Analizadores de protocolos




Introducción

Una de las actividades más comunes en la administración de una red o administración de seguridad, es la del análisis de tráfico de dicha red. No sólo el tráfico que fluye a través de nuestra LAN, sino que también debemos analizar el tráfico entrante y saliente hacia internet a través de los servicios que tengamos instalados, proxis, etc. Existen muchas herramientas que pueden sernos muy útiles dependiendo del S.O. y tipo de red, por ejemplo. Una de estas herramientas es un sniffer de red, basada en la librería de captura de paquetes (pcap) y que además funciona en plataformas tanto Windows como GNU/Linux-UNIX, y que hace uso de la librería Winpcap para funcionar correctamente.
En el presente documento se abarcarán temas relacionados con el control de tráfico en una red a través de herramientas conocidas cono sniffers, necesarios para la detección de problemas y sobre todo para detectar el tráfico no esperado, presencia de puertas traseras, escaneos y cualquier otra intrusión que pudiera inferir en la red.

Analizadores de protocolos (sniffers).


Un analizador de protocolos es una herramienta que sirve para desarrollar y depurar protocolos y aplicaciones de red. Permite al ordenador capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. (Rosas, 2016)



Por analizar se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (TCP, ICMP...) y muestra al usuario la información codificada y decodificada. De esta forma, el usuario puede ver todo aquello que en un momento concreto está circulando por la red que se está analizando.
Esto último es muy importante para un programador que esté desarrollando un protocolo, o cualquier programa que transmita y reciba datos en una red, ya que le permite comprobar lo que realmente hace el programa.
Además, estos analizadores son muy útiles a todos aquellos que quieren experimentar o comprobar cómo funcionan ciertos protocolos de red, si bien su estudio puede resultar poco ameno, sobre todo si se limita a la estructura y funcionalidad de las unidades de datos que intercambian. También, gracias a estos analizadores, se puede ver la relación que hay entre diferentes protocolos, para así, comprender mejor su funcionamiento.
Un sniffer es un programa para monitorear y analizar el tráfico en una red de computadoras, detectando los cuellos de botellas y problemas que existan en ella. Un sniffer puede ser utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red. (Argandoña, 2004)


En ocasiones se dota al sniffer de la capacidad de transmitir estos datos vía correo electrónico o permitir al atacante conectarse a un puerto concreto en la máquina víctima para recuperar los datos que el sniffer ha capturado. (Argandoña, 2004)
De manera general, un sniffer ejecuta tres fases:
Captura: En esta etapa se realiza la recolección de paquetes.
Conversión: Luego, se toman los datos binarios y se les da formato para facilitar su lectura.
Análisis: Como su nombre lo indica, en esta fase se analiza la información obtenida.

Utilidad de un Sniffer

Los programas de sniffers han estado ejecutándose por la red durante mucho tiempo en dos formas. Los programas comerciales de sniffers se usan a menudo para ayudar en el mantenimiento de las redes. Mientras que sniffers “underground” son usados por los crackers para introducirse en los ordenadores ajenos.

Ventajas

Un Sniffer más que una herramienta de ataque en manos de un administrador de red puede ser una valiosa arma para la auditoría de seguridad en la red. Puesto que el acceso a la red externa debe estar limitado a un único punto. Un Sniffer puede ser la herramienta ideal para verificar como se está comportando la red.
Las ventajas en las que más se destacan los sniffers son:
·         Control del Tráfico en la Red Administrada.
·         Verificar el comportamiento de los usuarios de acuerdo a la normativa de la Red.
·         Observar el uso indebido de un recurso que dañe el normal tráfico de la Red.
·         Obtención de estadísticas de Tráfico.
·         Se puede analizar qué servicios son los más utilizados en la Red.
·         En base a esta información, se pueden definir políticas de adquisición de Software y Hardware.
·         Suponiendo que se es un Atacante, ver las falencias y las fortalezas de ésta.
·         Verificar que tráficos de paquetes realiza un proceso en particular.

Ejemplos de sniffers.

Ethereal o Wireshark

ETHEREAL es una herramienta gráfica utilizada por los profesionales y/o administradores de la red para identificar y analizar el tipo tráfico en un momento determinado. (WireShark.com, 2012)
Ethereal permite analizar los paquetes de datos en una red activa como también desde un archivo de lectura previamente generado, un caso particular es generar un archivo con TCPDUMP y luego analizarlo con Ethereal.
A partir del año 2006 Ethereal es conocido como Wireshark y hoy en día está categorizado como uno de los TOP 10 como sniffer junto a Nessus y Snort ocupando el segundo lugar entre estos.
En la ilustración 2 se observan las interfaces de usuario de este sniffer.
Ilustración 2. Pantallas de interfaz de Ethereal y Wireshark.

Se distinguen en la ventana de captura, tres campos que son:
·         La ventana superior se observan la lista de los paquetes capturados, donde indica la IP de fuente y de destino, además del protocolo de cada paquete.
·         La ventana del medio nos indica la información más detallada del paquete que se encuentra seleccionada arriba, como son los encabezados del protocolo.
·         La ventana inferior nos da la representación del paquete en forma hexadecimal y ASCII del paquete seleccionado del campo del medio

Capsa packet Sniffer

Capsa es un analizador de red de paquetes para los administradores de red, puede supervisar, diagnosticar y solucionar problemas en la red y es lo suficientemente buena para uso doméstico, así como su uso en la pequeña empresa.
El Paquete de software libre Capsa Sniffer le permite monitorear y capturar 50 direcciones IP de red de datos de tráfico juntos y análisis de redes eficaces en tiempo real para los paquetes de red sniffing, y analizarlos.
Características del succionador de paquete:
·         Detalle Supervisor de tráfico de todos los equipos
·         El control de ancho de banda (para encontrar los equipos que están viendo vídeos en línea)
·         Diagnóstico de Red para identificar problemas en la red
·         La actividad Netwok registro (para la grabación de mensajería instantánea y correo web)
·         Red de monitoreo del comportamiento
d

Ilustración 3. Interfaz gráfica de Capta.

SniffPass

SniffPass es un succionador de tráfico del paquete único, que se centra en la captura de contraseñas de tráfico de la red. Cada vez que se activa rastreadores contraseña SniffPass, se mantiene sobre el control de tráfico de red y tan pronto como se intercepta una contraseña, que inmediatamente pone de manifiesto que en la pantalla. Esta es una gran manera de encontrar las contraseñas olvidadas de sitios web.
SniffPass es muy fácil en su uso, y proporciona una agradable interfaz gráfica de usuario para controlar todas las contraseñas capturadas.
SniffPass es compatible con la mayoría de los protocolos de redes, tales como: POP3, IMAP4, SMTP, FTP y HTTP.

Ilustración 4. Interfaz gráfica de SniffPass

Conclusión


La información que circula por nuestra red puede ser fácilmente capturada por personas ajenas y la encriptación de datos es un método eficaz para evitar el uso de estos programas. Además, al crear un programa o sistema que utilice algún protocolo de red, se debe de tener en cuenta utilizar solo puertos y protocolos que va a utilizar evitando crear puertos innecesarios ya que esto puede generar filtrado de información no deseada.
Los sniffer pueden ser de gran utilidad a la hora de hacer una Auditoría en nuestra red, porque en ella se pueden observar el tráfico de red, ver los problemas que tiene y se puede tener acceso a lo que los usuarios de la esa red hacen.


Referencias

Las 5 Mejores herramientas Analizadoras de red y Sniffers. (22 de febrero de 2011). Obtenido de https://underc0de.org/foro/pentest/las-5-mejores-herramientas-analizadoras-de-red-y-sniffers!/?action=printpage;PHPSESSID=q9jespjudnd71oqab12vvcbot3
Argandoña, A. (2004). Sniffer ventajas y desventajas para administradores y atacantes. Chile: LOM Ediciones.
Rosas, A. R. (18 de noviembre de 2016). UNIDAD III y IV ANALISIS Y MONITOREO Y SEGURIDAD BASICA : 3.3 Analizadores de protocolos (scanners y sniffers).:. Obtenido de http://administracionderedesdeba.blogspot.mx/2016/11/33-analizadores-de-protocolos-scanners.html
Sotelo, A. H. (11 de enero de 2008). Seguridad y redes. Obtenido de Analizando la Red con WinDump / TCPDump.: https://seguridadyredes.wordpress.com/2008/01/11/analizando-la-red-con-windump-tcpdump-i-parte/
WireShark.com. (2012). Manual de usuario WireShark. USA.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Mecanismos de Seguridad

Imagen
Desde que el hombre ha tenido algo importante que proteger, ha encontrado varios métodos de asegurarlo. La seguridad física describe las medidas que  previenen o detectan ataques de acceso a un recurso o información almacenado en un medio físico, la seguridad física es un factor muy importante para la seguridad informática. Fig.1 Representación de equipo físico protegido. Las acciones de seguridad que están involucradas con la seguridad física intentan proteger los activos de condiciones físicas como el clima, desastres naturales, etc. Actualmente existen  EPS (Electronic Physical Security -  Seguridad física electrónica), como detectores de fuego, controles de acceso por medio de sensores biométricos, entre otros. Vandalismo Robo Desastres humanos Desastres naturales Incendios Agua. Explosiones. Ataques terroristas. Fallas de alimentación. Acceso no autorizado. Factores que afectan la seguridad física. Se recomienda un check List – lista...
Leer más