1

- Seguridad Informática - Herramientas de monitoreo de red -

El monitoreo de la red es un mecanismo preventivo y de control para detectar y

solucionar problemas diversos. Uno de esos problemas puede ser el ruido en la línea, el
cual provoca errores (como direcciones falsas de nodos, etc.).

A continuación se presentarán algunas herramientas que pueden ayudar a mejorar el

nivel de seguridad de una red.

Existe un gran número de herramientas de monitoreo en el mercado, las cuales se

diferencian en distintos aspectos. En dependencia de los objetivos que se persigan una u
otra herramienta podrá resultar más idónea en correspondencia con su funcionamiento y
las preferencias de los administradores.

Las herramientas pueden dividirse en dos tipos: aquellas que alertan las conexiones no
deseadas y que permiten hacer un seguimiento de éstas, así como poder decidir sobre
qué conexiones deben permitirse y cuales no (herramientas de control y seguimiento de
accesos) y aquellas que se ocupan de la seguridad del sistema (herramientas que
chequean la integridad del sistema), para detectar el asalto a un sistema y determinar el
alcance de los posibles daños.

- Herramientas de control y seguimiento de accesos

Estas herramientas permiten obtener información (mediante ficheros de trazas) de todos
los intentos de conexión que se produzcan en el sistema o sobre otro que se indiquen, así
como intentos de ataque de forma sistemática a puertos tanto de TCP como de UDP
(herramientas de tipo SATAN).
Este tipo de herramientas permiten tener control sobre todos los paquetes que entran
por el interfaz de red de la máquina: IP (TCP, UDP) e ICMP, o analizando paquetes a
nivel de aplicaciones (TELNET, FTP, SMTP, LOGIN, SHELL...).
Estas herramientas pueden ser utilizadas junto con otras que permitan definir desde qué
máquinas se permiten ciertas conexiones y de cuales se prohíben.
Algunas de estas herramientas no necesitan estar instaladas en la máquina que se quiere
controlar (ya que se puede instalar en una máquina cuyo interfaz de red funcione en
modo promiscuo, permitiendo seleccionar la dirección IP o máquina que se quiera
auditar).
Algunas pueden tener un doble uso, es decir ofrecen protección ante posibles ataques,
pero también podrían ser utilizadas para intentar comprometer sistemas. Por eso es
importante que el uso de estas herramientas esté restringido (en la manera que se
pueda) para que personal no autorizado no pueda utilizarlas de forma aleatoria y se
oculte realmente un ataque. También podrán ser utilizadas para hacer seguimientos en la
red cuando se sospeche que alguna de las máquinas en la red ha sido comprometida.

Las herramientas que permiten este tipo de actividad son:

Achilles netlog
AirSnort Network Stumbler
argus NGrep
arpwatch Nikto
Bastille nocol
Brutus NTop
Cain & Abel OpenBSD
cheops / cheops-ng OpenSSH / SSH
courtney OpenSSL
Crack / Cracklib Perl / Python
dig pf
DSniff pstools
etherape putty
Ethereal pwdump3
 2

Ettercap Retina
Firewalk SAINT
Fping Sam Spade
Fport SARA
Fragroute SATAN
gabriel Shadow Security Scanner
GFI LANguard snoop
GnuPG / PGP Snort
hfnetchk SolarWinds Toolsets
Honeyd SPIKE Proxy
Hping2 Stunnel
ISS Internet Scanner SuperScan
IpTraf tcp-wrapper
John the Ripper TCPDump / WinDump
Kismet tcplist
LIDS tcpreplay
LibNet TCPTraceroute
L0phtCrack 4 TCT (The Coroner's Toolkit)
N-Stealth THC-Amap
NBTScan Tripwire
Nemesis Visual Route
Nessus Whisker/Libwhisker
Netcat Winfingerprint
Netfilter XProbe2
- Zone Alarm

- Herramientas que chequean la integridad del sistema

Estas herramientas ayudan a proteger el sistema.
Algunas se basan en el chequeo a los ficheros y otras alertan de posibles modificaciones
de ficheros y de programas "sospechosos" que puedan estar ejecutándose en la máquina
de forma camuflada. Ejemplos:

chklastlog lsof (List Open Files)

chkwtmp noshell
COPS (Computer Oracle and osh (Operator Shell)
Password System)
cpm (Check Promiscuous Mode) spar
crack tiger
ifstatus Tripwire