Ciberseguridad Esencial: Herramientas, Estándares ISO y Gestión de Vulnerabilidades

Clasificado en Informática

Escrito el en español con un tamaño de 20,26 KB

Detección y Gestión de Vulnerabilidades

Herramientas y Conceptos Iniciales

  • Nessus: Herramienta para la detección de vulnerabilidades.
    • Comando de inicio del servicio: /opt/nessus/sbin/nessus-service -D
    • Acceso web: https://10.12.233.165:8834/
    • Credenciales de ejemplo: root / alumno
  • Gestión de Vulnerabilidades: Proceso continuo para identificar, evaluar, tratar y mitigar las vulnerabilidades en sistemas y aplicaciones.
  • Recursos de referencia:

Conceptos Fundamentales en Ciberseguridad

  • ¿Qué es CVSS y cómo utilizarlo? (Common Vulnerability Scoring System)
  • Cuaderno de Notas del Observatorio
  • ¿Qué son las vulnerabilidades del software?
  • Recurso adicional: welivesecurity.com

Historial de Comandos de Terminal

A continuación, se presenta un registro de comandos ejecutados en una sesión de terminal, útil para comprender las operaciones realizadas en un entorno de seguridad informática.


[root@localhost ~]# history
    1  poweroff
    2  ls
    3  poweroff
    4  ./run_upgrader.sh
    5  chmod 700 run_upgrader.sh
    6  ./run_upgrader.sh
    7  chmod 7000 run_upgrader.sh
    8  ./run_upgrader.sh
    9  chmod 777 run_upgrader.sh
   10  ./run_upgrader.sh
   11  run_upgrader.sh
   12  ./ run_upgrader.sh
   13  ./run_upgrader.sh
   14  ls
   15  ls
   16  .
   17  ./vmware-install.pl
   18  reboot
   19  tcpdump
   20  pwd
   21  ls
   22  john
   23  johnclear
   24  clear
   25  ls
   26  cd john-1.7.6/
   27  cd src/
   28  john --test
   29  ls
   30  ls j*
   31  cd ..
   32  cd
   33  ls 
   34  cd do
   35  cd doc
   36  ls
   37  more Instalacion_JO
   38  more Instalacion_JOHNtheRIPPER
   39  cd
   40  cd john-1.7.6/
   41  cd run/
   42  ./john --test
   43  ./john --format=MD5 /etc/shadow
   44  pwd
   45  pwd
   46  ./john --test
   47  history
   48  grep -w root /etc/shadow
   49  cd
   50  echo alumno | openssl -stdin -1 -salt giwd2Gr1
   51  echo alumno | openssl passwd -stdin -1 -salt giwd2Gr1
   52  grep -w root /etc/shadow
   53  mkpassdw
   54  mkpasswd
   55  yum provides mkpasswd
   56  yum provides *bin/mkpasswd
   57  yum provides */mkpasswd
   58  rpm -q --whatprovides /usr/bin/mkpasswd
   59  yum install expect
   60  rhn_register
   61  rhn_register
   62  rhnreg_ks --username=<RHN or Satellite login> --password=<RHN or Satellite password> --force
   63  ip a
   64  tcpdump -i host 10.12.233.77 
   65  tcpdump -i  10.12.233.77 
   66  tcpdump -i  10.12.244.212
   67  tcpdump -i  10.12.244.212/21
   68  tcpdump -i  10.12.233.213
   69  tcpdump -i  host 10.12.233.213
   70  tcpdump -i host 10.12.233.213
   71  tcpdump host 10.12.233.213
   72  tcpdump -i wlan0 net 10.12.244.212/21
   73  tcpdump -i  net 10.12.244.212/21
   74  tcpdump -i host 10.12.233.213tcpdump -i wlan0 net 10.207.X.X/24
   75  tcpdump host 10.12.233.213  net 10.12.244.212/21
   76  tcpdump net 10.12.244.212/21
   77  tcpdump -i net 10.12.244.212/21
   78  tcpdump -i  net 10.12.244.212/21
   79  tcpdump -i  10.12.244.212
   80  tcpdump -i host 10.12.244.212
   81  tcpdump -i host 10.12.244.212/21
   82  tcpdump -i net 10.12.244.212/21
   83  tcpdump -i net 10.12.244.212/21
   84  tcpdump -i net 10.12.244.255/21
   85  ip a
   86  tcpdump -i eth0 net 10.12.244.212/21
   87  tcpdump -i eth0 dst net 10.12.244.212/21
   88  tcpdump -i eth0  net 10.12.244.0/21
   89  tcpdump -i eth0  net 10.12.244.254/21
   90  tcpdump src host 10.12.233.213
   91  tcpdump src host tcpdump -i wlan0 ‘
   92  tcpdump -i eth0 ‘
   93  tcpdump -i eth0 ‘
   94  nmap -sP -O 10.12.233.213
   95  nmap -sP -O 10.12.233.*
   96  nmap -sS -sP -O 10.12.233.*
   97  nmap  -sP -O 10.12.233.*
   98  nmap -s -O 10.12.233.*
   99  nmap -sS -O 10.12.233.*
  100  nmap -sS -O 10.12.233.133
  101  nmap -sS -O 10.12.233.213
  102  wireshark
  103  zenmap
  104  nmap -O www.esucomex.clç
  105  nmap -O  www.esucomex.cl
  106  nmap -sS 10.12.233.35
  107  nmap -sS 10.12.233.35
  108  nmap -sS -p 1-1023 10.12.233.35
  109  nmap -sS -p 1-1023 10.12.233.213
  110  ip a
  111  nmap -sS -sV 10.12.233.35
  112  nmap -sS 10.12.233.35
  113  nmap -sS -O 10.12.233.35
  114  arp -n
  115  nmap -sS -O -sP 10.12.233.35
  116  nmap -sP 10.12.233.35
  117  nmap -sP  10.12.233.0/24
  118  nmap -sP  10.12.233.0/24 | grep ^Nmap
  119  nmap -sP  10.12.233.0/24 | grep ^Nmap | cut -f 5 -d \ 
  120  nmap -sP  10.12.233.0/24 | grep ^Nmap | cut -f 5 -d \ | sort -r
  121  nmap -sP  10.12.233.0/24 | grep ^Nmap | cut -f 5 -d \ | sort -r -k 4
  122  nmap -sP  10.12.233.0/24 | grep ^Nmap | cut -f 5 -d \  
  123  nmap -sP  10.12.233.0/24 | grep ^Nmap | cut -f 5 -d \ | wc -l
  124  history
  125  zenmap
  126  nmap -sS 10.12.233.213
  127  nmap -sS 10.12.233.213
  128  nmap -sS 10.12.233.213
  129  nmap -sS 10.12.233.213
  130  nmap -sN 10.12.233.213
  131  nmap -sX 10.12.233.213
  132  nano .bash_profile
  133  export PS1="\[\e[32m\][\[\e[m\]\[\e[31m\]\u\[\e[m\]\[\e[33m\]@\[\e[m\]\[\e[32m\]\h\[\e[m\]:\[\e[36m\]\w\[\e[m\]\[\e[32m\]]\[\e[m\]\[\e[32;47m\]\\$\[\e[m\] "
  134  nmap -sX 10.12.233.213
  135  export PS1="\e[0;31m[\u@\h \W]\$ \e[m"
  136  history
  137  tcpdump -i eth0
  138  tcpdump -nni eth0 host 10.12.233.213
  139  tcpdump -nni eth0 host 10.12.233.137 and \( port 443 or greate
  140  histiry
  141  history
  142  snort -vde
  143   cd /var/log
  144  mkdir snort
  145  ls
  146  cd snort
  147  pwd
  148  pwd
  149  snort -vde -l /var/log/snort/ -b
  150  ls
  151  tcpdump -r snort.log.1841398934 
  152  snort -r snort.log.1841398934 
  153  tcpdump -r snort.log.1841398934 
  154  pwd
  155  cd
  156  pwd
  157  ls
  158  ls dowloads
  159  ls downloads
  160  pwd
  161  ls
  162  ls doc
  163  cd doc
  164  more instalacion_SNORT
  165  pwd
  166  cd
  167  ls
  168  cd snort-2.8.4.1/
  169  ls
  170  cd
  171  pwd
  172  cd downloads
  173  ls
  174  cp snortrules-snapshot-CURRENT.tar.gz  /root/snort-2.8.4.1/
  175  cd /root/snort
  176  cd /root/snort/
  177  cd..
  178  cd snort
  179  cd
  180  cd snort
  181  cd snort-2.8.4.1/
  182  ls
  183  tar xvfz snortrules-snapshot-CURRENT.tar.gz 
  184  ls
  185  cd rules
  186  ls
  187  more icmp.rules
  188  cd
  189  ls
  190  cd snort-2.8.4.1/
  191  ls
  192  cd
  193  cd etc
  194  cd /etc
  195  ls
  196  more snort.conf
  197  ls
  198  cd etcpwd
  199  pwd
  200  cd..
  201  cd 
  202  cd snort-2.8.4.1/
  203  ls
  204  cd /etc
  205  more snort.conf
  206  more snort.conf
  207  pwd
  208  cd..
  209  cd
  210  cd snort-2.8.4.1/
  211  ls
  212  cd etc
  213  pwd
  214  ls
  215  more sn oer.conf
  216  more snort.conf
  217  more snort.conf
  218  vi snort.conf
  219  nano snort.conf
  220  cd
  221  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf
  222  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf
  223  ping 10.12.233.180
  224  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf
  225  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf -l /var/log/snort
  226  ip a
  227  ping 10.12.233.223
  228  ip a
  229  history
  230  ls /var/log/snort/
  231  cd snort-2.8.4.1/
  232  ls
  233  cd rules
  234  ls
  235  nano facebook.rules
  236  nano facebook.rules
  237  cd ..
  238  ls
  239  cd etc
  240  ls
  241  nano snort.conf
  242  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf -l /var/log/snort
  243  nano facebook.rule
  244  cd 
  245  cd /root
  246  cs snort-2.8.4.1/
  247  cd snort-2.8.4.1/
  248  cd rules
  249  ls f*
  250  cd ..
  251  cd etc
  252  ls
  253  vi snort.conf 
  254  cd ../rules
  255  vi facebook.rules 
  256  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf -l /var/log/snort
  257  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf -l /var/log/snort | grep facebook
  258  tcpdump -r /var/log/snort/snort.log.18414
  259  tcpdump -r /var/log/snort/snort.log.1841402853 
  260  tcpdump -r /var/log/snort/snort.log.1841402853 
  261  tcpdump -r /var/log/snort/snort.log.1841398934 
  262  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf -l /var/log/snort
  263  history
  264  rpc SHUTDOWN -C "Estamos apagando el equipo" -f -I 10.12.233.223
  265  net rpc SHUTDOWN -C "Estamos apagando el equipo" -f -I 10.12.233.223
  266  net rpc SHUTDOWN -C "Estamos apagando el equipo" -f -I 10.12.233.223
  267  net rpc SHUTDOWN -C "Estamos apagando el equipo" -f -I 10.12.233.223
  268  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf -l /var/log/snort
  269  tcpdump -r /var/log/snort/snort.log.1841402853 
  270  tcpdump -r /var/log/snort/snort.log.1841402853 
  271  tcpdump -r /var/log/snort/snort.log.1841402853 
  272  tcpdump -r /var/log/snort/snort.log.1841402853 
  273  snort -A console -vde -c /root/snort-2.8.4.1/etc/snort.conf -l /var/log/snort
  274  /opt/nessus/sbin/nessus-service -D
  275  history

Estándares de Seguridad ISO/IEC 27000

La familia ISO 27000 es un conjunto de estándares internacionales sobre la Seguridad de la Información. Contiene un compendio de buenas prácticas para el establecimiento, implementación, mantenimiento y mejora de Sistemas de Gestión de la Seguridad de la Información (SGSI).

Los pilares principales de la familia ISO 27000 son las normas ISO 27001 y ISO 27002. La principal diferencia entre estas dos normas radica en que ISO 27001 se enfoca en una gestión de la seguridad de forma continuada, apoyada en la identificación de riesgos a lo largo del tiempo. En contraste, ISO 27002 es una recopilación de buenas prácticas que describe una serie de objetivos de control y gestión que las organizaciones deberían perseguir.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas y procedimientos que sirven para estandarizar la gestión de la Seguridad de la Información. A continuación, se detallan algunos de los estándares incluidos en la familia ISO 27000:

Componentes Clave de la Familia ISO 27000

  • ISO 27000: Vocabulario y Fundamentos

    Contiene el vocabulario en el que se apoyan el resto de las normas. Es similar a un diccionario que describe los términos de todas las normas de la familia.

  • ISO 27001: Requisitos para el SGSI (Certificable)

    Establece el conjunto de requisitos para implementar un SGSI. Es la única norma certificable de la lista y consta de una parte principal basada en el ciclo de mejora continua (PDCA) y un Anexo A, que detalla las líneas generales de los controles propuestos por el estándar.

  • ISO 27002: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información

    Se trata de una recopilación de buenas prácticas para la Seguridad de la Información que describe los controles y objetivos de control. Actualmente, cuenta con 14 dominios, 35 objetivos de control y 114 controles.

  • ISO 27003: Directrices para la Implementación de un SGSI

    Es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a la norma 27001, indicando las directivas generales necesarias para la correcta implementación de un SGSI. Incluye instrucciones sobre cómo lograr una implementación exitosa.

  • ISO 27004: Métricas para la Gestión de la Seguridad de la Información

    Describe una serie de recomendaciones sobre cómo realizar mediciones para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.

  • ISO 27005: Gestión de Riesgos de Seguridad de la Información

    Es una guía de recomendaciones sobre cómo abordar la gestión de riesgos de seguridad de la información que puedan comprometer a las organizaciones. No especifica ninguna metodología de gestión de riesgos concreta, pero incluye ejemplos de posibles amenazas, vulnerabilidades e impactos.

  • ISO 27006: Requisitos para la Acreditación de Organizaciones Certificadoras

    Es un conjunto de requisitos de acreditación para las organizaciones que certifican SGSIs.

  • ISO 27007: Directrices para la Auditoría de SGSIs

    Establece qué auditar y cuándo, cómo asignar los auditores adecuados, la planificación y ejecución de la auditoría, y las actividades clave.

Comandos Esenciales de Red y Seguridad en Red Hat

Configuración de Red

  • ifconfig: Muestra la configuración de las interfaces de red.
  • Modo bridge: Configuración de red para máquinas virtuales.
  • service network restart: Reinicia el servicio de red.

Uso de TCPDump para Captura de Tráfico

TCPDump es una potente herramienta de línea de comandos para capturar y analizar el tráfico de red.

  • # tcpdump: Inicia la captura de tráfico.
  • # tcpdump -D: Lista las interfaces de red disponibles para la captura.
  • # tcpdump -i eth0: Escucha el tráfico en la interfaz eth0.
  • # tcpdump -i any: Escucha el tráfico en todas las interfaces disponibles.
  • # tcpdump -i eth0 -nn -s0 -v:
    • -nn: Evita la resolución de nombres de host y puertos para una captura más rápida.
    • -s0: Captura el tamaño completo del paquete (snaplen de 0).
    • -v: Habilita el modo verboso (más v's aumentan la verbosidad).
  • # man tcpdump: Accede al manual de TCPDump para más opciones.
  • Ejemplos de verbosidad:
    • # tcpdump -i eth0 -vvv
    • # tcpdump -i eth0 -e -vvv
    • # tcpdump -ttttnnvvS

Opciones de Filtrado en TCPDump

Se pueden aplicar filtros basados en:

  • Direcciones: src (origen), dst (destino).
  • Protocolo: tcp, udp, icmp, ah, entre otros.
  • Host: host [IP].
  • Red: net [CIDR].
  • Puerto: port [número].

Ejemplo de filtrado por host:

# tcpdump host 10.12.233.228

Para más ejemplos y detalles, consulte: https://hackertarget.com/tcpdump-examples

Conceptos de Seguridad Informática (03-09-2018)

La Tríada de la Seguridad Informática

La seguridad informática se fundamenta en tres pilares esenciales:

  • Confidencialidad: Asegura que la información sea accesible solo para aquellos autorizados.
  • Integridad: Garantiza la validez y consistencia de los elementos de la información, asegurando que no ha sido alterada de forma no autorizada.
  • Disponibilidad: Asegura la continuidad del acceso a los sistemas y la información. Los ataques de tipo DoS (Denegación de Servicio) o DDoS (Denegación de Servicio Distribuido), a menudo facilitados por botnets, buscan comprometer este pilar.

Servicios de Seguridad

El objetivo de un servicio de seguridad es mejorar la protección de los sistemas de procesamiento de datos y la transferencia de información en las organizaciones.

El No Repudio proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación.

Control de Acceso

El control de acceso se basa en tres componentes principales:

  1. Identificación: Proceso de reconocer a un usuario o entidad.
  2. Autenticación: Verificación de la identidad declarada.
  3. Autorización: Determinación de los permisos de acceso a recursos específicos.

Programas de Cracking de Contraseñas

Herramientas utilizadas para intentar descubrir contraseñas:

  • Cain & Abel
  • John the Ripper
  • Aircrack-ng

Gestión de Contraseñas en Linux

Las contraseñas cifradas en sistemas Linux se almacenan en el archivo /etc/shadow.

# grep -w root /etc/shadow

Ejemplo de formato de hash de contraseña:

$1$giwd2Gr1$AZFTFd...HP0
  • $1: Indica que el algoritmo de cifrado utilizado es MD5.
  • giwd2Gr1: Es el "SALT", una cadena aleatoria que añade complejidad al hash, haciendo más difícil el uso de tablas arcoíris.
  • AZFTFd...HP0: Es el hash resultante de la contraseña.

Técnicas de Sondeo y Descubrimiento de Red (Clase 10/09/2018)

1. Técnicas de Sondeo de Puertos (Port Scanning)

El sondeo de puertos permite identificar qué puertos están abiertos y qué servicios se están ejecutando en un host.

  • -sS: Sondeo TCP SYN (también conocido como "rastreo medio-abierto" o "half-open scan").
  • -sT: Sondeo TCP Connect().
  • -sU: Sondeo UDP.

2. Detección de Servicios y Versiones

  • -sV: Activa la detección de versiones de los servicios en los puertos abiertos.
    nmap -sS -sV [IP]

3. Detección de Sistema Operativo

Mediante la comprobación de huellas (fingerprinting) TCP/IP, Nmap puede intentar identificar el sistema operativo del host objetivo.

  • -O: Activa la detección de sistema operativo.
  • -A: Habilita la detección agresiva, que incluye detección de SO, versiones, scripts y traceroute.

4. Descubrimiento de Sistemas (Host Discovery)

Permite descubrir hosts activos en una red.

  • -sP: Sondeo Ping (descubre hosts activos mediante peticiones ICMP, ARP, etc.).
  • -sL: Sondeo de lista (solo lista los objetivos sin enviar paquetes).

Sondeos Especiales y Evasión de Firewall

  • -sN: Sondeo Null (paquetes sin flags TCP).
  • -sF: Sondeo FIN (paquetes con solo el flag FIN).
  • -sX: Sondeo Xmas Tree (paquetes con flags FIN, URG, PSH).
  • -f o --mtu: Intenta evadir firewalls fragmentando los paquetes.

Comandos Vistos en Clase (Ejemplos con Nmap)

Ejemplo de comando para contar hosts activos en una red:

nmap -sP 10.12.233.0/24 | grep ^Nmap | cut -f 5 -d \ | wc -l

Este comando:

  1. Ejecuta un sondeo ping en la red 10.12.233.0/24.
  2. Filtra las líneas que comienzan con "Nmap" (indicando un host descubierto).
  3. Extrae el quinto campo (la dirección IP) usando el espacio como delimitador.
  4. Cuenta el número de líneas resultantes, dando el total de hosts activos.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
SGSI Ciberseguridad Snort Seguridad Informática Nmap Triada de Seguridad ISO 27000 Comandos Linux John the Ripper Control de Acceso Gestión de Riesgos Seguridad de Redes TCPDump Nessus Vulnerabilidades Hacking Ético