Análisis de Incidentes con WinDump

Slides:

Advertisements

Presentaciones similares

Revisión Nº:Descripción:Fecha: 00Elaboración de la documentación30/06/11 Copia Controlada :Nº: F /REV. 00 ACCESO A LA WEB DEL CPR DE TARAZONA Cód.:

Advertisements

Propiedades de los Reales

MOVIMIENTO JOVENES DE LA CALLE CIUDAD DE GUATEMALA la storia la historia lhistoire the history strada calle rue street.

Paso 1 Portada YO SOY EUROPEO Comisión Europea.

COMPARATIVA CONVOCATORIAS FINALIZADAS EN Bilbao, Satisfacción de Clientes OBJETO Y ALCANCE Convocatorias finalizadas en 2012.

Capa 4 Capa de Transporte

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta

Reportes por Períodos Guía para obtener reportes por períodos Octubre 2008.

Reportes de Tutoriales Guía para obtener reportes de tutoriales Octubre 2008.

Características de RIP versión 2

1 Seguridad (4/4) redes y seguridad Protección de datos en una red.

C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.

Prácticas sobre el protocolo TCP

Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.

Autodesk Civil 3D 2007 Essentials

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.

4. Mantenimiento de los espacios de trabajo. Manual de formación 2 4. Modificación de los espacios de trabajo 4.1 Introducción……………………………….……..……..…pág.

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Creación del prototipo de la red del campus

29/03/2017 ROUTING IP Herramientas Basicas Redes Convergentes.

SERVICIOS DE TCP/IP.

Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7

Tecnológico de Estudios Superiores de Coacalco ING. SISTEMAS COMPUTACIONALES Por: Marlenne Pérez Garibay.

Herramientas para anfitrión y presentador Servei de Formació Permanent i Innovació Educativa.

Software(s) para analizar trafico de red y ancho de banda

Sistema Para GENERAR gráficas a partir de logs tcpdump usando Hadoop

Seguridad de redes empresariales

JORNADAS TÉCNICAS RED IRIS 2004 Grupo de Interconexión de Redes de Banda Ancha, ITACA Universidad Politécnica de Valencia Toledo, de octubre de 2004.

TALLER DE CALIDAD Nº 7 “Documentación requisito a socializar “

PASOS PARA EL FORMATEO DE UN PC

1 Para editar los resultados obtenidos usamos File -> Edit.

Protocolo IP Direccionamiento de Red – IPv4

Información pública de Cisco1© 2007 Cisco Systems, Inc. Todos los derechos reservados. Resolución de problemas de la red Networking para el hogar y pequeñas.

Exploración de la infraestructura de red empresarial

JORNADA 1 DEL 24 DE MARZO AL 30 DE MARZO EQUIPO 01 VS EQUIPO 02 EQUIPO 03 VS EQUIPO 06 EQUIPO 05 VS EQUIPO 10 EQUIPO 07 DESCANSA EQUIPO 08 VS EQUIPO 13.

UNIDAD IV VLSM Y CIDR.

Enrutamiento con un protocolo de Link-State

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Resolución de problemas de una red empresarial Introducción al.

Pasos Para Instalar Windows XP

Investigación en acción

1 Palencia, 22 de enero de 2004 Área de Programas Educativos Encuesta para Alumnos de nuevo ingreso en Ciclos Formativos de Formación Profesional. Palencia.

Learning Zone Matemáticas 101

Vicegerencia de las TIC - IKT Gerenteordetza SAREZAIN v2 Luismi Hernando Aritz Santxo.

INSTRUCCIONES Desarrollo del curso Facilitador COORDINACIÓN GENERAL

Aspectos básicos de networking: Clase 5

1 Correo Electrónico TALLER DE ALFABETIZACIÓN DIGITAL.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Listas de control de acceso Acceso a la WAN: capítulo 5.

1 Uciel Fragoso RodríguezITAMRedes TCP/IP Protocolo TCP (Transmission Control Protocol)

© GMV, 2008 Propiedad de GMV Todos los derechos reservados Tratamiento de datos en el ámbito de los Recursos Humanos Visión práctica.

Sebastián Barbieri IP - ICMP Comunicación de Datos II Ingeniería en Sistemas – Facultad Cs. Exactas Universidad Nacional de Centro de la Prov. de Bs. As.

Direccionamiento de la red: IPv4

1. Los propósitos del curso fueron claros desde el principio 2. Se alcanzaron ampliamente los objetivos planteados en el curso 3. Las actividades realizadas.

Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security

1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.

66.69 Criptografía y Seguridad Informática FIREWALL.

Aplicaciones / Interfaz con la Red

8.6-1 Capítulo 8, Sección 8.6: IPsec Material basado en el Texto: Computer Networking: A Top Down Approach Featuring the Internet, Jim Kurose, Keith Ross.

Ataques de Canales Encubiertos

Presentado a: Ing. Diego Pinilla Redes

 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)

CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS

ADMINISTRACIÓN DE REDES Análisis de Tráfico. Es el proceso de capturar tráfico de la red y de examinarlo de cerca para determinar qué está sucediendo.

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.

Ing. Elizabeth Guerrero V.

Ing. Elizabeth Guerrero V.

PROTOCOLOS DE COMUNICACIÓN PRESENTAN: GUADALUPE MORALES VALADEZ ESTELA ORTEGA AGUILAR IRAIS UGARTE BAUTISTA LAURA ARELI JERONIMO FLORES ANA LILIA CONDE.

Transcripción de la presentación:

Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Quienes somos JaCkSecurity.com S.A.C. empresa peruana que nace con la misión de: Elevar el conocimiento de los especialistas, la conciencia de los usuarios, y la seguridad de la empresas. Apuesta por esta misión desde mayo 2004. Cuenta con un equipo de asociados abocados a la seguridad en diferentes ramos. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Agenda Conceptos de la herramienta Prestaciones y deficiencias Lectura estándar Lectura ampliada Empleo de WinDump en el análisis de incidentes de seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Descargo legal Si durante la charla quieres discutirme de: ¿Tu fe o mi fe? ¿Microsoft o Linux? ¿Tu partido o el mío? ¿la U o la Alianza? ¿tu IPS o mi IDS? Te invito a: “IPS Comparo article uses the wrong criteria” http://www.infosyssec.com/forum/viewtopic.php?t=2225 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Conceptos de la herramienta ¿IPS? …quieres más? ¿Tienes un IDS? ¿Te reportó una intrusión en un sistema seguro? Alto. Se supone que esto no debió pasar: ¿+preguntas?: ¿Lo que me dice mi IDS realmente ocurrió? ¿Cómo puedo confiar en ésta información ante un juez? Conclusión: ¿para qué sirve mi IDS? Pero ¿qué herramienta usaré para validar estos datos? Más discusiones de un IPS? Diríjase a: Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com No tienes pierde. Analizas tráfico a nivel de paquetes. No es un IDS, no detecta en firmas, aunque con él puedes hacer firmas. Te permite afinar tu IDS cada vez que te: Arroja: Positivos falsos Oculta: Negativos verdaderos Sumamente portátil: Parte de la navaja suiza de un infosec. Windump es una herramienta sumamente útil para analizar el tráfico en nuestras redes LAN. Con simples y sencillas concatenaciones podemos conocer rápidamente de patrones de tráfico anormal, que no haríamos en un Sniffer convencional. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Qué hace y qué no

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Prestaciones Nos provee un registro histórico de la actividad en nuestras redes Te permite hacer tus propias “interpretaciones” Funciona en Linux y Windows, es portable con Ethereal a otros decodificadores. Extrema fidelidad de lo que muestra. Sin ponerlas a prueba primero Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com ¿Vulnerabilidades? Como todo. Oficialmente: Lawrence Berkeley Lab (TCPDUMP) Windump, italianos en “Politecnico di Torino” Debemos cambiar nuestro WinPcaps y nuestros WinDump (de cuando en cuando) Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Lectura estándar

Windump –i(Interfase) 06:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 64282 06:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 5840 06:08:24.954393 IP javier.1411 > router.80: . ack 232 win 64282 06:08:24.954898 IP router.80 > javier.1411: . ack 270 win 5840 06:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40 Con el uso de opciones: Más expresivo Menos expresivo Por defecto tiene una salida estándar. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Salida estándar 06:08:24.365424 IP javier > router: ICMP echo request, id 1024, seq 33287, length 40 06:08:24.366012 IP router > javier: ICMP echo reply, id 1024, seq 33287, length 40 06:08:24.949889 IP javier.1411 > router.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK> 06:08:24.950568 IP router.80 > javier.1411: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK> 06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 64512 06:08:24.950730 IP javier.1411 > router.80: P 1:269(268) ack 1 win 64512 06:08:24.951664 IP router.80 > javier.1411: . ack 269 win 5840 06:08:24.954096 IP router.80 > javier.1411: P 1:231(230) ack 269 win 5840 06:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 64282 06:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 5840 06:08:24.954393 IP javier.1411 > router.80: . ack 232 win 64282 06:08:24.954898 IP router.80 > javier.1411: . ack 270 win 5840 06:08:25.162188 IP javier > vpn: GREv1, call 60877, seq 1303, length 100:compressed PPP data 06:08:25.274701 IP vpn > javier: GREv1, call 512, ack 1303, no-payload, length 12 06:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Cómo trabaja por defecto Interfases, ¿con cual de ellas trabajo? Windump –D 1.\Device\NPF_{7F265EEC-73D9-4F5A-9F74-B2555444FD44} (VMware Virtual Ethernet Adapter) 2.\Device\NPF_{63CEF0CE-1E2E-403A-B23C-A75D94E924A0} (VMware Virtual Ethernet Adapter) 3.\Device\NPF_{944C84B6-04ED-444A-A3D3-532303EA5EC2} (Intel(R) PRO/100 VE Network Connection (Microsoft's Packet Scheduler) ) 4.\Device\NPF_{C27704A6-5B0B-467A-A82F-14A4DC597115} (Atheros AR5001X+ Wireless Network Adapter (Microsoft's Packet Scheduler) ) Existen redes con mucho ruido 06:07:02.922980 802.1d config 8000.00:50:e2:ba:89:02.801e root 8000.00:50:e2:ba:89:02 pathcost 0 age 0 max 20 hello 2 fdelay 15 Windump –i(interfase) –n ether proto \ip 06:08:24.950590 IP javier.jacksecurity.1411 > router. jacksecurity.80: . ack 1 win 64512 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Algunos comandos populares Por defecto intenta resolver las direcciones IP 06:08:24.950590 IP javier.jacksecurity.1411 > router. jacksecurity.80: . ack 1 win 64512 Windump –n 06:08:24.950590 IP 192.168.1.34.1411 > 192.168.1.1.80: . ack 1 win 64512 A veces no siempre sabemos nuestras IP: Windump –N 06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 64512 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

El orden de los comandos Windump tiene sus formas Windump –i2 –n –N –r c:\miprimeracaptura host javier port 23 Primero, la interfase Segundo, los parámetros de visualización/captura Tercero, los comandos lectura/escritura Cuarto, los filtros Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Repaso de protocolos UDP, orientado a la desconexión. Sin estado de paquetes Ej.: syslog(514), tftp(69), dns(53) TCP, orientado a la conexión Tiene algo llamado: Three Way-Hanshaking Ej.: HTTP (80), smtp(25), telnet(23), NetBios-Session(139) ICMP, no es sólo ping, existen diversos Tipos/Códigos (RFC 792) También, orientado a la desconexión. Ej.: PING (TYPE: 0 es echo-reply y 8 es echo) Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

¿Cuándo sé que ha habido una comunicación entre dos nodos? TCP, Three Way-Hanshaking Syn (are you listen in port #?) Saludo 3 vías Ack (yes, I am) Syn/Ack (Let’s talk) Ack, Psh, Fin, Syn Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

¿Cuándo sé que ha habido una comunicación entre dos nodos? TCP, no hay comunicación Syn (are you listen in port #?) Resets Rst (Don’t disturb me) Otras formas: la guerra del silencio (firewall/filtros Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Proceso de Responder a incidente ¿Qué es primero? Prepararse/mejorar Proteger infraestructura Detectar eventos Discriminar/seleccionar eventos Respender http://www.cert.org/archive/pdf/04tr015.pdf Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Veamos un ejemplo: Una red cuyo firewall permitía solamente HTTP y SMTP entrante hacia dos host. Tenía sólo dos host importantes: www.habiaunavez.com mail.habiaunavez.com Sin embargo, un día vio en Zone-H, que su seguridad había sido burlada. Defacement… ¿Qué pasó? Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Recuperando evidencia. Revisando sus capturas halló: 16:18:24.359889 IP foreing.com.1024 > mail.habiaunavez.com.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK> 16:18:24.360568 IP mail.habiaunavez.com.80 > foreing.com.1024: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK> 16:18:25.000590 IP foreing.com.1024 > mail.habiaunavez.com.80: . ack 1 win 64512 ...(todo lo demás es historia…) Luego revisando su firewall, encontró que había dejado HTTP abierto hacia su host de Correo. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Errores de la Gestión de la Seguridad Lectura Ampliada Errores de la Gestión de la Seguridad

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Vistazo veloz Windump -x 4500 005c c290 0000 0501 8fa7 c0a8 0122 c685 db19 0800 d5e7 0400 1e18 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com

Ver archivo adjunto con formato .cap Incidente Ver archivo adjunto con formato .cap

…conocimiento, conciencia, y consultoría Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.

Descargo Legal Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C. JaCkSecurity.com® es una marca registrada. Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.