07 Analisis Forense de Red Analisis de Logs de Red YTrafico de Red
07 Analisis Forense de Red Analisis de Logs de Red YTrafico de Red
07 Analisis Forense de Red Analisis de Logs de Red YTrafico de Red
2/22
Análisis forense de red: análisis de logs de red y tráfico de red
I. Introducción
El análisis de la red describe el proceso de captura e interceptación de datos en tiempo real, registrando
todos los paquetes, tanto entrantes como salientes, que interactúan en un punto de conexión de la red. Esta
interceptación de los datos puede dar respuesta a la gran pregunta de qué está ocurriendo en la red.
II. Objetivos
El objetivo de esta unidad es explicar qué es un análisis de red y algunas herramientas que
ayudan a este proceso como, por ejemplo, Wireshark, una de las aplicaciones de recolección de
paquetes más conocidas. Además, veremos la herramienta Network Miner, cuyo propósito es
recolectar información tras procesar las capturas de red. Y, por último, el alumno estudiará la
herramienta Xplico, que permite visualizar de forma gráfica y ordenada las capturas de red
recopiladas.
Los análisis de la red se pueden realizar gracias a la existencia de herramientas que son capaces
de monitorizar todo el tráfico de comunicaciones capturando el intercambio de datos. Al proceso
de capturar el tráfico de red se le conoce también como sniffing. Estas herramientas capturan los
datos en bruto (llamados datos de tipo RAW en inglés) y analizan la información contenida en
ellos, ayudando con esta reconstrucción al auditor a entender, de una manera más clara, el flujo de
información. Esto permitirá descubrir ciertos comportamientos como pueden ser:
3/22
Análisis forense de red: análisis de logs de red y tráfico de red
Existen en el mercado numerosas aplicaciones que son capaces de monitorizar la red. Estas herramientas
se pueden encontrar en formatos libres o comerciales. Cada aplicación estará diseñada con diferentes
características y el auditor será el que saque conclusiones. Es por ello que la elección de la herramienta de
análisis de red la debe hace el auditor, seleccionando la que mejor se adapte a su forma de trabajar.
A la hora de evaluar un análisis de paquetes, se suele prestar atención a los siguientes aspectos:
Todos los analizadores de paquetes soportan varios tipos de protocolos. La gran mayoría de estas
herramientas son compatibles con protocolos conocidos como SMTP, DHCP, DNS o HTTP, pero no
todas pueden interpretar protocolos no tan tradicionales. A la hora de elegir un analizador de paquetes,
el auditor debe hacer especial hincapié en el soporte a protocolos. En cuanto a la capacidad de trabajo,
una opción que hay que contemplar es que la herramienta tenga un soporte extenso a la línea de
comandos a fin de poder automatizar ciertas tareas. El soporte técnico y la escalabilidad de la
herramienta proporcionarán al auditor seguridad en el trabajo y tranquilidad, a la hora de poder consultar
al equipo técnico ante cualquier duda o problema, para así abordar proyectos profesionales con
garantías.
4/22
Análisis forense de red: análisis de logs de red y tráfico de red
Protocolos de red
Una vez que el analizador ha recolectado todos los paquetes de la red, la herramienta intentará ordenar
y traducir esta información en datos que el auditor pueda comprender fácilmente. Esta interpretación es
el modo inicial en que un analista evaluará el tráfico de la red.
5/22
Análisis forense de red: análisis de logs de red y tráfico de red
Como último paso, la herramienta, haciendo uso de su base de conocimientos de protocolos de red,
intentará presentar cada trama de red recolectada, decodificando los datos e interpretando lo que
significa cada valor en cada posición del paquete.
A la hora de recolectar el tráfico de red, existen opciones que hay que tener en cuenta. Las dos más
efectivas son:
Conectar algún tipo de software o hardware de captura a un puerto que haga la función de
puerto espejo (o port mirroring) en un switch de comunicaciones que centralice las
comunicaciones.
Network TAP: un TAP es un dispositivo OSI de capa 1 relativamente simple que se conecta
directamente en línea con la infraestructura de cableado y crea una copia del tráfico con fines
de monitorización. Pueden ser dispositivos independientes o pueden integrarse en un nodo de
visibilidad. El tráfico copiado no tiene impacto ni interacción con la red en vivo, y no es
posible enviar tráfico desde los puertos de monitorización de un TAP de vuelta al flujo de red
en vivo. De hecho, los TAP, a excepción de los TAP de Agregación, son dispositivos no
administrados y no representan un riesgo de compromiso ya que no pueden ser enumerados
en un escaneo de red o accedidos remotamente. Evaluar la posibilidad de utilizar algún
hardware que podamos añadir a la arquitectura de red existente, como una sonda, y que
capture la información.
Mirroring Port
6/22
Análisis forense de red: análisis de logs de red y tráfico de red
Wireshark
Analizador de protocolos utilizado para el análisis de las comunicaciones así como para solucionar
problemas existentes. Dispone de las características estándares de un analizador de protocolos muy
completo.
Ettercap
Permite realizar análisis a redes con dispositivos switch. Soporta direcciones activas y pasivas de
varios protocolos, así como la posibilidad de realizar ataques Man-in-the-middle.
Kismet
Es un analizador y detector de intrusiones para redes inalámbricas 802.11.
Tcpdump
Analizar de tráfico a través de línea de comandos. Permite la captura en tiempo real además de ir
mostrando los paquetes recibidos y enviados en la red.
3.1. Wireshark
Una de las aplicaciones más conocidas que realizan recolección de paquetes es la herramienta
Wireshark. Esta herramienta está disponible tanto para sistemas operativos Linux, como para Windows. Es
una utilidad versátil y potente.
Una de las ventajas que tiene Wireshark es que captura los paquetes en tiempo real, y se puede exportar
e importar dichas capturas para un posterior análisis.
7/22
Análisis forense de red: análisis de logs de red y tráfico de red
Con Wireshark se puede elegir la interfaz a través de la cual se va a realizar el proceso de captura de
paquetes y análisis del tráfico de red.
Cuando se elija la interfaz por la que analizar el tráfico comenzará a capturar paquetes. Por defecto, en
las interfaces inalámbricas se activará el modo promiscuo.
Una vez tengamos suficientes paquetes podemos detener la captura y empezar a analizar el contenido.
8/22
Análisis forense de red: análisis de logs de red y tráfico de red
Como se puede observar, los paquetes vienen identificados por colores, indicando el tipo de paquete
y si se ha realizado correctamente la captura. Además, se muestra información de dicho paquete, como
puede ser el numero identificativo, las IP origen y destino, el protocolo, la longitud e información
resumida del paquete. Si seleccionamos uno de ellos, en la parte inferior, aparece detallado el paquete
capturado según la capa, además de mostrar en bruto, en hexadecimal, la información.
9/22
Análisis forense de red: análisis de logs de red y tráfico de red
Wireshark permite filtrar la información obtenida para un mejor manejo de los datos y para poder
analizar más fácilmente la información, ya que después de un tiempo, la información capturada puede
ser importante.
10/22
Análisis forense de red: análisis de logs de red y tráfico de red
Los filtros de tipo Display permiten filtrar los paquetes obtenidos mostrando aquellos que cumplen
unas determinadas condiciones. Para utilizarlos, se debe indicar, por ejemplo, el protocolo por el cual se
quiere filtrar: HTTP, TCP, ARP, IP, etc.
La forma más sencilla a la hora de aplicar un filtro es escribir en la parte superior el protocolo junto
con los atributos determinados para cada uno de ellos. Si se escribe http, se filtrará la información solo
de los paquetes HTTP que existan.
11/22
Análisis forense de red: análisis de logs de red y tráfico de red
Se pueden consultar preestablecidos y crear nuevos filtros desde el menú Analyze – Display Filters.
Con la opción Follow TCP Stream se puede observar la conexión entre dos máquinas y cuál ha sido el
flujo de información entre ellos. A través de esta opción se pueden visualizar las comunicaciones y
seguirlas, e incluso reconstruir archivos.
12/22
Análisis forense de red: análisis de logs de red y tráfico de red
Al cerrar la ventana, en la zona de filtros, se muestra el filtro aplicado para conseguir el seguimiento
anterior.
13/22
Análisis forense de red: análisis de logs de red y tráfico de red
Al seleccionar un paquete, podemos crear un filtro de la comunicación que ese paquete ha realizado.
Esto se realizaría aplicando un filtro a dicho paquete y nos permitiría ver los pasos que se han llevado a
cabo.
14/22
Análisis forense de red: análisis de logs de red y tráfico de red
Wireshark dispone de varios módulos de estadísticas muy interesantes, capaces de mostrar en tiempo
real porcentajes y estadísticas sobre tramas capturadas. En la pestaña Statistics, se pueden encontrar
distintas opciones, entre las que destacamos Protocol Hierachy, que muestra en porcentajes los
paquetes capturados, de qué tipo son, a qué nivel de red pertenecen, etc.
Otra opción interesante es la que nos permite visualizar la comunicación con el tráfico TCP o general,
con la opción Flow Graph.
15/22
Análisis forense de red: análisis de logs de red y tráfico de red
Wireshark permite, de una forma rápida, obtener los archivos capturados en la comunicación y poder
almacenarlos a través de la opción File – Export Objects – HTTP.
16/22
Análisis forense de red: análisis de logs de red y tráfico de red
17/22
Análisis forense de red: análisis de logs de red y tráfico de red
18/22
Análisis forense de red: análisis de logs de red y tráfico de red
Una de las utilidades interesantes es que permite importar archivos PCAP para su análisis offline
y rehacer archivos transferidos, entre otras. También es muy utilizado en el análisis de tráfico de
malware, así como la posibilidad de realizar búsquedas en la información analizada con el fin de
encontrar usuarios, contraseñas, etc., disponibles en la pestaña Credentials.
3.3. Xplico
Otra de las herramientas que permite visualizar de forma gráfica y ordenada las capturas de red
recopiladas y que, además, permite trabajar con gran cantidad de datos y protocolos es Xplico.
El framework trabaja con archivos de captura de datos tipo Pcap y permite también la captura en tiempo
real del tráfico de red.
Esta herramienta obtiene gran cantidad de información relacionada con sitios web, DNS, chats, correos,
imágenes, etc. y puede utilizarse como herramienta durante el análisis dinámico de un código malicioso o
malware.
19/22
Análisis forense de red: análisis de logs de red y tráfico de red
IV. Resumen
En esta unidad, hemos estudiado cómo realizar análisis forenses de red; concretamente, análisis
centrados en los logs de red y el tráfico de red. Para ello, nos hemos centrado en las herramientas
(sniffers) más empleadas para este fin, como son Wireshark, Network Miner o Xplico.
20/22
Análisis forense de red: análisis de logs de red y tráfico de red
Recursos
Enlaces de Interés
Xplico.
https://www.xplico.org/
Xplico.
Whireshark.
https://www.wireshark.org/
Whireshark.
Bibliografía
Big data analytics for detecting host misbehavior in large logs.: Daniel Gon¸calves, Joao
Bota, and Miguel Correia. Big data analytics for detecting host misbehavior in large logs. In
Trustcom/BigDataSE/ISPA, 2015 IEEE, volume 1, pages 238–245. IEEE, 2015.
Guide to computer security log management.: Karen Kent and Souppaya M. Guide to
computer security log management. Special Publication 800- 92 (National Institute of Standards
and Technology), 2007.
Logging and Log Management: The Authoritative Guide to Understanding the Concepts
Surrounding Logging and Log Management.: Anton Chuvakin, Kevin Schmidt, and Chris
Phillips. Logging and Log Management: The Authoritative Guide to Understanding the Concepts
Surrounding Logging and Log Management. Syngress Publishing, 2013.
Glosario.
Captura de tráfico o sniffing: Técnica por la cual se puede "escuchar" todo lo que circula
por una red.
Network Miner: Herramienta para recolectar información tras el procesado de las capturas de
red.
21/22
Análisis forense de red: análisis de logs de red y tráfico de red
Port mirroring: Función de puerto espejo en un switch para enviar copias de paquetes de red
vistos en un puerto del switch a una conexión de red monitoreada en otro puerto del switch.
Wireshark: Una de las aplicaciones más conocidas que realizan recolección de paquetes.
Xplico: Herramienta que permite visualizar de forma gráfica y ordenada las capturas de red
recopiladas y que, además, permite trabajar con gran cantidad de datos y protocolos.
22/22