Una de las tareas obligadas dentro de la seguridad sea cual sea la circunstancia en la que nos encontremos, auditoría, administración, pentesting, consultoría, etc. es el análisis de tráfico. Si ya resultaba evidente en los entornos actuales, esto cobra más importancia con la incorporación de cada vez más y más dispositivos en nuestras infraestructuras de comunicaciones. La llegada del llamado “Internet de las Cosas” y más concretamente en los entornos industriales con la proliferación de protocolos basados en Ethernet, está propiciando que nuestros switches, routers, puntos de acceso, firewalls, soporten más clientes y por ende más información a mover.
Es por esto que supervisar y analizar volúmenes, patrones y tipos de tráfico, resulta indispensable cara al cumplimiento de las políticas de seguridad de nuestra organización y reducir los riesgos de sufrir un incidente. Hay que reconocer que la tarea puede ser bastante tediosa, con lo que dependiendo de los entornos, deberemos contar con herramientas, que nos faciliten la tarea. Por citar algunas,
HP IMC Network Traffic Analyzer
Pero hoy no voy a hablar de ninguna de ellas, sino de otra más sencilla pero de bastante utilidad.
Dentro del tráfico capturado los tres parámetros más representativos son las direcciones IP y los puertos. Sobre las primeras resulta bastante sencillo identificarlas sobre todo en lo que se refiere a públicas y privadas. Me refiero a IPv4. Sin embargo en materia de puertos, si bien es fácil acordarse de los más empleados, existen otros muchos que seguramente no tengamos tan presentes.
Para ayudarnos en esta tarea contamos con una herramienta con la que podremos consultar de una manera rápida la información de un puerto y servicio asociado. Hablamos de whatportis. Se trata de un comando con el que podremos buscar tanto el número como el nombre por defecto.
Para su instalación:
root@kali02:~# pip install whatportis
Downloading/unpacking whatportis
Downloading whatportis-0.4.tar.gz (258kB): 258kB downloaded
Running setup.py (path:/tmp/pip-build-At_8q_/whatportis/setup.py) egg_info for package whatportis
Downloading/unpacking click==6.2 (from whatportis)
Downloading click-6.2-py2.py3-none-any.whl (70kB): 70kB downloaded
Requirement already satisfied (use –upgrade to upgrade): prettytable==0.7.2 in /usr/lib/python2.7/dist-packages (from whatportis)
Installing collected packages: whatportis, click
Running setup.py install for whatportis
Installing whatportis script to /usr/local/bin
Successfully installed whatportis click
Cleaning up…
root@kali02:~#
Por ejemplo, si deseásemos averiguar qué hay detrás del puerto 1194:
O bien, si deseásemos obtener el servicio asociado a una aplicación como por ejemplo mysql:
También podríamos buscar un patrón sin conocer el nombre exacto del servicio emplearíamos la opción –like. A continuación pondremos un ejemplo, con el término opc para averiguar la información sobre el protocolo utilizado en entornos SCADA:
La herramienta emplea la lista de puertos publicada por IANA la cual consulta regularmente.
Así pues dejamos la entra de hoy con una herramienta, que sin duda nos podrá ayudar en esa rápida y primera instancia en la identificación de puertos y servicios.
Un saludo y nos vemos en la próxima.