Analizar el trfico de tus equipos puede ayudarte a resolver posibles problemas de seguridad y, cmo no, tambin a detectar ataques.

En este prctico descubrirs qu herramientas puedes utilizar y cmo debes emplearlas para reforzar tu infraestructura de red.

Nivel: Avanzado
La tecnologa Ethernet es, sin duda, la ms utilizada en la actualidad en las redes de rea local tanto en el mbito empresarial como en el domstico. Como pasa con muchos inventos, sus creadores no pensaron que pudiera convertirse en estndar en un futuro, y no fue diseada pensando en su popularizacin ni en su escalabilidad. Hace unos 30 aos un adaptador de red Ethernet costaba el equivalente a unos dos mil euros, y los ordenadores conectados dentro de una empresa no eran tan numerosos como para pensar que la seguridad de la red fuera un asunto importante. El problema principal de seguridad de la tecnologa Ethernet es que no tiene un mtodo de autentificacin de red. Cada adaptador de red (NIC o Network Interface Card) tiene un identificador de direccin MAC nico (MAC o Media Access Control). Cuando utilizamos el protocolo TCP/IP sobre Ethernet, cada adaptador se asocia a una direccin IP que identifica tambin al mismo, con lo cual tenemos dos identificadores diferentes para un mismo adaptador de red a diferente nivel de red. Precisamente, para poder asociar correctamente el trfico en la red entre direcciones IP y MAC se cre el protocolo ARP (Address Resolution Protocol). Pero esto es solo el principio.

Para detectar ataques piensa como un hacker

La labor de un buen responsable de seguridad de red es ponerse en la cabeza del mejor hacker que pueda imaginar y realizar toda la batera de pruebas posibles de ataques a su territorio de red. Veamos cules son.

1. Reconoce el objetivo
Lo primero que hace un hacker es fijar un objetivo y analizarlo. Por ejemplo, los servidores de una empresa o sus sitios web, que suelen tener IPs fijas y dominios asociados. En el caso de un ataque a un particular concreto, la identificacin del mismo en la Red se complica, ya que las IPs pblicas de los routers domsticos suelen ser dinmicas. Para ello tratar de identificar las IPs de los equipos vivos enviando paquetes ICMP (Internet Control Message Protocol) que indican si un dispositivo est activo en la Red (por su IP) o un servicio est disponible (por los puertos TPC o UDP abiertos). De este paso obtendr un listado de IPs y puertos abiertos por cada IP.

2. Tcnicas de compromiso
Esta fase es la ms desafiante para un hacker. Tratar de detectar las vulnerabilidades en los sistemas que ha detectado en el paso anterior para comprometerlos. Para ello buscar documentacin en Internet sobre vulnerabilidades ya detectadas por los fabricantes de software y hardware para tratar de facilitarle la tarea. No todo el mundo instala las actualizaciones que corrigen las vulnerabilidades de sistemas, con lo cual son vctimas preferentes de un hacker, ya que son objetivos fciles. Detectar las vulnerabilidades le permitir intentar conseguir el mayor objetivo, que es tomar el control del sistema a travs de un usuario de tipo administrador que tiene todos los privilegios en el sistema. En ocasiones no lo conseguir en primera instancia, pero a travs de otros objetivos secundarios (como, por ejemplo, obtener una lista de usuarios o acceder a travs de una cuenta de invitado) podr llegar a descubrir otras vulnerabilidades que le llevarn a conseguir el ansiado acceso en modo administrador. La mayora de los casos de robo de informacin en empresas se realiza desde dentro de la propia red, y no a travs del usuario administrador, sino de cuentas de usuario que tienen acceso a la informacin privilegiada.

3. El ataque preliminar
Una vez con el sistema comprometido, el hacker realizar la actividad que le ha llevado a atacar el sistema, desde el robo de informacin confidencial y contraseas de todo tipo, el borrado o modificacin de informacin hasta la desconexin del sistema. Por ejemplo, los sistemas operativos guardan una lista de usuarios y contraseas en archivos que el hacker podr descargar para, despus, descifrar esta informacin con herramientas especficas, y as tener acceso a todas las cuentas del sistema. En muchas ocasiones esta tarea es muy fcil, ya que muchos usuarios guardan la informacin de acceso a diferentes servicios (usuario y contrasea) en archivos de texto en su carpeta de usuario.

Otra actividad que podr realizar en busca de informacin es la instalacin de una aplicacin que registre pulsaciones de teclas guardndolas en un archivo o envindolas a un sistema remoto. Por ltimo, tambin podr capturar el trfico de la red utilizando un sniffer.

4. Borrado del rastro y ocultacin

Los sistemas mantienen mltiples registros (logs) con los que un administrador de red puede detectar una actividad sospechosa. Tambin existen sistemas de deteccin de intrusiones (IDS, Intrusion Detection System) que pueden dar la alerta ante ciertos patrones de actividad en la red o en un sistema. Por ello, el hacker tratar de ocultar su actividad desactivando los IDS y los sistemas de registro de actividades, o borrando las entradas de estos archivos log correspondientes a su actividad para no levantar sospechas.

Instala y usa un analizador de paquetes

Para analizar el trfico en tu red puedes utilizar la aplicacin Wireshark. Aunque ya hemos tratado esta aplicacin en otras ocasiones, la utilizaremos de nuevo, ya que est disponible en mltiples plataformas, como UNIX, Windows de 32 y 64 bits, en formato portable y Mac OS X Intel/PowerPC de 32 y 64 bits. Adems, es gratuita.

5. Descarga la aplicacin
Puedes bajar Wireshark de su pgina web oficial, en la direccin www.wireshark.org/download.html. Automticamente detectar tu sistema y te propondr la versin recomendada.

6. El proceso de instalacin
Si realizas la instalacin en entorno Windows, en el proceso se instalar la ltima versin estable del controlador y las bibliotecas de captura de paquetes WinPcap. Si en un futuro deseas actualizar estas bibliotecas, en su sitio web oficial puedes descargar la ltima versin (www.winpcap.org/install/default.htm). En el caso de la instalacin en Windows ser necesario reiniciar el sistema.

7. Analiza y adapta tu red

Para que Wireshark funcione adecuadamente debes conocer tu infraestructura de red. Ya conoces los fundamentos de Ethernet y, como recordars, el reparto de los paquetes se realiza a travs del protocolo ARP. Dependiendo del dispositivo de interconexin que tengas en tu red cableada, el sniffer Wireshark ser capaz o no de ver todo el trfico de la red, o solo el del equipo en el que se ejecute.

Si tu red est conectada a un concentrador de red (hub) ser capaz de ver el trfico de toda la red. Si utiliza un conmutador de red (switch) solo vers el trfico de tu equipo en la red, ya que los conmutadores corrigen esta deficiencia de seguridad y son

capaces de llevar los paquetes al destino adecuado. Tendrs que utilizar otros recursos para ver la actividad de red de otro equipo en la red. Los routers que proporcionan los proveedores de acceso en la actualidad funcionan como conmutadores.

8. Desactiva la proteccin en tu PC
Para evitar que los cortafuegos y los programas de seguridad interfieran en el proceso de anlisis, desactvalos. Algunos paquetes de seguridad detectan las herramientas que vas a utilizar como peligrosas y directamente las bloquean o las eliminan.

Explora el trfico de tu equipo en la red

9. Ejecuta Wireshark
Al lanzar el analizador de paquetes aparece en pantalla la interfaz de la aplicacin. En el apartado Capture selecciona la tarjeta de red que vas a utilizar. Una vez seleccionada aparecer la ventana de exploracin, en la que puedes distinguir las siguientes reas: barra de mens y herramientas, barra de filtros, panel de lista de paquetes, panel de detalles del paquete, panel de bytes del paquete y barra de estado.

10. Comienza a capturar paquetes

Para comenzar a capturar paquetes, si no ha empezado automticamente, haz clic en el botn Start a new live capture. En ese momento comienza el baile. Vers cmo en el panel de lista de paquetes comenzar a desfilar un sinfn de lneas de colores con textos correspondientes a cada uno de los paquetes transmitidos en la red, principalmente entre el equipo en el que ejecutas Wireshark y el resto de dispositivos de la red, tanto local como de Internet.

11. Lo aprendido sobre Ethernet

Llega el momento de demostrar que has aprendido algo sobre Ethernet utilizando este sniffer. Puedes comprobar el trfico de paquetes y el dilogo que se produce en la red examinando las IPs que van apareciendo en las columnas Source (origen) y Destination (destino). La IP de tu equipo aparecer como origen o destino de los paquetes. En el ejemplo el equipo que captura los paquetes tiene la IP 192.168.1.10. Trata de identificar una peticin y su respuesta. Vers cmo el equipo de origen realiza una peticin y el de destino le responde.

12. Filtra paquetes para analizar

En el panel de lista de paquetes, adems del trfico entre tu equipo y el resto de la red, aparecen paquetes con origen y destino en los que no se encuentra la IP de tu equipo. Son paquetes dirigidos a todos los dispositivos de la red local, los ya comentados paquetes ARP e ICMP (en color celeste y morado respectivamente). Para analizar mejor los paquetes asociados a un protocolo podemos filtrarlos utilizando la barra de filtro. Por ejemplo, si escribes arp (en minsculas) en el recuadro de filtro y haces clic en el botn Apply solo aparecern los paquetes del protocolo ARP. Ahora es ms fcil hacer un seguimiento del dilogo de consultas y asociaciones de direcciones IP-MAC. Mira estas lneas:

En la primera lnea el dispositivo con MAC WistronN (origen) pregunta en la red (Broadcast) cul es la direccin MAC asociada a la IP 192.168.1.10, indicando adems que su IP es 192.168.1.202 (who has 192.168.1.10? tell 192.168.1.203). En la siguiente lnea, la direccin MAC TulipCom (Source) responde a la MAC WistronN (Destination) dicindole que la IP 192.168.1.10 corresponde a la MAC 00:80:5a:20:19:06 (192.168.1.10 is at 00:80:5a:20:19:06). Espera que vayan apareciendo paquetes y vers cmo al final estarn todos las IPs y MACs de los dispositivos conectados a la red local. As es como se construyen y actualizan las tablas de cach ARP.

13. Acta como un hacker

Seguramente lo ms goloso para un hacker es conseguir la dupla de oro, es decir, el par usuario y contrasea de cualquier servicio para poder acceder al mismo en busca de ms informacin. Al capturar todos los paquetes que pasan por el equipo en el que est instalado el sniffer podemos ir a la caza y captura de esta informacin. Te proponemos hacer un ejercicio de captura en el que vamos a intentar conseguir la informacin referente a una cuenta de e-mail utilizando Outlook, una de FTP utilizando un programa cliente de FTP, una de actualizacin de un programa de seguridad (Smart Security de ESET) y una de acceso a un foro va navegador web, por poner varios ejemplos. Todo esto para que compruebes el efecto demoledor que puede causar que te instalen un sniffer en tu sistema y, sobre todo, saber si tus contraseas se pueden capturar.

14. El test bsico de seguridad de tu red

Activa el sniffer, abre tu programa de correo y fuerza a que recupere tu correo electrnico. Cuando finalice de recuperar todo el correo cierra el programa de correo electrnico. Abre un programa cliente de FTP. Puedes utilizar una ventana de comandos y lanzar ftp.exe en Windows. Abre el sitio ftp.acer-euro.com e ingresa con el nombre de usuario anonymous y la contrasea usuario@pcactual.com. Ejecuta el comando get welcome.msg y, despus, finaliza la sesin con el comando quit. Si tienes un programa de seguridad y antivirus fuerza a que se actualice. Si eres usuario de un foro en la web, accede al mismo y conctate con tus credenciales de usuario.

15. Caza de usuarios y contraseas

En Wireshark filtra el contenido de la captura para mostrar los paquetes relacionados con el protocolo POP. Para ello escribe pop (en minsculas) en el recuadro Filter y haz clic en el botn Apply. Se mostrarn todos los paquetes relacionados con el acceso al buzn de correo.

Ahora examina el contenido de los paquetes en busca de las credenciales de acceso. En la figura puedes ver el resultado que hemos obtenido en nuestras pruebas (hemos borrado los datos sensibles y el usuario y la contrasea por motivos obvios). En algunos programas de correo se utiliza la opcin APOP, en la que podemos ver el usuario, pero la contrasea se halla cifrada, con lo cual podemos estar un poco ms tranquilos. En las pruebas hemos encontrado estos dos casos. En Microsoft Outlook 2007 para Windows se revelan las contraseas completamente, pero la versin 2011 para Mac OS X aparece cifrada.

16. Deteccin de accesos por FTP

Filtra el contenido de la captura para mostrar los paquetes relacionados con el protocolo FTP. Para ello escribe ftp (en minsculas) en el recuadro Filter, y haz clic en el botn Apply. Examina el contenido de los paquetes en busca del usuario y la contrasea. En la figura se muestra el resultado.

Ahora te dejamos la tarea de ver el contenido del archivo que hemos descargado utilizando el sniffer (una pista: filtra por ftp_data).

17. ESETInternet Security al 100%

Ahora filtra el contenido de la captura para mostrar los paquetes relacionados con el protocolo HTTP escribiendo en el filtro http y pulsando el botn Apply. Examina el contenido de los paquetes en busca de las credenciales de acceso. En la figura se muestra el usuario y la contrasea que transmite el programa para actualizarse. El identificador y la clave que hemos utilizado son ficticios.

18. Contraseas y usuarios de un foro

De nuevo filtra el contenido para mostrar los paquetes relacionados con el protocolo HTTP. Examina la lista de paquetes en busca de usuario y contrasea. En la figura puedes ver el usuario y la contrasea en la peticin de acceso al foro (en esta ocasin tambin hemos borrado los datos sensibles y falseado el identificador y la clave por motivos obvios).

Audita otro nodo de la infraestructura

Ya hemos comentado que cuando el ordenador que ejecuta el sniffer se encuentra en una red conmutada no es capaz de interceptar los paquetes que se dirigen a los dems dispositivos de la red. Para lograr este objetivo debemos utilizar una combinacin de tcnicas de hacking: suplantacin ARP por envenenamiento y ataque MITM (Man In The Middle), que har que el trfico que se dirija a un equipo en la red pase por el que tiene instalado el sniffer y, despus, vaya a su destino real. El equipo husmeador se coloca en medio del origen y el destino, de ah su denominacin MITM.

19. Instala Cain & Abel

Para realizar el envenenamiento de la cach ARP y la suplantacin de identidad utilizaremos la aplicacin Cain & Abel, que puedes descargar desde www.oxid.it/cain.html. Esta herramienta tiene ms funciones (incluida la de esnifar contraseas), pero nos centraremos en la posibilidad de hacer la suplantacin ARP.

20. Configura la herramienta

Para configurar Cain & Abel primero ejectalo y selecciona en su ventana el men Configure. En la ventana que aparece, en la ficha Sniffer, selecciona el adaptador de red que vayas a utilizar, y en la ficha APR (ARP Poison Routing) deja las opciones que aparecen por omisin. El programa actualizar la cach ARP envenenada cada 30 segundos.

21. Prepara el envenenamiento

En la ventana de la aplicacin selecciona la ficha Sniffer, y en la parte inferior marca la ficha APR . En el rbol de la izquierda asegrate que est seleccionado tambin APR (el nodo principal). Haz clic en una casilla en blanco bajo la columna Status del panel superior y, a continuacin, haz clic en el botn que tiene un signo +. En el cuadro de dilogo selecciona en la lista de la izquierda la IP del router, y en la de la derecha la IP del dispositivo del cual capturaremos su trfico. En este ejemplo vamos a capturar desde la IP 192.168.1.10 el trfico entre el encaminador 192.168.1.1 y el equipo con IP 192.168.1.111.

22. Y, por ltimo, inicia el proceso

En la ventana principal haz clic en el icono Start/Stop APR. Vers cmo comenzar la actividad de envenenamiento, mostrndose la conexiones intervenidas en el panel inferior (lneas Full-routing). Si ahora inicias Wireshark y comienzas una sesin de captura, vers que aparece la direccin IP del equipo intervenido en la lista de paquetes. Tambin vers que aparecen lneas negras con el texto en rojo que indican la retransmisin de paquetes TCP provocada por la suplantacin ARP. El anlisis del trfico utilizando esta tcnica ralentiza el rendimiento de red de la mquina analizada y puede provocar errores en el trfico HTTPS al propiciar fallos en los certificados SSL de los sitios web seguros.