Embed Size (px)
Citation preview
Curso TCP/IPLSUB, GYSC, URJC
Friday 21 November 14
Filtrado Wireshark
• Dos tipos de filtros
• Display: ver un log de paquetes
• Capture: elegir qué paquetes se capturan (mucho tráfico, poca CPU, etc)
• http://wiki.wireshark.org/
Friday 21 November 14
Filtrado Wireshark
• CaptureFilters: reglas estándar (tcpdump, windump...), de la librería libpcap/WinPcap
• Para un protocolo concreto, mirar
• http://wiki.wireshark.org/ProtocolReference
Friday 21 November 14
Filtrado Wireshark
• Capture-Interfaces-Options-Capture Filters
Friday 21 November 14
Filtrado WiresharkCapture
• host 172.18.5.4
• net 192.168.0.0/24
• net 192.168.0.0 mask 255.255.255.0
• src net 192.168.0.0/24
• port 53
• udp port 53
• tcp port 53
• vlan
Friday 21 November 14
Filtrado WiresharkCapture
• host www.example.com and not (port 80 or port 25)
• port not 53 and not arp
• rango de puertos:(tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550)
Friday 21 November 14
Filtrado WiresharkCapture
• tcp portrange 1501-1549
• ether proto 0x888e
• not ether dst 01:80:c2:00:00:0e
• ip
• not broadcast and not multicast
Friday 21 November 14
Filtrado WiresharkCapture
• IPv6 para todos los nodos:
dst host ff02::1
• GET http se hace:port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420
Friday 21 November 14
Filtrado WiresharkDisplay
• Ya tengo una captura, enseñarla
• Ventanita de filter encima de la captura
• Más potente (no lo evalúa mientras captura)
• Se puede usar para colorear (View-Coloring Rules)
Friday 21 November 14
Filtrado WiresharkDisplay
• Protocolos por campo (hacer click en expression)
• Expresiones lógicas
• Búsquedas en campos de cabecera y contenido
Friday 21 November 14
Filtrado WiresharkDisplay
• tcp.port eq 25 o icmp
• ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16
• tcp.window_size == 0 && tcp.flags.reset != 1
• smb || nbns || dcerpc || nbss || dns
Friday 21 November 14
Filtrado WiresharkDisplay
• eth.addr[0:3]==00:06:5B
- El principo de la ethernet es...
• udp[8:3]==81:60:03
- A partir del byte 8, tres bytes coinciden
Friday 21 November 14
Filtrado WiresharkDisplay
• udp contains 81:60:03
- El cuerpo contiene en cualquier sitio
• sip.To contains "a1762"
- La cabecera contiene la string en cualquier sitio
• http.request.uri matches "gl=se$"
- Expresiones regulares de Perl
- http://perldoc.perl.org/perlre.html#Regular-Expressions
- ^ principio $ final
Friday 21 November 14
Filtrado WiresharkDisplay
• ip.src != 192.168.15.25 && ip.dst != 192.69.15.1 && sip
- filtra las que no le gustan
Friday 21 November 14
Filtrado WiresharkDisplay
• OJO:
• ip.addr == 10.43.54.65
equivale a:
• ip.src == 10.43.54.65 or ip.dst == 10.43.54.65
Friday 21 November 14
Filtrado WiresharkDisplay
• OJO:
• ip.addr != 10.43.54.65
es:
• ip.src != 10.43.54.65 or ip.dst != 10.43.54.65
(filtra destino y origen)
Friday 21 November 14
Filtrado WiresharkDisplay
Queremos:
• ! ( ip.addr == 10.43.54.65 )
equivalente a:
• ! (ip.src == 10.43.54.65 or ip.dst == 10.43.54.65)
Friday 21 November 14
Snort
• Es un IDS, intrusion detection system
• También es un packet logger/sniffer
• Se obtiene de:
• https://www.snort.org/
• http://manual.snort.org
Friday 21 November 14
Snort
• Un IDS es un sniffer
• Que además sabe seguir sesiones, entiende protocolos (más allá de imprimirlos)
• Y bajo ciertas reglas da alertas
Friday 21 November 14
Snort
• Dos (tipos de) ficheros importantes de configuración
• snort.conf configuración general
• xxxx.rules cuando suceda x, y, z eventos, da una alerta
Friday 21 November 14
Snort
• snort.conf configuración de módulos (preprocessors en terminología snort)
• Ej: STREAM, sigue flujos (conjunto de paquetes, los guarda en memoria)
• Ej: sfportscan
Friday 21 November 14
Snort
• snort.conf: el que viene por defecto es para UNIX (cambiar todos los path de ficheros)
• Vienen incluidos muchos ficheros de reglas, te hacen darte de alta, etc (CISCO)
• https://rules.emergingthreats.net/open/snort-2.9.0/rules
Friday 21 November 14
Snort
• Muchos parámetros, aquí, como IDS:
• snort -dev -l C:\Snort\log -h 192.168.56.0/24 -c C:\Snort\etc\snort.conf -K ascii
Friday 21 November 14
Snort
• Alertas en el directorio de log
• Un directorio por host con las posibles alertas
• Snort puede hacer mucho más corriendo programas externos (actualizar reglas del firewall, por ejemplo)
Friday 21 November 14
FirewallWindows
Friday 21 November 14
FirewallWindows
http://blink.ucsd.edu/technology/security/firewall/windows7-a.html
Friday 21 November 14
FirewallWindows
Friday 21 November 14
FirewallWindows
• Reglas de entrada y de salida
• Tienen perfil (público, privado, dominio)
• Agrupadas por grupos (complicado)
• http://www.howtogeek.com/100409/group-policy-geek-how-to-control-the-windows-firewall-with-a-gpo/
Friday 21 November 14
FirewallWindows
• Reglas de entrada y de salida
• Permiten filtrar por programa, puerto...
Friday 21 November 14
FirewallWindows
• Reglas de seguridad de conexión
• Garantizar que las conexiones van cifradas
Friday 21 November 14
OpenVPN
• Una red virtual privada cifrada allí donde vaya
• Topología en estrella, un servidor y clientes
• La configuración es sencilla
Friday 21 November 14
OpenVPN
• https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide#ClientConfigFiles
• https://wiki.debian.org/OpenVPN
• http://gsyc.es/~mortuno/iro/openvpn.pdf
• http://proquest.safaribooksonline.com/book/networking/vpn/9781847197061
Friday 21 November 14
OpenVPN
• Creo una CA (autoridad certificadora)
• Una clave y certificado para el servidor
• Una clave y certificado para clientes
• Parámetros para diffie helman
Friday 21 November 14
OpenVPN
• Cada cliente tiene que tener el certificado CA, su certificado, su clave y dhxxxx.pem
• El servidor lo mismo pero del servidor
• Descomento unas cosillas en el fichero de configuración y a correr
Friday 21 November 14
OpenVPN
• Ojo en Windows y en Linux con los firewalls!!
Friday 21 November 14
Redes VLAN
• Concepto de dominio de colisión (broadcast domain)
• Quiénes ven a quiénes (broadcast, por ejemplo dhcp, netbios)
• En una red muy grande importante particionar en segmentos (ver problemas de la URJC)
Friday 21 November 14
Redes VLAN
• Problemas si no particiono
• Se me llenan las tablas de los switches
• La cantidad de tráfico innecesario es brutal
• Es más difícil contener intrusiones
Friday 21 November 14
Redes VLAN
• El protocolo más importante IEEE 802.1Q
Friday 21 November 14
802.1Q
• Añade un TAG de 32 bits en la cabecera Ethernet
Friday 21 November 14
802.1Q• TPID: Identificador del protocolo 0x8100 (mayor
que 1500 es ethertype trama especial, no ethernet normal) para avisar de que la trama está marcada, hay otro valor especial para Jumbo Frames
• TCI: tag control information
• PCP: priority code point, clase de servicio (QoS)
• DEI: drop eligible indicator, ¿se puede tirar si hay congestión?
• VLAN identifier: VID con 0x000 y 0xFFF reservados (color)
Friday 21 November 14
802.1Q• Reencapsulado (para meter VLANs en
VLANs)
• TPID es 0x9100
Friday 21 November 14
VLAN: switch CISCO
• http://en.wikipedia.org/wiki/Virtual_LAN
• http://standards.ieee.org/getieee802/download/802.1Q-2011.pdf
• Libro que está bien:
• http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750x_3560x/software/release/12-2_55_se/
Friday 21 November 14
Cableado (máximos)
• Todos los anchos de banda son máximos, sujetos a todo tipo de variables...
• Par trenzado apantallado (1Gb sin apantallar)
• Estándar ethernet 1Gb, 10Gb (40Gb en proceso), 10Gb más difícil encontrar en equipos baratos, 1Gb muy común
• http://en.wikipedia.org/wiki/Twisted_pair
Friday 21 November 14
Fibra óptica
• Estándar 802.3m de Ethernet 100Gb/40Gb (distancias más pequeñas, pensado para backplanes)
• 802.3 define distancias de 10Km para 1Gb
Friday 21 November 14
