Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
371 lecturas y 21 respuestas
  • Cerrado

    Detección de un sniffer en red con switch

    El mes pasado asistí a la Euskal Party 2003 (típica LAN Party), con 2048 participantes. Se que al menos un script kiddie estubo haciendo sniffing utilizando la técnica de ARP Poisoning con ethercap. El tío evidentemente se puso las botas, consiguiendo unas 300 claves de mail y casi otro tanto de web en su segmento de red (unas 90 personas).

    El elemento de conexión para ese segmento de red era un Cisco Catalyst 4500.

    Olvidandonos de protocolos seguros como solución, me gustaría saber si es posible detectar un sniffer en una red de este estilo (switch y y sniffer haciendo arp poisoning), y que se puede hacer con el tío aparte de ir a su puesto y cojerle de las orejas. No tengo demasiada idea sobre ataques, aunq he leído que se podría hacer un ataque DoS o de desbordamiento de buffer. Salu2 y gracias.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
      • Cerrado

        Gracias Stendall. De todas formas, ya sabes que no soy muy…

        Gracias Stendall. De todas formas, ya sabes que no soy muy amigo de Linux, y preferiría una solución Windows. Pero menos es nada 8-) . Como supongo q el año q viene llevaremos un servidor con Linux, podría valer. Salu2.

        • Cerrado

          ¿Una solución con que...? Si bueno, la solución en windows es…

          ¿Una solución con que...?

          Si bueno, la solución en windows es no enchufar tu ordenador a la red, no bajarte el correo, no usar los programas de mensajeria instantanea etc...

          No es por crear polemica, pero en estos temas (redes), con Windows estás vendido de antemano, no conozco de ningun programa para Windows que sirva para detectar envenenamientos de ARP o DNS en una red, que no quiere decir que no los haya, sí los conozco para Windows para hacer el envenenamiento, el man in the midle etc.., pero no se puede decir que funcionen muy bien.

          Si la party se celebró en una red con switch, supongo que el ataque lo habran llevado a cabo mandando paquetes de actualizacion de ARP a todos los ordenadores, falseando la mac de el gateway de salida hacia internet que tuviese la organización, para que todo el trafico se dirigiese hacia el ordenador de el que estaba realizando el ataque.

          Una manera de evitar esto, es actualizar la cache de ARP de tu ordenador, de manera que con mucha mas frecuencia de lo que lo hace el soft de el envenenador, tu mismo cambies la mac de el gateway, a la mac real, que deberias de conseguir de antemano, esto se puede hacer con un script de un par de lineas, si consigues hacer eso en windows, te puedes dar con un canto en los dientes.

          Un saludo.

          • Cerrado

            [Editado]

            Si elimino la entrada del gateway de la tabla arp de forma…

            Si elimino la entrada del gateway de la tabla arp de forma periódica, al crearse de nuevo la entrada quien responderá a la petición arp: el gateway real o el equipo con el sniffer? Pq si responde el gateway la solución es sencillisima. Salu2.

            P.D.: Creo q probaré cosas de estas en la red de casa, a ver que ocurre.

            P.D.2: ya se que para ti Windows sucks, pero tb recordarás que no me gusta demasiado Linux. Cada uno tiene sus gustos, y en serio, aun no he visto algo que no se pueda hacer en Windows y sí en Linux.

            • Cerrado

              Si eliminas la entrada de el gateway de la cache de arp de…

              Si eliminas la entrada de el gateway de la cache de arp de forma periodica, el envenenador te va a seguir mandando continuamente actualizaciones de arp con la mac falseada y estaras en las mismas.

              Lo que debes hacer es, o una vez que tienes la tabla de arp con los valores correctos, bloquear en un firewall todos accesos por arp, que se puede hacer con algun firewall medianamente decente como el visnetic (cosa que te daria mas problemas, por que el arp te hara falta para algunas cosas), o actualizas tu continuamente la cache de arp con la mac correcta de el gateway, pero ten en cuenta que el envenenador tambien va a estar haciendo eso continuamente, asi que así y todo, hay muchas posibilidades de que parte de el trafico tarde o temprano lo sigas mandando a su ordenador en vez de al gateway.

              Si hombre, para mi windows apesta, pero no por que no lo haya usado, si no precisamente por que lo he usado muchisimo tiempo, he programado, jugado, crackeado, navegado etc.. miles de horas en todos los windows y precisamente por eso pienso que apesta.
              Si no has visto algo que no se pueda hacer en windows y si en linux u otros, es por que no has visto mucho, si quieres te doy una lista de cosas para que intentes y me cuentas si lo puedes hacer en windows :)

              Un ejemplo, ¿puede funcionar windows en todos estos tipos de particiones?:

              Reiserfs
              ADFS file system
              Amiga FFS
              Apple Macintosh file system
              BFS file system
              Ext3 journalling file system
              DOS FAT fs
              VFAT
              EFS
              Compressed ROM file system
              Virtual memory file system
              Simple RAM-based file system
              ISO 9660 CDROM file system
              Minix fs
              FreeVxFS file system
              NTFS file system
              OS/2 HPFS file system
              QNX4 file system
              ROM file system
              System V/Xenix/V7/Coherent file system
              UDF file system
              UFS file system

              Aparte de la fat, ntfs, iso 9660 y udf....

              Por cierto que esto esta sacado de mi vetusto kernel y estoy todavia con el estable de debian, 2.4.18, en uno mas actual, pues mas y mejor.

              Otro dia hablamos de otras cosas, por ejemplo protocolos de red que NO soporta Windows.

              Un saludo.

              • Cerrado

                [offtopic]Me refería a cosas "utiles". No necesito soporte…

                [offtopic]Me refería a cosas "utiles". No necesito soporte para tantos sistemas de archivos, ni para más protocolos de red (con tcp/ip me sobra). Eso sí, tengo q reconocer que en temas de seguridad o de ataques, Linux está más provisto (la gente no programa este tipo de utilidades para Windows).[/offtopic]

                Volviendo al tema, entonces se me ocurre quitar la entrada erronea de la tabla arp y agregar de forma estática la dirección mac real del gateway. De esta forma el sniffer no podrá modificarla enviando paquetes de actualización. Salu2.

                • Cerrado

                  Me imagino que habrá alguna manera en Windows de mantener una…

                  Me imagino que habrá alguna manera en Windows de mantener una tabla de correspondencias IP-MAC estática y no actualizable. Ahora, como no soy usuario de Windows no sé como se hace en ese sistema. Sé que en FreeBSD se puede, así que me imagino que en cualquier otro BSD o sistema Linux se podrá también. Todo es investigar la manera.

                  Salu2.

                  • Cerrado

                    Crear una entrada estática en la tabla arp bajo Windows es…

                    Crear una entrada estática en la tabla arp bajo Windows es muy sencillo.

                    Primero borrar la ip del gateway cuya mac está falseada: arp -d x.y.z.t

                    Después crear la entrada estática: arp -s x.y.z.t ab-cd-ef-gh-ij-kl

                    Sólo una cosa... como averiguo la dirección mac real del gateway? Lo único q se me ocurre es ir a otros dos segmentos y comparar sus direcciones mac, y si coinciden, esa es la real. Pero supongo q existirá algún método para resolverla desde el propio pc afectado.

                    • Cerrado

                      Cuando decía una tabla me refería a algún fichero escondido o…

                      Cuando decía una tabla me refería a algún fichero escondido o algunas claves del registro donde colocar las correspondencias para no estar todo el día metiendo y sacando datos cuando arranques el ordenador.

                      A la pregunta que haces...he pensado varias maneras pero sólo se me ocurre una realmente segura: preguntar directamente al admin de la red y punto. Podría probarse sniffear el tráfico (un poco curioso lo de envenenar lo envenenado) y al encontrar algo raro jugar con ARPs y RARPs pero siempre te podrían engañar. No encuentro una manera 100% segura aunque me imagino que a alguien sí. En una red bien montada poquitos ARPs deberían verse.

                      Salu2.

                    • Cerrado

                      [Editado]

                      funciona. Prueba a simplemente a hacer pings al gateway por…

                      funciona. Prueba a simplemente a hacer pings al gateway por defecto. Pero claro todo depende a que velocidad te envia el "juanker" esos ARP replies falsos ...

                      Curiosamente tanto en windows como en linux, el comando para introducir de forma manual una entrada IP-MAC en la tabal ARP es EXACTAMENTE igual :
                      arp -s hostname hw_addr

                      Saludos

                      P.D: Una cosa que se me ocurre asi a bote pronto, es que antes de hacer nada podrias ver si tienes en la tabla ARP de tu pc la correspondencia entre la IP y la MAC de tu router por defecto. Si no la tienes todo va bien (de momento ;) ) , haces un ping al router y introduces de forma manual la MAC.
                      En cambio, si tu no has generado ningun tipo de tráfico (DHCP,ping,web,dns,etc) y ves la MAC del router en tu tabla, lo más seguro es que te la quieran meter doblada "hasiendote" el man in the middle... :P

                • Cerrado

                  No he usado mucho el arp en windows desde la linea de…

                  No he usado mucho el arp en windows desde la linea de comandos, y no estoy seguro de si las entradas estaticas tendran preferencia sobre las dinamicas, si es así, entonces esta solucionado el tema por la parte de arp :).

                  En cuanto a la "utilidad" de los sistemas de ficheros u otros protocolos de red, ¿piensas que no son utilies por que no los has necesitado usar, o que porque como no los tienes disponibles en windows no los has podido usar y entonces piensas que no son utiles?, creo que he enrrevesado un pelin la preguntita, pero creo que me entiendas por donde voy :).

                  Un saludo.

                • Cerrado

                  Con la debian y el kernel 2.4.18, que es lo estable, no pone…

                  Con la debian y el kernel 2.4.18, que es lo estable, no pone que sea experimental o parecido, lo unico que solo de lectura y en una Red Hat que andara con un kernel mas alto me imagino que este mas rodado.

                  Espero que te sirva.

                  Un saludo. ;-)

      • Cerrado

        [Editado]

        8) Ya que estamos me podrias pasar aquel enlace que te pase…

        8)
        Ya que estamos me podrias pasar aquel enlace que te pase sobre man in the middle, es que mis favoritos pasaron a mejor vida ... :P

        Axelko, no es precisamente lo que pides, pero hay un programita que "peta" los switch y los convierte en hubs ... ademas esta para hasefroch.

        Saludos

        • Cerrado

          [Editado]

          ¿Te acuerdas de algo de el link, el servidor, o lo que…

          ¿Te acuerdas de algo de el link, el servidor, o lo que fuese?, es que tengo unos cuantos links, solo de el tema de seguridad unos cientos, y ahora mismo no lo encuentro, pero seguire buscando.

          Por cierto, calor, lo que se dice calor, ha hecho, pero lo que mas jode es la humedad, pero creo que tengais vosotros mucha mas humedad que aqui.

          Un saludo.

          Editado.

          Hubo suerte:

          www.arp-sk.org/

    • Cerrado

      [Editado]

      Respeto que te guste Windows más que Linux, libertad de…

      Respeto que te guste Windows más que Linux, libertad de opinión. Pero por eso mismo, me gusta linux, pq es libre y po me hace sentir libre.
      Mucha gente no entiende esto, o le da igual, pero en windows no eres tu el maneja el ordenador, en linux si....
      Kernel, modulos... los scripts.. ! ME PONE!

      AiNuRsSs

      • Cerrado

        Eso nada mas lo puede entender quien haya visto la luz :), yo…

        Eso nada mas lo puede entender quien haya visto la luz :), yo tampoco cambio la libertad que me da Linux por nada del mundo, es mas si mañana windows fuera gratis y linux u otros sistemas abiertos fuera de pago, preferiria pagar por seguir usando linux o bsd que usar windows gratis.

        Un saludo.