Amenazas y ataques en redes corporativas
Transcript of Amenazas y ataques en redes corporativas
AMENAZAS Y ATAQUES EN REDES
CORPORATIVAS
Clemente Cervantes Bustos
Clemente Cervantes Bustos
Índice: 1.- Utiliza un software (Windows o GNU/Linux) para “recrear o simular” una amenaza en una
red ................................................................................................................................................. 2
1.1.- ARP Spoofing/MAC Spoofing/IP Spoofing ......................................................................... 2
1.2.- Man in the Midle (MitM) /Sniffing/ Pharming .................................................................. 4
2.- Uso de netstat para análisis de puertos en Windows y GNU/Linux ...................................... 9
3.- Uso de software (Windows o GNU/Linux) para análisis de puertos de un equipo en la red
..................................................................................................................................................... 10
4.- Inyección SQL ......................................................................................................................... 12
4.1.- ¿Qué es la inyección de código SQL? .............................................................................. 12
4.3.- Indica cómo puede utilizar la distribución Bactrack de GNU/Linux para investigar sobre
la inyección de código SQL y que te permita obtener las tablas de usuarios y contraseñas de
las bases de datos de sitios web ............................................................................................. 13
Clemente Cervantes Bustos
1.- Utiliza un software (Windows o GNU/Linux) para
“recrear o simular” una amenaza en una red
1.1.- ARP Spoofing/MAC Spoofing/IP Spoofing Utilizaré la herramienta cain en Windows. Es una herramienta enfocada principalmente a la
recuperación de contraseñas utilizando para esto distintos medios.
Permite sniffear tu red en busca de contraseñas, recupera tus passwords de internet explorer,
conexión telefónica, red inalámbrica, cuenta con un excelente crackeado que permite
decodificar gran cantidad de contraseñas, permite ver detrás de los asteriscos “**” en
contraseñas guardadas… en fin… es una excelente herramienta para entornos Windows.
En primer lugar, descargamos e instalamos el software. Es importante mencionar, que para
instalarlo necesitaremos tener acceso a Internet.
A continuación, hacemos clic en configure.
Seleccionamos nuestro equipo. Como podemos ver, abajo en options tenemos la opción de
hacer un ARP o Sniffer. Podemos elegir la que queramos. En mi caso elegiré Sniffer.
Clemente Cervantes Bustos
En la misma ventana también tenemos la opción de hacer un ARP usando tanto la IP del
equipo como la MAC o suplantándolas.
Una vez hecho esto solo tenemos que iniciar el sniffer. Para probarlo me meteré a una página
y pondré un usuario y una contraseña al azar para ver si lo recoge el programa.
Clemente Cervantes Bustos
Vemos que lo ha cogido, el usuario que puse fue pepe y la contraseña apruebam.
En Linux tendríamos la herramienta ARP Watch. Es una herramienta para sistemas Linux que
nos puede ayudar a detectar el envenenamiento ARP en nuestro sistema operativo. Con esta
herramienta podemos comprobar la correspondencia entre pares (IP/MAC). En el caso en que
se esté provocando un ataque, ARP Watch manda un correo de notificación a la cuenta
administrador del sistema. También puede detectar nuevos hosts en la red (si alguien falsifica
su IP/MAC para hacer un ataque de envenenamiento ARP).
1.2.- Man in the Midle (MitM) /Sniffing/ Pharming Ettercap en una suite completa para realizar ataques de hombre en el medio. Permite
interceptar conexiones en vivo, filtrar contenido al vuelo y varios otros trucos interesantes.
Soporta disección activa y pasiva de varios protocolos e incluye diversas características para el
análisis de red y host
Instalamos en un equipo Ubuntu el programa ettercap.
Clemente Cervantes Bustos
Deberemos poner nuestra contraseña de usuario para poder acceder.
Nos vamos a la siguiente pestaña:
Seleccionamos nuestra tarjeta de red.
Clemente Cervantes Bustos
Añadir a la lista de hosts, los objetivos contra los cuales se realizará el ARP Spoofing. Para ello
hacemos clic en la opción Hosts -> Scan for Host.
Seleccionamos la opción Host -> Host List. Ante lo cual se presentará una nueva pestaña con el
listado de los Hosts.
Clemente Cervantes Bustos
Del listado de Hosts presentado seleccionamos la dirección IP de mi equipo en mi caso y
definirla como objetivo 1 haciendo clic en el botón Add to Target 1. Y la dirección
192.168.70.60 la defino como Add to Target 1 para probar.
Hacemos clic en Mitm -> Arp poisoning...
Clemente Cervantes Bustos
Nos aparecerá una ventana donde se debe seleccionar la opción Sniff remote connections. o
husmear conexiones remotas.
Hacemos clic en la opción Start -> Start sniffing o Empezar a Husmear.
En Windows 7 notamos que la dirección MAC asignada a Kali Linux, es la misma dirección MAC
relacionada con la dirección IP 192.168.70.141 asignada a mi equipo.
Clemente Cervantes Bustos
2.- Uso de netstat para análisis de puertos en Windows y
GNU/Linux Es una herramienta de línea de comandos que muestra un listado de las conexiones activas de
un ordenador, tanto entrantes como salientes. Podemos utilizar el netstat para ver si tenemos
alguna conexión activa que no debería estarlo o que es una conexión desconocida, pudiendo
tratarse de un virus.
Para usar esta herramienta en Windows nos deberemos dirigir a inicio>ejecutar y escribir
netstat. Otra opción sería ejecutarlo directamente en el cmd.
En Linux lo ejecutaremos en el terminal. Podemos ejecutar un netstat o podemos ejecutarlo
junto con la opción –tlnp para ver los puertos usados por el equipo junto con el nombre del
programa.
Clemente Cervantes Bustos
3.- Uso de software (Windows o GNU/Linux) para análisis
de puertos de un equipo en la red Utilizaré el Nmap para analizar los puertos de un equipo en la red.
Ponemos nuestra IP y tenemos diferentes opciones a elegir, en mi caso elijo el escaneo
intenso.
Clemente Cervantes Bustos
Para iniciar el escaneo pulsamos en Escaneo.
Veo que en mi caso solo tengo puertos TCP abiertos. Si nos vamos a la pestaña
Puertos/Servidores, vemos todos los puertos abiertos que tengamos.
Clemente Cervantes Bustos
4.- Inyección SQL
4.1.- ¿Qué es la inyección de código SQL? Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad
informática presente en una aplicación en el nivel de validación de las entradas para realizar
consultas a una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables
utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de
una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de
programación o script que esté embebido dentro de otro.
La inyección de SQL es una técnica que inyecta código malicioso en una aplicación web,
aprovechando una vulnerabilidad en seguridad a nivel de base de datos, con la intención de
cambiar su funcionamiento. Es una técnica poderosa, ya que puede manipular tanto las URL
(cadenas de consulta) como cualquier otro formulario (registro de correo electrónico, inicio de
sesión, búsqueda) para inyectar código malicioso.
Hay algunas precauciones que pueden tomarse para evitar este tipo de ataques. Por ejemplo,
es una buena práctica agregar una capa entre un formulario visible y la base de datos. En PHP,
la extensión PDO [inglés] se usa a menudo para trabajar con parámetros (a veces llamados
variables bind o placeholder) en lugar de incrustar el contenido del usuario en la declaración.
Otra técnica muy fácil es escapar caracteres, donde todos los caracteres peligrosos que
pueden tener un efecto directo sobre la estructura de base de datos se escapan. Por ejemplo,
cada comilla simple ['] en un parámetro se debe sustituir por dos comillas simples [''] para
formar una cadena literal de SQL válida. Estas son sólo dos de las acciones más comunes que
puedes tomar para mejorar la seguridad de un sitio web y evitar las inyecciones SQL. En
Internet puedes encontrar muchos recursos que se ajustan a tus necesidades (lenguajes de
programación, aplicaciones web específicas, etc).
4.2.- Buscar enlaces en Internet que indiquen como evitar SQL inyection
Clemente Cervantes Bustos
https://www.genbetadev.com/seguridad-informatica/evita-los-ataques-de-inyeccion-de-sql
4.3.- Indica cómo puede utilizar la distribución Bactrack de GNU/Linux para
investigar sobre la inyección de código SQL y que te permita obtener las
tablas de usuarios y contraseñas de las bases de datos de sitios web Arrancamos la máquina Linux con la iso de Bactrack.
Para acceder al modo gráfico deberemos escribir startx en la línea de comandos.
Una vez en el modo gráfico nos dirigimos a la siguiente pestaña:
Clemente Cervantes Bustos
Para hacer el ataque sql deberemos poner ./sqlmap.py –u + la página web que queramos
atacar.