martes, 14 de abril de 2009

Bitácora de PSI.: Sniff, sniff (segunda parte)

Iniciamos el capítulo con un resumen de la clase anterior, analizando la técnica básica de "sniffing" en redes de medio compartido. En este punto se trata el concepto de interface en modo promisc, y sus implicaciones.

En un segundo punto, se analizan las implicaciones de un sistema comprometido, en el que no podremos fiarnos de nuestros sentidos, lo que vemos o procesamos, y la necesidad de integridad en nuestros sistemas. En la actualidad existe todo tipo de rootkits que permiten, entre otros, ocultar ficheros, procesos y conexiones de red, hacer accesibles recursos del sistema, etc., dificultando la detección del no-invitado.

A nivel operativo, se ha visto la posibilidad de "matar" una determinada conexión, o la habilidad para manejar el ancho de banda de una determinada conexión. También se analizan las diferencias entre "firewalls" y TCPwrappers.

Se hace un análisis de las técnicas clásicas de "sniffing" en redes de medio conmutado. En concreto, las técnicas de ARP spoofing, MAC flooding y MAC duplicating.