Cuando se administra una red uno de los mayores problemas es la seguridad. En esta ocasión imaginaremos un contexto en el que tenemos una LAN conectada a traves de unos switches que soporten puertos SPAN (Switched Port Analyzer) o port mirroring, de tal manera que configuraremos un puerto SPAN en el que este replicado todo el tráfico que sale por el Firewall como explicaba aquí.
De esta manera si conectamos a ese puerto que tendrá replicado todo el tráfico que sale por el firewall (imaginemos que es B) un equipo con Linux (Sniffer), tendremos a nuestra disposición todos los elementos para poder sniffar el tráfico saliente.
Existen otras maneras de hacer esto, como por ejemplo vía proxy, pero para eso necesitariamos una máquina intermedia, la cual, en caso de fallo, nos dejaría sin salida hacia internet.
De esta manera sin embargo, teniendo una máquina actuando como sniffer, si fallara la máquina, directamente no monitorizaría nada, pero los usuarios seguirían trabajando con normalidad (esto no ocurriría en el caso de un proxy).
En esta ocasión hablaré sobre IPTraf, una herramienta sencilla, la cual me gusta por la manera que tiene para representar el tráfico, y la posibilidad de poder aplicar filtros a medida. Aquí os dejo este enlace por si quereis saber algo mas acerca de IPTraf.
Si tenemos nuestro servidor de correo fuera de la red, y si hubiera en nuestra LAN algún troyano/malware/virus o similar que estuviese enviando correos hacia fuera podriamos detectarlo gracias a IPTraf.
Ni que decir tiene que si ese es el contexto, en nuestro Firewall deberiamos de aplicar una regla en la que solo se permite tráfico SMTP desde nuestra LAN hacía nuestro servidor de correo externo y solo hacia el.
Primeramente debemos instalarlo en nuestra máquina y luego ejecutarlo con el comando iptraf:
Veremos la pantalla de bienvenida a IPTraf y a continuación pulsaremos una tecla para acceder al menu principal donde editaremos el filtro que aplicaremos para escuchar todo el tráfico que salga por el puerto 25:
A continuación editaremos el filtro para hacer que todo el tráfico que salga por nuestra LAN, con destino nuestro servidor de correo externo (puerto 25) sea monitorizado:
Aplicariamos el filtro y ya estariamos en disposición de ver todos los equipos que envían tráfico al puerto 25 de nuestro servidor de correo externo:
Podriamos hacer esto mismo con tcpdump pero la salida no es tan clara como en IPTraf, es por esto que me gusta IPTraf. Aun así proximamente os explicaré como realizar la busqueda de equipos que emitan tráfico por el puerto 25 al exterior con tcpdump.
La fuente está caída así tuve que rescatarla con y hostear las imagenes en el public de mi dropbox, como Taringa no puede comprobar la fuente, tuve que agregarla como contenido propio.
De esta manera si conectamos a ese puerto que tendrá replicado todo el tráfico que sale por el firewall (imaginemos que es B) un equipo con Linux (Sniffer), tendremos a nuestra disposición todos los elementos para poder sniffar el tráfico saliente.
Existen otras maneras de hacer esto, como por ejemplo vía proxy, pero para eso necesitariamos una máquina intermedia, la cual, en caso de fallo, nos dejaría sin salida hacia internet.
De esta manera sin embargo, teniendo una máquina actuando como sniffer, si fallara la máquina, directamente no monitorizaría nada, pero los usuarios seguirían trabajando con normalidad (esto no ocurriría en el caso de un proxy).
En esta ocasión hablaré sobre IPTraf, una herramienta sencilla, la cual me gusta por la manera que tiene para representar el tráfico, y la posibilidad de poder aplicar filtros a medida. Aquí os dejo este enlace por si quereis saber algo mas acerca de IPTraf.
Si tenemos nuestro servidor de correo fuera de la red, y si hubiera en nuestra LAN algún troyano/malware/virus o similar que estuviese enviando correos hacia fuera podriamos detectarlo gracias a IPTraf.
Ni que decir tiene que si ese es el contexto, en nuestro Firewall deberiamos de aplicar una regla en la que solo se permite tráfico SMTP desde nuestra LAN hacía nuestro servidor de correo externo y solo hacia el.
Primeramente debemos instalarlo en nuestra máquina y luego ejecutarlo con el comando iptraf:
Veremos la pantalla de bienvenida a IPTraf y a continuación pulsaremos una tecla para acceder al menu principal donde editaremos el filtro que aplicaremos para escuchar todo el tráfico que salga por el puerto 25:
A continuación editaremos el filtro para hacer que todo el tráfico que salga por nuestra LAN, con destino nuestro servidor de correo externo (puerto 25) sea monitorizado:
Aplicariamos el filtro y ya estariamos en disposición de ver todos los equipos que envían tráfico al puerto 25 de nuestro servidor de correo externo:
Podriamos hacer esto mismo con tcpdump pero la salida no es tan clara como en IPTraf, es por esto que me gusta IPTraf. Aun así proximamente os explicaré como realizar la busqueda de equipos que emitan tráfico por el puerto 25 al exterior con tcpdump.
La fuente está caída así tuve que rescatarla con y hostear las imagenes en el public de mi dropbox, como Taringa no puede comprobar la fuente, tuve que agregarla como contenido propio.
