Auditoría de Redes AUD 721 Módulo 5 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.

Auditoría de RedesAuditoría de RedesAUD 721AUD 721Módulo 5Módulo 5

Carmen R. Cintrón Ferrer - 2004, Derechos Carmen R. Cintrón Ferrer - 2004, Derechos ReservadosReservados

Contenido TemáticoContenido Temático

Tecnología de redesTecnología de redes

Planificación y evaluación de redesPlanificación y evaluación de redes

Seguridad y protección de redesSeguridad y protección de redes

Integración de peritos técnicosIntegración de peritos técnicos

Proceso de auditoría de redesProceso de auditoría de redes

Informe de auditoría de redesInforme de auditoría de redes

Integración de peritos técnicos Integración de peritos técnicos Quinto móduloQuinto módulo

Tipo de peritos técnicosTipo de peritos técnicos

Áreas a examinarÁreas a examinar

Herramientas disponiblesHerramientas disponibles

Tipos de análisis o auditoría técnicaTipos de análisis o auditoría técnica

Ejercicio de IntegraciónEjercicio de Integración

Integración de peritos técnicos Integración de peritos técnicos Tipo de peritos técnicosTipo de peritos técnicos

Especialistas en “routers” (Cisco) y “switchs”Especialistas en “routers” (Cisco) y “switchs”

Especialista en seguridad:Especialista en seguridad:““Firewall”Firewall”

““DNS”DNS”

Análisis de vulnerabilidadesAnálisis de vulnerabilidades

Programador de sistemas operativos:Programador de sistemas operativos:Unix/LinuxUnix/Linux

Windows NT/2000Windows NT/2000

OtrosOtros

Programador en DBMSProgramador en DBMS

Técnico de telecomunicaciones (red voz/datos)Técnico de telecomunicaciones (red voz/datos)

Integración de peritos técnicos Integración de peritos técnicos Áreas a examinarÁreas a examinar

Configuración de la redConfiguración de la red

Configuración de Router y FirewallConfiguración de Router y Firewall

Configuración de servidores y serviciosConfiguración de servidores y servicios

Código maliciosoCódigo malicioso

AtaquesAtaques

Terrorismo cibernéticoTerrorismo cibernético

““Information warfare”Information warfare”

Integración de peritos técnicos Integración de peritos técnicos Áreas a examinarÁreas a examinar

Código malicioso:Código malicioso:VirusVirus

GusanosGusanos

Bombas lógicas: código escondido que se ejecuta al Bombas lógicas: código escondido que se ejecuta al ocurrir un evento o una fechaocurrir un evento o una fecha

Troyanos: código escondido que parece inofensivo y Troyanos: código escondido que parece inofensivo y permite su ejecución dentro de otros programas o permite su ejecución dentro de otros programas o procesosprocesos

““Back doors”: Caminos para acceder la red o sus Back doors”: Caminos para acceder la red o sus recursos que utilizan los intrusosrecursos que utilizan los intrusos

Integración de peritos técnicos Integración de peritos técnicos Áreas a ExaminarÁreas a Examinar

Tipo de Ataques:Tipo de Ataques:Acceso: Acceso: Intento de acceder información o servicios Intento de acceder información o servicios

Modificación:Modificación: Intento de cambiar información, Intento de cambiar información,

configuración o controlesconfiguración o controles ““Denial of Service”: Denial of Service”: Denegar acceso o servicios a Denegar acceso o servicios a quien tiene derechoquien tiene derecho

Repudiación: Repudiación: Intento de proveer información falsa Intento de proveer información falsa o de esconder trámiteso de esconder trámites


Ataques de Acceso:Ataques de Acceso:““Snooping”Snooping”““Eavesdropping”Eavesdropping”InterceptarInterceptar

Ataques de Modificación:Ataques de Modificación: Cambiar Cambiar InsertarInsertarEliminarEliminar

Ataques de Denegar acceso (“Denial of Service”): Ataques de Denegar acceso (“Denial of Service”): InformaciónInformaciónAplicacionesAplicacionesSistemasSistemasMedio de comunicación o conexiónMedio de comunicación o conexión

Ataques de Repudiación:Ataques de Repudiación:““Masquerading”Masquerading”Denegar un eventoDenegar un evento


Ejemplos de tipos de ataque:Ejemplos de tipos de ataque:Nivel de aplicación: utiliza las debilidades de los sistemas y/o Nivel de aplicación: utiliza las debilidades de los sistemas y/o aplicaciones a través de puertos o servicios disponiblesaplicaciones a través de puertos o servicios disponibles““Denial of service (DoS)”: interrumpe o limita la disponibilidad Denial of service (DoS)”: interrumpe o limita la disponibilidad de los recursos o servicios en redde los recursos o servicios en red““Ping of Death”: envío de paquetes que exceden el tamaño Ping of Death”: envío de paquetes que exceden el tamaño máximo y colman los “buffers”máximo y colman los “buffers”““IP-spoofing”: Cuando el invasor se hace pasar por un usuario IP-spoofing”: Cuando el invasor se hace pasar por un usuario válido (valid IP) interno o externoválido (valid IP) interno o externo““Passwords”: Intentos de identificar cuentas y claves de Passwords”: Intentos de identificar cuentas y claves de usuario válidas para lograr acceso autorizadousuario válidas para lograr acceso autorizadoRedireccionamiento de puertos: permite atravesar el “Firewall” Redireccionamiento de puertos: permite atravesar el “Firewall” y acceder recurso o servicios en áreas protegidasy acceder recurso o servicios en áreas protegidas““Man in the middle”: coloca al intruso entre medio del tráfico Man in the middle”: coloca al intruso entre medio del tráfico para examinarlo, redirigirlo, o controlarlo para examinarlo, redirigirlo, o controlarlo


Ejemplos de tipos de ataque:Ejemplos de tipos de ataque:• ““TCP SYN flood”: Mientras se establece la conexión entre el TCP SYN flood”: Mientras se establece la conexión entre el

cliente y el servidor ésta permanece abierta permitiendo un cliente y el servidor ésta permanece abierta permitiendo un ataque que sobrepasa la capacidad de manejo de conexiones ataque que sobrepasa la capacidad de manejo de conexiones abiertas al servidor.abiertas al servidor.

• ““Packet sniffers”: se instalan para examinar el tráfico en la red Packet sniffers”: se instalan para examinar el tráfico en la red y recoger información sobre IP’s, usuarios y servicios y recoger información sobre IP’s, usuarios y servicios (recursos)(recursos)

• ““NW reconnaissance”: el examen de la red utilizando NW reconnaissance”: el examen de la red utilizando programas para recoger datos sobre DNS (servidores y programas para recoger datos sobre DNS (servidores y direcciones), PING (direcciones y servicios), Puertos direcciones), PING (direcciones y servicios), Puertos (servicios), características de las aplicaciones instaladas, etc.(servicios), características de las aplicaciones instaladas, etc.

• ““Autorooters”: rutinas automáticas para analizar el entorno de Autorooters”: rutinas automáticas para analizar el entorno de la red, sus controles, servicios y aplicacionesla red, sus controles, servicios y aplicaciones

• ““Tribe Network Flood”Tribe Network Flood”• ““Stacheldraht”Stacheldraht”


Terrorismo cibernético:Terrorismo cibernético:Ataques concertadosAtaques concertados

Secuestro de instalacionesSecuestro de instalaciones

““Information warfare”: Information warfare”: PersonalPersonal

CorporativoCorporativo

GlobalGlobal

Herramientas disponiblesHerramientas disponiblesShareware & FreewareShareware & Freeware

NombreNombre DescripciónDescripción DirecciónDirección

BlackWidowBlackWidow Web site browserWeb site browser www.softbytelabs.com/files/BlackWidow.exewww.softbytelabs.com/files/BlackWidow.exe

CrackCrack Password crackerPassword crackerwww.users.dircon.co.uk/-crypto/dowload/c50-www.users.dircon.co.uk/-crypto/dowload/c50-faq.htmlfaq.html

DumpelDumpel Dumps Win2k Dumps Win2k event logsevent logs

www.microsoft.com/windows2000/techinfo/reskit/twww.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.aspools/existing/dumpel-o.asp

DumpsecDumpsec Win Security Win Security auditing programauditing program

http://www.somarsoft.comhttp://www.somarsoft.com

EtherealEthereal Network sniffing Network sniffing and packet analisysand packet analisys

www.ethereal.com/distribution/win32/ethereal-setuwww.ethereal.com/distribution/win32/ethereal-setup-0.9.0-1.exep-0.9.0-1.exe

Forensic Forensic ToolkitToolkit

File properties File properties analyzeranalyzer

www.foundstone.com/rdlabs/tools.php?category=www.foundstone.com/rdlabs/tools.php?category=ForensicForensic

FportFport Reports open TCP Reports open TCP & UDP ports& UDP ports

www.foundstone.com/rdlabs/termsofuse.php?www.foundstone.com/rdlabs/termsofuse.php?

FragrouterFragrouter Fragments packetsFragments packets www.packetstormsecurity.comwww.packetstormsecurity.com

Herramientas disponiblesHerramientas disponiblesShareware & Freeware Shareware & Freeware (Cont. 2)(Cont. 2)


Hping2Hping2 Expands ICMPExpands ICMP www.hping.org/hping2.0.0-rc1.tar.gzwww.hping.org/hping2.0.0-rc1.tar.gz

IIS lockdownIIS lockdownHardens IIS Hardens IIS installationinstallation

www.microsoft.com/Dowloads/Release.asp?Releawww.microsoft.com/Dowloads/Release.asp?ReleaseID=32362seID=32362

JohntheripperJohntheripper Password crackerPassword cracker www.packetstormsecurity.comwww.packetstormsecurity.com

JstegJsteg Stenography toolStenography tool www.tiac.net/users/korejwa/jsteg.htmwww.tiac.net/users/korejwa/jsteg.htm

LeakTestLeakTest Firewall testerFirewall tester www.grc.com/lt/leaktest.htmwww.grc.com/lt/leaktest.htm

LegionLegion Share scannerShare scanner www.nmrc.org/files/sntwww.nmrc.org/files/snt

Netbus 1.7Netbus 1.7 Remote control Remote control trojan softwaretrojan software

www.packetstorm.decepticons.org/trojans/NetBuswww.packetstorm.decepticons.org/trojans/NetBus170.zip170.zip

PgpPgp Encryption swEncryption sw www.pgpi.org/products/pgp/versions/freeewarewww.pgpi.org/products/pgp/versions/freeeware

Ping WarPing War Tool to ping large Tool to ping large range of IP’srange of IP’s

www.simtel.net/autodownload.html?mirror=5&prodwww.simtel.net/autodownload.html?mirror=5&product=17874&key=00dbb38ca3570c3050b1uct=17874&key=00dbb38ca3570c3050b1



Purge-It!Purge-It! Trojan removal Trojan removal www.purge-it.comwww.purge-it.com

PWDump3PWDump3 Password crackerPassword cracker www.ebiz-tech.com/pwdump3www.ebiz-tech.com/pwdump3

S-toolsS-tools Steganography toolSteganography tool www.members.tripod.com/steganography/stego/sowww.members.tripod.com/steganography/stego/software.htmlftware.html

SnortSnort IDS&packet snifferIDS&packet sniffer www.snort.org/downloads.html#1.19www.snort.org/downloads.html#1.19

Socket 80Socket 80 Unicode attack swUnicode attack sw www.astalavista.com/tools/auditing/network/http-sewww.astalavista.com/tools/auditing/network/http-serverrver

Startup Startup CopCop

Startup profiles Startup profiles creatorcreator

www.pcmag.com/article/0,2997,s=400&a=8066,00.www.pcmag.com/article/0,2997,s=400&a=8066,00.asp?download_url=http://common.ziffdavisinternet.asp?download_url=http://common.ziffdavisinternet.com/download/0/1098/startcop.zipcom/download/0/1098/startcop.zip

SubSevenSubSeven Remote control Remote control trojan swtrojan sw

www.securityfocus.com/tools/1403www.securityfocus.com/tools/1403

SuperScanSuperScan Win port scannerWin port scanner www.packetstormsecurity.comwww.packetstormsecurity.com

TCP TCP Wrappers Wrappers 7.67.6

Inetd wrapper Inetd wrapper controls access to controls access to net servicesnet services

ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6.tar.gz.6.tar.gz



TFN2KTFN2K DDoS toolDDoS tool www.packetstormsecurity.comwww.packetstormsecurity.com

TinyTiny Personal FirewallPersonal Firewall www.tinysoftware.com/tiny/files/apps/pf2.exewww.tinysoftware.com/tiny/files/apps/pf2.exe

TripwireTripwire Host-based Host-based Intrusion Intrusion detectiondetection

www.tripwire.org/downloads.index.phpwww.tripwire.org/downloads.index.php

WebsluethWebslueth Web site analysisWeb site analysis www.download.comwww.download.com

WhiskerWhisker CGI scannerCGI scanner www.wiretrip.netwww.wiretrip.net

Wildpackets’sWildpackets’s Windows IP Windows IP Subnet calculatorSubnet calculator

www.wildpackets.com/products/ipsubnetcalculatorwww.wildpackets.com/products/ipsubnetcalculator

WindumpWindump Packet snifferPacket sniffer www.netgroup-serv.polito.it/windump/install/www.netgroup-serv.polito.it/windump/install/Default.htmDefault.htm

Xinetd2.3.3Xinetd2.3.3 Inetd & TCP Inetd & TCP wrapperswrappers

www.synack.net/xinetd/www.synack.net/xinetd/

Zonealarm Zonealarm Personal FirewallPersonal Firewall www.zonealarm.com/za_download_1.htmwww.zonealarm.com/za_download_1.htm

Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoríaTipos de análisis o auditoría

Auditoría interna periódica:Auditoría interna periódica:• Revisión de bitácoras (acceso/modificación)Revisión de bitácoras (acceso/modificación)• Verificación de versiones e instalación de parchosVerificación de versiones e instalación de parchos• Análisis de cumplimiento con políticas y procedimientosAnálisis de cumplimiento con políticas y procedimientos• Análisis de vulnerabilidades de sistemasAnálisis de vulnerabilidades de sistemas• Análisis de vulnerabilidades de la redAnálisis de vulnerabilidades de la red• ““Penetration test”Penetration test”

Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoríaTipos de análisis o auditoría

Trust relationships:Trust relationships:rlogin (Unix)rlogin (Unix)

Trojans: Trojans: NetbusNetbusSubsevenSubseven

Host-based intrusion detection:Host-based intrusion detection:TCP Wrappers (Unix)TCP Wrappers (Unix)Xinetd Xinetd TripwireTripwireSwatchSwatchPort sentryPort sentryDumpel (Win2K)Dumpel (Win2K)

Integración de peritos técnicos Integración de peritos técnicos Tipos de análisis o auditoría Tipos de análisis o auditoría (Cont. 2)(Cont. 2)

Network based intrusion detection:Network based intrusion detection:TCPDumpTCPDumpNuking (Win 95/98)Nuking (Win 95/98)SnortSnort

Firewalls:Firewalls:ZoneAlarm – Leak TestZoneAlarm – Leak TestTiny – Leak TestTiny – Leak Test IPChains (Linux)IPChains (Linux)

Scanning tools:Scanning tools:NMap/NMapNTNMap/NMapNTSuperScanSuperScanNessusNessusLegionLegionHPing2HPing2


Servidores vulnerables:Servidores vulnerables:““Null Sessions” – HUNTNull Sessions” – HUNT

““DumpSec” – “shares”, RAS Dial-in, PoliciesDumpSec” – “shares”, RAS Dial-in, Policies

Cambios en Firewall, router (ACL’s)Cambios en Firewall, router (ACL’s)

Descifrar passwords:Descifrar passwords:John the RipperJohn the Ripper

Lopht Crack (LC3)Lopht Crack (LC3)

Imagen de discos:Imagen de discos:GhostGhost

Dd (Linux/UNIX)Dd (Linux/UNIX)


Denial of Service attacks (DoS):Denial of Service attacks (DoS):floods UDP, SYN packets floods UDP, SYN packets

ICMP broadcast packets and echo requestsICMP broadcast packets and echo requests

TFN2K & TrinooTFN2K & Trinoo

Deception:Deception:FragrouterFragrouter


Auditoría de la sede virtual:Auditoría de la sede virtual:BlackWidowBlackWidow

WebSleuthWebSleuth

Whisker (CGI Web Scanner)Whisker (CGI Web Scanner)

Cierre de la sede virtual (“IIS Lockdown”):Cierre de la sede virtual (“IIS Lockdown”):Permite al administrador determinar que Permite al administrador determinar que servicios estarán disponiblesservicios estarán disponibles

Vulnerabilidad frente uso de Unicode:Vulnerabilidad frente uso de Unicode:Socket80Socket80

Integración de peritos técnicos Integración de peritos técnicos Ejercicio de IntegraciónEjercicio de Integración

Tomados de SANS GIACTomados de SANS GIAC

Configuración de Windows:Configuración de Windows:Troyanos Troyanos (Subseven p.49)(Subseven p.49)

Auditar servidor/equipo Auditar servidor/equipo (Dumpel p.83)(Dumpel p.83)

Verificar configuración y seguridad Verificar configuración y seguridad (mmc(mmc p. 292)p. 292)

Análisis del RouterAnálisis del Router (ACL) (p. 245, 249, 253) (ACL) (p. 245, 249, 253)

Análisis del Web Análisis del Web (Whois/BlackWidow/WebSleuth) (Whois/BlackWidow/WebSleuth) (p.200,203,209)(p.200,203,209)

Conseguir Claves Conseguir Claves (John the Ripper) (p. 168)(John the Ripper) (p. 168)

Vulnerabilidad Vulnerabilidad (Nmap/Nessus) (p.125, 136)(Nmap/Nessus) (p.125, 136) IDS:IDS:

Sniffing Sniffing (TCPDUMP p. 89)(TCPDUMP p. 89)

Nukking Nukking (Winnuke/Tiny FW p. 94)(Winnuke/Tiny FW p. 94)

Snort Snort (p.99)(p.99)

EjercicioEjercicioConfiguración de WindowsConfiguración de Windows

Configuración de Windows:Configuración de Windows:Dumpel Dumpel (ver archivo)(ver archivo)

Dumpreg Dumpreg (ver archivo)(ver archivo)

Wininfo Wininfo

Configuración de seguridad:Configuración de seguridad:Leak Test Leak Test (Firewall penetration)(Firewall penetration)

Attacker Attacker (port scanner)(port scanner)

Control de equipo:Control de equipo:

Subseven Subseven (troyano)(troyano)

John the Ripper John the Ripper (password cracker)(password cracker)

EjercicioEjercicioConexiónConexión

Router: Router: (cmd prompt)(cmd prompt)

TracerouteTraceroutePing Ping (Hping/Fping UNIX)(Hping/Fping UNIX)

Ipconfig Ipconfig (rpcinfo UNIX)(rpcinfo UNIX)

Router Audit Tool Router Audit Tool (RAT)(RAT)

Web address:Web address:Whois – Whois – www.whois.netwww.whois.net

www.arin.netwww.arin.net

Black Widow – Black Widow – www.softbytelabs.comwww.softbytelabs.com

Web Inspect - Web Inspect -

EjercicioEjercicioExaminar la redExaminar la red

Vulnerabilidad:Vulnerabilidad:NmapNmap

NessusNessus

IDS:IDS:Sniffing - Sniffing - TCPDUMPTCPDUMP

Nukking - Nukking - Winnuke/Tiny FWWinnuke/Tiny FW

Snort Snort

ReferenciasReferencias

GSEC Security Essentials ToolkitGSEC Security Essentials Toolkit, Cole, Newfield & , Cole, Newfield & Millican, SANS Press, 2002Millican, SANS Press, 2002Network Security: A Beginner’s GuideNetwork Security: A Beginner’s Guide, Maiwald, Eric , Maiwald, Eric Osborne/McGraw Hill, 2001Osborne/McGraw Hill, 2001Data Communications Network AuditingData Communications Network Auditing, Griffis, Bruce, , Griffis, Bruce, Flatiron Publishing, 1996Flatiron Publishing, 1996Security Planning & Disaster RecoverySecurity Planning & Disaster Recovery, Maiwald & , Maiwald & Sieglein, McGraw Hill, 2002Sieglein, McGraw Hill, 2002Web Security Portable ReferenceWeb Security Portable Reference, Shema, Mike, Osborne-, Shema, Mike, Osborne-McGraw Hill, 2003McGraw Hill, 2003Security AssessmentSecurity Assessment, Miles, Rogers, Fuller, Hoagberg & , Miles, Rogers, Fuller, Hoagberg & Dykstra, Syngress, 2004Dykstra, Syngress, 2004Security CompleteSecurity Complete, Taylor, Tiffany, Editor, Sybex, 2, Taylor, Tiffany, Editor, Sybex, 2ndnd Edition, 2002Edition, 2002IT Security, IT Security, Educause, 2004Educause, 2004

ReferenciasReferencias

Information Systems Control and AuditInformation Systems Control and Audit, Weber, Ron, Prentice Hall, , Weber, Ron, Prentice Hall, 19991999Absolute Beginner’s Guide to networkingAbsolute Beginner’s Guide to networking, 4, 4thth Edition, Habraken, Joe, Edition, Habraken, Joe, QUE, 2004QUE, 2004Teach Yourself VISUALLY NetworkingTeach Yourself VISUALLY Networking, 2, 2ndnd Edition, IDG Books, 2000 Edition, IDG Books, 2000How Networks Work, How Networks Work, Derfler & Freed, Ziff Davis Press, 1993Derfler & Freed, Ziff Davis Press, 1993How to ConnectHow to Connect, Shipley, Chris, Ziff Davis Press, 1993, Shipley, Chris, Ziff Davis Press, 1993How the Internet WorksHow the Internet Works, Eddings, Joshua, Ziff Davis Press, 1994, Eddings, Joshua, Ziff Davis Press, 1994Handbook of Information Security Management, Handbook of Information Security Management, Ruthberg & Tipton, Ruthberg & Tipton, Auerbach, 1993Auerbach, 1993Handbook of Information Security Management, Handbook of Information Security Management, Krause & Tipton, Krause & Tipton, Auerbach, 1999Auerbach, 1999Network Security: A hacker’s perspectiveNetwork Security: A hacker’s perspective, Fadia, Premier Press,2003, Fadia, Premier Press,2003Lectures on Network Auditing, IT Audit, Institute of Internal Auditors, Lectures on Network Auditing, IT Audit, Institute of Internal Auditors, 2003-20042003-2004ISACA CISA Examination DomainsISACA CISA Examination Domains

Auditoría de Redes AUD 721 Módulo 5 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.

Documents

Transcript of Auditoría de Redes AUD 721 Módulo 5 Carmen R. Cintrón Ferrer - 2004, Derechos Reservados.