Escolar Documentos
Profissional Documentos
Cultura Documentos
Redes conmutadas y
no conmutadas. Actualizacin.
Publicado en 27 noviembre, 2009de Alfon
En una red Ethernet cuando queremos enviar un paquete IP entre dos hosts
conectados, las nicas direcciones vlidas son las MAC, y lo que circula son tramas
Ethernet. Entonces, y volviendo al ejemplo de antes, cuando queremos enviar un
paquete IP lo que se hace es meter el paquete dentro de una trama Ethernet y
enviar.
Y como se hace ?.
ARP tiene dos tipos bsicos de mensajes:
mensaje de peticion o ARPrequest
mensaje de respuesta o ARPreply
los dos viajan por nuestra red dentro de tramas Ethernet.
Cuando queremos enviar un paquete IP desde un host origen (A)
hacia un host destino (B) sucede:
su direccin IP
su direccin MAC
arp
arp
arp
arp
arp
C:\>arp -a
Interfaz: 192.168.4.3 on Interface 01000003
Direccin IP Direccin fsica Tipo
192.168.4.1 00-04-76-97-b3-a9 dinmico
192.168.4.20 00-a0-24-4e-4e-4e dinmico
Sistemas Linux:
$ arp -a
serprint (192.168.4.2) at 52:54:05:fd:de:e5
infografia3 (192.168.4.3) at 00:90:27:6a:58:74
Una vez visto como funciona el protocolo ARP, seguimos con la deteccin de los
sniffers.
bsquedas de Gateway,
$ neped eth0
> My HW Addr: 00:50:BF:1C:41:59
> My IP Addr: 192.168.0.1
> My NETMASK: 255.255.255.0
> My BROADCAST: 192.168.1.255
Scanning .
* Host 192.168.0.3, 00:C2:0F:64:05:FF **** Promiscuous mode
detected !!!
End.
NEPED utiliza la tcnica de realizar una simple peticin ARP para cada una de las
IPs de la red a diagnosticar, pero ojo, los paquetes no van destinados a broadcast
(FF:FF:FF:FF:FF:FF), sino a una direccin aleatoria e inexistente. Slo las
interfaces en modo promiscuo vern estos paquetes, y de esta
manera, slo estas interfaces contestarn a estas peticiones.
Existe tambin un dispositivo de hardware llamado Tap. Este dispositivo permite
conectarse a un Hub o incluso a un switch de red al cual conectsemos un
dispositivo (ordenador) para monitorizar la red. Existen tipos de Taps para cada
tipo de red Ethernet 10 Mbps, 100 Mbps y 1 Gbps.
SniffDet Remote Sniffer Detection
http://prdownloads.sourceforge.net/sniffdet/sniffdet-0.9.tar.gz
Usa ls tcnicas test ICMP, test ARP, test DNS y test de ping de latencia.
NOTA: Veremos estos test mas abajo.
Vemos un ejemplo con SniffDet:
# ./sniffdet 0.9
A Remote sniffer Detection Tool
Copyright (c) 2003
Ademar de Souza Reis Jr.
Milton Soares Filho
Usage: ./sniffdet [options] TARGET
Where:
TARGET is a canonical hostname or a dotted decimal IPv4
address
Sniffdet Report
Generated on: xxxxxxxxx 2003
Bytes Sent: 84
Bytes Received: 60
Packets Sent: 2
Packets Received: 1
RESULT: POSITIVE
AntiSniff_v1.3
http://www.packetstormsecurity.org/sniffers/antisniff/as-1021.zip
Esta herramienta, tanto para plataformas linux/Unix como para Win32, es muy
sencilla de usar y tan slo es necesario inroducir el rango ede IPs a monitorizar en
busca del posible sniffer.
Usa las tcnicas de ping de latencia, test DNS y test ARP.
Sentinel
http://packetstorm.linuxsecurity.com/UNIX/IDS/sentinel/sentinel-1.0.tar.gz
Utiliza los mtodos de: test DNS, test ARP, prueba ICMP Etherping, y ping de
latencia.
Uso de sentinel:
./sentinel [mtodo] [-t ] [opciones]
Mtodos:
[ -a test ARP ]
[ -d test DND ]
[ -i ICMP Test ping de latencia]
[ -e ICMP test Etherpingt ]
Opciones:
[ -f fichero o IP]
[ -c clase C a monitorizar]
[ -n ]
[ -I ]
Ejemplos:
./sentinel -a -t 192.168.1.2
Optimizado para usar el test ARP host 192.168.1.2
./sentinel -aed -f ./()
Optimizado para usar el test DNS host 192.168.1.2
./sentinel -aed -f ./fichero_lista_IPs testo ARP, DND, Etherping para una lista
de IPs
./sentinel -aed -c 10.2.2
Optimizado para escanear una red de clase c (10.2.2) usando el test ARP, DNS
y test Etherping
Otras formas de detectar posibles sniffers
Detectar y controlar los logs que suelen generar los sniffers.
Detectar y controlar las conexiones al exterior.
Monitorizados los programas que acceden al dispositivo de red.
Slo por nombrar algunas, son usadas por los programas anti-sniffers.
Comentaremos la ltima:
Ping de latencia
Test ARP
ARP attacks,
# unicast ARP requests, and specific ARP mapping monitoring.
To make use
# of this preprocessor you must specify the IP and hardware
address of hosts on # the same layer 2 segment as you.
Specify one host IP MAC combo per line.
# Also takes a -unicast option to turn on unicast ARP
request detection.
# Arpspoof uses Generator ID 112 and uses the following SIDS
for that GID:
# SID Event description
# # 1 Unicast ARP request
# 2 Etherframe ARP mismatch (src)
# 3 Etherframe ARP mismatch (dst)
# 4 ARP cache overwrite attack
preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.2.1
f0:0f:00:f0:0f:00
Otro IDS para sistemas Linux como Prelude Hybrid
IDS(http://www.preludeids.org/rubrique.php3?id_rubrique=13), poseee un
plugin (ArpSpoof Plugin ) que nos ayuda a detectar incoherencias en mensajes
ARP, conflicos con una base de datos ARPwatch (veremos esto ms adelante), etc:
Configuracin de plugin: /usr/local/etc/prelude-nids/prelude-nids.conf
[ArpSpoof]
#
# Search anomaly in ARP request.
#
# The directed option will result in a warn each time an ARP
# request is sent to an address other than the broadcast address.
#
# directed;
# arpwatch= ;
* Test DNS
A grandes rasgos para protegernos de los sniffers y para que stos no cumplan sus
objetivos de olfateo de contraseas y en general nos lean datos sensibles en texto
plano -sin cifrado fuerte-, podemos hacer uso de diversas tcnicas o utilizar
sistemas como:
PGP
SSL
SSH
VPN,
Implementacin de VLANs que, a parte de mejoras de seguridad,
aportan optimizacin del trfico LAN. Algunos tipo de polticas /
configuracin VLANs, puede ser susceptibles de atacadas mediante ARP
Spooofin.
Algunos routers / switch implementan medidas adicionales de
seguridad anti spoofing mediante reglas, etc.
.
Aunque ya veremos ms adelante que ni siquiera el uso de SSH, por citar un
ejemplo, nos puede protejer efectivamente del uso de ciertos tipos de sniffer
como ettercap.
http://www.securityfriday.com/tools/promiscan_sla.html
PromiscDetect
http://www.ntsecurity.nu/downloads/promiscdetect.exe
NOTA: Actualizado para XP, Windows 2003 y Vista.
C:\scan>promiscdetect
PromiscDetect 1.0 (c) 2002, Arne Vidstrom
(arne.vidstrom@ntsecurity.nu)
http://ntsecurity.nu/toolbox/promiscdetect/
Adapter name:
NIC PCI 3Com EtherLink XL 10/100 PCI para administracin
completa del equipo
(3C905C-TX)
Active filter for the adapter:
Directed (capture packets directed to this computer)
Multicast (capture multicast packets for groups the
computer is a member of)
Broadcast (capture broadcast packets)
Promiscuous (capture all packets on the network)
WARNING: Since this adapter is in promiscuous mode there
could be a sniffer running on this computer!
DecaffeinatID
http://irongeek.com/downloads/decaffeinatid0.09.zip
Otra herramienta, que, aunque tiene otras funciones, nos puede servir para la
deteccin de sniffers es DecaffeinatID, que nos informar de cualquier cambio en
la tabla de entradas ARP. La utilidad permanece residente monitorizando de forma
automtica. Se trata, pues de una herramienta ARP-Watch.
Firewalls. Outpost.
Algunos cortafuegos o firewalls por software, implementas soluciones de
proteccin, anlisis y bloqueo de ataques Ethener. En este caso Outpot, tiene la
opcin: Activar Filtro Inteligent ARP en las Propiedades de la deteccin de
ataques.
Incluye configuracin de alertas, alertas por SMTP, logs, rangos y listas de IPs, etc.
NOTA: Puede no funcionar correctamente con las ltimas versiones de Winpcap.
http://sourceforge.net/projects/prodetect/
http://prdownloads.sourceforge.net/prodetect/proi386.exe?download
Alerta de ProDETECT:
Una posible solucin o defensa sera el uso de MACs estticas, con el fin de que no
puedan ser modificadas, aunque en algunos sistemas Windows esto no es eficiente
al 100 por 100.
bsquedas de Gateway,
ARPWatch
En sistemas Linux la herramienta ( http://www-nrg.ee.lbl.gov/ ) nos puede servir
para detectar el uso del envenenamiento ARP en nuestro sistema. Con ARPWatch
podemos comprobar la correspondencia entre pares IP-MAC (Ethernet). En caso
de que un cambio en un par se produzca (esto es, se escuche en el interfaz de red
del sistema), ARPWatch enva un correo de notificacin del suceso a la cuenta root
o administrador del sistema con un mensaje tipo FLIP FLOP o Change
ethernet address. Tambin podemos monitorizar la existencia de nuevos host (
aparicin de una nueva MAC en la red).
# ./arpwatch -?
Version 2.1a11
usage: arpwatch [-dN] [-f datafile] [-i interface] [-n
net[/width]] [-r file]
[-u username] [-e username] [-s username]
# cat /etc/sysconfig/arpwatch
# -u : defines with what user id arpwatch should run
# -e : the where to send the reports
# -s : the -address
OPTIONS="
Una herramienta similar a ARPwatch pero para sistemas Windows la encontramos
enWinARP Watch
v1.0 (http://www.securityfocus.com/data/tools/warpwatch.zip). Esta herramienta
no enviar correo alguno a ningn administrador, pero nos tendr puntualmente
Existe en el mercado un tipo especial de switches que est preparados para que la
tabla ARP no pueda ser modificada.
Hablando de herramientas, una que realiza este trabajo de escucha en redes
conmutadas con gran eficacia
es ettercap. Ettercap ( http://ettercap.sourceforge.net ) es capaz de escuchar
tanto redes basadas en hubs como en switches. Adems puede escuchar
conexiones SSH e incluso detectar otros envenenamientos o modificaciones de la
tabla ARP.
* |==================================================>|
100.00 %
Checking for poisoners
MAC of 192.168.4.59 and 192.168.4.235 are identical !
Otra herramienta que detecta cambios en los pares IP/MAC as como ataques tipo
arp-spoofinges:
bogon
bogon
bogon
bogon
bogon
bogon
bogon
bogon
bogon
192.168.4.1
192.168.2.3
192.168.4.5
192.168.2.3
192.168.2.3
192.168.4.5
192.168.4.1
192.168.4.5
192.168.4.1
00:04:76:97:b3:a9
00:a0:24:4d:bc:69
00:04:76:9a:66:a6
00:a0:24:4d:bc:69
00:a0:24:4d:bc:69
00:04:76:9a:66:a6
00:04:76:97:b3:a9
00:04:76:9a:66:a6
00:04:76:97:b3:a9
ACiD:
ACiD:
ACiD:
ACiD:
ACiD:
ACiD:
ACiD:
bogon
bogon
bogon
bogon
bogon
bogon
bogon
192.168.5.240 00:06:5b:05:9a:e7
192.168.4.5 00:04:76:9a:66:a6
192.168.4.5 00:04:76:9a:66:a6
192.168.4.5 00:04:76:9a:66:a6
192.168.5.240 00:06:5b:05:9a:e7
192.168.4.5 00:04:76:9a:66:a6
192.168.4.20 00:a0:24:4e:4e:4e
bogon
bogon
bogon
bogon
bogon
bogon
bogon
bogon
bogon
192.168.5.240 00:06:5b:05:9a:e7
192.168.4.15 00:01:02:e7:57:cf
192.168.4.10 00:a0:24:4e:51:6b
192.168.5.240 00:06:5b:05:9a:e7
192.168.4.1 00:04:76:97:b3:a9
192.168.4.5 00:04:76:9a:66:a6
192.168.4.5 00:04:76:9a:66:a6
192.168.4.1 00:04:76:97:b3:a9
192.168.4.3 00:04:76:f2:c9:5f
192.168.4.5 -10
192.168.4.8 1
192.168.5.240 -6
En la consola de ACID si existe un error en la paridad IP/MAC nos alertar de esta
manera:
ACiD: bogon 192.168.4.5 00:04:76:f2:c9:5f (00:11:22:33:44:55)
ACiD: ethernet mismatch 192.168.4.5 00:04:76:f2:c9:5f
(00:11:22:33:44:55)
ACiD: bogon 192.168.4.5 00:04:76:f2:c9:5f (00:11:22:33:44:55)
ACiD: ethernet mismatch 192.168.4.5 00:04:76:f2:c9:5f
(00:11:22:33:44:55)
ACiD: bogon 192.168.4.5 00:04:76:f2:c9:5f (00:11:22:33:44:55)
ACiD: ethernet mismatch 192.168.4.5 00:04:76:f2:c9:5f
(00:11:22:33:44:55)
ACiD: bogon 192.168.4.5 00:04:76:f2:c9:5f (00:11:22:33:44:55)
ACiD: ethernet mismatch 192.168.4.5 00:04:76:f2:c9:5f
(00:11:22:33:44:55)
ACiD: bogon 192.168.4.1 00:04:76:97:b3:a9
ACiD: bogon 192.168.4.5 00:04:76:9a:66:a6
Possible spoof 192.168.4.5 00:04:76:9a:66:a6 was at
00:04:76:f2:c9:5f
Los pasos seguidos para realizar en nuestra red un Envenenamiento ARP son
los siguientes:
1. Sniff > Unified Sniffing... (seleccionamos interface de red)
2. Hosts > Scan for Hosts
Esta claro no ?