A la hora de verificar el estado de nuestra red o en caso de detectar alguna anomalía, es práctica habitual hacer uso de un analizador de protocolos de red. Una de las herramientas más utilizadas para llevar a cabo esta función es Wireshark, la cual nos proporciona una forma cómoda y gráfica (aunque para aquellos de la línea “clásica”, dispone de línea de comandos) de capturar los paquetes de red para su análisis.
Normalmente, para llevar a cabo esta tarea, debemos configurar una interfaz del switch de nuestra red en modo monitor (mirroring o SPAN), habitualmente la que nos conecta con el firewall, y configurar el switch para que reenvíe todo el trafico a un equipo donde tenemos el analizador; esta configuración también la podemos encontrar en implantaciones de NIDS, puesto que a grandes rasgos, trabajan de forma similar.
Para la captura de tráfico de nuestra red, existen no obstante otras opciones que se basan en la captura realizada en los propios firewalls de nuestra red, o si estamos llevando a cabo el análisis de una gran red, es posible que ésta disponga de equipos Cisco con sistema Cisco NX-OS (antiguo SAN-OS), un sistema operativo diseñado para entornos de datacenter. Estos sistemas nos pueden facilitar la tarea de análisis de trafico en el plano de control (control plane), es decir, el tráfico que mantiene la funcionalidad de la red (protocolos de enrutamiento, gestión de infraestructura de red,.. ).
El sistema Cisco NX-OS se encuentra implantado en equipos de comunicaciones de ultima generación, como por ejemplo, las series Cisco Nexus 7000 (o Nexus 5000), una plataforma modular altamente escalable que soporta velocidades de 10Gigabit Ethernet (e incluso 100Gbps), pensada para unificar entornos LAN y SAN, convirtiendo el equipo Nexus en múltiples switches lógicos, los cuales ejecutan procesos totalmente independientes. Para facilitar tareas como el análisis de red, estos sistemas incorporan el comando Ethanalyzer, basado en la version 1.0.8 de Wireshark, que nos permite de forma cómoda capturar y decodificar los paquetes de red, usando el mismo tipo de filtros que la herramienta original, pudiendo salvar las distintas capturas para analizarlas posteriormente.
Aunque debido a su coste es poco probable que la mayoría de nuestros lectores dispongan de un sistema como los descritos, para aquellos que tengan la suerte de poder administrarlos, Ethanalyzer puede hacerles la vida un poco más fácil. Los demás tendrán que conformarse con la versión de servidor de Wireshark, que no es poco.
En cisco no solo nexus tiene capacidad de análisis/captura de paquetes, nosotros tenemos algunos ASA 8.3 que incluyen análisis/caputura de paquetes y el resultado es exportable en un cap analizable por wireshark , no esta mal por que se puede filtrar incluso por ACL.
Por cierto en entornos windows Network Monitor 3.x es buena opción, sobre todo si lo combinas con windows 2008 R2 y ficheros ETL generados con el netsh trace, con ellos se puede trazar la comunicación entre el driver y el interfaz de red, que a veces ayuda.
Exacto; a nivel de cortafuegos también suele ser posible esta captura, concretamente Cisco tiene el comando capture o listas de acceso para realizar este tipo de tareas.
En IPSO, SecurePlatform y JunOS tienes disponible directamente tcpdump :-)