|
Resumen.
En la primera parte del este articulo [1], se detallo lo que es el OSSTMM,
cuya traducción al español es: Manual de la Metodología Abierta de Testeo de
Seguridad, así también se expusieron algunos conceptos básicos de Seguridad
informática. En esta segunda parte, se detallaran las tareas de los módulos
de la tercera sección del OSSTMM. correspondiente a "Seguridad
en las Tecnologías de Internet", esto, aunado a ejemplos prácticos con algunas,
de las muchas herramientas que pueden emplearse para la realización de dichas
tareas.
Sin mas preámbulos, se inicia esta segunda y ultima parte.
Live-CDs orientados a las Seguridad:
En la actualidad, con el auge del Software Libre, de Sistemas Operativos
GNU/Linux, de S.O's de familias *BSD respetables , códigos fuente de libre
acceso, y todo lo que engloba este magnifico mundo paralelo de la "libre
elección", el crecimiento de los Live-CDs, ha sido beneficioso y ha contribuido a
difundir esta filosofía.
La definición más simple de un Live-CD es el siguiente; un Sistema Operativo
Completo, que puede 'ejecutarse' desde un CDROM. Hay Live-CDs para todos los
gustos, el Perú también tiene un live-CD [3]; pero para nuestros propósitos; nos
orientaremos a los orientados a la Seguridad, tres live-CDs que recomiendo son:
PHLAK[4], Knoppix-STD[5] y SASL[6]. Aunque los remito al ítem [7] de la sección
referencia para un listado muy completo de live-CDs.
¿Porque Usar un Live-CD?
Primero me expresare, sobre las razones para usar un Live-CD.
- Te gusta tu windows, y no quieres perder tus 120Gb de música y videos,
porque te dijeron que puedes perder tu información si instalas Linux. [Razón demasiada
sarcástica]. (backup!)
Ya tienes bastantes Distribuciones GNU/Linux, y *BSD y hasta un solaris instaladas
en todas las particiones 'imaginables' de tus Discos Duros, y deseas seguir "testeando"
Distribuciones.
Eres poco frecuente asistiendo a cabinas publicas, pero uno nunca sabe
cuando necesitara una, y tienes dos dedos de frente como para saber que hay
muchos 'amigos' que desearían saber la clave de tu invaluable cuenta de
mail-hot, y de mas esta decir, que muchas cabinas publicas esta llenas de
programas indeseables.
Necesitas hacer una Demostración 'live' del Potencial de GNU/Linux, y que mejor que
demostrarlo que solo arrancando desde un CDROM, y configurando los pequeños
detalles a punta de teclado y algunos 'clicks'. [Una razón excelente]
Ahora, porque usar un Live-CD orientado a la Seguridad:
Si te enfrentas ante un medio inseguro, es la mejor manera de evitarte
complicaciones. [Razón genérica]
Para la realización de un 'Análisis forense', dado que los datos residente
en el CDROM [Read Only, not Read/Write], no pueden ser modificados, y dispones de
una muy fiable manera de realizar un análisis de este tipo con la seguridad
requerida.
Si, no es nuestro propósito estar resolviendo dependencias durante la fase
de instalación o enfrentándonos a problemas de funcionamiento inadecuado,
durante la configuración de algunas herramientas de 'Seguridad', y tan solo
deseamos tener un entorno adecuado para iniciarnos en el tema de la Seguridad.
Se dispone de un muy completo conjunto de herramientas 'orientadas' a la
seguridad informática, en un solo medio. Este punto, no es de unánime
aceptación, dado que todos tenemos o sentimos inclinación por diversas
herramientas, que pueden no haber sido tomados en consideración por los
creadores del live-cd en cuestión.
Ahora aunemos nuestra base del OSSTMM, con algunas de las herramientas que sé
pueden hallar en algún Live-CD. Debo acotar que no se detallan todas las
herramientas existentes; por razones tácitas; por ejemplo PHLAK cuenta con mas
de 100 herramientas, casi la totalidad para GNU/Linux; de igual manera no sé
desarrollan todas las tareas indicadas por los módulos; los remito al documento
de la OSSTMM para un detalle completo de las tareas que se tienen que realizar
en cada uno de los módulos presentados a continuación.
El mecanismo para lo que resta del presente articulo será el siguiente; sé
presenta un breve concepto del modulo, se eligen par de tareas y la(s)
herramienta(s) que podemos utilizar para realizarla de manera adecuada. Como lo
mencione antes, en el aspecto de las 'herramientas' a utilizar se aceptan
discrepancias. Y las correcciones son bienvenidas.
Seguridad en las Tecnologías de Internet
1. Logística y Controles
El propósito de este módulo es reducir los falsos positivos y negativos
realizando los ajustes necesarios en las herramientas de análisis.
* 2. Examinar la ruta a la red objetivo en busca de paquetes UDP perdidos
hping2: es una herramienta de redes que capaz de enviar paquetes TCP/IP y
mostrar las respuestas del objetivo, como el programa 'ping' hace con respuestas ICMP.
hping2 -c 2 --udp -j 200.60.208.***
HPING 200.60.208.*** (eth0 200.60.208.***): udp mode set, 28 headers + 0 data bytes
ICMP Port Unreachable from ip=200.60.208.155 name=client-200.60.***.***.speedy.net.pe
4500 0038 3dd5 0000 8001 cb3e c83c d09b
c83c d09c 0303 2ec8 0000 0000 4500 001c
4360 0000 4011 05c0 c83c d09c c83c d09b
0a14 0000 0008 c418
ICMP Port Unreachable from ip=200.60.208.155 name=client-200.60.208.***.speedy.net.pe
4500 0038 3dd8 0000 8001 cb3b c83c d09b
c83c d09c 0303 2ec8 0000 0000 4500 001c
7aea 0000 4011 ce35 c83c d09c c83c d09b
0a15 0000 0008 c417
--- 200.60.***.*** hping statistic ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms
|
2. Sondeo de Red
El sondeo de red sirve como introducción a los sistemas a ser analizados. Sé
podría definir mejor como una combinación de recolección de datos, obtención de
información y política de control.
* 3. Consultar los servidores de nombres primario, secundario, ISP en busca de
hosts y subdominios.
dlint: Permite escanear recursivamente a través de registro de dominio de una
zona "fully-qualify" [Prefiero dejarlo sin traducción], para obtener un reporte
de algún error en ello.
:~# dlint unitru.edu.pe
;; dlint version 1.4.0, Copyright (C) 1998 Paul A. Balyoz
;; Dlint comes with ABSOLUTELY NO WARRANTY.
;; This is free software, and you are welcome to redistribute it
;; under certain conditions. Type 'man dlint' for details.
;; command line: /usr/bin/dlint unitru.edu.pe
;; flags: normal-domain recursive.
;; using dig version 9.2.4
;; run starting: vie ene 14 10:34:38 PET 2005
;; ============================================================
;; Now linting unitru.edu.pe
WARNING: only 1 nameserver found for zone unitru.edu.pe
Every zone should have 2 or more nameservers at all times.
;; Now caching whole zone (this could take a minute)
;; trying nameserver dns.unitru.edu.pe.
;; 48 A records found.
ERROR: aries.unitru.edu.pe. has an A record of 200.60.44.6, but no reverse PTR record for
6.44.60.200.in-addr.arpa. can be found on nameserver dns.unitru.edu.pe.
The following resource record should be added:
6.44.60.200.in-addr.arpa. IN PTR aries.unitru.edu.pe.
ERROR: bib.unitru.edu.pe. has an A record of 200.60.44.27, but no reverse PTR
record for 27.44.60.200.in-addr.arpa. can be found on nameserver
dns.unitru.edu.pe
...[cut] ..
The following resource record should be added:
29.44.60.200.in-addr.arpa. IN PTR www.soc.unitru.edu.pe.
ERROR: www.unitru.edu.pe. has an A record of 200.60.44.6, but no reverse PTR record for
6.44.60.200.in-addr.arpa. can be found on nameserver dns.unitru.edu.pe.
The following resource record should be added:
6.44.60.200.in-addr.arpa. IN PTR www.unitru.edu.pe.
;; no subzones found below unitru.edu.pe., so no recursion will take place.
;; ============================================================
;; dlint of unitru.edu.pe. run ending with errors.
;; run ending: vie ene 14 10:34:44 PET 2005
;; ============================================================
;; dlint of unitru.edu.pe run ending with errors.
;; run ending: vie ene 14 10:34:45 PET 2005
|
3. Identificación de los Servicios de Sistemas
En este módulo se deben enumerar los servicios de Internet activos
o accesibles así como traspasar el cortafuegos con el objetivo de encontrar más
máquinas activas.
* 5 Usar escaneos SYB TCP (Half-Open) para enumerar puertos abiertos, cerrados,
filtrados para aquellos puertos TCP utilizados por defecto en el test, en todos
los servidores de Red.
nmap: Esta diseñado para permitir a los administradores de sistemas e
individuos curiosos para escanear grandes redes para y determinar cuales 'host'
están 'up' [levantados] y que servicios ofrecen.
:~# nmap -sS -p 21,22,25,80,443 -vv 200.60.***.4
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-01-14 10:57 PET
Initiating SYN Stealth Scan against ********.com.pe (200.60.***.4) [5 ports] at 10:57
Discovered open port 80/tcp on 200.60.***.4
Discovered open port 25/tcp on 200.60.***.4
The SYN Stealth Scan took 0.04s to scan 5 total ports.
Host pronegocios.com.pe (200.60.***.4) appears to be up ... good.
Interesting ports on pronegocios.com.pe (200.60.***.4):
PORT STATE SERVICE
21/tcp closed ftp
22/tcp closed ssh
25/tcp open smtp
80/tcp open http
443/tcp closed https
Nmap run completed -- 1 IP address (1 host up) scanned in 0.266 seconds
|
4. Búsqueda de Información Competitiva
La Búsqueda de IC es la búsqueda de información útil a partir de la presencia
que se tiene en Internet y que puede ser tratada como información sobre él
negocio.
* 1 Realizar un mapa y medir la estructura de directorio de los servidores web.
Un explorador, lynx [D] o firefox [E], por ejemplo.
www.servi*****peru.com
[directorio raíz]
/
|-- animaciones/
|-- contenidos/
|-- imagenes/
|-- icons/
|-- images/
|-- servi******/
|-- _notes/
|-- imagenes/
|
Wed, 22 Oct 2003 23:17:54 GMT Server: Ipswitch-IMail/6.00 Last-Modified: Wed, 22 Oct
2003 23:17:54 GMT Expires: Wed, 22 Oct 2003 23:20:54 GMT Content-Type: text/html;
+Content-Type: text/html;"mnuflotas.htm" Content-Transfer-Encoding:
quoted-printable
Content-Disposition: attachment; filename="mnuflotas.htm" Location:
/X835d99cb9e99c99c929362c0cc30/attach/Main/7/1/1066864376/html
Content-Name: t-Type:
text/html http://www.w3.org/TR/html4/frameset.dtd >
|
5. Revisión de Privacidad
La revisión de privacidad se centra en como se gestiona, desde un punto de vista
ético y legal, el almacenamiento, transmisión y control de datos de información
privada perteneciente a empleados y clientes.
*4 Identificar los formularios web.
Un entidad del estado.
http://*****.gob.pe/sqs/sqsS21Alias
http://*****.gob.pe/sqs/sqsS31Alias
http://*****.gob.pe/buscador/index.html
http://*****.gob.pe/cr/jcrS00Alias
http://*****.gob.pe/ccp/ccS01Alias -> http://*****.gob.pe/PaginaError503.html
http://*****.gob.pe/pdj/pdjS00Alias
etc.. etc...
Por ejemplo:
< FORM action="crS01Alias" method="post" name="selectForm1"
onSubmit="return checkRucSubmit(document.selectForm1.ruc)">
< FORM action="crS02Alias" method="post" name="selectForm2">
etc etc.
|
6. Obtención de Documentos los datos recolectados
Este módulo es importante para la verificación de gran cantidad de la
información probada y pertenece a muchos de los niveles de lo que se considera
seguridad de la información.
*2 Investigar personas claves vía paginas personales, resúmenes publicados, afiliaciones organizacional, información de directorios, datos de compañías, y el registro electoral.
Para una dominio Peruana, dirigirse nic*pe [asterisco intencional]. No voy a
colocar los datos, pero es un buen punto de inicio para obtener los nombres y
correo de las personas de una organización.
http://nic*pe/registros-existentes.htm
Contacto Administrativo - Email del CA - Contacto Técnico
Email del CT - Contacto de Cobranza - Email del CC
Con esta información se puede intentar hallar información en algún buscador,
alguna web como la sunat, reniec, infocorp, etc ;) Son solo algunas ideas. Eso
es relativamente fácil de realizar.
|
7. Búsqueda y Verificación de Vulnerabilidades
La finalidad de este módulo es la identificación, comprensión y verificación de
debilidades, errores de configuración y vulnerabilidades en un servidor o en una
red.
*5 Intentar determinar el tipo de aplicación y servicio por vulnerabilidad.
Para el servidor web, podemos utilizar nikto [F], como bien lo expresa la metodologia, se debe realziar con redundancia.
nikto -verbose -host 200.6*.2*9.* -allcgi -cookies -output nikto_200
+ Got Cookie on file '/' - value 'SQMSESSID=31c8b8c057f8c78475c37417f20717e9; path=/'
+ Got Cookie on file '/' - value 'SQMSESSID=8928a0d483235e497ad5277ead018b0a; path=/'
+ Over 30 "OK" messages, this may be a by-product of the
+ server answering all requests with a "200 OK" message. You should
+ manually verify your results.
+ 2448 ítems checked - 33 ítem(s) found on remote host(s)
+ End Time: Sat Feb 5 **:*6:5* 2005 (566 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested
|
8. Testeo de Aplicaciones de Internet
En este módulo, nos referimos a aplicaciones cliente/servidor que sean
desarrolladas por los administradores de sistema con propósitos de la empresa y
programadas con cualquier tecnología y lenguaje de programación.
-> Una web de un gob.pe
http://***.***.pe/T******/**tipocambio.***
Oracle Automation error '800a01b8'
OIP-04148: Unable to obtain a free database object from the pool
/T******/tipodecambio.***, line 47
Se intuye que la base de Datos es un Oracle? ;) [sarcasmo]
|
9. Enrutamiento.
Este módulo está diseñado para asegurar que solo aquello que debe ser
expresamente permitido, puede puede ser aceptado en la red; todo lo demás debe
ser denegado.
*2 Verificar si el router está dando servicio de traducción de direcciones de red (NAT).
Un router colocado por telefónica, la clave? simple.
Extraído de la pagina de Zyxel [9] - Es el mecanismo que permite a varios usuarios compartir una conexión a Internet mediante una única IP equivalente a SUA.
Password: ****
Copyright (c) 1994 - 2001 ZyXEL Communications Corp.
Prestige 643 Main Menu
Menu 15 - SUA Server Setup
Port # IP Address
------ ---------------
1.Default 0.0.0.0
2. 80 192.168.1.47
3. 25 192.168.1.47
4. 110 192.168.1.47
5. 0 0.0.0.0
6. 0 0.0.0.0
7. 0 0.0.0.0
8. 0 0.0.0.0
|
10. Testeo de Sistemas Confiados
El propósito de los testeos de sistemas confiados es afectar la presencia en
Internet planteándose como una entidad confiada en la red. El escenario de testeo es a veces más teoría que práctica, y en realidad más que
oscurecer la frontera entre un Test de Vulnerabilidad y un Testeo de Cortafuefos / ACLS, es dicha frontera.
11. Testeo de Control de Acceso
Este módulo está diseñado para asegurar que solo lo que debe estar expresamente
permitido puede ser aceptado dentro de la red, todo lo demás debe ser
denegado.
*4 Testear la ACL del cortafuego en contra de las políticas de seguridad y en contra de la regla "Denegar Todo".
Siguiendo con el router anterior, el router no tiene políticas de filtrado, con lo cual, el siguiente paso podría ser intentar ir mas allá, mediante un hping o firewalk[G], e intentar llegar al ip de la intrantet que actua como firewall.
Menu 21 - Filter Set Configuration
Filter Filter
Set # Comments Set # Comments
------ ----------------- ------ -----------------
1 _______________ 7 _______________
|
Los siguientes ítems, exceptuando el punto 14 son mas entornos conceptuales, pero obvio con un mayor grado de análisis, que escapa al objetivo.
12. Testeo de Sistemas de Detección de Intrusos
Este test está enfocado al rendimiento y susceptibilidad de un IDS. La mayor
parte de este test no puede ser llevada a cabo adecuadamente sin acceder a los
registros del IDS. Algunos de estos tests están relacionados
con ataques de ancho de banda, saltos distantes, y latencia que afectan al resultado de estos tests.
13. Testeo de Medidas de Contingencia
Las medidas de contingencia dictan el manejo de lo atravesable, programas
maliciosos y emergencias.
14. Descifrado de Contraseña
Este módulo no debe ser confundido con el de recuperación de contraseñas vía
escucha de texto por canales libres, es más sencillo de entender que un
trastorno del sistema de seguridad, pero solo que tiene mecanismos de
autenticación sin cifrar, nada de debilidades en contraseñas.
*1 Obtener el fichero de contraseñas desde el sistema que guarda nombres de usuario y contraseña
.Para sistemas Unix que tienen que realizar autenticaciones SMB, puede encontrar las contraseñas
de NT en /etc/smbpasswd.
Para este propósito podemos usar hydra [H], un ejemplo al servicio telnet.
# ./hydra -l admin -P dict 200.**.2**.*** telnet
Hydra v4.6 (c) 2005 by van Hauser / THC - use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2005-02-0* **:*8:22
[DATA] * tasks, * servers, * login tries (l:*/p:793847), ~* tries per task
[DATA] attacking service telnet on port 23
[STATUS] attack finished for 200.***.****..** (waiting for childs to finish)
hydra permite obtener también contraseñas Samba, lo que nos resuelve el ítem 1.
|
15. Testeo de Denegación de Servicios
Es muy importante que los tests de DoS reciban ayuda adicional de la organización
y sea monitorizada a nivel privado. Inundación y ataques DoS Distribuidos (DDoS)
están específicamente no comprobados y prohibidos por este manual.
16. Evaluación de Políticas de Seguridad
La política de seguridad resaltada aquí es el documento escrito legible que
contiene las políticas que delinean la reducción de riesgos en una organización
con la utilización de tipos específicos de tecnologías.
Nota Final:
Soy consiente de los muchos temas y puntos, en su mayoría que no han sido tocados, digamos que lo expuesto aquí, es tal vez el 1% de lo que un testers o grupo de testers, tiene que realizar, y pueden percibir la magnitud del trabajo a realizar. Solo me resta agradecer a todos los que lean este texto, que motivan de manera grupal e individual a seguir compartiendo y exponiendo nuestros lo que somos.
Conclusiones:
Finalizo ésta segunda parte, con lo expresado por un buen amigo mío, integrante de la OSSTMM:
[Las técnicas descritas en la OSSTMM no son por si solas nada
especial, pero el conjunto de ellas hace de esta metodología algo especial, por
otra parte es una de las pocas metodológicas que menciona, aspectos tales, como
"las formas" en las que debe ser comercializado un "test", y demás.]
Angel Protector. [10]
"Otro Febrero 14...."
Referencias:
[1] Seguridad en las Tecnologías de Internet (Parte 1/2) - http://www.informatizate.net
[2] ISECOM - http://www.isecom.org
[3] Condorux - http://www.apesol.org.pe/condorux/
[4] PHLAK - http://www.phlak.org
[5] Knoppix-STD - http://www.knoppix-std.org/
[6] L.A.S.L. - http://www.localareasecurity.com/
[7] List of Live-CDs - http://www.frozentech.com/content/livecd.php
[8] Top 75 Security Tools - http://www.insecure.org/tools.html
[9] ZyXEL - http://www.zyxel.com/
[10] http://www.hernanracciatti.com.ar/
[A] hping2 - http://www.hping.org
[B] dlint - http://freshmeat.net/projects/dlint/
[C] nmap - http://www.insecure.org/nmap/
[D] lynx - http://lynx.browser.org/
[E] firefox - www.mozilla.org/products/firefox/
[F] nikto - http://www.cirt.net/code/nikto.shtml
[G] firewalk - http://www.packetfactory.net/projects/firewalk/
[H] hydra - http://www.thc.org/thc-hydra
|
Copyright © 2002-2005 Grupo
Informatizate. Reservados todos los derechos.
Prohibida la reproducción total o parcial en cualquier
formato sin previa autorización.
On-line desde el 27 de Noviembre del 2002
|
|
