[HACK] Auditando redes

Antonio Sanz ansa at sgi.es
Wed Jan 10 15:02:26 CET 2001 

Muy buenas a todos...

Yo he realizado un par de auditorías de seguridad, y voy a comentar por encima el
proceso que
seguimos por aquí...


1. Recopilación de información anónima no intrusiva
--------------------------------------------------------------

En este punto lo único que tenemos es el nombre de la empresa. Nada más. Es el
momento de empezar a
buscar info por todas partes. Lo mejor es tirar de buscador y obtener la página
web de la empresa, a
partir de la cual se saca su IP.

Con dicha IP (y el dominio), podemos ir a preguntar a su DNS en busca de más
info. Con suerte (si el
servidor no está bien configurado), podremos obtener todas las IP de su rango,
además de sus servidores
de correo salientes y/o más DNS que posean.

En paralelo se van visitando todas las páginas web que tenga la empresa en busca
de redirecciones a
otros dominios (que se pasan por el mismo tratamiento antes citado). También es
recomendable descargarse
la página web en su totalidad para estudiarla a fondo (sobre todo el JavaScript y
los CGI a los
que llame, que pueden tener bugs hallables a través de Internet...).

Como última medida (un poco más ruidosa), no está de más el lanzar conexiones
Telnet (vamos, un port scanning de toda la vida) a los servicios que tengamos
identificados, en busca de los tipos de máquinas y de servidores que tenemos
activos (p.e., saber que el servidor web es un IIS 4.0 te dice que la máquina es
un NT).

Menos el último paso, todos los anteriores no van a despertar ninguna alarma (y
el último solo en casos
de admins realmente paranoicos).

2. Exploración en caja negra:
----------------------------------

En este punto seguimos sin saber cómo es por dentro la red, así que toca realizar
exámenes más
exhaustivos (y más intrusivos a su vez). Es el momento de lanzar una herramienta
de detección de
vulnerabilidades, de las que cito algunas (comerciales y no comerciales):

- Comerciales: Cybercop Scanner de NAI
                      Internet Security Scanner de ISS
- Gratuitas:      Nessus
                       Saint (la versión renovada del SATAN)
                       nmap (scan de puertos solo, pero el mejor actualmente).

Se lanzan al menos dos de estas herramientas (para tener doble comprobación).
Estas herramientas
devolverán una serie de vulnerabilidades, que habrá que cotejar y apuntar.
Importante es el scan de
puertos, ya que puede decirte qué servicios corren en una máquina y decirte de un
vistazo su
funcionalidad.

En este punto siempre se tiene la duda entre comercial y gratuito. Las
herramientas comerciales te aseguran una latencia mínima a la hora de incluir las
últimas vulnerabilidades, pero, lo más importante, te aseguran que el software
está "limpio" y funciona (en principio) sin bugs peligrosos. Si el scan de
vulnerabilidades de Nessus te tira un servidor del cliente que está en producción
a las 11 de la maña, puedes dar por hecho que no se van a quedar muy contentos...

3. Exploración en caja blanca
-----------------------------------

En este punto te sientas delante de la máquina a auditar con un admin de la
empresa delante, y le vas
diciendo comandos que debe teclear. Se examina el sistema desde dentro: servicios
activos, procesos que
se ejecutan.....y la configuración de todos los servicios activos (que a mi
parecer es lo más
costoso, porque no puedes ser experto en TODO lo que hay corriendo por ahí....).
Se aprovecha esta fase
para comprobar los datos obtenidos en la fase de exploración de caja negra (para
descartar "falsos
positivos").

4. Redacción de informe
-----------------------------

Todo lo obtenido va a un informe tamaño familiar en el que se detallan con pelos
y señales todo lo
encontrado, junto con (punto importantísimo) las recomendaciones de seguridad
emitidas para solucionar
los problemas. Probablemente, el punto más coñazo de la auditoría, ya que tienes
que redactarlo
todo y añadir los ficheros correspondientes para probar lo que has encontrado.


Más o menos estos son los pasos...Esto es lo que se suele hacer en el caso de una
auditoría SIN
penetración (es decir, no nos metemos en los ordenatas de la empresa en ningún
momento), que es lo que
la mayoría de empresas contrata (a nadie le gusta tener gente hurgando
dentro...).

Espero que os sirva de ayuda....


--
Antonio Sanz
http://www.sgi.es
mailto:asanz at sgi.es (Note the new domain: sgi.es)
SGI-Soluciones Globales Internet
IT Security Dept.
+34-91-806-4640  +34-91-806-4641 (FAX)


FiC wrote:

> Hola. Me gustaría conocer vuestras preferencias a la hora de auditar redes,
> tanto auditorias internas como externas: escaneadores de vulnerabilidades
> (tipo Saint, Sara o nmap, etc...), monitores, detectores de intrusos así como
> las técnicas y procedimientos más usados.
>
> ¿Hay alguna web donde encontrar información especializada en auditorias?
> ¿Algún libro? En la página de JCEA hay una sección sobre auditorias que no
> tiene link (supongo que estará en construcción...)
>

More information about the hacking mailing list