Departamento de Informtica. UTFSM JMC. Via del Mar.

ANALISIS DE TRFICO UTILIZANDO WIRESHARK

Profesor: Miguel Varas. Alumna: Claudia Vargas. Fecha: 29-11-2010.

ndice

Introduccin. WireShark. Estructura lgica de la red utilizada . Instalacin de WireShark Configuracin de interfaces y uso bsico de WireShark. Grfica de WireShark: Colores Skype vs MSN Messenger.. Monsters Game vs Banco BBVA.. Captura y anlisis de la experiencia -

3 4 5 5 6 8 8 9 10 13

Encapsulamiento.

TCP/SYN 14 Conclusin. 15

Introduccin
La seguridad siempre tendr un efecto significativo para el ser humano respecto de su privacidad y est, claramente, considera el campo de la seguridad informtica. La seguridad de la informacin es primordial, y se debe tener la plena confianza de que la informacin que se est manejando est siendo bien usada y est protegida, que no le estn dando un uso diferente al que est destinada. Por lo anterior que mencionado realizaremos una pequea experiencia sobre el anlisis de protocolos en una red como la nuestra, observando la seguridad de la informacin que enviamos y recibimos desde paginas o programas conocidos para nosotros calificndolos como seguros e inseguros.

En este informe utilizaremos la herramienta WireShark para realizar nuestra experiencia y poner a prueba la seguridad de la informacin. Por lo tanto mencionaremos qu es y la razn para su uso en nuestro caso.

Es un software de distribucin gratuita y multi-plataforma que sirve de analizador de protocolos de red, tambin denominados sniffer. Est herramienta grafica es utilizada para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didctica para educacin. Algunas de las caractersticas de WireShark son las siguientes: Disponible para UNIX, LINUX, Windows y Mac OS. Captura los paquetes directamente desde una interfaz de red. Permite obtener detalladamente la informacin del protocolo utilizado en el paquete capturado. Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas. Filtra los paquetes que cumplan con un criterio definido previamente. Realiza la bsqueda de los paquetes que cumplan con un criterio definido previamente. Permite obtener estadsticas. Sus funciones grficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos.

Es importante tener presente que WireShark no es un IDS (Instrusion Detection System) ya que no es capaz de generar una alerta cuando se presentan casos anmalos en la red. Sin embargo, permite a los profesionales de IT analizar y solventar comportamientos anmalos en el trfico de la red.

Estructura lgica de la red utilizada:

La experiencia se realizar en un laptop usando un router Tp-Link con una conexin a internet proporcionada por el proveedor VTR a una conexin de 4Mb y bajo el sistema operativo Windows 7.

Instalacin de WireShark
La obtencin del software, es posible realizarla desde la pgina oficial http://www.wireshark.org. Una vez que se obtiene el instalador desde http://www.wireshark.org/download.html se ejecuta el archivo wireshark-setup1.4.2.exe (en este caso la versin es 1.4.2) para iniciar la instalacin. Es importante mencionar que, aunque, la instalacin es bastante intuitiva hay que asegurarse que se encuentre seleccionada la instalacin de la librera WinPcap que es necesaria para la captura de datos.
Imagen de muestra:

Configuracin de interfaces y uso bsico de WireShark

Abrimos WireShark y procedemos a seleccionar de la lista de interfaces de red que utilizaremos para realizar las capturas de datos.

Si nos damos cuenta la que presenta actividad es la llamada Microsoft que pertenece a la red inalmbrica del computador y es la que utilizaremos para llevar a cabo la experiencia. Para iniciar la captura de datos debemos presionar en Start como se nuestra en la imagen mostrada anteriormente y comenzaremos a ver los paquetes que son intercambiados.

Una pequea explicacin del programa es la siguiente:

1. Filtrado: Se puede definir un filtro para la visualizar los paquetes, para as concentrarnos en el anlisis de un determinado protocolo o en el trfico entrante o saliente de un ordenador determinado. Existen filtros predeterminados que se pueden emplear, o se puede crear uno nuevo. Tambin es posible introducir el texto del filtro directamente o seleccionar alguno de los filtros que se hayan utilizado anteriormente. Se debe presionar en el botn Apply para iniciarlo y Clear para eliminarlo, as tambin se puede especificar con ms a fondo el filtrado entrando en Expression. 2. Panel de lista de paquetes: Muestra un resumen de cada paquete capturado. Al pulsar los paquetes de este panel se controla el contenido de los otros dos paneles. Los paquetes son debido al encapsulamiento (ms adelante se ver ms en detalle). 3. Panel de vista en rbol: Muestra el paquete seleccionado en el panel superior (2) con ms detalle, permite acceder a los distintos niveles de protocolos. Al pulsar sobre cada uno se resaltan los datos del paquete en el panel inferior (4). 4. Panel de detalle de los datos: Muestra el contenido del paquete seleccionado en el panel superior (2) en formato hexadecimal y ASCII.

Grfica de wireShark: Colores

Como se puede apreciar los colores no son una simple trivialidad del programa, ms bien indica el tipo de protocolo y otro tipo de reglas que nos ayuda a visualizar mejor la transferencia de los datos por la red.

Captura y anlisis de la experiencia

Nos centraremos en ver la existencia de protocolos seguros e inseguros para enviar y recibir paquetes de datos a travs de red. En mi caso escog dos programas de mensajera muy reconocidos como lo son Skype y MSN Messenger que, al menos, este ltimo est en la mayora de los computadores de nuestros hogares. Sin hacer muchos prembulos nos iremos a lo prctico y explicar la experiencia utilizando WireShark, pero sin dejar de lado la correspondiente explicacin en cada paso. Mencionaremos mucho los tipos de protocolos que cada programa o pagina utiliza y es por esta razn que es importante tener claro que es una norma standard -conjunto de normas standard- que especifica el mtodo para enviar y recibir datos entre varios ordenadores.

Skype VS

MSN Messenger

Skype utiliza el algoritmo AES A 256-bit para cifrar la voz, la transferencia de archivos o un mensaje instantneo. Para la versin de pago se utiliza el algoritmo RSA a 2048-bit para el acceso a voicemail y 1536-bit para la negociacin a la hora de establecer la conexin. Para ello utilizan una llave asimtrica lo cual permite evitar ataques man-in-the-middle.

Se aprecia en la imagen que Skype utiliza para comunicarse el protocolo TCP (tambin ocupa el protocolo UDP, que sirve para video-llamadas o stream) y los frames van encriptados, la carga til va encriptada. Entregando seguridad a sus usuarios de que la informacin no podr ser interceptada como con el programa que estamos utilizando.

Por otro lado MSN Messenger (MSNMS) sin duda el protocolo ms empleado y con ms cuota de usuarios en nuestro pas. El protocolo MSN no es un protocolo esttico, va mutando peridicamente y Microsoft va sacando actualizaciones en las que varia ligeramente su funcionamiento. La parte de la autentificacin para nuestra tranquilidad es encriptada, pero no as las conversaciones que sostenemos, ya que estas son muy fcilmente apreciables en texto plano sin ninguna codificacin.

Como hemos apreciado con todo este anlisis de protocolos entre ambos programas nos damos cuenta que MSN Messenger permite que los mensajes y otros datos que se envan por la red puedan ser interceptados y almacenados sin ningn problema. No es difcil imaginar el riesgo e inseguridad con la que cuentan las personas que inician sesin en sitios pblicos donde cualquier persona con un software adecuado podra tener acceso. Por lo tanto el protocolo MSNMS lo calificaremos como uno que no es seguro, fcilmente vulnerable al acceso de la informacin que es enviada por su medio. Monsters Game vs Banco BBVA Monsters Game (www.monstersgame.es) es un juego de rol al que es posible acceder a jugarlo por medio de cualquier navegador y una conexin a internet.

No tiene mucho relevancia entrar en detalle sobre el juego, ya que slo analizaremos su vulnerabilidad en cuanto al autentificacin para entrar a nuestra cuenta como una pgina sin forma segura (http://).

10

Esta pgina est utilizando protocolos TCP.

Y por otro lado tenemos la pgina del Bando BBVA (www.bbva.cl) la cual al autentificarnos no nos es posible ver nuestros datos, a pesar de que utilizar el mismo protocolo TCP. Nos preguntaremos cual es la diferencia entre las pginas que hemos utilizado para esta experiencia y, es muy sencillo, la pgina del Banco BBVA est con el protocolo HTPPS que es el protocolo seguro de transferencia de hipertexto, que aunque est basado en HTTP (Hyper Text Transport Protocol) nos ofrece una mayor seguridad en la transferencia de datos. En el protocolo HTTP las URLs comienzan con "http://" y utilizan por defecto el puerto 80 tipo cliente-servidor. Las URLs de HTTPS comienzan con "https://" y utilizan el puerto 443 por defecto en el cual se utiliza un canal de comunicacin seguro basado en SSL (Secure Socket Layer) entre el navegador del cliente y el servidor en cuestin.

11

HTTP es inseguro y est sujeto a ataques man-in-the-middle 1y eavesdropping2 que pueden permitir al atacante obtener acceso a cuentas de un sitio web e informacin confidencial. HTTPS est diseado para resistir esos ataques y ser seguro. Como veremos en la siguiente imagen la pgina del banco, aunque utiliza el mismo protocolo que la pgina del juego que es TCP ofrece una mejor seguridad mediante el uso de HTTPS. La del banco que esta basada en TCP, pero por el puerto 443:

Y la del juego que claramente el color nos indica que est basada en HTTP por el puerto 80:

La pequea diferencia en la descripcin (http para Monsters Game y https para BBVA), es lo que hace la diferencia de seguridad que hemos mencionado ms atrs, y determina en parte el por qu no podemos ver en texto plano en los datos de autentificacin del banco como hemos visto en la pgina del juego.

En criptografa, un ataque man-in-the-middle (MitM o intermediario, en espaol) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.
2

Eavesdropping, trmino ingls que traducido al espaol significa escuchar secretamente, se ha convertido en parte de la jerga habitual en criptografa y se refiere a ataques de escuchas, tanto sobre medios con informacin cifrada, como no cifrada.

12

Encapsulamiento
Un paquete de datos, es el resultado del encapsulamiento, proceso que consiste en colocar los datos dentro de paquetes para luego enviarlos por la red. Estos paquetes se pueden administrar y rastrear cuando uno hace una solicitud de requerimiento de informacin.

Presentacin: cambia el formato de los datos para su utilizacin. Transporte: divide el paquete en segmentos para su transporte. Red: crea paquetes o datagramas con los segmentos y les aade las direcciones de las maquinas en un encabezado. Enlace de datos: Crea tramas a partir de los datagramas y les coloca las direcciones MAC origen y destino. Si los datos se transmiten en una red de rea local, se denotan las unidades de datos en trminos de tramas, puesto que la direccin MAC es todo lo que se necesita para llegar desde el host a otro. Pero cuando se deben enviar los datos a otro host por una red interna o Internet, los paquetes de datos se transforman en la unidad de datos a la que se hace referencia. Esto es porque la direccin de red del paquete contiene la direccin destino final del host al que se envan los datos. En el caso de WireShark los paquetes son representados grficamente como una lnea o registro como se aprecio en las imgenes anteriormente mostradas. Importante denotar que los paquetes se dividen dependiendo de protocolos. El proceso no toma los datos al lote y los divide en paquetes, si no que agrupa los datos segn su protocolo (Por ejemplo http), y luego los divide, por tanto, cada paquete de datos corresponde a un protocolo definido.

13

TCP/SYN
Cuando una mquina se comunica mediante TCP/IP con otra, enva una serie de datos junto a la peticin real. Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas sealizaciones llamadas Flags (banderas). Estas sealizaciones (banderas) permiten iniciar una conexin, cerrarla, indicar que una solicitud es urgente, reiniciar una conexin, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la respuesta (servidor). Para aclararlo, veamos cmo es un intercambio estndar TCP/IP:

1 Establecer Conexin: El cliente enva una Flag SYN, si el servidor acepta la conexin, este, debera responderle con un SYN/ACK luego el cliente debera responder con una Flag ACK3.
2 Servidor 3 Servidor 6 Servidor

1-Cliente --------SYN-----> 4-Cliente <-----SYN/ACK---5-Cliente --------ACK----->

2 Resetear Conexin: Al haber algn error o perdida de paquetes de envio se establece envio de Flags RST:

1-Cliente -------Reset-----> 2-servidor 4-Cliente <----Reset/ACK---- 3-Servidor 5-Cliente --------ACK------> 6-Servidor

Esto lo vimos en una lnea de WireShark cuando estbamos probando la seguridad de MSN Messenger.

ACKNOWLEDGEMENT (ACK) (en espaol acuse de recibo), en comunicaciones entre computadores, es un mensaje que se enva para confirmar que un mensaje o un conjunto de mensajes han llegado.

14

Conclusin
Como conclusin me gustara que quede claro que la Seguridad Informtica es un aspecto muchas veces descuidado en nuestros sistemas, pero de vital importancia para el correcto funcionamiento de todos ellos. En los delitos informticos se puede apreciar un importante conocimiento de los delincuentes y un magro conocimiento en la materia de quienes ingresan diariamente a la era de la informtica y es por esta razn que hay que contribuir a nuestra seguridad con pequeas acciones como lo son: - Mantenerse informado. - Conocer nuestro sistema operativo. - Limitar el acceso a la red, una forma seria utilizar firewall adecuado - Limitar el nmero de puntos de entrada (puertos), el cual se puede lograr configurando un router. - Defina una poltica de seguridad interna (contraseas, activacin de archivos ejecutables) - Haga uso de utilidades de seguridad (registro) - Introduzca sus datos de tarjetas de crdito en paginas seguras HTTPS y no en HTTP para que se mantengan protegido.

15