UNIVERSIDAD MAYOR REAL PONTIFICIA DE SAN

FRANCISCO XAVIER DE CHUQUISACA

Carrera: Ingeniera en Telecomunicaciones.

Materia: Seguridad en Redes SCO-320.

Tema: Primer parcial prctico

Docente: Ing. Marco Antonio Arenas P.

Estudiante: Huanquiri Quispe Gustavo Elvis

FECHA: 10/10/2017

SUCRE - BOLIVIA
ANLISIS CAJA NEGRA

Actualmente existen diversas herramientas de seguridad que se encargan de ejecutar diferentes

funcionalidades, y si hablamos de auditoras o pentesting, una de las que no falta nunca en el
arsenal es Nmap, utilizada para reconocimiento de red y escaneo de puertos. Sin embargo, no
todo el mundo conoce su gran potencial, por lo que en esta entrada nos centraremos en
sus scripts y escaneo de vulnerabilidades.
Nmap es muy reconocida en el mundo de seguridad informtica por su funcionalidad de escaneo
de redes, puertos y servicios. No obstante, la herramienta ha ido mejorando con el correr de los
aos, ofreciendo cada vez ms posibilidades que resultan muy interesantes. Actualmente
incorpora el uso de scripts para comprobar algunas de las vulnerabilidades ms conocidas, por
ejemplo:
Auth: ejecuta todos sus scripts disponibles para autenticacin
Default: ejecuta los scripts bsicos por defecto de la herramienta
Discovery: recupera informacin del target o vctima
External: script para utilizar recursos externos
Intrusive: utiliza scripts que son considerados intrusivos para la vctima o target
Malware: revisa si hay conexiones abiertas por cdigos maliciosos o backdoors (puertas
traseras)
Safe: ejecuta scripts que no son intrusivos
Vuln: descubre las vulnerabilidades ms conocidas
All: ejecuta absolutamente todos los scripts con extensin NSE disponibles

Lo hacemos apuntando a nuestros ips de nuestros servidores y de nuestro cliente

192.168.43.200 servidor apache

192.168.43.201 servidor ftp

192.168.43.59 cliente Windows

192.168.43.1 servidor DHCP celular

EJECUTANDO AUTH :

Primero lo hacemos para uno de nuestros servidores apache

En este primer ejemplo se muestra cmo a travs de la herramienta se consigue informacin
sobre los ingresos y podemos ver q nuestro SSH esta sin contrasea , adems q seria una gran
desventaja si tuviremos el acceso ANONIMUS de usuarios (sin requerir usuario y contrasea)

Servidor DNS de nuestro servidor

Surge el mismo problema tenemos un acceso abierto

Por ultimo en nuestro cliente

En nuestro cliente podemos ver q existen varios inicios de cesin a diferentes programas que no
tienen ningn tipo de restriccin a la hora de su ejecucin lo cual puede ser un gran riesgo en un
posible ataque

EJECUTANDO DEFAULT:

Primero lo hacemos para uno de nuestros servidores apache

Podemos ver que el puerto 22 SSH aparece como resultado- informacin de la llave (o key) para
su conexin

Mas abajo podemos ver informacin recolectada del puerto 80 tal como nombre de equipo versin
de sistema operativo

Servidor DNS de nuestro servidor

Podemos ver el nombre de nuestro equipo y la direccion mac

Por ultimo en nuestro cliente

Adems de poder ver toda nuestra informacin recolectada de nuestros servicios y accesos
tambin podemos ver toda la informacin que vota nuestro cliente sin ningn tipo de restriccin

CAPTURA CON WIRESHARK

Al hacer el primer escaneo sin generar ningn tipo de trfico de datos entre nuestras servidores ni
cliente , se realiz un escaneo de 10 minutos este escaneo se hizo con la herramienta wireshark
que viene ya instalado en nuestra mquina virtual kaly

Una vez iniciada la captura es posible filtrar los paquetes capturados de acuerdo a la necesidad de
quien est analizando el malware. Como primer tarea, es posible reconocer a que servidores se
conect a travs de las peticiones DNS. Para observarlo con ms comodidad es posible aplicar
un filtro. Especficamente, si se escribe DNS en el campo de los filtros y se lo aplica, sern visibles
todas las resoluciones de nombres en direcciones IP. En el caso del malware, permite reconocer
con que servidores se conecta. A continuacin puede observarse una captura
Otro aspecto a tener en cuenta son las peticiones realizadas. Aplicando el filtro http.request es
posible obtener todos los GET y POST que fueron realizados durante el periodo de captura.
Este tipo de peticiones es muy utilizado por los cdigos maliciosos, incluso para enviar
informacin sobre el sistema infectado. A continuacin, puede observarse una captura de un
anlisis real sobre un malware que obtiene datos y archivos desde un servidor remoto:

Ahora hacemos el trafico entre el navegador de nuestro cliente con nuestro servidor apache Linux
Podemos ver que las conexiones que existe son de peticin y respuesta hacia nuestro cliente
adems de las peticiones GET los cuales sin muy utilizados por ataques

ANLISIS CAJA BLANCA

Qu es el comando NETSTAT?

Netstat.exe es una til aplicacin incluida en todos los sistemas operativos Windows, permite
monitorear y estar al tanto de todas las conexiones establecidas entre nuestra PC y el mundo
exterior.
Con el comando NETSTAT se introducen las ordenes que nos permiten ver, conocer, detectar e
identificar las conexiones activas establecidas con el exterior, tanto entrantes como salientes, su
origen y direccin IP de procedencia, saber los puertos que tenemos abiertos a la escucha, ver e
identificar las conexiones entrantes e intrusiones de red en nuestra PC, saber si tenemos
programas que establezcan contacto con un host remoto, etc.
Toda esa informacin y ms, podemos obtenerla usando el comando NETSTAT con distintas
opciones o modificadores.

Que nos permite conocer el comando NETSTAT?

Con NETSTAT podemos monitorear en vivo toda la actividad de nuestra red, acceder a todas las
estadsticas registradas y recogerlas en un archivo de texto para revisarlas posteriormente.
Es posible configurar el intervalo de tiempo en que estas se deben realizar.
Permite estar al tanto de los puertos que se encuentren abiertos en la PC, su estado, si son
usados en alguna conexin desconocida, lo que te permite cerrarlos si no son necesarios para el
funcionamiento de las aplicaciones que usas.
Es la herramienta ideal para detectar conexiones entrantes e intrusiones en un equipo local, saber
si alguna aplicacin instalada establece contacto con algn host remoto en el exterior, monitorear
estas conexiones, conocer su PID o sea la identidad del proceso y detenerlo por medio de la
utilidad taskkill, ya sea manualmente o automticamente con un archivo batch creado para ese fin.

Sintaxis para el uso de NSTAT en la lnea de comandos para Windows

NETSTAT [opcin] [-p protocolo] [intervalo]

-a Muestra todas las conexiones y puertos a la escucha.

-b Muestra las aplicaciones y archivos ejecutables involucrados en crear conexiones en los

puertos a la escucha.

-e Muestra estadsticas de Ethernet.

-n Muestra los puertos y las direcciones en formato numrico.

-o Permite ver la identidad de cada proceso (PID) involucrado.

-r Muestra la tabla de rutas.

-s Muestra las estadsticas por protocolos.

-v Usado con -b, permite ver secuencias de componentes involucrados en crear una
conexin.

-p Muestra las conexiones por protocolos: TCP, UDP, TCPv6, o UDPv6.

Intervalo Intervalo en nmero de segundos que se monitorea las conexiones. Continua hasta que
se ejecuta Control+C.

Comando Linux netstat

Esta herramienta es muy importante y muy til para los administradores de red de Linux, as
como para los administradores de sistemas para supervisar y solucionar los problemas
relacionados con la red y determinar el rendimiento del trfico de red. Este artculo muestra los
usos del comando netstat con sus ejemplos que pueden ser tiles en la operacin diaria.