Análisis de Incidentes con WinDump
Javier Romero, CISSP GCIA GCSC
JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 2
JaCkCastOficiales de Seguridad
Quienes somos
JaCkSecurity.com S.A.C. empresa peruana que nace con la misión de:
Elevar el conocimiento de los especialistas,
la conciencia de los usuarios,y la seguridad de la
empresas. Apuesta por esta misión desde mayo 2004. Cuenta con un equipo de asociados abocados a la
seguridad en diferentes ramos.
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 3
JaCkCastOficiales de Seguridad
Agenda
Conceptos de la herramienta Prestaciones y deficiencias Lectura estándar Lectura ampliada Empleo de WinDump en el análisis de incidentes
de seguridad
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 4
JaCkCastOficiales de Seguridad
Descargo legal
Si durante la charla quieres discutirme de: ¿Tu fe o mi fe? ¿Microsoft o Linux? ¿Tu partido o el mío? ¿la U o la Alianza? ¿tu IPS o mi IDS? Te invito a:
“IPS Comparo article uses the wrong criteria” http://www.infosyssec.com/forum/viewtopic.php?t=2225
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 5
JaCkCastOficiales de Seguridad
Conceptos de la herramienta
¿IPS?…quieres más?
¿Tienes un IDS? ¿Te reportó una intrusión en un sistema seguro?
Alto. Se supone que esto no debió pasar: ¿+preguntas?:
¿Lo que me dice mi IDS realmente ocurrió? ¿Cómo puedo confiar en ésta información ante un juez?
Conclusión: ¿para qué sirve mi IDS? Pero ¿qué herramienta usaré para validar estos datos?
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 6
JaCkCastOficiales de Seguridad
Windump
No tienes pierde. Analizas tráfico a nivel de paquetes.
No es un IDS, no detecta en firmas, aunque con él puedes hacer firmas.
Te permite afinar tu IDS cada vez que te:Arroja: Positivos falsosOculta: Negativos verdaderos
Sumamente portátil:Parte de la navaja suiza de un infosec.
Qué hace y qué no
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 8
JaCkCastOficiales de Seguridad
Prestaciones
Nos provee un registro histórico de la actividad en nuestras redes
Te permite hacer tus propias “interpretaciones” Funciona en Linux y Windows, es portable con
Ethereal a otros decodificadores. Extrema fidelidad de lo que muestra. Sin ponerlas a prueba primero
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 9
JaCkCastOficiales de Seguridad
¿Vulnerabilidades?
Como todo. Oficialmente: Lawrence Berkeley Lab (TCPDUMP) Windump, italianos en “Politecnico di Torino” Debemos cambiar nuestro WinPcaps y nuestros
WinDump (de cuando en cuando)
Lectura estándar
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 11
JaCkCastOficiales de Seguridad
Windump –i(Interfase)
06:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 6428206:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 584006:08:24.954393 IP javier.1411 > router.80: . ack 232 win 6428206:08:24.954898 IP router.80 > javier.1411: . ack 270 win 584006:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 4006:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40
Con el uso de opciones:
-Más expresivo
-Menos expresivo
-Por defecto tiene una salida estándar.
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 12
JaCkCastOficiales de Seguridad
Salida estándar
06:08:24.365424 IP javier > router: ICMP echo request, id 1024, seq 33287, length 4006:08:24.366012 IP router > javier: ICMP echo reply, id 1024, seq 33287, length 4006:08:24.949889 IP javier.1411 > router.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK>06:08:24.950568 IP router.80 > javier.1411: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK>06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 6451206:08:24.950730 IP javier.1411 > router.80: P 1:269(268) ack 1 win 6451206:08:24.951664 IP router.80 > javier.1411: . ack 269 win 584006:08:24.954096 IP router.80 > javier.1411: P 1:231(230) ack 269 win 584006:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 6428206:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 584006:08:24.954393 IP javier.1411 > router.80: . ack 232 win 6428206:08:24.954898 IP router.80 > javier.1411: . ack 270 win 584006:08:25.162188 IP javier > vpn: GREv1, call 60877, seq 1303, length 100:compressed PPP data06:08:25.274701 IP vpn > javier: GREv1, call 512, ack 1303, no-payload, length 1206:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 4006:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 13
JaCkCastOficiales de Seguridad
Cómo trabaja por defecto
Interfases, ¿con cual de ellas trabajo? Windump –D 1.\Device\NPF_{7F265EEC-73D9-4F5A-9F74-B2555444FD44} (VMware Virtual Ethernet
Adapter) 2.\Device\NPF_{63CEF0CE-1E2E-403A-B23C-A75D94E924A0} (VMware Virtual Ethernet
Adapter) 3.\Device\NPF_{944C84B6-04ED-444A-A3D3-532303EA5EC2} (Intel(R) PRO/100 VE
Network Connection (Microsoft's Packet Scheduler) ) 4.\Device\NPF_{C27704A6-5B0B-467A-A82F-14A4DC597115} (Atheros AR5001X+
Wireless Network Adapter (Microsoft's Packet Scheduler) )
Existen redes con mucho ruido 06:07:02.922980 802.1d config 8000.00:50:e2:ba:89:02.801e
root 8000.00:50:e2:ba:89:02 pathcost 0 age 0 max 20 hello 2 fdelay 15
Windump –i(interfase) –n ether proto \ip 06:08:24.950590 IP javier.jacksecurity.1411 > router.
jacksecurity.80: . ack 1 win 64512
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 14
JaCkCastOficiales de Seguridad
Algunos comandos populares
Por defecto intenta resolver las direcciones IP 06:08:24.950590 IP javier.jacksecurity.1411 > router.
jacksecurity.80: . ack 1 win 64512
Windump –n 06:08:24.950590 IP 192.168.1.34.1411 > 192.168.1.1.80: . ack
1 win 64512
A veces no siempre sabemos nuestras IP: Windump –N 06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 64512
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 15
JaCkCastOficiales de Seguridad
El orden de los comandos
Windump tiene sus formas Windump –i2 –n –N –r c:\miprimeracaptura host javier port 23
Primero, la interfase Segundo, los parámetros de visualización/captura Tercero, los comandos lectura/escritura Cuarto, los filtros
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 16
JaCkCastOficiales de Seguridad
Repaso de protocolos
UDP, orientado a la desconexión.Sin estado de paquetesEj.: syslog(514), tftp(69), dns(53)
TCP, orientado a la conexiónTiene algo llamado: Three Way-HanshakingEj.: HTTP (80), smtp(25), telnet(23), NetBios-Session(139)
ICMP, no es sólo ping, existen diversos Tipos/Códigos (RFC 792)También, orientado a la desconexión.Ej.: PING (TYPE: 0 es echo-reply y 8 es echo)
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 17
JaCkCastOficiales de Seguridad
¿Cuándo sé que ha habido una comunicación entre dos nodos?
TCP, Three Way-Hanshaking
Saludo 3 vías
Syn (are you listen in port #?)
Ack (yes, I am)
Syn/Ack (Let’s talk)
Ack, Psh, Fin, Syn
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 18
JaCkCastOficiales de Seguridad
¿Cuándo sé que ha habido una comunicación entre dos nodos?
TCP, no hay comunicación
Resets
Syn (are you listen in port #?)
Rst (Don’t disturb me)
Otras formas: la guerra del silencio (firewall/filtros
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 19
JaCkCastOficiales de Seguridad
Proceso de Responder a incidente
1. Prepararse/mejorar2. Proteger
infraestructura3. Detectar eventos4. Discriminar/
seleccionar eventos5. Respender
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 20
JaCkCastOficiales de Seguridad
Veamos un ejemplo:
Una red cuyo firewall permitía solamente HTTP y SMTP entrante hacia dos host.Tenía sólo dos host importantes:
www.habiaunavez.commail.habiaunavez.com
Sin embargo, un día vio en Zone-H, que su seguridad había sido burlada.
Defacement…
¿Qué pasó?
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 21
JaCkCastOficiales de Seguridad
Recuperando evidencia.
Revisando sus capturas halló:
Luego revisando su firewall, encontró que había dejado HTTP abierto hacia su host de Correo.
16:18:24.359889 IP foreing.com.1024 > mail.habiaunavez.com.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK>
16:18:24.360568 IP mail.habiaunavez.com.80 > foreing.com.1024: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK>
16:18:25.000590 IP foreing.com.1024 > mail.habiaunavez.com.80: . ack 1 win 64512
...(todo lo demás es historia…)
Lectura Ampliada
Errores de la Gestión de la Seguridad
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 23
JaCkCastOficiales de Seguridad
Vistazo veloz
Windump -x
4500 005c c290 0000 0501 8fa7 c0a8 0122c685 db19 0800 d5e7 0400 1e18 0000 00000000 0000 0000 0000 0000 0000 0000 00000000 0000 0000 0000 0000 0000 0000 00000000 0000 0000 0000 0000 0000 0000 00000000
Incidente
Ver archivo adjunto con formato .cap
…conocimiento, conciencia, y consultoría
Derechos Reservados © sobre todos los textos de esta presentación.Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.
JaCkSecurity.com® es una marca registrada.
Descargo Legal
Top Related