4/9/08

NetworkMiner - Analizador de trafico de red

Agradezco a los lectores que se tomaron el tiempo de responder a la encuesta anterior, luego de una cerrada votacion, un voto de ultima hora favorecio que este post sea relacionado con herramientas de soporte, asi que para agradecer a estos amables lectores, este post esta relacionado con una herramienta relativamente nueva, pero que definitivamente es una excelente adicion al arsenal de soporte, espero que este post sea de utilidad.

NetworkMiner es un analizador pasivo de trafico de red, como Wireshark puede capturar trafico, pero su enfoque y su mayor potencial no es tanto la captura sino más bien al análisis, especificamente al análisis forense del tráfico de red, a que me refiero con esto, quedara más claro luego que veamos ejemplos prácticos del uso de esta herramienta. Por lo pronto y a manera de introducción y motivación para continuar leyendo este post, puedo decirte que es un excelente complemento de Wireshark, esta basado en Windows y es Open Source por lo que no hay nada que te impida bajarla y ejecutarla en tu red. Sin más, entramos en materia...

A continuación se enumeran algunas caracteristicas de este software:

  • Permite la identificación de sistemas operativos y alguna información adicional sobre los hosts que detecta (OS Fingerprinting)
  • Reconstrucción de archivos - Supongamos que tenemos un archivo capturado en wireshark (con extensión pcap) al abrirlo en NetworkMiner, reconstruira los archivos que se encuentren presentes en la captura.
  • Extracción de imagenes - Como en el caso anterior, si tenemos una captura y la abrimos en NetworkMiner, reconstruira todas las imagenes presente que hay en la captura.
  • Identificación de credenciales - Identificara usuarios y passwords dentro de una captura.
Las anteriores son algunas de las caracteristicas más sobresalientes, aunque hay algunas más que no se discuten en este post, puede que te parezca que lo anterior no tiene mucha utilidad, espero con algunos ejemplos prácticos demostrar que no es asi, manos a la obra.

Para instalar el software unicamente lo baje del sitio, venia en un archivo .zip, luego de descomprimirlo, en el directorio que se crea, se ejecuta NetworkMiner.exe, y entramos a la interface principal, en la figura abajo, se muestra la pantalla principal en el momento en que se esta abriendo un archivo pcap (capturado previamente con Wireshark), como comente anteriormente, la parte de captura no es el principal fuerte de este software, de hecho no me funciono en Windows Vista, si vas a usar este software, quizas sea buena idea hacer las capturas con Wireshark en el formato pcap.



En Wireshark bajo el menu statistics, es posible observar una lista de los hosts detectados en una captura (llamados Endpoints), en NetworkMiner también, pero con mayor riqueza de información gracias a sus caracteristicas de identificación de sistemas operativos, por ejemplo en la figura abajo, muestra un host detectado, pero no solo muestra la dirección IP, sino también nos informa que esta PC esta ejecutando Windows, que el puerto 80 esta a la escucha y además que esta ejecutando el servidor web apache, esto nos puede ser de utilidad entre otras cosas, para detectar PCs o servicios no autorizados en nuestra red.



En el post Nanspy Worm en mi Laptop, describi el uso de Wireshark para detectar y eliminar un gusano, un aspecto clave en ese análisis fue detectar la presencia de algunos archivos que habían sido transferidos a ma laptop, con NetworkMiner es posible ver que archivos han sido transferidos, esto desde la pestaña Files, en ella muestra todos los archivos que han sido transferidos en una captura dada, a continuacion se muestra una captura en la que se detectaron algunos archivos sospechosos.


NetworkMiner también permite reconstruir las imagenes que detecta en una captura, supongamos que por ejemplo has hecho una captura en wireshark del tráfico de tu conexión a internet, en la pestaña images mostrara que imagenes han estado viendo los usuarios de la red, podrias descubrir contenido no permitido.



Para terminar con los ejemplos prácticos, NetworkMiner también es capaz de detectar credenciales que han sido utilizadas, si durante una captura, un usario establecio una conexión a telnet a un router, en la pestaña credentials, veras el usuario y password que se uso y te daras cuenta que es de suma importancia utilizar métodos más seguros para conectarte a tus equipos de red (como SSH, aunque ese, es otro tema).

Espero que con los ejemplos anteriores, este más que claro que este software tiene mucho potencial, hay algunas otras características que no se han discutido acá, y por ser este un software open source en constante evolución, con toda seguridad en el futuro tendrá aun cosas más interesantes que mostrar, por lo pronto es importante mantenerlo en perspectiva, no es un sustituto de Wireshark, a mi modo de ver, es un excelente complemento para facilitar el análisis forense del tráfico de tu red.

Finalmente, no esta de más mencionar que estos son mis primeros pasos con esta herramienta, en realidad la descubri hace unos poco días, asi que no ofrezco dar soporte, si en algo puedo ayudar con gusto, pero apenas estoy conociendo esta herramienta. Favor también tomar en cuenta la advertencia del siguiente parrafo.

Advertencia: Asegurate de contar con el permiso para análizar el trafico de tu red, la información que despliega NetworkMiner puede ser reveladora y atentar contra políticas de privacidad, asi que no utilices esta herramienta indiscriminadamente.