4.2.

4 - Vigilancia de Paquetes

Introduccin Cuando las personas manifiestan temores por la vigilancia electrnica, lo cierto es que el origen ms frecuente de las filtraciones de informacin lo da la propia naturaleza humana; se trata de errores, olvidos o filtraciones involuntarias. Existen la tcnica del sniffer y la monitorizacin como vigilancia de paquetes. Qu es un paquete? Un paquete es una parte de un mensaje que ha sido partido para poder ir de un sitio a otro. Normalmente, un ordenador solo hace caso de paquetes con direcciones destinadas a el, e ignora el resto del trfico de la red. La cantidad de trfico depende mucho en la localizacin del ordenador en la red Un sistema cliente en una parte aislada de la red, solo ver un pequeo segmento del trfico de red, mientras que el servidor de dominio principal ve prcticamente todo Que es un sniffer ? Un sniffer es un programa de captura de las tramas de red (es una unidad de envo de datos, que transportan informacin y que permiten en la recepcin extraer esta informacin ). Es algo comn que, el medio de transmisin (cable coaxial, UTP, fibra ptica etc.) sea compartido por varias

computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de informacin no destinadas a l. Para conseguir esto el sniffer le dice a la computadora que deje de ignorar todo el trfico no destinado al equipo y le ponga atencin, sto es conocido como poner en estado "promiscuo" a la NIC (Network Interface Card) (Tarjeta de interfaz de red). En la actualidad la seguridad en las redes es de vital importancia, ya que toda la informacin que se transmite a travs de stas muchas veces puede ser utilizada para fines de lucro o realizar delitos electrnicos. Una vez que la NIC est en este estado se necesitarn los privilegios administrativos o de root, de sta manera la computadora ser capaz de ver todos los datos transmitidos. Es entonces cuando el programa comienza a hacer una lectura de toda la informacin entrante al PC por la tarjeta de red. Con esto el sniffer conseguir observar el equipo de origen, el equipo de destino, nmero de puerto, etc en resumen puede ver la informacin intercambiada entre dos computadoras. Como configurar un sniffer? Un sniffer de red puede ser configurado en dos modos: Filtrado (captura todos los paquetes) y no filtrado (captura solo aquellos paquetes contendiendo elementos de datos especficos). Los paquetes que contienen datos que se filtran, son copiados al disco duro segn pasan. Estas copias pueden ser analizadas con tranquilidad despus para encontrar una informacin especfica. Funcin del sniffer Cuando te conectas a Internet, te ests uniendo a una red mantenida por un proveedor de servicios de Internet o ISP. La red de este proveedor comunica con redes mantenidas por otras ISPs para formar la estructura de la red. Un sniffer de red localizado en uno de los servidores de tu ISP podra potencialmente ser capaz de monitorizar todas las actividades online, que podran ser las pginas Web que se visitan, que es lo que se busca en un sitio concreto, a quin se envan email, que contienen el email, lo que nos descargamos, con servicios se utilizan, y muchas cosas ms. Monitorizacin Es el uso de un sistema que constantemente monitoriza una red de computadoras buscando componentes lentos o fallidos y luego notifica al administrador de esa red (va email, telfono celular u otras alarmas) en caso de cortes. Mientras que un sistema de deteccin de intrusiones monitoriza una red de amenazas del exterior, un sistema de monitorizacin de red monitoriza la red buscando problemas causados por servidores sobrecargados y/o cados, conexiones de red, u otros dispositivos. Por ejemplo, para determinar el status de un web server, un software de monitorizacin puede enviar peridicamente un pedido de HTTP para buscar una pgina. Para servidores email, un mensaje de prueba puede ser enviado a travs de SMTP (Protocolo para la transferencia simple de correo electrnico) y recuperado por IMAP(es un protocolo de acceso a mensajes almacenados en un

servidor de Internet. se puede tener acceso al correo electrnico desde cualquier equipo que tenga

una conexin a Internet.) o POP3 (Protocolo de oficina de correo(es utilizado por clientes de correo locales instalados en la PC para obtener los mensajes de correo electrnico almacenados en un servidor remoto y transferirlos al almacenamiento de la PC.)). Normalmente las nicas mtricas de medicin son tiempo de respuesta, disponibilidad y tiempo de funcionamiento, aunque las mtricas de consistencia y fiabilidad estn empezando a ganar popularidad. La suma extendida de dispositivos de optimizacin est teniendo un efecto adverso en la mayora de las herramientas de monitorizacin especialmente cuando se trata de medir apropiadamente el tiempo de respuesta de punta a punta debido a que limitan la visibilidad de ida y vuelta. Las solicitudes de estado de fallos tales como cuando una conexin no puede ser establecida, expira, o un documento o un mensaje no puede ser recuperado - usualmente produce una accin por parte del sistema de monitorizacin. Estas acciones varan - una alarma puede ser enviada (va SMS, email, etc.) para el administrador del sistema residente, sistemas automticos de conmutacin por error pueden ser activados para remover del servicio el servidor con problemas hasta que pueda ser reparado, etc. Estos programas pueden ser instalados de dos maneras: Fsicamente Alguien se siente en el ordenador e instala el software. Remotamente Un usuario abre un archivo aadido a un correo o enviado de otro modo. El archivo, el cual contiene un programa que el usuario quiere instalar, puede contener tambin el programa de monitorizacin. Esto es llamado troyano un programa deseado y contiene un programa no deseado. Los programas de monitorizacin pueden leer correos y ver cualquier programa que est abierto en la pantalla. Captura la imagen en la pantalla del ordenador al interceptar seales que estn siendo transmitidas a la tarjeta de video del ordenador. Estas imgenes son luego enviadas por la red al administrador de red. Algunos de estos programas tienen incluso sistemas de alerta cuando un usuario visita un sitio Web especfico o escribe un correo con texto inapropiado, el administrador es avisado de estas acciones.