M6-SEGURETAT INFORMÀTICA

CONTINGUT

NF1. MONITORATGE___________________________________________________________________________________2
Monitoratge de xarxes____________________________________________________________________________2
Escaneig de ports________________________________________________________________________________3
Targetes de xarxa________________________________________________________________________________3
Sniffer_________________________________________________________________________________________4
Monitoratge del sistema_________________________________________________________________________12

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 1 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

UF5. TALLAFOCS I MONITORATGE DE XARXES

NF1. MONITORATGE

Una de les funcions bàsiques d’un administrador de xarxa és: saber què passa en el sistema! Especialment des del
punt de vista de la seguretat.

MONITORATGE DE XARXES

Un administrador en tot moment ha de saber si ...

- Algun component o algun servidor està funcionant malament o simplement ha deixat de funcionar

- Alguna màquina està generant massa trànsit

- S’estan generant colls d’ampolla en la xarxa

- Algun ordinador de la xarxa fa coses rares

Normalment es fan servir dues tècniques:

- Capturar el trànsit per veure si tot està anant com ha d’anar (normalment amb algun sniffer de xarxa)

- Interrogar periòdicament els dispositius sobre en quin estat es troben (normalment amb algun tipus de
programa de monitorització)

Hi ha molts dispositius en una xarxa que prenen decisions a partir de la informació que hi circula. Aquests dispositius
són necessaris perquè la xarxa funcioni correctament. En aquesta secció apareixen alguns dels dispositius més
rellevants.

 Encaminadors. Els encaminadors són els encarregats de fer circular la informació per tota la xarxa. Segons
l’adreça de destinació i les regles d’encaminament, prenen decisions que determinen on han d’anar
distribuint la informació.

 Tallafocs. Els tallafocs són sistemes que permeten o impedeixen el pas dels paquets d’informació a partir de
certes regles. Per exemple, es pot filtrar que no es permeti el pas als paquets que tinguin com a destinació
una adreça determinada.

 Sistemes de detecció d’intrusos (IDS). Aquests sistemes avaluen la informació que circula per la xarxa per
intentar trobar-hi paquets que indiquin activitat de possibles atacants. Els IDS són sistemes intel·ligents que, a
partir de regles complexes, poden discriminar si hi ha activitat perillosa.

 Sistemes de monitoratge. Els sistemes de monitoratge avaluen el rendiment d’una xarxa. Per fer-ho, si s’hi
detecta alguna anomalia, envien alertes als administradors. Per exemple, de tant en tant fan ping als
servidors per comprovar que responen.

El monitoratge de xarxes resulta una eina fonamental en dos sentits. D’una banda, permet apreciar de
manera realista molts dels conceptes fonamentals de les xarxes en general, i dels protocols TCP/IP en
Generalitat de Catalunya 31/08/2020 Arxiu Model intern 2 de
Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

particular (encapsulació, fragmentació, seqüenciació de missatges, etc). De l’altra, permet realitzar un

diagnòstic molt precís de les xarxes en funcionament, des de la detecció d’errors, la verificació dels
mecanismes de seguretat i l’avaluació de prestacions de la xarxa.

ESCANEIG DE PORTS

L'escaneig de ports és un procés de sondeig de l'ordinador, el servidor o un altre host de xarxa per conèixer
els ports oberts. En xarxes, a cada aplicació que s'executa en un dispositiu se li assigna un identificador
anomenat número de port. Aquest número de port s'utilitza en ambdós extrems de la transmissió per passar
les dades correctes a l'aplicació correcta. L'escaneig de ports es pot utilitzar amb fins maliciosos com a eina de
reconeixement per identificar el sistema operatiu i els serveis que s'executen en un ordinador o un host, o es
pot utilitzar inofensivament per part d'un administrador de xarxa per verificar les polítiques de seguretat de
xarxa a la xarxa.

Amb el propòsit d'avaluar el tallafocs de la xarxa d'ordinadors i la seguretat dels ports, pot utilitzar una eina
d'escaneig de ports, com Nmap, per trobar tots els ports oberts en la seva xarxa. L'escaneig de ports es pot
considerar com a precursor per a un atac a la xarxa i, per tant, no s'ha de fer en servidors públics a Internet o
a la xarxa d'una empresa sense permís.

Per executar l'escaneig de ports Nmap d'un ordinador a la xarxa domèstica local, millor utilitzar l’eina amb
entorn gràfic Zenmap, on es proporciona l'adreça IP de destinació de l'ordinador que vol analitzar, trieu un
perfil d'escaneig per defecte i premeu Escanejar. L'escaneig de Nmap designarà qualsevol servei que s'estigui
executant (com serveis web, serveis de correu, etc.) i els números de port. L'escaneig de ports generalment
provoca una de tres respostes:

 Obert o acceptat: el host va respondre i va indicar que hi ha un servei escoltant al port.

 Tancat, denegat o no escolta: el host va respondre i va indicar que es denegaran les connexions al
port.

 Filtrat, caigut o bloquejat i no hi va haver resposta de l'amfitrió.

Per executar escaneig del port de la xarxa des de fora de la xarxa, haurà d'iniciar l'escaneig des de fora de la
xarxa. Això implicarà l'execució d'un escaneig de ports de Nmap amb l'adreça IP pública del tallafocs o router.
Per obtenir les adreces IP pública, utilitzeu un motor de cerca, com Google, amb la consulta "quina és la meva
adreça IP". El motor de cerca us retornarà la seva adreça IP pública.

Per executar un escaneig de ports per a sis ports comuns amb el router o firewall domèstic, aneu a l'escàner
de ports en línia de Nmap en https://hackertarget.com/nmap-online-port-scanner/ i introdueix la teva adreça
IP pública al quadre d'entrada: adreça IP per escanejar ... i pressioni Escaneig ràpid de Nmap. Si la resposta és
Oberta per a qualsevol dels ports: 21, 22, 25, 80, 443 o 3389, serà més probable que estigui habilitat el
reenviament de ports en el router o firewall i que executi servidors en la vostra xarxa privada.

TARGETES DE XARXA

Els dispositius es connecten a la xarxa a través de:

- Una targeta de xarxa:

o Coordina la transferència d’informació entre dispositiu i xarxa

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 3 de
Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

o Comunica en paral·lel amb el dispositiu i en sèrie amb la xarxa

- Generalment totes les targetes de xarxa tenen alguna forma d’identificar-se (Ethernet fa servir l’adreça MAC)

- Es fa servir per detectar quin trànsit va dirigit a ella i quin no

- Quan funciona normalment, una targeta només es queda amb el trànsit que va dirigit a ella

- Però l’administrador d’una màquina pot canviar aquesta comportament per capturar-ho tot

- Port mirroring: s’utilitza en switch o router per enviar una còpia dels paquets de xarxa a altres ports,
normalment per ser monitoritzats i analitzats.

SNIFFER

Són escoltadors de xarxa

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 4 de
Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

Un dels primers atacs contra les dues primeres capes del model TCP/IP són les escoltes de xarxa. Es tracta
d’un atac realment efectiu, ja que permet l’obtenció de gran quantitat d’informació sensible.

Mitjançant aplicatius que s’encarreguen de capturar i interpretar trames i datagrames en Xarxes Ethernet
entorns de xarxa basats en difusió, coneguts com escoltadors de xarxa o Sniffers, es possible realitzar l’anàlisi
de la informació continguda en els paquets TCP/IP que intercepten per a poder extreure tot tipus
d’informació.

Un escoltador de xarxa no és més que un senzill programa que intercepta tota la informació que passi per la
interfície de xarxa a la que estigui associat. Una vegada capturada, podrà ser emmagatzemada per al seu
anàlisis posterior.

D’aquesta forma, sense necessitat d’accés a cap sistema de la xarxa, un atacant podrà obtenir informació
sobre comptes d’usuari, claus d’accés o inclús missatges de correu electrònic en el que s’envien aquestes
claus. Aquest tipus de tècnica es coneix com Sniffing.

Aquestes capacitats permeten crear un programa que capturi tot el trànsit de xarxa

Un sniffer és un programa que captura les trames que arriben a la targeta de xarxa

Capturar tot el trànsit de la xarxa pot servir per detectar on hi ha problemes en la xarxa

Molt sovint els problemes són deguts a males configuracions:

- Tempestes de broadcast, spanning tree mal configurat, etc.

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 5 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

- També pot ser degut a atacs: DoS, ARP Poisoning, etc. (les xarxes locals són molt vulnerables a atacs de capes
inferiors)

Detectar un problema és el primer pas cap a la seva resolució

Un sniffer al poder capturar i analitzar el trànsit de xarxa pot ser una eina molt útil per que puguem detectar-hi
possibles problemes.

Però evidentment també es pot fer servir per altres tasques:

- Capturar usuaris i contrasenyes

- Detectar portes d’enllaç de xarxa

- Descobrir adreces MAC de la xarxa

- ....

WIRESHARK

- Analitzador de protocols de codi obert

- Treballa en entorn gràfic

- Té un component de consola: tshark

- Segurament és l’sniffer més popular

- Funciona tant en sistemes Windows com Linux

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 6 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

TCPDUMP / WINDUMP

- Un programa de captura de paquets que funciona des de la línia de comandes, però similar a Wireshark

- TCPDUMP és per Linux i WINDUMP és per Windows

- Permet capturar en temps real

- Per fer la captura fa servir la llibreria libpcap

- Té versions per Linux i Windows

DSNIFF
Generalitat de Catalunya 31/08/2020 Arxiu Model intern 7 de
Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

- Es tracta d’una col·lecció d’eines per auditar xarxes i fer proves de penetració

- Pot monitoritzar passivament una xarxa en busca de dades interessants

- Pot interferir en el trànsit de xarxa

- Pot implementar els atacs d’home al mig

KISMET

- Sniffer que serveix per detectar passivament xarxes sense fils

- Pot trobar el SSID de xarxes ocultes

- Funciona en Linux

CAIN & ABEL

- Es tracta d’un programa per recuperar contrasenyes que ha anat afegint una gran quantitat de tasques

- Una de les coses que pot fer és sniffar la xarxa i descobrir-ne les contrasenyes

- Guarda converses en VoIP

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 8 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

- És per Windows

Però n’hi ha molts més ....

- Ettercap

- Snort

- Ngrep

- Microsoft network monitor

- Colasoft capsa

- Clarified analyzer

- Network instruments observar

ANÀLISIS DE LES CAPTURES

- Visualitzar les captures en temps real és molt “complicat”.

- La majoria dels sniffers permeten que puguem emmagatzemar les captures en un fitxer (el format més
popular és el pcap, però n’hi ha d’altres)

- Hi ha molts programes per analitzar aquests fitxers.

TCPXTRACT

- És un programa que ens permet extreure els fitxers d’una captura:

o Imatges, arxius zip, etc.

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 9 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

o També pot treballar interactivament.

XPLICO

- A vegades interessa interpretar les captures o interpretar-les de forma senzilla i visual

- Funciona via web/php

- És programari lliure

NETWORK MINER

- Network Miner és una eina de reconstrucció de sessions per Windows

- Fa el mateix que tcpxtract però més detalladament i de forma gràfica

- Necessita el .NET Framework

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 10 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

ALTRES

Però com sempre hi ha molts programes més:

- Argus

- Ngrep

- Tcprelay

- Tcptrace

- ...

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 11 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

MONITORATGE DEL SISTEMA

Però sovint no n’hi ha prou només amb saber el què tenim. Cal saber:

- Com estan funcionant els diferents components?

- Què estan fent cada un dels ordinadors?

- Estan funcionant bé els components de la xarxa?

- Les xarxes de les organitzacions cada vegada són més complexes, i se’ls hi exigeix més ...

- Les xarxes cada vegada suporten més programes i serveis que són vitals pel funcionament de les empreses

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 12 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

- L’anàlisi del que està passant per la xarxa és cada vegada més important i s’ha tornat bàsic per evitar que s’hi
produeixin problemes.

El monitoratge del sistema serveix per auditar els esdeveniments que s’han produït al nostre equip.

Monitoratge en Windows

Podem obrir el visor de successos mitjançant l’ordre eventvwr.msc. També el podem obrir des de Panell de
Control | Eines administratives | Visor de eventos.

Podem veure que es guarda informació sobre els successos d’aplicació, seguretat i sistema, entre altres.
Aquesta informació es guarda als arxius AppEvent.Evt, SecEvent.Evt i SysEvent.Evt, ubicats al directori
%SystemRoot%\system32\config.

És molt important configurar correctament la mida i l’accés als mateixos. La mida ha de ser el suficientment
gran per albergar els successos produïts al sistema fins que l’auditem. I com és lògic, per evitar que els
intrusos esborrin el rastre només ha de tenir permís de control total el tècnic encarregat de la seguretat del
sistema.

Monitoratge en Linux

Linux té un complex visor de successos, que podem iniciar des de Sucesos del sistema.

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 13 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

Linux, a més a més, per simplificar l’auditoria té un conjunt de comandes, que s’especialitzen en el registre
dels diferents esdeveniments. Per auditar les entrades al sistema utilitzarem la comanda last, per auditar els
accessos fallats utilitzarem la comanda lastb i per les connexions al sistema per xarxa utilitzarem la comanda
lastlog.

Els fitxers on es guarda la informació es troben ubicats al directori /var/log.

NTOP

- Permet monitoritzar en temps real els usuaris i els programes que consumeixen més recursos de la xarxa

- Es pot fer servir per detectar males configuracions d’alguna màquina

- Té un microservidor web que permet veure la sortida NTOP de forma remota

- Està sota GPL

- Funciona en Windows i Linux

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 14 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

SNMP

- Simple Network Management Protocol (SNMP)

- Facilita l’intercanvi d’informació d’administració entre dispositius de xarxa (permet als administrador
supervisar de forma remota els dispositius d’una xarxa)

- Molts dispositius actuals el suporten

- Tradicionalment ha tingut algun problema de seguretat (la versió 3 pretén canviar-ho)

- Per exemple molts routers ADSL suporten SNMP

- I sovint el tenen activat per defecte

- Els sistemes operatius poden activar SNMP

o Windows

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 15 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

https://techjourney.net/install-and-enable-snmp-service-in-windows-10-8-7-windows-server-2016-
2012-r2/

o Linux

MUNIN

- Munin és una aplicació de monitorització simple que es controla des de la web

- Té molts plugins

- Es pot monitoritzar el rendiment d’ordinadors, xarxes i aplicacions

- Permet comprovar canvis recents

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 16 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

ICINGA

- Sistema de monitorització sorgit de Nagios

- Permet controlar serveis, sistemes i dispositius

- Amb sistema d’alertes

ZABBIX

- És un sistema de monitorització molt potent que ofereix característiques avançades:

o Vistes d’usuari personalitzades

o Zooms

o Mapes de xarxa

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 17 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp
 M6-SEGURETAT INFORMÀTICA

SNORT

- És un sistema de detecció d’intrusos de xarxa, lliure i gratuït. Tot i que escaneja ports, no és un sniffer de
xarxa, sinó que va més enllà, ja que té un motor de detecció d’atacs.

- Està configurat amb una sèrie de regles que si un paquet que entra a la xarxa compleix aquetes regles se sap
que hi ha un atac.

EQUIP SONDA

Las sondes són màquines que capturen i analitzen el tràfic d’una xarxa. Les sondes tenen 2 interfícies de xarxa:

- Connectada a la xarxa que es vol monitoritzar

- Connectada a l’equip que s’envia l’alerta

Generalitat de Catalunya 31/08/2020 Arxiu Model intern 18 de

Departament d’Ensenyament
versió 6 Elaborat Cap d'estudis Codi MO-CAP013 18
Institut Baix Camp