1

PRACTICA No. 1

YON IVAN MRQUEZ BUITRAGO. CD. 82391374

TUTOR:

MARTN CAMILO CANCELADO

Universidad Nacional Abierta y a Distancia UNAD

Escuela de Ciencias Bsicas, Tecnologa e Ingeniera

Cead Arbelez. Fusagasug

SEGURIDAD EN REDES (Posgrado) 233010A_363

Grupo 19
 2

INTRODUCCIN

La seguridad de los sistemas operativos es una de las caractersticas deseadas

ms importantes dentro del entorno de la seguridad de los sistemas informticos
en los que hoy en da se capturan, procesa y almacena la informacin de las
compaas del mundo moderno, por ello la implementacin de las caractersticas
de seguridad nativas dentro de un sistema operativo es una variable muy
importante para reforzar las diferentes capas de seguridad con las que se debe
proteger la informacin.

En el mundo de la informtica se deben tener en cuenta varios aspectos: la

tecnologa a utilizar y la seguridad de la misma, entre ms funcional sea un
sistema puede ser ms vulnerable, por lo anterior se debe tener un proceso
peridico de anlisis de vulnerabilidades y pruebas de penetracin. Con estos
informes se busca construir planes de aseguramiento de los mismos, como
procesos de solucin, as como la implementacin de herramientas de proteccin
ataques informticos.

A nivel general, en esta prctica se comprobar la forma en que un atacante

puede extraer informacin valiosa de una red sin ms conocimientos previos
que la existencia de dos servidores web (uno de ellos con una zona privada).
Se conoce la IP y el puerto en el que se halla cada servidor.
 3

OBJETIVOS

El estudiante debe realizar la apropiacin de los conceptos bsicos de

seguridad del sistema operativo, documentarse y entender cmo
funcionan estos principios y ponerlos en prctica para conseguir los
objetivos deseados

Realizar sobre un sistema operativo un anlisis de seguridad con el

objetivo de poder realizar las pruebas con algunas herramientas como lo
son nmap, wireshark y snort a travs de un ambiente controlado.

Utilizar una herramienta que permita realizar imgenes seguras de los

dispositivos de almacenamiento encontrados en la escena del fraude
informtico.

Utilizar una herramienta que permita realizar imgenes de la memoria

voltil de un dispositivo
 4

ACTIVIDADES

ARQUITECTURA DE LA PRCTICA.

INTERNET

192.168.0.1

Servidor Victima Servidor OWASP

192.168.0.107 Nmap, wireshark
Porttil SONY VAIO Windows XP 192.168.0.108
192.168.0.101

Zona Virtual

Ilustracin 1. Mapa de red de la arquitectura a usar en el laboratorio Fuente: Yon Ivn Mrquez Buitrago

Para esta prctica se construir un ambiente controlado compuesto por un

sistema base el cual servir para alojar los servidores OWASP-WTE-14.04 y
Windows XP . Este ambiente estar virtual izado sobre Virtual Box ver. 5.1.28.

Ilustracin 2: Versin de Virtual Box Fuente: Yon Ivn Mrquez Buitrago

Error Presentado con las MV: The guest is trying to switch to the PAE mode
which is currently disabled by default in VirtualBox. PAE support can be
enabled using the VM settings (System/Processor).

Solucin: Guest settings -> System -> Processor -> enable PAE/NX
 5

Configuracin del adaptador de red de la mquina virtual.

Ilustracin 3: Adaptador puente de Red configurado en Virtual Box Fuente: Yon Ivn Mrquez Buitrago

Infraestructura utilizada:

Porttil Sony VAIO: Disco Duro: 720 GB, Dir. IP: 192.168.0.101

Ilustracin 4: Configuracin de la Maquina Real con Windows 7 Fuente: Yon Ivn Mrquez Buitrago

Servidor Windows XP (Victima): Disco Duro: 10 GB, Dir. IP: 192.168.0.107.

Software Configurado: Apache 2.2.16 , php 7.1.10 y Mysql

 6

Ilustracin 5: Configuracin de la Maquina Virtual con Windows XP Fuente: Yon Ivn Mrquez Buitrago

Ilustracin 6: Configuracion de XAMPP en el equipo con Windoes XP Fuente: Yon Ivn Mrquez
Buitrago

Servidor OWASP-WTE-14.04: Disco Duro 15 GB, Dir. IP: 192.168.0.108,

Ilustracin 7: Configuracin de la Mquina Virtual con Linux OWASP Fuente: Yon Ivn Mrquez
Buitrago
 7

Topologa

Ilustracin 8: Topologa de la red en la cual tenemos un enrutador, una maquina real y dos virtuales.
Generado en la interfaz grfica zenmap Fuente: Yon Ivn Mrquez Buitrago

Identificacin de Servicios

Lo primero es realizar un sondeo de puertos, con el objetivo de descubrir los

servicios que se estn ejecutando. Con la herramienta Zenmap (que es parte de
OWASP-WTE-14.04) se sondea los puertos y los servicios del equipo en estudio.
Esta herramienta dar el nmero del puerto, el protocolo que utiliza, estado,
servicio y la versin o detalle del mismo

Para ello vamos a un terminal en el OWASP-WTE-14.04 y digitamos el comando

zenmap y ENTER, luego digitamos la IP del equipo a atacar y damos clic en el
botn Scan
 8

Ilustracin 9: Sondeo de puertos NMAP Servidor 192.168.0.1 Fuente: Yon Ivn Mrquez Buitrago

Ilustracin 10: Sondeo de puertos NMAP Servidor 192.168.0.101 Fuente: Yon Ivn Mrquez Buitrago

Ilustracin 11: Sondeo de puertos NMAP Servidor 192.168.0.107 Fuente: Yon Ivn Mrquez Buitrago
 9

En la Ilustracin 11 se muestran los puertos abiertos del servidor que tiene la IP

192.168.0.107, adems del protocolo, el servicio y detalle de los mismos.

Ilustracin 12: Sondeo de puertos NMAP Servidor 192.168.0.108 Fuente: Yon Ivn Mrquez Buitrago

Describir la forma en que nmap averigua la versin usada del servidor

web Apache

Ilustracin 13: por medio de Zenmap averiguamos la versin de Apache que tiene el servidor Servidor
192.168.0.107 Fuente: Yon Ivn Mrquez Buitrago
 10

Cuando revisamos el script al escanear el equipo servidor victima (Windows

XP) se puede observar que hay un servidor http Apache ejecutndose en el
puerto 80, la versin es la 2.2.16

Inspeccion de todo el trfico que pasa por la red local en que se

encuentran sus interfaces de red, mediante la herramienta wireshark.

wireshark: se trata de uno de los analizadores de protocolos ms avanzados

existentes. Dispone de una interfaz grfica desde la cual un usuario puede
inspeccionar todo el trfico que pasa por las redes locales en que se
encuentran sus interfaces de red. Para ello, normalmente requieren permisos
de administrador (root en sistemas basados en UNIX), ya que han de cambiar
las interfaces a modo promiscuo.

Ilustracin 14: Iniciar Wireshark como superusuario en Linux Fuente: Yon Ivn Mrquez Buitrago

Se selecciona la interfaz de red de la mquina virtual para comenzar a capturar

los paquetes de red

Ilustracin 15: Elegir la conexin a analizar en la interfaz grfica de Wireshark en este caso tth0 Fuente:
Yon Ivn Mrquez Buitrago
 11

Ilustracin 16: Captura de datos del ordenador en Wireshark donde identificamos la comunicacin con el
servidor de Windows XP que tiene IP 192.168.0.107. Fuente: Yon Ivn Mrquez Buitrago

Una vez finalizada la captura aplicaremos un filtro. Para ello en el campo Filter
introduciremos el siguiente texto:

ip.addr == 192.168.0.107

Una vez introducido el texto presionamos la tecla Enter.

Despus de presionar la tecla Enter podremos ver la totalidad de comunicaciones que

se han realizado entre nuestro ordenador y el servidor DNS.

Ilustracin 17: Resultados del filtro en Wireshark . Fuente: Yon Ivn Mrquez Buitrago
 12

Listar las mquinas de la red. Podramos enviar peticiones de eco ICMP a

todas las direcciones IP del rango de direcciones de la red, pero como estamos
conectados a la LAN, puede emplearse un ping ARP, que es mucho ms
eficiente y difcil de detectar.

Ilustracin 18: Uso del comando arp -a. Fuente: Yon Ivn Mrquez Buitrago

Detectar ordenadores con nmap

Si no te funcionado el comando anterior, hay otra forma. En la consola

tecleamos:

Utilizando la herramienta NMAP, y ejecutando el comando sudo nmap -sP

192.168.0.1-254 lograremos observar el sistema operativo que est dispuesto en
la maquina remota o vctima, as como todos los servicios habilitados en el
servidor remoto o victima Windows XP

Ilustracin 19: ejecutando el comando sudo nmap -sP 192.168.0.1-254 obtenemos el listado de servidores
en la red. Fuente: Yon Ivn Mrquez Buitrago
 13

Podemos ver que por cada dispositivo tenemos esta informacin:

Ilustracin 20: detalle del resultado del comando sudo nmap -sP 192.168.0.1-254. Fuente: Yon Ivn
Mrquez Buitrago

Aqu tenemos la IP del dispositivo, su MAC1 y algo de informacin adicional (lo

que aparece en el parntesis)

Algo ms de informacin de las mquinas de la red: sistemas operativos y

puertos abiertos.

Nmap puede averiguar el sistema operativo del objetivo usando las pequeas
diferencias en la implementacin de los protocolos. Aunque siguen el mismo
estndard al programar los sistemas, existen algunas disimilitudes que usa Nmap
para determinar el sistema operativo para ver como responde a ciertas
secuencias TCP/IP. El atributo es -O

Ilustracin 21: Observamos que el sistema operativo es Wiondows XP. Fuente: Yon Ivn Mrquez
Buitrago

1
En las redes de computadoras, la direccin MAC (siglas en ingls de Media Access
Control) es un identificador de 48 bits (6 bloques de dos caracteres hexadecimales (4 bits))
que corresponde de forma nica a una tarjeta o dispositivo de red.
 14

La otra tcnica de Fingerprinting se usa para comprobar las versiones del

software que escucha en los puertos, es decir el servidor ftp, la versin de
apache, etc El parmetro es -sV

Netstat es una utilidad que permite mostrar todas las conexiones de red en un
sistema. Se entienden como conexiones de red los sockets tcp, udp y unix, tanto
conectados como en espera de conexin. Un uso bastante comn para esta
utilidad es verificar puertos abiertos, por ejemplo, podramos verificar si el puerto
80 tiene conexiones escuchando para saber si un servidor web se est
ejecutando o no. La sintaxis para ver todas las conexiones en un ordenador
sera:

$ netstat -a

Ilustracin 22: Uso del comando Netstat. Fuente: Yon Ivn Mrquez Buitrago
Tambin podramos mostrar slo las conexiones que tienen puertos en escucha
usando: $ netstat -l

Traceroute es una excelente herramienta de diagnstico pues permite mostrar

todos los hosts por donde pasa un paquete en la red hasta llegar a su destino. Su
sintaxis es bastante simple, si queremos ver la lista de rutas seguidas por nuestros
paquetes para llegar a un servidor ejecutamos:

$ traceroute <direccion_ip_o_dominio>
 15

Donde direccion_ip_o_dominio corresponden con la IP o el dominio que

queremos consultar, por ejemplo: google.com

En nuestro caso enrutamos al servidor con Windows xp con IP 192.168.0.107

Ilustracin 23: Uso del comando traceroute. Fuente: Yon Ivn Mrquez Buitrago
Snort: es el referente actual en sistemas de deteccin de intrusiones (Intrusion
Detection Systems o IDS). Monitoriza el trfico de la red (cambiando la interfaz
tambin a modo promiscuo) y aplica una serie de reglas para determinar si se
est llevando a cabo algn ataque (como, por ejemplo, un escaneo de puertos
con nmap).

Requisitos:

Para una instalacin sin problemas debemos tener los siguientes paquetes
funcionando en nuestro sistema, esto cuando se parte de una distribucin de
Linux limpia, vamos a instalarlos uno a uno, aunque en nuestro caso ya algunos
de estos paquetes estn instalados.

Nmap, nbscan, apache2 , php5 , php5-mysql , php5-gd , libpcap0.8-dev ,

libpcre3-dev , g++ , mysql-server , libmysqlclient16-dev, cada uno fue
instalado con el comando

sudo apt-get install <programa>

Ilustracin 24: Instalacion de Snort

 16

Snort en modo Sniffer y registro de paquetes

Para ello iniciamos con el comando

snort -v

Con esta opcin -v iniciamos snort en modo sniffer visualizando en pantalla las
cabeceras de los paquetes TCP/IP, es decir, en modo sniffer. Esta opcin el
modo verbouse y mostrar las cabeceras IP, TCP, UDP y ICMP.

Ilustracin 25: uso del comando snort -v y el registro de paquetes

Si queremos, adems, visualizar los campos de datos que pasan por la

interface de red, aadiremos -d.

snort -vd

Con estas opciones y dependiendo del trfico en nuestra red, veremos gran
cantidad de informacin pasar por nuestra pantalla, con lo cual sera
interesante registrar, guardar estos datos a disco para su posterior estudio.
 17

Podemos indicar la ip de la red a registrar ( -h ) y que el formato de los logs sea

en modo binario ( -b ), es decir, el modo que entiende TCPDump o Windump,
para estudiar ms a fondo con los potentes filtros de estos programas los logs
de snort. La salida del logs en el caso de la opcin de salida binaria ya no ser
una estructura de directorios, si no, un slo archivo.

snort -vde -l ./log -h 192.168.0.1/24

Ilustracin 26: uso del comando snort -vde -l ./log -h 192.168.0.1/24 para hacer revisin en toda la red.

Ilustracin 27: Generacion de log donde se almacena la informacin arrojada por el uso del comando snort
 18

snort -l ./log -b

Ilustracin 28: uso del comando snort -l ./log -b

Usando la opcin -b no har falta indicarle IP alguna de nuestra red ( -h ).

Guardar todo en un mismo archivo y recoger datos de toda nuestra red.
Tampoco sern necesarias las opciones -de y por supuesto, tampoco la opcin
-v.

El archivo generado por snort en modo binario tambin podemos leerlo con
este usando la opcin -r nombrearchivo.log.

Otra opcin a toma en cuenta es -i para indicar a snort que interface de red
usar en el caso de que tengamos dos o ms. Se hace de distinta forma
dependiendo si usamos snort para Win32 o para Linux/UNIX. Para averiguar
las interfaces de que disponemos, en Win32 usaremos la opcin -W.

snort -vde -i eth0

 19

Ilustracin 29: uso del comando snort -vde -i eth0

Filtros

Podemos aadir, a parte de las opciones, una serie de filtros para optimizar los
resultados obtenidos. Estos filtros se aadirn en el mismo formato que usa
programas como TCPDump ya que usan las mismas libreras de captura de
paquetes (libpcap).

snort -vd host 192.168.0.107 and dst port 8080

 20

Ilustracin 30: uso del filtro snort -vd host 192.168.0.107

Ilustracin 31: resultados del filtro snort -vd host 192.168.0.107

 21

Ilustracin 32: cabeceras de paquetes en el uso del filtro snort -vd host 192.168.0.107

Modos de Alerta

Hay varias maneras de configurar la salida de snort, es decir, las alertas, el

modo en que se almacenarn estas en el archivo alert.ids.

Snort dispone de siete modos de alertas en la lnea de rdenes, completo,

rpido, socket, syslog, smb (WinPopup), consola y ninguno. Veremos algunos

Fast: El modo Alerta Rpida nos devolver informacin sobre: tiempo, mensaje
de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen y destino.

Full: El modo de Alerta Completa nos devolver informacin sobre: tiempo,

mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de
origen/destino e informacin completa de las cabeceras de los paquetes
registrados.

Ilustracin 33: uso del del modo de alerta Full en la conexin eth0

La utilidad de los parmetros empleados es la siguiente:

-A full => Modo de alerta para que presente toda la informacin.
 22

-v => Verbose activado para mostrar por pantalla.

-i2 => Escucha en el interface 2 (depende de las tarjetas de red del equipo)

Informacin de la cabecera del paquete:

Ilustracin 34: Informacin de la cabecera de paquete

Valoracin de los resultados

En cada prueba de referencia, podemos observar que el programa consigue

analizar la mayor parte del trfico (80%), sin encontrar ningn paquete
sospechoso.

En la prueba de la actividad del nmap, consigue sobrecargar al Snort haciendo

que solo sea capaz de analizar el 14% del trafico que detecta, tambin sin
detectar ningn paquete sospechoso.

.
 23

CONCLUSIONES

Entre ms servicios se tengan instalados en un sistema ms

vulnerabilidades pueden existir. Por lo anterior es recomendable dejar
activos solo los servicios que se vayan a utilizar.

Nmap como escner de puertos con el cual podemos obtener mucha

informacin acerca de un host, utiliza paquetes ip raw para determinar que
equipos se encuentran disponibles en una red, tambin nos ofrece la
posibilidad de conocer que servicios y/o sistemas operativos estn
corriendo en determinado objeto (nombre de la aplicacin y
versin),tambin nos ofrece informacin sobre el firewall o cortafuegos
que est corriendo en un equipo as como mucha ms informacin de vital
importancia para nuestras labores de pen testing y networking.

El comando Snort nos ayuda en el escaneo y anlisis de los paquetes que

circulan en la red, identifica posibles ataques segn el comportamiento de
los mismos convirtindose en una herramienta importante en la seguridad
informtica.

Me ha parecido un buen tema del que hacer el proyecto, que puede ser
muy til en algunos sitios y al menos no me quedo con las ganas de saber
que son los IDS, que hacen y algunas cosas ms sobre ellos que he
aprendido, aunque soy consciente de las muchas cosas que no he
aprendido y estn ah sobre el tema.

Me parece increble la cantidad de informacin que hay de estos temas

pero siendo la mayora actualmente desactualizada, muchas posibles
soluciones que no valan, etc. Pero si veo recomendable instalar sistemas
de deteccin de instrusos y mantenerlos si es necesario un cierto nivel de
seguridad.
 24

BIBLIOGRAFA

Catoira Fernando , Welivesecurity, Uso de filtros en Wireshark para detectar

actividad maliciosa, Disponible en: https://www.welivesecurity.com/la-
es/2013/01/28/uso-filtros-wireshark-para-detectar-actividad-maliciosa/
Clavero Juan, Deteccin de intrusos con SNORT Disponible en:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43087/4/jmclaveroTFM
0715memoria.pdf
Gorkau, Linux: Cmo puedo saber qu mquinas hay conectadas en mi red
local?, Disponible en: https://nideaderedes.urlansoft.com/2013/12/23/linux-
como-puedo-saber-que-maquinas-hay-conectadas-en-mi-red-local/
Hipertextual, Linux para novatos: 5 comandos de red para la terminal
Disponible en: https://hipertextual.com/archivo/2014/08/comandos-red-terminal/
LinuxParty , El Sistema de Deteccin de Intrusos: Snort. ( Windows y Linux ) ,
Disponible en: http://www.linux-party.com/index.php/6000-el-sistema-de-
deteccion-de-intrusos-snort--windows-y-linux
Maestros del web , Sistemas de Deteccin de intrusos y Snort. Disponible en:
http://www.maestrosdelweb.com/snort/
Mancera, Comandos de red bsicos en Windows y Linux, Disponible en:
https://www.mancera.org/2010/12/20/comandos-de-red-basicos-en-windows-y-
linux/
Maturana Humberto, Conocimiento Libre (o lo que est detrs del Software
Libre), Nmap a fondo: Escaneo de redes y hosts, Disponible en:
https://conocimientolibre.wordpress.com/2007/06/30/nmap-a-fondo-escaneo-
de-redes-y-hosts/
Nmap.org, nmap Disponible en: https://nmap.org/
OWASP Foundation, GUA DE PRUEBAS OWASP, 2007 V2.0 Disponible en:
https://www.um.es/atica/documentos/OWASP_Testing_Guide_v2_spanish.pdf
OWASP Vulnerable Web Applications Directory, Disponible en:
https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Direc
tory_Project/Pages/VMs
Rodrguez Guisado Juan Javier, Sistemas deteccin de intrusos,Disponible en:
http://informatica.gonzalonazareno.org/proyectos/2009-10/jjrg.pdf
Seguridad en Sistemas y Tcnicas de Hacking. TheHackerWay (THW) ,
Instalacin y Configuracin bsica de Snort IDS con BASE (Basic Analysis and
Security Engine) , Disponible en:
https://thehackerway.com/2011/06/30/instalacion-y-configuracion-basica-de-
snort-ids-con-base-basic-analysis-and-security-engine/