Luis Alberto Rosas Jaime

INTRODUCCION

En esta presentacin hablaremos de los Sniffers, que son software que

permiten capturar tramas de la red.

Investigaremos y explicaremos ms sobre su definicin, sus caractersticas o

forma de operar, de ventajas y desventajas, sobre como se lleva a cabo la
instalacin, la interfaz de usuario, herramientas Administrativas de los
diferentes tipos de Sniffers como son:

MRTG

IP_TRAF

SNORT

WIRE_SHARK

TCP DUMP

Que es un Sniffer?

Es un programa que puede mirar la informacin en trnsito en una red y

obtener informacin de esta.

Es un software que se encarga de capturar paquetes en trnsito (entrada y

salida) en una cierta red y analizarlos.

Son tambin los motores para otros programas. Los llamados Sistemas de
Deteccin de Intrusos (IDS) utilizan Sniffers para localizar paquetes que
coincidan con las reglas designadas para marcar algo como malicioso o
extrao

Snort
Definicion

Es una completa herramienta de seguridad basada en cdigo abierto

para la creacin de sistemas de deteccin de intrusos en entornos de
red.

Cuenta con una gran popularidad entre la comunidad de

administradores de redes y servicios. Gracias a su capacidad para la
captura y registro de paquetes en redes TCP/IP.

Snort puede ser utilizado para implementar desde un simple Sniffer de

paquetes para la monitorizacin del trafico de una pequea red, hasta
un completo sistema de deteccin de intrusos en tiempo real.

Snort
Caractersticas

Destacan la captura del trafico de red, el anlisis y registro de los paquetes

capturados y la deteccin de trafico malicioso o deshonesto.

Esta formado por un conjunto de componentes, la mayora de los cuales son

plug-ins que permiten la personalizacin de Snort.

Destacan los preprocesadores, que permiten que Snort manipule de forma

ms eficiente el contenido de los paquetes antes de pasarlos al elemento de
deteccin, y su sistema de notificaciones y alertas basados en plug-ins, que
permiten que la informacin reportada pueda ser enviada y almacenada en
distintos formatos y siguiendo distintos mtodos.

Snort
Caractersticas

Puede funcionar en:

Modo Sniffer, en el que se motoriza por pantalla en tiempo real toda la

actividad en la red en que Snort es configurado.

Modo packet logger (registro de paquetes), en el que se almacena en un

sistema de log toda la actividad de la red en que se ha configurado Snort para
un posterior anlisis.

Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log,

toda la actividad de la red a travs de un fichero de configuracin en el que
se especifican las reglas y patrones a filtrar para estudiar los posibles
ataques.

Snort
Caractersticas

Permitir la captura y el preprocesador del trafico de la red a travs de los

dos primeros componentes:

Decodificador de paquetes

Preprocesador

Realizando posteriormente un chequeo contra ellos mediante el motor de

deteccin (segn el conjunto de reglas activadas) y generando, por parte del
ultimo de los componentes, las alertas y los informes necesarios.

Snort
Caractersticas

La arquitectura central de Snort se basa en los siguientes cuatro

componentes:

Decodificador de paquetes o Sniffer

Preprocesador

Motor de deteccin

Sistema de alertas e informes

Snort
Caractersticas

Tiene
una base de datos de ataques que se est actualizando
constantemente y a la cual se puede aadir o actualizar a travs de la
Internet.

Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos
ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as
todos los usuarios de Snort se puedan beneficiar.

Snort
Ventajas

Una subred completa puede ser cubierta por un IDS

Tericamente indetectables

Mnimo impacto a la red

Permiten detectar ataques DOS

Independencia del ambiente operativo

Livianos y Fciles de implementar

Snort
Desventajas

Generacin de falsos positivos

No pueden analizar trfico cifrado

Son tan efectivos como la ltima actualizacin de

patrones

Alta latencia entre el ataque y la notificacin

Dificultad para realizar anlisis en redes congestionadas

No indican si un ataque ha sido exitoso o no

Snort
INSTALACIN Y CONFIGURACIN

La instalacin se realiz en una distribucin Linux por medio de la terminal de

lnea de comandos.

Se siguieron los siguientes pasos:

1. Abrir una terminal

2. Escribir el comando de instalacin de paquete sudo apt-get install Snort

Dando permisos de super usuario para poder realizar la instalacin (debido al

sistema de permisos utilizado por las distribuciones de Linux), escribiendo la
contrasea en la siguiente lnea.

En seguida se iniciar la instalacin.

Snort
INSTALACIN Y CONFIGURACIN

A continuacin pedir la siguiente opcin de configuracin

Snort
INSTALACIN Y CONFIGURACIN

A continuacin pedir la siguiente opcin de configuracin

En este paso pide la direccin de red local (la cual va a ser la que se estar
monitoreando). En este punto puede haber 3 opciones de configuracin:

Si es una nica direccin se colocar con mscara de sub red /32

Si es un bloque de 256 IPs se utilizar la mscara /24

Si es una red ms amplia se utilizar la mscara /16

Snort
INSTALACIN Y CONFIGURACIN

Una vez finalizado el proceso de instalacin se puede realizar la configuracin

completa por medio del comando.

Lo cual har que se pidan las configuraciones, que sern guardadas en el

archivo /etc/snort/snort.debian.conf

Snort
INSTALACIN Y CONFIGURACIN

Preguntar que opcin de arranque se desea configurar:

Se ve explicado claramente qu es cada tipo de arranque. En este caso se

escoger la configuracin del arranque manual.

Snort
INSTALACIN Y CONFIGURACIN

Siguiente viene una ventana de explicacin de lo que ser el prximo

requisito a pedir, la interface de red que se escanear.

Snort
INSTALACIN Y CONFIGURACIN

Se explica que se puede utilizar el siguiente comando para encontrar la

interface.

Con lo cual se nota que la interface necesaria en la wlan0 (ya que la conexin
se est realizando de manera inalmbrica).

Snort
INSTALACIN Y CONFIGURACIN

En la siguiente opcin se escribe la interface obtenida en la anterior

instruccin.

Snort
INSTALACIN Y CONFIGURACIN

Ahora se deber escribir la direccin de red que se desea escanear (paso

similar al realizado durante la instalacin, paso 3).

Snort
INSTALACIN Y CONFIGURACIN

Opcin de habilitar o deshabilitar el Modo promiscuo

Snort
INSTALACIN Y CONFIGURACIN

Modo Promiscuo significa que se analizar todos los paquetes que pasen por el
segmento aunque no sean de una conexin propia.

Snort
INSTALACIN Y CONFIGURACIN

Recibir resmenes electrnicos por correo de las alertas encontradas.

Snort
INSTALACIN Y CONFIGURACIN

Se especifica el correo electrnico en que se desea recibir los resmenes

diarios.

Snort
INSTALACIN Y CONFIGURACIN

Ahora se pregunta la cantidad de informes que se incluyen por alerta

Snort
INSTALACIN Y CONFIGURACIN

Finalmente la solicitud del comando al finalizar para recargar las

configuraciones hechas.

Una vez finalizado el asistente de configuracin, se ejecuta el comando

mostrado en la anterior instruccin

Snort
INTERFAZ DE USUARIO

Es bsicamente un conjunto de scripts escritos en PHP que proporcionan una

interfaz entre un navegador web y la base de datos donde Snort ira
almacenando las alertas.

Aunque se trata de una herramienta aun en construccin, su desarrollo

cuenta ya con ms de cuatro aos de experiencia.

Durante este tiempo, ACID se ha convertido en una herramienta muy potente

para la consolidacin y el anlisis de alertas generadas por Snort.

Aunque inicialmente ACID fue pensado para procesar nicamente informacin

reportada por Snort, actualmente ACID es independiente de la base de datos
de Snort y puede procesar informacin de otros productos.

Snort
INTERFAZ DE USUARIO

Decodificacin y visualizacin de paquetes TCP/IP.

Creacin de diagramas y estadsticas basadas en fechas, horas, firmas,

protocolo, etc.

Interfaz para la realizacin de bsquedas y creacin de consultas. Los

resultados de estas acciones se devolvern de forma estructurada con
informacin para facilitar la comprensin de las alertas lanzadas por
Snort.

Gestin de alarmas. Se proporciona la posibilidad de crear grupos de

alarmas lgicos, donde almacenar la informacin de los incidentes que
sean necesario destacar.

Snort
INTERFAZ DE USUARIO

La estructura de ACID es multinivel y fcilmente escalable. Puede ser

utilizado tanto en un sistema aislado de la red, como con distintos equipos
repartidos en diferentes capas de la red. La siguiente figura muestra la parte
lgica del sistema:

Snort
Herramientas Administrativas

Backdoor: en un sistema informtico es una secuencia especial dentro del

cdigo de programacin, mediante la cual se pueden evitar los sistemas de
seguridad del algoritmo (autentificacin) para acceder al sistema.

Netcat: Es una de las herramientas de hacking y administracin de redes que

puede ser empleada para abrir puertas traseras as como emplearla para
protegerse de ellas.

Ddos: Es un ataque a un sistema de computadoras o red que causa que un

servicio o recurso sea inaccesible a los usuarios legtimos.

Finger: Es un protocolo que proporciona informacin de los usuarios de una

mquina, estn o no conectados en el momento de acceder al servicio.

FTP: Es un protocolo de red para la transferencia de archivos entre sistemas

conectados a una red TCP, basado en la arquitectura cliente-servidor.

Snort
Versin 2.9.7.0 (Caractersticas)

Incluye una nueva caracterstica importante para la identificacin de

aplicaciones, nuestra capacidad OpenAppID.

Aplicacin de identificacin de preprocesador.

Nueva opcin regla palabra clave "APPID 'que se puede utilizar para restringir
reglas de Snort basado en uno o ms aplicaciones que se identifican para la
conexin.

Una nueva opcin protected_content regla que se utiliza para que coincida
contra un contenido que hash.

Flushing (PAF) mejoras Aware Protocolo para SMTP, POP e IMAP para procesar
con mayor precisin las diferentes partes de los mensajes de correo
electrnico y archivos adjuntos.

Snort
Versin 2.9.7.0 (Caractersticas)

Capacidad de probar el comportamiento de normalizacin sin modificar

Aadido trfico de red. Cuando configura mediante na_policy_mode: inlinetest, estadsticas se recogern en normalizaciones de paquetes que tendran
producido, lo que permite las pruebas menos perjudicial de los despliegues en
lnea.

Se ha aadido soporte mejorado XFF a HttpInspect.

Se ha aadido soporte adicional para la deteccin Heartbleed dentro del SSL

preprocesador para mejorar el rendimiento.

Extensiones mximo IP6 decodificados es ahora configurable.

Actualizacin de respuesta activa para permitir respuestas de 1500+ bytes

que abarcan mltiples paquetes TCP.

Mejora el rendimiento de preprocesador Reputacin IP.

Mejora el rendimiento de FTP reensamblaje.

WIRESHARK
Definicion

Es una herramienta multiplataforma con interfaz grfica para el anlisis de

red, producto de la evolucin de Ethereal. Incluye la herramienta Tshark en
modo consola para capturas, anlisis de red, entre otras posibilidades. Al usar
las librerias pcap, su uso es similar a Tcpdump y Windump.

Este permite ver, aun nivel bajo y detallado, consultar todo lo que esta
ocurriendo en la red.

Es open source y multiplataforma.

Se utiliza a menudo como mejor opcin al momento de auditar redes

usualmente redes Ethernet y es compatible con algunas otras.

WIRESHARK
Caractersticas

Disponible para Linux y Windows

Captura de paquetes en vivo desde una interfaz de red

Muestra los paquetes con informacin detallada de los mismos

Abre y guarda paquetes capturados

Importar y exportar paquetes en diferentes formatos

Filtrado de informacin de paquetes

Resaltado de paquetes dependiendo el filtro

Crear estadsticas

WIRESHARK
Utilizacin frecuente de Wireshark

Administradores lo usan para resolver problemas en la red

Ingenieros lo usan para examinar problemas de seguridad

Desarrolladores lo usan para depurar la implementacin

de los protocolos de red

Estudiantes los usan para aprender internamente cmo

funciona una red

WIRESHARK
Ventajas

Admite el formato estndar de archivos tcpdump

-Se provee bajo la licencia GPL

-Trabaja tanto en modo promiscuo como en modo no promiscuo

-Es compatible con ms de 480 protocolos

-Puede capturar datos de la red o leer datos almacenados en un archivo (de

una captura previa)

-Basado en la librera pcap-Posee capacidades de filtrado muy extensas.

-Puede leer archivos de captura de ms de 20 productos

-Reconstruccin de sesiones TCP

-Se ejecuta en ms de 20 plataformas

WIRESHARK
Desventajas

Puede ser muy difcil de descifrar la informacin que

transita en la red, sin embargo para usuarios con mas
experiencia puede ser mas fcil identificar que es lo que
esta transitando exactamente, quien enva la informacin
y quien la recibe.

Confusin en el switch pudiendo provocar sensible prdida

de paquetes en momentos de mucho trfico.

WIRESHARK
Instalacin y Configuracin

Para instalar Wireshark en nuestro Debian, lo podremos

hacer desde la terminal ya que el programa est
disponible en los repositorios de Wheezy:

WIRESHARK
Instalacin y Configuracin

Ok, ahora cabe hacer un sealamiento cuando corremos Wireshark, es

necesario tener permisos de administrador (root) para poder realizar la
captura de paquetes, lo cual se logra al establecer nuestra la NIC (tarjeta de
red, puede ser ethernet o wifi) en modo promiscuo. Podemos correr
Wireshark desde la consola (aunque tambin se crea un enlace en eel men
de Aplicaciones > Internet):

WIRESHARK
Instalacin y Configuracin

Al correrlo por primera vez, es probable que nos encontremos con el siguiente
error:

La razn es que correr un programa tan grande como lo es Wireshark, con

permisos de root, no es una buena prctica y no es seguro. La solucin la
podemos encontrar si revisamos el manual al que nos enlaza el mensaje de
error:

WIRESHARK
Mtodo 1 para configuracin
Entonces, la mejor prctica sera manejar permisos separados. Podemos ajustar
sta configuracin ejecutando lo siguiente desde la terminal y como root:

Nos aparecer un mensaje como el siguiente:

WIRESHARK
Mtodo 1 para configuracin
Seleccionamos <S> y tecleamos Enter, al hacer esto se habr creado el grupo de
usuarios Wireshark, el cual le brinda permisos de root a dumpcap, finalmente
solo bastara con asignar los usuarios que queramos puedan ejecutar Wireshark
con stos privilegios, para hacerlo desde la terminal ejecutamos:

WIRESHARK
Mtodo 2 para configuracin

Si queremos hacerlo un poco ms manual podemos asignar los permisos y

crear el grupo nosotros mismos, la idea es dar a dumpcap los permisos de
root. Podemos hacer lo siguiente desde la terminal:

WIRESHARK
Mtodo 2 para configuracin

Una vez hechas stas configuraciones, podemos correrlo como usuario normal
ejecutando:

Y listo, nuestro Wireshark ya est listo para utilizarse. Si queremos conocer

nuestras interfaces de red, podemos ejecutar:

WIRESHARK
Interfaz de usuario

Est principalmente dividida en las siguientes secciones :

Barra de herramientas: Muestra todas las opciones a realizar sobre la pre y pos captura.

Barra de herramientas principal: Estn las opciones ms usadas en Wireshark.

Barra de filtros: rea donde se aplican filtros a la captura actual de manera rpida

Listado de paquetes: Muestra un resumen de cada paquete que es capturado por

Wireshark

Panel de detalles de paquetes: Una vez seleccionado un paquete en el listado de

paquetes, muestra informacin detallada del mismo.

Panel de bytes de paquetes: Muestra los bytes del paquete seleccionado, y resalta los
bytes correspondientes al campo seleccionado en el panel de detalles de paquetes.

Barra de estado: Breve informacin acerca del estado actual de Wireshark y la captura.

WIRESHARK
Herramientas Administrativas

Wincap: Permite a las aplicaciones capturar y trasmitir los paquetes de red

puenteando la pila de protocolos; y tiene tiles caractersticas adicionales
que incluyen el filtrado de paquetes a nivel del ncleo, un motor de
generacin de estadsticas de red y soporte para captura de paquetes
WinPcap consiste en un controlador, que extiende el sistema operativo para
proveer acceso de red a bajo nivel, y una biblioteca que se usa para acceder
fcilmente a las capas de red de bajo nivel.

Tshark: Es un analizador de protocolos de red. Permite capturar paquetes de

datos desde una red en vivo, o leer los paquetes desde un archivo de captura
previamente guardado, o imprimir un formulario descifrado los paquetes o
escribir los paquetes en un archivo

WIRESHARK
Versin 1.12.2

Los siguientes vulnerabilidades han sido corregidos.

SigComp UDVM desbordamiento de bfer.

Accidente AMQP.

PNC se bloquea.

TN5250 bucles infinitos.

Los siguientes errores han sido corregidos:

Determinar los paquetes de protocolo MMS como paquetes de protocolo T.125. ( 10350 Bug )

Cabeceras 6LoWPAN malla no tratados como la encapsulacin de direcciones. ( 10462 Bug )

Captura de archivos desde una interfaz virtual remoto en MacOS X 10.9.5 no se disecan
correctamente. ( 10502 Bug )

Problema especificando el nombre del protocolo para el filtrado. ( 10509 Bug )

LLDP TIA Policy Network Desconocido Poltica Bandera Decode no es correcto. ( 10512 Bug )

Conclusiones

Luis Alberto Rosas Jaime

Que un Sniffer es una herramienta de gran utilidad para la administracin de una

red que nos permite brindar una mayor seguridad y funcionalidad a una red y que
tambin puede ser utilizada de manera inapropiada.