La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis de Incidentes con WinDump

Publicada porBelén Santillanes Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Análisis de Incidentes con WinDump"— Transcripción de la presentación:

1 Análisis de Incidentes con WinDump
Javier Romero, CISSP GCIA GCSC JaCkSecurity.com

2 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Quienes somos JaCkSecurity.com S.A.C. empresa peruana que nace con la misión de: Elevar el conocimiento de los especialistas, la conciencia de los usuarios, y la seguridad de la empresas. Apuesta por esta misión desde mayo 2004. Cuenta con un equipo de asociados abocados a la seguridad en diferentes ramos. Análisis de Incidentes con Windump © JaCkSecurity.com

3 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Agenda Conceptos de la herramienta Prestaciones y deficiencias Lectura estándar Lectura ampliada Empleo de WinDump en el análisis de incidentes de seguridad Análisis de Incidentes con Windump © JaCkSecurity.com

4 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Descargo legal Si durante la charla quieres discutirme de: ¿Tu fe o mi fe? ¿Microsoft o Linux? ¿Tu partido o el mío? ¿la U o la Alianza? ¿tu IPS o mi IDS? Te invito a: “IPS Comparo article uses the wrong criteria” Análisis de Incidentes con Windump © JaCkSecurity.com

5 Conceptos de la herramienta
¿IPS? …quieres más? ¿Tienes un IDS? ¿Te reportó una intrusión en un sistema seguro? Alto. Se supone que esto no debió pasar: ¿+preguntas?: ¿Lo que me dice mi IDS realmente ocurrió? ¿Cómo puedo confiar en ésta información ante un juez? Conclusión: ¿para qué sirve mi IDS? Pero ¿qué herramienta usaré para validar estos datos? Más discusiones de un IPS? Diríjase a: Análisis de Incidentes con Windump © JaCkSecurity.com

6 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
No tienes pierde. Analizas tráfico a nivel de paquetes. No es un IDS, no detecta en firmas, aunque con él puedes hacer firmas. Te permite afinar tu IDS cada vez que te: Arroja: Positivos falsos Oculta: Negativos verdaderos Sumamente portátil: Parte de la navaja suiza de un infosec. Windump es una herramienta sumamente útil para analizar el tráfico en nuestras redes LAN. Con simples y sencillas concatenaciones podemos conocer rápidamente de patrones de tráfico anormal, que no haríamos en un Sniffer convencional. Análisis de Incidentes con Windump © JaCkSecurity.com

7 Qué hace y qué no

8 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Prestaciones Nos provee un registro histórico de la actividad en nuestras redes Te permite hacer tus propias “interpretaciones” Funciona en Linux y Windows, es portable con Ethereal a otros decodificadores. Extrema fidelidad de lo que muestra. Sin ponerlas a prueba primero Análisis de Incidentes con Windump © JaCkSecurity.com

9 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
¿Vulnerabilidades? Como todo. Oficialmente: Lawrence Berkeley Lab (TCPDUMP) Windump, italianos en “Politecnico di Torino” Debemos cambiar nuestro WinPcaps y nuestros WinDump (de cuando en cuando) Análisis de Incidentes con Windump © JaCkSecurity.com

10 Lectura estándar

11 Windump –i(Interfase)
06:08: IP javier.1411 > router.80: F 269:269(0) ack 231 win 64282 06:08: IP router.80 > javier.1411: F 231:231(0) ack 269 win 5840 06:08: IP javier.1411 > router.80: . ack 232 win 64282 06:08: IP router.80 > javier.1411: . ack 270 win 5840 06:08: IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08: IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40 Con el uso de opciones: Más expresivo Menos expresivo Por defecto tiene una salida estándar. Análisis de Incidentes con Windump © JaCkSecurity.com

12 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Salida estándar 06:08: IP javier > router: ICMP echo request, id 1024, seq 33287, length 40 06:08: IP router > javier: ICMP echo reply, id 1024, seq 33287, length 40 06:08: IP javier.1411 > router.80: S : (0) win <mss 1460,nop,nop,sackOK> 06:08: IP router.80 > javier.1411: S : (0) ack win 5840 <mss 1460,nop,nop,sackOK> 06:08: IP javier.1411 > router.80: . ack 1 win 64512 06:08: IP javier.1411 > router.80: P 1:269(268) ack 1 win 64512 06:08: IP router.80 > javier.1411: . ack 269 win 5840 06:08: IP router.80 > javier.1411: P 1:231(230) ack 269 win 5840 06:08: IP javier.1411 > router.80: F 269:269(0) ack 231 win 64282 06:08: IP router.80 > javier.1411: F 231:231(0) ack 269 win 5840 06:08: IP javier.1411 > router.80: . ack 232 win 64282 06:08: IP router.80 > javier.1411: . ack 270 win 5840 06:08: IP javier > vpn: GREv1, call 60877, seq 1303, length 100:compressed PPP data 06:08: IP vpn > javier: GREv1, call 512, ack 1303, no-payload, length 12 06:08: IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08: IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40 Análisis de Incidentes con Windump © JaCkSecurity.com

13 Cómo trabaja por defecto
Interfases, ¿con cual de ellas trabajo? Windump –D 1.\Device\NPF_{7F265EEC-73D9-4F5A-9F74-B FD44} (VMware Virtual Ethernet Adapter) 2.\Device\NPF_{63CEF0CE-1E2E-403A-B23C-A75D94E924A0} (VMware Virtual Ethernet Adapter) 3.\Device\NPF_{944C84B6-04ED-444A-A3D EA5EC2} (Intel(R) PRO/100 VE Network Connection (Microsoft's Packet Scheduler) ) 4.\Device\NPF_{C27704A6-5B0B-467A-A82F-14A4DC597115} (Atheros AR5001X+ Wireless Network Adapter (Microsoft's Packet Scheduler) ) Existen redes con mucho ruido 06:07: d config :50:e2:ba:89:02.801e root :50:e2:ba:89:02 pathcost 0 age 0 max 20 hello 2 fdelay 15 Windump –i(interfase) –n ether proto \ip 06:08: IP javier.jacksecurity.1411 > router. jacksecurity.80: . ack 1 win 64512 Análisis de Incidentes con Windump © JaCkSecurity.com

14 Algunos comandos populares
Por defecto intenta resolver las direcciones IP 06:08: IP javier.jacksecurity.1411 > router. jacksecurity.80: . ack 1 win 64512 Windump –n 06:08: IP > : . ack 1 win 64512 A veces no siempre sabemos nuestras IP: Windump –N 06:08: IP javier.1411 > router.80: . ack 1 win 64512 Análisis de Incidentes con Windump © JaCkSecurity.com

15 El orden de los comandos
Windump tiene sus formas Windump –i2 –n –N –r c:\miprimeracaptura host javier port 23 Primero, la interfase Segundo, los parámetros de visualización/captura Tercero, los comandos lectura/escritura Cuarto, los filtros Análisis de Incidentes con Windump © JaCkSecurity.com

16 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Repaso de protocolos UDP, orientado a la desconexión. Sin estado de paquetes Ej.: syslog(514), tftp(69), dns(53) TCP, orientado a la conexión Tiene algo llamado: Three Way-Hanshaking Ej.: HTTP (80), smtp(25), telnet(23), NetBios-Session(139) ICMP, no es sólo ping, existen diversos Tipos/Códigos (RFC 792) También, orientado a la desconexión. Ej.: PING (TYPE: 0 es echo-reply y 8 es echo) Análisis de Incidentes con Windump © JaCkSecurity.com

17 ¿Cuándo sé que ha habido una comunicación entre dos nodos?
TCP, Three Way-Hanshaking Syn (are you listen in port #?) Saludo 3 vías Ack (yes, I am) Syn/Ack (Let’s talk) Ack, Psh, Fin, Syn Análisis de Incidentes con Windump © JaCkSecurity.com

18 ¿Cuándo sé que ha habido una comunicación entre dos nodos?
TCP, no hay comunicación Syn (are you listen in port #?) Resets Rst (Don’t disturb me) Otras formas: la guerra del silencio (firewall/filtros Análisis de Incidentes con Windump © JaCkSecurity.com

19 Proceso de Responder a incidente
¿Qué es primero? Prepararse/mejorar Proteger infraestructura Detectar eventos Discriminar/seleccionar eventos Respender Análisis de Incidentes con Windump © JaCkSecurity.com

20 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Veamos un ejemplo: Una red cuyo firewall permitía solamente HTTP y SMTP entrante hacia dos host. Tenía sólo dos host importantes: mail.habiaunavez.com Sin embargo, un día vio en Zone-H, que su seguridad había sido burlada. Defacement… ¿Qué pasó? Análisis de Incidentes con Windump © JaCkSecurity.com

21 Recuperando evidencia.
Revisando sus capturas halló: 16:18: IP foreing.com.1024 > mail.habiaunavez.com.80: S : (0) win <mss 1460,nop,nop,sackOK> 16:18: IP mail.habiaunavez.com.80 > foreing.com.1024: S : (0) ack win 5840 <mss 1460,nop,nop,sackOK> 16:18: IP foreing.com.1024 > mail.habiaunavez.com.80: . ack 1 win 64512 ...(todo lo demás es historia…) Luego revisando su firewall, encontró que había dejado HTTP abierto hacia su host de Correo. Análisis de Incidentes con Windump © JaCkSecurity.com

22 Errores de la Gestión de la Seguridad
Lectura Ampliada Errores de la Gestión de la Seguridad

23 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Vistazo veloz Windump -x c c fa7 c0a8 0122 c685 db d5e e 0000 Análisis de Incidentes con Windump © JaCkSecurity.com

24 Ver archivo adjunto con formato .cap
Incidente Ver archivo adjunto con formato .cap

25 …conocimiento, conciencia, y consultoría
Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.

26 Descargo Legal Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C. JaCkSecurity.com® es una marca registrada. Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.

Descargar ppt "Análisis de Incidentes con WinDump"

Presentaciones similares

Revisión Nº:Descripción:Fecha: 00Elaboración de la documentación30/06/11 Copia Controlada :Nº: F-1.01.05 /REV. 00 ACCESO A LA WEB DEL CPR DE TARAZONA Cód.:

Revisión Nº:Descripción:Fecha: 00Elaboración de la documentación30/06/11 Copia Controlada :Nº: F /REV. 00 ACCESO A LA WEB DEL CPR DE TARAZONA Cód.:
Propiedades de los Reales

Propiedades de los Reales
MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA la storia la historia lhistoire the history strada calle rue street.

MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA la storia la historia lhistoire the history strada calle rue street.
Paso 1 Portada YO SOY EUROPEO Comisión Europea.

Paso 1 Portada YO SOY EUROPEO Comisión Europea.
COMPARATIVA CONVOCATORIAS FINALIZADAS EN 2012. Bilbao, 2013 2 Satisfacción de Clientes OBJETO Y ALCANCE Convocatorias finalizadas en 2012.

COMPARATIVA CONVOCATORIAS FINALIZADAS EN Bilbao, Satisfacción de Clientes OBJETO Y ALCANCE Convocatorias finalizadas en 2012.
Capa 4 Capa de Transporte

Capa 4 Capa de Transporte
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Reportes por Períodos Guía para obtener reportes por períodos Octubre 2008.

Reportes por Períodos Guía para obtener reportes por períodos Octubre 2008.
Reportes de Tutoriales Guía para obtener reportes de tutoriales Octubre 2008.

Reportes de Tutoriales Guía para obtener reportes de tutoriales Octubre 2008.
Características de RIP versión 2

Características de RIP versión 2
1 Seguridad (4/4) redes y seguridad Protección de datos en una red.

1 Seguridad (4/4) redes y seguridad Protección de datos en una red.
C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.

C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.
Prácticas sobre el protocolo TCP

Prácticas sobre el protocolo TCP
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.

Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
Autodesk Civil 3D 2007 Essentials

Autodesk Civil 3D 2007 Essentials
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.
4. Mantenimiento de los espacios de trabajo. Manual de formación 2 4. Modificación de los espacios de trabajo 4.1 Introducción……………………………….……..……..…pág.

4. Mantenimiento de los espacios de trabajo. Manual de formación 2 4. Modificación de los espacios de trabajo 4.1 Introducción……………………………….……..……..…pág.

Presentaciones similares

Anuncios Google