Translate

sábado, 14 de marzo de 2015

Software Wireshark

Wireshark 

Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica.
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. 

tcpdump es un herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. 


Introducción

Resultado de imagen para Componentes de un analizador de protocolosUna herramienta básica para observar los mensajes intercambiados entre aplicaciones es un analizador de protocolos (packetsniffer). Un analizador de protocolos es un elemento pasivo, únicamente observa mensajes que son transmitidos y recibidos desde y hacia un elemento de la red, pero nunca envía él mismo mensajes.
Está compuesto principalmente de dos elementos: una librería de captura de paquetes, que recibe una copia de cada trama de enlace de datos que se envía o recibe, y un analizador de paquetes, que muestra los campos correspondientes a cada uno de los paquetes capturados. 


Aplicaciones

Wireshark es una herramienta gráfica utilizada por los profesionales y administradores de red para identificar y analizar tráfico en un momento determinado. Pertenece a lo que en el lenguaje IT se denominan analizadores de protocolos de red, analizadores de paquetes, packetsniffer o sniffer. 


Características

  • Disponible para UNIX, LINUX, Windows y Mac OS.
  • Captura los paquetes directamente desde una interfaz de red.
  • Permite obtener detalladamente la información del protocolo utilizado en el paquete capturado.
  • Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas.
  • Filtra los paquetes que cumplan con un criterio definido previamente.
  • Realiza la búsqueda de los paquetes que cumplan con un criterio definido previamente.
  • Permite obtener estadísticas.
  • Sus funciones gráficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos. 

Requerimientos Técnicos

Las características de los equipos dependen del volumen de información que se desee almacenar en caso de guardar los registros que genera Wireshark de los paquetes capturados, además del tráfico y tamaño de la red. 

Para el caso de Windows:
  • Sistema Operativo: Windows XP Home, XP Pro, XP Tablet PC, XP Media Center, Server 2003, Vista, 2008, 7, o 2008 R2.
  • Arquitectura:32 y 64 bits.
  • Memoria RAM:128MB (depende del número de paquetes se vayan a capturar).
  • Espacio en Disco: 75MB disponibles en Disco (depende del número de paquetes que se vayan a almacenar en disco).
  • Resolución de pantalla: 1280x1024.
  • Tarjetas de Red Soportadas: Para el caso de las Ethernet cualquier tarjeta que soporte Windows. Para el caso de las tarjetas inalámbricas las 802.11. 

WinPCap

WinPcap es un software que permite a la tarjeta interfaz de red funcionar en un modo híbrido. No obstante, este también puede ser considerado como “aplicación potencialmente no deseada” que debería ser desinstalada si la tienes en tu ordenador desde la nada. 

WinPcap ha sido discutido en varios foros de seguridad, y parece que la razón principal por la que los usuarios lo consideran “virus” es por sus métodos de distribución. Justo como otras muchas aplicaciones similares, la distribución de este programa depende de algunos freeware y shareware.

Pasos para Instalar WireShark en Windows

1.Una vez que se obtiene el instalador desde http://www.wireshark.org/download.html se ejecuta el archivo Wireshark descargado para iniciar la instalación. Es importante mencionar que las librerías necesarias como WinPcap están incluidas en el instalador.
run wireshark as admin              

2. Presionando el botón Next> se despliega la especificación de la licencia y al presionar el botón I Agree se despliega la ventana para seleccionar los componentes que se desean instalar.
wireshark_welcome           
Para esta instalación se seleccionarán los siguientes:

  • Wireshark: GUI del analizador de protocolos.
  • TShark: línea de comando del analizador de protocolos.
  • Plugins/Extensions: especificar plugins y extensiones para TShark y Wireshark. En este punto deberá seleccionar todos los ítems listados. 
  • Tool: ofrece herramientas adicionales aplicar a los archivos que contienen los paquetes para su análisis seleccionar todas las ofrecidas durante la instalación. 

wireshark_additional_tasks
3. Después aparece la pantalla que permite seleccionar si se desea crear un acceso directo a la aplicación en el escritorio, crear un menú de inicio y visualizar el icono en la barra de tareas. Adicionalmente se tiene la posibilidad de permitir, que los archivos generados por otros analizadores de tráfico puedan ser visualizados con Wireshark (opción que debemos seleccionar).



wireshark_install_location


4. A continuación se deberá seleccionar el directorio donde se instalará la aplicación, en este punto se acepta el indicado por defecto en el instalador.






wireshark_install_winpcap

5. El instalador de Wireshark contiene una versión de WinPcap, se verifica si se debe actualizar versión en el PC donde se está realizado la instalación y ofrece la opción de agregar un servicio para que usuarios que no tiene privilegios de administrador pueda capturar paquetes. En este punto se seleccionan ambos ítems.

6. Se presiona el botón Install para iniciar el proceso de instalación.


7. Como se mencionó anteriormente el instalador de Wireshark para Windows permite hacer la instalación de las librerías, plugins, servicios, etcétera. Particularmente para el caso de WinPcap se interrumpe la instalación en el punto que muestra la pantalla arriba e inicia el asistente para la instalación de WinPcap. Se debe seleccionar Next> hasta finalizar la instalación.


wireshark_let_installer_run wireshark_finish_install

Análisis del tráfico

    wireshark_interfaces
  1. Ejecutamos Wireshark, vamos al apartado Capture y hacemos clic en Options.
  2. En esta área seleccionamos la tarjeta de red a usar, podremos observar que se cuenta con la tarjeta de Ethernet y la tarjeta inalámbrica o WIFI.
  3. Hacemos clic en Start para comenzar a capturar los datos que se encuentren en el tráfico de la red.
  4. Comenzaremos a ver como los datos empiezan a aparecer en diferentes colores.
wireshark_see_basic_capture
Cada línea representa un paquete, y hay 6 columnas que proporcionan información sobre él. 
  • La primera columna No. indica un número por orden de llegada de los paquetes mientras esté en marcha la captura del tráfico. Esto es para darte una referencia e identificar fácilmente un determinado paquete.
  • Time es el tiempo en segundos, hasta 6 decimales, de cuando se recibió el paquete después de que empezaras a registrar el tráfico de la red.
  • Source incluye la dirección IP de origen del paquete.
  • Destination indica la dirección IP destino de cada paquete.
  • La columna Protocol indica qué protocolo utiliza cada paquete. Los más comunes son TCP, UDP y HTTP.
  • Y la columna Info incluye información del paquete como si se tratase de una continuación de otro paquete, la verificación de que otro paquete se ha recibido, etcétera. 


Interfaz del usuario de Wireshark

Cuando se comienza a utilizar el analizador de paquetes de red Wireshark, uno de los aspectos que saltan a la vista de manera más inmediata es la distintiva interfaz gráfica, que si bien da un fácil y veloz acceso a las resultar es un tanto confusa la primera vez que se utiliza.

MENÚ PRINCIPAL 
Utilizado para iniciar las acciones y/o funciones de la aplicación.

 Barra de menús
  • File. Similar a otras aplicaciones GUI este contiene los ítems para manipular archivos y para cerrar la aplicación Wireshark.
  • Edit. Este menú contiene ítems aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario.
  • View. Permite configurar el despliegue
  • Go. Contiene ítems que permiten el desplazamiento entre los paquetes.
  • Capture. Inicia y detiene la captura de paquetes.
  • Analyze. Contiene ítems que permite manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etcétera.
  • Statistics. Contiene ítems que permiten definir u obtener las estadísticas de la data capturada.
  • Help. Menú de ayuda. 

Barra de herramientas
  • Este es uno de los componentes de la interfaz del que más uso se hace durante una captura de paquetes, debido a que proporciona un acceso veloz a las funciones más comúnmente usadas.
  • Un detalle que puede resultar abrumador cuando se hace uso de Wireshark por primera vez son los iconos de dicha barra, puesto que no se parecen a los usados en otras aplicaciones y se habilitan o deshabilitan durante la operación del programa, es por esto que cada icono se presentara a continuación indicando su función y en qué circunstancias se encuentra habilitado. 

Listar interfaces de red


Opciones de captura

Iniciar captura

Detener captura

Reiniciar captura de paquetes

Abrir un archivo de capturas

Guardar archivo de capturas

Cerrar archivo de captura

Recargar archivo de captura actual

Imprimir paquetes

Buscar un paquete

Ir hacia atrás

Ir hacia adelante

Ir al paquete con numero

Ir al primer paquete

Ir al ultimo paquete

Colorear lista de paquetes

Autocorrimiento

Acercamiento

Alejamiento

Escala normal

Redimensionar columnas

Editar filtro de captura

Aplicar un filtro a los paquetes capturados

Editar reglas de coloreado

Preferencias

Ayuda




Barra de filtros
Esta barra permite filtrar los paquetes ya capturados de manera rápida sus componentes son, de izquierda a derecha.
  • Campo de filtro: En este campo de texto puede escribirse el filtro que se desea aplicar directamente.
  • Expresión: abre el editor de expresiones para general un filtro.
  • Aplicar: Aplica el filtro indicado por el campo de filtro.
  • Limpiar: Elimina el filtro aplicado.


Barra de estado
Despliega información sobre la captura actual mostrando:
  • El nombre del archivo actual.
  • La cantidad de paquetes capturados.
  • La cantidad de paquetes mostrados.
  • El tiempo.
  • El perfil de configuración. 


PANELES

1. Panel de paquetes capturados
En este panel se despliega la lista de paquetes capturados. Cada línea corresponde a un paquete capturado al seleccionar una de estas, ciertos detalles son desplegados en el resto de los paneles.

  • No. Posición del paquete en la captura.
  • Time. Muestra el Timestamp del paquete.
  • Source. Dirección origen del paquete.
  • Destination. Dirección destino del paquete.
  • Protocol. Nombre del protocolo del paquete.
  • Info. Información adicional del contenido del paquete.


2. Panel para detalles del paquete
Contiene el protocolo y los campos correspondientes del paquete previamente seleccionado en el panel de paquetes capturados. Seleccionando una de estas líneas con el botón secundario del Mouse se tiene opciones para ser aplicadas según las necesidades.

3. Panel de paquetes capturados en bytes
En este panel se despliega el contenido del paquete en formato hexadecimal.
De izquierda a derecha se muestra el offset del paquete, seguidamente se muestra la data del paquete y finalmente se muestra la información en caracteres ASCII si aplica o “.” en caso contrario. 

Glosario

IT.- Tecnología Informática.

GUI.- Interfaz Gráfica de Usuario (del inglés Graphical User Interface).

Timestamp.- Secuencia de caracteres, que denotan la hora y fecha en la cual ocurrió determinado evento.

Offset.- Dirección destino del paquete.

ASCII.- Es una sigla para "American Standard CodeforInformationInterchange" (Código Standard Norteamericano para Intercambio de Información), es un código numérico que representa los caracteres. 

Bibliografía

www.wireshark.com

http://byteschef.com/es/conceptos-basicos-de-captura-de-packets-con-wireshark/

http://tiburondealambre.blogspot.mx/2011/11/la-interfaz-de-wireshark.html



Publicado por en 1 comentario:

miércoles, 11 de marzo de 2015

Programas Para Analizar Los Protocolos De Una Red LAN

WhatsUp GOLD 

Es la solución confiable de gestión. Diseñado sobre una arquitectura ampliable y escalable, con WhatsUp GOLD puede descubrir, crear mapas y gestionar toda su infraestructura (sus dispositivos de red, servidor, aplicaciones, recursos virtuales, parámetros de configuración y tráfico de red) en cuestión de minutos, y desde una sola consola.

Características de WhatsUp GOLD

  • Monitoreo en ambos entornos de infraestructuras físicas y virtuales.
  • Usa una combinación de monitoreo activo, pasivo y tecnologías de control del rendimiento.
  • Reduce el tiempo caído de red que suele ser costoso.
  • Envía notificaciones cuando surgen problemas.
  • Reúne información periódica sobre la red y genera reportes.
  • Rápida solución de problemas.
  • Encuentra en forma automática todos los recursos y asigna su conectividad. 
  • Genera automáticamente un mapa completo de topología de capa 2/3 de tu red con visibilidad tanto en la conectividad física como en IP.
  • Basado en licenciamiento, para calcular y prever con exactitud a medida que las redes crecen.


Aplicaciones de WhatsUp Gold


  • WhatsUp Application Performance Monitor. Visibilidad de la salud de las aplicaciones, permitiéndote aislar y solucionar rápidamente problemas de rendimiento desde cualquier origen antes que los usuarios y las aplicaciones críticas se vean afectadas.



  • Flow Monitor. Un examen a fondo del rendimiento de la red, permitiéndote analizar, alertar y reportar el tráfico de la red y el uso del ancho de banda en tiempo real con el fin de asegurar la calidad del servicio.



  • WhatsConfigured. La gestión de configuración es potente, económica y fácil de usar que automatiza la configuración de dispositivos de la red, el respaldo de archivos, la recuperación, el almacenamiento y los procesos de administración de cambios.


  • WhatsVirtual. Monitoreo integrado para visualizar los entornos de centros de datos con visibilidad de los recursos físicos y virtuales desde una consola.




  • VoIP Monitor. Controla e informa sobre la capacidad de tu red para soportar y mantener llamadas de calidad aceptable de voz sobre IP.


  • Flow Publisher. Visibilidad en detalle del tráfico de tu red para cada dispositivo.


Nagios

Es un sistema de monitorización de redes ampliamente utilizado, de código abierto, que vigila los equipos (hardware) y servicios (software) que se especifiquen, alertando cuando el comportamiento de los mismos no sea el deseado.

Características de Nagios

  • Herramienta libre de monitorización (de servicios y recursos).
  • Envío de notificaciones mediante múltiples métodos cuando los problemas aparecen y cuando se resuelven ( vía e-mail, SMS, alertas sonoras, etcétera).
  • Consola web para la visualización del estado actual de todos los servicios, generación de estadísticas, historial de alarmas, etcétera.  
  • Monitorización de equipos remotos a través de túneles.

Aplicaciones de Nagios

Aplicaciones sencillas de escritorio como Netoscope y Mars:
  • Orientadas sólo al chequeo de puertos.
  • Muy fáciles de utilizar pero poco adaptables a nuestras necesidades.
  • Software privativo con licencias baratas y software libre.
Sniffers, analizadores de red: tcpdump, ettercap, ethereal,  iptraff, etcétera:
  • Muy útiles en la resolución y análisis de problemas, pero no  aconsejados para el uso habitual en la monitorización.
Macro­sistemas de monitorización complejos como HP Openview, Tivoli, etcétera:
  • Aplicaciones muy potentes que consumen muchos recursos.
  • Licencias desorbitadas e inaccesibles o no reentables para muchas  empresas.
  • Funcionalidades no necesarias en numerosos entornos.
  • Poco flexibles.
Sistemas de monitorización completos basados en Software Libre (Nagios):
  • Cubren necesidades básicas de forma sencilla.
  • Completamente adaptables y modificables para necesidades  específicas.
  • Fácil integración con scripts y aplicaciones externas.
  • Licencia libre.

NetFlow Analyzer


NetFlow Analyzer es una herramienta de análisis de tráfico completa que potencia sus tecnologías de flujo para brindar una visión en tiempo real del rendimiento del ancho de banda de la red. NetFlow Analyzer, principalmente una herramienta de monitorización del ancho de banda, ha estado optimizando miles de redes por todo el mundo a través del suministro de una visión holística del ancho de banda y los patrones de tráfico de sus redes. NetFlow Analyzer es una solución unificada que recolecta, analiza y genera informes sobre quiénes están usando su ancho de banda y para qué. NetFlowAnalyzer es el socio de confianza que optimiza el uso de ancho de banda de más de un millón de interfaces por todo el mundo además de realizar análisis forense y análisis del tráfico de redes.

Características de NetFlow Analyzer

  • Panel personalizable.
  • Alertas.
  • Informes consolidados, personalizados, resolución de problemas.
  • Generación de informes Cisco WAAS.
  • Generación de informes Cisco Medianet.

Aplicaciones NetFlow Analyzer

  • Monitorización del ancho de banda y análisis del tráfico.
  • Análisis forense de redes y análisis de seguridad.
  • Monitorización inteligente de aplicaciones.
  • Valide las políticas de calidad de servicio utilizando Cisco CBQoS.
  • Monitorice voz y datos de forma eficaz.
  • Planificación de la capacidad y facturación.

GFI WebMonitor

GFI WebMonitor es una herramienta que le permite monitorear los sitios que están examinando sus usuarios y que archivos están descargando en TIEMPO REAL.
Además puede bloquear el acceso a sitios para adultos así como realizar análisis anti-virus de todas las descargas. GFI WebMonitor es la solución perfecta para ejercitar transparentemente un grado de control de acceso sobre los hábitos de navegación de los usuarios y asegurar el cumplimiento legal.

Características de GFI Web Monitor


  • Control de aplicaciones: Bloquear aplicaciones web por nombre y categoría utilizando una avanzada tecnología de inspección.
  • Controles sociales: Bloquear aplicaciones, juegos y otras funciones de Facebook, permitiendo controlar el acceso sin bloquear completamente el sitio.
  • Base de datos con cobertura de 160 millones de URLs.
  • Monitoreo del ancho de banda por usuario/sitio.
  • Monitorea y bloquea mensajes MSN y MS live Messenger entrantes y salientes así como transferencias de archivos.
  • Políticas de control de descarga basadas en usuario/grupo/ip.


Aplicaciones de GFI WebMonitor

  • Supervisar y controlar la actividad web: Actividad en la web no controlada puede afectar la productividad, conducir a infecciones de malware, aumentan los costos y las posibles responsabilidades legales, así como una imagen de empresa magullado. GFI WebMonitor ofrece capacidades únicas de filtrado web mediante la combinación de filtrado de tráfico basado en aplicaciones con una funcionalidad de clasificación de sitios web. Juntos permiten un control preciso sobre lo que están haciendo los usuarios en línea y las aplicaciones que están utilizando.
           
  • Administrar el ancho de banda y el uso de Internet: Navegar por sitios Web como YouTube ® y pasar tiempo en sitios de medios sociales como Facebook pueden ocupar una gran parte del ancho de banda. Capacidades de control de ancho de banda de GFI WebMonitor ayudan a los administradores a administrar la forma en que se utiliza el ancho de banda y, a su vez, reducir los costos. Cuadros de mando intuitivos dan una imagen clara y detallada de cuánto ancho de banda que entra en las actividades productivas, y cuánto de ella se desperdicia en la navegación infructuosa. Luego tomar el control total sobre la forma en que se debe utilizar.

                               
  • Descargas seguros y navegación web: La protección de la red contra amenazas basadas en la web es un gran desafío para los administradores de TI y de seguridad. Haciendo caso omiso de los peligros de la actividad en línea puede conducir a infecciones de malware o las violaciones de datos. Como organizaciones de resultados podrían incurrir en altos costos, baja productividad, tiempo de inactividad, la información crítica para el negocio comprometido y aumentado los costos de TI para reparar el daño. No deje que su reputación empañada si puede evitarlo. GFI WebMonitor escanea las descargas en tiempo real, con un máximo de 3 antivirus para asegurarse de descargas libre de malware.

Capsa Network Analyzer

Capsa Free es un analizador de red del freeware imprescindible para monitorización de Ethernet, solución de problemas y el análisis. Proporciona a los usuarios con gran experiencia para aprender a controlar las actividades de la red, a identificar problemas de red , mejorar la seguridad de la red.

Características de Capsa Network Analyzer

  • Analizador de red portátil para LAN y WLAN que se realiza en tiempo real de captura de paquetes.
  • Análisis de protocolos avanzados.
  • Proporciona una visibilidad completa y de alto nivel para toda la red.
  • Ayuda a identificar y resolver rápidamente los diversos problemas de aplicación.


Aplicaciones de Capsa Network Analyzer

  • Mejora de la experiencia de análisis de redes que los usuarios son capaces de controlar desde la fuente de captura, el filtro, al perfil de la red y los objetivos de análisis.
  • Registro de perfil de red, configurar el análisis objetivo y realizar análisis personalizados que impulsar la eficiencia de trabajo.
  • Personaliza docenas de combinaciones de disparo de alarma.
  • Importación de archivos de múltiples paquetes y volver a reproducir el flujo de paquetes.
  • Captura y guardar los datos transmitidos a través de redes locales y llevar a cabo tanto en tiempo real y análisis post-evento.
  • Identificar y analizar más de 300 protocolos de red, así como las aplicaciones de red basadas en los protocolos.
  • Monitor de ancho de banda de red y el uso de la captura de paquetes de datos transmitidos por la red y la prestación de resumen y decodificación de información acerca de estos paquetes.
  • Ver estadísticas de la red en un solo vistazo, lo que permite capturar fácilmente y la interpretación de la utilización de la red.
  • Secuencia TCP intuitiva sincronización.
  • WYSIWYG (What You See Is What You Get) Packet Filter - mostrar dinámicamente la tabla de filtrado de paquetes de logística al instante.
  • Diagnosticar y reparar problemas en la red en cuestión de segundos mediante la detección y localización de ordenadores sospechosos.
  • Mapa de los detalles, incluido el tráfico, IP y dirección MAC de cada host en la red.
  • Su Dashboard editable propios, los parámetros importantes en un lugar y en los gráficos.
  • Mejorado, personalizable.
  • Informe.


Bibliografía 

www.whatsupgold.com
www.nagios.org/
www.manageengine.com/es/netflow/
www.gfi.com/products-and-solutions/network-security-solutions/gfi-webmonitor
www.colasoft.com/capsa-free/

Publicado por en 7 comentarios:
Suscribirse a: Entradas (Atom)