Analizadores de red

 Buenas como están?

Cada vez es mas importante el uso de equipos en red, sean estas a redes internas externas, siendo una de las mas importantes la conexión a internet. 

A los usuarios les interesa estar conectados, que la misma sea estable y rápida, pero si somos de IT también nos interesa saber para asegurar su correcto funcionamiento, detectar posibles problemas de seguridad, mejorar el rendimiento y optimizar la experiencia del usuario. 

Hoy nos vamos a referir al análisis de la red, existen muchas formas de analizarlas  pero en este caso veremos dos programas que nos permiten revisar nuestra red: Wireshark y Arkime.

Arkime (link): 

Es un sistema de búsqueda y captura de paquetes indexados de código abierto y de gran escala.

Enfoque: Captura de paquetes completa a gran escala y a largo plazo, sistema de indexación y base de datos diseñado para la investigación y el análisis de seguridad.                                                         Está construido para manejar decenas de gigabits por segundo de tráfico y almacenar grandes cantidades de datos de red.

Manejo de Datos: Captura continuamente todo el tráfico de red y lo almacena en formato PCAP estándar. También analiza e indexa metadatos (información de sesión, IPs, puertos, protocolos, etc.) en una base de datos de búsqueda (generalmente Elasticsearch o OpenSearch).

Interfaz: Web para navegar, buscar y exportar datos y metadatos de sesión. Está diseñado para una consulta y análisis eficientes del tráfico de red histórico.

Escalabilidad: Está diseñado para distribuirse en múltiples sistemas, lo que le permite escalar para manejar volúmenes de tráfico muy altos y grandes requisitos de almacenamiento.

Almacenamiento de Datos: Su función principal es almacenar e indexar el tráfico de red durante períodos prolongados, con una retención basada en el espacio de disco disponible. La retención de metadatos la gestiona el clúster de Elasticsearch/OpenSearch.

Búsqueda y Filtrado: Ofrece potentes capacidades de búsqueda basadas en los metadatos indexados, lo que permite a los analistas encontrar rápidamente sesiones de red relevantes según diversos criterios y plazos.
 

Casos de Uso:

• Investigación forense y de incidentes de seguridad.
• Análisis retrospectivo de eventos de red.
• Monitoreo del tráfico de red a largo plazo para seguridad y cumplimiento.
• Caza de amenazas y detección de anomalías a gran escala. 

 

 

Wireshark (link):

Este programa lo usamos para ver un análisis detallado e interactivo de tráfico de red en tiempo real.  utilizado principalmente para solucionar problemas, analizar el rendimiento de la red, investigar temas de seguridad y analizar protocolos.

• Manejo de Datos: Captura datos en vivo desde una interfaz de red o analiza archivos de captura de paquetes (PCAP) preexistentes. Desglosa los paquetes individuales, mostrando información detallada sobre protocolos, encabezados y cargas útiles.
• Interfaz: Cuenta con una interfaz gráfica de usuario (GUI) que permite a los usuarios navegar interactivamente por los paquetes capturados, aplicar filtros y analizar flujos de tráfico específicos.
• Escalabilidad: Principalmente diseñado para análisis en una sola máquina o de capturas más pequeñas. Si bien puede abrir archivos PCAP grandes, la captura y el análisis en tiempo real de tráfico de muy alto volumen pueden consumir muchos recursos.
• Almacenamiento de Datos: No proporciona inherentemente almacenamiento a largo plazo ni indexación del tráfico de red. Guarda los datos capturados en archivos PCAP para su análisis posterior.
• Búsqueda y Filtrado: Ofrece potentes filtros de visualización para reducir el tráfico mostrado según diversos criterios (protocolo, dirección IP, puerto, contenido, etc.). También permite buscar dentro de los detalles de los paquetes.
• Casos de Uso:
  • Solución de problemas de conectividad de red.
  • Análisis del comportamiento de las aplicaciones de red.
  • Depuración de implementaciones de protocolos.
  • Identificación de amenazas y anomalías de seguridad de red a menor escala.
  • Aprendizaje sobre protocolos de red.
  
  
   

  Aquí un resumen de ambos  
  

  
  
   

 Saludos 

Device Pc