ANÁLISIS DE RED Y CORREO ELECTRÓNICO. PARTE I.

VÍCTOR VILLAR JARA

ANÁLISIS FORENSE DIGITAL
INSTITUTO IACC
LUNES 24 DE MAYO DE 2021.
INTRODUCCIÓN.

En abstracto, los análisis que se ejecutan en la red deben ser sometidos a un proceso
de captura e interceptación de datos en tiempo real, conservando todos los paquetes,
tanto los entrantes como los salientes, que se vinculan en un punto de conexión de la
red. Esta interceptación de los datos nos puede dar respuesta a la interrogante de que
está sucediendo dentro de la red y en general, los que tienen la diligencia de proceder
en esta captura de tráfico son los SIEM, como resumen de esto, debemos saber que de
haber capturas de tráfico, su relevancia para analizar lo que sucede en la red y
establecer el punto de entrada de los atacantes es muy trascendente en el área de
forense.
El efecto esperado de la tarea semana 6 “Análisis de Red y Correo Electrónico. Parte
I.”, es saber realizar capturas de tráfico para el análisis de red y correo electrónico,
considerando las actuales herramientas.
 DESARROLLO:
Lea atentamente las siguientes preguntas y analice la información de acuerdo a los
contenidos revisados en la semana antes de contestar:
1. Realice un cuadro demostrativo de las diferencias entre Wireshark y Tshark.
Wireshark
Wireshark es un analizador de paquetes
utilizado en la resolución de problemas y el
análisis de redes informáticas, el desarrollo de
protocolos , la educación y la ingeniería inversa.
Su denominación de origen ( Ethereal ) se
modificó en mayo de 2006 por cuestiones
relacionadas con el derecho de marcas .
Wireshark aprovecha la biblioteca de software
GTK + para la implementación de su interfaz de
usuario y pcap para la captura de paquetes ;
funciona en muchos entornos compatibles con
UNIX como GNU / Linux , FreeBSD , NetBSD ,
OpenBSD o Mac OSX , pero también en
Microsoft Windows .
Wireshark admite, obtener de una forma rápida
los archivos capturados en la comunicación y
poder almacenarlos a través de la opción File –
Export Objects – HTTP.
Wireshark permite filtrar la información obtenida
para un mejor manejo de los datos y para analizar
más fácilmente la información, ya que después de
un tiempo la información capturada puede ser
importante.
Según Fuente LinuxFrench, V. T. L. A. P. (2016, February 18)[2].
TShark
TShark es un analizador de protocolos de red
como Wireshark, pero permite capturar datos de
paquetes de una red en vivo o leer paquetes de
un archivo de captura previamente guardado, ya
sea imprimiendo en forma decodificada en la
salida estándar o escribiendo los paquetes en
archivo. El formato de archivo de captura nativo
de TShark es el formato pcap, que también es el
formato utilizado por tcpdump y varios otros
instrumentos.
Sin opciones juntas, TShark funcionará de
manera muy similar a tcpdump. Utilizará la
biblioteca pcap para capturar el tráfico de la
primera interfaz de red disponible y mostrará
una línea de resumen en la salida estándar para
cada paquete recibido.
TShark puede detectar, leer y escribir los
mismos archivos de captura que son
compatibles con Wireshark. El archivo de
entrada no necesita una extensión de nombre
de archivo específica; El formato de archivo y
una opción de compresión gzip se detectarán
automáticamente.
Uso de soporte de archivos comprimidos (y por
lo tanto requiere) la biblioteca zlib. Si la
biblioteca zlib no está presente, TShark
compilará, pero no podrá leer archivos
comprimidos.
Capturas de Tshark y Wireshark realizadas por mi desde Maquina Virtual Kali Linux, en
escucha de puerto udp, mientras se abre pagina Banco Edwards en navegador.
2. Realice una investigación en Internet buscando a lo menos una herramienta para
captura de tráfico y clasifique las herramientas vistas en la semana más la
encontrada en Internet.

Realizada una búsqueda e investigación de una herramienta de captura de trafico de

red nos encontramos con tcpdump. Mahiques, J. (2017)[3].

La gran cantidad de tráfico generado a diario en Internet se representa en archivos

llamados logs, ejemplo de esto es un servidor con la gran cantidad de datos
gestionados, lo que obliga a comprobar un buen funcionamiento de nuestros sistemas.
El hacer este seguimiento a el comportamiento de las máquinas, en lo que concierne a
todo tipo de conexión es porque cada servicio suministra un mínimo de información
eventualmente configurable al detalle gracias a la utilidad que nos presta syslog.

Es así como el año 1987 Steven McCanne, Craig Leres and y Van Jacobson, gestaron
tcpdump, la cual, aprovechaba una librería llamada libpcap. Ésta tolera el llevar a
cabo capturas de tráfico de red desde las interfaces de un equipo.
A posteriori fue fachada en otros lenguajes, como lo es Java o .NET, ademas
plataformas como Windows. La abundancia de herramientas basadas en esta librería
está constituida de herramientas muy empleadas y potentes, entre estas Wireshark,
nmap o snort.

La herramienta en concreto nos habilita a efectuar capturas de tráfico con una relación
de parámetros muy concretos, los que admiten incluso filtrar por bits en capas como IP.
La siguiente captura efectuada en mi VM refleja como tcpdump registra una conexión
simple desde el host virtualizado con Kali Linux nuevamente en acceso a la pagina del
Banco Edwards, aprovechando la escucha del puerto 80

Clasificación de herramientas para realizar la captura de tráfico vigentes en la

actualidad
Wireshark Herramienta multiplataforma que se puede utilizar en Windows, Linux,
MacOS, Ubuntu y Debian, haciéndola muy versátil siendo una de las más
utilizadas y renombrada en el mercado; además,su uso es gratuito.
Network Miner La herramienta Network Miner corresponde a la rama de análisis forense de
red para sistemas Microsoft Windows. Su finalidad es recoger información tras
el procesado de las capturas de red.
Xplico Herramientas que permite visibilizar de forma gráfica y ordenada las capturas
de red recopiladas, además, permite trabajar con gran cantidad de datos y
protocolos.
tcpdump Herramienta que permite llevar a cabo capturas de tráfico con una serie de
parámetros muy concretos, los cuales permiten incluso poder filtrar por bits en
capas como IP.
3. En relación con la pregunta anterior, ocupe una de las herramientas y realice una
captura de tráfico, adjuntando la evidencia de lo trabajado.

Efectuaremos una captura al acceso del portal de alumnos del IACC, con mi usuario y
contraseña en Wireshark para comprobar la seguridad de la pagina.

Ingresado el usuario y contraseña...

Una vez ingresado mi usuario y contraseña, podemos ver que el acceso a la pagina de
Portal de Alumnos de IACC es inseguro, ya que se observa y evidencia mi usuario y
pasword capturados en tiempo real y sin mayor análisis.
CONCLUSIÓN.

En el transcurso de la presente semana, estudiamos y analizamos el cómo ejecutar un

análisis de la Red, enfatizando la captura del tráfico de una red perteneciente a un
determinado sistema, especial atención colocamos a las herramientas (sniffers), que
son las que meas se emplean para este fin, ejemplo de esto tenemos a Wireshark,
Network Miner o Xplico, todas las anteriores conceden una sustanciosa cantidad de
referencias e información a la que podemos sacar provecho para la realización de las
labores de un analista.
Lograda nuestra Tarea Semana 6 ya podemos distinguir los tipos de herramientas
asociadas a la captura de tráfico para la descomposición y posterior análisis de la red y
de los correos electrónicos, clasificamos las herramientas para proceder a la captura de
tráfico válido, utilizamos herramientas adecuadas para la captura de tráfico conforme al
tipo de análisis que se nos requiere.
BIBLIOGRAFÍA:

[1].- IACC (2020). Análisis Forense Digital Semana 6, Análisis de red y correo
electrónico. Parte I.
[2].- LinuxFrench, V. T. L. A. P. (2016, February 18). « TShark & Foremost
».Wireshark en ligne de commande . Linux French.
https://linuxfrench.wordpress.com/2016/02/18/tshark-foremost-wireshark-en-
ligne-de-commande/
[3].- Mahiques, J. (2017, December 14). Analiza y captura tráfico de red con
tcpdump. acceseo. https://www.acceseo.com/analiza-captura-trafico-red-
tcpdump.html