Presentación.

"Los locos somos los que trazamos los caminos... Que luego los cuerdos recorren"... Don Quijote

miércoles, 31 de agosto de 2011

Túnel VPN en GNS3

En esta practica configuraremos un túnel VPN con GNS3, para poder realizar esta implementación correctamente, debemos tener una topología montada (En este caso montaremos la topología en el software de emulación GNS3), ademas del software de administración gráfica para los router cisco SDM (http://andresmedmon.blogspot.com/2011/08/instalacion-de-sdm.html).La topología a usar sera:


Dos router 3700 cisco, y una red LAN para cada router. El direccionamiento sera:
   * LAN R1   ==> 192.168.200.0/24
   * LAN R2   ==>  192.168.220.0/24
   * WAN       ==> 172.16.10.0/16

Luego de haber implementado la topología e instalado el SDM, vamos a crear el tunel VPN, para esto vamos  a un web browser e ingresamos la IP del router que vamos a configurar, y autenticamos en el.


Para configurar el tunel VPN vamos a la pestaña "Configurar, VPN, VPN Sitio a Sitio, Iniciar la tarea seleccionada"


Elegimos el modo de configuración del túnel VPN, en este caso lo haremos por pasos, para que nos muestre todos los parámetros posibles.


Ingresamos la interfaz que sera configurada como el primer extremo del tunel VPN, el tipo de direccionamiento y la IP del otro extremo del tunel, y el tipo de autenticacion que usara el tunel (en este caso usaremos una clave precompartida "redes123")


Especificamos el algoritmo de cifrado, el hash y el tipo de autenticacion.


Damos clic en "Siguiente" y luego en "Agregar", para agregar un nuevo conjunto de transformación.


Especificamos el trafico a proteger, en este caso vamos a proteger todo el trafico que se produzca LAN1 ==> LAN2 y LAN2 ==> LAN1. Pero ademas si elegimos crear una lista de acceso, podemos especificar un protocolo o puerto especifico a proteger.


Verificamos que la informacion ingresada sea la correcta y finalizamos el wizard de configuracion del tunel.
Este procedimiento se debe repetir en los dos router con su información especifica, ademas cuando se haya finalizado el wizard en el segundo router, se debe probar el túnel VPN para verificar su correcto funcionamiento.


Luego de finalizar el wizard en el segundo router, probamos el funcionamiento del túnel.


Aceptamos la depuracion del tunel VPN, y especificamos una IP de destino hacia la cual generar el trafico de prueba del túnel. Cuando el wizard haya terminado de comprobar el funcionamiento del tunel, este debera estar en "UP"


Para comprobar el funcionamiento en tiempo real del túnel, debemos enviar trafico desde un extremo de la red al otro (en este caso lo haremos con el comando ping "IP remota" -t) ademas en el GNS3, damos clic derecho sobre el enlace serial entre routers y seleccionamos capture; como este es una VPN tipo túnel, debemos elegir el protocolo PPP.


Al iniciar el Wireshark, esta es la captura que obtenemos, aun siendo el trafico un ping, el protocolo del túnel VPN sera ESP (Encapsulation Security Payload.)




Instalacion de SDM

En esta practica usaremos una topología que constara de dos routers y una red LAN para cada router, y contara con el siguiente direccionamiento:
     LAN R1 ==> 192.168.200.0/24
     LAN R2 ==> 192.168.220.0/24
     WAN     ==> 172.16.10.0/16


Para hacer mas sencillo el proceso de configuración del router, instalaremos en ellos el software de administración grafica para los routers, SDM, para esto, debemos crear un usuario y una contraseña con nivel de privilegios 15, para que el SDM pueda modificar la configuración del router.


Ademas debemos habilitar el acceso HTTP y HTTPS al router, al habilitar el acceso HTTPS se generan algunos resultados acerca de las claves de encriptación RSA.


Ahora configuramos la iterfaz de terminal virtual, para que la autenticacion sea local y ademas permita conexiones telnet y SSH.


Con esta configuracion el router estará preparado para que le sea instalado el SDM; En este caso lo instalaremos en Windows XP. Para que el Wizard de instalacion y configuracion de la VPN dentro del SDM funcione correctamente, debemos instalar previamente la version 5 de java, ya que ersiones posteriores no desplegan este wizard.


Ahora comenzara el proceso de instalación de SDM. Elegimos donde queremos instalar SDM, en este caso lo instalaremos tanto en el router como en el PC.


Especificamos la IP de router en el cual vamos a instalar el SDM (este asistente debe ser instalado en los dos router), ademas del usuario y la contraseña que creamos anteriormente.


Esperamos a que el asistente de instalacion conecte con el router y copie los archivos necesarios.


Seleccionamos el tipo de instalación de SDM


Seleccionamos los componentes deseados a instalar.


Confirmamos el proceso de instalación.


Finaliza el proceso de instalación.





jueves, 25 de agosto de 2011

ISA Server como Proxy Transparente.

En esta practica implementaremos la topología usada en las practicas anteriores, ademas de tener un proxy y un firewall implementados anteriormente.
http://andresmedmon.blogspot.com/2011/08/usando-isa-server-como-proxy.html


* Lo primero que debemos hacer es configurar el DNS con las entradas WPAD necesarias, en este caso usaremos dos entradas tipo A y un CNAME, ya que usaremos proxy transparente tanto para la red LAN y para la red DMZ.



* En el servidor ISA, en la pestaña "Networks" configuraremos las dos interfaces (LAN - DMZ) para el que usen proxy transparente.


* En la pestaña "WEB Proxy" habilitaremos el web proxy y definiremos el puerto por el cual trabajara.


* En la pestaña "Auto-Discovery" habilitaremos la auto-publicación del proxy.



* En la pestaña "Firewall Client" habilitaremos el soporte para clientes firewall de esta red. Ademas configuraremos el servidor proxy, en este caso sera la misma maquina.


* En el Web Browser editaremos la configuracion proxy del Proxy, para que realice la auto-deteccion del proxy.


Con esta configuración el proxy transparente trabajara tanto para la red interna LAN, como para la red perimetral DMZ.

miércoles, 24 de agosto de 2011

Usando ISA Server como Proxy

En esta practica usaremos ISA Server 2006 como Proxy.
Usando ISA Server como Proxy

Usando ISA Server 2006 como Firewall

En esta practica usaremos ISA Server como Firewall.
Usando ISA Server Como Firewall

Algunos Vectores para 'hackear' cuentas de twitter, facebook, hotmail y otros.


Algunos vectores de Ataque para obtener acceso a una cuenta personal de hotmail, gmail, twitter, facebook.

1. Vulnerabilidades en la plataforma.
Este vector de ataque no es tan popular, puesto que las vulnerabilidades en las plataformas se mantienen como 0day que pocos encuentran y no divulgan. Sin embargo, cuando el atacante conoce el 0day de la plataforma, puede 'hacer maravillas'. Por ejemplo, si la víctima tiene asociada toda su actividad social (twitter, facebook, etc) con su cuenta de hotmail, con un 0day donde se permita acceder a la bandeja de entrada, se puede acceder a sus cuentas sociales utilizando los mecanismos de recordar contraseña, además de ver el correo electrónico de la víctima. Las medidas de protección que tienen algunos sitios son: uso de doble autenticación mediante sms, segunda cuenta de correo para recuperar clave.

2. Adivinar contraseña mediante diccionario.
Este vector de ataque es el más popular, puesto que cualquiera con acceso a los servicios puede intentarlo. En primera instancia se realiza un 'Mineria de Datos' sobre la víctima para conocer aspectos importantes de su vida que puedan ser parte de una contraseña, como nombre de los hijos, fecha de nacimiento de los hijos, nombre de la esposa, lugar de nacimiento, nombre de su finca, etc. Tras realizar el diccionario, el atacante los prueba contra el servicio. Para evitar este vector de ataque, se debe utilizar una clave larga fácil de memorizar o también utilizar dobleautenticación

3. Acceder mediante pregunta secreta.
Este es otro vector de ataque popular. Muchos servicios de correo electrónico permiten reestablecer la clave mediante una pregunta secreta. Si la pregunta es de dominio público, el atacante puede acceder con facilidad. Casos famosos: Sarah Palin y Paris Hilton.  Para evitar este ataque, la relación pregunta secreta-respuesta, no debe ser obvia.

4. Robo de sesión por captura de paquetes (sniffing).
En este vector de ataque, el atacante debe tener la posibilidad de capturar paquetes de la red (sniffing). Por ejemplo, la red wifi de un aeropuerto, hotel,  café-bar, o incluso, en el mismo ISP. El atacante primero identifica que la víctima esté en la misma red, luego captura el tráfico para obtener las cookies de la víctima y suplantar su sesión. Si lo desea hacer más fácil, el atacante puede utilizar el plugin 'firesheep' para firefox y así robar más fácilmente la sesión. Servicios populares vulnerables en configuración por defecto: Hotmail, Twitter, Facebook. Si se configuran estos servicios para que siempre utilicen HTTPS, se evita este vector de ataque; también se debe evitar acceder a estos servicios en redes públicas. 

5. Robo de claves por captura de paquetes tipo hombre en la mitad (MITM)
Este vector de ataque requiere que el atacante esté en la misma red que la víctima, o en el camino de los paquetes. El atacante se pone en la mitad entre la víctima y el sitio al cual se quiere acceder, para interceptar el tráfico. Normalmente, este ataque genera mensajes de error de certificados digitales, pero muchos usuarios los omiten. Este tipo de ataque es sencillo de realizar con herramientas populares como CAIN o SSL Strip. Para evitar este ataque, se debe prestar atención a los mensajes de error con los certificados digitales y evitar el uso de redes públicas. 

6. Robo de claves por infección de malware.
En este vector, el atacante busca infectar a su víctima de malware, ya sea a través de medios extraibles (memoria usb, cd rom), elementos adjuntos a un correo electrónico (Ej, Shady RAT),  Cuando la víctima utiliza un pc infectado, el atacante puede acceder a sus documentos, teclas presionadas (ej, claves), y mucha información confidencial. Contramedidas: antivirus actualizado, antivirus con heurística activada, tener cuidado al descargar adjuntos, tener cuidado con los medios extraibles. 


7. Ingeniería social
Existen varios métodos de Ingeniería Social para obtener claves, que van desde llamadas telefónicas suplantando autoridades (o soporte técnico), hasta el uso de modelos sensuales para espiar gobiernos (caso Anna Chapman). Las contramedidas dependen de el nivel de alerta de cada persona.

De estos siete vectores mencionados, uno solo ataca el servicio (server side attack), mientras que los demás atacan al usuario o su red (client side attack). Por esta razón, los usuarios somos los responsables de proteger nuestra propia información, conociendo los riesgos a los cuales nos exponemos. Si una persona tiene la fama de proteger mal su información, por ejemplo, guardando la clave de su tarjeta débito en la billetera, es más probable que sea una potencial víctima de 'Acceso abusivo a un sistema informático'.

Agradezco a Segurinfo por esta información.

martes, 23 de agosto de 2011

RIP - EIGRP Doble Ruta

En esta practica en Packet Tracert configuraremos un doble protocolo de enrutamiento con RIP v2 y EIGRP. Para eso usaremos una topologia sencilla (dos router, un SW, dos PC), ademas usaremos VLSM para la red 192.168.10.10/24, creando 4 subredes.
      192.168.10.0/26     ==> LAN1
      192.168.10.64/26   ==> LAN2
      192.168.10.128/30 ==> WAN1
      192.168.10.132/30 ==> WAN2

* Luego de tener montada la topologia y haber asignado el direccionamiento IP, debemos configurar RIP v2 (A diferencia de la practica pasada usamos RIP v2, porque la versión 1 no admite VLSM)
       enable
       configure terminal
       router rip
       version 2
       network (Id. redes conectadas)
       ejemplo: network 192.168.10.64

* Configuramos eigrp
       enable
       configure terminal
       router eigrp (# de 1 a 65535)
       ejemplo: router eigrp 25
       network (Id. redes conectadas)
       ejemplo: network 192.168.10.132
     
En esta practica se implementan las rutas redundantes, el doble protocolo de enrutamiento y se pueden analizar las actualizaciones de estos protocolos con los comandos:
       enable
       debug ip rip (Esperamos 45 segundos)
       no debug ip rip
       debug ip eigrp events (Esperamos 2 minutos)

Aqui les dejo la simulacion en Packet Tracert con la doble WAN y los dos protocolos configurados.
http://www.mediafire.com/?7e3sm6m1sb9yccs



lunes, 22 de agosto de 2011

Instalando ISA Server en Windows 2003

Para esta practica necesitaremos una maquina con Windows Server 2003 Standar Edition, y el CD de instalación de ISA Server 2006; En este caso usaremos una maquina virtual y una imagen ISO para la instalación.

* Tendremos tres tarjetas de red (2 en redes internas diferentes y la otra en modo puente).

*Empieza el proceso de instalación de ISA Server.


* Aceptamos los términos de la licencia.

* Ingresamos nombre de usuario, organizacion y clave de producto.

* Seleccionamos "Instalar servicios de ISA Server y Configurar servidor de almacenamiento.

* Seleccionamos los componentes a instalar.

* Seleccionamos "Crear una nueva empresa ISA Server"

* Aceptamos la advertencia de seguridad.

* Agregamos un rango de direcciones IP para trabajar (En este caso usaremos el rango de direcciones que se utiliza en nuestra "zona interna LAN") - Clic en "Add"

* Clic en "Add Adapter"

* Seleccionamos el adaptador que se va a agregar.


* Permitimos o no las conexiones encriptadas de clientes FW (En este caso no las permitiremos)

* Durante el proceso de instalación, se reiniciaran algunos servicios, aceptamos esta advertencia.


* Empieza el proceso de instalación, este proceso es algo demorado.


* Finaliza el proceso de instalación.

* Ejecutamos El asistente de administración de ISA Server.