PDA

Ver la versión completa : Detectar tarjetas en modo Promiscuo + problema con WireShark



piranna
06-02-2008, 15:17
Hola, estoy realizando una auditoria para la red corporativa de mi empresa y un informe sobre distintas herramientas de seguridad informatica para mi jefe y me he encontrado con dos "pequeños" problemas.

El primero, que necesito un programa bajo Linux o bajo Windows (mejor bajo Linux) para detectar a maquinas conectadas en la red corporativa en modo promiscuo, o sea, sniffando la red. He encontrado que hay varios programas pero ninguno ofrece garantias de ningun tipo aparte de que se quedan anticuados muy rapidamente, por lo que apenas hay informacion sobre el tema y se deja casi como una situacion imposible, lo cual no es precisamente de ayuda...

Y en segundo lugar y mas o menos relaccionado con el primero, esta justo hacer lo contrario. Resulta que he estado probando WireShark (ya lo conocia de oidas cuanto todavia se llamaba Ethereal) y me ha sorprendido lo bien que funciona mostrandome todas las cabeceras de los paquetes, pero por alguna extraña razon no me captura las trazas TCP de los demas, solo de la navegacion que yo realizo, lo cual es poco util. Os pongo en situacion:

1º Bajo Ubuntu en un portatil HP con tarjeta Intel pongo WireShark a capturar como root
2º En mi MacBook me desconecto del wifi
3º Despues vuelvo a conectar el Mac por wifi a la misma red que esta escaneando el Linux
4º El WireShark detecta todos los paquetes de autodescubrimiento del Mac: MDNS, Samba... luego el WireShark esta claro que esta escaneando en la misma red que se ha conectado el Mac
5º Hago una busqueda aleatoria desde el Mac en Google...
6º ...y el WireShark no detecta nada

Sin embargo, si desde el Linux realizo una navegacion el WireShark si que lo detecta. ¿Cual puede ser el motivo?

Muchas gracias por todo.

LUK
06-02-2008, 15:29
Mmmmm. a ver... voy poco a poco... y a ver si me he enterado xD

Sobre el primer punto, hay utilidades para ello; pero se basan en tiempos de respuesta de lso hots...etc, nose, yo no he trabajo con ellas nucna, pero la que conozco es AntiSniff (http://packetstormsecurity.nl/sniffers/antisniff/).

Sobre lo segundo, del wireshark... si solo ves tus comunicaciones, poniendo tu tarjeta en modo promiscuo, debe ser porque te encuentras conectado a un entorno conmutado (switch), y no a traves de un hub. Para pillar datos que van a otras maquinas en un entorno de switch deberias hacer arp spoofing, o un desbordamiento de la tabla de macs del switch para que actue como hub (uooo, que bien me ha kedao xD)

Y sobre el tercer tema de lso portatiles... en un entorno WLAN, si capturas desde A los datos de B, desde B deberias poder hacer lo mismo (siemrpe que esten lso dos en modo promiscuo...

piranna
08-02-2008, 11:25
Mmmmm. a ver... voy poco a poco... y a ver si me he enterado xD

Sobre el primer punto, hay utilidades para ello; pero se basan en tiempos de respuesta de lso hots...etc, nose, yo no he trabajo con ellas nucna, pero la que conozco es AntiSniff (http://packetstormsecurity.nl/sniffers/antisniff/).

Mas o menos lo que suponia... Si, buscando informacion me encontre con que al parecer AntiSniff era el mejor de todos... hasta que una semana despues aparecio AntiAntiSniff Sniffer, con lo que ya no servia de nada :( Mirare mas por ahi, pero me parece que esto confirma que no se puede hacer mucho... :(


Sobre lo segundo, del wireshark... si solo ves tus comunicaciones, poniendo tu tarjeta en modo promiscuo, debe ser porque te encuentras conectado a un entorno conmutado (switch), y no a traves de un hub. Para pillar datos que van a otras maquinas en un entorno de switch deberias hacer arp spoofing, o un desbordamiento de la tabla de macs del switch para que actue como hub (uooo, que bien me ha kedao xD)

Nikelao :D Vale, entonces queda confirmado que la red corporativa esta montada sobre switches.


Y sobre el tercer tema de lso portatiles... en un entorno WLAN, si capturas desde A los datos de B, desde B deberias poder hacer lo mismo (siemrpe que esten lso dos en modo promiscuo...

No, no: me refiero a que desde A en modo promiscuo veo los paquetes de conexion de B, pero luego no puedo ver sus conexiones como tales. Yo creia que los APs funcionaban como un hub y es lo que me sorprendia, pero ahora me acaban de decir que no, que funcionan como un switch (un poco extraño en un entorno como el inalambrico...) lo cual explicaria porque tampoco pillo nada. En fin, que parece que todas las ideas que yo tenia preconcevidas y como ciertas se estan callendo a cachos... :(