Seguridad Informtica

SNIFFER

SNIFFER
Contenido
Seguridad Informtica SNIFFER................................................................................................1 SNIFFER..............................................................................................................................................1 SNIFFER..............................................................................................................................................1 Introduccin......................................................................................................................................2 Riesgos.............................................................................................................................................3 Tipos de snnifers...............................................................................................................................3 TCPDUMP...................................................................................................................................3 DARKSTAT Y TRAFFIC-VIS....................................................................................................4 DARKSTAT.................................................................................................................................4 TRAFFIC-VIS..............................................................................................................................4 NGREP.........................................................................................................................................5 SNORT.........................................................................................................................................5 NWATCH.....................................................................................................................................6 ETHEREAL.................................................................................................................................7 ETTERCAP..................................................................................................................................7 KISMET.......................................................................................................................................8 Bsqueda de sniffers.........................................................................................................................8 Tcnicas de deteccin local..............................................................................................................9 Tcnicas de deteccin remota desde el mismo segmento de red....................................................10 Dependientes del sistema operativo.......................................................................................10 No dependientes del sistema operativo..................................................................................11

SNIFFER

Introduccin

Seguridad Informtica

SNIFFER

Un sniffer es un programa informtico que registra la informacin que envan los perifricos, as como la actividad realizada en un determinado ordenador. Contenido

A diferencia de los circuitos telefnicos, las redes de computadoras son canales de comunicacin compartidos. El compartir, significa que las computadoras pueden recibir informacin proveniente de otras maquinas. Al capturar la informacin que viene de otra parte de la red se le llama "sniffing". Las mas popular manera de conectar computadoras es a travs del Ethernet. El cableado Ethernet trabaja por el envo de paquetes de informacin por todos los nodos de la red. El paquete contiene en su cabecera la direccin de la maquina destino. Solo la maquina que contenga dicha direccin podr aceptar el paquete. Una maquina que acepte todos los paquetes sin importar los que contenga la cabecera, se dice que esta en estado promiscuo. Un sniffer es un programa de para monitorear y analizar el trafico en una red de computadoras, detectando los cuellos de botellas y problemas que existan en ella. Un sniffer puede ser utilizado para "captar", lcitamente o no, los datos que son 2

Seguridad Informtica SNIFFER transmitidos en la red. Un ruteador lee cada paquete de datos que pasa por el, determina de manera intencional el destino del paquete dentro de la red. Un ruteador y un sniffer, pueden leer los datos dentro del paquete as como la direccin de destino.

Riesgos
Supone una amenaza grave para la seguridad no slo de una mquina sino tambin de toda una red. Gran cantidad de trfico confidencial viaja en claro, sin ningn tipo de cifrado, por las redes de la mayora de las empresas. Ese es el entorno ideal para un sniffer, que puede acceder de forma transparente a esa informacin, y permitir que alguien abuse de su conocimiento. Por eso es muy importante realizar bsquedas peridicas de sniffers dentro de las redes de cualquier empresa, no slo por el dao que puedan causar, sino tambin porque encontrarlos es seal de que se ha producido y explotado una grave brecha y hay que tomar medidas inmediatas. Existen casos en los que un sniffer no es peligroso. A veces, explorando una red en busca de sniffers se detectar que hay algunos, por ejemplo, en mquinas que dependen del departamento de administracin de redes. Esto puede ocurrir porque, en realidad, un sniffer no se diferencia demasiado de una herramienta de monitorizacin y diagnosis del trfico de red que puede estar siendo legtimamente utilizada por personal encargado de la administracin de la red. Otros dispositivos, especialmente routers y hub, suelen producir falsos positivos que hay que tener en cuenta.

Tipos de snnifers
TCPDUMP
Tcpdump muestra las cabeceras de los paquetes que captura de un interfaz de red dado y que cumplen la expresin pasada al ejecutar, es decir, te permite 3

Seguridad Informtica monitorizar trfico de red en tiempo real.

SNIFFER

Los filtros que se pueden crear para mostrar tan slo la informacin que nos interesa , hacen de tcpdump una herramienta muy potente para el anlisis de trfico en redes de comunicaciones. Tcpdump es una aplicacin peligrosa, por lo que en los sistemas UNX slo se permite su utilizacin al usuario root. Luego, tcpdump permite examinar todas las conversaciones, incluyendo mensajes de broadcast SMB y NMB . Mientras que sus capacidades en deteccin de errores estn principalmente a nivel de capa de red OSI, todava puedes usar su salida para obtener una idea general de qu estn intentando hacer el servidor y el cliente. En Windows, en lugar del tcpdump se usa el siWindump.

DARKSTAT Y TRAFFIC-VIS DARKSTAT

Darkstat es una herramienta para monitorizar una red, que analiza el trfico de la misma y genera un informe estadstico en formato HTML, basndose en los datos obtenidos. Entre las observaciones que se que generan realiza en el la programa permite: realizar la estadstica de direcciones comunicacin entre hosts, el trfico que se produce, y los diferentes nmeros de puerto usados por los diversos protocolos. Adicionalmente, el programa permite obtener un breve resumen y grficos por perodos de tiempo de los paquetes analizados desde que se empieza a ejecutar el programa.

TRAFFIC-VIS
Traffic-vis proceso demonio que monitoriza el trfico TCP/IP y convierte esta informacin en grficos en ASCII, HTML o Postscript. Traffic-vis tambin permite analizar el trfico entre hosts para determinar qu hosts han comunicado y el volumen de su intercambio (tenga en cuenta que necesita libpcap. traffic-vis 4

Seguridad Informtica SNIFFER puede obtenerse en http://www.ilogic.com.au/~dmiller/traffic-vis. html.

NGREP
Muestra y busca paquetes. Ngrep se esfuerza por proveer de la mayora de caractersticas comunes del grep de GNU, aplicndolas a la capa de network de ({network OSI). layer} ngrep del es modelo referencia

consciente de la presencia de pcap y permite usar expresiones regulares que concuerden con el payload ( o sea la carga, el cuerpo, y _no_ los encabezados) de los paquetes. Actualmente reconoce TCP, UDP, e ICMP sobre Ethernet, PPP, SLIP e interfaces nulas {null interfaces}, y comprende la lgica de un filtro bpf de la misma manera que herramientas ms comunes de sniffing como tcpdump y snoop.

SNORT
Snort es un IDS o Sistema de

deteccin de intrusiones basado en red (NIDS). Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida como patrones que alguna corresponden intentos o vulnerabilidad, a ataques, aprovechar anlisis de barridos,

protocolos, etc., conocidos, todo esto en tiempo real. Est disponible gratuitamente bajo licencia GPL, y funciona en plataformas Windows y UNIX/Linux. Es uno de los ms usados y dispone de una gran cantidad de filtros o patrones predefinidos, as como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a travs de los distintos boletines de seguridad. 5

Seguridad Informtica

SNIFFER

Este IDS implementa un lenguaje de creacin de reglas flexibles, potente y sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap Puede funcionar como sniffer (podemos ver en consola y en tiempo real lo que ocurre en nuestra red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Daremos una importancia mayor a su funcionamiento como NIDS y, sobre todo, a la creacin personalizada de reglas e interpretacin de las alertas. La colocacin de Snort en nuestra red puede realizarse segn el trfico que se quiera vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall, etc., casi donde queramos.

NWATCH
NWatch es un succionador, pero se en puede que conceptuar est resultados como portuario pasivo del explorador, solamente como un interesado en trfico del IP y organiza explorador portuario. Esto agrega la ventaja de que cualquier herramienta que funcione encendido tal salida (NDiff) puede utilizar los datos. NWatch se diferencia de un explorador portuario real de muchas maneras. Por ejemplo, coger los puertos que se abren solamente transitorio, algo que en un explorador portuario faltara probablemente. Para la seguridad de la red NWatch es un complemento excelente a la puerto-exploracin regular de sus redes. Por defecto, NWatch permanece activo indefinidamente hasta que recibe un SIGINT (CTRL-c). Durante ese tiempo mira el interfaz del defecto (eth0), siguiendo cada combinacin del IP host/port que descubre. En el ltimo caso 6

Seguridad Informtica SNIFFER sera tpicamente til para espiar o quizs muestreo y anlisis de los patrones del uso neto ms bien que supervisin de la seguridad.

ETHEREAL
Ethereal que ahora se llama Wireshark, es un potente analizador libre de protocolos de redes, funciona bajo Unix, Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la informacin a partir de una captura en disco (puede leer ms de 20 tipos de formato distintos). Destaca tambin por su impresionante soporte de ms de 300 protocolos, gracias sin duda a la licencia GPL y sus ms de 200 colaboradores de todo el mundo. Una de las cosas que ms cuesta entender cuando uno comienza con ethereal es la utilizacin de los filtros a la hora de capturar datos (el tpico error: Unable to parse filter string (parse error), puesto que utiliza un sistema para visualizar los datos y otro totalmente diferentes e incompatible para realizar las capturas (tcpdump). La potencia y posibilidades del Ethereal son excelentes.

ETTERCAP
Ettercap es un

sniffer/interceptor/logger para redes LAN con switchs, que soporta la diseccin activa y pasiva la red y del host (anfitrin). Entre sus funciones, las ms destacadas son las siguientes: Injection de caracteres en una conexin establecida emulando comandos o 7 de muchos protocolos(incluso cifrados) e incluye muchas caractersticas para el anlisis de

Seguridad Informtica respuestas mientras la conexin est activa. conexiones seguras con SSH. Compatibilidad con HTTPS: Intercepta conexiones mediante

SNIFFER

Compatibilidad con SSH1: Puede interceptar users y passwords incluso en http SSL

(supuestamente seguras) incluso si se establecen a travs de un proxy. Intercepta trfico remoto mediante un tnel GRE: Si la conexin se establece mediante un tnel GRE con un router Cisco, puede interceptarla y crear un ataque Man in the Middle. Man in the Middle contra tneles PPTP (Point-to-Point Tunneling Protocol). Soporte para Plug-ins.

KISMET
Kismet es un sniffer especfico a Linux para redes inalmbricas. Especficamente , es un detector de la red 802.11 layer2,un succionador, y un sistema sin hilos para la deteccin de la intrusin. Funciona correctamente con los dos principales tipos de tarjetas inalmbricas , es decir , trabajar con cualquier tarjeta sin hilos que apoye modo de supervisin crudo (rfmon) y puede oler 802.11b , 802.11a y el trfico 802.11g. Kismet identifica redes de modo pasivo, recogiendo paquetes y detecta redes nombradas estndares, redes ocultas e infiere la presencia de redes nonbeaconing va trfico de los datos.

Bsqueda de sniffers
Existen diferentes aproximaciones al problema de cmo detectar un sniffer, y que stas varan segn se tenga acceso local a la mquina, o bien haya que descubrirlos desde alguna mquina remota. El objetivo que la mayora de pruebas tratan de conseguir es que la mquina que tiene la tarjeta de red en modo promiscuo se traicione a s misma, revelando que ha tenido acceso a informacin que no iba dirigida a ella y que, por tanto, tiene un sniffer. ste es un objetivo ambicioso y complejo que puede resultar imposible. 8

Seguridad Informtica

SNIFFER

A veces resulta completamente imposible detectar un sniffer. Por ejemplo, si el sniffer ha sido diseado exclusivamente para esta tarea (generalmente dispositivos hardware), entonces no devolver jams un paquete, no establecer nunca una comunicacin, sino que permanecer siempre en silencio y su deteccin remota ser, simplemente, imposible. La deteccin de este tipo de sniffers slo puede hacerse por inspeccin directa de los dispositivos conectados a la red.

Tcnicas de deteccin local

Aunque no se trata de una tarea trivial, sta es, con mucho, la situacin en que resulta ms sencillo localizar un sniffer. Normalmente basta con revisar la lista de programas en ejecucin para detectar alguna anomala (CTRL+ALT+SUPR o ps aux|more). Otro buen sitio donde mirar es en la lista de los programas que se inician automticamente al encender el PC archivos /etc/rc.d/rcX.d/* o.bashrc, etc. en un sistema Unix y autoexec.bat o ciertas claves del Registry en una mquina Windows) o las tareas programadas (cron, at). En una mquina con alguno de los sistemas operativos de la familia Unix se dispone de una utilidad que resulta especialmente valiosa en la lucha contra los sniffers. Se trata de ifconfig, orden que informa del estado de todas las interfaces de red del sistema e indica si alguna de ellas se encuentra en modo promiscuo. Esta metodologa de deteccin local de sniffers depende del buen funcionamiento de la orden ifconfig. Es importante destacar que los ejemplos anteriores son slo triviales y no pretenden ser una enumeracin exhaustiva. Hay decenas de posibilidades, algunas muy ingeniosas y nada elementales. Cualquier novedad o anomala debe ser investigada en profundidad porque podra revelar no slo un sniffer en funcionamiento sino tambin otros programas que supongan una grave amenaza (virus, troyanos, gusanos, etc.). 9

Seguridad Informtica

SNIFFER

Tcnicas de deteccin remota desde el mismo segmento de red

Es en este entorno el que donde realizar ms de su frecuentemente seguridad tiene administrador

investigacin. Existe un cierto nmero de tcnicas heursticas que son de utilidad y que se presentan a continuacin, pero hay que tener claro que estas tcnicas tienen bastantes limitaciones y que no resulta en absoluto improbable que exista un sniffer en la red y que no sea detectado (falso negativo) o que mquinas o usuarios completamente inocentes sean detectados como sniffers (falsos positivos). Por su mbito de aplicacin, estas tcnicas se pueden dividir en dos grupos: las dependientes del sistema operativo y las que no lo son.

Dependientes del sistema operativo.

Como su propio nombre indica, estas tcnicas usan algn fallo o caracterstica propia de determinados sistemas operativos (o parte de ellos, como el subsistema TCP/IP) para reconocer a una tarjeta de red en modo promiscuo. La ventaja que tienen es su excelente rendimiento cuando se exploran mquinas que tienen justamente la versin del sistema operativo del que la tcnica obtiene partido. La desventaja fundamental es el gran nmero de falsos negativos que ocasiona debido a que en muchos casos las implementaciones de la pila TCP/IP varan entre versiones del mismo sistema operativo con la accin a nivel fsico, es volver a inspeccionar la MAC (MAC address) de destino, aunque tambin se puede hacer a nivel de IP. 10

Seguridad Informtica

SNIFFER

No dependientes del sistema operativo.

En general el son menos fiables de estas Otras y menos

concluyentes. Suelen basarse en suposiciones sobre comportamiento alguna de determinados tcnicas son en ms sniffers, que pueden no darse en casos concretos, convirtiendo completamente intiles.

generales, pero poco resolutivas, porque no clasifican, simplemente dan indicios que en muchos casos no son suficientes. No suelen proporcionar muchos falsos positivos, aunque pueden ser burladas y utilizadas para inculpar a terceras personas. Tampoco falsos negativos, aunque la ltima generacin de sniffers ya incorpora tcnicas de evasin bastante sofisticadas que evita su deteccin. [editar] Herramientas de deteccin remota desde el mismo segmento de red La mejor herramienta de deteccin de sniffers en la actualidad es AntiSniff, de L0pht. Se trata de un programa comercial con una versin de evaluacin de 15 das que implementa todos los tests citados anteriormente, junto a algunas variaciones muy interesantes. Sin embargo, al poco de anunciarse su aparicin se desarroll un sniffer gratuito y con cdigo fuente disponible llamado AntiAntiSniff que no es detectado por ninguno de los test que AntiSniff realiza. AntiSniff est disponible para Windows NT/2000 y hay una versin de prueba gratuita y con cdigo fuente disponible en desarrollo para diferentes versiones de Unix que, eso s, est muy por detrs de la versin de Windows NT/2000 en cuanto a interfaz grfica. Le sigue, en cuanto a utilidad y no precisamente de cerca, el proyecto Sentinel, que tiene la ventaja de ser un proyecto pblico y abierto que permite acceder al cdigo fuente del programa. En la actualidad es slo capaz de realizar unos pocos tests, muchos menos que AntiSniff, pero tiene un interesante futuro por delante que hace recomendable su seguimiento.

11