En entornos Linux o UNIX la verificación de una interface en modo promiscuo se puede hacer usando ifconfig. Este programa configura la interface de red instalada en un determinado host y obtiene información de la configuración en el momento de ejecutar el programa. Cuando un adaptador de red se encuentra en modo promiscuo, ifconfig nos devuelve la siguiente información:
Código:
Este sistema no es infalible.$ ifconfig -a eth0 Link Encap: 10Mbps Ethernet HWaddr: xx:xx:xx:xx:xx:xx inet addr: a.b.c.d Bcast: a.b.c.f Mask: m.m.m.m UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 (OJO: Modo promiscuo). RX packets: 0 errors:0 dropped:0 overruns:0 TX packets:0 errors:0 dropped:0 overruns:0 Interrupt:15 Base Address:0x300
Existen programas que pueden hacer esta labor como:
cpm (Check Promiscuous Mode)
Este pequeño programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz de red de la máquina descubriendo si está siendo utilizado en modo promiscuo (escuchando todo el tráfico de la red).
Código:
Esisten otros programas como Antisniff, Sentinel, ifstatus o NEPED:$ cpm 4 network interfaces found: eth0:5: Normal eth0:3: Normal eth0:2: Normal eth0:1: Normal eth0: *** IN PROMISCUOUS MODE ***
Veamos como trabaja NEPED.
Tenemos que introducir la interface de red:
Código:
NEPED utiliza la técnica de realizar una simple petición ARP para cada una de las IPs de la red a diagnosticar, pero ojo, los paquetes no van destinados a broadcast (FF:FF:FF:FF:FF:FF), sino a una dirección aleatoria e inexistente. Sólo las interfaces en modo promiscuo verán estos paquetes, y de esta manera, sólo estas interfaces contestarán a estas peticiones.$ neped eth0 ---------------------------------------------------------- > My HW Addr: 00:50:BF:1C:41:59 > My IP Addr: 192.168.0.1 > My NETMASK: 255.255.255.0 > My BROADCAST: 192.168.1.255 ---------------------------------------------------------- Scanning .... * Host 192.168.0.3, 00:C2:0F:64:05:FF **** Promiscuous mode detected !!! End.
Existe también un dispositivo de hardware llamado Tap. Este dispositivo permite conectarse a un Hub o incluso a un switch de red al cual conectáremos un dispositivo (ordenador) para monitorizar la red. Existen tipos de Taps para cada tipo de red Ethernet 10 Mbps, 100 Mbps y 1 Gbps.
Más información en www.netoptics.com
Otras formas de detectar posibles sniffers
- Detectar y controlar los logs que suelen generar los sniffers.
- Detectar y controlar las conexiones al exterior.
- Monitorizados los programas que acceden al dispositivo de red.
- Normalmente una interface en modo promiscuo, queda reflejada en el fichero de logs:
Código:
]$ cat /var/log/messages
Esto es a grandes rasgos. espero que los usuarios de Linux del foro putualicen o corrigan lo que haga falta.
Para sistemas Windows exite también programas que detectan una interface en modo promíscuo.
PromiScan
"PromiScan (www.securityfriday.com) es una utilidad de distribución gratuita diseñada para dar caza a los nodos promiscuos en una LAN rápidamente y sin crear una carga pesada en la red. Hay que tener en cuenta que localizar un nodo promiscuo es una tarea ardua, y que en muchos casos el resultado es incierto; no obstante, PromiScan consigue mostrar cada uno de esos nodos de una manera transparente, claramente visible. Para usar PromiScan es necesario contar con Windows 2000 Professional y haber instalado previamente el controlador WinPcap, cuya versión más reciente se encuentra en netgroup-serv.polito.it/winpcap/."
http://www.securityfriday.com/ToolDo...scan_003.html.
PromiscDetect
Código:
http://www.ntsecurity.nu/cgi-bin/dow...cdetect.exe.plC:\scan>promiscdetect PromiscDetect 1.0 - (c) 2002, Arne Vidstrom ([email protected]) - http://ntsecurity.nu/toolbox/promiscdetect/ Adapter name: - NIC PCI 3Com EtherLink XL 10/100 PCI para administraci¾n completa del equipo (3C905C-TX) Active filter for the adapter: - Directed (capture packets directed to this computer) - Multicast (capture multicast packets for groups the computer is a member of) - Broadcast (capture broadcast packets) - Promiscuous (capture all packets on the network) WARNING: Since this adapter is in promiscuous mode there could be a sniffer running on this computer!
http://ntsecurity.nu/downloads/promiscdetect.exe
ProDETECT 0.1 BETA
http://packetstormsecurity.org/Win/prosrc.zip
Otras técnicas de detección
Sólo por nombrarlas y que alguna de ellas son usadas por los programas anti-sniffers:
- Ping de latencia
- Test ARP
- Test DNS
- monitorización SNMP
Protegerse contra la acción de los sniffwers
A grandes rasgos para protegernos de los sniffers y para que estos no cumplan sus objetivos de olfateo de contraseñas y en general nos " lean datos sensibles" en texto plano, podemos hacer uso de diversas técnicas o utilizar sistemas como:
- PGP
- SSL
- SSH
- VPN, etc.
y en general el uso de sesiones encriptadas.
Otras consideraciones respecto a la protección contra sniffers pueden ser:
- evitar en lo posible las relaciones de confianza entre maquinas.
- uso de redes conmutadas.
- cambio periódico de claves de accesos y contraseñas.
- hacer copias periódicas de seguridad
A parte de estas consideraciones expongo aquí otras más generales sobre seguridad y no menos importantes;
- no tener activos servicios innecesarios que no usemos en nuestros sistemas.
- dotar a nuestros sistemas de las últimas actualizaciones en seguridad
- auditorias de seguridad
- uso de firewalls y antivirus
- uso de IDS.
- cuidar diseño de red y separar convenientemente la red interna de la externa
etc.
