viernes, 21 de septiembre de 2012

Tareas TCPDUMP

1.- Con base en los siguientes ejemplos de filtros identifique dentro del archivo snort.log las diferentes combinaciones de FLAGS que se presentan en las tramas de red. Realice una tabla indicando las combinaciones de FLAGS y la cantidad de tramas por cada combinación.
Encuentra todos los paquetes que incluyen SYN
tcpdump -n -r snort.log 'tcp[13] & 2 != 0'
Encuentra todos los paquetes que incluyen RST 
tcpdump -n -r snort.log 'tcp[13] & 4 != 0' 
Encuentra todos los paquetes que incluyen ACK 
tcpdump -n -r snort.log 'tcp[13] & 16 != 0'

URG ACK PUSH RESET SYN FIN TOTAL
NO NO NO NO NO NO 0
NO NO NO NO NO SI 0
NO NO NO NO SI NO 75262
NO NO NO NO SI SI 0
NO NO NO SI NO NO 221
NO NO NO SI NO SI 0
NO NO NO SI SI NO 0
NO NO NO SI SI SI 0
NO NO SI NO NO NO 0
NO NO SI NO NO SI 0
NO NO SI NO SI NO 0
NO NO SI NO SI SI 0
NO NO SI SI NO NO 0
NO NO SI SI NO SI 0
NO NO SI SI SI NO 0
NO NO SI SI SI SI 0
NO SI NO NO NO NO 19
NO SI NO NO NO SI 0
NO SI NO NO SI NO 221
NO SI NO NO SI SI 0
NO SI NO SI NO NO 79239
NO SI NO SI NO SI 0
NO SI NO SI SI NO 0
NO SI NO SI SI SI 0
NO SI SI NO NO NO 0
NO SI SI NO NO SI 0
NO SI SI NO SI NO 0
NO SI SI NO SI SI 0
NO SI SI SI NO NO 0
NO SI SI SI NO SI 0
NO SI SI SI SI NO 0
NO SI SI SI SI SI 0
SI NO NO NO NO NO 0
SI NO NO NO NO SI 0
SI NO NO NO SI NO 0
SI NO NO NO SI SI 0
SI NO NO SI NO NO 0
SI NO NO SI NO SI 7513
SI NO NO SI SI NO 0
SI NO NO SI SI SI 3
SI NO SI NO NO NO 0
SI NO SI NO NO SI 0
SI NO SI NO SI NO 0
SI NO SI NO SI SI 0
SI NO SI SI NO NO 0
SI NO SI SI NO SI 0
SI NO SI SI SI NO 0
SI NO SI SI SI SI 0
SI SI NO NO NO NO 0
SI SI NO NO NO SI 0
SI SI NO NO SI NO 0
SI SI NO NO SI SI 0
SI SI NO SI NO NO 0
SI SI NO SI NO SI 0
SI SI NO SI SI NO 0
SI SI NO SI SI SI 0
SI SI SI NO NO NO 0
SI SI SI NO NO SI 0
SI SI SI NO SI NO 0
SI SI SI NO SI SI 0
SI SI SI SI NO NO 0
SI SI SI SI NO SI 0
SI SI SI SI SI NO 0
SI SI SI SI SI SI 0

2.- Con base en la combinación de FLAGS que encontró en el punto 1, identifique el tipo de escaneo que se realizó para tener esa combinación de FLAGS.

Se encontraron 79239 escaneos de tipo TCP-SYN en los cuales el puerto se encontraba cerrado. Sabemos que las banderas utilizadas en este caso son [RST, ACK] para puertos cerrados Y [SYN, ACK] para puertos abiertos.
Se muestra a continuación algunos ejemplos de las tramas de un escaneo TCP-SYN de puertos cerrados con las banderas resaltadas y el número total de tramas correspondientes en el archivo.


Para escaneos con puertos abiertos se encontraron 221 tramas correspondientes a un escaneo TCP-SYN de puertos abiertos, se resaltan las banderas activadas.


Un escaneo de tipo ACK utilizarán al menos  la bandera de ACK encendida.

Para estos escaneos se muestran las tramas que coinciden, se obtuvieron 79479 tramas, se resaltan las banderas y se puede apreciar el numero de tramas que coinciden con este tipo de escaneo.

3.- Con base en la investigación de hping2 ó nmap, cree la línea que reproduce las tramas con las combinaciones de FLAGS anteriormente identificadas.

Con nmap  es posible generar estas tramas mediante los comandos

nmap -sS {objetivo} //genera un escaneo tipo TCP-SYN
nmap -sA {onjetivo} // genera un escaneo tipo ACK, útiles para la detección de firewalls

miércoles, 15 de agosto de 2012

seguridad Informática - Lectura 1

Seguridad Informática

A menudo la seguridad informática es vista desde un enfoque equivocado por las empresas y peor aún por los usuarios, es considerarda considerara más como un gasto o una pérdida de tiempo. Sin embargo es necesaria para resguardar los activos más importantes de cualquiera.

Podemos observar diversos problemas en la mayoría de las organizaciones, incluso en los casos de usuarios comunes, entre ellos podemos citar las malas configuraciones de software, el uso de productos de software cuyos errores de programación y seguridad no han sido depurados aún por ser lanzados al mercado de manera precipitada.

Sin embargo los problemas no terminan aquí ya que del lado del desarrollo también surgen problemas serios, tales como la mala programación de las herramientas o la poca o nula prioridad que se le da al aspecto de una programación segura contra el aspecto de añadir nuevas y vistosas características al software, desafortunadamente el caso de las actualizaciones de seguridad no es tan diferente ya que aveces no cuentan con un periodo de prueba adecuado y suelen abrir nuevas brechas de seguridad en el sistema o limitar funcionalidades del mismo que anteriormente funcionaban de manera correcta.

Igual de preocupante son las malas practicas de los usuarios ya que estos suelen olvidar las medidas básicas de seguridad o simplemente omitirlas por considerarlas innecesarias o una pérdida de tiempo es ahí cuando encontramos casos de contraseñas que son fácilmente adivinadas, o pegadas con postits en lugares de fácil y obvio acceso, ademas  de usuarios que suelen ser engañados fácilmente con técnicas de ingeniería social y algunas otras malas practicas que son muy comunes en entornos donde los usuarios no son correctamente orientados en seguridad en gran parte por falta de conocimiento o interés de las organizaciones.


Los ataques de seguridad han ido en aumento, con ello surgió la necesidad de herramientas como el cifrado, el uso de certificados o la necesidad de canales seguros de comunicación. Sin embargo el crecimiento del numero de usuarios y con ello el crecimiento de las necesidades y herramientas de seguridad tanto en numero como en complejidad se han vuelto una necesidad que está ocupando ya uno de los lugares principales en los intereses tanto de atacantes como de las organizaciones.