jueves, septiembre 27, 2007

Primer scaneo al centro tic

Desde el jueves no actualizo el blog, pero estoy por aquí de nuevo. El lunes finalmente volví al instituto, bueno el lunes realmente fue la presentación, nos dijeron a que grupo vamos cada uno (este año hay tres 1º de bachillerato), nos dieron el horario y poco mas. El martes no me llevé la fonera, porque la mochila no hacía falta y llamaría un poquito la atención. El miércoles si que me lleve la fonera, el portapilas, cuatro pilas nuevas en su funda y la fontenna, es la antena mas robusta que tengo y no me hace gracia meter una omnidireccional en la mochila, no veo la mochila como el lugar mas seguro, así que la fontenna aguantaría mejor hipotéticos golpes. La fontenna la he montado en la mochila en la parte donde van los libros, mi mochila solo tiene dos "bolsillos", uno grande para los libros y delante uno pequeño que yo uso para llevar calculadora, boli, etc. la fontenna la he pegado con papel celo (de ese de plástico que sirve para pegar), está ahí fija con el cable liado entorno a ella en forma de circulo. He hecho un pequeño agujero para poder pasar el cable al otro bolsillo, donde va la fonera. No se si me entendéis, quizás luego suba alguna foto. Bueno sigo con la historia, el miércoles no lo hice porque no vi el momento de colocar las pilas, que prefiero que no se entere mucha gente y sacar un portapilas y 4 pilas es un descaro. Además en mi clase no me puedo fiar de mucha gente, si se entera algún amigo accidentalmente pues no me molestaría demasiado, pero es que en mi clase somos 29 alumnos y ahí 17 nuevos!!! Pues eso que ese día no tuve oportunidad de hacerlo sigilosamente así directamente no lo hice.

El jueves cambió la cosa, yo quería hacerlo desde mi clase, que tiene su AP wireless puesto y quería como mínimo tenerlo una hora fijo en un mismo lugar, por aquello de no perder la conexión con el AP, que con el lío de routers wifi que hay... han puesto prácticamente uno por clase y algunos están pared con pared, así que el tema de moverme... lo mínimo, como todos los AP tienen el mismo essid y están a dos pasos uno de otro mejor que se quede conectado a uno solo. La idea entonces era poner las pilas en el portapilas sin que se diera cuenta nadie y conectarlo, fácil no? pues no, pero pensando al final di con el momento ideal, tercera hora, tocaba dibujo técnico y yo estoy al final de la clase. Justo antes de que terminara clase puse las pilas pero sin conectarlo a la fonera, me fui deprisa a mi clase (ahora tocaba inglés) y lo conecté al llegar, lo deje encendido hasta que se apago (2 horas o 2 horas y media), esta tarde he comprobado que solo tardó 28 minutos. Cuando acabo la hora moví la mochila por el instituto, por necesidad, no por gusto, pero afortunadamente había acabado ya.

Por la tarde, en mi casa, conecté la fonera a mi router y a la corriente eléctrica para ver los resultados. Me conecté por ssh a la fonera y a mi cuenta ssh en el servidor de 1and1.es para comprobar si los datos se habían subido correctamente al ftp. No estaban, el ftp estará bloqueado en el firewall. Luego ya en la fonera tuve la suerte de contar con un backup comprimido de todos los datos (el archivo logs.tar.gz que debería haberse subido al ftp). Como el script se autoejecuta en el arranque el fichero date (el que controla el tiempo) había sido sobreescrito y el fichero que guarda los que muestra en pantalla el script al ejecutarse (dump) también fue sobreescrito. Copié los logs al portátil y me puse a mirarlos, todo lo demás excepto el traceroute a google.es fue bien.

No voy a poner todos los logs tal cual porque pueden desvelar de que instituto soy y quiero mantener un mínimo de privacidad, pero si los voy a comentar. Vamos por el orden en que se ejecutan las cosas, primero miré el tiempo, el fichero date contiene esto:

Sat Jan 1 00:01:06 UTC 2000
Sat Jan 1 00:01:35 UTC 2000
Sat Jan 1 00:27:57 UTC 2000

Se ejecuta 1 minuto después del arranque y pocos segundos después ya estaba conectada a la red, y finalmente acabo todo en 28 minutos, no está mal, mas o menos lo mismo que mi red.

Los ficheros iwconfig y ifconfig confirman que efectivamente ya estaba conectada a la red. Un detalle importante en el que me fijaré para la próxima ejecución (espero que la semana que viene) es la configuración de la red:

inet addr:192.168.1.204 Bcast:192.168.3.255 Mask:255.255.252.0

Con eso sabemos que las ips van desde 192.168.0.1 hasta 192.168.3.254, tendré que scanear esos rangos. De hecho el año pasado el router de mi antigua clase (ahora estoy en la otra punta del instituto, asignaba ips del rango 192.168.3.x, por lo que seguramente habrá hosts en todos los rangos.

El scaneo tcp a todos los puertos de f0 devolvió un resultado que no esperaba:

PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
53/tcp open domain
80/tcp open http
389/tcp open ldap
443/tcp open https
873/tcp open rsync
6667/tcp closed irc
6881/tcp closed bittorent-tracker
6882/tcp closed unknown
6883/tcp closed unknown
8080/tcp open http-proxy
8083/tcp closed unknown

Hay unos puertos abiertos y otros pone que están cerrados, recurriendo al manual de nmap leo que eso significa que se ha respondido a las sondas de nmap pero que no hay ningún servicio escuchando en él, en otras palabras que no esta bloqueado (filtrado) pero nada se ejecuta en ese puerto.

Continuando, amap nos dice que hay en cada puerto y sus indicaciones son estas (están resumidas y solo los datos que creo mas útiles):

21: ftp: ProFTPD 1.2.10 Server (Debian)
53: dns
80: http: Dansguardian
389: ldap
443: ssl: la palabra andalucia es de las pocas descifrables, no da mas detalles.
873: rsync
8080: http: Dansguardian

Así resumido eso es lo que se deduce de amap. Como se puede ver ahora el resultado de nmap quedó mucho mejor:

20/tcp closed ftp-data
21/tcp open ftp ProFTPD 1.2.10
53/tcp open domain ISC Bind 9.2.4
80/tcp open http-proxy DansGuardian HTTP proxy
389/tcp open ldap (Anonymous bind OK)
443/tcp open ssl OpenSSL
873/tcp open rsync (protocol version 29)
6667/tcp closed irc
6881/tcp closed bittorent-tracker
6882/tcp closed unknown
6883/tcp closed unknown
8080/tcp open http-proxy DansGuardian HTTP proxy
8083/tcp closed unknown

Mas inteligible y creo que mas completo, el de amap realmente hay que descifrarlo, me gusta mas como ha funcionado nmap, pero de volver a hacerlo usaría nuevamente las 2 herramientas.

A continuación lo mismo pero con el otro servidor, con c0. Scaneo normal, amap y nmap -sV. Vamos con lo primero, los puertos abiertos que dio fueron estos: 21, 22, 25, 53, 80, 111, 199, 389, 443, 631, 688, 691, 981, 2049, 3306, 4949, 9999, 40792.

El resultado de amap:

21: ftp: ProFTPD 1.2.10 Server (Debian)
22: openssh: SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.6
25: smtp: localhost.localdomain ESMTP Postfix (Debian/GNU)
53: dns
80: http: Apache/1.3.33 Ben-SSL/1.55 (Debian GNU/Linux)
111: no está en los resultados de amap??!!
199: snmp
389: ldap
443: ssl: el banner estará cifrado solo se distingue la palabra Andalucía y poco mas.
631: cups: Server CUPS/1.1
688: rpc-status-v1
981: rpc-mountd-v3
2049: rpc: rpc-nfs-v3
3306: mysql
4949: no está en los resultados de amap
9999: http
40972: rpc-nlockmgr-v4

Y el de nmap -sV:

21: ftp: ProFTPD 1.2.10
22: ssh: OpenSSH 3.8.1p1 Debian 8.sarge.6 (protocol 2.0)
25: smtp: Postfix smtpd
53: domain: ISC Bind 9.2.4
80: http: Apache httpd 1.3.33 (Ben-SSL/1.55 (Debian GNU/Linux) PHP/5.1.6-1~bpo.1)
111: rpcbind: 2 (rpc #100000)
199: smux: Linux SNMP multiplexer
389: ldap: (Anonymous bind OK)
443: ssl: OpenSSL
631: ipp: CUPS 1.1
688: status: 1 (rpc #100024)
691: rquotad: 1-2 (rpc #100011)
981: mountd: 1-3 (rpc #100005)
2049: nfs: 2-3 (rpc #100003)
3306: mysql: MySQL 4.1.11-Debian_4sarge7-log
4949: tcpwrapped
9999: http: apt-proxy httpd
40792: nlockmgr: 1-4 (rpc #100021)

Después lo que tocaba era un scaneo dns, para buscar nombres de las máquinas. A partir de la ip 192.168.0.50 empezaba a dar nombres, algo así: pc50-0.código-del-centro.11.andared.cec.junta-andalucia.es. Lógicamente donde he puesto "código del centro" va un número que identifica a cada centro educativo. Lo de pc50 va cambiando: pc51, pc52.... No he scaneado la red entera porque no tenía conocimiento de su tamaño, pero me lo apunto para la próxima, el último que tengo es pc254.... El nombre que reciben las máquinas hace pensar en la existencia de una red andaluza que conecta todos los centros educativos y lo controla el cga, de hecho no solo lo supongo, lo sé, según he leído es "la red educativa telemática mas grande del mundo".

Tras eso toca una parte interesante un scaneo arp ping para conocer que máquinas estaban activas, el resultado solo han sido los dos servidores y (creo) varios routers wifi DLink:

192.168.0.1 (f0)
192.168.0.2 (c0)
192.168.0.50 (pc50)
192.168.0.224 (pc224)
192.168.0.246 (p246)
192.168.0.247 (pc247)

Ya falta poco para acabar, las rutas, primero como las ve nmap. Éste nos dice que el router es f0. Luego traceroute a f0, c0 y google.es. Primero hay 30 saltos que ninguno ha dado resultados, se supone que corresponde a f0, después toca c0, que solo está la primera línea, por lo que supongo que paso por él antes que por ninguna otra cosa (exceptuando el ap wifi). El trazado a google.es solo da el primer router, f0, luego ya no aparece nada mas.

Intentamos una transferencia de zona, pero no estamos autorizados:

Using domain server:
Name: 192.168.0.1
Address: 192.168.0.1#53
Aliases:

Host junta-andalucia.es not found: 9(NOTAUTH)
; Transfer failed.

Probaré también a hacerlo con c0, ya que los dos servidores tienen dns.

Por último se comprime todo y se envía a por ftp pero eso no funcionó, se ve que está bloqueado.

En resumen esos son los resultados, ahora intentaŕe desarrollar una segunda versión este fin de semana que me proporcione mas datos, haré un scaneo ping arp a toda la red ahora que se como de grande es, scaneo de puertos tcp a las maquinas activas (creo que solo habrá APs wifi), quizás udp a f0/c0, y la estrella: intentaré meter algún scanner de vulnerabilidades. Este esquema es susceptible de modificaciones todavía tengo que planearlo bien todo, pero todo apunta a que la semana que viene sondearé la red de nuevo.