jueves, 22 de octubre de 2015

Reconocimiento de redes con la herramienta IVRE

Cuando hablamos de reconocimiento de redes normalmente hacemos referencia a una de las etapas principales de un ataque, en la que el atacante comienza a comunicarse con los equipos de la red, buscando vulnerabilidades y recolectando toda la información posible de los sistemas.

Por otro lado tenemos la otra cara de la moneda en la cual los profesionales en seguridad informática utilizan estas técnicas durante los procesos de pentesting de redes, para encontrar los puntos débiles en el sistema y solucionar los fallos antes de que se adelanten los malos. Creando una clara asociación entre el reconocimiento y la defensa de nuestros activos informáticos.

Dentro de este contexto surge IVRE: una utilidad que nos ofrece soporte para procesos de reconocimiento. Su nombre proviene del francés Instrument de Veille sur les Réseaux Extérieurs, o «intrumento de vigilancia en redes exteriores», en español. Como su propio nombre indica, esta aplicación fue pensada para redes externas, pero bien puede ser utilizada dentro de los límites de la propia red.

IVRE se construye sobre otras aplicaciones de análisis de paquetes. Entre ellas, p0f, Bro, Nmap, Zmap, Tesseract y MongoDB. Con base en los escaneos de puertos realizados por Nmap o los eventos capturados por Bro cuando este se implementa como sistema IDS, IVRE construye una base de datos histórica que luego podemos revisar a través de numerosos filtros.


Aparte de los gráficos sobre la distribución de direcciones IP, también podemos usar bases de datos con locaciones geográficas específicas para determinar la ubicación estimada del dispositivo en cuestión. GeoLite proporciona binarios gratuitos que nos permiten realizar este tipo de comparaciones, generando un mapa planisferio para obtener una vista mucho más gráfica.


La ventaja principal de este tipo de herramientas reside en su gran capacidad para analizar de manera rápida e intuitiva grandes volúmenes de datos y de esta manera poder llegar a perfilar fácilmente el tráfico de red, pudiendo incluso encontrar relación entre diferentes dispositivos, de maneras que tal vez sean desconocidas por los administradores de la red, y ofreciendo una interfaz de usuario versátil para la utilización de otras herramientas de escaneo masivo de redes.


Por último decir que esta herramienta nos permite analizar capturas previas de tráfico simplemente utilizando Bro o p0f de manera conjunta con los scripts de reconocimiento pasivo proporcionados. Podemos pasarle como parámetro el archivo de la captura en particular, o bien podemos utilizar diferentes aplicativos como tcpreplay, para reproducir estos paquetes nuevamente en las interfaces de red monitoreadas. 

IVRE también nos ayuda incorporando scripts en Python capaces de sondear toda la base de datos de manera sencilla y rápida. Con esto podemos acceder a las mismas prestaciones de filtrado y análisis de paquetes aplicados  al descubrimiento de equipos involucrados en canales C&C y mecanismos de infección. Si aún quieres conocer más sobre esta gran utilidad puedes dirigirte al sitio de su autor.

No hay comentarios:

Publicar un comentario