Paso a paso

Aprende a actuar como un hacker para proteger tu red

Analizar el tráfico de tus equipos puede ayudarte a resolver problemas de seguridad y, cómo no, también a detectar ataques. Descubre qué puedes utilizar y cómo para reforzar tu infraestructura de red

José Domínguez Alconchel

Hacker

10 marzo 2014

Analizar el tráfico de tus equipos puede ayudarte a resolver posibles problemas de seguridad y, cómo no, también a detectar ataques. En este práctico descubrirás qué herramientas puedes utilizar y cómo debes emplearlas para reforzar tu infraestructura de red.

Nivel: Avanzado

La tecnología Ethernet es, sin duda, la más utilizada en la actualidad en las redes de área local tanto en el ámbito empresarial como en el doméstico. Como pasa con muchos inventos, sus creadores no pensaron que pudiera convertirse en estándar en un futuro, y no fue diseñada pensando en su popularización ni en su escalabilidad.

Hace unos 30 años un adaptador de red Ethernet costaba el equivalente a unos dos mil euros, y los ordenadores conectados dentro de una empresa no eran tan numerosos como para pensar que la seguridad de la red fuera un asunto importante. El problema principal de seguridad de la tecnología Ethernet es que no tiene un método de autentificación de red. Cada adaptador de red (NIC o Network Interface Card) tiene un identificador de dirección MAC único (MAC o Media Access Control).

Cuando utilizamos el protocolo TCP/IP sobre Ethernet, cada adaptador se asocia a una dirección IP que identifica también al mismo, con lo cual tenemos dos identificadores diferentes para un mismo adaptador de red a diferente nivel de red. Precisamente, para poder asociar correctamente el tráfico en la red entre direcciones IP y MAC se creó el protocolo ARP (Address Resolution Protocol). Pero esto es solo el principio.

Para detectar ataques piensa como un hacker

La labor de un buen responsable de seguridad de red es ponerse en la cabeza del mejor hacker que pueda imaginar y realizar toda la batería de pruebas posibles de ataques a su territorio de red. Veamos cuáles son.

1. Reconoce el objetivo

Lo primero que hace un hacker es fijar un objetivo y analizarlo. Por ejemplo, los servidores de una empresa o sus sitios web, que suelen tener IPs fijas y dominios asociados. En el caso de un ataque a un particular concreto, la identificación del mismo en la Red se complica, ya que las IPs públicas de los routers domésticos suelen ser dinámicas. Para ello tratará de identificar las IPs de los equipos «vivos» enviando paquetes ICMP (Internet Control Message Protocol) que indican si un dispositivo está activo en la Red (por su IP) o un servicio está disponible (por los puertos TPC o UDP abiertos). De este paso obtendrá un listado de IPs y puertos abiertos por cada IP.

Cabecera ICMP

2. Técnicas de compromiso

Esta fase es la más desafiante para un hacker. Tratará de detectar las vulnerabilidades en los sistemas que ha detectado en el paso anterior para comprometerlos. Para ello buscará documentación en Internet sobre vulnerabilidades ya detectadas por los fabricantes de software y hardware para tratar de facilitarle la tarea. No todo el mundo instala las actualizaciones que corrigen las vulnerabilidades de sistemas, con lo cual son víctimas preferentes de un hacker, ya que son objetivos fáciles.

Detectar las vulnerabilidades le permitirá intentar conseguir el mayor objetivo, que es tomar el control del sistema a través de un usuario de tipo administrador que tiene todos los privilegios en el sistema. En ocasiones no lo conseguirá en primera instancia, pero a través de otros objetivos secundarios (como, por ejemplo, obtener una lista de usuarios o acceder a través de una cuenta de invitado) podrá llegar a descubrir otras vulnerabilidades que le llevarán a conseguir el ansiado acceso en modo administrador. La mayoría de los casos de robo de información en empresas se realiza desde dentro de la propia red, y no a través del usuario administrador, sino de cuentas de usuario que tienen acceso a la información privilegiada.

3. El ataque preliminar

Una vez con el sistema comprometido, el hacker realizará la actividad que le ha llevado a atacar el sistema, desde el robo de información confidencial y contraseñas de todo tipo, el borrado o modificación de información hasta la desconexión del sistema.

Por ejemplo, los sistemas operativos guardan una lista de usuarios y contraseñas en archivos que el hacker podrá descargar para, después, descifrar esta información con herramientas específicas, y así tener acceso a todas las cuentas del sistema. En muchas ocasiones esta tarea es muy fácil, ya que muchos usuarios guardan la información de acceso a diferentes servicios (usuario y contraseña) en archivos de texto en su carpeta de usuario.

Ordenadores

Otra actividad que podrá realizar en busca de información es la instalación de una aplicación que registre pulsaciones de teclas guardándolas en un archivo o enviándolas a un sistema remoto. Por último, también podrá capturar el tráfico de la red utilizando un sniffer.

4. Borrado del rastro y ocultación

Los sistemas mantienen múltiples registros (logs) con los que un administrador de red puede detectar una actividad sospechosa. También existen sistemas de detección de intrusiones (IDS, Intrusion Detection System) que pueden dar la alerta ante ciertos patrones de actividad en la red o en un sistema. Por ello, el ha­cker tratará de ocultar su actividad desactivando los IDS y los sistemas de registro de actividades, o borrando las entradas de estos archivos log correspondientes a su actividad para no levantar sospechas.

Instala y usa un analizador de paquetes

Para analizar el tráfico en tu red puedes utilizar la aplicación Wireshark. Aunque ya hemos tratado esta aplicación en otras ocasiones, la utilizaremos de nuevo, ya que está disponible en múltiples plataformas, como UNIX, Windows de 32 y 64 bits, en formato portable y Mac OS X Intel/PowerPC de 32 y 64 bits. Además, es gratuita.

5. Descarga la aplicación

Puedes bajar Wireshark de su página web oficial, en la dirección www.wireshark.org/download.html. Automáticamente detectará tu sistema y te propondrá la versión recomendada.

Wireshark

6. El proceso de instalación

Si realizas la instalación en entorno Windows, en el proceso se instalará la última versión estable del controlador y las bibliotecas de captura de paquetes WinPcap. Si en un futuro deseas actualizar estas bibliotecas, en su sitio web oficial puedes descargar la última versión (www.winpcap.org/install/default.htm). En el caso de la instalación en Windows será necesario reiniciar el sistema.

WinPcap

7. Analiza y adapta tu red

Para que Wireshark funcione adecuadamente debes conocer tu infraestructura de red. Ya conoces los fundamentos de Ethernet y, como recordarás, el reparto de los paquetes se realiza a través del protocolo ARP. Dependiendo del dispositivo de interconexión que tengas en tu red cableada, el sniffer Wireshark será capaz o no de ver todo el tráfico de la red, o solo el del equipo en el que se ejecute.

Router

Si tu red está conectada a un concentrador de red (hub) será capaz de ver el tráfico de toda la red. Si utiliza un conmutador de red (switch) solo verás el tráfico de tu equipo en la red, ya que los conmutadores corrigen esta deficiencia de seguridad y son capaces de llevar los paquetes al destino adecuado. Tendrás que utilizar otros recursos para ver la actividad de red de otro equipo en la red. Los routers que proporcionan los proveedores de acceso en la actualidad funcionan como conmutadores.

8. Desactiva la protección en tu PC

Para evitar que los cortafuegos y los programas de seguridad interfieran en el proceso de análisis, desactívalos. Algunos paquetes de seguridad detectan las herramientas que vas a utilizar como peligrosas y directamente las bloquean o las eliminan.

Antivirus

Explora el tráfico de tu equipo en la red

9. Ejecuta Wireshark

Al lanzar el analizador de paquetes aparece en pantalla la interfaz de la aplicación. En el apartado Capture selecciona la tarjeta de red que vas a utilizar. Una vez seleccionada aparecerá la ventana de exploración, en la que puedes distinguir las siguientes áreas: barra de menús y herramientas, barra de filtros, panel de lista de paquetes, panel de detalles del paquete, panel de bytes del paquete y barra de estado.

Wireshark

10. Comienza a capturar paquetes

Para comenzar a capturar paquetes, si no ha empezado automáticamente, haz clic en el botón Start a new live capture. En ese momento comienza el baile. Verás cómo en el panel de lista de paquetes comenzará a desfilar un sinfín de líneas de colores con textos correspondientes a cada uno de los paquetes transmitidos en la red, principalmente entre el equipo en el que ejecutas Wireshark y el resto de dispositivos de la red, tanto local como de Internet.

Wireshark

11. Lo aprendido sobre Ethernet

Llega el momento de demostrar que has aprendido algo sobre Ethernet utilizando este sniffer. Puedes comprobar el tráfico de paquetes y el diálogo que se produce en la red examinando las IPs que van apareciendo en las columnas Source (origen) y Destination (destino). La IP de tu equipo aparecerá como origen o destino de los paquetes. En el ejemplo el equipo que captura los paquetes tiene la IP 192.168.1.10. Trata de identificar una petición y su respuesta. Verás cómo el equipo de origen realiza una petición y el de destino le responde.