Archivo del sitio

Debian: Instalar y configurar Wireshark

drivemeca-wireshark-logoDistro: GNU/Linux Debian “Wheezy” (7.2)

Wireshark es un analizador de protocolos muy importante, nos permite hacer el análisis de las tramas que corren por nuestra red, pero no solo nos permitirá ver el tráfico en vivo (o guardar las tramas para posterior análisis), si no que nos permitirá generar estadísticas, e inclusive, podreemos reensamblar flujos TCP, es una herramienta muy útil (y clásica) para administradores de red, al grado que hoy en día incluso existen libros completos y certificaciones del uso de la misma (Wireshark Certified Network Analyst).

Página Oficial: https://wireshark.org/

Pasos a seguir

Para instalar Wireshark en nuestro Debian, lo podremos hacer desde la terminal ya que el programa está disponible en los repositorios de Wheezy:

# su
# aptitude update
# aptitude install wireshark

Ok, ahora cabe hacer un señalamiento … cuando corremos Wireshark, es necesario tener permisos de administrador (root) para poder realizar la captura de paquetes, lo cual se logra al establecer nuestra la NIC (tarjeta de red, puede ser ethernet o wifi) en modo promiscuo. Podemos correr Wireshark desde la consola (aunque también se crea un enlace en eel menú de Aplicaciones > Internet):

# wireshark

Al correrlo por primera vez, es probable que nos encontremos con el siguiente error:

Running as user “root” and group “root”. This could be dangerous. If you’re running Wireshark this way in order to perform live capture, you may want to be aware that there is a better way documented at /usr/share/doc/wireshark-common/README.Debian

La razón es que correr un programa tan grande como lo es Wireshark, con permisos de root, no es una buena práctica y no es seguro. La solución la podemos encontrar si revisamos el manual al que nos enlaza el mensaje de error:

# pager /usr/share/doc/wireshark-common/README.Debian

La herramienta Wireshark en sí no es la que se encarga de hacer la captura de paquetes, lo hace a través de un programa aparte llamado dumpcap, el cual es un programa más ligero que Wireshark en sí.

———————

Método 1:

Entonces, la mejor práctica sería manejar permisos separados. Podemos ajustar ésta configuración ejecutando lo siguiente desde la terminal y como root:

# dpkg-reconfigure wireshark-common

Nos aparecerá un mensaje como el siguiente:

conf_paquetes

Seleccionamos <Sí> y tecleamos Enter, al hacer ésto se habrá creado el grupo de usuarios “wireshark”, el cual le brinda permisos de root a dumpcap, finalmente solo bastaría con asignar los usuarios que queramos puedan ejecutar Wireshark con éstos privilegios, para hacerlo desde la terminal ejecutamos:

# adduser wireshark nombreDeUsuario

ó

# usermod -a -G wireshark nombreDeUsuario

———————

Método 2:

Si queremos hacerlo un poco más manual (al final viene un enlace donde se analiza incluso un tercer método), podemos asignar los permisos y crear el grupo nosotros mismos, la idea es dar a dumpcap los permisos de root. Podemos hacer lo siguiente desde la terminal:

# groupadd wireshark

# usermod -a -G wireshark nombreDeUsuario

# chgrp wireshark /usr/bin/dumpcap

# chmod 4750 /usr/bin/dumpcap

Referencia: https://blog.wireshark.org/2010/02/running-wireshark-as-you/

———————

Una vez hechas éstas configuraciones, podemos correrlo como usuario normal ejecutando:

$ wireshark

Y listo, nuestro Wireshark ya está listo para utilizarse. Si queremos conocer nuestras interfaces de red, podemos ejecutar:

# ifconfig

Podríamos pasarle parámetros a Wireshark, por decir -i nos permitiría seleccionar la interfaz (tarjeta) que se utilizará para escuchar el tráfico, -k le indica a Wireshark que comience el escaneo inmediatamente y -f nos ayudaría a manejar filtros para el tráfico, digamos por decir, que queremos arrancar Wireshark en la interfaz wlan0 escuchando solamente el tráfico HTTP:

$ wireshark -i wlan0 -k -f "tcp port http"

wShar
Wireshark es una herramienta muy poderosa, en próximos posts espero escribir más sobre el uso de la misma. Por ahora dejaré el post hasta aquí 🙂

Anuncios