La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Redes Sniffing Clase 21 Javier Echaiz D.C.I.C. – U.N.S.

Publicada porMaritza Vidal Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad en Redes Sniffing Clase 21 Javier Echaiz D.C.I.C. – U.N.S."— Transcripción de la presentación:

1 Seguridad en Redes Sniffing Clase 21 Javier Echaiz D.C.I.C. – U.N.S.

2 Introducción Sniffing es simplemente “espiar” pasivamente en una red.
Es una técnica empleada por hackers para obtener información importante. Ej: Username Password Puede también utilizarse como técnica de investigación.

3 Estructura LAN Computadoras y demás dispositivos de red (ej: impresoras) están interconectados mediante un medio de transmisión común. Sistema de cableado Par trenzado Coaxil Fibra óptica

4 (a) (b) RAM Ethernet Processor RAM ROM

5 Los standards de red definen los protocolos a nivel Link.
Ej: Conectores Longitud máxima para el cableado Sistema de transmisión Modulación Velocidad de transmisión Etc.

6 Los dispositivos de red se conectan al sistema a través de
Network interface card (NIC) NIC: Coordina las transferencias de información entre la computadora y la red. Transfiere información en paralelo desde y hacia la RAM de la computadora. Transfiere información en serie desde y hacia la red.

7 Cada NIC tiene una única dirección física “quemada” en ROM
Funciones Conversión Paralelo a Serie. Data buffering. Componentes Port según las especificaciones de conector y sistema de transmisión. Firmware en ROM que implementa el protocolo de MAC. Cada NIC tiene una única dirección física “quemada” en ROM Los primeros 3 bytes corresponden al fabricante. Los últimos 3 son un ID a cargo del fabricante.

8 Contiene HW que le permite reconocer
Su dirección física Dirección broadcast Direcciones multicast que identifican grupos de dispositivos de red. Puede setearse para que corra en modo “promiscuo”, donde es capaz de escuchar todas las transmisiones. Usuado por administradores para identificar problemas en la red. Usado por hackers para interceptar passwords y otro tipo de información no encriptada.

9 Topología Lan Thick Coax Thin Twisted pair Optical fiber 500m 200m
10Base5 10Base2 10BaseT 10BaseF Medium Thick Coax Thin Twisted pair Optical fiber Max Segment length 500m 200m 100m 2km Topology Bus Star Point-to-Point link

10 (a) transceivers (b)

11 (a) (b) Dominio de colisión único Backplane de Alta Velocidad    
      Dominio de colisión único Backplane de Alta Velocidad (b)    

12 ¿Cómo funcionan los Sniffers? (1)
Un sniffer de paquetes es un programa que “espía” el tráfico que circula por la red. Captura información mientras pasa por la red. Condiciones Normales: La información es puesta en frames. Cada frame se direcciona hacia una dirección MAC (media access control) particular.

13 ¿Cómo funcionan los Sniffers? (2)
Cada NIC y demás dispositivos de red tienen una única dirección MAC. Usualmente no se permiten cambios de MAC. La NIC solamente recibe paquetes con su dirección MAC, todos los demás se ignoran. Modo Promiscuo En este modo, la NIC pasará cada frame al protocolo superior sin importar la dirección MAC.

14 HTTP Request TCP Header IP Header Frame Check Sequence Ethernet Header

15 Sniffer Simple Socket() Bind() Promiscuous mode Recvfrom()

16 Comunicación connection-oriented (para refrescar su memoria)
socket() bind() listen() read() close() connect() write() blocks until server receives a connect request from client data Server Client accept() connect negotiation Comunicación connection-oriented (para refrescar su memoria)

17 Comunicación connectionless (para refrescar su memoria)
socket() bind() sendto() close() recvfrom() blocks until server receives data from client data Server Client Comunicación connectionless (para refrescar su memoria)

18 ioctl (1) ioctl Utilizada por los programadores para
Obtener información de la interfaz Configurar la interfaz. Acceder a la tabla de ruteo. Cache ARP. Puede utilizarse para poner la NIC en modo promiscuo!

19 ioctl (2) ioctl(int fd, int request, /*void *arg */); fd: sockfd
request: type of the request SIOCGIFFLAGS Return the interface flags in the ifr_flags member SIOCSIFFLAGS Set the interface flags from the ifr_flags member arg: address of an ifr record

20 Sniffer Simple (Código)
Código para un sniffer simple:

21 El Sniffer puede entonces examinar información interesante
Headers. Username y password. Protocolos interesantes para los hackers (1) telnet (port 23) ftp (port 21) POP (port 110) IMAP (port 143) NNTP (port 119) Rexec (port 512)

22 Protocolos interesantes para los hackers (2)
rlogin (port 513) X11 (port 6000+) NFS files Handles Windows NT authentication SMTP (Port 25) HTTP (Port 80) También se pueden “mirar” mensajes TCP, IP, UDP, ICMP, ARP, RARP.

23 ¿Qué puede hacer un Sniffer? (1)
Determinar el gateway local de una red desconocida. Simple password sniffer. Haciendo parsing de cada paquete y guardando información relevante. Guardar todas las URLs pedidas (a partir del tráfico HTTP) y analizarlas offline.

24 ¿Qué puede hacer un Sniffer? (2)
Interceptar paquetes de un host destino falseando respuestas ARP. Inundar la red local con direcciones MAC random.

25 Detección de Quiet Sniffers
Propiedades Recolectar datos únicamente No responder ni generar nuevo tráfico Requiere chequeo físico Conexiones Ethernet Chequear la configuración de la NIC ej. ifconfig -a

26 Detección de Sniffers Maliciosos (1)
DNS Test Crear numerosas conexiones falsas de TCP Esperando que un sniffer mal escrito Espie esas conexiones. Resuelva los IPs de esos hosts inexistentes. Cuando hace la búsqueda DNS (reverse), una herramienta de detección de este tipo de ataque puede ver si el target (haciendo sniffing ) es el host inexistente.

27 Detección de Sniffers Maliciosos (2)
Ping Test Construir un ICMP echo request Inicializar la dirección IP con el IP del host sospechado. Deliberadamente elegir una MAC que no corresponda. La mayoria de los sistemas ignorarán este paquete debido a que su dirección (HW) está mal. En algunos sistemas, si la NIC está en modo promiscuo, el sniffer tomará este paquete como legítimo y responderá acordemente. Si el host sospechado responde a nuestro pedido sabremos que está en modo promiscuo. Los hackers “capacitados” saben esto y filtran estos paquetes…

28 Detección de Sniffers Maliciosos (3)
ICMP Ping Latency Test Hacerle un ping al host sospechado y obtener el round trip time. Crear muchas conexiones TCP falsas. Esperar que el sniffer procese estos paquetes… la latencia se incrementará. Enviar un nuevo ping a la máquina sospechada para ver si el round trip time aumentó.

29 Detección de Sniffers Maliciosos (4)
ARP Test Enviar un pedido ARP al host sospechado con información válida salvo por la dirección de MAC destino. Una máquina que no está en modo promiscuo nunca vería este paquete. Si está en modo promiscuo, el pedido ARP sería visto y el kernel respondería…

30 Evitando el Sniffing (1)
La mejor forma de evitar este problema es no permitirle al hacker acceso a nuestros sistemas. Utilizar switches en lugar de hubs. Con un hub todo el tráfico es visible para cada máquina de la LAN en el mismo dominio de colisión. En un ambiente con switches, los frames son vistos únicamente por las interfaces “colgadas” en cada port.

31 Evitando el Sniffing (2)
Sin embargo algunos sniffers pueden “espiar” en redes switcheadas. La mejor forma de evitar los daños causados por un sniffer es no enviar usernames/passwords planos por la red. La encripción es crucial. Usar SSH en vez de telnet. Usar HTTPS en vez de HTTP. Usar SCP y SFTP para transferencia de archivos.

32 Técnicas Avanzadas de Sniffing (1)
¿Qué tan seguro es un switch? Los switches mantienen una lista interna de las direcciones MACs de los hosts que se encuentran en cada port. Se envía el tráfico unicamente a un port solamente si la dirección destino está presente en ese port. Los atacantes tienen nuevas formas para evitar estos avances tecnológicos.

33 Técnicas Avanzadas de Sniffing (2)
ARP Spoofing Es posible sobreescribir la cache ARP en muchos sistemas operativos. Es posible asociar la dirección MAC con la dirección IP del gateway default. Provocar que todo el tráfico saliente desde el host target sea transmitido al host del atacante. El hacker puede tambien falsificar respuestas ARP. El sniffer Dsniff (Dug Song) incluye un programa llamado “arpredirect” que hace exactamente esto.

34 Técnicas Avanzadas de Sniffing (3)
ARP Flooding Un switch debe mantener una tabla de todas las MACs “colgadas” de cada port. Si existen muchas direcciones MACs en un solo port algunos switches mandan todo el tráfico a ese port. Ej: switches que replican todo el tráfico en un port dado (fines estadísticos). Dsniff incluye un programa “macof” que facilita el flooding de un switch con direcciones MAC random.

35 Técnicas Avanzadas de Sniffing (4)
Routing Games Cambiamos la tabla de ruteo del host que queremos monitorear Todo el tráfico de la red pasará a través de nuestro host. Enviamos un route advertisement message falso a través del Routing Information Protocol (RIP). Nos declaramos a nosotros mismos como gw default. Habilitamos el IP forwarding y seteamos el default gw a la red real. Todo el tráfico saliente del host pasará por nuestro host. No podemos recibir tráfico de retorno.

36 Algunos Sniffers (1) Tcpdump Hunt Linux-Sniff Sniffit Ethereal
Hunt Linux-Sniff Sniffit Ethereal

37 Algunos Sniffers (2) Snort Karpski Gnusniff Dsniff
Karpski Gnusniff Dsniff

Descargar ppt "Seguridad en Redes Sniffing Clase 21 Javier Echaiz D.C.I.C. – U.N.S."

Presentaciones similares

Dirección IP - Características

Dirección IP - Características
Curso de Java Java – Redes Rogelio Ferreira Escutia.

Curso de Java Java – Redes Rogelio Ferreira Escutia.
Repaso LAN Características Servidores: dedicados, no dedicados

Repaso LAN Características Servidores: dedicados, no dedicados
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
Internet y tecnologías web

Internet y tecnologías web
De los hubs a las VLAN.

De los hubs a las VLAN.
TEMA1. Servicios de Red e Internet

TEMA1. Servicios de Red e Internet
COMP 417 TROUBLESHOOTING IP ADDRESSING. PROBLEMA Un usuario dentro del Sales LAN no puede acceder al Server B. Usted debe ejecutar los cuatro pasos básicos.

COMP 417 TROUBLESHOOTING IP ADDRESSING. PROBLEMA Un usuario dentro del Sales LAN no puede acceder al Server B. Usted debe ejecutar los cuatro pasos básicos.
Componentes de las redes fisicas

Componentes de las redes fisicas
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.
CLASE 3 SOFTWARE DEL MICROPROCESADOR

CLASE 3 SOFTWARE DEL MICROPROCESADOR
Conexión a Internet a través de un ISP

Conexión a Internet a través de un ISP
Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.

Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.
Capacitación de Herramientas para el Desarrollo WEB Modulo I- Fundamentos de Internet Sesión #1 María Paz Coloma M.

Capacitación de Herramientas para el Desarrollo WEB Modulo I- Fundamentos de Internet Sesión #1 María Paz Coloma M.
Seguridad en Redes ARP Spoofing.

Seguridad en Redes ARP Spoofing.
Servicios de red e Internet

Servicios de red e Internet
“PROTOCOLOS DE COMUNICACIÓN ONLINE”

“PROTOCOLOS DE COMUNICACIÓN ONLINE”
29/03/2017 ROUTING IP Herramientas Basicas Redes Convergentes.

29/03/2017 ROUTING IP Herramientas Basicas Redes Convergentes.

Presentaciones similares

Anuncios Google