En esta ocasión os traigo una primera parte de esta sala de Wireshark de TryHackMe. Esto no quiere decir que haya dejado de lado la parte del Pre-Security Path, pero he querido hacer un paréntesis e introducir un poco de Wireshark, ya que pienso que es un gran desconocido para mucha gente, y es un programa muy útil, y más sencillo de utilizar de lo que puede parecer en un principio.
Debido a que la sala de Wireshark es muy extensa, he decidido partirla en varias entregas, así la publicación no se hará tan pesada, y creo que se podrán asimilar mejor los conceptos de esta forma.
Espero que disfrutéis de la lectura de esta publicación tanto como yo he disfrutado realizándola, y aprovecho para felicitaros a todos estas fiestas navideñas y desearos un genial año 2022.
WIRESHARK 101
INTRODUCCIÓN
Wireshark, una herramienta utilizada para crear y analizar PCAPs (archivos de captura de paquetes de red), se usa comúnmente como uno de las mejores herramientas para análisis. Aquí veremos la instalación básica de Wireshark y cómo usarlo para realizar análisis básicos de paquetes y veremos más profundamente algunos de los protocolos de networking más habituales.
INSTALACIÓN
La instalación de Wireshark es muy sencilla y típicamente viene con un asistente gráfico que te ayudará en el proceso. Por suerte, si estás usando Kali Linux, la encontrarás ya instalada en tu máquina. Wireshark puede correr en Windows, MacOS y Linux. Para comenzar a instalar Wireshark en un dispositivo Windows o MacOS, primero necesitarás descargar el instalador de su sitio web. Una vez descargado el instalador, simplemente ejecútalo y sigue las instrucciones en pantalla del asistente.
Si estás usando Linux, puedes instalar Wireshark con apt install wireshark o cualquier gestor de paquetes similar.
Nota: Wireshark puede venir con otros paquetes y herramientas; tú decides si instalar o no dichas herramientas junto a Wireshark.
Para más información sobre Wireshark, puedes consultar la Documentación de Wireshark.
VISIÓN GENERAL DE WIRESHARK
La primera pantalla con la que nos encontramos al abrir Wireshark es la página principal que nos permitirá especificar nuestra(s) interfaz(es) así como aplicar filtros para acotar el tráfico que estamos captando.
Aquí puedes ver que tengo varias interfaces para filtrar, aunque tú puedes tener más o menos interfaces que yo. Desde aquí puedes escoger si quieres realizar una captura real de tu interfaz o cargar un PCAP par analizarlo.
Es útil percatarse que los gráficos junto a los nombres de interfaz muestran la actividad en la interfaz, si una interfaz tiene una barra plana es posible que no sea de utilidad realizar una captura en ella (ya que el cliente de Wireshark no recoge datos en esa interfaz).
Captura de paquetes en tiempo real
Si hacemos clic en el lazo verde en Wireshark y seleccionamos Gestionar Filtros de Captura, podemos ver una lista de los filtros disponibles.
No tienes que seleccionar un filtro, solo te ayudará a reducir el número de paquetes que se importan y organizar la captura. Esta es una breve introducción a los filtros, más adelante te daré más información al respecto, o puedes consultar el sitio web de Wireshark.
Una vez que has seleccionado los filtros que quieras, puedes comenzar una captura en una interfaz haciendo doble clic en ella o haciendo clic derecho y pulsando sobre Empezar Captura.
Dependiendo de la actividad en la red verás o no los paquetes que llegan rápidamente.
Una vez que has recolectado los paquetes que necesitas o quieres, puedes hacer clic en el cuadrado rojo para finalizar la captura y comenzar el análisis de la misma.
En la imagen superior vemos una captura de ejemplo. Esta pantalla es donde realizarás la mayor parte de tu análisis y disección de los paquetes. Para abrir una captura de paquetes ve a Archivo > Abrir y selecciona qué archivo PCAP quieres analizar.
En esta pantalla, Wireshark te da información importante acerca de cada paquete, incluyendo:
Número del paquetes
Tiempo
Fuente
Destino
Protocolo
Longitud
Información del paquetes
Además de la información del paquete, Wireshark tiene un código de color para cada tipo de paquetes según su nivel de criticidad, así como del protocolo, que puede detectar rápidamente anomalías y protocolos en las capturas.
Este rápido vistazo a la información del paquete puede ser útil para localizar exactamente qué estás viendo durante el análisis.
Juega con los menús y las distintas características de Wireshark para familiarizarte con él, algunas de las características las detallaremos más adelante.
MÉTODOS DE RECOLECCIÓN
Antes de entrar en detalle acerca de cómo analizar cada protocolo en un PCAP, necesitas comprender las formas de recolectar un archivo PCAP. Los pasos básicos para recolectar un PCAP en Wireshark pueden ser sencillos, aunque introducir el tráfico puede ser tanto la parte complicada como la divertida, esto puede incluir: derivaciones, replicado de puertos, inundación de MAC o envenenamiento de ARP. No explicaré cómo configurar cada una de estas estrategias a la hora de realizar una captura de paquetes en tiempo real, solo cubriré la teoría básica de cada uno.
Visión general de los métodos de recolección
Algunas cosas en las que debes pensar antes de comenzar tu intento de coleccionar y monitorizar una captura de paquetes:
Comienza con un ejemplo de captura que te asegure que todo está correcto y que estás capturando tráfico con éxito.
Asegúrate de que tienes suficiente potencia de cómputo para manejar el número de paquetes basándose en el tamaño de la red, esto obviamente variará según cada red.
Asegúrate de tener suficiente espacio en disco para almacenar las capturas de paquetes.
Una vez que cumplas estos criterios y hayas elegido un método de recolección puedes comenzar a monitorizar activamente y recolectar paquetes de una red.
Derivaciones de red
Las derivaciones de red son un implante físico en el que se interviene un cable físicamente, estas técnicas se usan normalmente por parte de equipos de Caza de Amenazas/DFIR y red teams en su compromiso de capturar y ojear paquetes.
Hay dos formas primarias de derivar un cable. La primera es usando un hardware para interceptar el tráfico como puedes ver en la imagen inferior.
Otra opción sería un derivador de red en línea, el cual se colocaría entre dos dispositivos de red. Este derivador replicaría los paquetes conforme vayan pasando por él. Un ejemplo es el comúnmente utilizado Throwing Star Lan Tap.
Inundación de MAC
Es una táctica comúnmente utilizada por los red teams como forma de interceptar los paquetes activamente. La inundación de la MAC tiene como objetivo estresar el switch y llenar la tabla CAM. Una vez que la tabla CAM está llena, el switch no puede aceptar nuevas direcciones MAC y, para mantener la red en funcionamiento, el switch enviará los paquetes a todos los puertos del mismo.
Nota: Esta técnica se ha de usar con extrema precaución y siempre con consentimiento explícito.
Envenenamiento de ARP
El envenenamiento de ARP es otra técnica usada por los red teams para ojear paquetes de forma activa. Con este método puedes redireccionar el tráfico del huésped a la máquina que estás monitorizando. Esta técnica no estresará el equipo de la red como el caso anterior, aunque también debe ser usada con precaución y solo si técnicas como las derivaciones de red no están disponibles.
Combinando estos tres métodos con tu conocimiento previo de captura de tráfico, podrás monitorizar de forma proactiva y recolectar los paquetes que puedas rascar.
No hay comentarios:
Publicar un comentario