Cert inf seguridad_analisis_trafico_wireshark

Click here to load reader

  • date post

    16-Feb-2017
  • Category

    Education

  • view

    19
  • download

    0

Embed Size (px)

Transcript of Cert inf seguridad_analisis_trafico_wireshark

  • ANLISIS DE TRFICO CON

    WIRESHARK

    INTECO-CERT

    Febrero 2011

  • Anlisis de trfico con Wireshark 2

    Autor: Borja Merino Febrero El Instituto Nacional de Tecnologas de la Comunicacin (INTECO) reconoce y agradece a los siguientes colaboradores su ayuda en la realizacin del informe. Manuel Belda, del CSIRT-cv de la Generalitat Valenciana y Eduardo Carozo Blumsztein, del CSIRT de ANTEL de Uruguay.

    La presente publicacin pertenece al Instituto Nacional de Tecnologa de la Comunicacin (INTECO) y est bajo licencia Reconocimiento-No comercial 3.0 Espaa de Creative Commons, y por ello est permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: http://www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

    http://creativecommons.org/licenses/by-nc-sa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es

    http://www.inteco.es/http://creativecommons.org/licenses/by-nc-sa/3.0/es/http://www.inteco.es/

  • Anlisis de trfico con Wireshark 3

    NDICE

    1. ANLISIS DE TRFICO 4

    2. POR QU WIRESHARK? 5

    3. DNDE REALIZAR LA CAPTURA DE DATOS 6

    3.1. Utilizando un Hub 6

    3.2. Port Mirroring o VACL (VLAN-based ACLs) 7

    3.3. Modo Bridge 8

    3.4. ARP Spoof 8

    3.5. Remote Packet Capture 9

    4. ATAQUES EN REDES DE REA LOCAL 12

    4.1. ARP Spoof 12

    4.1.1. Ejemplo prctico 12

    4.1.2. Mitigacin 14

    4.2. Port Flooding 16

    4.2.1. Descripcin 16

    4.2.2. Mitigacin 17

    4.3. DDoS Attacks 18

    4.3.1. Descripcin 18

    4.3.2. Mitigacin 20

    4.4. DHCP Spoof 23

    4.4.1. Descripcin 23

    4.4.2. Mitigacin 26

    4.5. VLAN Hopping 28

    4.5.1. Ataque de suplantacin del switch 28

    4.5.2. Ataque de etiquetado doble 29

    4.5.3. Mitigacin 30

    4.6. Anlisis de malware 30

    4.6.1. Ejemplo prctico 30

    4.6.2. Mitigacin 33

    5. FILTROS 34

    6. FOLLOW TCP STREAM 39

    7. EXPERT INFOS 41

    7.1. Introduccin 41

    7.2. Interfaz de usuario 41

    7.2.1. Ejecucin 41

    8. USO DE HERRAMIENTAS EXTERNAS 43

    8.1. Snort 43

    8.1.1. Mitigacin 44

    8.1.2. Conversin de formatos 44

    8.2. Scripts 45

    9. GRFICAS 46

    10. CONCLUSIONES 49

    11. FUENTES DE INFORMACIN 50

  • Anlisis de trfico con Wireshark 4

    1. ANLISIS DE TRFICO

    Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una

    prdida del rendimiento de la red que gestiona. En ese caso sabr que no siempre es

    sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas

    apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones,

    incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido

    desconectarse sin motivo aparente.

    En la mayora de ocasiones, las causas de estos problemas tienen un origen no

    premeditado y se deben a una mala configuracin de la red como puede ser tormentas

    broadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otras

    ocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuera

    de servicio un servidor web mediante un ataque DoS, husmear trfico mediante un

    envenenamiento ARP o simplemente infectar los equipos con cdigo malicioso para

    que formen parte de una red zombi o botnet.

    En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar

    las contramedidas necesarias y conseguir una correcta proteccin. En este punto, los

    analizadores de trfico pueden resultar de gran utilidad para detectar, analizar y

    correlacionar trfico identificando las amenazas de red para, posteriormente, limitar su

    impacto. Con tal propsito, existen en el mercado dispositivos avanzados como el

    appliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPS

    basados en hardware de diversos fabricantes. Pero estas soluciones no siempre estn

    al alcance de todas las empresas ya que su coste puede que no cumpla un principio

    bsico de proporcionalidad (el gasto es superior al beneficio obtenido) y, por lo tanto,

    no se justifique su adquisicin.

    Por ello, y para cubrir las necesidades de entidades con infraestructuras tecnolgicas

    ms modestas, INTECO-CERT presenta esta Gua de anlisis de trfico con

    Wireshark. Tiene por objeto sensibilizar a administradores y tcnicos de las ventajas

    de auditar la red con un analizador de trfico, principalmente utilizando la herramienta

    libre Wireshark. Adems, ofrece ejemplos prcticos de ataques en redes de rea local

    bastante conocidos y que actualmente siguen siendo uno de los mayores enemigos en

    los entornos corporativos.

    El presente documento est dividido en una serie de apartados que tratan diversos

    ataques reales llevados a cabo en redes de rea local, como son ARP Spoof, DHCP

    Flooding, DNS Spoof, DDoS Attacks, VLAN Hopping, etc. En ellos se emplea

    Wireshark como herramienta principal de apoyo para ayudar a detectar, o al menos

    acotar en gran medida, los problemas generados por dichos ataques. Asimismo, se

    proponen diversas acciones de mitigacin para cada uno de los casos expuestos.

  • Anlisis de trfico con Wireshark 5

    2. POR QU WIRESHARK?

    Wireshark es un analizador de protocolos open-source diseado por Gerald Combs y

    que actualmente est disponible para plataformas Windows y Unix.

    Conocido originalmente como Ethereal, su principal objetivo es el anlisis de trfico

    adems de ser una excelente aplicacin didctica para el estudio de las

    comunicaciones y para la resolucin de problemas de red.

    Wireshark implementa una amplia gama de filtros que facilitan la definicin de criterios

    de bsqueda para los ms de 1100 protocolos soportados actualmente (versin 1.4.3);

    y todo ello por medio de una interfaz sencilla e intuitiva que permite desglosar por

    capas cada uno de los paquetes capturados. Gracias a que Wireshark entiende la

    estructura de los protocolos, podemos visualizar los campos de cada una de las

    cabeceras y capas que componen los paquetes monitorizados, proporcionando un

    gran abanico de posibilidades al administrador de redes a la hora de abordar ciertas

    tareas en el anlisis de trfico.

    De forma similar a Tcpdump, Wireshark incluye una versin en lnea de comandos,

    denominada Tshark, aunque el presente documento se centrar nicamente en su

    versin grfica. Es importante indicar tambin que las funcionalidades utilizadas en el

    presente informe solo representan una pequea parte de todo el potencial que puede

    ofrecernos Wireshark, y cuyo objetivo principal es servir de gua orientativa para

    cualquier administrador que necesite detectar, analizar o solucionar anomalas de red.

    Pueden existir situaciones en las que Wireshark no sea capaz de interpretar ciertos

    protocolos debido a la falta de documentacin o estandarizacin de los mismos, en

    cuyo caso la ingeniera inversa ser la mejor forma de abordar la situacin.

    Otras herramientas como Snort, OSSIM as como multitud de IDS/IPS permiten alertar

    sobre algunos de los problemas y ataques expuestos en esta gua. No obstante,

    cuando se necesita analizar trfico en profundidad o hay que auditar un entorno en el

    que el tiempo prima, dichas herramientas suelen carecer de la flexibilidad que nos

    ofrece un analizador de protocolos como Wireshark.

  • Anlisis de trfico con Wireshark 6

    3. DNDE REALIZAR LA CAPTURA DE DATOS

    El primer paso para poder auditar la red ser definir dnde analizar el trfico.

    Imaginemos un escenario comn. Nos encontramos en un entorno conmutado

    formado por varios switches, unos cuantos equipos y un servidor de ficheros. El

    rendimiento de la red ha disminuido en los ltimos das y desconocemos la causa.

    Carecemos de un IDS que pueda dar la voz de alarma sobre algn ataque o anomala

    en la red y sabemos que el servidor de ficheros abastece, en cuanto a tasa de

    transferencia se refiere, a los equipos de nuestra LAN (Local Area Network) sin

    problema alguno. Adems, nuestros equipos de red no cuentan con protocolos como

    Netflow para poder analizar trfico remotamente por lo que decidimos utilizar

    Wireshark. La primera duda que surge es dnde instalarlo.

    A pesar de parecer lgico instalar Wireshark en el propio servidor de ficheros para

    analizar el trfico qu