Constituyen importantes herramientas para la supervision, analisis y control de tráfico, estos permiten obtener estadisticas de la red, tanto generales como particulares sobre cada estacion. Sus utilidades pueden ser la resolucion de problemas de desempeño, deteccion de comportamientos anomalos de aplicacones y el reconocimiento de patrones de ataque.(Albanese, 2004)
2.3.1 Wireshark
Su funcionalidad principal es la captura de paquetes de datos que se mueven en una red utilizando un adaptador de red. Este realiza análisis de los paquetes que transitan por la red en tiempo real, obteniendo información sobre los protocolos utilizados y permitiendo la inspección detallada de los campos del mismo, permite definir filtros para realizar capturas específicas, como el tipo de protocolo. La velocidad de captura esta determinada por el hardware sobre el cual funciona, puede leer los archivos de captura de otros programas para su análisis o exportar los suyos, permite además crear archivos con las capturas realizadas para su posterior estudio.
Esta disponible para varias plataformas como Windows y Linux, puede utilizarse con propósitos de seguridad, administración de redes con alto tráfico y en el desarrollo de nuevos protocolos. Durante el analisis de una red el usuario puede realizar supervision de trafico permitiendo obtener conocimientos sobre que se esta enviando o recibiendo y así evitar cualquier escape potencial. Puede servir ademas como herramienta educacativa, permitiendo que el usuario desarrolle una comprensión de los protocolos de red mientras que usa un software de red determinado.
Wireshark es utilizable tanto a nivel de consola como de interfaz gráfica y posee funciones de rastreo de paquetes integradas basadas en la biblioteca Pcap.
2.3.2 Ettercap
El Ettercap es otro de los analizadores de protocolos mas utilizados en Internet, se identifica por la realizacion de ataques de hombre en el medio asi como por el analisis de tráfico en dominios de colision sobre switch, aplicando para esto la tecnica de envenenamiento ARP.
Es multiplataforma y presenta facilidades para instalarse en sistemas como Linux y Windows. Este ademas permite crear filtros con el fin de capturar tráfico específo y es utilizado para interceptar flujos de datos en tiempo real como contraseñas, nombres de usuario e informaciones sobre utilización de servicios como Telnet, FTP (File Transfer Protocol), POP, Rlogin, SSH1, ICQ, SMB (Bloque de Mensajes de Servidor), MySQL, HTTP, NNTP, X11, Napster, IRC (Internet Relay Chat), RIP (Routing Information Protocol), BGP (Border Gateway Protocol), SOCKS 5, IMAP 4, VNC (Virtual Network Computing), LDAP (Lightweight Directory Access Protocol), NFS (Network File System), SNMP, Half-Life, Quake3, MSN, YMSG (Yahoo Messenger Challenge- Response Authentication Mechanism). El software presenta opciones para incluir Plugins, eliminar conexiones, escaneo de puertos y detección del sistema operativo de la máquina remota. Además puede escuchar conexiones SSH o detectar otros envenenamientos o modificaciones de la tabla ARP.
2.3.3 Dsniff
Es una colección de herramientas para realizar auditorias y pruebas de penetración. El dsniff junto al filesnarf, mailsnarf, msgsnarf, urlsnarf y webspy supervisan de forma pasiva una red para obtener datos relevantes como contraseñas, E-mail y archivos. A traves de este pueden aplicarse las técnicas de arpspoof, dnsspoof y macof facilitando la intercepción del tráfico de la red normalmente inasequible debido dominios de colision sobre switch. Las opciones sshmitm y webmitm son usadas para realizan ataques de hombre en el medio contra sesiones SSH y HTTPS, explotando atascamientos débiles en PKI (Public Key Infrastructure) ad hoc.
Se apoya sobre diversas plataformas como Debian Linux y reconoce varios protocolos como TELNET, FTP, SMTP, POP, IMAP, HTTP, CVS (Concurrent Versioning System), Citrix Y SMB.
2.3.4 Ntop
Se encarga del análisis de tráfico de red basado en libcap generando estadísticas sobre la misma; utiliza la capa 2, MAC y la capa 3 tcp/ip, asociando ambas para mostrar tráfico ip o no ip, brindando así una información completa sobre la actividad de la red. Para tener acceso a la información capturada por el programa es necesario el uso de un servidor web.
El software muestra una lista con las estaciones que se encuentran usando la red y realiza reportes sobre el tráfico generado y recibido por cada host.
Puede ser utilizado sobre Unix y Win32 incluyendo vista. Incluye distintos protocolos como IPv4/IPv6, IPX, DecNet, AppleTalk, Netbios, OSI y DLC (Data Link Control). Soporta VoIP (SIP (Session Initiation Protocol), Cisco SCCP (Skinny Client Control Protocol) and Asterisk IAX), NetFlow (v5 and v9) y IPFIX (Internet Protocol Flow Information Export), Network Flows, análisis de trafico locales, Perl/PHP (Hypertext Preprocessor)/Python lightweight API (Application Programming Interface) para el acceso remoto y bases de datos de estadísticas de trafico sobre una base de datos RRD.
2.3.5 Argus
Argus (Network Audit Record Generation and Utilization System) es un modelo ajustado de control de flujo en tiempo real, esta diseñada para obtener y reportar el desempeño de todas la transacciones en una red vistas a través de las cadenas de datos que viajan en la red.
El programa incluye un formato de datos para realizar reportes de métricas de flujo como conectividad, capacidad, demanda, perdidas, retrasos y saltos en una transacción básica. El formato que utiliza el software.
Esta herramienta puede ser utilizada para realizar análisis y reportes de los paquetes capturados, puede utilizarse como un monitor para examinar los datos de una interfaz, para auditar los sucesos en la red y otras aplicaciones como para monitorear sistemas finales o actividades de redes complejas.
El software puede instalarse sobre Linux, Solaris, FreeBSD, OpenBSD, NetBSD, MAC OSX.
2.4 Escaner de vulnerabilidades
Realizan pruebas sobre un sistema determinado, normalmente ejecutando exploits
contenidos en bases de datos definidas. Estos realizan chequeos que pueden ser intrusivos o no de acuerdo a los resultados que se persiguen. Los intrusivos tratan de utilizar vulnerabilidades y pueden causar daños en el equipo remoto, los no intrusivos generalmente chequean la versión de los servicios que se utilizan en la maquina remota y las opciones activas que se puedan vulnerar sin hacer uso de estas, por lo que no se tiene seguridad sin el servicio es vulnerable en realidad.(2002)
2.4.1 Nessus
Es uno de los scanners de vulnerabilidades más utilizados debido a que no tiene costo por instalación y uso, a la vez brinda gran cantidad de información que obtiene de los
sistemas que audita. Originalmente fue desarrollado para funcionar sobre plataformas Unix, pero actualmente funciona también sobre sistemas Windows.
Nessus es un software que trabaja en modo cliente-servidor. El servidor es quien se encarga de realizar todas las auditorias y el cliente es la interfaz por donde se dan las indicaciones correspondientes, como IP o dominio de la máquina a escanear, tipo de auditoria y modo de informe.
Su funcionamiento comienza escaneando los puertos con Nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de
plugins, son escritos en NASL (Nessus Attack Scripting Language), un lenguaje
scripting optimizado para interacciones personalizadas en redes.
El servidor se instala sobre Linux mientras que los clientes pueden estar en Windows o Linux.