Foros del Web » Administración de Sistemas » Seguridad y redes »

Detectando Sniffers en nuestra red.

Estas en el tema de Detectando Sniffers en nuestra red. en el foro de Seguridad y redes en Foros del Web. Vamos a tratar aquí la detección de sniffers en nuestra red desde el escenario más básico posible. Este escenarío sería una subred o red no ...
  #1 (permalink)  
Antiguo 05/02/2003, 10:37
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Detectando Sniffers en nuestra red (actualizado)

Vamos a tratar aquí la detección de sniffers en nuestra red desde el escenario más básico posible. Este escenarío sería una subred o red no conmutada.

En entornos Linux o UNIX la verificación de una interface en modo promiscuo se puede hacer usando ifconfig. Este programa configura la interface de red instalada en un determinado host y obtiene información de la configuración en el momento de ejecutar el programa. Cuando un adaptador de red se encuentra en modo promiscuo, ifconfig nos devuelve la siguiente información:

Código:
$ ifconfig -a 

eth0 Link Encap: 10Mbps Ethernet HWaddr: xx:xx:xx:xx:xx:xx 
inet addr: a.b.c.d Bcast: a.b.c.f Mask: m.m.m.m 
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 (OJO: Modo promiscuo). 
RX packets: 0 errors:0 dropped:0 overruns:0 
TX packets:0 errors:0 dropped:0 overruns:0 
Interrupt:15 Base Address:0x300
Este sistema no es infalible.

Existen programas que pueden hacer esta labor como:

cpm (Check Promiscuous Mode)

Este pequeño programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz de red de la máquina descubriendo si está siendo utilizado en modo promiscuo (escuchando todo el tráfico de la red).

Código:
$ cpm

4 network interfaces found:
eth0:5: Normal
eth0:3: Normal
eth0:2: Normal
eth0:1: Normal
eth0: *** IN PROMISCUOUS MODE ***
Esisten otros programas como Antisniff, Sentinel, ifstatus o NEPED:

Veamos como trabaja NEPED.

Tenemos que introducir la interface de red:

Código:
$ neped eth0
----------------------------------------------------------
> My HW Addr: 00:50:BF:1C:41:59
> My IP Addr: 192.168.0.1
> My NETMASK: 255.255.255.0
> My BROADCAST: 192.168.1.255
----------------------------------------------------------
Scanning ....
* Host 192.168.0.3, 00:C2:0F:64:05:FF **** Promiscuous mode detected !!!
End.
NEPED utiliza la técnica de realizar una simple petición ARP para cada una de las IPs de la red a diagnosticar, pero ojo, los paquetes no van destinados a broadcast (FF:FF:FF:FF:FF:FF), sino a una dirección aleatoria e inexistente. Sólo las interfaces en modo promiscuo verán estos paquetes, y de esta manera, sólo estas interfaces contestarán a estas peticiones.

Existe también un dispositivo de hardware llamado Tap. Este dispositivo permite conectarse a un Hub o incluso a un switch de red al cual conectáremos un dispositivo (ordenador) para monitorizar la red. Existen tipos de Taps para cada tipo de red Ethernet 10 Mbps, 100 Mbps y 1 Gbps.
Más información en www.netoptics.com

Otras formas de detectar posibles sniffers

- Detectar y controlar los logs que suelen generar los sniffers.

- Detectar y controlar las conexiones al exterior.

- Monitorizados los programas que acceden al dispositivo de red.

- Normalmente una interface en modo promiscuo, queda reflejada en el fichero de logs:
Código:
$ cat /var/log/messages
]

Esto es a grandes rasgos. espero que los usuarios de Linux del foro putualicen o corrigan lo que haga falta.

Para sistemas Windows exite también programas que detectan una interface en modo promíscuo.

PromiScan

"PromiScan (www.securityfriday.com) es una utilidad de distribución gratuita diseñada para dar caza a los nodos promiscuos en una LAN rápidamente y sin crear una carga pesada en la red. Hay que tener en cuenta que localizar un nodo promiscuo es una tarea ardua, y que en muchos casos el resultado es incierto; no obstante, PromiScan consigue mostrar cada uno de esos nodos de una manera transparente, claramente visible. Para usar PromiScan es necesario contar con Windows 2000 Professional y haber instalado previamente el controlador WinPcap, cuya versión más reciente se encuentra en netgroup-serv.polito.it/winpcap/."

http://www.securityfriday.com/ToolDo...scan_003.html.

PromiscDetect

Código:
C:\scan>promiscdetect

PromiscDetect 1.0 - (c) 2002, Arne Vidstrom ([email protected])
                  - http://ntsecurity.nu/toolbox/promiscdetect/

Adapter name:

 - NIC PCI 3Com EtherLink XL 10/100 PCI para administraci¾n completa del equipo
(3C905C-TX)

Active filter for the adapter:

 - Directed (capture packets directed to this computer)
 - Multicast (capture multicast packets for groups the computer is a member of)
 - Broadcast (capture broadcast packets)
 - Promiscuous (capture all packets on the network)

WARNING: Since this adapter is in promiscuous mode there could be a sniffer
         running on this computer! 
http://www.ntsecurity.nu/cgi-bin/dow...cdetect.exe.pl
http://ntsecurity.nu/downloads/promiscdetect.exe

ProDETECT 0.1 BETA

http://packetstormsecurity.org/Win/prosrc.zip


Otras técnicas de detección

Sólo por nombrarlas y que alguna de ellas son usadas por los programas anti-sniffers:

- Ping de latencia
- Test ARP
- Test DNS
- monitorización SNMP


Protegerse contra la acción de los sniffwers

A grandes rasgos para protegernos de los sniffers y para que estos no cumplan sus objetivos de olfateo de contraseñas y en general nos " lean datos sensibles" en texto plano, podemos hacer uso de diversas técnicas o utilizar sistemas como:

- PGP
- SSL
- SSH
- VPN, etc.

y en general el uso de sesiones encriptadas.

Otras consideraciones respecto a la protección contra sniffers pueden ser:

- evitar en lo posible las relaciones de confianza entre maquinas.

- uso de redes conmutadas.

- cambio periódico de claves de accesos y contraseñas.

- hacer copias periódicas de seguridad

A parte de estas consideraciones expongo aquí otras más generales sobre seguridad y no menos importantes;

- no tener activos servicios innecesarios que no usemos en nuestros sistemas.

- dotar a nuestros sistemas de las últimas actualizaciones en seguridad

- auditorias de seguridad

- uso de firewalls y antivirus

- uso de IDS.

- cuidar diseño de red y separar convenientemente la red interna de la externa

etc.




__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com

Última edición por Alfon; 14/03/2003 a las 02:21
  #2 (permalink)  
Antiguo 06/02/2003, 14:07
Avatar de Giondo  
Fecha de Ingreso: diciembre-2002
Ubicación: en algun lugar del mundo
Mensajes: 565
Antigüedad: 22 años
Puntos: 0
linda info !!!!

veo que te estas dedicando exclusivamente a la parte de seguridad !

eso me gusta ;)

salu2
__________________
Welcome to The Human Race
  #3 (permalink)  
Antiguo 11/02/2003, 11:05
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Historial de actualizaciones:

$ 11.02.03
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #4 (permalink)  
Antiguo 14/02/2003, 03:06
 
Fecha de Ingreso: diciembre-2002
Mensajes: 341
Antigüedad: 22 años
Puntos: 0
Joe, Alfon, te curras unos tutoriales.... Esta perfecto, simplemente reincidir en el hecho de que ningún método de detección de sniffers es 100% fiable.

UN saludo
__________________
guebs - alojamiento web y dominios
www.guebs.com
blog.guebs.com
  #5 (permalink)  
Antiguo 14/02/2003, 04:06
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Si, creo que lo digo en algún sitio del turorial. Hay varias técnicas para que un sniffer no sea detectado, por ejemplo troyanizar ifconfig y otras herramietas de diagnóstico.

Gracias. La verdad es que disfruto haciendo estas cosas, además aprendo una barbaridad, será por eso que lo intento currar un poco.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #6 (permalink)  
Antiguo 15/02/2003, 06:26
Avatar de Necros  
Fecha de Ingreso: enero-2002
Ubicación: Catalunya
Mensajes: 431
Antigüedad: 22 años, 10 meses
Puntos: 0
Yo creo que con el sólo hecho de dejar muda tu máquina a cualquier query q reciba, esta ya es indetectable al uso de un sniffer.. Con un sencillo FireWall intermedio sería suficiente ...

¿Q pensais?

Sssssssss El gran hermano nos vigila = Eso si que es un sniffer
__________________
By NeCrOS
FrEe WoRlD is FrEe CoDE
http://www.NeCrOS.com
  #7 (permalink)  
Antiguo 17/02/2003, 10:02
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Es complicado ya que este tipo de software, recordemos, que funciona en modo pasivo.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #8 (permalink)  
Antiguo 21/09/2004, 16:07
Avatar de V0rteZ  
Fecha de Ingreso: septiembre-2004
Ubicación: Barcelona, España
Mensajes: 141
Antigüedad: 20 años, 2 meses
Puntos: 0
Hola gente!,
Hace poco que estoy por este foro y la verdad es que os lo currais mucho, me atraen los temas de seguridad, seguid así!!

Para cuando un tutorial de Snort Alfon?? :D
__________________
"Conocer a los demás es sabiduría, conocerse a sí mismo es sabiduría superior" :cool:
  #9 (permalink)  
Antiguo 20/12/2006, 16:39
 
Fecha de Ingreso: abril-2006
Mensajes: 1.128
Antigüedad: 18 años, 7 meses
Puntos: 33
Re: Detectando Sniffers en nuestra red.

La mejor manera de evitar los abusos a nuestra red desde Internet
fundamentados en el sistema de conexion via MAC direcciones (ARP Poisonning)(Sniffing) de una red es:
Comprar un switch que este poniendo al dia las direcciones locales (MAC) en la red, enviando señales de conexion reales y hay switches 3comm que, aunque son algo caros, no permiten que un ordenador en una LAN tenga mas de una conexion MAC. Recordemos tambien que las conexiones que obtenemos haciendo un arp -a son esencialmente dinamicas y con el comando arp, tambien las podemos hacer estaticas, pero temporalmente.
Esto eliminaria completamente toda posibilidad de espiar nuestras conexiones externas, redirigiendolas a un ordenador externo haciendo uso de nuestras direcciones MAC.
Saludos
franco
  #10 (permalink)  
Antiguo 04/08/2007, 06:46
 
Fecha de Ingreso: agosto-2007
Mensajes: 3
Antigüedad: 17 años, 3 meses
Puntos: 0
Re: Detectando Sniffers en nuestra red.

Hola chicos de verdad me encanta la manera que os soltais sobre el tema de seguridad de redes pero la verdad sea dicha ninguna red puede tener el 100% de seguridad en cuanto a los ataques no obstante animo y seguid que no esta nada mal la opinion de todos
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:08.