Este documento presenta una clase sobre seguridad en informática II. La clase cubre temas como redes de computadoras, análisis de tráfico de red y herramientas de monitoreo de red. Se explican conceptos como el modelo OSI, topologías de red, protocolos TCP/IP, dispositivos de red comunes y cómo funcionan los sniffers para capturar paquetes de red.
1. Seguridad en Inform´tica II
a
Seguridad en Inform´tica II
a
2. Sniffers y Monitores
Francisco Medina L´pez
o
Facultad de Contadur´ y Administraci´n
ıa
o
Universidad Nacional Aut´noma de M´xico
o
e
Semestre: 2014-2
2. Seguridad en Inform´tica II
a
Agenda
1 Redes de Computadoras
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
3. Seguridad en Inform´tica II
a
Redes de Computadoras
1 Redes de Computadoras
Introducci´n a las Redes de Computadoras
o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
4. Seguridad en Inform´tica II
a
Redes de Computadoras
Introducci´n a las Redes de Computadoras
o
1 Redes de Computadoras
Introducci´n a las Redes de Computadoras
o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
5. Seguridad en Inform´tica II
a
Redes de Computadoras
Introducci´n a las Redes de Computadoras
o
El concepto de red
Definci´n
o
Conjunto de nodos (computadoras y/o dispositivos) conectados
entre s´ por medio de cables, se˜ales, ondas o cualquier otro
ı
n
m´todo de transporte de datos, que comparten:
e
informaci´n (archivos),
o
recursos (CD-ROM, impresoras, etc.),
servicios (acceso a internet, e-mail, chat, juegos), etc.
6. Seguridad en Inform´tica II
a
Redes de Computadoras
Topolog´ de Red
ıas
1 Redes de Computadoras
Introducci´n a las Redes de Computadoras
o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
7. Seguridad en Inform´tica II
a
Redes de Computadoras
Topolog´ de Red
ıas
Define como est´n conectadas
a
computadoras, impresoras,
dispositivos de red y otros
dispositivos.
Describe la disposici´n de los
o
cables y los dispositivos,
as´ como las rutas utilizadas
ı
para las transmisiones de datos.
Influye enormemente en el
funcionamiento de la red.
8. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
1 Redes de Computadoras
Introducci´n a las Redes de Computadoras
o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
9. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Entendiendo el Modelo Abierto de Interconexi´n (OSI)
o
Creado por la ISO (Organizaci´n
o
Internacional para la Estandarizaci´n)
o
en 1984.
Es un modelo de referencia que
describe como los protocolos de red y
componentes trabajan juntos.
Compuesto por 7 capas o funciones,
cada una representa un grupo de
especificaciones, funciones y
actividades relacionadas.
¨ a way to talk about things, not to
ıt’s
implement them”a
a
Linus Torvalds - http://kerneltrap.org/node/5725
10. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Nivel F´
ısico
Capa 1
Se encarga de las conexiones f´
ısicas de la computadora hacia la
red, tanto en lo que se refiere al medio f´
ısico como a la forma en
la que se transmite la informaci´n
o
Medio f´
ısico:
Medios guiados: cable
coaxial, cable de par
trenzado, fibra ´ptica
o
(conexi´n cableada)
o
Medios no guiados:
radio, infrarrojos,
microondas, l´ser y otras
a
redes inal´mbricas)
a
Formas en que se transmite
la informaci´n:
o
codificaci´n de se˜al,
o
n
niveles de
tensi´n/intensidad de
o
corriente el´ctrica,
e
modulaci´n, tasa binaria,
o
etc.
11. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Nivel de Enlace de Datos
Capa 2
Responsable de la transferencia confiable de informaci´n a
o
trav´s de un circuito de transmisi´n de datos. Recibe peticiones del
e
o
nivel de red y utiliza los servicios del nivel f´
ısico.
Protocolos:
Ethernet o IEEE 802.3,
IEEE 802.11 o Wi-Fi,
IEEE 802.16 o WiMAX.
PPP (Point to point protocol o protocolo punto a punto)
12. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Nivel de Red
Capa 3
Proporciona conectividad y selecci´n de ruta entre dos sistemas de
o
hosts que pueden estar ubicados en redes geogr´ficamente
a
distintas. Consigue que los datos lleguen desde el origen al destino.
Orientaci´n de conexi´n:
o
o
Datagramas: Cada paquete se encamina
independientemente, sin que el origen y el destino tengan que
pasar por un establecimiento de comunicaci´n previo.
o
Circuitos virtuales: los dos equipos que quieran comunicarse
tienen que empezar por establecer una conexi´n.
o
Protocolos de la capa de red: IP (IPv4, IPv6, IPsec), OSPF,
IS-IS, BGP, ARP, RARP, RIP, ICMP, ICMPv6, IGMP, DHCP
13. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Nivel de Transporte
Capa 4
Encargado de la transferencia libre de errores de los datos entre el
emisor y el receptor, aunque no est´n directamente conectados,
e
as´ como de mantener el flujo de la red.
ı
Protocolos de transporte de internet:
UDP (protocolo de datagramas de usuario): Este protocolo
proporciona una forma para que las aplicaciones env´
ıen
datagramas IP encapsulados sin tener una conexi´n.
o
TCP (protocolo de control de transmisi´n): Se
o
dise˜´ espec´
no
ıficamente para proporcionar un flujo de bytes
confiable de extremo a extremo a trav´s de una interred no
e
confiable
14. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Nivel de Sesi´n
o
Capa 5
Proporciona los mecanismos para controlar el di´logo entre las
a
aplicaciones de los sistemas finales.
En muchos casos, los servicios de la capa de sesi´n son
o
parcialmente, o incluso, totalmente prescindibles.
15. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Nivel de Presentaci´n
o
Capa 6
Esta capa se encarga de la representaci´n de la informaci´n, de
o
o
manera que aunque distintos equipos puedan tener diferentes
representaciones internas de caracteres (ASCII, Unicode, EBCDIC),
n´meros (little-endian tipo Intel, big-endian tipo Motorola), sonido
u
o im´genes, los datos lleguen de manera reconocible.
a
16. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Nivel de Aplicaci´n
o
Capa 7
Ofrece a las aplicaciones (de usuario o no) la posibilidad de
acceder a los servicios de las dem´s capas y define los protocolos
a
que utilizan las aplicaciones para intercambiar datos.
El usuario normalmente no interact´a directamente con el
u
nivel de aplicaci´n.
o
Suele interactuar con programas que a su vez interact´an con
u
el nivel de aplicaci´n pero ocultando la complejidad
o
subyacente.
17. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Conjunto de protocolos TCP/IP
Definici´n
o
Conjunto de protocolos de red en los que se basa Internet y que
permiten la transmisi´n de datos entre computadoras.
o
Fueron el resultado del trabajo llevado a cabo por la Agencia
de Investigaci´n de Proyectos Avanzados de Defensa
o
(DARPA) a principios de los 70.
20. Seguridad en Inform´tica II
a
Redes de Computadoras
Modelo OSI
Protocolos de nivel Aplicaci´n
o
FTP (File Transfer Protocol - Protocolo de transferencia de
archivos) para transferencia de archivos.
DNS (Domain Name Service - Servicio de nombres de
dominio).
HTTP (HyperText Transfer Protocol) para acceso a p´ginas
a
web.
POP (Post Office Protocol) para correo electr´nico.
o
SMTP(Simple Mail Transport Protocol).
SSH (Secure SHell)
TELNET para acceder a equipos remotos.
21. Seguridad en Inform´tica II
a
Redes de Computadoras
Dispositivos de red
1 Redes de Computadoras
Introducci´n a las Redes de Computadoras
o
Topolog´ de Red
ıas
Modelo OSI
Dispositivos de red
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
22. Seguridad en Inform´tica II
a
Redes de Computadoras
Dispositivos de red
Hub o Concentrador
Definci´n
o
Dispositivo que permite centralizar el cableado de una red y poder
ampliarla. Esto significa que dicho dispositivo recibe una se˜al y
n
repite esta se˜al emiti´ndola por sus diferentes puertos
n
e
Una red Ethernet se comporta como un medio compartido, es
decir, s´lo un dispositivo puede transmitir con ´xito a la vez.
o
e
Cualquier paquete de entrada es transmitido a otro puerto
(que no sea el puerto de entrada).
Permite el sniffeo pasivo
24. Seguridad en Inform´tica II
a
Redes de Computadoras
Dispositivos de red
Switch o Conmutador
Definci´n
o
Dispositivo digital de l´gica de interconexi´n de redes de
o
o
computadores que opera en la capa de enlace de datos del modelo
OSI.
Su funci´n es interconectar dos o m´s segmentos de red, de
o
a
manera similar a los puentes de red, pasando datos de un
segmento a otro de acuerdo con la direcci´n MAC de destino
o
de las tramas en la red.
26. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
1 Redes de Computadoras
2 An´lisis de Tr´fico de Red
a
a
Introducci´n
o
Modos de captura
Sniffers
3 Herramientas de Monitoreo de red
27. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Introducci´n
o
1 Redes de Computadoras
2 An´lisis de Tr´fico de Red
a
a
Introducci´n
o
Modos de captura
Sniffers
3 Herramientas de Monitoreo de red
28. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Introducci´n
o
Definici´n
o
Sniffer
Componente de software o de hardware, que contado a una red
inform´tica es capaz de supervisar todo el tr´fico que se genera en
a
a
la misma y fluye a trav´s de las conexiones.
e
Su traducci´n literal ser´ “rastreador” o “husmeador”.
o
ıa
Es un elemento capaz de escuchar todo lo que se mueve por
la red en la que se encuentra conectado.
29. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Introducci´n
o
Herramientas de apoyo a los administradores de redes
Los sniffers, eran originalmente, herramientas utilizadas pare
encontrar problemas de funcionamiento en una red.
En esencia, estas aplicaciones capturan, interpreta y
almacenan los paquetes que viajan por la red para analizarlos
posteriormente.
De esta forma, los administradores de la red dispon´ de una
ıan
ventana para ver los que est´ ocurriendo en la misma,
a
permiti´ndoles solucionar o modelizar el comportamiento de la
e
red mediante la visi´n del tr´fico de paquetes en su forma m´s
o
a
a
pura.
30. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Modos de captura
1 Redes de Computadoras
2 An´lisis de Tr´fico de Red
a
a
Introducci´n
o
Modos de captura
Sniffers
3 Herramientas de Monitoreo de red
31. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Modos de captura
Modo promiscuo
Normalmente una tarjeta de red (NIC) de Ethernet descarta
cualquier tr´fico que no vaya dirigido a ella o a la direcci´n de
a
o
difusi´n de la red, por lo que el sniffer deber´ hacer que la
o
a
tarjeta entre en un estado especial (modo promiscuo), en el
cual recibir´ todos los paquetes que se desplazan por la red.
a
Una vez que el hardware de la red se encuentra en modo
pormiscuo, el software del sniffer puede capturar y analizar
cualquier tr´fico que pase por el segmento local de Ethernet.
a
Esto limita de alg´n modo el alcance de un sniffer, puesto que
u
no ser´ capaz de captar el tr´fico externo al domino local de
a
a
colisiones de la red ( es decir, m´s all´ de los routers,
a
a
conmutadores u otros dipositivos de segmentaci´n).
o
33. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Modos de captura
Modo Bridge
Definici´n
o
Consiste en un MitM (Man in the Middle), a nivel f´
ısico, donde
tendremos un acceso pasivo a todo el caudal de tr´fico.
a
A trav´s de las herramientas bridge-utils de GNU/Linux o con
e
un Network Tap
Sniffing pasivo
34. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Modos de captura
Port Mirroring
Definici´n
o
Configuraci´n especial de un switch de comunicaciones que
o
permite duplicar el tr´fico que es enviado por uno o varios puertos
a
del switch y replicarlo a un puerto espec´
ıfico.
Necesitamos acceso al switch que soporte esta funcionallidad.
Llamado modo SPAN en entornos Cisco.
M´todo empleado por muchos administradores de red para
e
instalar un IDS u otras herramientas de monitoreo.
Sniffing pasivo.
35. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Modos de captura
Modo Hub
Definici´n
o
Configuraci´n en la que conectamos un Hub o concentrador al
o
servidor y al sensor.
El concentrador permite el sniffing pasivo.
36. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Modos de captura
ARP Spoof
Definici´n
o
Construcci´n de tramas de solicitud y respuesta ARP modificadas
o
con el objetivo de falsear la tabla ARP (relaci´n IP-MAC) de una
o
v´
ıctima y forzarla a que env´ los paquetes a un host atacante en
ıe
lugar de hacerlo a su destino leg´
ıtimo.1
M´todo ofensivo.
e
Se ejecuta con herramientas como ettercap.
ettercap -T -M arp:remote /192.168.2.82/ //
Sniffing activo.
1
http://es.wikipedia.org/wiki/Spoofing
37. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Modos de captura
arpspoof
1
2
3
4
echo 1 > /proc/sys/net/ipv4/ip forward
arpspoof -i wlan0 -t 192.168.1.254 192.168.1.81
Abrir una nueva terminal
arpspoof -i wlan0 -t 192.168.1.81 192.168.1.254
38. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
1 Redes de Computadoras
2 An´lisis de Tr´fico de Red
a
a
Introducci´n
o
Modos de captura
Sniffers
3 Herramientas de Monitoreo de red
39. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
tcpdump
Definici´n
o
Herramienta creada para para sistemas UNIX, funciona a trav´s de
e
l´
ınea de comandos cuya utilidad principal es analizar el tr´fico que
a
circula por la red.
Usos frecuentes:
Para depurar aplicaciones que utilizan la red para comunicarse.
Para depurar la red misma.
Para capturar y leer datos enviados por otros usuarios o equipo.
40. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Uso b´sico de tcpdump
a
tcpdump -n -i <interfaz> -s <longitud>
Opciones:
-n indica a tcpdump que no resuelva las direcciones IP
generando nombre de dominio, y los n´meros de puerto
u
generando nombres de servicio.
−i <interfaz> indica a tcpdump que interfaz observar. Los
dipositivos ethernet en GNU/Linux suelen denominarse eth0.
−s <longitud> indica a tcpdump qu´ parte del paquete
e
debe guardar. Para ethernet sin uso de VLANS 1515 bites es
suficiente.
Ejemplo:
tcpdump -n -i eth0 -s 1515
41. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Filtros en tcpdump
Tcpdump permite establecer filtros de paquetes con las
expresiones l´gicas AND, OR y NOT.
o
Se puede realizar combinaciones de expresiones con par´ntesis.
e
Filtros disponibles:
Tipo:
host
red
port
Direcci´n:
o
dst (destination)
src (source)
Protocolos:
proto arp, icmp, tcp, udp, http, . . .
Longitud:
len
42. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Ejemplos de uso de tcpdump
1
Filtrar los paquetes ARP
tcdump not arp
2
Mostrar los paquetes con la direcci´n destino 192.168.2.254
o
tcdump dst 192.168.2.254
43. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Wireshark
Definici´n
o
Antes conocido como Ethereal, es un analizador de protocolos
utilizado para realizar an´lisis y solucionar problemas en redes de
a
comunicaciones, para desarrollo de software y protocolos, y como
una herramienta did´ctica para educaci´n.2
a
o
2
http://es.wikipedia.org/wiki/Wireshark
44. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Interfaz gr´fica de Wireshark
a
45. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Interfaz gr´fica de Wireshark (2)
a
1
´
Area de definici´n de filtros, permite definir patrones de
o
b´squeda para visualizar aquellos paquetes o protocolos que
u
nos interesen.
2
Corresponde con la vista de visualizaci´n de todos los
o
paquetes que se est´n capturando en tiempo real.
a
3
Permite desglosar por capas cada una de las cabeceras de los
paquetes seleccionados en la secci´n 2 y nos
o
facilitar´ movernos por cada uno de los campos de las mismas.
a
4
Formato hexadecimal, el paquete es mostrado en bruto, es
decir, tal y como fue capturado por nuestra tarjeta de red.
46. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Dsniff
Definici´n
o
Colecci´n de herramientas para auditar redes y realizar pentesting
o
que pasivamente monitorean la red en busca de informaci´n
o
sensible (como password, e-mail, archivos, . . . .
Compuesta por:
dsniff
filesnarf
mailsnarf
msgsnarf
urlsnarf
webspye
47. Seguridad en Inform´tica II
a
An´lisis de Tr´fico de Red
a
a
Sniffers
Protecci´n contra Sniffers
o
SSL (Security Sockets Layer). M´todo de cifrado presente en
e
los navegadores web y servidores http. Suele utilizarse en las
compras online, para la transmisi´n de datos sensibles como el
o
n´mero de tarjeta de cr´dito, . . .
u
e
PGP (Pretty Good Privacy) y S/MIME. Ambos m´todos son
e
empleados para incrementar la seguridad en el intercambio de
correos electr´nicos.
o
Ssh (Secure Shell Client). Alternativa segura para el acceso
remoto a servidores tipo UNIX. Reemplazo del protocolo
telnet.
VPN (Virtual Private Network). Estas redes env´ la
ıan
informaci´n cifrada desde una red local a otra situada en una
o
ubicaci´n geogr´ficamente lejana a trav´s de Internet.
o
a
e
48. Seguridad en Inform´tica II
a
Herramientas de Monitoreo de red
1 Redes de Computadoras
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
Ntop
49. Seguridad en Inform´tica II
a
Herramientas de Monitoreo de red
Ntop
1 Redes de Computadoras
2 An´lisis de Tr´fico de Red
a
a
3 Herramientas de Monitoreo de red
Ntop
50. Seguridad en Inform´tica II
a
Herramientas de Monitoreo de red
Ntop
Definici´n
o
NTOP (Network TOP)
Herramienta que permite monitorear en tiempo real una red.
Posee un microservidor web.
Protocolos que es capaz de monitorizar:
TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk,
Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por
FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS,
X11.
51. Seguridad en Inform´tica II
a
Herramientas de Monitoreo de red
Ntop
Instalaci´n y Configuraci´n
o
o
Instrucciones para instalar ntop en Backtrack 5.1R:
1
apt-get install ntop
2
ntop --set-admin-password
3
/etc/init.d/ntop start
53. Seguridad en Inform´tica II
a
Referencias bibliogr´ficas
a
Referencias bibliogr´ficas I
a
Angela Orebaugh.
Wireshark & Ethereal Network Protocol Analyzer Toolkit
(February 14, 2007)