[HACK] RE: [HACK] Cómo Combatir un Sniffer en la Red.
Nuno Treez
nunotreez at akrata.org
Thu Jan 24 12:05:43 CET 2002
-----Mensaje original-----
De: hacking-admin at argo.es [mailto:hacking-admin at argo.es]En nombre de
Nobu Yamazaki
Enviado el: miércoles, 23 de enero de 2002 14:16
Para: hacking at argo.es
Asunto: [HACK] Cómo Combatir un Sniffer en la Red.
> Sé que uno de los usuarios está esnifando la red.
Porqué lo sabes? Fugas de datos?
> ¿Qué medidas se pueden tomar aquí (antes de entrar con un hacha o un
> imán?
Entre unas cuentas frases de IRC y quotes de mail de Jesús Cea, tengo
una grabada: "La criptografía es tu amiga". POP+SSL, HTTPS, SSH... son
implementaciones que dejan KO un posible "husmeo en la red"
Si implementeas un protocolo con servicio L/P (Login y Password), leches,
implementa criptografía! No eres un administrador?
El sniffer es una herramienta de red que se utiliza originalmente para
depurar los problemas de red (detectar colisiones y pérdidas de datos).
Estos programas detectan y capturan los paquetes que fluyen por la red
y los capturan para su análisis. Esto puede provocar que un intruso de
nivel local obtenga las contraseñas de red y/o datos sensibles.
La solución para este tipo de problemas es la migración de la clásica
red Ethernet Compartida a una red Conmutada, que coloca básicamente a
cada host en su propio dominio de colisión, de forma que sólo el trafico
destinado a un ordenador específico alcanza la NIC.
Una ventaja de este tipo de red es su mayor rendimiento, su escalabilidad
y la desaparición de las colisiones de datagramas que tanto ralentizan el
funcionamiento de la red.
Si usas hubs, cámbialos por switchs, si te dicen que no hay presupuesto que
te lo digan por escrito, luego estarás libre de culpa en caso de problemas
por figas de datos.
> 1.- De momento se le puede detectar pq pone la tarjeta en modo promisc.
Porqué lo sabes? No entiendo, sabes quien es o no? si lo detectas cómo lo
detectas? Remotamente? Localmente?
> ¿existe alguna herramienta que haga un log de las veces que se pone en
> modo promiscuo?
Si usa Linux, el kernel lo dice, salvo que le hayas dicho al syslog que
no lo haga. No dispongo de esos datos en NT.
> 2.- Cuando se hace un IP Aliasing, tengo entendido que las tarjetas tb.
> se ponen en modo promiscuo, ¿se puede diferenciar un caso del otro?
uh? No mezcles churras con merinas, dile al que te lo dijo que lea antes
de decirte tonterias.
> 3.- He encontrado en Internet, un patch que aplicado al kernel hace (al
> menos eso pone), que el equipo esnife sin poner la tarjeta en modo
> promiscuo. ¿Hay alguna manera de detectar esto?
Todo equipo puede snifar sin ser en modo promiscuo, lo unico que solo guarda
lo que viene a su IP (o IPS)
Existen módulos de kernel que ponen la tarjeta de red con el flag de
promiscuidad activado y no sale en el kernel, ees difícil de detectar, no
imposible, deberías buscar docuemntación. Sería eso lo que dices?
> 4.- Estaba pensando en una solución un poco "macarra"; enviar paquetes
> falsos de los servicios que más le puedan interesar (seguramente
> HTTP-SMTP-POP-TELNET), aplicando IP-Spoofing, para que tenga tal
> cantidad de paquetes que no pueda filtrar los correctos de los
in> correctos. ¿Existe alguna aplicación al respecto?
Todo sniffer por definición, al escuchar datos, se convierte en un blanco de
una posible denegación de servicio, un desbordamiento... etc, etc
> 5.- Qué herramienta os gusta más para "monitorizar" el tráfico de red.
> Anchos de banda, servicios, etc. Y si puede ser en modo consola mejor.
A mi iptraf, pero sin duda ntop, también tienes mrtg, dependiendo de lo que
necesites.
Deberías buscar un poco mas por Internet antes de postear ;)
PD: Desde que he vuelto a postear en esta lista, ha habido gente que me
escribe en el IRC por query pidiendo ayuda para ser 'hacker'. Por favor,
las dudas al mail que uso en esta lista de correo, gracias. No respondo a
las tonterias por IRC, ya me llega con las que escribo.
--
Francisco Sáa Muñoz :: Nuno Treez \(HLP\)
Security Consultant / Tiger Team
IP6 Seguridad http://www.ip6seguridad.com
--
Linux User #119288
Proud mame.dk user #115087
--
PGP fingerprint
CCE8 A53C 4DA7 12F5 D914 F435 53E8 CB56 7223 12F7
--
<jcea> deberías utilizar tu talento de una forma mas "creativa" (1999)
--
More information about the hacking
mailing list