2014-2 tema 2. sniffer y monitores

Seguridad en Informatica II

Seguridad en Informatica II2. Sniffers y Monitores

Francisco Medina Lopez

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

Semestre: 2014-2


Agenda

1 Redes de Computadoras

2 Analisis de Trafico de Red

3 Herramientas de Monitoreo de red


Redes de Computadoras

1 Redes de ComputadorasIntroduccion a las Redes de ComputadorasTopologıas de RedModelo OSIDispositivos de red





Introduccion a las Redes de Computadoras






Introduccion a las Redes de Computadoras

El concepto de red

Defincion

Conjunto de nodos (computadoras y/o dispositivos) conectadosentre sı por medio de cables, senales, ondas o cualquier otrometodo de transporte de datos, que comparten:

informacion (archivos),

recursos (CD-ROM, impresoras, etc.),

servicios (acceso a internet, e-mail, chat, juegos), etc.



Topologıas de Red






Topologıas de Red

Define como estan conectadascomputadoras, impresoras,dispositivos de red y otrosdispositivos.

Describe la disposicion de loscables y los dispositivos,ası como las rutas utilizadaspara las transmisiones de datos.

Influye enormemente en elfuncionamiento de la red.



Modelo OSI






Modelo OSI

Entendiendo el Modelo Abierto de Interconexion (OSI)

Creado por la ISO (OrganizacionInternacional para la Estandarizacion)en 1984.

Es un modelo de referencia quedescribe como los protocolos de red ycomponentes trabajan juntos.

Compuesto por 7 capas o funciones,cada una representa un grupo deespecificaciones, funciones yactividades relacionadas.

ıt’s a way to talk about things, not toimplement them”a

aLinus Torvalds - http://kerneltrap.org/node/5725

http://kerneltrap.org/node/5725



Modelo OSI

Nivel Fısico

Capa 1

Se encarga de las conexiones fısicas de la computadora hacia lared, tanto en lo que se refiere al medio fısico como a la forma enla que se transmite la informacion

Medio fısico:

Medios guiados: cablecoaxial, cable de partrenzado, fibra optica(conexion cableada)

Medios no guiados:radio, infrarrojos,microondas, laser y otrasredes inalambricas)

Formas en que se transmitela informacion:

codificacion de senal,niveles detension/intensidad decorriente electrica,modulacion, tasa binaria,etc.



Modelo OSI

Nivel de Enlace de Datos

Capa 2

Responsable de la transferencia confiable de informacion atraves de un circuito de transmision de datos. Recibe peticiones delnivel de red y utiliza los servicios del nivel fısico.

Protocolos:

Ethernet o IEEE 802.3,

IEEE 802.11 o Wi-Fi,

IEEE 802.16 o WiMAX.

PPP (Point to point protocol o protocolo punto a punto)



Modelo OSI

Nivel de Red

Capa 3

Proporciona conectividad y seleccion de ruta entre dos sistemas dehosts que pueden estar ubicados en redes geograficamentedistintas. Consigue que los datos lleguen desde el origen al destino.

Orientacion de conexion:

Datagramas: Cada paquete se encaminaindependientemente, sin que el origen y el destino tengan quepasar por un establecimiento de comunicacion previo.

Circuitos virtuales: los dos equipos que quieran comunicarsetienen que empezar por establecer una conexion.

Protocolos de la capa de red: IP (IPv4, IPv6, IPsec), OSPF,IS-IS, BGP, ARP, RARP, RIP, ICMP, ICMPv6, IGMP, DHCP



Modelo OSI

Nivel de Transporte

Capa 4

Encargado de la transferencia libre de errores de los datos entre elemisor y el receptor, aunque no esten directamente conectados,ası como de mantener el flujo de la red.

Protocolos de transporte de internet:

UDP (protocolo de datagramas de usuario): Este protocoloproporciona una forma para que las aplicaciones envıendatagramas IP encapsulados sin tener una conexion.

TCP (protocolo de control de transmision): Sediseno especıficamente para proporcionar un flujo de bytesconfiable de extremo a extremo a traves de una interred noconfiable



Modelo OSI

Nivel de Sesion

Capa 5

Proporciona los mecanismos para controlar el dialogo entre lasaplicaciones de los sistemas finales.

En muchos casos, los servicios de la capa de sesion sonparcialmente, o incluso, totalmente prescindibles.



Modelo OSI

Nivel de Presentacion

Capa 6

Esta capa se encarga de la representacion de la informacion, demanera que aunque distintos equipos puedan tener diferentesrepresentaciones internas de caracteres (ASCII, Unicode, EBCDIC),numeros (little-endian tipo Intel, big-endian tipo Motorola), sonidoo imagenes, los datos lleguen de manera reconocible.



Modelo OSI

Nivel de Aplicacion

Capa 7

Ofrece a las aplicaciones (de usuario o no) la posibilidad deacceder a los servicios de las demas capas y define los protocolosque utilizan las aplicaciones para intercambiar datos.

El usuario normalmente no interactua directamente con elnivel de aplicacion.

Suele interactuar con programas que a su vez interactuan conel nivel de aplicacion pero ocultando la complejidadsubyacente.



Modelo OSI

Conjunto de protocolos TCP/IP

Definicion

Conjunto de protocolos de red en los que se basa Internet y quepermiten la transmision de datos entre computadoras.

Fueron el resultado del trabajo llevado a cabo por la Agenciade Investigacion de Proyectos Avanzados de Defensa(DARPA) a principios de los 70.



Modelo OSI

El modelo OSI y TCP/IP



Modelo OSI

Protocolos TCP/IP

http://www.quora.com/Computer-Networking/

What-protocol-do-you-think-is-the-most-important-one-in-computer-networking

http://www.quora.com/Computer-Networking/What-protocol-do-you-think-is-the-most-important-one-in-computer-networking

http://www.quora.com/Computer-Networking/What-protocol-do-you-think-is-the-most-important-one-in-computer-networking



Modelo OSI

Protocolos de nivel Aplicacion

FTP (File Transfer Protocol - Protocolo de transferencia dearchivos) para transferencia de archivos.

DNS (Domain Name Service - Servicio de nombres dedominio).

HTTP (HyperText Transfer Protocol) para acceso a paginasweb.

POP (Post Office Protocol) para correo electronico.

SMTP(Simple Mail Transport Protocol).

SSH (Secure SHell)

TELNET para acceder a equipos remotos.



Dispositivos de red






Dispositivos de red

Hub o Concentrador

Defincion

Dispositivo que permite centralizar el cableado de una red y poderampliarla. Esto significa que dicho dispositivo recibe una senal yrepite esta senal emitiendola por sus diferentes puertos

Una red Ethernet se comporta como un medio compartido, esdecir, solo un dispositivo puede transmitir con exito a la vez.

Cualquier paquete de entrada es transmitido a otro puerto(que no sea el puerto de entrada).

Permite el sniffeo pasivo



Dispositivos de red

Hub o Concentrador (2)



Dispositivos de red

Switch o Conmutador

Defincion

Dispositivo digital de logica de interconexion de redes decomputadores que opera en la capa de enlace de datos del modeloOSI.

Su funcion es interconectar dos o mas segmentos de red, demanera similar a los puentes de red, pasando datos de unsegmento a otro de acuerdo con la direccion MAC de destinode las tramas en la red.



Dispositivos de red

Switch o Conmutador2)


Analisis de Trafico de Red


2 Analisis de Trafico de RedIntroduccionModos de capturaSniffers




Introduccion






Introduccion

Definicion

Sniffer

Componente de software o de hardware, que contado a una redinformatica es capaz de supervisar todo el trafico que se genera enla misma y fluye a traves de las conexiones.

Su traduccion literal serıa “rastreador” o “husmeador”.

Es un elemento capaz de escuchar todo lo que se mueve porla red en la que se encuentra conectado.



Introduccion

Herramientas de apoyo a los administradores de redes

Los sniffers, eran originalmente, herramientas utilizadas pareencontrar problemas de funcionamiento en una red.

En esencia, estas aplicaciones capturan, interpreta yalmacenan los paquetes que viajan por la red para analizarlosposteriormente.

De esta forma, los administradores de la red disponıan de unaventana para ver los que esta ocurriendo en la misma,permitiendoles solucionar o modelizar el comportamiento de lared mediante la vision del trafico de paquetes en su forma maspura.



Modos de captura






Modos de captura

Modo promiscuo

Normalmente una tarjeta de red (NIC) de Ethernet descartacualquier trafico que no vaya dirigido a ella o a la direccion dedifusion de la red, por lo que el sniffer debera hacer que latarjeta entre en un estado especial (modo promiscuo), en elcual recibira todos los paquetes que se desplazan por la red.

Una vez que el hardware de la red se encuentra en modopormiscuo, el software del sniffer puede capturar y analizarcualquier trafico que pase por el segmento local de Ethernet.Esto limita de algun modo el alcance de un sniffer, puesto queno sera capaz de captar el trafico externo al domino local decolisiones de la red ( es decir, mas alla de los routers,conmutadores u otros dipositivos de segmentacion).



Modos de captura

Modos de captura



Modos de captura

Modo Bridge

Definicion

Consiste en un MitM (Man in the Middle), a nivel fısico, dondetendremos un acceso pasivo a todo el caudal de trafico.

A traves de las herramientas bridge-utils de GNU/Linux o conun Network Tap

Sniffing pasivo



Modos de captura

Port Mirroring

Definicion

Configuracion especial de un switch de comunicaciones quepermite duplicar el trafico que es enviado por uno o varios puertosdel switch y replicarlo a un puerto especıfico.

Necesitamos acceso al switch que soporte esta funcionallidad.

Llamado modo SPAN en entornos Cisco.

Metodo empleado por muchos administradores de red parainstalar un IDS u otras herramientas de monitoreo.

Sniffing pasivo.



Modos de captura

Modo Hub

Definicion

Configuracion en la que conectamos un Hub o concentrador alservidor y al sensor.

El concentrador permite el sniffing pasivo.



Modos de captura

ARP Spoof

Definicion

Construccion de tramas de solicitud y respuesta ARP modificadascon el objetivo de falsear la tabla ARP (relacion IP-MAC) de unavıctima y forzarla a que envıe los paquetes a un host atacante enlugar de hacerlo a su destino legıtimo.1

Metodo ofensivo.

Se ejecuta con herramientas como ettercap.

ettercap -T -M arp:remote /192.168.2.82/ //

Sniffing activo.

1http://es.wikipedia.org/wiki/Spoofing

http://es.wikipedia.org/wiki/Spoofing



Modos de captura

arpspoof

1 echo 1 > /proc/sys/net/ipv4/ip forward

2 arpspoof -i wlan0 -t 192.168.1.254 192.168.1.81

3 Abrir una nueva terminal

4 arpspoof -i wlan0 -t 192.168.1.81 192.168.1.254



Sniffers






Sniffers

tcpdump

Definicion

Herramienta creada para para sistemas UNIX, funciona a traves delınea de comandos cuya utilidad principal es analizar el trafico quecircula por la red.

Usos frecuentes:

Para depurar aplicaciones que utilizan la red para comunicarse.Para depurar la red misma.Para capturar y leer datos enviados por otros usuarios o equipo.



Sniffers

Uso basico de tcpdump

tcpdump -n -i <interfaz> -s <longitud>Opciones:

-n indica a tcpdump que no resuelva las direcciones IPgenerando nombre de dominio, y los numeros de puertogenerando nombres de servicio.

−i <interfaz> indica a tcpdump que interfaz observar. Losdipositivos ethernet en GNU/Linux suelen denominarse eth0.

−s <longitud> indica a tcpdump que parte del paquetedebe guardar. Para ethernet sin uso de VLANS 1515 bites essuficiente.

Ejemplo:tcpdump -n -i eth0 -s 1515



Sniffers

Filtros en tcpdump

Tcpdump permite establecer filtros de paquetes con lasexpresiones logicas AND, OR y NOT.

Se puede realizar combinaciones de expresiones con parentesis.

Filtros disponibles:Tipo:

hostredport

Direccion:

dst (destination)src (source)

Protocolos:

proto arp, icmp, tcp, udp, http, . . .

Longitud:

len



Sniffers

Ejemplos de uso de tcpdump

1 Filtrar los paquetes ARP

tcdump not arp

2 Mostrar los paquetes con la direccion destino 192.168.2.254

tcdump dst 192.168.2.254



Sniffers

Wireshark

Definicion

Antes conocido como Ethereal, es un analizador de protocolosutilizado para realizar analisis y solucionar problemas en redes decomunicaciones, para desarrollo de software y protocolos, y comouna herramienta didactica para educacion.2

2http://es.wikipedia.org/wiki/Wireshark



Sniffers

Interfaz grafica de Wireshark



Sniffers

Interfaz grafica de Wireshark (2)

1 Area de definicion de filtros, permite definir patrones debusqueda para visualizar aquellos paquetes o protocolos quenos interesen.

2 Corresponde con la vista de visualizacion de todos lospaquetes que se estan capturando en tiempo real.

3 Permite desglosar por capas cada una de las cabeceras de lospaquetes seleccionados en la seccion 2 y nosfacilitara movernos por cada uno de los campos de las mismas.

4 Formato hexadecimal, el paquete es mostrado en bruto, esdecir, tal y como fue capturado por nuestra tarjeta de red.



Sniffers

Dsniff

Definicion

Coleccion de herramientas para auditar redes y realizar pentestingque pasivamente monitorean la red en busca de informacionsensible (como password, e-mail, archivos, . . . .

Compuesta por:

dsnifffilesnarfmailsnarfmsgsnarfurlsnarfwebspye



Sniffers

Proteccion contra Sniffers

SSL (Security Sockets Layer). Metodo de cifrado presente enlos navegadores web y servidores http. Suele utilizarse en lascompras online, para la transmision de datos sensibles como elnumero de tarjeta de credito, . . .

PGP (Pretty Good Privacy) y S/MIME. Ambos metodos sonempleados para incrementar la seguridad en el intercambio decorreos electronicos.

Ssh (Secure Shell Client). Alternativa segura para el accesoremoto a servidores tipo UNIX. Reemplazo del protocolotelnet.

VPN (Virtual Private Network). Estas redes envıan lainformacion cifrada desde una red local a otra situada en unaubicacion geograficamente lejana a traves de Internet.


Herramientas de Monitoreo de red



3 Herramientas de Monitoreo de redNtop



Ntop



3 Herramientas de Monitoreo de redNtop



Ntop

Definicion

NTOP (Network TOP)

Herramienta que permite monitorear en tiempo real una red.

Posee un microservidor web.

Protocolos que es capaz de monitorizar:

TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk,Netbios, y ya dentro de TCP/UDP es capaz de agruparlos porFTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS,X11.



Ntop

Instalacion y Configuracion

Instrucciones para instalar ntop en Backtrack 5.1R:

1 apt-get install ntop

2 ntop --set-admin-password

3 /etc/init.d/ntop start



Ntop

Interfaz grafica de Ntop


Referencias bibliograficas

Referencias bibliograficas I

Angela Orebaugh.Wireshark & Ethereal Network Protocol Analyzer Toolkit(February 14, 2007)

2014-2 tema 2. sniffer y monitores

Education

o o datagramas

computadoras o topolog

estandarizacin o en

o protocolos

o travs

o codicacin

o wifi

o wimax