practica análisis de tráfico de red
DESCRIPTION
Practica Análisis de Tráfico de RedTRANSCRIPT
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
1
Práctica
Análisis de Vulnerabilidad
Grupo D:
Edson Terceros T.
José Luis Calero.
Jerry Soleto R.
Martin Ayllon Q.
Raul Fernandez Q.
José Antonio Orellana A.
Claudia Villarroel P.
Yussen Solis G.
Piter Montes C.
Martin Ayllon Q.
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
2
1. Objetivo El propósito del trabajo fue analizar el tráfico de una red local se estudió el flujo de información generado por los sistemas utilizados en la empresa. El tráfico fue monitoreado a nivel de las capas 2 y 3 del modelo OSI.
2. Herramientas
Para realizar el análisis de tráfico se vio por conveniente usar las herramienta Wireshark, Driftnet y Ettercap.
Wireshark es un analizador de tráfico que puede resultar de gran utilidad para detectar, analizar y relacionar tráfico identificando las posibles amenazas a la red para, posteriormente, limitar su impacto.
Previo al análisis, se realizo una prueba para conocer la herramienta. Inicialmente se configuró una red privada entre tres equipos: dos Windows 7 y un Linux BackTrack 5 R3.Estos equipos fueron conectados a tres dispositivos de red distintos: HUB, SwitchEncore, Switch 3 COM. De esta manera queríamos obtener la configuración que aseguraba que todos los paquetes que se transportaban por la red, sean capturados por Wireshark.
HUB. Al conectar con un Hub se comprobó que todo el tráfico era escuchado por el Wireshark
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
3
Se realizó un ping y se verifico la conexión
SWITCH Encore. De igual fue posible la captura de datos con este equipo.
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
4
SWITCH 3COM. Con este dispositivo de red se constato que algunos paquetes no eran visibles para WireShark.
No se pudo hacer una prueba con un Switch CISCO ya que no se tenían a mano.
Debido a esto decidimos utilizar el HUB para realizar los análisis ya que de esta manera no es necesaria la utilización de otras técnicas como ARP Poisoning para capturar paquetes.
Se usó la herramienta driftnet[http://www.ex‐parrot.com/~chris/driftnet/] que escucha el tráfico de la red y toma las imágenes JPEG y GIF de los streams TCP para desplegarlas de manera independiente. Junto con ettercap[http://ettercap.sourceforge.net/] que es un sniffer, es posible capturar las imágenes de toda una red. Ambas herramientas se encuentran en la distribución BackTrack 5 R3 bajo la clasificación PrivilegeEscalation, ProtocolAnalysis, Network Sniffers.
3. Descripción del Análisis con Wireshark
Se trato de verificar cuan seguro es el acceso web a las siguientes herramientas: Joomla, phpmadmin y cpanel.
A continuación se detalla el proceso del análisis.
a. Análisis Joomla
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
5
Esta captura representa el tráfico de paquetes de navegación a una página “Joomla” donde es posible capturar los datos del Usuario y contraseña.
b. Análisis phpmyadmin
Esta captura visualiza las credenciales de acceso a la base de datos a través de phpmyadmin.
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
6
c. Análisis Cpanel
Se intenta capturar los datos del administrador CPanel, pero posible visualizar información critica como ocurrió en los dos casos anteriores.
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
7
4. Analisiscon Driftnet y Ettercap
Se logro capturar las imágenes que eran transportadas por la red
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
8
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
9
5. Resultados
a. Vulnerabilidades en el acceso
El análisis permitió evidenciar que Tanto Joomla como Phpmyadmin presentaron vulnerabilidades ante la captura de datos de WireShark, siendo posible capturar contraseñas y usuarios.
En cambio CPanel permite un acceso web mas seguro protegiendo los datos del usuario, comparado con las otras dos herramientas. Esto debido a que utiliza el protocolo ssdp para establecer la comunicación.
b. Vulnerabilidadesen imágenes
Driftnet y Ettercap son herramientas que pueden ser utilizadas para demostrar lo fácil que resulta a una persona ver lo que pasa en una red. Así mismo, serviría de medio disuasivo ya que instaurando una política de monitoreo es posible registrar que estuvo realizando un usuario.
MSIGT: Análisis de Datos y Gerencia de Tecnologías de Información y Comunicación 2012
10
6. Propuesta de Soluciones
Las herramientas que son utilizadas para realizar transacciones en la red, deberán utilizar protocolos más fuertes como https, ssh y ssdp. De esta se disminuirán los riesgos de posible captura de información crítica.