SAD02. - Implantación de Mecanismos de Seguridad Activa

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 224

28/6/22, 12:50 SAD02.

- Implantación de mecanismos de seguridad activa

Implantación de mecanismos de
seguridad activa.

Caso práctico
Hoy María  ha acudido a una feria de muestras, para
promocionar su empresa. Se ha llevado con ella a
Juan para conocer un poco más del sector. Después
de ver varios expositores ha descubierto que la
competencia hace mucha publicidad de los sistemas
informáticos que utilizan en sus instalaciones.

—¿Juan, has visto que todos hablan de sus


instalaciones informáticas?

—Sí, pero veo que casi ninguno hace referencia a que


su sistema sea seguro.
Jonny Goldstein (CC BY)
—¿Seguro? Juan, ¿Qué tiene que ver la informática
con la seguridad?

—Mucho, es muy importante que un sistema sea seguro y esté preparado


contra cualquier ataque.

—¿Ataque de quién? ¿Qué es lo que se puede hacer?. Me estoy quedando


muy sorprendida e inquieta.

—¡Te voy a contar todo lo que podemos hacer contra los intrusos
informáticos!

—¿Intrusos?

—Sí, personas que se dedican a intentar asaltar los equipos informáticos de


otros para aprovecharse de ellos.

—¡Lo que nos faltaba!

—No te preocupes María, he estado analizando los ataques que podemos


sufrir y las medidas para contrarrestarlos. Además, tener una red segura nos
hará ser más competitivos y tendremos más confianza por parte de nuestros
clientes.

—¿Mejorará nuestra imagen y nuestra seguridad al tiempo?

—Claro María. Imagínate que nuestros clientes descubrieran que nuestro


sistema informático permite que alguien pueda sacar información desde
Internet, por ejemplo, sus datos personales.

—Cuando volvamos a la oficina, me cuentas todo eso de las medidas para


contrarrestar los ataques. Ahora vamos a acabar de ver las novedades que
hay por aquí.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 1/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En esta unidad de trabajo estudiarás los conceptos básicos sobre seguridad informática. La
unidad comienza tratando los planes de contingencias junto con las pautas y prácticas que
conforman un sistema seguro.

En los puntos siguientes aprenderás a identificar las vulnerabilidades de un sistema


informático así como las principales amenazas que tienen. Además, se verá como explotar
las vulnerabilidades identificadas. así como los distintos tipos de ataques en función del
principio de seguridad vulnerado. El apartado terminará examinando los ataques web y los
ataques a contraseñas.

El tema sigue analizando las diferentes medidas de seguridad que se pueden emplear para
subsanar las deficiencias de seguridad en la conexión con redes públicas.

La unidad concluye tratando la monitorización de redes, realizando una breve introducción a


los sistemas detectores de intrusos y desarrollando los aspectos relacionados con la
seguridad en las comunicaciones inalámbricas.

Ministerio de Educación y Formación Profesional (Dominio público)

Materiales formativos de FP Online propiedad del Ministerio de


Educación y Formación Profesional.
Aviso Legal

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 2/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

1.- Elaboración de un manual de


seguridad y planes de contingencia.

Caso práctico
Después de estar trabajando varios días sobre la
seguridad de la empresa y surgirles múltiples
preguntas, Laro ha decidido elaborar un manual para
que todo el mundo sepa lo que ha de hacerse para
mantener el sistema seguro.

—¿Qué os parece si elaboramos un manual para todos


nosotros con normas que deberíamos cumplir relativas
a la seguridad?

—¿Normas?

—Sí, cosas como no revelar las contraseñas o apagar


Alain Bachellier (CC BY-NC-
bien los equipos o como actuar si ocurre algo en el SA)
sistema.

—¿Lo deben cumplir todos?

—Por supuesto que sí.

—Bueno pues venga, si necesitas algo me lo dices.

—Necesitamos una persona de cada departamento.

—¿Una de cada departamento?

—Sí, es importante que todos den su punto de vista. Así se hace en las
grandes empresas.

—¡Me vas a volver loco con tantas normas!

Laro explicará a su jefe como se elabora un manual de seguridad y un plan


de contingencia.

El objetivo de la elaboración de un manual de seguridad es establecer los estándares de


seguridad que deben ser seguidos, suministrar un conjunto de normas que determinen
como se debe actuar para evitar problemas, mientras que los planes de contingencia,
tienen como objetivo recuperar a la organización de los desastres sufridos.

El manual de seguridad debe ser elaborado tomando como base la filosofía de la


organización donde se pretenda implantar, así como el grado de conocimientos de los
profesionales que la integran.

Los pasos para elaborar un manual de seguridad deben ser al menos:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 3/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Formar un equipo integrado por personas de diferentes departamentos de


la organización.
Elaborar el documento.
Publicar de manera oficial el manual.

El equipo encargado de elaborar el manual debe estar formado por personas de diferente
perfil para que todos los aspectos de la organización se vean representados.

Una vez formado el equipo, se pasa a elaborar el documento, que es la parte más
laboriosa porque se deben contemplar al menos:

Los factores humanos.


Los factores tecnológicos.
La legislación vigente.
Los criterios que determinen la responsabilidad de cada usuario.
Los criterios de actuación.

Una vez que el manual esté elaborado, para hacerlo público, debe ser aprobado por los
responsables de la organización. Una vez aprobado se le comunicará a cada usuario de la
manera más adecuada y dejando constancia de que todos lo han recibido.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 4/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

1.1.- Plan de contingencias.


El plan de contingencias está diseñado para
recuperar el funcionamiento normal del
sistema, una vez que se ha producido una
incidencia de la que el sistema se debe
recuperar, deberá contemplar al menos:

Un análisis de riesgos del sistema.


Un estudio de las protecciones
actuales.
Un plan de recuperación antes, durante
y después del desastre.

El análisis de riesgos sobre todo debe ser


Pixabay (Dominio público)
capaz de responder a preguntas como:

1.- ¿Qué se debe proteger?

2.- ¿Qué puede ir mal?

3.- ¿Con qué frecuencia?

4.- ¿Cuáles pueden ser las consecuencias?

En cuanto al estudio de las protecciones actuales, se deben enumerar cuáles son y


verificar que funcionan. Una vez que se ha hecho el análisis de los riesgos y que se sabe
con qué protecciones se cuenta, se está en disposición de elaborar el plan de recuperación.

Para que el plan de recuperación sea lo más efectivo posible, en el momento de que
ocurra un fallo es muy importante tener muy claro:

El origen del fallo.


El daño ocasionado.

Los procedimientos establecidos en el plan de contingencias para la recuperación frente a


un fallo, deben ser cumplidos tal y como se especifican. El responsable oportuno, bajo su
responsabilidad, deberá verificar que el procedimiento se ha seguido de acuerdo a lo
establecido.

El plan de recuperación se puede definir de tres maneras diferentes teniendo en cuenta la


fase del desastre a la que hagamos referencia:

Plan de respaldo: Antes.


Plan de emergencia: Durante.
Plan de recuperación: Después.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 5/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Para saber más


En el siguiente enlace podrás aprender más sobre el plan de contingencias.

Plan de contingencias y continuidad de negocio.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 6/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

1.2.- Pautas y prácticas seguras.


Un sistema informático es seguro si se utiliza de manera segura. De nada valen los planes
diseñados si se hace un mal uso del mismo mediante prácticas de riesgo.

Citas para pensar

“ Las organizaciones gastan millones de dólares


en firewalls y dispositivos de seguridad, pero
tiran el dinero porque ninguna de estas medidas
cubre el eslabón más débil de la cadena de
seguridad: la gente que usa y administra los
ordenadores.
Kevin Mitnick (El hacker más famoso de todos
los tiempos)

Algunas de las pautas más importantes que deben llevarse a cabo sin ningún tipo de
duda son:

Mantener actualizado el sistema operativo y las aplicaciones.


Descargar software desde sitios de confianza, especialmente las
actualizaciones de los sistemas operativos.
Analizar los sistemas de manera periódica para mantenerlos libres de
software malicioso.
Usar contraseñas robustas siguiendo las pautas de acuerdo a una buena
política de contraseñas.
Usar certificados digitales.
Comunicar las incidencias.
Realizar copias de seguridad.

Todas las medidas anteriores contribuyen a mantener nuestro sistema casi seguro, pero
también deben desterrarse ciertas creencias erróneas como:

Creer que el software de seguridad es 100% efectivo.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 7/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Pensar que algún equipo no debe protegerse porque no almacena nada


importante.
Creer que los ataques informáticos solamente los sufren personas u
organizaciones importantes.

Todo el software diseñado, incluido el destinado a la seguridad, soluciona un problema que


se ha producido pero puede ser inocuo para un problema futuro. Cuando se instala un
antivirus no se debe caer en el error de que se está totalmente protegido. Por ello, es
conveniente actualizarlo con regularidad.

El éxito de los atacantes es directamente proporcional a la confianza de los


atacados e inversamente proporcional a la rapidez de respuesta de la víctima.

Otro de los focos de problemas


suele ser el pensar que no hay que
proteger a un equipo porque no
contiene nada importante. Puede
ocurrir que la víctima no considere
importante algo que para el
atacante es muy valioso.

En cuanto a pensar que los ataques


sólo los sufren grandes
Conjunto universo (CC BY-NC-SA) organizaciones, recordar cómo
funcionan las botnets . Internet es
el medio para que múltiples pequeños daños se transformen en
un gran beneficio, es el medio en el que hacer daño a una Everaldo Coelho (Dominio público)
víctima tiene casi los mismos costes que hacérselo a miles.

Hay sueños en los que se diseña un software que roba céntimos de euro en
millones de cuentas bancarias.

Autoevaluación
La acción más segura es:
Usar una contraseña de ocho números para acceder a los servicios de
banca por Internet.
Pagar con tarjeta de crédito en una compra por Internet usando HTTP

Realizar una copia de seguridad local de nuestro equipo y almacenarla


en un lugar externo.

Conectarse a una red inalámbrica con encriptación WPA.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 8/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

No es cierto. La contraseña debe mezclar varios tipos de caracteres.

No es correcto. En lo posible hay que evitar este método.

Es correcto. De todas es la más segura porque no supone ningún riesgo.

Incorrecto. Aunque es una de las mejores opciones para conectarse a


una red inalámbrica.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/S… 9/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

1.2.1.- Herramientas preventivas y


paliativas.
Las herramientas preventivas son aquellas utilizadas para tratar de
evitar que un sistema sea atacado. Su uso va encaminado a prevenir
las amenazas a cualquiera de los principios fundamentales de la
seguridad (Confidencialidad, Integridad, Disponibilidad, Autenticación
y No repudio) de los elementos críticos de un sistema.

También es importante no olvidarse de la protección física de los


diferentes equipos. Cualquier equipo en general y, en especial,
Everaldo Coelho (GNU/GPL)
servidores y el  hardware de red, deben estar situados en recintos
protegidos del acceso de personal no autorizado y de las catástrofes
naturales que puedan producirse como inundaciones, terremotos, campos
electromagnéticos no controlados, ... Por todo esto, los equipos informáticos no deben
situarse en el suelo ya que en el caso de inundación, el agua puede afectar a la integridad
física del hardware. Tampoco deben situarse a una altura tal que sea un problema, si el
equipo informático no está suficientemente anclado como para impedir que sea caiga al
suelo ante cualquier golpe fortuito. 

Además, desde el punto de vista de la disponibilidad, deben considerarse la temperatura


ambiente y las posibles fluctuaciones de la corriente eléctrica.

Entre las medidas preventivas que pueden emplearse para tratar de lograrlo están:

Instalación de software antimalware.


Configuración adecuada de cortafuegos.
Encriptación de la información usando comunicaciones SSL.
Instalación de herramientas de detección de intrusos.
Utilización de mecanismos de autenticación.
Utilización de sistemas tolerantes a fallos.
Utilización segura de entornos físicos para protegerse ante incendios,
inundaciones,...
Instalación de sistemas de climatización y de sistemas de alimentación
ininterrumpida.

Por otra parte, las herramientas paliativas tienen


como objetivo minimizar el impacto producido
por un ataque . Lo más común es que una misma
herramienta de seguridad esté diseñada para
prevenir y paliar.

Una política adecuada de copias de respaldo o


seguridad, también denominadas backup es una
buena medida paliativa, aunque también se puede
considerar como preventiva. Para realizar copias de
seguridad existen muchas herramientas y la
mayoría de los sistemas incorporan funcionalidades Pixabay (Dominio público)

para realizarlas. 
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 10/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

También es muy válido el uso de sistemas redundantes de discos independientes (RAID).


Estos hacen referencia a un sistema de almacenamiento de datos que utiliza múltiples
unidades (discos duros), entre las cuales se distribuyen o replican los datos. Su uso es
especialmente frecuente en los sistemas dedicados a tareas intensivas y que requieren
asegurar la integridad de los datos en caso de fallo del sistema.

En los últimos tiempos cada vez son más los usuarios y las empresas que apuestan por el
Cloud Computing para guardar sus datos. El backup en la nube se realiza gracias a
servicios prestados por empresas que disponen de CPD accesibles a través de Internet.
Además, cada vez más se hace uso de servicios como AWS o GCP, sobre todo, para
garantizar la disponibilidad. Estos servicios son utilizados para crear ciertos tipos de
soluciones a través de la tecnología almacenada en la nube y que destacan por la rapidez y
la escalabilidad de su infraestructura.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 11/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

1.2.2.- Actualización de sistemas y


aplicaciones.
La actualización de sistemas y aplicaciones quizás sea una de las medidas, tanto paliativas
como preventivas, más adecuadas para prevenir daños en los sistemas informáticos. Todos
los sistemas tienen fallos de seguridad y a medida que surgen nuevas aplicaciones y
técnicas, pueden surgir más vulnerabilidades. Es obvio que cuando se diseña el software
no se puede predecir todo lo que va a pasar en el futuro, y por ello, siempre se debe
actualizar a medida que surjan nuevas necesidades.

Citas para pensar

“ "Creo que hay un mercado mundial para


alrededor de cinco computadoras".
Thomas J. Watson (Fundador de IBM).

Las actualizaciones tienen principalmente dos objetivos:

Corregir fallos detectados.


Añadir nuevas funcionalidades.

En la imagen se pueden ver el historia de


actualizaciones de un sistemas operativo Windows
10.

Se pueden apreciar las diferentes fechas en las que


se realizaron las instalaciones, deduciéndose con
facilidad que el sistema operativo en este caso, para
ser eficiente necesita actualizarse cada pocos
meses.

Las actualizaciones mejorarán la velocidad de trabajo


y también la seguridad. En la mayoría de los casos
también se ofrece la posibilidad de escoger la
Windows 10 (Elaboración propia) actualización que se desea instalar. Esto mejora los
problemas de posibles incompatibilidades con
aplicaciones instaladas o con el hardware donde se pretende instalar la actualización.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 12/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Hoy en día existen muchas herramientas que permiten detectar  las vulnerabilidades de
programas y complementos que no están actualizados, quedando sus sistemas expuestos
a posibles ataques. Es recomendable la utilización de este tipo de herramientas que, de una
manera fácil y rápida, informen sobre los elementos software que están desactualizados,
para a partir de ahí, o bien desinstalarlos porque no sean de utilidad o bien actualizarlos. Un
ejemplo de todo esto es la herramienta Secunia PSI . 

Se trata de una utilidad general gratuita para Windows que se encarga de examinar un
sistema en busca de actualizaciones del software  instalado, para avisar de posibles
actualizaciones y mejoras.  Una vez el sistema sea examinado, muestra al software
clasificado en tres categorías: actualizado, no actualizado e inseguro. En los casos donde
se puedan realizar mejoras serán mostrados enlaces de descarga de las aplicaciones que
deben actualizarse.

Autoevaluación
Las actualizaciones de software:

Solamente se pueden hacer en sistemas operativos.


Se crean para eliminar virus.
Las actualizaciones se crean aunque no haya agujeros de seguridad.
Son indispensables para que las aplicaciones se puedan seguir
utilizando.

Incorrecto. Hay muchos tipos de aplicaciones que se pueden actualizar.

No es correcto. También se crean para mejorar las funcionalidades.

Es correcto. Se diseñan para corregir y también para mejorar el


funcionamiento de las aplicaciones.

No es cierto. Una aplicación se puede utilizar sin actualizar, aunque es


menos efectiva.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 13/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 14/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.- Ataques y contramedidas en sistemas


personales.

Caso práctico
De vuelta en la oficina María sigue dándole vueltas a
todo lo que ha visto en la feria y se ha dado cuenta
de que su competencia parece que dedica bastantes
recursos a mejorar las instalaciones informáticas.
Para poder ser competitivos se está dando cuenta de
que el sistema informático debe ser una parte
importante de su empresa.

—Juan, ¿Me cuentas un poco lo de los ataques de


los intrusos?

—Bien, un momento, ahora voy y te hago un


pequeño resumen.
Nate Steiner (CC0)

Juan le contará a María los tipos de ataques que


puede sufrir el sistema informático y las técnicas que utilizan, así como los
ataques por los que más debería preocuparse.

—A nosotros nos deben preocupar sobre todo los ataques en los que intenten
robarnos contraseñas, sobre todo las de las cuentas bancarias. Por eso no
debes contestar nunca a un correo sospechoso.

—Ya, ya...

—También debemos evitar ataques que intenten manipular nuestra base de


datos.

—¿Pueden hacerlo?

—Sí María. Imagínate que nuestra competencia fuera capaz de visualizar


todo lo que tenemos registrado.

—No tenía ni idea de que se pudiera hacer esto.

María, te voy a describir de manera sencilla la anatomía de los ataques y


después te contaré cuales son las herramientas preventivas y paliativas que
se pueden utilizar.

—Esto es como ser un médico, antes de enfermar hay que prevenir y si se ha


enfermado, habrá que curar lo antes posible.

—¡Efectivamente, María!

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 15/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

La seguridad informática es un proceso en el que intervienen todos los activos de un


sistema informático. Dependiendo de la manera de tratar a estos activos se puede hacer
una clasificación de la seguridad como:

Física o lógica.
Activa o pasiva.

Diferenciar entre seguridad


física y seguridad lógica es
relativamente sencillo, si se
piensa en la parte hardware
(física) y la parte software
(lógica) del sistema. En cuanto
a la seguridad activa o pasiva,
se dice que se emplean
mecanismos de seguridad
activa cuando estos tienen
como objetivo evitar daños en
el sistema, y los de seguridad
EpicTop10.com (CC BY)
pasiva cuando dichos
mecanismos se emplean para
minimizar los daños causados por un incidente de seguridad.

El objetivo de la seguridad de un sistema (y para los informáticos también) es que el


sistema permanezca en condiciones óptimas, no sufra ataques y si se llevan a cabo dichos
ataques, minimizar los daños y reconstruir el sistema lo antes posible.

Por tanto, se entiende por ataque en un sistema informático, la materialización de una


amenaza. Por consiguiente, siempre que haya amenazas, el sistema es vulnerable. Los
mecanismos de seguridad activa tienen como objetivo proteger al sistema contra los
ataques para conseguir que el sistema sea lo más seguro posible.

Prevenir un ataque es una medida de seguridad activa y minimizar los daños


producidos por un ataque es una medida de seguridad pasiva.

Un ataque informático es cualquier acción que tiene como finalidad desestabilizar el


funcionamiento de un sistema informático, aprovechándose de cualquier vulnerabilidad en
alguno de sus activos (hardware, software, datos o personas). Para anular o minimizar el
impacto de los ataques se utilizan contramedidas.

El que no aparezcan los caracteres de una contraseña cuando se escribe es una


contramedida contra un posible ataque para descubrirla cuando la estamos
tecleando.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 16/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Autoevaluación
La diferencia entre seguridad activa y pasiva es que:
La seguridad activa es lógica y la pasiva física.
La activa se emplea para evitar daños y la pasiva para minimizarlos.
No hay diferencia, de hecho hay aplicaciones que se utilizan tanto para
prevenir como para paliar.
La activa minimiza los daños y la pasiva previene.

No es correcto. Seguridad activa o pasiva puede ser física o lógica.

Correcto. La seguridad activa previene y la pasiva palía.

Incorrecto. Aunque haya aplicaciones que se puedan utilizar así, si hay


diferencia.

Respuesta errónea. La pasiva minimiza los daños una vez producido el


incidente.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 17/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.1.- Anatomía de ataques y análisis de


software malicioso.
Conocer como se estructura un ataque es muy importante para poder defenderse de dicho
ataque, porque ayuda a pensar como los atacantes. Las fases que forman parte de un
ataque informático suelen ser:

Reconocimiento.
Exploración.
Acceso.
Mantenimiento del acceso.
Borrado de huellas.

La fase de reconocimiento es la encargada


de recopilar información sobre el usuario que
va a ser objeto del ataque. En esta parte son
típicas las técnicas de ingeniería social y las
búsquedas avanzadas en Internet
( Footprinting o Information Gathering ).

Una vez que se conocen datos del usuario, se


pasa a la segunda fase en la que se realiza
una exploración o escaneo del sistema. Para
ello, se utilizan sniffers, escaneo de puertos o
Richard Patterson (CC BY) cualquier herramienta que nos muestre las
debilidades del sistema objetivo. En esta fase
se intentan encontrar direcciones IP o nombres DNS de la víctima, así como puertos
abiertos y versiones de los servicios asociados a dichos puertos, o las aplicaciones más
usadas para buscar vulnerabilidades presentes en ellas.

La tercera fase es la fase del acceso. Aquí es donde comienza el ataque propiamente
dicho. Se accede al sistema después de haber crackeado o robado contraseñas,
explotando algún tipo de vulnerabilidad detectada en la fase anterior, a través de un recurso
compartido del sistema sin autorización o se efectúa un DoS.

La siguiente fase consiste en afianzar el acceso, es decir, conseguir que el acceso se


pueda repetir en cualquier otra circunstancia. Para ello, se entra en el sistema y se
modifican privilegios o se crean nuevas vulnerabilidades que permitan un acceso posterior.
Es típico de esta fase la instalación de backdoors y troyanos.

Por último, la fase de borrado de huellas. Aquí es donde el intruso trata de borrar cualquier
rastro que haya dejado en los accesos no permitidos. Se limpian en la medida de lo posible,
los ficheros logs y las alarmas del sistema.

Debes conocer
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 18/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En el siguiente enlace puedes ver un vídeo sobre las fases a aplicar cuando
se realiza Hacking Ético: 

Hacking Ético

Autoevaluación
Una aplicación que realice un ataque por fuerza bruta para descubrir la
contraseña de un usuario:
Necesitará siempre de un diccionario.
Para que tenga éxito, primero se debe poder acceder al sistema.
Necesita siempre de un fichero de texto con posibles contraseñas.
Debe estar instalada en el equipo víctima.

Incorrecto. Fuerza bruta implica probar posibilidades y estas pueden o


no estar escritas en un diccionario.

Correcto. Es necesario poder acceder al sistema y poder ejecutar la


aplicación con privilegios suficientes.

No es correcto. Es una posibilidad, pero no siempre necesita un fichero


de este tipo.

No es cierto. También es posible atacar desde un ordenador remoto.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 19/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.2.- Clasificación de los ataques.


Los ataques se pueden clasificar básicamente en dos grupos considerando el efecto que
producen en el sistema en:

Activos.
Pasivos.

Los ataques pasivos no producen cambios, se limitan a


extraer información y en la mayoría de los casos el afectado
no percibe el ataque. En cambio, los ataques activos
producen cambios en el sistema.

Si se profundiza más en los tipos de ataques nos podremos


encontrar una gran variedad de ellos, puediéndose destacar
Christiaan Colen (CC BY)
entre otros muchos los indicados a continuación:

Reconocimiento de sistemas (footprinting o information gathering). 


Explotación de las vulnerabilidades del sistema.
Robo de información por interceptación de mensajes.
Suplantación de identidad.
Modificación del tráfico y las tablas de enrutamiento.
Cross-site Scripting.
Inyección de código SQL.
Contra usuarios y contraseñas.

Autoevaluación
Un ataque se clasifica como activo o pasivo:
Tomando como criterio el efecto que produce en el sistema.
Dependiendo del tipo de seguridad que tenga el sistema.
Dependiendo del tiempo en el que se produce.
Si roba información o no.

Correcto. Es activo si produce cambios en el sistema y pasivo si no los


produce.

Incorrecto. El tipo de ataque no depende del tipo de seguridad.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 20/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

No es correcto. No tiene nada que ver.

No es cierto. El robo no implica que haya habido o no cambio en el


sistema.

Solución

1. Opción correcta
2. Incorrecto
3. Incorrecto
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 21/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.3.- Foorprinting o Information Gathering.


El proceso de Footprinting consiste en la búsqueda de toda la información pública, bien
porque haya sido publicada a propósito o bien porque haya sido publicada por
desconocimiento (abierta, por tanto, no se estará incurriendo en ningún delito. Además la
entidad ni debería detectarlo) que pueda haber sobre el sistema que se va a auditar, es
decir, se buscan todas las huellas posibles, como direcciones IP, servidores internos,
cuentas de correo de los usuarios, nombres de máquinas, información del registrador del
dominio, tipos de servidores, ficheros con cuentas y/o credenciales de usuarios, impresoras,
cámaras IP, metadatos, etc. Es decir, cualquier dato que pueda ser de utilidad para lanzar
distintos ataques en las fases posteriores de la auditoría.

Si enumeramos los pasos más o menos genéricos para realizar un Pentest,


estos serían los siguientes:

1.- Footprinting.
2.- Fingerprinting.
3.- Análisis de vulnerabilidades.
4.- Explotación de vulnerabilidades.
5.- Generación de informes.

Existen diversos modos y medios a través de los cuáles se puede recopilar información
sobre una determinada organización. Algunos de dichos medios son:

Visitas del sitio web de la organización


a auditar con el fin de recopilar
información susceptible de error.

Búsquedas en Google, Bing, Shodan,


etc, por el dominio del que queremos
obtener información. Sus crawlers, en
ocasiones, indexan ciertas páginas que
no deberían haberse publicado pero Andrés Rubio - Captura de Pantalla (Elaboración Propia)
que han estado cierto tiempo visibles
mientras se estaban probando,
quedando cacheadas en los buscadores. Por tanto, se podrían ver mirando la caché o
con algún servicio como “archive.org”.

Búsquedas Hacking, que mediante la utilización de diferentes dorks permiten refinar


nuestras búsquedas usando operadores avanzados o palabras clave en Google o
Bing. A través de estas dorks se podría buscar y extraer determinada información
sobre el sitio web a analizar, pero siempre de una forma pasiva, ya que en ningún
momento se interactúa con el sitio web a auditar. Solo se va a extraer la información
que esté publicada sobre el mismo.

Lista de dominios y subdominios de la organización, así como del máximo número de


direcciones IP de las que dispone.

Utilización de los DNS y servidores de correos para obtener información de la


organización. Incluso se pueden realizar transferencias de zonas para obtener un

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 22/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

mapa externo e interno, permitiendo conocer la infraestructura interna o parte de ella.

Utilización del DNS para averiguar si es vulnerable a DNS Caché Snooping,


mediante lo cual es posible preguntar al DNS por los dominios que se usan en las
actualizaciones de las aplicaciones, y ver si dichas aplicaciones son vulnerables a
técnicas de Evilgrade (framework que permite comprometer los equipos a través de
actualizaciones no legítimas).

Comprobación de la existencia de hosting compartido. Esto es una aspecto


importante, ya que la seguridad de un servidor puede romperse por el eslabón
(dominio) más débil.

Obtención de emails a través de las cuales se puedan llevar a cabo ataques de


ingeniería social o phishing. Herramientas como Maltego permiten, a partir de una
dirección de correo, ver en qué sitios webs aparece y obtener otras adicionales.

Debes conocer
Una de las herramientas más usadas hoy día es Maltego . Se trata de una
herramienta de minería de datos interactiva que genera gráficos dirigidos para
el análisis de enlaces. Se emplea en las investigaciones en línea para
encontrar relaciones entre piezas de información de diversas fuentes
ubicadas en Internet, analizando personas, dominios, metadatos,… y
mostrando la información recopilada en forma de grafos. Para llevar a cabo
todo esto, se basa en el uso de transformadas, que son pequeñas
aplicaciones que realizan tareas concretas sobre entidades (personas, alias,
emails, dominios, perfiles sociales, dispositivos, geolocalización...).

Puedes obtener más información al respecto en los siguientes enlaces:

Maltego

Sitio oficial de Maltego


Una de las metodologías más ampliamente utilizada es la de OSINT. Se trata
de un conjunto de técnicas y herramientas para recopilar información pública,
correlacionar los datos y procesarlos. A continuación puedes encontrar unos
enlaces con los que puedes aprender más sobre dicha metodología:

OSINT para Pentesting

OSINT e Ingeniería Social como vectores de ataque a la ciberseguridad

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 23/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.3.1.- Google Hacking. Bing Hacking.


Google Hacking es una técnica que consiste en utilizar los operadores avanzados de
Google  con sus dorks, para obtener el máximo de información del sitio web que
pretendemos auditar. A continuación se muestran las dorks más usadas con Google:

Google Inc. (Todos los derechos reservados)

Mostrar

— Dorks de Google

‒ site
‒ intitle
‒ allintitle
‒ intext/allintext
‒ inurl/allinurl
‒ link
‒ filetype
‒ -
‒ related
‒ cache
‒ info

Algunos ejemplos combinados son:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 24/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

1.- Búsqueda de documentos de tipo Office en dominios .es, que estén dentro de la
intranet y que contengan la palabra password.

site:.es inurl:intranet filetype:doc password

2.- Búsqueda de documentos confidenciales, con formato Office  y que en la URL


aparezca la palabra intranet.

inurl:intranet filetype:doc confidential

3.- Búsqueda de ficheros log de Putty con username.

filetype:log username putty

Jeff Kubina (CC BY-SA)

Para saber más


Búsquedas exhaustivas adicionales se pueden encontrar accediendo a
Google Hacking Database que contiene una gran cantidad de ejemplos con
dorks que están organizadas por categorías.

Por ejemplo, dentro de la categoría Files containing passwords , tenemos la


siguiente búsqueda filetype:sql "MySQL dump" (pass|password|passwd|pwd),
la cual nos permite buscar ficheros MySQL  con extensión “.sql” que
contienen campos de contraseñas.

Puedes encontrar más trucos en la siguiente web:

El Hacker
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 25/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Hacking ético con Bing

El buscador Bing también tienes sus propios dorks. Son muy parecidos a los que ya han
mostrado anteriormente con Google, aunque hay algunas excepciones que son mostradas
a continuación:

Dorks adicionales en Bing

◄ ►

Algunas Dorks en Bing


Ejemplos de Dorks en Bing.

ext
Permite realizar búsquedas para extensiones de ficheros.

Ejemplo : ext:log ftp

ip
Muestra todas los sitios webs que comparten una misma dirección IP. Por tanto, es
una forma de obtener los dominios que están hospedados en un mismo servidor.

Ejemplo : ip:85.208.102.26

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 26/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

location
Permite localizar sitios webs que están alojados en un país concreto.

Ejemplo : location:es

1
2
3
4

Microsoft (Todos los derechos reservados)

Para saber más


Otros buscadores que se pueden emplear para recopilación de información
son los mostrados a continuación:

Motor de búsqueda chino: Baidu 

Motor de búsqueda ruso: Yandex

DuckDuckGo: Motor de búsqueda que hace uso de bangs, que son especies
de atajos de teclado a través de los cuales realiza búsquedas. Por ejemplo,
con !a permite realizar búsquedas en Amazon. Una de sus principales
virtudes es que, según dicen, garantizan la privacidad.

Debes conocer
En el siguiente enlace puedes ver un webinar sobre Google Hacking:

Google Hacking

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 27/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.3.2.- Shodan.
Es un motor de búsqueda diseñado por el
desarrollador web John Matherly. Hay que
destacar que, aunque Shodan es un motor de
búsqueda, es muy diferente a los buscadores
de contenidos como Google, Bing o Yahoo,
que rastrean datos en páginas web y luego los
indexan permitiendo las búsquedas.

En cambio, Shodan interroga puertos y toma


los banners resultantes, indexando dichos
banners en lugar del contenido web. Por
Alaamsah (CC BY-SA) tanto, realiza un análisis pasivo de sistemas
vivos, recorriendo Internet e indexando toda la
información que obtiene a través de los banners de los servicios.

Por tanto, en lugar de localizar contenido específico de acuerdo a un término de búsqueda


específico, Shodan  está diseñado para ayudar al usuario a encontrar nodos específicos
(servidores, routers, etc) con contenido específico en sus banners. Esto permite identificar
tecnologías vulnerables, recursos no protegidos, servicios sin parches de seguridad
aplicados…

Otro buscador similar a Shodan es Censys, que tiene como objetivo analizar todo Internet
IPv4 pero solo centrándose en los puertos bien conocidos. Para ello recopila información de
los sitios webs y de los dispositivos conectados a Internet, a través de escaneos diarios con
herramientas como Zenmap. El resultado final son instantáneas de configuraciones de sitios
webs y de dispositivos. Un aspecto muy potente y que no lo tiene Shodan, es que permite
hacer búsquedas de determinados parámetros presentes en los certificados.

Operadores básicos en Shodan

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 28/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

El Taller del Bit (CC BY-SA)

◄ ►

Operadores básicos Shodan


Ejemplos de operadores en Shodan.


Permite limitar la búsqueda a los términos incluidos entre comillas.

+/-
Usados para incluir y excluir términos en la consulta (+ es el operador implícito).

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 29/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

country
Filtra el resultado por el código del país. Dicho código es de dos letras.

city
Filtra el resultado por el nombre de la ciudad.

hostname
Filtra el resultado por nombre de dominio.

net
Filtra el resultado por un rango de IP o subred.

os
Permite buscar por sistemas operativos.

port
Filtra el resultado por servicios específicos.
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 30/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

before
Filtra el resultado para mostrar servidores que han sido actualizados antes de una
fecha dada.

after
Filtra el resultado para mostrar servidores que han sido actualizados después de
una fecha dada.

1
2
3
4
5
6
7
8
9
10
11

Con todos estos operadores podemos hacer búsquedas como por ejemplo, dispositivos que
tengan username/password por defecto, o dispositivos que estén sin
autenticación. Algunos ejemplos son:

◄ ►

Búsquedas en Shodan
Ejemplos de búsquedas en Shodan.

apache 2.2.3 country:es


Muestra todos los servidores apache de versión 2.2.3 de España.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 31/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

apache hostname:.edu
Muestra todos los servidores apache que estén en un dominio .edu.

1
2
3

El Taller del Bit (CC BY-SA)

Para saber más


A continuación se muestran unos vídeos en los que se puede ver el uso de
Shodan como herramienta para llevar a cabo la fase de Information
Gathering:

Introducción a Shodan

Information Gathering con Shodan

Debes conocer
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 32/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

A continuación puedes ver un vídeo de un taller sobre metabuscadores y


descargarte un fichero con ejemplos de dorks en diferentes buscadores:

¿Cómo encontrar sistemas vulnerables usando meta-buscadores?

Dorks en buscadores (xlsx - 12,2 KB)

También puedes ver un webinar sobre el uso de Shodan a través del


siguiente enlace:

Shodan

Autoevaluación
La principal diferencia entre Shodan y Google o Bing...

No hay ninguna diferencia. Son lo mismo y funcionan del mismo modo.

Shodan indexa los banners de los sitios webs en lugar de su contenido.

No hay diferencia puesto que Shodan usa internamente a buscadores


como Google para recopilar información.

Incorrecto. Shodan no indexa el contenido de los sitios web, cosa que sí


hacen Google o Bing.

Muy bien! Veo que has entendido muy bien el uso de Shodan.

Incorrecto. Shodan indexa los banners de los sitios webs en lugar de su


contenido.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 33/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 34/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.4.- FingerPrinting.
Fingerprinting es el proceso usado para
recopilar información interactuando
directamente con los sistemas a auditar para
aprender más sobre su configuración y
comportamiento. Para ello, se emplean
técnicas y herramientas que permitan realizar
escaneo de puertos con el fin de estudiar
puertos abiertos y determinar qué servicios y
versiones se encuentran detrás de esos
puertos. Toda esta información es muy valiosa
emtic educación, tecnología, metodología (CC BY-SA)
para un atacante.  Este tipo de proceso  no
provoca un daño apreciable y su objetivo
principal es la obtención de información del
sistema.  

Para realizar un escaneo de puertos existen muchas aplicaciones, muchas de ellas


disponibles online.

A parte del escaneo de puertos existen otras técnicas que permiten extraer información de
un sistema, un ejemplo es whois. Con esta herramienta se pueden conocer datos a partir de
una URL o una dirección IP.

Para saber más


En el siguiente enlace podrás aprender más cosas sobre Whois

Otras herramientas o sitios web que se pueden usar para completar toda las tareas
asociadas a la fase de recopilación de información son:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 35/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Factoryjoe (CC BY-NC-SA)

ICAAN Lookup Robtex ipv4info Dnsdumpster Pentest-tools

Viewdns

ICAAN Lookup
Muestra información muy básica sobre el registro del dominio a auditar.

Web: ICAAN Lookup

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 36/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Robtex
Una de las más usadas actualmente. Muestra toda la información de un domino
organizada por secciones. Dentro de estas secciones podemos destacar la
relacionada con los DNS en las que nos muestra los servidores de nombres, de
correo, quiénes comparten dichos servidores,…

Toda la información la muestra de forma textual y también de forma gráfica, pero


para esto último es necesario tener una cuenta de usuario.

Web: Robtex

ipv4info
Uno de los más potentes que nos permite saber más del 80% de los activos
públicos asociados a un dominio. Entre la información mostrada podemos destacar:

El sistema autónomo que lo gestiona, indicando los rangos de red.


El bloque de IP en el que está integrada la IP del dominio a auditar.
Dominios y subdominios asociados a los rangos.
Número de servidores de nombre.
Información detallada sobre el sitio web: keywords, captura de pantalla, http
headers, total enlaces internos y externos desde la home,...
CMS usado para la creación del sitio web.
Fichero robots.txt, si lo tiene.
Buscadores que lo indexan.
Tipo de servidor: versión exacta de Apache, PHP y SSL.

Web: ipv4info

Dnsdumpster
Muestra la información clasificada por DNS Server, MX Record, TXT Records y Host
Records (A).

Web: Dnsdumpster

Pentest-tools
Ofrece un conjunto variado de herramientas mediante las cuales podemos obtener
información muy variada. Destacar que permite solo 3 escaneados gratis.
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 37/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Web: Pentest-tools

Viewdns
Herramienta online con múltiples funcionalidades agrupadas en distintas categorías
entre las que podemos destacar:

Reverse IP Lookup: Muestra todos los dominios que comparten hosting.


IP History: Muestra un histórico de las IPs asignadas a un dominio.
DNS Report: Proporciona un informe completo de la configuración y el estado
del DNS.
IP Location Finder: Muestra la localización geográfica de una IP.
DNS Propagation Checker: Chequea si los cambios recientes realizados en
un DNS se ha propagado al resto de DNS.
Domain/IP Whois: Muestra información del contacto/propietario de un
dominio.
GET HTTP Header: Obtiene el HTTP headers de un dominio. Muy útil para
obtener versión del servidor web, versiones de PHP,…
DNS Record Lookup: Muestra todos los registros DNS configurados (A, MX,
CNAME, etc) para un dominio dado.
Port Scanner: Muestra un informe sobre si los puertos más comunes están
abiertos o cerrados.
Spam DataBase Lookup: Encuentra si un servidor de correos está añadido
en una base de datos de spam.
Traceroute: Muestra el traceroute.

Web: Viewdns 

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 38/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

Debes conocer
Una de las herramientas más usadas hoy día para realizar un análisis de
puertos es Nmap. Puedes aprender sobre dicha herramienta a través de los
siguientes enlaces: 

Nmap para Pentesting

Nmap Scripting Enginge

También puedes usar Zenmap que ofrece una GUI sobre Nmap.

Zenmap

Puedes decantarte por el uso de otras herramientas online como la mostrada


a continuación:

ScanOnline

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 39/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.5.- Explotación de las vulnerabilidades.


Metasploit.

Los ataques que aprovechan las vulnerabilidades del


sistema se basan en programas que se diseñan de manera
específica para aprovechar una determinada vulnerabilidad.
Estos programas reciben el nombre de exploits. Los
exploits suelen ser programas escritos en lenguajes como
C que son capaces de operar en el sistema atacado y
Andrés Rubio - Elaboración Propia (Dominio
público)
causarle un mal funcionamiento. Están formados por una
serie de órdenes que entienden los sistemas operativos
junto con un código que es el que realmente causa el daño.
Aunque para crear exploits  se han de tener conocimientos altos de programación, existen
muchos sitios webs en los que se ofrece la posibilidad de conseguir exploits ya creados.

Por tanto, una vez identificada una vulnerabilidad de un sistema para explotarla basta con
buscar un exploit existente que la explote.

Para explotar un sistema informático existen aplicaciones


como metasploits . Se trata de una herramienta con
interfaz modo comando y web, que posee un conjunto de
exploits  para aprovechar las vulnerabilidades más
conocidas de puertos, sistemas y aplicaciones.
Andrés Rubio - Elaboración Propia (Dominio
  Usando metasploit los pasos que se tienen que llevar a público)

cabo para explotar una vulnerabilidad serán los siguientes:

1.- Buscar un exploit que explote la vulnerabilidad identificada. Para ello se puede
usar el comando siguiente:

search patron

Por ejemplo, para buscar exploits relacionados con el servicio FTP:

search ftp

2.- Usar el exploit. Para ello se puede usar el comando siguiente: 

use ruta del exploit

Por ejemplo:

use exploit/unix/irc/unreal_ircd_3281_backdoor

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 40/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

3.- Configurar el exploit indicando toda la información que es necesaria para que
pueda explotarse la vulnerabilidad. Para ello se ejecuta una secuencia de comandos
que dependerá de la vulnerabilidad a explotar. Alguno de ellos podrían ser los
siguientes:

set RHOST <IP>

set RPORT <nPort>

set payload <payload>

set LHOST <IP>

donde:
3.1.- RHOST <IP>: especifica la dirección IP del sistema remoto (víctima)
3.2.- RPORT <nPort>: especifica el puerto a explotar del sistema remoto.
3.3.- payload: ruta del payload a ejecutar.
3.4.- LHOST <IP>: especifica la dirección IP del sistema atacante. 

4.- Explotar el exploit, es decir, ejecutarlo. Para ello basta con poner el siguiente
comando:

exploit

Una vez se ha obtenido el acceso al sistema, los atacantes tiene multitud de opciones:

Robo de información.
Modificación de datos.
Realización de daños al sistema.
Robo de identidad.
Espionaje.
Robo de datos personales.
Uso del sistema para saltar a otro sistema (Pivoting).

¿Qué es Metasploit?

Proyecto OpenSource dedicado principalmente a la creación de software y recursos para la


realización de intrusiones. Se trata de un proyecto que proporciona información sobre
vulnerabilidades existentes, facilitando la labor de todo auditor ya que le permite explotar
dichas vulnerabilidades durante la fase de intrusión (Procesos de pentesting).

Su framework  es una herramienta que automatiza la configuración y lanzamiento de


exploits. Además, permite añadir nuevos scripts, modificar existentes, etc. Consta de
multitud de herramientas como:

msfconsole msfencode msfpayload msfvenom msfcli msfgui

msfd msfupdate

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 41/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

msfconsole
Interfaz de línea de comandos que permite llevar a cabo acciones y ejecución de
módulos en un test de intrusión.

msfencode
Permite ofuscar el código del payload para tratar de evadir antivirus y sistemas de
detección de intrusos (IDS).

msfpayload
Interfaz de línea de comandos que permite la generación de payload  que
posteriormente podemos usar en el msf. Su uso más común es generar shellcodes
para un determinado exploit.

msfvenom
Es una herramienta que aglutina las funcionalidades de msfencode y msfpayload.

msfcli
Interfaz de línea de comandos similar a msfconsole. Con una única llamada
permite que se pueda llevar a cabo una acción. Lógicamente, esto implicará que
tengamos que incluir muchas más opciones, a través de parámetros, que si lo
hacemos usando msfconsole.

msfgui
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 42/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Es la interfaz gráfica asociada a msfconsole. En la distribución Kali Linux podemos


usarla con Armitage.

msfd
Demonio usado para quedar a la escucha de conexiones entrantes. Una vez quede
establecida la conexión, tendremos disponible una línea de comandos en remoto.

msfupdate
Empleada para actualizar metasploit framework.

CyberHades (CC BY-NC)

De todas ellas, en la presente unidad nos centraremos en las más utilizadas a la hora de
llevar a cabo una auditoría.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 43/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.5.1.- Estructura del Framework


metasploit.

Andrés Rubio - Elaboración Propia (Dominio público)

Este framework presenta la estructura enumerada y mostrada a continuación:

1.- Interfaces.
2.- Módulos.
3.- Librerías.

Interfaces

Entre las interfaces que podemos usar con metasploit destacamos las siguientes:

Console: Usado a través de la herramienta msfconsole y msfcli.

Cli: Usado a través de la herramienta msfcli.

Web Pro y Gui Pro: Pertenecen a la versión de pago de metasploit.

Armitage: Versión GUI gratuita de metasploit.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 44/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Atmega644 (CC BY-SA)

Módulos

Implementan cada una de las funcionalidades ofrecidas por msf. Constituyen el núcleo del
mismo. Se encuentran en el directorio /usr/share/metasploit-framework/modules, y son
descritos a continuación:

Auxiliary Encoders PostMods Payload Exploits

Auxiliary
Conforman una serie de módulos que permite a msf realizar acciones adicionales o
secundarias como escaneos, sniffer, ataques de fuerza bruta,…

Encoders
Usados para evadir antivirus, sistemas de detección de intrusos (IDS) y software
antimalware. Para lograrlo, los encoders cifran el código asociado al payload, para
que el antivirus no pueda reconocerlo.

PostMods
Son los módulos empleados para post-explotación. Por ejemplo, a través de estos
módulos podemos enumerar todas las aplicaciones instaladas en la máquina
víctima, obtener los usuarios que, recientemente se han logado en el sistema,
obtener los hash de los usuarios del sistema para elevar privilegios en la máquina
víctima...
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 45/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Payload
Fragmento de código que va siempre asociado a un exploit y que ejecuta una
acción provechosa para el atacante. Por tanto, se ejecuta sobre una máquina
remota que ha sido previamente vulnerada mediante el exploit al que va asociado. 

Sin la existencia de los payloads y solo explotando una vulnerabilidad, no le estaría


diciendo al sistema víctima que haga nada. Por lo tanto, los payloads son muy
necesarios para que, una vez explotada la vulnerabilidad, indicarle al sistema
víctima que se va a hacer: crear una shell, un backdoor, un keylogger…

De entre los variados payload, uno de los más usados es meterpreter . Se trata de
una shell con una gran cantidad de opciones que puede usarse para saltarse
antivirus, ejecutar keylogger, obtener información del sistema atacado, capturar la
pantalla de la víctima,…

Exploits
Son fragmentos de código ejecutados sobre una máquina remota objetivo para
explotar un software vulnerable. Hay distintos tipos en función del sistema
operativo. Presenta una estructura de directorio organizada de la siguiente forma:

1. Primer nivel: Plataforma para la que se desarrolló el exploit (Windows, unix,


android, ….).

2. Segundo nivel: Servicio, producto o protocolo para el que se desarrolló el


exploit.

3. Tercer nivel: Archivo con extensión .rb o .py, según haya sido implementado
en Ruby o en python. Constituye el código del exploit.

Por ejemplo, Eternal Blue es un exploit que aprovecha una vulnerabilidad


asociada al protocolo SMB de máquinas con sistemas operativos Windows 7
en adelante. Permite al atacante ejecutar código remoto. Esta vulnerabilidad
está identificada como CVE-2017-0144. Al ser un exploit para sistemas
operativos Windows y que afecta a Samba, lo podemos encontrar en la ruta:

exploit/windows/smb/ms17_010_eternalblue_win8.py

También existe el mismo exploit pero desarrollado en Ruby:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 46/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

exploit/windows/smb/ms17_010_eternalblue.rb

Por tanto, es en este módulo donde se debe añadir cualquier nuevo exploit
que se desarrolle o que se descargue.

Para saber más


Puedes encontrar más información sobre estos componentes y las librerías
del framework a través de los siguientes enlaces:

Sitio web oficial de Metasploit

Offensive Security

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 47/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.5.2.- Primeros pasos con Metasploit.


Metasploit hace uso de una base de datos Postgresql. Por tal motivo, antes de arrancar
msf es necesario comprobar que el servicio de Postgresql está arrancado a través del
comando:

service postgresql status

En el caso de que no está arrancado, debe iniciarse mediante el comando:

service postgresql start

Una vez iniciado, se debe lanzar la base de datos de metasploit que se conectará a
Postgresql y creará toda la estructura necesaria para poder trabajar. Para ello se ejecuta el
comando:

msfdb init

Si el inicio de la base de datos ha resultado ser satisfactorio, ya es posible arrancar la


consola de msf a través del comando:

msfconsole

Tras realizar el arranque de la consola se debe verificar que la la base de datos está
correctamente inicializada usando el comando:

db_status

Puede ocurrir que el resultado de la ejecución del comando db_status no sea el esperado y
que la base de datos no haya sido correctamente inicializada, mostrando el mensaje:

postgresql selected, no connection

En esta situación debe ejecutarse el comando

db_rebuild_cache

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 48/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

que creará la estructura e insertará toda la información necesaria en la base de datos para
el correcto funcionamiento de msf.

◄ ►

Primeros pasos con Metasploit


Comprobaciones iniciales antes de usar Metasploit

Paso 1: se comprueba el estado del


servicio postgresql y se inicia

Andrés Rubio - Elaboración Propia (Dominio público)

Paso 2: Se inicia la base de datos de


metasploit que se conectará a Postgresql

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 49/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

Paso 3: Se inicia la consola de metasploit 

Andrés Rubio - Elaboración Propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 50/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Paso 4: Se verifica de que la base de datos


está correctamente inicializada

Andrés Rubio - Elaboración Propia (Dominio público)

Mensaje de error de conexión a postgresql

Andrés Rubio - Elaboración Propia (Dominio público)

1
2
3
4
5
6

Autoevaluación
¿Qué comando de los indicados permite arrancar la consola de
Metasploit?

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 51/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

service metasploit start

msfdb init

msfconsole

service postgresql start

Incorrecto. Metasploit no es un servicio.

Incorrecto. Este comando inicia la base de datos metasploit, pero no la


consola de metasploit.

Muy bien! Veo que te manejas correctamente con los comandos de


metasploit.

Incorrecto. Este comando inicia el servicio de base de datos postgresql.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 52/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.5.3.- Workspaces.

El uso  metasploit permite realizar una gran cantidad de


acciones como realizar escaneos desde módulos auxiliares,
ataques de fuerza bruta, explotar vulnerabilidades, … Estas
mismas acciones se pueden llevar a cabo para distintos
proyectos. A través de los workspaces ofrecidos por
metasploit se tiene la posibilidad de organizar todos los
datos que se obtienen a través de los distintos test de
penetración en un formato fácilmente localizable.
Pixabay (Dominio público)

Por tanto, antes de comenzar con un test de penetración es


una buena idea crear un nuevo workspace, en el cual se almacenará toda la información
recolectada durante el test sin que se entremezclen estos datos con test previamente
realizados y que no tienen nada que ver con el proyecto actual.

Todas las operaciones relacionadas con los workspaces de msf se pueden ver mediante el
comando:

workspace -h

Por defecto, siempre existe un workspace creado por msf y que se llama default. Se puede
crear un nuevo workspace usando la opción -a seguida del nombre que se le quiere dar al
workspace. Por ejemplo, si se quiere crear un workspace que tenga por nombre asirSad,
se tendría que ejecutar el siguiente comando:

workspace -a asirSad

El nuevo workspace creado pasará a ser el workspace  de trabajo, es decir,  en él se


almacenarán todos los resultados que se obtengan en los diferentes test que se realicen en
adelante. Esto viene indicado por el carácter * que aparece a la izquierda del nombre del
workspace. Para obtener un listado de todos los workspaces que han sido creados basta
con poner el comando workspace.

En el caso de tener más de un workspace y si se deseara cambiar de workspace de trabajo,


solo hay que poner el comando workspace seguido del nombre del workspace al que se
quiere cambiar. Por ejemplo, si tras crear el workspace asirSad, se quiere ahora cambiar al
workspace default para que sea de nuevo el workspace de trabajo, se tendría que ejecutar
el siguiente comando:

workspace default

◄ ►
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 53/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Workspaces en metasploit 
Usando workspaces en Metasploit

Listado de opciones relacionadas con


workspaces en metasploit 

Andrés Rubio - Elaboración Propia (Dominio público)

Tras la ejecución del comando workspace -h, se ejecuta el comando workspace sin
opciones que produce como resultado un listado con los workspace existentes. En
este caso, solo se tiene un workspace, el default.

Creación del workspace asirSad

Andrés Rubio - Elaboración Propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 54/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Tras la creación del nuevo workspace asirSad, se muestra la lista de workspace


existentes. En este caso, además del recientemente creado asirSad, se tiene el
workspace default, siendo asirSad el workspace de trabajo ya que aparece
precedido por el carácter *.

Establecimiento de un nuevo workspace de


trabajo

Andrés Rubio - Elaboración Propia (Dominio público)

En este caso, tras listar los workspaces existentes, se estable default como nuevo
workspace de trabajo. Luego, de nuevo se vuelve a establecer asirSad como
workspace de trabajo.

1
2
3
4

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 55/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.5.4.- Tipos de conexiones en un ataque.

Cuando se tiene por objetivo tomar el control de un


sistema es muy importante conocer el tipo de
conexión que se quiere establecer. Las conexiones
pueden ser de dos tipos: Metasploit Project (Dominio público)

1.- Directa (bind): Usada para conectarse


directamente al equipo víctima. Para ello, el payload abrirá un puerto a través del cual
conectarse a la máquina víctima. En ocasiones, este tipo de conexiones es difícil de
llevar a cabo debido a la existencia de firewalls en la máquina atacada. Este tipo de
conexiones no se puede llevar a cabo en entornos NAT.

Un ejemplo de payload que permite abrir una conexión directa es:

windows/meterpreter/bind_tcp.

2.- Inversa (reverse): Será la máquina víctima quien se conecte a la máquina


atacante. Suelen tener un mejor ratio de acierto. Para ello, el payload indica a la
víctima el puerto al que se debe conectar, siendo necesario establecer un listener en
el equipo atacante para que la conexión tenga éxito. Una vez realizada la conexión el
atacante ya puede tomar el control.

Al ser el propio sistema víctima el que se conecta al atacante, existen muchas


posibilidades de que, aunque exista un firewall en la máquina atacada, éste deje salir
la petición de conexión. Por ello, en el equipo atacante suele usarse el puerto 80
como destino de la conexión. 

Por último, a diferencia de la conexiones directas, sí que se puede llevar a cabo en


entornos NAT.

Un ejemplo de payload que permite abrir una conexión inversa es:

windows/meterpreter/reverse_tcp

Otro ejemplo de payload muy usado y que permite abrir una conexión inversa es
reverse_http. En este caso, el atacante hace una conexión inversa con la víctima,
montando un servicio web al que la víctima se conectará, enviando toda la
información.

Autoevaluación
Las conexiones de tipo reverse no es posible llevarlas a cabo en
entornos NAT
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 56/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Verdadero Falso

Falso
Las conexiones directas no se puede llevar a cabo en entornos NAT,
las inversas sí.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 57/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.5.5.- Consola de metasploit.


Para obtener la lista de comandos que se pueden ejecutar a través de msfconsole se usa el
comando help, mostrándose para cada comando una breve descripción del mismo.

Algunos de los comandos que siempre deben tenerse presente en cualquier test de
penetración son los siguientes:

Mostrar

— Comandos metasploit

‒ search
‒ show exploits
‒ use
‒ show info
‒ set
‒ show payloads
‒ set payload
‒ exploit
‒ run
‒ back
‒ db_import
‒ hosts
‒ db_nmap
‒ services
‒ creds
‒ vulns

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 58/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Richard Patterson (CC BY)

E1ement2048 (CC BY)

A continuación puedes ver ejemplos de algunos de los comandos previamente


explicados:

◄ ►

Explotando vulnerabilidades
Ejemplo de explotación de una vulnerabilidad con metasploit

Búsqueda de módulos y/o exploits


https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 59/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

En este caso se muestra la lista de exploits y módulos auxiliares de msf que están
relacionados con el término EternalBlue. Lo siguiente sería seleccionar el módulo o
exploit que se desea usar para explotar la vulnerabilidad.

Selección del exploit 

Andrés Rubio - Elaboración Propia (Dominio público)

Ejecución del comando use para seleccionar el exploit eternalblue que permite
explotar una vulnerabilidad de samba en entornos Windows. Para ello se debe
indicar a use el path donde se encuentra el exploit a usar.

Obtener la información relacionada con el


exploit parte 1

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 60/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

Entre la información que nos proporciona esta primera parte, destacar que se trata
de un exploit para plataforma Windows, cuya fiabilidad es media y que permite
explotar todos los equipos con sistemas operativos Windows 7 y Windows Server
2008 R2 para cualquier Service Packs.

Obtener la información relacionada con el


exploit parte 2

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 61/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

Destacable de esta segunda parte, todas las opciones que se pueden configurar,
una breve descripción de lo que hace y las referencias webs con información
adicional sobre la vulnerabilidad.

Asignar valores a las distintas opciones del


exploit

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 62/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

En este caso se usa del comando set para, a través de la opción RHOST, establecer
la dirección IP 192.168.1.39 como dirección de la máquina víctima.

Listado de payloads asociados al exploit

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 63/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

A partir de la lista de payloads asociados al exploit previamente seleccionado, se


debe elegir uno que es el que se desea usar.

Selección del payload a usar 

Andrés Rubio - Elaboración Propia (Dominio público)

En esta caso, dadas las características del equipo víctima, se usa una conexión
inversa del payload meterpreter para una plataforma Windows de 64 bits.

Establecimiento de las opciones del


payload
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 64/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

1
2
3
4
5
6
7
8
9

También es posible importar en Metasploit ficheros resultado de realizar algún escaneo con
alguna de las herramientas existentes. Puedes ver un ejemplo de dicho proceso a
continuación:

◄ ►

Importando ficheros en metasploit


Importación de fichero generado con nmap

Importar el fichero con información sobre


el escaner realizado

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 65/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa
Andrés Rubio - Elaboración Propia (Dominio público)

Se importa el fichero pruebaOwasp.xml resultante de un escaneo con nmap. Este


fichero se encuentra en la ruta /root/escaneos

Identificación de los host escaneados

Andrés Rubio - Elaboración Propia (Dominio público)

Se muestra la lista de host escaneados con nmap y presentes en el fichero


previamente importado a metasploit.

Selección de las columnas a mostrar

Andrés Rubio - Elaboración Propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 66/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

De todas las columnas que muestra el resultado de ejecutar el comando host, se


decide quedarse únicamente con tres de ellas: address (dirección IP), mac
(dirección MAC), y os_name (nombre del sistema operativo).

Listado de servicios detectados

Andrés Rubio - Elaboración Propia (Dominio público)

Se muestra, para cada equipo escaneado, los servicios detectados, el puerto que
tiene asociado, el protocolo, el nombre del servicio, el estado y la versión exacta del
servicio.

Filtrado de resultados

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 67/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración Propia (Dominio público)

1
2
3
4
5
6

Debes conocer
En el siguiente enlace puedes ver como usar Armitage para la explotación de
vulnerabilidades:

Tomar Control de un Servidor con Armitage

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 68/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.6.- Ataques según el principio de


seguridad vulnerado.
Según los principios básicos de seguridad vulnerados los ataques se pueden clasificar en:

Intercepción

Es un ejemplo de un ataque pasivo en el que se ataca al principio de confidencialidad. En


este tipo de ataque el intruso accede a información transmitida por la red, pero en ningún
caso se modifica dicha información. En definitiva, lo que hace el intruso es capturar
información.

Andrés Rubio - Elaboración Propia (Dominio público)

Interrupción

Es un ejemplo de un ataque activo en el que se ataca al principio de disponibilidad de un


recurso del sistema o de la red, no pudiendo ser usado dicho recurso. Un ejemplo es un
ataque de Denegación de Servicio (DOS).

Andrés Rubio - Elaboración propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 69/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Modificación

Es otro ejemplo de ataque activo en el que se atacan los principios de confidencialidad e


integridad. En este caso los datos son modificados en algún momento entre su creación por
parte del emisor y su llegada al receptor. Un ejemplo de este tipo de ataque es
arpSpoofing.

Andrés Rubio - Elaboración propia (Dominio público)

Fabricación

Es otro ejemplo de ataque activo en el que se ataca al principio de autenticación. Se trata


de modificaciones destinadas a conseguir que el producto final sea similar al atacado de
forma que sea difícil distinguirlo del original. Por ejemplo, el phishing.

Andrés Rubio - Elaboración propia (Dominio público)

Autoevaluación
¿Cuál de los siguientes ataques afecta al principio de disponibilidad?
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 70/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Intercepción

Modificación

Interrupción

Fabricación

Incorrecto. Afecta a la confidencialidad.

Incorrecto. Afecta a la integridad y confidencialidad.

Muy bien! Este ataque puede provocar que el servicio atacado deje de
estar disponible.

Incorrecto. Afecta a la autenticación.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 71/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.6.1.- Interceptación de mensajes.

La interceptación de mensajes es un tipo


de ataque que tiene como objetivo el robo de
información. No se puede hacer mucho para
impedir la interceptación porque cualquiera
puede interceptar cualquier dato que se
envíe a través de Internet, puesto que es una
red pública, pero lo que es más difícil es
interpretar lo que se intercepta.

Una solución es encriptar la información, por


ejemplo, usando con PGP o S\MIME.

En el caso de  S\MIME usa criptografía de


clave pública para:

1.- Cifrar el contenido del mensaje del


email. Deja sin protección los
encabezados de los mensajes.
2.- Firma de correos electrónicos. xaedes & jfreax & Acdx (CC BY-SA)

En cambio PGP también usa criptografía de clave pública y tiene como retos:

1.- Proteger la información distribuida a través de Internet.


2.- Facilitar la autenticación de documentos mediante firma digital.

Para todo esto, tanto el emisor como el receptor, deberán tener, cada uno, la clave pública
del otro. Además, cada uno de ellos tendrán una clave privada que utilizarán junto a la clave
pública para poder encriptar y desencriptar la información.

Para saber más


En los siguientes enlaces podrás obtener más información sobre S/MIME y su
uso:

S/MIME

S/MIME para la firma y el cifrado de mensajes

¿Qué es S/MIME y cómo funciona?

A continuación puedes acceder a un decálogo de medidas de seguridad en el


correo electrónico:

Medidas de seguridad en el correo electrónico

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 72/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Debes conocer
Hoy día es fundamental el uso de mecanismos de cifrado para cualquier tipo
de comunicación. Por ello es muy importante que aprendas a usar
herramientas para tal fin. A continuación tienes diversos enlaces en los que
puedes formarte sobre el uso de PGP.

Funcionamiento de PGP

OpenPGP

Guía: OpenPGP, PGP y GPG

¿Qué es y para qué sirve PGP?

Utiliza el correo electrónico de forma segura con PGP

Para lograr capturar los paquetes entre emisor y receptor, el


atacante usa una técnica conocida como Sniffing . Para ello
se emplean herramientas sniffers , dedicándose únicamente
a analizar todos los paquetes en busca de información valiosa.
En ningún momento el atacante modifica el flujo de datos. De
ahí que se considere un ataque de intercepción.

Para conseguir esto, el sniffer pone la tarjeta de red en un


Linux Screenshots (CC BY)
estado conocido como "modo promiscuo". De este modo en
la capa de enlace no se descartan las tramas no destinadas a
la dirección MAC de la tarjeta, permitiendo capturar todo el
tráfico que viaja por la red.

Este tipo de ataques se puede realizar en función de si se trata de atacar una red cableada
o una red inalámbrica:

Sniffing en LAN cableadas.

En redes cableadas totalmente


conmutadas es complicado hacer
sniffing, pues los switches no reenvían
los paquetes por todos los puertos, sólo
por el puerto donde está conectado el
destinatario.

Sin embargo, para lograrlo se


puede  utilizar una técnica conocida
como MAC flooding , que consiste
en saturar la memoria de los
conmutadores para que pierdan la tabla Redfox (CC BY-SA)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 73/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

de direcciones MAC y terminen


funcionando como concentradores (hub), es decir, reenviando la información recibida
por todos los puertos por no saber por cuál de ellos debe enviarla.

Para evitar un ataque de este tipo, existen varias posibles soluciones:

Port Security: Es una característica de seguridad incluida en muchos de los


Switchs actuales, la cual permite configurar las interfaces para aceptar un
número máximo de direcciones MAC. Además, estas MACs pueden ser
aprendidas de forma automática o bien configuradas por nosotros manualmente.

Si se configura de la primera manera, el Switch aceptará las MACs que reciba a


través de la interfaz hasta que se llegue al número máximo configurado. Si se
supera este número se considera una violación de seguridad y se lleva a cabo la
acción configurada (normalmente apagar la interfaz automáticamente), lo cual
detiene el posible ataque de forma inmediata.

Si lo configuramos indicando manualmente las MACs que se pueden conectar a


la interfaz, cada vez que el Switch reciba una trama a través del puerto
configurado con Port Security comprobará la MAC recibida y la comparará con
las MACs que se pueden admitir (configuradas manualmente). Si existe
coincidencia la trama es aceptada y por lo tanto, el dispositivo dispone de
conexión con el Switch. Sin embargo, si la MAC de la trama recibida no se
encuentra entre las admitidas, se considera una violación de seguridad y se
toman las medidas oportunas, como por ejemplo, apagar la interfaz.

El primer modo de configuración detiene el envío masivo de MACs por una


determinada interfaz, mientras que el segundo modo además de detener el
envío masivo, también previene la falsificación de las MACs.

Protocolo 802.1x: 802.1x es un protocolo a nivel de enlace de datos usado para


la autenticación entre el Switch y el host, de tal forma que se produce una
negociación entre ambos. Si el resultado de esta negociación concluye con la
autenticación del cliente, este obtiene acceso y conectividad con el Switch. En
cambio, si el cliente no es autenticado con éxito, se deniega el acceso al Switch.
Por lo tanto, su MAC no será agregada a la tabla de direcciones MACs.

Esta configuración basada en el protocolo 802.1x previene el ataque MAC


Flooding limitando el envío masivo de MACs y evitando la falsificación de estas.

Asignación estática de direcciones MAC.

Sniffing en LAN inalámbricas 

Por naturaleza, cualquier señal Wi-Fi se puede capturar. Otra cuestión es que
consigamos entenderla, ya que toda Wi-Fi usa técnicas de cifrado en sus
comunicaciones. Si se rompe la seguridad del cifrado inalámbrico, se tiene acceso a
todas las comunicaciones de la red, sin cifrar.

Una de las formas existentes de detectar este tipo de ataques reside en descubrir si hay en
la red hay algún adaptador de red en modo promiscuo. Para lograrlo se emplean
herramientas que se basan en el envío de paquetes que no van a ser respondidos, salvo
por equipos en modo promiscuo. Estos programas emplean las siguientes técnicas:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 74/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Detección de latencia en paquetes ICMP. Este


método lanza muchas peticiones TCP erróneas para
que ningún equipo las tenga en consideración. Tras
esto, se manda ping a todas las máquinas. Una
máquina en modo promiscuo suele consumir más
tiempo de lo normal en responder ya que está
ocupada procesando los paquetes.

Detección mediante paquetes ping ICMP. Se lanza


un ping a una máquina sospechosa, utilizando una
MAC destino falsa. Si la máquina está en modo Kenobimanu~commonswiki (Dominio público)

promiscuo, responde al ping sin comprobar que la


MAC
es falsa.

Detección mediante paquetes ARP. Se envía un paquete de petición ARP con


destino a la dirección IP de la máquina sospechosa y con una dirección MAC
inexistente. Se sabe que un equipo está en modo promiscuo si procesa dicha consulta
ARP y la responde. Este proceso se suele repetir para todas las IPs válidas en el
rango de la red local permitiendo comprobar todos los equipos.

Para saber más


En el siguiente enlace puedes ver un taller de la Cybercamp organizada por
Incibe en la que se explica en profundidad la técnica de Sniffing:

Sniffing de tráfico web

Debes conocer
A continuación puedes aprender más en profundidad sobre la monitorización
en red,  sobre los tipos de ataques y sobre sniffers:

Monitorización en red

Ataques en redes LAN y su mitigación

Sniffers

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 75/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.6.2.- Suplantación de la identidad.


Ataque ARP Spoofing.
La suplantación de la identidad, también conocida como Spoofing , es otro tipo de
ataque en el que:

Se enmascaran las direcciones MAC (ARP Spoofing) 


Se enmascaran las direcciones IP (IP Spoofing).
Se produce una traducción falsa de los servidores DNS (DNS Spoofing).
Se produce un envío de mensajes con remitentes falsos (SMTP Spoofing).
Se capturan nombres de usuario o contraseñas.

ARP Spoofing

Esta técnica de suplantación de identidad consiste en engañar a la tabla ARP que los
equipos guardan en memoria. Dicha tabla asocia una dirección física o MAC de una tarjeta
de red con su IP.

Windows 10 (Elaboración propia)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 76/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Con esta técnica se logra hacer creer al ordenador (o dispositivo) de la víctima que la
dirección física de otro ordenador (o dispositivo) de la red, es la del ordenador (o
dispositivo) del atacante, consiguiendo con ello que todo el tráfico de red entre los dos
equipos afectados pase por el equipo del atacante. El atacante puede elegir entre reenviar
el tráfico al equipo real sin ningún tipo de modificación (ataque pasivo o escucha empleado
en los ataques MitM) o modificar los datos antes de reenviarlos (ataque activo). 

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen se muestra el típico esquema de un equipo cuando quiere llevar a cabo una
comunicación externa. Tanto la petición como la respuesta del recurso se hará a través del
dispositivo que tenga la función de puerta de enlace (gateway).

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 77/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen se muestra al atacante envenenando la tabla de direcciones MAC, tanto de la


víctima como del router (o dispositivo que haga la función de gateway). Para ello envía dos
paquetes ARP Replay :

1.- Un paquete a la víctima indicando que él es la MAC asociada al router  (o


dispositivo que haga la función de gateway). De esta forma la máquina víctima
actualizará su tabla ARP.

2.- Un paquete al router (o dispositivo que haga la función de gateway) indicando que


él es la MAC asociada a la víctima. 

Andrés Rubio - Elaboración propia (Dominio público)

Tras realizar el ataque, la máquina víctima realizará toda la comunicación externa a través
de la máquina atacante. Esto se debe a que en su tabla ARP, la IP de su puerta de enlace
tiene como dirección MAC la correspondiente a la máquina atacante.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 78/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

◄ 1
2

Tabla ARP de la máquina víctima antes del


ataque

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen se muestra la tabla ARP de la máquina víctima antes de que sea


atacada. En dicha tabla se puede apreciar que:

1.- El dispositivo que hace la función de puerta de enlace ( 10.0.2.1 ) tiene


asociada la dirección MAC  52:54:00:12:35:00 .
2.- El dispositivo del atacante ( 10.0.2.15 ) tiene asociada la dirección
MAC  08:00:27:2b:63:25 .

Tabla ARP de la máquina víctima tras


realizar el ataque

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 79/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen se muestra la tabla ARP de la máquina víctima antes y después de


ser atacada a través de ARP Spoofing. En dicha tabla se puede apreciar que:

1.- Se ha cambiado la dirección MAC del dispositivo que hace la función de


puerta de enlace ( 10.0.2.1 ). Ahora tiene asociada la dirección MAC
08:00:27:2b:63:25 correspondiente a la máquina atacante.
2.- El dispositivo del atacante ( 10.0.2.15 ) también tiene asociada la
dirección MAC  08:00:27:2b:63:25 .

Por tanto, se aprecia que hay duplicidad de MAC, es decir, dos direcciones IP
diferentes tienen la misma dirección MAC. Esta es una de las formas que se tiene
para detectar este tipo de ataques.

Sin embargo, hoy día hay muchos dispositivos que hacen la labor de puerta de enlace y
que detectan este tipo de cambios en sus tablas ARP. Por tal motivo, existe una variante de
este tipo de ataque llamado ARP Spoofing One Way . En este ataque se deja sin
envenenar la tabla ARP del dispositivo que hace de puerta de enlace y solo se envenena la
tabla ARP de la máquina víctima. De esta forma, la puerta de enlace no detecta el ataque.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 80/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen se muestra el típico esquema de un equipo cuando quiere llevar a cabo una
comunicación externa. Tanto la petición como la respuesta del recurso se hará a través del
dispositivo que tenga la función de puerta de enlace (gateway).

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen se muestra al atacante envenenando solo la tabla de direcciones MAC de la


víctima. Para ello envía un paquete  ARP Replay  a la víctima indicando que él es la MAC
asociada al router (o dispositivo que haga la función de gateway). De esta forma la máquina
víctima actualizará su tabla ARP.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 81/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Tras realizar el ataque, la máquina víctima realizará toda la comunicación externa a través
de la máquina atacante. Esto se debe a que en su tabla ARP, la IP de su puerta de enlace
tiene como dirección MAC la correspondiente a la máquina atacante. Sin embargo, en esta
ocasión la tabla ARP de la puerta de enlace no ha sido cambiada. Por tal motivo, la
respuesta a la petición de la máquina víctima le llega directamente desde la puerta de
enlace sin pasar por el atacante. 

Por tanto, en esta variedad del ataque ARP Spoofing, la máquina atacante solo podrá
examinar el contenido de las peticiones realizadas por la máquina víctima, pero no podrá
ver el contenido de la respuesta.

Mitigación ARP Spoofing

Para evitar este tipo de ataques se suele recurrir al uso de programas de monitorización
que detecten cambios en las tablas ARP. Algunos ejemplos de ellos son:

Sistemas Detectores de Intrusos (IDS) como Snort .


Herramientas como arpwatch para distribuciones Linux.
Herramientas como xarp para sistemas Windows.

Sin embargo, hay que tener en cuenta que éstos generan ocasionalmente falsos positivos
debido, por ejemplo, a cambios en las tarjetas de red de los equipos.

◄ 1
2

Usando arpwatch para detectar ARP


Spoofing

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 82/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen de la izquierda se muestra la tabla ARP de la máquina víctima, antes


y después de realizarle una ataque ARP Spoofing. En dicha tabla se puede apreciar
que:

1.- Se ha cambiado la dirección MAC del dispositivo que hace la función de


puerta de enlace ( 10.0.2.1 ). Ahora tiene asociada la dirección MAC
08:00:27:2b:63:25 correspondiente a la máquina atacante.
2.- El dispositivo del atacante ( 10.0.2.15 ) también tiene asociada la
dirección MAC  08:00:27:2b:63:25 .

Por tanto, se aprecia que hay duplicidad de MAC, es decir, dos direcciones IP
diferentes tienen la misma dirección MAC. Esta es una de las formas que se tiene
para detectar este tipo de ataques.

En cambio, en la imagen de la derecha se muestra el fichero log de la herramienta


arpWatch en la que se alerta sobre el cambio de MAC realizado sobre la puerta de
enlace. Se muestra la nueva MAC y la MAC original.

Usando Xarp para detectar ARP Spoofing

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 83/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Captura de pantalla (Dominio público)

En la imagen la herramienta Xarp indica que no se ha detectado ningún ataque


ARP Spoofing.

Andrés Rubio - Captura de pantalla (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 84/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En la imagen la herramienta Xarp nos alerta de que se ha producido un ataque ARP


Spoofing, y entre otros cambios, se ha modificado la dirección MAC de la puerta de
enlace (10.0.2.1) que ha pasado de tener la MAC 52:54:00:12:35:00 a la MAC
08:00:27:2b:63:25 ( que es la MAC corresponde a la máquina atacante).

Para saber más


En el siguiente enlace puedes obtener más información sobre ARP Spoofing:

ARP Spoofing

Debes conocer
Como buen administrador de sistemas es necesario conocer bien las
herramientas  arpWatch y xarp. Puedes obtener más información sobre su
uso a través de los siguientes enlaces:

Monitorización de actividad Ethernet usando arpWatch

Instalación y configuración de arpWatch

Sitio web oficial de xarp

También es bueno que aprendas el uso de herramientas como bettercap,


ettercap, mitmf, arpspoof o dsniff , que te pueden ser muy útiles para llevar
a cabo ataques ARP Spoofing y comprobar que tus sistemas detectores,
como Snort, arpWatch, o xarp , te alertan de ello. 

Uso de arpspoof para realizar ataque ARP Spoofing

Uso de mitmf para realizar ataque ARP Spoofing

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 85/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Uso de arpspoof para realizar ataque ARP


Spoofing

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen de la izquierda se muestra, desde la máquina atacante ( 10.0.2.5 ) la


ejecución del comando arpspoof envenenando la tabla ARP de la puerta de enlace.
Para ello, le envía un arp reply a la máquina 10.0.2.1 indicando que él es la
MAC 08:00:27:e4:42:81 , que corresponde realmente a la máquina víctima
( 10.0.2.4 ).

En la imagen de la derecha se muestra, desde la máquina atacante ( 10.0.2.5 ) la


ejecución del comando arpspoof envenenando la tabla ARP de la máquina víctima.
Para ello, le envía  un arp reply a la máquina 10.0.2.4   indicando que él es la
MAC 52:54:00:12:35:00 , que corresponde realmente a la puerta de enlace
( 10.0.2.1 ).

Uso de mitmf para realizar ataque ARP


Spoofing

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 86/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen se muestra, desde la máquina atacante ( 10.0.2.5 ) la ejecución del


comando  mitmf envenenando tanto la tabla ARP de la puerta de enlace
( 10.0.2.1 ), como la tabla ARP de la máquina víctima ( 10.0.2.4 ).

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 87/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.6.3.- Suplantación de identidad. IP


Spoofing. DNS Spoofing.

IP Spoofing

Con este tipo de ataques lo que se pretende


es engañar al sistema destinatario de un
paquete (equipo víctima) para que no sepa
realmente quien es el emisor del mismo. Por
tanto, se hace creer al destinatario que somos
quien no somos.

Para lograrlo, el atacante emplea la técnica IP


Spoofing  mediante la cual sustituye la
dirección IP origen de un paquete TCP/IP por
otra dirección IP a la que se desea suplantar.
Esto se consigue mediante aplicaciones
diseñadas específicamente para este
propósito.  Este tipo de ataques se puede
llevar a cabo para cualquier protocolo dentro
GGShinobi (CC BY-SA)
de TCP/IP, como por ejemplo, TCP, UDP,
ICMP,...

Hay que tener muy presente que las respuestas del sistema destinatario de dichos
paquetes, irán dirigidas al equipo que realmente tiene la IP que ha falsificado el atacante.
Por tanto, no llegarán al atacante. También es necesario considerar que, en cualquier
momento, el equipo al que se está suplantando puede cortar la conexión al recibir paquetes
que no ha solicitado previamente. Además, los routers de hoy en día no admiten el envío de
paquetes que tengan como IP origen una dirección que no pertenece a alguna de las redes
que administra. 

Sin embargo, sí puede emplearse esta técnica siempre que:

1.- El equipo destinatario del paquete falsificado (equipo víctima) pertenezca a la


misma red local que el atacante.
2.- La IP falsificada no esté usándose en la LAN.

De esta forma se evita tanto que, el router no admita el paquete falsificado al pertenecer a
la misma red (ya que no va a tratar dicho paquete), como que el equipo suplantado corte la
conexión por no haber solicitado previamente los paquetes que le llegan de respuesta. El
peligro de todo esto es que podría emplearse para un ataque DoS sobre el equipo víctima.
Para ello, el atacante podría enviar miles de paquetes con la IP origen falsificada al equipo
víctima que se desea atacar, enviando éste una respuesta por cada uno de los miles de
paquetes recibidos, quedándose la conexión abierta esperando otra respuesta que nunca le
va a llegar. 

Mitigación IP Spoofing

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 88/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Las principales medidas que pueden emplearse para mitigar un ataque IP Spoofing son:

1.- A través de los routers los cuales deberían estar configurados para lograrlo. Sin
embargo, en el caso de que no sea así, se deben crear reglas o filtros anti-spoofing
que:
1.1.- Filtren aquellos paquetes salientes cuya IP origen no pertenezcan a las
redes gestionadas por el router. 
1.2.- Filtren aquellos paquetes entrantes cuya IP origen pertenezca a alguna de
las redes gestionadas por el router.
2.- Realizando algún tipo de autenticación de los equipos que envían un paquete. Esto
último es algo que ya implementa el protocolo IPv6. Por tanto, con ésta última versión
del protocolo IP se lograría evitar ataques de tipo IP Spoofing.

La solución de filtros anti-spoofing no protege cuando el atacante y la víctima están en la


misma LAN. Para solventar este caso, cuando llega un paquete  al Switch, éste debe
examinar la cabecera IP y comprobar que la IP origen indicada en dicha cabecera y la MAC
origen indicada en la cabecera de la trama, se corresponden según su tabla de direcciones
MAC. Para ello, el Switch debe tener activado lo que se conoce como DHCP Snooping .
En el caso de que no exista dicha correspondencia, el paquete se descarta y se puede
bloquear el puerto si así está configurado el Switch cuando detecta esta circunstancia. A
esto se le conoce como IP Source Guard .

Para saber más


Puedes encontrar más información sobre ataques de suplantación en el
siguiente vídeo:

Ataques de Spoofing

DNS Spoofing

El término DNS Spoofing se emplea para referirse a la amplia variedad de ataques que
buscan suplantar la información almacenada en los servidores DNS. La finalidad de este
tipo de ataques es conseguir modificar los registros que se almacenan en el servidor DNS
por los que decida el atacante. Para ello se emplean diferentes mecanismos como  DNS
Cache Poisoning, MitM, DNS Hijacking, ...

Básicamente consiste en falsear la respuesta del servidor DNS sobre una petición y darle
una dirección IP diferente a la real. Es decir, que cuando la máquina víctima pide a su
servidor DNS por ejemplo, la IP del sitio web www.iesalandalus.org, el atacante falseará el
paquete de datos del DNS con la respuesta y le dará la IP de otro equipo cualquiera. De
este modo, la víctima en vez de conectarse al sitio web solicitado, se conectaría a otro
diferente o a una réplica del original.

Un ejemplo de esto último se puede hacer mediante un DNS Spoofing local usando un
ataque MitM. Con esto el atacante puede replicar un sitio web, por ejemplo facebook, en

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 89/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

una máquina de la red local a la cual se conectará la víctima pensando que es el sitio web
real. Esto puede usarse para capturar las claves de acceso de la víctima.

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen mostrada, cuando el equipo víctima quiere acceder al dominio


iesalandalus.org , primero debe averiguar cuál es la IP que corresponde a dicho dominio.
Para ello hace una consulta (paso 1) al servidor DNS que tenga establecido, por ejemplo, al
DNS público de Google 8.8.8.8. El servidor le responde con la dirección IP 85.208.102.26
que es la asociada al dominio solicitado (paso 2). Finalmente el equipo víctima accederá a
la IP 85.208.102.26 para consultar la web del iesalandalus.org (paso 3).

Andrés Rubio - Elaboración propia (Dominio público)

En esta caso, y tras verse afectado el equipo víctima por un ataque MitM con el que se está
realizando un DNS Spoofing local,  cuando el equipo víctima quiere acceder al dominio
iesalandalus.org , al igual que en el caso anterior, primero debe averiguar cuál es la IP
que corresponde a dicho dominio. Para ello hace una consulta (paso 1) al servidor DNS
que tiene establecido. Sin embargo, a diferencia de la situación anterior, dicha petición no
llega al servidor DNS que tenga establecido. En su lugar le va a responder una máquina
que controla el atacante. Dicha máquina le responderá con una IP falsa (paso 2). Esta IP
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 90/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

falsa corresponderá a algún servidor web fraudulento (normalmente un sitio web réplica del
original solicitado) que también controla el atacante. Finalmente el equipo víctima accederá
a la IP falsa para consultar la web del iesalandalus.org (paso 3).

Para saber más


A través de los enlaces proporcionados a continuación puedes profundizar
más en todo lo relacionado con DNS Spoofing:

DNS Spoofing según we live security

Ataques al DSN

Usar DNS Cache Snooping para lograr DNS fingerprinting

Guía de seguridad en servicios DNS

DNS Hijacking

Hacking-Etico: Hablemos de Spoofing

DNS Spoofing local con mitmf DNS Spoofing local con ettercap

DNS Spoofing local con mitmf

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen de la izquierda se muestra la ejecución del comando mitmf para la


realización de un ataque DNS Spoofing. Con dicho comando se indica a mitmf que
active el módulo arp para realizar un ataque de tipo spoofing , teniendo por
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 91/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

objetivo la máquina cuya IP es 10.0.2.4 y como puerta de enlace 10.0.2.1 .


Además, se le indica que active el plugin dns para realizar un DNS Spoofing.
Previamente a lanzar el ataque hay que modificar el fichero mitmf.conf e indicar
cual es el dominio que se quiere suplantar y la IP que se le va a asociar. En este
ejemplo, es la propia máquina del atacante la que tiene activo el servicio apache
para suplantar el dominio. Por eso, en la imagen de la derecha se muestra la
activación del servicio apache.

DNS Spoofing local con ettercap

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen de se muestra la ejecución del comando ettercap para la realización


de un ataque DNS Spoofing. Con dicho comando se indica a ettercap que active el
módulo arp para realizar un ataque de tipo spoofing , teniendo por objetivo la
máquina cuya IP es 192.168.1.62   y como puerta de enlace 192.168.1.1 .
Además, se le indica que active el plugin dns_spoof para realizar un DNS
Spoofing. Previamente a lanzar el ataque hay que modificar el fichero etter.dns  e
indicar cual es el dominio que se quiere suplantar y la IP que se le va a asociar. Al
igual que en el caso de mitmf, la máquina con la IP asociada debe tener activo un
servicio web (apache, nginx...) para suplantar el dominio. 

Mitigación de DNS Spoofing
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 92/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

El mecanismo más eficaz para evitar la manipulación de mensajes en el protocolo DNS, y


por tanto, proporcionar protección contra los ataques DNS Spoofing es DNSSEC. Se basa
en una infraestructura criptográfica para establecer autenticación en el origen de los datos
DNS. De ese modo, puede usarse para asegurar la integridad de los mensajes y la
autencidad de la fuente emisora.

En la Guía de seguridad en servicios DNS puedes obtener información detallada acerca del


funcionamiento de DNSSEC. 

Para saber más


Puedes comprobar si tienes asegurada la autenticidad y la integridad de tu
dominio web siguiendo las indicaciones mostradas en el siguiente enlace:

DNSSEC

Debes conocer
Existen diversidad de herramientas mediante las cuales pueden lograrse
estos ataques. Debes usarlas en entornos controlados y siempre con la
finalidad de simular ataques para detectar como responden tus sistemas. A
continuación se muestran algunos enlaces interesantes donde puedes
obtener más información sobre tales herramientas:

Sitio web oficial de bettercap

Bettercap una katana para realizar ataques de red

Bettercap 2: La evolución de la navaja suiza de red

Mitmf: Ataques modernos en redes de datos

Sitio oficial de ettercap

DNS Spoofing con ettercap

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 93/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.6.4.- Suplantación de identidad. SMTP


Spoofing. DHCP Spoofing.

SMTP Spoofing

Con el SMTP Spoofing o email Spoofing se falsifica el origen de los mensajes. Cualquier
servidor de correo que acepte conexiones en el puerto 25 está expuesto a este tipo de
ataques. La consecuencia es que alguien puede estar enviando correos electrónicos desde
una cuenta ajena. Por tanto, lo que ve el receptor del mensaje es un email enviado por un
emisor cuando realmente quien lo ha enviado es otro. Lógicamente esto suele usarse con
fines fraudulentos.  Uno de los indicios de haber sufrido un ataque de este tipo es recibir
correos que parecen venir de uno mismo.

En algunos casos, lo que ocurre no es spoofing a través de un servidor SMTP, sino que
alguien accede a la cuenta de correo y a los correos como si fuera el dueño legítimo de
dicha cuenta. En otras ocasiones, se usan técnicas de ofuscasión, como por ejemplo,
utilizar subdominios parecidos pero falsos:

En vez de @google.com usar @google.corn. Visualmente son casi iguales, pero en


realidad en el segundo caso, en lugar de una m, se ha usado una r seguida de una n
(rn).
En vez de @google.com usar @googel.com. 

Hoy en día, esto es algo muy habitual porque la mayoría de los usuarios no suelen fijarse
en esos detalles. A pesar de ello, es muy probable que el servicio de email (si es eficaz,
como ocurre en el caso de gmail) lo detecte y lo envíe directamente a la carpeta de Spam.  

A continuación se muestra un ejemplo con los pasos mediante los cuales se puede enviar
un correo simulando ser otro usuario:

Conectarse mediante telnet por el puerto 25, al servidor de correo donde


está alojada una cuenta legítima.

telnet correo.dominio 25

Escribir las siguientes sentencias:

MAIL FROM:[email protected] (cuenta que puede ser inventada, aunque el recept


RCPT TO:[email protected] (cuenta legitima donde poder verifi
DATA

TO:[email protected]

FROM:[email protected]

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 94/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Hola esto es una prueba desde una cuenta que no existe

Adiós

Esto funcionaba en muchos servidores de correo. Cuando el


usuario de correo [email protected]  descarga
el email, ve un mensaje que proviene de [email protected].

En la imagen se puede ver como el mensaje parece venir de


la dirección [email protected], que obviamente no existe. En
este caso es fácil ver que algo va mal, pero si las
direcciones son parecidas a direcciones reales, distinguir el
engaño es más difícil.

También se puede usar el comando sendemail para realizar


Tomás - Elaboración propia (Dominio público)

el envío de mensajes por consola en distribuciones Linux.


Pero en este caso se necesita la contraseña de la cuenta de correo del usuario emisor.

Andrés Rubio - Elaboración propia (Dominio público)

sendemail -f direccion_emisor -t direccion_destinatario -s servidor_smtp:puerto \

-u asunto -m cuerpo_mensaje -xu usuario_autenticacion_smtp -xp password_autenticacion_smtp

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 95/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

El robo de usuarios y contraseñas para suplantar la identidad se puede hacer de diversas


formas. Una de las más comunes es la utilización de la ingeniería social. Un ejemplo de
este tipo de técnica es la conocida como phising, donde a través de la ingeniería social se
intenta conocer datos bancarios, datos de tarjetas de crédito, nombre de usuarios y
contraseñas... También se puede emplear phising para el envío de emails que lleven algún
tipo de fichero adjunto el cual, aparentemente es inofensivo, pero al abrirlo puede provocar
la apertura de una conexión con un equipo remoto utilizando una conexión inversa.

También hay casos en los que el atacante monta su propio servicio SMTP, usando sendemail
para realizar el envío masivo de correos electrónicos a través de un script y estableciendo
una dirección emisora engañosa (como las comentadas con anterioridad). 

Mitigación de SMTP Spoofing

Para que el receptor de un email pueda saber con relativa "seguridad" que el correo
presente en su bandeja de entrada es o no legítimo, se usan protocolos como SPF, DKIM y
DMARC. Estos tres son los mecanismos más usados para la verificación y autenticación de
correos electrónicos.

SPF

Es el encargado de identificar el correo. Para ello proporciona un registro DNS  que


identifica los servidores de correo que pueden enviar mensajes en nombre de ese
dominio. Este registro DNS proporciona información al cliente de correo para que
puede comprobar que el servidor de correo que le ha enviado el mensaje está
autorizado para el dominio en cuestión. Por tanto, SPF  identifica el correo no solo por
quien dice ser su emisor, también verifica la IP de la máquina desde la que se realiza
el envío y  los registros del DNS, debiendo estos últimos coincidir con los servidores
de correo SMTP autorizados para llevar a cabo el envío.

DKIM

Asocia un nombre de dominio a un mensaje. Por tanto, permite responsabilizar del


envío a una persona o a su organización. Para ello, utiliza criptografía de clave
pública, aportando una firma digital en la cabecera de los mensajes enviados desde
un dominio. Mediante la verificación de la firma, el cliente de correo puede comprobar
que el mensaje realmente procede del dominio, y por supuesto, que no ha sufrido
ninguna modificación durante la transmisión, garantizándose la integridad del
mensaje.

DMARC

Certifica que los emails enviados desde un dominio están protegidos por SPF y/o
DKIM. En el caso de no certificarlo, las herramientas de correo pueden marcar el
email como Spam. Para lleva a cabo dicha certificación, tiene como objetivo primordial
establecer mecanismos que permitan compartir información entre los sistemas origen
y destino de los correos.

Lógicamente, la aparición de estos protocolos se debe a que al crear el protocolo SMTP (al
igual que ocurre con HTTP) no se tuvo en mente los malintencionados usos actuales que se
pueden hacer. Por último, hay que tener muy presente que configurar bien estos tres
protocolos no garantiza plenamente al receptor de un email que su correo entrante sea
legítimo. Esto se debe a que se sigue teniendo una dependencia ajena que es la
herramienta de correo usada por el receptor.
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 96/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Para saber más


A continuación puedes obtener más información sobre la legitimidad de los
correos electrónicos:

Identificación de la legitimidad de un correo electrónico

El correo electrónico: La primera barrera a proteger para evitar el fraude

Configuración SPF, DKIM y DMARC

Debes conocer
Hoy día es fundamental proteger tus dominios de correo electrónico. Por tal
motivo es importante que aprendas a configurar bien los tres protocolos SPF,
DKIM y DMARC. A continuación se proporcionan una serie de enlaces donde
se explica con detalle la seguridad en el correo electrónico:

Seguridad en el correo electrónico: SPF y DKIM

Seguridad en el correo electrónico: DMARC

Tecnología y formación para proteger tu dominio de correo electrónico

Autoevaluación
Falsear una IP se utiliza siempre que:
Se produzca IP Spoofing.
Se produzca SMTP Spoofing.
Recibamos mensajes de nuestra propia dirección de correo.
Se produzca IP Spoofing o un DNS Spoofing.

No es correcto. Puede haberse producido otro tipo de ataque

Incorrecto. En el SMTP Spoofing se modifica el origen de los mensajes.

No es cierto. Este es uno de los indicios de que se ha producido SMTP


Spoofing.
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 97/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Correcto. Si se falsea la IP en la consulta DNS se puede producir DNS


Spoofing.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

DHCP Spoofing

DHCP también es un protocolo que se presta a ser atacado. Se trata de un protocolo que
facilita la labor del administrador ya que a los nuevos host que se conecten a la red, les
asigna de forma automática, parámetros de configuración de red tales como, la IP del
gateway, el servidor DNS, la máscara de subred y por supuesto la dirección IP.

Su funcionamiento normal es el mostrado a continuación:

Andrés Rubio - Elaboración propia (Dominio público)

El host cliente envía al Broadcast de la red un paquete Discovery solicitando que le


envíen los parámetros de configuración.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 98/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

El servidor recibe el mensaje y responde con un paquete Offer en el que se incluye


información relacionada con la configuración asignada.

Andrés Rubio - Elaboración propia (Dominio público)

El host cliente responde con un paquete Request solicitando que le asignen parcial o
totalmente los parámetros recibidos.

Andrés Rubio - Elaboración propia (Dominio público)

El servidor responde al mensaje recibido del cliente con un paquete ACK confirmando
que la configuración ha sido reservada.

Este funcionamiento puede ser atacado de dos formas diferentes:

1.- Usando servidores DHCP furtivos, también conocidos como Rogue DHCP.

Esto es posible porque DHCP no proporciona mecanismos de autenticación que


permitan verificar el origen de los paquetes durante la negociación de los parámetros
de configuración. Además, el propio protocolo presupone que sólo responderá un
servidor DHCP de entre todos los equipos de la LAN. Por lo tanto, nada impide a un
atacante montar un servidor DHCP furtivo en la  LAN  que falsifique paquetes Offer,
compitiendo con el DHCP legítimo.

De este modo, cuando un host cliente envía el primer paquete discovery de broadcast,
todos los equipos de la red detectan e ignoran la petición y el DHCP que le responda
antes (de entre el furtivo y el legítimo) será del que guarde la configuración de red. A
menudo el furtivo suele estar en la LAN del host cliente mientras que el legítimo suele
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline/… 99/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

estar en otra subred, con lo cual el furtivo responde antes, proporcionando


información falsa al cliente. 

Esto información falsa posibilitaría al atacante: 

1.1.- Establecer como puerta de enlace del host cliente, la propia dirección IP del
atacante, permitiéndole recibir todo el tráfico que vaya destinado fuera de la
LAN.

1.2.- Falsificar los parámetros del DNS para que el host cliente ponga la IP del
atacante como servidor DNS, permitiéndole manipular cualquier resolución de
nombres.

2.- Llevando a cabo un agotamiento de direcciones. A este ataque se le conoce


como DHCP Starvation Attack.

En este tipo de ataque, el


atacante inunda con
peticiones DHCP al
servidor DHCP legítimo
utilizando una dirección
MAC diferente en cada
petición. Con esto puede
agotar el espacio de
direcciones asignables por
el servidor DHCP por un
tiempo indefinido. La
consecuencia es que, una
vez agotado el espacio de
direcciones, si un nuevo
cliente solicita una IP para
acceder a la red, se
quedaría sin obtenerla de
forma automática.

Con este tipo de ataque


se conseguiría dejar sin
Andrés Rubio - Elaboración Propia (Dominio público)
servicio DHCP a la red
local. Por tanto, de forma
implícita se estaría llevando a cabo un ataque Denegación de Servicio (DoS). 

En muchas ocasiones, este tipo de ataque se suele llevar a cabo antes que el Rogue
DHCP para tumbar al DHCP legítimo, permitiendo así que solo el Rogue DHCP pueda
asignar la configuración de red a los clientes nuevos que deseen obtener acceso a la
red.

Herramientas como Yersinia, Ettercap, DHCPig, DHCPstarv, Globber o simplemente


configurando un servidor DHCP podría ser suficiente para llevar a cabo estos tipos de
ataques.

Debes conocer
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 100/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En los siguientes enlaces puedes obtener más información sobre los peligros
de los ataques DHCP:

Ataques relacionados con DHCP

Inanición de redes con DHCP mediante DHCPig

Ataque DoS sobre un servicio DHCP usando Yersinia

Mitigación de DHCP Spoofing

La mitigación de este tipo de ataques  se


logra de diversas formas, entre las que se
pueden destacar:

Usando un Switch que:
Tenga activado el  port security
estableciendo un máximo de una
MAC por puerto.
Compare la dirección MAC origen
de la trama en la capa 2 y la
dirección MAC origen que
aparece en la capa 3 en el
paquete request. Si no coinciden
quiere decir que se está
falseando una de las dos MAC.
En consecuencia, se puede
configurar el Switch para que
bloquee el puerto al que está
conectado el equipo atacante.
Lógicamente, no puede ser un
Switch cualquiera, debe ser uno
que pueda trabajar a nivel de
capa 3, lo cual es algo bastante
habitual hoy día.

Rr 750 (CC BY-SA)


Configurando ACLs en el Switch:

Para impedir que los puertos destinados a equipos de usuario, envíen paquetes UDP
cuyo puerto origen sea el 67, logrando evitar el uso de servidores DHCP no legítimos
en la red local.

Usando DHCP Snooping.

Consiste en definir desde qué interfaces o puertos del Switch puede generarse tráfico
DHCP Offer. A estos puertos se les conoce como puertos confiables (Trusted) y al
resto como puertos no confiables (Untrusted). Así, si el Switch recibe tráfico DHCP por
un puerto Trusted, lo deja pasar. En cambio, si lo recibe por un puerto Untrusted, lo
descarta o incluso bloquea el puerto.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 101/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Por último, una forma de detectar aunque no mitigar este tipo de ataques sería:

Usando filtros en Wireshark para acelerar la búsqueda de respuestas DHCP ACK con


un DNS o un gateway diferentes al configurado en el  servidor DHCP, mostrando
aquellos paquetes enviados que no tenga la IP de la puerta de enlace o de un servidor
DNS legítimo.
Usando herramientas que permiten detectar en una LAN equipos con servicios DHCP
activos, como por ejemplo, Globber, dhcp_probe o Rogue Detect.

Para saber más


En el siguiente enlace puedes obtener más información sobre la mitigación y
detección de DHCP Spoofing:

Localizar un Rogue DHCP con WireShark

DHCP Snooping

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 102/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.6.5.- Modificación del tráfico y las tablas


de enrutamiento.
Los paquetes ICMP Redirect
son empleados por los routers
para indicar a los demás que
existen otras rutas alternativas
sin pasar por él. Un ejemplo de
ello se muestra en la imagen de
la izquierda. En ella se aprecia
que, tras el equipo origen
(200.100.10.1) enviar un
Michel Bakni (CC BY-SA)
paquete hacia el destino
(150.150.0.1) a través del router
200.100.10.100, éste le informa
de que existe una ruta mejor a través del router 200.100.10.200. Para ello, le envía un
paquete ICMP Redirect aconsejándole que actualice su tabla de enrutamiento y la próxima
vez envíe el paquete a través del router 200.100.10.200.

Esto posibilita a los atacantes usar estos paquetes para enviarlos a los hosts de las
víctimas para que modifiquen su tabla de enrutamiento, insertando rutas al exterior a través
del host del atacante.

Para poder enviar mensajes ICMP Redirect se puede emplear la herramienta hping3. Esta
herramienta tiene muchos parámetros que se pueden consultar con la ayuda en línea.
Viene ya instalada en distribuciones como Kali Linux.

hping3 es una herramienta


utilizada desde consola cuyo fin
es el análisis y ensamblado de
paquetes TCP/IP. Es similar al
comando ping aunque también
puede enviar paquetes TCP,
UDP y RAW-IP.

Se trata de una aplicación muy


útil para realizar:

1.- Testeos de seguridad sobre


firewalls.
2.- Testeos de seguridad sobre
IDS.
3.- Escaneo avanzado de
puertos o seguimiento de rutas.
Andrés Rubio - Elaboración propia (Dominio público) 4.- Verificación de la capacidad
de generar una Denegación de
servicio (DoS) mediante un flood de paquetes.
5.- Traceroute avanzado.
6.- Auditorías de la pila TCP/IP.
7.- Fingerprinting de sistemas operativos.

Aunque mayoritariamente se usa en plataformas Linux, también existe la versión anterior


para plataformas Windows.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 103/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

La siguiente sentencia ejecutada en una shell de Linux:

hping3 -I eth0 -C 5 -K 1 -a 192.168.1.3 --icmp-ipdst 195.235.113.3 --icmp-gw 192.168.1.254 19

Envía un paquete ICMP Redirect, al host 192.168.1.5, para el cual el emisor será
192.168.1.3. Con esta sentencia se le indica que para poder llegar al 195.235.113.3 debe
pasar antes por el 192.168.1.254.

Para saber más


A continuación se proporcionan unos enlaces a través de los cuales puedes
ver como realizar este tipo de ataques:

Ataque ICMP Redirect

ICMP Redirect Attack con Scapy

Ataques Arp Spoofing, DHCP Spoofing y ICMP Redirect con ettercap

Mitigación del ataque ICMP Redirect

En la mayoría de los dispositivos que intervienen en una red se puede deshabilitar que
acepten paquetes ICMP Redirect. En una distribución Linux agregando la siguiente línea al
archivo /etc/sysctl.conf:

net.ipv4.conf.all.accept_redirects = 0

net.ipv6.conf.all.accept_redirects = 0

También se puede deshabilitar del siguiente modo:

echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects

echo 0 > /proc/sys/net/ipv4/conf/eth0/secure_redirects

En algunos routers con la siguiente línea de órdenes:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 104/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

router(config)# interface E0

router(config-if)#no ip redirects

Debes conocer
En los siguientes enlaces puedes encontrar más información sobre el uso de
hping:

Utilización para manipular paquetes TCP/IP

Uso de hping para SYN Flooding, ICMP Flooding & Land Attacks

Además, tienes a continuación un vídeo en el cual se muestra como


configurar un IDS como Snort para detectar un ICMP Redirect, y como
detectarlo usando la herramienta WireShark.

Detectando un ataque ICMP Redirect

Autoevaluación
La modificación de las tablas de enrutamiento es un tipo de ataque que:
Se produce en los routers.
Se produce en los PC.
Se produce en los exploradores.
Se produce en cualquier dispositivo que sea enrutable.

Incorrecto. Porque en los PC también se puede producir.

No es cierto. Porque en los routers también se puede producir.

No es correcto. Un explorador no tiene tabla de enrutamiento.

Correcto. Cualquier dispositivo que tenga una tabla de enrutamiento


puede ser atacado modificándose dicha tabla.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 105/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 106/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.7.- Ataques web.

Con todo lo
examinado hasta el
momento en la
unidad, se han
logrado identificar
todas las
vulnerabilidades CyberHades (CC BY-NC)
presentes en los
sistemas de una organización y los posibles ataques que pueden sufrir. En esta ocasión se
va a realizar lo mismo pero sobre aplicaciones web, es decir, se aprenderá a realizar
auditorías de aplicaciones web, siendo capaces de identificar vulnerabilidades, explotarlas,
y como buenos auditores, mitigarlas.

La metodología puede ser similar pero, evidentemente, las acciones son distintas. Para
lograr auditar correctamente se debe tener en cuenta:

Nociones básicas sobre la explotación de vulnerabilidades en aplicaciones web.

Uso de herramientas específicas de auditoría como por ejemplo:

Mantra (OWASP): Navegador web para pruebas que integra una gran cantidad
de plugins de auditoría web. Es multiplataforma.

Usado para el análisis de aplicaciones web que ofrece una serie de


funcionalidades entre las que se pueden destacar:

Manipulación de cabeceras HTTP.


Capacidad de fingerprinting web, por ejemplo, qué CMS tiene instalado.
Intercepción de peticiones.
Modificación de input.
Edición de cookies, para por ejemplo, llevar a cabo la suplantación de
sesiones.
Modificación del User-Agent para por ejemplo, simular que somos otro tipo
de dispositivos.

Proxys de aplicación: Interceptan peticiones para desarrollar una amplia


variedad de pruebas, tanto en el cliente como en el servidor web. Los más
destacados son ZAP Proxy (OWASP), BurpSuite y Charles Proxy.  De estos
tres, BurpSuite es uno de los más empleados actualmente. Entre sus funciones
se pueden destacar:
Intercepción de peticiones HTTP/HTTPS.
Manipulación de paquetes y cabeceras HTTP.
Realización de escaneado de vulnerabilidades.
Realización de procesos de Spidering sobre aplicaciones web.
Realización de ataques de fuerza bruta en las peticiones mediante el
módulo Intruder.
Repetición de una determinada petición muchas veces a través del módulo
Repeater.

OWASP

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 107/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Proyecto OpenSource, dedicado a determinar y paliar las causas que provocan la


inseguridad en el software. Este proyecto destaca, entre otras cosas, por el desarrollo de
metodologías de pruebas que define, de forma ordenada, las acciones que se deben
realizar, qué herramientas se tienen que utilizar, qué resultados deben obtenerse, cómo
solventar las vulnerabilidades presentadas,… permitiendo, sin tener elevados
conocimientos, poder realizar una auditoría bastante completa de aplicaciones web. Esta
metodología es la más importante para auditar aplicaciones web.

Además de esta metodología, OWASP también proporciona un conjunto de herramientas


que facilitan al auditor su labor. Entre estas podemos destacar: ZAP Proxy, Mantra,
Dirtbuster,…

Por otra parte, cada cierto tiempo, muestra un estudio de las vulnerabilidades más críticas
existentes, teniendo en cuenta tanto la presencia masiva de las mismas en las aplicaciones
web como el riesgo que tienen asociado. 

Debes conocer
Actualmente,  el último top 10 de vulnerabilidades corresponde al año 2017.
En el siguiente enlace puedes obtener más información al respecto. También
se muestra como han evolucionado dichas vulnerabilidades top con respecto
al top 10 vulnerabilidades del 2013.

Top 10 de vulnerabilidades web según OWASP

Uno de los aspectos básicos que deben tenerse muy presentes a la hora de realizar la
auditoría de un sitio web es la metodología, mediante la cual seguir una serie de pautas con
las que lograr no solo auditar, sino también vulnerar una aplicación web. Estas pautas son
las siguientes:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 108/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Fase 1: Mapeo y análisis de la aplicación

Esta fase se centra en comprender la estructura general de la aplicación web y entender su


funcionalidad.  Para evitar tener que recopilar toda la información de forma manual se
pueden usar herramientas como BurpSuite. Usando dicha herramienta se puede identificar
la estructura general de la aplicación web, podemos hacerlo de dos formas:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 109/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Captura con BurpSuite (Dominio público)

1.- De forma manual : Se tienen que visitar todos y cada uno de los enlaces
presentes en el sitio web. A medida que se van visitando, BurpSuite irá poniendo en
negrita la parte del sitio web que se ha visitado.

2.- De forma automática : Es el modo empleado por los spiders de Google, Bing u
otros buscadores. Esto se puede hacer a través del Spider de BurpSuite, el cual
generará una gran cantidad de peticiones según el tamaño del sitio web. Un aspecto
importante es que hay que controlar la cantidad de peticiones realizadas porque si se
genera una cantidad enorme, se puede provocar una Denegación de Servicio (DoS)
sobre la aplicación.

Cuando el Spider está en ejecución (Spider is running), todos los enlaces que identifique y
que pertenecen al dominio indicado, los va a visitar, permitiendo tener claro toda la
estructura de recursos y directorios que son directamente indexable. Esto último es algo
muy importante, ya que una aplicación web no solo puede tener recursos directamente
indexables, también los puede tener ocultos. Estos últimos, no son identificables.

Otro aspecto a considerar, es que cuando el Spider detecta algún formulario con campos de
tipo input, preguntará si se quiere asignar algún valor.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 110/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Captura con BurpSuite (Dominio público)

En este caso, se puede elegir la opción de enviar el formulario con los campos vacíos,
asignarle unos valores concretos o ignorar el formulario.

El proceso se considerará finalizado cuando el valor de Requests queued tome valor 0,


tal y como se puede ver en la imagen de la izquierda. En este caso, tal y como se ve en la
imagen de la derecha todos los recursos no ocultos aparecen en negrita porque ya han sido
visitados.

Andrés Rubio - Captura de BurpSuite (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 111/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Captura de BurpSuite (Dominio público)

Como se observa en la imagen de la izquierda, junto a algunas de las entradas examinadas


aparece tres tipos de iconos:

1.- Carpeta: Que representa a un directorio.


2.- Archivo nuevo: Que representa a una página estática.
3.- Engranaje: Que representa a una página dinámica.

Otra opción muy importante a la hora de realizar la enumeración de la aplicación es visitar


el fichero robots.txt. Se trata de un archivo público, ubicado en la raíz del sitio web que
indica a los buscadores qué directorios y recursos son indexables y cuáles no. En el caso
de que una entrada de dicho fichero contenga la palabra Disallow , querrá decir que esa
parte del sitio web no debe ser indexada, pero eso no quiere decir que esa parte del sitio
web no pueda ser visitada. 

Una vez determinado todo el contenido visible y la estructura general, es necesario


identificar los recursos ocultos. Para ello se pueden usar herramientas como Dirbuster que
pertenece a OWASP y está disponible en de Kali Linux.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 112/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Por ejemplo, en este caso, se ha detectado el directorio admin , cosa que, anteriormente,
no había ocurrido con BurpSuite.

En esta primera fase también es muy importante:

Detectar los métodos HTTP habilitados.

Se puede hacer con BurpSuite enviando una petición OPTIONS a través del módulo


repeater . Esto ofrecerá en la respuesta, en el campo Allow , cuáles son los
métodos HTTP habilitados. En caso de no obtener respuesta quiere decir que el
servidor web tiene deshabilitado el método OPTIONS.

También se puede hacer usando  Netcat enviando la petición con HTTP 1.0 o con
HTTP 1.1. En el ejemplo mostrado a continuación, se observa en la respuesta en el
campo Allow los métodos GET, HEAD, POST, OPTIONS y TRACE, que son los que
tiene habilitados el servidor web existente en la IP 192.168.1.43.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 113/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Determinar la tecnologías empleadas en el sitio web.

La identificación de la tecnología empleada por el servidor es muy importante ya que


permite enfocar el vector de ataque a dicha tecnología. Una de las formas existentes
de obtener la tecnología empleada es usando cualquiera de las herramientas vistas
en el apartado de footprinting. Sin embargo, también es posible obtenerla a través de
BurpSuite en la respuesta a una petición dada. Se muestran a continuación dos
ejemplos de esto usando BurpSuite.

Andrés Rubio - Captura BurpSuite (Dominio público)

Se puede apreciar, entre otros datos, que se trata de un servidor Apache 2.2.14,
montado sobre una máquina con sistema operativo Ubuntu y que emplea PHP 5.3.2.
Además, se pueden ver cuáles son los métodos HTTP que tiene habilitados.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 114/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Captura BurpSuite (Dominio público)

En este otro ejemplo, se puede apreciar, entre otros datos, que se trata de un
servidor nginx 1.4.1, y que emplea PHP 5.3.10. 

Fase 2: Pruebas en los controles del lado del cliente

Esta fase lo que


pretende es
comprobar que
envía
exactamente el
usuario en cada
petición al
servidor web, ya
que la mayoría
de las
vulnerabilidades
vienen Andrés Rubio - Captura BuprSuite y Mantra (Dominio público)

originadas por
los parámetros. Esto es importante porque en muchas ocasiones, además de los
parámetros "visibles" enviados por el usuario, también se envían otros parámetros
adicionales.

Es muy interesante saber  qué tipo de controles se despliegan en el cliente para


analizar  qué tipos de ataques se pueden realizar desde el cliente. Además, hay que
comprobar  si se realiza algún tipo de validación de dichos controles en el cliente usando
JavaScript y/o en el servidor. En muchas ocasiones solo se realiza la validación en el lado

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 115/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

del cliente, siendo vulnerable el BackEnd de la aplicación. Esta situación sería incorrecta
puesto que estamos provocando un mal funcionamiento de la aplicación, pudiendo el
atacante llevar a cabo tres acciones diferentes:

1.- Eliminar el código JavaScript de la página. Por tanto, no se realizaría


comprobación alguna en el lado del cliente.
2.- Deshabilitar JavaScript en el lado del cliente.
3.- Completar bien los datos, coger la petición lanzada por el cliente con algún proxy
de aplicación como BurpSuite y modificar los datos enviados.

En definitiva, es muy importante verificar que los campos son validados, tanto en el lado del
cliente como en el lado del servidor, realizando las tres acciones descritas para comprobar
que la aplicación responde correctamente.

Toda esta información se puede obtener usando conjuntamente Mantra y BurpSuite, tal y
como se muestra en la imagen.

Fase 3: Pruebas en el mecanismo de autenticación

Como ya se ha visto en apartados anteriores, la autenticación es el proceso mediante el


cual un usuario introduce las credenciales que le permiten acceder al sitio web. En cambio,
se entiende por autorización, el proceso mediante el cual la aplicación gestiona los
privilegios de un usuario, es decir, a qué tiene o no acceso el usuario.

Este apartado se centra en el primero de los términos. Por tanto, se necesita identificar la
página a través de la cual se piden las credenciales de acceso, para a continuación ver
cómo se realiza el proceso de autenticación, por si hay presente algún tipo de
vulnerabilidad o si se pueden capturar las credenciales con las que accede algún usuario
usando cualquiera de los ataques de contraseñas.

Lógicamente lo primero será determinar si se usa HTTP (las credenciales van sin cifrar) o
HTTPS (las credenciales van cifradas).

Tras dicha comprobación, se comienza lo que se conoce  como enumeración de


usuarios , la cual es una de las vulnerabilidades más típicas que permite realizar bastantes
acciones posteriores como ataques de fuerza bruta. El objetivo es hacer el proceso de
enumeración de modo automático. Para esto último, se debe disponer o generar algún
fichero en el cual se tengan los posibles nombres de usuario y pasarlos a herramientas
como el módulo Intruder en BurpSuite para que automatice el proceso. Ante este tipo de
ataques, muchas aplicaciones web tienen medidas de seguridad que generan algún tipo de
alerta cuando se repite de forma considerable el proceso de autenticación.

Uno de los modos de obtener la enumeración de usuarios es usando los diferentes


mensajes que genera la aplicación web cuando un usuario se autentica de forma incorrecta.
Para ello, analizando las respuestas generadas por el servidor web, se puede saber si un
usuario existe o no. Por ejemplo, si dice que la password es incorrecta, quiere decir que
el usuario introducido existe. En cambio, si nos muestra un mensaje indicando que la
cuenta no existe, quiere decir que el usuario introducido no es correcto.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 116/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Andrés Rubio - Elaboración propia (Dominio público)

Fase 4: Pruebas en la gestión de sesiones

Una vez verificado el mecanismo de autenticación se debe llevar a cabo la fase de gestión
de sesiones, en la cual se debe comprobar qué tokens se crean, cómo se mantiene la
sesión, qué información se almacena en las cookies…

Este análisis es necesario porque toda aplicación web necesita mantener las sesiones de
sus usuarios para que estos puedan acceder a las funcionalidades que le corresponden,
evitando que se pueda acceder sin tener credenciales o acceder con rol de administrador
sin tener una cuenta con permisos para ello.

Las acciones que se deben llevar a cabo en esta fase son:

1.- Entender la funcionalidad

Dependiendo del sistema y del software, las sesiones son mantenidas de un modo
diferente. Por tal motivo se deben emplear herramientas que permitan interceptar
cada petición y cada respuesta para chequear las cookies creadas.

2.- Verificación de tokens y cookies

Se trata de verificar si los tokens van cifrados empleando métodos robustos. Por
ejemplo, Base64, que es muy sencillo de reversear. Además, debemos comprobar
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 117/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

qué ocurre cuando se cambia el valor de las cookies.

3.- Detectar tokens predecibles

Lo normal es que el sistema genere un token aleatorio cuando un usuario se autentica


con credenciales válidas. Por tanto, lo que se debe analizar es si los tokens
generados son realmente aleatorios o no. Esto va a depender de la robustez del
algoritmo empleado para la generación de los tokens de sesión, ya que en ocasiones
los generan a partir de una semilla que se puede obtener fácilmente. Esto provoca
que un atacante pudiera saber cual es el siguiente token que se va a generar cuando
se conecte el siguiente usuario, teniendo solo que esperar a que esto ocurra para que
el atacante pueda entrar en la aplicación sin necesidad de usar credenciales válidas.

Una forma de detectar todo esto es empleando el módulo Sequencer de


BurpSuite , que identifica una gran cantidad de tokens y verifica si son o no
aleatorios.

Para evitar todo esto es necesario tener muy presente:


3.1.- El ID de sesión solo debe crearlo el servidor.
3.2.- Debe ser único, no permitiendo que exista más de un usuario con el mismo
ID de sesión usando la aplicación.
3.3.- Debe ser aleatorio.
3.4.- Debe estar encriptado.
3.5.- Debe tener asociado un tiempo de expiración.
3.6.- Solicitar de nuevo las credenciales de acceso en aquellas operaciones que
sean consideradas como importantes.

4.- Fijación de sesiones

Una vez realizadas las acciones anteriores, se debe analizar si el servidor verifica o
no la existencia de una vulnerabilidad llamada Fijación de Sesiones y otra llamada
Cross-Site Request Forgery (CSRF). 

La Fijación de Sesión es una vulnerabilidad que se produce cuando el servidor no


comprueba si el token utilizado por el usuario ha sido previamente autorizado por el
servidor, permitiendo usar múltiples veces el mismo token de sesión. De este modo,
un atacante puede autenticarse en el sistema, obtener un token, enviarlo a otro
usuario que puede usar el token para acceder a la aplicación, ya que el servidor no
comprobará que dicho token está siendo usado por otro usuario.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 118/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Un atacante se autentica en el servicio web(1) y la aplicación web le da el ID de


Sesión 1728349(2). A continuación el atacante le pasa la URL con el ID de sesión a la
víctima (3), y éste la usa para hacer la petición al servidor (4). De esta forma la víctima
está reutilizando el token de sesión que ya conoce el atacante. Cuando la víctima
introduzca sus credenciales de acceso en la aplicación (5), el atacante usando el ID
de sesión, puede acceder a la aplicación sin usar sus credenciales porque es un ID de
sesión que ya está activo.

La forma de solventar esta vulnerabilidad es que el servidor, cada vez que le llegue
una petición de inicio de sesión (pasos 1 y 4), genere un nuevo ID de sesión, aunque
en la propia URL le venga ya dado dicho ID de sesión. Además, hay que tener
presente los mismos items que han sido comentado para el caso de la predicción de
tokens (ID único, aleatorio, cifrado,...).

5.- Cross-Site Request Forgery

Se trata de una vulnerabilidad en la que un atacante puede confeccionar una acción


maliciosa, pasando una petición a un usuario autenticado para que mediante algún
tipo de interacción (un clic por ejemplo), la acción confeccionada se lleve a cabo. Esta
vulnerabilidad explota la confianza que tiene un sitio web en un usuario ya
autenticado.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 119/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Hoy día este tipo de vulnerabilidad está muy presente en las aplicaciones web, de
modo que las acciones sensibles (como una transferencia de dinero), no se llevan a
cabo con tan solo una petición, sino que se requieren múltiples pasos y diferentes
tipos de comprobaciones.

Fase 5: Pruebas en el control de autorización

Estas pruebas están centradas en controlar los privilegios de los usuarios, es decir, en
detectar funcionalidades que no están correctamente aseguradas permitiendo elevación de
privilegios de modo horizontal o vertical.

En el caso del horizontal se busca una técnica que permita acceder a los recursos de otros
usuarios que tienen los mismos privilegios que nosotros.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 120/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

host/user/index.php?id=31

host/user/index.php?id=32

Esto no suele ser tan sencillo, pero sí es cierto que en muchas ocasiones hay aplicaciones
web en las que los privilegios vienen determinados por el valor de uno de los parámetros de
la URL.

En cambio, en el vertical, se busca una técnica que permita elevar los privilegios con los
que contamos en la aplicación, por ejemplo, pasando de nuestro rol de usuario al rol de
administrador.

host/user/index.php?id=31

host/admin/index.php

En este caso, si la aplicación no controla correctamente los permisos que tiene el usuario
para acceder a sus recursos, se podría acceder al panel del administrador usando la 2ª url.

De este modo, se puede acceder no solo a nuestra información sino también a la


información y funcionalidades de otros perfiles en la aplicación.

En definitiva, en esta fase lo que se debe hacer es identificar cuales son los parámetros o
las cookies que usa la aplicación para establecer los privilegios de los usuarios.

Debes conocer
A través de los siguientes webinar puedes aprender más asuntos
relacionados con los ataques web:

Guía de Pruebas de OWASP

Burp Suite

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 121/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.7.1.- Inyección de código SQL.


Es uno de las vulnerabilidades más críticas y comunes en aplicaciones web. De hecho,
según el último estudio realizado por OWASP, es el ataque más crítico.

Este tipo de ataques consiste en manipular una consulta SQL con la que se pretende
obtener un resultado distinto al objetivo con el que fue diseñada la aplicación. Esto es
posible, entre otros motivos, por la falta de validación de los campos presentes en los
formularios web. De esta forma una persona no autorizada puede lograr acceder a la
aplicación web y obtener información de la base de datos. Los principales objetivos
planteados para realizar este tipo de ataques son:

Acceso al servidor y al panel de administración saltándose las restricciones de


acceso. Esto se logra, normalmente, a través de un panel de login.
Elevación de privilegios.
Ingeniería social con los usuarios registrados.
Robo de datos confidenciales de la base de datos.

Por tanto, con este tipo de ataques se estarían vulnerando los principios de
confidencialidad, integridad y autenticación .

Fundamentos de SQL-Injection

Para entender los fundamentos de un ataque


SQL-Injection vamos a partir de un formulario
de acceso a un sitio web.

Ante un formulario de este tipo, el usuario


introduce sus credenciales (usuario y
password) y pulsa el botón de Acceder. Esta
acción provoca que la aplicación lance una
consulta SQL similar a la mostrada a
continuación:

Select *

from usuarios

where username=' + usuario + ' and password='

Si el usuario de la aplicación introduce en el


Andrés Rubio - Elaboración propia (Dominio público) formulario, a través de los campos Usuario
y Password , los datos arubio y
password1 , la consulta que realmente se estaría ejecutando sería:

Select *

from usuarios

where username='arubio' and password='password1'


https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 122/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

De este modo se obtiene únicamente el registro que cumpla la condición indicada en la


cláusula where. Sin embargo, si no se toman las medidas de seguridad oportunas, la
aplicación aceptaría introducir lógica en a través de los campos inputs del formulario. Por
ejemplo, ¿qué pasaría si en el campo Usuario se introduce algo como lo siguiente?:

000' or '1'='1' #

y en el campo Password cualquier cosa, por


ejemplo, seguridad. El formulario quedaría tal
y como se muestra en la imagen de la
izquierda y la consulta que realmente se
estaría ejecutando sería:

Select *

from usuarios

where username='000' or '1'='1' #' and passwor

Muy probablemente el usuario 000 no


exista, y menos aún que su password sea
seguridad . Sin embargo, esta consulta no
solo es sintácticamente correcta, sino que
además nos devolverá todos los datos
existentes en la tabla usuarios gracias al
Andrés Rubio - Elaboración propia (Dominio público) operador or para el que se utiliza como
segundo operando '1'='1' #.

Como este segundo operando es verdadero, esa parte del or da como resultado
verdadero para todos los registros de la tabla usuarios. Además, al usar el carácter #, se
estaría comentando todo lo que viene a continuación (esto sería para bases de datos
MySQL. Por ejemplo, en Oracle habría que usar --).

Por tanto, con la consulta anterior se estarían obteniendo todos los usuarios registrados y
se estaría accediendo al sistema con el primer usuario existente en la tabla. Si en lugar de
poner 000 , ponemos un usuario que sabemos que existe en la tabla, se estaría
obteniendo acceso pero con el usuario indicado sin necesidad de conocer su password.

En definitiva, se pueden realizar ataques SQL-Injection para llevar a cabo una evasión de
login y acceder al sistema sin necesidad de utilizar ninguna credencial de acceso.

Los ataques SQL-Injection no solo permiten acceder al sistema (si éste no está
correctamente protegido). También es posible obtener todo tipo de información existente,
utilizando el diccionario de datos de las bases de datos para, a partir de sus tablas, obtener
información como:

Bases de datos existentes.


Tablas que hay en cada una de las bases de datos.
Columnas de cada tabla.
Registros de las tablas.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 123/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Por ejemplo, en MySQL se puede utilizar Information Schema para tal fin. Para ello se usa
la cláusula UNION de SQL, uniendo a la consulta lanzada por la aplicación otra, a través de
la cual, se obtendrán los datos deseados. Es muy importante tener presente que a través
de la consulta UNION lanzada, el número de campos y el tipo de cada campo tiene que
coincidir con la consulta real lanzada por la aplicación.

Otro aspecto interesante al usar UNION  sería forzar a que la cláusula SELECT inicial no
devuelva ningún registro. De esta forma, la aplicación solo devolvería los registros que se
obtengan a través de la cláusula SELECT del  UNION (que son los registros que interesan).
Para aclarar esto último, se muestra un ejemplo a continuación

Select * from usuario where id='-1'

union

select database(),table_name

from information_schema.tables where table_schema=database()

En este caso, la cláusula SELECT inicial no devuelve ningún registro ya que no hay ningún
usuario con id=-1. Por lo tanto, solo se devolverían los registros correspondientes a la
cláusula SELECT del UNION, es decir, los nombres de las tablas presentes en la base de
datos.

En definitiva, para realizar explotación de SQL-Injection se deben seguir los siguientes


pasos:

1.- Detectar si la aplicación es inyectable o no.


2.- El número de columnas que devuelve la consulta para saber cuantos campos se
tienen que poner en la cláusula SELECT del UNION.
3.- Extraer la información básica:
3.1.- Extraer el nombre de las bases de datos.
3.2.- Extraer el nombre de las tablas.
3.3.- Extraer el nombre de las columnas.
4.- Realizar las consultas para extraer toda la información deseada.

Para saber más


Con la finalidad de no tener que saber todo lo expuesto con anterioridad de
memoria, se proporciona a continuación un enlace a través de la cual se
muestra información de SQL-Injection sobre una variedad de sistemas
gestores de bases de datos:

Cheat Sheet de SQL-Injection

También puedes encontrar más información en el siguiente enlace para evadir


filtros creados por las aplicaciones web para evitar la explotación de ataques
SQL-Injection.

SQL-Injection Bypassing

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 124/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Automatización de SQL-Injection

Una de las herramientas que se pueden utilizar para automatizar todo el proceso de SQL-
Injection es SQLMap disponible en la distribución Kali Linux, aunque existen otras muchas
como JSQLInjection.

Dado que SQLMap es de las más usadas, se va a describir a continuación su


funcionamiento, que es bastante simple ya que solo se le debe proporcionar la URL del
activo a explotar, y a través de distintos parámetros se le va indicando la información que se
desea obtener. Los parámetros más utilizados son los enumerados a continuación:

current-user current-db is-dba dbs privileges os-shell D

tables T columns C sql-shell banner method data

random-agent cookie

current-user
Obtiene el usuario con el que se está realizando la inyección de código.

current-db
Obtiene la base de datos que está asociada a la aplicación actual.

is-dba
Indica si el usuario con el que se está conectado a la base de datos tiene rol de
administrador.

dbs
Obtiene las bases de datos existentes en la aplicación.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 125/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

privileges
Obtiene los privilegios, que sobre la base de datos de la aplicación, tiene el usuario
actual (Select, Update, Delete,…).

os-shell
Trata de subir una web shell a la aplicación.

D
Filtra los resultados para una base de datos concreta. Por ejemplo, si la base de
datos se llama dvwa, se especificaría como -D dvwa.

tables
Extrae las tablas existentes en la base de datos seleccionada con el parámetro -D.

T
Filtra los resultados para una tabla concreta. Por ejemplo, si en la base de datos
existe la tabla users, se especificaría como -T users.

columns
Filtra los resultados para una tabla concreta. Por ejemplo, si en la base de datos
existe la tabla users, se especificaría como -T users.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 126/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

C
Obtiene los valores de las columnas indicadas. Para ello pondremos la lista de
columnas separadas por coma.

sql-shell
Lanza una shell para ejecutar las consultas que queramos.

banner
Obtiene el banner de información de la aplicación web, es decir, sobre qué sistema
operativo está corriendo, la versión del SGBD, el usuario, la base de datos de la
aplicación…

method
Método por el cual se envían los datos (POST o GET).

data
Usado para indicar cuáles son los datos que se envían a través de POST o GET.

random-agent

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 127/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Para cambiar la cabecera que usa SQLMap para evitar baneos por parte del
servidor.

cookie
Para indicar cuáles son los valores de las cookies usadas en la aplicación web.

Ejemplos de uso de SQLMap

◄ 1
2
3
4
5

Para obtener los nombres de las bases de


datos

Andrés Rubio - Elaboración propia (Dominio público)

A través del parámetro -u se indica la URL sobre la que se quiere inyectar código.
En este caso, se va a realizar sobre el entorno de pruebas existente en
vulnweb.com.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 128/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Resultado de la ejecución anterior

Andrés Rubio - Elaboración propia (Dominio público)

El resultado del comando del paso anterior muestra no solo el nombre de la base de
datos de la aplicación web (acuart), también muestra la tecnología web usada y su
versión:

Nginx
PHP 5.3.10
MySQL versión, como mínimo, 5.0.12

Para obtener los nombres de las tablas 

Andrés Rubio - Elaboración propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 129/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Para ello se usa el parámetro -D con el nombre de la base de datos, conjuntamente


con --tables. En el resultado mostrado se observa que hay una tabla llamada
users. Esta sería la tabla a usar para obtener una enumeración de los usuarios de
la aplicación. Para esto es necesario saber cuales son las columnas de dicha tabla.

Para obtener las columnas de una tabla

Andrés Rubio - Elaboración propia (Dominio público)

Andrés Rubio - Elaboración propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 130/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Para ello se usa el parámetro -T  con el nombre de la tabla, conjuntamente con --
columns. En el resultado mostrado se observa que hay unas columnas muy
interesantes llamadas  name, pass, uname. Si se lista los valores de esas
columnas, se obtendrá la enumeración de los usuarios de la aplicación.

Para obtener los valores de los registros de


una tabla

Andrés Rubio - Elaboración propia (Dominio público)

Andrés Rubio - Elaboración propia (Dominio público)

Finalmente se obtiene que la aplicación solo dispone de un usuario identificador es


test y cuya contraseña es test.

Mitigación de SQL-Injection

Una de las posibles formas de mitigar este tipo de ataques es mediante la utilización de
funciones que permitan sanear los datos de entrada proporcionados por el usuario. Por
ejemplo, usando funciones como:

Para escapar cadenas como \n, \r, ', "

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 131/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

mysql_real_escape_string(string consulta)

Para quitar la barra de escape \

stripslashes(string consulta)

Para eliminar las etiquetas html existentes en la cadena de la consulta:

strip_tags (string consulta)

Para saber más


A continuación puedes encontrar unos vídeos en los que puedes ver el uso
de SQLMap. 

Uso de SQLMap Parte I

Uso de SQLMap Parte II.

Debes conocer
Otra de las herramientas que se pueden usar para inyectar código SQL es
JSQL-Injection. Algunos enlaces donde puedes obtener más información de
esta herramienta son:

JSQLInjection
Ejemplo de uso de JSQLInjection

Otro ejemplo de uso de JSQLInjection

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 132/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.7.2.- Cross-site scripting.


También conocido como XSS, es un tipo de ataque bastante antiguo, aunque en los últimos
años ha ido evolucionando. Según OWASP, es una de las vulnerabilidades más explotadas
en las aplicaciones web al situarse entre las top 10.

Este tipo de ataques permite a un atacante inyectar código HTML y de scripting


(JavaScript), en páginas web visitadas por una víctima. Se trata de una vulnerabilidad del
lado del cliente por lo que muchos desarrolladores web no la tiene presente al no afectar al
servidor.

La vulnerabilidad se explota modificando los inputs de la aplicación web con el objetivo de


obtener una determinada salida con el código HTML o de scripting introducido en el input.
Por tanto, es un ataque causado por una mala validación de las entradas de datos y del
saneamiento de la información.

Se pueden distinguir dos tipos principales:

1.- Reflejado.
2.- Persistente o almacenado.

XSS Reflejado

En este caso el código malicioso es enviado por el atacante a la víctima a través de uno de
los parámetros de la URL. Sin embargo, este código se elimina al cargar de nuevo la página
ya que no es código almacenado en la aplicación web. Esta es la diferencia con respecto al
XSS persistente, es decir, en el reflejado el usuario atacado lanza la petición con el código
malicioso, mientras que en el persistente el código malicioso ya viene inyectado en la
página a la que accede.

Sin embargo, para realizar este tipo de ataques hay que comprobar si la aplicación web es
vulnerable a XSS. Para ello se puede insertar código HTML en algún campo  input  del
formulario. Por ejemplo, si en el campo input se pone el código HTML mostrado en la
imagen de la izquierda, si la aplicación web es vulnerable a XSS, debe interpretar el código
HTML e inyectarlo en la respuesta que se le manda al usuario. El resultado obtenido es el
mostrado en la imagen de la derecha.

Se inserta en el campo del nombre la palabra bbbbb con la etiqueta HTML que provoca que
el texto aparezca en negrita.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 133/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

El formulario es vulnerable a XSS ya que el código HTML introducido ha sido inyectado en


la respuesta, apareciendo la palabra bbbbb en negrita.

Andrés Rubio - Elaboración propia (Dominio público)

Además, si los parámetros se envían por GET en lugar de por POST, el atacante, al saber
que el formulario es vulnerable, puede usar los parámetros de la URL para inyectar el
código HTML y enviar dicha URL  a la víctima. En el siguiente ejemplo se usa el parámetro
name para realizar dicha inyección:

La URL mostrada a continuación es la que puede enviar el atacante a la víctima. 

Andrés Rubio - Elaboración propia (Dominio público)

La víctima obtendría el siguiente resultado:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 134/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Si se analiza el código html recibido por el navegador del usuario víctima, se observa como
la etiqueta HTML ha sido inyectada:

Andrés Rubio - Elaboración propia (Dominio público)

Otra posibilidad es probar como responde la aplicación web cuando se inserta código
JavaScript en un campo  input del formulario. Por ejemplo, se podría poner
código JavaScript para que se muestre un mensaje de alerta (Hola SAD).

Se realiza la inyección de código JavaScript a través del campo name del formulario para
verificar como responde la aplicación web ante tal situación.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 135/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Al hacer clic sobre el botón Submit, la respuesta obtenida es la mostrada a continuación:

Andrés Rubio - Elaboración propia (Dominio público)

Al igual que en el ejemplo anterior, también se puede inyectar el código JavaScript a través
de los parámetros de la URL y enviar dicha URL a la víctima. En el siguiente ejemplo se usa
el parámetro name para realizar dicha inyección:

Andrés Rubio - Elaboración propia (Dominio público)

Lógicamente, la víctima podría detectar que la URL es sospechosa al ver el valor de los
parámetros. En tal caso, se podrían usar acortadores para que la víctima no vea
exactamente lo que el atacante le está enviando. Además, lo normal no es enviar algo tan
simple como un alert, sino algún código que permita posteriormente atacar a la víctima. Por
ejemplo, se podría hacer que envíe todas las cookies que tiene el usuario a través de
document.cookie .

Un ejemplo de como obtener las cookies de sesión a través de un alert es el siguiente:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 136/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa
Andrés Rubio - Elaboración propia (Dominio público)

El resultado de usar la URL anterior es:

Andrés Rubio - Elaboración propia (Dominio público)

Como se puede ver en la imagen dada a continuación, el código que le llega al navegador
de la máquina víctima es:

Andrés Rubio - Elaboración propia (Dominio público)

Obviamente, para que al atacante le llegue la información de las cookies, habría que
cambiar el script.

Por último, la forma de mitigar este tipo de ataques es filtrando las etiquetas que van en los
campos inputs de los formularios. Por ejemplo, si se está trabajando con PHP, se podría
usar el siguiente código:

if (isset($_GET['message']))

$message=$_GET['message'];

$pattern = '/<script>|<\/script>/i';

$replacement = '';

$clean_data= preg_replace($pattern, $replacement, $message);

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 137/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

echo $clean_data;

Esta solución es conocida como filtrado de listas negras. Lo que hacen es buscar si una
determinada palabra aparece en el campo input introducido por el usuario y la eliminaría (si
viene la etiqueta <script> o cualquier etiqueta HTML, la aplicación web la eliminaría).

XSS Persistente o Almacenado

Se llama de este modo porque el código scripting desarrollado por el atacante será
almacenado en la base de datos de la aplicación web. Esto hace que cualquier usuario que
acceda a la página infectada, cargará y ejecutará en su navegador el código scripting
almacenado. Por tanto, no será necesario interactuar con el usuario víctima, tal y como
ocurre con el XSS reflejado.

Por ejemplo, se puede insertar código scripting en uno de los campos de un formulario que
se usa para insertar una entrada en un foro. Esto quedará almacenado en la base de datos,
y cualquier usuario víctima que trate de leer la entrada del foro, provocará que se le ejecute
en su equipo el scripting insertado.

◄ 1
2
3
4

Comprobación vulnerabilidad a XSS


Almacenado 
Para comprobar si la aplicación web es vulnerable a XSS almacenado, se debe
insertar código HTML y código scripting en alguno de los inputs, tal y como hizo
anteriormente con el XSS reflejado.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 138/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Se ha puesto el contenido del mensaje entre las etiquetas  HTML que fuerzan a que
dicho contenido aparezca en negrita.

Resultado cuando una víctima accede al


foro

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 139/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Tras inyectar el código HTML anterior, cuando una víctima accede al foro, observa
como la entrada ha quedado registrada con el mensaje "Hola SAD. Esto es XSS
almacenado". Sin embargo, como la entrada se ha guardado poniendo el mensaje
entre las etiquetas HTML <b> y </b>, el navegador de la víctima interpreta dichas
etiquetas y muestra el mensaje en negrita. 

XSS Almacenado inyectando código


JavaScript

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 140/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Se ha puesto en el contenido del mensaje código JavaScript para que cuando se


acceda, se muestre un mensaje de alerta.

Resultado cuando una víctima accede al


foro

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 141/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Tras inyectar el código JavaScript anterior, cuando una víctima accede al foro,
observa como le salta el mensaje de alerta "Hola SAD. Esto es XSS". Como en el
caso anterior, es  el navegador de la víctima quien interpreta dicho código script.
Parte del código que recibe e interpreta el navegador de la víctima es el siguiente:

Andrés Rubio - Elaboración propia (Dominio público)

Tal y como se aprecia en las imágenes anteriores, las dos entradas han quedado
almacenadas en la base de datos de la aplicación web.

Al igual que para el XSS reflejado, si se quiere evitar que esta vulnerabilidad sea
explotada, se necesitan comprobar los diferentes inputs de la aplicación web,
debiendo ser validados por el servidor incluyendo filtros de listas negras.

Debes conocer
Otros tipos de XSS:

DOM Cross Site Scripting (DOM XSS).


https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 142/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Cross Site Flashing (XSF).


Cross Side Request Forgery (CSRF).
Server Site Request Forgery (SSRF).
Cross Frame Scripting (XFS).
Cross Zone Scripting (XZS).
Cross Agent Scripting (XAS).

Algunos sitios web con información extra sobre evasión de filtros los tenéis a
continuación:

OWASP

HTML5

Al igual que existen herramientas automáticas para ataques SQLInjection,


también las hay para ataques XSS. Se proporcionan algunas que permiten
automatizar la detección y explotación de vulnerabilidades XSS:

XSSER

OWASP XSSER

XSSSNIPER

Para saber más


En el siguiente enlace puedes obtener más información sobre los riesgos de
seguridad en aplicaciones web y una guía sobre el testing de aplicaciones
web.

Riesgos de seguridad en una aplicación web

Guía de testing de aplicaciones web

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 143/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.7.3.- Otros tipos de ataques web.


Existen otros tipos de ataques que explotan vulnerabilidades debidas a una mala validación
y a un mal saneamiento de las consultas introducidas por el usuario y que se realizan sobre
una aplicación web.  Entre ellos se pueden destacar los que afectan al tratamiento de
ficheros:

Unrestricted File Upload.


Local File Inclusion.
Remote File Inclusion.
Remote Code Execution.

Unrestricted File Upload

Se trata de una vulnerabilidad que permite, a través de un formulario, la subida de ficheros


sin ningún tipo de restricción: tamaño, extensión o tipo de fichero. Esta vulnerabilidad
permite realizar diversos tipos de ataques:

Subir ficheros maliciosos ejecutables en el servidor dependiendo de la


tecnología existente en el servidor (jsp, php,…).

Es un tipo de ataque más grave en comparación con el XSS, ya que este tipo de
ataques se realiza en el servidor de la aplicación web a diferencia del ataque XSS que
se lleva a cabo en el lado del cliente.

Subir ficheros de gran tamaño que ocupen todo el espacio libre existente en el
sistema de archivos del servidor, dejándolo inutilizado.

Subida de ficheros con nombre o ruta sensibles.

Permite sobreescribir ficheros del sistema como por ejemplo, authorized_keys .

Para evitar este tipo de ataques se debe:

1.- Restringir la extensión y el tipo de fichero.

Por ejemplo, si es un formulario de subida de ficheros de imágenes, solo permitir subir


ficheros con extensión png, jpg,…

2.- Restringir el tamaño máximo del fichero.

Por ejemplo, que no se pueda subir un fichero de más de 2 MB.

3.- Sanear el nombre del fichero a subir impidiendo que tenga rutas extrañas o
nombres no permitidos.

Por ejemplo, no permitiendo incluir path en la subida del fichero, subiéndose a un path
que la aplicación web tenga definida.

4.- Que los ficheros ejecutables subidos siempre, cuando se acceda a ellos,
sean descargados. 

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 144/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Se impide que sean abiertos directamente en el servidor. De este modo, serán


interpretados en el lado del cliente.

Subida de un fichero shell Acceso al fichero shell Uso de la shell

Listado de usuarios del sistema

Subida de un fichero shell

Andrés Rubio - Elaboración propia (Dominio público)

Si no se establece ningún tipo de filtro en el servidor, este formulario permitirá subir


una shell, por ejemplo, en formato PHP.

Andrés Rubio - Elaboración propia (Dominio público)

La aplicación web sube el fichero al directorio upload .

Andrés Rubio - Elaboración propia (Dominio público)

Acceso al fichero shell

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 145/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Cuando el atacante accede a dicho fichero a través de la URL, al ejecutarse, como


no está configurado para que se descargue, el shell se ejecuta en el servidor,
abriendo una consola de comandos a través de la cual el atacante podrá insertar
comandos que se ejecutarán en el servidor.

Uso de la shell
Esto permitirá borrar ficheros como el de la base de datos de la aplicación, crear
nuevos scripts, moverse por los directorios… Todo aquello para lo que tenga
permisos el usuario con el que se ejecuta la aplicación web.

Andrés Rubio - Elaboración propia (Dominio público)

En este caso, se han ejecutado los comandos cd y ls, mostrándose en el lado


izquierdo de la imagen la lista de ficheros y subdirectorios presentes.

Listado de usuarios del sistema


https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 146/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Si el usuario de la aplicación web tiene permisos, también podrá visualizar el


contenido del fichero con los usuarios del sistema.

Andrés Rubio - Elaboración propia (Dominio público)

Local File Inclusion

Esta vulnerabilidad permite leer, ejecutar y escribir ficheros que se encuentran en el mismo
servidor que aloja la aplicación web. Con este tipo de ataques el atacante puede tener
acceso a todo aquello para lo que tenga permisos el usuario con el que se ejecuta la
aplicación web.Por ejemplo, permitiría al atacante leer ficheros como /etc/passwd. 

Esto se puede evitar simplemente, restringiendo el nombre y la ruta de los ficheros a los
que se puede acceder o no permitiendo poner nombre y rutas de ficheros a través de los
parámetros. Para este último caso, se puede ofrecer al usuario un formulario donde
seleccione el fichero al que quiere acceder, consultándose en la base de datos de la
aplicación, la ruta donde se encuentra dicho fichero.

Remote File Inclusion

A diferencia del caso anterior, esta vulnerabilidad permite incluir en el sitio web víctima
archivos alojados en otros servidores. Por tanto, se trata de una vulnerabilidad más crítica
en comparación con el caso anterior ya que puede lograr que un atacante ejecute código

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 147/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

remoto (RCE) y comprometa completamente la seguridad del servidor que aloja la


aplicación web.

Andrés Rubio - Elaboración propia (Dominio público)

Para evitar este tipo de ataques, una de las cosas que hay que hacer es tener deshabilitada
la opción allow_url_include del fichero php.ini.

Remote Code Execution

Es una vulnerabilidad que al ser explotada, permite inyectar código mediante el cual se
pueden ejecutar comandos en el servidor de la aplicación web vulnerable. De esta forma,
un atacante podría llegar a tener el control del servidor en el que se encuentra ubicada la
aplicación web.

Debes conocer
En los siguientes enlaces puedes encontrar unos vídeos en los que se
muestran ejemplos de esta vulnerabilidades:

Local File Inclusion

Remote File Inclusion

Remote Code Execution

También es muy recomendable acceder a los siguientes enlaces relativos a


testing sobre los ataques comentados:

Testing Local File Inclusion

Testing Remote File Inclusion

Testing Remote Code Execution

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 148/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.7.4.- Nikto.
Herramienta muy utilizada para la realización de
auditorías web obteniendo información sobre el
nivel de seguridad del servidor web. Está
desarrollada en Perl y es de uso GPL.

Ofrece numerosas funcionalidades como análisis de


URL que usan protocolo HTTP o HTTPS, utilización
combinada con proxys para mantener el anonimato
o generación de reportes en diferentes formatos.

Además, en el resultado del análisis de la aplicación


web, aporta diversa información entre la que se Richard Patterson (CC BY)

puede destacar:

Versión del servidor.


Métodos HTTP habilitados.
Sistema operativo de la máquina que aloja la aplicación web.
Lista de posibles vulnerabilidades que pueden estar presentes debido a versiones de
software desactualizadas.
Información pública que, puede que no se sea consciente de que es pública.
Búsqueda de fallos en la configuración del servidor.
Detección de problemas en archivos o scripts que tienen por defecto los servidores
web.

La sintaxis básica de Nikto es la siguiente:

nikto [-h destino] [opciones]

Y cada uno de estos parámetros tiene el siguiente significado:

-h: Usada para especificar la URL que se quiere analizar. Si se usa HTTPS es
recomendable especificárselo a Nikto con el parámetro -ssl.

Entre las múltiples opciones se pueden destacar las siguientes:

-debug: Proporciona información detallada durante el escaneo. Aunque, para tal fin es
más recomendable el uso de la opción -verbose.

-useproxy: Indica que se van a anonimizar las peticiones de Nikto a través de un


proxy. Para este caso es necesario modificar el fichero nikto.conf y habilitar las
opciones relacionadas con el proxy (IP y puerto a través del que escucha).

-evasion: Para banear las peticiones evitando filtros. Activa la evasión de detección
de intrusos.

-F: Para indicar el formato del fichero de salida donde guardar la información. Se usa
en combinación con la opción -o.

-o: Indica el nombre del fichero de salida donde guardar la información.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 149/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Debes conocer
En los siguientes enlaces puedes encontrar más información sobre el uso de
Nikto:

Escanear un servidor web usando Nikto

Nikto para Pentesting


También puedes ver un vídeo sobre el uso de otras herramientas para el
escaneo de vulnerabilidades web:

Escanear Vulnerabilidades Web con Zed Attack Proxy

Autoevaluación
¿Cuál es el ataque web que el  código  scripting  desarrollado por el
atacante es almacenado en la base de datos de la aplicación web?

Inyección de SQL

Local File Inclusion

XSS Reflejado

XSS Almacenado

Incorrecto. No es el cometido de los ataques de inyección SQL.

Incorrecto. No es el cometido de este tipo de ataques.

Incorrecto, ya que el código generado por el atacante no se almacena en


la base de datos.

Muy bien! Como su nombre indica, el código que genera el atacante será
almacenado en la base de datos.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 150/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 151/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.8.- Ataques a contraseñas. Fases de


registro y autenticación.

Los sistemas de control de acceso


protegidos con contraseña, suelen ser un
punto crítico de la seguridad y por ello suelen
recibir distintos tipos de ataques, los más
comunes son:

Ataque de fuerza bruta : se intenta


recuperar una clave probando todas las
posibles combinaciones hasta
encontrar aquella que permite el
acceso. Cuanto más corta, más sencilla
de obtener. Se trata de un método que,
de forma iterativa, va combinando Andrés Rubio - Elaboración propia (Dominio público)
todas las posibles letras minúsculas,
letras mayúsculas, números y símbolos
de cualquier longitud. Para hacerlo más efectivo, se pueden restringir las iteraciones a
un número mínimo y máximo de caracteres, seleccionando un conjunto determinado
de caracteres.

El tiempo necesario para averiguar una password usando este tipo de ataques, es la
razón por la que esta opción no es muy empleada por los atacantes. Por ello,
prefieren decantarse por los ataques de diccionario.

Una alternativa para hacer más eficiente todo el proceso, es tener todas las posibles
combinaciones almacenadas en un fichero e ir leyendo cada una en cada intento.
Sería como tener una especie de diccionario pero con combinaciones aleatorias de
caracteres. A esto se le conoce como wordlist. Para automatizar la generación de
estos ficheros, se pueden emplear herramientas como Crunch, de la que se hablará
posteriormente. Estos wordlist pueden guardarse y pasarse dinámicamente como
entrada a alguna herramienta de cracking de password, como por ejemplo John The
Ripper, para que realice el ataque de fuerza bruta.

Ataque de diccionario : intentar averiguar una clave probando todas las palabras
de un diccionario o conjunto de palabras comunes. Este tipo de ataque suele ser más
eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar
passwords cortas con palabras comunes en su idioma o con alguna pequeña
variación, lo cual no es una práctica recomendable. Este tipo de ataques también
implica crear un fichero, pero en en lugar de almacenar en él todas las posibles
combinaciones de letras, números y símbolos, se almacenan palabras presentes en
un diccionario de un idioma específico. Pero estos diccionarios no solo suelen tener
palabras específicas de un determinado idioma, también suelen incluir password
escogidas comúnmente por los usuarios, o combinaciones de los mismos.

Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques
de diccionario es establecer un número máximo de tentativas, de esta forma se bloquea el
sistema automáticamente después de un número de intentos infructuosos predeterminado.
Por ejemplo, las tarjetas SIM.

Otros métodos que pueden complementarse con los anteriores son:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 152/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

El conocido como Social Engineering o phising . Es uno de los más usados. Se


trata de una técnica muy efectiva en la que se pone algún cebo al usuario víctima para
obtener la password.

El conocido como keylogger . Para esto, el atacante necesitará tener acceso


físicamente al equipo para obtener el registro de teclas pulsadas o ingeniarse algún
mecanismo que le transmita el registro de teclas usando algún tipo de exploit. 

Fase de Registro y Autenticación

La autenticación es el mecanismo mediante el cual un sistema valida nuestra identidad. En


cambio, se entiende por cracking de password a las distintas técnicas mediante las cuales
los mecanismos de autenticación pueden ser atacados.

Hay tres modos principales por los que se puede probar tu identidad en un sistema, cada
uno usando diferentes “factores”, conocidos como factores de autenticación:

1.- Algo que tú sabes.  Un ejemplo de este primer factor es identificarte mediante
alguna password.
2.- Algo que tú tienes. Un ejemplo de este segundo factor puede ser un móvil o una
tarjeta con códigos, debiendo existir una sola copia de dicho objeto.
3.- Algo que tú eres. Un ejemplo de este tercer factor sería el iris, la huella dactilar,
un escáner del rostro… algo que identifica al usuario de forma biológica. La gran
ventaja que tiene este factor de autenticación es que no se tiene que recordar ni
puede olvidarse ni perderse.  Este último factor también es conocido como
autenticación biométrica ya que se basa en algún rasgo humano que no puede ser
fácilmente medido y que es único para cada persona.

Los sistemas que requieren algún tipo de protección extra para identificar a los usuarios
usan con frecuencia, dos o tres factores de autenticación, combinando cualquiera de los
tres factores mencionados.

De estos tres métodos el más simple y antiguo es el basado en password. Este método
consta de dos fases:

1.- Una fase de registro.

La fase de registro tiene lugar antes de que el usuario (por ejemplo, Alice) use el
sistema por primera vez. En dicha fase, entre otros datos, Alice introduce su nombre
de usuario y una password que será guardada en una base de datos. Alice tratará que
dicha password sea lo suficientemente robusta como para que un posible atacante no
pueda averiguarla.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 153/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

2.- Una fase de autenticación. 

En cambio, la fase de autenticación tiene lugar cuando Alice quiere hacer uso del
sistema. Para ello, debe proporcionar su nombre de usuario y la password con la que
se registró en el sistema. El sistema buscará dicho nombre de usuario y password en
la base de datos, verificando que coincide con los datos proporcionados por Alice en
la fase de registro. Si es así, Alice queda autenticada y puede usar el sistema. En
caso contrario, Alice será notificada de que no ha quedado autenticada.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 154/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Ante un escenario de tal tipo, un posible atacante (Malory) puede tratar de hacerse pasar
por Alice introduciendo sucesivas password hasta lograr averiguarla. Para ello, puede
ayudarse de la implementación de scripts o de herramientas que hagan de modo
automático este trabajo por él.

Una contramedida aplicable a este tipo básico de ataques consiste en introducir un


pequeño retraso después de que falle cada intento de autenticación. También se puede
establecer un periodo de bloqueo tras un número de intentos fallidos.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 155/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Lógicamente, este retraso tiene que ser lo suficientemente corto como para no desesperar
a un usuario que ha tecleado incorrectamente su password, pero lo suficientemente largo
para hacer poco práctico este tipo de ataques. Por tanto, un retraso de algunos segundos
puede ser suficiente.

En muchos sistemas, si el número de intentos fallidos supera un límite, por ejemplo, 5


intentos, el usuario es automáticamente bloqueado. 

Otra alternativa para el atacante es obtener la base de datos de usuarios ya que contendrá
las password de todos los usuarios registrados en el sistema. Para evitar que, aún
obteniendo la base de datos pueda lograr la password de los usuarios, es necesario que en
la fase de registro las contraseñas nunca se guarden en texto plano, tal y como se ha visto
en las imágenes anteriores.  Siempre el sistema deberá emplear criptografía para que
dichas contraseñas viajen cifradas y se  almacenen cifradas . Por tanto, un buen sistema
de autenticación, durante la fase de registro, debe almacenar el valor hash de las password
en lugar del texto plano de las mismas.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 156/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

En este caso, en la fase de autenticación el sistema deberá computar el hash de la


password proporcionada y compararla con el hash de la password registrada.

Andrés Rubio - Elaboración propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 157/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

De este modo, aunque un atacante obtenga la base de datos con los hash de las diferentes
password, le resultará muy costoso averiguar la password original (las funciones hash son
de una sola dirección – one way). Por tanto, todos aquellos sistemas que ofrezcan la
posibilidad de recuperar una clave olvidada, son sistemas en los que dichas password
están almacenadas como texto plano. Por tanto, uno de los criterios a tener presentes para
considerar un sistema de autenticación como bueno, es que solo ofrezcan la posibilidad de
resetear la password.

Ante una situación de este tipo, lo único que podría hacer un atacante es realizar un ataque
de diccionario o usar una wordlist. Mediante este ataque, tal y como se ha comentado con
anterioridad, se usa un diccionario que recopila millones de passwords comúnmente usadas
y ordenadas decrecientemente por popularidad. El atacante irá probando secuencialmente
cada una de dichas passwords. Este es el modo en el que trabajan muchas de las
herramientas de cracking de passwords.

En Internet es posible encontrar diccionarios comerciales pero también gratuitos. Un


ejemplo de ello es el diccionario rockyou.txt presente en Kali Linux.

Para saber más


En los siguientes enlaces puedes obtener más información sobre rockyou y
una alternativa a rockyou llamada kaonashitxt:

Acceder a una web en la que se explica como usar rockyou en Kali

Kaonashitxt como alternativa a rockyou

Este tipo de ataque puede ser optimizado si además de guardar la password, también se
guarda el hash asociado a cada password. De esta forma, si se obtiene la base de datos
con los hash de las password, lo único que tiene que hacer el atacante es comparar la hash
del diccionario con la hash de la base de datos.

Por otra parte, existe una posible contramedida frente a este último tipo de ataques. Dicha
contramedida tiene lugar en la fase de registro del usuario. En ella, cuando Alice registra su
password, el sistema combina la password proporcionada con un valor aleatorio llamado
sal ( salt ), y a continuación, aplica la función hash a dicha combinación, almacenando en
la base de datos el valor resultante y la salt aplicada.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 158/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Posteriormente, en la fase de autenticación, el sistema extrae de la base de datos la salt


aplicada a la password de Alice, se la añade a la password proporcionada por Alice y
obtiene el hash correspondiente. El resultado de este hash es el que se comparará con la
password hasheado de Alice que está almacenado en la base de datos.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 159/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa
Andrés Rubio - Elaboración propia (Dominio público)

Cabe destacar, que el uso de esta contramedida no impide que el atacante pueda llevar a
cabo un ataque de diccionario si dispone de la base de datos ya que el valor de la salt está
almacenado en la propia base de datos, y por tanto, podría usarlo libremente. Lo único que
aporta esta contramedida es bloquear la capacidad del atacante de calcular previamente el
valor hash de todas las entradas presentes en el diccionario.

Para ralentizar el ataque es fundamental que cada password tenga una salt diferente. De
este modo, el atacante no sabe de antemano el valor de la salt aplicado, con lo que tendrá
que computar en tiempo real, el hash a cada entrada del diccionario, ralentizando el ataque
perpetrado.

En definitiva, un buen sistema de autenticación debería usar hashes salteados para


añadir una capa de defensa frente a los posibles ataques de diccionario.

Debes conocer
A continuación puedes ver un vídeo sobre el sistema de sal y pimienta en las
contraseñas:

¿Cómo añadir sal y pimienta en las contraseñas?

Autoevaluación
La fase de registro es aquella en la que el usuario ya está dado de alta
en el sistema.

Verdadero Falso

Falso
La fase de registro es la que tiene lugar antes de que el usuario use el
sistema por primera vez.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 160/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.8.1.- Rainbow Tables.


Es un mecanismo que usa menos procesamiento y más almacenamiento que los ataques
de fuerza bruta, pero más procesamiento y menos almacenamiento que los ataques de
diccionario. Emplean un algoritmo llamado función de reducción que mapea los hashes en
password con texto plano, lo cual no significa que estén revertiendo el hash, ya que eso no
puede lograrse.

Estas tablas van alternando hash y reducciones que generan cadenas, y pueden ser
creadas mediante el uso de herramientas como rtgen (presente en Kali Linux).

Andrés Rubio - Elaboración propia (Dominio público)

Pero de toda la secuencia de cadenas generadas solo se guardan la palabra inicial y la


palabra final (arubio y Scott). El motivo de hacerlo de este modo es porque si se
almacenaran pares de texto plano y hash asociado, estas tablas ocuparían muchísimo
debido a todas las posibles combinaciones de caracteres, números y símbolos, lo que
provocaría la inviabilidad de las búsquedas de los hashes en estas tablas.

Andrés Rubio - Elaboración propia (Dominio público)

Cuanto más larga es la cadena t, más pequeña es la tabla y más lenta es la búsqueda.
Cuanto mayor sea la tabla, hay mayor posibilidad de colisiones dando lugar a falsas
alarmas, es decir, a llegar a la palabra final, partiendo de la palabra inicial sin que podamos
averiguar cual es la password asociada al valor hash buscado. Estas colisiones no se
pueden detectar porque no se almacenan los valores intermedios. Un ejemplo se puede ver
en el proceso de generación siguiente:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 161/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Tras finalizar todo este proceso, la tabla quedaría de la forma mostrada a continuación,
almacenando solo la palabra inicial y la final, y estando ordenada de forma ascendente por
la palabra final. Como se aprecia, la colisión se pierde en la tabla final generada. Solo se
podría detectar al tener dos palabras finales iguales teniendo asociadas una palabra inicial
distinta.

Andrés Rubio - Elaboración propia (Dominio público)

Por ejemplo, usando la Rainbow Table anterior, el proceso de obtención de una password a


partir del hash 41032E55 robado de una base de datos sería el mostrado a continuación:

Andrés Rubio - Elaboración propia (Dominio público)

En este proceso, siempre se empieza aplicando la función de reducción al hash robado de


la base de datos, para luego ir aplicando alternativamente la función hash a las cadenas
intermedias, y la función de reducción a los hash intermedios obtenidos. Por tanto, lo
primero será aplicar la función de reducción a  41032E55 , obteniendo la cadena playas .
Lo siguiente será aplicar la función hash a la cadena intermedia, dando como resultado el
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 162/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

valor hash  0AB2291F . A continuación, a dicho hash, se le aplica nuevamente la función


de reducción, y así sucesivamente hasta llegar a una cadena final. En este caso, se llega a
la cadena final pazxca . Una vez llegados a este punto, toca aplicar la función hash a la
cadena inicial ( fabada ) asociada a la cadena final pazxca . Es el momento de volver a
repetir la aplicación alternativa de función hash y de función de reducción hasta obtener un
valor hash que coincida con el hash robado. Si se llega a dar esa coincidencia, quiere decir
que la cadena a la que se le ha aplicado la función hash es la password. En este ejemplo, al
aplicar la función hash a la palabra inicial fabada , se produce como resultado el
valor  41032E55   que es el hash buscado. Por tanto, la password es fabada .

Tal y como se ha comentado anteriormente, hay ocasiones inevitables en las al aplicar la


función de reducción a dos valores hash diferentes, se produce la misma cadena
intermedia. A esto se le conoce como colisión. Una forma de resolver las colisiones sería
usando funciones de reducción distintas para cada elemento de la cadena:

Andrés Rubio - Elaboración propia (Dominio público)

En este caso, siempre se empezará aplicando la última reducción al valor hash del que se
parte. En el peor de los casos, esta reducción no dará como resultado una palabra final. En
esta situación se aplicaría la penúltima función de reducción y repetimos el proceso. Si no
llegamos a una palabra final, volvemos a repetir el proceso con la antepenúltima función de
reducción.  Si fallara la antepenúltima reducción, seguiríamos aplicando funciones de
reducción hacia atrás. En el caso de no tener más (hemos llegado a R1 y no obtenemos
una palabra final), el ataque fallaría y no nos serviría la tabla creada para este caso en
particular.

Por último destacar que una forma de frustrar las tablas Rainbow es mediante el uso del
mecanismo Salt comentado con anterioridad.

Debes conocer
Una herramienta empleada para el craqueo de hashes con Rainbow Tables
es RainbowCrack . Puedes obtener información sobre tal herramienta en el
siguiente enlace:

Proyecto RainbowCrack

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 163/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

2.8.2.- Herramientas de cracking de


password.

Hydra

Usada para craquear servicios de autenticación remota. Realiza ataques de diccionario


contra multitud de protocolos como FTP, SSH, HTTP, …

◄ 1
2
3

Opciones de Hydra

Andrés Rubio - Elaboración propia (Dominio público)

Formulario de login sobre DVWA

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 164/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

En la respuesta al intento de login se obtiene el mensaje Login failed que puede


ser usado para saber que, cuando la página HTML de respuesta tenga dicho texto,
el usuario o la contraseña no es válida, y por tanto, dicha prueba habría fallado.

Andrés Rubio - Elaboración propia (Dominio público)

Al no ser una petición HTTPS, se puede usar BurpSuite como proxy para ver
todos los valores del formulario en texto plano.

Uso de hydra
Se podría usar hydra para realizar un ataque de cracking de password sobre el
formulario de login de DVWA usando el siguiente comando:

hydra -l admin -P passlist 192.168.1.102 http-post-form

“/DVWA-1.0.8/login.php:username=^USER^&password=^PASS^&Login=Login:Login failed” -V

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 165/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Destacar que el texto Login failed es el mensaje que usará hydra para saber que
la combinación de username y password empleada no es correcta. También hay
que mencionar que se está usando como diccionario el fichero passlist indicado
a través del parámetro -P.

El resultado de ejecutar el anterior comando se puede ver en la siguiente imagen:

Andrés Rubio - Elaboración propia (Dominio público)

Hydra permite hacer búsquedas en anchura (muchos usuarios y una sola


password), en profundidad (un solo usuario y muchas password, es el caso
mostrado en el ejemplo), o una combinación de los dos.

Por ejemplo, para realizar una búsqueda en anchura, sobre el protocolo samba de
la máquina 192.168.1.102 se podría ejecutar el siguiente comando:

hydra -L userslist -p admin_123 -vV -f 192.168.1.102 smb

En esta caso con la opción -f, se indicaría que cuando encuentre el


usuario/password detenga el proceso de búsqueda.

Para saber más


A continuación puedes encontrar varios enlaces sobre el uso de Hydra:

Como hacer ataque de Fuerza Bruta con Hydra en Kali Linux

Cracking de Contraseñas con Hydra

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 166/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Mimikatz

Es una aplicación Open Source que permite la extracción de credenciales, tanto cifradas
como en texto plano desde la RAM. Se puede bajar desde Github. Hace uso del servicio
LSASS de Windows.

La mayoría de los actuales antivirus detectan la presencia de Mimikatz como una amenaza
y la eliminarán. Sin embargo, puede ser muy interesante para probar la seguridad de los
sistemas ante posibles explotaciones de vulnerabilidades que desactiven el antivirus del
sistema. Además, también es muy interesante su uso para ver como las distintas
aplicaciones guardan las contraseñas en memoria RAM.

Andrés Rubio - Elaboración propia (Dominio público)

Mimikatz tiene que ser ejecutado con privilegios de admin. Para comprobar si se está con
dichos privilegios se puede usar usar el comando: 

privilege::debug

Se puede ver el resultado de ejecutar dicho comando en la imagen siguiente, en la cual se


muestra que se tiene permiso de administrador.

Andrés Rubio - Elaboración propia (Dominio público)

Y para mostrar las credenciales en RAM se puede usar sekurlsa, que es quien interactúa
con LSASS, a través del comando:
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 167/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

sekurlsa::logonpasswords

En caso de solo obtener los valores


hash, estos valores pueden guardarse
en un fichero y emplear herramientas
como John the Ripper, hashCat ,…
para tratar de obtener la password
descifrada.

Para hacer de forma legítima el dumping


de los hash de los sistemas Windows
existen muchas opciones, como por
ejemplo, accediendo al proceso lsass de
Windows 10 (Elaboración propia)
Windows y hacer un volcado de dicho
proceso. También se pueden emplear
herramientas como procdump .

Este fichero contiene las credenciales (posiblemente cifradas) de los usuarios que se han
autenticado en el sistema. Sin embargo, en el momento en el que se reinicia el equipo,
dichas credenciales serán borradas. Por tanto, interesa acceder a equipos que lleven
mucho tiempo encendido.

Por último, comentar que el fichero dump obtenido a través del proceso lsass, puede
pasarse a Mimikatz y llevar a cabo la ejecución del comando sekurlsa para la extracción de
las credenciales.

Andrés Rubio - Elaboración propia (Dominio público)

Crunch

El cracking de password  se realiza de forma más factible usando una wordlist que
probando miles de posibles contraseñas por segundo en las que todos los caracteres de las
password se usan sin ninguna especificación, solo a través de permutaciones y
combinaciones caracteres. En cambio, las wordlist contendrán palabras con todas las
posibles combinaciones de letras (mayúsculas y minúsculas), números y símbolos, pero
serán creadas usando algunas especificaciones dadas y utilizando algún conjunto de
caracteres específico.

Kali Linux contiene una herramienta llamada Crunch que permite la creación de wordlist
personalizadas. Estas wordlist pueden usarse tanto para ataques de diccionario como para
ataques de fuerza bruta en combinación con otras herramientas como Caín y Abel,
hashcat, John the Ripper, aircrack-ng …

◄ 1
2
3
4
5
6

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 168/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Opciones de uso de crunch

Andrés Rubio - Elaboración propia (Dominio público)

Creación de una wordlist de palabras de


tres caracteres con crunch

Andrés Rubio - Elaboración propia (Dominio público)

Uso de crunch para crear una wordlist mostrada por pantalla donde cada palabra
estará formada por letras en minúsculas y con una longitud entre 1 y 3. En total ha

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 169/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

generado 18278 palabras.

Si se quiere guardar esta wordlist en algún tipo de fichero, se debe usar la opción -o
seguida de la ruta.

Andrés Rubio - Elaboración propia (Dominio público)

Uso de crunch para crear  un diccionario


de palabras con solo ciertos caracteres

Andrés Rubio - Elaboración propia (Dominio público)

Si tras el máximo de la longitud de las palabras indicamos los caracteres abc,


creará palabras que contengan únicamente las letras abc.

Uso de crunch con un conjunto de


caracteres (charset) determinados

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 170/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En muchos casos es posible crear nuestro propio conjunto de caracteres o emplear


un conjunto de caracteres específicos. En Kali este conjunto de caracteres lo
podemos encontrar en el fichero charset.txt en la ruta mostrada a continuación:

Andrés Rubio - Elaboración propia (Dominio público)

Uso de crunch con un charset concreto

Andrés Rubio - Elaboración propia (Dominio público)

En este caso se crea una wordlist de 8 caracteres empleando el charset mixalpha-


numeric. Las indicaciones de dicho conjunto de caracteres están presentes en un
fichero establecido usando la opción -f.

Uso de crunch con patrones

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 171/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

También se pueden crear patrones a partir de información previamente obtenida


usando redes sociales. Para ello se usa la opción -t seguido del patrón.

Andrés Rubio - Elaboración propia (Dominio público)

En este ejemplo se crea una wordlist de 8 caracteres teniendo como patrón


@@@@0415 y usando el charset alpha-numeric-symbol32-space cuyas
indicaciones están presentes en el fichero charset.txt. En este caso, los símbolos
@ serán los caracteres a sustituir tras cada generación de contraseñas,
permaneciendo los caracteres 0415. Por tanto, se van a crear contraseñas en las
que los 4 últimos caracteres son 0415 (que podría ser el mes y día de nacimiento
del usuario).

Para saber más


En los siguientes enlaces puedes obtener más información sobre el uso de
Mimikatz como ladrón de credenciales:

Robando credenciales con Mimikatz

Tendencias de malware en entornos industriales

También puedes ver algunos ejemplos de uso de crunch en el siguiente


enlace:

Creación de diccionarios para ataques de fuerza bruta


Ejemplos de uso de Crunch

John the Ripper

Programa que permite recuperar contraseñas a partir de los datos que existen en nuestro
sistema. Actualmente está disponible para Linux y Windows. El propósito principal de esta
herramienta es la detección de contraseñas débiles por parte del administrador del sistema.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 172/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

No es un simple programa de cracking de contraseñas por fuerza bruta ya que dispone de


varios modos de funcionamiento que permiten una búsqueda “inteligente” de las
contraseñas más inseguras. Por ejemplo, el modo single prueba como contraseñas
candidatas el nombre de usuario, el nombre real, el nombre del home y combinaciones de
estos nombres con números y letras. Toda esta información la extrae del fichero
/etc/passwd.

En caso de no funcionar, usa el modo incremental en el que tratará de averiguar la


contraseña mediante cualquier combinación de caracteres. También se le puede indicar
algún fichero de diccionario.

A través del comando unshadow, John combina los ficheros /etc/passwd y /etc/shadow en
un fichero en el path actual.

Andrés Rubio - Elaboración propia (Dominio público)

El resultado de la ejecución del comando unshadow anterior genera el fichero JohnSAD.txt


cuyo contenido es el mostrado a continuación:

Andrés Rubio - Elaboración propia (Dominio público)

Una vez obtenidos este fichero con los hashes  de los usuarios del sistema, es posible
realizar el ataque usando John y alguna wordlist.

◄ 1
2

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 173/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Uso de John con wordlists 


Kali trae una wordlist para John que se encuentra en /usr/share/john y que puede
usarse para el cracking de password, tal y como se ve en la siguiente imagen:

Andrés Rubio - Elaboración propia (Dominio público)

En la imagen puede apreciarse que se ha conseguido averiguar la contraseña del


usuario root (admin_123) . Además, se informa que puede usarse la opción --
show para mostrar las password craquedas.

Cuando la wordlist que trae John por defecto es insuficiente para craquear las
password, es posible usar otras wordlist, como por ejemplo con Rockyou.txt, la cual
contiene alrededor de 14 millones de palabras. Esta wordlist (es posible que venga
comprimida) la trae la distribución de Kali en la ruta siguiente:

/usr/share/wordlists

Tiempo estimado para craquear las


contraseña
Mediante la opción -test informará sobre cuánto tiempo tardará John en descifrar
las contraseñas empleando diversos esquemas criptográficos. 

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 174/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

También ofrece la opción –format para indicar con qué hash  se desea realizar el
cracking de las password.

Debes conocer
Puedes obtener información más específica sobre John the Ripper en el
siguiente enlace:

John the Ripper password cracker

Otras herramientas de cracking

Algunas otras herramientas destacables para el tema de cracking de password son:

Medusa: Realiza ataques de fuerza bruta basándose en diccionarios de palabras. Un


ejemplo del uso se muestra a continuación:

medusa -h 127.0.0.1 -u tomas -P pasaporte.txt -M ssh -f

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 175/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En este caso medusa buscará las contraseñas posibles para el usuario tomas,
usando como wordlist el archivo de texto pasaporte.txt.

En la imagen se puede ver como el root


del sistema ha ejecutado el programa
medusa y con él ha descubierto que la
contraseña para el usuario tomas es
Tomás Fernández Escudero (Uso educativo no comercial)
123456 . Para ello, se ha ayudado de
un fichero denominado pasaporte.txt
que contiene posibles claves. También
se puede apreciar la búsqueda que ha hecho entre las posibles contraseñas del
fichero pasaporte.txt hasta que encuentra la solución correcta.

Este tipo de herramientas basan su éxito en la cantidad de combinaciones que tenga


el diccionario. Los diccionarios empleados en estos ataques se pueden descargar de
Internet, donde hay sitios en los que clasifican los diccionarios dependiendo del tipo
de clave que se quiera desencriptar (WEP,WPA, router, servidores, etc...).

Hashcat: Herramienta muy apropiada para realizar ataques de fuerza bruta cuando se
desea desvelar contraseñas usando la potencia de componentes especializados como
tarjetas gráficas de última generación.

Ncrack: Muy parecido a Nmap, permite realizar auditorías sobre múltiples hosts.
Soporta multitud de protocolos como RDP, SSH, HTTP, HTTPS, VNC, FTP,…

OphCrack: Aplicación Open Source que permite recuperar contraseñas de sistemas


Windows mediante el uso de tablas Rainbow. Se encuentra disponible en
distribuciones como Kali, aunque también posee su propia distribución Live. Se ha
convertido en una de las aplicaciones más utilizadas en la industria de la seguridad
informática y la auditoría de contraseñas. Se descargar en OphCrack.

Debes conocer
En los siguientes enlaces puedes aprender más sobre las herramientas de
cracking de password comentadas previamente:

Obteniendo contraseñas con Hydra, Medusa y nCrack

Taller sobre password

Atacar Contraseñas con Kali Linux

Para saber más


A continuación puedes encontrar en la web oficial más información  sobre la
herramienta Ncrack:
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 176/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Guía de Ncrack

Manual Ncrack

También tienes a tu disposición una serie de vídeo tutoriales sobre la


herramienta hashcat:

Tutorial sobre hashcat

Craqueando passwords de Linux con hashcat.

Introducción a hashcat Parte I

Introducción a hashcat Parte II

Autoevaluación
¿Cuál de las siguientes no es una herramienta de cracking de
password?

BurpSuite

Hydra

John The Ripper

Medusa

Correcto. Es una herramienta que se usa para auditorías web.

Incorrecto. Hydra es una de las herramientas más usadas para el


cracking de contraseñas.

Incorrecto. Se trata de un herramienta muy usada a la hora de realizar


cracking de contraseñas.

Incorrecto. Medusa sí es una herramienta que se emplea para el


cracking de contraseñas.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 177/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Solución

1. Opción correcta
2. Incorrecto
3. Incorrecto
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 178/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

3.- Seguridad en la conexión con redes


públicas.

Caso práctico
—María, cada día hace falta más papeleo.
Esto no hay quien lo soporte.

—Félix, ¿Qué ha pasado?

—Pues nada, que ahora nos piden un


certificado de subcontratistas para certificar
que estamos en paz con Hacienda. Se lo he
dicho a los de la asesoría y me dicen que
tardarán unos 10 días en enviármelo. Let Ideas Compete (CC BY-NC-ND)

—¿Por qué no lo haces directamente por Internet?

—¿Por Internet?

—Sí, la AEAT tiene un portal en el que se pueden realizar muchos trámites


a través de Internet. Sin embargo, se necesita utilizar firma digital o certificado
electrónico.

—¿Firma digital? Pero si yo no soy un robot.

—No es necesario que seas un robot, es un software que te representa en la


red, un certificado que verifica que eres tú. Si no tienes el certificado no
puedes hacerlo a través de Internet.

—¿Por qué? Les llamo y les doy mi número de DNI.

—¡Qué no! Hay que seguir un proceso para evitar que se suplanten las
identidades en Internet.

—¿Y cómo se puede hacer?

—Verás, lo vamos a solicitar y así aprendemos todos los métodos utilizados


para asegurar la identidad cuando se utilizan redes públicas.

El uso de redes públicas y la compartición de información han sido el desencadenante de


la mayoría de los problemas de seguridad. Es evidente que si una red LAN  no tiene
conexión con el exterior, su seguridad depende de los usuarios locales. Si por el contrario,
la red LAN tiene conexión a Internet, es impredecible acotar el número de personas que,
desde fuera, pueden tener acceso a la red LAN. Se podría pensar en una primera solución:

No conectarse a una red pública.


https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 179/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

¿Quién va a renunciar a comprar online, leer el correo electrónico o utilizar las redes
sociales? La mayoría de las personas utilizan los medios informáticos con alguno de estos
fines, por lo que no parece una solución evitar el acceso a Internet.

Para los usuarios que deban utilizar redes públicas existen varios mecanismos que les
pueden ayudar a trabajar de manera segura.

Utilización de mecanismos de identificación digital.


Conexiones SSH.
Utilización de VPN.
Utilización de HTTPS en la navegación.
Conexiones inalámbricas cifradas (WPA2, WPA, WEP).

Casi todas las soluciones anteriores tienen agujeros de seguridad puesto que todo lo que
viaja por la red tiene peligro de ser interceptado, aunque sea más o menos difícil
descifrarlo. Si se imagina una red inalámbrica pública sin clave como espacio de
comunicaciones, los peligros son numerosos.

Si la red está abierta, cualquiera pueden entrar a formar parte de ella, sea
cual sea su objetivo.
La interceptación de datos es mucho más fácil.

Para saber más


En el siguiente enlace podrás ver una antigua noticia que supone un ejemplo
de vulnerabilidad cuando se utiliza una red inalámbrica abierta para entrar en
una red social.

Red inalámbrica abierta.

Autoevaluación
Una red LAN sin conexión a Internet siempre es segura:
Sí, porque es en Internet donde están todos los peligros.
Sí, porque no utiliza routers.
No, porque puede utilizar routers inalámbricos.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 180/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

No, porque son varios ordenadores unidos entre sí.

Incorrecto. Un equipo se puede infectar a través de un soporte de


almacenamiento secundario.

No es correcto. Una LAN si puede utilizar routers.

Es correcto. Si la red es inalámbrica está sujeta a las vulnerabilidades de


la red inalámbrica.

No es cierto. El hecho de que haya varios ordenadores aumenta la


vulnerabilidad pero no la hace insegura.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 181/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

3.1.- Identificación digital.

La identificación digital asegura la autentificación, la


confidencialidad y la integridad de las comunicaciones en
Internet. Por tanto, para un usuario supone una contribución
al reconocimiento de sus derechos fundamentales.

No se debe confundir la identificación digital con la


identidad digital que un usuario se puede crear por ejemplo
Oneras (CC BY-SA) en una red social, donde a veces la identidad representa lo
que se quiere ser, no lo que se es realmente. La
identificación digital es una representación legal de la identidad y se puede conseguir con
diversos mecanismos.

Contraseñas.
Tarjetas de identificación.
Sistemas biométricos.
Certificados digitales.

Todos los mecanismos anteriores tienen como objetivo aglutinar una serie de rasgos
identificativos de cada usuario en el medio digital. Cada uno de los métodos empleados
utiliza rasgos diferentes.

Las contraseñas son un método muy antiguo e identifican a cada usuario con una serie de
caracteres. Las tarjetas de identificación utilizan chips para almacenar la información de
cada individuo. Los sistemas biométricos utilizan rasgos físicos de cada usuario, para
crear un determinado perfil digital que lo identifique de manera única. Los certificados
digitales emplean información de los usuarios para generar un software que los identifique,
representándolos en las transacciones electrónicas.

La identificación digital no existe, es necesario crearla y asociarla al usuario que


deba representar.

Para saber más


Para asociar la identificación digital con el usuario, existen organismos
capaces de certificar la autenticidad de dicha identidad, por ejemplo, la
FNMT.

Sitio web de la FNMT.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 182/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En el uso de redes públicas, el empleo de la identificación digital es primordial para


asegurar la identidad tanto del emisor como del receptor de una transacción.

Debes conocer
En los siguientes enlaces puedes ver todo lo necesario para crearte una
identificación digital:

Obtener certificado digital para persona física

Obtener certificado digital a partir del DNI Electrónico

Manual de buenas prácticas

Agiliza tus trámites online

Autoevaluación
El DNI electrónico:
Muestra nuestra identidad digital.
No posee una firma digital.
Muestra nuestra identificación digital.
Solamente es un certificado digital sin validez como firma digital.

Incorrecto. Muestra la identificación digital.

No es cierto. El DNI electrónico si es válido como firma digital.

Es correcto. Posee datos que identifican al usuario y le permiten firmar


documentos de forma digital.

No es cierto. El DNI electrónico si es válido como firma digital.

Solución

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 183/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 184/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

3.2.- Firma electrónica y certificado digital.


PKI.
La firma y el certificado digital son la soluciones más fiables al problema de la
identificación digital. En la actualidad son la mejor forma de verificar que cada una de las
partes que intervienen en una comunicación a través de Internet son quien dicen ser.

En la vida cotidiana existen muchas situaciones en las que se requiere contrastar la


identidad de una persona, por ejemplo, recoger un envío postal.

Una persona recibe un aviso de que tiene que recoger un paquete en una oficina
de correos y se dirige a ella. En la oficina lo primero que se le exige a esa
persona es que demuestre su identidad (mostrando el DNI), y después de
entregarle el paquete se le pide que deje constancia de que se le ha entregado
(firmando el recibo de recogida).

Si la situación en la que se requiere la verificación de la identidad no permite un contacto


visual, como es el caso de las comunicaciones en Internet, se pueden utilizar la firma y el
certificado digital.

La firma digital es una secuencia de caracteres que tiene funciones similares a las de la
firma personal. Es un número único que identifica a una persona física o jurídica. Una firma
digital utiliza criptografía de clave pública o asimétrica.

La firma digital permite al receptor de un mensaje verificar la autenticidad del origen de la


información, así como, verificar que dicha información no ha sido modificada desde su
generación. De este modo, la firma digital ofrece el soporte para la autenticación e
integridad de los datos así como para el no repudio en origen, ya que la persona que origina
un mensaje firmado digitalmente no puede argumentar que no lo hizo.

Teniendo en cuenta todo esto, las aplicaciones fundamentales de la firma digital son para
garantizar:

1.- Integridad de datos: cualquier cambio en un dato sería detectado ya que el


cálculo del hash sería distinto.
2.- Autenticación: Se puede comprobar quien es el emisor del mensaje.
3.- No-repudio: El autor del mensaje no puede alegar que no ha sido él quien lo ha
remitido al destinatario.

También es utilizado el concepto de firma electrónica en el


mismo contexto que firma digital. Una firma electrónica es
una firma digital que se ha almacenado en un
soporte  hardware. En cambio, la firma digital se puede
almacenar tanto en soportes de hardware como de software.

En la imagen de la izquierda se muestra el proceso de firma


digital de un documento electrónico.
Acdx (CC BY-SA) Se puede ver como generar la firma digital utilizando una
función matemática ( función hash)  que actúa sobre los
datos que se quieren firmar y una clave privada de cifrado, se utiliza también el certificado
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 185/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

digital para verificar la identidad del firmante


y su clave pública.

Una firma digital es segura siempre y cuando


la clave privada empleada para cifrar
solamente la conozca su dueño.

La clave pública que el receptor necesita


para descifrar el mensaje la extrae del
certificado digital del emisor.

FlippyFlink (CC BY-SA)

Debes conocer
Para firmar digitalmente un documento y asegurar la autenticidad del autor, su
no repudio y la integridad del documento enviado se puede usar la
herramienta gpg con los siguientes parámetros:

gpg [-a] [-o] [-b] [-u ID_KPriv][--clearsign] Nombre_Fichero

siendo el significado de estos parámetros el siguiente:

-a: Para una salida blindada (salida ASCII).


-o: Para indicar el fichero de salida. También se puede usar la opción --
output.
-b: Se utiliza cuando se desea que la firma aparezca en un fichero
separado.
-u: En el caso de que el usuario disponga de más de una pareja de
claves asimétricas, y por tanto, más de una posible clave secreta para la
realización de la firma, se indica con "-u" el identificador de clave a usar.
En caso contrario, elegirá la primera que se creó.
--clearsign: El contenido del documento a firmar no es cifrado, por lo
que es legible para cualquier usuario sin ningún software especial. Esta
opción puede resultar útil cuando el único interés sea el de comprobar la
autenticación del emisor y la integridad de la información recibida, no
siendo importante la confidencialidad.
Nombre_Fichero: Ruta del fichero que se quiere firmar.

A continuación se muestra un ejemplo de la firma del documento


doc_firma.odt. Para llevar a cabo su firma, se pedirá el passphrase de la
clave secreta del usuario firmante.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 186/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Al finalizar el proceso, se obtiene un fichero con el mismo nombre que el


archivo a firmar pero con extensión asc. 

Andrés Rubio - Elaboración propia (Dominio público)

Este fichero doc_firma.odt.asc es el que se debe enviar. 

El receptor (usuario andres) recibe el fichero doc_firma.odt.asc y podrá llevar


a cabo las siguientes acciones:

Si solo quiere verificar la firma, usará el comando gpg --verify pasando como
único parámetro el archivo firmado.

Andrés Rubio - Elaboración propia (Dominio público)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 187/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Si quiere tanto verificar la firma como ver el contenido del texto se debe usar
la opción --decrypt o -d.

Andrés Rubio - Elaboración propia (Dominio público)

Si se quiere enviar el documento cifrado con la clave pública del receptor y


firmado de forma simultánea, se debe usar la opción -s o --sign para que la
firma vaya integrada en el documento, junto con la opción -r ClaveID para
indicar la clave pública del receptor con la que se desea cifrar el documento y
la firma. 

Puedes encontrar más información sobre el uso de gpg en los siguientes


enlaces:

Cifra y envía datos de forma segura

Uso variado de gpg

Si se leen detenidamente los mensajes generados en el receptor durante el proceso de


verificación de la firma, se observa un mensaje de aviso bastante significativo. Dicho
mensaje se muestra a continuación:

Andrés Rubio - Elaboración propia (Dominio público)

Esto se debe a que no se tiene ninguna garantía de que la clave pública del emisor usada
por el receptor para verificar la firma sea realmente de quien dice ser. Y es ahí donde entran
en juego los certificados digitales. Es decir, debe existir una autoridad certificadora (una
especie de notario) que certifique que la clave pública realmente es de quien dice ser, y
esto solo se consigue usando certificados digitales.

El certificado digital es un documento que contiene fundamentalmente información sobre


una persona o entidad, una clave pública y una firma digital de un organismo de confianza
(autoridad certificadora) que rubrica que la clave pública que contiene el certificado
perteneciente al propietario del mismo. Esta autoridad certificadora es la responsable de
verificar que los datos realmente corresponden al propietario del certificado (incluida su

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 188/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

clave pública).

En definitiva, un certificado
digital está firmado digitalmente
por una entidad certificadora
que certifica la identidad del
individuo que solicitó el
certificado.

A pesar de que la Autoridad


Certificadora se encarga de
ratificar el documento de
asociación entre la clave pública
y la identidad de una persona,
firmando para ello dicho
certificado con su propia clave
privada, el responsabilidad del
Giaros (CC BY-SA)
receptor de verificar el
certificado del usuario emisor,
debiendo comprobar la validez
del certificado. Para ello habrá que asegurarse de que no ha caducado, no ha sido
revocado y que la firma electrónica de la Autoridad Certificadora es correcta. Para este
último caso, será condición indispensable estar en posesión de la clave pública de la
autoridad que ha firmado el certificado, ya que de esta forma se podrá desencriptar la firma
digital y comparar el resultado de la huella obtenida.

Los dos estándares de certificados son X.509 y PGP. El que más se utiliza es el X.509, que
ha implementado tres versiones denominadas v1, v2 o v3, cada una de las cuales ha
añadido nuevos campos y funcionalidades a las anteriores. La versión 3 del estandar
X.509 tiene su estructura definida en la RFC 3280.

Básicamente, dicha estructura


es la siguiente:

Versión del formato:


versión del certificado
X.509 (1,2 o 3).
Número de serie:
Identificador del
certificado asignado por
la CA. Se trata de un
valor único para cada
certificado emitido por
una misma CA.
Algoritmo de la firma:
Algoritmos de cifrado y
función hash empleados
por la CA para firmar el
certificado y cifrar el
resumen hash
respectivamente.
Nombre X.500 de la CA:
Datos que identifican a la
CA.
Mozilla Foundation (Dominio público)
Período de validez:
Intervalo de tiempo en el
cual el certificado es válido.
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 189/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Nombre X.500 del usuario: Datos que identifican al propietario de la clave pública
certificada.
Clave pública del usuario: Contiene el valor de la clave pública y el algoritmo de
cifrado utilizado.
Extensiones: Información adicional.
Firma digital de la CA: Huella hash de los campos anteriores cifrada con la clave
privada de la CA.

Para saber más


Descubre por qué un certificado digital es capaz de identificarte a ti o a
cualquiera a través del siguiente enlace:

Identificación usando certificado digital

A través del siguiente enlace puedes tener acceso a la descarga de una


aplicación de firma electrónica desarrollada por el Ministerio de Hacienda y
Administraciones Públicas. Al poder ser ejecutada desde el navegador,
permite la firma en páginas de Administración Electrónica cuando se requiere
la firma en un procedimiento administrativo.

Autofirma

Infraestructura de clave pública

Pero, ¿quién controla la generación, almacenamiento y gestión de todos y cada uno de los
componentes de estos sistemas?.

Para esto se diseñaron empresas u


organismos encargados de la emisión,
gestión y revocación de los certificados de
clave pública en los que se pueda confiar.
Todo esto se denomina Infraestructura de
Clave Pública (PKI). Todos los componentes
de PKI permiten que se puedan generar
interacciones entre usuarios y empresas de
distintos sectores y países al confiar en estas
terceras partes confiables. Estos
componentes de una PKI son:

Chris (CC BY-SA)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 190/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

 Autoridad Certificadora (CA)

Emite y gestiona certificados digitales para cifrar mensajes o datos y así poder
verificar la autenticidad del emisor de dichos mensajes. A través de ellas se generan
los pares de claves públicas/privadas que son usadas para asegurar los mensajes.
Para que una CA emita un certificado a un usuario o empresa debe tener evidencias
de que éstos son quienes dicen ser, por lo cual las CA tienen la obligación de verificar
las credenciales de estos antes de emitir el certificado digital. Después de la
verificación de la identidad del usuario, la autoridad certificadora emite un certificado
digital firmado con su propia clave privada, y ésta la distribuye al usuario. El usuario
luego, a su vez, validará el certificado con la clave pública de la autoridad
certificadora.

En definitiva, la CA responde de los certificados digitales, pero ¿quién acredita a la


CA?. Para solventar este problema se han creado una serie de entidades autorizadas
a emitir certificados, de tal forma que éstas son avaladas a su vez por otras entidades
de mayor confianza, así hasta llegar a la cabeza de la estructura jerarquizada de CA,
en la que se encuentran una serie de contadas entidades de reconocido prestigio y
confianza, como por ejemplo Verisign o la Fábrica Nacional de Moneda y
Timbre . Ellas mismas son las que se autofirman su propio certificado digital. El
formato X.509 ofrece soporte para la jerarquía de firmas digitales, definiendo la forma
correcta de realizar estas cadenas de certificaciones.

Autoridades de registro (RA)

Son utilizadas por las CA para delegar alguna de sus funciones, sobre todo en el
ámbito administrativo, nunca en el de emisión y gestión propia de los certificados.
Sobre todo se encargan de verificar la identidad de todos y cada uno de los usuario o
compañías que han solicitado certificados, para de alguna manera dar fe de que la
identidad es la correcta y así transmitir a las autoridades certificadoras que pueden
emitir el certificado al usuario o compañía que lo han solicitado.

Autoridad de Validación (VA)

Son los encargados de comprobar la validez de los certificados digitales. Por tanto,
informan en tiempo real de la vigencia de los certificados digitales.

Lista de Certificados Revocados (CRL)

Son aquellos certificado que ya no son válidos, y en los que un usuario no debe
confiar. Un certificado puede ser no válido por diversas razones:
La clave secreta del usuario se ha visto comprometida.
La información contenida en el certificado ha dejado de ser válida.
Se está procesando su reemplazo.

Son listas de dominio público, emitida y firmada digitalmente por una CA, en la que se
incluye entre otra información, los números de serie de aquellos certificados que se
consideran que no pueden volver a ser utilizados. Una vez que el certificado está
caducado se elimina su entrada de la CRL.

Debes conocer

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 191/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Esquema aproximado, tal y como se aprecia en la imagen anterior, es el


siguiente:

Un usuario solicita un certificado con su clave pública en una autoridad de


registro (RA). Este último confirma la identidad del usuario a la autoridad de
certificación (CA) que a su vez emite el certificado. El usuario puede firmar
digitalmente un contrato con su nuevo certificado. Luego, la parte contratante
verifica su identidad con una autoridad de validación (VA) que nuevamente
recibe información sobre los certificados emitidos por la autoridad de
certificación.

Para saber más


Puedes encontrar más información al respecto en los siguientes vídeos:

Cadenas de confianza en las PKI

PKI

Revocación de certificados

Autoevaluación
Si se encripta un archivo, para que el receptor de ese archivo pueda leer
la información:
Debe ser un usuario del mismo equipo donde se encriptó la información.
Debe ser un usuario de la misma red a la que pertenezca el usuario que
encriptó la información.
El usuario debe conocer las claves o alguna de las claves que se
utilizaron para encriptar la información.
El usuario debe conocer la clave privada del usuario que encriptó la
información.

Incorrecto. La encriptación también se emplea para enviar información a


otros equipos.

No es correcto. No es indispensable que pertenezcan a la misma red.

Correcto. Dependiendo del tipo de encriptación, deberá conocer todas o


al menos una de las claves.

No es cierto. La clave privada no se debe transmitir.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 192/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 193/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

4.- Seguridad en la red corporativa.

Caso práctico
—Juan, ¿todas estas medidas se aplican en las
redes de empresas grandes?

—Estas y muchas más, Vindio.

—¿Y las empresas que tienen varias sedes en sitios


diferentes?

—Esas empresas están unidas mediante Internet,


disfrutan de una especie de red local que utiliza a
Alain Bachellier (CC BY-NC-SA) Internet como vehículo.

—¿Y cómo son capaces de controlar la seguridad?

—Pues deben emplear múltiples herramientas porque se emplean muchos


tipos de tecnología.

Una red corporativa es una red que comunica lugares geográficamente distantes y que
facilita el acceso remoto de usuarios, siendo todos los elementos comunicados propiedad
de una organización o persona. Se podría decir que es una interconexión de redes LAN. En
este tipo de redes conviven diferentes tecnologías, tanto inalámbricas como cableadas.

Sin embargo, para la comunicación distante se deben emplear líneas públicas. Por lo tanto,
para garantizar que las comunicaciones sean seguras deberán utilizarse mecanismos
seguros como las VPN.

Linux Screenshots (CC BY)

Las tecnologías empleadas pueden ser diversas. Esto implica que para mantener la red
segura se tendrá que hacer uso de varias estrategias y de diferentes herramientas.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 194/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Autoevaluación
En una red corporativa los peligros:
Solamente pueden llegar a través de los usuarios legítimos de la red.
Solamente pueden llegar a través de la red inalámbrica.
Pueden llegar a través de Internet.
No pueden llegar a través de Internet.

Incorrecto. Aunque pueden ser uno de los mayores problemas.

No es cierto. Pueden llegar a través de cualquier tipo de tecnología


utilizada.

Es correcto. Se puede utilizar Internet para interconectar diferentes


puntos de la red.

No es correcto. Una red corporativa puede contratar los servicios de


Internet.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 195/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

4.1.- Monitorización del tráfico en redes.


El objetivo de la monitorización del tráfico en las redes es detectar problemas en su
funcionamiento para poder solucionarlos en la mayor brevedad posible. Estas herramientas
de monitorización se pueden clasificar en:

Herramientas para la captura y el análisis del tráfico de red.

Ejemplos destacados de este tipo son:

◄ ►

Wireshark
Analizador de protocolos OpenSource que actualmente está disponible para
plataformas Windows y Unix. Su principal objetivo es el análisis de tráfico,
pero además es una excelente aplicación didáctica para el estudio de las
comunicaciones y para la resolución de problemas de red.

SF007 (GNU/GPL)

tcpdump
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 196/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Similar a WireShark pero para línea de comandos. Permite al usuario capturar


y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la
cual el ordenador está conectado. Su versión para Windows se llama
WinDump .

Nevit Dilmen (CC BY-SA)

Etherape
Herramienta de monitoreo de tráfico de red / sniffer de paquetes, desarrollada
para Unix. Es software gratuito de código abierto.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 197/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Wikiax4 (Dominio público)

1
2
3

El uso de todas las herramientas de monitorización muestra demasiada información


porque obtiene todas las tramas que circulan en el medio de transmisión, para poder
extraer solamente la información buscada se debe recurrir al uso de filtros, que
pueden ser:

Filtros de captura.
Filtros de visualización.

Los filtros de captura hacen que se muestren solamente los paquetes que cumplan
con las condiciones establecidas y los de visualización seleccionan la información
deseada después de un análisis efectuado.

Lo más útil es capturar todo el tráfico y después utilizar filtros de visualización para
analizar solamente lo de interés. Los siguientes son ejemplos de filtros en Wireshark:

Capturar todos los paquetes con origen y destino en 192.168.1.1: host 192.168.1.1

Capturar todos los paquetes con puerto origen y destino 21: port 21

Capturar todos los paquetes con puerto origen 21: src port 21

Capturar todos los paquetes con origen en 192.168.1.1: src host 192.168.1.1

Capturar todos los paquetes con destino en 192.168.1.254: dst host 192.168.1.254

Capturar todos los paquetes con origen y destino en www.iesalandalus.org: host www.iesa

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 198/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Analizador de protocolos OpenSource que actualmente está disponible para


plataformas Windows y Unix. Su principal objetivo es el análisis de tráfico, pero
además es una excelente aplicación didáctica para el estudio de las comunicaciones y
para la resolución de problemas de red.

Herramientas para la monitorización de redes y equipos.

Son herramientas que monitorizan una red de ordenadores, buscando componentes


lentos o fallidos y notificando al administrador de la red cualquier anomalía que ocurra
en la misma. Por tanto, son herramientas esenciales para la optimización de la
red,  aportando un amplio abanico de información sobre el uso de los diferentes
recursos de la misma. Ejemplo de este tipo de herramientas son:

◄ ►

Nagios
Sistema OpenSource que supervisa equipos y servicios especificados,
alertando cuando el comportamiento de los mismos no es el deseado.

Linux Screenshots (CC BY)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 199/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

PandoraFMS
Orientado a grandes entornos, permite gestionar miles de sistemas,
pudiéndose emplear en grandes clusters, centros de datos y redes de todo
tipo.

Slerena (CC BY-SA)

Zenoss
Monitoriza almacenamiento, redes, servidores, aplicaciones y servidores
virtuales. Destaca su monitorización sin necesidad de utilizar agentes.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 200/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Encoreopus (CC BY-SA)

Zabbix
Similar a las anteriores pero con algunos problemas de rendimiento cuando se
monitorizan muchos nodos.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 201/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Dminstrel (GNU/GPL)

1
2
3
4

Para saber más


A través de los siguientes enlaces puedes obtener información sobre
comparaciones realizadas para diferentes herramientas de monitorización de
redes:

Comparativa herramientas monitorización de redes

¿Cuando implementar una monitorización de redes? Beneficios

Comparación de sistemas de monitorización de redes

Las mejores herramientas de monitorización de red para distribuciones Linux

Comparativa analizadores tráfico de red y sniffers

Debes conocer
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 202/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

En los siguientes enlaces puedes ver unos vídeos en los que se explica con
detalle el uso de algunas de estas herramientas:

Análisis de capturas de tráfico de red

TCPDump

Wireshark

Para saber más


A continuación puedes obtener más información sobre los analizadores de
red y sobre otras herramientas que se pueden emplear para la monitorización
de red:

Analizadores de red en sistemas de control

Herramientas de monitorización adicionales

Puedes aprender más sobre el uso de analizadores de tráfico de red en los


siguientes enlaces:

Tcpdump

WireShark

Etherape

En el siguiente enlace podrás ver los diferentes parámetros utilizados en los


filtros de Wireshark:

Filtros de Wireshark

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 203/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

4.2.- Detección de intrusos.

Conocer si hay intrusos en el sistema, aunque


no estén causando ningún daño en ese
momento, también es una buena medida
preventiva. Para ello, existen herramientas
diseñadas específicamente para ello. Las
herramientas utilizadas para la detección de
intrusos se denominan también  IDS. El
funcionamiento de estas herramientas se basa
Richard Patterson (CC BY)
en el análisis del tráfico de red y la
comparación con comportamientos estándar
de los intrusos.

Hoy día, una de las más usadas es Snort , de la que se hablará en profundidad en una
unidad posterior. Se trata de una herramienta de software libre, multiplataforma, con
muchos modificadores para sus comandos, por lo que su manejo requiere de un tiempo de
aprendizaje. Ofrece tantas alternativas que es conveniente tener claro que se pretende de
ella y en consecuencia, buscar exclusivamente como poder hacerlo sin pretender dominar
todas sus posibilidades, a menos que sea estrictamente necesario.

Existen diversos tipos de sistemas de detección de intrusos:

Host IDS: También llamados HIDS. Estas herramientas detectan


intrusiones a nivel de hosts.

Network IDS: También llamados NIDS. Estas herramientas detectan


intrusiones en toda la red  por lo que deben tener un dispositivo de red
configurado en modo promiscuo.

IPS (Sistema de Prevención de intrusos): Similar a los NIDS, pero que


llevan a cabo un tipo de control de acceso más cercano a las tecnologías
cortafuegos.

Para saber más


En el siguiente vídeo se puede tener una idea más detallada de los IDS:

Sobreviviendo al exterior con tu IPS

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 204/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Autoevaluación
Para detectar intrusiones en una LAN se debe emplear:
Siempre un HIDS.
Solamente una aplicación HIDS.
Un NIDS si queremos ver lo que pasa en el segmento de red.
Un HIDS con la tarjeta de red en modo promiscuo.

No es correcto. También se puede emplear un NIDS.

Incorrecto. También se puede emplear un NIDS.

Correcto. El NIDS observa todo el tráfico que circula por el segmento de


la red.

No es cierto. Los HIDS se utilizan a nivel local y no necesitan utilizar el


modo promiscuo.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 205/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

4.3.- Comunicaciones inalámbricas.


Hoy en día, las necesidades de comunicación existentes en los entornos industriales y en
los hogares han cambiado mucho, y no solo en lo referente a la velocidad de conexión a
Internet. La gran cantidad de dispositivos (smartphones, tablets, portátiles, consolas,
equipos de sobremesa,...) hacen necesario el uso de conexiones inalámbricas, en las
cuales, la información es transmitida a través de señales de radiofrecuencia que viajan por
el aire.

Entre las ventajas e inconvenientes que proporcionan este tipo de redes, se pueden
destacar:

Movilidad, ya que permite realizar


conexiones desde cualquier punto
siempre que esté dentro del alcance de
la red.
Ventajas
Escalabidad, ya que se pueden añadir
equipos fácilmente.

Flexibilidad,  al tratarse de una red sin


cables.

Menor rendimiento, ya que la velocidad


de conexión es inferior en comparación a
una red cableada.

Seguridad, puesto que cualquier


atacante que se encuentre dentro del
Inconvenientes
alcance de la red puede aprovecharse de
vulnerabilidades presentes para colarse
en la red.

Interferencias y distancia limitada


para la recepción de la señal.

Debes conocer
A continuación puedes ver un vídeo sobre los modos de comunicación
inalámbricos:

Ad Hoc vs Infrastructure

Estándares de transmisión inalámbrica


https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 206/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

El  802.11  es un grupo de estándares creado por la  IEEE  para el desarrollo de las
comunicaciones de redes de área local inalámbricas (WLAN) que operan en el espectro de
2,4 GHz y/o 5 GHz. Algunos estándares de este grupo se describen a continuación:

Nombre. Descripción.

Ancho de banda superior (el rendimiento total máximo es de 54 Mbps


802.11a aunque en la práctica es de 30 Mbps). Ocho canales de radio en la
banda de frecuencia de 5 GHz.

Rendimiento total máximo de 11 Mbps (6 Mbps en la práctica) y tiene


802.11b un alcance de hasta 300 metros en un espacio abierto. Rango de
frecuencia de 2,4 GHz con tres canales de radio disponibles.

Es solamente una versión modificada del estándar 802.1d que permite


802.11c combinar el 802.1d con dispositivos compatibles 802.11 (en el nivel de
enlace de datos).

El estándar 802.11d es un complemento del estándar 802.11 que está


pensado para permitir el uso internacional de las redes 802.11 locales.
802.11d Permite que distintos dispositivos intercambien información en rangos
de frecuencia según lo que se permite en el país de origen del
dispositivo.

Destinado a mejorar la calidad del servicio en el nivel de la capa de


enlace de datos. El objetivo del estándar es definir los requisitos de
802.11e
diferentes paquetes en cuanto al ancho de banda y al retardo de
transmisión para permitir mejores transmisiones de audio y vídeo.

Recomendación para proveedores de puntos de acceso que permite


que los productos sean más compatibles. Utiliza el protocolo IAPP que
802.11f le permite a un usuario itinerante cambiarse claramente de un punto
de acceso a otro mientras está en movimiento sin importar qué marcas
de puntos de acceso se usan en la infraestructura de la red.

Ofrece un ancho de banda elevado (con un rendimiento total máximo


de 54 Mbps pero de 30 Mbps en la práctica) en el rango de frecuencia
802.11g de 2,4 GHz. Es compatible con el estándar anterior, el 802.11b, lo que
significa que los dispositivos que admiten el estándar 802.11g también
pueden funcionar con el 802.11b.

Tiene por objeto unir el estándar 802.11 con el estándar europeo


(HiperLAN 2, de ahí la h de 802.11h) y cumplir con las regulaciones
802.11h
europeas relacionadas con el uso de las frecuencias y el rendimiento
energético.

Está destinado a mejorar la seguridad en la transferencia de datos (al


administrar y distribuir claves, y al implementar el cifrado y la
802.11i autenticación). Se basa en el AES (estándar de cifrado avanzado) y
puede cifrar transmisiones que se ejecutan en las tecnologías 802.11a,
802.11b y 802.11g.

Se elaboró para que pueda usar señales infrarrojas. Este estándar se


802.11Ir
ha vuelto tecnológicamente obsoleto.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 207/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Nombre. Descripción.

El estándar 802.11j es para la regulación japonesa lo que el 802.11h


802.11j
es para la regulación europea.

Surge debido a la gran demanda de las WLAN  (Wireless Local Area


Network). La velocidad real de transmisión podría llegar a los 600
Mbps, llegando a ser hasta 10 veces más rápida que una red bajo los
estándares 802.11a y 802.11g, y cerca de 40 veces más rápida que
802.11n una red bajo el estándar 802.11b.
El alcance de operación de las redes es incluso mayor con la
incorporación de la tecnología MIMO (Multiple Input-Multiple Output),
la cual permite la utilización de varios canales a la vez para enviar y
recibir datos gracias a la incorporación de varias antenas.

Uno de los aspectos a destacar de estos


estándares es la cobertura (range) que
ofrecen, la cual depende en gran medida de:

Los obstáculos encontrados y su


densidad.
La potencia de la señal.
El tipo de receptor o antena que
tengamos.
Interferencias existentes en los
canales.

Otro aspecto importante a tener en cuenta es


que los dispositivos electrónicos WiFi que
interactúan entre sí, pueden seguir diferentes Pionita8 (CC BY-SA)

estándares, y tendrán que ser compatibles


entre ellos para poder comunicarse. Además, algunos dispositivos WiFi son compatibles
con varios de estos estándares. Cuando un punto de acceso permite por ejemplo los
protocolos 802.11b y 802.11g, si se configura correctamente se puede conseguir que se
conecten a él estaciones con dispositivos 802.11b y 802.11g.

Para saber más


En los siguientes enlaces puedes encontrar más información sobre los
estándares de las redes inalámbricas:

Estándares Wifi y velocidades

Evolución de IEEE 802.11

También puedes ver una comparativa entre un punto de acceso y un router


WiFi en el siguiente enlace:

Punto de Acceso Vs Router WiFi

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 208/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Terminología Wifi

En cuanto a la terminología, los términos


más destacables son:

WiFi: Normativa de la WiFi Alliance que


regula las características técnicas y
físicas del equipamiento inalámbrico
diseñado bajo el estándar 802.11 de la
asociación IEEE.

ESSID: Nombre de red asignado para


una red inalámbrica. Este identificador
se propaga de forma continua para que
las estaciones clientes encuentren la
red a la que desean conectarse. En el RedEagle (Dominio público)

caso de un ESSID oculto (para las


redes que no deseen ser públicas) no se propaga abiertamente, aunque sí lo hacen
durante el proceso de autenticación. También se le llama SSID, para el caso de una
red formada por un solo AP.

BSSID: Dirección física de red del AP que provee de servicio a la red inalámbrica.
Suele coincidir con la dirección MAC del adaptador WLAN del AP.

AP: Dispositivo que provee la infraestructura de conexión a la red. Realiza la función


de intermediario en todas las comunicaciones entre los clientes wireless o entre un
cliente wireless (estación de trabajo) y la red cableada.

Station: Cliente o estación de trabajo que solicita la conexión a un punto de acceso.

Beacons: Pequeñas tramas de gestión enviadas por los AP con información pública
acerca de las características del servicio que ofrece.

Probes: Tramas que envía una estación de trabajo a un AP en concreto o a la


dirección broadcast, preguntando por la presencia de una red inalámbrica. El AP que
reciba esta petición de la estación debe responder con un probe de respuesta.

Speed o rate: Velocidad de conexión permitida por el punto de acceso.

Association: También llamado proceso de asociación, se trata de una fase del


proceso de conexión a la red inalámbrica. En dicha fase la estación que desea
conectarse a la red solicita una asociación, de forma que el AP puede aceptarla o
denegarla, dependiendo de credenciales, dirección MAC u otros datos. Este proceso
es el que permite el filtrado de clientes por dirección MAC, donde cada AP maneja un
listado de adaptadores permitidos en cada momento.

Authentication: También llamado proceso de validación. En esta fase del proceso de


conexión, la estación cliente solicita al AP acceso a la red. Dependiendo del tipo de
seguridad provisto por el AP, se produce un intercambio de credenciales o
simplemente se permite el acceso por ser ésta abierta al público. Los tipos más
habituales de autenticación son:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 209/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

OPN: No se produce un intercambio de credenciales entre el cliente y el AP.


Simplemente se permite el acceso. La configuración en este modo permite que
cualquier persona, con un adaptador wifi en modo “monitor” o a la escucha,
pueda captar todo el tráfico de red que esté a su alcance, obteniendo de esta
manera todo tipo de sesiones de usuarios, contraseñas y páginas visitadas. Ni
que decir tiene que este tipo de seguridad o “inseguridad” no es el más
apropiado para las redes .

PSK: Se comparte una contraseña para acceder a la red. Al validarse, se


produce un intercambio de credenciales cifradas.

Power o signal: La cantidad de señal recibida en una transmisión de datos. Menor


power implica más cercanía al AP, y por tanto, más potencia y mejor señal.

Data: Paquetes de datos enviados.

ENC: Tipo de encriptación usada. (OPN, WEP, WPA, WPA2…).

CIPHER: Algoritmo de cifrado empleado. (CCMP, TKIP...).

Channel: Canal de transmisión. Las bandas usadas para la conexión (2.4 y 5 GHz) se
encuentran divididas en múltiples canales, a fin de centrar todos los equipos
conectados a un AP en el mismo canal. Si una misma red utiliza varios puntos de
acceso, éstos se fijarán en distintos canales alejados unos de otros para que no se
produzca solapamiento entre ellos. El uso de canales está regulado por diferentes
legislaciones en todo el mundo. Por ejemplo la banda 2.4GHz se divide en 14 canales,
aunque dependiendo del país se permiten usar un número diferente de ellos. Así en
EEUU solamente se pueden usar los 11 primeros, mientras que en España se
permiten los 13 primeros.

Michael Gauthier (CC BY-SA)

Existen apps, como WifiAnalyzer, WiPry, Network Analyzer Lite ,…, que permiten
comprobar y visualizar y saber en qué canales se están emitiendo las redes WiFi que
están a nuestro alcance.

Como ejemplo de todos estos términos, se muestra a continuación una imagen en la


que se están recibiendo información de las redes inalámbricas al alcance del receptor:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 210/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Andrés Rubio - Elaboración propia (Dominio público)

Para saber más


A continuación puedes ver un vídeo sobre todos estos conceptos:

Asociación WiFi.

Lorem ipsum dolor sit amet...

Wireless: WAP, BSS, BSSID, SSID, ESS, & ESSID

También puedes ver, a través de los siguientes enlaces, una serie vídeos en
los que se comentan las diferencias entre WiFi 2.4 GHz y 5GHz:

Diferencia entre WiFi 2.4 GHz y 5 GHz

WiFi 2.4 GHz Vs WiFi 2.5 GHz

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 211/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

4.3.1.- Seguridad para las comunicaciones


inalámbricas.
Para una red corporativa un punto de acceso
inalámbrico mal configurado es un gran
agujero de seguridad  puesto que
cualquiera que consiga entrar en su radio de
cobertura, podrá aprovecharse de todas sus
vulnerabilidades. Incluso el peligro puede
llegar a través de un visitante ocasional con
un teléfono de última generación.

Con las redes inalámbricas estamos


expuestos a una serie de amenazas o
acciones maliciosas entre las que se pueden
destacar:

Interceptación de datos. Uhernandez (CC BY)

Intrusión en la red.
Interferencia en la red usando inhibidores.
Denegación de servicio, tanto a clientes como a la propia red.
Creación de redes falsas (Fake Access Point).
Uso de ingeniería social para la obtención de credenciales de acceso.

Por tanto, es fundamental la aplicación de medidas de seguridad en las redes inalámbricas.


Algunas pautas básicas a seguir son las siguientes:

Utilizar mecanismos de autenticación red-cliente.

Cifrar la información transmitida.

Para lograr estas dos pautas es necesario configurar de forma correcta y segura los
dispositivos que ofrecen una conexión inalámbrica, aplicando medidas como:

Aplicación de filtrado de direcciones MAC.


Ocultación del SSID.
Cambiar la contraseña por defecto del router.
Mantener el firmware del punto de acceso actualizado.
Desactivar el acceso remoto al router.
Deshabilitar WPS si el router dispone del mismo
Utilización de mecanismos de cifrado como WEP, WPA, WPA2,...No se recomienda el
uso del cifrado puesto que ha sido hackeado.
Uso de servidores de autenticación como RADIUS.
Utilización de un portal cautivo.

El filtrado de direcciones MAC no es del todo una buena solución por varios motivos:

Si la red es grande, hay que editar las direcciones de cada tarjeta y el formato de las
direcciones no es demasiado fácil de manejar. Además, si en la red cambian con
frecuencia los equipos que forman parte de ella o se añaden nuevos, implicaría la
modificación manual de la tabla de direcciones.

Las direcciones MAC viajan sin encriptar por la red, por lo que un atacante con
conocimientos suficientes tendría la posibilidad de clonar dicha dirección. Ya se han

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 212/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

visto en los apartados anteriores como se pueden llevar a cabo ataques de


suplantación de identidad.

Sin embargo, no porque no sea una buena solución no sería recomendable su aplicación.
Algo similar ocurre con la ocultación del SSID. Aunque se recomienda hacerlo, existen
formas de lograr averiguarla desautenticando a un usuario conectado a una red Wifi para
que vuelva a conectarse, y en la fase de asociación, tomar la trama transmitida para extraer
de la misma el SSID del punto de acceso.

Sí que son efectivas las restantes medidas.

Cambiar la contraseña por defecto del router  es lo primero que debes hacer. El
hipotético intruso querrá abrir puertos en el router para usar su programa P2P favorito
u ocultar sus movimientos. 

Las vulnerabilidades de cada punto de acceso se publican periódicamente en Internet


y por lo tanto, se debe mantener actualizado el mismo o cambiarlo si se tienen fuertes
sospechas de que puede ser fácilmente atacable.

El 99 por ciento de los usuarios domésticos no necesitan acceder al router desde


cualquier punto con acceso a Internet. Por tanto, teniendo presente la regla de
mínima exposición , hay que denegar el acceso desde la WAN.

El protocolo WPS, que permite conectar los dispositivos utilizando un PIN en lugar de
la clave WPA, es vulnerable. Se ha demostrado que un atacante podría obtener el
PIN. Por este motivo, se recomienda tenerlo deshabilitado.

Mecanismo de encriptación WEP

El algoritmo WEP fue el primero en encriptar las conexiones inalámbricas allá por el año
1999, logrando que no fuese posible la conexión a la red inalámbrica sin la utilización de
una clave. Hoy en día se considera un método no seguro porque existen muchas
técnicas para romper su protección. El principal problema, reside en que la clave secreta
utilizada se graba en el dispositivo de interconexión y permanece estática hasta que
considere cambiarla. Un intruso puede utilizar aplicaciones diseñadas para realizar ataques
de fuerza bruta y conseguir descifrarla.

Bilguunjojo (CC BY-SA)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 213/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Bilguunjojo (CC BY-SA)

Bilguunjojo (CC BY-SA)

El vector IV (24 bits) se envía siempre en plano, por lo que pueden ser captados por
cualquiera. Además, suelen incrementarse de forma lineal. Esto provoca que recolectando
un número alto de IVs se pueden capturar dos paquetes que estén cifrados con el mismo IV
y la misma clave de cifrado (clave WEP) en un tiempo aceptable. A este ataque se le
conoce como ataque estadístico . 

En definitiva, debido al uso de la clave estática, se pueden realizar ataques de observación


y gracias a las estadísticas conseguir sacar el patrón de la clave.

Hay otro tipo de ataque que se puede llevar a cabo, y es que la autenticación se realiza del
AP al cliente, pero no del cliente al AP, por lo que el cliente no sabe realmente si se conecta
al AP que dice ser. Por esta razón existen los Rogue AP , o MitM a través de un AP.

Para saber más


En los siguientes enlaces puedes encontrar más información sobre WPS:

¿Qué es WPS?

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 214/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Conexión a una red Wifi con WPS

¿Para qué sirve WPS?

También puedes acceder al siguiente enlace para saber un poco más sobre la
seguridad WiFi:

Seguridad WiFi: WEP, WPA, WPA2, WPA3, WPS

Debes conocer
Como se ha mencionado con
anterioridad, una de las
exposiciones de las redes Wifi
es que se monten falsos
puntos de accesos para
proceder, entre otras cosas, al
robo de información. Por tal
motivo, es importante que
sepas como funcionan para
aprender como detectarlos.

En la imagen se puede
observar un típico escenario
de ejemplo en los que el Zhanyong Tang y otros (CC BY)
atacante puede lanzar
fácilmente un ataque Evil-Twin para robar información usando un AP falso.
Este tipo de ataque generalmente ocurre cuando un pirata informático
construye un punto de acceso simulado (pero funcional) justo en el lugar
donde debería haber un punto de acceso original (legítimo). La razón por la
que esto funciona bien es que, para un ataque bien orquestado, el punto de
acceso ilegítimo tiene señales más fuertes que la legítima y, por lo tanto, los
usuarios desprevenidos pueden iniciar sesión en esta conexión simulada y
luego usar Internet mientras comparten todos sus preciosos datos, desde las
identificaciones y contraseñas de sus usuarios hasta la información de la
tarjeta de crédito / débito.

Puedes obtener más información al respecto accediendo a los siguientes


enlaces:

Montando un Rogue AP con Kali

Vídeo sobre el montaje de un falso AP

También puedes ver formas de detectarlos en los siguientes enlaces:

¿Qué es un Rogue AP y cómo protegerse?

Detección pasiva de un falso AP.

Rogue Access Point y Evil Twin.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 215/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Mecanismo de encriptación WPA y WPA2

Para subsanar las debilidades de WEP surgió


WPA. Básicamente se basa en cambiar la
clave compartida entre el punto de acceso y el
cliente cada cierto tiempo para evitar ataques
que permitan revelar la clave por fuerza bruta.
En cualquiera de los casos, ni tan siquiera
utilizar WPA tendrá la red totalmente a salvo.

El proceso de encriptación es similar al


realizado en WEP, pero con varias diferencias.
GreenFog (CC BY-SA) En este caso se utilizan Vectores IV de 48
bits, lo que reduce significativamente la
reutilización y por tanto la posibilidad de que un hacker recoja suficiente información para
romper la encriptación. Por otro lado y a diferencia de WEP, WPA automáticamente genera
nuevas llaves de encriptación únicas para cada uno de los clientes lo que evita que la
misma clave se utilice durante semanas, meses o incluso años, como pasaba con WEP.

Tanto WPA como WPA2 son protocolos diseñados para trabajar con o sin un servidor de
autenticación. En el caso de no usar un servidor, todas las estaciones utilizan una clave
compartida PSK. A este modo se le conoce como WPA-Personal. Cuando se emplea un
servidor de autenticación IEEE 802.1x se denomina WPA-Corportativo.

Ambos estándares han centrado todo su esfuerzo en asegurar el proceso de


autenticación y el cifrado de las comunicaciones.

Para la fase de autenticación emplean:

1.- WPA Empresarial  

Requiere la utilización de un servidor RADIUS independiente para gestionar la


autenticación de los usuarios a través de un nombre de usuario y contraseña.

2.- WPA Personal  

Es más apropiado para pequeñas empresas y hogares porque no requiere de la


utilización de un servidor RADIUS.  Utiliza un método de autenticación que requiere
compartir una clave entre todas las estaciones de la red (PSK). En este caso, se crea
una contraseña de entre 8 y 63 caracteres en el punto de acceso que debe
introducirse en la configuración de las estaciones inalámbricas que quieran utilizar la
red.

Para el cifrado de la comunicaciones utilizan diferentes algoritmos:

WPA basa el cifrado de las comunicaciones en el uso del algoritmo TKIP  (se
basa en RC4 que es el empleado por WEP)

Es un protocolo que partiendo de una clave (no es la precompartida) compartida


entre el punto de acceso y todas las estaciones, genera nuevas claves diferentes por
https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 216/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

cada cliente y renovables cada cierto tiempo. Para ello mezcla la clave original con la
dirección MAC y con un vector de inicialización. De esta forma cada estación utiliza
una clave independiente para encriptar la comunicación.

WPA2 utiliza CCMP basado en AES.

Es un algoritmo más robusto y complejo que TKIP. Es preferible utilizar AES que TKIP,
por ser este más avanzado y seguro. Como inconveniente decir que requiere un 
hardware más potente.

La rotación de claves introducida por WPA fue un paso importante para disuadir a
los  hackers de intentar obtener la clave mediante el análisis de la captura de tramas
de tráfico de equipos ya conectados al AP. Por tal motivo, los hackers han concentrado su
trabajo en la clave PSK de la fase de asociación, utilizando fuerza bruta de dos formas:

1.- Probando contraseñas una tras otra.

Las contraseñas serían todas las combinaciones posibles de letras y números, o una


selección mediante un diccionario. Por desgracia,  los AP no suelen tener un control
del número de intentos fallidos, como sí ocurre en otros sistemas de autenticación. Sin
embargo, hoy día los más actuales sí lo tienen.

2.- Capturando las tramas de inicio de conexión de un cliente.

De ese modo podrían aplicar un ataque de diccionario sobre la información de esas


tramas. Además, si no se quiere esperar a que aparezca un cliente nuevo, siempre se
puede forzar una desautenticación de alguno de los ya conectado para que vuelva a
conectarse.

Por estos motivos, son especialmente sensibles los AP que incluyen contraseñas cortas y
contraseñas formadas por palabras o combinaciones de estas.

Para saber más


A través de los siguientes enlaces podrás obtener unas guías sobre redes
Wifi: 

Guía de Seguridad en Redes Wifi

Ciberseguridad en las comunicaciones inalámbricas en entornos industriales

En los siguientes enlaces puedes encontrar más información sobre WPA y


WPA2:

Seguridad WiFi, ¿WPA2-AES, WPA2-TKIP o ambos?

¿Qué es WPA-PSK-TKIP-CCMP?

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 217/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Debes conocer
Todos estos mecanismos vistos con anterioridad son la base de las
comunicaciones inalámbricas actuales. Por tal motivo es importante saber
otros conceptos relacionados y la evolución actual hacia WPA3.

4 Way Handshake

Seguridad móvil con WPA3

WPA3

No menos importante es saber como actualmente es posible crackear WPA2.


A continuación se explican algunas pruebas de concepto relacionadas con
ello:

Ataque krack a redes WPA2

Vector de ataque a WPA2

Vulnerabilidad WPA2

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 218/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

4.3.2.- Servidores de autenticación. Portal


Cautivo.
El principal inconveniente para todos los sistemas de seguridad inalámbricos anteriores es
que es necesario que todas las estaciones de trabajo conozcan la contraseña. Esto tiene el
riesgo de que dicha contraseña caiga en manos no deseadas. Para solucionar este
problema se usa la WPA Empresarial.  La estructura necesaria para poder utilizar la
arquitectura WPA empresarial es la que se muestra en la figura.

Arr2036 (GNU/GPL)

Según especifica el estándar 8012.1x se definen tres elementos:

1.- El peticionario (Supplicant): Es la estación de trabajo que está intentando acceder


a la red.
2.- El autenticador o autentificador  (Authenticator): Es el elemento encargado de
permitir el acceso o no a un peticionario. En nuestro caso podría ser el AP.
3.- El servidor de autenticación  (Authentication Server): Es el encargado de
comprobar la identidad del peticionario y permitir o negar el acceso, informando al
autenticador.

Utilizando WPA Empresarial se consigue aumentar la seguridad y la flexibilidad por diversos


motivos:

Se puede modificar la contraseña de un usuario o cancelarlo sin que esto afecte al


resto. Esto supone una notable mejora con respecto a WPA-PSK en redes con
muchos usuarios.

Se obliga a los usuarios a autenticarse antes de conectarse a la red.

Hasta que no se produzca la autenticación, no se permitirá otro tipo de conexión que


no sea la que se pueda dar entre solicitante, autenticador y servidor de autenticación.
Una vez concedido el acceso, el cliente podrá acceder a los servicios de la red a
través del autenticador.

Se puede llevar un registro de quién entra a la red en cada momento.


https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 219/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

El esquema de funcionamiento de WPA


empresarial es el siguiente:

Dentro de la LAN de la empresa debe


haber un servidor que ejecuta un
software RADIUS. En este servidor hay
una base de datos de usuarios y
contraseñas, y se admiten preguntas
sobre ellos.

Los AP de la empresa tienen conexión Charles Vercauteren (CC BY-SA)

con ese servidor y ejecutan un software


cliente RADIUS. Este software es capaz de formular las  preguntas y analizar las
respuestas. Para ello hay que configurar el AP indicando la dirección IP y el puerto por
el que escucha el servidor RADIUS.

El servidor RADIUS tiene la lista de las direcciones  IP  de los AP que le pueden
preguntar. Además de estar en la lista, el AP necesita que se le configure un secreto
compartido con el servidor, es decir, una contraseña definida en el servidor ya que una
dirección IP puede ser fácilmente suplantada.

Cuando un cliente (peticionario) quiere asociarse a un AP, éste le solicita usuario y


contraseña. Una vez proporcionada, no  la comprueba él mismo sino que formula la
pregunta al servidor RADIUS utilizando la contraseña configurada previamente (el
secreto compartido) para que la información viaje cifrada. Dependiendo de la
respuesta, el AP acepta la asociación o no.

Para llevar a cabo la autenticación se puede emplear diversos mecanismos soportados por
RADIUS:

Autenticación de sistema. Muy presente en las distribuciones Linux mediante el uso


del fichero /etc/passwd.

LDAP: Implementa un servicio de directorio empleado como base de datos que


contiene nombres de usuarios y contraseñas.

PAP:  Protocolo para autenticar un usuario contra un servidor de acceso remoto o


contra un ISP. Transmite las contraseñas sin cifrar, por lo que se considera inseguro.
Su versión segura es CHAP. 

Kerberos: Protocolo de autenticación creado por el MIT que permite a dos


dispositivos en una red insegura demostrar su identidad mutuamente de manera
segura.

EAP:  Framework de autenticación que se puede emplear tanto en redes inalámbricas


como cableadas, aunque es más frecuente su uso en las primeras. Actualmente hay
alrededor de 40 diferentes métodos definidos  para negociar el mecanismo de
autenticación a usar con EAP. En muchas ocasiones, el método usado para la
autenticación es EAP protegido (PEAP), ya que los suplicantes, equipos GNU/Linux o
Windows, o móviles Android soportan PEAP con MSCHAPv2.

En las siguientes imágenes se puede apreciar el flujo básico de mensajes usando los
métodos EAP y EAP-TLS:

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 220/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Felix Bauer (CC BY-SA)

CharlesVercauteren (CC BY-SA)

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 221/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Charles Vercauteren (CC BY-SA)

Debes conocer
Puedes encontrar información más detallada sobre 802.1x y sobre PEAP en
los siguientes enlaces:

¿Qué es 802.1x?

EAP-PEAP-MSCHAPv2: ¿Por qué usarlo? Parte I

EAP-PEAP-MSCHAPv2: ¿Por qué usarlo? Parte II

Puedes ver un ejemplo de uso de todo lo explicado en los siguientes enlaces


donde se lleva a la práctica  WPA/WPA2 Enterprise, usando FreeRadius
como Servidor de Autenticación:

Freeradius como servidor de autenticación parte I

Freeradius como servidor de autenticación parte II

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 222/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Portal Cautivo

Otro mecanismo existente para mejorar las


prestaciones en seguridad de las soluciones
anteriores es el conocido como  portal
cautivo. Con este mecanismo se fuerza a
los usuarios a utilizar una determinada
página (página de login) para poder hacer
uso de la red y tener acceso a Internet.
Existen muchas soluciones, tanto software
como hardware, para conseguir esto.

Por tanto, un portal cautivo es un portal de


autenticación que va a requerir un token o
unas credenciales para que los usuarios
pueden tener acceso a Internet. De esta AlexEng (CC BY-SA)
forma se logra controlar las conexiones de
los usuarios ya que cualquier usuario que
quiera conectarse a Internet usando la red Wifi, cuando trate de acceder a un sitio web será
automáticamente redirigido a la página de autenticación. Una vez autenticado
correctamente, ya podrá  navegar por Internet.

A la hora de crear un portal cautivo se suelen ofrecer diferentes opciones como:

Número máximo de conexiones concurrentes.


Tiempo de inactividad tras la cual el usuario será desconectado automáticamente.
Tiempo máximo de conexión. Superado este tiempo el usuario será desconectado de
forma automática, esté o no inactivo.
Mostrar una ventana de logout para que, una vez el usuario se haya autenticado y tras
finalizar su navegación por Internet, pueda cerrar la sesión.
Redireccionar a una web concreta una vez que el usuario se haya autenticado.
Filtro de direcciones MAC.
Asignación de un ancho de banda para cada usuario, tanto para la subida como para
las descargas.
Método de autenticación que se desea emplear:
No requerir autenticación.
Autenticación con usuario/contraseña.
Autenticación mediante el uso de vouchers (llaves de acceso o tokens). En este
caso, parar tener conexión a Internet es suficiente con introducir un código
(voucher) en la página de login. Este código ha sido generado por el
administrador de sistemas previamente.
Autenticación RADIUS.
Forzar a que el login siempre sea usando HTTPS.
Creación de una página para el login.
Creación de una página para el logout.
Creación de una página de error.

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 223/224
28/6/22, 12:50 SAD02.- Implantación de mecanismos de seguridad activa

Debes conocer
En el siguiente enlace podrás aprender más cosas sobre el concepto de
portal cautivo en pfSense:

Configuración de un portal cautivo en pfsense

Para saber más


En el siguiente enlace puedes encontrar detalle sobre como llevar a cabo una
auditoría  de seguridad inalámbrica, así como las herramientas que puedes
emplear para ello:

Auditoria de Comunicaciones Inalámbricas

https://www.adistanciafparagon.es/pluginfile.php/9340/mod_resource/content/3/SAD02_v1/ArchivosUnidad/Moodle/SAD02_completa_offline… 224/224

También podría gustarte