Fundamentos Analisis Sistemas-INCIBE-v2 PDF
Fundamentos Analisis Sistemas-INCIBE-v2 PDF
Fundamentos Analisis Sistemas-INCIBE-v2 PDF
INCIBE es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos, la
red académica y de investigación española (RedIRIS) y las empresas, especialmente para sectores estratégicos (Agenda
Digital para España, aprobada en Consejo de Ministros el 15 de Febrero de 2012).
Como centro de excelencia, INCIBE es un instrumento del Gobierno para desarrollar la ciberseguridad como motor de
transformación social y oportunidad para la innovación. Para ello, con una actividad basada en la investigación, la
prestación de servicios y la coordinación con los agentes con competencias en la materia , INCIBE lidera diferentes
actuaciones para la ciberseguridad a nivel nacional e internacional.
www.incibe.es
3
INCIBE - ¿Qué es?
Pilares fundamentales sobre los que se apoya la actividad de INCIBE
• Prestación de servicios de protección de la privacidad, prevención y reacción a incidentes en ciberseguridad
• Investigación generación de inteligencia y mejora de los servicios
• Coordinación colaboración con entidades públicas y privadas, nacionales e internacionales
Área de Operaciones
[email protected] [email protected]
5
Otras Actuaciones de interés
Si te gusta la ciberseguridad y quieres profundizar en este tema en INCIBE se están desarrollando las siguientes
actividades y eventos de ciberseguridad:
Programa de becas: Programa de becas anual en el que se establecerán diferentes tipologías de becas:
formación de cursos especializados y másteres en ciberseguridad, y becas de investigación. Todas las
publicaciones de este tipo se realizará a través de la siguiente página
https://www.incibe.es/convocatorias/ayudas/.
CyberCamp es el evento internacional de INCIBE para identificar, atraer y promocionar el talento en ciberseguridad.
– Identificar trayectorias profesionales de los jóvenes talento.
– Detectar y promocionar el talento mediante talleres y retos técnicos.
– Atraer el talento ofreciendo conferencias y charlas de ciberseguridad por profesionales y expertos de
primer nivel.
6
Índice
1. INCIBE - ¿Qué es?
2. Introducción a la ciberseguridad
3. Objetivos del curso
4. Contexto
5. Introducción a redes y sistemas
6. Análisis de puertos
7. Análisis de vulnerabilidades
8. Explotación de vulnerabilidades
9. Post-explotación de vulnerabilidades
10. Recursos
11. Resumen
12. Práctica: “Explotando un sistema”
13. Otros datos de interés
Jornadas “Espacios de Ciberseguridad” – Fundamentos del análisis de sistemas 7
Introducción a la ciberseguridad
Evolución de las Tecnologías de la Información
• La información es uno de los principales activos de una empresa.
• Las empresas almacenan y gestionan la información en los Sistemas de Información.
• Para una empresa resulta fundamental proteger sus Sistemas de Información para que su información esté a
salvo. Dificultades:
El entorno donde las empresas desarrollan
sus actividades es cada vez más complejo
debido al desarrollo de las tecnologías de
información y otros factores del entorno
empresarial
El perfil de un ciberdelincuente de un
sistema informático ha cambiado
radicalmente. Si bien antes los objetivos
podían ser más simples (acceder a un sitio
donde nadie antes había conseguido
llegar) en la actualidad los atacantes se han
percatado de lo importante que es la
información y sobre todo de lo valiosa que
puede llegar a ser.
• Es fundamental poner los medios técnicos y organizativos necesarios para garantizar la seguridad de la
información. Para lograrlo hay que garantizar la confidencialidad, disponibilidad e integridad de la
información.
8
Introducción a la ciberseguridad
Casos notorios
• La integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
• La autenticidad: la información es lo que dice ser o el transmisor de la información es quien dice ser.
• El no repudio: Estrechamente relacionado con la Autenticidad. Permite, en caso de ser necesario, que
sea posible probar la autoría u origen de una información.
• Acciones humanas: acción intencional o accidental que pueda atentar contra la productividad.
Experto en seguridad informática, que se dedica a intervenir y/o realizar alteraciones técnicas con
buenas o malas intenciones sobre un producto o dispositivo.
Black Hat Hackers: Suelen quebrantar la seguridad de un sistema o una red con fines
maliciosos.
White Hat Hackers: normalmente son los que penetran la seguridad de los sistemas bajo
autorización para encontrar vulnerabilidades. Suelen ser contratados por empresas para
mejorar la seguridad de sus propios sistemas.
Gray (Grey) Hat Hackers: Son una mezcla entre los dos anteriores puesto que tienen una ética
ambigua. Normalmente su cometido es penetrar en sistemas de forma ilegal para luego
informar a la empresa víctima y ofrecer sus servicios para solucionarlo.
• Intercepción: se logra cuando un tercero accede a la información del ordenador o a la que se encuentra
en tránsito por la red.
• Fabricación: se crean productos, tales como páginas web o tarjetas magnéticas falsas.
• Sniffing: se produce al escuchar una red para ver toda la información transmitida por ésta.
• Man in the middle: siendo una mezcla de varias técnicas, consiste en interceptar la comunicación entre
dos interlocutores posicionándose en medio de la comunicación y monitorizando y/o alterando la
comunicación.
• Malware: se introducen programas dañinos en un sistema, como por ejemplo un virus, un keylogger
(herramientas que permiten monitorizar las pulsaciones sobre un teclado) o rootkits (herramientas que
ocultan la existencia de un intruso en un sistema).
• Ingeniería social: se obtiene la información confidencial de una persona u organismo con fines
perjudiciales. El Phishing es un ejemplo de la utilización de ingeniería social, que consigue información
de la víctima suplantando la identidad digital de una empresa u organismo por internet. Se trata de
una práctica muy habitual en el sector bancario.
• Adicionalmente existen multitud de ataques como XSS, CSRF, SQL injection, etc.
14
Introducción a la ciberseguridad
Mecanismos de defensa
Ante esta figura, ¿cómo pueden protegerse las compañías con las nuevas tecnologías?
• Internet:
• Menor capacidad de conexión.
• Muchos dispositivos intermedios.
• Muchos dispositivos de seguridad.
• Mucha mayor exposición a posibles atacantes.
• Ataque rastreable si no se toman precauciones.
172 . 16 . 254 . 1
• Formato de las direcciones IPv4 10101100 00010000 11111110 00000001
192.168.1.123 192.168.1.1
A1:B2:C3:D4:E5 AA:BB:CC:DD:EE
>> ifconfig
• A tener en cuenta:
• Con el comando anterior se obtiene la configuración de todas las interfaces (eth, wlan…)
• El comando en sistemas Windows es ipconfig
• Objetivo
• Aprender a identificar la configuración IP del equipo y la dirección de la red
192.168.1.12
• A tener en cuenta:
• El comando en sistemas Windows es tracert
• Objetivo
• Aprender a identificar los saltos que realiza el paquete hasta llegar a su destino.
Aplicación Aplicación
Transporte Transporte
Red Red
Enlace Enlace
Física Física
• Es importante conocer el campo Flags, el cual son tres bits que indican
cierta prioridad en el mensaje.
>> netstat
• A tener en cuenta:
• Las conexiones aparecen con IP y puerto origen y destino.
• Objetivo
• Identificar las conexiones abiertas, a través de qué servicio y con qué destino.
21 FTP
23 TELNET
53 DNS
80 HTTP
443 HTTPS
SYN / ACK
RST / ACK
SYN puerto 81
RST
SYN puerto 82
TODOS se utilizan para saber si un equipo remoto tiene algún puerto abierto.
SYN
SYN / ACK
RST
RST / ACK
Abierto Cerrado
Abierto Cerrado
• ACK Scan:
• Envío únicamente de la confirmación de recepción.
• Utilizado para la detección de firewalls.
ACK ACK
Abierto Cerrado
FIN FIN
Abierto Cerrado
Abierto Cerrado
abierto cerrado
Cabecera Datos
PC3
TCP 21
TCP 80
PC2
• Si vemos que por el puerto 21 hay un cortafuegos, utilizamos otro puerto(el 80) para
acceder al pc2 y a través de este, al que queremos acceder (PC3)
• A tener en cuenta:
• Existen otras técnicas para obtener el banner web.
• Objetivo
• Identificar la tecnología y versión del servidor.
Ejemplo:
• Una página web está soportada por un servidor web Apache.
• La versión de dicho servidor posee una vulnerabilidad conocida y
documentada.
• Un atacante utiliza la documentación citada para obtener el control del
servidor.
Fuente: www.openvas.org
¿Cómo se realiza?
• Tanto de forma manual o utilizando exploits.
Vulnerabilidad
Acceso al sistema
Exploit
Payload
Tenemos
control total
del sistema.
5. ¿Qué es un exploit?
2. Consiste en analizar el estado de los puertos de un equipo o una red, con el fin de detectar
posibles vulnerabilidades en función de los puertos que estén abiertos y los servicios que se
ofrecen. Existen varias técnicas como: TCP Scan, Stealth Scan, ACK Scan, Xmas Scan, FIN Scan,
etc.
3. Es una técnica utilizada para extraer información de los banners que ofrecen los servicios y que
revelan información sobre el tipo y versión del software utilizado. Se emplea para extraer
información de los posibles vectores de ataque.
Alumno 1
Alumno 2
Metasploitable
Router
Alumno n
Search ftp Devuelve las vulnerabilidades que tenemos disponibles para ftp.
Buscamos el exploit/unix/ftp/vsftpd_234_backdoor …. .. . .. . VSFTPD 2..3.4
• Show payloads Tenemos solo 1, que nos abrirá una consola para
interactuar.
• set payload cmd/unix/interact PARA CARGAR LA ACCION
Para salir:
CTRL+C
EXIT
80
Contacto (más información y dudas sobre las jornadas):
Gracias [email protected]
por tu atención En las redes sociales:
@incibe
@certsi Oficina de Seguridad del internauta
@osiseguridad (Pienso luego clico)
@CyberCampES
Pág. INCIBE