nmap, amap, xprobe2 y familia

Como complemento a la clase de hoy

nmap 6

Nmap 6 released

Bitácora de PSI.: Sniff

Para concluir las aventuras de capítulos anteriores, se hace una estudio del artículo “Host Discovery with nmap” de Mark Wolfgang. Este artículo, del año 2002, aunque nada técnico, presenta un cierto interés didáctico, tanto en el análisis básico de lo que ocurre en un proceso de “host discovery”, como en el estudio de las funciones básicas de un “firewall”.

Se inicia una nueva aventura que, unida al tema de categorías de ataques, nos llevará a seleccionar dos casos para estudio. El primero de ellos se centra en la categoría de intercepción y, como no, hablamos del “sniffing”. Iniciamos esta nueva aventura recordando algunos conceptos básicos (paquetería de red, comunicaciones en medio compartido [quedan pocas redes] y medio conmutado (swtiched)], los objetivos y utilidades del “sniffing” [tanto las del lado oscuro, como las del lado de la luz], etc. Se incluye una referencia de interés, "Linux Cross Reference", y se comenta su posible utilidad, tanto a nivel académico, como profesional.


Antes de iniciar esta nueva aventuras de "sniffing", también se hace un repaso al concepto de segmento de red y VLANs, incluyendo la descripción de protocolos como el 802.1q, 802.1d, o los conceptos de "trunking" y la gestión de varios interfaces virtuales sobre un interface físico, entre otras. Si te has perdido esta parte del capítulo de hoy, puedes repetir algunas jugadas aquí (trabajo de José Alejandro Pérez Rubio, de la Universidad Jaume I).

Y con todos estos conceptos, dejamos la trama dispuesta para un futuro desenlace en próximos capítulos.

Bitácora de PSI.: Enséñame la patita por debajo de la puerta

Hemos iniciado la clase comentando algunas de las noticias aparecidas en el último número de la revista díxitos, del Centro de Supercomputación de Galicia (CESGA).:

- Trabajos en astronomía, y entornos existentes en España muy recomendables para desarrollar una carrera profesional, entre ellos, el Instituto de Astrofísica de Canarias (IAC).
- Información sobre la futura nueva sede del CESGA. A los que hemos seguido los trabajos desarrollados en el CESGA desde su creación, sin duda alguna este proyecto es un merecido reconocimiento a las cosas bien hechas. Mi más enhorabuena a Javier García Tobío, director gerente del CESGA, y a todo su equipo. A mis alumnos, no olvidaros de este centro, posiblemente uno de los mejores lugares de Galicia para desarrollar una carrera profesional en TIC.

Siguiendo con la temática de PSI, se tratan diversos métodos de "hosts discovery", "port scanning", "OS fingerprinting" a distintos niveles.:

- A nivel de la máquina TCP
- Mediante paquetería ICMP
- A nivel no ascci de los protocolos de aplicación

Se hace una introducción a las opciones básicas de la herramienta nmap en estas tres tareas.
Entre las herramientas que utilizan ICMP es sus análisis, destacar xprobe2.

En este punto, se hace un repaso del formato de los paquetes ICMP e IP, analizando los principales tipos y campos de cabecera.

Se analizan distintas opciones de nmap en "host discovery", "port scanning", "OS fingerprinting" y se comprueba el "grado de discreción de las mismas". El uso de herramientas en modo "dar el cante", facilita la detección y filtrado de las acciones. Una correcta temporización en el proceso, y un ajuste fino de las acciones a realizar, dificulta enormente la detección. También se analiza el uso de "decoy scan" e "idle scan" en el proceso de enmascarar el origen del "ataque", su utilidad y limitaciones. "Oye tú, tú que me miras: ¿es que quieres servirme de comida?"

Finalmente, se "recuerdan" los principales mecanismos de defensa ante estas herramientas.

En otro nivel de cosas, un profesional nunca debe responder a un ataque con otro ataque. Ante un ataque a vuestros sistemas, siempre y cuando no se piense en la posibilidad de tomar medidas legales, el modo de actuar de un profesional se debe centrar en la recopilación de todo tipo de información sobre el ataque, tratar de “tracear” el origen, siempre por métodos no intrusivos en infraestructura ajena, y reportar el incidente al responsable o responsables de la infraestructura origen del ataque. En muchas ocasiones, tal vez demasiadas, llegar al origen es casi imposible. Y sobre todo, tratar de minimizar los efectos.

Bitácora de PSI: Fundamentalistas

En el capítulo de hoy hemos introducido las “técnicas” de “Decoy Scan” e “Idle Scan”. Una pila TCP que haga una gestión inteligente de sus paquetes y, entre otros, de sus números de secuencia, complicará considerablemente el que los sistemas se conviertan en “zombies”.

El enmascaramiento de nuestras máquinas TCP-IP permitirá jugar al gato y al ratón y, en la medida de lo posible, tratar de engañar a un posible atacante y, o, a sus herramientas. Se puede tratar de modificar “a pelo” los parámetros característicos de estos protocolos sobre el registro del sistema en "windows" o sobre los ficheros de configuración en /proc/sys/net/ipv4 (para IPv4) en nuestros linux. Como es lógico, no estaría mal hacer antes “backup” del registro y ficheros de configuración. También se puede optar por utilizar distintas herramientas que automatizan esta tarea. Te recomiendo dos magníficas entradas, una del blog de Álvaro Paz, Enmascarar sistema para evitar OS Fingerprinting, y la segunda de Kriptopolis, Security Cloak, enmascarando tu Windows. La incorporación de técnicas de "hardening" y “hardening tools” es otro de los mecanismos recomendables para fortalecer la seguridad en nuestros sistemas. Existen distintos paquetes de “hardening”, como bastille-linux o harden.

Hemos visto las típicas fases de una intrusión, y las principales características de cada una de ellas. Como en la vida misma, la ocultación es el fenómeno que predomina en todas ellas.

Se introducen y definen las medidas básicas de seguridad (técnicas de ocultación, parcheo a todos los niveles, “firewalls”, tcp-wrappers, IDSs, honeys, herramientas de auditoría, de integridad, analizadores de vulnerabilidades, etc.). En este punto, un alumno plantea una cuestión general, la diferencia entre un “firewall” y un IDS. En un mundo empresarial en el que la tendencia es a ir con una careta de "supercrack" de la informática, y en el que en demasiadas ocasiones vender la moto se valora mucho más que un trabajo bien hecho, el que alguien plantee cualquier cuestión que le pueda surgir, sea de la naturaleza que sea, es muy de agradecer. La curiosidad y ganas de aprender es la principal característica que todos debemos tener para no terminar por convertirnos en “zombies”. Sobre la cuestión planteada, se analizan sus características básicas y diferencias, además de la necesidad de que trabajen de forma conjunta y colaborativa.

En cuanto a la formación que todo profesional debe seguir a lo largo de toda su existencia, es bastante lamentable asisitir a cursos de empresa, repletos de profesionales, y comprobar la forma en la que muchos de ellos se enfrentan a sus complejos; o se limitan a callar, y por lo tanto pierden la característica natural de la curiosidad, del aprendizaje, o por el contrario, se dedican a hacer intervenciones orientadas a tratar de demostrar lo guapos, altos y superdotados que son, como un mecanismo para tapar sus miedos y complejos. Afortunadamente también existen profesionales con una constante curiosidad por la tecnología, con ganas de "saber" y "saber hacer", que se enfrentan a los problemas con una gran naturalidad y sentido común. Sin duda alguna, nuestro objetivo principal debe ser el llegar a ser uno de ellos. Y recuerda que este camino no es fácil, y aunque en algún momento nos podamos desviar de la senda hacia el "lado oscuro", no dudar nunca en volver a ella lo antes posible.

La segunda parte de la clase se centra en el reconocimiento de sistemas operativos, iniciando la andadura por los sistemas prehistóricos de reconocimiento ascii, y continuando por los sistemas basados en los protocolos TCP-IP. El conocimiento de los protocolos utilizados por nuestros sistemas, y la forma en la que organizan los datos, es fundamental para poder comprender muchos de los temas tratados. En este punto, utilizamos unos minutos para analizar el protocolo TCP, la forma en la que se establecen y cierran los conexiones y, en general, el funcionamiento de sus 6 flags (URG, ACK, PSK, RST, SYN, FIN), utilizados en algunos métodos, hoy en día clásicos, de análisis. También se estudia el protocolo TCP, su gestión de errores, congestión y flujo, así como los distintos campos de la cabecera de un paquete TCP. Finalmente se introducen las técnicas clásicas de análisis basada en los “flags” TCP, valores de opciones TCP, tamaño de ventana, etc. Para una amplia relación de métodos de análisis http://nmap.org/book/osdetect.html

Bitácora PSI.: La trilogía

Hoy nos hemos centrado en una nueva trilogía.:

- "Hosts discovery"
- "Port scanning"
- "OS fingerprinting"

Hemos visto la problemática, sin desenlace, de la trilogía.

Recomendable algunos artículos clásicos.:

"Hosts discovery with nmap"
"Remote OS detection with nmap"

En castellano, "Análisis activo y pasivo de redes"

Selección entre las múltiples herramientas.:

- nmap
http://www.nmap.org/
http://www.insecure.org/

- xprobe2
http://xprobe.sourceforge.net/

- hping2 & 3
http://www.hping.org/

Sin duda alguna, enmascarar nuestros sistemas es una de las distintas posibilidades para jugar al despiste. Dejo al alumno la tarea de bucear sobre este tema. Señalar que existe la posibilidad de cambiar directamente los parámetros de, por ejemplo, la máquina TCP, o el uso de herramientas y parches que automatizan la tarea, facilitando suplantar otras plataformas.

Bitácora PSI.: Evolucionamos

En los laboratorios de prácticas empezamos a funcionar. Sin duda alguna, las prácticas de laboratorio son lo más importante en toda materia. "Saber" es fundamental, pero "saber hacer", lo es mucho más. Al respecto, sin novedad en el frente.

En la clase de teoría, hemos seguido analizando y presentando casos de las distintas categorías de ataques. Entre las palabrejas introducidas, “spoofing” y “fingerprinting”.

Una buena aproximación a los conceptos básicos del "spoofing" la puedes encontrar en http://es.wikipedia.org/wiki/Spoofing

Sobre "fingerprinting", en este caso limitado a los sistemas operativos, en http://www.sans.org/reading_room/whitepapers/testing/an_overview_of_remote_operating_system_fingerprinting_1231?show=1231.php&cat=testinghttp://es.wikipedia.org/wiki/Spoofing tienes una buena aproximación para "saber" lo básico del tema.

Respecto a la operativa de un profesional de las TIC, en clase se ha expuesto la problemática existente en la elaboración de cualquier pliego de concurso de infraestructuras TIC, y el proceso involucrado. Sin duda alguna, el uso de normas y estándares en los pliegos es vital para dejarlo todo bien cerrado, y no llevarnos sorpresas. En este sentido, el conocimiento de los estándares y normas de las infraestructuras involucradas es fundamental. Gran parte de vosotros deberá afrontar este proceso más tarde o temprano, sea desde el punto de vista del profesional que tiene que elaborar los pliegos, o del comercial o técnico-comercial que se presenta a los mismos. Recordar que únicamente se deberán considerar factores económicos-técnicos en las decisiones tomadas, otro tipo de actuación te convertiría en un mercenario de la información. Entre las herramientas utilizadas para la toma de decisión, recuerda que las más sencillas, como los árboles de decisión, te pueden ayudar considerablemente. Como es lógico, siempre acompañado de un informe que justifique los pesos y decisiones tomadas.

Complemento v0.4b - LetDown TCP Flooder, ReverseRaider Subdomain Scanner & Httsquash HTTP Server Scanner Tool

An interesting collection of tools for pen-testing including a DoS tool (something you don’t often see publicly released).

Complemento is a collection of tools that the author originally created for his own personal toolchain for solving some problems or just for fun. Now he has decided to release it to the public.

LetDown is a TCP flooder written after the author read the article by fyodor entitled article “TCP Resource Exhaustion and Botched Disclosure“.

ReverseRaider is a domain scanner that uses brute force wordlist scanning for finding a target sub-domains or reverse resolution for a range of ip addresses. This is similar to some of the functionality in DNSenum.

Httsquash is an HTTP server scanner, banner grabber and data retriever. It can be used for scanning large ranges of IP addresses and finding devices or HTTP servers (there is an alpha version of a GUI for this).

You can download Complemento v0.4b here: complemento-0.4b

Or read more here.

[Fuente.: http://www.darknet.org.uk/]

Noticias sobre nmap

En http://isc.sans.org/diary.html?storyid=5566&rss tenéis una noticia para poder disfrutar y aprender con nmap, además de la noticia de la reciente publicación del libro "Nmap network scanning" de Fyodor. En la práctica 2 de PSI tratamos algunos temas relacionados con el "scanning", tanto activo como pasivo, de sistemas remotos. Sin duda alguno, nmap es una de las herramientas a tener siempre a mano. Tanto para dicho apartado de la práctica, como para hacer todo tipo de pruebas y poder ampliar los conocimientos, es una de las recomendables. Procura hacer las pruebas sobre tus máquinas y deja tranquilos a los administradores de máquinas ajenas. Mañana serás tu el que pueda estar administrando dichas máquinas.

ike-scan - IPsec VPN Scanning, Fingerprinting and Testing Tool

En las clases teóricas y prácticas de PSI vemos distintas técnicas de "fingerprinting", tanto a nivel de operativos como de servicios de red. En esta entrada traemos una utilidad, el ike-scan, orientada al fingerprinting de sistemas de VPNs IPSec.

"ike-scan is a command-line tool for discovering, fingerprinting and testing IPsec VPN systems. It constructs and sends IKE Phase-1 packets to the specified hosts, and displays any responses that are received."

[Fuente.: http://www.darknet.org.uk]/