BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

A ver si me aclarais esta duda existencial ;)

1
anthrax

Tengo una duda, a ver si en este foro me la responde alguien :)

La pregunta es la siguiente:

Para montar el "escenario", pondre por ejemplo la red IP de telefonica (RIMA), ya que es la red por la que la mayoria de internautas españoles pasamos. Hay en esta red algun dispositivo, que esnife el trafico de la red (por ejemplo en puntos especificos)?, que capture el trafico "sospechoso"... No que esnife trafico legitimo, sino que SOLO esnife el tráfico "ilegal".

No creo que los propios routers de la backbone de la telefonica hagan eso, no? Supongo que los cisco , solo enrutan que es su trabajo.

Porque entonces como rastrean la IP origen de una ataque o intrusión? O solo la pueden obtener si la maquina destino logea las IP's? (un firewall, por ejmplo).

Un ejemplo facil es por ejemplo el control del tráfico TCP del puerto 139(Netbios). Por lo que yo se ninguna maquina en la red de telefonica filtra este puerto (para que netbios en internet? ... :P), y es relativamente fácil encontrar maquinas con recursos compatidos ( que se lo digan al worm opaserv 8) ). Este trafico se logea en algun sitio, o si acaso solo en las maquinas con firewalls que logeen?

Bueno pos a ver si alguien sabe algo de esto y me quito esta duda existencial que no me deja dormir ... :D

Saludos

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
FreeBSD

...porque yo me iba tranquilamente a la cama ahora mismo y vienes con esta preguntita que me va a hacer pensar toda la santa noche :-P .

Tengo una media respuesta pero me lo voy a pensar un poco más si no te importa ya que creo que tengo documentación sobre algo que puede darnos alguna respuesta.

Salu2.

🗨️ 1
anthrax

Es una placer ayudarte a no dormir ... :P

Saludos

flix

El operador no guarda ese tipo de informacion, se limita a recoger la informacion de que IP tenia cada uno de sus usuarios a determinada hora. Imaginate la cantida de espacio que tendrian que dedicar para guardar cada una de las tramas TCP de sus usuarios.
Asi que como no lo logen en la maquina destino, o en su defecto en un firewall o algo asi que tengan en la red de destino, no se guarda nada; y dime quien tiene la auditoria habilitada, en casa casi nadie, en empresas, tampoco te creas que se hace bien en todos los sitios.

Polanko2k

Tiene razon el k esta aki encima (perdon, no me acuerdo :p) lo unico que queda guardado es la relacion cliente-ip cuando alguien es atacado, da la ip y pueden saber que cliente ha sido. Daria mucho trabajo tener un sniffer escuchando en una red tan grande y alguien examinando los valores...

FreeBSD

No he encontrado nada de información al respecto, lo cual no quiere decir que no la tenga porque recuerdo cosas vagamente (es que uno se hace mayor).

Obviamente resulta impensable que se "esnifee" el tráfico de la manera que podemos imaginar datagrama IP por datagrama IP. Mucho menos en el backbone ya que creo recodar que como backbone de la red IP también se usa la malla central ATM, y ATM transporta el tráfico de manera transparente. Además cada datagrama IP tiene un encaminamiento independiente por lo que datos de una misma conexión puede llegar a su destino por caminos diferentes. Por lo que eso queda absolutamente descartado.

Pero en routers de menor nivel quizá sí podría ser posible detectar actitudes sospechosas, por electrónica sí que es viable. El problema sería llegar a mantener una política de detección que no sobrecargara el almacenamiento. Si tu miras el logging de tu firewall o router y ves cosas raras, una maquina puede hacer lo mismo y más rápido que tu. Descartaría aquello que le parece normal y de aquello que le parece sospechoso podría dejar constancia.

Yo creo que a cierto nivel sí que es viable. Lo que no sé es si realmente esto se pone en práctica.

Salu2.