Detectando Sniffers en nuestra red. Para Windows y Linux.
( actualizado a 14-03-03 )
Voy a tratar aquí la detección de sniffers en nuestra red desde el escenario más básico posible. Este escenarío sería una subred o red no conmutada.
En entornos
Linux o UNIX la verificación de una interface en modo promiscuo se puede hacer usando
ifconfig. Este programa configura la interface de red instalada en un determinado host y obtiene información de la configuración en el momento de ejecutar el programa. Cuando un adaptador de red se encuentra en modo promiscuo, ifconfig nos devuelve la siguiente información:
Código:
$ ifconfig -a
eth0 Link Encap: 10Mbps Ethernet HWaddr: xx:xx:xx:xx:xx:xx
inet addr: a.b.c.d Bcast: a.b.c.f Mask: m.m.m.m
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 (OJO: Modo promiscuo).
RX packets: 0 errors:0 dropped:0 overruns:0
TX packets:0 errors:0 dropped:0 overruns:0
Interrupt:15 Base Address:0x300
Este sistema no es infalible.
Existen programas que pueden hacer esta labor como:
cpm (Check Promiscuous Mode)
Este pequeño programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz de red de la máquina descubriendo si está siendo utilizado en modo promiscuo (escuchando todo el tráfico de la red).
Código:
$ cpm
4 network interfaces found:
eth0:5: Normal
eth0:3: Normal
eth0:2: Normal
eth0:1: Normal
eth0: *** IN PROMISCUOUS MODE ***
Esisten otros programas como Antisniff, Sentinel, ifstatus o
NEPED:
Veamos como trabaja NEPED.
Tenemos que introducir la interface de red:
Código:
$ neped eth0
----------------------------------------------------------
> My HW Addr: 00:50:BF:1C:41:59
> My IP Addr: 192.168.0.1
> My NETMASK: 255.255.255.0
> My BROADCAST: 192.168.1.255
----------------------------------------------------------
Scanning ....
* Host 192.168.0.3, 00:C2:0F:64:05:FF **** Promiscuous mode detected !!!
End.
NEPED utiliza la técnica de realizar una simple petición ARP para cada una de las IPs de la red a diagnosticar, pero ojo, los paquetes no van destinados a broadcast (FF:FF:FF:FF:FF:FF), sino a una dirección aleatoria e inexistente. Sólo las interfaces en modo promiscuo verán estos paquetes, y de esta manera, sólo estas interfaces contestarán a estas peticiones.
Existe también un dispositivo de hardware llamado
Tap. Este dispositivo permite conectarse a un Hub o incluso a un switch de red al cual conectáremos un dispositivo (ordenador) para monitorizar la red. Existen tipos de Taps para cada tipo de red Ethernet 10 Mbps, 100 Mbps y 1 Gbps.
Más información en
www.netoptics.com Otras formas de detectar posibles sniffers
- Detectar y controlar los logs que suelen generar los sniffers.
- Detectar y controlar las conexiones al exterior.
- Monitorizados los programas que acceden al dispositivo de red.
- Normalmente una interface en modo promiscuo, queda reflejada en el fichero de logs:
]
Esto es a grandes rasgos. espero que los usuarios de Linux del foro putualicen o corrigan lo que haga falta.
Para sistemas
Windows exite también programas que detectan una interface en modo promíscuo.
PromiScan
"PromiScan (
www.securityfriday.com) es una utilidad de distribución gratuita diseñada para dar caza a los nodos promiscuos en una LAN rápidamente y sin crear una carga pesada en la red. Hay que tener en cuenta que localizar un nodo promiscuo es una tarea ardua, y que en muchos casos el resultado es incierto; no obstante, PromiScan consigue mostrar cada uno de esos nodos de una manera transparente, claramente visible. Para usar PromiScan es necesario contar con Windows 2000 Professional y haber instalado previamente el controlador WinPcap, cuya versión más reciente se encuentra en netgroup-serv.polito.it/winpcap/."
http://www.securityfriday.com/ToolDo...scan_003.html. PromiscDetect
Código:
C:\scan>promiscdetect
PromiscDetect 1.0 - (c) 2002, Arne Vidstrom ([email protected])
- http://ntsecurity.nu/toolbox/promiscdetect/
Adapter name:
- NIC PCI 3Com EtherLink XL 10/100 PCI para administraci¾n completa del equipo
(3C905C-TX)
Active filter for the adapter:
- Directed (capture packets directed to this computer)
- Multicast (capture multicast packets for groups the computer is a member of)
- Broadcast (capture broadcast packets)
- Promiscuous (capture all packets on the network)
WARNING: Since this adapter is in promiscuous mode there could be a sniffer
running on this computer!
http://www.ntsecurity.nu/cgi-bin/dow...cdetect.exe.pl http://ntsecurity.nu/downloads/promiscdetect.exe ProDETECT 0.1 BETA http://packetstormsecurity.org/Win/prosrc.zip Otras técnicas de detección
Sólo por nombrarlas y que alguna de ellas son usadas por los programas anti-sniffers:
- Ping de latencia
- Test ARP
- Test DNS
- monitorización SNMP
Protegerse contra la acción de los sniffwers
A grandes rasgos para protegernos de los sniffers y para que estos no cumplan sus objetivos de olfateo de contraseñas y en general nos " lean datos sensibles" en texto plano, podemos hacer uso de diversas técnicas o utilizar sistemas como:
- PGP
- SSL
- SSH
- VPN, etc.
y en general el uso de sesiones encriptadas.
Otras consideraciones respecto a la protección contra sniffers pueden ser:
- evitar en lo posible las relaciones de confianza entre maquinas.
- uso de redes conmutadas.
- cambio periódico de claves de accesos y contraseñas.
- hacer copias periódicas de seguridad
A parte de estas consideraciones expongo aquí otras más generales sobre seguridad y no menos importantes;
- no tener activos servicios innecesarios que no usemos en nuestros sistemas.
- dotar a nuestros sistemas de las últimas actualizaciones en seguridad
- auditorias de seguridad
- uso de firewalls y antivirus
- uso de IDS.
- cuidar diseño de red y separar convenientemente la red interna de la externa
etc.