Professional Documents
Culture Documents
M6 UF5 NF1 Teoria
M6 UF5 NF1 Teoria
CONTINGUT
NF1. MONITORATGE___________________________________________________________________________________2
Monitoratge de xarxes____________________________________________________________________________2
Escaneig de ports________________________________________________________________________________3
Targetes de xarxa________________________________________________________________________________3
Sniffer_________________________________________________________________________________________4
Monitoratge del sistema_________________________________________________________________________12
NF1. MONITORATGE
Una de les funcions bàsiques d’un administrador de xarxa és: saber què passa en el sistema! Especialment des del
punt de vista de la seguretat.
MONITORATGE DE XARXES
- Algun component o algun servidor està funcionant malament o simplement ha deixat de funcionar
- Capturar el trànsit per veure si tot està anant com ha d’anar (normalment amb algun sniffer de xarxa)
- Interrogar periòdicament els dispositius sobre en quin estat es troben (normalment amb algun tipus de
programa de monitorització)
Hi ha molts dispositius en una xarxa que prenen decisions a partir de la informació que hi circula. Aquests dispositius
són necessaris perquè la xarxa funcioni correctament. En aquesta secció apareixen alguns dels dispositius més
rellevants.
Encaminadors. Els encaminadors són els encarregats de fer circular la informació per tota la xarxa. Segons
l’adreça de destinació i les regles d’encaminament, prenen decisions que determinen on han d’anar
distribuint la informació.
Tallafocs. Els tallafocs són sistemes que permeten o impedeixen el pas dels paquets d’informació a partir de
certes regles. Per exemple, es pot filtrar que no es permeti el pas als paquets que tinguin com a destinació
una adreça determinada.
Sistemes de detecció d’intrusos (IDS). Aquests sistemes avaluen la informació que circula per la xarxa per
intentar trobar-hi paquets que indiquin activitat de possibles atacants. Els IDS són sistemes intel·ligents que, a
partir de regles complexes, poden discriminar si hi ha activitat perillosa.
Sistemes de monitoratge. Els sistemes de monitoratge avaluen el rendiment d’una xarxa. Per fer-ho, si s’hi
detecta alguna anomalia, envien alertes als administradors. Per exemple, de tant en tant fan ping als
servidors per comprovar que responen.
El monitoratge de xarxes resulta una eina fonamental en dos sentits. D’una banda, permet apreciar de
manera realista molts dels conceptes fonamentals de les xarxes en general, i dels protocols TCP/IP en
Generalitat de Catalunya 31/08/2020 Arxiu Model intern 2 de
Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
M6-SEGURETAT INFORMÀTICA
ESCANEIG DE PORTS
L'escaneig de ports és un procés de sondeig de l'ordinador, el servidor o un altre host de xarxa per conèixer
els ports oberts. En xarxes, a cada aplicació que s'executa en un dispositiu se li assigna un identificador
anomenat número de port. Aquest número de port s'utilitza en ambdós extrems de la transmissió per passar
les dades correctes a l'aplicació correcta. L'escaneig de ports es pot utilitzar amb fins maliciosos com a eina de
reconeixement per identificar el sistema operatiu i els serveis que s'executen en un ordinador o un host, o es
pot utilitzar inofensivament per part d'un administrador de xarxa per verificar les polítiques de seguretat de
xarxa a la xarxa.
Amb el propòsit d'avaluar el tallafocs de la xarxa d'ordinadors i la seguretat dels ports, pot utilitzar una eina
d'escaneig de ports, com Nmap, per trobar tots els ports oberts en la seva xarxa. L'escaneig de ports es pot
considerar com a precursor per a un atac a la xarxa i, per tant, no s'ha de fer en servidors públics a Internet o
a la xarxa d'una empresa sense permís.
Per executar l'escaneig de ports Nmap d'un ordinador a la xarxa domèstica local, millor utilitzar l’eina amb
entorn gràfic Zenmap, on es proporciona l'adreça IP de destinació de l'ordinador que vol analitzar, trieu un
perfil d'escaneig per defecte i premeu Escanejar. L'escaneig de Nmap designarà qualsevol servei que s'estigui
executant (com serveis web, serveis de correu, etc.) i els números de port. L'escaneig de ports generalment
provoca una de tres respostes:
Tancat, denegat o no escolta: el host va respondre i va indicar que es denegaran les connexions al
port.
Per executar escaneig del port de la xarxa des de fora de la xarxa, haurà d'iniciar l'escaneig des de fora de la
xarxa. Això implicarà l'execució d'un escaneig de ports de Nmap amb l'adreça IP pública del tallafocs o router.
Per obtenir les adreces IP pública, utilitzeu un motor de cerca, com Google, amb la consulta "quina és la meva
adreça IP". El motor de cerca us retornarà la seva adreça IP pública.
Per executar un escaneig de ports per a sis ports comuns amb el router o firewall domèstic, aneu a l'escàner
de ports en línia de Nmap en https://hackertarget.com/nmap-online-port-scanner/ i introdueix la teva adreça
IP pública al quadre d'entrada: adreça IP per escanejar ... i pressioni Escaneig ràpid de Nmap. Si la resposta és
Oberta per a qualsevol dels ports: 21, 22, 25, 80, 443 o 3389, serà més probable que estigui habilitat el
reenviament de ports en el router o firewall i que executi servidors en la vostra xarxa privada.
TARGETES DE XARXA
- Generalment totes les targetes de xarxa tenen alguna forma d’identificar-se (Ethernet fa servir l’adreça MAC)
- Quan funciona normalment, una targeta només es queda amb el trànsit que va dirigit a ella
- Però l’administrador d’una màquina pot canviar aquesta comportament per capturar-ho tot
- Port mirroring: s’utilitza en switch o router per enviar una còpia dels paquets de xarxa a altres ports,
normalment per ser monitoritzats i analitzats.
SNIFFER
Un dels primers atacs contra les dues primeres capes del model TCP/IP són les escoltes de xarxa. Es tracta
d’un atac realment efectiu, ja que permet l’obtenció de gran quantitat d’informació sensible.
Mitjançant aplicatius que s’encarreguen de capturar i interpretar trames i datagrames en Xarxes Ethernet
entorns de xarxa basats en difusió, coneguts com escoltadors de xarxa o Sniffers, es possible realitzar l’anàlisi
de la informació continguda en els paquets TCP/IP que intercepten per a poder extreure tot tipus
d’informació.
Un escoltador de xarxa no és més que un senzill programa que intercepta tota la informació que passi per la
interfície de xarxa a la que estigui associat. Una vegada capturada, podrà ser emmagatzemada per al seu
anàlisis posterior.
D’aquesta forma, sense necessitat d’accés a cap sistema de la xarxa, un atacant podrà obtenir informació
sobre comptes d’usuari, claus d’accés o inclús missatges de correu electrònic en el que s’envien aquestes
claus. Aquest tipus de tècnica es coneix com Sniffing.
Aquestes capacitats permeten crear un programa que capturi tot el trànsit de xarxa
Un sniffer és un programa que captura les trames que arriben a la targeta de xarxa
Capturar tot el trànsit de la xarxa pot servir per detectar on hi ha problemes en la xarxa
- També pot ser degut a atacs: DoS, ARP Poisoning, etc. (les xarxes locals són molt vulnerables a atacs de capes
inferiors)
Un sniffer al poder capturar i analitzar el trànsit de xarxa pot ser una eina molt útil per que puguem detectar-hi
possibles problemes.
- ....
WIRESHARK
TCPDUMP / WINDUMP
- Un programa de captura de paquets que funciona des de la línia de comandes, però similar a Wireshark
DSNIFF
Generalitat de Catalunya 31/08/2020 Arxiu Model intern 7 de
Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
M6-SEGURETAT INFORMÀTICA
- Es tracta d’una col·lecció d’eines per auditar xarxes i fer proves de penetració
KISMET
- Funciona en Linux
- Es tracta d’un programa per recuperar contrasenyes que ha anat afegint una gran quantitat de tasques
- Una de les coses que pot fer és sniffar la xarxa i descobrir-ne les contrasenyes
- És per Windows
- Ettercap
- Snort
- Ngrep
- Colasoft capsa
- Clarified analyzer
- La majoria dels sniffers permeten que puguem emmagatzemar les captures en un fitxer (el format més
popular és el pcap, però n’hi ha d’altres)
TCPXTRACT
XPLICO
- És programari lliure
NETWORK MINER
ALTRES
- Argus
- Ngrep
- Tcprelay
- Tcptrace
- ...
Però sovint no n’hi ha prou només amb saber el què tenim. Cal saber:
- Les xarxes de les organitzacions cada vegada són més complexes, i se’ls hi exigeix més ...
- Les xarxes cada vegada suporten més programes i serveis que són vitals pel funcionament de les empreses
- L’anàlisi del que està passant per la xarxa és cada vegada més important i s’ha tornat bàsic per evitar que s’hi
produeixin problemes.
El monitoratge del sistema serveix per auditar els esdeveniments que s’han produït al nostre equip.
Monitoratge en Windows
Podem obrir el visor de successos mitjançant l’ordre eventvwr.msc. També el podem obrir des de Panell de
Control | Eines administratives | Visor de eventos.
Podem veure que es guarda informació sobre els successos d’aplicació, seguretat i sistema, entre altres.
Aquesta informació es guarda als arxius AppEvent.Evt, SecEvent.Evt i SysEvent.Evt, ubicats al directori
%SystemRoot%\system32\config.
És molt important configurar correctament la mida i l’accés als mateixos. La mida ha de ser el suficientment
gran per albergar els successos produïts al sistema fins que l’auditem. I com és lògic, per evitar que els
intrusos esborrin el rastre només ha de tenir permís de control total el tècnic encarregat de la seguretat del
sistema.
Monitoratge en Linux
Linux té un complex visor de successos, que podem iniciar des de Sucesos del sistema.
Linux, a més a més, per simplificar l’auditoria té un conjunt de comandes, que s’especialitzen en el registre
dels diferents esdeveniments. Per auditar les entrades al sistema utilitzarem la comanda last, per auditar els
accessos fallats utilitzarem la comanda lastb i per les connexions al sistema per xarxa utilitzarem la comanda
lastlog.
NTOP
- Permet monitoritzar en temps real els usuaris i els programes que consumeixen més recursos de la xarxa
SNMP
- Facilita l’intercanvi d’informació d’administració entre dispositius de xarxa (permet als administrador
supervisar de forma remota els dispositius d’una xarxa)
o Windows
https://techjourney.net/install-and-enable-snmp-service-in-windows-10-8-7-windows-server-2016-
2012-r2/
o Linux
MUNIN
- Té molts plugins
ICINGA
ZABBIX
o Zooms
o Mapes de xarxa
SNORT
- És un sistema de detecció d’intrusos de xarxa, lliure i gratuït. Tot i que escaneja ports, no és un sniffer de
xarxa, sinó que va més enllà, ja que té un motor de detecció d’atacs.
- Està configurat amb una sèrie de regles que si un paquet que entra a la xarxa compleix aquetes regles se sap
que hi ha un atac.
EQUIP SONDA
Las sondes són màquines que capturen i analitzen el tràfic d’una xarxa. Les sondes tenen 2 interfícies de xarxa: