miércoles, 9 de abril de 2008

Tomahawk: inyector de tráfico pcap para testeo de IPS

Comentaba recientemente la creación del repositorio de capturas de tráfico OpenPacket así como la posibilidad de obtener capturas de red de la Honeynet Challenge y de la Wiki de Wireshark. Pues bien, mi buen amigo Samuel Bonete (del departamento de Preventa Seguridad para Europa Sur en Enterasys Networks) me pone en la pista de la herramienta Tomahawk de TippingPoint Technologies (ahora parte de 3Com, ¿os acordais del lío con Huawei?)

Tomahawk es una herramienta Open Source perfecta para comprobar los Sistemas de Detección/Prevención de Intrusiones (IDS/IPS). El siguiente diagrama obtenido de la descripción general del producto muestra una configuración típica de Tomahawk conectado a un IPS :

Tenemos un servidor Tomahawk con tres tarjetas de red (NICs): una de gestión (eth2) y dos para pruebas (eth0 y eth1) . Tomahawk reproduce una o más capturas de red en formato pcap/tcpcump (formato del que ya hablamos al comentar Wireshark/Ethereal). Cuando Tomahawk reproduce el pcap, los paquetes llegan a las interfaces del IPS en el mismo orden en el que hubiesen sido recibidas si la secuencia hubiese sido recibida por el IPS en modo inline.

El siguiente ejemplo, extraido del tutorial de Tomahawk, ilustra el funcionamiento: si tenemos un pcap consistente en los tres paquetes clásicos del establecimiento de una sesión TCP (SYN / SYN-ACK / ACK):

Paquete 1 (SYN): ip.src = 172.16.5.5 ip.dest = 172.16.5.4
Paquete 2 (SYN-ACK): ip.src = 172.16.5.4 ip.dest = 172.16.5.5
Paquete 3 (ACK): ip.src = 172.16.5.5 ip.dest = 172.16.5.4

Cuando Tomahawk lee el primer paquete encuentra por primera vez la dirección 172.16.5.5 en el campo origen y la dirección 172.16.5.4 en el campo destino, Tomahawk asigna las direcciónes 172.16.5.5 con el cliente y 172.16.5.4 con el servidor. A partir de ese momento los paquetes del servidor son transmitidos por la interfaz eth1, y los paquetes cliente son tranmitidos por la interfaz eth0.

Podemos descargar Tomahawk de Sourceforge e instalarlo siguiendo este guíaburros :-)

Fuente: Tomahawk vía Samuel Bonete. Y si te gustó este post, puedes suscribirte a través del Feed RSS. (¿RSS qué...?).

No hay comentarios: