Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com.

Análisis de Incidentes con WinDump

Javier Romero, CISSP GCIA GCSC

JaCkSecurity.com

Análisis de Incidentes con Windump © 2006 JaCkSecurity.com 2

JaCkCastOficiales de Seguridad

Quienes somos

JaCkSecurity.com S.A.C. empresa peruana que nace con la misión de:

Elevar el conocimiento de los especialistas,

la conciencia de los usuarios,y la seguridad de la

empresas. Apuesta por esta misión desde mayo 2004. Cuenta con un equipo de asociados abocados a la

seguridad en diferentes ramos.



Agenda

Conceptos de la herramienta Prestaciones y deficiencias Lectura estándar Lectura ampliada Empleo de WinDump en el análisis de incidentes

de seguridad



Descargo legal

Si durante la charla quieres discutirme de: ¿Tu fe o mi fe? ¿Microsoft o Linux? ¿Tu partido o el mío? ¿la U o la Alianza? ¿tu IPS o mi IDS? Te invito a:

“IPS Comparo article uses the wrong criteria” http://www.infosyssec.com/forum/viewtopic.php?t=2225



Conceptos de la herramienta

¿IPS?…quieres más?

¿Tienes un IDS? ¿Te reportó una intrusión en un sistema seguro?

Alto. Se supone que esto no debió pasar: ¿+preguntas?:

¿Lo que me dice mi IDS realmente ocurrió? ¿Cómo puedo confiar en ésta información ante un juez?

Conclusión: ¿para qué sirve mi IDS? Pero ¿qué herramienta usaré para validar estos datos?



Windump

No tienes pierde. Analizas tráfico a nivel de paquetes.

No es un IDS, no detecta en firmas, aunque con él puedes hacer firmas.

Te permite afinar tu IDS cada vez que te:Arroja: Positivos falsosOculta: Negativos verdaderos

Sumamente portátil:Parte de la navaja suiza de un infosec.

Qué hace y qué no



Prestaciones

Nos provee un registro histórico de la actividad en nuestras redes

Te permite hacer tus propias “interpretaciones” Funciona en Linux y Windows, es portable con

Ethereal a otros decodificadores. Extrema fidelidad de lo que muestra. Sin ponerlas a prueba primero



¿Vulnerabilidades?

Como todo. Oficialmente: Lawrence Berkeley Lab (TCPDUMP) Windump, italianos en “Politecnico di Torino” Debemos cambiar nuestro WinPcaps y nuestros

WinDump (de cuando en cuando)

Lectura estándar



Windump –i(Interfase)

06:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 6428206:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 584006:08:24.954393 IP javier.1411 > router.80: . ack 232 win 6428206:08:24.954898 IP router.80 > javier.1411: . ack 270 win 584006:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 4006:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40

Con el uso de opciones:

-Más expresivo

-Menos expresivo

-Por defecto tiene una salida estándar.



Salida estándar

06:08:24.365424 IP javier > router: ICMP echo request, id 1024, seq 33287, length 4006:08:24.366012 IP router > javier: ICMP echo reply, id 1024, seq 33287, length 4006:08:24.949889 IP javier.1411 > router.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK>06:08:24.950568 IP router.80 > javier.1411: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK>06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 6451206:08:24.950730 IP javier.1411 > router.80: P 1:269(268) ack 1 win 6451206:08:24.951664 IP router.80 > javier.1411: . ack 269 win 584006:08:24.954096 IP router.80 > javier.1411: P 1:231(230) ack 269 win 584006:08:24.954267 IP javier.1411 > router.80: F 269:269(0) ack 231 win 6428206:08:24.954375 IP router.80 > javier.1411: F 231:231(0) ack 269 win 584006:08:24.954393 IP javier.1411 > router.80: . ack 232 win 6428206:08:24.954898 IP router.80 > javier.1411: . ack 270 win 584006:08:25.162188 IP javier > vpn: GREv1, call 60877, seq 1303, length 100:compressed PPP data06:08:25.274701 IP vpn > javier: GREv1, call 512, ack 1303, no-payload, length 1206:08:25.365214 IP javier > router: ICMP echo request, id 1024, seq 33543, length 4006:08:25.365792 IP router > javier: ICMP echo reply, id 1024, seq 33543, length 40



Cómo trabaja por defecto

Interfases, ¿con cual de ellas trabajo? Windump –D 1.\Device\NPF_{7F265EEC-73D9-4F5A-9F74-B2555444FD44} (VMware Virtual Ethernet

Adapter) 2.\Device\NPF_{63CEF0CE-1E2E-403A-B23C-A75D94E924A0} (VMware Virtual Ethernet

Adapter) 3.\Device\NPF_{944C84B6-04ED-444A-A3D3-532303EA5EC2} (Intel(R) PRO/100 VE

Network Connection (Microsoft's Packet Scheduler) ) 4.\Device\NPF_{C27704A6-5B0B-467A-A82F-14A4DC597115} (Atheros AR5001X+

Wireless Network Adapter (Microsoft's Packet Scheduler) )

Existen redes con mucho ruido 06:07:02.922980 802.1d config 8000.00:50:e2:ba:89:02.801e

root 8000.00:50:e2:ba:89:02 pathcost 0 age 0 max 20 hello 2 fdelay 15

Windump –i(interfase) –n ether proto \ip 06:08:24.950590 IP javier.jacksecurity.1411 > router.

jacksecurity.80: . ack 1 win 64512



Algunos comandos populares

Por defecto intenta resolver las direcciones IP 06:08:24.950590 IP javier.jacksecurity.1411 > router.

jacksecurity.80: . ack 1 win 64512

Windump –n 06:08:24.950590 IP 192.168.1.34.1411 > 192.168.1.1.80: . ack

1 win 64512

A veces no siempre sabemos nuestras IP: Windump –N 06:08:24.950590 IP javier.1411 > router.80: . ack 1 win 64512



El orden de los comandos

Windump tiene sus formas Windump –i2 –n –N –r c:\miprimeracaptura host javier port 23

Primero, la interfase Segundo, los parámetros de visualización/captura Tercero, los comandos lectura/escritura Cuarto, los filtros



Repaso de protocolos

UDP, orientado a la desconexión.Sin estado de paquetesEj.: syslog(514), tftp(69), dns(53)

TCP, orientado a la conexiónTiene algo llamado: Three Way-HanshakingEj.: HTTP (80), smtp(25), telnet(23), NetBios-Session(139)

ICMP, no es sólo ping, existen diversos Tipos/Códigos (RFC 792)También, orientado a la desconexión.Ej.: PING (TYPE: 0 es echo-reply y 8 es echo)



¿Cuándo sé que ha habido una comunicación entre dos nodos?

TCP, Three Way-Hanshaking

Saludo 3 vías

Syn (are you listen in port #?)

Ack (yes, I am)

Syn/Ack (Let’s talk)

Ack, Psh, Fin, Syn



¿Cuándo sé que ha habido una comunicación entre dos nodos?

TCP, no hay comunicación

Resets

Syn (are you listen in port #?)

Rst (Don’t disturb me)

Otras formas: la guerra del silencio (firewall/filtros



Proceso de Responder a incidente

1. Prepararse/mejorar2. Proteger

infraestructura3. Detectar eventos4. Discriminar/

seleccionar eventos5. Respender



Veamos un ejemplo:

Una red cuyo firewall permitía solamente HTTP y SMTP entrante hacia dos host.Tenía sólo dos host importantes:

www.habiaunavez.commail.habiaunavez.com

Sin embargo, un día vio en Zone-H, que su seguridad había sido burlada.

Defacement…

¿Qué pasó?



Recuperando evidencia.

Revisando sus capturas halló:

Luego revisando su firewall, encontró que había dejado HTTP abierto hacia su host de Correo.

16:18:24.359889 IP foreing.com.1024 > mail.habiaunavez.com.80: S 3240948283:3240948283(0) win 64512 <mss 1460,nop,nop,sackOK>

16:18:24.360568 IP mail.habiaunavez.com.80 > foreing.com.1024: S 458319628:458319628(0) ack 3240948284 win 5840 <mss 1460,nop,nop,sackOK>

16:18:25.000590 IP foreing.com.1024 > mail.habiaunavez.com.80: . ack 1 win 64512

...(todo lo demás es historia…)

Lectura Ampliada

Errores de la Gestión de la Seguridad



Vistazo veloz

Windump -x

4500 005c c290 0000 0501 8fa7 c0a8 0122c685 db19 0800 d5e7 0400 1e18 0000 00000000 0000 0000 0000 0000 0000 0000 00000000 0000 0000 0000 0000 0000 0000 00000000 0000 0000 0000 0000 0000 0000 00000000

Incidente

Ver archivo adjunto con formato .cap

…conocimiento, conciencia, y consultoría

Derechos Reservados © sobre todos los textos de esta presentación.Ninguna porción de éste documento puede ser copiado, modificado, digitalizado, impreso o distribuido sin la autorización oficial de la empresa JaCkSecurity.com S.A.C.

JaCkSecurity.com® es una marca registrada.

Descargo Legal

Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com.

Documents

Transcript of Análisis de Incidentes con WinDump Javier Romero, CISSP GCIA GCSC JaCkSecurity.com.