Herramientas de anlisis de

seguridad
Juan Miguel Garca Losada
Ral Alonso lvarez
Wireshark
Analizador de red (de cdigo libre)
Funciona en Linux, Windows y Mac
Permite capturar datos de una conexin live.
Permite navegar en los datos capturados y
profundizar tan solo en aquellos paquetes que
necesitemos.
Tiene varias herramientas poderosas,
incluyendo un lenguaje de filtro y la
posibilidad de reconstruir una sesin TCP.

Kismet
Es un detector de red inalmbrica, sniffer y
detector de intrusos.
Identifica las redes por inhalacin pasiva.
Puede detectar bloques IP capturando
paquetes TCP, UDP, ARP y DHCP.
Puede guardar un log en un formato
compatible con Wireshark o TCPDum
No tiene interfaz grfica

TCPDump
Es el sniffer clsico para monitoreo de red y
adquisicin de datos.
Era el sniffer IP usado antes de Ethereal
(Wireshark).
No tiene interfaz grfica pero hace bien su
trabajo y no tiene agujeros de seguridad como
Wireshark.
Otra ventaja con respecto a Wireshark es que
consume menos recursos del sistema. Es ideal
para diagnosticar problemas de red.

Cain and Abel
Una herramienta de recuperacin de
contraseas.
Puede recuperar contraseas por inhalacin
(sniffing) de la red, craqueo de contraseas
encriptadas usando un diccionario, fuerza bruta y
criptoanlisis, grabacin de conversaciones VoIP,
descubrimiento de contraseas en cach y
anlisis de protocolos de enrutamiento.
Ancdota: Algunos antivirus detectan cain and
abel como malware.

Ettercap
Es un sniffer de red basado en
sniffer/interceptor/logger.
Permite la inyeccin de datos en una conexin
establecida y el filtrado al vuelo, manteniendo la
conexin sincronizada.
Tiene la capacidad para comprobar si usted est
en una LAN conmutada o no, y para utilizar las
huellas dactilares del sistema operativo (activa o
pasiva) para hacerle saber la geometra de la LAN.
Dsniff
Es una suit popular que incluye varias
herramientas: dsniff, filesnarf, mailsnarf, el
msgsnarf, urlsnarf, y WebSpy pasivamente
monitorizar una red de datos de inters
(contraseas, correo electrnico, archivos, etc.)
arpspoof, dnsspoof y macof facilitar la
interceptacin del trfico de red que
normalmente no est disponible a un atacante.
sshmitm y webmitm aplicar activa ataques mono-
en-el-medio (monkey-in-the-middle) contra ssh
redirigido y sesiones de https mediante la
explotacin de los enlaces dbiles en ad-hoc PKI.

Ntop
Hace un anlisis de la red de forma parecida a
la herramienta top para los procesos.
En modo interactivo muestra el estado de la
red en el terminal del usuario. Y en modo
web, acta como un servidor web
almacenando persistentemente estadsticas
del trfico y despus se pueden ver en
grficos.

Snort
En este detector de intrusiones de red ligero destaca el
sistema de prevencin en el anlisis de trfico y
registro de paquetes en redes IP. A travs de anlisis de
protocolos, el contenido de la bsqueda, y varios pre-
procesadores, Snort detecta miles de gusanos, la
vulnerabilidad de intentos de exploits, anlisis de
puertos, y otros comportamientos sospechosos.
Snort utiliza un lenguaje flexible basado en reglas para
describir el trfico que debe recoger o pasar, y un
motor de deteccin modular. Tambin hay un
programa gratuito basado en una interfaz web para el
anlisis de las alertas de Snort.

Nikto
Es un scanner de seguirdad
Nikto es un scanner de cdigo abierto (Licencia
GPL) que realiza exhaustivos tests, incluyendo
ms de 3200 ficheros/CGI que potencialmente
son dainos, en ms de 625 tipos de servidores, y
problemas tpicos de versiones en ms de 230
servidores. Lo que se escanea as como sus
plugins se actualizan muy frecuentemente y
pueden descargarse gratuitamente si se desea.

Nessus
Programa de escaneo de vulnerabilidades
Para diversos sistemas operativos
Desde consola nessus puede ser programado para
hacer escaneos programados con cron
Nessus comienza escaneando los puertos con nmap o
con su propio escaneador de puertos para buscar
puertos abiertos y despus intentar varios exploits para
atacarlo
los resultados del escaneo pueden ser exportados en
reportes en varios formatos, como texto plano, XML,
HTML, y LaTeX
Ping / telnet / dig / traceroute / whois
/ netstat

Todo el mundo debe estar muy familiarizado
con estas herramientas, ya que vienen con la
mayora de sistemas operativos (Windows,
excepto que omite whois y utiliza el nombre
tracert).
Pueden ser muy til en caso de apuro, aunque
para un uso ms avanzado es mejor utilizar
otras herramientas.

Ejemplo Ettercap
Ettercap
Usamos el programa Ettercap -gtk
Vamos a escanear los paquetes que se
intercambian entre PC1(Victima) y el router de
la red Wifi, con el Ettercap en PC2(Atacante)
Vamos a usar el metodo envenamiento por
ARP.
Le vamos hacer creer a PC1 que nuestra IP es
la del router, y al router que nuestra IP es la de
PC1.
Configuracin del Ataque
Clickamos en Sniff Unified Sniffing ->Wlan0
Clickamos en host Scan for Host
Clickamos en Host Host List
Seleccionamos la Ip de PC1 como target1 y la
Ip del router como target2
Clickamos en Mitm Arp poisoning
Clickamos en View Connections
Clickamos en Start Start Sniffing
Ataque Ettercap
En la pantalla Connections vemos todos los paquetes
que entran y salen de PC1, podemos ver los
parmetros de Host Origen Puerto Origen, Host
Destino Puerto Destino, protocolo, estado y Bytes.
Analizando los paquetes se puede ver por ejemplo las
pginas en las que entra PC1 y los datos que envia no
cifrados.
En la siguiente captura podemos ver una
conversacin que mantiene PC1 en un chat que no
tiene los mensajes cifrados.

Ataque Ettercap
Ejemplo Nmap
Nmap
Nmap es un programa silencioso de Escano de
Puertos.
Se usa para saber que puertos tiene abiertos
una cierta direccin de IP (a la que lanzamos el
ataque) y saber que aplicacion escucha en ese
puerto.
Vamos usar el comando nmap -sS -Sv -PO
ipdestino sobre un PC que tiene el servidor
XMAPP instalado.
Resultado Nmap

Port STATE Service Version
21/tcp open ftp ProFTPD 1.3.3d
80/tcp open http Apache httpd 2.2.17
443/tcp open ssl/http Apache httpd 2.2.17
3306/tcp open mysql MySql

Service info: OS:Linux
Nmap
Podemos observar que este comando nos dio
como respuesta los puertos y el programa que
tienen asociado a ellos, como por ejemplo el
puerto 80/TCP tiene asociado en servicio http
con la versin del Apache 2.2.17, despues
podemos buscar en pginas como exploit-
db.com que vulnerabilidad tiene esta versin
del apache para poder explotarla.