PNAF (Passive Network Audit Framework)

PNAF es un framework destinado a proporcionar la capacidad de obtener una evaluación de seguridad de las plataformas de red analizando a profundidad el tráfico de la red (de forma pasiva) y proporcionando una interpretación de alto nivel de forma automatizada. Combina diferentes técnicas de análisis y herramientas. El framework está destinado a lograr los siguientes objetivos:
 

Arquitectura

    Ser un framework flexible, escalable y modular.
    Proporcionar un análisis preciso de las plataformas de red.
    Para proporcionar una API útil con el fin de desarrollar otras funciones y mejoras (no incluidas en el prototipo 0.1.2, pero en la próxima 0.2.x)

Funcional

    Resumen del nivel de seguridad de la red.
    Hallazgos de actividades anómalas
    Conclusiones de la política de auditoría de seguridad.
    Resultados del análisis de impacto (por ejemplo, basado en CVE)
    Resumen de recomendaciones de seguridad
    Referencia de evidencia

ARQUITECTURA

PNAF se compone de tres módulos principales. Cada módulo tiene sus propios motores que administran herramientas específicas y procesan los datos. PNAF está escrito en Perl, ¿por qué? debido a las reglas de Perl!
DCM - MÓDULO DE RECOPILACIÓN DE DATOS

    NTCE - Motor de captura de tráfico de red
    NCPE - Motor de preprocesamiento de tráfico de red

DPM - MÓDULO DE PROCESAMIENTO DE DATOS

    NPEE - Motor de Enumeración y Perfil de Red
        p0f: Enumeración de redes y servicios
        prads: enumeración de redes y servicios
    IDSE - Motor de detección de intrusión de red
        Suricata
        Bufido
        Bro
        Barnyard: lector Unified2
    NFAE - Motor de análisis de flujo de red
        Cxtracker: resumen de datos de flujo básico
        Argus: Análisis de datos de flujo.
        Yaf: análisis de datos de flujo
        Seda: Análisis de datos de flujo.
        Tcpdstat: estadísticas de protocolo
    DPIE - motor de inspección profunda de paquetes
        Chaoreader: extracción de datos de la aplicación "any-snarf"
        Nftracker: extracción de archivos
        Xplico: extracción de datos de aplicaciones (url, archivos,…)
        Httpry: registrador de datos HTTP
        ssldump: Rastreador de datos SSLv3 / TLS
        Dnsdump: extracción de datos DNS
        Passivedns: Recopilación pasiva de datos DNS
        Dnscap: utilidad de captura de DNS (similar a tcpdump para DNS)
        Tcpxtract: extracción de archivos
        Tcpdump: filtrado de pcp
    NSAE - Motor de auditoría de seguridad de red
        Pnaf-auditor

DVM - MÓDULO DE VISUALIZACIÓN DE DATOS (TODO - Dev)

    WDVE - Motor de visualización de datos web
    GSVE - Motor de visualización de seguridad gráfica
    SARE - Motor de informes de auditoría de seguridad
    DIEE - Motor de importación / exportación de datos

Modelo general de PNAF

El modelo general de PNAF (Figura 1) define el funcionamiento y flujo de datos a través del cual PNAF decodifica, filtra e interpreta información a partir del tráfico de red.

Modelo de análisis de Passive Network Audit Framework (PNAF)

 

Figura 1. Modelo de análisis de Passive Network Audit Framework (PNAF)

 Instalación

PNAF incluye un instalador que automatiza la descarga, compilación y configuración de todas las herramientas. Este instalador incluye un wizard (asistente de instalación) basado en dialog. Para poder utilizar este modo de instalación es necesario cumplir los siguientes requerimientos:

• Sistema Debian GNU/Linux 7.x o superior o Gentoo stage 3.x.
• Conexión a Internet durante la instalación (el instalador descarga e instala algunas dependencias por medio de Apt o Emerge) así como algunos módulos de Perl a través de CPAN.

Es posible su funcionamiento en Ubuntu u otra distribución basada en Debian, sin embargo implica verificar las equivalencias en paquetes instalados por Apt. Asimismo, es posible usar el instalador en otros sistemas no basados en Debian siempre y cuando se instalen manualmente todas las dependencias necesarias para la compilación de las herramientas. Para esto se puede consultar el archivo README e instalar las dependencias equivalentes de la lista de Apt/emerge.

Debido a que PNAF instala una gran cantidad de dependencias, se recomienda instalar el framework en un ambiente chroot para evitar cualquier problema de compatibilidad de dependencias en el sistema nativo.

 

Figura 2. Opciones de ejecución de PNAF

PoC: análisis de capturas de tráfico de red

A continuación se analizarán tres archivos de captura en formato PCAP. La flexibilidad de las herramientas usadas por PNAF permite extraer e interpretar la información de maneras diferentes. El análisis en esta prueba de concepto no representa la totalidad de la información que se puede obtener. Así, la PoC incluye un análisis general los archivos de captura de manera que se obtenga la siguiente información y cuyo propósito se explica en la siguiente tabla:

 

 

Tabla 1. Análisis de información de la PoC

Referencias

"Frameworks para monitoreo, forense y auditoría de tráfico de red-II (POC) | Revista .Seguridad", Revista.seguridad.unam.mx, 2019. [Online]. Available: https://revista.seguridad.unam.mx/numero25/frameworks-para-monitoreo-forense-y-auditor-de-tr-fico-de-redii-poc

"Frameworks para monitoreo, forense y auditoría de tráfico de red - I | Revista .Seguridad", Revista.seguridad.unam.mx, 2019. [Online]. Available: http://revista.seguridad.unam.mx/numero24/frameworks-para-monitoreo-forense-y-auditor-de-tr-fico-de-red-i

"pnaf: Passive Network Audit Framework • Penetration Testing", Penetration Testing, 2019. [Online]. Available: https://securityonline.info/passive-network-audit-framework/