TamoSoft: Network Analysis Tools & Security Software
Contents

NetResident Help Documentation

    Return to the main product page
 
Preguntas Frecuentes

En este capítulo puede encontrar respuestas a las preguntas más frecuentemente hechas. Las últimas preguntas frecuentes están disponibles siempre en http://www.tamos.com/products/netresident/faq.php.

P. Mi plugin HTTP no siempre muestra las páginas HTML correctamente. Por ejemplo, algunas imágenes no son mostradas ¿Por qué es así?

R. Una página HTML típica representa una colección de una docena de objetos independientes –códigos HTML, imágenes, estilos CSS, y demás. Un navegador solicita cada uno de estos objetos; sin embargo, la mayoría de estos objetos están en caché (guardados en el disco duro de la computadora para accesos futuros) y por lo tanto no requerido de la red cada vez que la página web es vista. NetResident no tiene acceso al cache del navegador; Por lo tanto no puede "ver" este objeto. No es un problema NetResident; siempre puede recargar la página Web en su navegador (necesita realizar una recarga completa, MSIE esto se logra pulsando en el botón actualizar mientras mantiene apretada la tecla Cambio (Shift). Esto permitirá a NetResident registrar y almacenar todos los elementos de la página Web.

P. ¿Cuál dirección IP o física (MAC)) debería usar para identificar una estación que deseo monitorear?

R. Si tiene activado DHCP en su computadora, cada computadora con una dirección física (MAC) exclusiva tiene asignada una dirección IP distinta para cada sesión. En este caso, debería identificar sus estaciones por las direcciones físicas (MAC). Esto hará que el programa asigne todos los eventos de red donde esté presente la dirección física (MAC) especificada a una estación en particular y evitar que la lista de estaciones se transforme en superpoblada. En algunos casos, podría encontrar una dirección física (MAC) distinta para cada host. Si tiene asignada una dirección IP estática a su adaptador de red y otras estaciones en su LAN, debería usar direcciones IP para identificar estaciones. Recomendamos usar alias para direcciones Físicas (MAC) e IP dado que hace el reconocimiento y el análisis de eventos de red mucho más fácil.

P. Cuando trato de importar archivos de registro de CommView o CommView para WiFi, no puedo mostrar los contenidos de algunos archivos. Creo que tengo todos los parámetros definidos correctamente en relación a vista y filtrado de eventos.

R. Es importante comprender que el procedimiento de importación tiene sus propios filtros y el mecanismo de muestra de contenido tiene sus propios filtros. Cuando está importando un archivo, el contenido fue posiblemente filtrado durante la fase de importación si aplicó filtros. Una vez que pasó la fase de importación, la aplicación usa los filtros de muestra para mostrar los contenidos. Hay una posibilidad que la aplicación esté configurada para mostrar solo los datos recolectados durante los dos últimos días, mientras que las sesiones contenidas en los registros estaban fuera del período de tiempo. Podría desear desactivar el filtro de muestra para hacer que la aplicación muestre los datos.

P. ¿Por qué el servicio NetResident insiste en iniciar si solo deseo revisar archivos LOG y no capturar datos actuales?

R. La base de datos es mantenida por el servicio. El GUI es simplemente una consola que "habla" con el servicio. Todo el procesamiento y filtrado de datos es realizado pro el servicio también, por lo que tiene que estar funcionando.

P. Tengo definido a NetResident para iniciar solo cuando la aplicación está funcionando, y no iniciar con Windows. Advertí que después de apagar NetResident, el proceso de servicio, "tfsnrs.exe" continua funcionando en el Administrador de Tareas. ¿Por qué continúa funcionando?

R. Correr el servicio y monitorear son cosas distintas. El servicio debe estar activo en todo momento para poder "hablar" con el GUI. Esto no significa que el servicio está capturando datos en todo momento. Captura datos solamente a pedido. En teoría, si la aplicación está configurada para capturar datos solo cuando está funcionando el GUI, Uno podría iniciar el servicio cuando el GUI inicia y se detiene cuando el GUI se detiene, pero iniciar el servicio es un poco lento y, lo más importante, no puede hacerse en forma remota, cuando el servicio y GUI están corriendo en máquinas distintas. Esto es algo que pensamos implementar en el futuro. El hecho que el servicio esté corriendo en segundo plano no debería preocupar porque cuando no está monitoreando la red no consume recursos de sistema en forma considerable.

P. ¿Podrían darme algunas mediciones de rendimiento cuando se está usando NetResident para monitorear una red fuertemente cargada?

R. El rendimiento del programa depende de la velocidad de la CPU y el tamaño de la RAM. Si usa las preferencias de monitoreo por defecto, por ejemplo cuando todos los plugins están habilitados y todos los puertos están siendo monitoreados, una PC Pentium4 de 3Ghz con 512 Mbytes de RAM puede monitorear un enlace de 100 Mbit utilizado totalmente. Para monitorear enlaces de red más rápidos, debería configurar filtrado por estación, limitar los puertos ha monitorear, y desactivar los plugins innecesarios. El rendimiento también depende del tipo de tráfico a monitorear, por lo que filtros adicionales deberían aplicarse solo si experimenta problemas de rendimiento.

P. Para algunas sesiones de chat de ICQ y AIM, uno de los números de Identificación de parte es mostrado como "no detectado". ¿Por qué no es detectado?

R. Esto sucede cuando una sesión de Chat ICQ o AIM (incluyendo la fase de autenticación) comienza antes que NetResident comience a capturar paquetes de red. Si la captura es iniciada en el medio de una sesión de Chat. La identificación a veces puede ser encontrada (dado que es encontrada en algunos paquetes de servicio, que son enviados intermitentemente), aunque esto no puede garantizarse.

P. ¿Puede su módulo VoIP usarse para registrar conversaciones Skype?

R. No, lo siento. Skype usa un fuerte cifrado; es imposible descifrar conversaciones Skype.

P. ¿Porqué NetResident no muestra la cantidad de datos transferidos en términos de bytes?

R. NetResident no siempre almacena los datos transferidos en su forma original. En cambio, los procesa para una presentación más conveniente. No es extraño para sesiones únicas de red que sean divididas en varios eventos separados, o varias sesiones de red a combinarse dentro de un evento. Además, algunos datos transferidos simplemente no están soportados para ser procesados por los plugins actuales de NetResident. Dicho eso, NetResident no puede y no está pensado para mostrar confiables datos estadísticos de red. Si está interesado en estadísticas de tráfico de red, podría desear otro producto TamoSoft, CommTraffic.

P. Use WireShark y advertí que no puede capturar más paquetes después que se ha instalado.

R. Hay un conflicto conocido entre WinPcap, el controlador usado en WireShark y muchos productos similares, y el controlador usado en NetResident. Hay una circunvención simple: Inicie la captura de paquetes con WireShark Antes de comenzar a capturar paquetes con NetResident. En este caso, ambos productos podrán capturar datos simultáneamente. Si comienza a capturar primero con NetResident, WinPcap fallará al capturar cualquier paquete por una razón desconocida por nosotros.