PRÁCTICA II: Sniffing

Juan Puig Martínez - infjpm04@ucv.udc.es

• a)

  Instalamos el sniffer que vamos a utilizar

  # apt-get install ettercap

  Algunos manuales de uso:

  • http://www.cs.vassar.edu/cgi-bin/man2html?ettercap+8
  • http://ettercap.sourceforge.net/forum/viewforum.php?f=8
  • http://www.gurx.net/index.php?sec=documentacio&element=23
  • http://www.telefonica.net/web2/telamarinera/facu/ettercap.zip
  • http://foro.elhacker.net/index.php/topic,139427.0.html
• d)

  Para capturar el login y el password de una sesión que utilice texto en claro nos pondremos a sniffear cualquier máquina donde se vaya a usar un protocolo no seguro, como http, telnet o ftp.

  # ettercap -T -l fichero_de_log /ip/ [/proxy/]

  • -T: Interfaz en modo texto, nos muestra todo por consola.
  • -L: Guarda los resultados en el fichero de log corresopndiente.

  ettercap generará dos ficheros *.eci, *.ecp. Para visualizarlos podemos usar el programa etterlog.

  También podremos ejecutar ettercap en modo gráfico (ncurses based GUI):

  # ettercap -C

  Página del manual de la interfaz:

  #man 8 ettercap_curses

• e)

  El sniffer se interpone entre una máquina y el router del segmento, haciendo pensar a la máquina que el sniffer es el router, y al router que el sniffer es la máquina. El sniffer intercepta todos esos paquetes, los copia y les modifica las cabeceras para redirigirlos hacia su destino original, para que nadie sospeche de ello. Esta técnica es conocida como Man-in-the-middle.

• f)

  Capturamos un simple paquete de http con ethereal, desplegamos la pestaña "Internet Protocolo".

  

  ARP (Address Resolution Protocol). Protocolo de nivel de red responsable de encontrar la dirección hardware (MAC) que se corresponde a una determinada dirección IP.

  

• g)

  Protocolos no seguros:

  • HTTP
  • Telnet
  • FTP
• h)

  Protocolos seguros:

  • HTTPS
  • SSH
  • FTPS
• i)

  

• j)

  Desde la interfaz del ettercap podemos explorar fácilmente las máquinas del segmento de red.

  

  También desde nast con la opción -m:

  nast -m , --host-list// Map the LAN by performing a sires of ARP requests to sequential subnet IP adresses

• k)

  

• l)

  Opción 'p' para activar algún plugin en el modo texto. Para detección de sniffers podemos elegir el plugin 'find_ettercap'.

• m)

  Para registrar cambios IP-MAC:

  nast -c, --check-arp-poisoning

  Otras opciones interesantes de nast:

  • nast -P [ip_test | all] // Check promisc mode
  • nast -s // Port scanner
  • nast -M // Port scanner for all LAN hosts
  • nast -l filename // Save filename log
• o)

  En líneas generales:

  • Realizar comprobaciones y solucionar problemas en la red de modo legal.
  • Esnifar todo tipo de información de paquetes que viajan a través de protocolos no seguros.

  Es importante remarcar el hecho de que los sniffers solo tienen efecto en redes que parten el medio de transmisión como en redes sobre cable coaxial, cables de par trenzado, o redes wifi. El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas únicamente a sus correspondientes destinatarios.

  De forma más extensa:

  • Captura automática de contraseñas enviadas en claro, y nombres de usuarios de red.
  • Conversión del tráfico de red en uno fromato entendible por los humanos.
  • Análisis de fallos para descubrir probemas en la red, tales como ¿por qué no se puede establecer una conexión entre dos máquinas?
  • Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.
  • Detección de intrusos, con el fin de descubrir hackers. Aunque para ello existen programas específicos: IDS. Son prácticamente sniffers con funcionalidades específicas.
  • Creación de registros de red, de modo que los hackers no puedan detectar que están siendo investigados.
• q)

  Instalamos la herramienta:

  # apt-get install tripwire

  Durante la instalación nos pedirá un par de contraseñas para codificar la base de datos. Una vez terminada la instalacón, generamos la base de datos:

  # tripwire -m i -v

  Tardará unos minutos. El fichero de la base de datos quedará almacenado en /var/lib/tripwire/*.twd

  Consejos: No actualice su base de datos si existe alguna posibilidad de que su sistema se haya comprometido. Así se invalidarán dichas firmas y se asegurará de que su base de datos es útil.

  Para actualizar la base de datos:

  # tripwire -mu u -r path-to-report

  Para actualizar el fichero de políticas:

  # tripwire -m p policy_file.txt

  El fichero de políticas estará en: /etc/tripwire/twpol.txt y el codificado /etc/tripwire/tw.pol

  Una vez editado el fichero de políticas y actualizado debería copiarse el *.txt en un lugar seguro y borrarlo de la máquina para que ningún intruso sepa nuestras políticas.

  Una regla general del fichero de política sigue el siguiente formato:

  file/directory name -> property mask;

  donde, + registra una propiedad, y - la ignora.

  Existen mácaras de propiedad predefinidas:

  • $ReadOnly
  • $Dynamic
  • $Growing
  • $Device
  • $IgnoreAll
  • $IgnoreNone

  Algunas variables de máscara de propiedad:

  • SEC_CRIT
  • SEC_BIN
  • ...

  Archivos binarios: /usr/sbin

  Base de datos: /var/lib/tripwire

• s)

  Capturamos con ethereal paquetes de respuesta.

  Ejemplo: Servidor Apache de máquina *.204

  

  Con nmap podemos obtener información sobre el sistema operativo

  

  y sobre la versión de los servicios lanzados.

  

• s)

  # apt-get install pads

  pads encuentra servicios de BitTorrent por las conexiones de red del host anfitrión.

  

  En una detección activa, se efectúa un intento de conexión a todos los puertos, con la posibilidad de detección. Los intentos quedan registrados en logs. Mientras que una pasiva, es menos agresiva, más lenta y más segura

• u)

  Tenemos dos opciones:

  1. tcpkill -i eth0 {expresion}
  2. nast -r

  Para conseguir el programa tcpkill instalaremos la herramienta dsniff

  # apt-get install dsniff

  dsniff también instalará tcpnice que permite limitar el AdB de una conexión.

• v)

  Detección de máquinas en modo promiscuo en la red

  Las herramientas de detección de interfaces en modo promiscuo se basan en el envióio de paquetes que nadie responderá, salvo por equipos en modo promiscuo.

  • Detección de latencia en paquetes ICMP: Este método lanza muchas peticiones TCP erróneas para que ningún equipo las tenga en consideración. Tras ésto, se manda ping a todas las máquinas. La máquina en modo promíscuo tardará en responder ya que está ocupada procesando paquetes.
  • Detección mediante paquetes ping ICMP: Se lanza un ping a una máquina sospechosa, con la MAC del paquete errónea. Si la máquina está en modo promiscuo, responderá sin comprobar que la MAC es errónea.

Comentarios adicionales

• Para aceptar todos los paquetes que detecto:

  # echo 1 > /proc/sys/net/ipv4/ip_forward

• Permitir a los demás usuarios ejecutar programas GUI:

  xhost +