2011- 2012 · pdf fileuna vez que tengamos eso, vamos al panel de control> agregar o quitar...
TRANSCRIPT
2011-2012
José Jiménez Arias
IES Gregorio Prieto
2011-2012
UD2 Documentación 5 Amenazas y Ataques a redes
corporativas
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
2
ÍNDICE
a) Identidad digital.- ¿Qué diferencias existen entre la instalación de un certificado en un servidor web y un servidor de certificaciones? Busca cómo se instala y qué opciones ofrece el servidor de certificados integrados en el servidor IIS de Microsoft. Realiza una petición por parte de un cliente de un certificado digital. b) Seguridad en redes corporativas:
Windows: Uso de Caín & Abel como Sniffing – MitM- ARP Spoofing – Pharming.
GNU/Linux: Uso de ArpWatch. c) Seguridad en redes corporativas:
Uso de netstat para análisis de puertos en Window y GNU/Linux.
Uso de un análisis de puertos on line:
d) Uso de la distribución Backtrack de GNU/Linux con la finalidad de investigar sobre la inyección de código SQL (SQL Inyección) con la finalidad de obtener las tablas de usuarios y contraseñas de las bases de datos de sitios web. Prueba en un sitio web en el que sea necesario registrarse. ¿Qué tipo de precauciones tendrías como administrador web para evitar inyecciones SQL?
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
3
a) Identidad digital.- ¿Qué diferencias existen entre la instalación de un certificado en un servidor web y un servidor de certificaciones?
Certificado de servidor WEB: Es aquel que permite identificar un servidor Web o una URL. Este certificado le permitirá establecer comunicaciones con sus clientes utilizando la tecnología SSL, el estándar para comunicaciones seguras en la Web. Su servidor se identificará a los clientes con el nombre del dominio donde se encuentra su servicio Web.
Un servidor de certificaciones: Es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados.
Busca cómo se instala y qué opciones ofrece el servidor de certificados integrados en el servidor IIS de Microsoft. Realiza una petición por parte de un cliente de un certificado digital.
Como primer paso necesitamos un servidor con IIS instalado.
Una vez que tengamos eso, vamos al Panel de Control> Agregar o quitar programas> Agregar/Quitar componentes de Windows y seleccionamos:
Servicios de Certificate Server
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
4
Cuando hacemos clic en siguiente, una advertencia se mostrará diciendo que una vez que hayamos instalado una CA en ese server, no podremos ni cambiarle el nombre ni cambiar el miembro a un dominio. De hacerlo, invalidaría los certificados emitidos:
La Enterprise CA se integra con Active Directory, otorgando certificados a los miembros de AD, con usos múltiples. En esta oportunidad, seleccionaremos las configuraciones por defecto y completaremos los datos pertinentes:
Pulsamos Siguiente.
Escribimos un nombre en el campo Nombre común para esta entidad emisora de certificados y pulsamos Siguiente.
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
5
Pulsamos Siguiente.
Pulsadmos Sí. (Recuerdo que esto reinicia el IIS). Se solicitará el cd original de Windows 2003 server.
Más info: http://www.bujarra.com/ProcedimientoW2008GenerarCertificadoIIS.html
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
6
b) Seguridad en redes corporativas: - Windows: Uso de Caín & Abel como Sniffing – MitM- ARP Spoofing – Pharming. Es una herramienta enfocada principalmente a la recuperación de contraseñas utilizando para esto distintos medios. Permite sniffear tu red en busca de contraseñas, recupera tus passwords de internet explorer, conexión telefónica, red inalámbrica, cuenta con un excelente crackeado que permite decodificar gran cantidad de contraseñas, permite ver detrás de los asteriscos “**”en contraseñas guardadas… en fin… es una excelente herramienta para entornos windows. En primer lugar descargamos e instalamos el software:
Para que el programa sea funcional hemos de descargarlos las tablas necesarias de la siguiente forma:
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
7
Una vez instalado el programa tiene el siguiente aspecto:
Pulsamos sobre configure, y nos aparece la siguiente pestaña emergente: Seleccionamos nuestra tarjeta.
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
8
El programa permite la suplantación de identidad “spoffing mediante la siguiente pestaña que permite cambiar tu dirección ip y tu direeción MAC”.
Si realizamos un análisis sniffing nos muestra lo siguiente: Los dispositivos conectado y su dirección tanto Ip como MAC
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
9
- GNU/Linux: Uso de ArpWatch. En primer lugar descargamos e instalamos el software: A continuación abrimos una nueva terminal y tecleamos lo siguiente: Vemos las opciones que nos propone el software con: arpwatch man
Posteriormente seleccionamos la interfaz con la que queremos operar:
Y por último ejecitamos la sentencia: arpwatch –dN para ver las conexiones existente con nuestra tarjeta.
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
10
c) Seguridad en redes corporativas: - Uso de netstat. Es una herramienta de línea de comandos que muestra un listado de las conexiones activas de una computadora, tanto entrantes como salientes.
WINDOWS Nos dirigimos a Inicio>Ejecutar y tecleamos: “netstat” El resultado del comando es el siguiente:
GNU/LINUX (ubuntu)
Nos dirigimos a Aplicaciones>Accesorios>terminal y tecleados: netstat -tlnp Muestra un listado de los puertos usados en nuestra máquina junto con el nombre del programa:
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
11
- Uso de un análisis de puertos on line: Resultado de mi análisis:
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
12
d) Uso de la distribución Backtrack de GNU/Linux con la finalidad de investigar sobre la inyección de código SQL (SQL Inyection) con la finalidad de obtener las tablas de usuarios y contraseñas de las bases de datos de sitios web.
Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.
El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
13
Backtrack de GNU/Linux
En primer lugar arrancamos con el cd BackTrack previamente descargado de la pagina oficial y quemado en un cd. Seleccionamos la opción safe mode:
A continuación Entramos en la aplicación sqlslap desde la siguiente ruta: Exploitation Tools>Database Explotation Tools> MSSQL Explotation Tool>sqlslap
Ejecutamos la siguiente sentencia:
El resultado es el de que no se puede acceder, es un sitio seguro.
UD2 Documentación 5 Amenazas y Ataques a redes corporativas
Alumno: José Jiménez Arias
Módulo: Seguridad y Alta Disponibilidad.
2011-2012
14
¿Qué tipo de precauciones tendrías como administrador web para evitar inyecciones SQL? Actualmente, la mayoría de las páginas web se construyen en torno a aplicaciones para proporcionar servicios de calidad a sus usuarios. En particular los gestores de contenidos, son ampliamente utilizados para crear, editar y administrar el contenido. Debido a la naturaleza interactiva de estos sistemas, donde la entrada de los usuarios es fundamental, es importante pensar en la seguridad, a fin de evitar explotaciones maliciosas por parte de terceros y para garantizar la mejor experiencia de usuario. En general, los más comunes y peligrosos son los de inyección de SQL y los de cross-site scripting (XSS). Sin duda hay algunas precauciones que pueden tomarse para evitar este tipo de ataque. Por ejemplo, es una buena práctica agregar una capa entre un formulario (front end) y la base de datos (back end). En PHP, la extensión DOP se usa a menudo para trabajar con parámetros (a veces llamados marcadores o variables de unión) en lugar de integrar el ingreso de los usuarios en la sentencia. Otra técnica realmente fácil es escapar caracteres, donde todos los caracteres peligrosos que pueden tener un efecto directo sobre la estructura de base de datos son escapados. Por ejemplo, cada aparición de una comilla simple [ '] en un parámetro debe ser sustituido por dos comillas simples [''] para formar una cadena literal de SQL válida. Estas son sólo dos de las acciones más comunes que uno puede tomar para mejorar la seguridad de un sitio y evitar las inyecciones SQL. Puede encontrar en Internet muchos otros recursos específicos que pueden satisfacer sus necesidades (lenguajes de programación, aplicaciones web específicas).