Archivo
Intentando evadir mecanismos y restricciones de Seguridad – Burlando reglas de detección de Snort con NMAP – Parte VIII
En la entrada anterior se han establecido las bases para utilizar Nmap y ejecutar un ataque de reconocimiento de forma “sigilosa”, evadiendo mecanismos de seguridad en el objetivo y evitando ser detectados en nuestras acciones, en este orden de ideas, anteriormente se han definido algunas de las opciones disponibles en Nmap para este propósito, inclusive se utilizó una técnica muy efectiva conocida como Idle Scan.
En esta ocasión, se intentará evadir las reglas y preprocessors de Snort para que de este modo, el escaneo efectuado contra el objetivo, sea lo mas silencioso posible, tratando de no despertar sospechas ni levantar ninguna alarma de las definidas en Snort (con las reglas y opciones de los preprocessors correctamente configuradas). Con esto en mente, se intenta utilizar diferentes opciones de Nmap para realizar el escaneo a diferentes máquinas en el segmento de red (Snort se ejecutará como NIDS) de esta forma se medirá el nivel de eficiencia de Snort y las opciones de configuración disponibles ante las diferentes técnicas de evasión existentes en NMAP.
NMap para escaneo de puertos – Parte II
Idle Scanning
Se trata de una técnica de escaneo de puertos “anónima” de modo tal, que no enviamos ningún paquete nuestro a la maquina destino para conseguir el rastreo de los puertos disponibles de la maquina objetivo.
El mecanismo por el cual encontramos un puerto abierto, es enviar una solicitud SYN (establecimiento de sesión) a la que posteriormente el servidor contestará con un paquete SYN | ACK (Reconocimiento de la sesión) con lo cual el servidor nos reconoce como un cliente activo, esta técnica es bastante simple, consiste en ocultar la identidad del atacante por medio de una maquina intermedia denominada “Zoombie”, por medio de esta maquina se realizará el ataque a la maquina remota, el hecho de que la maquina se llame zoombie es debido a que se debe de seleccionar una que tenga poca carga o este “inactiva” y debe ofrecer valores IPID predecibles, Estos valores son los números secuenciales de frame que se generan cuando se realizan peticiones SYN, SYN|ACK cada uno de estos paquete tiene asociado un número, este número nos permitirá saber si un determinado puerto se encuentra abierto o no, ejemplos de este tipo maquinas pueden ser: Impresoras, Maquinas bajo Windows o versiones antiguas de Linux, las ultimas versiones de Linux son inmunes a ser tratadas como zoombies.
NMap para escaneo de puertos – Parte I
NMap es una herramienta muy completa e indispensable para cualquier hacker y/o profesional seguridad informática (desde mi punto de vista, que evidentemente es meramente subjetivo), permite ejecutar diferentes tipos de escaneos sobre maquinas remotas e inclusive sobre redes completas, permitiendo recolectar información especifica de los objetivos escaneados, de esta forma podremos obtener una visión global sobre los servicios, puertos e inclusive características de seguridad propias de cada una de las maquinas que escaneamos. Esta será la primera entrada sobre este tema que intentaré explicar de la forma mas clara y precisa posible. Para poder comprenderlo, son necesarios unos conocimientos básicos sobre el protocolo TCP/IP y UDP que se asume que el lector dispone de antemano.
adastra
