Redes
Páginas: 8 (1904 palabras)
Publicado: 13 de septiembre de 2012
WIRESHARK
1.- ¿QUÉ ES WIRESHARK?
Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y que actualmente está disponible para plataformas Windows y Unix.
Conocido originalmente como Ethereal, su principal objetivo es el análisis de tráfico además de ser una excelente aplicación didáctica para el estudio de las comunicaciones y para la resolución de problemas de red.Wireshark implementa una amplia gama de filtros que facilitan la definición de criterios de búsqueda para los más de 1100 protocolos soportados actualmente (versión 1.4.3); y todo ello por medio de una interfaz sencilla e intuitiva que permite desglosar por capas cada uno de los paquetes capturados. Gracias a que Wireshark “entiende” la estructura de los protocolos, podemos visualizar los campos decada una de las cabeceras y capas que componen los paquetes monitorizados, proporcionando un gran abanico de posibilidades al administrador de redes a la hora de abordar ciertas tareas en el análisis de tráfico.
De forma similar a Tcpdump, Wireshark incluye una versión en línea de comandos, denominada Tshark, aunque el presente documento se centrará únicamente en su versión gráfica. Esimportante indicar también que las funcionalidades utilizadas en el presente informe solo representan una pequeña parte de todo el potencial que puede ofrecernos Wireshark, y cuyo objetivo principal es servir de guía orientativa para cualquier administrador que necesite detectar, analizar o solucionar anomalías de red.
Pueden existir situaciones en las que Wireshark no sea capaz de interpretar ciertosprotocolos debido a la falta de documentación o estandarización de los mismos, en cuyo caso la ingeniería inversa será la mejor forma de abordar la situación.
Otras herramientas como Snort, OSSIM así como multitud de IDS/IPS permiten alertar sobre algunos de los problemas y ataques expuestos en esta guía. No obstante, cuando se necesita analizar tráfico en profundidad o hay que auditar un entorno enel que el tiempo prima, dichas herramientas suelen carecer de la flexibilidad que nos ofrece un analizador de protocolos como Wireshark
2.- ¿DÓNDE REALIZAR LA CAPTURA DE DATOS?
El primer paso para poder auditar la red será definir dónde analizar el tráfico. Imaginemos un escenario común. Nos encontramos en un entorno conmutado formado por varios switches, unos cuantos equipos y un servidor deficheros. El rendimiento de la red ha disminuido en los últimos días y desconocemos la causa.
Carecemos de un IDS que pueda dar la voz de alarma sobre algún ataque o anomalía en la red y sabemos que el servidor de ficheros abastece, en cuanto a tasa de transferencia se refiere, a los equipos de nuestra LAN (Local Area Network) sin problema alguno. Además, nuestros equipos de red no cuentan conprotocolos como Netflow para poder analizar tráfico remotamente por lo que decidimos utilizar Wireshark. La primera duda que surge es dónde instalarlo.
A pesar de parecer lógico instalar Wireshark en el propio servidor de ficheros para analizar el tráfico que transita por ese segmento de red, nos encontraremos con situaciones en las cuales no podamos tener acceso físico al servidor o simplemente,por motivos de seguridad, por ejemplo entornos SCADA, no podamos instalar software en el mismo.
En este caso se mostrarán algunas alternativas en el uso de técnicas que permitan llevar a cabo una captura de tráfico sin necesidad de portar Wireshark al propio servidor. La excepción a esta regla la veremos en el último caso, donde se proponen varios métodos de captura remota en los que sí esnecesario ejecutar o al menos instalar aplicaciones en el equipo que se quiere monitorizar.
2.1.-UTILIZANDO UN HUB.- Si conectásemos un equipo con Wireshark a uno de los puertos del switch, solo veríamos las tramas que transcurren entre el switch y nuestra máquina, y eso no es lo que pretendemos. El switch divide la red en segmentos, creando dominios de colisión separados y eliminando, de esta forma,...
1.- ¿QUÉ ES WIRESHARK?
Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y que actualmente está disponible para plataformas Windows y Unix.
Conocido originalmente como Ethereal, su principal objetivo es el análisis de tráfico además de ser una excelente aplicación didáctica para el estudio de las comunicaciones y para la resolución de problemas de red.Wireshark implementa una amplia gama de filtros que facilitan la definición de criterios de búsqueda para los más de 1100 protocolos soportados actualmente (versión 1.4.3); y todo ello por medio de una interfaz sencilla e intuitiva que permite desglosar por capas cada uno de los paquetes capturados. Gracias a que Wireshark “entiende” la estructura de los protocolos, podemos visualizar los campos decada una de las cabeceras y capas que componen los paquetes monitorizados, proporcionando un gran abanico de posibilidades al administrador de redes a la hora de abordar ciertas tareas en el análisis de tráfico.
De forma similar a Tcpdump, Wireshark incluye una versión en línea de comandos, denominada Tshark, aunque el presente documento se centrará únicamente en su versión gráfica. Esimportante indicar también que las funcionalidades utilizadas en el presente informe solo representan una pequeña parte de todo el potencial que puede ofrecernos Wireshark, y cuyo objetivo principal es servir de guía orientativa para cualquier administrador que necesite detectar, analizar o solucionar anomalías de red.
Pueden existir situaciones en las que Wireshark no sea capaz de interpretar ciertosprotocolos debido a la falta de documentación o estandarización de los mismos, en cuyo caso la ingeniería inversa será la mejor forma de abordar la situación.
Otras herramientas como Snort, OSSIM así como multitud de IDS/IPS permiten alertar sobre algunos de los problemas y ataques expuestos en esta guía. No obstante, cuando se necesita analizar tráfico en profundidad o hay que auditar un entorno enel que el tiempo prima, dichas herramientas suelen carecer de la flexibilidad que nos ofrece un analizador de protocolos como Wireshark
2.- ¿DÓNDE REALIZAR LA CAPTURA DE DATOS?
El primer paso para poder auditar la red será definir dónde analizar el tráfico. Imaginemos un escenario común. Nos encontramos en un entorno conmutado formado por varios switches, unos cuantos equipos y un servidor deficheros. El rendimiento de la red ha disminuido en los últimos días y desconocemos la causa.
Carecemos de un IDS que pueda dar la voz de alarma sobre algún ataque o anomalía en la red y sabemos que el servidor de ficheros abastece, en cuanto a tasa de transferencia se refiere, a los equipos de nuestra LAN (Local Area Network) sin problema alguno. Además, nuestros equipos de red no cuentan conprotocolos como Netflow para poder analizar tráfico remotamente por lo que decidimos utilizar Wireshark. La primera duda que surge es dónde instalarlo.
A pesar de parecer lógico instalar Wireshark en el propio servidor de ficheros para analizar el tráfico que transita por ese segmento de red, nos encontraremos con situaciones en las cuales no podamos tener acceso físico al servidor o simplemente,por motivos de seguridad, por ejemplo entornos SCADA, no podamos instalar software en el mismo.
En este caso se mostrarán algunas alternativas en el uso de técnicas que permitan llevar a cabo una captura de tráfico sin necesidad de portar Wireshark al propio servidor. La excepción a esta regla la veremos en el último caso, donde se proponen varios métodos de captura remota en los que sí esnecesario ejecutar o al menos instalar aplicaciones en el equipo que se quiere monitorizar.
2.1.-UTILIZANDO UN HUB.- Si conectásemos un equipo con Wireshark a uno de los puertos del switch, solo veríamos las tramas que transcurren entre el switch y nuestra máquina, y eso no es lo que pretendemos. El switch divide la red en segmentos, creando dominios de colisión separados y eliminando, de esta forma,...
Leer documento completo
Regístrate para leer el documento completo.