REPBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITCNICO SANTIAGO MARIO EXTENSION CARACAS ESCUELA ING.

DE SISTEMA

HERRAMIENTAS PARA REALIZAR AUDITORIAS DE SISTEMAS

Autor: Jos Mora C.I: 15.098.744

Caracas, Julio 2013

INDICE

Contenido
INTRODUCCION ............................................................................................................... 5 AUDITORIAS DE SEGURIDAD INFORMATICA................................................................ 6 L0PHTCRACK ................................................................................................................... 6 NESSUS ............................................................................................................................ 7 NMAP ................................................................................................................................ 7 Caractersticas Del NMAP .............................................................................................. 7 Aplicaciones tpicas Del NMAP ...................................................................................... 8 Entornos de trabajo de NMAP ........................................................................................ 8 WIRESHARK ..................................................................................................................... 8 Aspectos importantes de Wireshark ............................................................................... 9 Seguridad de Wireshark ............................................................................................... 10 DUMPSEC ....................................................................................................................... 10 NETCAT .......................................................................................................................... 10 Funcionamiento Bsico ................................................................................................ 11 TRIPWIRE ....................................................................................................................... 11 KISMET ........................................................................................................................... 11 Caractersticas Del Kismet ........................................................................................... 12 Servidor/sonda/infraestructura cliente .......................................................................... 12 Otras Aplicaciones de Seguridad ..................................................................................... 12 NTop Un monitor de uso de trfico de red. ................................................................... 12 Hunt Un "packet sniffer" y un intruso en conexiones {"connection intrusion"} avanzado para Linux. ................................................................................................................... 13 Honeyd......................................................................................................................... 13 Achilles......................................................................................................................... 13 Netfilter El filtro/firewall de paquetes del kernel Linux actual. ....................................... 14

Network Stumbler ......................................................................................................... 14 CONCLUSION ................................................................................................................. 15 BIBLIOGRAFIA ................................................................................................................ 16

INTRODUCCION
-

AUDITORIAS DE SEGURIDAD INFORMATICA

Los sistemas informticos que utilizamos las empresas son cada vez ms complejos, ms ricos en funcionalidades y por tanto ms difciles de controlar. En ciertas situaciones puede resultar conveniente optar por realizar una auditora de seguridad de los mismos para conocer exactamente cules son los fallos de nuestro sistema y evitar consecuencias indeseables, bien utilizando un software diseado para ello bien recurriendo a servicios externos que las lleven a cabo, opcin de la que vamos a tratar en este caso. Estas auditoras consisten en analizar el nivel de seguridad de nuestro sistema informtico utilizando todo tipo de herramientas y tcnicas para averiguar cuales son los problemas a los que nos podemos enfrentar, presentarlos en un informe y proponer las medidas que sera necesario aplicar para solucionarlos. La seguridad informtica es un rea muy amplia y compleja, que en ocasiones hace necesario recurrir a expertos externos que se encarguen de la tarea

L0PHTCRACK
L0phtCrack es una herramienta de auditora y recuperacin de contraseas (ahora llamada LC5), originalmente producida por Mudge de L0pht Heavy Industries. Es usada para verificar la debilidad de las contraseas y algunas veces para recuperar las que se han olvidado o perdido en sistemas Microsoft Windows. Esta herramienta utiliza ataques por diccionario, ataques por fuerza bruta o una combinacin de los dos anteriores (ataques hbridos) La herramienta fue producida por @stake despus de que L0pht se fusionara con @stake en el 2000. @stake fue adquirida por Symantec en 2004. Symantec ha dejado de vender desde entonces esta herramienta citando a las regulaciones de exportacin del gobierno de los Estados Unidos.

NESSUS
Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en un daemon, nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o grfico) que muestra el avance e informa sobre el estado de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados. En operacin normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y despus intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en ingls), un lenguaje scripting optimizado para interacciones personalizadas en redes. Opcionalmente, los resultados del escaneo pueden ser exportados como informes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados tambin pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades.

NMAP
Nmap es un programa de cdigo abierto que sirve para efectuar rastreo de puertos escrito originalmente por Gordon Lyon (ms conocido por su alias Fyodor Vaskovich). Se usa para evaluar la seguridad de sistemas informticos, as como para descubrir servicios o servidores en una red informtica. Los administradores de sistema pueden utilizarlo para verificar la presencia de posibles aplicaciones no autorizadas ejecutndose en el servidor, as como los crackers pueden usarlo para descubrir objetivos potenciales.

Caractersticas Del NMAP

Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando aquellas que responden ping.1 Identifica puertos abiertos en una computadora objetivo.

Determina qu servicios est ejecutando la misma. Determinar qu sistema operativo y versin utiliza dicha computadora, (esta tcnica es tambin conocida como fingerprinting). Obtiene algunas caractersticas del hardware de red de la mquina objeto de la prueba.

Aplicaciones tpicas Del NMAP

Ha llegado a ser uno de las herramientas imprescindibles para todo administrador de sistema, y es usado para pruebas de penetracin y tareas de seguridad informtica en general. Como muchas herramientas usadas en el campo de la seguridad informtica, es tambin una herramienta muy utilizada para hacking. Nmap permite hacer el inventario y el mantenimiento del inventario de computadores de una red. Se puede usar entonces para auditar la seguridad de una red, mediante la identificacin de todo nuevo servidor que se conecte:

Entornos de trabajo de NMAP

Nmap puede funcionar en sistemas operativos basados en Unix (GNU/Linux, Solaris, BSD y Mac OS X), y tambin en otros Sistemas Operativos como Microsoft Windows y AmigaOS.

WIRESHARK
Wireshark , antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de

comunicaciones, para desarrollo de software y protocolos, y como una herramienta didctica para educacin. Cuenta con todas las caractersticas estndar de un analizador de protocolos de forma nicamente hueca. La funcionalidad que provee es similar a la de tcpdump, pero aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver todo el trfico que pasa a travs de una red (usualmente una red

Ethernet, aunque es compatible con algunas otras) estableciendo la configuracin en modo promiscuo. Tambin incluye una versin basada en texto llamada tshark. Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la informacin capturada, a travs de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesin de TCP. Wireshark es software libre, y se ejecuta sobre la mayora de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, as como en Microsoft Windows.

Aspectos importantes de Wireshark

Mantenido bajo la licencia GPL. Trabaja muy duro tanto en modo promiscuo como en modo no promiscuo. Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa).

Basado en la librera pcap. Tiene una interfaz muy flexible. Gran capacidad de filtrado. Admite el formato estndar de archivos tcpdump. Reconstruccin de sesiones TCP Se ejecuta en ms de 20 plataformas. Es compatible con ms de 480 protocolos. Puede leer archivos de captura de ms de 20 productos. Puede traducir protocolos TCP IP Genera TSM y SUX momentneamente

Seguridad de Wireshark
Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de ejecucin especiales. Es por esta razn que Wireshark es ejecutado con permisos de Superusuario. Tomando en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el riesgo de un error en el cdigo del analizador podra poner en riesgo la seguridad del sistema (como por ejemplo permitir la ejecucin de cdigo externo). Por sta razn el equipo de desarrolladores de OpenBSD decidi quitar Ethereal antes del lanzamiento de la versin 3.6.1 Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribucin de Wireshark en modo Superusuario, para capturar los paquetes desde la interfaz de red y almacenarlos en el disco, para despus analizarlos ejecutando Wireshark con menores privilegios y leyendo el archivo con los paquetes para su posterior anlisis.

DUMPSEC
Esta herramienta cuenta con una gran variedad de reportes prediseados, en estos podemos encontrar algunos que nos informan procesos ejecutados por el equipo, privilegios que el usuario o grupos tienen sobre un PC, si se ha cambiado recientemente la contrasea, si la cuenta de red est habilitada o no, tambin muestra polticas de dominio aplicadas sobre la maquina entre muchos otros. Luego esta informacin se puede guardar en archivos .csv para poderlos visualizar y analizar en otras herramientas.

NETCAT
Netcat es una herramienta de red que permite a travs de intrprete de comandos y con una sintaxis sencilla abrir puertos TCP/UDP en un HOST (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo a MS-DOS o al intrprete bash de Linux remotamente) y forzar conexiones UDP/TCP (til por ejemplo para realizar rastreos de puertos o

realizar transferencias de archivos bit a bit entre dos equipos). Fue originalmente desarrollada por Hobbit en 1996 y liberada bajo una licencia de software libre permisiva (no copyleft, similar a BSD, MIT) para UNIX. Posteriormente fue portada a Windows y Mac OS X entre otras plataformas. Existen muchos forks de esta herramienta que aaden caractersticas nuevas como GNU Netcat o Cryptcat. Entre sus mltiples aplicaciones, es frecuente la depuracin de aplicaciones de red. Tambin es utilizada a menudo para abrir puertas traseras en un sistema.

Funcionamiento Bsico
La forma ms bsica de operar de netcat consiste en:

Crear un socket para conectarse a un servidor ( o bien para hacer de servidor ) Enviar todo lo que entre por la entrada estndar por el socket Sacar por la salida estndar todo lo recibido por el socket.

TRIPWIRE
Tripwire es un programa de computador basado en Open Source consistente en una herramienta de seguridad e integridad de datos. Es til para monitorizar y alertar de cambios en los ficheros de un sistema de ficheros. Funciona cotejando la firma digital de archivos y directorios contra una base de datos de los mismos en un instante previo. La base de datos se genera tomando una instantnea en el momento de su instalacin y se accede a ella mediante contrasea cifrada, por lo que su instalacin en un sistema posiblemente infectado, carecera de efectividad y se recomienda que su instalacin y configuracin sea hecha antes de haber conectado el computador por primera vez a internet. Funciona en sistemas operativos GNU/Linux.

KISMET
Kismet es un sniffer, un husmeador de paquetes, y un sistema de deteccin de intrusiones para redes inalmbricas 802.11. Kismet funciona con cualquier tarjeta inalmbrica que soporte el modo de monitorizacin raw, y puede rastrear

trfico 802.11b, 802.11a, 802.11g y 802.11n. El programa corre bajo Linux, FreeBSD, NetBSD, OpenBSD, y Mac OS X. El cliente puede tambin funcionar en Windows, aunque la nica fuente entrante de paquetes compatible es otra sonda.

Caractersticas Del Kismet

Kismet se diferencia de la mayora de los otros sniffers inalmbricos en su funcionamiento pasivo. Es decir que lo hace sin enviar ningn paquete detectable, permitiendo detectar la presencia de varios puntos de acceso y clientes inalmbricos, asociando unos con otros. Kismet tambin incluye caractersticas bsicas de Sistemas de deteccin de intrusos como detectar programas de rastreo inalmbricos incluyendo a NetStumbler, as como tambin ciertos ataques de red inalmbricos.

Servidor/sonda/infraestructura cliente
Kismet tiene tres partes diferenciadas. Una Sonda que puede usarse para recoger paquetes, que son enviados a un servidor para su interpretacin. Un servidor que puede o bien ser usado en conjuncin con una sonda, o consigo mismo, interpretando los datos de los paquetes, extrapolando la informacin inalmbrica, y organizndola. El cliente se comunica con el servidor y muestra la informacin que el servidor recoge.

Otras Aplicaciones de Seguridad

A continuacin se indican una breve definicin deotras herramientas de seguridad para realizar auditoria.

NTop Un monitor de uso de trfico de red.

Ntop muestra el uso de la red en una manera similar a lo que hace top por los procesos. En modo interactivo, muestra el estado de la red en una terminal de usuario. En Modo Web, acta como un servidor de Web, volcando en HTML el estado de la red. Viene con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada en HTTP para crear aplicaciones de monitoreo centradas en top, y RRD para almacenar persistentemente estadsticas de trfico.

Hunt Un "packet sniffer" y un intruso en conexiones {"connection intrusion"} avanzado para Linux.
Hunt puede observar varias conexiones de TCP, entrometerse en ellas, o resetearlas. Hunt fue hecho para ser usado sobre ethernet, y tiene mecanismos activos para olfatear {sniff} conexiones en redes con switches. Las caractersticas avanzadas incluyen "ARP relaying" selectivo y sincronizacin de conexin luego de ataques. Si Hunt es de nuestro agrado, tambin podemos darle una mirada a Ettercap y a Dsniff.

Honeyd
Honeyd es un pequeo daemon que crea hosts virtuales en una red. Los hosts pueden ser configurados para ejecutar servicios arbitrarios, y su personalidad de TCP puede ser adaptada para que parezcan estar ejecutando ciertas versiones de sistemas operativos. Honeyd permite que un host alegue tener mltiples direcciones en una LAN para simulacin de red. Es posible hacer ping o traceroute a las mquinas virtuales. Cualquier tipo de servicio en la mquina virtual puede ser simulado de acuerdo a un archivo de configuracin simple. Tambin es posible ser proxy de servicios para otras mquinas en lugar de simularlos.

Achilles
Es una herramienta designada para comprobar la seguridad de aplicaciones web. Achilles es un servidor proxy, que acta como una persona-en-el-medio {man-in-the-middle} durante una sesin de HTTP. Un proxy de HTTP tpico pasa paquetes hacia y desde el explorador de web cliente y un servidor de web. Achilles intercepta los datos en una sesin de HTTP en cualquier direccin y le da al usuario la habilidad de alterar los datos antes de ser transmitidos. Por ejemplo, durante una conexin de HTTP SSL normal, un proxy tpico pasa la sesin entre el servidor y el cliente y permite a ambos nodos negociar SSL. En contraste, cuando Achilles est en modo de intercepcin, Achilles simula ser el servidor y negocia dos sesiones de SSL, una con el explorador de web cliente y otra con el servidor de web. Mientras la informacin se transmite entre ambos nodos, Achilles descifra

los datos y le da al usuario la habilidad de alterar y/o registrar los datos en texto claro antes de su transmisin.

Netfilter El filtro/firewall de paquetes del kernel Linux actual.

Netfilter es un poderoso filtro de paquetes el cual es implementado en el kernel Linux estndar. La herramienta iptables es utilizada para la configuracin. Actualmente soporta filtrado de paquetes stateless o statefull, y todos los diferentes tipos de NAT (Network Address Translation) y modificacion de paquetes {"packet mangling"}. Para plataformas no Linux, podemos ver pf (OpenBSD), ipfilter (muchas otras variantes de UNIX), o incluso el firewall personal Zone Alarm (Windows).

Network Stumbler
Netstumbler es la ms conocida herramienta para Windows utilizada para encontrar "access points" inalmbricos abiertos ("wardriving"). Tambin distribuyen una version para WinCE para PDAs y similares llamada Ministumbler. Esta herramienta es actualmente gratis pero slo para Windows y no incluye el cdigo fuente. Se hace notar que "El autor se reserva el derecho de cambiar este acuerdo de licencia a gusto, sin previo aviso.

CONCLUSION

BIBLIOGRAFIA

www.wikipedia.com www.insecure.org/tools/tools-es.html www.monografias.com