DUOCUC ESCUELA DE INFORMATICA Y TELECOMUNICACIONES

TALLER N 1

TALLER DE SEGURIDAD EN REDES TSR6501

Profesor:JAIME OMAR ALVAREZ

Integrantes: HORACIO RIQUELME

Seccin: 6 Fecha: 26/09/2011

1.- NMAP es uno de las herramientas de rastreo de puertos ms utilizados, adicionalmente NMAP nos permite detectar en muchas ocasiones con que sistemas operativos se interacta a travs de las firmas particulares de estos sobre TCP (TCP fingerprint). a) Qu opciones de uso de NMAP permiten obtener informacin de los sistemas operativos de nuestra red? R: nmap -sT O 192.168.1.0/24 b) Qu informacin se provee acerca de las plataformas descubiertas?R: Nmap scan report for 10.31.12.1 Host is up (0.0042s latency). All 1000 scanned ports on 10.31.12.1 are filtered MAC Address: A4:0C:C3:FA:A1:46 (Cisco Systems) Too many fingerprints match this host to give specific OS details Network Distance: 1 hop Nmap scan report for 10.31.12.15 Host is up (0.10s latency). All 1000 scanned ports on 10.31.12.15 are filtered MAC Address: B4:74:9F:6D:D5:49 (Unknown) Too many fingerprints match this host to give specific OS details Network Distance: 1 hop Nmap scan report for 10.31.12.16 Host is up (0.031s latency). Not shown: 979 closed ports PORT STATE SERVICE 407/tcp filtered timbuktu 563/tcp filtered snews 1011/tcp filtered unknown 1042/tcp filtered afrog 1074/tcp filtered warmspotMgmt 1216/tcp filtered etebac5 1271/tcp filtered excw 1300/tcp filtered h323hostcallsc 1717/tcp filtered fj-hdnet 1840/tcp filtered netopia-vo2 2007/tcp filtered dectalk 3880/tcp filtered igrs 5963/tcp filtered indy 6788/tcp filtered smc-http 8081/tcp filtered blackice-icecap 9009/tcp filtered pichat 9207/tcp filtered wap-vcal-s

12174/tcp filtered unknown 42510/tcp filtered caerpc 49160/tcp filtered unknown 50636/tcp filtered unknown MAC Address: 24:21:AB:FC:9E:75 (Sony Ericsson Mobile Communications) Too many fingerprints match this host to give specific OS details Network Distance: 1 hop Nmap scan report for 10.31.12.18 Host is up (0.013s latency). Not shown: 999 filtered ports PORT STATE SERVICE 2869/tcp open icslap MAC Address: 00:26:5E:66:03:52 (Hon Hai Precision Ind. Co.) Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running: Microsoft Windows 7|Vista|2008 OS details: Microsoft Windows 7 Professional, Microsoft Windows Vista SP0 or SP1, Server 2008 SP1, or Windows 7 Network Distance: 1 hop Nmap scan report for 10.31.12.20 Host is up (0.010s latency). All 1000 scanned ports on 10.31.12.20 are closed MAC Address: F8:1E:DF:E7:9A:D0 (Apple) Device type: general purpose|phone|media device|specialized Running: Apple iOS 4.X, Apple Mac OS X 10.6.X|10.5.X, Apple iPhone OS 1.X|2.X|3.X, VMware ESX Server 3.X Too many fingerprints match this host to give specific OS details Network Distance: 1 hop Nmap scan report for 10.31.12.28 Host is up (0.0070s latency). All 1000 scanned ports on 10.31.12.28 are closed MAC Address: 94:63:D1:31:20:FE (Unknown) Too many fingerprints match this host to give specific OS details Network Distance: 1 hop Nmap scan report for 10.31.12.37 Host is up (0.059s latency). All 1000 scanned ports on 10.31.12.37 are filtered MAC Address: F4:0B:93:42:6E:E5 (Research In Motion) Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running: Apple Mac OS X 10.5.X OS details: Apple Mac OS X 10.5.6 (Leopard) (Darwin 9.6.0)

Network Distance: 1 hop Nmap scan report for 10.31.12.46 Host is up (0.12s latency). All 1000 scanned ports on 10.31.12.46 are filtered MAC Address: 54:9B:12:1D:96:D6 (Unknown) Too many fingerprints match this host to give specific OS details Network Distance: 1 hop OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 50 IP addresses (8 hosts up) scanned in 253.64 seconds

2.- El CIDF o Marco de Deteccin de Intrusos Comn fue un primer intento de estandarizacin de la arquitectura de un IDS: a) Cules son los tipos bsicos de equipos que contempla el CIDF como parte de la arquitectura de un IDS?.

-

-

Cajas C, o generadores de eventos, son los sensores. Su trabajo es detectar eventos y lanzar informes Cajas A, reciben informes y realizan anlisis. Pueden ofrecer una prescripcin y un curso de accin recomendado Cajas D, son componentes de bases de datos. Pueden determinar si se ha visto antes una direccin IP o un ataque por medio de correlacin y pueden realiza anlisis de pistas Cajas R, o equipos de respuesta, pueden tomar el resultado de los equipos E, A y D y responden a los eventos.

b) Construya y explique brevemente un diagrama que muestre los bloques de la arquitectura CIDF.

c) Qu es el CISL o Lenguaje de Especificacin de Intrusiones Comn y qu relacin tiene con el CIDF?

El CISL aparece de la necesidad de unir los cuatro tipos de equipos en CIDF -informacin de eventos en bruto. Auditoria de registros y trfico de red. Sera el encargado de unir cajas C con cajas A -resultado de anlisis. Descripciones de las anomalas del sistema y de los ataques detectados. Uniria cajas a con D -prescripciones de respuestas. Detener determinadas actividades o modificar parmetros de seguridad de componentes. Encargado de la unin entre cajas A y R. -CISL es un lenguaje bastante complicado de sintaxis parecida a LISP que no llego a ser parte en la comunidad de seguridad

d) Qu es y para qu sirve CVE?Common Vulnerabilities and Exposures (Vulnerabilidades y amenaza comn) o CVE es un cdigo asignado a una vulnerabilidad que le permite ser identificada de forma univoca. Este cdigo fue creado por MITRE Corporation y permite a un usuario conocer de una forma ms objetiva una vulnerabilidad en un programa o sistema. El cdigo identificador es del modo CVE ao - nmero. El nmero que aparece junto a la vulnerabilidad suele asignarse en bloque para un producto y por tanto slo es una referencia.

3.- Cules son los problemas inherentes al uso de software IDS? (indicacin: falsos positivos y falsos negativos)Intrusivas pero no anmalas: denominados Falsos Negativos (el sistema errneamente indica ausencia de intrusin). En este caso la actividad es intrusiva pero como no es anmala no es detectada. No son deseables, porque dan una falsa sensacin de seguridad del sistema. No intrusivas pero anmalas: denominados Falsos Positivos (el sistema errneamente indica la existencia de intrusin). En este caso la actividad es no intrusiva, pero como es anmala el sistema "decide" que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarn los avisos del sistema, incluso cuando sean acertados.

4.- Cmo puedo ver con tcpdump los archivos de log creados por SNORT? R: tcpdump -vvv -w /var/log/snort.log.1620352302

Cmo puedo ver con Wireshark los archivos de log creados con tcpdump y viceversa? R: CAPTURA DE PAQUETES = tcpdump i eth0 w tcpdum.log SE INGRESA A WIRESHARK

-

Se busca la captura en Wireshark la cual obtuvimos con tcpdump atreves de la red.

Al ingresar las capturas estas las muestra atreves de wireshark .

Viceversa:

5.- Determinar reglas (de tipo SNORT) que permitan detectar escaneos de puertos de tipo UDP (realizados con NMAP), implementar dichas reglas y probarlas usando SNORT.

6.- Usando el escaneo ms completo que se puede implementar en NESSUS analice dos equipos: una mquina Windows y una mquina RHEL, y conteste las siguientes preguntas: a) Entregar una tabla resumen de las vulnerabilidades encontradas en ambas mquinas.

b) Para dos vulnerabilidades de riesgo alto indicar el impacto que tiene el que el equipo permanezca expuesto a la vulnerabilidad (indicacin: analizar cmo afecta la vulnerabilidad a los elementos de la triada de la seguridad) c) Para dos vulnerabilidades de mayor riesgo indique las recomendaciones o medidas de mitigacin que se deben aplicar.