Upload
francisco-medina
View
670
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Tema 2. Seguridad en Informática 2
Citation preview
Seguridad en Informatica II
Seguridad en Informatica II2. Sniffers y Monitores
Francisco Medina Lopez
Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico
Semestre: 2014-2
Seguridad en Informatica II
Agenda
1 Redes de Computadoras
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Redes de Computadoras
1 Redes de ComputadorasIntroduccion a las Redes de ComputadorasTopologıas de RedModelo OSIDispositivos de red
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Redes de Computadoras
Introduccion a las Redes de Computadoras
1 Redes de ComputadorasIntroduccion a las Redes de ComputadorasTopologıas de RedModelo OSIDispositivos de red
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Redes de Computadoras
Introduccion a las Redes de Computadoras
El concepto de red
Defincion
Conjunto de nodos (computadoras y/o dispositivos) conectadosentre sı por medio de cables, senales, ondas o cualquier otrometodo de transporte de datos, que comparten:
informacion (archivos),
recursos (CD-ROM, impresoras, etc.),
servicios (acceso a internet, e-mail, chat, juegos), etc.
Seguridad en Informatica II
Redes de Computadoras
Topologıas de Red
1 Redes de ComputadorasIntroduccion a las Redes de ComputadorasTopologıas de RedModelo OSIDispositivos de red
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Redes de Computadoras
Topologıas de Red
Define como estan conectadascomputadoras, impresoras,dispositivos de red y otrosdispositivos.
Describe la disposicion de loscables y los dispositivos,ası como las rutas utilizadaspara las transmisiones de datos.
Influye enormemente en elfuncionamiento de la red.
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
1 Redes de ComputadorasIntroduccion a las Redes de ComputadorasTopologıas de RedModelo OSIDispositivos de red
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Entendiendo el Modelo Abierto de Interconexion (OSI)
Creado por la ISO (OrganizacionInternacional para la Estandarizacion)en 1984.
Es un modelo de referencia quedescribe como los protocolos de red ycomponentes trabajan juntos.
Compuesto por 7 capas o funciones,cada una representa un grupo deespecificaciones, funciones yactividades relacionadas.
ıt’s a way to talk about things, not toimplement them”a
aLinus Torvalds - http://kerneltrap.org/node/5725
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Nivel Fısico
Capa 1
Se encarga de las conexiones fısicas de la computadora hacia lared, tanto en lo que se refiere al medio fısico como a la forma enla que se transmite la informacion
Medio fısico:
Medios guiados: cablecoaxial, cable de partrenzado, fibra optica(conexion cableada)
Medios no guiados:radio, infrarrojos,microondas, laser y otrasredes inalambricas)
Formas en que se transmitela informacion:
codificacion de senal,niveles detension/intensidad decorriente electrica,modulacion, tasa binaria,etc.
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Nivel de Enlace de Datos
Capa 2
Responsable de la transferencia confiable de informacion atraves de un circuito de transmision de datos. Recibe peticiones delnivel de red y utiliza los servicios del nivel fısico.
Protocolos:
Ethernet o IEEE 802.3,
IEEE 802.11 o Wi-Fi,
IEEE 802.16 o WiMAX.
PPP (Point to point protocol o protocolo punto a punto)
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Nivel de Red
Capa 3
Proporciona conectividad y seleccion de ruta entre dos sistemas dehosts que pueden estar ubicados en redes geograficamentedistintas. Consigue que los datos lleguen desde el origen al destino.
Orientacion de conexion:
Datagramas: Cada paquete se encaminaindependientemente, sin que el origen y el destino tengan quepasar por un establecimiento de comunicacion previo.
Circuitos virtuales: los dos equipos que quieran comunicarsetienen que empezar por establecer una conexion.
Protocolos de la capa de red: IP (IPv4, IPv6, IPsec), OSPF,IS-IS, BGP, ARP, RARP, RIP, ICMP, ICMPv6, IGMP, DHCP
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Nivel de Transporte
Capa 4
Encargado de la transferencia libre de errores de los datos entre elemisor y el receptor, aunque no esten directamente conectados,ası como de mantener el flujo de la red.
Protocolos de transporte de internet:
UDP (protocolo de datagramas de usuario): Este protocoloproporciona una forma para que las aplicaciones envıendatagramas IP encapsulados sin tener una conexion.
TCP (protocolo de control de transmision): Sediseno especıficamente para proporcionar un flujo de bytesconfiable de extremo a extremo a traves de una interred noconfiable
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Nivel de Sesion
Capa 5
Proporciona los mecanismos para controlar el dialogo entre lasaplicaciones de los sistemas finales.
En muchos casos, los servicios de la capa de sesion sonparcialmente, o incluso, totalmente prescindibles.
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Nivel de Presentacion
Capa 6
Esta capa se encarga de la representacion de la informacion, demanera que aunque distintos equipos puedan tener diferentesrepresentaciones internas de caracteres (ASCII, Unicode, EBCDIC),numeros (little-endian tipo Intel, big-endian tipo Motorola), sonidoo imagenes, los datos lleguen de manera reconocible.
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Nivel de Aplicacion
Capa 7
Ofrece a las aplicaciones (de usuario o no) la posibilidad deacceder a los servicios de las demas capas y define los protocolosque utilizan las aplicaciones para intercambiar datos.
El usuario normalmente no interactua directamente con elnivel de aplicacion.
Suele interactuar con programas que a su vez interactuan conel nivel de aplicacion pero ocultando la complejidadsubyacente.
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Conjunto de protocolos TCP/IP
Definicion
Conjunto de protocolos de red en los que se basa Internet y quepermiten la transmision de datos entre computadoras.
Fueron el resultado del trabajo llevado a cabo por la Agenciade Investigacion de Proyectos Avanzados de Defensa(DARPA) a principios de los 70.
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
El modelo OSI y TCP/IP
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Protocolos TCP/IP
http://www.quora.com/Computer-Networking/
What-protocol-do-you-think-is-the-most-important-one-in-computer-networking
Seguridad en Informatica II
Redes de Computadoras
Modelo OSI
Protocolos de nivel Aplicacion
FTP (File Transfer Protocol - Protocolo de transferencia dearchivos) para transferencia de archivos.
DNS (Domain Name Service - Servicio de nombres dedominio).
HTTP (HyperText Transfer Protocol) para acceso a paginasweb.
POP (Post Office Protocol) para correo electronico.
SMTP(Simple Mail Transport Protocol).
SSH (Secure SHell)
TELNET para acceder a equipos remotos.
Seguridad en Informatica II
Redes de Computadoras
Dispositivos de red
1 Redes de ComputadorasIntroduccion a las Redes de ComputadorasTopologıas de RedModelo OSIDispositivos de red
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Redes de Computadoras
Dispositivos de red
Hub o Concentrador
Defincion
Dispositivo que permite centralizar el cableado de una red y poderampliarla. Esto significa que dicho dispositivo recibe una senal yrepite esta senal emitiendola por sus diferentes puertos
Una red Ethernet se comporta como un medio compartido, esdecir, solo un dispositivo puede transmitir con exito a la vez.
Cualquier paquete de entrada es transmitido a otro puerto(que no sea el puerto de entrada).
Permite el sniffeo pasivo
Seguridad en Informatica II
Redes de Computadoras
Dispositivos de red
Hub o Concentrador (2)
Seguridad en Informatica II
Redes de Computadoras
Dispositivos de red
Switch o Conmutador
Defincion
Dispositivo digital de logica de interconexion de redes decomputadores que opera en la capa de enlace de datos del modeloOSI.
Su funcion es interconectar dos o mas segmentos de red, demanera similar a los puentes de red, pasando datos de unsegmento a otro de acuerdo con la direccion MAC de destinode las tramas en la red.
Seguridad en Informatica II
Redes de Computadoras
Dispositivos de red
Switch o Conmutador2)
Seguridad en Informatica II
Analisis de Trafico de Red
1 Redes de Computadoras
2 Analisis de Trafico de RedIntroduccionModos de capturaSniffers
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Analisis de Trafico de Red
Introduccion
1 Redes de Computadoras
2 Analisis de Trafico de RedIntroduccionModos de capturaSniffers
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Analisis de Trafico de Red
Introduccion
Definicion
Sniffer
Componente de software o de hardware, que contado a una redinformatica es capaz de supervisar todo el trafico que se genera enla misma y fluye a traves de las conexiones.
Su traduccion literal serıa “rastreador” o “husmeador”.
Es un elemento capaz de escuchar todo lo que se mueve porla red en la que se encuentra conectado.
Seguridad en Informatica II
Analisis de Trafico de Red
Introduccion
Herramientas de apoyo a los administradores de redes
Los sniffers, eran originalmente, herramientas utilizadas pareencontrar problemas de funcionamiento en una red.
En esencia, estas aplicaciones capturan, interpreta yalmacenan los paquetes que viajan por la red para analizarlosposteriormente.
De esta forma, los administradores de la red disponıan de unaventana para ver los que esta ocurriendo en la misma,permitiendoles solucionar o modelizar el comportamiento de lared mediante la vision del trafico de paquetes en su forma maspura.
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
1 Redes de Computadoras
2 Analisis de Trafico de RedIntroduccionModos de capturaSniffers
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
Modo promiscuo
Normalmente una tarjeta de red (NIC) de Ethernet descartacualquier trafico que no vaya dirigido a ella o a la direccion dedifusion de la red, por lo que el sniffer debera hacer que latarjeta entre en un estado especial (modo promiscuo), en elcual recibira todos los paquetes que se desplazan por la red.
Una vez que el hardware de la red se encuentra en modopormiscuo, el software del sniffer puede capturar y analizarcualquier trafico que pase por el segmento local de Ethernet.Esto limita de algun modo el alcance de un sniffer, puesto queno sera capaz de captar el trafico externo al domino local decolisiones de la red ( es decir, mas alla de los routers,conmutadores u otros dipositivos de segmentacion).
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
Modos de captura
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
Modo Bridge
Definicion
Consiste en un MitM (Man in the Middle), a nivel fısico, dondetendremos un acceso pasivo a todo el caudal de trafico.
A traves de las herramientas bridge-utils de GNU/Linux o conun Network Tap
Sniffing pasivo
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
Port Mirroring
Definicion
Configuracion especial de un switch de comunicaciones quepermite duplicar el trafico que es enviado por uno o varios puertosdel switch y replicarlo a un puerto especıfico.
Necesitamos acceso al switch que soporte esta funcionallidad.
Llamado modo SPAN en entornos Cisco.
Metodo empleado por muchos administradores de red parainstalar un IDS u otras herramientas de monitoreo.
Sniffing pasivo.
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
Modo Hub
Definicion
Configuracion en la que conectamos un Hub o concentrador alservidor y al sensor.
El concentrador permite el sniffing pasivo.
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
ARP Spoof
Definicion
Construccion de tramas de solicitud y respuesta ARP modificadascon el objetivo de falsear la tabla ARP (relacion IP-MAC) de unavıctima y forzarla a que envıe los paquetes a un host atacante enlugar de hacerlo a su destino legıtimo.1
Metodo ofensivo.
Se ejecuta con herramientas como ettercap.
ettercap -T -M arp:remote /192.168.2.82/ //
Sniffing activo.
1http://es.wikipedia.org/wiki/Spoofing
Seguridad en Informatica II
Analisis de Trafico de Red
Modos de captura
arpspoof
1 echo 1 > /proc/sys/net/ipv4/ip forward
2 arpspoof -i wlan0 -t 192.168.1.254 192.168.1.81
3 Abrir una nueva terminal
4 arpspoof -i wlan0 -t 192.168.1.81 192.168.1.254
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
1 Redes de Computadoras
2 Analisis de Trafico de RedIntroduccionModos de capturaSniffers
3 Herramientas de Monitoreo de red
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
tcpdump
Definicion
Herramienta creada para para sistemas UNIX, funciona a traves delınea de comandos cuya utilidad principal es analizar el trafico quecircula por la red.
Usos frecuentes:
Para depurar aplicaciones que utilizan la red para comunicarse.Para depurar la red misma.Para capturar y leer datos enviados por otros usuarios o equipo.
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Uso basico de tcpdump
tcpdump -n -i <interfaz> -s <longitud>Opciones:
-n indica a tcpdump que no resuelva las direcciones IPgenerando nombre de dominio, y los numeros de puertogenerando nombres de servicio.
−i <interfaz> indica a tcpdump que interfaz observar. Losdipositivos ethernet en GNU/Linux suelen denominarse eth0.
−s <longitud> indica a tcpdump que parte del paquetedebe guardar. Para ethernet sin uso de VLANS 1515 bites essuficiente.
Ejemplo:tcpdump -n -i eth0 -s 1515
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Filtros en tcpdump
Tcpdump permite establecer filtros de paquetes con lasexpresiones logicas AND, OR y NOT.
Se puede realizar combinaciones de expresiones con parentesis.
Filtros disponibles:Tipo:
hostredport
Direccion:
dst (destination)src (source)
Protocolos:
proto arp, icmp, tcp, udp, http, . . .
Longitud:
len
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Ejemplos de uso de tcpdump
1 Filtrar los paquetes ARP
tcdump not arp
2 Mostrar los paquetes con la direccion destino 192.168.2.254
tcdump dst 192.168.2.254
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Wireshark
Definicion
Antes conocido como Ethereal, es un analizador de protocolosutilizado para realizar analisis y solucionar problemas en redes decomunicaciones, para desarrollo de software y protocolos, y comouna herramienta didactica para educacion.2
2http://es.wikipedia.org/wiki/Wireshark
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Interfaz grafica de Wireshark
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Interfaz grafica de Wireshark (2)
1 Area de definicion de filtros, permite definir patrones debusqueda para visualizar aquellos paquetes o protocolos quenos interesen.
2 Corresponde con la vista de visualizacion de todos lospaquetes que se estan capturando en tiempo real.
3 Permite desglosar por capas cada una de las cabeceras de lospaquetes seleccionados en la seccion 2 y nosfacilitara movernos por cada uno de los campos de las mismas.
4 Formato hexadecimal, el paquete es mostrado en bruto, esdecir, tal y como fue capturado por nuestra tarjeta de red.
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Dsniff
Definicion
Coleccion de herramientas para auditar redes y realizar pentestingque pasivamente monitorean la red en busca de informacionsensible (como password, e-mail, archivos, . . . .
Compuesta por:
dsnifffilesnarfmailsnarfmsgsnarfurlsnarfwebspye
Seguridad en Informatica II
Analisis de Trafico de Red
Sniffers
Proteccion contra Sniffers
SSL (Security Sockets Layer). Metodo de cifrado presente enlos navegadores web y servidores http. Suele utilizarse en lascompras online, para la transmision de datos sensibles como elnumero de tarjeta de credito, . . .
PGP (Pretty Good Privacy) y S/MIME. Ambos metodos sonempleados para incrementar la seguridad en el intercambio decorreos electronicos.
Ssh (Secure Shell Client). Alternativa segura para el accesoremoto a servidores tipo UNIX. Reemplazo del protocolotelnet.
VPN (Virtual Private Network). Estas redes envıan lainformacion cifrada desde una red local a otra situada en unaubicacion geograficamente lejana a traves de Internet.
Seguridad en Informatica II
Herramientas de Monitoreo de red
1 Redes de Computadoras
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de redNtop
Seguridad en Informatica II
Herramientas de Monitoreo de red
Ntop
1 Redes de Computadoras
2 Analisis de Trafico de Red
3 Herramientas de Monitoreo de redNtop
Seguridad en Informatica II
Herramientas de Monitoreo de red
Ntop
Definicion
NTOP (Network TOP)
Herramienta que permite monitorear en tiempo real una red.
Posee un microservidor web.
Protocolos que es capaz de monitorizar:
TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk,Netbios, y ya dentro de TCP/UDP es capaz de agruparlos porFTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS,X11.
Seguridad en Informatica II
Herramientas de Monitoreo de red
Ntop
Instalacion y Configuracion
Instrucciones para instalar ntop en Backtrack 5.1R:
1 apt-get install ntop
2 ntop --set-admin-password
3 /etc/init.d/ntop start
Seguridad en Informatica II
Herramientas de Monitoreo de red
Ntop
Interfaz grafica de Ntop
Seguridad en Informatica II
Referencias bibliograficas
Referencias bibliograficas I
Angela Orebaugh.Wireshark & Ethereal Network Protocol Analyzer Toolkit(February 14, 2007)