Una de las tareas más importantes a las que suele enfrentarse un administrador de red bastante a menudo es aquella en la que ha de tratar de averiguar qué está pasando, bien en un momento determinado, bien de una forma constante, en la red que administra. Analizar de forma correcta el tráfico que circula por la red es fundamental para llevar a buen término la investigación y la posterior solución. El proyecto Wireshark, antes conocido como Ethereal, pondrá al alcance del administrador una serie de potentes herramientas que permitirán un exahustivo análisis del tráfico de red para, a través de éste, componer una solución adecuada al problema presentado.

Instalación de Wireshark

El software del proyecto Wireshark está licenciado bajo la GNU (General Public License) y su descarga y uso son acciones totalmente gratuitas. La descarga del programa la podemos hacer desde la página principal del proyecto (http://www.wireshark.org/) o bien desde el programa de instalación de paquetería de cualquier distribución Linux. Si usamos sistemas con Windows, el programa de instalación se encargará de instalar todo lo necesario para el correcto funcionamiento de la herramienta de análisis, incluida la librería de captura de paquetes bajo Windows WinpCap.

Es muy recomendable que, si la instalación de la herramienta la estamos haciendo bajo sistemas con Windows, dejemos que el programa instale la versión de WinpCap incluída en el paquete, aunque ya tengamos alguna otra instalada. En sistemas con Linux, la instalación mediante apt-get o yum resolverá todas las dependencias y se hará tan sencilla como esto:

[~]# apt-get install wireshark [ethereal]

Primera captura

Una vez instalado el programa, lo ejecutaremos desde el entorno gráfico correspondiente y, sin más dilación, podemos ponernos a capturar nuestra primera sesión de paquetes. Pulsaremos sobre el icono de la barra superior situado más a la izquierda y se nos presentará un listado con los controladores de red instalados en el sistema que son capaces de capturar tráfico de red. Bajo la columna Packets observaremos cuales de ellos están recibiendo tráfico y mediante la pulsación del botón Capure comenzaremos la captura de los paquetes.

Pasados unos minutos, podremos pulsar con el ratón sobre el botón Stop y se nos presentará una pantalla con el tráfico capturado. Aunque nos centraremos en la explicación de las capturas a partir del siguiente capítulo, si que podemos fijarnos en que la información relativa a la captura de paquetes presentada se clasifica, de izquierda a derecha y siempre en la parte alta de la pantalla, por número de paquete, tiempo desde el inicio de la captura, IP de salida y de llegada del paquete, protocolo utilizado e información relativa a la captura.

Procedimientos y hardware

Una topología de red montada a través de switches permite que Wireshark capture únicamente paquetes propios. El funcionamiento propio de un switch impide que podamos capturar tráfico de ordenadores que no tienen instalado el software de rastreo, ya que este tipo de hardware se limita a mandar datos a los puertos especificados, impidiendo la "escucha" de casi todo el tráfico circulante y proveniente de otros ordenadores de la red. Dicho tráfico no pasa por nuestro cable físico y no se puede capturar.

Para solucionar esto, es necesario que nuestra red esté provista de un hub. Dicho componente actúa mandando todos los paquetes recibidos a todos los clientes conectados, independientemente del puerto y la máquina al que van dirigidos. Es posible por tanto capturar todo el tráfico de la red si éste pasa a través de un hub y el ordenador donde tenemos montado Wireshark está conectado a éste. Para una captura correcta de paquetes de una máquina que no sea la nuestra, hemos de asegurarnos de que la otra máquina pasa su tráfico a través de un hub. Por motivos de seguridad, no podemos prescindir del switch que da servicio a la red, así que la solución pasa por conectar el hub al switch y pasar los ordenadores a estudiar a través del hub, incluído el nuestro. Esto lo haremos mediante la conexión del puerto uplink del hub a cualquier puerto libre de nuestro switch.

Si disponemos de un switch gestionable no será necesario conectar un hub a nuestra red, ya que podemos utilizar la redirección de puertos o de tráfico del aparato para que todo el tráfico de la red pase por nuestro ordenador de una forma transparente.

En el siguiente capítulo, comenzaremos con el análisis de una captura básica de tráfico con Wireshark y estudiaremos algunas funciones del programa relativas a la presentación de la información de forma gráfica.

Sólo los usuarios registrados pueden escribir comentarios.
Por favor, valídate o regístrate.

Powered by AkoComment 2.0!