Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Quienes somos JaCkSecurity.com S.A.C. empresa peruana que nace con la misión de: Elevar el conocimiento de los especialistas, la conciencia de los usuarios, y la seguridad de la empresas. Apuesta por esta misión desde mayo 2004. Cuenta con un equipo de asociados abocados a la seguridad en diferentes ramos. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Agenda Conceptos de la herramienta Prestaciones y deficiencias Lectura estándar Lectura ampliada Empleo de WinDump en el análisis de incidentes de seguridad Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Descargo legal Si durante la charla quieres discutirme de: ¿Tu fe o mi fe? ¿Microsoft o Linux? ¿Tu partido o el mío? ¿la U o la Alianza? ¿tu IPS o mi IDS? Te invito a: “IPS Comparo article uses the wrong criteria” http://www.infosyssec.com/forum/viewtopic.php?t=2225 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Conceptos de la herramienta ¿IPS? …quieres más? ¿Tienes un IDS? ¿Te reportó una intrusión en un sistema seguro? Alto. Se supone que esto no debió pasar: ¿+preguntas?: ¿Lo que me dice mi IDS realmente ocurrió? ¿Cómo puedo confiar en ésta información ante un juez? Conclusión: ¿para qué sirve mi IDS? Pero ¿qué herramienta usaré para validar estos datos? Más discusiones de un IPS? Diríjase a: Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com No tienes pierde. Analizas tráfico a nivel de paquetes. No es un IDS, no detecta en firmas, aunque con él puedes hacer firmas. Te permite afinar tu IDS cada vez que te: Arroja: Positivos falsos Oculta: Negativos verdaderos Sumamente portátil: Parte de la navaja suiza de un infosec. Windump es una herramienta sumamente útil para analizar el tráfico en nuestras redes LAN. Con simples y sencillas concatenaciones podemos conocer rápidamente de patrones de tráfico anormal, que no haríamos en un Sniffer convencional. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Qué hace y qué no
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Prestaciones Nos provee un registro histórico de la actividad en nuestras redes Te permite hacer tus propias “interpretaciones” Funciona en Linux y Windows, es portable con Ethereal a otros decodificadores. Extrema fidelidad de lo que muestra. Sin ponerlas a prueba primero Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com ¿Vulnerabilidades? Como todo. Oficialmente: Lawrence Berkeley Lab (TCPDUMP) Windump, italianos en “Politecnico di Torino” Debemos cambiar nuestro WinPcaps y nuestros WinDump (de cuando en cuando) Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Lectura estándar
Windump –i(Interfase) 06:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 64282 06:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 5840 06:08:24.954393 IP javier.1411 > router.80: . ack 232 win 64282 06:08:24.954898 IP router.80 > javier.1411: . ack 270 win 5840 06:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40 Con el uso de opciones: Más expresivo Menos expresivo Por defecto tiene una salida estándar. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Salida estándar 06:08:24.365424 IP javier > router: ICMP echo request, id 1024, seq 33287, length 40 06:08:24.366012 IP router > javier: ICMP echo reply, id 1024, seq 33287, length 40 06:08:24.949889 IP javier.1411 > router.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK> 06:08:24.950568 IP router.80 > javier.1411: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK> 06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 64512 06:08:24.950730 IP javier.1411 > router.80: P 1:269(268) ack 1 win 64512 06:08:24.951664 IP router.80 > javier.1411: . ack 269 win 5840 06:08:24.954096 IP router.80 > javier.1411: P 1:231(230) ack 269 win 5840 06:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 64282 06:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 5840 06:08:24.954393 IP javier.1411 > router.80: . ack 232 win 64282 06:08:24.954898 IP router.80 > javier.1411: . ack 270 win 5840 06:08:25.162188 IP javier > vpn: GREv1, call 60877, seq 1303, length 100:compressed PPP data 06:08:25.274701 IP vpn > javier: GREv1, call 512, ack 1303, no-payload, length 12 06:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 40 06:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Cómo trabaja por defecto Interfases, ¿con cual de ellas trabajo? Windump –D 1.\Device\NPF_{7F265EEC-73D9-4F5A-9F74-B2555444FD44} (VMware Virtual Ethernet Adapter) 2.\Device\NPF_{63CEF0CE-1E2E-403A-B23C-A75D94E924A0} (VMware Virtual Ethernet Adapter) 3.\Device\NPF_{944C84B6-04ED-444A-A3D3-532303EA5EC2} (Intel(R) PRO/100 VE Network Connection (Microsoft's Packet Scheduler) ) 4.\Device\NPF_{C27704A6-5B0B-467A-A82F-14A4DC597115} (Atheros AR5001X+ Wireless Network Adapter (Microsoft's Packet Scheduler) ) Existen redes con mucho ruido 06:07:02.922980 802.1d config 8000.00:50:e2:ba:89:02.801e root 8000.00:50:e2:ba:89:02 pathcost 0 age 0 max 20 hello 2 fdelay 15 Windump –i(interfase) –n ether proto \ip 06:08:24.950590 IP javier.jacksecurity.1411 > router. jacksecurity.80: . ack 1 win 64512 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Algunos comandos populares Por defecto intenta resolver las direcciones IP 06:08:24.950590 IP javier.jacksecurity.1411 > router. jacksecurity.80: . ack 1 win 64512 Windump –n 06:08:24.950590 IP 192.168.1.34.1411 > 192.168.1.1.80: . ack 1 win 64512 A veces no siempre sabemos nuestras IP: Windump –N 06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 64512 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
El orden de los comandos Windump tiene sus formas Windump –i2 –n –N –r c:\miprimeracaptura host javier port 23 Primero, la interfase Segundo, los parámetros de visualización/captura Tercero, los comandos lectura/escritura Cuarto, los filtros Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Repaso de protocolos UDP, orientado a la desconexión. Sin estado de paquetes Ej.: syslog(514), tftp(69), dns(53) TCP, orientado a la conexión Tiene algo llamado: Three Way-Hanshaking Ej.: HTTP (80), smtp(25), telnet(23), NetBios-Session(139) ICMP, no es sólo ping, existen diversos Tipos/Códigos (RFC 792) También, orientado a la desconexión. Ej.: PING (TYPE: 0 es echo-reply y 8 es echo) Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
¿Cuándo sé que ha habido una comunicación entre dos nodos? TCP, Three Way-Hanshaking Syn (are you listen in port #?) Saludo 3 vías Ack (yes, I am) Syn/Ack (Let’s talk) Ack, Psh, Fin, Syn Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
¿Cuándo sé que ha habido una comunicación entre dos nodos? TCP, no hay comunicación Syn (are you listen in port #?) Resets Rst (Don’t disturb me) Otras formas: la guerra del silencio (firewall/filtros Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Proceso de Responder a incidente ¿Qué es primero? Prepararse/mejorar Proteger infraestructura Detectar eventos Discriminar/seleccionar eventos Respender http://www.cert.org/archive/pdf/04tr015.pdf Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Veamos un ejemplo: Una red cuyo firewall permitía solamente HTTP y SMTP entrante hacia dos host. Tenía sólo dos host importantes: www.habiaunavez.com mail.habiaunavez.com Sin embargo, un día vio en Zone-H, que su seguridad había sido burlada. Defacement… ¿Qué pasó? Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Recuperando evidencia. Revisando sus capturas halló: 16:18:24.359889 IP foreing.com.1024 > mail.habiaunavez.com.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK> 16:18:24.360568 IP mail.habiaunavez.com.80 > foreing.com.1024: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK> 16:18:25.000590 IP foreing.com.1024 > mail.habiaunavez.com.80: . ack 1 win 64512 ...(todo lo demás es historia…) Luego revisando su firewall, encontró que había dejado HTTP abierto hacia su host de Correo. Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Errores de la Gestión de la Seguridad Lectura Ampliada Errores de la Gestión de la Seguridad
Análisis de Incidentes con Windump © 2006 JaCkSecurity.com Vistazo veloz Windump -x 4500 005c c290 0000 0501 8fa7 c0a8 0122 c685 db19 0800 d5e7 0400 1e18 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 Análisis de Incidentes con Windump © 2006 JaCkSecurity.com
Ver archivo adjunto con formato .cap Incidente Ver archivo adjunto con formato .cap
…conocimiento, conciencia, y consultoría Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.
Descargo Legal Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C. JaCkSecurity.com® es una marca registrada. Derechos Reservados © sobre todos los textos de esta presentación. Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.