sábado, 15 de diciembre de 2012

Wireshark Network Analyzer Parte I



Wireshark es un analizador de protocolos open-source (código abierto).Conocido originalmente por Ethereal, su objetivo principal es de análisis de tráfico ademas de ser un excelente aplicación didáctica para el estudio de las telecomunicaciones y para la resolución de problemas de red. (Para hacer este post he tenido que desempolvar algunos pdf que tenia guardados.........Gracias INTECO por el pdf.)

Wireshark implementa una amplia gama de filtros que facilitan la deficinión de criterios de busqueda para los mas de 1150 protocolos soportados actualmente soportados y todo ellos por medio de una interfaz sencilla e intuitiva que permite desglosar por capas cada uno de los paquetes capturados.Gracias a que Wireshark "entiende" la estructura de los protocolos, podemos visualizar los campos de cada una de las cabeceras y capas que componen los paquetes omonitorizados , proporcionando un gran abanixo de posibilidades al administrador de redes a la hora de abordar ciertas tareas en el análisis de tráfico.


Captura de Datos


El primero paso para poder auditar la red sera definir donde analizaremos el tráfico.

Imaginemos un escenario algo común.Nos encontramos en un enterno conmutado formado por varios switches, uno cuantos equipos y un servidor de ficheros.El rendimiento de la red ha disminuido en los ultimos dias y desconocemos la causa....=(

Carecemos de un IDS (Sistema de deteccion de intrusos) que pueda dar la voz de alarma sobre algun ataque o anomalia en la red y sabemos que el servidor de ficheros abastece, en cuanto a tasa de transferencia se refiere, a los equipos de nuestra LAN (Local Area Network) sin problema alguno.Ademas, nuestros equipos de red no cuentan con protocolos como Netflow para poder analizar tráfico remotamente por lo que decidimos utilizar Wireshark. La primera duda que surge es donde instalarlo..mmmm...???




A pesar de parecer lógico instalar Wireshark en el propio servidor de ficheros para analizar el tráfico que transita por el segmento de red, nos encontramos con situaciones en las cuales no podamos tener acceso fisico al servidor o simplemente, por motivos de seguridad , por ejemplos entornos SCADA, no podamos instalar software en el mismo.

En este caso se mostrarn algunas alternativas en el uso de técnicas que permitan llevar a cabo una captura de trafico sin necesitdad de portar Wireshark al propio servidor. La excepcion a esta regla la veremos en el último caso, donde se proponen varios métodos de captura remota en los que si es necesario ejecutar o al menos instalar aplicaciones en el equipo que se quiere monitorizar.


Métodos de Captura de Tráfico.

  • Utilizando un HUB
  • Port Mirroring o VACL (VLAN-BASED ACLS)
  • Modo Bridge
  • Arp Spoof

Remoto Packet Capture


Ademas de los metodos citados anteriormente, existen varias posibilidades para capturar datos de forma remota. Una de ella es mediante RPCAP (Remote Packet Capture System), aunque en este caso sería necesario ejecutar un programa servidor (rpcapd ) junto con las libre´rias en el equipo a monitorizar y un programa cliente desde el cual recuperarán y visualizarán los mismos; en nuestro caso,Wireshack.

Como hemos dicho anteriormente, este método es apropiado para netornos no críticos donde tenemos posibilidad de instalar software en el equipo cuyo tráfico queremos analizar, con el riesgo que ello conlleva para la estabilidad y rendimiento del mismo.


Ahora vamos a pasar a la instalacion de wireshark ...=)



Sitio oficial : http://www.wireshark.org/

Bueno en mi caso voy a utilizar el Wireshark que viene instalado por defecto en BackTrack5R3.....=)


Wireshark...xDD!!!!!!



Ahora el cliente tendra que especificar direccion,puerto, credenciales (en el caso de que asi fuera requerido por el servidor) y la interface desde la cual se desean capturar paquetes. En Wireshark, esto se realiza desde Capture ==> Options y especificando en Interface el tipo Remote.

Vamos a ver esta interfaz donde podemos observar las distintas opciones, ahora le damos click en la opción eth0 .


Ahora nos van a mostrar esta pequeña ventana, en la cual debemos poner nuestra dirección IP (siempre esta por defecto)....Ahora le damos en Ok....Y finalizamos con darle Start.........=D


Yeahhhhh...!!!...Como ustedes pueden observar ahora puedo ver cada paquete de entrada y de salida...=D



A continuación, vamos a describir muy brevemente las áreas mas interesantes que nos muestra Wireshark segun como comienza la toma de datos.



Zona  1 : Es el area de definición de filtros y permite patrones de busqueda para visualizar aquellos paquetes o procolos que nos interesen.

Zona 2 : Se corresponde con la lista de visualizacion de todos los paquetes que se estan capturando en tiempo real. Saber interpretar correctamente los datos proporcionados en esta zona (tipo de protocolo, número de secuencia, flags,marcas de tiempo, puertos , etc.) nos va a permitir, en ciertas ocasiones, deducir el problema sin tener que realizar una auditoria minuciosa.

Zona 3 : Permite desglosar por capas cada una de las cabeceras de los paquetes seleccionados en la zona 2 y nos facilitará movernos por cada uno de los campos de las mismas.

Zona 4 : Es la ultima capa y se representa en formato hexadecimal, el paquete en bruto, es decir, tal como fue capturado por nuestra tarjeta de red.


A continuación vamos a ir a la pestaña View ====>Coloring Rules...


En esta nueva ventana vamos a poder observar los distintos colores para cada protocolo, seria bueno que investigen cada protocolo, ya que pueden estar bajo un ataque y ustedes no tengan conocimiento del ataque por el que estan pasando....=)


Ataques en redes de Área Local.

  • Arp Spoof
  • Port Flooding
  • Ataques DDoS
  • DHCP Spoof
  • VLAN Hopping
  • Análisis de Malware

Grave vulnerabilidad en Twitter 



Creo que con esto es suficiente para hacerles conocer un poco mas acerca de Wireshark.....Es bueno saber algo de teoría , no siempre es utilizar una herramienta y listo, siempre es buena entender como funcionan las cosas....En la segunda parte de este post vamos hablar acerca de los tipos de ataque en Redes Locales.


Bueno creo que con esto finalizamos esta pequeñe post....Y creo que ya no tengo nada mas que adicionar....Asi que me despido y será hasta la próxima.....Nos vemos.





No hay comentarios:

Publicar un comentario