Contenido

1.- ANTECEDENTES ........................................................................................................................ 2 2.- OBJETIVO .................................................................................................................................. 2 3.- FUNDAMENTO TEORICO .......................................................................................................... 2 3.1 Descripcin General .......................................................................................................... 2 3.2 Concepto de analizador de trfico de red ......................................................................... 3 3.3 Funcionamiento General de un Analizador de Trfico de Red.......................................... 3 3.4 Analizadores de trfico de red existente en el mercado................................................... 5 TCPDUMP .............................................................................................................................. 5 Darkstat ................................................................................................................................. 5 Traffic VIS ............................................................................................................................ 5 SNORT.................................................................................................................................... 5 NWATCH ................................................................................................................................ 6 ETHEREAL .............................................................................................................................. 6 ETTERCAP .............................................................................................................................. 6 KISME .................................................................................................................................... 6 3.5 Requerimientos de la Aplicacin ....................................................................................... 6 4.- FUNDAMENTO PRCTICO ........................................................................................................ 7 5.- INSTALACION............................................................................................................................ 7

ANALIZADOR DE TRFICO 1.- ANTECEDENTES Con todos los cambios que existen y los que estn por venir en el mundo de las redes, cada vez se exige soluciones de seguridad perfectamente integradas, ms transparentes y ms flexibles. Si la seguridad de la red se encuentra afectada ya sea esta una LAN, WLAN, WAN, etc., podra tener consecuencias graves, como la prdida de privacidad, el robo de informacin e incluso, responsabilidad legal. Para que esta situacin constituya un desafo aun mayor, los tipos de amenazas potenciales a la seguridad de la red se encuentran siempre en evolucin. Por eso existe la necesidad de un software que analice el trfico de red, que observe que acontece por la red en un determinado momento y que permita analizar mediante grficos estadsticos, que tramas y protocolos se encuentren con ms frecuencia pasando por nuestra red y que solucin tomar mediante este anlisis que lo realiza el software analizador de Red. 2.- OBJETIVO Los objetivos del presente trabajo son: Aplicar los diversos conceptos de seguridad en redes al momento de disear el analizador Analizar el trfico proveniente de una red de datos y notar cuales son los protocolos de uso ms comunes en una red. Disear diversos tipos de consulta de los datos de la red, as como un ente grfico donde se pueda visualizar la informacin. 3.- FUNDAMENTO TEORICO 3.1 Descripcin General A diferencia de los circuitos tradicionales telefnicos, las redes de computadoras son canales de comunicaciones compartidos que pueden recibir informacin proveniente de diversos dispositivos. Esta informacin muchas veces puede ser de contenido confidencial o puede ser daina para nuestra red de computadoras, de all nace la necesidad de crear un programa que en adelante denominaremos, analizador de redes o analizador de trfico de red, el cual se trata de un software que analiza toda la informacin transmitida en tiempo real, a travs de una red. Existen muchos tipos de analizadores de trfico de red en el mercado, los cuales varan de una funcionalidad a otra, pero todos tienen en comn el analizar las redes para ver qu est pasando en ellas. Algunos de estos programas analizadores de redes estn hechos en base a software libre y otros remunerados. Muchos de los analizadores de trfico de red que se pueden descargar de

Internet son gratis, pero no tiene todas las funcionalidades incluidas, si se requiere del Software completo hay que pagar por la totalidad del analizador de red. Como objetivo de trabajo de este proyecto proponemos investigar todas las funcionalidades y caractersticas que los analizadores de redes tengan tanto en el mbito laboral como estudiantil. En el mbito laboral puesto que se envan paquetes con informacin importante, que podran comprometer la integridad de una empresa y en el mbito estudiantil para recalcar la importancia y el funcionamiento de una herramienta tan importante como esta. 3.2 Concepto de analizador de trfico de red Su definicin en informtica, es un programa especializado de monitoreo y anlisis, que captura tramas o paquetes de una red de datos. Es un software informtico que puede interceptar y registrar trfico de paquetes pasando sobre una red de datos. Mientras el flujo de datos va y viene en la red, el husmeador captura cada unidad de datos del protocolo y puede decodificar y analizar su contenido, de acuerdo a la especificacin del programa. Su uso vara desde la deteccin de un cuello de botella en una red hasta el anlisis de fallas en las redes, aunque tambin es habitual su uso para fines maliciosos, como robo de contraseas, interceptar mensajes de correo electrnico, espiar conversaciones de chat, obtener datos personales entre otros. La cantidad de tramas que puede obtener un Analizador de trfico de red depende de la topologa de red, del diseo del analizador, as como el medio de transmisin. Para poner en funcionamiento este tipo de software, la persona debe tener conocimientos bsicos sobre estructuras de redes y las tramas de datos. 3.3 Funcionamiento General de un Analizador de Trfico de Red Para explicar el funcionamiento de un analizador de trfico de red es necesario tener presente varios conceptos. Una red de datos, est formada por varias computadoras conectadas entre s por un medio cableado o inalmbrico, que a su vez estn conectados a otros dispositivos como conmutadores y estos a su vez a otros dispositivos llamados enrutadores, el cual se encarga de escoger rutas y dirigir los paquetes de informacin hacia la computadora destino como podemos ver en la figura 2.1.

Figura 2.1 Conexin de una red LAN Es muy comn en las redes LAN, con una topologa tipo bus que un analizador de trfico de red pueda operar en dicha red, ya que todas las computadoras estn conectadas a un mismo medio compartido, donde todo el trfico es transmitido y recibido por todas las mquinas que pertenecen a esa red local, es decir comparten un medio comn. Otro medio donde los analizadores de trfico de red pueden desenvolverse tranquilamente es en la mquina de la vctima, pero para este caso es necesario tener acceso a la maquina vctima, donde se instala el programa y el fin de hacer esto es encontrar informacin de otros usuarios y tener acceso a otros dispositivos, que normalmente se accede desde la mquina vctima. Los analizadores de trfico de red funciona por una simple razn, existen protocolos que son de acceso remoto y las mquinas transmiten las claves de acceso remoto en forma de texto plano por esta razn es que se captura la informacin que se transmite por la red, ya que nos da la informacin correcta para tener acceso a alguna maquina determinada. Como ejemplo de cmo procede la captura en la figura 2.2, tenemos una mquina que transmite un dato, lo hace a travs del cable compartido, en el cual estn conectadas todas las maquinas, las maquinas que estn conectadas tienen la misma posibilidad de ver los datos que en ese momento se estn transmitiendo, pero eso no sucede ya que cada tarjeta de red que tienen las maquina conectadas, solo reciben o capturan los paquetes de datos que van dirigidos hacia ellos, y todos los otros datos que se transmiten son ignorados, por ese motivo cuando se va a comenzar a capturar los datos se activa la tarjeta en modo promiscuo.

Figura 2.2 Funcionamiento general de un analizador de redes As es como un analizador de trfico de red trabaja accediendo a los datos que pasan por una tarjeta de red, sea esta inalmbrica o Ethernet. Una vez que se accede a los datos, lo que realiza el analizador de trfico de red es filtrar todos los paquetes, los examina y mira las peticiones de los puertos segn los filtrados del usuario como TCP, UDP, POP3, etc. 3.4 Analizadores de trfico de red existente en el mercado Por su importancia tenemos los siguientes tipos de Analizadores de trfico de red: TCPDUMP Permite monitorizar trfico de red en tiempo real. Los filtros que se pueden crear para mostrar tan slo la informacin que nos interesa, hacen de TCPDUMP una herramienta muy potente para el anlisis de trfico en redes de comunicaciones . Darkstat Realiza la estadstica de direcciones que se generan en la comunicacin entre hosts, el trfico que se produce, y los diferentes nmeros de puerto usados por los diversos protocolos. Adicionalmente, el programa obtiene un breve resumen y grficos por perodos de tiempo de los paquetes analizados desde que se empieza a ejecutar el programa. Traffic VIS Proceso demonio que monitoriza el trfico TCP/IP y convierte esta informacin en grficos en ASCII, HTML o PostScript. Traffic-vis tambin permite analizar el trfico entre hosts para determinar qu hosts han comunicado y el volumen de su intercambio. SNORT Es un Sistema de deteccin de instrucciones basado en red.

Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida como patrones que corresponden a ataques, barridos, intentos o aprovechar alguna vulnerabilidad, anlisis de protocolos, etc., conocidos, todo esto en tiempo real. NWATCH Se puede entender como un analizador de puertos pasivo, que est solamente interesado en trfico IP y organiza los resultados como un explorador de puertos. Para la seguridad de la red NWatch es un complemento excelente al barrido de puertos regular de sus redes. Por defecto, NWatch permanece activo indefinidamente hasta que recibe un aviso. Durante ese tiempo mira el interfaz por defecto, siguiendo cada combinacin del IP host/port que descubre. ETHEREAL Ethereal que ahora se llama Wireshark, es un potente analizador libre de protocolos de redes, funciona bajo Unix, Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la informacin a partir de una captura en disco, puede leer ms de 20 tipos de formato distintos. Destaca tambin por su impresionante soporte de ms de 300 protocolos. ETTERCAP Es un sniffer, interceptor o logger para redes LAN con switch, que soporta la diseccin activa y pasiva de muchos protocolos, incluso cifrados e incluye muchas caractersticas para el anlisis de la red y del host anfitrin. Inyecta caracteres en una conexin establecida emulando comandos o respuestas mientras la conexin est activa. Intercepta trfico remoto mediante un tnel GRE: Si la conexin se establece mediante un tnel GRE con un router, puede interceptarla y crear un ataque tipo Man in the Middle. KISME Es un analizador de trfico de red especfico a Linux para redes inalmbricas. Especficamente, es un detector de la red 802.11 en capa 2, un sistema sin hilos para la deteccin de la intrusin. Funciona correctamente con dos principales tipos de tarjetas inalmbricas. Kismet identifica redes de modo pasivo, recogiendo paquetes y detecta redes nombradas estndares, redes ocultas e infiere la presencia de redes va trfico de los datos. 3.5 Requerimientos de la Aplicacin Se requiere una aplicacin que sea capaz de analizar, filtrar, separar y contabilizar la cantidad de paquetes de las diferentes capas de los protocolos. Se pretende analizar esta informacin accediendo de manera promiscua a la NIC de un ordenador y analizar el trfico que proviene de una red en un determinado tiempo, para mostrar una estadstica de la cantidad de paquetes que existen en dicha red en cierto tiempo, esto con la finalidad de poder desglosar y

examinar el tipo de informacin que pasa por esta red para evitar problemas como cuellos de botella, filtrado de informacin fuera de la empresa entre otros. 4.- FUNDAMENTO PRCTICO Para la realizacin del proyecto se realizo una simulacin del funcionamiento de un analizador de trafico con la ayuda de programa MATLAB Para esta implementacin, a nivel de software lo que se requiere es una herramienta que facilite los clculos matemticos complejos y adems la posibilidad de realizar varias pruebas rpidamente sin necesidad de hacer muchos cambios. Tambin es muy importante que el software sea capaz de manejar Imgenes para no tener que preocuparse sobre temas como diferentes formatos de archivos, visualizacin de las imgenes, conversin entre datos de imagen y numricos, etc. Estas son las principales razones para elegir a Matlab, que es una herramienta especializada para el desarrollo de aplicaciones de ingeniera y matemtica con una larga experiencia en el mercado. La programacin en Matlab es bastante simple e incluye un amplio abanico de funciones matemticas. Pero Matlab tiene unas cuantas desventajas, comenzando por la Velocidad de procesamiento. Puede ser muy fcil programar funciones matemticas complejas pero no es posible optimizar los tiempos de clculo. Si se usa otro lenguaje de programacin como C++ se puede lograr tiempos de ejecucin mucho menores que con Matlab. Pensando ya en el desarrollo del proyecto este software no servir de mucho ya que tiene una interface grafica donde podremos realizar una presentacin mas ocorde a lo que se requiere

5.- INSTALACION