28 ene 2014

Satori, p0f y pinturas de pcap

El fingerprinting es una técnica necesaria en las auditorías, como son las perimetrales, web, internas, etc. Satori y p0f nos ayudan a llevar a cabo estos procesos permitiendo realizar un fingerprinting pasivo. ¿Qué es eso? Se puede entender como que la máquina del autor de la acción pasa totalmente desapercibido. No hay interacción directa con la máquina a la que se realiza fingerprinting, por lo que se necesita que el tráfico que nos interesa llegue a nuestra tarjeta de red. 

Satori permite realizar fingerprinting pasivo a las máquinas que comparten la red con nuestro equipo. La fuerza de este tipo de herramientas está en los módulos que implementan y que se pueden añadir. Una de las cosas que mejor realiza Satori es la detección del sistema operativo en las máquinas escuchando tráfico en la red. La herramienta analiza el comportamiento de los protocolos que circulan alrededor de la máquina del auditor, los módulos realizan la inferencia de ciertas propiedades. Protocolos como DHCP, SNMP, CDP, SMB, SCCP, HSRP, TCP, ICMP, EIGRP, OSPF, etcétera. 


La herramienta p0f realiza fingerprinting pasivo, y es totalmente recomendable para trabajos en auditorías. Es muy flexible y permite obtener más información para poder analizar en un modelo de datos. Esta herramienta se puede encontrar en la siguiente URL http://lcamtuf.coredump.cx/p0f3/


Puede ser cómodo en algunas ocasiones realizar visualizaciones gráficas de los distintos entornos de red en los que el auditor se encuentre. En algunas ocasiones la frase “Vale más una imagen que mil palabras” se aplica a los archivos PCAP o CAP, y visualizar en un esquema o mapa puede ayudar a entender mejor lo que está ocurriendo en la captura de tráfico realizado. 

Herramientas como iNav, InetVis o NetGrok permiten realizar mapas de manera muy sencilla, incluso capturando el tráfico directamente desde la interfaz de red. Lógicamente, el estudio de las tramas en archivos PCAP o CAP será más eficiente y útil, pero echar un vistazo a lo que se presenta con estas herramientas es realmente interesante.







No hay comentarios:

Publicar un comentario