SEGURIDAD

INFORMATICA

HERRAMIENTAS DE MONITOREO

Ingeniería en informática

Alex Gadiel Cortes García

S E X T A U N I D A D

lunes, 08 de diciembre de 2014

Un "analizador de red" (también llamado rastreador de puertos) es un

dispositivo que permite "supervisar" el tráfico de red, es decir, capturar la

información que circula por la red.

En una red no conmutada, los datos se envían a todos los equipos de la

red. Pero en uso normal, los equipos ignoran los paquetes que se les

envían. Así, al usar la interfaz de red en un modo específico (en general

llamado modo promiscuo), es posible supervisar todo el tráfico que pasa a

través de una tarjeta de red (una tarjeta de red Ethernet, una tarjeta de

red inalámbrica, etc.).

Un rastreador es una herramienta que permite supervisar el tráfico de una

red. En general, lo usan los administradores para diagnosticar problemas en

sus redes y para obtener información sobre el tráfico que circula en la red.

Los Sistemas de detección de intrusiones (IDS) se basan en un rastreador

para capturar paquetes y usan bases de datos para detectar paquetes

sospechosos.

Desafortunadamente, como ocurre con todas las herramientas

administrativas, personas malintencionadas que tengan acceso físico a la

red pueden usar el rastreador para recopilar información. Este riesgo es

incluso mayor en redes inalámbricas ya que es difícil limitar las ondas de

radio a un área; por lo tanto, personas malintencionadas pueden

supervisar el tráfico con tan sólo estar en el vecindario.

La inmensa mayoría de los protocolos de Internet tienen información sin

codificar, es decir, no cifrada. Por lo tanto, cuando un usuario de red

consulta sus mensajes a través del protocolo POP o IMAP, o navega en

Internet por sitios que no empiezan con HTTPS, se puede interceptar toda la

información que se envíe o reciba. Así es cómo los hackers han

desarrollado rastreadores de puertos para recuperar contraseñas que

circulan por las redes.

Existen varias formas de evitar los problemas que puedan surgir debido al

uso de rastreadores en su red:

Use protocolos cifrados para todas las comunicaciones que tengan

contenido confidencial.

Segmente la red para limitar la divulgación de información. Se recomienda

usar conmutadores en vez de concentradores (hub) ya que los primeros

alternan comunicaciones, lo que significa que la información se envía sólo

a los equipos a los que va dirigida.

Use un detector de rastreadores. Es una herramienta que analiza la red en

busca de hardware mediante el modo promiscuo.

Se aconseja que, para redes inalámbricas, reduzca la potencia de su

hardware para cubrir sólo el área de superficie necesaria. Esto no impedirá

que potenciales hackers supervisen la red, pero limitará el área geográfica

donde puedan operar.

Wireshark es una herramienta que funciona como un analizador de

protocolos de redes, permitiendo capturar y analizar en tiempo real, do

forma interactiva, el tráfico que pasa por una red. Es la herramienta más

popular de este tipo. Corre en Windows, Mac, Linux y UNIX. Expertos en

seguridad, profesionales en redes y educadores lo usan regularmente. Es

software libre, bajo la GNU GPL 2.

Con esta herramienta podremos analizar todos los paquetes de datos que

entren y salgan de cualquiera de nuestras interfaces de red (tarjetas

Ethernet o Wi-Fi). Se puede ver esta información en tiempo real, y puede

ser filtrada en tiempo real también.

• Disponible para Linux y Windows

• Captura de paquetes en vivo desde una interfaz de red

• Muestra los paquetes con información detallada de los mismos

• Abre y guarda paquetes capturados

• Importar y exportar paquetes en diferentes formatos

• Filtrado de información de paquetes

• Resaltado de paquetes dependiendo el filtro

• Crear estadísticas

El proceso de instalación es muy fácil e intuitivo se realiza como cualquier

instalación de cualquier otro programa se describe este proceso a

continuación

El inicio de WIRESHARK, donde se puede dar clic para ir inmediatamente a

la aplicación para hacer efectivo la captura de los paquetes o para abrir

un archivo que antes se haya trabajo de WIRESHARK para los que desean

continúan trabajando en la misma captura del paquete.

Se muestra el despliegue de la información acerca de los paquetes

capturados con su respectiva información, el número con respecto a la

posición del paquete en la captura como la dirección ip de origen y

destino, el protocolo utilizado y el puerto.

También posee diferentes opciones como capturar paquetes, abrir

paquetes ya analizados, nos lleva directamente a la página oficial de

WiresharK para descargarlo y da la opción de obtener guía de esta

aplicación. Para este caso le damos en la opción CAPTURE OPTIONS .Al

darle doble clic nos parecerá esta imagen.

Esta opción es para la captura de interfaz, es decir de la tarjeta de red

que utilizaremos para realizar la captura de los paquetes

Al darle doble clic en la opción, Se evidencian los siguientes campos:

INTERFACE: Especifica con que interfaz se desea capturar. Sólo se

puede capturar con una interfaz a la vez y que Wireshark haya

encontrado. No se puede utilizar la interfaz de loopback.

IP ADDRESS: Muestra la dirección IP de la interfaz seleccionada.

BUFFER SIZE: N MEGABYTE(S): Define el tamaño del buffer que será

usado durante la Captura.

Cada interfaz ilustrada, especifica de manera detallada del paquete

seleccionado, cada ítem despliegue más información concreta del

paquete

Aplicar el filtro se hace con el propósito de que el número de paquetes

visualizados o capturados se reduzca a únicamente los que son de interés

para el usuario. Limitando así el análisis únicamente a los protocolos,

direcciones IP, tiempos y rangos que se estén examinando.

Le damos clic en la OPCIÓN CAPTURE, luego CAPTURE FILTERS

http://es.kioskea.net/contents/38-analizadores-de-red-rastreadores-de-puertos

http://www.tuxylinux.com/instalar-y-configurar-wireshark-en-linux/

http://blog.desdelinux.net/wireshark-analiza-el-trafico-de-tu-red/