Ceniffer de Epiphan Consulting es una auténtica
muestra de la potencia y versatilidad de estos cacharritos, ya veréis por
qué.

A la mayoría de vosotros el vocablo sniffer os sonará a arameo,
enseguida os explico. Un sniffer se utiliza en la gestión de redes informáticas
para la captura y el análisis de los datos que se envían entre sí
los PCs conectados a una red. Los datos viajan en paquetes TCP/IP que el sniffer
captura, para analizarlos y mostrarte su contenido. Miradlo así, si fuerais
espías informáticos «pincharíais» la red con un
sniffer. Seguro que el morbo de esto os atrae a algunos, eh?

Bueno, hecha la demostración de mis pobres cualidades didácticas
vamos a ver cuáles son las características de Ceniffer:
– Soporte de modo promiscuo
– Filtros avanzados (OFDL)
– Posibilidad de salvar los logs e importar/exportar logs de otros programas
– Soporte de redes wireless.

Los requisitos son:
– Un dispositivo con Windows CE 3.0
– Tarjeta de red con driver NDIS (si es compatible NE2000 sirve)
– ser una empresa y tener 250$. Ceniffer es uno de esos programas nacidos exclusivamente
para el mundo corporativo.

El aspecto del programa inicialmente es éste:

Nada más pulsar el play entrará en modo traza y comenzará
a capturar paquetes y nos los muestra en la lista, almacenándolos en
buffer hasta que lo paremos pulsando otra vez. Podemos controlar el tamaño
del buffer porque si se llena perderemos paquetes y por tanto información.
Con el botón de Rec guardará los paquetes directamente a un fichero
en lugar de en el buffer. Con el tercer botón elegimos la información
que se muestra en la lista, con 3 niveles de abstracción: la dirección
MAC, la dirección IP, y el puerto TCP.

Si queremos capturar Todos los paquetes de la red, no sólo los nuestros
sino «espiar» a los demás, tenemos que activar el modo promiscuo.
En la red ethernet el canal es único y compartido por todas las tarjetas
de red, pero estas ignoran los paquetes que no van dirigidos a ellas. Al poner
la tarjeta en modo promiscuo escuchará todos los paquetes que pasen por
el canal, no sólo los suyos. Obviamente la razón de ser de un
sniffer es «espiar», por lo que lo primero que haremos será
activarlo.
Una vez finalizada la captura la pantalla se divide en dos:
-en la parte superior se mantiene la lista de paquetes.
-en la parte de abajo se muestran los datos del paquete seleccionado.

Es inevitable darse cuenta de que está todo muuuy apretado, pero los
PDadictos ya hemos aprendido a vivir con eso. Sin embargo se hace incómodo
a veces el uso de la parte superior, la lista de paquetes. El interfaz es muy
sobrio y eso queda muy «profesional», pero a mi me gustaría
que mostrara la lista con 2 líneas por elemento (como el inbox), para
ver dirección y puerto simultáneamente, porque tal y como está
ahora se hace un poco incómodo moverse con rapidez.
Observad ver cómo muestra Ceniffer los datos recogidos, arriba analiza
la trama que abajo nos muestra, incluso con una sorprendente vista en hexadecimal.
Im pre sio nan te.
Deleitaros la vista con esta captura hecha con JS
Landscape 3.02.

Los filtros
He aqui uno de los puntos fuertes del programa. Algo básico en cualquier
sniffer, el filtrado es imprescindible para separar los paquetes interesantes
del resto. Al ponernos en modo promiscuo, nos entrará una tromba de paquetes
y es como buscar una aguja en un pajar. Vamos a verlo:

Estos son los diálogos para la creación de filtros. Ceniffer usa
el estándar Open Filter Definition Layer, un lenguaje muy intuitivo y potente para
la declaración de filtros. Como veis también tiene la posibilidad
de introducir de forma interactiva algunos más sencillos, aunque internamente
el programa los traduce a OFDL. En mi opinión la parte de definición
de filtros es una gozada.
En lo que no parece estar tan «puesto» aún (recordemos que
es una beta) es en la Aplicación de estos filtros. Por el momento no
se pueden aplicar simultáneamente.
Sólo se puede seleccionar uno de los filtros que tengamos definidos.
Es más, si seleccionamos el filtros y luego lo modificamos, para que
se apliquen las modificaciones tenemos que deseleccionarlo y volverlo a seleccionar.
Supongo que es otro bug, igual me equivoco yo.
Si aplicamos el filtro durante la captura, se desechan los paquetes que no cumplan
el filtro, ahorrando por tanto espacio en memoria. Pero luego también
podemos volver a filtrar el log obtenido (aunque un bug impide hacerlo si no
se salva el log posteriormente abrirlo). Bastante completo no?
De todo esto me extraña bastante el que sólo se pueda seleccionar
un filtro, supongo que en la versión final del programa se subsanará
esto. Aparte de eso, CEniffer no tiene nada que envidiar a sus hermanos mayores
de PC.

Casos Prácticos
Esta es sin duda la parte más interesante del reportaje, aquí
vais a ver al Sniffer realmente en acción obteniendo datos con fundamento
😉
Mirad, estoy revisando el correo POP3 con el PC, y mientras lo hago me dejo
el Ceniffer capturando. Luego hago un sencillo filtrado en el Ceniffer, y a
sacar petróleo. Fijaos:

No me digais que no es la leche! Y esto es sólo una muestra. Si me voy a mi universidad y me pongo a hacer esto, saco los passwords de un buen número de profesores. Imaginaos! Aunque
también puede usarse para resolver problemas técnicos en una red….
😉
El caso es que se me ocurren algunos ejemplos más, pero sirva éste
como muestra. Ya haré otro reportaje que se llame algo así como
«Obtener contraseñas con tu PocketPC» donde veamos más
detalladamente todo esto …..

Conclusión
No hay mucho que decir, aparte de felicitar a Epiphan por esta potente herramienta.
No me cabe duda de que todos los administradores de redes informáticas estarán
asombrados con Ceniffer, aunque algunos lo verán como un juguete. El caso es
que cuesta una pasta, pero hace asombrosamente bien su trabajo. Como sniffer
es estupendo, luego lo que es el análisis de los paquetes es algo más incómodo.
En un Hpc tiene que ser un poco mejor. Tiene algunos bugs pero no los voy a
tener en cuenta dado que estoy trabajando con una beta.

No se le escapa a nadie que el precio es muy alto. De cara a una empresa Epiphan
presenta algunos incentivos. Te hacen un CEniffer a tu medida con las opciones
especiales que necesites: alarmas, contadores, analizadores especiales, etc.
No está nada mal. Y los que no teneis empresa pero quereis trastear no os preocupeis: hay una demo completamente funcional con la que podreis hacer de todo, ya habeis visto . . .

Se me quedan algunas cosas en el tintero, como probarlo en una red inalámbrica.
A ver si los de Symbol se estiran y me mandan una CF para evaluarla! Imaginad
la de cosas que se podrían hacer…el Ipaq no deja de asombrarme, incluso después
de tanto tiempo.
Más cosas que podrían ser interesantes: compatibilidad con IR.
Poder usar el puerto IR para sniffear comunicaciones entre dos dispositivos.
Por supuesto que existen los programas de este tipo, aunque no van orientados
a funciones de administración de redes precisamente. . .

Como siempre y en este caso especialmente, agradecer a Epiphan la posibilidad
de haber hecho este reportaje.
Esperad, que sale Chenoa en la tele, dejadme que lance el TVremote para subir
el volumen…
Fin.

PD: es posible que, inconscientemente, me haya salido un reportaje parecido
al de Siosi.
No he podido evitar tomarlo como referencia porque es excelente. Chapeau compadre
PD2: sí, nos han enviado a las dos webs el programa el mismo día. Quién es español
en Epiphan?

Gracias a Zerote por su colaboración

PepeGG