Daboweb | Seguridad y ayuda informática |

Wireshark es una herramienta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible.

Cuando en Wireshark realizamos una captura de paquetes relacionada con el protocolo HTTP, podemos ver, e incluso guardar, todos los objetos transmitidos durante una determinada sesión de captura. También es posible extraer ficheros binarios. Este tipo de tareas las realiza Wireshark a través de Follow TCP Stream marcando la opción Raw.

También usando la opción Export Selected Packet Bytes del menú contextual situándonos en el campo DATA de la interfaz de Wireshark o, en caso de objetos HTTP desde File > Export > Objets > HTTP. Más información sobre extracción de ficheros binarios y objetos HTTP .

Gracias a Tadding Security Blog, disponemos ya de una nueva opción. La captura de objetos / ficheros SMB. Aunque, de momento, solo está disponible para Linux, esta opción nos permite capturar y visualizar los archivos involucrados en transacciones SMB.

SMB (Server Message Block), es, básicamente, un protocolo que permite compartir archivos, impresoras (Más info en Seguridad y Redes), puertos serie, etc entre hosts conectados en red. Pertenece a la capa de aplicación OSI y es un protocolo del tipo cliente servidor. SMB se encuentra por encima de NETBIOS, que es la que se encarga de la resolución de Nombre Host / IP. Más información sobre SMB / CIFS y NETBIOS.

Esta nueva opción la tenemos gracias a un plugin desarrollado por Tadding Security Blog: http://blog.taddong.com/2010/05/capturing-smb-files-with-wireshark.html. Para disponer de esta opción tan solo instalar o actualizar a la última versión disponible para Wireshark. La versión para Windows está siendo ahora verificada por el equipo de Wireshark.

Cómo funciona;

Si realizamos una captura de red, en la que tengamos tráfico SMB, una vez terminada solo tenemos que ir a File > Export > Object > SMB… y obtendremos una ventana con una lista de objetos o ficheros recopilados con su ubicación, tamaño, etc. Podemos abrir los ficheros directamente o guardarlos:

Más información sobre Wireshark:

Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7 | Parte 8 | Parte 9 / 1 | Parte 9 / 2

Hola a todos. Soy Alfon, más sobre mí en mi Blog: http://seguridadyredes.nireblog.com/. Esta va a ser mi primera colaboración en este gran sitio que es Daboweb. Mis áreas de interés, que serán en las que centre mis colaboraciones, son todo lo concerniente a Snort, Wireshark. Análisis tráfico de redes y forense, IDS, Scapy, Nmap, Antisniffers, etc. Espero que sea de vuestro interés. Gracias a todo el equipo de Daboweb por darme la oportunidad de coloborar en el sitio.

Para interpretar y correlacionar una captura realizada en un determinado sniffer, disponemos, en los diferentes programas de captura de paquetes, de una serie de herramientas que facilitan esta labor. No es siempre totalmente necesario, pero si es una ayuda a la hora de extraer información, evidencias forenses, o cualquier tipo de dato que necesitemos de una forma más rápida, sencilla y, en algunos casos, más visual, sobre todo cuando se trata de grandes archivos de captura.

Antes de seguir. ¿Qué es una captura de red ?. Una captura de red no es otra cosa que la recolección de los paquetes transmitidos y recibidos en la red por hosts o dispositivos que se encuentran en una red local. Para esta función, el dispositivo de red o tarjeta de red debe estar configurada en modo promíscuo.

De esta forma no se descartan las tramas de red no destinada a la MAC en la cual se encuentra el software capturador de red o sniffer y, de esta forma, se puede «ver» todo el tráfico que circula por la red. Esto es así en una red no conmutada o, dicho de forma más sencilla, una red mediante hubs.

Si la red está formada por switches, el poner la tarjeta de red en modo promíscuo solo nos serivirá para «ver» nuestro tráfico (unicast) y el tráfico broadcast. Sobre la posición de un capturador de red o sniffer, dependiendo de la arquitectura o topología de red, tenemos más información en este enlace de mi blog personal.

Si realizamos una captura con TCPDump ó WinDump para sistemas Windows, la salida que obtendremos será algo parecido a esto:

>windump -i1 -tn tcp
windump: listening on \Device\NPF_{024A36DD-4864-4F08-918F-2C5CBA916541}
IP 192.168.1.5.2335 > 63.245.217.36.80: S 4142637947:4142637947(0) win 64512 <ms
s 1460,nop,nop,sackOK>
IP 63.245.217.36.80 > 192.168.1.5.2335: S 1131876005:1131876005(0) ack 414263794
8 win 65535 <mss 1460,nop,nop,sackOK>
IP 192.168.1.5.2335 > 63.245.217.36.80: . ack 1 win 64512
IP 192.168.1.5.2335 > 63.245.217.36.80: P 1:581(580) ack 1 win 64512
IP 63.245.217.36.80 > 192.168.1.5.2335: . ack 581 win 64955
IP 192.168.1.5.2337 > 209.85.227.147.80: S 1497586508:1497586508(0) win 64512 <m
ss 1460,nop,nop,sackOK>
IP 63.245.217.36.80 > 192.168.1.5.2335: P 1:487(486) ack 581 win 64955
IP 209.85.227.147.80 > 192.168.1.5.2337: S 1076404124:1076404124(0) ack 14975865
09 win 65535 <mss 1460,nop,nop,sackOK>
IP 192.168.1.5.2337 > 209.85.227.147.80: . ack 1 win 64512
IP 192.168.1.5.2337 > 209.85.227.147.80: P 1:626(625) ack 1 win 64512
IP 192.168.1.5.2341 > 208.122.31.3.80: S 3188780077:3188780077(0) win 64512 <mss
 1460,nop,nop,sackOK>
IP 209.85.227.147.80 > 192.168.1.5.2337: P 1:237(236) ack 626 win 64910
IP 209.85.227.147.80 > 192.168.1.5.2337: . 237:1697(1460) ack 626 win 64910
IP 209.85.227.147.80 > 192.168.1.5.2337: P 1697:2048(351) ack 626 win 64910
IP 192.168.1.5.2337 > 209.85.227.147.80: . ack 2048 win 64512

De esta captura podemos extraer algunos datos. Solo tenemos tres IP involucradas. Obtenemos las IP, puertos, banderas o flags, números de secuencia, acuse de recibo, tamaño de ventana,… También vemos un establecimiento de conexión a tres pasos, etc.

Pero si se trata de una captura con decenas de IPs, varios protocolos, etc. La interpretación de los datos y su correlación se hace más compleja. Solo disponemos de la gestión de filtros para obtener una información algo más detallada según los propósitos y objetivos de la captura, pero poco más, nosotros tendremos que interpretar los datos, que está pasando o qué problema tenemos en nuestra red analizando la secuencia de los paquetes .

Otros programas como Tshark, incluyen, además de filtros, diferentes tipos de estadísticas. De esta forma, tenemos una ayuda a la interpretación de la captura que nos permite obtener una información partiendo de un fichero de captura .pcap o una captura normal. Las estadísticas nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc.

Además podemos aplicar filtros a las estadísticas de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Un ejemplo de estadísticas con Tshark.

Si ejecutamos tshark -i1 -nqzio,stat,1,ip,tcp,icmp,»tcp.port == 80″ el resultado es:

>tshark -i1 -nqzio,stat,1,ip,tcp,icmp,"tcp.port == 80"

Capturing on 3Com EtherLink PCI (Microsoft's Packet Scheduler)
252 packets captured

===================================================================
IO Statistics
Interval: 1.000 secs
Column #0: ip
Column #1: tcp
Column #2: icmp
Column #3: tcp.port == 80
                |   Column #0    |   Column #1    |   Column #2    |   Column #3
Time            |frames|  bytes  |frames|  bytes  |frames|  bytes  |frames|  bytes
000.000-001.000       4       285      3       193      0         0      0         0
001.000-002.000       2       184      0         0      0         0      0         0
002.000-003.000       1        92      0         0      0         0      0         0
003.000-004.000       1        92      0         0      0         0      0         0
004.000-005.000       0         0      0         0      0         0      0         0
005.000-006.000       0         0      0         0      0         0      0         0
006.000-007.000       0         0      0         0      0         0      0         0
007.000-008.000       0         0      0         0      0         0      0         0
008.000-009.000       0         0      0         0      0         0      0         0
009.000-010.000      17      2299     15      2115      0         0     15      2115
010.000-011.000     142     38665    141     38573      0         0    141     38573
011.000-012.000      37      8062     36      7970      0         0     36      7970
012.000-013.000       2       184      0         0      0         0      0         0
013.000-014.000      15       890     14       798      0         0     14       798
014.000-015.000       9       548      8       456      0         0      8       456
015.000-016.000       3       240      0         0      2       148      0         0
016.000-017.000       2       148      0         0      2       148      0         0
017.000-018.000       2       148      0         0      2       148      0         0
018.000-019.000       2       148      0         0      2       148      0         0
019.000-020.000       0         0      0         0      0         0      0         0
020.000-021.000       1        92      0         0      0         0      0         0
===================================================================

Como veis, podemos establecer estadísticas por protocolos y por aplicación de filtros. Todo ello ordenado por columnas que nos mostrarán información sobre número de paquetes y bytes.

Si seguimos complicando la cosa, Wireshark (aquí para descargar) por ejemplo, contempla dos tipos de filtros: de captura y de visualización. Una vez filtrados los paquetes, Wireshark dispone de varias herramientas para interpretar y analizar el resultado de las capturas  como Expert Infos y Expert Info Composite, Follow TCP Stream, IO Graph, Geolocalización, varios tipos de estadísticas, etc.

En otro nivel, disponemos de Xplico. Con esta herramienta podemos abrir una fichero de captura .pcap y tener ordenado y clasificado el tráfico por categorías tales como Web, Mail, VoIp, Chat, Imágenes, videos, Geolocalización con Google Earth…. incluso decodificar tráfico teniendo en cuenta las aplicaciones tales como programas de mensajería, Telnet, Facebook, etc.

Abajo. Interface de Xplico.

En el último nivel podemos situar un tipo de software como NetWitness Investigator. Netwitness posee una gran capacidad de captura de paquetes, con lo que necesita también, un buen soporte de almacenamiento y procesamiento.

Además, podemos importar nuestros ficheros .pcap generados mediante TCPDump, Windump, Tshark, Wireshark, etc. Pero la característica más importante de esta herramienta es su altísima capacidad de análisis de los datos obtenidos, correlación, clasificación, rapidez de análisis, interpretación visual e intuitiva de datos compaginado con la muestra de datos en bruto, contenido de los paquetes diferenciando los campos y cabeceras. Es capaz también de analizar los datos por sesiones.

Podemos incluso interpretar los datos dentro del contexto, dentro de una lógica. De esta forma, se convierte un una herramienta de análisis forenses con capacidad de  descubrimiento de amenazas, malware, fugas de información, investigación forense y otros aspectos dentro de un ambiente corporativo.

Otro tipo de ayuda para la interpretación del tráfico de red es la del tipo visual, es decir, las gráficas. De esta forma podemos representar mediante gráficas, de varios tipos, las relaciones y diálogos entre host, puerto, etc. Otra variante de este tipo de herramietnas puede ser la representación grafíca, no ya de los host, sino de los paquetes y los atos de campos contenidos en ellos. dos herramietnas de este tipo que veremos serán AfterGlow y TNV.

Hasta aquí un resumen del objetivo y de lo que será esta serie de artículos dedicado a las herramientas y ayudas a la interpretación de capturas de red. Iremos mostrando de que forma podemos interpretar los datos usando las herramientas que nos proporcionan, a distintos niveles: WinDump / TCPDump, Wireshark, Xplico y NetWitness.

En el campo de la seguridad, desde sus comienzos, el movimiento Open Source ha plantado cara con éxito a las soluciones comerciales (algunas muy efectivas) sin ningún complejo.

Hoy queríamos recomendaros una lista muy elaborada de 50 herramientas Open Source relacionadas con la seguridad a modo de alternativas más que validas frente a las más usadas habitualmente, que no por ello tienen que ser necesariamente mejores.

La lista está en Inglés pero se entiende perfectamente y en lo personal, puedo decir que muchas de ellas llevo usándolas desde hace años con muy buenos resultados. En ella podremos encontrar antivirus, firewalls, sniffers, herramientas de cifrado, backups, recuperación de datos y un largo etc.

Acceso a; 50 herramientas de seguridad Open Source como alternativa a las más populares (ENG).

Alguna vez ya os hemos recomendado visitar la página personal de Alfon, Seguridad y Redes , también, para un mejor seguimiento de sus artículos, podéis suscribiros a su Feed.

La web de Alfon es un lugar donde se hacen las cosas «como antes», es decir, sin prisa, publicando series de artículos detallados donde realmente podrás aprender más allá de una breve reseña u opinión y con mucho fundamento.

Para este fin de semana os queremos sugerir esta serie de entradas en las que podréis aprender como se captura, filtra y analiza todo tipo de tráfico de red con varias de las herramientas más potentes para escuchar y capturar esos paquetes.

Para hoy os vamos a recomendar la lectura de una interesante entrada en el blog de nuestro amigo Alfon (Seguridad y Redes),  en la que da un repaso a las funcionalidades de una herramienta de análisis, trafico o captura de datos en red tan potente como Ngrep.

En los ejemplos que podremos ver, la información está basada en sistemas Windows, pero es totalmente válida con las librerías necesarias (principalmente libcap) en GNU/Linux o Mac OS X. Se enseña a buscar patrones y cadenas en la red, analizarlos y saber cómo se interpretan esos resultados.

Acceso a; «Esas pequeñas utilidades. NGREP.«

Quizás los que llevéis más tiempo interesados en cuestiones relacionadas con la seguridad, conozcáis a Alfon de «Seguridad y Redes».

Para quienes no le conozcáis, os diré que allá por el año 2.003 escribió algún artículo tan interesante como este que se ha puesto al día y que os recomiendo encarecidamente leer para detectar el rastro de un sniffer en vuestra red.

En palabras de Alfon,

Hace ya algunos años, concretamente en 2003-2004, escribí sobre la Detección de Sniffers en redes conmutadas y no conmutadas en varios sitios de la Red. Lo podeis ver también aquí y en mi primer blog (http://webs.ono.com/alfonn/). Creo que es el momento de revisar y ampliar este artículo.

En esta actualización trataremos también la detección desde varios escenarios usando Wireshark (al final del artículo) y algún que otro software / técnica más de detección como Nast y DecaffeinatID, ArpOn, VLANs, algún firewall como Outpost, … Actualizaré también algunos enlaces de descarga que estaban ya obsoletos, notas sobre funcionamiento de algunas herramientas antiguas, etc.

Creo que es una lectura más que recomendable para este fin de semana, algún compañero de Daboweb me ha expresado su preocupación por estar usando una red en la que quizás había algún sniffer «a la escucha», pues bien, seguid los pasos y podréis salir de dudas.

Acceso a; Detectando Sniffers en redes conmutadas y no conmutadas (Por Alfon).

Acaba de ser liberada la versión 3.0 de UCSniff. Se trata de una potente herramienta de seguridad escrita en C/C++ con licencia GPLv3 disponible para sistemas GNU/Linux y Windows.

Este sniffer fue creado para testear la seguridad de las comunicaciones VoIP o Video IP con interesantes novedades y mejoras por lo que veo desde que probé la anterior versión.

Entre otras, podemos encontrar estas nuevas funciones;

Control en tiempo real de VoIP y video vigilancia.
Nuevos soportes de codecs G729, G726, G723.
Ahora ya hay una nueva GUI (interfaz gráfica) para GNU/Linux y Windows.
VideoSnarf ahora convierte a posteriori paquetes pcap-RTP a un archivo multimedia.

Más información | Descarga (ENG)..

El popular y veterano Snort (sniffer de paquetes y un detector de intrusos basado en red) recibe una actualización (versión 2.8.5) después de que se reportara una vulnerabilidad en el mes de Agosto (ENG) dotando de interesantes mejoras a esta gran herramienta de seguridad.

Ahora ya es posible especificar varias configuraciones en «snort.conf», con lo que se puede ejecutar una sesión de Snort con varios ficheros de configuración en lugar de correr en el sistema como procesos separados.

También se sigue inspeccionando el tráfico de red mientras se carga una configuración sin interrupciones en la captura de paquetes. Hay mejoras en las opciones de cargar una configuración y volver a una anterior, las reglas de filtrado y eventos se han perfeccionado así como la prevención de ataques (intentos de conexión o conexiones simultáneas, etc), anunciando asimismo un rendimiento mejorado en general del software.

Site oficial de Snort con info de la versión 2.8.5| Fuente VRT (ENG).

Por David Hernández (Dabo).