Nociones de seguridad informática

ATENCIÓN !!!

En estas páginas serán tratados argumentos de contenido técnico sobre temas de seguridad informática y los artículos tienen que ser considerados a objetivo educativo, el acceso abusivo a un sistema informático o telemático es un crimen!

Contenidos:

Crear redes virtuales con OpenVPN

Por variados motivos hoy las empresas son obligadas a proveer el acceso a sus mismos servidores y a los recursos de la red empresarial a usuarios externos que pueden ser los 'roadwarrior' usuarios móviles como por ejemplo vendedores, a despachos destacados hasta a los teletrabajadores.

Cada vez más a causa de la impericia de administradores de sistemas que se limitan en abrir las puertas del router nos encontramos frente a situaciones desastrosas!

Ya no se cuentan más los Windows Server publicados directamente en internet!
... tener acceso a este sistema, explotando una conexión de escritorio remoto, y por consiguiente aceder a todos los recursos de la red. es más simple de lo que se pueda pensar!

Queréis dormir sueños tranquilos? utilizáis OpenVPN!

OpenVPN es una solución de conectividad basada en software: SSL (Secure Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece conectividad punto-a-punto con validación jerárquica de usuarios y host conectados remotamente, resulta una muy buena opción en tecnologías Wi-Fi (redes inalámbricas EEI 802.11) y soporta una amplia configuración, entre ellas balanceo de cargas entre otras. Está publicado bajo la licencia GPL, de software libre.

Situación típica:

Una sede central tiene que proveer acceso a una o más sedes destacadas, y a lo mejor también a algunos usuarios móviles (vendedores).

Solución

En este caso en la sede central, iremos a instalar una máquina linux con OpenVPN [servidor]. En las sedes perifáricas en cambio, por comodidad y porque a menudo se encuentran en condiciónes extremas, iremos a instalar un router linksys + firmware dd-wrt/openwrt que suplirá de cliente OpenVPN por todos los ordenadores de la red de la sede periférica.

Por los roadwarriors, osea los usuarios móviles, se instalará directamente un cliente OpenVPN sobre el portatil.

De este modo todos los usuarios de la red privada virtual podrán tener acceso a los recursos de la red de la sede central y también de las otras sedes separadas, como si todos fueran físicamente conectados a un único switch! 

 
192.168.10.x     	Subnet clientes LAN 1
     192.168.11.x	Eth1 IP OpenVPN server/firewall=>router
192.168.20.x     	Subnet clientes LAN 2
     192.168.21.x       IP OpenVPN linksys - router
192.168.30.x     	Subnet clientes LAN 3
     192.168.31.x 	IP OpenVPN linksys - router

La idea es:

Después de haber definido las políticas de las direcciones de red se proceda a la instalación y a configuración del servidor OpenVPN.
Siempre en el servidor serán creadas las llaves y los certificados por todos los clientes que accederan al VPN; luego éstos certificados tendrán que ser instalados en los mismos clientes, Linksys o portátiles.

Recuerda que en la sede central, lado servidor, hay que tener una dirección ip estática o usar dyndns y desde el router redirigir la puerta 1194 hacia la eth1 del servidor OpenVPN.

Si todas las configuraciones son correctas, desde un cualquier equipo de la sede central se podrá hacer ping la dirección IP de un cualquier ordenador de las sedes remotas y viceversa! 

 
desde la IP 192.168.10.131
~$ ping 192.168.30.111
PING 192.168.30.111 (192.168.30.111) 56(84) bytes of data.
64 bytes from 192.168.30.111: icmp_seq=1 ttl=64 time=0.306 ms
64 bytes from 192.168.30.111: icmp_seq=2 ttl=64 time=0.093 ms
64 bytes from 192.168.30.111: icmp_seq=3 ttl=64 time=0.095 ms
64 bytes from 192.168.30.111: icmp_seq=4 ttl=64 time=0.094 ms

Las redes son conectadas, de modo seguro, y podemos aprovechar lo que nuestra Intranet nos puede offrecer:

La (in)seguridad de las redes inalámbricas:

Todas las informaciones que viajan vía cable en futuro viajarán en aire y viceversa.
[The Negroponte Switch] (Nicolas Negroponte)

En este artículo demostraremos cómo las redes wireless sean poco seguras y visto el actual macizo empleo de esta tecnología es bien sensibilizar a los usuarios en manera que puedan conocer los riesgos a que van encuentro.

El término "WarDriving" nace alrededor del final del siglo pasado. Inicialmente fue concebido por la monitorización de la seguridad de las primeras redes wireless 'urbanas.' Por la verdad el término original fue "WarFlying." Los entes estadísticos americanos efectuaron este procedimiento para redactar gráficos sobre el adelanto tecnológico del país.

Primer paso:

Descubrir redes Wireless

Segundo y último paso:

Empleo de AirCrack

AirCrack es un conjunto de instrumentos natos por el testing de la seguridad de las redes Wireless:

En esta sede no me detendré sobre los detalles del protocolo 802.11 en todo caso la idea de es explotar un fallo en la seguridad del llave WEP que por los pacchetes cifrados nos permite de recobrar la llave WEP que los ha engendrado.

Cada paquete WEP ha asociado su Vector de Inicialización (IV): cuando han sido capturados bastante paquetes, ejecutaremos aircrack sobre el archivo de captura que procederá a una serie de ataques estadísticos con el objetivo de recobrar la llave WEP.

El número de IV requerido depende del largo del llave WEP y de la suerte. Generalmente, una llave WEP de 40 bites se puede crackear con 200.000 IV y una llave WEP de 104 bites con 500.000 IV pero existen casos en que pueden ser necesarios también 2 millones de IV.

Por este motivo hace falta capturar el mayor nupero de paquetes posibles !!!

Airodump

Utilizando airodump capturo los paquetes presentes en el aire. 



- airodump "interface" "output prefix" [channel] [IVs flag]

Ex:
airodump wlan0 cap 11

El resultado será un archivo.cap /.dump.

Otros tools utilizan archivo.Ivs, es posible convertir los archivos utilizando pcap2ivs .

Acerca de 2 Millones de paquetes son necesarios para descubrir la llave WEP. A veces las capturas ocurren en momentos diferentes, por lo tanto están presentes más archivos captura de procesar con aircrack. Es necesario unir todos los varios archivos de captura, es posible utilizar la utilidad mergecap . 

 

Exemplo:

~$ mergecap -w out.cap test1.cap test2.cap test3.cap

Los files.ivs pueden ser unidos con el programa mergeivs . Se utiliza como el precedente.

Aireplay

Gracias a este generador de paquetes se pueden forjar header para agilizar la captura de los paquetes: sólo necesitan 15 minutos en media. Aireplay nos facilita 5 ataques diferentes.

Aireplay ataque 0:
Deautentication. Este ataque es útil para recobrar un ESSID escondido y para capturar los handshackes WPA forzando los clientes a reutenticarse. Puede ser también utilizado para engendrar ARP REQUEST como hacen los Clientes Windows cuando vacían la ARP chache en fase de desconnecion. Obviamente tal ataque resulta inútil si no hay Estaciones Asociadas.

Exemplos: 

 

Captura de Handshacke WPA co Asteros:
~$airmon.sh start ath0
~$airodump ath0 out 6 [Switch to another console]
~$aireplay -0 5 -a 00:13:10:30:24:9C -c 00:09:5B:EB:C5:2B ath0
~$aircrack -w out.cap

Generació de una ARP Request en PRISM:
~$airmon.sh start wlann0
~$airodump wlan0 out 6  [Switch to another console]
~$aireplay -0 1- -a 00:13:10:30:24:9C wlan0
~$aireplay -3 -b 00:13:10:30:24:9C -h 00:09:5B:EB:C5:2B wlan0

Aireplay ataque 1:
Autenticación falsa. Tal ataque sirve si se necesita un MAC address asociado por los ataques 2,3,4. En general es necesario poseer un MAC verdadero.

Aireplay ataque 2:
Repetición interactiva de los paquetes.Este ataque permite de elegir un paquete específico por la repetición; a veces de resultados mejores que el ataque 3. Este ataque sólo funciona si el AP recifra cada paquete introducido

Exemplos: 

 

~$ aireplay -2 -b 00:13:10:30:24:9C -f FF:FF:FF:FF:FF:FF \ -m 68 -n 68 -p 0841 -h OO:09:5B:EB:C5:2B ath0

Aireplay ataque 3:
ARP-request reinjection. ES el clásico ataque ARP-request. Es necesario un MAC address de un client asociado o un MAC falso.

Aireplay ataque 4:
KreK's "chopchop", CRC predication. Por este ataque no se le remonta la llave WEP pero logra descifrar un expediente codificado por WEP y WEP dinámico. No todos los AP son vulnerable a este ataque.

Exemplos: 

 
Antes desciframos un paquete:
~$ aireplay -4 - h00:09:5B:EB:C5:2B ath0

Se analizan las comunicaciones de nivel 3:
~$ tcpdump - s 0 - n - y - r replay_dec-0627 -022301.capreading from expediente replay_dec - 0627 -022301.cap, enlace-type 

- I P192.168.1.2 > 192.168.1.255: icmp64:  echo request seq 1 

Vamos a crear un falso ARP Request:
No hace falta la IP de origen, pero la de destino 192.168.1.2 tiene que contestarles a los ARP request. 
EL MAC address naciente tiene que ser aquel de un client naciente  
~$./arpforge replay_dec-0627 -022301.xor 100:13:10:30:24:9C \00:09:5B:EB:C5:2B192.168.1.100 192.168.1.2 arp.cap

Ejecutamos el replay del ARP request falso:
~$ aireplay -2 - r arp.cap ath0.
Una vez conseguido el archivo.cap es posible utilizar aircrack para descodificar el passKey.


Usando Back-Track:

... es una distribución Slackware con los principales tools por los test de seguridad y las analisis forenses.
En esta distribución LIVE ya están presentes:
- Los driver por tarjetas ORINOCO y PRISM.
- Aircrack,airodump y aireplay.
- WepLab.
- Muchos otros instrumentos útiles

Pasos PRINCIPALES de nuestro interés.
- monitor.wlan < interfaz > < canal >
Gracias a este script vamos a configurar la tarjeta WiFI en modo promisquo sobre un particular canal de nuestro interés.
-airodump < interface > < salida prefix > [channel] [IVs flag] @-l
Encaminamos el Sniffer creando un archivo.cap
- aireplay -3 - b < bsid > - h < smac > wlan0
De este modo ejecutamos Packet Injection para aumentar la captura de los IV.
- weplab - r archivo.cap Desciframos la llave utilizando un ataque de tipo estadístico.

Paso1: Inicio del script monitor.wlan0

Paso2: Inicio de Airodump

Paso3: Inicio de Aireplay

Paso4: Deautentication DoS

Paso5: Aircrack

Video de WEP crack [En nueva ventana]

Concluyendo:

Recuerda que eres tú el responsable si algunos malintencionado cumple algo ilegal explotando tu conexión WIFI.

Un sistema inteligente de detección y bloqueo de intrusos [snort + snortsam]

Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo esto en tiempo real. Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.

Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux.

Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap...

Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuando, de donde y cómo se produjo el ataque.

Snortsam:
Snortsam es un plugin para Snort que permite el bloqueo automatico de las direciones IP de los ataquantes.

Para poder explotar las potencialidades de este sistema tambie bajo linux, en el 2003 Fabrizio Tivano ha desarrollado el módulo por iptables de Snortsam.

La idea es simple: Snort, el sensor, nota un ataque del exterior y Snortsam, basandose en las reglas de configuración, modifica automáticamente las reglas del firewall y bloquea la dirección IP del atacante. Después de algún tiempo, determinado en la configuración de las reglas de snort y también con base en el tipo del ataque la IP sera desbloqueada de forma automática.

Instalación:
Compilar Snortsam 


~$
~$chmod +x makesnortsam.sh
~$ ./makesnortsam.sh

Integrar el plugin en Snort descargando el archivo snortsam-patch.tar.gz 

 
Work in progress

Testar la seguridad con la metodología OSSTMM

El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases: 

 
Work in progress

Guia a Metasploit Framework [Parte 1]

Metasploit Framework es el producto principal consiguiente del proyecto Metasploit Project, el que puntería principalmente a proveer informaciones útiles al desarrollo de nuevas técnicas de penetration testing y de firmas por sistemas IDS (Intrusion Detection System).

Como podemos deducir fácilmente del nombre mismo del producto, estamos hablando de un real framework pensado por la creación y la ejecución facilitadas de exploits contra máquinas remotas; sus numerosas funciones permiten: 

 
Work in progress

Importancia de la etiqueta IMG en la seguridad de un WebSite

En este pequeño artículo trataremos como dice el titulo "Importancia de la etiqueta IMG en la seguridad de un WebSite".

Como hemos visto las etiquetas IMG son muy usadas en WebsSites ya sean foros o redes sociales o cualquier WebSite que permita la interacion de usuarios. Ya sea en redes sociales que no permiten comentar fotos o perfiles de miembros o foros que nos permitan responder post de otros miembros o cualquier otro tipo en la mayoria de sus casos siempre se suele usar la etiqueta IMG para colocar alguna imagen relacionada con lo que uno esta escribiendo o poniendo alguna foto o gif animado que queramos que los demás usuarios vean, es ahí donde esta este bug que por alguna mal filtrado de las etiquetas IMG que en ves de poner algo normal como seria: 


img src="web: http://www.webdelatacante/atake.php.com" border="0">


img src="web: http:// http://www.webatacada.com/loguot.php" border="0">
estos nos permirita que ala hora que la web trate de ejecutar lo que hay dentro de la etiqueta IMG nos ejecute la url modificada que no es una URL que contenga una imagen si no a sido manipulada para ser que nosotros queramos hacer esto nos permiten ejecutar algún ti po de código malicioso o poder hacer alg&uaceute;n XSRF estos tipos de c&ocute;digo los clasifico en dos tipos uno que usa URLs externas y otro que usas URLs del mismo sitio.

Ejemplos: 


 URL Externa

img src="web: http://www.webdelatacante.com/ataque.php" border="0">

No solo se puede hacer cargar archivos php si no también cualquier tipo de archivos web que soporte la web del atacante ya queda a imaginas del atacante el código que pueda colocar en estos archivos. 


 URL Interna

img src="web: http:// http://www.webatacada.com/loguot.php" border="0">
En este caso estamos usándolo para hacer un XSRF a la web la url puesta dentro la etiqueta IMG puede variar según lo que nosotros queramos que el usuario ejecute en este caso le cerrara la sesión sin que este se de cuenta de que el XSRF se ejecuto.

Medidas

Es importante tener un bueno filtrado en la etiqueta IMG asiendo que solo nos acepte URL con extinción gif, jpf, bmp, etc. O desactivar la etiqueta IMG y sustituirlo pro un uploas que tengo un buen sistema de filtrado de archivos de imaganes.