Sniffing
Qué es el Sniffing?
Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.
Esto se hace mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red, así como la interactuación con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, etc.).
Por ello, cada vez es más importante enviar encriptada la información. Por ejemplo, los mensajes de correo electrónico y archivos delicados deben enviarse encriptados con PGP o GnuPG. La transferencia de archivos mediante FTP, debe evitarse en lo posible, utilizando SSH.
Cómo funcionan los Sniffers?
El modo más sencillo de comprender su funcionamiento, es examinándola forma en que funciona un sniffer en una red Ethernet. Se aplican los mismos principios para otras arquitecturas de red.
Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino a la dirección de difusión de la red 255.255.255.255 (osea a todas partes).
Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que -como indica la propia palabra- recibirá todos los paquetes que se desplazan por la red. Así pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuación el software puede capturar y analizar cualquier tráfico que pase por ese segmento.
Esto limita el alcance del sniffer, pues en este caso no podrá captar el tráfico externo a la red (osea, más allá de los routers y dispositivos similares), y dependiendo de donde este conectado en la Intranet, podrá acceder a más datos y más importantes que en otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos.
Hay una serie de aplicaciones que son las que principalmente se utilizan para este propósito del sniffing. A continuación, las indico así como su forma de actuar:
A) SpyNet
Es un programa shareware muy sencillo, incluye 2 programas en 1, "CaptureNet" y "PeepNet".
El primero es el que espía el tráfico en la red, guardando los paquetes de datos en formatos de bytes hexadecimales.
Mientras que el segundo analiza los datos recopilados, reconstruyendo los paquetes, o reproduciendo los correos incluso las contraseñas de los E-mail empleados (sólo la versión de pago); además muestra las direcciones de los ordenadores que participan y el protocolo empleado (pop3, http, smtp, etc.), así como los programas empleados (navegadores, programas de ftp, de correo, etc.) incluso hasta el sistema operativo.
B) Ethereal
Muy aplaudido en el mundo Linux, y ya con una versión para Windows. Su funcionamiento es similar al anterior, pero menos gráfico, aunque informa de lo que encuentra según el uso del protocolo. Y por supuesto, cuando se trata de POP3 localiza rápidamente el usuario y la contraseña. Y para rematar es código abierto (open source) y además gratuito.
C) WinSniffer
Es un programa especialista en contraseñas. Busca en toda la red accesos de login (usuario) y contraseñas, mostrándolos en pantalla. En concreto en la versión de prueba muestra el usuario y en la de pago, además la contraseña.
Como Detectar los Sniffers en una red?
Hay 2 técnicas básicas para detectar a los sniffers:
Una basada en Host (por ejemplo, determinando si la tarjeta de red del sistema esta funcionando en modo promiscuo).
Y otra basada en la Red.
En cuanto a los programas los hay muy variados, tanto en la forma de actuar como para el sistema operativo para el cual trabajan. En UNIX hay varios programas que pueden realizar esta tarea, pero destaca el Check Promiscuous mode (cmp).
En Windows, AntiSniff, detecta si hay algún sniffer en la red, pero sólo trabaja en Windows 95 o 98. Su página web es www.astake.com
Para DOS, tenemos la utilidad Promisdetect, que bajo MS DOS muestra información de la tarjeta de red, incluyendo la prosibilidad de saber si esta en modo promiscuo. Su página web es http://netsecurity.nu/toolbox/promisdetect
La primera y principal medida es utilizar técnicas criptográficas. Con esta medida no evitaremos que los datos sean capturados, pero esa información no podrá ser utilizada por ningún atacante ya que al estar encriptada es ilegible. Un ejemplo de esto lo tenemos en el protocolo HTTPS que podemos ver en varias páginas importantes como Paypal o páginas de bancos entre otras (en vez de http pone https). Este protocolo lo que hace es crear un canal cifrado para que la información sensible como las contraseñas pase por ahí y no pueda ser utilizada por un atacante en caso de que haya sido capturada.
Otra medida es no enviar información sensible a través de la red. Lo que se hace es enviar información que por sí sola no sirve para nada salvo que se combine con otra (clave pública y privada, autenticación en ambos extremos, etc). Tanto el cliente como el servidor utilizan esa información, pero no viaja por la red, por lo que no puede ser capturada.
Finalmente, daré un consejo a nivel personal tocante al ejemplo que he puesto del aeropuerto. Cuando vayais a este tipo de sitios, evidentemente lo mejor es no conectarse a ninguna red wifi de la que no tengáis garantías que es segura. Sin embargo, si queréis conectaros no hay ningún problema por conectaros, pero no os conecteis a ningún servicio así no daréis vuestra contraseña, limitaros tan solo a usar el whatsapp o navegar por internet. Los servicios personales (facebook, banco) utilizarlos en casa. Este es el mejor consejo que os puedo dar.
Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.
Esto se hace mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red, así como la interactuación con otros usuarios y ordenadores. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, etc.).
Por ello, cada vez es más importante enviar encriptada la información. Por ejemplo, los mensajes de correo electrónico y archivos delicados deben enviarse encriptados con PGP o GnuPG. La transferencia de archivos mediante FTP, debe evitarse en lo posible, utilizando SSH.
El modo más sencillo de comprender su funcionamiento, es examinándola forma en que funciona un sniffer en una red Ethernet. Se aplican los mismos principios para otras arquitecturas de red.
Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino a la dirección de difusión de la red 255.255.255.255 (osea a todas partes).
Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que -como indica la propia palabra- recibirá todos los paquetes que se desplazan por la red. Así pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuación el software puede capturar y analizar cualquier tráfico que pase por ese segmento.
Esto limita el alcance del sniffer, pues en este caso no podrá captar el tráfico externo a la red (osea, más allá de los routers y dispositivos similares), y dependiendo de donde este conectado en la Intranet, podrá acceder a más datos y más importantes que en otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos.
Que Programas de Sniffing hay?
A) SpyNet
Es un programa shareware muy sencillo, incluye 2 programas en 1, "CaptureNet" y "PeepNet".
El primero es el que espía el tráfico en la red, guardando los paquetes de datos en formatos de bytes hexadecimales.
Mientras que el segundo analiza los datos recopilados, reconstruyendo los paquetes, o reproduciendo los correos incluso las contraseñas de los E-mail empleados (sólo la versión de pago); además muestra las direcciones de los ordenadores que participan y el protocolo empleado (pop3, http, smtp, etc.), así como los programas empleados (navegadores, programas de ftp, de correo, etc.) incluso hasta el sistema operativo.
B) Ethereal
Muy aplaudido en el mundo Linux, y ya con una versión para Windows. Su funcionamiento es similar al anterior, pero menos gráfico, aunque informa de lo que encuentra según el uso del protocolo. Y por supuesto, cuando se trata de POP3 localiza rápidamente el usuario y la contraseña. Y para rematar es código abierto (open source) y además gratuito.
C) WinSniffer
Es un programa especialista en contraseñas. Busca en toda la red accesos de login (usuario) y contraseñas, mostrándolos en pantalla. En concreto en la versión de prueba muestra el usuario y en la de pago, además la contraseña.
Hay 2 técnicas básicas para detectar a los sniffers:
Una basada en Host (por ejemplo, determinando si la tarjeta de red del sistema esta funcionando en modo promiscuo).
Y otra basada en la Red.
En cuanto a los programas los hay muy variados, tanto en la forma de actuar como para el sistema operativo para el cual trabajan. En UNIX hay varios programas que pueden realizar esta tarea, pero destaca el Check Promiscuous mode (cmp).
En Windows, AntiSniff, detecta si hay algún sniffer en la red, pero sólo trabaja en Windows 95 o 98. Su página web es www.astake.com
Para DOS, tenemos la utilidad Promisdetect, que bajo MS DOS muestra información de la tarjeta de red, incluyendo la prosibilidad de saber si esta en modo promiscuo. Su página web es http://netsecurity.nu/toolbox/promisdetect
Que Medidas tomar para evitar el sniffing?
Otra medida es no enviar información sensible a través de la red. Lo que se hace es enviar información que por sí sola no sirve para nada salvo que se combine con otra (clave pública y privada, autenticación en ambos extremos, etc). Tanto el cliente como el servidor utilizan esa información, pero no viaja por la red, por lo que no puede ser capturada.
Finalmente, daré un consejo a nivel personal tocante al ejemplo que he puesto del aeropuerto. Cuando vayais a este tipo de sitios, evidentemente lo mejor es no conectarse a ninguna red wifi de la que no tengáis garantías que es segura. Sin embargo, si queréis conectaros no hay ningún problema por conectaros, pero no os conecteis a ningún servicio así no daréis vuestra contraseña, limitaros tan solo a usar el whatsapp o navegar por internet. Los servicios personales (facebook, banco) utilizarlos en casa. Este es el mejor consejo que os puedo dar.
Comentarios
Publicar un comentario