webminar ataques de fuerza bruta kali linux

1. Profe Carlos Leal Password Cracking con Kali LInux Webminar Octubre 2021

2. ¿QUÉ ES KALI LINUX? Una explicación Necesaria

3. Nombre del curso: • Seguridad Informática y sus implicaciones Legales en los ciberdelitos Duración • 40 horas (Dominical) Modalidad • Virtual Información a • dpec@uam.edu.ni • https://posgrados.uam.edu.ni Curso de Seguridad Informática en la UAM

4. ¿Qué es Kali Linux? •Distribución de GNU/Linux •Basada en Debian •Soportada y mantenida por Offensive Security. ¿Qué es Kali Linux?

5. ¿Qué es Kali Linux? https://www.offensive-security.com/

6. ¿Qué es Kali Linux? •Herramienta avanzada para realizar •Pruebas de penetración y •Auditorías de seguridad informática. ¿Qué es Kali Linux?

7. ¿Qué es Kali Linux? • Con Kali Linux se puede realizar: • Pruebas de penetración • Análisis forense • Ingeniería inversa • Pruebas de estrés • Y un largo etcétera ¿Qué es Kali Linux?

8. Kali Linux •Apareció en el año 2013 •Reformulación de Backtrack. •Abandona a Ubuntu y se une a Debian •Ahora es Rolling realease

9. Actualización Constante • Parches • Actualizaciones • No es necesario reinstalar cuando sale un nueva versión Rolling Release • Permite mantener actualizado el sistema con todas las aplicaciones instaladas ¿Rolling Release?

10. Actualización Constante • Cuatro actualizaciones mayores al año • Las imágenes de instalación se actualizan cada semana • El código fuente de Kali Linux está disponible en http://git.kali.org/gitweb/ ¿Rolling Release?

11. Kali Linux • Kernel personalizado • Servicios de red y Bluetooth deshabilitados de manera predeterminada • Número mínimo de repositorios operados por un grupo muy pequeño de personas. ¿Qué hace a Kali Linux Diferente?

12. • No es para novato. • No es para aprender Linux • No es para uso cotidiano • No es para jugar • No es para diseño web • No es para programar • Diseñada por y para profesionales de la seguridad informática Kali LInux ¿Kali Linux es bueno para mi?

13. • Sitio oficial de descarga: https://www.kali.org/get-kali/ No descargar Kali desde otro sitio • Hay versiones para: – 32 Bits – 64 Bits – Imágenes preinstaladas para VMWare y VirtualBox – Diferentes imágenes para móviles ¿De donde se descarga?

14. Máquina Virtual con VirtualBox • 80 GB de Disco Duro • 2048 MB de RAM - (64 Bits) • Dos núcleos de procesamiento • Acceso a Internet (no puede faltar) Requerimientos mínimos para instalación

15. Otros sitios de interés

16. En resumen Tipo Linux Basado en Debian Origen Suiza Arquitectura armel, armhf, i386, x86_64 Categoría Recuperación de datos, Análisis forense, Live Medium, Raspberry Pi, Security Página Principal http://www.kali.org/ Descarga https://www.kali.org/get-kali/

17. CONTRASEÑAS Una explicación más que necesaria

19. Formas de Autenticación Por algo que se conoce

20. Formas de Autenticación Por algo que se tiene

21. Formas de Autenticación Por algo que se es

22. Formas de Autenticación

23. • Seguridad nivel Edna Moda – Contraseña – Biometría • Reconocimiento vascular (Mano) • Retina • Reconocimiento de voz – Sensores de presencia Formas de Autenticación

24. La contraseña • Es la forma más común de autenticación • Debe mantenerse en secreto para impedir el acceso no autorizado. • Debe ser personal e intransferible. • Se debe cambiar regularmente • No usar la misma para todo Contraseñas

25. Balance entre seguridad y comodidad Contraseña fácil de recordar es fácil de adivinar

26. o Con contraseñas difíciles los usuarios tienden a: o Escribirlas o Tener un archivo para almacenar todas sus contraseñas o Olvidarlas y solicitar el restablecimiento o Usar la misma contraseña para todo Balance entre seguridad y comodidad

27. o Requisitos más estrictos para las contraseñas: o Más de 8 caracteres o No utilizar palabras del diccionario o Utilizar letras y números o Combinación de mayúsculas, minúsculas y caracteres no alfanuméricos (!”#$%&/()=?¡+{}) o Cambiar Regularmente Balance entre seguridad y comodidad

28. ESET password Generator https://www.eset.com/int/password-generator/ kaspersky password check https://password.kaspersky.com/es/

29. o Formas de almacenar la contraseña o Algunos sistemas utilizan archivos para guardar las contraseñas o En Windows ➔ C:WindowsSystem32configSAM o En GNU/Linux ➔ /etc/passwd y /etc/shadow Si un atacante tiene acceso a estos archivos la seguridad se verá comprometida Factores de seguridad de las contraseñas

30. o Longevidad de una contraseña o Las contraseñas deben ser cambiadas cada cierto tiempo o No forzar cambios de contraseña con demasiada frecuencia o Al implementar este tipo de política se requiere una cuidadosa consideración de los factores humanos. Factores de seguridad de las contraseñas

31. • Ataque de diccionario: – Utiliza una técnica muy sencilla una lista detallada (diccionario) con nombres de usuario y/o contraseñas – El ataque consiste en probar todas y cada una de las posibles combinaciones Ataques a las contraseñas

32. • Ataque de fuerza bruta: – No utiliza una lista limitada – Usa combinaciones de todas las letras, números y caracteres del teclado. Ataques a las contraseñas

33. • Ataque basado en reglas – Se utiliza cuando de tiene alguna información sobre la contraseña. Ataques a las contraseñas

34. • Ataque de syllabus (hibrido): Es una combinación de los ataques de diccionarios y de fuerza bruta

35. • Símbolos de seguridad – Capcha: Son similares a las contraseñas e incluso se pueden combinar, la principal característica es que el usuario debe escribir un código aleatorio. Alternativas a las contraseñas

36. • Controles de acceso: Se basa en la criptografía de clave pública, la llave pública se queda en el servidor y la clave privada se la lleva el usuario en un dispositivo (memoria USB, disco, token, etc.) Alternativas a las contraseñas

37. • Métodos biométricos: – Reconocimiento de iris – Reconocimiento de Facial 2D y 3D – Reconocimiento vascular – Pulsaciones cardíacas – Ondas cerebrales Alternativas a las contraseñas

38. • Autenticación en dos pasos: El usuario escribe su nombre de usuario y contraseña y luego recibe una llamada, mensaje de texto o correo con un código para acceder. Alternativas a las contraseñas

39. • Mediante dispositivos móviles: – Existen aplicaciones específicas. – La contraseña sale desde el dispositivo móvil hasta el servidor – Puede necesitar un sitio web o servidor de un tercero Alternativas a las contraseñas

40. El entorno de Kali Linux • Inicio de sesión • Recorrido rápido por las herramientas

41. PASSWORD CRACKING EN KALI LINUX Ahora si

43. • El atacante ya identificó información importante: – Dirección IP - 192.168.1.1 – Puertos abiertos - puerto 80 o 25 – Protocolos - HTTP o SMTP – Nombres de usuario – admin, test, etc. Antes de iniciar el ataque de contraseñas

44. CRUNCH Ataque de fuerza bruta

45. Generar contraseñas con crunch crunch <min> <max> <caracteres> -t <plantilla> -o <archivo de salida> Ejemplo: • crunch 7 7 abcd987 -t abc@@@@ -o /root/file.txt

46. ATAQUE DE DICCIONARIO Varias opciones

47. Diccionarios en línea • Se pueden bajar diccionarios de contraseñas de varios sitios – http://www.outpost9.com/files/WordLists.html – http://packetstormsecurity.org/Crackers/wordlists/ – http://www.ai.uga.edu/ftplib/natural-language/moby/ – http://wordlist.sourceforge.net/

48. Diccionarios en Kali Personalmente recomiendo descomprimir el archivo rockyou.txt.gz

49. ATAQUE DE FUERZA BRUTA Con Kali Linux

50. • Aplicación para realizar ataques de Fuerza Bruta • Está basado en hilos para pruebas concurrente a varios hosts, usuarios o contraseñas. • Posee un diseño modular, cada servicio existe como un módulo independiente en archivos .mod. • medusa -d para ver los módulos disponibles Medusa

51. Medusa • medusa -h 192.168.56.250 -u root -P pass.txt -M ssh -n 2222 -f Host Usuarios Diccionario Módulo SSH Puerto Detenerse al encontrar un usuario y contraseña

52. Medusa en Acción

53. Medusa • medusa -h 192.168.10.12 -u profe -P pass.txt -M ssh -n 22 -f Host Usuarios Diccionario Módulo SSH Puerto Detenerse al encontrar un usuario y contraseña

54. Medusa • De una forma similar puede ser usado en otros servicios medusa -h 192.168.10.105 -u k3170makan -P /usr/share/wordlists/rockyou.txt –M ftp medusa -h 192.168.10.105 -u ungaman -P /usr/share/wordlists/rockyou.txt -M http medusa -h 192.168.10.105 –u decks -P /usr/share/wordlists/rockyou.txt –M web-form

55. hydra en Acción

56. Hydra • Es desarrollado por The Hacker's Choice (THC) es decir no tiene nada que ver con el capitán américa • También soporta variedad de protocolos • Es ideal para atacar servidores de correo porque puede centrarse en un IP y un usuario

57. Hydra • hydra -l profe -p /usr/share/wordlist/rockyou.txt ssh • hydra -l admin -p /root/password.txt 192.168.1.1 smtp • hydra -L user.txt -p pass.txt http_proxy://192.168.16.1

58. hydra • hydra -l profe -P pass.txt 192.168.10.12 -t 4 ssh Host Usuarios Diccionario Módulo SSH

59. Más allá de Kali Linux ophcrack John the Ripper

60. ¿Dudas? ¿Preguntas?

webminar ataques de fuerza bruta kali linux

Du liest eine Vorschau.

Hier ansehen

webminar ataques de fuerza bruta kali linux

Weitere Verwandte Inhalte

Diashows für Sie (20)

Ähnlich wie webminar ataques de fuerza bruta kali linux (20)

Weitere von Carlos Antonio Leal Saballos (19)

Aktuellste (20)

webminar ataques de fuerza bruta kali linux