SEGURIDAD
INFORMATICA
HERRAMIENTAS DE MONITOREO
Ingeniería en informática
Alex Gadiel Cortes García
S E X T A U N I D A D
lunes, 08 de diciembre de 2014
Un "analizador de red" (también llamado rastreador de puertos) es un
dispositivo que permite "supervisar" el tráfico de red, es decir, capturar la
información que circula por la red.
En una red no conmutada, los datos se envían a todos los equipos de la
red. Pero en uso normal, los equipos ignoran los paquetes que se les
envían. Así, al usar la interfaz de red en un modo específico (en general
llamado modo promiscuo), es posible supervisar todo el tráfico que pasa a
través de una tarjeta de red (una tarjeta de red Ethernet, una tarjeta de
red inalámbrica, etc.).
Un rastreador es una herramienta que permite supervisar el tráfico de una
red. En general, lo usan los administradores para diagnosticar problemas en
sus redes y para obtener información sobre el tráfico que circula en la red.
Los Sistemas de detección de intrusiones (IDS) se basan en un rastreador
para capturar paquetes y usan bases de datos para detectar paquetes
sospechosos.
Desafortunadamente, como ocurre con todas las herramientas
administrativas, personas malintencionadas que tengan acceso físico a la
red pueden usar el rastreador para recopilar información. Este riesgo es
incluso mayor en redes inalámbricas ya que es difícil limitar las ondas de
radio a un área; por lo tanto, personas malintencionadas pueden
supervisar el tráfico con tan sólo estar en el vecindario.
La inmensa mayoría de los protocolos de Internet tienen información sin
codificar, es decir, no cifrada. Por lo tanto, cuando un usuario de red
consulta sus mensajes a través del protocolo POP o IMAP, o navega en
Internet por sitios que no empiezan con HTTPS, se puede interceptar toda la
información que se envíe o reciba. Así es cómo los hackers han
desarrollado rastreadores de puertos para recuperar contraseñas que
circulan por las redes.
Existen varias formas de evitar los problemas que puedan surgir debido al
uso de rastreadores en su red:
Use protocolos cifrados para todas las comunicaciones que tengan
contenido confidencial.
Segmente la red para limitar la divulgación de información. Se recomienda
usar conmutadores en vez de concentradores (hub) ya que los primeros
alternan comunicaciones, lo que significa que la información se envía sólo
a los equipos a los que va dirigida.
Use un detector de rastreadores. Es una herramienta que analiza la red en
busca de hardware mediante el modo promiscuo.
Se aconseja que, para redes inalámbricas, reduzca la potencia de su
hardware para cubrir sólo el área de superficie necesaria. Esto no impedirá
que potenciales hackers supervisen la red, pero limitará el área geográfica
donde puedan operar.
Wireshark es una herramienta que funciona como un analizador de
protocolos de redes, permitiendo capturar y analizar en tiempo real, do
forma interactiva, el tráfico que pasa por una red. Es la herramienta más
popular de este tipo. Corre en Windows, Mac, Linux y UNIX. Expertos en
seguridad, profesionales en redes y educadores lo usan regularmente. Es
software libre, bajo la GNU GPL 2.
Con esta herramienta podremos analizar todos los paquetes de datos que
entren y salgan de cualquiera de nuestras interfaces de red (tarjetas
Ethernet o Wi-Fi). Se puede ver esta información en tiempo real, y puede
ser filtrada en tiempo real también.
• Disponible para Linux y Windows
• Captura de paquetes en vivo desde una interfaz de red
• Muestra los paquetes con información detallada de los mismos
• Abre y guarda paquetes capturados
• Importar y exportar paquetes en diferentes formatos
• Filtrado de información de paquetes
• Resaltado de paquetes dependiendo el filtro
• Crear estadísticas
El proceso de instalación es muy fácil e intuitivo se realiza como cualquier
instalación de cualquier otro programa se describe este proceso a
continuación
El inicio de WIRESHARK, donde se puede dar clic para ir inmediatamente a
la aplicación para hacer efectivo la captura de los paquetes o para abrir
un archivo que antes se haya trabajo de WIRESHARK para los que desean
continúan trabajando en la misma captura del paquete.
Se muestra el despliegue de la información acerca de los paquetes
capturados con su respectiva información, el número con respecto a la
posición del paquete en la captura como la dirección ip de origen y
destino, el protocolo utilizado y el puerto.
También posee diferentes opciones como capturar paquetes, abrir
paquetes ya analizados, nos lleva directamente a la página oficial de
WiresharK para descargarlo y da la opción de obtener guía de esta
aplicación. Para este caso le damos en la opción CAPTURE OPTIONS .Al
darle doble clic nos parecerá esta imagen.
Esta opción es para la captura de interfaz, es decir de la tarjeta de red
que utilizaremos para realizar la captura de los paquetes
Al darle doble clic en la opción, Se evidencian los siguientes campos:
INTERFACE: Especifica con que interfaz se desea capturar. Sólo se
puede capturar con una interfaz a la vez y que Wireshark haya
encontrado. No se puede utilizar la interfaz de loopback.
IP ADDRESS: Muestra la dirección IP de la interfaz seleccionada.
BUFFER SIZE: N MEGABYTE(S): Define el tamaño del buffer que será
usado durante la Captura.
Cada interfaz ilustrada, especifica de manera detallada del paquete
seleccionado, cada ítem despliegue más información concreta del
paquete
Aplicar el filtro se hace con el propósito de que el número de paquetes
visualizados o capturados se reduzca a únicamente los que son de interés
para el usuario. Limitando así el análisis únicamente a los protocolos,
direcciones IP, tiempos y rangos que se estén examinando.
Le damos clic en la OPCIÓN CAPTURE, luego CAPTURE FILTERS
http://es.kioskea.net/contents/38-analizadores-de-red-rastreadores-de-puertos
http://www.tuxylinux.com/instalar-y-configurar-wireshark-en-linux/
http://blog.desdelinux.net/wireshark-analiza-el-trafico-de-tu-red/