Análisis de tráfico de red para IR: Alternativas a Wireshark
Introducción
Es casi imposible salir de una conversación con un profesional de la ciberseguridad, tomar una clase de introducción a las redes o adentrarse en el hacking ético sin oír hablar de Wireshark. Wireshark es posiblemente la herramienta más popular y probablemente el estándar de oro cuando se trata de captura y análisis de protocolos de red.
Desde el momento en que el software se ejecuta, Wireshark presenta a los usuarios una mirada muy detallada de las actividades que ocurren en una red y presenta datos listos para el análisis a través de cientos de protocolos.
Sin embargo, sin una adecuada introducción y entrenamiento con la herramienta, Wireshark puede ser muy desalentador para descifrar y entender. Del mismo modo, es posible que le entregue más datos en una interfaz que no siempre satisface sus necesidades particulares. Es por eso que este artículo expondrá algunas alternativas comunes a Wireshark que usted podría agregar fácilmente a su caja de herramientas de seguridad de la información.
Resumen de Wireshark
Aunque este artículo puede servir como una introducción a varias otras poderosas alternativas a Wireshark, podría decirse que no hay otras herramientas por ahí en el mercado – de código abierto y disponible comercialmente – que le dirá toda la información acerca de un paquete que vuela a través de su red como lo hace Wireshark. Originalmente llamado Ethereal cuando fue lanzado en 1998, el analizador de paquetes de código abierto fue rebautizado como Wireshark en 2006 y desde entonces ha tomado el mundo de la informática por la tormenta.
En su núcleo, Wireshark pone los controladores de interfaz de red de su anfitrión en modo promiscuo para que todo el tráfico que pasa por la interfaz se hace visible para el usuario en su interfaz de usuario. Mientras trabaja, los disectores de Wireshark desglosan lo que es cada paquete y la información que transporta (dependiendo de los protocolos de seguridad del tráfico), tanto en el aire como fuera del cable. En otras palabras, Wireshark funciona como el comando nativo tcpdump que lee el tráfico de la capa de transporte del modelo OSI, pero con una gran cantidad de herramientas y características incorporadas.
A lo largo de los años, el equipo de Wireshark y la comunidad más amplia de ciberseguridad e ingeniería de redes han publicado muchos tutoriales, guías prácticas y referencias para ayudar a los usuarios a aprovechar las características avanzadas incorporadas en Wireshark. Sin embargo, si usted tiene una meta u objetivo más específico en mente para lo que le gustaría lograr en su análisis de la red, una de las siguientes herramientas puede ajustarse mejor a sus necesidades.
Alternativas a Wireshark
Dependiendo de sus necesidades, entorno de trabajo y nivel de experiencia, las siguientes alternativas a Wireshark merecen una mirada más cercana.
tcpdump
Si un usuario está familiarizado con la línea de comandos o trabaja habitualmente en la resolución de problemas de red, la gestión de redes o tcpdump es una de las herramientas que puede acabar prefiriendo más que Wireshark. El comando tcpdump presenta a un usuario los paquetes de red reales que se están ejecutando a través de una red alámbrica o inalámbrica sin tener que cambiar a un entorno separado de Windows o Linux mientras se trabaja dentro de la línea de comandos.
Obviamente, tcpdump no es tan visualmente organizado y rico en características como Wireshark, pero su captura de datos puede ser guardada y exportada para su uso por otros programas y es una forma rápida y sencilla de monitorear el tráfico entrante o saliente sin tener que ejecutar una pieza separada de software.
CloudShark
Además de tener un nombre similar, CloudShark es una alternativa muy popular a Wireshark debido a su interfaz basada en un panel de control que ofrece a los usuarios un montón de funciones de filtrado, intercambio y análisis avanzado. CloudShark es una herramienta disponible comercialmente que se instala en un dispositivo Apple o Windows y que utiliza una plataforma basada en la web para ver, analizar y compartir archivos de captura de paquetes en servidores internos públicos o privados al estilo de Dropbox.
CloudShark es una opción popular porque permite que el análisis de la red se produzca dentro de un navegador web, manteniendo al usuario en ese entorno al rendimiento, la actividad de la red y otros análisis pueden llevarse a cabo en tiempo real. La interfaz de CloudShark también se puede organizar y sus datos se pueden compartir con otros para facilitar su uso y permitir la colaboración con clientes o colegas.
Por último, a diferencia de Wireshark, CloudShark es compatible con muchas API de aplicaciones para facilitar la integración de herramientas. Su salida también se puede compartir y ver desde múltiples dispositivos, incluidos los móviles, sin necesidad de un software especial.
Colasoft Capsa
Colasoft Capsa es conocido en la comunidad de ingenieros de redes por sus intuitivos cuadros de mando repletos de grandes visualizaciones del tráfico de red y la actividad de los paquetes. Capsa está disponible en ediciones gratuitas y con licencia, dependiendo del número de usuarios y de la escala del análisis de la red que se requiera, pero muchos creen que vale la pena el costo gracias a su facilidad de uso, su tablero intuitivo y su capacidad de integrarse en la gestión del servidor.
Además, Capsa es favorecido por su capacidad de guardar y compartir grandes cantidades de tráfico de red y de aplicaciones para apoyar la colaboración entre múltiples analistas, incluyendo la capacidad de reproducir el tráfico durante períodos de tiempo. Sin embargo, su elevado precio por licencia empresarial y su capacidad para ejecutarse sólo en máquinas Windows son notables inconvenientes para algunos.
Sysdig
De vuelta al lado del código abierto de la casa, Sysdig es una herramienta creada para supervisar, asegurar y solucionar problemas de tráfico de red. Es ampliamente conocido por su capacidad de ser flexible a través de dispositivos Windows y Apple y su integración nativa con las tecnologías de contenedores.
Sysdig también viene con su propia interfaz de línea de comandos que da a los usuarios la capacidad de navegar rápidamente por sus características y manejar el tráfico de red en tiempo real, lo cual es muy útil para la solución de problemas del sistema y la depuración. Por último, Sysdig cuenta con funciones de seguridad y alertas integradas que pueden ayudar a las organizaciones a mantener seguros sus dispositivos de red y sus datos como parte de una plataforma de ciberseguridad más amplia.
Mojo Packets
Mojo Packets es una alternativa ágil y adaptada a Wireshark, que ofrece a los usuarios capacidades sencillas de rastreo de paquetes en redes Wi-Fi. Ideal para su uso en redes pequeñas o para solucionar errores de red, fallos o problemas de rendimiento, Mojo Packets puede utilizarse como herramienta independiente o junto con otras gracias a su compatibilidad y a sus funciones de exportación e importación de archivos.
Mojo Packets también puede utilizarse para realizar un seguimiento específico de los paquetes y analizar el rendimiento de la red en cualquier dispositivo de red remoto dentro de una LAN más grande de la que forme parte y viene con una función de etiquetado para resaltar los eventos o marcar los elementos para una acción de seguimiento.
SolarWinds RMM
SolarWinds es un gran nombre en el análisis del tráfico de la red, que ofrece una serie de herramientas capaces de realizar una supervisión avanzada de la red a escala empresarial o de toda la organización. Las herramientas de monitorización y gestión remota de SolarWinds tienen, por ejemplo, la capacidad de manejar múltiples vistas de usuario del mismo flujo de red, un panel de control muy funcional y una interfaz diseñada para proporcionar una profunda visibilidad de la red empresarial y otras herramientas que apoyan la monitorización y la solución de problemas.
En definitiva, SolarWinds está diseñado para ayudar a prevenir las interrupciones de la red, mejorar el rendimiento de la red y ayudar en la solución de problemas a gran escala, incluyendo la capacidad de integrarse con otras herramientas de monitorización de la red.
Resumen
Eso envuelve un rápido resumen de algunas de las mejores alternativas a Wireshark. Qué herramienta o conjunto de herramientas se ajusta mejor a sus necesidades depende de sus objetivos, nivel de habilidad y el tamaño de la red que está analizando, con cada herramienta trayendo a la mesa sus propias ventajas sobre los demás, así como los inconvenientes.
Al final, familiarizarse con cada una de ellas y mantener un ojo en otras alternativas que no hemos incluido es una gran manera de mantenerse en sintonía con lo último en el dominio del análisis de tráfico de red.