You are on page 1of 8

Auditoria Informtica - Herramientas de Software

HERRAMIENTAS SOFTWARE PARA EL ANLISIS DE RED

Qu es el anlisis forense?
El anlisis forense es un rea perteneciente al mbito de la seguridad
informtica surgida a raz del incremento de los diferentes incidentes de
seguridad. En el anlisis forense se realiza un anlisis posterior de los
incidentes de seguridad, mediante el cual se trata de reconstruir como se ha
penetrado o vulnerado en el sistema. Por tanto, cuando se est realizando un
anlisis forense se intenta responder a las siguientes preguntas:

Quin ha realizado el ataque?


Cmo se realiz?
Qu vulnerabilidades se han explotado?
Qu hizo el intruso una vez que accedi al sistema?
Etc.

El anlisis forense hace uso no solo de tecnologas de punta para poder


mantener la integridad de los datos y del procesamiento de los mismos; sino
que tambin requiere de una especializacin y conocimientos avanzados en
materia de informtica y sistemas para poder detectar dentro de cualquier
dispositivo electrnico lo que ha sucedido. El conocimiento del informtico
forense abarca el conocimiento no solamente del software sino tambin de
hardware, redes, seguridad, hacking, cracking, recuperacin de informacin.
Ayuda a detectar pistas sobre ataques informticos, robo de informacin,
conversaciones o pistas de emails, chats.
Networkminer
Es una de las ms modernas herramientas de anlisis forense, basado en la
captura y anlisis de los paquetes que circulan a travs de red LAN. Su uso
se asemeja al de wireshark, solo que se diferencia de esta y otras utilidades
similares, debido a que no utiliza ningn tipo de informacin en el proceso de
escucha y captura, lo que le permito no generar trfico en la red.
Esta herramienta de anlisis forense de red (NFAT) funciona en sistemas
operativos como Windows (pero tambin funciona en Linux / Mac OS
X / FreeBSD ).
NetworkMiner se puede utilizar como una herramienta pasiva captura red
sniffer / paquete con el fin de detectar los sistemas operativos, las sesiones, los
nombres de host, puertos abiertos etc. sin poner ningn trfico en la red.
Permite extraer y guardar archivos de los medios de comunicacin (tales como
archivos de audio o video) que se transmiten a travs de una red de sitios web

MSc. Ing. Victor H. Raa Cabello

Auditoria Informtica - Herramientas de Software

como YouTube. Admite los protocolos de extraccin de archivos FTP, TFTP,


HTTP y SMB.
Tambin puede analizar archivos PCAP para el anlisis fuera de lnea y para
regenerar / volver a montar los archivos transmitidos y los certificados de los
archivos PCAP.
NetworkMiner hace que sea fcil de realizar avanzados de anlisis de trfico
de red (NAT), proporcionando artefactos extrados en una interfaz de usuario
intuitiva. La forma de presentar los datos no slo hace que el anlisis ms
simple, sino que tambin ahorra tiempo valioso para el analista o investigador
forense.
Desde la primera versin en 2007, convertido en una herramienta popular entre
los equipos de respuesta a incidentes, as como aplicacin de la ley.
NetworkMiner hoy es utilizado por empresas y organizaciones de todo el
mundo.
Uno de los principales puntos fuertes de esta herramienta es su interfaz. Esta
interfaz est pensada principalmente para mostrar los datos ordenados segn
los diferentes hosts en lugar de estar pensada, como en alternativas como
Wireshark, en los paquetes o las tramas. De esta manera se facilita
considerablemente las tareas de anlisis, bsqueda y comprensin de los
resultados obtenidos.
Cmo funciona NetworkMiner
NetworkMiner puede extraer los archivos y certificados transferidos por la red
mediante el anlisis de un archivo PCAP u olfateando el trfico directamente
desde la red. Esta funcionalidad se puede utilizar para extraer y guardar
archivos multimedia (como archivos de audio o vdeo), que se transmiten a
travs de una red de sitios web como YouTube. Admite los protocolos para la
extraccin de archivos son FTP, TFTP, HTTP, SMB, SMB2 y SMTP.
En el caso de tener un fichero PCAP previamente capturado, esta herramienta
nos permite cargarlo para analizarlo fcilmente sin tener que volver a capturar
todos los paquetes de red.
Lo primero que veremos ser la ventana principal de la aplicacin, por defecto,
vaca.

MSc. Ing. Victor H. Raa Cabello

Auditoria Informtica - Herramientas de Software

A continuacin, debemos seleccionar la tarjeta de red que vamos a monitorizar


y pulsaremos sobre el botn Start. El programa empezar a capturar todas las
conexiones que se realicen a travs de dicha interfaz. Tras varios segundos de
monitorizacin podremos ver los resultados ordenados en pestaas. Cada una
de las pestaas nos mostrar un tipo de dato diferente. Por ejemplo, la que
hemos visto antes nos muestra informacin sobre todas las IPs a las que nos
hemos conectado, protocolos, paquetes enviados y recibidos, etc.

MSc. Ing. Victor H. Raa Cabello

Auditoria Informtica - Herramientas de Software

NetworkMiner que muestra los archivos extrados de trfico de red en el disco


encontrado

Podemos utilizar las pestaas de la parte superior para ver la informacin


ordenada segn otros medios, por ejemplo, las cookies de sesin que hemos
enviado a travs de la red o, en caso de utilizar conexiones inseguras, es
posible que se nos muestren los datos de inicio de sesin utilizados.

MSc. Ing. Victor H. Raa Cabello

Auditoria Informtica - Herramientas de Software

Tambin el programa se encargar de capturar todas las imgenes que pasan


por la tarjeta de red (tanto enviada como recibida), pudiendo guardar as las
imgenes de una web, el favicon de una misma, etc.

En la pestaa DNS, por ejemplo, podemos ver todas las solicitudes que se han
realizado al servidor DNS asignado, muy til para saber qu dominios se
intentan resolver y poder identificar conexiones que puedan ser maliciosas.

Sin embargo, si se analizan los archivos PCAP que pueden contener malware,
desde la pgina del autor recomiendan llevar a cabo el anlisis sobre algn otro
MSc. Ing. Victor H. Raa Cabello

Auditoria Informtica - Herramientas de Software

sistema operativo que no sea en el que se ejecuta el malware, es decir,


mayormente en plataformas Linux.
En la solapa de anomalas se podr encontrar informacin muy valiosa que
puede ayudar al analista a deducir rpidamente de qu forma sucedi un
determinado incidente. Como en la imagen inferior, la aplicacin alerta sobre un
posible ARP Spoofing:

Esta
versin
tambin
permite
encontrar
dentro
de
la
solapa parmetros informacin referida a mtodos de peticin HTTP, cdigos
de estado HTTP de respuesta, cabeceras HTTP y SMB (recursos compartidos).
Esto podra darnos indicios de una fuga de informacin o inclusive de algn
cdigo malicioso como el ransomware que est cifrando recursos compartidos.
Como podemos ver, una sencilla, pero completa aplicacin de anlisis de red
que nos va a permitir capturar todos los paquetes que viajen a travs de una
tarjeta de red con el fin de poder analizarlos fcilmente, saber a qu hace
referencia cada uno de ellos y ayudarnos a detectar posibles problemas en
nuestra red.
Las credenciales de usuario (usuarios y contraseas) para protocolos
soportados son extrados por NetworkMiner y se muestran en la pestaa
"credenciales". La ficha credenciales a veces tambin muestran informacin
que puede ser utilizada para identificar a una persona en particular, como
cuentas de usuario para los servicios en lnea populares como Gmail o
Facebook.
Otra caracterstica muy til es que el usuario puede buscar los datos
almacenados olfate o para palabras clave. NetworkMiner permite al usuario
insertar cadena arbitraria o byte-patrones que se han buscado con la
funcionalidad de bsqueda por palabra clave.
MSc. Ing. Victor H. Raa Cabello

Auditoria Informtica - Herramientas de Software

Los usuarios y contraseas (de los protocolos soportados) son extrados por
NetworkMiner y mostrados en la pestaa Credentials
NetworkMiner Profesional viene instalado en una unidad flash USB
especialmente diseado. Puede ejecutar NetworkMiner directamente desde la
unidad flash USB desde NetworkMiner es una aplicacin porttil que no
requiere ningn tipo de instalacin.

Diferencias entre el software networkminer prueba y el profesional


NetworkMiner
(edicin
gratuita)
Olfateo en directo
Analizar archivos PCAP
Analizar PcapNG archivos
Recibe Pcap sobre IP
OS Fingerprinting (*)
Puerto
Independiente
identificacin
del
protocolo
(PIPI)
resultados de exportacin a
CSV / Excel / XML
directorio de salida de archivo
configurable
geo localizacin IP (**)
Lista blanca DNS (***)
OS fingerprinting avanzada
rastreo navegador Web
Anfitrin apoyo para colorear
Soporte de lnea de comandos
de secuencias de comandos

(a
travs
de NetworkMinerCLI )

Tomar en cuenta
MSc. Ing. Victor H. Raa Cabello

NetworkMiner
Profesional

Auditoria Informtica - Herramientas de Software

Asegrate de contar con el permiso para analizar el trfico de tu red, la


informacin que despliega NetworkMiner puede ser reveladora y atentar contra
polticas de privacidad, asi que no utilices esta herramienta
indiscriminadamente.
Conclusin
En determinadas ocasiones, los analistas de red se encuentran con un
problema de capturas de gran tamao, lo cual hace muy compleja la tarea de
visualizar de forma clara todos los parmetros. Esta herramienta resulta
particularmente til y gil debido a que el uso de columnas ordena toda la
informacin. Tanto parmetros y DNS como mensajes y sesiones pueden
visualizarse fcilmente. De este modo, esta herramienta se presenta como una
excelente opcin a otras aplicaciones como Wireshark, Bro o Xplico.

MSc. Ing. Victor H. Raa Cabello

You might also like