Laboratorio 1 - TSR

Profesor: Jaime lvarez

Integrantes: Jorge Beltrn Guido Valdebenito Sal Gajardo

1.A) nmap O <website>

b.- Informa tanto la IP del host, los puertos y sus respectivos estados y servicios, la direccin MAC y el SO utilizado.

c.- Se pueden utilizar diferentes formas para evadir un firewall. Como las siguientes: -f (fragmentar los paquetes); --mtu (utilizar el MTU especificado) La opcin -f hace que el sondeo solicitado (incluyendo los sondeos ping) utilicen paquetes IP fragmentados pequeos. La idea es dividir la cabecera del paquete TCP entre varios paquetes para hacer ms difcil que los filtros de paquetes, sistemas de deteccin de intrusos y otras molestias detecten lo que se est haciendo. Tenga cuidado con esta opcin! Algunos programas tienen problemas para manejar estos paquetes tan pequeos. El viejo sniffer llamado Sniffit da un fallo de segmentacin inmediatamente despus de recibir el primero de estos pequeos fragmentos. Especifica esta opcin una sola vez y Nmap dividir los paquetes en ocho bytes o menos despus de la cabecera de IP. De esta forma, una cabecera TCP de veinte bytes se dividira en 3 paquetes. Dos con ocho bytes de

cabecera TCP y uno con los ltimos ocho. Obviamente, cada fragmento tiene su propia cabecera IP. Especifica la opcin -f otra vez para utilizar fragmentos de diecisis bytes (reduciendo la cantidad de fragmentos). O puedes especificar tu propio tamao con la opcin --mtu. No utilice la opcin -f si utiliza --mtu. El tamao debe ser mltiplo de ocho. Aunque la utilizacin de paquetes fragmentados no le ayudar a saltar los filtros de paquetes y cortafuegos que encolen todos los fragmentos IP (como cuando se utiliza la opcin CONFIG_IP_ALWAYS_DEFRAG del ncleo de Linux), algunas redes no pueden tolerar la prdida de rendimiento que esto produce y deshabilitan esa opcin. Otros no pueden habilitar esta opcin porque los fragmentos pueden tomar distintas rutas para entrar en su red. Algunos sistemas defragmentan los paquetes salientes en el ncleo. Un ejemplo de sto es Linux con el mdulo de seguimiento de conexiones de iptables. Realice un sondeo con un programa de captura de trfico, como Ethereal, para asegurar que los paquetes que se envan estn fragmentndose. Intente utilizar la opcin --send-eth, si su sistema operativo le est causando problemas, para saltarse la capa IP y enviar tramas directamente a la capa Ethernet en crudo. -D <seuelo1 [,seuelo2][,ME],...> (Esconde un sondeo con seuelos) Realiza un sondeo con seuelos. Esto hace creer que el/los equipo/s que utilice como seuelos estn tambin haciendo un sondeo de la red. De esta manera sus IDS pueden llegar a informar de que se estn realizando de 5 a 10 sondeos de puertos desde distintas direcciones IP, pero no sabrn qu direccin IP est realizando el anlisis y cules son seuelos inocentes. Aunque esta tcnica puede vencerse mediante el seguimiento del camino de los encaminadores, descarte de respuesta (response-dropping, N. del T.), y otros mecanismos activos, generalmente es una tcnica efectiva para esconder su direccin IP. Se debe separar cada equipo de distraccin mediante comas, y puede utilizar ME (YO, N. del T.) como uno de los seuelos para representar la posicin de su verdadera direccin IP. Si pone ME en la sexta posicin o superior es probable que algunos detectores de sondeos de puertos habituales (como el excelente scanlogd de Solar Designer) ni siquiera muestren su direccin IP. Si no utiliza ME, Nmap le pondr en una posicin aleatoria. Tenga en cuenta que los equipos que utilice como distraccin deberan estar conectados o puede que accidentalmente causes un ataque de inundacin SYN a sus objetivos. Adems, sera bastante sencillo determinar qu equipo est realmente haciendo el sondeo si slo uno est disponible en la red. Puede que quiera utilizar direcciones IP en lugar de nombres (de manera que no aparezca en los registros del servidor de nombres de los sistemas utilizados como seuelo). Se utilizan los seuelos tanto para el sondeo de ping inicial (si se utiliza ICMP, SYN, ACK, o cualquier otro) como durante la fase de sondeo. Tambin se utilizan los seuelos durante la deteccin de sistema operativo (-O). Los seuelos no funcionarn con la deteccin de versin o el sondeo TCP connect(). Vale la pena tener en cuenta que utilizar demasiados seuelos puede ralentizar el sondeo y potencialmente hacerlo menos exacto. Adems, algunos proveedores de acceso a Internet filtrarn los paquetes falsificados, aunque hay muchos que no lo hacen.

-S <Direccin_IP> (Falsifica la direccin de origen) Nmap puede que no sea capaz de determinar tu direccin IP en algunas ocasiones (Nmap se lo dir si pasa). En esta situacin, puede utilizar la opcin -S con la direccin IP de la interfaz a travs de la cual quieres enviar los paquetes. Otro uso alternativo de esta opcin es la de falsificar la direccin para que los objetivos del anlisis piensen que algn otro los est sondeando. Imagine una compaa a los que les sondea repetidamente la competencia! Generalmente es necesaria la opcin -e si lo quiere utilizar as, y tambin sera recomendable la opcin -P0. -e <interfaz> (Utilizar la interfaz especificada) Indica a Nmap a travs de qu interfaz debe enviar y recibir los paquetes. Nmap debera detectar esto automticamente, pero se lo dir si no. --source-port<nmero_de_puerto>; -g <nmero_de_puerto> (Falsificar el puerto de origen) Un error de configuracin sorprendentemente comn es confiar en el trfico basndose nicamente en el nmero de puerto origen. Es fcil entender por qu pasa esto. Un administrador que est configurando su nuevo y flamante cortafuegos, recibe de repente quejas de todos sus usuarios desagradecidos que le dicen que sus aplicaciones han dejado de funcionar. En particular, puede romperse el DNS porque las respuestas UDP de DNS de servidores externos ya no pueden entrar en la red. Otro ejemplo habitual es el caso del FTP. En una transferencia activa de FTP, el servidor remoto intenta establecer una conexin de vuelta con el cliente para transferir el archivo solicitado. Existen soluciones seguras para estos problemas, como las pasarelas en el nivel de aplicacin o los mdulos de cortafuegos que realizan un anlisis del protocolo. Desgraciadamente, tambin hay soluciones ms fciles y menos seguras. Al darse cuenta que las respuestas de DNS vienen del puerto 53 y que las conexiones activas de FTP vienen del puerto 20, muchos administradores caen en la trampa de configurar su sistema de filtrado para permitir el trfico entrante desde estos puertos. Generalmente asumen que ningn atacante se dar cuenta de estos agujeros en el cortafuegos ni los aprovechar. En otros casos, los administradores consideran esto una solucin a corto plazo hasta que puedan implementar una solucin ms segura. Y despus se olvidan de hacer la mejora de la seguridad. Los administradores de red con mucho trabajo no son los nicos que caen en esta trampa. Muchos productos se lanzan al mercado con estas reglas inseguras. Hasta Microsoft lo ha hecho. Los filtros de IPsec que se preinstalan con Windows 2000 y Windows XP contienen una regla implcita que permite todo el trfico TCP o UDP desde el puerto 88 (Kerberos). Otro caso conocido es el de las versiones de ZoneAlarm Firewall Personal que, hasta la versin 2.1.25, permitan cualquier paquete entrante UDP desde el puerto 53 (DNS) o 67 (DHCP).

Nmap ofrece las opciones -g y --source-port (son equivalentes) para aprovecharse de estas debilidades. Simplemente indique el nmero de puerto y Nmap enviar los paquetes desde ese puerto cuando sea posible. Nmap debe utilizar distintos nmeros de puerto para ciertos tipos de prueba en la deteccin de sistema operativo para que funcionen correctamente, y las solicitudes de DNS ignoran la opcin --source-port porque Nmap depende de las libreras del sistema para hacerlas. Esta opcin se soporta completamente en muchos sondeos TCP, incluyendo el sondeo SYN, al igual que los sondeos UDP. --data-length<nmero> (Aadir datos aleatorios a los paquetes enviados) Normalmente Nmap enva paquetes mnimos que contienen slo la cabecera. As, los paquetes TCP que enva son generalmente de 40 bytes y las solicitudes echo de ICMP son de tan slo 28. Esta opcin le dice a Nmap que aada el nmero indicado de bytes aleatorios a la mayora de los paquetes que enva. Esta opcin no afecta a los paquetes enviados para la deteccin de sistema operativo (-O), pero s a la mayora de los paquetes de ping y de sondeo de puertos. Esta opcin hace que el sondeo sea un poco ms lento, pero tambin que el sondeo sea un poco ms difcil de detectar. --ttl<valor> (Indica el valor del campo tiempo-de-vida de la cabecera IP) Establece el campo tiempo-de-vida (time-to-live, N. del T.) en la cabecera de los paquetes IPv4 al valor especificado. --randomize-hosts (Mezclar aleatoriamente la lista de equipos a sondear) Indica a Nmap que debe mezclar aleatoriamente cada grupo de hasta 8096 equipos antes de hacer un sondeo. Esto puede hacer que el sondeo sea menos obvio para algunos sistemas de monitorizacin de la red, especialmente cuando se combina con las opciones que ralentizan el sondeo. Si quiere mezclar aleatoriamente listas ms grandes, incremente el valor de la constante PING_GROUP_SZ en nmap.h y recompile el programa. Una solucin alternativa es generar la lista de sistemas a sondear con un sondeo de lista (-sL -n -oN <fichero>), ordenarlo aleatoriamente con un script de Perl, y luego darle a Nmap la lista entera con la opcin -iL. --spoof-mac<direccin MAC, prefijo o nombre del fabricante> (Falsifica la direccin MAC) Solicita a Nmap que utilice la MAC dada para todas las tramas de Ethernet enviadas. Esta opcin activa implcitamente la opcin --send-eth para asegurar que Nmap enva los paquetes del nivel Ethernet. La MAC dada puede tener varios formatos. Nmap elegir una MAC completamente aleatoria para la sesin si se utiliza el valor 0. Nmap utilizar la MAC indicada si el parmetro es un nmero par de dgitos hexadecimales (separando opcionalmente cada dos dgitos con dos puntos). Nmap rellenar los 6 bytes restantes con valores aleatorios si se dan menos de 12 dgitos hexadecimales. Si el argumento no es ni 0 ni un conjunto de dgitos hexadecimales, Nmap mirar en nmap-mac-prefixes para

encontrar un fabricante cuyo nombre coincida con el parmetro utilizado (en esta bsqueda no diferenciar entre maysculas y minsculas). Si se encuentra algn fabricante, Nmap utilizar el OUI del fabricante (prefijo de 3 bytes) y rellenar los otros 3 bytes aleatoriamente. Ejemplos de argumentos --spoofmac son: Apple, 0, 01:02:03:04:05:06, deadbeefcafe, 0020F2, y Cisco.

--badsum (Enva paquetes con sumas de comprobacin TCP/UDP errneas) Esta opcin le indica a Nmap que debe generar sumas de comprobacin invlidas para los paquetes que se enven a los equipos objetivos. Cualquier respuesta que se reciba vendr de un cortafuegos o un IDS que no comprob la suma, dado que la mayora de las pilas IP descartan estos paquetes. Para obtener ms informacin de esta tcnica puede consultarhttp://nmap.org/p60-12.txt

2) Los problemas adyacentes a un ids son prcticamente de software ya que pueden ocurrir problemas en su instalacin u una mala configuracin del mismo lo cual genera que nuestro ids seleccionado funcione incorrectamente y nos arroje errores o alertas de distinta ndole generando conflictos con nuestros escaneos.

Falso Positivo (Falsas Alarmas) Este parmetro es muy importante y delicado para la medicin de un IDS, puesto que puede indicar errneamente la presencia de intrusin cuando en realidad no existe. sto se debe a que, si existe un valor muy alto en este parmetro se generan falsas alarmas de intrusin y/o ataques, lo que hace que la credibilidad y confiabilidad sobre un IDS pueda ser prcticamente nula. Falso Negativo (Alarmas no detonadas) Cuando el sistema de deteccin realiza la seleccin de lo que es intrusivo o no lo es, al detectar que no existe alguna anomala en su interior o un patrn intrusivo, la informacin se descarta como daina y se torna como fidedigna. Si el nmero es bajo puede indicar una mala deteccin, es decir, indicar que la informacin captada es muy confiable, cuando en realidad la informacin lleva intenciones ocultas para irrumpir en un sistema. Esto es, el IDS no detecta nuevos ataques o variaciones de stos que pasan desapercibidos por no tener conocimiento sobre ellos.

3) 3.- Para leer los logs de SNORT (pcap) solo debemos utilizar el siguiente comando. (Obviamente debemos estar en el directorio snort/log) Tcpdump r archivo b.- Desde Wireshark tan solo tendremos que ir a File > Open y abrir el archivo pcap del volcado de la alerta.

4.- El CIDF o Marco de Deteccin de Intrusos Comn fue un primer intento de estandarizacin de la arquitectura de un IDS: a) Cules son los tipos bsicos de equipos que contempla el CIDF como parte de la arquitectura de un IDS?.

Los cuatro tipos bsicos de equipos que contempla el CIDF son los siguientes: Equipos E, o generadores de eventos, son los sensores. Su trabajo es detectar eventos y lanzar informes. Equipos A, reciben informes y realizan anlisis. Pueden ofrecer una prescripcin y un curso deaccin recomendado. Equipos D, son componentes de bases de datos. Pueden determinar si se ha visto antes una direccin IP o un ataque por medio de correlacin y pueden realizar anlisis de pistas Equipos R, o equipos de respuesta, pueden tomar el resultado de los equipos E, AyDy responder a los eventos.

b)Construya y explique brevemente un diagrama que muestre los bloques de la arquitectura CIDF. El esquema realizado que se muestra a continuacin es un diagrama de bloques de la arquitectura CIDF, lo cual est conformada por los tipos bsico de equipos del CIDF:

b) Qu es el CISL o Lenguaje de Especificacin de Intrusiones Comn y qu relacin tiene con el CIDF?

El Lenguaje de Especificacin de Intrusiones Comn aparece de la necesidad de unir los cuatro tipos de equipos de CIDF. Los diseadores de CISL pensaron que este lenguaje debera ser capaz al menos de transmitir los siguientes tipos de informacin: Informacin de eventos en bruto. Auditora de registros y trfico de red. Sera el encargado de unir equipos E con equipos A. Resultados de los anlisis. Descripciones de las anomalas del sistema y de los ataques detectados. Unira equipos A con D. Prescripciones de respuestas. Detener determinadas actividades o modificar parmetros de

seguridad de componentes. Encargado de la unin entre equipos A y R.

c) Qu es y para qu sirve CVE?

CommonVulnerabilities and Exposures, siglas CVE, es una lista de informacin registrada sobre conocidas vulnerabilidades de seguridad, donde cada referencia tiene un nmero de identificacin nico.De esta forma provee una nomenclatura comn para el conocimiento pblico de este tipo de problemas y as facilitar la comparticin de datos sobre dichas vulnerabilidades.