A estas alturas ya todos sabemos qué es Skype. No voy a descubrir nada nuevo sobre este software para realizar llamadas (voz), chat, etc, a través de internet desde un PC a otro PC.

Solo comentar, como peqeño resúmen, que hace uso de VoIP gracias a la tecnología P2P (algo vimos aquí sobre detectar P2P en nuestra red ) y usa cifrado fuerte para las comunicaciones. Sobre la Seguridad dice Skype:

“Skype usa AES (el Estándar de Cifrado Avanzado), también conocido como Rijndel, que también es usado por organizaciones estadounidenses de gobierno para proteger la información sensible. Skype usa el cifrado de 256 bit, que tiene un total de 1.1 x 10E77 llaves posibles, para cifrar los datos activamente en cada llamada de Skype o en cada mensaje instantáneo. Skype usa 1536 a 2048 bit RSA (Algorithm for Public-Key Encryption) para negociar llaves simétricas AES. Las llaves de usuario público son certificadas por el servidor Skype en la conexión.”

Es decir, que en principio, descifrar una conversación Skype es algo prácticamente imposible. Además, el software o protocolo de seguridad de Skype es propietario, cerrado y secreto.

En este artículo nos centraremos en como bloquear el uso de este software. Eso sí, haciendo uso de las herramientas de captura de tráfico como Wireshark, y Snort en todo lo que nos sea posible. Además no servirá para bloquear otros tipos de tráfico usando la misma "técnica".

NOTA: Iré actualizando con soluciones de bloqueo avanzadas de distintos dispositivos hardare.

Seguir leyendo el resto »

En los dos primeros capítulos de esta serie dedicada a los eventos SMB / CIFS - NETBIOS, hemos visto los mensajes del tipo  Name query NB y Name query response NB. En esta tercera parte nos centraremos en los pasos previos a Negotiate protocol Request y Negotiate protocol Response. Estos pasos previos son, primero:

• Echo ping request
• Echo ping reply

que son necesario para obtener la dirección MAC, y el segundo: establecimiento de conexión con el host CLIENTE, donde se ubica el recurso compartido, mediante three-way handshake o negociación a tres pasos.

Inmediatemente el host SERVIDOR envía una petición de sesion al host CLIENTE.... lo vemos todo a continuación.

Seguir leyendo el resto »

Ya vimos en el capítulo Analisis capturas tráfico red. Interpretación Datagrama IP. (Parte I) los campos contenidos en la cabecera de un datagrama IP. Ante la petición de aclaración y mejor explicación de estos conceptos en comentarios y algún correo, paso a actualizar el mencionado artículo, avanzar y explicar mejor todos los conceptos involucarados.

Decíamos en el artículo de referencia......:

Una de las tareas habituales de un administrador de red es el análisis de los logs de tráfico de la red. Análisis que puede ser de rendimiento ó seguridad. Tráfico de la LAN, entrante y saliente a través de cortafuegos, análisis de Sistemas de Detección de Intrusos, capturas de tráfico de red, etc.

Para ello contamos con variadas herramientas. Entre ellas Snort, TCPDump/Windump, WireShark, etc. (Destaco estas tres últimas por estar basadas en la librería libpcap).

En este artículo vamos a analizar las capturas en hexadecimal de estas herramientas para obtener todos los datos posibles de las cabeceras IP, segmento TCP, además de comprender de forma más visual los conceptos TCP/IP.

En esta actualización del artículo, veremos también estos conceptos, no solo a través de una captura tcpdump / windump, tambíen a través de WireShark.

Seguir leyendo el resto »

Seguimos avanzando en el análisis de eventos SMB / CIFS y NETBIOS. Ya vimos en la primera parte de esta serie (Wireshark. Analizando eventos SMB / CIFS - NetBIOS. Parte 1.) algunos eventos SMB, a través de Wireshark, involucrados en una conexión de un host a otro para usar un  determinado recurso compartido. En el primer artículo nos centramos en la petición de resolución de nombre de host mediante Name query NB. En esta segunda parte la dedicaremos a la respuesta Name query response NB.

Seguir leyendo el resto »