10 Herramientas esenciales de monitoreo de protocolo en 2023

En este artículo, hablaremos de la importancia del monitoreo de protocolos, los beneficios que puede aportar, qué buscar antes de seleccionar una herramienta y presentaremos algunas de las mejores opciones disponibles, con la esperanza de ayudarle a elegir la mejor para sus necesidades.

• Preguntas frecuentes sobre el monitoreo de protocolos
• Las mejores herramientas de monitoreo de protocolos disponibles

Desde la llegada del telégrafo eléctrico a principios del siglo XIX, las redes de comunicación han remodelado drásticamente nuestro mundo, acortado las distancias y convertido nuestro planeta en una “aldea global”. Han puesto todo el conocimiento de la humanidad al alcance de nuestra mano, han cambiado cómo (y desde dónde) trabajamos, y han permitido que el comercio entre países lejanos sea tan fácil como comprar en la tienda de tu barrio.

Por supuesto, esas valiosas redes tienen que mantenerse adecuadamente. Las empresas modernas se han vuelto tan dependientes de ellas que incluso una interrupción de una fracción de segundo puede causar miles de dólares en daños y afectar a millones de trabajadores y usuarios.

Ya hemos hablado de las muchas herramientas de monitoreo de red disponibles en el mercado que están a la altura de esta tarea. Sin embargo, a veces es necesario “profundizar” y monitorizar no la red, sino los protocolos de comunicación que definen cómo fluye la información entre sus hosts, para diagnosticar un problema, ajustar el rendimiento o incluso descubrir (y seguir) pistas en una investigación criminal. Para ello se necesitan herramientas de monitoreo de protocolos. Y de nuevo, hay muchas opciones disponibles.

Preguntas frecuentes sobre el monitoreo de protocolos

¿Qué son las herramientas de monitoreo de protocolos?

La transmisión de datos entre los miembros de una red se realiza mediante protocolos de comunicación que determinan un conjunto de reglas sobre cómo debe representarse la información, el formato de los mensajes, el comportamiento cuando se producen errores, etc.

Algunos ejemplos son el protocolo TCP utilizado en las redes TCP/IP, el protocolo HTTP para la comunicación entre servidores web y clientes (navegadores web), el protocolo FTP para la transferencia de archivos, protocolos VoIP como SIP para llamadas telefónicas a través de Internet, y muchos más.

Las herramientas de monitoreo de protocolos son las que pueden capturar, decodificar y analizar la información enviada utilizando estos protocolos de comunicación, dándole información valiosa que puede ser utilizada para resolver problemas de comunicación, mejorar el rendimiento de la red, o incluso ser utilizada para el análisis forense, ayudando en la solución de delitos como ciberataques y robo de datos.

Estas herramientas pueden ir desde las muy específicas, con un conjunto de funciones orientadas a un protocolo, hasta las que soportan cientos o miles de protocolos y casos de uso diferentes. Muchas intentan ser soluciones universales, pero cuál es la “mejor” para usted depende de sus requisitos específicos.

¿Por qué invertir en monitoreo de protocolos?

Hay muchas razones para invertir en el monitoreo de protocolos. He aquí cinco de ellas, sin ningún orden en particular.

1. 1. Optimización del rendimiento: el monitoreo continuo puede ayudarle a detectar problemas e identificar oportunidades de optimización que mejoren el rendimiento de su red, a veces sin necesidad de actualizaciones.

2. 2. Seguridad: La supervisión le permite identificar los primeros signos de comportamiento inusual o patrones indicativos de un intento de intrusión y de un ataque en curso. Esto le dará tiempo para reaccionar y desplegar contramedidas antes de que se produzca una violación de datos.

3. 3. Asignación de recursos: descubra dónde se están infrautilizando o sobreutilizando los recursos, lo que le permitirá redistribuirlos en función de las necesidades reales para garantizar el uso más eficaz de sus sistemas.

4. 4. Mantenimiento proactivo: el monitoreo le permite detectar y solucionar problemas potenciales antes de que se vuelvan críticos y provoquen interrupciones que puedan afectar el rendimiento de sus aplicaciones o incluso la rentabilidad de su negocio.

5. 5. Cumplimiento de la normativa: las empresas que manejan información sensible, como datos financieros o sanitarios, deben cumplir estrictas normas reglamentarias que especifican cómo se almacena y maneja esta información. El monitoreo le permitirá demostrar el cumplimiento de estas normas y obtener aprobaciones que pueden ser cruciales para mantener su negocio en funcionamiento.

¿Qué hay que considerar al elegir una herramienta de monitoreo de protocolos?

A grandes rasgos, hay 5 características principales que debes tener en cuenta a la hora de elegir una herramienta de monitoreo de protocolos. Tenga en cuenta que esto puede variar en función de sus necesidades específicas.

• 1. La capacidad de monitorear muchos aspectos de sus conexiones de red y protocolos a la vez.
• 2. Una visualización centralizada de la información procedente de muchos sensores para una mejor observabilidad.
• 3. Alertas personalizables y notificaciones automáticas cuando se activan las alertas.
• 4. Funciones de elaboración de informes nativas y automatizadas, para que pueda mantener a sus compañeros de trabajo y a la dirección “al tanto”.
• 5. Un periodo de prueba gratuito, para que pueda comprobar cómo funciona la herramienta con su infraestructura de red.

¿Cómo hacer el monitoreo de protocolos?

Existen muchas herramientas de monitoreo de protocolos, de otros tantos proveedores diferentes, que pueden centrarse únicamente en un único aspecto de la tarea u ofrecer esta capacidad como un subconjunto de una gama más amplia de funciones. A continuación presentamos algunas de ellas, sin ningún orden en particular.

Las mejores herramientas de monitoreo de protocolos

PRTG

PRTG viene con más de 250 sensores incorporados para diversas tareas, tipos de dispositivos y casos de uso. Le resultará difícil encontrar algo que no pueda supervisar. Además, le permite mezclar y combinar sensores e incluso implementar sensores personalizados para crear soluciones de supervisión específicas para sus necesidades.

Hay muchos sensores incorporados que se pueden utilizar para el monitoreo de protocolos y análisis de tráfico, utilizando protocolos de exportación de paquetes como Netflow, sFlow, jFlow o IPFIX. También puede desplegar el sensor Packet Sniffer, para monitorizar las cabeceras de los paquetes de datos que pasan por una tarjeta de red local.

Independientemente del sensor utilizado, la información recopilada por PRTG se muestra en un panel centralizado con todas las métricas relevantes. Puede establecer alertas basadas en valores umbral, con notificaciones enviadas por texto (SMS) o correo electrónico si se superan esos valores. También hay una función de generación automática de informes, para que pueda mantener informados a la dirección y a los compañeros de trabajo.

PRTG funciona en Windows Server 2012 R2, 2016, 2019, 2022 o Windows 11. Hay una versión de prueba gratuita de 30 días con todas las funciones disponibles (sin necesidad de tarjeta de crédito).

SolarWinds Network Performance Monitor

La herramienta de inspección profunda de paquetes integrada en SolarWinds Network Performance Monitor (NPM) afirma ser capaz de analizar más de “1.200 aplicaciones nada más sacarla de la caja”, entre ellas Skype, SQL Server y Facebook. Al medir la latencia de la ruta de red, es decir, el tiempo que tarda un paquete en viajar del emisor al receptor, puede ayudar a los administradores a determinar la causa de las ralentizaciones y señalar las aplicaciones afectadas incluso antes de que los usuarios empiecen a notar el impacto.

Esta información, junto con metadatos extraídos de sensores de servidores físicos y virtuales, se utiliza para calcular un índice de “calidad de la experiencia” que representa “una evaluación real del impacto actual en el usuario final”. Y como la herramienta se basa en estos metadatos en lugar de en paquetes de red almacenados, requiere menos espacio en sus bases de datos.

La herramienta de análisis de paquetes puede clasificar el tráfico de red basándose en datos como las direcciones IP de destino, los puertos utilizados y los volúmenes de tráfico para determinar un nivel de riesgo. También puede descubrir niveles excesivos de tráfico no comercial y ayudar a gestionar la capacidad identificando el tráfico hacia servidores o aplicaciones específicos.

SolarWinds NPM se puede implementar en la nube (en Amazon Web Services, Azure o Google Cloud) o en las instalaciones. Para una implementación en las instalaciones, necesitará Windows Server 2016, 2019 o 2022. Hay disponible una versión de prueba gratuita de 30 días.

Azure Network Watcher

Azure Network Watcher está orientado a quienes ya han adoptado las soluciones IaaS (infraestructura como servicio) de Microsoft, incluidas máquinas virtuales (VM), redes virtuales y mucho más. Ofrece una función de captura de paquetes que puede activarse configurando alertas, lo que le da acceso a información sobre el rendimiento de su infraestructura en tiempo real.

La función de monitoreo de la conexión puede monitorear la comunicación entre una máquina virtual y un punto final y alertar sobre la accesibilidad, latencia y cambios en la topología de la red. También puede proporcionar la latencia mínima, media y máxima observada en la conexión a lo largo del tiempo, ayudándole a tomar medidas para mejorar los tiempos de respuesta, como mover sus recursos a una región diferente. 

LEYENDA: Establecimiento de una condición de alerta en Azure Network Watcher

Con los registros de flujo de red (Network Flow Logs), los administradores pueden comprender mejor los patrones de tráfico de la red, lo que puede ser útil para la auditoría, el cumplimiento y el monitoreo de la seguridad de la red. La herramienta también puede generar mapas de topología de red que muestran todos los recursos de la red y la relación entre ellos.

Azure IoT Hub es SaaS (Software as a Service), con precios basados en niveles de uso y que varían según la región geográfica. Hay disponible un plan gratuito, que incluye hasta 5 GB de datos de registro recopilados y 1.000 comprobaciones de diagnóstico de red al mes.

NetworkMiner

NetworkMiner es una herramienta forense de red muy popular entre los equipos de respuesta a incidentes y las fuerzas de seguridad, diseñada para “extraer artefactos, como archivos, imágenes, correos electrónicos y contraseñas, del tráfico de red capturado”, como los archivos PCAP (Packet Capture).

Puede utilizarse para husmear en una interfaz de red y capturar (y analizar) tráfico de red en directo, así como para capturar y mostrar credenciales de usuario (nombres de usuario y contraseñas) en protocolos compatibles y servicios populares como Gmail y Facebook. No solo eso, sino que también es posible buscar en los datos almacenados patrones específicos de cadenas o bytes.

LEYENDA: La interfaz principal de NetworkMiner.

Dado que cada dirección IP encontrada en el tráfico de red se añade automáticamente a un Inventario de hosts de red, esta herramienta también se puede utilizar para el descubrimiento pasivo de activos, o para generar una lista de dispositivos en su red que se están comunicando.

NetworkMiner es una herramienta de código abierto diseñada para ejecutarse en Windows, pero también puede utilizarse en Linux con la ayuda de Mono, un framework .NET de código abierto. Puede ejecutarse desde medios extraíbles, como una unidad flash USB, sin necesidad de instalar nada en la máquina que se está analizando.

Hay dos versiones disponibles, gratuita y profesional, y la profesional ofrece una serie de funciones adicionales, como la captura y reproducción de audio en llamadas VoIP y la creación de scripts de línea de comandos.

Omnipeek Network Protocol Analyzer

Puede analizar el tráfico de conexiones Ethernet u 802.11 (inalámbricas) y realizar capturas de datos en directo a medida que viajan por la red, incluida la captura de datos de varios canales inalámbricos simultáneamente. Los datos de los paquetes pueden agruparse en flujos (pares de conversaciones) y visualizarse en pantallas gráficas.

LEYENDA: El panel del Compass en Omnipeek.

Las llamadas VoIP y de vídeo se pueden monitorear y analizar en tiempo real, con la posibilidad de reproducir llamadas grabadas. Otras funciones son el análisis en tiempo real de los problemas de red más comunes, lo que acelera el tiempo medio de resolución (MTTR), y un sistema de alerta configurable que hace sonar la alarma cuando se infringen los umbrales o las políticas de red.

Omnipeek requiere un adaptador de red o inalámbrico compatible y Windows Server (2008 R2 64-Bit, 2012, 2012 R2, 2016 o 2019), versiones de 64-Bit de Windows 7 u 8.1, Windows 10 o Windows 11. Hay disponible una evaluación gratuita de 5 días.

Splunk

Splunk es una plataforma de seguridad y observabilidad que puede utilizarse para la detección de amenazas, modernización de aplicaciones, investigación de incidentes, análisis forense digital y mucho más. Es modular, con muchas aplicaciones que amplían sus capacidades disponibles en un catálogo en línea llamado Splunkbase.

Cuando se combinan, las aplicaciones Splunk App for Stream, Splunk Add-on for Stream Forwarders y Splunk Add-on for Stream Wire Data se convierten en una solución de recopilación y análisis de datos cableados. Puede “capturar pasivamente paquetes, detectar dinámicamente aplicaciones, analizar protocolos y enviar metadatos a su entorno Splunk para más de 30 protocolos y 300 aplicaciones comerciales”.

LEYENDA: Visión general de los análisis en Splunk App for Stream.

Los archivos PCAP se pueden ingerir en tiempo real o bajo demanda, y los datos de paquetes sin procesar se pueden dirigir a un NAS para su almacenamiento y posterior análisis, con soporte para registros de flujo en formatos como Netflow (v5 y v9), jFlow, sFlow e IPFIX. Se pueden extraer archivos de los datos de red y almacenarlos para su análisis forense, e incluso se pueden interceptar y analizar sentencias SQL.

Las aplicaciones requieren Splunk Enterprise, Splunk Cloud Platform versión 9.0, 8.2, 8.1 u 8.0, y Common Information Model (CIM) versión 3.x o 4.x. Splunk en sí puede ejecutarse en la nube o en las instalaciones, donde requiere una versión de 64 bits de Linux (en x86), AIX, ARM Linux, FreeBSD (x86_64), Solaris (x86_64 o SPARC) o macOS (Intel o M1). Hay disponible una versión de evaluación gratuita de 14 días.

Snort

Desarrollada por Cisco Systems, Snort es una herramienta de código abierto que puede utilizarse como rastreador de paquetes, registrador de paquetes o sistema de prevención de intrusiones (IPS). Utiliza conjuntos de reglas para analizar paquetes, detectar actividad maliciosa en la red y alertar a los usuarios.

Dichas reglas se dividen en dos conjuntos: un “Conjunto de reglas de la comunidad”, desarrollado por la comunidad de usuarios, y un “Conjunto de reglas del suscriptor” desarrollado, probado y aprobado por Cisco Talos. Los usuarios también pueden escribir reglas de detección personalizadas que pueden aplicarse a puertos, direcciones IP o protocolos específicos.

LEYENDA: Snort es una herramienta de línea de comandos, pero existen interfaces gráficas de terceros, como Snowl.

Snort puede compilarse a partir del código fuente o instalarse desde binarios pre compilados, disponibles para Windows y distribuciones de Linux como CentOS y Red Hat Enterprise Linux (RHEL). Hay dos tipos de licencias: Personal para “estudiantes y redes domésticas” y Business, con diferentes conjuntos de características y precios.

Capsa Portable Network Analyzer

Capsa Portable Network Analyzer es una herramienta que puede capturar y analizar paquetes de datos en redes cableadas o inalámbricas (802.11a/b/g/n). Es compatible con más de 1.800 protocolos de red y puede realizar análisis de flujo TCP, decodificación de paquetes en profundidad, análisis de VoIP y mucho más.

También es útil como herramienta de seguridad, ya que puede detectar ataques distribuidos de denegación de servicio (DDoS), actividad de worms, ataques ARP, escaneo de portales TCP y “conversaciones” sospechosas en su red, y es capaz de localizar tanto el origen como el destino de una conexión en tiempo real.

Esta herramienta también puede capturar paquetes en tiempo real, almacenar correo electrónico y tráfico de mensajería instantánea para su posterior análisis, y registrar estadísticas completas de cada host de la red. Toda esta información se muestra en un panel general que “permite ver las estadísticas de la red de un solo vistazo”.

Capsa funciona en versiones de 64 bits de Windows (7 SP1, 8.1, 10 u 11) o Windows Server (2012, 2012 R2, 2016 o 2019) y está disponible como descarga gratuita o como edición Enterprise, con una evaluación gratuita de 30 días disponible.

Wireshark

Puede realizar capturas en directo de Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI y otros, o realizar análisis fuera de línea de los datos capturados en muchos formatos. Los archivos de captura comprimidos se pueden descomprimir sobre la marcha, y los datos se pueden explorar en una interfaz gráfica estándar de tres paneles o con una utilidad de línea de comandos.

LEYENDA: La ventana principal de Wireshark muestra una lista de paquetes capturados y detalles de los mismos.

Los potentes filtros de visualización (con soporte para más de 285.000 campos en 3.000 protocolos) con reglas de coloreado permiten un análisis rápido e intuitivo de los datos. Los resultados pueden exportarse a muchos formatos, como XML, PostScript, CSV o texto sin formato.

Wireshark es de uso gratuito, incluso en entornos comerciales. Existen paquetes binarios pre compilados para Windows (en procesadores Intel) y macOS (tanto ARM como Intel), pero también se puede compilar a partir del código fuente en sistemas operativos como Linux, FreeBSD, NetBSD y otros.

ManageEngine OpManager

ManageEngine OpManager es un sistema completo de monitoreo de redes. El módulo de gestión de red puede monitorizar la disponibilidad de los dispositivos, el rendimiento de la WAN, los errores y descartes (que pueden indicar un problema con un conmutador de red o un dispositivo que interactúa con él) y realizar análisis de tráfico mediante NetFlow, jFlow, sFlow e IPFIX.

OpManager es capaz de realizar un Procesamiento Inteligente de Eventos, correlacionar eventos de red sin procesar y filtrar los no deseados. Se pueden enviar notificaciones por SMS o correo electrónico siempre que se active una alarma, y también es posible ejecutar automáticamente un programa o script externo.

La información recopilada por esta herramienta se presenta en cuadros de mando personalizables con diversas opciones de visualización. Cada usuario puede elegir widgets y personalizar su cuadro de mandos en función de sus necesidades específicas.

ManageEngine OpManager está disponible para Windows (Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019, 2022) o Linux (Red Hat versión 7 a 8.4 / CentOS Stream 8/ CentOS 7 a 8.5). También hay clientes móviles para Android e iOS, para que pueda llevar su monitorización a todas partes. Hay disponible una prueba gratuita de 30 días.

Conclusión

Entre todas ellas, nuestra herramienta de monitoreo de protocolos favorita es Paessler PRTG. Los sensores incorporados cubren muchos de los principales casos de uso, sin necesidad de comprar extras. También es extensible, lo que significa que puede implementar sensores de terceros, o incluso desarrollar los suyos propios, para cubrir necesidades específicas.

Y PRTG puede utilizarse para el monitoreo de protocolos, pero también para monitorear su red, servicios, servidores, dispositivos IoT, infraestructura en la nube, bases de datos y mucho más. Esto le permite supervisar toda su infraestructura con una sola herramienta, sin tener que depender de una variedad de soluciones individualizadas, que pueden conllevar riesgos potenciales como conflictos con su flujo de trabajo actual e incluso problemas de seguridad de la red.