Inicio > Software > Usando Ethereal

Usando Ethereal

Además de Nessus, otro aliado importante es Ethereal, un succionador de gran alcance. Bueno, como Nessus puede ser utilizado tanto para proteger su sistema y robar a los vecinos, una espada de doble filo, por lo que se ve a veces como “herramienta de hacking”  cuando en realidad el objetivo del programa es dar control sobre lo que entra y sale de la máquina y su capacidad para detectar rápidamente cualquier tipo de troyano, spyware y el acceso no autorizado.

Ethereal no se suele incluir en las distribuciones, pero se puede descargar:
Aqui

En la página oficial está disponible en ambas versiones. Tar.gz para ser instalado con la conocida ‘. / Configure’ ‘make’ y ‘make install’, como paquetes listos para varias distribuciones. También está disponible una versión para Windows.

Una vez instalado, simplemente lo llama como root:

# Ethereal

Ethereal es uno de esos programas con muchas funciones que sólo se puede obtener utilizando de forma efectiva. Para empezar, nada mejor que la captura de algunos paquetes. Haga clic en Capture > Start … y verá una ventana como esta:


Estas son las opciones de captura. La elección importante primero es el “Captura de paquetes en modo promiscuo “, donde usted decide si desea capturar sólo los paquetes dirigidos a su propia máquina, o si quieres probar también a capturar los paquetes de las máquinas de la red.

Esto es posible porque, tradicionalmente, sólo los centros espejo transmisiones, el envío de todos los paquetes a todas las estaciones. Al comienzo de cada paquete será la dirección MAC del destino. Esta es la dirección física de la tarjeta de red, que a diferencia de la propiedad intelectual no puede ser cambiado fácilmente. Normalmente, la junta no oye más que los paquetes destinados a él, haciendo caso omiso de los demás, pero en modo promiscuo que comienza a recibir todas las comunicaciones, destinados a todas las juntas.

Entonces usted tiene la opción “Actualizar lista de paquetes” en tiempo real. Si se habilita esta opción los paquetes están apareciendo en la pantalla a medida que se capturan en tiempo real. De lo contrario usted necesita para capturar una serie de paquetes para ver sólo después  la torta entera.

A continuación se presentan algunas opciones para detener la captura después de cierto tiempo o después de capturar una cierta cantidad de datos. El problema aquí es que el Ethereal captura todos los datos transmitidos por la red, que rápidamente puede consumir toda la memoria RAM del sistema 🙂  OK y se abrirán los paquetes de captura de pantalla, donde se puede rastrear el número de paquetes capturados :

En la pantalla principal es la lista de paquetes, con información variada, como remitente y destinatario de cada paquete, el protocolo utilizado (TCP, FTP, HHTP, AIM, NetBIOS, etc.) Y una columna con más información, incluyendo el puerto TCP del paquete que se pretendía:

Al hacer clic en un paquete y luego en “Follow TCP Strean ‘Ethereal mostrará una ventana con toda la conversión, que aparecen en modo de texto.

En este caso sólo tenemos una página web de inocentes Guía de hardware, lo que es seguro, pero el control de su conexión durante un tiempo que pronto se dará cuenta de los diversos tipos de abuso, tales como los sitios que envían solicitudes a los distintos puertos de la máquina para tener acceso, pancartas la publicidad que envían información variada sobre sus hábitos de navegación a sus sitios de origen, la gente de barrido de los puertos con programas que están continuamente cayendo los anuncios de banner, etc.

Esta información es útil no sólo para decidir qué sitios y servicios de prevención, sino también para ayudar en la configuración de su firewall. Puede ser que al principio no entienda muy bien los datos proporcionados, pero después de unos días comenzará a entender mejor cómo funciona TCP.

Bueno, como he dicho, Ethereal también puede ser utilizado por el lado oscuro. Si usted está en una LAN con ordenadores conectados a través de un hub, otro usuario puede utilizar Ethereal para capturar la totalidad de sus emisiones. En la pantalla de abajo es un mensaje de ICQ capturado. ventana principal de Ethereal se puede ver lo que el remitente y el destinatario del mensaje (tanto de la IP y el número de ICQ) y usando el ‘Follow TCP Stream Usted puede ver la propia emisión:


Aquí tenemos algunas partes ilegibles, que incluyen los datos utilizados por el protocolo, pero en el medio que tenemos los mensajes que aparecen en texto sin formato.Ethereal,  debería mostrar toda la conversación.
Por supuesto, además de mensajes de ICQ Ethereal puede interceptar el correo electrónico (incluyendo nombre de usuario y contraseña), los datos transmitidos a través de la web o FTP, sesiones de Telnet (de nuevo, incluyendo nombre de usuario y contraseña) y así sucesivamente.

Esto es extremadamente peligroso. Cualquier persona que tenga la oportunidad de conectar un ordenador portátil en la red y conseguir que de nuevo después de unas horas puede capturar contraseñas y datos suficientes para minar la mayor parte del sistema dentro de su organización. Sólo las conexiones realizadas a través de los programas SSH y otros que utilizan cifrado fuerte estaría a salvo.

Por supuesto, además de un extraño, existe la posibilidad de uno de sus propios empleados para resolver empezar a jugar script kiddie, jugando una mala pasada a los demás y el daño que causan. Como hemos visto, no requiere ninguna habilidad o práctica.

De todos modos, a menos que una red doméstica simple, donde hay un grado de confianza mutua, el uso de un concentrador tradicional es simplemente un riesgo demasiado grande para tomar.

La solución a este problema es reemplazar cada hub para los interruptores. La diferencia básica es que mientras que el centro simplemente reenvía todos los paquetes a todos los equipos conectados a él, un interruptor examina los paquetes basados en direcciones físicas de las tarjetas de red y envía cada paquete exclusivamente a su destinatario. Esto hace que los rastreadores  dejen de trabajar.

Anteriormente los interruptores eran mucho más caros que los centros, pero ahora los precios ya están muy cerca. ¿Existe un centro 10/100 de Encore que cuesta alrededor de $ 50 y ya funciona de esta manera.

Este tipo de equipo siempre lleva “Switch” sin duda lo mejor es que lo presente a la prueba de Ethereal. Si usted puede conseguir sólo sus propios paquetes significa que el problema está resuelto.

Tenga en cuenta que esto sólo se mejora la seguridad, hace que su red segura pero no intacta, ya que alguien podría reemplazar el interruptor a otro centro si tuviera acceso físico a él, toque los cables de red y así sucesivamente. Por supuesto, esto también se puede hacer fuera de la red, la captura de los datos transmitidos a través de su ADSL, por ejemplo. Lo ideal es utilizar siempre conexiones cifradas a través de SSH, algún tipo de VPN y así sucesivamente.

La mayoría de los ataques, especialmente las realizadas por los empleados de la empresa se basan precisamente en la captura de contraseñas de transmisión  de forma cifrada a través de la red.

De todos modos, puede haber situaciones en las que a pesar de que no quiere que nadie puede ver el tráfico de red, usted, como administrador o jefe de la red, quiere ver lo que los usuarios están haciendo durante las horas de trabajo en relación de la empresa. En este caso le sugiero que mantener un servidor de SSH activo en las estaciones de trabajo. Así que una vez que puede, en un tiempo para entrar en la máquina y ejecutar Ethereal para controlar el tráfico de datos de cada máquina sin el conocimiento del usuario. Otra posibilidad sería ejecutar Ethereal en el equipo que comparte la conexión, para que pueda ver los paquetes de todas las máquinas de la red. Algunos modelos más caros de los interruptores puede ser programado para dirigir todo el tráfico de red a un puerto en particular, donde se puede conectar el PC y “ver todo”. 😀

Sorry lo olvidaba para poder usarle en Windows deben bajarse WinPcap.

En la nueva web http://www.wireshark.org/ está disponible la prerelease 0.99.1pre1 del “nuevo” software. Esta vez Comb tiene todos los derechos sobre el mismo. 😛

Anuncios
Categorías:Software
  1. Aún no hay comentarios.
  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: