Joven hacker sonriendo

Wireshark nos cuida

En una empresa las redes son los principales elementos para poder prestar un servicio, es por esto que se debe tener un especial cuidado con ellas para! que el servicio no falle y así evitar que un servicio se suspenda, en pocas palabras si la red de la empresa falla el servicio se deja de prestar a los! clientes de una empresa, debido a esto es muy importante tener un permanente y excelente monitoreo de la red para que esta funcione perfecto todo el! tiempo. Una gran ayuda para esta labor son las herramientas de monitoreo de red, estas nos permiten detectar problemas que nos puedan provocar un colapso! en las redes o la caída de la misma.

Es muy importante saber que un monitoreo de red no es lo mismo que la gestión de red, el monitoreo de red es mostrar información sobre la conexión que! se efectúa entre un ordenador y la red, que puede ser interna o externa. En otras palabras, saber qué ordenadores están conectados, qué IP usan, la! cantidad de datos que entran y salen, y las conexiones realizadas en la red
[Referenciado de Hipertextual]
! la gestión de red son las tareas de “despliegue, integración y coordinación del hardware, software y los elementos humanos para monitorizar, probar, sondear! configurar, analizar, evaluar y controlar los recursos “de una red para conseguir niveles de trabajo y de servicio adecuados a los objetivos de una! instalación y de una organización
[Referenciado de funiber]
. Teniendo claro esto, una herramienta! de monitoreo de red es wireshark.

logo
Figura 1. Logo de wireshark
[Imagen tomada de Wikipedia]

¿Qué es wireshark?

Es un potente sniffer de red además de software libre -Muchas distribuciones Linux enfocados en ethical! hacking tienen preinstalado este software-, nos permite capturar y monitorizar los paquetes que pasan por nuestra conexión –Ya sean de nuestro equipo o no-! simplemente seleccionando la interfaz por la que estamos conectados a la red, o si simplemente queremos analizar el tráfico de un solo equipo poniéndola! dentro del programa en modo promiscuo, esto quiere decir, que solo capture el tráfico que pasa por ella.

wireshark
Figura 2. Interfaces en wireshark

Como se observa en la imagen 2, wireshark detecta automáticamente a que interfaz está conectado el sistema, y las demás interfaces que tiene disponible -En este caso el sistema está conectado a la red Wifi. Con la información que ofrece este programa, podemos analizar el tráfico que pasa por la red a la que está conectado el sistema y así prevenir problemas que puedan surgir derivado de ello, por ejemplo, si la conexión no es estable, se podría verificar que equipo está generando un tráfico no deseado y observando su protocolo poder determinar si es un ataque externo o una máquina de la red infectada con algún troyano. También es perfecto para el aprendizaje de los protocolos de red, nos da la oportunidad de observar los diferentes protocolos de red y desglosarlos para poder comprender su utilidad y su función.

tcp
Figura 3. Protocolo TCP desglosado por wireshark

Otra posibilidad que, aunque no está en la filosofía de Wireshark es para usarlo de forma delictiva, como por ejemplo robar una contraseña Wifi protegida por cifrado WEP (Wired Equivalent Privacy), o incluso robar seriales de alguna aplicación que utilice verificación en línea.

verificacion
Figura 4. Rompiendo la verificacion online

Los pasos para poder saltar este tipo de seguridad fueron los siguientes, al ser wireshark un monitor de red el programa captura todos los paquetes que! están siendo enviados y recibidos de todas las maquinas que están conectadas a la misma red, esta información es bastante extensa y nos seria muy difícil! saber que buscar por lo cual filtramos solo los paquetes enviados y recibidos por nuestra dirección IP con el siguiente código “ip.addr == <dirección IP>”! después de filtrar el trafico lo que hacemos es revisar e protocolo HTTP y buscar a que dirección redirige las peticiones de la aplicación para revisar los seriales.

¿Para qué sirve?

La información detallada que nos ofrece Wireshark nos da la posibilidad de analizar el tráfico que pasa por una red y así solucionar o prevenir los problemas que puedan surgir. Por ejemplo, si una red va con una conexión lenta se podría revisar que está generando tráfico no deseado.

Las anomalías encontradas en Wireshark generalmente son indicios de que algo en la red no está funcionando como queremos, y nos da un punto de partida por el cual empezar a descartar o filtrar problemas a ataques a una red o a un equipo

¿Cómo puede wireshark prevenir ataques?

Una vez iniciada una captura, se deben reconocer que servidores se conectan a través de peticiones DNS. Para hacer esto es recomendable hacer un filtro escribiendo DNS y aplicando el filtro, una vez aplicado el filtro, serán visibles únicamente los protocolos DNS, en caso de un malware permite revisar a que servidor se conecta.

dns
Figura 5. Filtro DNS

Otro aspecto para tener cuidado son las peticiones realizadas. Con el filtro “http.request” se obtienen todos los GET y POST que han sido capturados. Generalmente estas peticiones son muy utilizadas por aplicaciones maliciosas para enviar información sobre un servidor infectado.

http
Figura 6. Filtro HTTP Request

Estos filtros no son los únicos que nos pueden ayudar a la seguridad de una red, existe una gran variedad de filtros para aplicar dependiendo de cada necesidad por ejemplo SMTP (Simple Mail Transfer Protocol) para filtrar los correos, además que pueden ser concatenados con operaciones lógicas para tener un filtro más exacto de lo que se requiere. En la figura 7, por ejemplo, se está filtrando todas las peticiones que sean de la IP 192.168.0.15.

concatenar
Figura 7. Concatenación de elementos

Wireshark es una herramienta extremadamente poderosa, en este artículo simplemente se habló en una menor medida de lo que es realmente capaz de hacer, las aplicaciones van desde depurar las implementaciones de protocolos de red, examinar problemas de seguridad, inspecciones protocolos internos de red, tener un control más amplio de nuestra red etc…

Referencias


Foto del autor

Francisco Bernal Baquero

Ingeniero Electrónico.

Programador en Python y Ruby, siempre dispuesto a aprender.


Relacionado





Haz un comentario