SNIFFING DE REDES.

En primer lugar debemos definir qué es el sniffing. Con este término nos referimos al hecho de “husmear” la red para así poder capturar los paquetes y tramas que por ella viajan aunque no vayan dirigidos a nuestra máquina, de esta manera se pueden capturar sesiones de chat, correos electrónicos, contraseñas, etc…

Éste tipo de prácticas se dice que nacen con un fin educativo y de investigación, además son útiles a la hora de diagnosticar el estado de una red, identificación de problemas y diseño, pero también son usadas con fines maliciosos por hackers y crackers.

Para hacer sniffing en una red nos ayudamos de herramientas software denominadas “sniffers”, también llamadas analizadores de protocolo, herramientas de diagnóstico o de auditoría.

El primer de los pasos es sustituir el driver de nuestra tarjeta de red (NIC o wireless) por un driver que trabaje en modo promiscuo para poder monitorizar el trafico, esto quiere decir lo siguiente: los drivers originales de las tarjetas trabajan en la capa 2 de la pila OSI, esta capa es la que se encarga del direccionamiento físico de las tramas, impidiendo errores, duplicaciones, se encarga de la topología de la red, control de flujo, etc.… se encarga de mandar las tramas a los equipos cuya dirección MAC es la del destinatario . Los drivers originales solo reciben los paquetes que a él van dirigidos, sin embargo los drivers promiscuos permiten la recepción de cualquier trama de la red.

Pero aquí se presenta el primer problema y es que la posibilidad del sniffing viene determinada por la topología de la red, y es que dependiendo de ésta el sniffer deberá ser colocado en uno u otro nodo. Por ejemplo, en toplogías tipo estrella antiguas el sniffer podría estar situado en cualquiera de los nodos ya que el nodo central envía todas las tramas a todos los nodos, los cuales dejan pasar las que ellas van dirigidas, pero dejará pasar todas en modo promiscuo; sin embargo en topologías modernas el sniffer solo puede situarse en el nodo central ya que éste solo envía a los nodos las tramas que a ellos van dirigidas. En topologías tipo anillo el sniffer puede estar en cualquiera de los nodos ya que todos comparten el mismo medio de transmisión.

También influye la seguridad de la red el uso de switches modernos, estos dispositvos trabajan en capa 2 y hacen direccionamiento de los paquetes a las distintas direcciones MAC, solo entregan el paquete a su destinatario y cuando no lo encuentra genera paquetes ARP pidiendo autenticación a todos los nodos enviando las tramas al nodo que se ha autenticado , por este motivo es siempre más interesante implementar una red con switches que con hubs, los hubs producen gran número de colisiones y permiten el sniffing en la red. En este sentido es interesante abordar el tema del sniffing en redes cableadas.

Para poder hacer sniffing en una red, los nodos deben compartir el medio de transmisión como el cable coaxial, el par trenzado o el aire, son especialmente sensibles al sniffing las redes Wi-fi, ya que los nodos comparten el medio de transmisión que es el aire y una tarjeta wi-fi promiscua puede recibir todo el tráfico de la red.

En las actuales LAN la posibilidad de encontrarse con HUBS es muy pequeña, cualquier instalador o administrador que se precien optarán siempre por la implementación de switches debido a su mayor seguridad y posibilidad de configuración. Los switches al contrario que los HUBS no copian cada trama en cada interfaz por lo que el sniffer situado en una de ellas solo capturará los paquetes que a él van destinados, entonces ¿cómo se puede hacer sniffing en una red cableada?

La solución siguiente no permite un sniffing completo de la LAN pero si del tráfico de internet y de parte de la LAN: lo que se hará es interconectar un HUB en la red, aunque con el punto negativo de que se debe tener acceso físico a la red. La idea se muestra en la figura siguiente:

De esta manera podremos capturar los datos dirigidos y provenientes de internet o los datos dentro de la LAN que van dirigidos de un switch a otro.

Otra solución es la de configurar los switchs en caso de que éstos lo permitan. Algunos modelos permiten gestión y configuración ya que traen instalado un firmware accesible vía web o mediante el puerto consola, de esta manera podemos hacer “port fordwarding” configurando las interfaces del switch para que trabajen como las de un HUB.

En definitiva el sniffing no es una técnica complicada si se tiene paciencia y se tienen los conocimientos necesarios, de sebe conocer la topología de la red, el medio de transmisión, manejo de software y drivers. Las redes ideales para comenzar la andadura en este mundo son las redes Wifi ya que por sus características es muy fácil la captura de paquetes, ya que las microondas (Wifi trabaja en 2.4GHz) son captadas por cualquier antena. En cuanto a las redes cableadas es más complejo y si están bien gestionadas casi con total seguridad será necesario el acceso físico a la red y sus elementos o poseer privilegios de administrador, lo que en muchos casos no siempre s posible.

por Ignacio Jauregui.