Embed Size (px)
DESCRIPTION
Este trabajo habla en una forma profunda acerca de las herramientas de monitoreo de red.
Citation preview
UNIDAD 3Equipo:Eliel López Rueda
Angélica Villa Hernández
Jorge Acevedo Carreón
Cristian Ivan Huerta Rojas
Noé Mazahua Xincuile
WIRESHARK
INTRODUCCIÓNWireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca.
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.
CARACTERÍSTICAS Mantenido bajo la licencia GPL.
Muy robusto, tanto en modo promiscuo como en modo no promiscuo.
Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa).
Basado en la librería pcap.
Tiene una interfaz muy flexible.
Gran capacidad de filtrado.
Admite el formato estándar de archivos tcpdump.
Reconstrucción de sesiones TCP
Se ejecuta en más de 20 plataformas.
Es compatible con más de 480 protocolos.
Puede leer archivos de captura de más de 20 productos.
Puede traducir protocolos TCP IP
Genera TSM y SUX momentáneamente
VENTAJAS Y DESVENTAJASVentajas
Entre sus cualidades nos encontramos con una enorme versatilidad que le lleva a soportar más de 480 protocolos distintos, además de la posibilidad de trabajar tanto con datos capturados desde una red durante una sesión con paquetes previamente capturados que hayan sido almacenados en el disco duro.
Wireshark soporta el formato estándar de archivos tcpdump, es capaz de reconstruir sesiones TCP, y está apoyado en una completa interfaz gráfica que facilita enormemente su uso.
Desventajas
Puede ser muy dificil de decifrar la información que transita en la red, sin embargo para usuarios con mas experiencia puede ser mas facil identificar que es lo que esta transitando exactamente, quien envia la información y quien la recibe.
PROCESO DE INSTALACIÓNDebemos descargar wireshark desde los repositorios oficiales de Debian. Podemos hacerlo mediante el centro de descargas (gráficamente) o desde terminal(en este caso se realizara desde terminal).
1. Abrimos una terminal como root y ejecutamos las siguientes instrucciones:
aptitude update aptitude install wireshark
2. Termina la descarga
3. Ahora podemos ir a nuestro menú de Aplicaciones – Internet - Wireshark; y abrirlo Nota: Si lo abrimos de esta manera no podremos ejecutar las herramientas de este programa. Para poder hacerlo necesitamos ejecutarlo como superusuario root, aunque esta práctica no es recomendada.
INTERFAZ DE USUARIO
HERRAMIENTAS ADMINISTRATIVAS Acá tenemos algunas de nuestras herramientas mas utilizadas
En este ejemplo usaremos la opción de Capture para capturar los que ocurre en una interfaz seleccionada
Seleccionamos una interfaz y damos clic en “Start”
Y nuestra herramienta comenzará a hacer el análisis de lo que ocurre en nuestra interfaz
VERSIONES Existen muchas versiones de wireshar. Existen versiones para:
Windows (32 bits) Windows (64 bits) OS X (32 bits) OS X (64 bits) Linux
La ultima versión estable es la 1.12.2
CONCLUSIÓN Wireshark es una herramienta sniffer muy popular y eficiente a la hora de
analizar paquetes y tramas de circulación en la red. Es importante tener en cuenta que para un uso correcto y adecuado de esta herramienta, debemos de tener nuestra tarjeta de red en modo promiscuo, y en usuarios Linux hacer las configuraciones necesarias de grupos y usuarios que puedan ejecutar esta herramienta, porque hacerlo de modo supe usuario (root) podemos correr mucho riesgo en la red.
SNORT
INTRODUCCIÓN
Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo esto en tiempo real.
CARACTERISTICAS PRINCIPALES
La característica más apreciada de Snort, además de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se está actualizando constantemente y a la cual se puede añadir o actualizar a través de la Internet.
V E N T A J A S Una subred completa puede ser cubierta por un IDS
Teóricamente indetectables
Mínimo impacto a la red
Permiten detectar ataques DOS
Independencia del ambiente operativo
Livianos y Fáciles de implementar
D E S V E N T A J A S Generación de falsos positivos
No pueden analizar tráfico cifrado
Son tan efectivos como la última actualización de patrones
Alta latencia entre el ataque y la notificación
Dificultad para realizar análisis en redes congestionadas
No indican si un ataque ha sido exitoso o no
PROCESO DE INSTALACION 1. Abrir una terminal
2. Escribir el comando de instalación de paquete : sudo apt-get install snort
Dando permisos de superusuario para poder realizar la instalación (debido al sistema de permisos utilizado por las distribuciones de Linux), escribiendo la contraseña en la siguiente línea.
En seguida se iniciará la instalación.
Dando permisos de superusuario para poder realizar la instalación (debido al sistema de permisos utilizado por las distribuciones de Linux), escribiendo la contraseña en la siguiente línea.
En seguida se iniciará la instalación.
3. A continuación pedirá la siguiente opción de configuración
En este paso pide la dirección de red local (la cual va a ser la que se estará monitoreando). En este punto puede haber 3 opciones de configuración: Si es una única dirección se colocará con máscara de sub red /32 Si es un bloque de 256 IPs se utilizará la máscara /24 Si es una red más amplia se utilizará la máscara /16
4. Una vez finalizado el proceso de instalación se puede realizar la configuración completa por medio del comando.
Lo cual hará que se pidan las configuraciones, que serán guardadas en el archivo /etc/snort/snort.debian.conf
Una vez finalizado el asistente de configuración, se ejecuta el comando mostrado en la anterior instrucción
INTERFAZ DE USUARIO
HERRAMIENTAS ADMINISTRATIVAS
La interfaz de SNORT cuenta con herramientas que permiten ver:
VERSIONES SNORT esta disponible para los SO:
Fedora
Centos
Windows
Linux
snort-2.9.7.0.tar.gz
CONCLUCIONES Es una herramienta muy importante en la prevención de ataques,
constituyen una primera barrera que nos puede ayudar a corregir fallas de seguridad o a recopilar información relacionada con un posible futuro ataque se ha definido snort como una herramienta capaz de crear alertas, de acuerdo con las necesidades que el administrador contemple dentro de la organización.
Esta es una de las herramientas más poderosas en el campo de la administración de alertas de ataques.
MRTG
INTRODUCCIÓNMRTG(Multi Router Traffic Grapher) es una utilidad creada por Tobias Oetiker usada para crear graficas que representan una visualización de datos en tiempo real. El uso mas común de esta utilidad es en el router, pero se puede utilizar para graficar cualquier cosa, por ejemplo el numero de miembros o visitantes en una pagina web.
CARACTERÍSTICAS PRINCIPALES Es multiplataforma por lo que es compatible con la mayoría de las
plataformas Unix y Windows. Además de ser open-source.
Esta escrito en Perl.
Utiliza una aplicación SNMP portátil escrito completamente en Perl.(No necesita instalar ningún paquete externo SNMP).
Las interfaces de routers pueden ser fácilmente identificadas por su dirección IP, descripción y dirección Ethernet.
Mantiene un constante tamaño de los archivos de registro (logfiles).
Algunas rutinas escritas en C para mejora de rendimiento.
Gráficos generados directamente en formato PNG.
Paginas web producidas son altamente configurables.
VENTAJAS Lectores externos para graficas MRTG pueden crear otras interpretaciones
de los datos.
El software de MRTG puede ser usado no solamente para medir trafico de redes en interfaces, sino también para construir graficas de cualquier cosa que tenga un equivalente de MIB SNMP, como carga de CPU, disponibilidad de disco, temperatura, etc.
Puede ser extendido para trabajar con RRDTool.
Permite establecer alarmas.
Fácil de configurar (menos de 30 min).
Soporta Ipv6.
Altamente popular, por ende abundante soporte y ayuda en línea.
DESVENTAJAS Genera cada grafica (dependiendo de cuantas graficas se tengan
configuradas) cada 5 minutos, creando sobrecarga en algunos casos.
Manejo de MRTG puede ser tedioso.
Muy pocas opciones de costumizar las opciones de graficas.
Espacio de disco siempre es un problema.
Las graficas no pueden ser directamente comparadas.
Inútil para planeación de capacidad.
Pierde resolución rápidamente.
PROCESO DE INSTALACIÓN Obtén los paquetes requeridos.
Perl. La mayor parte de mrtg esta escrita en Perl Gd. Librería básica para dibujar graficas. Libpng. Requerida por gd para producir archivos PNG. Zlib. Comprime las graficas creadas. Mrtg. La utilidad misma.
Compila e instala los paquetes.
Crea archivos cfg para interfaces de enrutadores con cfgmaker.
Crea paginas de los archivos cfg con indexmaker.
Lanza MRTG periódicamente desde Cron o correrlo en modo daemon.
INTERFAZ DE USUARIO
HERRAMIENTAS ADMINISTRATIVASRDDTool. Base de datos round robin para series de tiempos y almacenamiento de datos.
Usado en línea de comandos. Hecho para ser mas rápido y mas flexible. Incluye cgi y herramientas de graficación, mas api. Soluciona los problemas de historial y problemas simples de interfaces.
VERSIONES MRTG-1.0
Creado en la primavera de 1995. Completamente escrito en perl. Muy lento y con problemas de portabilidad y escalabilidad.
MRTG-2.0 Salió al mercado en ener0 de 1997 Mas rápido. Virtualmente independiente de plataforma. Mas fácil de usar.
MRTG-3.0 Implementación de la herramienta rrdtool. Mayor rendimiento. Fácil configuración. Soluciones integrales.
CONCLUSIONESMrtg es una herramienta muy popular debido a lo útil y sencilla de usar que es. También es una herramienta que ha venido a mas desde su primer versión, las mejoras en rendimiento, facilidad de uso, manejo de espacio y mas la han hecho la herramienta mas utilizada para la medición de trafico, ya que se puede utilizar para medir no solo trafico sino cualquier cosa medible en una red.
HERRAMIENTAS DE MONITOREOtcpdump
INTRODUCCIÓN Tcpdump es la herramienta principal de análisis de la red, de los
profesionales de seguridad de la información. Tener un conocimiento sólido de esta aplicación es obligatoria para cualquiera que desee un conocimiento profundo de TCP / IP.
Un profundo conocimiento de estos protocolos permite a la resolución de problemas en un nivel mucho más allá de la analista medio.
CARACTERÍSTICAS PRINCIPALES Tcpdump imprime una descripción de los contenidos de los paquetes sobre una interfaz de red que
coincide con la expresión booleana; la descripción es precedida por un sello de tiempo, impreso, por defecto, como horas, minutos, segundos y fracciones de segundos desde la medianoche.
También se puede ejecutar con la bandera -w, lo que hace que para guardar los datos de paquete a un archivo para su posterior análisis, y / o con la bandera -r, que hace que se lea desde un archivo guardado de paquetes en lugar de leer los paquetes a partir de una interfaz de red. También se puede ejecutar con la bandera -V, lo que hace que leer una lista de archivos de paquetes guardados. En todos los casos, sólo los paquetes que expresión de coincidencia será procesado por tcpdump.
Si no se ejecutan con la bandera -c, tcpdump continuara la captura de paquetes hasta que es interrumpida por una señal SIGINT (generada, por ejemplo, al escribir su carácter de interrupción, generalmente control-C) o una señal SIGTERM (normalmente generada con el comando para matar el proceso); si se ejecuta con la opción -c, capturará los paquetes hasta que es interrumpida por una señal SIGINT o SIGTERM o el número especificado de paquetes han sido procesados.
CARACTERÍSTICAS PRINCIPALES Cuando termina de tcpdump paquetes captura, se informe cargos de:
''paquetes `capturados'' (este es el número de paquetes que tcpdump ha recibidos y procesados). ''paquetes recibidos por el filtro '' (el significado de esto depende del sistema operativo en el que se
está ejecutando tcpdump, y posiblemente en la forma en que el sistema operativo se ha configurado - si se ha especificado un filtro en la línea de comandos, en algunos sistemas operativos cuenta paquetes, independientemente de si fueron igualados por la expresión de filtro y, aun si fueron igualados por la expresión de filtro, independientemente de si tcpdump ha leído y los procesados, sin embargo, en otros sistemas operativos que cuenta solamente los paquetes que fueron igualadas por la expresión de filtro, independientemente de si tcpdump ha leído y que ha procesado todavía, y en otros sistemas operativos porque cuenta sólo los paquetes que fueron agrupados por la expresión de filtro y se procesaron por tcpdump);
''Paquetes borrados por el kernel'‘, (este es el número de paquetes que fueron arrojadas, debido a una falta de espacio de memoria intermedia, por el mecanismo de captura de paquetes en el sistema operativo en el que se ejecuta tcpdump, si el sistema operativo informa de que la información a las aplicaciones; si no, será reportado como 0).
VENTAJAS Y DESVENTAJAS Ventajas
Herramienta muy potente y precisa acerca del trafico de red.
Soporta una gran cantidad de protocolos.
Desventajas
Requiere de alto conocimiento y análisis del protocolo TCP/IP.
Altos requerimientos de recursos para un desempeño optimo (según el fin que se tenga).
PROCESO DE INSTALACIÓN Descargar e instalar:
#apt-get install tcpdump
Si es necesario, checar dependencias e instalarlas antes.
#apt-cache depends tcpdump
También puede ser importante saber la versión instalada.
#apt-cache policy tcpdump
INTERFAZ DE USUARIO
HERRAMIENTAS ADMINISTRATIVAS Capturar paquetes de una interfaz Ethernet determinada utilizando tcpdump –i
Captura sólo número N de paquetes usando -c tcpdump
HERRAMIENTAS ADMINISTRATIVAS Muestra paquetes capturados en ASCII utilizando tcpdump -A
Capturar los paquetes y escribir en un archivo usando -w tcpdump
HERRAMIENTAS ADMINISTRATIVAS Recibir sólo los paquetes de un tipo de protocolo específico
Recibe paquetes fluye en un puerto en particular mediante el puerto tcpdump
HERRAMIENTAS ADMINISTRATIVAS Capturar paquetes para todo destino IP y el puerto
Captura de paquetes de comunicación TCP entre dos hosts
tcpdump filtrar los paquetes - Captura todos los paquetes que no sean arp y rarp
VERSIONESUltimo (actual)
4.6.2 / 1.6.2Sep 2, 2014
En desarrollo
git clone git://bpf.tcpdump.org/tcpdump
Noviembre, 2014. Anteriores
4.5.1 / 1.5.3Nov 20, 2013/Dec 3, 2013/Jan 14, 2014
4.4.0 / 1.4.0May 20, 2013
CONCLUSIONES Tcpdump es un herramienta de análisis de trafico muy potente y flexible
que puede apoyarnos en la labor de auditoria, monitoreo y en cierta medida ante ataques de red.
REFERENCIAS http://www.tcpdump.org/manpages/tcpdump.1.html
http://openmaniak.com/tcpdump.php
http://www.thegeekstuff.com/2010/08/tcpdump-command-examples/
http://www.danielmiessler.com/study/tcpdump/
IPTRAF
INTRODUCCIÓN IPTraf es una herramienta para la consola que monitorea el tráfico de redes en nuestro sistema y es sumamente útil para depurar problemas de ese tipo. Se puede ejecutar tanto en modo interactivo como en modo desatendido (batch). Funciona recolectando información de las conexiones TCP, como las estadísticas y la actividad de las interfaces, así como las caídas de tráfico TCP y UDP. Se encuentra disponible en sistemas operativos GNU/Linux.
CARACTERÍSTICAS PRINCIPALES Además de un menú de opciones a pantalla completa, IPTraf posee las siguientes características:
Monitoreo de trafico IP, tras informaciones sobre el tráfico de IP que pasa sobre nuestra red LAN. Incluye informaciones sobre el TCP bytes y contenido, detalles ICMP, y tipos de paquetes OSPF.
Estadísticas de interface general detallado mostrando IP, TCP, UDP, ICMP, no-IP y otros paquetes IP, errores checksum IP, actividad del interface, contenido del tamaño del paquete.
Contenido de TCP y UDP, servicio de monitoreo de paquetes de entrada y salida para TCP comunes y puertas UDP aplicación.
Módulo de estadísticas que descubre hosts activos mostrando también estadísticas de las actividades de datos sobre ellos.
TCP, UDP, filtros y otros protocolos de visualización, permitiendo que usted visualiza solamente el tráfico en el cual está interesado.
Permite grabar Logs. Soporta redes Ethernet, FDDI, ISDN, SLIP y PPP. Utiliza el built-in interface de socket raw del kernel Linux, permitiendo que él sea usado en una amplia gama de placas de rede soportadas.
VENTAJAS, DESVENTAJAS Ventajas Es capaz de brindar mucha información como el número de paquetes y bytes en una conexión TCP, estadísticas de una interfaz e indicadores de actividad, caídas en el tráfico TCP/UDP y número de bytes y paquetes en una estación LAN.
Esta herramienta podría resultar muy útil ya que por ejemplo analizando el tráfico de red podríamos detectar si hay algún “infiltrado”, que esté haciendo uso ilegal de nuestra conexión o algún programa (por ejemplo un troyano) haciendo mal uso de lo nuestro.
IPTraf admite una amplia gama de interfaces de red: Loopback local Todas las interfaces Ethernet admitidas por GNU/Linux. Todas las interfaces FDDI admitidas por GNU/Linux. SLIP Asynchronous PPP Synchronous PPP over ISDN
ISDN con encapsulación Raw IP ISDN con encapsulación Cisco HDLC Línea IP Paralela.
Desventajas Solo se encuentra disponible para sistemas operativos basados en GNU/Linux.
Está en modo consola.
PROCESO DE INSTALACIÓN Instalando a partir de 'source'. Desde la terminal escribir lo siguiente: # tar zxvf iptraf-x.y.z.tar.gz # ./Setup Instalación en Debian: # apt-get install iptraf Instalación en CentOs: # yum install iptraf
INTERFAZ DE USUARIO IpTraf es una utilidad basada en lo
que común mente se conoce como interfaces curses (Curses es una biblioteca de control de terminal para sistemas basados en Unix, posiblemente considerada como las primeras librerías para interfaces de usuarios) y lo que realiza es interceptar los paquetes que se están transfiriendo en la red para luego brindarnos información sobre los mismos.
HERRAMIENTAS ADMINISTRATIVAS IP traffic monitor. Nos muestra en tiempo real del tráfico que pasa por las
interfaces. Podemos seleccionar sólo una interfac o todas. Podemos ver qué IP está haciendo uso del tráfico de red.
General interfaces statistics. Muestra estadísticas de las interfaces.
Detailed interfaces statistics. Información más detallada de una interfaz en concreto.
Statistical breakdowns.... Tráfico de paquetes por tamaño o por TCP/UDP en una interfaz.
LAN station monitor. Muestra las estadísticas de nuestra red detectadas en una o todas las interfaces.
Filters. Podemos configurar filtros o crea uno nuevo.
Configure. Configurar IPtraf para nuestras necesidades
VERSIONES IPTraf 2.2.2 Released, July 14, 2000 Updates, September 18, 2000 Mailing Lists Now Available, September 30, 2000 IPTraf 2.3.0 Released, November 6, 2000 IPTraf 2.3.1 Released, November 13, 2000 IPTraf on ZDNet, February 18, 2001 IPTraf 2.4.0 Released, March 20 2001 IPTraf 2.5.0 Released, August 14 2001
IPTraf 2.6 First Beta Released, January 29, 2002 IPTraf 2.6.0 Released, April 24, 2002 IPTraf 2.6.1 Released, May 2, 2002 IPTraf 2.7.0 Released, May 19, 2002 IPTraf 3.0.0 - September 19, 2005 (Última versión estable)
CONCLUSIONES Esta es una de las herramientas ideales para monitorear las redes de nuestras oficinas, si bien no contamos con una versión del todo gráfico, mostrando diagramas estadísticos ni mucho menos dibujos, pero es realmente útil la información que podemos obtener si es que realmente hacemos una buena lectura de la misma. Al poder ejecutarse remotamente bajo un protocolo SSH (Secure Shell) podemos conocer aún más información y de alguna manera mantener el control del tráfico de la red.
