ıllı Internet y Tecnologías de la Información (2018)

internet, Hosting, dominios, seo, antivirus, banco de imágenes, páginas web, tiendas online

[Enciclopedia Online Gratuita] Diccionario de Internet y Tecnologías de la Información y la Comunicación (TIC):

ıllı Detección de sniffer wiki: info, historia y vídeos

videos internet

salud  Detección de sniffer 


Supone una amenaza grave para la seguridad no solo de una máquina sino más bien asimismo de una red. Gran cantidad de tráfico reservado viaja en claro, sin ningún género de cifrado, por las redes de la mayor parte de las compañías. Ese es el ambiente ideal para un sniffer, que puede acceder de forma transparente a esa información, y dejar que alguien abuse de su conocimiento. De ahí que es fundamental efectuar buscas periódicas de sniffers en las redes de cualquier empresa, no solo por el daño que puedan ocasionar, sino más bien asimismo por el hecho de que localizarlos es señal de que se ha producido y explotado una grave brecha y hay que tomar medidas inmediatas.


Existen casos en los que un sniffer no es peligroso. En ocasiones, explorando una red en pos de sniffers se advertirá que existen algunos, por poner un ejemplo, en máquinas que dependen del departamento de administración de redes. Esto puede acontecer por el hecho de que, realmente, un sniffer no se distingue demasiado de una herramienta de observación y diagnosis del tráfico de red que puede estar siendo legítimamente empleada por personal encargado de la administración de la red. Otros dispositivos, en especial enrutadores y hub, acostumbran a generar falsos positivos que hay que tomar en consideración .


Existen diferentes aproximaciones al inconveniente de de qué forma advertir un sniffer, y que estas cambian conforme se tenga acceso local a la máquina, o haya que descubrirlos desde alguna máquina recóndita. El propósito que la mayor parte de pruebas tratan de lograr es que la máquina que tiene la tarjeta de red en modo promiscuo se traicione a sí, revelando que ha tenido acceso a información que no iba dirigida a ella y que, por ende, tiene un sniffer. Este es una meta ambicioso y complejo que puede resultar imposible.


A veces resulta totalmente imposible advertir un sniffer. Por servirnos de un ejemplo, si el sniffer ha sido desarrollado solamente para esta labor (en general dispositivos hardware), entonces no va a devolver nunca un bulto, no establecerá jamás una comunicación, sino continuará siempre y en todo momento en silencio y su detección recóndita va a ser, sencillamente, imposible. La detección de este género de sniffers solo puede hacerse por inspección directa de los dispositivos conectados a la red.


Aunque no se trata de una labor trivial, esta es, con mucho, la situación en que resulta más fácil encontrar un sniffer. Generalmente es suficiente con repasar la lista de programas en ejecución para advertir alguna anomalía (CTRL+ALT+SUPR o bien ps -aux|more). Otro buen lugar donde mirar es en la lista de los programas que se empiezan de manera automática al encender el computador ficheros /etc/rc.d/rcX.d/* o bien.bashrc, etcétera en un sistema Unix y autoexec.bat o bien ciertas claves del Registry en una máquina Windows) o bien las labores programadas (cron, at).


En una máquina con ciertos sistemas operativos de la familia Unix se dispone de una utilidad que resulta singularmente valiosa en la lucha contra los sniffers. Se trata de ifconfig, orden que notifica del estado de todas y cada una de las interfaces de red del sistema y también señala si alguna de ellas se halla en modo promiscuo. Esta metodología de detección local de sniffers depende del buen funcionamiento de la orden ifconfig.


Es esencial resaltar que los ejemplos precedentes son solo triviales y no pretenden ser una enumeración pormenorizada. Hay decenas y decenas de posibilidades, ciertas ingeniosísimas y nada elementales. Cualquier novedad o bien anomalía ha de ser investigada en profundidad pues podría descubrir no solo un sniffer en funcionamiento sino más bien asimismo otros programas que supongan una grave amenaza (virus, troyanos, vermes, etcétera).


Es en este ambiente donde más a menudo el administrador de seguridad debe efectuar su investigación. Hay un cierto número de técnicas heurísticas que son útil y que se presentan ahora, mas hay que tener claro que estas técnicas tienen bastantes restricciones y que no resulta en lo más mínimo poco probable que exista un sniffer en internet y que no sea detectado (falso negativo) o bien que máquinas o bien usuarios totalmente inocentes sean detectados como sniffers (falsos positivos). Por su campo de aplicación, estas técnicas se pueden dividir en 2 grupos: las dependientes del sistema operativo y las que no lo son.


Como su nombre señala, estas técnicas utilizan algún fallo o bien característica propia de ciertos sistemas operativos (o bien parte de ellos, como el subsistema TCP/IP) para reconocer a una tarjeta de red en modo promiscuo. El beneficio que tienen es su genial desempeño cuando se exploran máquinas que tienen justamente la versión del sistema operativo del que la técnica consigue partido. La desventaja esencial es el elevado número de falsos negativos que causa debido a que habitualmente las implementaciones de la pila TCP/IP cambian entre versiones del mismo sistema operativo con la acción a nivel físico, es regresar a inspeccionar la MAC (MAC address) de destino, si bien asimismo se puede hacer a nivel de IP.



  • No dependientes del sistema operativo.

En general son menos fiables y menos concluyentes. Acostumbran a fundamentarse en suposiciones sobre el comportamiento de ciertos sniffers, que pueden no darse en casos específicos, transformando alguna de estas técnicas en absolutamente inútiles. Otras son más generales, mas poco resolutivas, por el hecho de que no clasifican, sencillamente dan rastros que habitualmente no son suficientes. No acostumbran a administrar muchos falsos positivos, si bien pueden ser burladas y empleadas para imputar a terceras personas. Tampoco falsos negativos, si bien la última generación de sniffers ya incorpora técnicas de evasión bastante complejas que evita su detección.


Herramientas de detección recóndita desde exactamente el mismo segmento de red


La mejor herramienta de detección de sniffers actualmente es AntiSniff, de L0pht. Se trata de un programa comercial con una versión de evaluación de quince días que incorpora todos y cada uno de los tests convocados previamente, al lado de ciertas alteraciones bien interesantes.No obstante, al poco de anunciarse su aparición se desarrolló un sniffer gratis y con código fuente libre llamado Anti-AntiSniff que no es detectado por ninguno de los test que AntiSniff efectúa. AntiSniff está libre para Windows NT/2000 y hay una versión de prueba gratis y con código fuente libre en desarrollo para diferentes versiones de Unix que, eso sí, está muy tras la versión de Windows NT/2000 en lo que se refiere a interfaz.


Le prosigue, en lo que se refiere a utilidad y no exactamente de cerca, el proyecto Sentinel, que tiene el beneficio de ser un proyecto público y abierto que deja acceder al código fuente del programa. Actualmente es solo capaz de efectuar unos pocos tests, muchos menos que AntiSniff, mas tiene un interesante futuro por delante que hace aconsejable su seguimiento.


  ELIGE TU TEMA DE INTERÉS: 


autoayuda.es   Internet y Tecnologias 

Está aquí: Inicio > [ INTERNET ] > ıllı Detección de sniffer wiki: info, historia y vídeos

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Ver políticas