Ya escribí varios post teóricos de como mantenernos seguros en la red ( internet ) y como proteger nuestra privacidad, así que en esta oportunidad voy a continuar con el tema pero un poco más técnico; donde voy a dar algunas herramientas y ejemplos para comprobar la seguridad de la red.
Para comenzar las aplicaciones básicas que tenemos que conocer son:
– Hping3: utilidad para scaneo.
– Nmap: en su principio era un simple escaner de puertos pero hoy en día se volvió una tool compleja que hasta tiene scripts para realizar algunas tareas de investigación automatizada.
– Tcpdump: herramienta para “sniffear” / “oler” paquetes de trafico.
– Nessus: escaner de vulnerabilidades de servicios.
Como sabemos que IP tenemos ?
En cualquier Gnu/Linux abrimos una consola y tipiamos “ifconfig”, por ejemplo vamos a ver: 192.168.1.50
Como sabemos en que red estamos ?
Con el mismo comandó anterior vamos a ver el parámetro “netmask” que es la mascara de red; por ejemplo: 255.255.0.0
Si combinamos esta información con la ip que tiene nuestra maquina sabemos que estamos en la red 192.168.0.0; otro dato que nos debe importar tener es el gateway ( que va a auspiciar como router, el cual nos va a dar la posibilidad de llegar a otras redes ).
Que podemos hacer con TCPdump ?
Con esta herramienta, la cual ejecutamos en cualquiera de los puntos involucrados, podemos leer a simple vista el trafico de red ( si lo ponemos en modo verbose con la opción “-v” ); esto nos va a servir mucho para aprender. La mejor utilidad de esta herramienta es para capturar el trafico ( utilizando la opción “-w [archivo.cap]” y posteriormente utilizar WireShark para su análisis. Esto al principio puede resultarnos complejo pero con la ayuda de un buen buscador podemos entender y aprender mucho de lo que pasa por nuestra red. Uno de los usos comunes que le podemos dar a estas tools es para analizar si tenemos trafico broadcast en nuestra red.
Empecemos…
Como siempre mi recomendación es utilizar cualquier distribución Gnu/Linux, en caso que quieran una con casi todas las herramientas instaladas pueden usar Kali Linux, que adicionalmente es un Live CD ( no necesitan instalarlo en la computadora que lo vayan a usar ).
Antes de empezar, si no están al tanto, les sugiero que lean un poco sobre el protocolo TCP/UDP/ICMP, el modelo OSI y puertos TCP/IP.
Lo primero que tenemos que tener es las IPs que nos interesen investigar, eso lo pueden hacer con hping3:
hping3 -1 192.168.1.x –rand-dest –interface wlan1
— Nota: Que un equipo no responda el ping no significa que no este Online, ya que muchas veces puede ser que tenga activo el filtro para ping. De todas formas existen otras variantes para usar donde se utilizan otro tipo de paquetes que pueden ser más efectivo, lo mejor es referirse a la documentación oficial ejecutando “man hping3”.
Una vez que las hayamos obtenido los equipos que necesitamos información utilizaremos Nmap para sacar más detalles:
nmap -A [IP]
En caso que tengan filtrado el ping pueden usar:
nmap -A -P0 [IP]
Esto les va a dar bastante información, como puertos abiertos, servicios ( nombres, versiones ), sistema operativo, etc.
Si encontramos algún servicio que sepamos que no esta actualizado o que tiene muchas vulnerabilidades ( sobre todo si son versiones viejas ), ahí podemos ejecutar Nessus ( si usan la versión de comunidad es gratis ). En los resultados del análisis de Nessus van a poder encontrar vulnerabilidades de o de los servios, eso les va a dar el grado de compromiso que puede tener vuestro equipo. Las vulnerabilidades las pueden ver en detalle en CVE MITRE o simplemente buscando en google, lo importante es solucionar todas ellas ( algunas son aplicando parches, otras actualizando de versión y otras realizando cambio de configuraciones ).
Los dispositivos más importantes en un red son:
– Servidores
– Routers
– Firewalls
– Switches
– Proxy
– DHCP/DNS/NTP
– NAS
– Y todo aquel dispositivo que ofrezca un servicio que si se ve comprometido puede interferir con el normal funcionamiento de la red.
De Nessus no doy muchas especificaciones técnicas dado que el mismo es muy fácil de usar ya que su interface es por web, simplemente tenemos que cargar la o las IPs a escanear y darle al botón ejecutar. Cuando haya terminado el proceso, tendremos el reporte y ahí esta nuestra tarea de priorizar las vulnerabilidades y elaborar el plan de acción para cada una de ellas ( muchas soluciones a dichas vulnerabilidades nos las da el mismo reporte ).
Con lo que respecta la los dispositivos mencionados anteriormente lo más recomendable es que apenas hayan terminado la instalación del mismo realizarle un hardening, que es configurar las mejores practicas; estamos de acuerdo que todo ello lleva un tiempo, pero les puedo asegurar que el tiempo que inviertan al principio va a ser muy bien recompensado en el futuro sin interrupciones de servicios.
Obviamente acá no termina todo, porque minimamente hay que realizar estas acciones ( mínimas ) 2 veces por año.