Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PRACTICA No. 1
TUTOR:
Grupo 19
2
INTRODUCCIN
OBJETIVOS
ACTIVIDADES
ARQUITECTURA DE LA PRCTICA.
INTERNET
192.168.0.1
Zona Virtual
Ilustracin 1. Mapa de red de la arquitectura a usar en el laboratorio Fuente: Yon Ivn Mrquez Buitrago
Error Presentado con las MV: The guest is trying to switch to the PAE mode
which is currently disabled by default in VirtualBox. PAE support can be
enabled using the VM settings (System/Processor).
Solucin: Guest settings -> System -> Processor -> enable PAE/NX
5
Ilustracin 3: Adaptador puente de Red configurado en Virtual Box Fuente: Yon Ivn Mrquez Buitrago
Infraestructura utilizada:
Porttil Sony VAIO: Disco Duro: 720 GB, Dir. IP: 192.168.0.101
Ilustracin 4: Configuracin de la Maquina Real con Windows 7 Fuente: Yon Ivn Mrquez Buitrago
Ilustracin 5: Configuracin de la Maquina Virtual con Windows XP Fuente: Yon Ivn Mrquez Buitrago
Ilustracin 6: Configuracion de XAMPP en el equipo con Windoes XP Fuente: Yon Ivn Mrquez
Buitrago
Ilustracin 7: Configuracin de la Mquina Virtual con Linux OWASP Fuente: Yon Ivn Mrquez
Buitrago
7
Topologa
Ilustracin 8: Topologa de la red en la cual tenemos un enrutador, una maquina real y dos virtuales.
Generado en la interfaz grfica zenmap Fuente: Yon Ivn Mrquez Buitrago
Identificacin de Servicios
Ilustracin 9: Sondeo de puertos NMAP Servidor 192.168.0.1 Fuente: Yon Ivn Mrquez Buitrago
Ilustracin 10: Sondeo de puertos NMAP Servidor 192.168.0.101 Fuente: Yon Ivn Mrquez Buitrago
Ilustracin 11: Sondeo de puertos NMAP Servidor 192.168.0.107 Fuente: Yon Ivn Mrquez Buitrago
9
Ilustracin 12: Sondeo de puertos NMAP Servidor 192.168.0.108 Fuente: Yon Ivn Mrquez Buitrago
Ilustracin 13: por medio de Zenmap averiguamos la versin de Apache que tiene el servidor Servidor
192.168.0.107 Fuente: Yon Ivn Mrquez Buitrago
10
Ilustracin 14: Iniciar Wireshark como superusuario en Linux Fuente: Yon Ivn Mrquez Buitrago
Ilustracin 15: Elegir la conexin a analizar en la interfaz grfica de Wireshark en este caso tth0 Fuente:
Yon Ivn Mrquez Buitrago
11
Ilustracin 16: Captura de datos del ordenador en Wireshark donde identificamos la comunicacin con el
servidor de Windows XP que tiene IP 192.168.0.107. Fuente: Yon Ivn Mrquez Buitrago
Una vez finalizada la captura aplicaremos un filtro. Para ello en el campo Filter
introduciremos el siguiente texto:
ip.addr == 192.168.0.107
Ilustracin 17: Resultados del filtro en Wireshark . Fuente: Yon Ivn Mrquez Buitrago
12
Ilustracin 18: Uso del comando arp -a. Fuente: Yon Ivn Mrquez Buitrago
Ilustracin 19: ejecutando el comando sudo nmap -sP 192.168.0.1-254 obtenemos el listado de servidores
en la red. Fuente: Yon Ivn Mrquez Buitrago
13
Ilustracin 20: detalle del resultado del comando sudo nmap -sP 192.168.0.1-254. Fuente: Yon Ivn
Mrquez Buitrago
Nmap puede averiguar el sistema operativo del objetivo usando las pequeas
diferencias en la implementacin de los protocolos. Aunque siguen el mismo
estndard al programar los sistemas, existen algunas disimilitudes que usa Nmap
para determinar el sistema operativo para ver como responde a ciertas
secuencias TCP/IP. El atributo es -O
Ilustracin 21: Observamos que el sistema operativo es Wiondows XP. Fuente: Yon Ivn Mrquez
Buitrago
1
En las redes de computadoras, la direccin MAC (siglas en ingls de Media Access
Control) es un identificador de 48 bits (6 bloques de dos caracteres hexadecimales (4 bits))
que corresponde de forma nica a una tarjeta o dispositivo de red.
14
Netstat es una utilidad que permite mostrar todas las conexiones de red en un
sistema. Se entienden como conexiones de red los sockets tcp, udp y unix, tanto
conectados como en espera de conexin. Un uso bastante comn para esta
utilidad es verificar puertos abiertos, por ejemplo, podramos verificar si el puerto
80 tiene conexiones escuchando para saber si un servidor web se est
ejecutando o no. La sintaxis para ver todas las conexiones en un ordenador
sera:
$ netstat -a
Ilustracin 22: Uso del comando Netstat. Fuente: Yon Ivn Mrquez Buitrago
Tambin podramos mostrar slo las conexiones que tienen puertos en escucha
usando: $ netstat -l
$ traceroute <direccion_ip_o_dominio>
15
Ilustracin 23: Uso del comando traceroute. Fuente: Yon Ivn Mrquez Buitrago
Snort: es el referente actual en sistemas de deteccin de intrusiones (Intrusion
Detection Systems o IDS). Monitoriza el trfico de la red (cambiando la interfaz
tambin a modo promiscuo) y aplica una serie de reglas para determinar si se
est llevando a cabo algn ataque (como, por ejemplo, un escaneo de puertos
con nmap).
Requisitos:
Para una instalacin sin problemas debemos tener los siguientes paquetes
funcionando en nuestro sistema, esto cuando se parte de una distribucin de
Linux limpia, vamos a instalarlos uno a uno, aunque en nuestro caso ya algunos
de estos paquetes estn instalados.
snort -v
Con esta opcin -v iniciamos snort en modo sniffer visualizando en pantalla las
cabeceras de los paquetes TCP/IP, es decir, en modo sniffer. Esta opcin el
modo verbouse y mostrar las cabeceras IP, TCP, UDP y ICMP.
snort -vd
Con estas opciones y dependiendo del trfico en nuestra red, veremos gran
cantidad de informacin pasar por nuestra pantalla, con lo cual sera
interesante registrar, guardar estos datos a disco para su posterior estudio.
17
Ilustracin 26: uso del comando snort -vde -l ./log -h 192.168.0.1/24 para hacer revisin en toda la red.
Ilustracin 27: Generacion de log donde se almacena la informacin arrojada por el uso del comando snort
18
snort -l ./log -b
El archivo generado por snort en modo binario tambin podemos leerlo con
este usando la opcin -r nombrearchivo.log.
Otra opcin a toma en cuenta es -i para indicar a snort que interface de red
usar en el caso de que tengamos dos o ms. Se hace de distinta forma
dependiendo si usamos snort para Win32 o para Linux/UNIX. Para averiguar
las interfaces de que disponemos, en Win32 usaremos la opcin -W.
Filtros
Podemos aadir, a parte de las opciones, una serie de filtros para optimizar los
resultados obtenidos. Estos filtros se aadirn en el mismo formato que usa
programas como TCPDump ya que usan las mismas libreras de captura de
paquetes (libpcap).
Ilustracin 32: cabeceras de paquetes en el uso del filtro snort -vd host 192.168.0.107
Modos de Alerta
Fast: El modo Alerta Rpida nos devolver informacin sobre: tiempo, mensaje
de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen y destino.
Ilustracin 33: uso del del modo de alerta Full en la conexin eth0
.
23
CONCLUSIONES
Me ha parecido un buen tema del que hacer el proyecto, que puede ser
muy til en algunos sitios y al menos no me quedo con las ganas de saber
que son los IDS, que hacen y algunas cosas ms sobre ellos que he
aprendido, aunque soy consciente de las muchas cosas que no he
aprendido y estn ah sobre el tema.
BIBLIOGRAFA