Se inicia una nueva aventura que, unida al tema de categorías de ataques, nos llevará a seleccionar dos casos para estudio. El primero de ellos se centra en la categoría de intercepción y, como no, hablamos del “sniffing”.Se recuerdan algunos conceptos básicos (paquetería de red, comunicaciones en medio compartido y medio conmutado (swtiched)], los objetivos y utilidades del “sniffing” [tanto las del lado oscuro, como las del lado de la luz], etc. Aunque en nuestros LANs cableadas el medio compartido casi ha desaparecido, con la llegada masiva de las WIFIs, el aire se ha tornado en un claro elemento de medio compartido.
Antes de iniciar esta nueva aventura de "sniffing", también se hace un repaso al concepto de segmento de red y VLANs, incluyendo la descripción de protocolos como el 802.1q, 802.1d, o los conceptos de "trunking" y la gestión de varios interfaces virtuales sobre un interface físico, entre otras (si alguien quere hacer pruebas con alguna de las posibilidades-herramientas en seguridad existentes en este ámbito, como puda ser yersinia, y hacer un pequeño report, será bievenido para su publicación en el blog)
Se analizan las técnicas básica de "sniffing" en redes de medio compartido. En este punto se trata el concepto de interface en modo promisc, y sus implicaciones. No se le dedica mucho tiempo. Los HUBs prácticamente han desaparecido. En el ámbito de las redes WIFIs, analizamos el handshake utilizado en WPA y alguna de sus posibles debilidades.
Se estudian las implicaciones de un sistema comprometido, en el que no podremos fiarnos de nuestros sentidos, lo que vemos o procesamos, y la necesidad de integridad en nuestros sistemas. En la actualidad existe todo tipo de rootkits que permiten, entre otros, ocultar ficheros, procesos y conexiones de red, hacer accesibles recursos del sistema, conexiones inversas, etc., dificultando la detección del no-invitado (si alguien quiere probar alguno y hacer un pequeño report será bienvenido para su publicación en el blog).
A nivel operativo, se ha visto la posibilidad de "matar" una determinada conexión, o la habilidad para manejar el ancho de banda de una determinada conexión. También se analizan las diferencias sustanciales entre "firewalls" y TCPwrappers.
Como es hora de empezar a pensar en evolucionar, se introducen los conceptos básicos del protocolo IPv6, y los conceptos básicos evolucionados desde IPv4. En prácticas se deberá configurar IPv6 en las máquinas virtuales. También se introducen algunas de las herramientas básicas de ataque, tanto a nivel intrusivo como de DoS, a redes IPv6. Desde hace 11 años que para mañana. Esto se parece al cuento de, "que viene el lobo", y ... "algún día llegará el lobo, aunque realmente ahora si que lo tenemos encima"
Cambiando de contexto, se analiza el esquema de funcionamiento de un conmutador de red, su matriz de conmutación, tablas MAC, etc. Las técnicas clásicas de "sniffing" en redes de medio conmutado ARP spoofing y MAC duplicating completan esta sección.
Analizada la problemática del "sniffing" (lado oscuro), el lado de la luz se debe centrar en las posibilidades-mecanismos de protección. Pero estos los dejaremos para el próximo día.
Para finalizar con un toque de humor, en esta entrada se plantea una de las decisiones en formato matrix, a nivel profesional, que todos debemos tomar en algún momento.