Amenazas en redes GNU/Linux

Herramientas de seguridad para redes:

recopilación de información y análisis de tráfico

DESCRIPCIÓN
El ejercicio consta de dos partes. 

• Realizar una sesión de intercepción de mensajes utilizando el sniffer/analizador 
de redes WIRESHARK [http://www.wireshark.org/] y comprobar la 
vulnerabilidad de los servicios que no usan cifrado. 
• Realizar una sesión de recopilación de información empleando el escáner de 
puertos NMAP [http://nmap.org/]. 

DESARROLLO
Creación de la red donde se realizarán los ejercicios: 

1. Replicar las imágenes QEMU 
$ cp ligero.dsk interno1.dsk
$ cp ligero.dsk interno2.dsk
$ cp pesado.dsk observador.dsk
2. Arrancar las instancias QEMU en orden 
$ qemu -net nic,macaddr=52:54:00:12:34:56 \
-net socket,listen=:12345 \
-localtime -k es -kernel-kqemu \
observador.dsk &
 $ qemu -net nic,macaddr=52:54:00:12:34:57 \
-net socket,connect=127.0.0.1:12345 \
-localtime -k es -kernel-kqemu \
interno1.dsk &

$ qemu -net nic,macaddr=52:54:00:12:34:58 \

-net socket,connect=127.0.0.1:12345 \
-localtime -k es -kernel-kqemu \
interno2.dsk &

Guia de utilización de QEMU­MANAGER en MS­windows: 
http://ccia.ei.uvigo.es/docencia/SSI/practicas/qemu-manager.pdf 

3. Configurar la red de cada huésped. 

Acceder como ''root'' (password ''purple''), asignar dirección IP y establecer el 
nombre del equipo. 

en pesado
en ligero en ligero
# ifconfig eth0
# ifconfig eth1 # ifconfig eth1
192.168.100.33
192.168.100.11 192.168.100.22
# hostname
# hostname interno1 # hostname interno2
observador

Nota 1: El interfaz de red asignado (eth0, eth1, ...) puede variar de unas 
ejecuciones a otras. Se puede comprobar cúal está activo con el comando 
''ifconfig -a'' 

Nota 2: Para hacer ''visible'' en el terminal el cambio en la configuración de 
hostname es necesario cerrar la sesión (''# exit'') y hacer login de nuevo. 

Nota 3: Estas configuraciones son temporales, para que se mantengan al volver 
a arrancar es necesario configurar una conexión estática en el fichero 
/etc/network/interfaces. 

ordenes  texto a añadir 

iface eth1 inet static

# jed /etc/network/interfaces
address 192.168.100.11
ó
netmask 255.255.255.0
nano /etc/network/interfaces
network 192.168.100.0
ó
gateway 192.168.100.1
vi /etc/network/interfaces
auto eth1

# echo "interno1" > /etc/hostname

4. Comprobar la red haciendo ping desde unas máquinas a otras. 
5. Arrancar los servidores TELNET y APACHE en interno1 (192.168.100.11) 
interno1:~# /etc/init.d/openbsd-inetd start
interno1:~# /etc/init.d/apache start
 El servidor ssh está activado por defecto. 

Ejercicio 1
El primer ejercicio consistirá en el uso de la herramienta WIRESHARK desde el equipo 
observador para interceptar el tráfico TELNET, HTTP y SSH entre los equipos interno1 e 
interno2. 

WIRESHARK es un sniffer y analizador de protocolos que recopila los paquetes que 
fluyen por la red, los analiza, extrae el contenido de los campos de diferentes 
protocolos y los presenta al usuario. 

• Página de WIRESHARK:  [http://www.wireshark.org] 
• Más información:  [http://es.wikipedia.org/wiki/Wireshark] 

Pasos: 

1. En observador (192.168.100.33): iniciar WIRESHARK 
o Iniciar el entorno gráfico: 
o # startx
o Arrancar WIRESHARK: [botón derecho] > Aplicaciones > Red > Wireshark 
2. En observador (192.168.100.33): iniciar la escucha de la red. 
o Menú ''Capture'' -> ''Interfaces'' 
o Pulsar botón [Start] del interfaz eth0 
3. En interno2 (192.168.100.22): iniciar una conexión TELNET con interno1 
(192.168.100.11) 
interno2:~# telnet 192.168.100.11
Trying 192.168.100.11...
Connected to interno1.
Escape character is '^]'.

Linux 2.6.18-6-686 (192.168.100.22) (pts/18)

alqueidon login: usuario

Password: miclave
...
interno1:~$ ls -l
...
interno1:~$ exit
4. En observador (192.168.100.33): analizar el tráfico recopilado 
o Detener captura con el botón [Stop] 
o Filtrar el tráfico TELNET capturado 
 Poner telnet en el campo ''Filter'' 
 Recorrer los paquetes capturados y comprobar los datos 
intercambiados. 

Tareas: 

Tarea 1.
Repetir el ejercicio de captura de tráfico, realizando una conexión WEB desde 
el equipo interno2 (192.168.100.22) al equipo interno1 (192.168.100.11), usando el 
navegador web en modo texto LYNX. 
 interno2:~# lynx 192.168.100.11
...
Tarea 2.
Repetir el ejercicio de captura de tráfico, realizando una conexión SSH desde el 
equipo interno2 (192.168.100.22) al equipo interno1 (192.168.100.11). 
interno2:~# ssh usuario@192.168.100.11
usuario@192.168.100.11's password: miclave
...
interno1:~$ ls -l
...
interno1:~$ exit
Ejercicio 2
El segundo ejercicio consistirá en el uso de la herramienta de escaneo de puertos 
NMAP para obtener información de los equipos y servicios de la red. 

NMAP implementa diversas técnicas para extraer información de los equipos que 
forman parte de una red y para identificar los puertos y servicios que están disponibles 
en distintas máquinas. Algunos de los métodos disponibles realizan el escaneo sin dejar 
rastro, mientras que otros dejarán un rastro en los ficheros de log de las máquinas 
analizadas. 

• Página de NMAP: http://www.nmap.org 
• Más información: http://es.wikipedia.org/wiki/Nmap 
• Manual en español: http://nmap.org/man/es/ 
• Tutorial en inglés: http://www.nmap-tutorial.com 

Pasos: 

Desde la máquina observador (192.168.100.33): 

1. Lanzar un escaneado Ping Sweeping [opción ­sP] para identificar las máquinas 
que componen la red 
observador:~# nmap -sP 192.168.100.0/24
2. Sobre cada uno de los equipos que aparezcan como activos (exluido 
observador) realizar un escaneo de tipo TCP connect scanning [opción ­sT] 
para determinar que puertos están abiertos. 
observador:~# nmap -sT -v 192.168.100.11
observador:~# nmap -sT -v 192.168.100.22

Repetir el escaneado sobre INTERNO1(192.168.100.11), añadiendo la opción ­O 
para que NMAP trate de identificar el Sistema Operativo que ejecuta y la 
opción ­sV para determinar la versión concreta de los servicios que tiene 
activados. 

observador:~# nmap -sT -O -sV 192.168.100.11 (tarda unos

segundos)

3. Los escaneados anteriores dejan rastro. Comprobar los ficheros de log 
''/var/log/syslog'' en las máquinas interno1 e interno2 y verificar que ha 
quedado constancia de las conexiones realizadas por NMAP. 
interno1:~# less /var/log/sysylog
 4. Repetir el escaneo de puertos, realizando un escaneo silencioso de tipo SYN  
scanning [opción ­sT] sobre los mismos equipos. 
observador:~# nmap -sS 192.168.100.11
observador:~# nmap -sS 192.168.100.22

Comprobar los ficheros de log ''/var/log/syslog'' en las máquinas interno1 
e interno2 para verificar que no queda constancia de los intentos de conexión. 

interno1:~# less /var/log/sysylog

Nota: Existe un interfaz gráfico para NMAP que se puede arrancar desde el entorno 
gráfico de observador(192.168.100.33) para probar otras opciones del escaner. 

Abrir una consola ([botón derecho] > Aplicaciones > Consola > Bash) y ejecutar 
nmapfe. 

observador:~# nmapfe &