Análisis y alerta del tráfico en las comunicaciones mediante técnicas de MitM

Abstract

Este trabajo tiene la finalidad de exponer una solución que permita detectar comportamientos extraños que delaten una posible infección o vulneración en dispositivos con acceso a Internet, por medio de un análisis del tráfico de red. Para ello se ha generado una red local con acceso a Internet haciendo uso de un punto de acceso WiFi implementado en una Raspberry, mediante el cual dispositivos informáticos podrán acceder a Internet. Esta misma plataforma se encargará de realizar el análisis del tráfico de red generado utilizando técnicas de man-in-the-middle, gracias a la herramienta mitmproxy. Posteriormente, el tráfico analizado se tratará a fin de detectar futuros riesgos. Esto se conseguirá mediante el desarrollo de un script escrito en Python, el cual se ejecutará con mitmproxy. En caso de detectar comportamientos extraños, la solución implementada generará alertas en un canal privado de Telegram, que permitirá visualizar los intentos de conexiones catalogadas como sospechosas, las cuales han sido obtenidas de diferentes listas de reputación. Los resultados obtenidos del producto desarrollado han sido satisfactorios, dado que se cumplen los objetivos establecidos. Aun así, no está de más mencionar que existe margen de mejora para futuras líneas de trabajo. Finalmente, las conclusiones han sido bastante positivas en lo que a la generación de un sistema de estas características se refiere, puesto que se prevé que podrá ser de gran ayuda a la hora de mitigar riesgos en las comunicaciones de los dispositivos con acceso a Internet a un bajo coste.

The purpose of this work is to show a solution that allows the detection of strange behaviors that could reveal a possible infection in devices with Internet access through a network traffic analysis. To emulate the purpose, a local network with Internet access has been generated using a WiFi access point implemented in a Raspberry. Through this access point computer devices could access to Internet. This platform will be responsible for analyzing the network traffic generated using man-in-the-middle techniques, by mitmproxy tool. Subsequently, the analyzed traffic will be processed in order to detect future risks. This will be achieved by developing a script written in Python, which will be executed with mitmproxy. In case of detecting strange behaviors the implemented solution will generate alerts in a private Telegram channel, which will allow visualizing the attempts of connections catalogued as suspicious. These connections catalogued as suspicious have been obtained from different reputation lists. The obtained results from the developed product have been satisfactory, because established objectives were met. Even so, it should be mentioned that there is more room for improvement for future lines of work. Finally, the conclusions have been quite positive as far as the generation of a system with these characteristics is concerned, because it is expected to be helpful at a low cost to mitigating risks in the communications of devices with Internet access.

Aquest treball té la finalitat d'exposar una solució que permeti detectar comportaments estranys que delatin una possible infecció o vulneració en dispositius amb accés a Internet, per mitjà d'una anàlisi del trànsit de xarxa. Per a això s'ha generat una xarxa local amb accés a Internet fent ús d'un punt d'accés Wifi implementat en una Raspberry, mitjançant el qual dispositius informàtics podran accedir a Internet. Aquesta mateixa plataforma s'encarregarà de realitzar l'anàlisi del trànsit de xarxa generat utilitzant tècniques de man-in-the-middle, gràcies a l'eina mitmproxy. Posteriorment, el trànsit analitzat es tractarà a fi de detectar futurs riscos. Això s'aconseguirà mitjançant el desenvolupament d'un script escrit en Python, el qual s'executarà amb mitmproxy. En cas de detectar comportaments estranys, la solució implementada generarà alertes en un canal privat de Telegram, que permetrà visualitzar els intents de connexions catalogades com a sospitoses, les quals han estat obtingudes de diferents llistes de reputació. Els resultats obtinguts del producte desenvolupat han estat satisfactoris, atès que es compleixen els objectius establerts. Així i tot, no està de més esmentar que existeix marge de millora per a futures línies de treball. Finalment, les conclusions han estat bastant positives en el que a la generació d'un sistema d'aquestes característiques es refereix, ja que es preveu que podrà ser de gran ajuda a l'hora de mitigar riscos en les comunicacions dels dispositius amb accés a Internet a un baix cost.