Aprende a Mirar Dentro de La Red Con Un

Please download to get full document.

View again

of 7
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Categories
Published
Description:
  Aprende a mirar dentro de la red con un Sniffer SNIFFING Quien no ha leído un comic que alguna vez habrá observado que, cuando se quiere representar a alguno de los personajes llorando o sollozando, se utiliza la palabra inglesa snif. Durante muchos años pensé que esa palabra significaba llorar pero al cabo de un tiempo me enteré de que su verdadero significado era algo así como absorber. Un sniffer es un programa que absorbe o captura datos de la red. Todo lo que pasa por delante de sus narices lo absorbe y lo almacena para su análisis posterior. De esta forma, sin poseer acceso a ningún sistema de la red, se puede obtener información, claves de acceso o incluso mensajes de correo electrónico en el que se envían estas claves. La forma más habitual de sniffing, probablemente porque está al alcance de cualquiera, es la que podríamos llamar sniffing por software, utilizando un programa que captura la información de la red. También es posible hacer lo que podríamos llamar sniffing hardware, que pasaría por conectar en un cable de red un dispositivo que permita capturar el tráfico. Con relación a este último tipo, la expresión conectar el cable de red es una expresión general que incluye el propio hecho de conectar un dispositivo a un cable de la red pero también incluye, por ejemplo, un receptor de radio que se sitúa en medio de un radio enlace. Como puedes imaginar, este tipo de técnicas requiere de unos conocimientos de electrónica adicionales muy importantes. En este artículo vamos a tratar lo que hemos llamado sniffers software, ya que existe una gran cantidad de ellos y el lector podrá probarlos, detectarlos y eliminarlos en su propia casa sin necesidad de molestar a nadie. IDEA GENERAL Como acabamos de decir, un sniffer captura todos los paquetes que pasan por delante de la PC en la que está instalado. Esto quiere decir que un sniffer no es un objeto mágico que una vez lanzado puede ver todo lo que sucede en la red. Dicho de otra forma, un usuario que se conecte a Internet vía módem e instale un sniffer en su máquina sólo podrá capturar los paquetes de información que salgan o lleguen a su máquina. El entorno en el que suele ser más efectivo este tipo de programas es en una Red de Área Local (LAN), montada con la topología tipo bus. En este tipo de redes todas las máquinas están conectadas a un mismo cable, que recibe el nombre de bus, y por lo tanto, todo el tráfico transmitido y recibido por todas las máquinas que pertenecen a esa red local pasa por ese cable compartido, lo que en la terminología de redes se conoce como el medio común. El Hub o concentrador opera igual que un cable bus.  El otro entorno natural de los sniffers es una máquina víctima. En este caso, es necesario tener acceso a la máquina victima para instalar el programa y el objetivo perseguido aquí es robar información que permita el acceso a otras máquinas, a las que habitualmente se accede desde esa máquina víctima. Los sniffers funcionan por una sencilla razón: muchos de los protocolos de acceso remoto a las máquinas se transmiten las claves de acceso como texto plano, y por lo tanto, capturando la información que se transmite por la red se puede obtener este tipo de información y el acceso ilegítimo a una determinada máquina. REDES DE AREA LOCAL Como acabamos de comentar, uno de los entornos naturales para un sniffer es una LAN con topología de bus. Las redes más comunes de este tipo son las conocidas como buses Ethernet. Estas redes están formadas por una serie de computadoras, cada una de ellas equipada con una tarjeta de red Ethernet y conectadas a través de un Hub o concentrador. Cada vez que una máquina de la LAN desea transmitir un dato lo hace a través del hub que están conectadas todas las máquinas, por lo que todas tienen la posibilidad de ver los datos que se están transmitiendo, aunque en condiciones normales esto no sucede. Las tarjetas de red Ethernet están construidas de tal forma que, en su modo normal de operación, sólo capturan los paquetes de datos que van dirigidos hacia ellas, ignorando la información cuyo destino es otra máquina. Lo que esto significa es que, en condiciones normales, el tráfico que circula por el hub no puede ser capturado y es necesario activar un modo especial de funcionamiento de la tarjeta conocido como modo promiscuo. En este modo, la tarjeta de red captura todos los paquetes que pasan por el hub en el que está conectada y éste es el modo de operación que un sniffer necesita para llevar a cabo su finalidad. MODO PROMISCUO  Como adelantábamos en la sección anterior, cuando la tarjeta o adaptador de red se configura en modo promiscuo, captura todos los paquetes que pasan por delante de él. La forma más inmediata de saber si un determinado adaptador de red está en un modo promiscuo es utilizar el programa ifconfig. Este programa permite configurar los adaptadores de red instalado en una determinada máquina y obtener información de esa configuración. Cuando un adaptador de red se encuentra en modo promiscuo, ifconfig nos informa de ello. Un intruso que rompa un sistema e instale un sniffer en él sustituirá este programa por una versión modificada, de tal forma que no muestre el estado en modo promiscuo de la interfaz de red.  Como veíamos en ese mismo artículo, para evitar esto podemos utilizar versiones del programa limpias, por ejemplo, algunas que hayamos grabado en un disco justo después de instalar el sistema, o utilizar herramientas propias para identificar este tipo de situaciones. Los lectores interesados pueden estudiar el código fuente del paquete ifconfig para ver cuál es la forma de obtener esta información. Es necesario utilizar llamadas al sistema de bajo nivel y por esa razón no vamos a incluir en este artículo un programa que lo haga. Existen en Internet varios programas, además de ifconfig, que permiten detectar sniffers que utilizan el modo promiscuo. Como último comentario sobre el modo de funcionamiento promiscuo, podemos decir que en los kernel más modernos esta información puede ser obtenida a partir del sistema de ficheros /proc, lugar del que podemos obtener una enorme cantidad de información interesante sobre el sistema de red. CAPTURA DE PAQUETES En general, los sniffers capturan paquetes de la red. En una LAN con topología de bus, es posible capturar tráfico de todas las máquinas conectadas en ese bus pero, en el caso general y, como comentábamos más arriba, este tipo de programas pueden ser utilizados en cualquier entorno, probablemente con una repercusión menor pero constituyendo una brecha de seguridad igualmente importante. En muchos casos, una vez que el intruso ha conseguido el control de la máquina víctima puede optar por la instalación de un sniffer en la misma. En este caso, el sniffer permitirá al atacante robar claves de acceso a otras máquinas. Cada vez que un usuario de la máquina víctima intente una conexión, el sniffer capturará los paquetes enviados en los que se encuentra la clave de acceso en texto plano. En ocasiones se dota al sniffer de la capacidad de transmitir estos datos vía correo electrónico o permitir al atacante conectarse a un puerto concreto en la máquina víctima para recuperar los datos que el sniffer ha capturado. Este tipo de instalación se apoyará con técnicas de ocultación de procesos y de conexiones de red (para el caso en el que se permita recuperar los datos del sniffer de esta forma). Como el lector ya habrá deducido, la forma de funcionamiento de este tipo de programas suele basarse en almacenar en un fichero toda la información que ha robado, de forma que el intruso puede recuperarla en el futuro. Para evitar que estos ficheros sean demasiado voluminosos, muchos sniffers sólo capturan los primeros paquetes de la conexión, en los que se encuentran las contraseñas que se pretenden robar. Ésta es una de las razones por las que resulta conveniente no permitir el acceso como root a través de telnet a las máquinas y obligar al usuario que quiera utilizar los privilegios de root a utilizar el comando su una vez que está dentro. El sniffer sólo  captura los primeros paquetes, con lo que obtiene el password de un usuario normal sin privilegios. Cuando este usuario ejecuta el comando su para convertirse en root, el sniffer ya no está capturando esa información y la clave de root permanece segura. UNA POTENTE HERRAMIENTA Independientemente de los usos ilegítimos de los sniffers, este tipo de programas son una potentísima herramienta para el hacker. Cuando hablamos de los ataque DoS , vemos cómo muchos de estos ataques se basaban en modificar las cabeceras de los protocolos TCP/IP con fines destructivos. Y para construir este tipo de paquetes era necesario utilizar lo que llamamos sockets raw. Bien, los sniffers suelen trabajar en este mismo nivel, de tal forma que no sólo capturan la información asociada a los protocolos de aplicación como FTP o TELNET, sino que capturan paquetes raw y, por lo tanto, toda la información contenida en las cabeceras TCP/IP. Muchas de estas herramientas disponen de la capacidad de interpretar estas cabeceras, e incluso las cabeceras asociadas a protocolos que se en encuentra por debajo de IP, y mostrarlas de forma más sencilla de interpretar para los seres humanos. Cuando los sniffers se utilizan de esta forma son llamados Analizadores de protocolo. Si bien, esta palabra designa a un gran conjunto de herramientas (algunas incluso hardware). Utilizados de esta forma, resultan una herramienta extremadamente potente para comprender en profundidad el funcionamiento de los protocolos de comunicaciones y , en cierto modo, visualizar, localizar y obtener una solución para ataques remotos. ALGUNOS SNIFFERS Una vez más, nuestro sistema GNU/Linux dispone de un enorme número de este tipo de herramientas. La mayoría de ellas incluidas en la práctica totalidad de las distribuciones. Quizá el sniffer más conocido y probablemente uno de los primeros disponibles para los sistemas UNIX en general es tcpdump. Este programa, una vez lanzado, captura todos los paquetes que llegan a nuestra máquina y muestra por pantalla información relativa a los mismos. Se trata de una herramienta de línea de comandos con una gran cantidad de opciones que permiten mostrar los datos de muy diversas formas. Tcpdump es una herramienta muy potente y es recomendable saber cómo usarla, aunque como veremos a continucación existen otros sniffers más fáciles de utilizar. Sniffit también funciona en modo consola, pero ofrece un modo de ejecución interactivo en el que se muestran las conexiones accesibles desde la máquina en la que se encuentra instalado y permite seleccionar cualquiera de ellas para la captura de paquetes, a través de una interfaz muy sencilla. Este sniffer es referenciado en varios documentos de seguridad.
Similar documents
View more...
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks
SAVE OUR EARTH

We need your sign to support Project to invent "SMART AND CONTROLLABLE REFLECTIVE BALLOONS" to cover the Sun and Save Our Earth.

More details...

Sign Now!

We are very appreciated for your Prompt Action!

x