[HACK] Auditando redes

[Antonio Sanz]

Muy buenas a todos...

Para el caso de test de penetración no existe un procedimiento establecido....porque
cada red a auditar es un mundo diferente.

En un principio lo que se hace es recolectar toda la información obtenida en los
capítulos anteriores. Con ello tienes una buena cantidad de info, que debería ser
suficiente como para que tuvieras una idea de la topología de la red y de los
elementos que tienes en ella (si has podido realizar un scan desde la propia red, por
detrás del cortafuegos, entonces seguro que tienes una cantidad indecente de
"chicha").

Una vez definida la topología, hay que distinguir dos tipos de elementos: las máquinas
que deseamos controlar (que suelen ser las más jugosas de la red, como puede ser el
cortafuegos, la consola de gestión, la máquina de backups...), y las máquinas a las
que podemos lograr acceso.

El siguiente punto es lograr una vía de entrada, una cabeza de puente para la
invasión. Se supone que durante toda la etapa de análisis anterior se ha podido
recoger información que pueda llegar a vulnerar alguna de las máquinas de la red (si
no has sacado NADA de nada, eso es que o has hecho algo mal, o los tipos que han
configurado la red, o ya han sufrido otra auditoría, o son REALMENTE buenos). Una vez
tienes una entrada en una máquina, lo primero es obtener acceso root (estas cosas las
cuento a grandes rasgos, cada cual verá cómo hacerlo).

Una vez abierta la caja (que es siempre lo más difícil), es cuestión de tener
paciencia. Se aprovechan las relaciones de confianza entre máquinas (esos fantásticos
scripts de backup que utilizan rsh y .rhosts), se instalan unos sniffers de red para
capturar contraseñas, se realizan ataques de "secuestro de conexión" sobre sesiones de
administración a altas horas de la noche.

En este punto se ve la preocupación por la seguridad de los admin. Es sencíllisimo
encontrar /etc/passwd con pass tiradas de crackear, contraseñas de acceso escritas en
scripts que automatizan tareas, contraseñas que se repiten en varios equipos...Por
triste que parezca, la mayoría de las empresas creen que solo por tener un cortafuegos
ya están totalmente a salvo, y ni se preocupan de desactivar el "echo/chargen/daytime"
de sus máquinas Sun. Y por eso pasa lo que pasa.

Una vez alcanzado las máquinas objetivo, se da por terminada la intrusión (la idea es
intentar ahondar lo más posible, pero como estas cosas van por tiempo, y el tiempo es
dinero, es mejor fijar unos objetivos y limitarse a cumplirlos. Además, solo con que
entres hasta donde te propones, es suficiente como para darles un "susto").

Dos consideraciones: En primer lugar, a menos que te hayan dado permiso expreso para
hacerlo (que no suele ser nunca), NO SE PUEDE CORTAR EL SERVICIO. Si su servidor web
cae fulminado por tu DoS a las 12:00, rodarán cabezas. La tuya la primera. Todo aquel
ataque que pueda disrumpir el servicio queda totalmente descartado (ya sé que se
limita algo el rango de ataques, pero el cliente paga para mejorar el servicio, no
para degradarlo...). En segundo lugar, hay que establecer antes de realizar la
auditoría si se va a dar o no aviso instantáneo al cliente de las vulnerabilidades
graves encontradas. Esto puede resultar bueno por un lado (las cosas feas se resuelven
antes) pero también contraproducente (si están avisados de un ataque, pueden tapar el
agujero, y es una vía menos de entrada que tienes).

Es recomendable guardar un registro de todas las actuaciones que se van realizando en
cada máquina (para guardarte las espaldas) mediante el comando "script", para así
luego tener más fácil la tarea de "limpieza" (cuando la auditoría finaliza, hay que
limpiar de sniffers, rootkits y demás lindezas toda la red).

Nota para "masters": Una vez tengas toda la intrusión hecha, graba un vídeo con todo
el ataque y pónselo durante la presentación del informe. Las mandíbulas se sueltan que
da gusto....;-)

Saludos,

Antonio Sanz
SGI Soluciones Globales Internet

"RoMaN SoFt / LLFB !!" wrote:

> On Wed, 10 Jan 2001 15:02:26 +0100, you wrote:
>
> >Más o menos estos son los pasos...Esto es lo que se suele hacer en el caso de una
> >auditoría SIN
> >penetración (es decir, no nos metemos en los ordenatas de la empresa en ningún
> >momento), que es lo que
> >la mayoría de empresas contrata (a nadie le gusta tener gente hurgando
> >dentro...).
>
>  ¿Podrías redactar tb el caso de CON penetración?