LinkBack URL
About LinkBacks
Curso de EH (Modulo 2) Scanning
Lo prometido es deuda, y a pesar del atraso, aqui estoy, para el segundo modulo.
Que es el scanning o scaneo???
Un proceso de localización de sistemas, periféricos, puertos, etc, que se encuentren en una red determinada.
Los atacantes prestan total atención a estos tipos de datos:
Dirección IP
Detección de Sistemas Operativos
Descubrimiento de Puertos Abiertos
Servicios que corren detrás esos puertos
Aplicaciones
Existen 3 tipos de Scanning:
Network Scanning(busca hosts activos)Que tipos de metodologia se utiliza??
Port Scanning (determina puertos TCP/UDP abiertos)
Vulnerability Scanning (encuentra la existencia de posibles problemas)
1- Check for live system
2- Check for open ports
3- Service Identification
4- Banner Grabbing / OS Fingerprinting
5- Vulnerability Scanning
6- Draw Network Diagram
Chequear sistemas vivos
Una de las técnicas mas conocidas, para hacer un barrido en una red, para determinar los host que estén vivos es:
PING SWEEP : consiste en enviar ICMP request, a todos los periféricos seleccionados, esperando un ICMP reply.
Si uno responde, significa que esta online, y sino responde, “suponemos” que no.
TOOLS: PINKIE - ANGRY IP SCANNER - AUTOSCAN - INFILTRATOR PING SWEEP - NMAP
Hablemos ahora sobre los paquetes enviados y sus respuestas para los puertos.
HOST A HOST B
192.168.100.1:2342 ---------SYN------------> 192.168.100.2:80
192.168.100.1:2342 <--------SYN/ACK-------- 192.168.100.2:80
192.168.100.1:2342 -------------ACK -------> 192.168.100.2:80
“ A” envía un paquete con una bandera SYN a “B” (destino) para establecer una conexión TCP.
“ B” recibe el paquete SYN que envió “A” para comenzar una sesión TCP enviando un paquete SYN/ACK de regreso a “A” (si “B” envía un SYN/ACK significa que el puerto está abierto).
“A” envía un paquete ACK a “B” para indicarle que la comunicación se ha establecido y están listas para recibir data.
Esto también se conoce como una conexión TCP abierta completa (Full-open TCP connection). El problema con las conexiones Full-open es que son detectadas por los IDS (Intrusion Detection Systems) y por los Firewalls.
Cuando les hablaba de que sepan todo lo relacionado al protocolo TCP/IP, esta incluido el significado de las banderas, lo cual lo expondre aqui, a modo de repaso:
Banderas (flags) de comunicación de TCP
La comunicación estándar del protocolo de control de transmisión (TCP) es controlada por banderas en la cabecera de los paquetes TCP (TCP Packet Header). Estas banderas concentran la conexión entre hosts o computadoras, dándoles instrucciones al sistema.
Las banderas son las siguientes:
1. Synchronize – alias “SYN”, se usa para iniciar una conexión entre hosts o computadoras.
2. Acknowledgement – alias “ACK”, se usa para establecer una conexión entre hosts.
3. Push – alias “PSH”, le indica al sistema recibidor a enviar toda la data almacenada inmediatamente.
4. Urgent – alias “URG”, le indica al sistema que la data contenida en el encabezado (header) se procese de inmediato.
5. Finish – alias “FIN”, le indica al sistema remoto que no hay mas transmisiones.
6. Reset – alias “RST”, se usa para reajustar (reset) la conexión.
Hablemos de una tool muy importante para este tipo de modulo:
NMAP
Realiza Ping Sweeps
Escaneo de puertos
Identificación de servicios
Detección de direcciones IP
Detección de sistemas operativos
Diseño de la red scaneada
En la red, existen muchas versiones para Windows, Linux, por ejemplo, ZENMAP.
Según NMAP, disponemos de 3 tipos de estados en los puertos
Abierto: que significa, puerto accesible
Filtrado: significa que algún equipo esta enmascarando el puerto, para poder o no ser accesible
No filtrado: significa que el puerto esta cerrado y nadie le impide ser scaneado
Otras opciones:
-O descubrimiento del sistema operativo
-D xxx.xxx.xxx.xxx encubrimiento de la IP origen
-P xx donde xx es el puerto especifico que queremos
Puertos 0-65535
1-1024 ports privileged
1024 used registered ports
49152 dynamic y/o private ports
Ejemplo Scaneo
nmap –T aggressive –sV –O xxx.xxx.xx.xxx
De acuerdo a las opciones que usemos, podemos interpretar estos tipos de scaneo:
SYN: no completa el saludo de tres vías. Envía un paquete SYN y si recibe un SYN/ACK, se asume que se podría conectar.
Si se recibe un RST, asumimos que el puerto esta cerrado o no activo.
XMAS: envía un paquete con los flags FIN, PSH, URG, si el puerto estuviera abierto no respondería, en cambio si envía un RST/ACK, esta cerrado.
NULL: es similar al XMAS, en las limitaciones y respuestas, pero acá no envía ningún flag activado.
FIN: similar al XMAS, pero aquí únicamente envía el paquete con el flag FIN activado.
Por ultimo hablemos de un comando, muy importante para la tarea de descubrimiento:
“ PING ” = utilidad de diagnostico
ICMP (Internet Control Message Protocol) es un sub protocolo de control y notificación de errores del protocolo IP
Se utiliza para enviar mensajes de error (ej: servicio no disponible / no localizado)
Es utilizado en PING y TRACEROUTE (utiliza la técnica de Echo Request y recibe un Echo REPLY), para determinar si un host esta vivo, el tiempo que toman los paquetes en ir y volver, y la cantidad de host por los que pasa.
El mensaje ICMP de solicitud incluye, además del tipo de mensaje y el código del mismo, un número identificador y una secuencia de números, de 32 bits, que deberán coincidir con el mensaje ICMP de respuesta; además de un espacio opcional para datos.
Es un concepto usado en redes para indicar por cuántos nodos puede pasar un paquete antes de ser descartado por la red o devuelto a su origen.
El TTL como tal es un campo en la estructura del paquete del protocolo IP. Sin este campo, paquetes enviados a través de rutas no existentes, o a direcciones erróneas, estarían vagando por la red de manera infinita, utilizando ancho de banda sin una razón positiva.
Es utilizado en el paquete IP de manera que los routers puedan analizarlo y actuar según su contenido. Si un router recibe un paquete con un TTL igual a uno o cero, no lo envía a través de sus puertos, sino que notifica vía ICMP a la dirección IP origen que el destino se encuentra "muy alejado" y procede a descartar dicho paquete. Si un paquete es recibido por un router que no es el destino, éste decrementa el valor del TTL en uno y envía el paquete al siguiente router (next hop).
En el protocolo IP, esta información se almacena en un campo de 8 bits. El valor óptimo para aprovechar el rendimiento en Internet es de 128.
Siguiendo con el curso (perdon por la demora, pero tuvo que irme al exterior), les dejo una web con el listado de puertos y servicios completos:
http://www.internautas.org/archivos/port-numbers.txt
OS Fingerprinting, es el método que determina que tipo de SO corre el objetivo
Tenemos 2 tipos de Fingerprinting: Activo / Pasivo
Banner Grabbing, es el proceso en el que podremos leer los banners de las aplicaciones para determinar nombres de las aplicaciones, versiones, etc.
Ambas acciones se complementan, dado que el resultado de las mismas, se volcara hacia la búsqueda de vulnerabilidades
La web de Netcraft, tambien nos dara unos datos interesantes, en el post de practicas, pondre un ejercicio, al respecto
Por ultimo, para el diagrama de red, tenemos el FriendlyPinger o el LanState, para poder diseñar y tener una idea aproximada de como esta la red.
Uno puede utilizar el programa que vea que es adecuado para diseñar, el asunto es tener bien en claro, los perifericos mas importantes y su posible ubicacion.
Se habran dado cuenta, que tenemos muchas tools, para este tipo de tareas, el reconocimiento, es algo primordial en el proceso de scanning, es muy sencillo pasar un scanner, el tema es donde?? a quien??? para que???
Estas respuestas, seran contestadas, gracias a que ustedes podran diseñar el mapa, tener una idea de como esta armado todo, tengan en cuenta, que un tipo de pentest en entorno BlackBox, es no saber nada, el cliente no les dara ningún tipo de información, entonces ahi tendremos que utilizar todos nuestros medios, para poder recolectar todo lo necesario.
Bien, espero que este modulo les haya gustado, pronto corregire los trabajos que mandaron, y espero para la proxima semana, postear el modulo 3, Enumeración.
Slds.
Citar
