Por supuesto que instalar un sniffer en la misma máquina que puede estar comprometida, no garantiza que el resultado obtenido sea confiable.
Por lo tanto ante las sospechas, lo mejor es instalar otra máquina, con un livecd o una una máquina con una instalación standard pero con un cable de red que solo permita el ingreso de la informacion.
Hay varias herramientas que nos pueden ayudar a ver el trafico de nuestra red, voy a nombrar algunas de las mas interesantes :
Tcpdump
La herramienta de sniffing tal vez mas utilizada, tal vez un poco incomoda para trabajar en tiempo real cuando tenemos mucho trafico. Recomendable para el filtrado manual de los paquetes o para generar archivos de salida que luego pueden ser manejados con herramientas gráficas.
Wireshark
Es "el" analizador de protocolos open source mas utilizado, dada su interfaz gráfica y la facilidad de aplicar filtros, nos permite fácilmente concentrarnos en los paquetes mas interesantes.
Igual que Tcpdump, cuando tenemos mucho trafico es recomendable saber exactamente que buscamos porque el volumen de paquetes puede hacer imposible el trabajo.
Esta herramienta puede tomar como entrada los archivos generados por tcpdump o generar archivos pcap que seran utilizados por otras herramientas.
A diferencia de tcdump, este programa puede ejecutarse en Windows, sin instalar ambientes especiales.
http://www.wireshark.org
Etherape
Esta es una herramienta muy interesante, ya que nos permite ver en forma gráfica el trafico que circula en nuestra red ,mostrando la relacion cliente servidor. Mediante colores y diferentes tamaños nos da una pauta del volumen y el tipo de conexion.
Se pueden aplicar filtros para concentrarse en un equipo o protocolo y también acepta archivos pcap de entrada.
http://etherape.sourceforge.net
Ntop
A diferencia de los anteriores, ntop es una herramienta que actua como sniffer pero con esteroides. Puede trabajar en modo cliente servidor.
Ntop gráfica todo el trafico de la red de manera de poder observar el comportamiento de cada host. Donde se conecto y quien se conecto a el.
Estadísticas de protocolo, servidores y puertos.
http://www.ntop.org/
Networkminer
Cuando hablamos en el post "Todo el dia con el pico y la pala" dijimos:
NetworkMiner es una herramienta que permite hacer sniffing de los paquetes de red, hasta aqui nada que no pueda hacer Wireshark o Tcpdump. Pero lo bueno es que el decodifica los paquetes y puede extraer el sistema operativo, sessions, hostnames, open ports y ademas los reconstruye pudiendo uno ver las imágenes de una session http, ftp o SMB.
Esta herramienta solo se ejecuta en Windows.
http://sourceforge.net/projects/networkminer/
A excepcion de la ultima , las demas herramientas estan nombradas en el sitio insecure.org, puntualmente en el siguiente link :
http://sectools.org/sniffers.html
Ya contamos con las herramientas necesarias, lo próximo que haremos sera ( si es posible ) reiniciar el equipo que nos interesa observar y ver el trafico que genera o el trafico que le llega.
Yo trabajaría con un tandem de herramientas : Ntop+Etherape +Whireshark
Ntop nos dara una vision global de la red y nos detallara el volumen de datos que maneja cada equipo y que puertos estan activos.
Esta es una herramienta para dejar ejecutándose durante varias horas.
Si el equipo que estamos investigando tiene un volumen de paquetes icmp elevado, se conecta a varios servers en puertos no standard, o tenemos mucho trafico smtp, posiblemente estamos ante la presencia de una posible infeccion.
Como dijimos, Ntop nos da una vision global. Etherape nos puede ayudar a ver rápidamente el comportamiento de un equipo.
La idea es iniciar el equipo a investigar y no interactuar con el. Etherape graficara todas las conexiones IP que puedan surgir por causa de servicios o programas ejecutándose cuando se carga un perfil de usuario.
Si vemos que la máquina genera muchísimas conexiones, o conexiones contra servidores que no conocemos. Entonces es tiempo de pasar a la ultima herramienta.
Whireshark nos va a permitir ver el corazón de los paquetes. Siempre que los estos no se encuentren encriptados, podemos ver el contenido y la secuencia que ocurrió al momento de negociarse el protocolo.
Todas estas herramientas son pasivas, es decir no generan trafico en la red y con la ayuda de nuestro cable aumenta la posibilidad de no ser detectados.
En mi caso cada cierto tiempo apago la red de casa, conecto los sniffers y observo el trafico, mediante Etherape. Si veo algo sospechoso, lo verifico contra Whireshark.
Hay un libro que mencione en este post
- Network Intrusion Detection (3rd Edition) (Voices (New Riders)) by Stephen Northcutt and Judy Novak
- Intusion Signatures and Analysis by Matt Fearnow (Author), Stephen Northcutt (Author), Karen Frederick (Author), Mark Cooper (Author)
Como dijo Peter Drucker no se puede gerenciar lo que no se puede medir. Nosotros tenemos que poder entender el trafico de nuestra red y tener un baseline con el trafico normal. Programas como P2P generan mucho ruido y pueden dar lugar a la confusion.
Incluso existe tecnicas de covert channel que no son faciles de detectar. Por eso es interesante practicar esto y hacerlo a menudo nos ayudara a reducir la posibilidad de ser engañados.
No comments:
Post a Comment