Que es NetworkMiner, Como Herramienta forense de Anlisis de Red ?

NetworkMiner es una herramienta forense de anlisis de redes para Windows (posible emulacin
en GNU/Linux con Wine). El propsito de NetworkMiner es recolectar informacin (como
evidencia forense) sobre los hosts de la red en vez de recoger informacin concerniente al trfico
de la red. Puede ser usado como esnifer pasivo/herramienta de captura de paquetes con el
objetivo de detectar detalles especficos del host como sistemas operativo, hostname, sesiones,
etc. sin generar ningn trfico en la red.
Para la identificacin del siste ma operativo se basa en paquetes TCP SYN y SYN+ACK haciendo uso
de la base de datos de p0f y Ettercap. Tambin puede realizar fingerprinting(Es para el scaneo de
puertos udp y tcp , lo utiliza ms que todo el Nmap y GFI LANguard Network Security Scanner ) del
S.O por medio de paquetes DHCP (generalmente paquetes broadcast) apyandose en la base de
datos de Satori.

NetworkMiner posee tambin la capacidad de esnifar trfico WiFi (IEEE 802.11) haciendo uso del
adaptador AirPcap. De momento solo soporta el trfico WiFi por medio de este driver.
Que es NetworkMiner como software para redes?
Es un analizador pasivo de trafico de red, como Wireshark puede capturar trafico, pero su enfoque
y su mayor potencial no es tanto la captura sino ms bien al anlisis, especficamente al anlisis
forense del trfico de red, a que me refiero con esto, quedara ms claro luego que veamos
ejemplos prcticos del uso de esta herramienta. Por lo pronto y a manera de introduccin y
motivacin para continuar leyendo este post, puedo decirte que es un excelente complemento de
Wireshark, esta basado en Windows y es Open Source por lo que no hay nada que te impida
bajarla y ejecutarla en tu red.
Caractersticas de este software:
Permite la identificacin de sistemas operativos y alguna informacin adicional sobre los hosts que
detecta (OS Fingerprinting)
Reconstruccin de archivos Supongamos que tenemos un archivo capturado en wireshark (con
extensin pcap) al abrirlo en NetworkMiner, reconstruira los archivos que se encuentren
presentes en la captura.
Extraccin de imagenes Como en el caso anterior, si tenemos una captura y la abrimos en
NetworkMiner, reconstruira todas las imagenes presente que hay en la captura.
Identificacin de credenciales Identificara usuarios y passwords dentro de una captura.
Permite importar archivos PCAP para anlisis off-line y regenerar/reensamblar/reconstruir
archivos transmitidos, estructuras de directorios, y certificados.
Es til para el anlisis de trfico de malware.
Los usuarios y contraseas (de los protocolos soportados) son extraidos por NetworkMiner y
mostrados en la pestaa Credentials.

Proporciona al usuario la posibilidad de hacer bsquedas en los datos esnifados.

Para instalar el software unicamente lo baje del sitio, venia en un archivo .zip, luego de
descomprimirlo, en el directorio que se crea, se ejecuta NetworkMiner.exe, y entramos a la
interface principal, en la figura abajo, se muestra la pantalla principal en el momento en que se
esta abriendo un archivo pcap (capturado previamente con Wireshark), la parte de captura no es
el principal fuerte de este software, para que funcione en windows vista o win7 solo le das click
derecho y ejecutar como administrador, si vas a usar este software, quizas sea buena idea hacer
las capturas con Wireshark en el formato pcap.

En Wireshark bajo el menu statistics, es posible observar una lista de los hosts detectados en una
captura (llamados Endpoints), en NetworkMiner tambin, pero con mayor riqueza de informacin
gracias a sus caracteristicas de identificacin de sistemas operativos, por ejemplo en la figura
abajo, muestra un host detectado, pero no solo muestra la direccin IP, sino tambin nos informa
que esta PC esta ejecutando Windows, que el puerto 80 esta a la escucha y adems que esta
ejecutando el servidor web apache, esto nos puede ser de utilidad entre otras cosas, para detectar
PCs o servicios no autorizados en nuestra red.

El uso de Wireshark para detectar y eliminar un gusano, un aspecto clave en ese anlisis fue
detectar la presencia de algunos archivos que haban sido transferidos a ma laptop, con
NetworkMiner es posible ver que archivos han sido transferidos, esto desde la pestaa Files, en
ella muestra todos los archivos que han sido transferidos en una captura dada, a continuacion se
muestra una captura en la que se detectaron algunos archivos sospechosos.

NetworkMiner tambin permite reconstruir las imagenes que detecta en una captura,
supongamos que por ejemplo has hecho una captura en wireshark del trfico de tu conexin a
internet, en la pestaa images mostrara que imagenes han estado viendo los usuarios de la red,
podrias descubrir contenido no permitido.

Para terminar con los ejemplos prcticos, NetworkMiner tambin es capaz de detectar
credenciales que han sido utilizadas, si durante una captura, un usuario estableci una conexin a
telnet a un router, en la pestaa credentials, veras el usuario y password que se uso y te dars
cuenta que es de suma importancia utilizar mtodos ms seguros para conectarte a tus equipos de
red (como SSH, aunque ese, es otro tema).
Espero que con los ejemplos anteriores, este ms que claro que este software tiene mucho
potencial, hay algunas otras caractersticas que no se han discutido ac, y por ser este un software
open source en constante evolucin, con toda seguridad en el futuro tendr aun cosas ms
interesantes que mostrar, por lo pronto es importante mantenerlo en perspectiva, no es un
sustituto de Wireshark, a mi modo de ver, es un excelente complemento para facilitar el anlisis
forense del trfico de tu red.

Finalmente, no esta de ms mencionar que estos son mis primeros pasos con esta herramienta, en
realidad la descubri hace unos poco das, asi que no ofrezco dar soporte, si en algo puedo ayudar
con gusto, pero apenas estoy conociendo esta herramienta. Favor tambin tomar en cuenta la
advertencia del siguiente parrafo.
Advertencia: Asegurate de contar con el permiso para anlizar el trafico de tu red, la informacin
que despliega NetworkMiner puede ser reveladora y atentar contra polticas de privacidad, asi que
no utilices esta herramienta indiscriminadamente.
PALABRAS CLAVES:
P0f Identificacin Pasiva Del Sistema Operativo: Es una herramienta de identificacin pasiva de
sistema operativo, permite detectar el sistema y la versin de las maquinas conectadas a nuestro
sistema, a las que nosotros nos conectamos, a las que podemos ver su trfico e incluso a las que
no podemos conectarnos (bastante til).
Aparte de todo esto P0f puede realizar otras tareas bastante interesantes, por ejemplo es capaz de
dar una distancia fsica aproximada del sistema remoto, les dejo un pequeo listado de sus
funciones extra:
Detecta la existencia de un balanceador de carga.
La distancia al sistema remoto y su tiempo en funcionamiento,
Detecta la presencia de un firewall
Identifica que conexin tiene el equipo remoto (DSL, OC3, avian carriers) y su proveedor de
Internet.
El xito de P0f es que no genera ningn trfico en la red, gracias a esto es posible identificar el
sistema de equipos que estn detrs de un cortafuegos donde nuestro escanner habitual no
podra llegar, adems es liviano, rpido y funciona en entornos windows y gnu linux.
Ettercap: es un interceptor sniffer registrador para LANs con switch. Soporta direcciones activas y
pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). Tambin hace posible
la inyeccin de datos en una conexin establecida y filtrado al vuelo aun manteniendo la conexin
sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Muchos
modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y
completo de sniffing.
Funciones
Inyeccin de caracteres en una conexin establecida emulando comandos o respuestas mientras
la conexin est activa.
Compatibilidad con SSH1: puede interceptar users y passwords incluso en conexiones seguras
con SSH.
Compatibilidad con HTTPS: intercepta conexiones mediante http SSL (supuestamente seguras)
incluso si se establecen a travs de un proxy.

Intercepta trfico remoto mediante un tnel GRE: si la conexin se establece mediante un tnel
GRE con un router Cisco, puede interceptarla y crear un ataque Man in the Middle.
Man in the Middle contra tuneless PPTP (Point-to-Point Tunneling Protocol).