jueves, 11 de marzo de 2010

Bitácora de PSI (ver 1.1).: La trilogía (hosts discovery, port scanning & fingerprinting)

Hemos seguido con una nueva categorización de ataques, pasivos y activos. Se analiza el contenido que circula por nuestras redes, la paquetería (paquete TCP, empaquetamos y desempaquetamo, buenas formas en las conexiones, la pesadilla OSI vs. TCP/IP, paquete IP). Un buen conocimiento de los paquetes, y sus cabeceras, es importante (existe multitud de rereferencias al respecto). Aquí no nos queda más remedio que recordar al amigo Tanembaum, motivo de las pesadillas con el modelo OSI. Pero bueno, todo son bits, más o menos ordenados, y protocolizados por un montón de cabeceras de paquetes y datos. Cifrar adecuadamente la información nos facilitará las cosas, pero no solucionará todos nuestros problemas. Y recuerda que, aunque el 4 es un bonito número, también tenemos el 6, del que no debemos olvidarnos, y también quiere que lo cuidemos y protejamos.

También se han expuesto los pasos típicos involucrados en un ataque. Aunque se hablará más adelante sobre ocultación. Un malo siempre tratará de ocultarse. Se propone una sencilla cuestión en clase como antesala.

En resumen, salimos "nateados" con una IP privada. Las conexiones hacia el exterior serán con IP origen nuestra NAT y destino la máquina a la que nos conectamos. Por lo tanto el servidor exterior verá la IP pública de nuestra NAT. Entonces, ¿cómo es posible que existan páginas web-servicios que obtienen nuestra IP interna?.

Hoy nos hemos centrado en una nueva trilogía.:

- "Hosts discovery"
- "Port scanning"
- "OS fingerprinting"

Hemos visto la problemática, sin desenlace, de la trilogía.

Recomendable algunos artículos clásicos.:

"Hosts discovery with nmap"
"Remote OS detection with nmap"
En castellano, "Análisis activo y pasivo de redes"


Estos tres artículos tienen un buen montón de años, aunque mucho de su contenido sigue vigente en la actualidad. Para una revisión actualizada recomiendo el libro de nmap de Fyodor y, o, http://nmap.org/

Entre las herramientas que han aparecido en clase.:

- nmap
http://nmap.org/
http://insecure.org/

- xprobe2
http://xprobe.sourceforge.net/

- hping2 & 3
http://www.hping.org/

- pads (Passive Asset Detection System)
http://passive.sourceforge.net/

- SANCP (Security Analyst Network Connection Profiler)
http://www.metre.net/sancp.html

- ettercap
http://ettercap.sourceforge.net/

Sin duda alguna, enmascarar nuestros sistemas es una de las distintas posibilidades para jugar al despiste. Dejo al alumno la tarea de bucear sobre este tema. Señalar que existe la posibilidad de cambiar directamente los parámetros de, por ejemplo, la máquina TCP, o el uso de herramientas y parches que automatizan la tarea, facilitando suplantar otras plataformas.

También analizamos los mecanismos clásicas de “Decoy Scan” e “Idle Scan” en el ámbito del "port scanning", como continuación de la clase anterior. Se analiza el "idle scan". Una pila TCP que haga una gestión inteligente de sus paquetes y, entre otros, de sus IP ID, complicará considerablemente el que los sistemas se conviertan en “zombies". Al menos desde el punto de vista de un "idle scan". Unido a esto, el uso de "firewalls stateful", o las medidas para evitar el IP spoofing, constituyen unos mínimos mecanismos. También vemos el proyecto de IP spoofing del MIT. Las cosas mejoran, pero de forma muy lenta.

Como ejercicio dejo que, utilizando vuestros equipos para generar paquetería hacia máquinas fuera de vuestro segmento de red, con IP origen no perteneciente a vuestro segmento, determinar si vuestro activo de red (de tenerlo) tira dicha paquetería.

Respecto a la operativa de un profesional de las TIC, apuntar la problemática existente en la elaboración de cualquier pliego de concurso de infraestructuras TIC, y el proceso involucrado. Sin duda alguna, el uso de normas y estándares en los pliegos es vital para dejarlo todo bien cerrado, y no llevarnos sorpresas. En este sentido, el conocimiento de los estándares y normas de las infraestructuras involucradas es fundamental. Gran parte de vosotros deberá afrontar este proceso más tarde o temprano, sea desde el punto de vista del profesional que tiene que elaborar los pliegos, o del comercial o técnico-comercial que se presenta a los mismos. Recordar que únicamente se deberán considerar factores económicos-técnicos en las decisiones tomadas, otro tipo de actuación te convertiría en un mercenario de la información. Entre las herramientas utilizadas para la toma de decisión, recuerda que las más sencillas, como los árboles de decisión, te pueden ayudar considerablemente. Como es lógico, siempre acompañado de un informe que justifique los pesos y decisiones tomadas.