Introducción al arte del sniffing (y II)

Los sniffers han evolucionado hasta unos límites insospechados. El mes anterior hablamos de forma general sobre el funcionamiento y el uso de los sniffers de paquetes (packet sniffers). Este mes continuamos con una nueva generación de sniffers destinados a redes conmutadas (switched networks).

Las redes están evolucionando hacia entornos conmutados donde, en lugar de usar los típicos hubs o concentradores, se usan switches o conmutadores.
Un switch proporciona numerosas ventajas al gestionar una red entre las que destacan las siguientes:
1.- Wl encaminamiento de paquetes desde un puerto origen a uno de destino basado en las direcciones MAC.
2.- Un mayor ancho de banda interno (normalmente suele corresponder por la velocidad de cada puerto multiplicada por el número de puertos).
3.- Una mejor gestión de los equipos en red.
4.- Una supuesta protección ante sniffers.
Su única desventaja es el precio, pero con su expansión, los precios están bajando a límites insospechados.
De todas las ventajas nos vamos a quedar con la última (una supuesta protección ante sniffers), ya que es la que nos interesa en este artículo.
A su vez dedicamos un amplio espacio para explicar con claridad los diferentes niveles OSI utilizados en redes informáticas debido a su gran importancia para comprender el funcionamiento de los sniffers y redes en general.
Las técnicas utilizadas para sniffear en redes conmutadas se basan en el conocido ARP poison (envenenamiento ARP). Este sencillo ataque consiste en mandar un paquete del tipo REPLY ARP en el que otorgamos a una IP una MAC distinta de la real. La mayoría de los sistemas operativos no implementan estados en el protocolo ARP y por tanto aceptan el REPLY aún sin haber realizado ninguna petición.
Usando esta técnica para sniffear las conexiones entre dos equipos "A" y "B", mandaremos al equipo A un ARP REPLY diciéndole que la MAC correspondiente a la ip de B es la del equipo donde está el sniffer.
A continuación, haremos la operación inversa con B y haremos un _mini_proxy entre los dos puntos A y B. De esta forma todas las comunicaciones entre A y B pasarán por nuestra máquina. Aquí se suele realizar la afirmación "pero si los switches no soportan una MAC por dos puertos distintos". La respuesta es que, aunque es del todo cierto, los switches guardan una tabla con las MAC visibles desde cada una de sus bocas. Pero esa caché tiene un tamaño limitado, ¿qué pasa si la llenamos de entradas falsas? En este caso (llamado ARP flooding) el switch perdería su propiedad de enrutar paquetes y enviaría la misma información por todas las bocas, actuando, en este caso, como si se tratase de un hub.

Ettercap
Ettercap (ettercap.sourceforge.net) es un sniffer (un programa que se utiliza para capturar datagramas en las redes localales) que es muy utilizado por hackers y por los administradores de sistemas, especialmente útil para diagnosticar problemas de red.
Una de las ventajas de este sniffer es que funciona incluso en redes locales montadas bajo infraestructura de switches (conmutadores ethernet), gracias a un uso inteligente de la contaminación ARP.
Asimismo, este sniffer permite, inyectar tráfico dentro de una conexión existente, cerrar conexiones, captura automática de claves mediante modulos específicos, etc. Además es posible encontrar fácilmente plug ins que añaden funcionalidades adicionales como ataques específicos.
Este software está diseñado para linux y por lo tanto es en este sistema donde presenta sus mayores virtudes, pero si no dispone de linux también existe una versión para Windows (con algunas limitaciones), todas ellas gratuitas que le podrán servir para experimentar con la seguridad de su red.

El modelo OSI
El Modelo de referencia para la interconexión de sistemas abiertos OSI (Open Systems Interconnection) fue aprobado por ISO (International Standards Organization) en el año 1984, bajo la norma ISO/7498 con posterioridad él (CCITT) lo incorpora a las recomendaciones de la serie "X" bajo la denominación X 200.
Este modelo OSI surge de la necesidad imperante de interconectar sistemas de procedencia diversa de distintos fabricantes, cada uno de los cuales empleaban sus propios protocolos para el intercambio de señales.
Por esa razón, el término "abierto" se seleccionó con la idea de realizar la facilidad básica del modelo que dio origen al mismo, frente a otros modelos "propietarios" y, por tanto cerrados.
Para entender la filosofía del modelo OSI es preciso definir una serie de términos básicos, como son: modelo, sistema, nivel, función, y proceso.
Es fundamental identificar y diferenciar cada uno de los diferentes niveles que conforman el modelo OSI. Ya que cada capa o nivel cumple funciones especificas, como también su relación con diferentes protocolos y elementos de sistema teleinformático. Pasemos a ver qué es lo que encierra cada uno de esos niveles y cómo se estructuran junto con sus funciones asignadas.

Estructura en niveles
El modelo OSI, como se ha comentado anteriormente, está compuesto por una serie de 7 niveles (capas), cada uno de ellos con una funcionalidad específica, para permitir la interconexión e interoperatividad de sistemas heterogéneos.
La utilidad del mismo radica en la separación que en él se hace de las distintas tareas que son necesarias para comunicar dos sistemas independientes.
Es importante señalar que este modelo no es una arquitectura de red por si mismo, dado que no especifica de manera exacta, los

Whitepaper emc-cio-it-as-a-service-wp Whitepapers