Tag Archives: sniffing

Una Introducción a Sniffing de Red

Muchas empresas creen que están a salvo mediante el uso de algunas herramientas antivirus inteligente para proteger sus equipos de backdoors como las herramientas de administración remota o keyloggers, es bueno utilizar algún antivirus inteligente o firewall, pero se debe tener en cuenta el sniffing como un problema de seguridad.

Existen muchas herramientas disponibles para diferentes sistemas operativos, incluyendo Windows y Linux, vamos a hablar de las herramientas mas adelante, pero en primer lugar es necesario describir que es “sniffing”.

Las herramientas de sniffing de red y los analizadores de paquetes generalmente son la misma cosa, el objetivo principal del “sniffing” es analizar los paquetes entrantes y salientes, hay que tener en cuenta que cuando nos conectamos a un servidor web o cualquier red (de computadoras) se esta enviando datos a través de una conexión ethernet (por cable) o inalámbrica en forma de paquetes, los datos que enviamos viajan en forma de paquetes.

Un paquete de datos contiene la Dirección IP fuente (emisor) y destino (receptor) y la dirección MAC y también contiene los datos que se van a enviar. Así que imaginemos que si alguien recibe este paquete, esta persona puede fácilmente saber lo que estamos enviando, un atacante puede fácilmente “sniffear” información confidencial (tarjeta de crédito, paypal, contraseñas, etc), por lo que el “sniffing” es un ataque importante que se debe considerar como una medida de seguridad.

Las grandes empresas y los servidores web utilizan una conexión segura para transmitir datos, por ejemplo, PayPal utiliza https:// en lugar de http:// por lo que los datos se viajan en forma encriptada. Aunque se este utilizando SSL, esto no significa que sus datos estén seguros siempre, hay maneras de crackear un canal seguro SSL.

Todo lo que dijimos anteriormente nos muestra que el “sniffing” no es algo bueno. sin embargo, esto no es totalmente cierto se le puede dar un uso positivo al sniffer, usándolo regularmente, cuyo objetivo sera mantener la red y el sistema funcionando normalmente.

  • Capturando paquetes
  • Registrando y analizando el trafico de red
  • Desencriptando paquetes y mostrándolos en texto plano
  • Convirtiendo datos a un formato legible
  • Mostrando información relevante como ser Dirección IP, Protocolo, nombre de un host o servidor, etc

Mientras que los usos negativos son claramente:

  • Capturar contraseñas, que son la razón principal para la mayoría de los usos ilegales de las herramientas de “sniffing”
  • Capturar información critica y privada de transacciones, como nombre de usuario, numero de cuenta bancaria, usuario y contraseña
  • Grabar y capturar EMail o mensajería instantánea (Chats, Messenger, GTalk, etc) y acumular el contenido

Las herramientas mas conocidas utilizadas para sniffing son:

  • Wireshark
  • Kismet (para wireless)
  • NetStumber (para wireless)
  • KisMAC (para wireless y MacOS X)
  • Ettercap
  • Tcpdump
  • Cain & Abel
  • etc

 

Utilizar Solaris 10 como sniffer de tráfico de red

Introducción

Monitorizar el tráfico de red es algo importante y aunque en este tema el rey es Ethereal (WireShark), puede que no nos interese instalarlo, o no podamos.

En Solaris se incluye un comando llamado <<snoop>> que nos permite poner nuestra tarjeta de red en modo promiscuo, guardarlo en un archivo y posteriormente procesarlo utilizando Wireshark en nuestro desktop.

Wireshark es capáz de interpretar las capturas generadas con el comando <<snoop>> de Solaris simplemente utilizando la extensión snoop en el archivo de captura.

Hay que tener en cuenta que no podemos poner un alias en modo promiscuo, sino el interface original, por eso si queremos hacerlo sobre una zona no-global y la tarjeta de red no está asignada como exclusive tendremos que hacerlo desde la zona global.

Vamos a ver cómo podemos capturar todo el tráfico de nuestro interface <<ce3>> y guardarlo en un archivo llamado <</tmp/output.snoop>> (para detener la captura pulsaremos CTRL+C).

# snoop -d ce3 -o /tmp/output.snoop
Using device /dev/ce3 (promiscuous mode)
1771 ^C

Una vez tengamos nuestro archivo, podemos tratarlo dentro de Wireshark de una forma sencilla.

Saludos,