Introducción
La efectividad de la técnica de Sniffer se basa en tener acceso (habitualmente es necesario además disponer de dicho acceso como administrador o root) a un sistema interno de la red; por tanto, no puede ser llevado a cabo desde el exterior. Antes de la instalación de un Sniffer, normalmente se instalarán versiones modificadas (trojanos) de comandos como “ps” o “netstat” (en entornos Unix), para evitar que las tareas ejecutadas con el Sniffer sean descubiertas. Cuando los Sniffers se emplean para la obtención de passwords, en ocasiones éstos no son necesarios, ya que los administradores de sistemas descuidan los equipos dejándolos configurados con las passwords que por defecto proporcionan los fabricantes.
En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas y un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de las operaciones. La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de la organización. La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemas de seguridad que van apareciendo.
En medio de esta variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas. “Hackers”, “crakers”, entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes Además de las técnicas y herramientas criptográficas, es importante recalcar que un componente muy importante para la protección de los sistemas consiste en la atención y vigilancia continua y sistemática por parte de los responsables de la red. A la hora de plantearse en qué elementos del sistema se deben de ubicar los servicios de seguridad podrían distinguirse dos tendencias principales: Protección de los sistemas de transferencia o transporte. En este caso, el administrador de un servicio asume la responsabilidad de garantizar la transferencia segura al usuario final de la información de forma lo más transparente posible.
Ejemplos de este tipo de planteamientos serían el establecimiento de un nivel de transporte seguro, de un servicio de mensajería con MTAs (Mail Transport Agents) seguras, o la instalación de un firewall, que defiende el acceso a una parte protegida de una red. Aplicaciones seguras extremo a extremo. Si pensamos, por ejemplo, en el correo electrónico, consistiría en construir un mensaje en el cual el contenido ha sido asegurado mediante un procedimiento de encapsulado previo al envío. De esta forma, el mensaje puede atravesar sistemas heterogéneos y poco fiables sin por ello perder la validez de los servicios de seguridad provistos. Aunque el acto de asegurar el mensaje cae bajo la responsabilidad del usuario final, es razonable pensar que dicho usuario deberá usar una herramienta amigable proporcionada por el responsable de seguridad de su organización.
Resumen
Las redes de computadoras son sistemas complejos que involucran la interconexión de una amplia variedad de recursos informáticos, como PCs de escritorio y PCs portátiles, con una amplia variedad ancha medios de comunicación, como líneas por discado vía módem, LANs, WANs e Internet. Durante las últimas dos décadas, la escala de conectividad ha ido creciendo firmemente y un mayor volumen de datos está viajando más rápidamente a través de las redes, más frecuentemente, y sobre distancias más largas. Todo esto ha logrado mejoras continuas en la productividad de los usuarios Por el lado negativo, sin embargo, también ha generado un número creciente de oportunidades para poner en peligro la seguridad de los datos y otros recursos en el ambiente de Internetworking. Las redes de área local (LANs) están diseñadas para hacer fácil el compartir la información.
El protocolo más común es Ethernet y cualquier computadora en una LAN Ethernet emite la información por el cable a todas las computadoras que quieran escucharla, del mismo modo que las estaciones de radio emiten dentro de un área específica. Si una computadora detecta un paquete que es dirigido a ella, lo recibe. Todos los demás paquetes deben ser ignorados.(excepto los de broadcast).
Sin embargo, la mayoría de adaptadores LAN pueden operarse a un modo llamado promiscuo que permite que el adaptador acepte todos los paquetes enviados por la red. Estos paquetes pueden ser capturados y guardados para ser analizados. Un rastreador de paquetes (conocido como Sniffer) hace esta tarea más sencilla. Tiene todos los controles que un administrador (o hacker) necesita para filtrar las transmisiones para encontrar y analizar un tráfico de red específico. Los técnicos de redes usan los Sniffers para detectar y corregir problemas en la red. Por tal razón también son conocidos como analizadores de protocolos.
Como Funciona un Sniffer
Un analizador de protocolos es un S niffer al que se le ha añadido la funcionalidad suficiente como para entender y traducir los protocolos que se están hablando en la red. Debe tener suficiente funcionalidad como para entender las tramas de nivel de enlace, y los paquetes que transporten. Con esta información y la aplicación de filtros especiales de monitoreo se puede particularizar el nivel de estudio y análisis sobre protocolos, nodos, servicios y aplicaciones generales que se est á n manejando en la red. Otra definición de computing-dictionary.thefreedictionary.com, es “una herramienta de monitoreo de red que captura paquetes de datos y los decodifica usando conocimiento incorporado de los protocolos comunes”. Pues es correcto, el término sniffer proviene del inglés (sniff = olfatear, husmear). Es ta herramienta existe en software o hardware y f unciona al interceptar los paquetes o datagramas que pasan por un adaptador de red. El centro de cualquier software de sniffing es un Raw Socket, el cual podríamos definir como “un conector o socket que tiene la capacidad de acceder directamente al hardware de comunicaciones de un PC”.
La manera más usual de conectar máquinas es usando Ethernet. El protocolo de Ethernet trabaja enviando la información en paquetes a las máquinas de la red. La cabecera del paquete contiene la dirección IP de la máquina destino. Sólo la máquina que tiene este IP va a recibir este paquete (en teoría), pero una máquina se puede poner en modo promiscuo de manera que reciba todos los paquetes que van por la red, independientemente de lo que ponga en la cabecera como IP de destino. Así, básicamente un sniffer lo que hace es poner a la máquina en modo promiscuo, es decir, que la máquina acepta todos los paquetes que van por la red y no sólo los que van destinados a ella.
Componentes de un Sniffer
El hardware: La mayoría de productos funcionan sobre adaptadores de red estándar, aunque algunos requieren hardware especial. Con analizadores industriales especializados, es posible comprobar fallos como errores de CRC, problemas de voltaje, errores de negociación, etc.
Driver de captura: Esta es la parte más importante. Captura el tráfico de red del cable, filtra un contenido específico definido por el usuario, y entonces almacena el resultado en un buffer.
Buffer: Una vez los paquetes son capturados de la red, estos se almacenan en un buffer. Existen un par de modos de captura: hasta que el buffer se llene, o usar un buffer rotatorio (o del tipo Round Robin) donde los nuevos datos sobrescriben los más antiguos. Algunos productos como BlackICE, Sentir IDS de Internet Security Systems pueden mantener un buffer rotativo de captura en disco capaz de operar a 100 mbps. Esto permite tener cientos de GB de buffer en lugar de estar limitado por la cantidad de memoria del equipo.
Usos de los Sniffer
El uso positivo
El uso positivo de un Sniffer por lo general tiene como objetivo mantener la red y el sistema. Esto lo hace capturado, grabando y analizando el tráfico; descifrando los paquetes y desplegando el texto; así como convertir los datos a formato leíble; La información pertinente a la dirección IP, protocolo, Host o nombre del servidor y así sucesivamente. No todos Sniffer en software tienen las mismas funciones; algunos Sniffer pueden analizar centenares de protocolos. Los protocolos más comúnes analizados por un Sniffer son TCP/IP, IPX, DECNet. Usualmente un Sniffer se usa como ayuda para el mantener la red y para analizar, supervisar de manera de ayudar a resolver problemas mas efectivamente.
El uso negativo
El uso negativo de Sniffer son bien conocidos por sus daños al conectar y traspasar la seguridad de una red de computadoras. La mayoría de los usos ilegales de la herramienta Sniffer; tienen que ver la captura de información especial y privada capturando transacciones, por ejemplo username, Información de tarjetas de creditos, contraseñas y email. Algunos Sniffer puede modificar la información de una computadora causando daño al sistema. Uno de los usos mas negativos de un Sniffer es que está volviéndose el obstáculo más grande para conectar una red de computadoras, al mismo tiempo es la herramienta más importante para prevenir los ataques de red.
Servicios vulnerables
Las vulnerabilidades pretenden describir las debilidades y los métodos más comunes que se utilizan para perpetrar ataques a la seguridad de la familia de protocolos TCP/IP (confidencialidad, integridad y disponibilidad de la información). Los ataques pueden estar motivados por diversos objetivos, incluyendo fraude, extorsión, robo de información confidencial, venganza, acceso no autorizado a un sistema, anulación de un servicio o simplemente el desafío de penetrar un sistema. Éstos pueden provenir principalmente de dos fuentes:
Usuarios autentificados, al menos a parte de la red, como por ejemplo empleados internos o colaboradores externos con acceso a sistemas dentro de la red de la empresa. También denominados insiders.
Atacantes externos a la ubicación física de la organización, accediendo remotamente. También denominados outsiders. Los métodos de ataque descritos se han dividido en categorías que pueden estar relacionadas entre sí, ya que el uso de un método permite o facilita el uso de otros, en ocasiones, complementarios. Un ejemplo de ataque podría ser la realización del análisis de un sistema, mediante fingerprinting, tras el cual es posible explotar una vulnerabilidad como un buffer-overflow de un servicio TCP/IP, enviando paquetes que parecen válidos mediante IP spoofing. Dentro de los métodos no se han incluido ataques de alto nivel, como por ejemplo la distribución y ejecución de virus a través del correo electrónico (protocolo SMTP), ya que afectan a vulnerabilidades particulares de las aplicaciones y los lenguajes de programación soportados por éstas. En numerosas ocasiones se ha empleado inicialmente el término inglés para nombrar la vulnerabilidad, ya que es como se conoce comúnmente, para posteriormente asociarle su posible traducción al español.
Las vulnerabilidades pueden clasificarse según los siguientes criterios:
-
Número de paquetes a emplear en el ataque.
-
Atomic: se requiere un único paquete para llevarla a cabo.
-
Composite: son necesarios múltiples paquetes.
-
Información necesaria para llevar a cabo el ataque.
-
Context: se requiere únicamente información de la cabecera del protocolo.
-
Content: es necesario también el campo de datos o payload.
Sniffers comerciales en Software y Hardware:
IP-Watcher básicamente es un dispositivo de escucha de paquetes (sniffer) con una interfaz que facilita visualizar tipos específicos de tráfico de red. Se puede seleccionar el protocolo a visualizar en la ventana de configuración de entrada. Cualquier puerto IP puede ser seleccionado. IP-Watcher utiliza una técnica llamada escucha activa (en oposición a escucha pasiva) que permite que interactúe con conexiones de la red. Esta interacción permite a los usuarios de IP-Watcher terminar y hasta tomar control de conexiones activas. Esta técnica que En Garde llama “secuestro IP” comprende la interceptación y “engaño” de paquetes a nivel IP. Un secuestro IP puede ejecutarse desde cualquier computadora de la red. Para el cliente, la conexión secuestrada aparenta ser más lenta, mientras que el servidor no ve ninguna diferencia. Todo el tráfico que se emite en la subred en que ejecuta IP-Watcher es visible, incluyendo todo el tráfico local y el tráfico que es enviado a la subred o pasa a través de ella desde otras subredes.
Figura # 1 Ataque con Sniffer dentro y fuera de una red.
P osibilidad de conexión a otras aplicaciones corporativas.
Sistema Operativo |
Sniffer |
4.3/4.4 BSD |
tcpdump |
FreeBSD |
tcpdump |
NetBSD |
tcpdump |
DEC Unix |
tcpdump |
DEC Ultrix |
tcpdump |
HP/UX |
nettl (monitor) & netfmt (display)
nfswatch |
Irix |
nfswatch
tcpdump |
SunOS |
etherfind
nfswatch
tcpdump |
Solaris |
snoop
tcpdump |
DOS |
ETHLOAD
The Gobbler
LanPatrol
LanWatch
Netmon
Netwatch
Netzhack |
Macintosh |
Etherpeek |
Tabla #1 Modelos de Sniffer
Sniffing
El análisis de la información trasmitida permite a su vez extraer relaciones y topologías de las redes y organizaciones. Sniffing Un ataque realmente efectivo, ya que permite la obtención de gran cantidad de información sensible enviada sin encriptar, como por ejemplo usuarios, direcciones de e-mail, claves, números de tarjetas de crédito..., es emplear sniffers u olfateadores en entornos de red basados en difusión, como por ejemplo ethernet (mediante el uso de concentradores o hubs). El análisis de la información trasmitida permite a su vez extraer relaciones y topologías de las redes y organizaciones. Los sniffers operan activando una de las interfaces de red del sistema en modo promiscuo. En este modo de configuración, el sniffer almacenará en un log todo el tráfico que circule por la tarjeta de red, ya sea destinado o generado por el propio sistema o desde/hacia cualquiera de los sistemas existentes en el entorno de red compartido (segmento ethernet). Asimismo, pueden ser instalados tanto en sistemas como en dispositivos de red. La efectividad de esta técnica se basa en tener acceso (habitualmente es necesario además disponer de dicho acceso como administrador o root) a un sistema interno de la red; por tanto, no puede ser llevado a cabo desde el exterior. Antes de la instalación de un sniffer, normalmente se instalarán versiones modificadas (trojanos) de comandos como “ps” o “netstat” (en entornos Unix), para evitar que las tareas ejecutadas con el sniffer sean descubiertas. Cuando los sniffers se emplean para la obtención de passwords, en ocasiones éstos no son necesarios, ya que los administradores de sistemas descuidan los equipos dejándolos configurados con las passwords que por defecto proporcionan los fabricantes. Aparte de los programas independientes existentes para ésta tarea, los sistemas operativos poseen sniffers en las distribuciones comerciales, típicamente utilizados por el administrador de red para resolver problemas en las comunicaciones.
Software general:
Software incluido en múltiples sistemas operativos:
-
Unix: ethereal
-
HP-UX: nettl
-
Solaris: snoop
-
Linux: tcpdump
Windows: Microsoft Network Monitor
Cisco IOS: comandos debug
Etherscan
Es una herramienta que monitorea la red buscando ciertos protocolos con actividad inusual, como puedan ser conexiones tftp - en este caso, si se han realizado con éxito nos indica qué archivos se han llevado , comandos en el puerto de sendmail (25 tcp) como vrfy, expn, algunos comandos de rpc como rpcinfo, peticiones al servidor de NIS (algunas herramientas utilizan este tipo de servidores para obtener el archivo de password, ej: ypx), peticiones al demonio de mountd, etc. Etherscan se ejecuta en modo promiscuo en la máquina utilizando (al igual que las anteriores) el NIT (Network Interface Tap de SunOs 4.1.x), y también el "Packet Filtering Interface" para realizar esas capturas.
Nstat
Esta herramienta que originariamente fue diseñada para obtener estadísticas de uso de varios protocolos, se puede utilizar para detectar cambios en los patrones de uso de la red, que nos puedan hacer sospechar que algo raro está pasando en la misma. Esta herramienta viene acompañada por dos utilidades que nos permiten analizar la salida que origina nstat, a saber: nsum, nload. La primera de ellas, nos da información de ciertos periodos de tiempo. La segunda, es un programa awk que produce una salida que puede ser vista de forma gráfica por herramientas como xvgr. Para concluir este apartado, podemos decir que esta herramienta es muy útil para detectar ciertos tipos de ataques, tal como hemos reflejado anteriormente (con etherscan), así como dar una idea de qué tipo de protocolos están viajando por la red. Además, tiene la ventaja de que al estar en modo promiscuo, con sólo tenerlo en una máquina del segmento se puede tener monitoreado todo el segmento en el que esté conectado.
ISS (Internet Security Scanner)
Es una herramienta de la cual existe versión de dominio público que chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa máquina. ISS es capaz de chequear una dirección IP o un rango de direcciones IP (en este caso se indican dos direcciones IP e ISS chequeará todas las máquinas dentro de ese rango). El programa viene acompañado de dos utilidades que son ypx y strobe. La primera, nos permite la transferencia de mapas NIS a través de la red y la segunda, chequea y describe todos los puertos TCP que tiene la máquina que chequeamos. Como podemos ver, con la primera herramienta es posible la transferencia de los archivos de "password" en aquellas máquinas que hayan sido configuradas como servidores de NIS. ISS se puede ejecutar con varias opciones y la salida se deja en un archivo. Además, si ha podido traerse el archivo de "password" de la máquina chequeada, creará un archivo aparte con la dirección IP de la máquina.
Sniffer de redes en Hardware integrado OptiView™ Serie II por Fluke.
E ste Sniffer en hardware roporciona respuestas rápidas a los problemas complejos de protocolos. El OptiView™ Serie II permite analizar la tendencia de los paquetes y hace gala de las mejores prestaciones para redes cableadas e inalámbricas ,Fluke Networks ha anunciado la disponibilidad del Analizador de redes integrado OptiView™ Serie II, la versión de OptiView incorpora muchas mejoras. El analizador aporta una visión inmediata en redes tanto cableadas como inalámbricas, lo que reduce el tiempo medio de reparación (MTTR). La principal novedad de es la opción Expert Viewer, que hace que el análisis de un archivo de captura de paquetes sea tan sencillo como pulsar la pantalla. Para el usuario, eso se traduce en mayor rapidez, facilidad y menor coste en la identificación, diagnóstico y resolución de problemas. La seguridad y la funcionalidad también han aumentado gracias al sistema operativo Windows XP Professional. El analizador de redes integrado dispone de una interfaz de usuario de pantalla táctil, grande y con retroiluminación brillante, y de sistemas integrados de diagnóstico experto, por lo que resulta ideal para la monitorización remota y como herramienta portátil de solución de problemas. Además, ofrece tres funciones esenciales para analizar redes de manera completa: descubrimiento de dispositivos, análisis y captura de paquetes.
Los paquetes se descodifican automáticamente y el Sistema Experto clasifica los problemas detectados por los niveles OSI, resume la dirección o el nombre de las estaciones implicadas, y la posición de las tramas en el archivo de captura que activan el Sistema Experto para identificar el problema. Además aporta descripciones a los problemas, las causas probables y las acciones recomendadas, todo ello en un lenguaje sencillo. Asimismo, la capacidad inalámbrica del nuevo producto permite a los técnicos de redes controlar la red y estar en contacto con ella. El analizador admite la conexión directa de todos los medios más habituales, incluyendo entornos 10/100/Gigabit Ethernet, tanto de cobre como de fibra.
Ademas el analizador también incorpora el navegador OptiView Browser, que permite al usuario acceder a cualquier otro analizador Fluke Networks conectado a la red, como Integrated, Workgroup y analizadores WAN de alta y baja velocidad, y controlarlo. La seguridad y la funcionalidad también se han mejorado gracias al sistema operativo Windows XP Professional.
Defendiendose de los Sniffer
Hasta ahora todavía no hay ninguna solución eficaz que pueda usarse como defensa contra los Sniffer. Los Administradores de red tendrán mucho que hacer si quiere reducir los daños de los Sniffer.El modo promiscuo y la protección contra sniffer de paquetes El modo promiscuo es un modo de operación en el que una computadora conectada a una red compartida captura todos los paquetes, incluyendo los paquetes destinados a otras computadoras.
Es muy útil para supervisar la red, pero presenta un riesgo de seguridad dentro de una red de producción. Muchas interfaces normales permiten utilizar este modo, aunque hay algunas tarjetas como las Token Ring de IBM que no permiten este funcionamiento por defecto. Mientras un administrador de redes puede emplear mucho tiempo en conseguir que su red sea difícil de ser atacada mediante sniffers utilizando firewalls, switches, detectores de modo promiscuo, etc., lo cierto es que la mejor forma de protegerse ante estos ataques es la de encriptar el tráfico de red.
Algunas técnicas son las siguientes: Secure Sockets Layer (SSL) está presente en todos los navegadores Web populares así como en los servidores HTTP más conocidos. Su ventajas ya han sido discutidas en numerosos artículos, pero para resumir diremos que permite una navegación encriptada no vulnerable (aunque alguien dijo que nada es invulnerable, y de hecho ya existen algunas utilidades para espiar tráfico SSL) a los sniffers. Por ello, este tipo de seguridad es utilizada en Internet para transmitir información privada de los usuarios, como por ejemplo el número de la tarjeta de crédito. PGP y S/MIME El correo puede ser interceptado de muchas formas alternativas. Tenga en cuenta que un correo electrónico necesita, para llegar a su destino, atravesar distintos servidores de red, firewalls y routers. Por ello, la posibilidad de que alguien pueda leer el correo es muy elevada si se envia sin ningún sistema de encriptación.
Los métodos más comunes para realizar esto son PGP (Pretty Good Privacy) y S/MIME (Secure MIME). PGP puede usarse como un añadido a diferentes productos y S/MIME está incluido en la mayoría de los nuevos gestores de correo como Outlook o Netscape, aunque dentro de Internet puede encontrar ambos productos para implementarlos en sus clientes (en páginas dedicadas a encriptación).
Secure Shell (Ssh) se ha convertido en el estándar de facto para acceder remotamente a servidores UNIX a través de Internet. Si aún sigue utilizando el protocolo telnet, debería reemplazarlo inmediatamente con este servicio. El producto fue diseñado por una compañía finlandesapero se puede encontrar en muchas implementaciones freeware. Virtual Private Networks (VPN) las redes virtuales privadas envían la información encriptada desde una red local a otra lejana geográficamente a través de Internet. En cambio, si un hacker interviene uno de los nodos iniciales de una red VPN podría aún capturar el tráfico. Sin duda es un sistema bastante fiable que es usado por la mayoría de las empresas que permiten el trabajo desde casa.
Conclusión
Un mundo interconectado vía redes de computadoras globales es cada ves mas real, por lo tanto los problemas tienden a crecer en las misma proporciones así como los problemas de seguridad. Cada día los administradores de red se encuentra con problemas a la hora de diagnosticar problemas a veces virus, spyware, troyanos, y ahora un nuevo enemigo los Sniffer. Durante esta investigación se pudo observar que representa uno de lo mayores problemas de robo de información, perdida de datos. Pero afortunadamente existen herramientas en software y hardware para frenar estos molestas herramientas de acceso no permitido.
Es por ellos que existen herramientas en software gratis o versiones comerciales para cada sistema operativo, también hay herramientas en hardware más complejas para monitoreo de redes mas complejas para aislar y diagnosticar estos molestos software espías que se instalan sin autorización.
|