CCENT Nueva Certificación Cisco y nuevo examen para CCNA

Entre las listas de correo a las que estoy inscrito, el día de hoy recibí un correo en el que supe sobre una nueva certificación de Cisco, la CCENT (Cisco Certified Entry Networking Technician), al parecer Cisco esta promoviendo esta certificación como un paso inicial en busca de la certificación CCNA, el exámen para esta nueva certificación es el 640-822 ICND1.

El contenido del exámen y la capacitación recomendad por Cisco, para obtener esta certificación se puede encontrar aquí, de acuerdo con el sitio de Cisco, este examen estará disponible a partir del primero de agosto de este año.

Adicionalmente al lanzamiento de esta certificación Cisco a anunciado un nuevo exámen para obtener la certificación CCNA, este nuevo examen cubre nuevos temas, y deja de lado algunos temás que en realidad ya no tienen mucha relevancía el día de hoy (como la configuración de ISDN), entre los nuevos temás cubiertos, estan la configuración de Redes Wireless, Cisco Network Assistant, ipv6, VPNs, y conceptos más avanzados de seguridad.

El nuevo examen es el 640-802 CCNA, alternativamente se puede realizar el examen 640-822 (que de paso otorga la certificación CCENT) y luego el exámen 640-816 ICND. Todos estos examenes estarán disponibles a partir del 1 de Agosto de 2007.

Para los que se han estado preparando para la certificación Cisco y el exámen 640-801, este estará disponible hasta el 6 de noviembre de 2007, asi que si ya han invetido bastante tiempo preparandose para este examen, más vale que consideren hacerlo pronto, o tendrán que estudiar de nuevo.

En lo personal, logre mi certificación CCNA hace algunos años, pero a estas alturas esta vencida y debo renovarla, digo debo por asuntos de trabajo, creo que voy a optar por esta nueva certificación, ya que se ve más completa, en realidad no soy un fanático de las certificaciones, pero creo que son de utilidad para poder demostrar los conocimientos, y para tener un poco más de credibilidad, muchas certificaciones es posible obtenerlas unicamente con una guía de estudio, pero normalmente las certificaciones de Cisco son un poco más complejas, y realmente se necesita tener experiencia en el campo para poder obtenerlas, adicionalmente la certificación no se trata unicamente de configurar routers y switches, también proporcionan una buena base para el soporte y administración de redes, asi que en general, considero provechoso obtener esta certificación.

El parrafo anterior es mi opinion personal en cuanto a las certificaciones y en particular en cuanto a la certificación Cisco, me gustaria saber que opinan los lectores de este blog, tienes equipo Cisco en tu red?, tienes la certificación CCNA?, o has considerado certificarte en Cisco o con algún otro fabricante?, tus opiniones son bienvenidas, puedes hacerlo dejando un comentario o escribiendo a lmunguia{arroba}soportederedes.com

Wireshark 101 - Recursos del Wiki

En este Post, me gustaría comentar sobre algunos recursos del Wiki de Wireshark que considero que pueden ser de mucha utilidad para los lectores de este blog.

Por su propia naturaleza, un Wiki permite a muchos autores editar un documento, asi que este es un recurso vivo, con mucha información interesante, y si no lo habías hecho antes, recomiendo darle una visita. a Continuación se describen algunos de los documentos que he encontrado interesantes y con toda seguridad hay más.

El primero que voy a mencionar es la página con información sobre Capture Setup (como en otras oportunidades las páginas del wiki estan en inglés), acá se proporcionan 4 pasos para poder iniciar la captura de paquetes, el paso 3 aplica para capturar el tráfico de la máquina en la que se tiene instalado el wireshark, el paso 4 para capturar tráfico destinado a otras máquinas y el paso 5 da algunas sugerencias para capturar tráfico remotamente, al final hay varios links para más información, por ejemplo el setup para capturar tráfico Wireless, capturar tráfico en VLANs y algunos otros interesantes, capturar tráfico de Bluetooth? bueno, de acuerdo con el wiki, no esta soportado del todo, pero algo se puede analizar

Otra página recomendable, es la que describe como setear el Wireshark para capturar tráfico en una red ethernet (por muchisimo la técnología LAN más utilizada), este es un buen recurso para los que encontraron interesante mi post como capturar tráfico, ya que describe métodos adicionales para poder capturar tráfico, uno que me parecio muy interesante y que espero poner a prueba próximamente es el de capturar insertando una pc (con dos tarjetas de red), entre las dos fuentes de tráfico (referido como Capture using a machine-in-the-middle, en esta página del wiki). También se describen algunos métodos más propios de hackers que otra cosa, recomiendo muchisima precaución al utilizar estos métodos (Capture using a MITM (Man-In-The-Middle) software y MAC Flooding) ya que sus resultados pueden ser impredecibles.

Probablemente estas con todo el deseo de abrir el wireshark y empezar a examinar paquetes, pero también es probable que no cuentes con el permiso para hacerlo en tu red, o simplemente no hay tráfico interesante que examinar, pues bien, no hay más excusas ya que en el Wiki también puedes bajar capturas de paquetes, hay un bonito listado y links hacia donde se pueden obtener más, es una manera interesante de estudiar diferentes protocolos. Conocer como se comporta un protocolo normalmente ayuda para detectar comportamientos anómalos a la hora de resolver problemas.

Hay muchos recursos más, sin embargo por razones de tiempo y espacio, unicamente voy a mencionar una más, y es una página con links de ayuda para resolución de problemas de redes, no es muy amplia, pero puedes encontrar algun recurso que sea de utilidad.

Si encuentras algún recurso que te sea de utilidad y consideras que puede ayudar a otros, no dudes en compartir tus experiencias dejando un comentario.

Wireshark 101 - Filtros de Visualización Parte II

Como se menciono en la parte I, los filtros de visualización son muchisimos, sin embargo existen muchas facilidad para poder construir filtros muy potentes, y encontrar esos paquetes sospechosos o que nos estan generando problemas en la red.

En esta parte, se describen algunas opciones que nos proporciona Wireshark, que nos facilitan mucho construir filtros.

Existe una manera muy fácil de determinar que filtros se pueden aplicar para un campo específico dentro de un paquete, como habrán notado, la pantalla principal de Wireshark consta de tres areas, en la parte superior, estan los paquetes capturados, con información sobre el tiempo, el origen, destino, protocolo y una línea con información básica del paquete, cuando un paquete se selecciona en la la parte superior, en la parte media se muestra el detalle de los protocolos presentes y en la parte inferior, se muestran los valores hexadecimales contenidos en el paquete.

Supongamos que quisieramos determinar, que páginas web se han accesado utilizando el método GET de http, como lo muestra la figura a continuación se tiene seleccionado el paquete No 7, que muestra la petición de una página web con el método GET. Desglosando el protocolo http en la parte media de la pantalla, se observa como parte del paquete el "Request Method", al seleccionar esto, se observa en la parte inferior izquierda de la pantalla de Wireshark (que he resaltado con un ovalo para facilidad), se observa el filtro que reconoce Wireshark para esta porción del paquete, en este caso se ve que el filtro apropiado sería http.request.method y nos indica que es de 3 bytes.

Así que ahora podríamos aplicar el filtro http.request.method == GET y obtendríamos todas las peticiones http de páginas web, utilizando el método GET.

Una forma alterna de llegar al mismo resultado, es utilizando el botón Expression que aparece a la derecha del área para escribir el filtro de visualización, al hacerlo nos abre una pantalla enl a que se pueden construir expresiones de filtrado, a continuación se muestra esta pantalla.

En el área izquierda aparece el Field Name, es un listado bastante grande, pero si sabemos que protocolo estamos buscando, se facilita encontrar lo que queremos, por ejemplo en este caso, escribiendo http me desplego este listado donde pude seleccionar http.request.method, al tener esto seleccionado, en la columna Relation aparecen todas las expresiones disponibles para este campo especifico, finalmente en la parte derecha se puede escribir el valor del filtro, en este caso en la columna de enmedio seleccione == y en la derecha escribi el valor GET, con esto obtenemos la expresión de filtrao http.request.method == GET, luego dar un clic en OK, y al regresar a la pantalla principal, dar un clic en Apply para aplicar el filtro.

Como en el caso de los filtros de captura, es posible guardar las expresiones más utilizadas, esto se puede hacer dando un clic en el boton Filter ubicado a la izquierda del área donde se escribe el filtro, por ejemplo si tenemos aplicado el filtro anterior, y deseamos guardarlo, unicamente dar un clic en Filter, poner un nombre al filtro, en el campo filter string ya debe aparecer el filtro que tenemos aplicado, un clic en Apply y listo.

Así que de esta manera sencilla podemos construir filtros de visualización, como lo he mencionado en oportunidades anteriores, en realidad el potencial de Wireshark solo lo vamos a poder aprovechar en la medida que estemos familiarizados con los protocolos, ya que al conocer las interioridades de cada protocolo, nos ayudara a construir expresiones de filtrado más especificas y podremos realizar análisis más efectivos.

Wireshark 101 - Filtros de visualización Parte I

Es tiempo de reanudar el tutorial sobre Wireshark, el silencio de las ultimas semanas ha sido por cuestiones de trabajo, si bien no puedo prometer actualizaciónes tan frecuentes, al menos voy a hacer mi mejor esfuerzo.

En esta oportunidad es el turno de los filtros de visualización (display filters), estos son los filtros que nos sirven para analizar el tráfico capturado, y son diferentes a los filtros de captura, én este caso, los filtros de visualización son más amplios y más potentes, incluso son más fáciles de aplicar, y son de mucha utilidad, para analizar el tráfico capturado.

En esta primera parte, quisiera mencionar los aspectos básicos de los filtros de visualización, empezando por el área donde podemos escribir un filtro, esto se ilustra en la siguiente figura:

Como puede verse en la figura, el área para escribir un filtro de captura es la ubicada abajo de la barra de herramientas. Para los filtros de visualización Wireshark nos proporciona una retroalimentación visual, si la expresión de filtrado que escribimos es correcta, el area se colorea en verde (como el caso del filtro ilustrado en la figura previa) si la expresión es incorrecta, el area se colorea en rojo, y al tratar de aplicarlo obtendremos un mensaje de error.

Los operadores que podemos utilizar para construir expresiones de filtro son los siguientes:

> ó gt Mayor que
< ó lt Menor que >= ó ge Mayor o igual que
<= ó le Menor o igual que == ó eq Igual a != ó ne No igual a Hay otro par de operadores, contains y matches que los reservaremos para otra oportunidad.

Dicho lo anterior, solo nos resta empezar a escribir filtros de visualización, hay busquedas que pueden ser muy sencillas y similares a los filtros de captura, por ejemplo:

arp - Para visualizar todos los paquetes de arp
http - Para visualizar paquetes cuyo protocolo de aplicación es http
tcp - Para visualizar todos los paquetes tcp
udp - Para visualizar todos los paquetes udp
icmp - Para visualizar paquetes icmp por ejemplo paquetes de ping.

Si lo que deseamos es filtrar direcciones especificas podemos utilizar los siguientes filtros:

ip.addr == 192.168.0.1 - Buscar paquetes cuyo ip de origen o destino es 192.168.0.1
ip.src == 192.168.01 - Buscar paquetes cuyo ip de origen es 192.168.0.1
tcp.port == 80 - Buscar paquetes tcp cuyo puerto de origen o destino es el 80
tcp.srcport == 80 - Buscar paquetes tcp cuyo puerto de origen es el 80

Los filtros de visualización son muchos, así que no tiene mucho sentido listarlos, sin embargo en la segunda parte vamos a estudiar como facilitarnos la vida al escribir filtros de visualización para poder encontrar justo ese paquete que estamos buscando.

Open Books

Ha pasado algun tiempo desde mi ultimo post, más del que quisiera, han sido algunas semanas muy cargadas de trabajo, pero aqui estoy de nuevo y espero seguir encontrando el tiempo para publicar sobre temas que sean de interes para aquellos colegas que soportan redes.

La revolución del Open Source, no se esta dando unicamente a nivel de software, también esta alcanzando el área de la publicación de libros, en esta oportunidad quisiera dedicar unas líneas, a algunos sitios donde podran encontrar libros completamente gratis para bajar en formato PDF, son libros que se han publicado bajo diferentes licencias open source, nuevamente una desventaja es que estan en Ingles, pero como he dicho en otras oportunidades, si el idioma no es una barrera, vale la pena hecharle un vistazo a estos libros, seguro encontraras algo que sea de utilidad en tu trabajo o estudio.


En primer lugar quisiera mencionar a la editorial Prentice Hall, que tiene una serie completa de libros open source, esta serie ha sido bautizada como "Bruce Perens Open Source series", en honor a Bruce Perens, autor de la definición de open source, un personaje muy respetado en la comunidad open source. Esta serie cuenta actualmente con 24 libros, todos con temas relacionados al open source. Por la orientación de este blog, los lectores podrían estar interesados en el libro Open Source Security Tools, un libro que describe como asegurar una red utilizando herramientas open source, el capitulo 6 esta dedicado a los network sniffers, donde se describe ethereal (ahora wireshark) y usos practicos del mismo.

Otra editorial importante que disponde de algunos titulos bajo licencia open source, es O'Reilly, estan disponibles 49 libros, 30 de los cuales ya estan fuera de impresión, pero que tratan temas interesantes, nuevamente por la orientación del blog, pude ser de interes el libro Asterisk The Future of Telephony, libro publicado en el 2005, que describe como instalar y configurar Asterisk, un PBX que maneja telefonía IP y que realmente como lo sugiere el titulo, promete mucho para el futuro de la telefonía IP.

Finalmente quisiera mencionar el libro Security Engineering, del autor Ross Anderson, es un libro que muchos expertos en seguridad recomiendan tanto para principiantes como para estudiantes intermedios y avanzados de la seguridad de redes, así que también vale la pena darle un vistazo, el libro esta disponible en capitulos individuales y además los primeros 7 capitulos estan disponibles en formato mp3, asi que si no tienes mucho tiempo para leer, puedes escucharlos en tus ratos libres.

Si alguien conoce otros libros disponibles bajo licencias open source, especialmente en español, su aportación será bienvenida, solo deja un comentario en este blog, o escribeme a lmunguia {arroba} soportederedes.com

3Com Open Services Networking

Hace poco, conoci sobre una iniciativa de 3Com, que esta bastante interesante, se trata del programa Open Services Networking (OSN).

Detalles sobre esta iniciativa se pueden encontrar en el sitio web de 3Com al inicio tuve un poco de dificultades en entender que es exactamente esto, y de hecho aún estoy leyendo e investigando sobre las implicaciones de esta iniciativa, pero navegando por el sitio he logrado captar más o menos la idea, y me gustaria compartirlo

La estrategia esta siendo orientada a 3 elementos principales,:

1. Productos habilitados para OSN - Esto es routers y switches estan siendo preparados como el fundamento de estos servicios, la siguiente figura, extraida del sitio de 3com nos da una mejor idea:

Como puede verse en la figura, el fundamento es el router o switch habilitado para OSN, sobre este un Módulo de hardware de hecho ya existe un módulo disponible se trata del Open Service Networking Module que viene con Linux preinstalado, un disco duro de 80 Gb, que habilitan al router para ejecutar diferentes aplicaciones, ya sea propietarias de 3com, comerciales, o lo más importante open source!

2. Aplicaciones OSN - Los verdaderos beneficios de este programa, se empiezan a apreciar en las aplicaciones, el hecho de poder instalar aplicaciones open source, en un rotuer, permiten ampliar la plataforma más allá de lo que es posible en un dispositivo con código cerrado, las posibilidades son inmensas, y para demostrarlo, 3Com ofrece "bundles" de software previamente probado y soportado para uso en el modulo OSN, actualmente esta disponible un paquete con software para monitoreo que incluye herramientas open source muy conocidas y respetadas, MRTG, ntop, tshark (la versíon de línea de comandos de wirehsark), y Nagios, un popular y respetado sistema para monitoreo de redes.

3. Open Network Program- Finalmente esta el programa Open Network, que provee de recuersos y soporte para partners que deseen contribuir a desarrollar aplicaciones que se integren con 3Com, el día de hoy llene un formulario para suscribirme a este programa, pero aun no tengo los detalles, si lo logro, podré tener una mejor visión sobre en que consiste exactamente este programa.

Quisiera hacer notar 2 cosas sobre esta iniciativa, la primera es el grado de madurez que ha alcanzado el software open source, que lo hacen una opción viable y a considerar seriamente en entornos empresariales, especialmente aquellas soluciones orientadas al monitoreo de redes, un área en la que software comercial esta más allá del alcance de los bolsillos de muchas de las empresas al menos en mi país, si 3com, se interesa y desarrolla su plataforma tecnológica para soportar estas aplicaciones, creo que nos dan la pauta que el software open source ha dejado de ser una curiosidad y se esta convirtiendo en una herramienta esencial.

Lo segundo es, la tendencia que estoy observando en la actualidad, en el caso de 3Com, el router o switch es la plataforma sobre la que se desarrollaran servicios open source, pero también hay otras empresas, que estan desarrollando software como plataforma, ejemplo de esto es GroundWork y Cobia, dos plataformas que estoy evaluando y sobre las que comentaré en futuros post.

Si tienes algun comentario sobre esta iniciativa de 3Com, o el impacto que aplicaciones open source pueden representar en tu empresa, no dudes en hacerlo.

Vyatta Live CD

Como comente hace algunas semanas, tengo en agenda realizar algunas pruebas con el software Vyatta, un router open source, que esta muy completo.

Ayer finalmente tuve la oportunidad de experimentar un poco y mis primeras impresiones son realmente muy buenas y quisiera describirlas a continuación.

Inicie bajando la versión 2.0 "comunitaria", que es la disponible para instalación libre, se trata de una imagen de aprox 97 Mb. Pase esta imagen a un cd, con Nero (y la opción de utilizar imagen de cd), en unos minutos tenía listo un cd booteable (que es básicamente un live cd, tan común en estos días).

Para probar el software utilize una laptop con las siguientes características:

Modelo: Compaq Armada E500
Procesador: Pentium III a 500 Mhz
Memoria RAM: 384 MB
Disco Duro: 10 Mb

Despues de insertar el cd, y configurar la laptop para que seleccionara la unidad de cd como primera opción de arranque, el proceso de carga del software duro unos pocos minutos (menos de 5 minutos sino mal recuerdo), y listo!, con estos sencillos pasos tenía un router listo para ser configurado.

El login predeterminado es vyatta, password vyatta y se accede a la interface para configuración, estoy bastante familiarizado con la línea de comandos de los routers Cisco, y aunque tiene sus diferencias, la linea de comandos de Vyatta tiene algunas similitudes, y considero que la curva de aprendizaje para alguien que ya ha configurado routers cisco desde la línea de comandos, no debe ser muy grande.

Esta prueba la hice sin ninguna conexión a la red, asi que el siguiente paso, será instalarlo en una red, configurar algunos parámetros y verificar su funcionalidad.

Por la documentación disponible en el sitio de vyatta, tengo entendido que existe la opción de configurar el router desde html, ese es otro feature que me gustaría estar experimentando proximamente.

Si deseas ver una introducción más completa, con comandos para una configuración incial, sugiero la guía rápida de evaluación, donde se describe paso a paso, el procedimiento para instalar y configurar Vyatta, también esta disponible una guía de configuración y una referencia de comandos, considero que es la documentación minima necesaria para hechar a andar el router, de momento la documentación esta disponible en ingles, ojalá pronto haya algo en español.

Entre las multiples aplicaciones que se me ocurren para este software, esta la de tener una pc lista para contingencias, en caso de falla de un router, otra que puede ser de mucha utilidad es la posibilidad de segmentar una red mediante vlans y utilizar el software para rutear entre ambas subnets, también se puede utilizar como un servidor dhcp, o en casos que se necesita hacer una NAT, o como firewall, en fin, las posibilidades son bastante amplias.

Así que si te interesa este software, y ves potencial en el, bajalo, instalalo, pruebalo, comparte tus experiencias y chequea este sitio con alguna frecuencia, ya que más adelante seguire haciendo pruebas y publicandolas para que podamos sacarle provecho a este router open source de Vyatta.

Wireshark - Filtros de Captura Parte III

Para esta tercera parte, en lugar de entrar en detalladas explicaciones, sobre la construcción de filtros, únicamente me gustaría hacer mención de algunas fuentes donde se puede obtener más información, y también notar algunos filtros predeterminados que tiene Wireshark.

Como se podrá haber visto en la segunda parte de este tutorial, los filtros pueden convertirse en algo complejo, para evitar estar escribiendo una y otra vez, largos filtros de captura, Wireshark nos proporciona la opción de asignarle un nombre y guardarlo, esto se puede hacer dando un click en la ventana de opciones de captura, en el botón Capture Filter: el cual despliega el siguiente cuadro de dialogo:

Para agregar un filtro personalizado, escribir un nombre descriptivo en el campo Filter name, luego escribir la sintaxis del filtro en Filter string, y finalmente dar un click en New, en este momento se agrega el nuevo filtro al listado de filtros disponibles, Wireshark ya incluye los que se muestran en esta pantalla.

Finalmente quiero agregar un par de links de lugares donde se puede obtener información, en la página principal de Wireshark, hay un link hacía el Wiki, en este puede encontrarse bastante información sobre el uso de wireshark, esta disponible una página con información sobre filtros de captura, que incluye algunos ejemplos interesantes, por ejemplo como construir un filtro para observar el tráfico de la red en busca de virus tipo worm.

Otro lugar muy interesante es un tutorial sobre filtros de captura, de Mike Horn (lamentablemente al momento de editar este post la página no esta disponible, estaré monitoreandola porque supongo que es algo temporal, ya que ayer estuve navegando en esta página), en este tutorial, se presentan ejemplos desde filtros sencillos, hasta filtros avanzados de varías lineas, en realidad la información esta muy interesante, para aquellos interesados en filtros complicados de captura.

Así que por los momentos eso es todo de mi parte referente a filtros de captura, por supuesto que si la demanda lo justifica, podríamos continuar con este tema en futuras oportunidades, de momento creo que enfocare los esfuerzos en la otra parte de filtrado, los filtros de visualización sobre los que estaré publicando algunos post en los próximos días.

Analyzer, otro analizador de protocolos gratuito

Mientras trabajo en la preparación de la tercera parte, del tutorial de filtros de captura, quisiera emplear este post, para presentar Analyzer, un analizador de red gratuito, que también utiliza para captura la librera winpcap (la misma que utiliza Wireshark).

Este software es desarrollado por el Politecnico de Torino, y disponible bajo licencia BSD. Es un analizador de protocolos que tiene algunas características interesantes. En realidad creo que no sería justo compararlo con Wireshark, ya que este ultimo se ha ganado un lugar muy respetable como una de las herramientas open source más utilizadas en la actualidad.

La versión actual es la 3.0, que aún esta en fase alpha, de acuerdo con el sitio web, esperan tener la versión oficial en algunos meses.

En esta oportunidad me gustaria comentar sobre una característica interesante que puede ser de utilidad, y es la posibilidad de monitorear la disponibilidad de una serie de hosts (mediante envio de paquetes ping), esto desde el modulo End-to-end monitor, Vale aclarar que es una característica con algunas limitaciones, sin embargo, es fácil de utilizar y puede estar configurado y monitoreando hosts en cuestion de minutos.

El software se puede obtener directamente desde la página web, si ya tienes instalada la versión más reciente de Wireshark, ya tendras instalado el winpcap 3.1 por lo que no es necesario instalarlo, de lo contrario, tendrá que instalarlo como paso previo. Una vez instalado, ejecutar el programa y desde el menú principal, elegir statistics - End-to-end monitoring (o directamente Alt+T) y se abre la pantalla siguiente:

Para esta evaluación, establecí el monitoreo de dos host (la flecha verda al inicio de cada línea indica que estan Up), agregarlos es tan sencillo como hacer un clic en host - add new host, acá abre una ventana en la que podemos agregar el ip address y listo, una característica más avanzada es la posibilidad de monitorear vía http, pero eso implica pasos adicionales.

En la configuración predeterminada, esta herramienta enviara 10 paquetes ping, cada 5 minutos, para editar los parámetros configurables ir a Settings - End-to-end Monitoring settings. Entre las opciones configurables, cabe mencionar la posibilidad de cambiar el intervalo default de 5 minutos, aunque en lo personal me parece apropiado, también la cantidad de paquetes que se envían en cada prueba. también es posible cambiar el tamaño de los paquetes (32 bytes el default) y el timeout (default 2000 ms).

Los resultados se pueden exportar a un archivo csv, txt o xml, también se puede enviar un reporte por correo eléctronico diariamente (aun no he probado esto ultimo).

En resumen, en poco minutos podemos tener un monitoreo de disponibilidad de diferentes hosts, asi puedes tener un ojo sobre tu red, sin la necesidad de estar abriendo diferentes líneas de comando para ejecutar pings cada vez que deseas verificar que un host este activo.

Existen otras características interesantes en este software, que serán descritas en futuros posts, de hecho End-to-end monitoring es una de las más sencillas pero a mi juicio, es razón suficiente para bajar y experimentar con el Analyzer 3.0

Wireshark - Filtros de Captura Parte II

He tenido una semana un tanto ocupada, pero acá estoy con toda la intención de completar el tema de los filtros de captura de Wireshark, algo que es de mucha utilidad, para capturar unicamente el tráfico que nos interesa para el análisis. Como recomendaba en la parte I, muchas veces lo mejor, es capturar todo el tráfico, pero en algunas ocasiones no es posible, o no es deseable y debemos aplicar algunos filtros, asi que sin más, iniciamos:

La sintaxis soportada por Wireshark, permite capturar algunos protocolos unicamente especificandolo, de esta manera podemos detectar la presencia de este protocolo o hacer un troubleshoting de algo específico, algunos de los más relevantes son:

arp - Para capturar tráfico del Address Resolution Protocol

icmp - Para capturar tráfico icmp, por ejemplo captura de paquetes de ping

ip - Captura todo el tráfico IP

ipx - Capturar tráfico ipx, este comando puede ser util para determinar si este protocolo esta corriendo en la red (algo que ya no es nada comun en estos días).

netbeui - Capturar tráfico de NetBIOS extendede user interface

stp - Capturar tráfico de spanning tree protocol (a veces es útil usar la forma no stp para evitar este tráfico que pudiera no ser relevante para el análisis)

tcp - Captura todo el tráfico tcp

udp - Captura todo el tráfico udp

Por supuesto, existen algunos otros protocolos, pero considero que estos son los más relevantes, también recordar, que se puede utilizar operaciones lógicas, por ejemplo arp or icmp para capturar tráfico de arp y de icmp.

Existen opciones de filtrado aun más avanzadas, por ejemplo, vimos que se puede capturar todo el tráfico icmp, que nos permitira capturar paquetes de ping, sin embargo, ping no es el único tipo de tráfico icmp, a continuación se muestran los campos de un paquete icmp como estan definidos en la rfc 792.

Destination Unreachable Message

  0                   1                   2                   3
  0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      Type           Code                Checksum           
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                              unused                          
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
       Internet Header + 64 bits of Original Data Datagram    
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Como puede verse en este diagrama, los primeros 8 bits (primer byte), tiene el campo Type,
que define el tipo de paquete icmp, para referencia sobre los diferentes valores de icmp ver la rfc 792 anteriormente mencioanda.

En el caso particular de ping el type 8 indica un echo request y el type 0 indica un echo replay, asi que si queremos capturar exclusivamente paquetes de ping, el comando sería:

icmp [0] == 8 or icmp [0] == 0

El valor dentro de [] indica que estamos evaluando el byte 0, y que su valor sea igual a 8 o igual a 0, de esta manera estaríamos capturando exactamente el tráfico de ping.

Este ejemplo nos abre nuevas posibilidades, ya que posible probar bytes especificos de otros protocolos aunque no de todos, de la lista de protocolos desplegada previamente ipx, netbeui y stp no lo soportan es decir no podemos usar el comando ipx[0], pero los demás si.

En el fitrlo de ejemplo anterior, se utilizo == para designar igual a, otros operadores que se pueden utilizar en la extracción de bits son:

> Mayor que
< Menor que
>= Mayor o igual
<= Menor o igual
!= No igual a


Esto también nos lleva a otro asunto muy importante a considerar, para el análisis efectivo de una red, es importante conocer los protocolos que estamos analizando, si estas interesado en conocer la estructura de paquetes de los protocolos más importantes, un buen recurso es Protocols.com, en este sitio se da una descripción básica de una gran cantidad de protoclos, así como línks hacia los RFCs, que son la autoridad final en cuanto a como esta definido cada protocolo.

En una tercera parte, me gustaría profundizar sobre la extracción de bits, por ejemplo en el protocolo tcp, de momento por acá nos quedamos, espero que este tutorial este siendo de utilidad en tu trabajo, si deseas dejar tu comentario no dudes en hacerlo, igualmente si tienes alguna duda, estoy a la orden, en la dirección lmunguia [arroba] soportederedes.com