NetworkMiner

NetworkMiner es una herramienta de análisis de seguridad de red portable Open Source que puede examinar el tráfico de un adaptador de red conectado en el sistema operativo de Windows. La herramienta de necesita de la instalación de WinPcap para funcionar correctamente. El propósito principal de NetworkMiner es la recolección de datos para el análisis forense. La información es agrupada por host y no por paquetes o frames, como lo hace Wireshark, aunque es posible cambiar los modos de la visión fácilmente en la interfaz. NetworkMiner, puede, entre otras cosas, extraer archivos y certificados transferidos sobre la red.

Las tareas forenses que se pueden realizar con NetworkMiner son:

1. Averigua qué servicios de red que están siendo utilizados en las máquinas de la red. Esto es útil para detectar por ejemplo, puertas traseras en los servidores.

2. Averigua qué conexiones salientes realizadas desde los hosts en la red. La mayoría de servidores, impresoras y equipos de red, por ejemplo, no debieran iniciar conexiones de red salientes.

3. Fingerprint de sistemas operativos a los equipos de la red. Puede ser útil para obtener información adicional acerca de un host a un usuario malintencionado o deshonesto.

4. Extraer y remontar archivos enviados a través de la red. Esta función es útil para ver si datos confidencial de la compañía se están enviando desde la red.

5. Mostrar imágenes directamente en la aplicación. Esto es bueno para, por ejemplo, a identificar rápidamente las imágenes de pornografía infantil que se envió dentro o fuera de la red o, por ejemplo, verificar si se están extrayendo imágenes de un complejo militar.

6. Extrae credenciales en texto plano (nombres de usuario y contraseñas) que se utiliza en la red. Esta función es útil por ejemplo cuando la vigilancia del tráfico de red de un host afectado, para ganar más conocimiento del atacante.

Cuando se definen las palabras clave, busca y alerta cuando estas se están enviando a través de una red y aparecen en las tramas de datos. Esto puede ser útil para el seguimiento de palabras clave como "confidencial", "secreto", “Terrorismo” etc. a fin de garantizar que los documentos con estas palabras clave no están siendo enviados desde la red.

Existen diferentes aproximaciones para clasificar los escaneos de puertos, tanto en función de las técnicas seguidas en el ataque como en función de a qué sistemas o puertos concretos va dirigido. Por ejemplo, se habla de un escaneo horizontal cuando el atacante busca la disponibilidad de determinado servicio en diferentes máquinas de una red; por ejemplo, si el pirata dispone de un exploit que aprovecha un fallo en la implementación de sendmail, es normal que trate de averiguar qué máquinas aceptan peticiones SMTP en un determinado segmento para posteriormente atacar a dichos sistemas. Si por contra el pirata sólo escanea puertos de una máquina, se denomina al ataque escaneo vertical, y suele denotar el interés del atacante en ese host concreto; si comprueba todos los puertos del sistema al escaneo se le denomina vanilla, mientras que si sólo lo hace contra determinados puertos o rangos, se le denomina strobe (en referencia al programa del mismo nombre). Si nos basamos en las técnicas utilizadas, podemos dividir los escaneos en tres grandes familias: open, half-open y stealth; vamos a hablar con más detalle de cada una de ellas y de los diferentes tipos escaneos que las forman.

Los escaneos open se basan en el establecimiento de una conexión TCP completa mediante el conocido como protocolo de acuerdo de tres vías o three-way handshake ([Tom75]), por lo que son muy sencillos de detectar y detener. Utilizan la llamadaconnect(), siendo lo más similar - guardado las distancias - al ejemplo del telnet que hemos visto antes: el escaneador intenta establecer una conexión con un puerto concreto del host atacado, y en función de la respuesta obtenida conoce su estado: una técnica rápida, sencilla, fiable y que no necesita de ningún privilegio especial en la máquina atacante.

La segunda técnica que hemos comentado es la de los escaneos half-open; en este caso, el pirata finaliza la conexión antes de que se complete el protocolo de acuerdo de tres vías, lo que de entrada dificulta - aunque no mucho - la detección del ataque por parte de algunos detectores de intrusos muy simples (casi todos los actuales son capaces de detectarlos). Dentro de esta técncia se encuentra el SYN Scanning: cuando el origen - atacante - recibe del destino - máquina escaneada - los bits SYN+ACK, envía un bitRST (no es necesaria una nueva trama, ya que este bit se envía

...