En la actualidad, existen
multitud de Sistemas Operativos diferentes (Windows, HP-UX, Linux,
Solaris, etc.) y cada uno tiene sus propias características que lo
diferencian de los demás: distintas implementaciones de la pila TCP/IP,
diferentes comportamientos ante el envío de según qué paquetes
especialmente formados, distintas respuestas en función del protocolo
utilizado (TCP, ICMP, ARP), etc.
Al realizar una revisión de seguridad,
auditoría o test de intrusión, es importante, antes de empezar a
enumerar qué servicios hay activos, reconocer el Sistema Operativo del
servidor remoto que se está analizando ya que el procedimiento, las
herramientas y las técnicas a emplear son diferentes. Esto es lo que se
conoce como Fingerprinting de Sistemas.
El Fingerprinting de Sistemas es la
técnica que usan la mayoría de analizadores de puertos avanzados (como
Nmap) para intentar descubrir el Sistema Operativo de un servidor
remoto. Está identificación se basa en los tiempos de respuesta a los
diferentes paquetes ACK y SYN al establecer una conexión en el protocolo
TCP/IP.
Básicamente, existen dos formas
principales de intentar descubrir el Sistema Operativo presente en un
host remoto: forma activa y/o pasiva y existen cantidad de herramientas
que, usando cualquiera de los dos métodos, permiten realizar el
fingerprinting remoto tales como Nmap, Xprobe, el antiguo QueSO, P0f o
incluso la más moderna SinFP. Las técnicas tradicionales de
reconocimiento de Sistemas mediante la captura del banner de algún
servicio activo tipo TELNET, FTP, etc. que proporcionan información
acerca del Sistema Operativo son limitadas y obsoletas y están
prácticamente en desuso debido a la facilidad para modificar el banner
de servicio y ofuscar, de esta manera, la identificación del Sistema
Operativo presente en el servidor.
Además, existe un método alternativo de
descubrir qué sistema está presente en la mayoría de servidores remotos
importantes presentes en Internet, sin hacer ningún tipo de ruido ni
ninguna prueba complicada que es utilizar NETCRAFT
(http://www.netcraft.com). NETCRAFT, compañía dedicada, básicamente, a
realizar estadísticas del uso de software en Internet, dispone de un
servicio Web en el que con, simplemente, introducir el nombre del
servidor a analizar, en breves segundos proporciona la información
acerca del servidor Web, el Sistema Operativo, etc.
En el presente documento se va a
realizar un estudio de las principales técnicas de Fingerprinting
activo, cómo combinarlas y cómo conseguir determinar con un alto grado
de exactitud el Sistema Operativo de un servidor así como también se van
a enumerar las principales herramientas utilizadas en la actualidad.
REFERENCIAS:
- NETCRAFT http://news.netcraft.com
- NMAP http://www.insecure.org
- XPROBE2 http://xprobe.sourceforge.net
- SinFP
http://www.gomor.org/cgi-bin/index.pl?mode=view;page=sinfp
- mod_security http://www.modsecurity.org/
- URLScan
http://www.microsoft.com/technet/security/tools/urlscan.mspx
- Servermask
http://www.port80software.com/products/servermask/iis
- metaedit
http://download.microsoft.com/download/iis50/Utility/5.0/NT45/EN-US/MtaEdt22.exe
- ip-personality http://ippersonality.sourceforge.net/
- stealth patch http://www.securityfocus.com/tools/1747
- NMAP http://www.insecure.org
- XPROBE2 http://xprobe.sourceforge.net
- SinFP
http://www.gomor.org/cgi-bin/index.pl?mode=view;page=sinfp
- mod_security http://www.modsecurity.org/
- URLScan
http://www.microsoft.com/technet/security/tools/urlscan.mspx
- Servermask
http://www.port80software.com/products/servermask/iis
- metaedit
http://download.microsoft.com/download/iis50/Utility/5.0/NT45/EN-US/MtaEdt22.exe
- ip-personality http://ippersonality.sourceforge.net/
- stealth patch http://www.securityfocus.com/tools/1747
Manual avanzado: IdentificacionRemotaS.O.HackTimes.com.v.1.0.pdf
Fuente: hacktimes.com
No hay comentarios:
Publicar un comentario