• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
2014-2 Tema 2. Sniffer y Monitores
 

2014-2 Tema 2. Sniffer y Monitores

on

  • 507 views

Tema 2. Seguridad en Informática 2

Tema 2. Seguridad en Informática 2

Statistics

Views

Total Views
507
Views on SlideShare
482
Embed Views
25

Actions

Likes
1
Downloads
14
Comments
0

1 Embed 25

http://aulavirtual.capacitacionentics.com 25

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    2014-2 Tema 2. Sniffer y Monitores 2014-2 Tema 2. Sniffer y Monitores Presentation Transcript

    • Seguridad en Inform´tica II a Seguridad en Inform´tica II a 2. Sniffers y Monitores Francisco Medina L´pez o Facultad de Contadur´ y Administraci´n ıa o Universidad Nacional Aut´noma de M´xico o e Semestre: 2014-2
    • Seguridad en Inform´tica II a Agenda 1 Redes de Computadoras 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a Redes de Computadoras 1 Redes de Computadoras Introducci´n a las Redes de Computadoras o Topolog´ de Red ıas Modelo OSI Dispositivos de red 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a Redes de Computadoras Introducci´n a las Redes de Computadoras o 1 Redes de Computadoras Introducci´n a las Redes de Computadoras o Topolog´ de Red ıas Modelo OSI Dispositivos de red 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a Redes de Computadoras Introducci´n a las Redes de Computadoras o El concepto de red Definci´n o Conjunto de nodos (computadoras y/o dispositivos) conectados entre s´ por medio de cables, se˜ales, ondas o cualquier otro ı n m´todo de transporte de datos, que comparten: e informaci´n (archivos), o recursos (CD-ROM, impresoras, etc.), servicios (acceso a internet, e-mail, chat, juegos), etc.
    • Seguridad en Inform´tica II a Redes de Computadoras Topolog´ de Red ıas 1 Redes de Computadoras Introducci´n a las Redes de Computadoras o Topolog´ de Red ıas Modelo OSI Dispositivos de red 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a Redes de Computadoras Topolog´ de Red ıas Define como est´n conectadas a computadoras, impresoras, dispositivos de red y otros dispositivos. Describe la disposici´n de los o cables y los dispositivos, as´ como las rutas utilizadas ı para las transmisiones de datos. Influye enormemente en el funcionamiento de la red.
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI 1 Redes de Computadoras Introducci´n a las Redes de Computadoras o Topolog´ de Red ıas Modelo OSI Dispositivos de red 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Entendiendo el Modelo Abierto de Interconexi´n (OSI) o Creado por la ISO (Organizaci´n o Internacional para la Estandarizaci´n) o en 1984. Es un modelo de referencia que describe como los protocolos de red y componentes trabajan juntos. Compuesto por 7 capas o funciones, cada una representa un grupo de especificaciones, funciones y actividades relacionadas. ¨ a way to talk about things, not to ıt’s implement them”a a Linus Torvalds - http://kerneltrap.org/node/5725
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Nivel F´ ısico Capa 1 Se encarga de las conexiones f´ ısicas de la computadora hacia la red, tanto en lo que se refiere al medio f´ ısico como a la forma en la que se transmite la informaci´n o Medio f´ ısico: Medios guiados: cable coaxial, cable de par trenzado, fibra ´ptica o (conexi´n cableada) o Medios no guiados: radio, infrarrojos, microondas, l´ser y otras a redes inal´mbricas) a Formas en que se transmite la informaci´n: o codificaci´n de se˜al, o n niveles de tensi´n/intensidad de o corriente el´ctrica, e modulaci´n, tasa binaria, o etc.
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Nivel de Enlace de Datos Capa 2 Responsable de la transferencia confiable de informaci´n a o trav´s de un circuito de transmisi´n de datos. Recibe peticiones del e o nivel de red y utiliza los servicios del nivel f´ ısico. Protocolos: Ethernet o IEEE 802.3, IEEE 802.11 o Wi-Fi, IEEE 802.16 o WiMAX. PPP (Point to point protocol o protocolo punto a punto)
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Nivel de Red Capa 3 Proporciona conectividad y selecci´n de ruta entre dos sistemas de o hosts que pueden estar ubicados en redes geogr´ficamente a distintas. Consigue que los datos lleguen desde el origen al destino. Orientaci´n de conexi´n: o o Datagramas: Cada paquete se encamina independientemente, sin que el origen y el destino tengan que pasar por un establecimiento de comunicaci´n previo. o Circuitos virtuales: los dos equipos que quieran comunicarse tienen que empezar por establecer una conexi´n. o Protocolos de la capa de red: IP (IPv4, IPv6, IPsec), OSPF, IS-IS, BGP, ARP, RARP, RIP, ICMP, ICMPv6, IGMP, DHCP
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Nivel de Transporte Capa 4 Encargado de la transferencia libre de errores de los datos entre el emisor y el receptor, aunque no est´n directamente conectados, e as´ como de mantener el flujo de la red. ı Protocolos de transporte de internet: UDP (protocolo de datagramas de usuario): Este protocolo proporciona una forma para que las aplicaciones env´ ıen datagramas IP encapsulados sin tener una conexi´n. o TCP (protocolo de control de transmisi´n): Se o dise˜´ espec´ no ıficamente para proporcionar un flujo de bytes confiable de extremo a extremo a trav´s de una interred no e confiable
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Nivel de Sesi´n o Capa 5 Proporciona los mecanismos para controlar el di´logo entre las a aplicaciones de los sistemas finales. En muchos casos, los servicios de la capa de sesi´n son o parcialmente, o incluso, totalmente prescindibles.
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Nivel de Presentaci´n o Capa 6 Esta capa se encarga de la representaci´n de la informaci´n, de o o manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres (ASCII, Unicode, EBCDIC), n´meros (little-endian tipo Intel, big-endian tipo Motorola), sonido u o im´genes, los datos lleguen de manera reconocible. a
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Nivel de Aplicaci´n o Capa 7 Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las dem´s capas y define los protocolos a que utilizan las aplicaciones para intercambiar datos. El usuario normalmente no interact´a directamente con el u nivel de aplicaci´n. o Suele interactuar con programas que a su vez interact´an con u el nivel de aplicaci´n pero ocultando la complejidad o subyacente.
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Conjunto de protocolos TCP/IP Definici´n o Conjunto de protocolos de red en los que se basa Internet y que permiten la transmisi´n de datos entre computadoras. o Fueron el resultado del trabajo llevado a cabo por la Agencia de Investigaci´n de Proyectos Avanzados de Defensa o (DARPA) a principios de los 70.
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI El modelo OSI y TCP/IP
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Protocolos TCP/IP
    • Seguridad en Inform´tica II a Redes de Computadoras Modelo OSI Protocolos de nivel Aplicaci´n o FTP (File Transfer Protocol - Protocolo de transferencia de archivos) para transferencia de archivos. DNS (Domain Name Service - Servicio de nombres de dominio). HTTP (HyperText Transfer Protocol) para acceso a p´ginas a web. POP (Post Office Protocol) para correo electr´nico. o SMTP(Simple Mail Transport Protocol). SSH (Secure SHell) TELNET para acceder a equipos remotos.
    • Seguridad en Inform´tica II a Redes de Computadoras Dispositivos de red 1 Redes de Computadoras Introducci´n a las Redes de Computadoras o Topolog´ de Red ıas Modelo OSI Dispositivos de red 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a Redes de Computadoras Dispositivos de red Hub o Concentrador Definci´n o Dispositivo que permite centralizar el cableado de una red y poder ampliarla. Esto significa que dicho dispositivo recibe una se˜al y n repite esta se˜al emiti´ndola por sus diferentes puertos n e Una red Ethernet se comporta como un medio compartido, es decir, s´lo un dispositivo puede transmitir con ´xito a la vez. o e Cualquier paquete de entrada es transmitido a otro puerto (que no sea el puerto de entrada). Permite el sniffeo pasivo
    • Seguridad en Inform´tica II a Redes de Computadoras Dispositivos de red Hub o Concentrador (2)
    • Seguridad en Inform´tica II a Redes de Computadoras Dispositivos de red Switch o Conmutador Definci´n o Dispositivo digital de l´gica de interconexi´n de redes de o o computadores que opera en la capa de enlace de datos del modelo OSI. Su funci´n es interconectar dos o m´s segmentos de red, de o a manera similar a los puentes de red, pasando datos de un segmento a otro de acuerdo con la direcci´n MAC de destino o de las tramas en la red.
    • Seguridad en Inform´tica II a Redes de Computadoras Dispositivos de red Switch o Conmutador2)
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a 1 Redes de Computadoras 2 An´lisis de Tr´fico de Red a a Introducci´n o Modos de captura Sniffers 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Introducci´n o 1 Redes de Computadoras 2 An´lisis de Tr´fico de Red a a Introducci´n o Modos de captura Sniffers 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Introducci´n o Definici´n o Sniffer Componente de software o de hardware, que contado a una red inform´tica es capaz de supervisar todo el tr´fico que se genera en a a la misma y fluye a trav´s de las conexiones. e Su traducci´n literal ser´ “rastreador” o “husmeador”. o ıa Es un elemento capaz de escuchar todo lo que se mueve por la red en la que se encuentra conectado.
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Introducci´n o Herramientas de apoyo a los administradores de redes Los sniffers, eran originalmente, herramientas utilizadas pare encontrar problemas de funcionamiento en una red. En esencia, estas aplicaciones capturan, interpreta y almacenan los paquetes que viajan por la red para analizarlos posteriormente. De esta forma, los administradores de la red dispon´ de una ıan ventana para ver los que est´ ocurriendo en la misma, a permiti´ndoles solucionar o modelizar el comportamiento de la e red mediante la visi´n del tr´fico de paquetes en su forma m´s o a a pura.
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura 1 Redes de Computadoras 2 An´lisis de Tr´fico de Red a a Introducci´n o Modos de captura Sniffers 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura Modo promiscuo Normalmente una tarjeta de red (NIC) de Ethernet descarta cualquier tr´fico que no vaya dirigido a ella o a la direcci´n de a o difusi´n de la red, por lo que el sniffer deber´ hacer que la o a tarjeta entre en un estado especial (modo promiscuo), en el cual recibir´ todos los paquetes que se desplazan por la red. a Una vez que el hardware de la red se encuentra en modo pormiscuo, el software del sniffer puede capturar y analizar cualquier tr´fico que pase por el segmento local de Ethernet. a Esto limita de alg´n modo el alcance de un sniffer, puesto que u no ser´ capaz de captar el tr´fico externo al domino local de a a colisiones de la red ( es decir, m´s all´ de los routers, a a conmutadores u otros dipositivos de segmentaci´n). o
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura Modos de captura
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura Modo Bridge Definici´n o Consiste en un MitM (Man in the Middle), a nivel f´ ısico, donde tendremos un acceso pasivo a todo el caudal de tr´fico. a A trav´s de las herramientas bridge-utils de GNU/Linux o con e un Network Tap Sniffing pasivo
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura Port Mirroring Definici´n o Configuraci´n especial de un switch de comunicaciones que o permite duplicar el tr´fico que es enviado por uno o varios puertos a del switch y replicarlo a un puerto espec´ ıfico. Necesitamos acceso al switch que soporte esta funcionallidad. Llamado modo SPAN en entornos Cisco. M´todo empleado por muchos administradores de red para e instalar un IDS u otras herramientas de monitoreo. Sniffing pasivo.
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura Modo Hub Definici´n o Configuraci´n en la que conectamos un Hub o concentrador al o servidor y al sensor. El concentrador permite el sniffing pasivo.
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura ARP Spoof Definici´n o Construcci´n de tramas de solicitud y respuesta ARP modificadas o con el objetivo de falsear la tabla ARP (relaci´n IP-MAC) de una o v´ ıctima y forzarla a que env´ los paquetes a un host atacante en ıe lugar de hacerlo a su destino leg´ ıtimo.1 M´todo ofensivo. e Se ejecuta con herramientas como ettercap. ettercap -T -M arp:remote /192.168.2.82/ // Sniffing activo. 1 http://es.wikipedia.org/wiki/Spoofing
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Modos de captura arpspoof 1 2 3 4 echo 1 > /proc/sys/net/ipv4/ip forward arpspoof -i wlan0 -t 192.168.1.254 192.168.1.81 Abrir una nueva terminal arpspoof -i wlan0 -t 192.168.1.81 192.168.1.254
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers 1 Redes de Computadoras 2 An´lisis de Tr´fico de Red a a Introducci´n o Modos de captura Sniffers 3 Herramientas de Monitoreo de red
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers tcpdump Definici´n o Herramienta creada para para sistemas UNIX, funciona a trav´s de e l´ ınea de comandos cuya utilidad principal es analizar el tr´fico que a circula por la red. Usos frecuentes: Para depurar aplicaciones que utilizan la red para comunicarse. Para depurar la red misma. Para capturar y leer datos enviados por otros usuarios o equipo.
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Uso b´sico de tcpdump a tcpdump -n -i <interfaz> -s <longitud> Opciones: -n indica a tcpdump que no resuelva las direcciones IP generando nombre de dominio, y los n´meros de puerto u generando nombres de servicio. −i <interfaz> indica a tcpdump que interfaz observar. Los dipositivos ethernet en GNU/Linux suelen denominarse eth0. −s <longitud> indica a tcpdump qu´ parte del paquete e debe guardar. Para ethernet sin uso de VLANS 1515 bites es suficiente. Ejemplo: tcpdump -n -i eth0 -s 1515
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Filtros en tcpdump Tcpdump permite establecer filtros de paquetes con las expresiones l´gicas AND, OR y NOT. o Se puede realizar combinaciones de expresiones con par´ntesis. e Filtros disponibles: Tipo: host red port Direcci´n: o dst (destination) src (source) Protocolos: proto arp, icmp, tcp, udp, http, . . . Longitud: len
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Ejemplos de uso de tcpdump 1 Filtrar los paquetes ARP tcdump not arp 2 Mostrar los paquetes con la direcci´n destino 192.168.2.254 o tcdump dst 192.168.2.254
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Wireshark Definici´n o Antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar an´lisis y solucionar problemas en redes de a comunicaciones, para desarrollo de software y protocolos, y como una herramienta did´ctica para educaci´n.2 a o 2 http://es.wikipedia.org/wiki/Wireshark
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Interfaz gr´fica de Wireshark a
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Interfaz gr´fica de Wireshark (2) a 1 ´ Area de definici´n de filtros, permite definir patrones de o b´squeda para visualizar aquellos paquetes o protocolos que u nos interesen. 2 Corresponde con la vista de visualizaci´n de todos los o paquetes que se est´n capturando en tiempo real. a 3 Permite desglosar por capas cada una de las cabeceras de los paquetes seleccionados en la secci´n 2 y nos o facilitar´ movernos por cada uno de los campos de las mismas. a 4 Formato hexadecimal, el paquete es mostrado en bruto, es decir, tal y como fue capturado por nuestra tarjeta de red.
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Dsniff Definici´n o Colecci´n de herramientas para auditar redes y realizar pentesting o que pasivamente monitorean la red en busca de informaci´n o sensible (como password, e-mail, archivos, . . . . Compuesta por: dsniff filesnarf mailsnarf msgsnarf urlsnarf webspye
    • Seguridad en Inform´tica II a An´lisis de Tr´fico de Red a a Sniffers Protecci´n contra Sniffers o SSL (Security Sockets Layer). M´todo de cifrado presente en e los navegadores web y servidores http. Suele utilizarse en las compras online, para la transmisi´n de datos sensibles como el o n´mero de tarjeta de cr´dito, . . . u e PGP (Pretty Good Privacy) y S/MIME. Ambos m´todos son e empleados para incrementar la seguridad en el intercambio de correos electr´nicos. o Ssh (Secure Shell Client). Alternativa segura para el acceso remoto a servidores tipo UNIX. Reemplazo del protocolo telnet. VPN (Virtual Private Network). Estas redes env´ la ıan informaci´n cifrada desde una red local a otra situada en una o ubicaci´n geogr´ficamente lejana a trav´s de Internet. o a e
    • Seguridad en Inform´tica II a Herramientas de Monitoreo de red 1 Redes de Computadoras 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red Ntop
    • Seguridad en Inform´tica II a Herramientas de Monitoreo de red Ntop 1 Redes de Computadoras 2 An´lisis de Tr´fico de Red a a 3 Herramientas de Monitoreo de red Ntop
    • Seguridad en Inform´tica II a Herramientas de Monitoreo de red Ntop Definici´n o NTOP (Network TOP) Herramienta que permite monitorear en tiempo real una red. Posee un microservidor web. Protocolos que es capaz de monitorizar: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.
    • Seguridad en Inform´tica II a Herramientas de Monitoreo de red Ntop Instalaci´n y Configuraci´n o o Instrucciones para instalar ntop en Backtrack 5.1R: 1 apt-get install ntop 2 ntop --set-admin-password 3 /etc/init.d/ntop start
    • Seguridad en Inform´tica II a Herramientas de Monitoreo de red Ntop Interfaz gr´fica de Ntop a
    • Seguridad en Inform´tica II a Referencias bibliogr´ficas a Referencias bibliogr´ficas I a Angela Orebaugh. Wireshark & Ethereal Network Protocol Analyzer Toolkit (February 14, 2007)