh (Operator Shell)
Este archivo permite indicar al administrador de red cuales son los comandos
que puede ejecutar cada usuario de la red.
Genera entonces un “archivo” de permisos con todos los nombres de los
usuarios y as listas de los comandos que cada uno de ellos puede usar, así
como otro archivo que indica los comandos ejecutados por todos los usuarios,
e información sobre si los pudo ejecutar o no.

Fase
Es usado principalmente para otorgar determinados “permisos” de uso de
comandos a usuarios especiales, que en otras circunstancias no podrían usar
esos comandos.
Noshell
El uso de este programa nos permite detectar intentos de conexión a nuestro
sistema a través de cuentas canceladas. Cada intento de conexión generará
entonces un mensaje que se puede obtener via e-mail, con información sobre
el usuario remoto que intentó genera la conexión, hora y fecha del intento,
dirección IP del usuario que intentó generar la conexión y nombre de la
computadora remota.
Trinux
Trinux, más que un programa, es un conjunto de herramientas para monitorear
redes que usan el protocolo TCP-IP. Esta herramienta no se instala en el
sistema, sino que es usada directamente desde el dispositivo de
almacenamiento en que se encuentra, corriendo enteramente en la memoria
RAM del computador.
Este paquete trae aplicaciones para controlar el tráfico de mails entrantes y
salientes, herramientas básicas de redes, detector de sniffers, y herramientas
de seguridad para los servidores de nuestra organización.

Vulnerabilidades y soluciones

Más contenido relacionado

La actualidad más candente

Similar a Vulnerabilidades y soluciones

Más de Carlos Andres Perez Cabrales

Último

Vulnerabilidades y soluciones