IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Packet Sniffers

Permet enregistrar, visualitzar el transit que circula per un segment de la xarxa. snifar.

tipus

  • ethernet sniffers
  • wireless siffers


Perquè serveixen?

Són eines de doble fil.

  • Monitoritzar l'ús de la xarxa realitzar estadístiques
  • Analitzar problemes de xarxa
  • Detectar intrusions a la xarxa
  • Espiar la xarxa i obtenir informació sensible (contrasenyes, documents secrets, etc.)
  • Enginyeria inversa de protocols : descobrir con funciona, mirar que fan els paquets. SAMBA
  • Depurar aplicacions client/servidor o implementacions de protocols
  • Depurar problemes de connectivitat
  • IDS sistema de detecció d'intrusos.

Packet sniffers

  • tcpdump
  • etheral /wireshark
  • kismet

Mode promiscu

Hi ha 4 opcions els packets que naveguen sol participarem amb els que creem nosaltres, els envien i envia, broadcast i mullticast.


Forma de la xarxa

Un suitch en la tipologia ficia i la logia esta en estrella el punt central es el commuta.

El bus el problema que tothom escolta.

El problema del wifi es que es pot sniffar.

per poder posar el modo promiscu


$ sudo ifconfig eth9 promisc


$ ip link show | grep eth9


ethernet

802.3 ethernet

estandar IEEE 802.3

802.11 WIFI

nivell d'enllaç MAC medium acces control

ethernet necessita una mac per funcionar, amb el switch ia no cal la mac.

LLC una serie de controls que allò funciona donar-li una fiabilitat.


Segments de xarxa

Es un tros de la xarxa que esta separada de la resta en referim a algo físic es un punt a punt amb el suitch 
Tots los cables que estan conectats es lògic. sino ens repartim el temps xocarem.


Domini de col·lició


Algorismes MAC


Aloha i Aloha Ranurat Si un paquet xoca es torna a enviar.


CSMA/CD (Carrier sense multiple access with collision detection)


Primer escolta el cable si ningú l'esta usan envia. si coxa un para i envia l'altre.

Trama ethernet (paquets)

  • Origen: Adreça MAC origen
  • Destí: Adreça MAC destinació
  • Tipus: EtherType. Tipus d'Ethernet.
  • Dades
  • CRC Checksum: Control d'errors es com la lletra del DNI però no es una lletra

sempre mesura = de 46 -1600 sinó arriba es posa un relleno

Switched LAN. Hubs i Switchs

Network Taps

es punxar la línia

tcpdump

l'important es la llibreria el libcap

Hem d'agregar filtres per no vere tanta merda.

$sudo tcpdump -i eth9 icmp -n

el ping es


Cosa important

lo es la interficie local es mes rapid

Utilitats: Per depurar aplicacions que utilitzen la xarxa per

comunicar-se. Per exemple es pot utilitzar per

comprovar el funcionament d'un tallafocs.

Per depurar la xarxa mateixa.

Per comprovar quan la NIC està transmetent o reben

dades.

Per capturar i llegir dades enviades per altres usuaris o

ordinadors. Un usuari que té el control d'un

encaminador pel qual circula tràfic pot obtenir la

informació que no viatgi xifrada.

wireshark

Instal·lació

$ sudo apt-get install wireshark

Per ejecutar


$ gksu wireshark


Exercici

$ gksu wireshark

{{|important|}} recordeu que cal executar com superusuari.

Un cop esta el programa obert fem click a la pestanya Capture i desprès Start o direcectament el combo control+E, llavors obrim el navegador i nem a la url acacha.org/~sergi/privat]

Wireshark carlesrisa.png


Protocol ARP

ARP és un protocol que nomes te 2 fases es similar al ping el request i el reeplay.

el nivell d'enllaç s'encarrega d'enllaçar 2 dispositius que estan al mateix medi físic, d'enviar trames, les 2 parts que te capçalera i l'informació.

en la trama ethernet anava l'inici trama, la mac de destinació i origen, CRC i el tipus.

la mac serveix per identificar per a que el suitch puge triar a qui li va, i la origen serveix per saber qui l'envia pa poder respondre, es com enviar una carta. El hab o tirava a tots es tonto. CRC comprovació dels errors.

a aquest nivell el protocol ethernet no el necessita pa res com a molt el SO.

El MAC es com el DNS pasa una MAC a una IP o viceversa

opcions avançades tcpdump

-e mostra les adreces MAC (nivell 2) en comptes de les IP

  • -n (numeric) No intenta fer resolució de noms
  • -q sortida reduïda
  • -i escollir la interfície de xarxa



Exercici

$ [ping] IP

ttl = es el time to live

EL primer ping tarda mes perque a de busca la MAC i el resto tarda menys perque guarda la MAC a la cache

COm saber la IP dels companys

ipcalc 192.168.202.54/24


cat /proc/sys/net/ipv4/icmp_echo_ignore

per canviar aquest fitxer sa de fer aquesta comanda

sudo bash -c "echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts"

nmap 192.168.202.1-255 analitza tota la xarxa i depres veem arp -n.


Fitxer:Carlesrisa mirarmac1.png Fitxer:Carlesrisa mirarmac2.png Fitxer:Carlesrisa mirarmac3.png Fitxer:Carlesrisa mirarmac4.png Fitxer:Carlesrisa mirarmac5.png Fitxer:Carlesrisa mirarmac6.png

Atack

ARP spoofing (farsa arp)

3 tipus atacks

  • atacks pasius interceptares comunicacions que no son nostres però no les modificarem i o continua recivint.
  • actiu es pasiu a+ modificar
  • intercepto i no veu lo que li tocava deixa de veure paquets.

Nomes funciona en la mateixa xarxa. ( el mes perillós es la LAN, els propis companys)

com funciona, s'envien fake ARP

1 atacant i 2 persones emissor i receptor.

inercepten lo k va del company al gateway.

envia un ARP request la clau esta en que contesti l'atacant.


Ettercap

Ettercap

dhclient per configurar la xarxa

ia 2 tipus d'esnifar.

unfilied sniffing bridget niffing es millor xo necessites 2 targetes de xarxa , es fàcil de detecta però difícil evitar-ho.


important

quan fem la practica lo important es escullir victimes sino sniffa tota a xarxa.


sudo /etc/etter.conf

configuracio del etter

se pot configurar



Com eliminar la tabla arp

sudo arp -d IP


DEFENSA

  • Utilitzar taules ARP estaticques.

A la taula arp surt la mac la ip el tipus de hardware i quina eth uses.

flags mask cuan o fas permanent surt una M i si es dinamic surt la C.

Practica ARPING

instalació

$ sudo apt-get install arping
$ sudo ifconfig eth9:prova 192.168.202.102
$ sudo arping -c 10 -u -i eth9 192.168.202.103


Carlesrisa arping.png


2 posibles solucions son arp estatica o segmentar el router.

Una l'atra possibilitat es el DHCP snooping te una llista de adreces MC connectades es veurien 2 macs iguales però això no es una solucio es una eina per detectar qui ataca.

MITM

es posa una maquina en mig, normalmetn son de forma transparent.

que podem aconseguir:

  • eavesdropping observar el trafic dels altres.( buscar contrasenyes)
  • substitution attack : l'atacant ocupa l'entitat del altre.
  • DOS impedir comunicació
  • phishing attacks: pagines web que fan que posis les teves dades i van al atacant.

SSH

Per lo conegut es segur, ve del SO open BSD no es sol una conxa remota es un servidor de scp eina utilitzada per R5 seveis per copia dades via remota. es poden crear túnels.

ssh es un protocol: com s'especifica : s'especifica en paper s'ha d'instal·lar un programa per fer-lo funcionar n'hi han de pagan i gratis.

/usr/bin
/usr/bin/scp
/usr/bin/sftp
/usr/bin/ssh
/usr/bin/ssh-add
/usr/bin/ssh-agent
/usr/bin/ssh-keygen
/usr/bin/ssh-keyscan
/usr/bin/ssh-vulnkey
/usr/bin/ssh-copy-id
/usr/bin/ssh-argv0

/usr/bin/slogin

instal·lacio

port i seguretat


practica

El primer cop que et connectes en ssh et diu la huella en aquest cas es : 2f:34:56:34:19:d1:d6:7f:61:a4:fd:22:8f:a0:a7:ab.

Si el company borra el ssh completament al jo torna a inicia sessió a ell hem donara un error que hem dirà que la huella digital a canviat.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
2f:34:56:34:19:d1:d6:7f:61:a4:fd:22:8f:a0:a7:ab.
Please contact your system administrator.
Add correct host key in ~/.ssh/known_hosts to get rid of this message.
Offending key in ~/.ssh/known_hosts:2
Password authentication is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Permission denied (publickey,password,keyboard-interactive).


per poder reparar això mirem l'error i et diu a quina línia esta el error i amb la comanda següent es borra la línia. així reparem l'error.

$ sed -i '2' ~/.ssh/kwnown_host

Amb aquesta comanda borrem la huella de la maquina i podem introduir la nova huella.


ssh gàfic

ssh tunneling

Fitxer:Carlesrisa tunneling.png


Fer un tunel la idea es la següent no em connecto jo es connecta una altra maquina que te un servidor ssh, en això si sniffen, sol veuran el xifrat asta el

servidor ssh.

Vegeu també

Enllaços