miércoles, abril 06, 2011

Un vistazo a Network Monitor para Windows

Hoy cuando llegué a la oficina estaban echando un ojo a Microsoft Network Monitor y, como ya podéis suponer, la curiosidad mató al gató, así que aparqué el post que tenía pensado para hoy y he perdido algo de tiempo (desastre de gestión de agenda) para enredar un rato con esta versión, ya que hace tiempo que solo utilizo Wireshark.

La herramienta tiene cosas chulas, así que os dejo algunas cosas que me han gustado a primera vista, y que harán que empiece a usarla un poco más, para que le saque un poco más de jugo.

El árbol por procesos

Me ha gustado mucho el panel de la izquierda en el que muestra las conversaciones dividias por procesos localex. Para ello, agrupa las tramas por puertos, reconoce cuáles son las aplicaciones corriendo en esos puertos y muestra una vista que permite ver, rápidamente, que aplicación está conversando con quién.


Figura 1: Organización de conversaciones por procesos


Parseador de protocolos Windows

Una de las cosas más importantes cuando tienes una captura es el motor de parseo, es decir, el poder pasar de bits a estructuras de datos, protocolos o conversaciones reconocibles. En este caso, Network Monitor viene con diferentes motores de parseo que pueden ser aplicados en diferentes entornos.


Figura 2: Selección de parseador

Y, como se puede ver, hay uno especialmente creado para reconocer todos los protocolos y estructuras de datos definidos por la MSDN de Microsoft. Tras aplicarlo a una conexión a un servidor interno la información se muestra de maravilla. En este caso es el paquete 303 es parte de la negociación TLS.


Figura 3: Conversación TLS vista con Network Monitor

Llevado por la curiosidad guardé la captura y la abrí con Wireshark y fue a analizar el mismo paquete, y la verdad es que la vista de Network Monitor es bastante más clara.


Figura 4: Mismo paquete analizado con Wireshark

Una de las cosas que tiene Wireshark para analizar las conversaciones es el Follow Stream, que permite seguir las conversaciones tanto a nivel TCP como SSL, pero en este caso, muestra la conexión vacía, con lo que no se obtenía más información.

Los Buffers de análisis

Una de las cosas que también me ha gustado, es la capacidad de seleccionar un conjunto de paquetes y con el botón derecho gestionar diferentes bufferes de datos. Cada buffer de datos es un fichero de capturas, que hace que sea fácil seleccionar los datos interesantes en diferentes ficheros al mismo tiempo, y entregar los informes de datos en las auditorias de seguridad con los ficheros filtrados.


Figura 6: Gestión de múltiples Buffer

Por supuesto, tiene la posibilidad de crear filtros, de ampliar el parseador con tus propias estructuras, etcétera. Puedes descargarlo y probarlo tú también desde la siguiente URL: Descargar Microsoft Network Monitor

Saludos Malignos!

8 comentarios:

NetVicious dijo...

El IE 9 se te va a poner celoso, con un Chrome por ahí abierto :P

Anónimo dijo...

este post tiene un fallo de seguridad, en la ultima captura dejas en evidencia tu nombre. Hola Chema! x_DDD

Madrikeka dijo...

La verdad que tiene muy buena pinta, sobretodo el desplegable de la izquierda donde aparecen directamente las IPs, aunque echo de menos los coloritos del wireshark que vienen por defecto, aunque ya he visto que con las color rules se puede modificar eso.

Un saludo!!

Kuma dijo...

Descargando, que este parece 10 veces mas completo que el etthercap o el SSS.

Saludos!

mgesteiro dijo...

si no recuerdo mal, esta herramienta tiene otra cualidad que la hace valiosísima: es capaz de capturar tráfico en una interfaz VPN de Microsoft (cosa que el Wireshark no).

interesante entrada Chema!

Lucas Anzoategui dijo...

Gracias Chema, como siempre aportando a la seguridad, y lo mas importante, compartiendo info.
Desde Argentina, muchas gracias.

Anónimo dijo...

Chema en la captura del wireshark tapas la ip, pero dejas ver la direccion mac del source. No publiques el comment.

Aleks

Anónimo dijo...

Que curioso, intentando hacer la descarga desde el link que incluyes en el post, la versión para x86 da un 404 servido por Apache sobre Debian
JIJI
_______________
Not Found

The requested URL /download/7/1/0/7105C7FF-768E-4472-AFD5-F29108D1E383/NM34_x86.exe was not found on this server.
Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch Server at download.microsoft.com Port 80

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares