Archivo del sitio

Aprendiendo analizar tráfico de red ( continuación )

El último post finalizaba de la siguiente manera:

Mother … treat your mother right … que bueno Mister “T” si os fijais en la imagen del fondo del escenario de las chicas parece el símbolo de cisco, justo antes de que salga a cantar el BECERRO, menuda voz.

Si Mister “T” llevaba esas cadenas de oro en el cuello en protesta por la esclavitud africana, pero a ver si preguntais cosas de informática no de Mister T 🙂 bueno AL LIO.

Ahora os toca abrir la imagen principal del anterior post y observar a vosotros las tramas 10 y 11

Lo único que vereis diferente es el puerto destino siendo el 443 y observando nos damos cuenta que es una petición a un servidor https:

Nuestro esquema de red quedaría así:

26-06-2013 18-19-35

Y así finalizamos una clase de analisis de red, sabiendo del post anterior que además un equipo tiene instalado el dropbox.

Ahora le toca el turno a nuestro patrocinador, anuncios:

Anuncios

Modificar metadatos a los documentos

Para los que sabéis que son los metadatos y como verlos en los documentos os dejo unas aplicaciones para cambiarlos:

Mira las fechas de creación, modificación y último acceso de un documento por ejemplo con esta aplicación online:

http://www.informatica64.com/foca/

Ahora modifícalos y vuelve a comprobarlo. Usa para ello estos programas http://www.forensicswiki.org/wiki/Timestomp para unos y http://es.download.cnet.com/File-Date-Touch/3000-18511_4-75629826.html para otros.

captura

Y hacer buen uso de ello.

Borrar la cache de navegacion del java – Caché de Flash y Java.

A veces borramos el histórico de navegación pero nos olvidamos del java y nos pueden encontrar inforamación valiosísima, por el ejemplo el profesor en clase puede saber que he estado jugando al Jordi Tarres en versión flash 🙂 (ojala lo hubiera) cuando debería haber estado atendiendo.

La caché de los navegadores web se limita a las páginas web y a las imágenes. Muchas aplicaciones web programadas con Flash y Java no se ven afectadas por la limpieza de caché clásica, almacenan archivos en las caché de los plugins.

CCleaner puede borrar tanto la caché de Flash como la de Java, pero lo ideal es tener más control sobre lo que borras y para ello debemos recurrir a los paneles de cada complemento.

Por ejemplo en flash podemos tener partidas de juegos web, cookies, música …

Para Flash: entra en Panel de control de Flash y echa un vistazo al contenido. http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager07.html

Evitar que Java almacene contenido temporal en el ordenador  y además borra los archivos temporales, tienes la ayuda aquí:

http://www.java.com/es/download/help/plugin_cache.xml

Y más claro ni agua.

VPN CISCO CON CERTIFICADO OPEN SSL GENERADO EN LINUX DEBIAN

Iba hablaros sobre el VLAN Hopping y como hacer el saltar de una Vlan a otra con el doble etiquetado, pero vamos a cambiar un poco la temática de los anteriores post.

Echamos de menos a Chema escribiendo sobre aplicaciones para sistemas operativos que nos facilitan la vida, Chema animate y cuelga algo anda que tanto facebook es malo para el cuerpo.

Para los que ya sabeis hacer una VPN o estais estudiando para el CCNA Security, si teneis una VPN establecida ya entre dos routers CISCO os vamos a explicar como establecer la VPN con certificados generados con openSSL desde DEBIAN. Podeis prácticar OPENSSL siguiendo este curso de la universidad Politecnica de Madrid gratuito y que esta ahora mismo desarrollandose a tiempo libre, os dejo el enlace, echarle un vistazo os va gustar y vais aprender bastante (no sobre CISCO):

http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion1/leccion1.html

Este será nuestro esquema:

escenario

Dos routers conectados por VPN mediante SITE to SITE haciendo un peer entre RA y RC con RB por el medio.

Instalamos un debian en una máquina virtual, por defecto ya viene instalado el openssl y si no viene pues desde modo super user escribimos apt-get install openssl

Procedemos a solicitar los certificados de router1 y router2:

Creamos directorios para trabajar en nuestro directorio de usuario:

Crear directorio: mkdir cisco

Movernos al directorio creado: cd cisco
Crear varios directorios: mkdir certs newcerts private crl
Crear el directorio index vacio sint exto con: touch index.txt
Ahora meter en serial echo 01: echo 01 > serial
Copiar por seguridad a donde estamos el fichero openssl.cnf: cp /etc/ssl/openssl.cnf

Ahroa vamos a modificar el fichero /etc/ssl/openssl.cnf y modificamos con nano /etc/ssl/openssl.cnf dos de las entradas que hay dentro del fichero y las dejamos así:

dir = .
certificate = $dir/certs/cacert.pem

Copiamos y salimos.

Toca generar el par de claves de CA y el certificado raíz.

openssl y damos al enter a continuación ya en modo openssl

genrsa –des3 –out private/cakey.pem 2048

Nos pide inserta una key, poneis la vuestra habitual, por ejemplo ciscopass

vpn1
openssl req –new –x509 –days 1000 –key private/cakey.pem –out certs/cacert.pem –config openssl.cnf

De este no pongo imagen pero sería similar.

Nos va pedir los datos para el certificado raiz, os pongo un ejemplo de lo que podeis poner.

Country = ES, State or province = AST, Locality = Koeln, Organization Name = CMD, Sistemas Unit = Prueba, Common Name = CA. Email y otros campos los dejamos vacios.

Ojo en la creación de certificados más adelante, hay que tener cuidado con el common name, no debemos de poner el mismo ya que luego no deben coincidir deben ser únicos. Es decir al crear el certificado para RouterA y nos pida los datos de más arriba podemos poner en Common Name=RA

Podemos ver en pantalla el certificado raíz con el siguiente comando:

root@Mich:/home/miguel/prueba# openssl x509 -in certs/cacert.pem -noout -text

Toca generar los certificados para los routers, los vamos hacer un poco más ligeros de 1024 en vez de 2048 como el de CA de antes, así que generamos la RSA para RA y para RB, dejo la de RA pero la de RC sería lo mismo pero cambiando el nombre.pem. Recordar la palabra que ponéis, si no estais en producción y es una prueba lo que estais haciendo usar siempre la misma.

generarcertR6

Escribí R6key.pem pero en vuestro caso sería RAkey.pem, lo mismo para RCkey pero variando ahí el nombre, el proceso es el mismo.

Si os fijais en la sintasis y quereis saber para que sirve el -noout el -text de más arriba o el -out que utilizamos en esta genración de certificado pinchar en este enlace que tiene una buena chuleta en pdf, aunque habrá algunos como des3 que ya os imaginais que es hacerlo con triple DES:

http://stuff.gpul.org/2004_cripto/doc/chuleta_openssl.pdf

Toca solicitar la petición a la CA del certificado de RA y RC, dando la llave RSA que acabamos de generar y dando de salida una petición:

openssl req –new –key private/RAkey.pem –out certs/RAreq.pem –config openssl.cnf

openssl req –new –key private/RCkey.pem –out certs/RCreq.pem –config openssl.cnf

Mi intención era marcar en verde la RSA RAkey.pem pero os capture la imagen y ahora no puedo pero bueno ya la veis en el comando de la imagen solo que escribí R6key.pem

Ahora la CA usando la petición (request) generá el certificado, hay que hacerlo para RA y para RC, es muy parecido en Windows al proceso con el ADCS.

openssl ca -notext –in certs/RAreq.pem –out certs/RAcert.pem –config openssl.cnf

openssl ca -notext –in certs/RCreq.pem –out certs/RCcert.pem –config openssl.cnf

Toca pasarlo todo al contenedor PKCS#12, por que hacemos esto, pues porque tenemos que  definir un formato de fichero usado comúnmente para almacenar claves privadas con su certificado de clave pública protegido mediante clave simétrica.

Recordar la clave de exportación que ya sabeis de anteriores pasos.

Ahora toca pasar los certificados del directorio de linux donde los habéis generado al router. Yo he usado el método del USB 🙂 me parecio el más rápido para no tener que hacer nada especial con el vmware, ya que mi router 2911 dispone de puerto USB, así que hice un copy usbflash0: flash: hay que tener en cuenta que para que nos reconozca el usb debe de estar recien formateado y ojo con el formato de partición que usais si vais con este método.

Finalmente los importamos:

RA(config)# crypto ca import RALab pkcs12 flash:RA.p12 test
RA(config)# crypto ca trustpoint RALab
enrollment terminal
revocation-check none
exit

RC(config)# crypto ca import RCLab pkcs12 flash:RC.p12 test
RC(config)# crypto ca trustpoint RCLab
enrollment terminal
revocation-check none
exit

Crypto ca trustpoint significa que vamos a ser un entidad de certificación que acepta certificados autofirmados y no necesita firma de terceros, esto por resumir, al final del post os explico que quiero decir con resumir.

Enrollment terminal se usa para indicar que los certificados van a ser un copy paste del certificado directamente de un txt, o lo que es lo mismo en nuestro caso una importación.

Revocation-check none significa que no vamos a usar ninguna lista de rovocación, como una CRL o un online responder.

Por último queda cambiar en la politica de vuestra vpna la authentication pre-share por rsa-sig  que al visualizar la configuración no aparecerá pues por defecto es rsa-sig

Os dejo un ejemplo:

RA(config)# crypto isakmp policy 10
RA(config-isakmp)# authentication rsa-sig
RA(config-isakmp)# encryption aes 256
RA(config-isakmp)# hash sha
RA(config-isakmp)# group 5
RA(config-isakmp)# lifetime 3600
RA(config-isakmp)# end

Para RC lo mismo

También quitar las líneas que no se van a usar ya de la pre-shared, ejemplo:

R1(config)#no crypto isakmp key cisco123456 address 10.2.2.1

Cosas que pueden suceder, pues para que se establezca la VPN pues haberla tenido antes de los certificados funcionando para evitar problemas y estar seguros que la FASE 1 y 2 las hacia correctamente.

Yo por ejemplo tuve problemas al generar los pines, donde menos piensas, en el equipo, resulta que tenía un movil conectado a la wifi pero haciendo de modem para mi pc (si si para escaquearme y saltarme el firewall del trabajo) y al ser wifi realmente me generó una métrica mas baja en la tabla de enrutamiento del pc y ahi tenía el problema que salia por otra red el ping extendido.

07-06-2013 21-36-48 07-06-2013 21-37-12 07-06-2013 21-37-31Fue cuestión de cambiarla y a correr.

Espero que aprendierais algo, ya que tuve que escribirlo dos veces entero, pues un fallo con el teclado me hizo perder todo …, na que la lie con el wordpress 😦 a quien no le paso alguna vez ??, así que me he armado de valor y lo he vuelto a escribir todo un poco mas escueto, pero ahí queda todo esto, ahora ya puedo dar a subir el post y descargar toda la FURIA que llevo guardando por cada letra que he repetido, ya puedo golpear y romper el teclado, quizas tambien el ratón …

ListDlls , Handle y MacMatch encontrar ficheros modificados o abiertos por fechas, etc …

LISTDLLS

Herramienta de la Suite de SysInternals. Podemos indicando el pid de un proceso ver las dll que carga ese proceso en cuestión.

Os recuerdo que una dll son las siglas de Dynamic Link Library (bibliotecas de enlace dinámico), términos que hacen referencia a archivos con código ejecutable que se cargan por parte del sistema operativo bajo demanda del programa.

Puedes buscar las dll que carga tu notepad por poner un ejemplo.

Captura

Handle (sysInternals)

Permite mostrar un listado de procesos que mantienen abiertos archivos o directorios.

Objetivo: averiguar si un determinado proceso tiene abierto un fichero o qué tipo de objetos mantiene abierto un proceso.

Captura2

MacMatch

Permite localizar archivos en función de fechas concretas, y podemos limitar la cantidad de datos analizar. Buscará ficheros modificados en un intervalo de tiempo dado. Ver en la ayuda lo que es M,A y C. Muy útil el comando u aplicación.

Captura3

INSPECCION DINAMICA DE ARP en CISCO

(ver post anteriores dhcp snooping y ip source guard)

Con anterioridad veíamos un ataque de capa se puede decir que 3 mediante direcciones ip, ahora va ser directamente sobre capa 2, la MAC

Doy por supuesto a estas alturas que ya se sabe como almacena un switch una dirección MAC.

Si un host solicita mediante un broadcast de arp y con la ip de destino, una MAC que no conoce para poder mandar sus datos, el equipo que tenga esa ip responderá con un ARP Replay conteniendo su dirección MAC, por eso un atacante puede engañar diciendo que  tiene esa ip y mandar su MAC falsa, con lo que el host origen asociará esa ip con esa MAC falsa, enviando los paquetes ip a esa dirección mas falsa que el pressing catch.

Este ataque es conocido como envenenamiento de ARP y es considerado un ataque man in the middle. Aclarado y dedicado al comentario que nos llego si podíamos aclararlo un poco más para los novatos.

Los switches de CISCO pueden utilizar DAI (Dinamic ARP Inspector) para evitar este tipo de ataques, uuuuuh cuidadin que muerde CISCO.

Los puertos del switch los vamos a considerar confiables o no confiables, inspeccionando solo los que llegan a los puertos no confiables contra la base de datos de DHCP Snooping y las introducidas de manera estática y si ve alguna incoherencia entre la MAC y la IP descarta la trama y envía un mensaje de log. Recomendamos tener un servidor de syslog funcionando.

Para habilitar DAI se debe introducir esta línea por cada vlan que se quiera activar el servicio de protección y se considerará puerto no confiable a todos los que pertenezcan a esa VLAN, lo que quiere decir que se inspeccione el trafico que pasa por ese puerto.

SwitchMiguel(config)#ip arp inspection vlan {vlan-rango}

Pero si queremos que algún Puerto determinado dentro de esa Vlan sea confiable y no se inspeccione el tráfico pues:

SwitchMiguel(config)#interface type {mod/num} ejemplo: interface fastethernet 0/0

SwitchMiguel(config-if)#ip arp inspection trust

 

Para las direcciones que estén configuradas de manera estática necesitamos al no haber comprobación contra DHCP snooping darle esa información de manera estática:

SwitchMiguel(config)#arp access-list {nombre de la acl}

SwitchMiguel(config-acl)#permit ip host {ip estática} mac host {mac estática}

El siguiente paso es asociar esta ACL al DAI:

SwitchMiguel(config)#ip arp inspection filter {nombre de la acl arp} vlan {id de vlan o rango de vlan} [static]

OJOOOO pistojooo Como toda lista de acceso si no encuentra ninguna coincidencia descarta la trama ya que lleva implícito al final un denegar todo. Los CCNA ya los sabeis y sino a repasar por paquetes. (ver listas de acceso)

 

LA MAC PUEDE VENIR FALSEADA en el paquete de respuesta de ARP por el atacante y ser luego distinta en la trama ethernet, entonces podemos comprobar la mac que nos llego del ARP con el de esta trama de datos. Por ejemplo:

Src-mac: compara

IP SOURCE GUARD EN CISCO

(ver antes dhcp snooping)

Es una característica de los switches Cisco y se usa para detectar y eliminar ataques de direcciones Ip falsas. Este tipo de ataque es más difícil de parar sin CISCO, lo que no quiere decir de detectar.

Imaginemos un PC al que le damos una Ip por ejemplo por DHCP, este PC puede ser atacado y cambiada su IP comenzando a usar direcciones falsas. Este ataque se suele usar para ataques de denegación de servicio, en las que lógicamente los paquetes jamás regresan al origen.

Este tipo de ataque se suele producir dentro de una misma VLAN, ya sería más difícil descubrir que la ip es falsa pues está comprendida dentro de la misma red y en redes grandes pues quien sabe … sobre todo si tenemos la desgracia de ser informáticos de los de verdad, de los que llevamos toda la vida subcontratados (cuando hablamos de VLAN nos referimos a una misma subred)

Esta característica de CISCO habilitada en un Switch analiza y busca la dirección MAC y la asociación con la IP correspondiente en la base de datos de DHCP Snooping visto anteriormente. También comprueba las estáticas grabadas por nosotros.

Se deben cumplir dos condiciones para que ip source guard no plante cara a la trama:

1) La dirección IP de origen no puede ser distinta de la dirección IP aprendida en el DHCP Snooping. Automáticamente el switch crea una ACL dinámica en el puerto que se usa a modo de filtro para impedir entrada de cualquier ip que no coincida con la correspondiente a la base de datos del ya citado un millón de veces DHCP Snooping.

2) La dirección MAC de origen debe ser igual a la aprendida en el DHCP Snooping y a la aprendida en el puerto del Switch. En este caso usa el comando port.security que os sonará a los que habéis hecho pinitos con el Cisco Security.

Para que todo funcione se debe tener DHCP Snooping configurado. Ya canse de escribir tantas veces esa palabra, a partir de ahora es sustituida por snoopy  o poríndice  ahí le dimos ohhh ehhh oeee oeee oeee.

Lo primero a configurar serían aquellas direcciones IP y MAC es decir “host” que no usan DHCP y están conectadas a puertos de los switches, asociando el puerto a la vlan, mac e ip correspondientes:

SwitchMiguel(config)#ip source binding {mac-address} vlan {vlan-id ip-address} interface {tipo modelo y número}

Ahora habilitamos snoopyen los puertos del switch que lo queremos implementar:

SwitchMiguel(config)#interface {tipo modelo y número de interface}

SwitchMiguel(config-if)#ip verify source

Si añadimos el parámetro port-security inspecciona también la MAC, sino solo la IP.

SwitchMiguel(config-if)#ip verify source port-security

Verificación del estado de dhcp snoopingsnoopycommando:

SwitchMiguel(config)#show ip verify source {interface type mod/num}

Para ver las direcciones aprendidas dinámicamente en la base de datos sería:

SwitchMiguel(config)#show ip source bindng {ip-address} {mac-address} dhcp-snooping interface {type mod/num} vlan {vlan-id}

 

Podemos prevenir este tipo de ataques de ARP Poisoning

Podéis ver la entrada en este blog sobre ARP Watch para Debian o ArpON. Hay otras aplicaciones como Marmita que son gratuitas y sirve como preventivas siempre y cuando no dispongamos de aplicaciones específicas de CISCO u otros.

Más sobre la aplicación en este fantástico sitio web http://www.flu-project.com/marmita-detectando-ataques-man-in-the-middle.html

Seguir las prácticas de esta web. Tampoco es mala idea.

El caso de Marmita no va impedir un ataque pero si su detección y es gratuita, la han creado los chicos de informática64 unos genios en su área. (No seguir leyendo sin haber descargado y estar visualizando la aplicación.) Su fuerte se basa en tener una base de datos local con las asociaciones de IP y MAC, es decir la tabla original de ARP antes de ser comprometida. Vamos a poder ver en su sección de ARP Table la misma Mac para dos Ip distintas, la del router verdadero y la del atacante. Si vamos a la pestaña Virtual Arp Table veremos que la ip del atacante tenía antes otra MAC.

Hay más aplicaciones como XARP para Windows, yo personalmente no la he usado pero he leído que a veces detectada positivos que no lo son, pero bueno siempre pensamos que estas aplicaciones son reactivas y no valen para otra cosa, donde estén las de monedero …

También tenemos gratuitos sistemas de detección de intrusión como EASYIDS . Si vamos a usar un PC con estos sistemas debemos de tener dos tarjetas de red instaladas, una para administración y la otra en modo promiscuo para sniffar la red. EASYIDS si nos ha gustado bastante, descargarla y probarla, está basada en snort.

Tanto para Marmita como para este sistema u otros debemos usar si por ejemplo estamos en un CISCO la funcionalidad de Spam para monitorizar todos los puertos. En el caso de EASYIDS es una imagen que podemos arrancar desde una ISO en una máquina virtual de vmware, es un Linux.

Ver como ayuda indispensable-> http://seguridadyredes.wordpress.com/2011/02/10/snort-easyids-un-ids-preconfigurado-con-base/

Hacer todas las prácticas de la red completa con monitorización y reenviar tramas de spam entre swiches de distintas vlan con respam podéis lanzar tramas de un switch a otro switch con una vlan distinta para monitorizar en esta (ver comandos de CCNP Swiching) en un equipo en la vlan administración pero distinta a donde tenemos el syslog corriendo, por poner un ejemplo retorcido.

Antes de implementar esta seguridad yo usaría el Evil Foca que acaba de salir al mercado y es Español, para realizar los ataques de envenenamiento y comprender un poco más toda esta situación.

Practicar estos ejemplos enseña mucho (recordar siempre la ética Hacker) manual sencillo del foca àhttp://www.dragonjar.org/evil-foca-manual-no-oficial.xhtml

Página del creador con direcciones a distintos tutoriales y ejemplos así como la descarga, si el chico del gorrito o mejor dicho consultor de seguridad, que por cierto nosotros no conocemos de nadaàhttp://www.elladodelmal.com/2013/04/pruebas-con-evil-foca.html

Descarga directa àhttp://informatica64.com/evilfoca/

DHCP Snooping y CISCO

DHCP Snooping

Consiste en reconducir el tráfico a la máquina atacante. La técnica más usada en mi opinión es usando la técnica ARP Poisoning o el ARP Spoofing.

Se pueden utilizar aplicaciones para monitorizar, pero para evitarlo realmente debe ser desde la electrónica de red. Hoy en día ya hay firewalls que hacen funciones de IDS e IPS (detección e intrusión); como veis en este blog no tenemos banners de publicidad excepto los que nos imponen desde Word press, somos un poco vagonetas para la programación y no hemos acabo nuestra web de empresa, si si en un año que va ya desde que nos pusimos por primera vez … ( como decimos cuando echamos una partidilla algún juego … LOL J.), es que no hay días J.

Dentro de la electrónica de red el Switch para este caso será el que autorice el tráfico permitido y bloqueé el que no lo es.

Lo que hace el Switch es almacenar las direcciones MAC e Ip en el propio dispositivo o usando aplicaciones “especiales” en una BBDD externa.

El problema del switch sería en como crea la tabla MAC para que la información sea veraz.

La solución está en el propio funcionamiento del protocolo DHCP, a través de las peticiones y respuestas del DHCP. (DHCPOFFER,DHCPPACK,DHCPNAK,DHCPLEASEQUERY). (http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol)

Hay dos alternativas para garantizar la protección:

1)    Cuando hay servidores falsos de DHCP. Solo determinados puertos del switch van a poder ofrecer direcciones Ip correctas. Así se anulan servidores falsos de DHCP que puedan estar conectados a otros puertos (DHCP Snooping). Además si algún equipo de la red pone manualmente la ip será descartada por la electrónica de red (switch).

2)    El mecanismo dos, ofrece una solución similar, las peticiones de DHCP de los equipos en este caso son atendidas directamente por los switches que funcionan como agentes Relay de DHCP, ( http://srinformacion.files.wordpress.com/2012/11/7-servicio-dhcp-a-varias-redes-agente-relay-dhcp.pdf ) que escuchan las peticiones de DHCP que se producen. Las haces suyas y realizan la solicitud en su nombre a los servidores de DHCP. Cuando la respuesta de DHCP es recibida se realiza la entrega al cliente, anotando la información correspondiente a la dirección IP y física.

 

Limitaciones del sistema de DHCP Snooping:

Tener una electrónica de red válida.

La capacidad máxima de almacenamiento de información en la tabla, anteriores a la 12.2(18) SX una máximo 512 elementos, revisiones posteriores unas 8.000 entradas.

Actualmente DHCP Snooping ofrece una solución contra ataques de envenenamiento ARP y man in the middle, pero no ofrece una solución contra IPV6 donde estamos todavía muy pez.

 

Puertos  en  DHCP Snooping:

Hay puertos confiables o no confiables. El DHCP legítimo va estar en los confiables.

Si llega un paquete DHCP Reply a puerto no confiable el paquete es descartado. Entonces el puerto pasa a estar en estado:

Errdisable que veremos en el siguiente post. Aprovecho para comentar al informático de 50 años que me dijo el otro día en una conversación que tontos éramos los que gratuitamente dedicábamos tiempo de nuestra vida a publicar explicaciones para ayudar a los demás y teniamos un blog en vez de tiendas virtuales, ahí “implosiones” pedazo de alcornoque, quizás gracias a gente como yo y mucho mejor que yo, millones de blogs en el mundo podamos llegar a un conocimiento mayor en todas las áreas conocidas y suframos una mayor evolución en todos los sentidos y así consigamos que los pajarracos desaparezcan y las personas con menos recursos puedan sin necesidad de gastar dinero APRENDER. Suerte con esa aplicación de la que no sabes ni hacer un backup de SQL Express y necesitas un SQL de pago para dos personas en una empresa solo por la seguridad de tener un backup, deberías leer mas blog gratuitos … Tienes suerte te la paguen a precio de oro, pero no te olvides de la seguridad 😉 te estamos vigilando …

Volviendo al plano terrenal, DHCP snooping mantiene un registro de todos los enlaces de los DHCP completados.

Activar DHCP snooping en un cisco:

(config)#Ip dhcp snooping

Identificar la Vlan donde DHCP snooping se va implementar:

(config)#Ip dhcp snooping vlan {identificador Vlan}

Se configuran los puertos confiables donde están localizados los servidores DHCP reales:

(config)#Interface {tipo de interface y número por ejemplo fa0/0}

(config-if)#ip dhcp snooping trust

Para los puerto no confiables se permiten un número ilimitado de peticiones DHCP, para limitarlo se usa:

(config)#Interface {tipo de interface y número}

(config-if)#ip dhcp snooping limit rate {rango de 1 a 2048 paquetes por Segundo, por ejemplo: 5 para una red pequeña}

Ejemplo: ip dhcp snooping limit rate 5

Para saber que esta respuesta viene de un Puerto válido, el Switch se basa en el RFC 3046 y la opción descrita en la opción 82 donde se amplía la información recibida por DHCP. Esta característica está habilitada por defecto en el dhcp snooping. http://slaptijack.com/networking/what-is-dhcp-option-82/

 

Para ver el estado del dhcp snooping usar el comando:

#Show ip dhcp snooping

#Show ip dhcp snooping binding -> muestra las relaciones conocidas de DHCP que han sido recibidas.

Un ejemplo sería:

SwitchMiguel(config)#ip dhcp snooping

SwitchMiguel(config)#ip dhcp snooping vlan 20

SwitchMiguel(config)#interface range fastethernet 0/1 – 10

SwitchMiguel(config-if)#ip dhcp snooping limit rate 5

SwitchMiguel(config-if)#interface gigabitethernet 0/1

SwitchMiguel(config-if)#ip dhcp snooping trust

 

Entendiendo DHCP Snooping haciendo un ataque MIMT:

http://www.elladodelmal.com/2011/10/ataque-man-in-middle-con-dhcp-ack.html

Aplicación usada DHCP_ACK_Injector_0.2.1 (informatica64).

http://www.elladodelmal.com/2012/02/dhcp-ack-injector-se-hace-mas-selectivo.html

Fuentes usadas, el intelecto de Juan Luís García Rambla, las certificaciones de Cisco CCNP Switching y el CCNA Security y la propia experiencia.

Continuamos en el próximo post.

 

 

 

 

 

 

 

 

 

 

TELLSPELL.COM y HACKING GOOGLE

Tenemos otras web útiles como http://tellspell.com



Voy a buscar la palabra en inglés: “table” y me devuelve una búsqueda en google

.

Selecciono de esa imagen la búsqueda de la palabra clave table y me devuelve entre otras cosas su hash en MD5, que a posterior si fuera una clave de usuario podría redirigir la búsqueda de google para encontrar en ciertos foros o porque no redes, usuario que tengan ese HASH. Almacenar MD5 como contraseña de manera online y que pueda ser indexado por los buscadores es un peligro.


Podemos usar también varias web de descifrado:

http://www.dimitrix.es/descifrar/MD5/40/

http://www.md5decoder.com/aab9e1de16f38176f86d7a92ba337a8d/

http://www.md5-hash.com/md5-hashing-decrypt/aab9e1de16f38176f86d7a92ba337a8d

Por ejemplo vamos a buscar el md5 de administrator:



Por poner un ejemplo.

Una cosa que aprendí de Chema Alonso y su gran blog es lo siguiente: “cito”

“”Ahora mismo estamos usando google pero no olvidamos a bing que tiene algo que no tiene google Implementa correctamente el operador EXT y Filetype, Google no lo hace. Para Google, tanto EXT con Filetype son lo mismo, cuando no es así. Si buscas en Bing con el operador EXT dará resultados cuyos ficheros acaben en la extensión que decidas. Si usas Filetype lo hará por el tipo de fichero, no importa la extensión que tenga -. En Google tanto Filetype como EXT devuelven ficheros que tengan esa extensión.

Otra propiedad de Bing es que implementa el operador Contains: da la posibilidad de encontrar páginas con enlaces a ficheros con una extensión concreta. Chema Alonso del elladodelmal lo usa en sus demostraciones, lo utilizó, por ejemplo, para encontrar páginas a ficheros de configuración Citrix.

También indexa el contenido de ficheros empaquetados, se pueden encontrar ficheros que estén dentro de un archivo comprimido o empaquetado, lo que puede arrojar más resultados a la hora de buscar ficheros raros en Internet.””

Siguiendo con el ejemplo podemos buscar por ejemplo el volcado ya sea por error o por backup programado de copia shadows de bases de datos de esta empresa (ejemplo) que es un operador de servicios de internet:

http://www.hathway.com/


Estos son unos pequeños trozos del gran listado que devuelve. Revela información muy comprometedora sobre la base de datos de esta empresa, para empezar la versión de MySQL y la fecha de actualización, como podemos ver muy actual a la fecha de hoy.

También salen datos de usuarios y contraseñas de administrador y si bajamos en el listado veremos nombres con apellidos, teléfonos, direcciones, números de tarjetas de crédito, etc … que luego digan que con google no se puede hacer hacking. Si somos un poco listos nos fijaremos en la tabla que se insertan, si estuvieran en MD5 ya sabéis como saber su valor.

Al saber la versión de MySQL lo primero que haremos será ver este enlace para saber las vulnerabilidades http://www.cvedetails.com/vulnerability-list/vendor_id-185/product_id-316/version_id-71375/Mysql-Mysql-5.0.77.html


En este caso tenemos usuario y contraseña de administrador, además dos, vamos a comprobar que podemos hacer y hasta donde llegan.

Lo siguiente sería informanos un poco del MySql instalado aunque eso ya deberíais controlar si estáis leyendo hasta aquí:

http://dev.mysql.com/doc/workbench/en/mysql-utils-intro-connspec.html


Con fireburg de mozilla podemos ver el código de la página y como se llama a los componentes.

Vamos a forzar un error para ver la plataforma sobre la que está corriendo:



Si llega a entrar al panel de administración hubiera sido muy fácil que os pensabais ¿? J y ahora lo dejamos aquí que os estáis emocionando, estamos viendo información sensible no hackeando nada que os recuerdo no es legal.

Muy típico hoy en día es encontrarse con estos datos provenientes de alguna web con un panel de administración de Word Press al que podemos acceder con http://dominio.com/wp-admin/ y sabiendo el nombre de usuario contraseña ya estaría a no ser que el puerto este cambiado para la administración externa pero podemos ver los puertos abiertos para esa dirección don diversas herramientas que seguro ya conocéis. Así son de descuidados los administradores de hoy en día, cuando los hay claro …

Si veis alguna contraseña cifrada rara, pues la copiáis y la pegáis en google y os devolverá su valor y el algoritmo usado, así de fácil, tipo la web que veíamos al comienzo, siempre estamos hablando de personas descuidadas.

www.robtex.com

Voy a usar un poco esta interesante Web, por echarle un vistazo rápido y pasar un rato con vosotros.

http://www.robtex.com/

Gracias a esta Web podemos usarla para sacar un montón de información, también si un dominio está en una blacklist, o bueno vamos a ir viéndola un poco. Por ejemplo vamos a usarla para ver donde está alojado el foro del periódico el Comercio de Asturias. Pero antes vamos a ver algunas cosillas, antes de ponernos con la primera flecha roja.

Como podéis ver ellos mismo se definen con la herramienta suiza para internet. Cada vez que escucho la palabra suiza no os cuento lo que me pasa por la cabeza.

Abajo en la imagen anterior, viene el AS que se corresponde con telefónica, el sistema autónomo el AS, el AS es usado por el protocolo Bgp que se estudia en el CCNP para el enrutamiento entre operadores, si queréis os explico más sobre Bgp pero preguntarme pues es ya muy específico de empresas de telecomunicaciones como telefónica.

Podemos ver ahora en un gráfico el as que le corresponde a telefónica y el de su backbone o por lo menos al as de la red a la que estoy yo actualmente conectado y a quien pertenece los demás AS con los que comunica el backbone, poniéndonos encima con el ratón vemos la información, la web es es genial http://bgp.he.net/AS3352#_graph4

Vaya vaya lo que estamos aprendiendo.

Voy a seleccionar la opción de Whois a ver que veo:

Anda mira, la calle Beatriz de Bobadilla, donde esta telefónica data España que creo ya no existe como tal pero sigue apareciendo, anda el señor Jesus Angel Rojo, creo que lo recuerdo aunque ya será más viejo, que momentos viví en ese edificio. También podemos ver el nic-hdl –à http://es.wikipedia.org/wiki/NIC_handle más fácil el teléfono de contacto.

Hay otros atributos como el mnt-by, bueno son temas todos de registros siguiendo los estándares, podéis ver lo que almacena cada uno de ellos en los siguientes enlaces (no dejéis de echar un vistazo aunque sea por ir asimilando como se registran los dominios y los operadores en el mundo de los enrutadores)

http://www.apnic.net/apnic-info/whois_search/using-whois/guide/inetnum

http://www.apnic.net/apnic-info/whois_search/using-whois/guide/route

Voy a seguir mirando que estoy cotilla y voy a mirar las ip públicas asignadas a ese AS3352En prefijos podemos ver por ejemplo la red que usa para dar ip el Wimax de infotelecom, vemos que la red es la 46.18.40.0/23

.

EL BARSAAAA!!!! J 213.0.22.0/24 anda que tienen esa red!!!! Uffff que se me escapa la risa floja.

Vamos a usar el DNS a ver si vemos la ip del mapeo del correo del Barcelona, igual hay que mandar un correo felicitando el año.

Bueno están bien no parecen estar en ninguna lista por ahí de que estén haciendo spam o infectando nada fuera de su red, así me gusta muy Catalán todo para vosotros.

Bueno vamos a dejar al Barsa en paz que está jugando muy bien y vamos a seguir “mirando”.

Me apetece ver un poco las adyacencias de los AS que están dentro del 3352 de telefónica a ver que clientes tienen sus propias redes y pagan el dineral a telefónica:

http://cidr-report.org/cgi-bin/as-report?as=AS3352

Me devuelve 72, voy a compararla con la lista de la otra web.

http://bgp.he.net/AS3352#_peers

Coño Garrigues en el 54

Ya ganáis para tener un AS propio con telefónica, claro la seguridad es primordial ehh!! Pues mira si es cierto los conozco y tienen a telefónica y a B.T. Bueno esta noche habrá que hacer unas consultas DNS a ver qué tal están.

Nacheteee, cuídame esos despachos ehh!!

Bueno y ahora vamos a premiar a los clientes de telefónica que ya están haciendo uso en España de IPV6 que ya está super extendido por el territorio español, no sé si tendremos premio para tantos.

Oleee DOS … jejejejeje

Bueno pero no es lo mismooooo que lo tengan al nivel de telefónica de público que los estén usando dentro de su propio sistema AS, vamos a ver estos:

Eh un 10 ahí a la Mutua Madrileña.

Anda mira Izfe S.A., EUSKATELLLLL !!!!! que va con el AS12338

Buff estoy cansado, sigo más tarde que soy humano, tengo hambre …

Al final no enseñe lo que pretendía, me puse con el AS y no vimos la utilidad DNS que era lo interesante que pretendía demostrar hoy, en fin lo pongo en la siguiente nota, perdonar me entretuve un poco J.