SEGURIDAD+EN+LA+RED

=TEMAS =


 * SEGURIDAD EN LA RED**


 * **TCP/IP Y LA SEGURIDAD EN LA RED**
 * **CUAL ES LA IMPORTANCIA DE LA ASIGNACION DE LOS NUMEROS DE LOS PUERTOS**
 * **COMO SE PUEDE REALIZAR EL RASTREO Y SEGUIMIENTO DE LOS DIFERENTES SERVICIOS**
 * **QUE IMPLICACIONES DE SEGURIDAD EXISTEN EN LA SALIDAD DEL NETSTAT**
 * **ANALISIS DEL COMANDO NETSTAT VS EL ANALISIS DE LA SEGURIDAD**
 * **COMO SE PUEDEN INTERRUMPIR LOS SERVICIOS DE RED**
 * **ANALISIS DEL COMPORTAMIENTO DE MONITOREO DEL LINUX**
 * **IMPORTANCIA TIENE EL SYSLOG Y CUAL SERIA SU MEJOR USO**
 * **QUE TIPO DE ANALISIS SE PUEDE HACER AL REGISTRO CRONOLOGICO**
 * **MANEJO DE ATAQUES**
 * **ANALICE LAS HERRAMIENTAS PARA LA SEGURIDAD DE LA RED (NMAP, SNORT, NESSUS,TCPDUMP)**

**GRUPO B**




 * TCP/IP**

CUANDO NOS REFERIMOS A TCP/IP NOS REFERIMOS A LA FAMILIA DE PROTOCOLOS DE INTERNET ES DECIR A UN CONJUNTO DE PROTOCOLOS DE RED EN LOS CUALES ES BASADO INTENET Y POR MEDIO DE LOS CUALES ES QUE SE PUEDEN TRANSMITIR DATOS ENTRE REDES DE COMPUTADORES.

IP PROTOCOLO DE INTERNET**
 * TCP PROTOCOLO DE CONTROL DE TRANSMISION

media type="youtube" key="muh9u_F5oeg" height="325" width="402"

**TCP**
EL SIGNIFICADO DE TCP ES PROTOCOLO DE CONTROL DE TRANSMISIONES, HACE PARTE DE LOS PROTOCOLOS FUNDAMENTALES DE INTERNES Y FUE CREADO ENTRE 1973 Y 1974.

GRACIAS A TCP SE PUEDEN USAR CONEXIONES ENTRE UNA RED DE COMPUTADORES A TRAVES DE LOS CUALES SE PUEDEN ENVIAR FLUJOS DE DATOS. EL PROTOCOLO TCP GARANTIZA QUE LOS DATOS VAN A SER ENTREGADOS EN SU DESTINO FINAL SABIENDO QUE ESTOS NO VAN A TENER ERRORES Y LLEGARAN EN EL MISMO ORDEN EN QUE SE TRANSMITIERON.

TCP DA SOPORTE A MUCHAS APLICACIONES MAS POPULARES DE INTERNET, ENTRE LAS CUALES ESTA HTTP - SMTP - SSH - FTP

ES UN PROTOCOLO DE COMUNICACION ORIENTADO A CONEXION Y FIABLE DEL NIVEL DE TRANSPORTE, ACTUALMENTE ESTA DOCUMENTADO POR IETF RFC 793. ES UN PROTOCOLO DE CAPA 4 SEGUN EL MODELO OSI.



**IP**
CUANDO NOS REFERIMOS A IP PODEMOS HABLAR DE:

DIRECCION IP: ES EL NUMERO QUE IDENTIFICA A CADA DISPOSITIVO DENTRO DE UNA RED CON PROTOCOLO IP.

PROTOCOLO IP: ES UN PROTOCOLO USADO PARA LA COMUNICACION DE DATOS A TRAVES DE UNA RED.

TCP/IP: ES EL CONJUNTO DE PROTOCOLOS DE RED EN LA QUE SE BASA INTERNET O INTRANET.



UNA DE LAS VENTAJAS DEL TCP/IP ES QUE PUEDEN EJECUTARSE A LA VEZ VARIAS COSAS, POR EJEMPLO SE PUEDE ESTAR NAVEGANDO SIMULTANEAMENTE POR VARIAS PAGINAS Y AL MISMO TIEMPO ESTAR DESCARGANDO UN ARCHIVO FTP. TODO ESTO SUCEDE GRACIAS AL PROTOCOLO, ES DECIR GRACIAS A LA COMUNICACION DE DATOS A TRAVES DE PAQUETES DE RED.

LA IMPORTANCIA DE LA ASIGNACION DE UNA DIRECCION UNICA EN EQUIPO ES PARA FACILITAR ESE PROCESO, PODER TRABAJAR VARIOS PROGRAMAS TCP/IP SIMULTANEAMENTE. SE CODIFICA EN 16 BITS. U UN PUERTO ES:

LA COMBINACION DE DIRECCION IP + PUERTO

Y ES UNA DIRECCION UNICA A NIVEL MUNDIAL, A ESTA SE LE DENOMINA SOCKET. ENTONCES TENIENDO EN CUENTA LO ANTERIOR LA DIRECCION IP SIRVE PARA IDENTIFICAR UN EQUIPO DE MANERA UNICA EN LA RED Y EL NUMERO DE PUERTO ES EL QUE ESPECIFICA LA APLICACION A LA CUAL SE DIRIGEN LOS DATOS. CUANDO UN EQUIPO RECIBE INFORMACION DIRIGIDA A UN PUERTO, LOS DATOS SON ENVIADOS A LA APLICACION EN RELACION. DADO EL CASO DE QUE SE TRATE DE UNA SOLICITUD ENVIADA LA APLICACION, A ESTA SE LE DENOMINA **SERVIDOR**. Y SI SE TRATA DE UNA RESPUESTA, A ESTA LA DENOMINAMOS APLICACION **CLIENTE**


 * ASIGNACION DE NUMERO DE PUERTO**

EXISTE UNA GRAN CANTIDAD DE PUERTOS, ESTOS ESTAN CODIFICADOS EN 16 BITS LO CUAL ME HACE CONTAR CON 65536 POSIBILIDADES DE ASIGNACION DE PUERTO. EXISTE UNA AGENCIA ENCARGADA DE LA ASIGANCION DE MUMEROS DE INTERNET LLAMADA **IANA**, ESTA AGENCIA DESARROLLO UNA APLICACION ESTANDAR LA CUAL ES DE GRAN AYUDA PARA LAS CONFIGURACIONES DE RED.

TENEMOS UNA DISTRIBUCION DE PUERTOS DE LA SIGUIENTE MANERA:


 * PUERTOS CONOCIDOS**: PUERTOS DEL 0 AL 1023 -- ESTOS ESTAN RESERVADOS PARA PROCESOS DEL SISTEMAS O PROGRAMAS EJECUTADOS POR USUARIOS CON PRIVILEGIOS. DE IGUAL FORMA UN ADMINISTRADOR PUEDE CONECTAR SERVICIOS CON PUERTOS DE SU ELECCION.
 * PUERTOS REGISTRADOS:** PUERTOS DEL 1024 AL 49151
 * PUERTOS DINAMICOS Y/O PRIVADOS:** PUERTOS DEL 49152 AL 65535

EN LA SIGUIENTE TABLA SE MUESTRAN LOS PUERTOS ESTANDAR MAS UTILIZADOS:

__**TABLA TOMADA DE:**__ __**Http://es.kioskea.net/contents/internet/port.php3//**__
 * ~ Puerto ||~ Servicio o aplicación ||
 * = 21 ||= [|FTP] ||
 * = 23 ||= [|Telnet] ||
 * = 25 ||= [|SMTP] ||
 * = 53 ||= [|Sistema de nombre de dominio] ||
 * = 63 ||= Whois ||
 * = 70 ||= Gopher ||
 * = 79 ||= Finger ||
 * = 80 ||= [|HTTP] ||
 * = 110 ||= [|POP3] ||
 * = 119 ||= NNTP ||

Podemos decir que la asignacion de numeros de puertos se hace con el fin de establecer diversas conexiones con maquinas distintas apartir de protocolos TCP/IP y UDP/IP donde los servicios de un cliente deben ser dirigidos a partir de un servidor a un puerto logico en la que se establece la conexion. Todos los paquetes tiene direcciones IP y estan dirigidas a una IANA donde hace una asignacion de puertos en tres categorias diferentes.


 * //POLITICAS IANA//**

1. Sin asignar números de puerto no deben ser utilizados. La IANA asignará el número para el puerto después de que su solicitud ha sido aprobada.

2.Los puertos son asignados por la IANA y en la mayoría de los sistemas puede sólo ser utilizado por el sistema (o raíz) o los procesos de los programas ejecutados por la usuarios privilegiados.

3.La gama de Asignación de los puertos gestionados por la IANA es 0-1023.

4.Los puertos son utilizados en el protocolo TCP [RFC793] para nombrar los extremos de lógica conexiones que llevar las conversaciones a largo plazo y las asignaciones del puerto UDP son de referencias [RFC768].

//**COMO SE PUEDE REALIZAR EL RASTREO Y SEGUIMIENTO DE LOS DIFERENTES SERVICIOS**//

HERRAMIENTAS COMO NETSTAT PERMITEN MOSTRAR INFORMACION ACERCA DEL TRAFICO POR LA RED. = = =//**NETSTAT** //=

//NETSTAT ES UNA HERRAMIENTA QUE SE UTILIZA PARA COMPROBAR LA CONFIGURACION Y LA ACTIVIDAD EN UNA RED DETERMINADA.// code format="SCREEN" #    Kernel IP routing table Destination  Gateway      Genmask         Flags  MSS Window  irtt Iface 127.0.0.1    *            255.255.255.255 UH       0 0          0 lo    172.16.1.0    *            255.255.255.0   U        0 0          0 eth0 172.16.2.0   172.16.1.1   255.255.255.0   UG       0 0          0 eth0 code ||

//NESTAT OFRECE UN GRAN NUMERO DE OPCIONES DIRIGIDAS A MOSTRAR LOS PUERTOS QUE ESTAN ACTIVOS O PASIVOS COMO:// //**-T

-U

-W

-X

MUESTRA CONEXIONES ACTIVAS A PUERTOS TCP,UDP,RAW O UNIX**  Llamar a **netstat -ta** produce esta salida: // Active Internet Connections Proto Recv-Q Send-Q Local Address Foreign Address (State) tcp 0 0 *:domain *:* LISTEN tcp 0 0 *:time *:* LISTEN tcp 0 0 *:smtp *:* LISTEN tcp 0 0 vlager:smtp vstout:1040 ESTABLISHED tcp 0 0 *:telnet *:* LISTEN tcp 0 0 localhost:1046 vbardolino:telnet ESTABLISHED tcp 0 0 *:chargen *:* LISTEN tcp 0 0 *:daytime *:* LISTEN tcp 0 0 *:discard *:* LISTEN tcp 0 0 *:echo *:* LISTEN tcp 0 0 *:shell *:* LISTEN tcp 0 0 *:login *:* LISTEN ||
 * < // $ ** netstat -ta **//

//**CONSULTA DE LAS ESTADISTICAS DE UNA INTERFAZ**//

PARA CONSULTAR LAS ESTADISITCAS PARA LAS INTERFACES DE RED CONFIGURADAS SE INGRESA LO SIGUIENTE:

code format="SCREEN" #    Kernel Interface table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR  TX-OK TX-ERR TX-DRP TX-OVR Flags lo     0   0   3185      0      0      0   3185      0      0      0 BLRU eth0 1500  0 972633     17     20    120 628711    217      0      0 BRU code ||


 * !!!!!!!!TENER EN CUENTA SEGURIDAD EN NESTAT!!!!!!!**

//AUNQUE LA HERRAMIENTA ES MUY UTIL ATRAVES DE LA VISUALIZACION DE LOS PUERTOS SE PUEDEN TRANSMITIR TROYANOS YA QUE ESTOS PUEDEN TENER UN ESTADO DE LISTENING O ESCUCHA, ES DECIR QUE DETRAS DE ESE PUERTO HAY UN PROCESO ESPERANDO QUE ALGUIEN HABLE CON EL, EN DISPOSCION DE ACEPTAR COMUNICACIONES.DE ESTA MANERA ES IMPORTANTE EL FIREWALL PARA LA PROTECCION DENUESTRO PC ANTE LA ESCUCHA DE ESTOS PUERTOS, YA QUE CORTA SU COMUNICACION Y LO BLOQUEA//



I**//NTERRUMPIR SERVICIOS DE RED EN LINUX//**

PARA INTERRUMPIR SERVICIOS DE RED ESTA EL PROTOCOLO **TCP-WRAPPER** CUYO DEMONIO ES EL TCPD QUE SE USA PARA FILTRAR EL ACCESO DE RED A SERVICIOS DE PROTOCOLOS DE INTERNET. PERMITE QUE LAS DIRECCIONES IP, LOS NOMBRES DE LOS TERMINALES Y/O RTAS DE CONSULTAS IDENT O PROTOCOLO DE IDENTIFICACION DE USARIO TCP DE CONEXION DE LAS TERMINALES O SUBREDES SEAN USADAS COMO TOKENS SOBRE LOS CUALES FILTRAR PARA PROPOSITO DE CONTROL DE ACCESO.

//**SYSLOG**// //SYSLOG ES UN ESTANDAR O NORMA ACEPTADA Y AMPLIAMENTE UTILIZADA POR INICIATIVA PROPIA DE UN GRAN NUMERO DE INTERESADOS QUE SE UTILIZA PARA EL ENVIO DE MENSAJES DE REGISTRO EN UNA RED INFORMATICA.

TENEMOS QUE POR MEDIO DE SYSLOG PODEMOS CONOCER EL PROTOCOLO DE RED Y TAMBIEN LA APLICACION O BIBLIOTECA QUE ENVIA **LOS MENSAJES DE REGISTRO.** UN MENSAJE DE REGISTRO SUELE TENER INFORMACION ACERCA DE LA SEGURIDAD DEL SISTEMA, DE IGUAL MODO PUEDE TENER CUALQUIER TIPO DE INFORMACION. CUANDO SE ENVIA UN MESAJE, SE INCLUYE TAMBIEN LA HORA Y LA FECHA DEL MOMENTO DEL ENVIO.//



//**USOS DEL SYSLOG** //

//PODEMOS REGISTRAR POR EJEMPLO://

 * 1) //INTENTOS DE ACCESO CON CONTRASEÑA ERRONEA//
 * 2) //ACCESOS CORRECTOS AL SISTEMA//
 * 3) //ANOMALIAS//
 * 4) //ALERTAS CUANDO SUCEDA ALGO RELEVANTE//
 * 5) //INFORMACION SOBRE LAS ACTIVIDADES DESARROLLADAS POR EL SISTEMA OPERATIVO//
 * 6) //ERRORES DEL HARDWARE Y DEL SOFTWARE.//

//PODEMOS REGISTRAR TAMBIEN EL FUNCIONAMIENTO NORMAL DE LOS PROGAMAS, POR EJEMPLO GUARDAD EL ACCESO QUE SE HACE A UN SERVIDOR.//

I//**MPORTANCIA DE SYSLOG**//

LOS REGISTROS DE SYSLOG TIENEN IMPORTANCIA YA QUE PERMITEN DETERMINAR A POSTERIORI Y A PRIORI QUE HA SUCEDIDO EN UN SISTEMA EN CASO DE MAL FUNCIONAMIENTO.EL MEJOR USO DE ESTA HERRAMIENTA SERIA EN LA DETECCION DE INTRUSIONES O MENSAJE ERRADOS.O CUALQUIER TIPO DE INFORMACION CULNERABLE A FALLAS EN EL SISTEMA O EN LA RED.

//**REGISTROS CRONOLOGICOS**//

SE UTILIZAN PARA ESCRIBIR CRONOLOGICAMENTE LA INFORMACION DE ACCIONES Y PREFERENCIAS DE VISITANTES DE UN SITIO WEB Y DE LA EFECIENCIA DE SUS REGLAS Y CAMPAÑAS.

**1.QUE ES UN ATAQUE EN LA RED?**

 * ======En algunas organizaciones la seguridad se maneja por medio de redes locales LAN, conexiones de internet WAN las cuales permiten el intercambio de informacion y el recursos de informacion compartida entre usuarios,por lo tanto el buen funcionamiento de la red es primordial para las organizaciones que utilizan este medio de seguridad.======

¿Cómo defenderse de estos Ataques?
Los ataques son realizados apartir de fallos y errores que se presentan por internet que hace posible el ingreso al sistema y seguir un monitoreo por parte de un intruso o espia permitiendole acceder a informacion importante para el usuario.

La solucion mas optima es tener conocimiento de todos los tipos de ataques que podemos ser victimas y de las posibles actualizaciones para controlar estos riesgos que se presentan en los sistemas operativos.

Las siguientes son medidas que podemos tomar tanto para la red como para el administrador:


 * 1) Mantener las máquinas actualizadas y seguras físicamente
 * 2) Mantener personal especializado en cuestiones de seguridad que puedan controlar y tomar medidas idoneas para mejorar su seguridad.
 * 3) cuidar su informacion asi no sea valiosa para un intruso siempre es utilizada para ser monitoriada de una forma invisible desde D.O.S.
 * 4) No permitir el tráfico "broadcast" desde fuera de nuestra red.
 * 5) Auditorias de seguridad y sistemas de detección.
 * 6) El usuario debe estar informado de las anormalias que presenta la red en cuestion de seguridad.
 * 7) capacitacion continua al usuario que enfreta el problema de ataques de inseguridad en la red

2.TIPOS DE ATAQUE EN LA RED

 * ATAQUES DE ESCANEO: Se realizan a traves de la recopilacion de informacion sobre algunas puertas de acceso en la red;se recopila informacion por puertos que se estan escuchando en la red para posteriormente acceder a los recursos a traves de ellos.
 * ATAQUES DE ESCANEO TCP: Este utiliza puertos virtuales para la realizacion de envio y recepcion de datos por la red adoptando la estrategia cliente-servidor, este escucha permanente por determinados puertos para recibir los datos que se van a enviar de un equipo a otro. Estos puertos pueden estar: escuchando listening (respuesta SYN/ACK) y cerrados closed (respuesta RST/ACK)

Algunos de los ataques producidos por TCP, son causados por el uso de los flags que el protocolo incorpora para la regulacion de la informacion.

Son bits de control para establecer, mantener y terminar una conexion, es por ello que estos pasan por desapercibidos.
 * Que es un flags?

para establecer la comunicacion se utilizan tres tipos de FLAGS:


 * SYN
 * ACK
 * FIN

Cuando un cliente desea enviar datos se realiza de la siguiente forma:
 * se debe establecer la conexion siguiendo un proceso inicial llamado el saludo de tres vias, este saludo es el que posibilita que ambos establezcan una conexion



CONTROL DE SEGURIDAD EN LA RED
los sistemas en la red son mas vulnerables que los sistemas autonomos,algunas conexiones de red aumentan la capacidad de conexion pero a su vez aumentan la vulnerabilidad en el riesgo de seguridad. Aunque no se puede controlar la seguridad a travez de la red, esta puede ser controlada a traves de los nodos para asi limitar el riesgo de intrusion y beneficiar al usuario.

cada uno de los programas de administracion de la red deben ser propiedad de una cuenta protegida en la red, por ejemplo:
 * uucp
 * nco
 * daemon
 * root

QUE ES UN DOMINIO ADMINISTRATIVO A TRAVES DE LA RED
Es un grupo de sistemas que estan conectados a traves de la red y permiten a los usuarios obtener acceso a los sistemas de otros usuarios sin que se tenga acceso a la contraseña, este da por hecho que los usuarios ya han verificado el equipo de host correspondiente.

PASOS PARA CONTROLAR UN DOMINIO CORRESPONDIENTE
Por ejemplo, si está trabajando en el sistema hq y desea comprobar la coherencia con el sistema mfg, y el sistema de archivos raíz de mfg se ha montado remotamente en hq como , escriba:
 * 1) Se debe exportar los nodos en el sistema de archivos en /etc/exports . esta direccion contiene las entradas que constan del nombre de la ruta del sistemas de archivos seguida de una lista de equipos o grupos de equipos de los cuales se pueden tener acceso a los sistemas de archivo.
 * 2) Se registran los nodos que tengan una base de datos de contraseñas equivalentes en /etc/hosts.equiv.
 * 3) Se debe controlar que el dominio administrativo del nodo, no amplia los privilegios a ningun nodo que no este incluido.
 * 4) Se debe controlar el acceso al root en cada uno de los nodos del dominio
 * 5) Se debe mantener la coherencia del nombre del usuario, el numero de identificacion del usuario (uid) y el grupo del usuario (gid).
 * 6) Se debe mantener la coherencia en cada uno de los archivos de grupos en cada uno de los dominios.

**diff /etc/group /nfs/mfg/etc/group**

Si obtiene alguna salida, los dos archivos no son coherentes.

CONFIGURACION DE LOS ARCHIVOS DE CONTROL DE RED
Los archivos de control de red no deben configurarse nunca con permiso de acceso de escritura para el público. Entre dichos archivos se hallan:


 * EXPORTS: lista de sistemas de archivos que se exportan a los clientes NFS
 * HOSTS: los sistemas de host de red y sus direcciones
 * HOSTS.EQUIV: los sitemas de hosts remotos con permisos de acceso equivalentes al sistema host local
 * INETD.CONF: archivos de configuracion de internet
 * NETGROUP: lista de grupos accesibles en la red
 * NETWORKS: nombre de red y sus direcciones
 * SERVICES: base de datos de nombres de servicios

SERVICIOS DE RED
Servicio de red ||~ Comprobación del acceso ||
 * **ftp** || Comprobación de contraseña. Consulte la página de manual de //ftp//(1)  . ||
 * **mount** || Entrada en . Consulte la página de manual de //mount//(1M)  . ||
 * **rcp** || Entrada en el archivo o . Consulte la página de manual de  //rcp//(1)  . ||
 * **remsh** || Entrada en el archivo o . Consulte la página de manual de  //remsh//(1)  . ||
 * **rlogin** || Comprobación de contraseña o entrada en el archivo o . Consulte la página de manual de  //rlogin//(1)  . ||
 * **telnet** || Comprobación de contraseña. Si el demonio **telnetd** habilita la opción TAC User ID, el comando **telnet** utiliza la entrada en el archivo o . Consulte las páginas de manual de  //telnet//(1)  y  //telnetd//(1M)  . ||

QUE EL NMAP
El nmap, es una herramienta open source diseñada para explorar y realizar auditorias de seguridad en la red, ademas de poder ser utlizada para fines delictivos, ya que esta herramienta pone al descubierto,puertos abiertos en las computadoras de una red, así como también es posible conocer como se encuentra organizada, y de cuantas computadoras consta una red.

**COMO MANEJAR UN NMAP**
La sintaxis básica de nmap es: code nmap [tipo de scan] [opciones] code Por ejemplo si tenemos un host en nuestra red, con dirección ip 192.168.0.1 y deseamos conocer que puertos tiene abiertos, ejecutamos: code code pantalla algo como esto: code Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ ) Interesting ports on localhost (192.168.0.1): (The 1545 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 25/tcp open smtp 111/tcp open sunrpc 6000/tcp open X11
 * 1) nmap 192.168.0.1
 * Nmap** nos mostrara en

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds code Este resultado puede variar, dependiendo de las opciones que se le pasen a nmap o de la cantidad de puertos, que se encuentren abiertos en el host, que esta siendo "scaneado". Si queremos, conocer que tipo de sistema operativo, esta corriendo el host al que le realizamos el scaneo, sólo basta agregar el parámetro -O a el comando nmap. code code nos mostrara un resultado como este: code Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ ) Interesting ports on localhost (192.168.0.1): (The 1545 ports scanned but not shown below are in state: closed)
 * 1) nmap -O 192.168.0.1

Port State Service 22/tcp open ssh 25/tcp open smtp 111/tcp open sunrpc 6000/tcp open X11

No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).

TCP/IP fingerprint: SInfo(V=2.54BETA30%P=i386-suse-linux%D=7/20%Time=3D39A479%O=22%C=1) TSeq(Class=RI%gcd=1%SI=1B445E%IPID=Z%TS=100HZ) TSeq(Class=RI%gcd=1%SI=2E12CD%IPID=Z) T1(Resp=Y%DF=Y%W=7FFF%ACK=S++%Flags=AS%Ops=MNNTNW) T1(Resp=Y%DF=Y%W=7FFF%ACK=O%Flags=AS%Ops=MNNTNW) T2(Resp=N) T3(Resp=Y%DF=Y%W=7FFF%ACK=S++%Flags=AS%Ops=MNNTNW) T3(Resp=Y%DF=Y%W=7FFF%ACK=O%Flags=AS%Ops=MNNTNW) T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E) Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds code Este es el resultado que mostró el comando, al realizar un scaneo a una pc con Linux, distribución SuSE Linux. Pero que significan esas cadenas de caracteres en la salida de nmap ? code TCP/IP fingerprint: SInfo(V=2.54BETA30%P=i386-suse-linux%D=7/20%Time=3D39A479%O=22%C=1) TSeq(Class=RI%gcd=1%SI=1B445E%IPID=Z%TS=100HZ) TSeq(Class=RI%gcd=1%SI=2E12CD%IPID=Z) T1(Resp=Y%DF=Y%W=7FFF%ACK=S++%Flags=AS%Ops=MNNTNW) T1(Resp=Y%DF=Y%W=7FFF%ACK=O%Flags=AS%Ops=MNNTNW) T2(Resp=N) ... code Pues, todo esto es la "huella" TCP/IP (TCP/IP fingerprint) que posee cada Sistema Operativo en particular. Nmap nos muestra esto cada vez que no logra identificar con exactitud que Sistema Operativo se esta corriendo en el Host destino. Y como hace nmap, para reconocer el sistema operativo, que se esta ejecutando en el host destino?. Básicamente, cada sistema operativo, responde diferente, cuando se le envían paquetes tcp específicos (en realidad no tan específicos, mas bien incoherentes) , así se logra determinar con una buena exactitud, que sistema operativo se esta ejecutando. Al ejecutar nmap, contra un host con sistema operativo [|Windows] XP, se produjo este resultado: code
 * 1) nmap -O 192.168.0.1

Starting nmap V. 2.54BETA30 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.0.2): (The 1544 ports scanned but not shown below are in state: closed) Port State Service 135/tcp open loc-srv 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open listen 5000/tcp open fics

Remote OS guesses: Windows Me or Windows 2000 RC1 through final release, Windows Millenium Edition v4.90.3000

Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds code Ahora bien si realmente es necesario conocer que sistema operativo se esta corriendo en el host remoto, es mejor utilizar otra herramienta, junto con nmap, como por ejemplo : **QueSO**. operativo remoto, **QueSO**, realiza una mejor verificación de Sistema Operativo.
 * QueSO**, es un detector de sistema

OPCIONES QUE POSEE EL NMAP
Supongamos, que tenemos una red, 192.168.0.x, y deseamos conocer que hosts se encuentran activos, fácilmente, lo podemos saber con nmap, esto lo podemos conocer al realizar un ping scan. code code Con este tipo de scan, se pretende no ser detectado por software de detección de scaneos, se envían paquetes a los hosts con ciertos "flags" TCP activados o desactivados para evitar ser detectados. sN: Stealth, Null Scan, este tipo de scan pone en off todos los flags. sF: Stealth FIN Scan, este tipo de scan usa paquetes con el flag FIN activado para las pruebas. sX: Stealth Xmas Tree Scan, este tipo de scan envía paquetes con los flag FIN, URG, y PUSH activados. sp: Ping Scan, realiza un scan dentro de un rango especifico de hosts. Útil para conocer que hosts se encuentran en linea sin ser detectados. Si deseamos hacer un stealth scan del tipo Xmas Tree, y ademas deseamos conocer que sistema operativo esta corriendo el host de destino, ejecutamos: Despistalo con un Decoy Scan: -D: Esta opción se utiliza para tratar de engañar al host, al cual se esta "scaneando", que los scans se están generando desde otros hosts, que se especifican en la opción -D. En el siguiente ejemplo, realizamos un Stealth Xmas Tree scan (-sX) hacia el host 192.168.0.1, en los puertos 25(SMTP), 53(DNS), le indicamos a nmap que no genere pings hacia el host, y tratamos de engañar al host (-D, Decoy), haciéndole creer que los scans se están generando desde los hosts 1.2.3.4 y 5.6.7.8. code 192.168.0.1 code Nmap permite guardar los resultados de un scan, en varios tipos de formato de archivo: Normal, XML, Grepable, All, y en formato "S" (s|<ipT kiDd|3 f0rM iNto THe fiL3 U sPecfy 4s an arGuMEnT!, o mejor conocido como formato Script Kiddie!). Si deseamos hacer un stealth scan del tipo Xmas Tree, también deseamos conocer que sistema operativo esta corriendo el host de destino, y además deseamos guardar el resultado de este scan en un archivo llamado "scanresult.txt", ejecutamos: code
 * Identificar los host activos en la red
 * 1) nmap -sP 192.168.0.1-255
 * Stealth scans
 * 1) nmap -sX -O 192.168.1.2
 * 1) nmap -p 25,53 -sX -P0 -D 1.2.3.4,5.6.7.8
 * guardar los scans
 * 1) nmap -sX -O 192.168.1.2 -oN scanresult.txt

code Ahora si lo que deseamos es realizar el scan anterior pero dentro de un rango de hosts específicos, digamos del host 192.168.1.1 hasta la ip 192.168.1.255, y deseamos guardar el resultado del scan en un archivo de texto normal entonces ejecutamos: code code
 * 1) nmap -sX -O 192.168.1.1-255 -oN scanresult.txt

QUE ES UN SNORT
El snort es un sistema de detencion de intrusos basados en la red (nids), este implementa una detencion de ataques y eliminacion de puertos; permite registrar,alertar y responder ante cualquier anamalia en la red.

Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.

una de las caracteristicas mas uilizadas hoy en dia ha sido FlexResp. la cual nos permite emitir el trafico malicioso segun la conexion en la red y darla de baja.hacerle un DROP mediante el envío de un paquete con el flag RST activa, con lo cual cumpliría funciones de firewall.

EJEMPLO DE LA UTILIZACION DE SNORT
code C:\Snort20\bin>snort -*> Snort! <*- Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72) By Martin Roesch (roesch@sourcefire.com, www.snort.org) 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike) 1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com) USAGE: snort [-options] snort /SERVICE /INSTALL [-options] snort /SERVICE /UNINSTALL snort /SERVICE /SHOW Options: -A Set alert mode: fast, full, console, or none (alert file alerts only) -b Log packets in tcpdump format (much faster!) -c Use Rules File -C Print out payloads with character data only (no hex) -d Dump the Application Layer -e Display the second layer header info -E Log alert messages to NT Eventlog. (Win32 only) -f Turn off fflush calls after binary log writes -F Read BPF filters from file -h  Home network =  -i  Listen on interface  -I Add Interface name to alert output -k Checksum mode (all,noip,notcp,noudp,noicmp,none) -l  Log to directory  -L Log to this tcpdump file -n Exit after receiving packets -N Turn off logging (alerts still work) -o Change the rule testing order to Pass|Alert|Log -O Obfuscate the logged IP addresses -p Disable promiscuous mode sniffing -P Set explicit snaplen of packet (default: 1514) -q Quiet. Don't show banner and status report -r  Read and process tcpdump file <tf> -R <id> Include 'id' in snort_intf<id>.pid file name -s Log alert messages to syslog -S Set rules file variable n equal to value v -T Test and report on the current Snort configuration -U Use UTC for timestamps -v Be verbose -V Show version number -W Lists available interfaces. (Win32 only) -w Dump 802.11 management and control frames -X Dump the raw packet data starting at the link layer -y Include year in timestamp in the alert and log files -z Set assurance mode, match on established sesions (for TCP) -? Show this information <Filter Options> are standard BPF options, as seen in TCPDump

Uh, you need to tell me to do something...


 * No such file or directory

code

SNORT EN MODO SNIFFER Y REGISTRO DE PAQUETES
code C:\Snort20\bin>snort -v Running in packet dump mode Log directory = log

Initializing Network Interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}

--== Initializing Snort ==-- Initializing Output Plugins! Decoding Ethernet on interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF} --== Initialization Complete ==--

-*> Snort! <*-

Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72) By Martin Roesch (roesch@sourcefire.com, www.snort.org) 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike) 1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com) 05/21-11:00:28.593943 ARP who-has 192.168.2.92 tell 192.168.2.60

05/21-11:00:28.594419 ARP who-has 192.168.2.8 tell 192.168.2.60

05/21-11:00:28.594544 ARP who-has 192.168.2.93 tell 192.168.2.60

05/21-11:00:30.467265 192.168.2.5:1025 -> 192.168.2.1:139 TCP TTL:128 TOS:0x0 ID:16685 IpLen:20 DgmLen:104 DF =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
 * AP*** Seq: 0x6B703 Ack: 0x2266A0C Win: 0x2238 TcpLen: 20

05/21-11:00:30.467731 192.168.2.1:139 -> 192.168.2.5:1025 TCP TTL:128 TOS:0x0 ID:47513 IpLen:20 DgmLen:1500 DF code

=//**<span style="color: rgb(0, 128, 128);">NMAP **//=

ES UNA HERRAMIENTA DE SOFTWARE LIBRE Y CODIGO ABIERTO UTLIZADA PARA LA EXPLORACION EN RED.HACE TAREAS COMO INVENTARIO DE RED, GESTION DE HORARIOS DE SERVICIO DE ACTUALIZACION. ESTA HERRAMIENTA USA LOS PAQUETES IP EN BRUTO EN NUEVOS METODOS PARA DETERMINAR QUE HOST SE ENCUENTRAN EN LA RED, SERVICIOS, SISTEMAS OPERATIVOS QUE SE ESTAN EJECUTANDO, QUE TIPO DE PAQUETES FILTROS/FIREWALLS ESTAN EN USO.





=<span style="color: rgb(0, 128, 128);">//**SNORT**// =

ES UN SISTEMA DE DETECCION DE INTRUSSIONES EN RED.IMPLEMENTA UN MOTOR DE DETECCION DE ATAQUES Y BARRIDOS DE PUERTOS QUE PERMITE REGISTRAR ANTE CUALQUIER ANOMALIA.ESTA DISPONIBLE BAJO LICENCIA GPL Y ES DE SOFTWARE LIBRE.TIENE PATRONES DEFINIDOS Y ACTUALIZACIONES CONSTANTES ANTE ATAQUES, BARRIDOS O VULNERABILIDADES QUE HAYAN SIDO DETECTADAS EN UN BOLETIN DE SEGURIDAD.

PUEDE FUNCIONAR COMO SNNIFER A TRAVES DE CONSOLA PARA VER LO QUE OCURRE EN TIEMPO REAL EN NUESTRA RED,Y PERMITE VISUALIZAR EL REGISTRO DE PAQUETES.

code C:\Snort20\bin>snort -*> Snort! <*- Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72) By Martin Roesch (roesch@sourcefire.com, www.snort.org) 1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike) 1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com) USAGE: snort [-options] snort /SERVICE /INSTALL [-options] snort /SERVICE /UNINSTALL snort /SERVICE /SHOW Options: -A Set alert mode: fast, full, console, or none (alert file alerts only) -b Log packets in tcpdump format (much faster!) -c Use Rules File -C Print out payloads with character data only (no hex) -d Dump the Application Layer -e Display the second layer header info -E Log alert messages to NT Eventlog. (Win32 only) -f Turn off fflush calls after binary log writes -F Read BPF filters from file -h <hn> Home network = <hn> -i <if> Listen on interface <if> -I Add Interface name to alert output -k Checksum mode (all,noip,notcp,noudp,noicmp,none) -l <ld> Log to directory <ld> -L Log to this tcpdump file -n Exit after receiving packets -N Turn off logging (alerts still work) -o Change the rule testing order to Pass|Alert|Log -O Obfuscate the logged IP addresses -p Disable promiscuous mode sniffing -P Set explicit snaplen of packet (default: 1514) -q Quiet. Don't show banner and status report -r <tf> Read and process tcpdump file <tf> -R <id> Include 'id' in snort_intf<id>.pid file name -s Log alert messages to syslog -S Set rules file variable n equal to value v -T Test and report on the current Snort configuration -U Use UTC for timestamps -v Be verbose -V Show version number -W Lists available interfaces. (Win32 only) -w Dump 802.11 management and control frames -X Dump the raw packet data starting at the link layer -y Include year in timestamp in the alert and log files -z Set assurance mode, match on established sesions (for TCP) -? Show this information <Filter Options> are standard BPF options, as seen in TCPDump

Uh, you need to tell me to do something...


 * No such file or directory

code

=//**<span style="color: rgb(0, 128, 128);">NESSUS **//=

CUANDO NOS REFERIMOS A NESSUS HABLAMOS DE UN PROGRAMA QUE ESCANEA VULNERABILIDADES EN LINUX Y EN OTROS SISTEMAS OPERATIVOS.



FUE CONSTRUIDO CON ARQUITECTURA **CLIENTE - SERVIDOR**, Y POR LO GENERAL ES UTILILIZADO PARA LA REALIZACION DE AUDITORIAS DE SEGURIDAD EN UNA RED.


 * SERVIDOR NESSUSD** ESTA PARTE SE ENCARGA DE LOS ATAQUES, ES UNA HERRAMIENTA DE COMANDOS QUE SE EJECUTA ES LA MAQUINA QUE REALIZA EL ESCANEO.
 * CLIENTE NESSUS** HABLAMOS DE QUE ES UNA APLICACION GRAFICA QUE SE CONECTA A **NESSUSD** POR EL PUERTO 1241 (TCP). NOS PERMITE GESTIONAR ATAQUES REMOTAMENTE Y GENERAR LOS INFORMES RESPECTIVOS EN FORMATO HTML.



TCPDUMP

ES UN PROGRAMA QUE A TRAVES DE COMANDOS PERMITE ANALIZAR EL TRAFICO QUE CIRCULA EN LA RED.PERMITE AL USUARIO CAPTURAR Y MOSTRAR EL TIEMPO REAL DE LOS PAQUETES TRASMITIDOS Y RECIBIDOS EN LA RED.HACE USO DE LA BIBLIOTECA LIBCAP PARA LA CAPTURA DE PAQUETES.SE PUEDEN VISUALIZAR LOGINS,PASWORD, URLS Y CONTENIDOS QUE ESTAN SIENDO VISTOS AL MOMENTO DE EJECUTARSE TCPDUMP.


 * BIBLIOGRAFIA**


 * http://nmap.org/
 * Http://es.tldp.org/Manuales-LuCAS/GARL2/garl2/x-087-2-iface.netstat.html//
 * http://www.syslog.org/
 * http://www.estrellateyarde.es/so/nessus-en-linux
 * www.arrakis.es/~terron/**tcpdump**.html - 29k
 * **inux**.about.com/od/commands/l/blcmdl8_**netstat**.htm
 * http://www.iec.csic.es/CRIPTonOMICon/linux/inetd.html
 * http://www.uam.es/servicios/ti/servicios/ss/rec/linuxsec.html
 * http://iie.fing.edu.uy/ense/asign/admunix/logs.ht
 * http://www.koweek.org/forum/index.php?topic=112.0;prev_next=prev