La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com.

Presentaciones similares


Presentación del tema: "Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com."— Transcripción de la presentación:

1 Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com

2 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 2 Quienes somos JaCkSecurity.com S.A.C. empresa peruana que nace con la misión de: Elevar el conocimiento de los especialistas, la conciencia de los usuarios, y la seguridad de la empresas. Apuesta por esta misión desde mayo Cuenta con un equipo de asociados abocados a la seguridad en diferentes ramos.

3 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 3 Agenda Conceptos de la herramienta Prestaciones y deficiencias Lectura estándar Lectura ampliada Empleo de WinDump en el análisis de incidentes de seguridad

4 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 4 Descargo legal Si durante la charla quieres discutirme de: ¿Tu fe o mi fe? ¿Microsoft o Linux? ¿Tu partido o el mío? ¿la U o la Alianza? ¿tu IPS o mi IDS? Te invito a: IPS Comparo article uses the wrong criteria Comparo article uses the wrong criteria

5 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 5 Conceptos de la herramienta ¿IPS? …quieres más? ¿Tienes un IDS? ¿Te reportó una intrusión en un sistema seguro? Alto. Se supone que esto no debió pasar: ¿+preguntas?: ¿Lo que me dice mi IDS realmente ocurrió? ¿Cómo puedo confiar en ésta información ante un juez? Conclusión: ¿para qué sirve mi IDS? Pero ¿qué herramienta usaré para validar estos datos?

6 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 6 Windump No tienes pierde. Analizas tráfico a nivel de paquetes. No es un IDS, no detecta en firmas, aunque con él puedes hacer firmas. Te permite afinar tu IDS cada vez que te: Arroja: Positivos falsos Oculta: Negativos verdaderos Sumamente portátil: Parte de la navaja suiza de un infosec.

7 Qué hace y qué no

8 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 8 Prestaciones Nos provee un registro histórico de la actividad en nuestras redes Te permite hacer tus propias interpretaciones Funciona en Linux y Windows, es portable con Ethereal a otros decodificadores. Extrema fidelidad de lo que muestra. Sin ponerlas a prueba primero

9 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 9 ¿Vulnerabilidades? Como todo. Oficialmente: Lawrence Berkeley Lab (TCPDUMP) Windump, italianos en Politecnico di Torino Debemos cambiar nuestro WinPcaps y nuestros WinDump (de cuando en cuando)

10 Lectura estándar

11 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 11 Windump –i(Interfase) 06:08: IP javier.1411 > router.80: F 269:269(0) ack 231 win :08: IP router.80 > javier.1411: F 231:231(0) ack 269 win :08: IP javier.1411 > router.80:. ack 232 win :08: IP router.80 > javier.1411:. ack 270 win :08: IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08: IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40 Con el uso de opciones: -Más expresivo -Menos expresivo -Por defecto tiene una salida estándar.

12 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 12 Salida estándar 06:08: IP javier > router: ICMP echo request, id 1024, seq 33287, length 40 06:08: IP router > javier: ICMP echo reply, id 1024, seq 33287, length 40 06:08: IP javier.1411 > router.80: S : (0) win :08: IP router.80 > javier.1411: S : (0) ack win :08: IP javier.1411 > router.80:. ack 1 win :08: IP javier.1411 > router.80: P 1:269(268) ack 1 win :08: IP router.80 > javier.1411:. ack 269 win :08: IP router.80 > javier.1411: P 1:231(230) ack 269 win :08: IP javier.1411 > router.80: F 269:269(0) ack 231 win :08: IP router.80 > javier.1411: F 231:231(0) ack 269 win :08: IP javier.1411 > router.80:. ack 232 win :08: IP router.80 > javier.1411:. ack 270 win :08: IP javier > vpn: GREv1, call 60877, seq 1303, length 100:compressed PPP data 06:08: IP vpn > javier: GREv1, call 512, ack 1303, no-payload, length 12 06:08: IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08: IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40

13 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 13 Cómo trabaja por defecto Interfases, ¿con cual de ellas trabajo? Windump –D 1.\Device\NPF_{7F265EEC-73D9-4F5A-9F74-B FD44} (VMware Virtual Ethernet Adapter) 2.\Device\NPF_{63CEF0CE-1E2E-403A-B23C-A75D94E924A0} (VMware Virtual Ethernet Adapter) 3.\Device\NPF_{944C84B6-04ED-444A-A3D EA5EC2} (Intel(R) PRO/100 VE Network Connection (Microsoft's Packet Scheduler) ) 4.\Device\NPF_{C27704A6-5B0B-467A-A82F-14A4DC597115} (Atheros AR5001X+ Wireless Network Adapter (Microsoft's Packet Scheduler) ) Existen redes con mucho ruido 06:07: d config :50:e2:ba:89:02.801e root :50:e2:ba:89:02 pathcost 0 age 0 max 20 hello 2 fdelay 15 Windump –i(interfase) –n ether proto \ip 06:08: IP javier.jacksecurity.1411 > router. jacksecurity.80:. ack 1 win 64512

14 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 14 Algunos comandos populares Por defecto intenta resolver las direcciones IP 06:08: IP javier.jacksecurity.1411 > router. jacksecurity.80:. ack 1 win Windump –n 06:08: IP > :. ack 1 win A veces no siempre sabemos nuestras IP: Windump –N 06:08: IP javier.1411 > router.80:. ack 1 win 64512

15 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 15 El orden de los comandos Windump tiene sus formas Windump –i2 –n –N –r c:\miprimeracaptura host javier port 23 Primero, la interfase Segundo, los parámetros de visualización/captura Tercero, los comandos lectura/escritura Cuarto, los filtros

16 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 16 Repaso de protocolos UDP, orientado a la desconexión. Sin estado de paquetes Ej.: syslog(514), tftp(69), dns(53) TCP, orientado a la conexión Tiene algo llamado: Three Way-Hanshaking Ej.: HTTP (80), smtp(25), telnet(23), NetBios-Session(139) ICMP, no es sólo ping, existen diversos Tipos/Códigos (RFC 792) También, orientado a la desconexión. Ej.: PING (TYPE: 0 es echo-reply y 8 es echo)

17 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 17 ¿Cuándo sé que ha habido una comunicación entre dos nodos? TCP, Three Way-Hanshaking Saludo 3 vías Syn (are you listen in port #?) Ack (yes, I am) Syn/Ack (Lets talk) Ack, Psh, Fin, Syn

18 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 18 ¿Cuándo sé que ha habido una comunicación entre dos nodos? TCP, no hay comunicación Resets Syn (are you listen in port #?) Rst (Dont disturb me) Otras formas: la guerra del silencio (firewall/filtros

19 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 19 Proceso de Responder a incidente 1.Prepararse/mejorar 2.Proteger infraestructura 3.Detectar eventos 4.Discriminar/seleccion ar eventos 5.Respender

20 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 20 Veamos un ejemplo: Una red cuyo firewall permitía solamente HTTP y SMTP entrante hacia dos host. Tenía sólo dos host importantes: mail.habiaunavez.com Sin embargo, un día vio en Zone-H, que su seguridad había sido burlada. Defacement… ¿Qué pasó?

21 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 21 Recuperando evidencia. Revisando sus capturas halló: Luego revisando su firewall, encontró que había dejado HTTP abierto hacia su host de Correo. 16:18: IP foreing.com.1024 > mail.habiaunavez.com.80: S : (0) win :18: IP mail.habiaunavez.com.80 > foreing.com.1024: S : (0) ack win :18: IP foreing.com.1024 > mail.habiaunavez.com.80:. ack 1 win (todo lo demás es historia…)

22 Lectura Ampliada Errores de la Gestión de la Seguridad

23 JaCkCast Oficiales de Seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 23 Vistazo veloz Windump -x c c fa7 c0a c685 db d5e e

24 Incidente Ver archivo adjunto con formato.cap

25 …conocimiento,conciencia,y consultoría

26 Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C. JaCkSecurity.com ® es una marca registrada. Descargo Legal


Descargar ppt "Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com."

Presentaciones similares


Anuncios Google