Mode promiscu
En informàtica, el mode promiscu és aquell en el qual un ordinador que es connecta a una xarxa compartida, tant la basada en cable de coure com la basada en tecnologia sense fils, captura tot el trànsit que circula. Aquest mode està molt relacionat amb els sniffers, que es basen en aquest mode per realitzar la seva tasca.
Com funciona?
modificaEn les xarxes d'ordinadors, la informació es transmet en una sèrie de paquets amb l'adreça física (o adreça MAC) de qui l'envia i qui l'ha de rebre, de manera que quan es transmet un fitxer, aquest es divideix en diversos paquets amb una mida per defecte i el receptor és l'únic que captura els paquets comprovant si porten la seva direcció.
En el mode promiscu, una màquina intermèdia captura tots els paquets, que normalment són deixalleria, incloent-hi els paquets destinats a ell mateix i a la resta de les màquines. Cal destacar que les topologies i el maquinari que es facin servir per comunicar les xarxes influeix en el seu funcionament, ja que les xarxes en bus, xarxes en anell, així com totes les xarxes que obliguin a què un paquet circuli per un mitjà compartit, al qual tots tenen accés, els modes promiscus capturaran encara més paquets que si estan en una xarxa amb topologia en arbre. Per completar el mode, les màquines en mode promiscu solen, simplement, copiar el paquet i després tornar-lo a posar a la xarxa perquè arribi al seu destinatari real (en el cas de topologies que requereixin retransmissió).[1]
Per a què serveix?
modificaEl mode promiscu resulta molt útil per veure quins paquets travessen la teva xarxa. La seva utilitat es basa en el fet que tots els paquets que passen per una xarxa tenen la informació de a quin protocol pertany i les opcions de reacoblament. Fins i tot, si no estan xifrats, tenen la informació en clar, és a dir, que és possible saber què conté el paquet.
És especialment útil en els routers que uneixen diverses xarxes, ja que amb eines que analitzen els paquets es poden detectar errors, atacs, pèrdua de paquets, sobrecàrregues, etc. En capturar tot el tràfic que travessa un router, es poden determinar, també, usos, serveis que han de rebre amplada de banda prioritari, accessos no permesos a equips o protocols, etc.
També és usat en el cas contrari: per realitzar atacs contra xarxes. Darrerament, aquest terme és molt usat per tractar d'atacar xarxes WIFI xifrades, així com el Wardriving que és la detecció de xarxes WIFI.
Sniffers
modificaEs refereix a les aplicacions o programes que tenen la capacitat d'analitzar el trànsit de la xarxa. Vegeu Sniffer.
Mode promiscu i xarxes sense fil
modificaLes xarxes Wifi es basen en l'enviament de trames en l'espectre radioelèctric, la qual cosa s'assembla a les xarxes de cable amb topologia hub, ja que totes les trames són capturables per qualsevol equip que es trobi connectat a la xarxa.[2]
Això resulta especialment útil per determinar els rangs d'IP de les màquines de la xarxa, o realitzar atacs contra els xifrats WEP que es basen a capturar, bàsicament, tots els paquets necessaris per trencar el xifrat.
Gran part de les targetes Wi-Fi tenen la possibilitat de capturar trànsit, és a dir, treballar en mode promiscu.
Activar mode promiscu en una targeta de xarxa
modificaDetecció de màquines en mode promiscu a la xarxa
modificaHi ha eines per detectar interfícies de xarxa que es trobin en mode promiscu. Es basen en l'enviament de paquets que ningú respondrà, excepte per equips en mode promiscu:
- Detecció de latència en paquets ICMP: aquest mètode llança moltes peticions TCP errònies perquè cap equip les tingui en consideració. Després d'això, s'envia ping a totes les màquines. La màquina en mode promiscu trigarà a respondre, ja que està ocupada processant els paquets. L'atacant podria bloquejar l'entrada de peticions ICMP al tallafocs del seu equip per evitar ser descobert.
- Detecció mitjançant paquets ping ICMP: es llança un ping a una màquina sospitosa, amb l'adreça MAC del paquet errònia. Si la màquina està en mode promiscu, respondrà sense comprovar que l'adreça MAC és errònia. L'atacant podria bloquejar l'entrada de peticions ICMP al tallafocs del seu equip per evitar ser descobert.
- Detecció mitjançant paquets Address Resolution Protocol: s'envia un paquet de petició Address Resolution Protocol amb destinació a l'adreça IP de la màquina sospitosa ja una l'adreça MAC inexistent. Si l'equip està en mode promiscu, processarà aquesta consulta Address Resolution Protocol i respondrà. Aquest procés se sol repetir per a totes les IPs vàlides en el rang de la xarxa local per comprovar tots els equips. L'atacant podria utilitzar una distribució de Linux modificada perquè no respongui a aquest tipus de consultes i evitar, així, ser descobert per aquest mètode.
- Detecció d'acord amb resolucions DNS: molts programes de captura de trames de xarxa que funcionen en mode promiscu solen tenir, per defecte, activada l'opció de resoldre les IP dels equips remitents i destinataris dels paquets capturats. Un programa de detecció pot enviar paquets des d'una IP inexistent a una altra per comprovar si, posteriorment, es realitzen les corresponents resolucions DNS. L'atacant podria desactivar les resolucions DNS en el programa de captura de trames per evitar ser descobert.
Enllaços externs
modificaComunitats d'estudi
modifica- Comunitat SeguridadWifi Arxivat 2017-10-04 a Wayback Machine.
Referències
modifica- ↑ [http ://es.tldp.org/Manuales-LuCAS/doc-unixsec/unixsec-html/node276.html Arxivat 2007-06-12 a Wayback Machine. Seguretat en Unix, Secció Intercepció]
- ↑ fornes/RSR/2005/SeguridadWIFI/Trabajo% 20WIFI.pdf Seguretat Wi-Fi
- ↑ «Driver per mode promiscu en targetes Wi-Fi». Arxivat de l'original el 2007-06-14. [Consulta: 1r setembre 2011].