{"id":8302,"date":"2015-08-01T01:39:59","date_gmt":"2015-07-31T23:39:59","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=8302"},"modified":"2015-08-01T23:44:10","modified_gmt":"2015-08-01T21:44:10","slug":"netscantool-le-excelente-herramienta-para-crear-auditorias-y-analisis-forense-de-redes-basadas-en-tcp-ip","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/netscantool-le-excelente-herramienta-para-crear-auditorias-y-analisis-forense-de-redes-basadas-en-tcp-ip\/","title":{"rendered":"NetScanTools LE. Excelente herramienta para crear auditorias y an\u00e1lisis forense de redes basadas en TCP-IP"},"content":{"rendered":"

En esta entrada voy a hablaros de la herramienta NetScanTools LE<\/strong>.
\nhttp:\/\/www.netscantools.com\/nst_le_main.html<\/a><\/p>\n

Es un software excelente para la gesti\u00f3n de la red<\/strong>. Posee muchas herramientas de recolecci\u00f3n de informaci\u00f3n de Internet esenciales para la aplicaci\u00f3n de la ley, an\u00e1lisis forense, administraci\u00f3n de sistemas IT, sysadmin, profesionales que empleen el protocolo TCP\/IP.<\/p>\n

El software se ejecuta sobre cualquier versi\u00f3n de Windows incluido el reciente Windows 10<\/strong><\/span>, y nos ofrece valiosa informaci\u00f3n. Podr\u00edas ejecutar el programa con un emulador como VMware Fusion o Parallels en MAC por ejemplo.<\/p>\n

Netscantools<\/strong> es bastante f\u00e1cil de usar y aprender. Se encuentra orientado a informes. Muchos resultados de los an\u00e1lisis se almacenan en una base de datos \u201cCASE<\/strong>\u201d<\/p>\n

\u00bfA qui\u00e9n va dirigido este software?<\/strong><\/p>\n

Agentes de la autoridad.
\nFiscales tecnol\u00f3gicos.
\nForenses inform\u00e1ticos.
\nInvestigadores
\nConsultores de seguridad.
\nIngenieros Inform\u00e1ticos.<\/p>\n

El software posee el premio de Finalista a los premios Innovaci\u00f3n del 2010<\/strong>.<\/p>\n

<\/p>\n

Nada m\u00e1s comenzar nos aparece un cuadro indic\u00e1ndonos d\u00f3nde se almacenar\u00e1 la informaci\u00f3n, datos personales de an\u00e1lisis, nombre de proyecto, etc.<\/p>\n

\"Informacion-CASE\"<\/a><\/p>\n

Existen 3 opciones principales<\/strong>.<\/p>\n

Las herramientas automatizadas (Automated Tools), las herramientas manuales, y la captura de paquetes (sniffer).<\/strong><\/p>\n


\n<\/a> \"Analisis-automatico\"<\/a><\/p>\n

Las herramientas de automatizaci\u00f3n<\/strong> permiten obtener, despu\u00e9s de un tiempo, informaci\u00f3n detallada de las opciones que marquemos. Primero tenemos que indicarles el destino o target de an\u00e1lisis. Puede ser una URL, una direcci\u00f3n de correo, una IP, un dominio.<\/p>\n

Podemos concretar esta informaci\u00f3n marcando o desmarcando casillas de verificaci\u00f3n.<\/p>\n

\u00bfQu\u00e9 informaci\u00f3n podemos concretar?<\/strong><\/p>\n

Informaci\u00f3n sobre los registros b\u00e1sicos DNS (MX, NS, A, PTR, TXT, etc).
\nDIG DNS + trace.
\nIP del pa\u00eds.
\nValidaci\u00f3n de una direcci\u00f3n de correo.
\nComprobaci\u00f3n de la lista negra en tiempo real.
\nInformaci\u00f3n Finger.
\nInformaci\u00f3n de Whois.
\nPing a IP objetivo (ICMP).
\nTraceroute a objetivo (ICMP).
\nEscaneo o barrido de puertos comunes TCP\/UDP.<\/p>\n

Cuando realizamos un escaneo de puertos, para ver que puerta se encuentra abierta en el ordenador destino (interesante para el hacking \u00e9tico<\/strong>), NetScanTool, nos avisa que este tipo de acciones tanto por el proveedor de acceso a internet, como por el ordenador destino, pueden ser consideradas hostiles, y pueden ser logeadas en el equipo destino. La empresa desarrolladora no se responsabiliza de las acciones que nosotros hagamos con estas funciones.<\/p>\n

Una vez realizado el an\u00e1lisis automatizado, podemos agregar notas manualmente que ser\u00e1n almacenadas en la base de datos CASE<\/strong>.<\/p>\n

Podremos seleccionar un informe, y pulsar sobre el bot\u00f3n View Selected Report<\/strong> mostrando un reporte muy completo sobre todas las acciones seleccionadas.<\/p>\n

\"ver-informe-automatico\"<\/a><\/p>\n

Como herramienta de auditoria de red es excelente<\/strong>. Imaginemos que tenemos que auditar la seguridad e informaci\u00f3n de nuestra red o dominio. Se nos abrir\u00e1 una p\u00e1gina HTML en el navegador que tengamos por defecto. Toda la informaci\u00f3n al detalla y adem\u00e1s almacenada.<\/p>\n

\u00a0<\/strong>Herramientas manuales.<\/strong><\/p>\n

\"herramientas-manuales\"<\/a><\/p>\n

Bulk Translate (Traducci\u00f3n en masa)<\/strong>
\nEsta herramienta se emplea para traducir hostnames a direcciones IPV4 y viceversa usando tu sistema de DNS por defecto o el DNS que selecciones.<\/p>\n

DNS Tools\u00a0 – Core.<\/strong>
\nEs un conjunto de herramientas usadas para acceder al sistema DNS (Sistema de Nombres de Dominio) y mostrar registros relacionados con la direcci\u00f3n IP destino, Hostname, o nombre del dominio. Posee muchas opciones, desde una consulta sencilla, WhoamI, Testear las DNS por defecto, consultas avanzadas NSLookUP, obtener los Registros b\u00e1sicos DNS, realizar un DIG-Trace, consultas avanzadas de\u00a0 DNS. Todas estas opciones poseen muchos m\u00e1s par\u00e1metros avanzados, pero que quedan bien documentados en la ayuda.<\/p>\n

Por ejemplo, una consulta avanzada DNS, permitir\u00e1 mostrar registros como SOA, A, AAAA(IPV6), NS, MX, CNAME, PTR, TXT. Aunque parezca complejo, esta informaci\u00f3n figura en muchos paneles de control de proveedores de servicios, cuando ofrecen la posibilidad de controlar las DNS parciales de cada servicio. Cada una posee un significado. Por ejemplo, si tocamos las MX estaremos cambiando el redirector de correo, etc, etc.<\/p>\n

Email Validate.<\/strong>
\nEsta herramienta, permite comprobar que la direcci\u00f3n de correo introducida es real y que el correo se puede enviar a ese buz\u00f3n. La herramienta contacta con la m\u00e1quina MX Mail Exchage o intercambiador de correo del dominio de la direcci\u00f3n y realiza un VRFY o test RCPT TO. Posee otros par\u00e1metros ajustables, como la autenticaci\u00f3n con password, validaciones en serie, Timeouts, tipos de test, etc.<\/p>\n

Finger.<\/strong><\/p>\n

La herramienta (\u201cDedo\u201d) proporciona una interfaz cliente para un finger servidor. Finger es un protocolo antiguo que puede todav\u00eda trabajar con algunos dominios, de manera particular con algunas instituciones educativas.<\/p>\n

IP To Country<\/strong><\/p>\n

Es una herramienta de mapeo que usa una base de datos local para encontrar r\u00e1pidamente que pa\u00eds ha asignado la IP. Posee 2 modos de funcionamiento, local y por lotes o batch.<\/p>\n

Ping<\/strong><\/p>\n

Este herramienta quiz\u00e1 sea de las mas conocidas. Pero desde NetScanTools el manejo es muy agradable y completamente parametrizable a nivel visual. Se pueden establecer los par\u00e1metros del control de la transmisi\u00f3n, como el tiempo entre paquetes, el timeout del paquete, n\u00famero de paquetes enviados, La longitud del paquete de datos, etc.<\/p>\n

Ping Sweep<\/strong><\/p>\n

El barrido Ping se usa para determinar la conectividad entre 2 dispositivos de red.\u00a0 Es necesario indicar la IP comienzo y la IP final. Veremos que Ips se encuentra vivas en un rango dado. Esp por ello que este tipo de herramienta, como la siguiente que voy a analizar, nos avisan antes de su ejecuci\u00f3n que puede ser tanto por el ISP como por el propietario acciones que signifiquen intromisi\u00f3n en sus sistema, que pueden ser logeadas y que la empresa Northwest Performance Software, Inc, no se hace responsable de las acciones realizadas por el usuario que emplea el programa. Este tipo de herramienta nos permite analizar qu\u00e9 maquinas est\u00e1n por ejemplo conectadas a la red.<\/p>\n

\"Aviso-legal\"<\/a><\/p>\n

Port Scanner.<\/strong><\/p>\n

El analizador de puertos es otra herramienta bastante potente, que puede ser empleada por hackers \u00e9ticos. Se usa para determinar que puertos se encuentran abiertos en una red. Los puertos corresponden con los servicios. Se suele limitar su acceso con cortafuegos. Permiten que una IP pueda ofrecer diferentes servicios ubicados en diversos puertos del 0 al 65535 (16 bits). Los puertos pueden ser TCP y UDP y podemos especificar el rango de actuaci\u00f3n.<\/p>\n

Real Time Black List Server<\/strong><\/p>\n

El servidor en tiempo real de lista negra o RBL es una herramienta de consulta de listas negras en tiempo real\u00a0 a trav\u00e9s de las DNS de los servidores de lista de una determinada IP o hostname. Los nombres de host se traducen a IPs en la consulta. Podremos comprobar que una IP se encuentra en una de estas listas. Existen m\u00e1s de 35 listas, pero puedes agregar m\u00e1s.<\/p>\n

Text Only Web Page Grabber<\/strong><\/p>\n

Mediante esta herramienta, podremos introducir una web. Navegaremos de forma segura y accederemos al texto de los servidores potencialmente hostiles. Solo se muestra el texto resultante en estado puro, ignorando cookies, im\u00e1genes, y no ejecutando scripts. Puedes usarlo para ver el HTML resultante y ver la informaci\u00f3n de las cabeceras que se ocultan en la mayor\u00eda de los navegadores web. Tambi\u00e9n puedes usar esta herramienta para descrifrar URLs oscurecidas.<\/p>\n

Traceroute<\/strong><\/p>\n

Es otra herramienta, junto con la siguiente, el whois, bastante empleada y conocida.
\nGracias a traceroute podremos mostrar la ruta de paquetes que est\u00e1n tomando desde la maquina origen (mi maquina) hacia la destino. Posee bastantes ajustes, que hacen que su uso sea muy agradable y visual. Es necesario volver a recalcar que gracias a este potente software que aglutina estas herramientas, no tendremos que recordar los par\u00e1metros empleados en los comandos si los ejecutamos desde una consola.<\/p>\n

Whois<\/strong><\/p>\n

Es una utilidad del lado del cliente\/usuario para acceder a los servidores de bases de datos de terceros para mostrar los registros de los dominios o IPs.<\/p>\n

\"whois\"<\/a><\/p>\n

Las empresas de registro emplean el whois para distribuir informaci\u00f3n del registro. NetScanTools LE tiene una funci\u00f3n ‘Habilitar Whois \u00a0de Selecci\u00f3n Autom\u00e1tica del Servidor’ que utiliza una base de datos para determinar qu\u00e9 servidor Whois va a utilizar en funci\u00f3n de la extensi\u00f3n del dominio o la direcci\u00f3n IP.<\/p>\n

Cuando se ejecuta una consulta Whois se obtendr\u00e1 \u00a0un conjunto de informaci\u00f3n que puede ser muy detallada, general o incluso sencilla. Si estamos ejecutando una consulta en un dominio, lo normal es devolver la informaci\u00f3n sobre la persona registrada, como el contacto administrativo, el contacto de facturaci\u00f3n, el contacto t\u00e9cnico y el servidor, nombre DNS primario y secundario para ese dominio. Salvo que posea protecci\u00f3n (algunos casos).<\/p>\n

Los solicitantes de registro de dominio hacen muchas cosas para proteger su privacidad, y esto incluye el uso de terceros para el registro “privacidad” para ocultar el registro. Las consultas de direcci\u00f3n IP \u00a0suelen mostrar las asignaciones a la empresa que se encarga de la direcci\u00f3n IP, a pesar de que con frecuencia asignan direcciones IP individuales a sus propios clientes.<\/p>\n

La informaci\u00f3n obtenida de los servidores whois est\u00e1 disponible al p\u00fablico y la exactitud de la informaci\u00f3n puede variar.<\/p>\n

Puedes establecer los valores por defecto para el Whois Server (por defecto networksolution.com), Whois para IPv4, para IPV6, etc. Como siempre este software para cada utilidad posee numerosas opciones de personalizaci\u00f3n.<\/p>\n

Al margen de las herramientas de uso manual. NetScanTool LE, tambi\u00e9n posee un analizador de paquetes<\/strong>.<\/p>\n

Posee un Sniffer o analizador de paquetes integrado. Esta utilidad permite capturar paquetes de red tipo IPV4, IPV6 y paquetes no basados en este protocolo como los paquetes ARP (f\u00edsico). La herramienta emplea WinPcap (www.winpcap.org<\/a>) para capturar los paquetes, pero se encuentra perfectamente integrado con la herramienta. Si WinPCap no se encuentra instalado o ejecut\u00e1ndose, no se podr\u00e1 usar esta caracter\u00edstica de an\u00e1lisis de tr\u00e1fico.<\/p>\n

El analizador captura paquetes tanto WIFI como cableada. Una vez que los paquetes han sido capturados, pueden ser analizados con un editor hexadecimal. Para capturar paquetes tendremos que seleccionar un interface disponible de una lista desplegable. Puedes crear filtros de captura. Filtrar por la actividad de la IP local, direcci\u00f3n IP, n\u00famero de puerto, tipo de protocolo. Puedes tambi\u00e9n ver las capturas realizadas con este analizador con el programa Wireshark<\/strong> si se encuentra instalado.<\/p>\n

\"Analizador-de-paquetes\"<\/a><\/p>\n

Puedes grabar las capturas en ficheros con extensi\u00f3n .cap.\u00a0 Genera un archivo .MD5 con un hash para asegurar que el archivo no ha sido alterado.<\/p>\n

El precio de la versi\u00f3n LE es de 69$, pero realmente merece la pena.<\/strong><\/p>\n

Si deseas muchas m\u00e1s opciones, la empresa americana Northwest Performance Software, Inc<\/a><\/strong> dispone de una versi\u00f3n mucho m\u00e1s avanzada todav\u00eda llamada Netscantools Pro<\/strong>.<\/p>\n

Puedes ver un cuadro comparativo, aqu\u00ed:<\/p>\n

http:\/\/www.netscantools.com\/nst_le_pro_feature_comparison.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

En esta entrada voy a hablaros de la herramienta NetScanTools LE. http:\/\/www.netscantools.com\/nst_le_main.html Es un software excelente para la gesti\u00f3n de la red. Posee muchas herramientas de recolecci\u00f3n de informaci\u00f3n de Internet esenciales para la aplicaci\u00f3n de la ley, an\u00e1lisis forense, administraci\u00f3n de sistemas IT, sysadmin, profesionales que empleen el protocolo TCP\/IP. El software se ejecuta sobre cualquier versi\u00f3n de Windows incluido el reciente Windows 10, y nos ofrece valiosa informaci\u00f3n. Podr\u00edas ejecutar el programa con un emulador como VMware Fusion o Parallels en MAC por ejemplo. Netscantools es bastante f\u00e1cil de usar y aprender. Se encuentra orientado a informes. Muchos resultados de los an\u00e1lisis se almacenan en una base de datos \u201cCASE\u201d \u00bfA qui\u00e9n va dirigido este software? Agentes de la autoridad. Fiscales tecnol\u00f3gicos. Forenses inform\u00e1ticos. Investigadores Consultores de seguridad. Ingenieros Inform\u00e1ticos. El software posee el premio de Finalista a los premios Innovaci\u00f3n del 2010.<\/p>\n","protected":false},"author":1,"featured_media":8303,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,50],"tags":[658,657,34],"class_list":["post-8302","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-redes","category-seguridad","tag-forense","tag-netscantool","tag-redes-2"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/8302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=8302"}],"version-history":[{"count":6,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/8302\/revisions"}],"predecessor-version":[{"id":8317,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/8302\/revisions\/8317"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/8303"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=8302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=8302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=8302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}