¿Cómo descubrir un sniffer en la red?

Cuando se trata de captura de contraseñas de dispositivos de telefonía y de transmisión de datos un sniffer localizado dentro de una red interna puede ser fácilmente encontrado tanto por otro sniffer, como por técnicas de monitoreo de paquetes y switches.

¿Cómo descubrir un sniffer en la red?

Entonces, un espía que se base en la captura de datos directa vía sniffer corre riesgos e ser descubierto, precisamente por otros sniffer.

Cuando un programa como el Ethereal es instalado por el departamento de TI, la implementación del sniffer posee, teóricamente, algunas ventajas en la relación con los sistemas de capturas de paquetes instalados por el usuario. En primer lugar, porque los administradores acostumbran a tener un mapa detallado de la red, además de estación y su usuario, como el trafico común en cada estación. En segundo lugar, en una red en la que los privilegios de administración se encuentran restringidos a los a los administradores, la implementación de un sniffer para detectar posibles sniffers para detectar posibles sniffers es simplificada por el hecho de que programas de monitoreo de trafico constituirá cosa rara en la red. Con esto, el administrador tendrá un blanco claro, que puede ser definido mediante el silogismo siguiente:

• No deberían existir programas de capturas de paquetes en la red;

• Yo mismo instale un sniffer para monitorear la existencia de esos programas en la red;

• Luego, todo lo que exista en ese sentido, salvo al sniffer de TI, debe ser considerado al menos sospechoso y será investigado.

Es claro que un espía puede instalar más de un sniffer en la red, aprovechándose de las vulnerabilidades de los sistemas operativos para apoderarse de maquinas que pasaran a funcionar como “zombis” del atacante, haciendo el trabajo sucio. En un escenario como ese (la famosa frase se divide en vencerás) no es mucho lo que se puede hacer, pues no hay cómo levantar sospechas simultaneas contra varios usuarios. De ser así las cosas, lo que vale es desconectar todos los sniffers y prepararse para que, de aquí en adelante, se realice un monitoreo efectivo.

Como utilizar el Ethereal para descubrir un Sniffer

1. Inicia el Ethereal y haz clic en el botón Start a new capture. En la ventana que se abre (Ethereal: capture Options), haz clic en el botón Capture files y selecciona el archivo que vas a utilizar para almacenar el resultado de la barredura de paquetes.

2. En la sección Name Resolution, selecciona la opción Enable network name resolution. De esta forma, el Ethereal nos muestra nombres de hots, además de sus direcciones IP, lo que produce dos resultados prácticos: facilita la identificación del os usuarios y no permite que el administrador sea engañado por trucos de spoofing, técnica en la que los paquetes de encabezamiento son falsificados, de forma tal que hacen que el flujo de datos de una máquina sean enviado como si perteneciese a otra interfaz de red, engañado incluso a los servicios de IP seguro (IPSes) mal configurados.

3. Presiona el botón Capture filter. En la ventana abierta, crearemos un filtro para capturar los paquetes de una interfaz específica. Para esto, ve hasta Properties y, en la línea Filter string y tecla la siguiente regla:

4. Host <dirección de IP que se desea monitorear>

Ejemplo:

1. Host 192.168.1.147

2. Haz clic en Save y en OK. Regresa a la pantalla Ethereal: Capture Options, haz clic en OK para iniciar la computadora. En una auditoria de sniffers y de trafico de la red, ese ejercicio debe ser realizado en periodos que varíen de 10 a15 minuto, en cada una de las direcciones presentes en la red no es necesario capturar paquetes de switches y enrutadores. Además, conviene repartir la captura de paquetes al menos durante tres días, para que los resultados puedan ser comprados, eliminando todas las dudas sobre la presencia de sniffers.

3. No es necesario terminar un proceso e captura para saber que algo está mal. Observa la pantalla de captura.

4. Puedes notar que, estadísticamente, la presencia de paquetes UDP, utilizados por diversos programas inofensivos, pero también por portscans, como el nmap y scans de vulnerabilidades cono el Nessus, corresponde a más del 50% del tráfico de la interfaz monitoreada. El protocolo ARP, utilizado en la resolución de direcciones y responsable por convertir direcciones IP en direcciones de nivel físico (MAC Address), también se encuentra en amplia escala: cerca del 30% del tráfico de la red pertenece a ese protocolo. Es un volumen muy alto, que merece ser investigado, sobre todo a causa de la utilización del ARP Spoofing (observa box para más detalles).

5. La utilización del protocolo TCP (emails, internet) es mínima: menos de 1% del tráfico total de la red. Esto nos hace pensar que el usuario, además de no poseer un sniffer, usa muy poco el e-mail y el internet. Lo que, en lugar de hacerlo inocente, lo vuelve sospechoso, ya que la disparidad entre el protocolo TCP y los demás paquete utilizados es muy grande.

ARP Spoofing

Esta técnica es una variación del IP spoofing, pues se vale del mismo tipo de vulnerabilidad. La diferencia está a cargo de los paquetes-blanco: en voz de falsificar los paquetes IP, falsificamos la dirección física de las interfaces de red o MAC Addresses. Los dispositivos como los switches, los enrutadores y gateways crean tablas de encaminamiento ARP en sus sistemas para facilitar la comunicación entre las maquinas y también para brindar seguridad en redes subdivididas por sectores de seguridad. Esas tablas son llamadas ARP cache, ya que guardan la MAC Address de cada interfaz que tenga contacto con el dispositivo centralizador, yendo a “buscar” las informaciones sobre cada dirección en su lista.

Un host que envía muchos paquetes ARP a la red puede ser un atacante que utiliza ARP Spooning. El atacante siempre da inicio a la ofensiva enviando un mapa con informaciones que salen del blanco hacia su supuesto destino, son enrutados hacia el host que realizo el ataque.

Pensándolo bien, podemos considerar el ARP Spooning un tipo de sniffer muy agresivo y limitado. Agresivo, pues todos los paquetes acaban por ser transferidos hacia un único sentido-dirección (la maquina del atacante). Limitado porque el proceso de transferencia puede durar poco – el ARP cache no permanece activo más que algunos minutos sin sustitución- y un tráfico tan grande de paquetes ARP, sobre todo hacia el switch, o directamente hacia una maquina de la red no suele pasar desapercibido, así como ocurre en nuestro caso.

El no va más de los sniffers.

El lector puede alegar que hemos descubierto muchas cosas, pero que no hemos determinado cuáles son los sniffers que están activos en la red. También puede aducir que el proceso presentado es muy lento. Incluso puede cuestionar que una búsqueda detallada, IP por IP, sea necesaria para documentar una auditoría de seguridad en busca e espías. Estamos de acuerdo en que el uso de Ethereal no siempre descubre al espía, sobre todo si este actúa rápidamente. Nadie con un mínimo de pericia, utiliza los sniffers día tras día, con la esperanza de sobrevivir impunemente a la cacería de contraseñas y mensajes de e-mail. Un espía “experimentado” sabe que tiene que conseguir lo que quiere bien rápido, aun más si la baraja que guarda bajo la manga es una herramienta tan “ruidosa” como un sniffer.

Es por eso que ahora vamos a presentar una herramienta que mezcla el remedio, detectar interfaces promiscuas trabajando en la red, probablemente capturando paquetes, con un veneno, incluso de la red, intentando confundirlas. Estamos hablando del PromiScan, software comercial que permite que una interfaz promiscua sea encontrada en menos de diez minutos. El programa puede ser encontrado en:

La versión 3.0, que utilizaremos aquí, es comercial y exige una clave de autenticación para ser 100% funcional; el programa funciona solamente en redes de escala 192.168.0/24 en su versión trial. Existe una versión gratuita, la 2.8, en la misma dirección, con menos funcionalidades, pero igualmente eficaz en la detección de interfaces promiscuas.

1. Después de descargar y realizar la instalación del programa, ábrelo (Inicio > Programas > SecurityFriday > Promiscan > Promiscan 3.0).

2. Haz clic en el menú Setup para iniciar la configuración del programa. En la sección Network I/F, selecciona la interfaz de red de la maquina que será usada como captadora de los paquetes. En IP Address, tecla la dirección IP de tu interfaz. En Scan Options, selecciona la opción Show All.

3. Como estamos hablando de redes Ethernet, elige esta opción en Ethernet (Mark O/X). el programa también puede descubrir sniffers en redes sin cables, con solamente seleccionar la opción IEEE (802.3 (Mark: o/x).

4. En la sección Scan Mode, elige las opciones List Mode, para listar todas las direcciones en orden numérico, y Cyclic Timer, para hacer la búsqueda continua de interfaces promiscuas.

5. En la selección Log ve a la línea Log File y escribe un camino para crear un archivo de almacenamiento del resultado de la búsqueda.

6. Haz clic en el botón Close. Presiona el botón start para iniciar el análisis. Observa que, además de las direcciones IP y MAC Address, también se obtiene el nombre del fabricante de la tarjeta.

7. Lo que nos interesa realmente son las marcas del programa relativas a cada interfaz. Si un determinado tipo de paquetes es marcado en la tabla del programa con el signo O, no hay indicios de que la interfaz esté en el modo promiscuo, al menos para dicho protocolo. Si, por el contrario, la interfaz trabaja en modo promiscuo, será representada por el signo X, con relación al protocolo en el que actúa capturando paquetes. Podemos observar una interfaz que actúa capturando paquetes en toda la red y en todos los protocolos y encabezamientos presentes.

8. Cuando nos enfrentamos a una maquina que actúa de modo sospechoso, el administrador solo tiene que hacer doble clic sobre la dirección listada para que el programa le muestre su identidad y el grupo de trabajo al cual la estación pertenece

Cuidado: recomendamos que la prueba se repita varias veces y que los logs sean analizados. Además, no se debe culpar a un usuario sin primero hacer una investigación meticulosa: es común que interfaces de red defectuosas presenten un comportamiento promiscuo sin conocimiento del usuario, hecho que debe ser verificado antes de cualquier acusación. Antes de tomar cualquier medida radical, cambia la interfaz de red en el silencio de la noche y, en los días siguientes, observa si la maquina del usuario continuo comportándose como un sniffer.

VANUATU_es_240x300

wiki_paraisos_fiscales_240x300



Advertencias de riesgo
Los puntos de vistas y opiniones expresadas en el sitio y están sujetas a cambios según las leyes, el mercado y otras condiciones. Las informaciones proporcionadas no constituyen un aviso legal y no se debe confiar en ellas como tales. Todos los materiales se han obtenido de fuentes que se consideran confiables, pero su precisión al momento de la lectura no es garantizada. No existe representación o garantía en cuanto a la exactitud actual ni la responsabilidad por las decisiones basadas en dicha información.

Caporaso & Partners Law Office
Via España 1280, Edificio Orion, Suite 7D
(Al lado de la estacion del metro de Via Argentina).
Panamá.

General: [email protected]

Teléfonos
Italia: +39 (06) 99335786
Panamá: +507 8339512
Estados Unidos: +1 (305) 3402627

SMS
Italia: +39 3399957837
Panamá: +507 68263130

Urgencias:
+507 8339512

Servicio al cliente desde
08:00 - 17:00 (Español, inglés e italiano)