GRUPO: 5302 | Prof.

Adolfo Melndez

PENTEST EN RASPBERRY PI
PROYECTO
CERON AVELAR MARIANA
MARTINEZ CASAAS JANETH ZURINAM
RODRIGUEZ RODRIGUEZ GERARDO
SANCHEZ GONZALEZ JESUS ALEJANDRO
SANTILLANA SANTANA MANUEL ITURIEL
SIMON MARTINEZ MARIA DE JESUSUS
CASTAEDA PREZ ARTURO

ndice
INTRODUCCION.............................................................................................. 2
CRONOGRAMA................................................................................................ 3
Instalacin de Kali Linux en un Raspberry Pi y conexin a ella de forma
remota............................................................................................................ 4
Conexin a la Raspberry Pi de forma remota desde un sistema Windows
utilizando SSH............................................................................................. 5
Las pruebas de penetracin inalmbrica con Kali Linux en un Raspberry Pi. .7
Actualizacion de Raspberry Pi...................................................................11
Las pruebas de penetracin inalmbrica con Kali Linux en un Raspberry Pi
(CONTINUACION).......................................................................................... 12
CONCLUCIONES............................................................................................ 12
Evidencias.................................................................................................... 16
Bibliografa................................................................................................... 18

INTRODUCCION
Pen Test es como comnmente se denomina a los "Test de penetracion" o en
ingls "Penetration Tests", y son en conjunto la forma de denominar a una serie
de tcnicas utilizadas para evaluar la seguridad de redes, sistemas de
computacin y aplicaciones involucradas en los mismos.
Un Pen Test, no es tarea fcil y requiere de un conocimiento slido y profundo
de las tecnologas involucradas en los sistemas, aplicaciones y servicios,
adems de una ptica y experiencia amplia en el comportamiento de varios
sistemas operativos. Mediante estas tcnicas, el Black, White o Ethical Hacker
puede descubrir vulnerabilidades en el sistema estudiado, y usarlas para
obtener acceso al mismo, por lo que est tcnica se diferencia entre otras
cosas del "anlisis de vulnerabilidades" en que en este ltimo una vez
detectadas las vulnerabilidades no son usadas para penetrar el sistema.
Ahora bien, djeme aclararle un punto importante: Sus sistemas o aplicaciones,
por muy bien o mal protegidos que usted crea que se encuentren, pueden ser
objeto de un Pen Test con o sin su consentimiento en cualquier momento, por
lo que es importante entender que descubrir las fallas de los mismos mediante

el uso de las herramientas para ello, puede ser una gran ventaja a la hora de la
defenderse de futuros intentos de penetracin.
Las herramientas disponibles para efectuar estas pruebas de penetracin
pasan por varios grados de complejidad, y el manejo de algunas de ellas puede
ser todo un reto a la inteligencia y sagacidad del atacante o "pen-tester". Entre
ellas se incluyen desde scanners de puertos, complejos algoritmos para
descifrar claves, sistemas de intrusin por fuerza bruta, herramientas de
sniffing de redes y penetracin de firewalls, as como tambin herramientas de
escaneo de vulnerabilidades de aplicaciones web y mucho ms. Todo un
mundo de aplicaciones en su mayora desarrolladas para entorno Linux (el
entorno preferido para este tipo de trabajo) con las cuales el proceso de intento
de penetracin se hace mucho ms "simple". Estas herramientas suelen estar
agrupadas en lo que se conoce como "Toolkits" o juegos de herramientas.
Algunos "toolkits" son muy famosos en el medio por la eficiencia de sus
herramientas y por haber sido utilizados en penetraciones de alto nivel a
sistemas que se consideraron es su tiempo fortalezas impenetrables. Algunos
adems se consiguen inclusive en formato de LIVE CD o ISO, de forma que las
herramientas ya estn integradas e instaladas en un CD de arranque del
sistema operativo con el que trabajan y son porttiles.
Uno de los mejores pen-testing toolkits y ms recomendados por todos los
expertos es Backtrack , aunque en realidad puede llegar a ser muy complejo el
uso de sus herramientas. Personalmente no creo haber llegado jams a
usarlas todas.
Claro est si usted no es un experto este tipo de herramientas pudieran ser
muy complejas en su uso, pudiera ser muy interesante que usted "penetrara"
en el mundo de las herramientas de pen-testing a travs de la mano de este
libro: Penetration Testers Open Source Toolkit
Ahora bien, si usted solo quiere tener a mano ciertas herramientas que le
permitan verificar la calidad de sus sistemas de foma no tan sofisticada y
compleja, existe un toolkit rpido para Windows llamado Net Tools que puede
hacer muy bien buena parte de los trabajos simples. En este se unen algunas
herramientas simples y bsicas con otras ms complejas como Nmap
(excelente herramienta de anlisis de redes) - y Wireshark (el ms famoso
analizador de protocolos de red.) que creo deber descargar aparte.

CRONOGRAMA

Instalacin de Kali Linux en un Raspberry Pi y

conexin a ella de forma remota

Kali es la nueva versin de la plataforma Linux Backtrack pruebas de

penetracin seguridad. Puede ejecutar Kali como un LiveCD o instalarlo en un
disco duro.
La buena gente de Ofensiva de Seguridad han creado una imagen de Kali
Linux para el Raspberry Pi, as que la instalacin no podra ser ms
sencillo. Todo lo que necesitas es una Raspberry Pi, el Kali Imagen, y una
tarjeta SD. Tambin voy a utilizar un sistema de Windows para escribir la
imagen en la tarjeta SD.
1. Descargue la imagen Kali Linux (Situado a mitad de la pgina)
2. El archivo de imagen se comprime necesitar para expandirla.
3. A continuacin, instalar la imagen a la tarjeta SD - Disco Imager funciona
muy bien.
Slo tiene que conectar la tarjeta SD en su ordenador porttil Windows y
ejecutar disco Imager. Apunte el archivo de imagen a su imagen Kali que ha
descargado y apuntar con el dispositivo a la letra de la unidad de la tarjeta SD.
Luego simplemente pulse "Write":

Disco Imager escribir la imagen Kali Linux en su tarjeta SD.

4. Ahora expulsar la tarjeta SD de su ordenador porttil ventanas e insertarla en
la ranura para tarjetas SD de la Raspberry Pi. Conecte su video, cable de
Ethernet, y el teclado y el ratn.
5. Conecte la alimentacin a la Raspberry Pi y en pocos segundos que se
iniciar en Kali.
Eso es todo! Usted sabe que tiene una plataforma Raspberry Pi Pentesting!
Conexin a la Raspberry Pi de forma remota desde un sistema Windows
utilizando SSH

Ahora se puede ejecutar comandos desde el smbolo del sistema, o si desea

ejecutar el sin cabeza Raspberry Pi (sin monitor o teclado). Puede conectarse a
la Pi desde un sistema Windows de forma remota utilizando SSH!
Para ello:
1. Descargar Putty para Windows
2. Ejecute Putty y poner en la direccin IP de su sistema de Kali. Usted puede
obtener esta escribiendo " ifconfig "si tiene un teclado conectado o marcando la
direccin dada a la misma por el router si est ejecutando Kali sin cabeza.
Mi direccin IP 192.168.1.135 fue en este caso. Adems, asegrese de puerto
22 se introduce y seleccione SSH como se muestra a continuacin:

Luego simplemente pulse "Abrir".

Se le pedir que se le pregunt a iniciar sesin en el Raspberry Pi. Si esta es la
primera vez, slo tiene que utilizar las credenciales predeterminadas Kali:
Nombre de usuario: root
Contrasea: Toor

Eso es todo!
Ahora se puede ejecutar cualquiera de los comandos que desee en su
Raspberry Pi remota desde su sistema de Windows.

Las pruebas de penetracin inalmbrica con Kali

Linux en un Raspberry Pi
Vamos a buscar la forma de ejecutar algunas herramientas bsicas Pentesting
incluyendo el monitoreo de Wi-Fi.
Una vez que su Kali est en funcionamiento puede introducir "startx" o ejecutar
comandos desde el smbolo del terminal. Si est utilizando Kali forma remota,
en su mayora va a ejecutar comandos desde el smbolo del sistema.
Por ejemplo, aqu nos encontramos con una exploracin nmap simple:

La mayora de los comandos que se ejecutan en regulares Kali Linux no tienen

problemas que se ejecuta en la Raspberry Pi. Pero me encuentro con algunos
inconvenientes.
Por ejemplo, he intentado correr Metasploit en la ma, pero di por vencido
despus de que pareci una eternidad para llegar. Tambin trat de ejecutar el
Kit de herramientas de ingeniera social (se-kit de herramientas de lnea de
comandos). Incluso las partes de este dieron errores aleatorios, pensaron que
se vea muy cool:

Las pruebas de penetracin inalmbrica con el Kali en PI funcion muy bien, y

fue muy divertido.

Slo tiene que conectar el adaptador Wi-Fi USB en el PI.

Us un TP-Link TL-WN722N.
En el smbolo del sistema escriba " ifconfig "y compruebe si su adaptador Wi-Fi
aparece en la lista. Debera aparecer como wlan0 . Si no lo ves, escriba
" ifconfig wlan0 up ".A continuacin, ejecute " ifconfig "de nuevo y debe
aparecer:

Ahora vamos a ver lo que las redes de nuestra tarjeta inalmbrica puede ver.
Tipo " iwlist wlan0 scanning":

Muy fresco, se est trabajando. Ahora vamos a ejecutar algunas de las

herramientas bsicas Aircrack-NG.
Primero tenemos que poner nuestro adaptador inalmbrico en modo de
supervisin.
Tipo " airmon-ng start wlan0 ":

Esto crea un nuevo adaptador inalmbrico llamado mon0 . Ahora podemos

utilizar esta interfaz para capturar tramas de gestin y control inalmbricos.
Normalmente se acaba de ejecutar Wireshark y dilo a capturar paquetes de
la mon0interfaz. Bueno, yo estaba conectado de forma remota en Kali y no
poda correr Wireshark travs de masilla, ya que es un programa grfico.
As que acabo de utilizar tcpdump lugar.
Actualizacion de Raspberry Pi

Pero antes esto es necesario actualizar nuestra Rapberry Pi

Lo primero que haremos ser actualizar los repositorios:
sudo apt-get -y update
El -y lo que har ser omitir la pregunta de que si estamos seguros que
queremos realizar esta accin.
A continuacin actualizaremos todos los programas.
sudo apt-get -y upgrade
Una vez actualizados todos los programas comprobaremos la versin del
kernel que tenemos.

uname r
Veremos que es una versin muy antigua. Actualizaremos nuestro kernel ya
que trae mejoras como gestin de energa y soporte actualizado para los
puertos GPIO entre otras cosas. Para actualizar nuestro kernel ejecutaremos el
siguiente comando:
sudo rpi-update
Veremos como se descarga el kernel de los repositorios github y se instala.
Una vez termine la actualizacin, nos pedir que reiniciemos para que los
cambios surjan efecto. Una vez hayamos reiniciado, volveremos a comprobar
la versin del kernel para comprobar que se ha actualizado.

Las pruebas de penetracin inalmbrica con Kali

Linux en un Raspberry Pi (CONTINUACION)
Simplemente escriba
apt-get install tcpdump
tcpdump -i mon0

Esto mostrar toda la gestin y el control de la comunicacin de todas las redes

inalmbricas dentro del alcance del adaptador Wi-Fi.
As que con slo unos pocos comandos cortos, hemos sido capaces de realizar
un monitoreo bsico Wi-Fi con Kali Linux en un Raspberry Pi.

CONCLUCIONES

MANUEL ITURIEL SANTILLANA SANTANA.

Este proyecto me ha enseado que lejos de lo que yo pensaba la Raspberry
nos funciona para muchsimas cosas que ni siquiera conozco, como el Pentest,
donde aprend a tirar o tumbar un pequeo servidor con diferentes
herramientas y sistemas operativos para la Raspberry, Esto ha hecho crecer mi
conocimiento muchsimo y creo que vale la pena todo lo que se iz en la
materia y en este proyecto.
MARA DE JESS SIMN MARTNEZ.
Gracias a este proyecto hemos aprendido desde instalar un sistema al
Raspberry hasta poder llevar a cabo el Pentest el cual sirve para conocer la
capacidad que tiene en este caso el modem, lgicamente para poder tumbar
un sistema, tarda demasiado tiempo para poder realizar dicha accin.
Finalmente aprendimos a utilizar diferentes cosas, en la Raspberry mas all de
lo que conociamos.
MARTINEZ CASAAS YANETH ZURINAM
Pues en lo personal me aporto muchas cosas este proyecto porque me enseo
muchas cosas que no saba de los servidores as como montarlos etc.
Tambin me sorprendi mucho todas las cosas que se pueden hacer con una
Raspberry desde lo bsico instalar un sistema operativo hasta montar
servidores esta prctica en lo personal me enseo muchas cosas.

RODRIGUEZ RODRIGUEZ GERARDO

Esta prctica para m fue muy interesante porque me enseo lo que se puede
hacer con una Raspberry para m es un aparato muy funcional y que la mayora

de la gente no sabe ni siquiera que existe y nosotros como futuros ingenieros

tenemos que saber de todo este tipo de aparatos diferentes e innovadores en
lo personal me gust mucho trabajar con la Raspberry porque no solo me
enseo lo que es trabajar con un sistema operativo de Linux si no tambin
montar y desmontar servidores.
Para mi esta prctica me aporto muchas cosas.
CERON AVELAR MARIANA
Este proyecto me aporto muchas cosas ya que aprend a las diferentes
funciones de una Raspberry y para las muchas cosas que se puede utilizar me
gust mucho este proyecto porque aparte de ensearnos trabajar con una
Raspbery trabajamos con un sistema operativo de Linux y montamos
servidores tambin se hizo una pgina web dentro del servidor.
Esta prctica en lo personal siento que nos aport muchas cosas y nos ense
demasiado.
SANCHEZ GONZALEZ JESUS ALEJANDRO
Bueno en lo general de los 3 departamentales los proyectos que nos dejo el
profe aprendi a interactuar con arquitectura ris (Raspberry) ya que esta tarjeta
por que mas que nada es una tarjeta podemos tener el control del el Pentest
que en este caso fue nuestra entrega de nuestro tercer proyecto que sirve para
conocer la capacidad que tiene el modem, aprend igual a montar un servidor el
esta tarjeta Raspberry asi como meter un sistema operativo en este tipo de
arquitectura bueno solamente y nicamente que sea compatible con Linux.

CASTAEDA PREZ ARTURO

Este proyecto se me hizo muy interesante porque tener un equipo de cmputo
protegido tiene muchas ventajas, no solo para los archivos que este es una

computadora si no tambin nos ayuda a que el sistema operativo no se vea

daado. Y este proyecto debera ser presentado para generaciones futuras de
estudiantes, empresas y otras personas con uso de sistemas en su PC.
CONCLUCION GENERAL
Como conclusin general aprendimos que los servidores son muy frgiles ya
alguien se haya conectado a este con un Pentest se prueba cualquier servidor
y su capacidad para procesar archivos o peticiones y ver cul es su capacidad
pero no todos los servidores estas desprotegidos asistimos a una conferencia
en ciudad universitaria donde nos explicaban que google como sabemos es un
servidor y se realizan millones de peticiones el servidor como es que si todos
podemos conectarnos a este servidor no se sobresatura cuando usamos
google aceptamos trminos y condiciones y una de ellas es que google no se
hace responsable de todas la peticiones que se realice despus de ciertas
peticiones en conjunto google bota la peticin para no sobresaturar el servidor
el conclusin si tenemos un servidor debemos protegerlo de amenazas como
Pentest.

Evidencias

Bibliografa
http://www.offensive-security.com/kali-linux-vmware-arm-image-download/
https://cyberarms.wordpress.com/2013/03/14/installing-kali-linux-on-araspberry-pi-and-connecting-to-it-remotely/
http://geekytheory.com/actualizar-nuestra-raspberry-pi-con-raspbian/
https://cyberarms.wordpress.com/2013/03/14/wireless-penetration-testingwith-kali-linux-on-a-raspberry-pi/
https://cyberarms.wordpress.com/2013/04/21/hacking-wi-fi-networks-withfern-kali-and-a-raspberry-pi/
http://enavas.blogspot.com.es/2012/02/una-pequena-introducciontcpdump.html