Preguntas y Respuestas sobre Auditoría de Redes Informáticas

Alien Vault

No soy experto, pero considera dos cosas: 1. Entiendo que con wireshark puedes capturar tráfico, pero en algunos casos va a estar cifrado (por ejemplo https), por lo cual no vas a poder ver los datos en plano que se están pasando. Adicionalmente en mi caso yo no he podido capturar toda la información de la red debido a que también depende de la topologia de la red (VLAN's, Smith, etc) 2. Con MITM tienes la opción de poder suplantar certificados, con lo cual si vas a tener la capacidad de poder desencriptar la información que se transmita.

Gracias por la respuesta, estuve investigando y logre justificarlo ya que el Firewall solo es una medida de control para acceso a la red y el IPS monitorea la actividad de la misma.

Listo, gracias por comentar tu respuesta de seguro le va servir a alguien mas. Saludos

Ampliando lo que dice Josue, muchos Firewall permiten ya la integración con un cliente ligero en cada uno de los equipos de la red (a modo de Heartbeat o "salud" del dispositivo), lo que permiten analizarlos en busca de comportamientos anómalos. La protección podría ser en dos niveles. Por un lado, proteges a la vez que revisas todos los clientes (ya sean equipos o servidores de la DMZ) y por otro, sirven para interceptar paquetes. Otra opción, y que los compañeros me corrijan si me equivoco, sería tener un equipo actuando como un propio sniffer, con las interfaces en modo promíscuo, y así analizar per se el tráfico de nuestra red. También existen programas que hacen esto de forma automática y analizan ciertas pautas de comportamiento utilizadas por un sniffer.

Buen día.

Solo como aportación a los comentarios anteriores (muy acertados), los dispositivos que te permiten detectar este tipo de actividades en una red son los IPS o IDS, sin embargo si no cuentas con estos dispositivos integrados (tambien depende donde se ubiquen en tu red) existen herramientas que te ayudan a detectar adaptadores de red en modo promiscuo.

Linux:

Sniffdet.

Windows:

Promgry.

Saludos...

Conseguido, el problema es la arquitectura la de red con switch lo que viene siendo el ARP, para solucinarlo he tenedo que activar un ARP Spoofing

Que bien :)

Especifica mejor que es tu sistema hotelero, a donde se conecta, cual es el canal para poder orientarte. Como te dice Omar, Wireshark captura el tráfico de red, paquetes que viajen por http puedes capturarlos ya que no van cifrados. En caso que no sea una web, podrías capturar su tráfico por wireshark pero debes saber como viaja la información, si tu red no tiene mucho tráfico es posible que hagas pruebas usando el sistema hotelero y logres indentificar los paquetes, obviamente el filtro es mejor, si nos compartes más informaci´´on la solución será más precisa.

Mejor lanzar un SMB Relay Attack ;) , si sabes un poco de python "impacket" seria perfecto para eso.Comprar un VPS de Debian 8 por 5USD, instalar python 2.7 , y usar este codigo https://github.com/CoreSecurity/impacket/blob/master/examples/smbrelayx.py , y si quieres ir un paso mas puedes usar otro script para enviar todo el trafico HTTP a SMB. A este punto el ataque esta listo y puedes enviarlo como un silent documento (RCE / Buffer Overflow), un Documento macro, LNK, hay tantas opciones.

Usa Jmeter y Selenium.

Necesitas algo que sea IoT como Mirai pero ya es viejo. Or L7.....L7 seria el mas facil y require mucho menos internet. Por ejemplo este codigo https://github.com/All3xJ/Hibernet/blob/master/HibernetV1.9.6.py puedes bloquear https://backtrackacademy.com con menos que 25MB de internet.....oops! y si modifiques el codigo para usar diferentes proxies es mil veces mejor!

Hay un libro de informatica64 que se llama "Ataques a redes ipv4 y ipv6" que es muy bueno del mismo modo vi que habia uno que lanzaron que se llama "Seguridad en redes" este esta de forma gratuita.

http://www.elladodelmal.com/2016/10/descarga-el-libro-gratuito-de-seguridad.html