ANALIZADORES DE PROTOCOLOS Un analizador del protocolo es un sistema que puede supervisar e interpretar datos mientras que se mueve a travs

de un autobs o de una red de la computadora. Puede recoger y almacenar generalmente una gran cantidad de estos datos tambin. Ciertas condiciones se pueden programar a menudo para comenzar y para parar automticamente el proceso de la captura del paquete. Las Software Engineers de la electrnica y utilizan con frecuencia analizadores del protocolo para diagnosticar problemas con las redes de ordenadores, los dispositivos de almacenamiento y los nuevos diseos de circuito. Un analizador o un succionador del protocolo de red puede tambin ayudar a remontar violaciones de la seguridad en haber atado con alambre o una red inalmbrica. Estos sistemas vienen en varias formas. Algunos son los dispositivos totalmente autnomos que no se pueden utilizar para ningn otro propsito. Otros consisten en los programas informticos especializados que funcionan en el ordenador porttil de fines generales o el otro sistema portable. Un tercer tipo de analizador del protocolo incluye el software y el soporte fsico que se deben utilizar junto con un analizador de lgica de fines generales. La cantidad de almacenaje de datos disponible y el sistema de las condiciones posible que pueden accionar la coleccin de datos varan segn el diseo del sistema particular. Otros usos de los analizadores de protocolos Analizar y soportar demandas de nuevas aplicaciones (como VoIP) Obtener mayor eficiencia de la red, al analizar todo lo que pasa por ella, detectar problemas concretos. Redes remotas, sin necesidad de realizar largos viajes Analizar y monitorear varias redes a la vez Hay diversos tipos de analizadores de protocolos disponibles comercialmente, pero en general, son productos bastante caros. El precio depende de la capacidad de anlisis (el nmero de protocolos que es capaz de reconocer y decodificar), de la tecnologa de red soportadas (Ethernet, ATM, FDDI...), y de si se trata de algn programa (software) o ya es algn tipo de mquina especializado (hardware). Ejemplos de analizadores de protocolos Appsniffing: analizador de protocolos con una poderosa interface grfica que le permite rpidamente diagnosticar problemas y anormalidades en su red. Algunas caractersticas son que la captura puede ser efectuada tanto en el disco o en la memoria, admite el anlisis de datos en tiempo real, los filtros se pueden usar tanto en tiempo real como despus de la captura, el paquete se puede ver en tiempo real, se puede analizar de forma remota en tiempo real, permite estadsticas globales, y por ltimo, permite un anlisis TCP.

Productos Observer (Expert Observer, Observer Suite, Observer Probes, etc): sirven para Ethernet, Inalmbricos 802.11b y 802.11a, Token Ring y FDDI. Observer mide, captura y predice tendencias de sus redes. Observer se ejecuta en el ambiente windows. Monitorea y sirve como herramienta para resolver problemas que se presentan en las redes. SuperAgent: SuperAgent es la solucin nmero 1 para realizar la monitorizacin, establecer las tendencias y solucionar los problemas del rendimiento de aplicaciones. Le permite ver con precisin y detalle los tiempos de respuesta del usuario final por toda la empresa y de todas las aplicaciones de TCP, y sin la necesidad de usar extremos ni sondas distribuidas. ReporterAnalyzer: ReporterAnalyzer es un analizador pasivo del lado del servidor que rastrea y mide rpidamente las interfaces de WAN. OptiView Console: La consola de funcionamiento centralizado de Optiview, con funcin de acceso remoto, detecta rpidamente y supervisa continuamente los dispositivos de red, al mismo tiempo que documenta su conectividad. OptiView Protocol Expert: Protocol Expert es una aplicacin basada en Windows que ofrece anlisis de protocolos autnomos para paquetes capturados de Workgroup Analyzer, Link Analyzer e Integrated Network Analyzer de Optiview. QU ES EL SNIFFINER: Esta semana hablar del robo de informacin, en concreto "Sniffing" (a los que lo realizan se les denomina "Sniffers"), y es precisamente lo primero que viene a la cabeza, cuando se habla de robo de informacin. Se trata de una tcnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, tambin se puede dar en la red de redes: Internet. Esto se hace mediante aplicaciones que actan sobre todos los sistemas que componen el trfico de una red, as como la interactuacin con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior anlisis (contraseas, mensajes de correo electrnico, datos bancarios, etc.). Por ello, cada vez es ms importante enviar encriptada la informacin. Por ejemplo, los mensajes de correo electrnico y archivos delicados deben enviarse encriptados con PGP o GnuPG. La transferencia de archivos mediante FTP, debe evitarse en lo posible, utilizando SSH. 1) Cmo funcionan los Sniffers: El modo ms sencillo de comprender su funcionamiento, es examinndola forma en que funciona un sniffer en una red Ethernet. Se aplican los mismos principios para otras arquitecturas de red. Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el trfico que est dentro del umbral de audicin del sistema de escucha. Y no slo el

trfico que vaya dirigido a una tarjeta de red, sino a la direccin de difusin de la red 255.255.255.255 (osea a todas partes). Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que -como indica la propia palabra- recibir todos los paquetes que se desplazan por la red. As pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuacin el software puede capturar y analizar cualquier trfico que pase por ese segmento. 2) Programas Sniffers: Hay una serie de aplicaciones que son las que principalmente se utilizan para este propsito del sniffing. A continuacin, las indico as como su forma de actuar: A) SpyNet Es un programa shareware muy sencillo, incluye 2 programas en 1, "CaptureNet" y "PeepNet". El primero es el que espa el trfico en la red, guardando los paquetes de datos en formatos de bytes hexadecimales. Mientras que el segundo analiza los datos recopilados, reconstruyendo los paquetes, o reproduciendo los correos incluso las contraseas de los E-mail empleados (slo la versin de pago); adems muestra las direcciones de los ordenadores que participan y el protocolo empleado (pop3, http, smtp, etc.), as como los programas empleados (navegadores, programas de ftp, de correo, etc.) incluso hasta el sistema operativo. B) Ethereal Muy aplaudido en el mundo Linux, y ya con una versin para Windows. Su funcionamiento es similar al anterior, pero menos grfico, aunque informa de lo que encuentra segn el uso del protocolo. Y por supuesto, cuando se trata de POP3 localiza rpidamente el usuario y la contrasea. Y para rematar es cdigo abierto (open source) y adems gratuito. C) WinSniffer Es un programa especialista en contraseas. Busca en toda la red accesos de login (usuario) y contraseas, mostrndolos en pantalla. En concreto en la versin de prueba muestra el usuario y en la de pago, adems la contrasea. 3) Deteccin de los Sniffers: Hay 2 tcnicas bsicas para detectar a los sniffers: 1. Una basada en Host (por ejemplo, determinando si la tarjeta de red del sistema esta funcionando en modo promiscuo). 2. Y otra basada en la Red.

En cuanto a los programas los hay muy variados, tanto en la forma de actuar como para el sistema operativo para el cual trabajan. En UNIX hay varios programas que pueden realizar esta tarea, pero destaca el Check Promiscuous mode (cmp). En Windows, AntiSniff, detecta si hay algn sniffer en la red, pero slo trabaja en Windows 95 o 98. Su pgina web es Para DOS, tenemos la utilidad Promisdetect, que bajo MS DOS muestra informacin de la tarjeta de red, incluyendo la prosibilidad de saber si esta en modo promiscuo. Su pgina web