THC Hidra

Su principal utilidad es la realización de pruebas de penetración y localización de vulnerabilidades en una red. Específicamente se intentan descubrir las vulnerabilidades más comunes que son las contraseñas, por lo que es empleado es para realizar análisis de seguridad y reforzar las políticas de seguridad según se requiera.

La utilización de diversos protocolos confiere alto grado de análisis, estos son TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC, RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS (Personal Computer - Network File System), ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable, LDAP2 y Cisco AAA (en el módulo de telnet)

Esta aplicación es muy flexible y le pueden ser añadidos módulos como SSH v1 y Oracle. Es sencilla de instalar, utilizar y corre sobre diversas plataformas como las de arquitecturas UNIX (linux, *bsd, solaris), Mac OS/X, Windows y sistemas móviles con procesadores ARM.

2.8.4 LOpthcrack

Conocida actualmente como LC5 es utilizada para auditoria y recuperación de contraseñas. Se utiliza para realizar pruebas de fortaleza de contraseñas y recuperar las perdidas en sistemas Microsoft Windows, paro esto realiza ataques de fuerza bruta, de diccionario e híbridos.

La optimización de sus operaciones es llevada a cabo realizando primeramente un análisis de posibles palabras del diccionario para posteriormente, utilizando métodos de alteración del diccionario, conseguir una contraseña, si no resulta recure a la fuerza bruta.

LC 5 soporta la importación de hashes de una base de datos SAM (Security Account Manager) desde la maquina local o desde una remota, este puede romper contraseñas de estaciones Windows NT/2000, servidores de red, controladores de dominio y directorios activos. Normalmente es usado junto a herramientas como Pwdump.

2.8.5 Pwdump

Permite el volcado de los hashes de contraseña LM y NTLM de la SAM, aunque estén encriptados con Syskey. Este pequeño programa utiliza el mecanismo de inyección DLL, vulnerando LSASS.EXE (Local Security Authority Subsystem), que implica conocer el PID (Process ID) de LSASS.EXE para que Pwdump2 funcione. La versión 3 de Pwdump permite la extracción remota de los hashes, sin necesidad de estar físicamente situado en la estación.

Debido a la necesidad de ser utilizado con privilegios de administrador no constituye un riesgo de seguridad. Esta utilidad primeramente realiza los mínimos cambios necesarios para permitir al programa leer las entradas de contraseñas, después vuelca todas las entradas de los usuarios (analiza el código fuente para los detalles) y vuelve sobre sus pasos para restaurar en el registro todas las características de seguridad de todas las claves que ha analizado.

2.9 Otras herramientas

Existen un número elevado de herramientas de seguridad con propósitos que no están directamente relacionados con los grupos citados. Estas están definidas para entornos determinados y pueden ser empleadas según su tipo y desempeño para realizar acciones específicas sobre la red como reconocimiento de estaciones, monitoreo, chequeos de integridad, ingeniería inversa entre otras.

2.9.1 Netcat

Constituye una de las herramientas más potentes y flexibles que existen en el campo de la programación, depuración, análisis, manipulación de redes y servicios TCP/IP. Es un recurso imprescindible para los expertos en seguridad de redes.

La función principal es crear un socket con el destino indicado si es cliente, o en el puerto indicado, si es servidor, una vez conectado, envía por el socket todo lo que llegue en su entrada estándar y envía a su salida estándar todo lo que llegue por el socket. Esta disponible para sistemas UNIX, Microsoft y Apple, esta permite a través de un intérprete de comandos y con una sintaxis muy sencilla abrir puertos TCP/UDP en un host, asociar una shell a un puerto en concreto (para conectarse a MS-DOS o al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP (útil para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos).

2.9.2 THC Amap

Es dedicada a la realización de pruebas de penetración, durante su funcionamiento identifica aplicaciones que se encuentren corriendo en determinados puertos y las que no son basadas en el código ascii.

Comprueba servicios y aplicaciones independientemente de su número de puerto, e identifica a qué servicio corresponde en base a la respuesta de una simulación de solicitudes. Funciona con servicios no ASCII (telnet, smtp, pop3, etc.) al basarse en

ninguna salida aparente, mediante el envío de solicitudes aleatorias no estándares. Esta disponible solamente para sistemas Unix.

2.9.3 Superscan

Diseñado para realizar escaneo de puertos en sistemas Windows, es utilizada para el reconocimiento de host activos y sus puertos en redes LAN. Permite tener control sobre la velocidad de escaneo y realizar las pruebas de acuerdo al tipo de red que se utiliza, soporta además rangos ilimitados de IP.

Realiza detección de estaciones usando múltiples métodos ICMP (Internet Control Message Protocol), además utiliza el modo de escaners TCP SYN y dos métodos de para UDP, puede soportar formatos CIDR y generar reportes HTML (HyperText Markup Language).

El programa exhibe otras prestaciones como resolución de nombres de host, randomizacion de los scaneos de puertos e IP y la utilización de varias herramientas útiles como el ping y traceroute.

2.9.4 Tripwire

Provee aseguramiento de integridad de datos monitoreando la consistencia de archivos y directorios de sistema críticos, identificando todos los cambios hechos en ellos. El proceso anterior es realizado mediante un método automatizado de verificación que se ejecuta a intervalos regulares (anexo 2). Si es detectada la modificación de alguno de los archivos monitoreados es notificada la falla al administrador del sistema vía email. Debido a la posibilidad de fácilmente identificar los archivos que son modificados, agregados o eliminados, se agiliza el proceso de recuperación luego de una entrada forzada pues mantiene el número de archivos que deben ser restaurados a un mínimo. Estas habilidades hacen de Tripwire una herramienta excelente para los administradores de sistemas que requieren tanto de facilidades para detección de intrusos como de control de daños para sus servidores.

La comparación de los archivos y directorios es realizada sobre una base de datos generada tomando una instantánea con fundamentos de archivos y directorios específicos en momentos particulares, esta contiene la ubicación de archivos, fechas en que han sido modificados y otros datos. Los contenidos de la base de datos con los fundamentos deben ser generados antes de que el sistema esté en riesgo, la misma después de creada es utilizada para comparar la base de datos actual con la base de datos de fundamentos e informa de cualquier modificación, adición o eliminación.

Funciona correctamente en sistemas operativos GNU/Linux.

2.9.5 LSoft

Significa listar ficheros abiertos (list open files), esta es utilizada para detección de intrusión en sistemas, mostrando todos los archivos que mantiene abierto un determinado ID de proceso, incluyendo los sockets abiertos.

Proporciona una lista de todos los puertos que están abiertos y demás información adicional. Si no se indica ninguna opción restrictiva, son enumerados todos los archivos abiertos en un instante determinado.

Es utilizado ampliamente en sistemas operativos tipo POSIX para hacer reportes de ficheros y los procesos que están utilizando a éstos, puede ser empleada para revisar que procesos están haciendo uso de directorios, ficheros ordinarios, tuberías (pipes), zócalos de red (sockets) y dispositivos. Uno de los principales usos es determinar que procesos están haciendo uso de ficheros en una partición cuando esta no se puede desmontar.

Este es analizador de flujos (archivo, red, entrada, salida, etc), es muy útil en Linux para monitorear un servicio o un usuario.

2.9.6 Arpwatch

Es un analizador de red específico para detectar actividad ARP. Esta genera log de las correspondencias e instantes de tiempo entre direcciones IP y las direcciones MAC cuando aparecen.

El uso mas importante es la detección de envenenamiento ARP en el sistema, utilizado para realizar ataques de hombre en el medio.

En caso de que un cambio en un par se produzca, esenviado un correo de notificación del suceso a la cuenta de administrador del sistema con un mensaje tipo FLIP FLOP o Change ethernet address. Puede monitorizar además la existencia de nuevas estaciones (aparición de una nueva MAC en la red).

2.9.7 OSSEC HIDS

Es una multiplataforma Host-based Intrusion Detection System (HIDS) que posee un alto nivel de ingeniería de correlación y análisis, integra además el análisis de log, chequeos de integridad, monitoreo de registros de Windows, detección de rootkit, alertas en tiempo real, respuestas activas ante sucesos y cuenta con la de aplicación políticas centralizadas.

Brinda una arquitectura escalable de cliente servidor que permite analizar múltiples sistemas configurando un servidor central e instalando agentes en los sistemas a auditar. El software es comúnmente utilizado para monitorear y analizar el desempeño de cortafuegos, de IDS, servidores web y eventos de autenticación.

La herramienta puede instalarse en varios sistemas operativos como son GNU/Linux (Slackware 10.1-12, Ubuntu, Red Hat, Suse ES 9 y 10, OpenSuse 9-11, Fedora Core, Debian 3.1, 4) Windows 2000, XP, 2003, Vista and 2008 (el agente solamente).

2.9.8 Stunnel

Es multi-plataforma y su principal utilidad es para la creación de túneles TLS/SSL, este provee conexiones cifradas seguras para clientes o servidores que no utilizan TLS o SSL de forma nativa. Puede ser utilizado sobre diversos sistemas operativos, incluyendo a la mayoría de los basados en el sistema operativo Unix y a la familia Windows. Su funcionamiento se basa en una librería independiente como puede ser OpenSSL o SSLeay para implementar el protocolo TLS o SSL de capas inferiores.(Chandra P.; Messier, 2002)

Utiliza criptografía de clave pública con el certificado digital X.509 para asegurar la conexión SSL. Los clientes pueden ser autenticados de manera opcional a través de un certificado digital. Si es conectado a una libwrap permite configurarse para que funcione como un servicio de firewall-proxy.

Puede emplearse en varios modos como el de conexión SSL entre un cliente que tenga esa opción y un servidor POP o IMAP que no o viceversa, permite encriptar cualquier conexión TCP entre dos ordenadores, permitiendo opcionalmente el control de acceso al servidor desde determinados clientes.

Debe ejecutarse en el extremo de la conexión donde se desee tener la funcionalidad SSL que de otra forma no se posee.

2.9.9 Honeyd

Es un daemon encargado de la generación de equipos virtuales simulando redes con estaciones activas, puertos y servicios abiertos, obteniéndose entornos simulados utilizados para atraer atacantes. Permite diseñar diferentes tipos de redes con determinados números de ordenadores y las configuraciones de los puertos TCP y UDP.

Con esta es posible ejecutar comandos como el ping a las maquinas virtuales o trazar sus rutas de conexión, pueden ser configurados diversos tipos de servicios y soporta la creación de una determinada topología de red.

Los subsistemas virtuales interceptan las solicitudes realizadas a ellos en la red y la redirigen al programa. Mediante este es posible generar tráfico de forma tal que este parezca que es un pedido a una página web o a un determinado servicio de correo.

Capítulo 3