Compiler Algorithms and Implementation

La supervisión de redes de alto tráfico, así como la realización de análisis de protocolos para corregir errores y evitar fugas, constituye un punto importante en el mantenimiento de la seguridad de una red. Con este propósito puede ser utilizado el Wireshark, que puede ser utilizado en sistemas Linux y Windows, para el primero se accede al repositorio ubicado en la dirección IP 10.12.1.8 y 10.12.1.5, la instalación se realiza a través de la sintaxis apt-get install wireshark , para utilizarlo se invoca desde la consola wireshark.

La interfaz grafica esta dividida en varias secciones como barra de herramientas, donde aparecen opciones a realizar sobre las pre y pos capturas, la principal que muestra opciones más utilizadas; para la aplicación de filtros de captura determinados se usa la barra de filtros, existen además otras barras que muestran datos sobre los paquetes como resúmenes, informaciones detalladas por cada uno así como los octetos que los forman. Para comenzar una captura se accede a menú Capture->Interfaces para seleccionar la interfaz de red a utilizar. (Anexo 4)

Las opciones pueden ser modificadas permitiendo que la captura sea configurada según las exigencias de la misma (Anexo 5). En estas se puede establecer la interfaz a utilizar así como el modo para registrar el tráfico saliente como entrante, este debe ser el

promiscuo; el límite de cada paquete se ajusta en Limit each packet y se define el filtro a implementar en Capture filter, para obtener solo informaciones deseadas como trasmisiones sobreHTTP o entre determinadas estaciones. Pueden ser especificados en

File el archivo donde serán almacenados los paquetes capturados, para detener automáticamente una captura después de condiciones como tiempo, tamaño del archivo de captura o número de paquetes se utiliza stop capture. Se establecen otras opciones dirigidas a la visualización como la actualizacion del panel de paquetes cada vez que se capture uno (Update list of packets in real time), realizar un scroll-down cada vez que se capture un paquete (Automatic scrolling in live capture), ocultar el diálogo de información de captura (Hide capture info dialog). Por último, las opciones de resolución de nombres (Name resolution) le indican la software si debe o no intentar resolver las direcciones MAC, el nombre de red y del tipo de transporte y de los paquetes capturados.

Los resultados de la captura aparecen en la ventana principal que contiene la lista de los paquetes capturados (Anexo 6), esta se divide normalmente en tres secciones, una demuestra la lista de paquetes capturados, otra diseca los paquetes y demuestra un árbol del protocolo ya la tercera muestra los octetos crudos del paquete.

Seleccionando un paquete de la lista puede obtenerse el árbol del protocolo y los octetos que le pertenecen. Además, seleccionar cualquier parte del árbol del protocolo destacará donde se encuentra en los datos especificados en los octetos permitiendo la inspección completa de un paquete.

Este analizador puede ser utilizado para realizar inspección a simple vista del tráfico en la red con el objetivo de detectar comportamientos anómalos como pueden ser escaneo de puertos sobre estaciones, intentos de conexión entre otros.

La supervisión de una red puede ser realizada a partir de otras herramientas como el Ettercap que es capaz de brindar infomacion en tiempo real sobre la actividad de una red comutada, ademas de proveer interaccion entre el administrador y la red brindando posibilidades como terminar conexiones o hacerlas mas lentas.

Su instalación se realiza sobre Linux desde el repositorio utilizando apt-get install ettercap. Para ejecutarlo se utiliza ettercap -C desde la consola (Anexo 7). El desplazamiento sobre sus menús se realiza a través de los cursores y las teclas TAB y ENTER para ejecutar.

Para comenzar es indicada la interfaz de red sobre la que actuará accediendo a Sniff,

seleccionado la opción Unified Sniffing (Anexo 8). Desde esta ubicación se indica la interfaz sobre la que se desea realizar el análisis.

El comienzo de un chequeo se realiza desde el menú superior con el botón Start seguido de Start sniffing (Anexo 9). Una vez activado, en el menú View (Anexo 10) pueder ser elegido Connections (Anexo 11)donde son mostradas las conexiones activas de la estación. Sobre una conexión pueden ser utilizadas combinaciones de teclas como

K para terminar una conexión, D para obtener información de la dirección Mac del ordenador remoto, su Ip, protocolo y el puerto que usa (Anexo 12). La información detallada de la conexión puede ser analizada a través de la tecla Enter, con ella se muestran datos sobre la estación conectada como navegador y sistema operativo. La obtencion de los pares usuario contraseña que se trasmiten en texto plano por la red puede ser realizada utilizando el Dsniff, esta es capaz de vulnerar protocolos como Telnet y exponer ambientes comutados. Su instalacion se realiza utilizando el comando

apt-get install dsniff. Se invoca desde una consola mediante dsniff.

Para obtener los datos intercambiados en una red conmutada es necesario realizar el envenenamiento de las tablas ARP del dispositivo conmutador e indicar la interfaz de red a utilizar, esta es seleccionada con dsniff -i (interfaz).

Es necesario permitir que los paquetes puedan ser recibidos por el host final indicándose en un terminal echo 1 > /proc/sys/net/ipv4/ip_forward, para que puedan ser enviados al destinatario en caso de no pertenecer a el.

El análisis es realizable mediante tres consolas, en la primera se describe el proceso bloqueante arpspoof -i (interfaz) -t (IP 1) (IP 2), en la siguiente se utiliza arpspoof -i (interfaz) -t (IP 2) (IP 1), ambas descritas para realizar el envenenamiento ARP e

interceptar las comunicaciones en ambos sentidos, por ultimo la tercera se utiliza para mostrar los resultados y se invoca dsniff -i (interfaz).

Tanto el Dsniff como el Ettercap pueden ser utilizados a través de un puerto espejo para detectar inundaciones en la red provocadas por la presencia de virus o computadoras en mal estado, así como empleados para realizar el chequeo de conexiones.

La supervisión de la red en tiempo real por estación ofrece una perspectiva al personal de administración sobre el tráfico en la misma, así como un conjunto de estadísticas utilizadas para implementar medidas sobre posibles aumentos de tráfico o errores en los dispositivos de transmisión. Con este fin puede ser utilizado Ntop.(Lockhart, 2004) Su instalación se realiza con apt-get install ntop, aunque es necesario poseer los paquetes Apache y MySQL, que se instalan apt-get install apache2, apt-get install mysql, respectivamente. La base de datos MySQL debe tener como servidor el Apache2.

Una vez configurado se inicia utilizando /etc/init.d/apache2 start, /etc/init.d/mysql start y -P /var/lib/ntop -w 3000 -W 3003 -i (interfaz) -b localhost: 4000 -d -E -L -a /www/logs/ntop.log

Las opciones definidas en el arranque indican: la dirección donde son escritas las tablas hash (-P /var/lib/ntop), el puerto de acceso (-w 3000) y al servidor SSL (-W 3003),la escucha del trafico se realiza a través de la tarjeta de red elegida(-i interfaz), la línea (-b localhost:4000) indica la ubicacion del programa puente para el servidor MySQL, se especifica además (-d) para convertir ntop en demonio, (-E) que brinda intercambio entre herramientas externas como lsof y nmap, -L que habilita la salida al syslog y (-a /www/logs/ntop.log) o ubicación del fichero de acceso a la página web del Ntop.

A través de la página web (Anexo 13) con direccion http\\localhost:4000 se puede acceder al servidor y analizar los parámetros capturados por este.

Mediante el menú de navegación principal puede accederse a opciones como Data Rcvd, Data Sent que muestra los datos recibidos y trasmitidos respectivamente, estos

pueden ser visualizados agrupados por protocolos, por la actividad de cada host y

netflows, el apartado de estadísticas Stats muestra información muy completa acerca del estado de la red como tráfico unicast o multicast, longitud de los paquetes, el tiempo de vida del paquete y el tipo de tráfico que viaja, puede además mostrar un listado de dominios y plugins que pueden ser activados o desactivados. La opción IP Traffic

provee orientación sobre el sentido del tráfico, o sea si fluye de la red local hacia una remota o viceversa. Estadísticas del uso de la red como conjunto de host es provista por el IP Protos, así como la opción admin se utiliza para cambiar la interfaz de red, crear filtros, y un mantenimiento de usuarios.

Al igual que Ntop existen otros programas dedicados a la recoleccion y analisis de flujos de datos a traves de la red, uno de ellos es Argus, su instalacion se realiza desde el repositorio con apt-get-install argus, sobre el sistema a muestrear.

La configuración del servidor se realiza copiando el fichero de configuración

/support/Config/ argus.conf a la carpeta /etc, quedando /etc/argus.conf. Desde ahí puede habilitarse cuentas de usuarios para seguridad con la opción

ARGUS_SETUSER_ID. Para que se inicie junto al sistema debe escribirse

/support/Startup/argus en la carpeta /etc/init.d.

La sintasis exibe una serie de comandos como ra que analiza y filtra los datos, rabins

divide los datos de Argus (por fecha), racluster agrupa información, racount realiza diversos conteos sobre los datos, radium actúa como un multiplexor y autoriza a múltiples clientes acceder de forma simultánea a los datos, ragraph representación gráfica, ragrep realiza busquedas basándose en expresiones regulares, rasort ordena la salida por un campo arbitrario, rasplit distribuye la salida en múltiples ficheros, rastrip elimina diversos parámetros de los ficheros y ratopf muestra en tiempo real el trafico. La selección de los parámetros consta de comandos como smac y dmac para direcciones MAC, smpls y dmpls en etiquetas MPLS y para el caso de las VLAN se utilizan svlan o dvlan, utilizar dircciones IP con saddr y daddr, la difenciación por protocolo es proto, los puertos con sport, dport.

La herramienta más importante es racluster. Para conocer los equipos que más tráfico generan en la red se utiliza el parámetro -m saddr (Dirección IP fuente) para indicarle que agrupe todos los flujos con direcciones idénticas

La opción -L0 indica la generacion de las cabeceras con los nombres de las columnas. El parámetro -c añade un separador.

Los administradores pueden utilizar la opción -s para modificar la salida, como

racluster -s stime dur saddr spkts que mostrará la fecha, la duración, la dirección IP fuente y el número de paquetes enviados.

Las redes inalambricas cuentan con sus herramientas para realizar analisis de trafico, una de ellas es Kismet, esta se instala desde el repositorio mediante el comando apt-get install kismet.

Su configuración consta de varios pasos, primero debe ser indicada la tarjeta de red que va a ser utilizada con kismet -c [driver, interface, nombre], donde driver es el nombre del driver (madwifi_g, rt2500, hostap), interface es la interfacez de red (ath0, ra0, wlan0) que se encuentra en uso, nombre es el de la tarjeta de red como (atheros, ralink, prism), pero no es obligatorio su uso.

Puede ser configurado además desde el fichero kismet.conf, ubicado en /etc/kismet/ o

/etc/. En ella se indican el tipo de tarjeta con la que se trabaja, la interfaz de red en la cual funciona, habilitar sonidos de aviso y otras. El editor debe autenticarse como root. La importancia de esta forma es que la configuración queda registrada.

El nombre de usuario se registra en el fichero como suiduser=Nombre. Si es conocida la clave wep de alguna red se pueden obtener los paquetes desencriptados de la misma, especificando en el kismet.conf la clave wep de la siguiente forma

wepkey=bssid,HEXkey

El Channelhop =true, se alternarán los canales y realiza busquedas en todos los disponibles, de lo contrario Channelhop =false utiliza únicamente el canal especificado. El número de veces que será utilizada la tarjeta para monitorear diferentes

canales en un segundo es conocido por Channel Velocity, por defecto está configurado a cinco. Para analizar más canales por segundo hay que incrementar este valor.

Para ejecutar la aplicación debe configurarse la tarjeta de red en modo monitor con

iwconfig <interface> mode monitor y después ejecutar kismet