Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a unapérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre essencillo, por falta de tiempo y recursos o por desconocimiento de las herramientasapropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones,incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podidodesconectarse sin motivo aparente.En la mayoría de ocasiones, las causas de estos problemas tienen un origen nopremeditado y se deben a una mala configuración de la red como puede ser tormentasbroadcast, spanning-tree mal configurado, enlaces redundantes, etc. Pero, en otrasocasiones, puede tratarse de ataques inducidos por terceros que pretenden dejar fuerade servicio un servidor web mediante un ataque DoS, husmear tráfico mediante unenvenenamiento ARP o simplemente infectar los equipos con código malicioso paraque formen parte de una red zombi o botnet.En cualquier caso, conocer el origen del incidente es el primer paso para poder tomarlas contramedidas necesarias y conseguir una correcta protección. En este punto, losanalizadores de tráfico pueden resultar de gran utilidad para detectar, analizar ycorrelacionar tráfico identificando las amenazas de red para, posteriormente, limitar suimpacto. Con tal propósito, existen en el mercado dispositivos avanzados como elappliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPSbasados en hardware de diversos fabricantes. Pero estas soluciones no siempre estánal alcance de todas las empresas ya que su coste puede que no cumpla un principiobásico de proporcionalidad (el gasto es superior al beneficio obtenido) y, por lo tanto,no se justifique su adquisición.Por ello, y para cubrir las necesidades de entidades con infraestructuras tecnológicasmás modestas, INTECO-CERT presenta esta «Guía de análisis de tráfico conWireshark». Tiene por objeto sensibilizar a administradores y técnicos de las ventajasde auditar la red con un analizador de tráfico, principalmente utilizando la herramientalibre Wireshark. Además, ofrece ejemplos prácticos de ataques en redes de área localbastante conocidos y que actualmente siguen siendo uno de los mayores enemigos enlos entornos corporativos.El presente documento está dividido en una serie de apartados que tratan diversosataques reales llevados a cabo en redes de área local, como son ARP Spoof, DHCPFlooding, DNS Spoof, DDoS Attacks, VLAN Hopping, etc. En ellos se empleaWireshark como herramienta principal de apoyo para ayudar a detectar, o al menosacotar en gran medida, los problemas generados por dichos ataques. Asimismo, seproponen diversas acciones de mitigación para cada uno de los casos expuestos.
ÍNDICE
1. ANÁLISIS DE TRÁFICO
2. ¿POR QUÉ WIRESHARK?
3. DÓNDE REALIZAR LA CAPTURA DE DATOS
3.1. Utilizando un Hub
3.2. Port Mirroring o VACL (VLAN-based ACLs)
3.3. Modo Bridge 8 3.4. ARP Spoof
3.5. Remote Packet Capture
4. ATAQUES EN REDES DE ÁREA LOCAL
4.1. ARP Spoof
4.1.1. Ejemplo práctico
4.1.2. Mitigación
4.2. Port Flooding
4.2.1. Descripción
4.2.2. Mitigación
4.3. DDoS Attacks
4.3.1. Descripción
4.3.2. Mitigación
4.4. DHCP Spoof
4.4.1. Descripción
4.4.2. Mitigación
4.5. VLAN Hopping
4.5.1. Ataque de suplantación del switch
4.5.2. Ataque de etiquetado doble
4.5.3. Mitigación
4.6. Análisis de malware
4.6.1. Ejemplo práctico
4.6.2. Mitigación
5. FILTROS
6. FOLLOW TCP STREAM
7. EXPERT INFOS
7.1. Introducción
7.2. Interfaz de usuario
7.2.1. Ejecución
8. USO DE HERRAMIENTAS EXTERNAS
8.1. Snort
8.1.1. Mitigación
8.1.2. Conversión de formatos
8.2. Scripts
9. GRÁFICAS
10. CONCLUSIONES
Hosting: Drive (Descarga Directa Para Desktop y Mobile) Archivo: Pdf Idioma: español Peso: (2.7 MB)