2014-2 Tema 2. Sniffer y Monitores

Seguridad en Inform´tica II
a

a
2. Sniffers y Monitores

Francisco Medina L´pez
o
Facultad de Contadur´ y Administraciń
ıa
o
Universidad Nacional Autńoma de M´xico
o
e

Semestre: 2014-2

a
Agenda

1 Redes de Computadoras
2 An´lisis de Tr´ﬁco de Red
a
a
3 Herramientas de Monitoreo de red

a
Redes de Computadoras


Introducci´n a las Redes de Computadoras
o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
a
a

a
o


o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
a
a

a
o

El concepto de red

Definciń
o
Conjunto de nodos (computadoras y/o dispositivos) conectados
entre s´ por medio de cables, seãles, ondas o cualquier otro
ı
n
m´todo de transporte de datos, que comparten:
e
informaciń (archivos),
o
recursos (CD-ROM, impresoras, etc.),
servicios (acceso a internet, e-mail, chat, juegos), etc.

a
Topolog´ de Red
ıas


o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
a
a

a
Topolog´ de Red
ıas

Define como estń conectadas
a
computadoras, impresoras,
dispositivos de red y otros
dispositivos.
Describe la disposiciń de los
o
cables y los dispositivos,
as´ como las rutas utilizadas
ı
para las transmisiones de datos.
Influye enormemente en el
funcionamiento de la red.

a
Modelo OSI


o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
a
a

a
Modelo OSI

Entendiendo el Modelo Abierto de Interconexiń (OSI)
o
Creado por la ISO (Organizaciń
o
Internacional para la Estandarizaciń)
o
en 1984.
Es un modelo de referencia que
describe como los protocolos de red y
componentes trabajan juntos.
Compuesto por 7 capas o funciones,
cada una representa un grupo de
especificaciones, funciones y
actividades relacionadas.
¨ a way to talk about things, not to
ıt’s
implement them”a
a

Linus Torvalds - http://kerneltrap.org/node/5725

a
Modelo OSI

Nivel F´
ısico
Capa 1
Se encarga de las conexiones f´
ısicas de la computadora hacia la
red, tanto en lo que se refiere al medio f´
ısico como a la forma en
la que se transmite la informaciń
o
Medio f´
ısico:
Medios guiados: cable
coaxial, cable de par
trenzado, fibra ´ptica
o
(conexiń cableada)
o
Medios no guiados:
radio, infrarrojos,
microondas, l´ser y otras
a
redes inal´mbricas)
a

Formas en que se transmite
la informaciń:
o
codificaciń de seãl,
o
n
niveles de
tensiń/intensidad de
o
corriente elćtrica,
e
modulaciń, tasa binaria,
o
etc.

a
Modelo OSI

Nivel de Enlace de Datos

Capa 2
Responsable de la transferencia confiable de informaciń a
o
trav´s de un circuito de transmisiń de datos. Recibe peticiones del
e
o
nivel de red y utiliza los servicios del nivel f´
ısico.
Protocolos:
Ethernet o IEEE 802.3,
IEEE 802.11 o Wi-Fi,
IEEE 802.16 o WiMAX.
PPP (Point to point protocol o protocolo punto a punto)

a
Modelo OSI

Nivel de Red
Capa 3
Proporciona conectividad y selecciń de ruta entre dos sistemas de
o
hosts que pueden estar ubicados en redes geogr´ficamente
a
distintas. Consigue que los datos lleguen desde el origen al destino.
Orientaciń de conexiń:
o
o
Datagramas: Cada paquete se encamina
independientemente, sin que el origen y el destino tengan que
pasar por un establecimiento de comunicaciń previo.
o
Circuitos virtuales: los dos equipos que quieran comunicarse
tienen que empezar por establecer una conexiń.
o
Protocolos de la capa de red: IP (IPv4, IPv6, IPsec), OSPF,
IS-IS, BGP, ARP, RARP, RIP, ICMP, ICMPv6, IGMP, DHCP

a
Modelo OSI

Nivel de Transporte
Capa 4
Encargado de la transferencia libre de errores de los datos entre el
emisor y el receptor, aunque no estń directamente conectados,
e
as´ como de mantener el flujo de la red.
ı
Protocolos de transporte de internet:
UDP (protocolo de datagramas de usuario): Este protocolo
proporciona una forma para que las aplicaciones env´
ıen
datagramas IP encapsulados sin tener una conexiń.
o
TCP (protocolo de control de transmisiń): Se
o
dise˜´ espec´
no
ıficamente para proporcionar un flujo de bytes
confiable de extremo a extremo a trav´s de una interred no
e
confiable

a
Modelo OSI

Nivel de Sesiń
o

Capa 5
Proporciona los mecanismos para controlar el di´logo entre las
a
aplicaciones de los sistemas finales.
En muchos casos, los servicios de la capa de sesiń son
o
parcialmente, o incluso, totalmente prescindibles.

a
Modelo OSI

Nivel de Presentaciń
o

Capa 6
Esta capa se encarga de la representaciń de la informaciń, de
o
o
manera que aunque distintos equipos puedan tener diferentes
representaciones internas de caracteres (ASCII, Unicode, EBCDIC),
n´meros (little-endian tipo Intel, big-endian tipo Motorola), sonido
u
o im´genes, los datos lleguen de manera reconocible.
a

a
Modelo OSI

Nivel de Aplicaciń
o

Capa 7
Ofrece a las aplicaciones (de usuario o no) la posibilidad de
acceder a los servicios de las dem´s capas y define los protocolos
a
que utilizan las aplicaciones para intercambiar datos.
El usuario normalmente no interactá directamente con el
u
nivel de aplicaciń.
o
Suele interactuar con programas que a su vez interactán con
u
el nivel de aplicaciń pero ocultando la complejidad
o
subyacente.

a
Modelo OSI

Conjunto de protocolos TCP/IP

Definiciń
o
Conjunto de protocolos de red en los que se basa Internet y que
permiten la transmisiń de datos entre computadoras.
o
Fueron el resultado del trabajo llevado a cabo por la Agencia
de Investigaciń de Proyectos Avanzados de Defensa
o
(DARPA) a principios de los 70.

a
Modelo OSI

El modelo OSI y TCP/IP

a
Modelo OSI

Protocolos TCP/IP

a
Modelo OSI

Protocolos de nivel Aplicaciń
o

FTP (File Transfer Protocol - Protocolo de transferencia de
archivos) para transferencia de archivos.
DNS (Domain Name Service - Servicio de nombres de
dominio).
HTTP (HyperText Transfer Protocol) para acceso a p´ginas
a
web.
POP (Post Office Protocol) para correo electrńico.
o
SMTP(Simple Mail Transport Protocol).
SSH (Secure SHell)
TELNET para acceder a equipos remotos.

a
Dispositivos de red


o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
a
a

a
Dispositivos de red

Hub o Concentrador

Definciń
o
Dispositivo que permite centralizar el cableado de una red y poder
ampliarla. Esto significa que dicho dispositivo recibe una seãl y
n
repite esta seãl emitińdola por sus diferentes puertos
n
e
Una red Ethernet se comporta como un medio compartido, es
decir, s´lo un dispositivo puede transmitir con ´xito a la vez.
o
e
Cualquier paquete de entrada es transmitido a otro puerto
(que no sea el puerto de entrada).
Permite el sniffeo pasivo

a
Dispositivos de red

Hub o Concentrador (2)

a
Dispositivos de red

Switch o Conmutador

Definciń
o
Dispositivo digital de l´gica de interconexiń de redes de
o
o
computadores que opera en la capa de enlace de datos del modelo
OSI.
Su funciń es interconectar dos o m´s segmentos de red, de
o
a
manera similar a los puentes de red, pasando datos de un
segmento a otro de acuerdo con la direcciń MAC de destino
o
de las tramas en la red.

a
Dispositivos de red

Switch o Conmutador2)

a
An´lisis de Tr´fico de Red
a
a

a
a

Introducciń
o
Modos de captura
Sniffers

a
a
a
Introducciń
o

a
a

Introducciń
o
Modos de captura
Sniffers

a
a
a
Introducciń
o

Definiciń
o

Sniffer
Componente de software o de hardware, que contado a una red
inform´tica es capaz de supervisar todo el tr´fico que se genera en
a
a
la misma y fluye a trav´s de las conexiones.
e
Su traducciń literal ser´ “rastreador” o “husmeador”.
o
ıa
Es un elemento capaz de escuchar todo lo que se mueve por
la red en la que se encuentra conectado.

a
a
a
Introducciń
o

Herramientas de apoyo a los administradores de redes

Los sniffers, eran originalmente, herramientas utilizadas pare
encontrar problemas de funcionamiento en una red.
En esencia, estas aplicaciones capturan, interpreta y
almacenan los paquetes que viajan por la red para analizarlos
posteriormente.
De esta forma, los administradores de la red dispon´ de una
ıan
ventana para ver los que est´ ocurriendo en la misma,
a
permitińdoles solucionar o modelizar el comportamiento de la
e
red mediante la visiń del tr´fico de paquetes en su forma m´s
o
a
a
pura.

a
a
a
Modos de captura

a
a

Introducci´n
o
Modos de captura
Sniﬀers

a
a
a
Modos de captura

Modo promiscuo
Normalmente una tarjeta de red (NIC) de Ethernet descarta
cualquier tr´fico que no vaya dirigido a ella o a la direcciń de
a
o
difusiń de la red, por lo que el sniffer deber´ hacer que la
o
a
tarjeta entre en un estado especial (modo promiscuo), en el
cual recibir´ todos los paquetes que se desplazan por la red.
a
Una vez que el hardware de la red se encuentra en modo
pormiscuo, el software del sniffer puede capturar y analizar
cualquier tr´fico que pase por el segmento local de Ethernet.
a
Esto limita de algń modo el alcance de un sniffer, puesto que
u
no ser´ capaz de captar el tr´fico externo al domino local de
a
a
colisiones de la red ( es decir, m´s all´ de los routers,
a
a
conmutadores u otros dipositivos de segmentaciń).
o

a
a
a
Modos de captura

Modos de captura

a
a
a
Modos de captura

Modo Bridge

Definiciń
o
Consiste en un MitM (Man in the Middle), a nivel f´
ısico, donde
tendremos un acceso pasivo a todo el caudal de tr´fico.
a
A trav´s de las herramientas bridge-utils de GNU/Linux o con
e
un Network Tap
Sniffing pasivo

a
a
a
Modos de captura

Port Mirroring

Definiciń
o
Configuraciń especial de un switch de comunicaciones que
o
permite duplicar el tr´fico que es enviado por uno o varios puertos
a
del switch y replicarlo a un puerto espec´
ıfico.
Necesitamos acceso al switch que soporte esta funcionallidad.
Llamado modo SPAN en entornos Cisco.
M´todo empleado por muchos administradores de red para
e
instalar un IDS u otras herramientas de monitoreo.
Sniffing pasivo.

a
a
a
Modos de captura

Modo Hub

Definiciń
o
Configuraciń en la que conectamos un Hub o concentrador al
o
servidor y al sensor.
El concentrador permite el sniffing pasivo.

a
a
a
Modos de captura

ARP Spoof
Definiciń
o
Construcciń de tramas de solicitud y respuesta ARP modificadas
o
con el objetivo de falsear la tabla ARP (relaciń IP-MAC) de una
o
v´
ıctima y forzarla a que env´ los paquetes a un host atacante en
ıe
lugar de hacerlo a su destino leg´
ıtimo.1
M´todo ofensivo.
e
Se ejecuta con herramientas como ettercap.
ettercap -T -M arp:remote /192.168.2.82/ //

Sniffing activo.

1

http://es.wikipedia.org/wiki/Spoofing

a
a
a
Modos de captura

arpspoof

1
2
3
4

echo 1 > /proc/sys/net/ipv4/ip forward
arpspoof -i wlan0 -t 192.168.1.254 192.168.1.81
Abrir una nueva terminal
arpspoof -i wlan0 -t 192.168.1.81 192.168.1.254

a
a
a
Sniffers

a
a

Introducciń
o
Modos de captura
Sniffers

a
a
a
Sniffers

tcpdump

Definiciń
o
Herramienta creada para para sistemas UNIX, funciona a trav´s de
e
l´
ınea de comandos cuya utilidad principal es analizar el tr´fico que
a
circula por la red.
Usos frecuentes:
Para depurar aplicaciones que utilizan la red para comunicarse.
Para depurar la red misma.
Para capturar y leer datos enviados por otros usuarios o equipo.

a
a
a
Sniﬀers

Uso b´sico de tcpdump
a
tcpdump -n -i <interfaz> -s <longitud>
Opciones:
-n indica a tcpdump que no resuelva las direcciones IP
generando nombre de dominio, y los n´meros de puerto
u
generando nombres de servicio.
−i <interfaz> indica a tcpdump que interfaz observar. Los
dipositivos ethernet en GNU/Linux suelen denominarse eth0.
−s <longitud> indica a tcpdump qu´ parte del paquete
e
debe guardar. Para ethernet sin uso de VLANS 1515 bites es
suﬁciente.
Ejemplo:
tcpdump -n -i eth0 -s 1515

a
a
a
Sniffers

Filtros en tcpdump
Tcpdump permite establecer filtros de paquetes con las
expresiones l´gicas AND, OR y NOT.
o
Se puede realizar combinaciones de expresiones con parńtesis.
e

Filtros disponibles:
Tipo:
host
red
port

Direcciń:
o
dst (destination)
src (source)

Protocolos:
proto arp, icmp, tcp, udp, http, . . .

Longitud:
len

a
a
a
Sniﬀers

Ejemplos de uso de tcpdump

1

Filtrar los paquetes ARP
tcdump not arp

2

Mostrar los paquetes con la direcci´n destino 192.168.2.254
o
tcdump dst 192.168.2.254

a
a
a
Sniffers

Wireshark

Definiciń
o
Antes conocido como Ethereal, es un analizador de protocolos
utilizado para realizar an´lisis y solucionar problemas en redes de
a
comunicaciones, para desarrollo de software y protocolos, y como
una herramienta didćtica para educaciń.2
a
o

2

http://es.wikipedia.org/wiki/Wireshark

a
a
a
Sniﬀers

Interfaz gr´ﬁca de Wireshark
a

a
a
a
Sniffers

Interfaz gr´fica de Wireshark (2)
a

1

´
Area de definiciń de filtros, permite definir patrones de
o
b´squeda para visualizar aquellos paquetes o protocolos que
u
nos interesen.

2

Corresponde con la vista de visualizaciń de todos los
o
paquetes que se estń capturando en tiempo real.
a

3

Permite desglosar por capas cada una de las cabeceras de los
paquetes seleccionados en la secciń 2 y nos
o
facilitar´ movernos por cada uno de los campos de las mismas.
a

4

Formato hexadecimal, el paquete es mostrado en bruto, es
decir, tal y como fue capturado por nuestra tarjeta de red.

a
a
a
Sniffers

Dsniff
Definiciń
o
Colecciń de herramientas para auditar redes y realizar pentesting
o
que pasivamente monitorean la red en busca de informaciń
o
sensible (como password, e-mail, archivos, . . . .
Compuesta por:
dsniff
filesnarf
mailsnarf
msgsnarf
urlsnarf
webspye

a
a
a
Sniffers

Protecciń contra Sniffers
o
SSL (Security Sockets Layer). M´todo de cifrado presente en
e
los navegadores web y servidores http. Suele utilizarse en las
compras online, para la transmisiń de datos sensibles como el
o
n´mero de tarjeta de cr´dito, . . .
u
e
PGP (Pretty Good Privacy) y S/MIME. Ambos m´todos son
e
empleados para incrementar la seguridad en el intercambio de
correos electrńicos.
o
Ssh (Secure Shell Client). Alternativa segura para el acceso
remoto a servidores tipo UNIX. Reemplazo del protocolo
telnet.
VPN (Virtual Private Network). Estas redes env´ la
ıan
informaciń cifrada desde una red local a otra situada en una
o
ubicaciń geogr´ficamente lejana a trav´s de Internet.
o
a
e

a
Herramientas de Monitoreo de red

a
a

Ntop

a
Ntop

a
a

Ntop

a
Ntop

Deﬁnici´n
o

NTOP (Network TOP)
Herramienta que permite monitorear en tiempo real una red.
Posee un microservidor web.
Protocolos que es capaz de monitorizar:
TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk,
Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por
FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS,
X11.

a
Ntop

Instalaciń y Configuraciń
o
o

Instrucciones para instalar ntop en Backtrack 5.1R:
1

apt-get install ntop

2

ntop --set-admin-password

3

/etc/init.d/ntop start

a
Ntop

Interfaz gr´ﬁca de Ntop
a

a
Referencias bibliogr´ﬁcas
a

Referencias bibliogr´ﬁcas I
a

Angela Orebaugh.
Wireshark & Ethereal Network Protocol Analyzer Toolkit
(February 14, 2007)

2014-2 Tema 2. Sniffer y Monitores

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (10)

Semelhante a 2014-2 Tema 2. Sniffer y Monitores

Semelhante a 2014-2 Tema 2. Sniffer y Monitores (20)

Mais de Francisco Medina

Mais de Francisco Medina (20)

Último

Último (20)

2014-2 Tema 2. Sniffer y Monitores