Para supervisar el tipo de tráfico que hay en una red, se necesita alguna técnica para capturar paquetes del tráfico de red para poder analizar y registrar.

Vamos a ver algunos conceptos que necesitas saber para comenzar la supervición de tráfico.

¿Qué es el sniffin en la supervisión de tráfico?

El sniffing, detección o captura de datos (Packet capture) es el proceso de interceptar paquetes de red totalmente para su análisis.

Recuerda que los sistemas de hoy en día van a aceptar únicamente paquetes enviados de una dirección de interfaz específica, la cual se suele identificar por una MAC Address. Al encontrar un paquete con una dirección distinta, la interfaz se va a descartar.

¿Qué es el modo promiscuo en redes?

El modo promiscuo es un modo especial que se utiliza para interfaces de red Ethernet en el que todos los adaptadores de red (como las tarjetas de red) que operan en este modo pueden acceder, capturan o ceptar todos los paquetes que circulan por la red.

Lo normal es que un equipo solo pueda aceptar los paquetes que son dirigidos a ellos. Algunas de las razones para poner un equipo en modo promiscuo podría ser la detección de intrusiones, monitoreo de redes, diagnóstico para los problemas de redes, etc.

Ahora, en lugar de solo aceptar y manejar solo aquellos paquetes destinados a su dirección, ahora también aceptará y procesará cualquier paquete que vea.

¿Qué es la duplicación de puertos y que tiene que ver con las redes?

La duplicación de puertos es una función que suelen traer los switch empresariales que permiten que el mismo switch tome todos los paquetes de un puerto específico, un rango de puertos o incluso puede tomar toda la VLAN, y los duplique en un determinado puerto del switch. 

Esto tiene la finalidad de poder acceder a los paquetes de este switch de una manera más segura e incluso cómoda. 

¿Hay otra manera de hacerlo? Claro, la solución sería insertando un hub en la topología con los dispositivos en los que se debe supervisar el tráfico conectados al hub y al equipo de supervisión. Aunque esto lleva en sí las desventajas que, de por sí, ya conlleva un hub.

¿Se pueden capturar paquetes desde una red inalámbrica?

La respuesta es sí. Para poder revisar el tráfico que se puede recibir en el área, se puede colocar la interfaz inalámbrica en un modo llamado “Modo monitor”, el cual permite escanear los canales para observar el tráfico inalámbrico que envían los AP y los clientes.

Mira aquí los protocolos WEP y WPA.

Hay que considerar que debe estar lo suficientemente cerca del AP (Punto de acceso) y del cliente para recibir una señal. 

Algunos ejemplos de utilidades inalámbricas de captura y supervisión de código abierto son Aircrack-ng y Kismet. 

¿Se puede tomar un paquete de una red inalámbrica sin tener la contraseña?

Nuevamente, la respuesta es sí, pero con sus implicaciones. Obviamente puedes interceptar los paquetes, pero no se podrán decodificar las cargas útiles si no conoces la contraseña de la red. 

Podemos decir que ya resolvimos el problema de acceder al tráfico, pero ahora, ¿Cómo vamos a realizar la captura y el análisis? LO VEREMOS EN ESTE POST.

Si quieres ver cómo entrar al modo promiscuo, puedes seguir los siguietnes links:

Activar modo promiscuo en linux: https://it.awroblew.biz/linux-how-to-checkenable-promiscuous-mode/

En Windows: http://lifeofageekadmin.com/how-to-manually-change-your-nic-to-promiscuous-mode-on-windows-72008-r2/
En Mac: https://danielmiessler.com/blog/entering-promiscuous-mode-os-x/