Hola: 2010/1/18 Antonio Pereda <[email protected]>
> Primero gracias por responder la pregunta > > De antemano te digo que en nuestra LAN hay gran cantidad de equipos cisco > administrables y si no me equivoco , toda la lan esta formada por switches > cisco y si no me equivoco al poner un puerto en port monitor podria escuchar > todo el trafico del switch a traves de un puerto. > > Pero a lo que voy , si el switch segmenta la red , es posible snifear desde > cualquier switch? (sin necesidad de poner en port monitor) y si es asi .. > alguna herramienta que detecte snifers (quiza un IDS??) > > En redes unidas por switches sí es posible sniffear evenenando la red con una herramienta como Ettercap, Cain & Abel u otros. No importa si la tienes segmentada en VLANs, se podrá envenenar al segmento al cual tiene acceso el atacante (una VLAN nada más). Desde línea de comandos puedes utilizar arpwatch para detectar sniffers y sobre esto en verdad hay bastante información en Google. Un enlace que encontré es este: http://cns.tstc.edu/cpate/LINUX/Linux_How2/Sniffers.htm Ahora otra forma que te puedan sniffear es de alguna forma obligar al switch a comportarse como Hub. Sabiendo que cada switch tiene una memoria límite, la capacidad de almacenar direcciones MAC en su tabla ARP puede llegar al límite si un atacante inunda la red con tráfico 'basura'. El switch al quedarse sin recursos bajará de la capa 2 a la capa 1 comportándose como Hub y así podrías: - Pasar de una VLAN a otra, es decir eliminar las VLANs y tener un segmento unico - Sobre tu dominio de difusión poner tu interfaz en modo promiscuo y con tcpdump/wireshark escuchar todo la red como en los viejos tiempos de Hubs Si no me equivoco la herramienta macof que viene con el paquete dsniff permite inundar la red en capa 2. Saludos > > > > El 17 de enero de 2010 23:45, Angel Alberto Briceño Obregón < > [email protected]> escribió: > > Asumiendo que es una Red LAN Ethernet sin Wireless. Un sniffer puede >> estar puesta en el concentrador de la red (hub) , lo cual puede ser un poco >> dificil de ubicar. O tambien estando en la misma LAN puede envenenar ARP, >> haciendose pasar como la puerta de enlace, para eso primero debes tener un >> control sobre las MAC address (inventario y control de tarjetas de red >> fisicas), luego identificas que la puerta de enlace coincida fisicamente con >> la MAC address que le corresponda. Si vez que la Mac address de la puerta de >> enlace es distinta seria bueno que vayas al sitio donde se encuentra >> fisicamente esa Mac y chequees la maquina, que posiblemente este corriendo >> algun conocido programa para detectar passwords. Ahora un problema raro es >> ver switches administrables con el trafico abierto, eso daria lugar a que >> desde cualquier maquina se pueda usar un sniffer, volveriamos al primer >> caso. >> >> Saludos, >> >> >> Antonio Pereda escribió: >> >> Saludos amigos >> >> Una consulta ante todos uds >> >> Existe alguna herramienta que pueda ser capaz de detectar sniffers en la >> red ? >> >> Estoy mas que seguro que existe algunos sniffer en nuestra red local y >> queria ver como puedo detectarlos >> >> Queria saber si alguno probo uno de estos y nos comente como le fue >> >> Saludos >> >> ------------------------------ >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción >> visita:http://listas.linux.org.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y >> recomendacioneshttp://www.linux.org.pe/listas/reglas.phphttp://www.linux.org.pe/listas/comportamiento.phphttp://www.linux.org.pe/listas/recomendaciones.php >> >> >> -- >> *Angel Alberto Briceño Obregón* >> *CTO PeruvianSoft S.A.C.* >> >> E-mail : [email protected] >> Phone : +51 1 993601835 >> Nextel : 51*115*6895 >> URL : http://www.peruviansoft.com >> Tech-Support : [email protected] >> GTalk1 : [email protected] >> >> <http://www.peruviansoft.com/> >> >> This message is confidential. It contains information that is privileged >> and legally exempt from disclosure. >> >> If you have received this e-mail by mistake, please let us know >> immediately by e-mail and delete it from your system; you should also not >> copy the message nor disclose its contents to anyone. >> >> Thank You. >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://listas.linux.org.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
