jueves, septiembre 04, 2008

NetworkMiner - Analizador de trafico de red

Agradezco a los lectores que se tomaron el tiempo de responder a la encuesta anterior, luego de una cerrada votacion, un voto de ultima hora favorecio que este post sea relacionado con herramientas de soporte, asi que para agradecer a estos amables lectores, este post esta relacionado con una herramienta relativamente nueva, pero que definitivamente es una excelente adicion al arsenal de soporte, espero que este post sea de utilidad.

NetworkMiner es un analizador pasivo de trafico de red, como Wireshark puede capturar trafico, pero su enfoque y su mayor potencial no es tanto la captura sino más bien al análisis, especificamente al análisis forense del tráfico de red, a que me refiero con esto, quedara más claro luego que veamos ejemplos prácticos del uso de esta herramienta. Por lo pronto y a manera de introducción y motivación para continuar leyendo este post, puedo decirte que es un excelente complemento de Wireshark, esta basado en Windows y es Open Source por lo que no hay nada que te impida bajarla y ejecutarla en tu red. Sin más, entramos en materia...

A continuación se enumeran algunas caracteristicas de este software:

  • Permite la identificación de sistemas operativos y alguna información adicional sobre los hosts que detecta (OS Fingerprinting)
  • Reconstrucción de archivos - Supongamos que tenemos un archivo capturado en wireshark (con extensión pcap) al abrirlo en NetworkMiner, reconstruira los archivos que se encuentren presentes en la captura.
  • Extracción de imagenes - Como en el caso anterior, si tenemos una captura y la abrimos en NetworkMiner, reconstruira todas las imagenes presente que hay en la captura.
  • Identificación de credenciales - Identificara usuarios y passwords dentro de una captura.
Las anteriores son algunas de las caracteristicas más sobresalientes, aunque hay algunas más que no se discuten en este post, puede que te parezca que lo anterior no tiene mucha utilidad, espero con algunos ejemplos prácticos demostrar que no es asi, manos a la obra.

Para instalar el software unicamente lo baje del sitio, venia en un archivo .zip, luego de descomprimirlo, en el directorio que se crea, se ejecuta NetworkMiner.exe, y entramos a la interface principal, en la figura abajo, se muestra la pantalla principal en el momento en que se esta abriendo un archivo pcap (capturado previamente con Wireshark), como comente anteriormente, la parte de captura no es el principal fuerte de este software, de hecho no me funciono en Windows Vista, si vas a usar este software, quizas sea buena idea hacer las capturas con Wireshark en el formato pcap.



En Wireshark bajo el menu statistics, es posible observar una lista de los hosts detectados en una captura (llamados Endpoints), en NetworkMiner también, pero con mayor riqueza de información gracias a sus caracteristicas de identificación de sistemas operativos, por ejemplo en la figura abajo, muestra un host detectado, pero no solo muestra la dirección IP, sino también nos informa que esta PC esta ejecutando Windows, que el puerto 80 esta a la escucha y además que esta ejecutando el servidor web apache, esto nos puede ser de utilidad entre otras cosas, para detectar PCs o servicios no autorizados en nuestra red.



En el post Nanspy Worm en mi Laptop, describi el uso de Wireshark para detectar y eliminar un gusano, un aspecto clave en ese análisis fue detectar la presencia de algunos archivos que habían sido transferidos a ma laptop, con NetworkMiner es posible ver que archivos han sido transferidos, esto desde la pestaña Files, en ella muestra todos los archivos que han sido transferidos en una captura dada, a continuacion se muestra una captura en la que se detectaron algunos archivos sospechosos.


NetworkMiner también permite reconstruir las imagenes que detecta en una captura, supongamos que por ejemplo has hecho una captura en wireshark del tráfico de tu conexión a internet, en la pestaña images mostrara que imagenes han estado viendo los usuarios de la red, podrias descubrir contenido no permitido.



Para terminar con los ejemplos prácticos, NetworkMiner también es capaz de detectar credenciales que han sido utilizadas, si durante una captura, un usario establecio una conexión a telnet a un router, en la pestaña credentials, veras el usuario y password que se uso y te daras cuenta que es de suma importancia utilizar métodos más seguros para conectarte a tus equipos de red (como SSH, aunque ese, es otro tema).

Espero que con los ejemplos anteriores, este más que claro que este software tiene mucho potencial, hay algunas otras características que no se han discutido acá, y por ser este un software open source en constante evolución, con toda seguridad en el futuro tendrá aun cosas más interesantes que mostrar, por lo pronto es importante mantenerlo en perspectiva, no es un sustituto de Wireshark, a mi modo de ver, es un excelente complemento para facilitar el análisis forense del tráfico de tu red.

Finalmente, no esta de más mencionar que estos son mis primeros pasos con esta herramienta, en realidad la descubri hace unos poco días, asi que no ofrezco dar soporte, si en algo puedo ayudar con gusto, pero apenas estoy conociendo esta herramienta. Favor también tomar en cuenta la advertencia del siguiente parrafo.

Advertencia: Asegurate de contar con el permiso para análizar el trafico de tu red, la información que despliega NetworkMiner puede ser reveladora y atentar contra políticas de privacidad, asi que no utilices esta herramienta indiscriminadamente.

13 comentarios:

Cristian dijo...

wenas, la verdad que leí algunos posts y me parecen interesantes, las explicaciones estan bien detalladas y de manera sencilla.
soy estudiante de ing. en sistemas de argentina y estoy cursando ccna2 de cisco.
bueno mi post viene en consecuencia de que estoy intentando hacer un blog para todas aquellas personas que tienen el interés de aprender y no encuentran un lugar específico donde esté todo lo relacionado a internet, seguridad, software, etc pero analizado de manera conjunta, o sea que todo este relacionado con todo y cada explicación detalle las relaciones que posee con cada parte. Además el hecho de que haya ejercicios prácticos y entretenidos para mantener el interés y poder ponerlo en práctica. Por esta razón mi pregunta es si pudiese utilizar tus posts, o sea la idea sería enlo posible ponerlos tal cual los tienes escritos a menos que vea que algo no esta muy claro para alguien que no sabe nada del tema y necesite agregar algo, pero siempre comentando que tu eres el autor de estos textos y poniendo los links a tu página desde cada uno de ellos. La idea no es apropiarme de ellos sino, no tener que volver a escribir algo que ya esta en internet y de una manera que me parece correcto. Bueno mi mail es: mortensencristian@hotmail.com espero tener una respuesta tuya desde ya muchas gracias!

Anónimo dijo...

Hola

muy interesante tu explicacion , por lo pronto ya baje el software para usarlo en mi trabajo, felicidades por tu blog

Ing. Gabriel avila

Fabian Elias dijo...

Ecqselente tuz publicasionhes (ja ja ) escribo mejor
De verdad, me parecen didacticas y motivadoras
Soy Ingeniero y trabajo en una empresa de telecomunicaciones y en alguna ocasion he hecho clases (depues de mi joranada laboral) y la queja mas comun de los alumnos frente a los "profes" que nunca han trabajado -fuera de la U- es que no dan apliaciones practicas en problemas comunes y reales .
Creo que tu la haces muy bien.
Repito e Insisto : Te Felicito

Anónimo dijo...

mi nombre es Helena y me parece excelente el software NetworkMiner y tu , me gustaria que me colabore con un manual de como utilizar este software que me parece interesante.

De antemano muchas gracias.

mi email es
helena_medina@hotmail.com

Ivonne Maritza Duran Prada dijo...

Hola....estuve intentando utilizar el programa en windows xp sp3 y no abre, siemrpe sale error de aplicación....Que otra herramianta puedo utilizar para analizar un archivo pcap de 300MB, el wireshark se cuelga....

Felipe dijo...

estoy muy interesado en el analisisde redes y estoy buscando manuales en español de wireshak pero lo que hay es muy poco. si tienes algo que me puedas facilitar te lo agradeceria. mi correo personal es felirangelp@yahoo.com

muchas gracias

hkorns dijo...

hola muy interesante el post tengo muchas dudas espero sean respondidas y disculpa si revivo el post bueno wireshark captura el trafico de red pero solo de una pc de la instalada o de toda la red en si? ya que yo tengo mi pc normal me captura hasta contraseñas de paginas a la que ingreso pero mi dua es esa o puede capturarla de todas las pc o se tiene que intalar en el servidor que nos da acceso a internet?
mi duda va mas si con wiresharks e puede monitorear que web visitan los usuairos que hacen que es lo que envian pero dodne se debe instalar? ya que si lo instalo en mi pc solo me bota toda la informacion de mis visitas en mi pc pero no de las demas pc claro me bota informacion de las conexiones mas no sus visitas y los datos que envian bueno espero las respuestas
atentamente: henry

marito dijo...

Felicidades por el post esta muy interesante y util tu explicacion..estoy empezando a trabajar con redes y trato de solucionar un problema de correo spam y creo q esto me ayudara bastante. t doy las gracias y de nuevo felicidades

MCSE dijo...

"NetworkMiner - Analizador de trafico de red" es un artículo descriptivo. muy informativo

Cpierre dijo...

Buen material y muy didactico, probare el software y bueno creo que visitare tu blog, tiene muchas cosas interesantes.

Anónimo dijo...

Buen post...tocando este tema ( análisis de tráfico), estoy apenas explorando este tema, leyendo por todos lados y no encuentro algo que me sea de gran utilidad; quizas tu puedas ayudarme a determinar como medir el ancho de banda utilizado en una red local.

La Web de Leandro Chalas dijo...

eso esta perfecto dude pero hay un caso que me gustaria que supieras, tengo una red de siete personas y estoy analizandola con el programa; ahora bien, la cosa es que tengo una contraseña que uno de mis clientes a entrado a un sitio pero no estoy seguro cual ya que el programa solo me da la contraseña e pass pero no me dice donde se uso ese usuario y contraseña, ¿me podrías ayudar en eso?

Anónimo dijo...

A mi cuando trato de seleccionar el adaptador de red por el de la tarjeta de red me sale: ensure that your administrator rigths. cuando yo soy el único usuario de mi pc a si que yo soy el admin. y otra cosa tambien fue q una vez capture como 10 mil paquetes lo abrí con networkminer y se cerraba al parecer acepta hasta una cantidad de paquetes, saludos. @BryanViNu

Creative Commons License
Esta obra está bajo una licencia de Creative Commons.