WIRESHARK

 WIRESHARK

Con este software se puede capturar  un ping, una conexion FTP, una conexion HTTP

El aplicativo me permite visualizar  todo  lo que sucede  desde la capa fisica, de red y transporte.

Wireshark es un analizador de protocolos de software o una aplicación “husmeador de paquetes” que se utiliza para el diagnóstico de fallas de red, verificación, desarrollo de protocolo y software (también conocido como un analizador de red o analizador de protocolos).

Puede interceptar y registrar tráfico de datos pasando sobre una red de datos. Mientras el flujo de datos va y viene en la red, el husmeador “captura” cada unidad de datos del protocolo (PDU  Unidad de datos del protocolo) y puede decodificar y analizar su contenido de acuerdo a la RFC correcta u otras especificaciones.

Wireshark está programado para reconocer la estructura de los diferentes protocolos de red. Esto le permite mostrar la encapsulación y los campos individuales de una PDU e interpretar su significado.

Es una herramienta útil para cualquiera que trabaje con redes y se puede utilizar en la mayoría de las prácticas de laboratorio en los cursos CCNA para el análisis de datos y el diagnóstico de fallas.

Para obtener más información y para descargar el programa visite: http://www.Wireshark.org

Escenario

Para capturar las PDU, la computadora donde está instalado Wireshark debe tener una conexión activa a la red y Wireshark debe estar activo antes de que se pueda capturar cualquier dato.

Cuando se inicia Wireshark, se muestra la siguiente pantalla.

Para empezar con la captura de datos es necesario ir al menú Capture y seleccionar Options. El cuadro de diálogo Options provee una serie de configuraciones y filtros que determinan el tipo y la cantidad de tráfico de datos que se captura

Primero, es necesario asegurarse de que Wireshark está configurado para monitorear la interfaz correcta. Desde la lista desplegable Interface, seleccione el adaptador de red que se utiliza.

Generalmente, para una computadora, será el adaptador Ethernet conectado.

Luego se pueden configurar otras opciones. Entre las que están disponibles en Capture 

Options, merecen examinarse las siguientes tres opciones resaltadas

Configurar Wireshark para capturar paquetes en un modo promiscuo.

Si esta característica NO está verificada, sólo se capturarán las PDU destinadas a esta computadora.

Si esta característica está verificada, se capturarán todas las PDU destinadas a esta computadora Y todas aquellas detectadas por la NIC de la computadora en el mismo segmento de red (es decir, aquellas que “pasan por” la NIC pero que no están destinadas para la computadora).

Nota: La captura de las otras PDU depende del dispositivo intermediario que conecta las computadoras del dispositivo final en esta red (hubs, switches, routers)

Configurar Wireshark para la resolución del nombre de red

Esta opción le permite controlar si Wireshark traduce a nombres las direcciones de red encontradas en las PDU. A pesar de que esta es una característica útil, el proceso de resolución del nombre puede agregar más PDU a sus datos capturados, que podrían distorsionar el análisis.

También hay otras configuraciones de proceso y filtrado de captura disponibles.

Haga clic en el botón Start para comenzar el proceso de captura de datos y una casilla de mensajes

El panel de Lista de PDU (o Paquete) ubicado en la parte superior del diagrama muestra un resumen de cada paquete capturado. Si hace clic en los paquetes de este panel, controla lo que se muestra en los otros dos paneles.

El panel de detalles de PDU (o Paquete) ubicado en el medio del diagrama, muestra más detalladamente el paquete seleccionado en el panel de Lista del paquete.

El panel de bytes de PDU (o paquete) ubicado en la parte inferior del diagrama, muestra los datos reales (en números hexadecimales que representan el binario real) del paquete seleccionado en el panel de Lista del paquete y resalta el campo seleccionado en el panel de Detalles del paquete.

Cada línea en la Lista del paquete corresponde a una PDU o paquete de los datos capturados.

Si seleccionó una línea en este panel, se mostrarán más detalles en los paneles “Detalles del paquete” y “Bytes del paquete”. El ejemplo de arriba muestra las PDU capturadas cuando se utilizó la utilidad ping

El panel Detalles del paquete muestra al paquete actual (seleccionado en el panel “Lista de paquetes”) de manera más detallada. Este panel muestra los protocolos y los campos de protocolo de los paquetes seleccionados. Los protocolos y los campos del paquete se muestran con un árbol que se puede expandir y colapsar.

El panel Bytes del paquete muestra los datos del paquete actual (seleccionado en el panel “Lista de paquetes”) en lo que se conoce como estilo “hexdump.

La información capturada para las PDU de datos se puede guardar en un archivo. Ese archivo se puede abrir en Wireshark para un futuro análisis sin la necesidad de volver a capturar el mismo tráfico de datos.

La información que se muestra cuando se abre un archivo de captura es la misma de la captura original.

Cuando se cierra una pantalla de captura de datos o se sale de Wireshark se le pide que guarde las PDU

Si hace clic en Continue without Saving se cierra el archivo o se sale de Wireshark sin guardar los datos capturados que se muestran.

Captura de PDU mediante ping

Desde la línea de comando de mi equipo,  se realizo ping a  la dirección IP 192.168.1.5, una maquina conectada  a mi red

Después de recibir las respuestas exitosas al ping en la ventana de línea de comandos,  se detuvo  el software.

Aca esta la captura del ping por medio de WIRESHARK.

Las lineas que nos interesan son la 23,24,25,27,28,29,30

NOTAS:

El protocolo que utiliza PING  es ICMP : Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas en inglés de Internet Control Message Protocol) es el sub protocolo de control y notificación de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no está disponible o que un router o host no puede ser localizado.

Cuando se  envía la petición del ping hay  un request (solicitar) de la maquina origen  en este caso 192.168.1.1, e inmediatamente la maquina destino 192.168.1.5 realiza un reply (respuesta) ya que hay una comunicación exitosa

El panel de Detalles del paquete mostrará  esto:

En este  cuadro lo más relevante es que  especifica la línea 22 sobre la cual se esa realizando el análisis.

La fecha en la cual se realizo la captura.

El  tamaño del paquete en este caso 74 bytes  que equivalen a 592 bits

Finalmente el protocolo utilizado ICMP

En este  cuadro lo más relevante  es la capa  física de Ethernet, aca se visualiza que la petición del ping se realizo desde  un PC con mac 00:27:0e:10:5a:7ª (intel) hacia una maquina virtual  con mac 00:0c:29:09:2a:43

Aca se utilizan los protocolos de ARP

En este  cuadro ya entra la capa 3 de red, aca visualizamos que la la IP de origen es la 192.168.1.2 y el destino 192.168.1.5

En este cuadro actua la capa de transporte y como la comunicación es correcta hay una respuesta

Si selecciona una línea en el panel de Detalles del paquete, toda o parte de la información en el panel de Bytes del paquete también quedará resaltada.

Por ejemplo, si la segunda línea (+ Ethernet II) está resaltada en el panel de detalles, el panel de Bytes

BACKTRACK 5

BACKTRACK 5

BackTrack   es un sistema operativo que tiene miles de utilidades relacionadas con la seguridad informática , es un sistema utilizado para la ciencia forense y de mucha ayuda para evaluar un objetivo .

Este sistema operativo  lo descargamos  en el siguiente link DESCARGAR BACKTRACK

 CLIK ACA PARA VER VIDEO 

Para  configurar la  dirección IP en  BackTrack   lo hacemos con el comando: ifconfig eth0 192.168.1.100

Para   verificar conectividad lo hacemos con  ping, con esto  verificamos si  hay  comunicación con otros dispositivos de la red, en este caso se hace  con el comando PING  +  la  IP
Ej: Ping 192.168.1.5

Para conocer cuantos hosts o IPs   hay  en un segmento de RED. Lo hacemos con el comando

Netdiscover –r  192.168.1.1/24 

Para limpiar los procesos lo hacemos con el comando clear.

NMAP

El comando  nmap es muy  útil para  el escaneo de una red.

Vamos a utilizar los mas comunes  y eficientes  con BACKTRACK 5

 Con el comando nmap 192.168.1.1/24  podemos realizar el escaneo de toda una red.

Como lo muestra la imagen, con este comando encontramos todas las maquinas vivas de la red, los puertos que están abiertos en esa maquina y la mac fisica

Si queremos  realizar un escaneo tipo conexión lo hacemos  con

nmap –sT –vv –p  139,445,2638,80 192.168.1.5  en este ejemplo el –vv es para detallar todos los aspectos y el –p  es para los puertos en detalle.

Este es el resultado, los 4 puertos escaneados  y el tipo de transporte por esos puertos.

Con el comando nmap –sS –vv –p  139,445,2638 192.168.1.5,   vamos a realizar un Scan silencioso tipo SYN

Con el comando nmap –sV –vv –p  139,445,2638 192.168.1.5,   vamos a mirar las versiones de los servicios que están corriendo por esos puertos  

Con el comando nmap –O –vv    192.168.1.5,   vamos a mirar la versión del sistema operativo.

REDES 3G Y 4G

REDES 3G Y 4G

 

Función

Las redes 3G y 4G ofrecen niveles divergentes de transferencia de datos desde las fuentes a los dispositivos. De acuerdo a la Unión Internacional de Telecomunicaciones (ITU), el servicio 3G provee descargas de 14MB por segundo y 5.8MB/s de subida. Esto es comparado con el mínimo proyectado de 100 MB/s de velocidad de transferencia con el 4G.

Características

Según la ITU, las redes 4G usan una forma de sistema de antena conocido como multiplexado espacial. Usando las características de antena inteligente de la tecnología 3G, el 4G despliega un número de estas antenas tanto para transmitir y recibir, permitiendo así una mejor señal.

Se tienen las siguientes características: SGSN (Serving GPRS Support Node, en español  Nodo de Soporte GPRS) y GGSN (Gateway GSN, en español Interfaz hacia las redes de paquetes de datos externas)

SGSN: es un Nodo de servicio GPRS  (General Packet Radio Service, en español  es una arquitectura para redes de área amplia (WAN))  que  tiene como función principal dar acceso a los terminales móviles (teléfonos celulares) hacia la red de datos que puede ser internet ó una red corporativa.

El  SGSN es el primer punto principal en el cual se autentifica una terminal cuando se realiza una conexión de datos.

El SGSN  se encarga del manejo de la movilidad de los celulares, llevando un registro de localización de las terminales, enruta, hace la  transferencia de los paquetes de datos, establece los túneles entre la RAN (Radio Access Network, en españo es el acceso del radio en la red) (BSC/RNC  Radio Network Controller, Controlador de la Red Radio) y el GGSN.

Una tarea importante del SGSN es  llevar la parte de facturación de las terminales que se encuentran en modo ROAMING  (se refiere a la capacidad de cambiar de un área de cobertura a otra sin interrupción en el servicio o pérdida en conectividad. Permite a los usuarios seguir utilizando sus servicios de red inalámbrica cuando viajan fuera de la zona geográfica en la que contrataron el servicio, por ejemplo, permite a los usuarios de teléfonos móviles de COLOMBIA seguir utilizando su móvil cuando viajan a otro país.)  por medio de registros llamados CDRs (Call Detail Records, En ellos, se almacena información detallada sobre dónde se generan las llamadas, dónde terminan y por dónde pasan.)

 El SGSN tiene varios servicios configurados : SGSN SERVICE para 3G, GPRS SERVICE para 4G; estos dos realizan  la parte de conexión hacia las RNC/BSC, MAP SERVICE  es la parte de acceso hacia el HLR (Home Location Register en español es el registro inicial de localización) , SMSC (hort Message Service Center en español central de servicio de mensajes cortos), SGTP SERVICE  que es la conexión hacia nuestro GGSN o también conocido como GN que  es la puerta de enlace hacia otras redes celulares llamada GP y el GTPP SERVICE  que es para la parte de facturación o BILLING.
Envía a los terminales vía el HLR, el QOS (Calidad de servicio) y el  PROFILE que va a utilizar el  usuario.

Imagen de SMSC

El GGSN es la puerta de enlace o punto central de conexión hacia el exterior o la PDN (Packet Data Network, en español  paquete de datos en la red) de una red celular (red movil), estas redes externas pueden ser Internet o un red corporativa.

Estas redes son el punto de acceso para multiples puntos de accesos llamados (APN=Access Point Network) Dependiendo de la configuración el GGSN puede manejar una parte de autenticación  ó autorización de navegación llamada Radius/Diameter, esto se puede realizar por APN.
En la parte de configuración de los APN se puede configurar  el tipo de esquema de facturación que puede ser, PRE-PAGO  o POS-PAGO, en parte se encarga del QoS aunque el SGSN es el encargado principal, además de aplicar políticas y reglas de navegación en base a los datos transmitidos/recibidos por los celulares, finalment asigna la  IP para uso del terminal dependiendo del APN solicitado.

En pocas palabras podemos concluir.

El SGSN se encarga en parte de la  movilidad del celular además de dar acceso a la red de datos móviles, de autenticar  y asignar la calidad del servicio a utilizar en cada terminal, se encarga de proveer la salida a la PDN dependiendo del APN, asi como de la parte de facturación y aplicación de políticas y reglas de navegación.

MONITOREAR UNA RED

Monitorear una  Red

En este laboratorio se utilizo el Software  Angry IP Scanner, es una herramienta que analiza y monitoriza el estado de las direcciones IP en una red local.

Es muy importante para un administrador de red saber que  maquinas están vivas en  la red y cuales no responden para  descartar un problema mas fácilmente 

Puede analizar cualquier IP para comprobar si responde, resolver el nombre de host e intentar conectar con aquellas que especifiques en el diálogo de configuración.

El software tiene diferentes hilos de conexión para cada IP,  con esto  reduce el tiempo de espera, y muestra también información general sobre el PC como el nombre de la máquina, su grupo de trabajo en red y nombre del usuario que está conectado.

CLIK ACA PARA VER VIDEO ** (MONITOREAR UNA RED)** 

El primer paso es tener el software instalado. Despues  de esto  seleccionamos el rango de Ips, damos  clik en START.

Despues de terminar el escaneo vemos la cantidad de IPs que se escanearon, lo mas importante es el numero de Pcs vivos en la red con puntos de color azul  (alive hosts), los puntos de color  rojo indican que esas IPs no están en la red 

Si queremos información sobre una IP  en especial la seleccionamos   y con click derecho  vamos a SHOW, en este ejemplo se va a consultar la MAC del PC en la opción  MAC ADDRESS

Si queremos saber el nombre de  la red hacemos el mismo proceso  con Group Name para conocer el nombre de la red, con Hostname identificamos  el nombre de la maquina,  con TTL (Time To Live) es  el tiempo que demora el ping hacia esa maquina.

Otra  funcionalidad importante es seleccionar  una maquina viva, click derecho sobre ella  y en OPEN COMPUTER tenemos varias opciones para  validar ese dispositivo.

WEB BROWSER (HTTP):  carga la IP en el Explorador, si esta ip corresponde a un CPE, tendríamos acceso a el.

FTP:   si  la IP es de un FTP nos pediría user y pass o  entraríamos  directamente.

TELNET:  si el dispositivo tiene esta funcionalidad, entraríamos por debajo.

PING:  para verificar conectividad  con esa maquina

TRACEROUTE: para verificar el  numero de saltos desde  nuestro PC a ese destino.