<< Forefront Protetion 2010 for SharePoint: Importar/Exportar configuración con Powershell | Forefront Protection 2010 for SharePoint / Exchange: Actualizar manulamente los motores de Antivirus >>

MS Forefront TMG 2010: Testeando el motor NIS [II de VI]

by Admin 31. julio 2010 05:09

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta segunda entrega dedicada al motor de NIS (Network Inspection System), nos vamos a centrar en la información que un potencial atacante pueda extraer de nuestro Firewall. El primer paso a realizar consiste en buscar todo tipo de información sobre nuestro objetivo. En este caso aplicaremos técnicas básicas de fingerprinting para obtener la mayor información disponible. Este conjunto de técnicas consiste en obtener información en base a la implementación de la pila TCP/IP de un sistema operativo. Gracias a este tipo de técnicas, es posible conocer con exactitud los puertos ofertados por una máquina en particular, así como su sistema operativo. Una vez montado y activado nuestro motor de NIS, visto en el artículo anterior, vamos a intentar extraer información de nuestro servidor, utilizando para ello la herramienta NMAP.

La primera técnica que vamos a utilizar, es un escaneo básico, pero denominado oculto. En este tipo de escaneos, cuando la herramienta detecta que un puerto está abierto, manda una señal de reset, para que la comunicación a tres vías o three way handshake no se complete.

Si en una comunicación normal el intercambio a tres vías es el siguiente:

Figura 3: Three Way Handshake

Utilizando NMAP con el parámetro –sS, funcionará de la siguiente manera:

Figura 4: Half Scan

Nuestro test número uno inicia con la siguiente configuración:

Figura 5: Half Scan con NMAP

Como se puede apreciar en la imagen anterior, NMAP inicia buscando los puertos más comunes, así como la detección del servicio que use un puerto abierto. La detección del sistema operativo también se incluye en el comando anterior.

El motor de NIS automáticamente salta con una alarma en la consola de monitorización, mostrando para ello la siguiente leyenda:

Figura 6: Leyenda de detección de ataque

Figura 7: Intrusión detectada

Como se puede apreciar en las anteriores capturas, el motor de NIS detecta el tipo de escaneo, y muestra además información sobre la propia configuración de la herramienta, mostrando la leyenda de que ha detectado un escaneo con la opción de escanear todos los puertos conocidos.

En la siguiente entrega dedicaremos una atención especial a ataques de fuerza bruta y suplantación de identidad.

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

Category:
Tags: firewall, firewall, antimalware, exploits, nis
Comentarios (0)

E-mail Permalink Post RSS

Publicaciones relacionadas

Microsoft Forefront Threat Management Gateway TMG 2010Página de Recusos Técnicos de Forefront Threat Management Gateway TMG 2010 en español. Artículos, ví...MS Forefront TMG 2010: Testeando el motor NIS [I de VI]Probando el servicio NIS De MS Forefront Threat Management Gateway TMG 2010MS Forefront TMG 2010: Testeando el motor NIS [III de VI]Probando el servicio NIS De MS Forefront Threat Management Gateway TMG 2010