Amenazas y ataques en redes corporativas

a) Identidad digital

¿Qué es un certificado digital de

servidor?

Un certificado digital de servidor es un componente que habilita las siguientes

características de seguridad en un servidor WEB:

Cifrado de datos: Los datos intercambiados entre el navegador del usuario y el

servidor se cifrarán, con lo que no serían directamente inteligibles en caso de

intercepción en su tránsito por la red. Esta característica es muy útil si se utilizan

formularios para que el usuario envíe datos críticos o personales, o si el

contenido del web o parte del mismo es un área privada cuyos datos son

confidenciales y deben ser únicamente accesibles por un grupo cerrado de

personas.

Autenticación del servidor: El visitante podrá saber que el propietario de la web

indicada en el certificado ha seguido un proceso de identificación ante un tercero

(autoridad de certificación) que es quien emite el certificado. Este proceso de

identificación varía según el emisor del certificado y el tipo de certificado, y

puede ir desde la validación por correo electrónico del propietario del dominio

hasta la validación documental de la existencia de la organización propietaria del

dominio.

INSTALACION DE UN SERVIDOR DE CERTIFICADOS EN WINDOWS SERVER 2003

Inicio, todos los programas, agregar o quitar software, componentes de windows

Servicios de certificare server de Microsoft

Nos avisara de que no se cambia el nombre del equipo ni su pertenencia el dominio, le damos a

si.

Entidad emisora raíz independiente, le damos a esa opción y siguiente

Elegimos el nombre de los certificados y la duración

Empieza a generar la clave de cifrado

Nos indica el lugar donde se van a guardar los certificados y las bases de datos

Empieza la instalación

INSTALACION DE ISS

Servicios de aplicaciones, instalar internet information services y aceptar

Empieza a instalarse

Finaliza la instalación

b) Instalacion de cain y Abel en Windows

Asistente de instalación

Finaliza la instalación

Abrimos el programa

Con el sniffer capturamos los paquetes que contienen información sobre nuestra navegación, en

la pestaña HTTP tenemos 4 notificaciones

Vamos al menu configure y en la pestaña Sniffer seleccionamos la tarjeta de red que estamos

ultilizando

En la pestaña hosts aparece la IP

ANALISIS DE PUERTOS CON NETSTAT

Vemos los puertos TCP y UDP con NETSTAT –a

Las direcciones IP con netstat –n

En Linux con netstat –r vemos las tablas de enrutamiento

Interfaces del sistema con –i

Analisis de puertos online

Empezamos el análisis rápido

Escanea los puertos mas habituales

Esta es la advertencia

Hemos detectado 3 puertos abiertos. ¿Estás dando algún tipo de servicio al exterior?. Si no lo

estas haciendo, procura cerrar esos puertos (cerrando los programas que los han abierto) y es

muy aconsejable la instalación de un firewall/cortafuegos. Si realmente los estas utilizando

para dar servicio al exterior, debes de tener siempre actualizado el software para evitar

posibles agujeros de seguridad

INYECCION SQL BACKTRACK

Backtrack/ explotation tools/ web explotation tools/ sqlmap

Ejecutamos python.sqlmap.py –u y ponemos la url del sitio

Escribimos lo anterior mas –d databaseusername –tables para visualizar las tablas

RIESGOS POTENCIALES EN LOS SERVICIOS DE RED

Configurar en modo seguro un switch cisco

Comandos para seguridad de switch

enable secret inves=>para poner contraseña

Direccion Mac segura

int f0/1

switchport port-security mac-address DIRECCION MAC

Numero maximo de direcciones Mac permitidas

int f0/1

int f0/2

switchport port-security maximun 4

Direccion Mac dinámica segura

int f0/3

switchport port-security

FastEthernet0/3 is a dynamic port

CONFIGURACION EN MODO SEGURO DE ROUTER CISCO

Comandos basicos

enable

conf t

enable secret inves

Desactivamos los puertos que no vayamos a utilizar

interface FastEthernet0/1

shutdown

c) VULNERABILIDADES EN LAS CAPAS DE RED (IP), TCP-UDP Y

APLICACIÓN (DHCP, DNS…) Y PROTECCION DE LAS MISMAS

Vulnerabilidades de la capa de red: los ataques en la capa de red son muy dificiles

de hacer ya que hay que tener acceso fisico alos equipos que se quieren atacar

en esto se implemeta el desvio de cables pinchar lineas

Vulnerabilidad capa de internet: en esta capa se puede hacer cualquier ataque que

afecte un datagrama IP se incluyen en esta capa los ataques de sniffing (yo los

conosco con el nombre de sniffers),suplantacion de mensajes, modificacion de datos

los retrasos de mensajes y la denegacion de mensajes cualquier atacante puede

suplantar un paquete si indica que viene de otro sistema la suplantacion de mensaje

se puede dar por ejemplo dando respuesta a un paquete primero o antes que lo haga

el suplantado.

Vulnerabilidades en la capa de transporte: en esta capa podemos encontrar

problemas de autentificacion, algunos de los ataques mas comunes o conocidos son

las denegaciones de servicio debidas aprotocolos de transporte

tambien hay posibilidad de interceptacion de sesiones TCP establecidas con el

objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos, estos

ataques de secuestro aprovechan la poca exigencia en el protocolo de interncambio

de TCP respecto ala auntentificacion de los equipos involucrados en una sesión.

Vulnerabilidades en la capa de aplicacion:

como en el resto de niveles la capa de aplicacion presenta varias deficiencias de

seguridad debido ala gran cantidad de protocolos definidos en esta capa la cantidad

de deficiencias tambien seran superores al resto de capas .

Ejemplos de deficiencias de seguridad

Servicio de nombre de dominio. (DNS)

Un sistema solicita conecion a una servicio pide la direccion IP de un nombre de dominio y

envia un paquete UDP a un servidor DNS entonces este responde con la direccion ip del

sitio solicitado o una referencia que apunta hacia otro servidor DNS que pueda tener esa

direccion que necesitamos para ingresar a una web.

Un servidor DNS debe de entregar la direccion ip que necesita el usuario para ingresar a un

dominio en conclucion el servidor DNS es una especie de traductora que te pasa el

www.google.com.co a la direccion IP de este domino por ejemplo 192.168.125.8.

Un servidor DNS en el fondo es una base de datos accesible desde internet por lo tanto, un

atacante puede modificar la informacion que suministra esta base de datos o accedeer a

informacion sencible almacenada en la base de datos como por error, puediendo obtener

iformacion relativa ala topologia de la red de una organizacion concreta (por ejemplo, la

lista de los sistemas que tiene una organizacion).

MONITORIZACION DEL TRAFICO EN REDES WIRESHARK Y KISMER

Ahora los mensajes UDP