El objetivo del presente documento es expresar una idea acerca de la comprensión de los problemas relacionados con SNUFFING y sus posibles soluciones, ya que el ataque de Sniffers es actualmente uno de los principales problemas de seguridad.
Las computadoras en red , comparten canales de comunicación. Por estos canales compartidos "viaja" la información deseada por alguna computadora conectada a la red , pudiendo pasar dicha información por una cantidad N de otras computadoras.
Supongamos que un host A desea enviar información a otro host B. Un tercero ( host C ) , conectado a la red, puede interceptar ese envío realizado entre los host A y B.El hecho de capturar información destinada a otra máquina sobre la red es llamado Sniffing.
Una vía común de conectarse entre máquinas es a través de Ethernet y la forma de transmisión es por medio de "paquetes" de datos. Cada paquete posee un encabezamiento ( Header ) el cual contiene la dirección del origen y también la dirección del destino entre otras cosas.
A menos que usemos alguna forma de encriptar los datos, estos serán transmitidos en forma de texto (trabajando en un ambiente de red normal).
Decimos que una máquina está en modo promiscuo cuando esta misma captura todos los paquetes independientemente que ellos fueran o no destinados a ella.
No es difícil entonces que un intruso utilizando una máquina con interfase de red en modo promiscuo pueda obtener cualquier password inclusive la del root utilizando un sniffer.
Para detectar un dispositivo sniffer que solamente toma datos y no responde a ninguna solicitación, es necesario un examen físico de las conexiones Ethernet y la verificación individual de las interfases.
Un sniffer corriendo en una máquina coloca a la interfase de red en modo promiscuo con la intención de capturar todos los paquetes de un determinado segmento.
En la mayoría de los sistemas Unix es posible detectar una interfase promiscua.
Para otros sistemas operativos tales como SunOs, NetBSD, y derivados de BSD Unix sistems , el comando # ifconfig -a nos mostrará información relativa de todas las interfases.
Ej :
lo Link encap: Local Loopback
inet addr: 127.0.0.0 Bcast: 127.255.255.255 Mask : 255.0.0.0
UP BROADCAST LOOPBACK RUNNING MTU : 2000 Metric: 1
RX packets : 0 errors : 0 dropped : 0 overruns : 0
TX packets : 16930 errors : 0 dropped : 0 overruns : 0
eth0 Link encap: 10 Mbps Ethernet HWaddr 00:80:A8:C3:45:Ed
inet addr: 200.239.53.1 Bcast: 200.239.53.255 Mask: 255.255.255.0
UP BROADCAST RUNNING PROMISC MTU: 1500 Metric: 1
RX packets :227622 errors : 0 dropped : 0 overruns : 0
TX packets : 282918 errors : 0 dropped : 0 overruns : 0
Interrupt: 10 Base address: 0 x 300
La utilización del comando "ifconfig" en DEC OSF/1, IRIX y en algunos otros Unix, requieren que que el dispositivo sea especificado. Una manera de saber el nombre de este dispositivo es utilizar el comando
# netstat -r
Para testear la interfase se utiliza el comando:
# ifconfig le0
En Ultrix es posible detectar el uso de sniffer con los comandos :
pfstat : ( muestra si la interfase está o no en modo promiscuo. )
pfconfig: ( muestra que esta corriendo sniffer. )
En sistemas como Solaris, SCO y algunas versiones de IRIX , no existe indicación de modo promiscuo, no habiendo , por lo tanto , manera de detectar el uso de sniffer.
No son conocidos comandos para detectar un IBM PC compatible en modo promiscuo.
Una de las formas de bloquear ataques de sniffer es a través de Hubs activos o switches quienes solo reconoce direcciones propias( enviando el paquete solamente a la máquina destino ), las demás no las deja pasar. De esta manera deja sin efecto el ataque del sniffer.Esto solo funciona en circuitos 10 base T. Tener en cuenta que esta no es la principal función del Hub activo.
Criptografía.
Otra manera de bloquear ataques de sniffer es por medio del uso de la criptografía entre las conexiones, si bien es posible capturar dichos paquetes , éstos no pueden ser descifrados. Existen en E.E.U.U. ,actualmente , leyes que prohiben la exportación de algoritmos de criptografía y restringen a 40 bits el tamaño de las claves para softwares exportados.
Tecnologías de one - time password.
S/key y otras tecnologías de one-time password tornan sin efecto el ataque del sniffer, ya que a cada conexión una nueva password debe ser informada.El uso de esta tecnología permite usar un canal inseguro porque no existe reutilización de una misma password.
Esta tecnología está basada en contestación/respuesta y funciona de la siguiente manera :
A cada pedido de conexión el usuario recibe una contestación que debe ser informado al dispositivo de one-time password ( máquina semejante una calculadora ), que a su vez devuelve una respuesta, que deberá ser usada como password para esa y solo esa conexión.