07 Analisis Forense de Red Analisis de Logs de Red YTrafico de Red

Análisis forense de red: análisis de
logs de red y tráfico de red

© Ediciones Roble, S.L.
Indice
Análisis forense de red: análisis de logs de red y tráfico de red 3
I. Introducción 3
II. Objetivos 3
III. Análisis forense de red: análisis de logs de red y tráfico de red 3
3.1. Wireshark 7
3.2. Network Miner 18
3.3. Xplico 19
IV. Resumen 20
Recursos 21
Enlaces de Interés 21
Bibliografía 21
Glosario. 21
2/22
Análisis forense de red: análisis de logs de red y tráfico de red
Análisis forense de red: análisis de logs de red y

tráfico de red
I. Introducción
El análisis de la red describe el proceso de captura e interceptación de datos en tiempo real, registrando
todos los paquetes, tanto entrantes como salientes, que interactúan en un punto de conexión de la red. Esta
interceptación de los datos puede dar respuesta a la gran pregunta de qué está ocurriendo en la red.
II. Objetivos
El objetivo de esta unidad es explicar qué es un análisis de red y algunas herramientas que
ayudan a este proceso como, por ejemplo, Wireshark, una de las aplicaciones de recolección de
paquetes más conocidas. Además, veremos la herramienta Network Miner, cuyo propósito es
recolectar información tras procesar las capturas de red. Y, por último, el alumno estudiará la
herramienta Xplico, que permite visualizar de forma gráfica y ordenada las capturas de red
recopiladas.
III. Análisis forense de red: análisis de logs de red y

tráfico de red
Los análisis de la red se pueden realizar gracias a la existencia de herramientas que son capaces
de monitorizar todo el tráfico de comunicaciones capturando el intercambio de datos. Al proceso
de capturar el tráfico de red se le conoce también como sniffing. Estas herramientas capturan los
datos en bruto (llamados datos de tipo RAW en inglés) y analizan la información contenida en
ellos, ayudando con esta reconstrucción al auditor a entender, de una manera más clara, el flujo de
información. Esto permitirá descubrir ciertos comportamientos como pueden ser:
Actividad maliciosa en la red.

Ancho de banda inestable con picos y caídas de rendimiento.
Aplicaciones inseguras en la organización.
Protocolos inseguros permitidos y usados en la red.
Por ende, sistemas inseguros.
3/22
Existen en el mercado numerosas aplicaciones que son capaces de monitorizar la red. Estas herramientas
se pueden encontrar en formatos libres o comerciales. Cada aplicación estará diseñada con diferentes
características y el auditor será el que saque conclusiones. Es por ello que la elección de la herramienta de
análisis de red la debe hace el auditor, seleccionando la que mejor se adapte a su forma de trabajar.
Evaluación de un análisis de paquetes
A la hora de evaluar un análisis de paquetes, se suele prestar atención a los siguientes aspectos:
Lista de protocolos soportados y reconocidos en la red.

Oferta de soporte técnico.
Escalabilidad de la herramienta para análisis en grandes redes.
Funcionamiento y arquitectura de la herramienta para evaluar el impacto.
Capacidad de trabajar bajo línea de comandos para poder configurar scripts automáticos.
Todos los analizadores de paquetes soportan varios tipos de protocolos. La gran mayoría de estas
herramientas son compatibles con protocolos conocidos como SMTP, DHCP, DNS o HTTP, pero no
todas pueden interpretar protocolos no tan tradicionales. A la hora de elegir un analizador de paquetes,
el auditor debe hacer especial hincapié en el soporte a protocolos. En cuanto a la capacidad de trabajo,
una opción que hay que contemplar es que la herramienta tenga un soporte extenso a la línea de
comandos a fin de poder automatizar ciertas tareas. El soporte técnico y la escalabilidad de la
herramienta proporcionarán al auditor seguridad en el trabajo y tranquilidad, a la hora de poder consultar
al equipo técnico ante cualquier duda o problema, para así abordar proyectos profesionales con
garantías.
4/22
Protocolos de red
Imagen 7.1. Protocolos de red.

Fuente: creación propia Cyber Academy.
Un analizador de protocolos opera gracias a la recolección, interpretación y presentación de los

paquetes capturados. La recolección la lleva a cabo gracias a un cambio en el comportamiento de la
tarjeta de red. Este cambio de funcionamiento de la interfaz de red, llamado Modo promiscuo, hace que
se procese todo el tráfico de red que llegue hasta el equipo.
Una vez que el analizador ha recolectado todos los paquetes de la red, la herramienta intentará ordenar
y traducir esta información en datos que el auditor pueda comprender fácilmente. Esta interpretación es
el modo inicial en que un analista evaluará el tráfico de la red.
Imagen 7.2. Wireshark.

5/22
Como último paso, la herramienta, haciendo uso de su base de conocimientos de protocolos de red,
intentará presentar cada trama de red recolectada, decodificando los datos e interpretando lo que
significa cada valor en cada posición del paquete.
A la hora de recolectar el tráfico de red, existen opciones que hay que tener en cuenta. Las dos más
efectivas son:
Conectar algún tipo de software o hardware de captura a un puerto que haga la función de
puerto espejo (o port mirroring) en un switch de comunicaciones que centralice las
comunicaciones.
Network TAP: un TAP es un dispositivo OSI de capa 1 relativamente simple que se conecta
directamente en línea con la infraestructura de cableado y crea una copia del tráfico con fines
de monitorización. Pueden ser dispositivos independientes o pueden integrarse en un nodo de
visibilidad. El tráfico copiado no tiene impacto ni interacción con la red en vivo, y no es
posible enviar tráfico desde los puertos de monitorización de un TAP de vuelta al flujo de red
en vivo. De hecho, los TAP, a excepción de los TAP de Agregación, son dispositivos no
administrados y no representan un riesgo de compromiso ya que no pueden ser enumerados
en un escaneo de red o accedidos remotamente. Evaluar la posibilidad de utilizar algún
hardware que podamos añadir a la arquitectura de red existente, como una sonda, y que
capture la información.
Mirroring Port
Imagen 7.3. Mirroring Port.

Los sniffers más utilizados son:
6/22
Wireshark
Analizador de protocolos utilizado para el análisis de las comunicaciones así como para solucionar
problemas existentes. Dispone de las características estándares de un analizador de protocolos muy
completo.
Ettercap
Permite realizar análisis a redes con dispositivos switch. Soporta direcciones activas y pasivas de
varios protocolos, así como la posibilidad de realizar ataques Man-in-the-middle.
Kismet
Es un analizador y detector de intrusiones para redes inalámbricas 802.11.
Tcpdump
Analizar de tráfico a través de línea de comandos. Permite la captura en tiempo real además de ir
mostrando los paquetes recibidos y enviados en la red.
3.1. Wireshark
Una de las aplicaciones más conocidas que realizan recolección de paquetes es la herramienta
Wireshark. Esta herramienta está disponible tanto para sistemas operativos Linux, como para Windows. Es
una utilidad versátil y potente.
Una de las ventajas que tiene Wireshark es que captura los paquetes en tiempo real, y se puede exportar
e importar dichas capturas para un posterior análisis.
7/22
Con Wireshark se puede elegir la interfaz a través de la cual se va a realizar el proceso de captura de
paquetes y análisis del tráfico de red.
Imagen 7.4. Wireshark - Interfaz Windows.

Cuando se elija la interfaz por la que analizar el tráfico comenzará a capturar paquetes. Por defecto, en
las interfaces inalámbricas se activará el modo promiscuo.
Una vez tengamos suficientes paquetes podemos detener la captura y empezar a analizar el contenido.
Imagen 7.5. Wireshark - Captura de tráfico de red.

8/22
Como se puede observar, los paquetes vienen identificados por colores, indicando el tipo de paquete
y si se ha realizado correctamente la captura. Además, se muestra información de dicho paquete, como
puede ser el numero identificativo, las IP origen y destino, el protocolo, la longitud e información
resumida del paquete. Si seleccionamos uno de ellos, en la parte inferior, aparece detallado el paquete
capturado según la capa, además de mostrar en bruto, en hexadecimal, la información.
Imagen 7.6. Wireshark - Identificación de los paquetes.

9/22
Podemos cambiar de interfaz en cualquier momento, importar un archivo almacenado con

anterioridad desde el menú File - Open, así como realizar la copia de los datos capturados.
Imagen 7.7. Wireshark - Selección interfaz.

Wireshark permite filtrar la información obtenida para un mejor manejo de los datos y para poder
analizar más fácilmente la información, ya que después de un tiempo, la información capturada puede
ser importante.
10/22
Los filtros de tipo Display permiten filtrar los paquetes obtenidos mostrando aquellos que cumplen
unas determinadas condiciones. Para utilizarlos, se debe indicar, por ejemplo, el protocolo por el cual se
quiere filtrar: HTTP, TCP, ARP, IP, etc.
La forma más sencilla a la hora de aplicar un filtro es escribir en la parte superior el protocolo junto
con los atributos determinados para cada uno de ellos. Si se escribe http, se filtrará la información solo
de los paquetes HTTP que existan.
Imagen 7.8. Wireshark - Filtro http.

11/22
Se pueden consultar preestablecidos y crear nuevos filtros desde el menú Analyze – Display Filters.
Imagen 7.9. Wireshark - Filtros.

Con la opción Follow TCP Stream se puede observar la conexión entre dos máquinas y cuál ha sido el
flujo de información entre ellos. A través de esta opción se pueden visualizar las comunicaciones y
seguirlas, e incluso reconstruir archivos.
Imagen 7.10. Wireshark - Follow TCP Stream.

12/22
Imagen 7.11. Wireshark - Detalle Follow TCP Stream.

Al cerrar la ventana, en la zona de filtros, se muestra el filtro aplicado para conseguir el seguimiento
anterior.
Imagen 7.12. Wireshark - Filtro Follow TCP Stream.

13/22
Al seleccionar un paquete, en la parte inferior se muestra el contenido de ese paquete en detalle a

través de las distintas capas. Esta opción es muy interesante, ya que nos permite analizar en profundidad
la información al nivel más bajo de las comunicaciones.
Imagen 7.13. Wireshark - Detalle paquete.

Al seleccionar un paquete, podemos crear un filtro de la comunicación que ese paquete ha realizado.
Esto se realizaría aplicando un filtro a dicho paquete y nos permitiría ver los pasos que se han llevado a
cabo.
Imagen 7.14. Wireshark - Filtro por IP.

14/22
Wireshark dispone de varios módulos de estadísticas muy interesantes, capaces de mostrar en tiempo
real porcentajes y estadísticas sobre tramas capturadas. En la pestaña Statistics, se pueden encontrar
distintas opciones, entre las que destacamos Protocol Hierachy, que muestra en porcentajes los
paquetes capturados, de qué tipo son, a qué nivel de red pertenecen, etc.
Imagen 7.15. Wireshark - Protocol Hierachy.

Otra opción interesante es la que nos permite visualizar la comunicación con el tráfico TCP o general,
con la opción Flow Graph.
Imagen 7.16. Wireshark - Secuencia comunicación TCP.

15/22
Wireshark permite, de una forma rápida, obtener los archivos capturados en la comunicación y poder
almacenarlos a través de la opción File – Export Objects – HTTP.
Imagen 7.17. Wireshark - Exportar archivos.

16/22
Imagen 7.18. Wireshark - Archivos en la comunicación.

17/22
Imagen 7.19. Wireshark - Imagen obtenida de la comunicación.

Imagen 7.20. Logo Network Miner.

Fuente: página oficial.
3.2. Network Miner

La herramienta Network Miner es de la rama de análisis forense de red para sistemas Microsoft
Windows. Su propósito es recolectar información tras el procesado de las capturas de red.
La herramienta filtra todo tipo de información y es capaz de obtener versiones de aplicaciones, de

sistemas operativos, ficheros, conexiones abiertas, credenciales, sesiones, etc.
18/22
Imagen 7.21. Network Miner.

Una de las utilidades interesantes es que permite importar archivos PCAP para su análisis offline
y rehacer archivos transferidos, entre otras. También es muy utilizado en el análisis de tráfico de
malware, así como la posibilidad de realizar búsquedas en la información analizada con el fin de
encontrar usuarios, contraseñas, etc., disponibles en la pestaña Credentials.
3.3. Xplico
Otra de las herramientas que permite visualizar de forma gráfica y ordenada las capturas de red
recopiladas y que, además, permite trabajar con gran cantidad de datos y protocolos es Xplico.
El framework trabaja con archivos de captura de datos tipo Pcap y permite también la captura en tiempo
real del tráfico de red.
Esta herramienta obtiene gran cantidad de información relacionada con sitios web, DNS, chats, correos,
imágenes, etc. y puede utilizarse como herramienta durante el análisis dinámico de un código malicioso o
malware.
19/22
Imagen 7.22. Xplico Interface.

IV. Resumen
En esta unidad, hemos estudiado cómo realizar análisis forenses de red; concretamente, análisis
centrados en los logs de red y el tráfico de red. Para ello, nos hemos centrado en las herramientas
(sniffers) más empleadas para este fin, como son Wireshark, Network Miner o Xplico.
20/22
Recursos
Enlaces de Interés
Xplico.
https://www.xplico.org/
Xplico.
Whireshark.
https://www.wireshark.org/
Whireshark.
Bibliografía
Big data analytics for detecting host misbehavior in large logs.: Daniel Gon¸calves, Joao
Bota, and Miguel Correia. Big data analytics for detecting host misbehavior in large logs. In
Trustcom/BigDataSE/ISPA, 2015 IEEE, volume 1, pages 238–245. IEEE, 2015.
Guide to computer security log management.: Karen Kent and Souppaya M. Guide to
computer security log management. Special Publication 800- 92 (National Institute of Standards
and Technology), 2007.
Logging and Log Management: The Authoritative Guide to Understanding the Concepts
Surrounding Logging and Log Management.: Anton Chuvakin, Kevin Schmidt, and Chris
Phillips. Logging and Log Management: The Authoritative Guide to Understanding the Concepts
Surrounding Logging and Log Management. Syngress Publishing, 2013.
Glosario.
Análisis de red: Proceso de captura e interceptación de datos en tiempo real, registrando

todos los paquetes, tanto entrantes como salientes, que interactúan en un punto de conexión de la
red.
Captura de tráfico o sniffing: Técnica por la cual se puede "escuchar" todo lo que circula
por una red.
Network Miner: Herramienta para recolectar información tras el procesado de las capturas de
red.
21/22
Port mirroring: Función de puerto espejo en un switch para enviar copias de paquetes de red
vistos en un puerto del switch a una conexión de red monitoreada en otro puerto del switch.
Sniffer: Programa de captura de las tramas de una red de computadoras.
Wireshark: Una de las aplicaciones más conocidas que realizan recolección de paquetes.
Xplico: Herramienta que permite visualizar de forma gráfica y ordenada las capturas de red
recopiladas y que, además, permite trabajar con gran cantidad de datos y protocolos.
22/22

07 Analisis Forense de Red Analisis de Logs de Red YTrafico de Red

Cargado por

Copyright:

Formatos disponibles

07 Analisis Forense de Red Analisis de Logs de Red YTrafico de Red

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

07 Analisis Forense de Red Analisis de Logs de Red YTrafico de Red

Cargado por

Copyright:

Formatos disponibles

Análisis forense de red: análisis de

logs de red y tráfico de red

Análisis forense de red: análisis de logs de red y

III. Análisis forense de red: análisis de logs de red y

Actividad maliciosa en la red.

Evaluación de un análisis de paquetes

Lista de protocolos soportados y reconocidos en la red.

Imagen 7.1. Protocolos de red.

Un analizador de protocolos opera gracias a la recolección, interpretación y presentación de los

Imagen 7.2. Wireshark.

Imagen 7.3. Mirroring Port.

Los sniffers más utilizados son:

Imagen 7.4. Wireshark - Interfaz Windows.

Imagen 7.5. Wireshark - Captura de tráfico de red.

Imagen 7.6. Wireshark - Identificación de los paquetes.

Podemos cambiar de interfaz en cualquier momento, importar un archivo almacenado con

Imagen 7.7. Wireshark - Selección interfaz.

Imagen 7.8. Wireshark - Filtro http.

Imagen 7.9. Wireshark - Filtros.

Imagen 7.10. Wireshark - Follow TCP Stream.

Imagen 7.11. Wireshark - Detalle Follow TCP Stream.

Imagen 7.12. Wireshark - Filtro Follow TCP Stream.

Al seleccionar un paquete, en la parte inferior se muestra el contenido de ese paquete en detalle a

Imagen 7.13. Wireshark - Detalle paquete.

Imagen 7.14. Wireshark - Filtro por IP.

Imagen 7.15. Wireshark - Protocol Hierachy.

Imagen 7.16. Wireshark - Secuencia comunicación TCP.

Imagen 7.17. Wireshark - Exportar archivos.

Imagen 7.18. Wireshark - Archivos en la comunicación.

Imagen 7.19. Wireshark - Imagen obtenida de la comunicación.

Imagen 7.20. Logo Network Miner.

3.2. Network Miner

La herramienta filtra todo tipo de información y es capaz de obtener versiones de aplicaciones, de

Imagen 7.21. Network Miner.

Imagen 7.22. Xplico Interface.

Análisis de red: Proceso de captura e interceptación de datos en tiempo real, registrando

Sniffer: Programa de captura de las tramas de una red de computadoras.

También podría gustarte