Articulo interesante sobre manejo a grandes rasgos de wireshark

Buenas esta vez dejo un pequeño manual extraido de: "http://blog.e2h.net/2009/12/01/analisis-de-red-con-wireshark/"
me pareció bastante interesante ya que a grandes rasgos determina los elementos a examinar de el snifador de redes wireshark o programa para realizar auditorias sobre el tráfico de nuestra red:

1DIC/094

Análisis de red con Wireshark

Wireshark es el principal analizador de protocolos del mundo, siendo una herramienta sin coste y totalmente operativa sin restricción alguna.

Esta herramienta nos ayudará a tener una visión exacta de lo que ocurre en nuestra red, permitiendonos detectar problemas y solucionarlos de forma efectiva.

El artículo se centrará en los aspectos básicos de la aplicación, teniendo una visión global de los siguientes apartados:

• Instalando Wireshark.
• Eligiendo interfaz de captura.
• Capas del paquete.
• Filtrado básico.

Instalando Wireshark

El primer paso será descargar la aplicación del sitio oficial para comenzar su instalación.

Una vez descargado lo ejecutamos para comenzar el proceso de instalación y para continuar hacemos clic en el botón Next.

Aceptamos la licencia haciendo clic en el botón I Agree.

A continuación nos permite elegir que opciones queremos instalar, dejamos marcadas todas y hacemos clic en el botónNext.

Ahora nos da a elegir si crear iconos en el escritorio y menú de aplicaciones, además de asociar las extensiones de ficheros que abrirá Wireshark. Lo dejamos de forma predeterminada y hacemos clic en el botón Next.

Indicamos en que directorio instalar la aplicación y hacemos clic en el botón Next. Nosotros lo dejamos en la ubicación predeterminada.

En este paso nos indica que va a instalar WinPcap, ya que es necesario para poder realizar las capturas de tráfico, lo dejamos seleccionado y hacemos clic en el botón Install.

Nos aparece el instalado de WinPcap, hacemos clic en el botón Next.

En la ventana de bienvenida hacemos clic de nuevo en el botón Next.

Aceptamos la licencia haciendo clic en el botón I Agree.

Por último WinPcap nos indica que arrancará a la hora de iniciar el equipo, lo dejamos marcado y hacemos clic en el botónInstall.

Hacemos clic en el botón Finish para proseguir con la instalación de Wireshark.

Wireshark habrá continuado instalando y una vez terminado hacemos clic en el botón Next.

Para terminar hacemos clic en el botón Finish.

Eligiendo interfaz de captura

Ejecutamos la aplicación para comenzar nuestra captura. Una vez arrancada la aplicación hacemos clic en el primer icono de la barra de herramientas.

Para comenzar la captura hacemos clic en el botón Start, antes debemos ver que la columna Packets tiene tráfico. Nos aparecerá en la pantalla los paquetes que va capturando la aplicación.

Capas del paquete

A continuación vamos a observar como se estructura un paquete, la explicación será totalmente básica, pero será de ayuda para iniciarnos en la lectura de estas capturas.

Para el ejemplo vamos a lanzar un ping, haremos doble clic sobre uno de los paquetes y trabajaremos sobre dicha ventana.

Vemos que disponemos de 4 líneas, las dos primeras líneas muestra la capa 1 (acceso a la red), la tercera línea la capa 2 (Internet), la cuarta línea la capa 3 (transporte), en nuestro caso al usar un ping como paquete no disponemos de capa de aplicación, si observaramos un paquete http, veríamos que disponemos de más líneas, lo que sería la capa de aplicación.

Ahora vamos a ver cada línea un poco más a fondo.

• La primera línea corresponde a la capa física del modelo OSI, es decir, la primera capa. Aquí los valores que se muestran son los pertenecientes a ethernet.

• La segunda línea corresponde a la capa de enlace de datos del modelo OSI, pero en este caso como estamos trabajando con TCP/IP, este protocolo une las capas 1 y 2 del modelo OSI en la capa 1 del modelo TCP/IP. Aquí observamos las direcciones MAC del dispositivo origen y destino.

• La tercera línea corresponde a la capa de red del modelo OSI, la cual muestra el direccionamiento IP de origen y destino así como las marcas que se usan para QoS, TTL, versión IP, etc. Aquí vamos a marcar de colores la IP origen, destino, versión IP y el valor DSCP correspondiente al QoS DiffServ de capa 3.

• La cuarta línea corresponde a la capa de transporte del modelo OSI, que coincide en nombre con la capa 3 del modelo TCP/IP. Aquí vamos a observar que el tipo de transporte usado es ICMP, el checksum, número de secuencia e identificador, etc. Marcaremos todos los valores nombrados.

Filtrado básico

Durante una captura aparece mucha información que para resolver un problema resulta irrelevante, en este apartado vamos a ver como filtrar esa información para que la lectura de Wireshark resulte más cómoda.

Existe una gran cantidad de variables que podemos usar para realizar un filtro adecuado a nuestras necesidades, la barra de filtrado la mostramos a continuación.

En esta barra disponemos de un cuadro de texto donde escribir la sentencia de nuestro filtro o podemos hacer clic en el botón Expression... donde aparecerá el listado de todas las posibles opciones.

Todas estas expresiones quedan lejos de este artículo, pero si las observáis no os resultará nada difícil seleccionar la que necesitáis.

Esta ventana de expresiones se divide en tres columnas, donde en la primera tenemos las expresiones, la segunda aparece la relación y en la tercera donde escribiremos el valor. Pulsamos el botón OK y aparecerá en el cuadro de texto de la barra de filtrado.

A continuación vamos a ver sentencias básicas para el filtrado de los paquetes.

• Expresión -> Ej: ARP (mostrará solo los paquetes ARP en la pantalla).

• NOT expresión -> Ej: NOT ARP (eliminará todos los paquetes ARP de la pantalla). NOT es un indicador fijo, otros filtros pueden ser NOT TCP, NOT UDP; como comprobamos NOT se mantiene en toda sentencia.

• Expresión && Expresión -> Ej: IP.SRC == 192.168.0.31 && NOT TCP (mostrará solo los paquetes con IP origen 192.168.0.31 que no sean TCP). Podemos concadenar más opciones añadiendo sucesivamente && Expresión. La expresión IP.SRC resulta ser fija, donde la IP es variable y también los valores ==, && y NOT son indicadores comunes para toda expresión de filtrado.

Nos resultará de ayuda que conforme vamos escribiendo nuestro filtro, aparecerá un asistente diciendonos que comandos podemos ir escribiendo conforme a las letras que hemos introducido.

A continuación se muestra sentencias de algunos filtros:

• NOT TCP -> No muestra los paquetes que sean TCP (podemos cambiar TCP por ICMP, UDP, DNS, etc.).
• IP.SRC== -> Indicaremos cual es la IP origen del paquete (podemos cambiar por IP.DST para IP destino).
• IP.SRC==192.168.0.1 && IP.DST==192.168.0.31 -> Indicamos paquetes con una dirección origen concreta hacia una dirección destino concreta.

Tipos de particionado

Buenas este es un gran tema del que generalmente se suele tener una idea pero no la idea total de todos los conceptos., bien., en principio haré una aclaración sobre el MBR (Master boot record) o sector de arranque. Esto quiere decir que es el sector 0 de nuestro disco duro físico. En este nivel se pueden establecer 4 particiones primarias de las cuales 3 primarias y una extendida(en la exrtendida podremos hacer un número máximo de 23 particiones lógicas por cada partición extendida que tengamos). Esto sirve para hacer particionados en nuestro disco duro de los cuales generalmente nos interesara tener un sistema operativo o varios en las particiones primarias y alguna de datos o varias de datos(particiones lógicas) en las particiones extendidas. El sistema operativo que arrancara por defecto suele llamarse en el particionado partición activa ya que de esta es la que arrancara principalmente. Cada partición de los sistemas operativos suele recibir un formato de datos que cogera el propio sistema o que le daremos con alguna herramienta que poseamos desde el arranque o desde el propio sistema (nfs,fat,ext,xfs, etc). En el caso de tener varios deberemos de montar un menú de arranque para escoger el sistema que queramos y no el predefinido por esta partición. Bien ahora dejo un artículo extraído de la siguiente fuente "http://www.reypastor.org/departamentos/dinf/enalam/winxp/particiones/particiones/4_tipos_de_particiones.html" el cual detalla un poco más lo que yo ya explique:

4. Tipos de particiones

Hay dos clases de particiones: primarias y extendidas.

Una partición primaria es una única unidad lógica para el ordenador. Además puede ser reconocida como una partición de arranque.

En cambio la partición extendida puede tener más de una unidad lógica. Tampoco es una unidad de arranque.

La partición primaria puede contener un sistema operativo para arrancar.

Una de las particiones primarias se llama la partición activa y es la de arranque. El ordenador busca en esa partición activa el arranque del sistema.

Cuando hay varios sistemas operativos instalados, la partición activa tiene un pequeño programa llamado gestor de arranque, que presenta un pequeño menú que permite elegir qué sistema operativo se arranca.

En un disco puede haber 4 particiones primarias o 3 primarias y 1 extendida.

Cuando se crean las particiones, se graba en el sector de arranque del disco (MBR), una pequeña tabla que indica dónde empieza y dónde acaba cada partición, el tipo de partición que es y si es o no la partición activa.

Resumiendo, podemos considerar tres tipos de particiones:

La primaria: La puede utilizar como arranque el MBR (sector de arranque) del disco.

La extendida: no la puede utilizar el MBR como arranque. Se inventó para romper la limitación de 4 particiones primarias en un disco. Es como si se tratara de una primaria subdividida en lógicas más pequeñas.

La partición lógica: ocupa parte de la extendida o su totalidad.

Algunos sistemas operativos modernos se pueden instalar en cualquier tipo de partición, pero el sector de arranque del disco necesita una primaria. Por lo demás no hay diferencia entre ellas en cuanto a rendimiento.

Si está instalando el sistema operativo por primera vez, puede aprovechar la instalación para establecer un mínimo de tres particiones (una primaria y una extendida con dos unidades lógicas), así deja dos primarias disponibles para el futuro. Deje espacio del disco sin asignar para definir con posterioridad, particiones nuevas.

Artículo interesante sobre tipos de licencias de Sofrware

Buenas en esta entrada publicare un artículo sobre un tema de licencias de software que me pareció interesante ya que hay varios tipos: los más conocidos de pago  son la licencia Oem, licencia retail y la licencias por volumen., las gratuitas o de software libre se se distinguen entre Gpl, Bsd, entre otras.

Bien el artículo es el siguiente lo extraí de: http://www.configurarequipos.com/doc688.html

TIPOS DE LICENCIAS DE SOFTWARE Y DIFERENCIAS ENTRE ELLAS. 

En el tutorial Diferencia entre OEM y RETAIL ya vimos ampliamente las diferencias que hay entre estos dos tipos de licencias, que en este caso no sólo se refiere a licencias de software, sino que también se aplican a hardware. 

En este tutorial vamos a ver los diferentes tipos de licencia de software a los que podemos tener acceso y las diferencias que hay entre unos y otros. 

Como podemos ver son unas cuantas y a veces hay una cierta confusión entre el significado real de los diferentes tipos. 

OEM: 

 

Se trata de un tipo de licencia que supedita su venta a que esta debe ser como parte de un equipo nuevo, estando prohibido venderlos si no es bajo esta condición. Aunque afecta más que nada a sistemas operativos, también puede afectar a otro tipo de software. 
Aunque el software comprado bajo este tipo de licencia implica la propiedad del mismo por parte del que la compra los fabricantes pueden poner ciertas limitaciones a su uso, como el número máximo de veces que se puede reinstalar. 

Se trata de software plenamente operativo y exactamente igual a las versiones Retail del mismo, aunque en el caso de que se ofrezca algún extra en la versión Retail en concepto de Bonus pack los fabricantes no están obligados a ofrecerlo también en las versiones OEM. 

Los programas adquiridos bajo este tipo de licencia NO se pueden vender ni ceder a terceros, salvo en las mismas condiciones en las que se compraron (es decir, como parte de un equipo). 

Retail: 

 

Son las versiones de venta de software. En este caso el programa es de la entera propiedad del usuario, pudiendo este cederlo libremente a terceros o venderlo. 

Licencias por volumen: 

Es un tipo de licencia de software destinado grandes usuarios (empresas), normalmente bajo unas condiciones similares a las de las licencias OEM, aunque sin estar supeditadas a equipos nuevos. 
Básicamente se trata de estipular un determinado número de equipos que pueden utilizar el mismo código de licencia, quedando el fabricante de dicho software autorizado para hacer las comprobaciones que considere oportunas para ver que las licencias que se están utilizando son las adquiridas. 
Normalmente estas licencias se venden en paquetes de x número de licencias, por ejemplo en paquetes de 25 licencias como mínimo. 

Este tipo de licencia NO se puede ceder a terceros ni total ni parcialmente. 

Software libre: 

Las licencias de Software libre se basa en la distribución del código fuente junto con el programa, así como en cuatro premisas: 

1ª.- La libertad de usar el programa, con cualquier propósito. 
2ª.- La libertad de estudiar el funcionamiento del programa, y adaptarlo a las necesidades . 
3ª.- La libertad de distribuir copias, con lo que puede ayudar a otros. 
4ª.- La libertad de mejorar el programa y hacer públicas las mejoras, de modo que toda la comunidad se beneficie. 

Hay que dejar bien claro que el que un determinado programa se trate de Software libre no implica en ningún momento que este sea o deba ser gratuito (freeware). Es perfectamente compatible el que se trate de un software libre y a su vez sea un programa comercial, en el que se pida un pago por licencia. 

En cuanto a la 3ª premisa (La libertad de distribuir copias, con lo que puede ayudar a otros), esta siempreestá supeditada a los acuerdos de licencia de dicho programa (aunque se trate de programas en régimen defreeware). 

El Software libre está sujeto a su vez a una serie de licencias, cada una de ellos con sus respectivas normativas: 

- Licencias GPL: 

 

En las licencias GPL (Licencia Pública General GNU, también conocidas como simplemente GNU) el autor conserva los derechos de autor (copyright), y permite la redistribución y modificación, pero controlando que todas las versiones modificadas del software permanecen bajo los términos más restrictivos de la propia licencia GNU GPL. Esto hace que un programa creado con partes no licenciadas GPL y partes GPL tiene que dar como resultado un programa bajo las normas de licencia GPL. 

- Licencias BSD: 

 

El autor mantiene la protección de copyright únicamente para la renuncia de garantía y para solicitar la atribución de la autoría en trabajos derivados, pero permite la libre redistribución y modificación, incluso si dichos trabajos tienen propietario. Este tipo de licencia es compatible con la licencia GNU GPL. 
También permite redistribuir software creado bajo este tipo de licencia como software no libre. 

- Licencias MPL y derivadas: 

Este tipo de licencias de Software libre son muy parecidas a las BSD, pero son menos permisivas, aunque sin llegar a los extremos de las licencias GNU GPL, en las que como hemos visto, si utilizas código GPL el desarrollo final tiene que estar licenciado GPL. 

- Copyleft: 

 

El termino Copyleft se puede interpretar como Copia permitida, en contraposición a Copyrigth, o Copia reservada (derechos de autor). 

En el tema que nos ocupa, se refiere a la autorización por parte del propietario de la licencia para su copia, modificación y posterior distribución, contrariamente a lo que ocurre con el software licenciado bajo los terminos de los derechos de autor. 

Ahora bien, hay que aclarar que el propietario de la licencia bajo términos de Copyleft puede desarrollar una versión de dicho software bajo licencia sujeta a Copyrigth y vender o ceder este software bajo cualquiera de estas licencias, pero sin afectar a las licencias Copyleft ya otorgadas. 
El propietario de estas licencias puede retirar la autorización de uso de una licencia Copyleft si lo cree oportuno, pero en ese caso está obligado a indemnizar a los poseedores de las licencias en uso de este tipo. 

Freeware: 

 

Se trata de un tipo de licencia en el que se autoriza el uso del software de forma libre y gratuita, aunque esta sesión pueda ser bajo determinadas condiciones, como por ejemplo que el software incluya algún tipo de publicidad o limitación referente al tipo de usuario al que va destinada. Un ejemplo de esto sería que se autoriza su uso a particulares, pero no a empresas o a organismos oficiales. 
Este tipo de licencia suele incluir una clausula en la que se especifica la prohibición de la venta de dicho software por parte de terceros. 

El software distribuido bajo este tipo de licencia puede ser software libre, pero no tiene por qué serlo. 

Shareware: 

Es un tipo de distribución en el que se autoriza el uso de un programa para que el usuario lo evalúe y posteriormente lo compre. El software con licencia Shareware tiene unas limitaciones que pueden ser de varios tipos. O bien una limitación en el tiempo de utilización o bien una limitación en el funcionamiento de sus funciones y opciones, pero suele tratarse de software operativo. 

Los programas que exigen registrarse para poder utilizarse plenamente se consideran Shareware, aunque esta licencia no implique un pago en metálico. 

Demo: 

más que de un tipo de licencia, en este caso se trata de la sesión de un programa para su evaluación, pero con unas fuertes limitaciones en su desempeño. Un claro ejemplo de esto es un programa que nos permite ver qué se puede hacer con el, pero que no permite llevar estas acciones a su término o bien juegos que no permiten guardar las partidas o bien programas de gestión que no permiten guardar los datos al cerrarse. 

Postcardware: 

Es un tipo de licencia muy similar al freeware, sólo que suele pedirse el envío de una postal como confirmación de su utilización, aunque la utilización del programa no suele estar supeditada al envío de esta. 

Donationware: 

Al igual que las licencias Postcardware, la licencia Donationware se puede considerar como una variante de la licencia freeware. 
En este tipo de licencia se le pide al usuario el envío de un donativo para sufragar el desarrollo del programa, si bien no se supedita ni el uso de este ni sus opciones al envío de dicho donativo. 

Abandonware: 

 

Se trata de software, normalmente con bastante antigüedad, sobre el que sus creadores han liberado el copyright o los derechos de autor. El software afectado por este tipo de licencia suele estar descatalogado y no disponible en tiendas ni otros canales de distribución y venta. 
Este tipo de licencia se aplica sobre todo a juegos, y si bien tuvo bastante exito a finales de los 90 y principios de 2000, cada vez tiene menos incidencia. 

Hay que dejar bien claro que para que un programa o juego se considere Abandonware es imprescindible que el propietario de los derechos haya cedido estos para la distribución gratuita de los mismos y que el mero hecho de que ya no se fabrique o que carezca de soporte técnico o no se distribuya no implica que se pueda considerar como Abandonware. 

Existen webs especializadas en este tipo de software, que hay que aclarar que NO se trata de software pirata, ya que cuentan con la autorización de los propietarios de dichas licencias para distribuir estos programas. 

Bien, hemos visto los diversos tipos de licencia de software que podemos encontrar. 
A este respecto hay que matizar un punto muy importante. Cuando adquirimos un programa, sea bajo el tipo de licencia que sea, lo que adquirimos es una licencia de uso, nunca el programa en sí, estando en todo momento sujetos a las normas y límites que dicha licencia indique. 

Como norma general se otorga una licencia por punto de uso, salvo que la licencia indiqueespecíficamente lo contrario, no pudiendo ser instalado en más puntos que los que la licencia indique. 
Esto quiere decir que si compramos un programa este SOLO lo podemos instalar en un ordenador y no en todos los que tengamos, aunque todos sean nuestros. 

Espero que les sea de ayuda y de interes. Un saludo. a todos!