Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable Julieta/Alberto/Walter/Ernesto Muy bien d=EDa a todos. Esta semana debemos leer el libro 503.2 desde la p=E1g. 1-1 a la 6-52 Importante: 1. Deben resolver el "retos semanales 2 y 3" adjunto. Los dos primeros en resolver el reto #7 podr=E1n probarlo ellos mismos = con sistemas remotos durante la clase, y luego nos ense=F1aran a todos = sus hallazgos.=20 Antes, deber=E1n enviarme sus respuestas (al respecto de este reto #7) 2. Traer preguntas de su lectura, para ir a los puntos clave. 3. Me han solicitado m=E1s ejercicios, as=ED que rem=EDtanse a practicar = con el reto #4 (de preferencia habiendo leido antes el libro) 4. Vuestras MP3 los consiguen ingresando a = https://portal.sans.org/login.php ( Self Study Files ) 5. Los PPT que me pidieron en clase, tambi=E9n estar=E1n en ese portal = en unas horas. Saludos, Javier Romero SANS Local Mentor -- Attached file included as plaintext by Ecartis -- -- File: reto semanal 2 y 3.txt PREGUNTAS DE REPASO - RETO SEMANAL # 2 =================== Ejercicio #4 (OBLIGATORIO) Nivel: 100 ============ Resolver todos los ejercicios técnicos del libro "Intrusion Detection Hands-On Workbook" - pág. 7-A hasta - pág. 55-A Las respuestas de las mismas se hallan desde la pág. 65-A hasta 133-A Ejercicio #5 (OBLIGATORIO) Nivel: 200 ============ Dada el siguiente filtro, en tu red externa: windump -v host mired.com and host hacker.com Obtienes como resultado: 11:40:18.365699 IP (tos 0x0, ttl 126, id 46734, offset 0, flags [+], length: 1500) hacker.com > mired.com: icmp 1480: echo request seq 3072 11:40:18.365742 IP (tos 0x0, ttl 126, id 46734, offset 1480, flags [+], length: 1500) hacker.com > mired.com: icmp 11:40:18.365765 IP (tos 0x0, ttl 126, id 46734, offset 2960, flags [+], length: 1500) hacker.com > mired: icmp 11:40:18.365786 IP (tos 0x0, ttl 126, id 46734, offset 4440, flags [none], length: 588) hacker.com > mired.com: icmp 11:40:23.764143 IP (tos 0x0, ttl 126, id 46751, offset 0, flags [+], length: 1500) hacker.com > mired.com: icmp 1480: echo request seq 3328 11:40:23.764187 IP (tos 0x0, ttl 126, id 46751, offset 1480, flags [+], length: 1500) hacker.com > mired.com: icmp 11:40:23.764208 IP (tos 0x0, ttl 126, id 46751, offset 2960, flags [+], length: 1500) hacker.com > mired.com: icmp 11:40:23.764230 IP (tos 0x0, ttl 126, id 46751, offset 4440, flags [none], length: 588) hacker.com > mired.com: icmp 11:40:28.796092 IP (tos 0x0, ttl 126, id 46771, offset 0, flags [+], length: 1500) hacker.com > mired.com: icmp 1480: echo request seq 3584 11:40:28.796136 IP (tos 0x0, ttl 126, id 46771, offset 1480, flags [+], length: 1500) hacker.com > mired.com: icmp 11:40:28.796157 IP (tos 0x0, ttl 126, id 46771, offset 2960, flags [+], length: 1500) hacker.com > mired.com: icmp 11:40:28.796179 IP (tos 0x0, ttl 126, id 46771, offset 4440, flags [none], length: 588) hacker.com > mired.com: icmp 11:40:33.826804 IP (tos 0x0, ttl 126, id 46787, offset 0, flags [+], length: 1500) hacker.com > mired.com: icmp 1480: echo request seq 3840 11:40:33.826846 IP (tos 0x0, ttl 126, id 46787, offset 1480, flags [+], length: 1500) hacker.com > mired.com: icmp 11:40:33.826868 IP (tos 0x0, ttl 126, id 46787, offset 2960, flags [+], length: 1500) hacker.com > mired.com: icmp 11:40:33.826890 IP (tos 0x0, ttl 126, id 46787, offset 4440, flags [none], length: 588) hacker.com > mired.com: icmp Sí los paquetes aquí registrados son totalmente normales, y no hay trucos en ellos. Además mired.com es un router que restringe tamaño de paquete. Conteste: a. Entonces ¿Qué crees que está haciendo el hacker? b. ¿Qué puedes decir del hacker? (usa pag. 27 "OS fingerprinting" del "packet analysis ref. guide v.1.0") Ejercicio #6 (OPCIONAL) Nivel: 200 ============ Traer una breve disertación (3 párrafos, y si gusta incluya un gráfico de red) donde plantee un escenario de intrusión a una red que usted conozca. NOTA: - Sólo emplee técnicas vistas y leidas hasta ahora. - Reserve en el anonimato el nombre de dicha red. Ejercicio #7 (OPCIONAL) Nivel: 300 ============ http://isc.sans.org/diary.php?date=2005-05-29 http://www.dshield.org/port_report.php?port=53 El lunes 30 mayo, los handlers on duty del ISC reportaron un crecimiento de tráfico TCP/UDP 53. Este reporte lo generan gracias a decenas de cientos de firewalls, ids, y sistemas similares que envía sus registros a ISC. NOTA: Estos registros son todos los puertos entrantes que dichos firewalls, ids, etc bloquean. Es decir, todo tráfico considerado ilegal para dichas redes. Usted trabaja para una compañía de antivirus y sus jefes quieren saber si el tráfico es producto de alguna actividad hostil (entiéndase, DoS, reconocimientos, estímulos/respuesta) Pregunta: Su compañía tiene 2 servidores DNS expuestos a internet y una veintena de otros servidores SMTP, POP3, HTTP, HTTPS, IMAP, FTP, entre otros, todos proveyendo servicios a una altísima carga de tráfico. Su firewall sólo permite servicio DNS a esos dos servidores. Su rango de red es 200.14.241.0 255.255.255.64 La IP de sus servidores DNS son: 200.14.241.36 y 200.14.241.38 1. ¿Qué debe capturar para analizar ágilmente el suceso? 2. ¿cuál es el mejor filtro TCPDUMP/WINDUMP para ello?