24/8/07

Backtrack 2.0

Como lo define la wikipedia, "un LiveCD o LiveDVD (traducido en ocasiones como CDvivo o CD autónomo) es un sistema operativo (normalmente acompañado de un conjunto de aplicaciones) almacenado en un medio extraíble, tradicionalmente un CD o un DVD (de ahí su nombre), que puede ejecutarse desde éste sin necesidad de instalarlo en el disco duro del ordenador, para lo cual usa la memoria RAM como disco duro virtual y el propio medio como sistema de ficheros".

Los livecd tienen muchos usos prácticos, en esta oportunidad quisiera introducir a los lectores que aún no han tenido la oportunidad de conocerlo, uno de los mejores livecd con herramientas orientadas a la seguridad, la distribución en mención es backtrack 2.0


Como mencione en el párrafo anterior, esta es una distribución orientada a la seguridad, más especificamente a "penetration testers", esto es hackers (espero que con buenas intenciones) que se dedican a mejorar la seguridad poniendola a prueba mediante ataques (algo que dicho sea de paso, no esta excento de polémicas).


Esta es una distribución cargada de herramientas de seguridad divida en categorías, si deseas ver una lista de todas las herramientas disponibles puedes verla aquí.


Lo que encuentro interesante de los livecd, específicamente para el área de soporte de redes, es la posibilidad de experimentar con herramientas que solo estan disponibles en sistemas operativos como linux o las variantes de BSD. Definitivamente no soy experto en Linux, sin embargo me he aventurado a experimentar y puedo dar fe de que instalar aplicaciones no es nada sencillo, tampoco es muy dificil, pero consume tiempo y el tiempo es lo que normalmente esta más escaso, asi que un livecd provee la oportunidad de tener a disposición una gran cantidad de herramientas, con solo insertar un cd y bootear la pc con el, despues de utilizarlas, se extrae el cd, y nuevamente tenemos el sistema operativo con el que trabajamos normalmente.


Entre las muchas herramientas del backtrack, quiero resaltar el excelente soporte a tarjetas de red wireless, también tiene incluidas las herramientas para análisis de redes wireless más populares, como Kismet, Air crack, Airsnort entre otras, de hecho, la principal razón por la que me intereso el backtrack en primer lugar, fue por la posibilidad de ejecutar Wireshark, para análisis de redes wireless, ya que el soporte para estos análisis es mucho mejor en Linux y hasta el momento no me ha defraudado, lo he utilizado en un par de veces para estos propósitos con análisis sencillos sin problemas.


Tal vez la dificultad principal, para sacarle más provecho a este livecd, es la documentación que no es tan abundante, sin embargo, el wiki proporciona lo básico y si lo que te interesa son algunas herramientas específicas, estas normalmente cuentan con bastante documentación.


Hay muchas otras distribuciones de Livecds, en el segmento específico de la seguridad, de acuerdo con el top 10 publicado por Darknet.org, backtrack es la número uno, pero hay algunas otras que vale la pena considerar, sin embargo, si solo puedes bajar una, te recomiendo backtrack.

16/8/07

Solidaridad con el pueblo Peruano

En esta oportunidad, no voy a hablar de redes, ni de temas tecnologícos, unicamente quiero aprovechar este espacio, para expresar mi solidaridad con el pueblo Peruano, que en estos momentos dificiles, tras el paso de un terremoto que según puedo ver en las noticias alcanzo los 7.9 grados en la escala de Ritcher.

Lamentablemente hay victimas, hay perdidas materiales, y es una herida que seguro dejara una huella en la historia del pueblo Peruano, desde la distancia quiero expresar mis condolencias a las familias de las victimas, personalmente no puedo hacer nada por estar allá y contribuir en algo, pero a la distancia puedo elevar mis oraciones e invito a los lectores del blog a hacerlo, a elevar nuestras oraciones para que Dios de consuelo a las familias de las victimas.

9/8/07

Wireshark 101 - Estadísticas Parte I

Continuando con la serie de post sobre Wireshark, en esta oportunidad me gustaría comentar sobre las estadísticas disponibles en Wireshark, estas tienen muchas aplicaciones prácticas para conocer por ejemplo que protocolos hay presentes en la red, o que hosts son los que estan consumiendo el mayor ancho de banda.

En esta primera parte, se describen dos tipos de estadística, reservando algunos más para futuros postst, el primero de ellos es la opción Protocol Hierarchy y Conversations, ambas disponibles desde el menú Statitiscs.

La opción de Protocol Hierarchy despliega todos los protocolos detectados en la captura, indicando el porcentaje encontrado de cada uno, por ejemplo en la figura abajo, muestra que para esta captura en particular, el 100% del trafico es ethernet, lo cual no es de sorprender ya que ethernet es el protocolo dominante, aunque si se captura con una máquina que tenga la capacidad de tener visibilidad en una red WLAN se encontraria un porcentaje diferente.



En el caso ilustrado en esta figura, también se puede ver que el protocolo dominante es IP con el 97.3%, el otro 0.3% corresponde a ARP (no mostrado en la figura). En el siguiente nivel, el protocolo dominante es el TCP con 94.87%, el resto es tráfico UDP, desglosando el TCP, se observa que el http ocupa casí el 10% del tráfico.

Espero que este breve ejemplo sirva para ilustrar el potencial de esta estadística, para identificar que protocolos son los que más estan consumiendo el ancho de banda, también podríamos detectar protocolos que en realidad no deberían estar pressentes, por ejemplo si se tiene restricción sobre algun protocolo específico, acá se puede detectar con mayor facilidad y observar el impacto que tiene sobre la red.

La segunda estadística a describir en este post, es la de conversations, esta proporciona información sobre las conversaciones presentes en la red, con quien se esta comunicando cada host, en el caso especifico ilustrado se puede observar que se detectaron 25 conversaciones ethernet, 197 conversaciones ipv4, 1141 conversaciones tcp y 779 conversaciones udp.



En el ejemplo ilustrado se pueden ver las conversaciones de ipv4, para cada conversación es posible ver la cantidad de packetes y byte transmitidos en cada dirección, esto puede ayudar a identificar que hosts son los que estan acaparando más el ancho de banda, es posible ordenar en orden ascendente o descendente, en este caso, se ordeno por la mayor cantidad de bytes (observar el pequeño triangulo en el campo bytes), con un clic en cualquiera de los campos se ordena en basea a ese parametro, otro click en ese mismo campo invierte el orden, por ejemplo otro click en bytes, ordeara en forma ascendente.

En la parte inferior aparece un boton de copy, con este se copia el contenido de estadisticas y se puede pegar en un documento de texto con todos los valores separados por comas, por lo que posterioremente es posible abrir el archivo en excel o en cualquier hoja de calculo, para genera gráficas, o hacer un análisis más a fondo.

Para que las estadísticas tengan sentido, es importante situar a wireshark en una ubicación que haga sentido y hay que recordar que estas estadísticas serán utilies de acuerdo al contexto de captura, por ejemplo, si unicamente se esta capturando tráfico entre dos hosts, la estadística será valida para estos dos hosts, si se esta capturando tráfico en un enlace de salida, esta estadística tendrá sentido en el contexto del tráfico que esta pasando por ese enlace, el mensaje aquí es que hay que interpretar las estadísticas de acuerdo a su contexto.

Eso es todo por el momento, en al menos dos post futuros se discutiran más opciones para análizar estadísticas de la red con Wireshark.