08 Sniffing

08 Sniffing

Nota importada desde Inbox durante consolidacion bulk.

8 Sniffing

1. Resumen Ejecutivo

Este documento presenta una revisión exhaustiva del módulo "Sniffing" de la certificación CEH v12, centrándose en los conceptos clave, las técnicas de ataque, las herramientas utilizadas y las contramedidas para defenderse contra el sniffing. El sniffing es una amenaza de seguridad fundamental que implica la interceptación pasiva o activa de tráfico de red para capturar información sensible. Se discuten ataques específicos como ataques MAC, DHCP, ARP, suplantación de identidad (spoofing) y envenenamiento de DNS, así como las herramientas y técnicas para detectarlos y mitigarlos.

2. Conceptos de Sniffing

El sniffing de red se refiere a la interceptación y lectura del tráfico de datos. Un "sniffer" es una herramienta de software o hardware utilizada para este propósito. Los ataques de sniffing pueden ser pasivos o activos.

  • Sniffing Pasivo:
  • Ocurre en entornos basados en hubs, donde el tráfico se envía a todos los puertos, permitiendo que un sniffer capture fácilmente todo el tráfico.
  • No envía paquetes adicionales a la red.
  • Es sigiloso y difícil de detectar.
  • Las redes modernas que utilizan switches, en lugar de hubs, reducen la vulnerabilidad al sniffing pasivo, ya que los switches dirigen el tráfico solo al puerto de destino. Sin embargo, un switch es vulnerable si se fuerza a comportarse como un hub.
  • Sniffing Activo:
  • Se utiliza en redes basadas en switches para inyectar activamente tráfico en ellas.
  • Implica inyectar paquetes de Protocolo de Resolución de Direcciones (ARP) para inundar la red.
  • Las técnicas de sniffing activo incluyen:
  • MAC Flooding: Satura la tabla MAC/CAM de un switch con direcciones MAC falsas, forzándolo a actuar como un hub.
  • DHCP Attacks: Ataques de denegación de servicio que agotan el pool de direcciones IP, o ataques de "DHCP Rogue Server" que proporcionan configuraciones de red maliciosas.
  • DNS Poisoning: Modifica las entradas DNS para redirigir el tráfico a sitios web maliciosos.
  • Switch Port Stealing: Un atacante falsifica la dirección MAC de un host legítimo para robar su puerto.
  • ARP Poisoning: Envía mensajes ARP falsos para asociar la dirección MAC del atacante con la dirección IP de una víctima o gateway.
  • Spoofing Attack: Imita una entidad de confianza.
  • Vulnerabilidades en la Capa de Enlace de Datos (Modelo OSI):
  • El sniffing ocurre en la capa de enlace de datos del modelo OSI.
  • "Los sniffers operan en la capa de enlace de datos del modelo OSI." (p. 1219).
  • Las capas superiores (Aplicación, Presentación, Sesión, Transporte y Red) son comprometidas una vez que se logra un compromiso inicial en las capas de enlace de datos o física.
  • Protocolos Vulnerables al Sniffing:
  • Muchos protocolos están diseñados para la facilidad de uso, no para la seguridad, y transmiten datos en texto claro, haciéndolos vulnerables al sniffing para capturar contraseñas y otros datos sensibles.
  • Telnet y Rlogin: Transmiten pulsaciones de teclas, nombres de usuario y contraseñas en texto claro.
  • HTTP: Transfiere datos de usuario en texto claro, permitiendo a los atacantes robar credenciales.
  • SNMP (Simple Network Management Protocol): Las versiones anteriores (SNMPv1 y SNMPv2) no ofrecen seguridad robusta y transmiten datos en texto claro.
  • SMTP (Simple Mail Transfer Protocol): Los mensajes de correo electrónico se transmiten en texto claro.
  • NNTP (Network News Transfer Protocol): Falla en el cifrado de datos.
  • POP (Post Office Protocol): Transmite credenciales en texto claro.
  • FTP (File Transfer Protocol): Transmite credenciales en texto claro.
  • IMAP (Internet Message Access Protocol): Permite obtener datos y credenciales en texto claro.
  • Hardware Protocol Analyzers:
  • Dispositivos que capturan señales sin alterar el tráfico de la red.
  • Utilizados para monitorear el uso de la red e identificar tráfico de red malicioso.
  • Capturan datos, los decodifican y analizan su contenido antes de que se predetermine la regla.
  • Ejemplos: Xgig 1000, TPI4000.
  • SPAN Port (Switched Port Analyzer):
  • Una característica de Cisco que permite monitorear el tráfico de red de uno o más puertos en un switch.
  • "Un puerto SPAN es un puerto que está configurado para recibir una copia de cada paquete que pasa a través de un switch." (p. 1222).
  • Ayuda a analizar y depurar datos, identificar errores e investigar actividad no autorizada.
  • Wiretapping (Pincha de teléfono):
  • "El wiretapping es el proceso de monitoreo de conversaciones telefónicas o de Internet por parte de un tercero con fines encubiertos." (p. 1223).
  • Permite a los atacantes monitorear, interceptar, acceder y registrar información contenida en el flujo de datos de un sistema de comunicación.
  • Tipos:
  • Active Wiretapping: Ataque de Hombre en el Medio (MiTM) que permite alterar o inyectar datos.
  • Passive Wiretapping: Sniffing o escucha, permite snifear contraseñas y otra información.

3. Técnicas de Sniffing

Los atacantes emplean diversas técnicas de sniffing para obtener control sobre una red:

  • Ataques MAC (MAC Attacks):
  • Manipulan las tablas de Content Addressable Memory (CAM) de los switches.
  • Una tabla CAM almacena direcciones MAC y sus puertos físicos asociados.
  • MAC Flooding: Inunda la tabla CAM con direcciones MAC falsas. Cuando la tabla se llena, el switch entra en modo de "fail-open" y comienza a comportarse como un hub, transmitiendo todo el tráfico a todos los puertos, permitiendo el sniffing. "MAC flooding implica la inundación de la tabla CAM del switch con direcciones MAC falsas e IP." (p. 1233).
  • Switch Port Stealing: El atacante falsifica la dirección MAC de un host legítimo. El switch actualiza su tabla CAM para redirigir el tráfico del host legítimo al puerto del atacante.
  • Ataques DHCP (Dynamic Host Configuration Protocol):
  • DHCP asigna direcciones IP y otra información de configuración de red.
  • DHCP Starvation Attack: El atacante agota el pool de direcciones IP disponibles del servidor DHCP enviando un gran número de solicitudes DHCP con direcciones MAC falsificadas, resultando en una denegación de servicio (DoS) para nuevos clientes.
  • Rogue DHCP Server Attack: Un atacante configura un servidor DHCP no autorizado en la red que responde a las solicitudes DHCP con configuraciones de red maliciosas (por ejemplo, gateway incorrecto, servidor DNS incorrecto), redirigiendo el tráfico del usuario a través de la máquina del atacante (MiTM).
  • ARP Poisoning (Address Resolution Protocol Poisoning):
  • ARP es un protocolo sin estado utilizado para resolver direcciones IP a direcciones MAC.
  • "ARP es sin estado. Una máquina puede enviar una respuesta ARP incluso sin solicitarla." (p. 1211).
  • El envenenamiento ARP implica que un atacante envíe mensajes ARP falsos para vincular su dirección MAC a la dirección IP de la víctima o del gateway. Esto permite al atacante interceptar el tráfico destinado a la víctima o al gateway.
  • Amenazas del Envenenamiento ARP: Sniffing de paquetes, secuestro de sesiones, interceptación de datos, ataque de hombre en el medio (MiTM), robo de contraseñas y ataques de denegación de servicio (DoS).
  • MAC Spoofing/Duplicating:
  • Un atacante cambia su dirección MAC para imitar a un usuario legítimo en la red, obteniendo acceso a la red o eludiendo las restricciones de seguridad basadas en MAC. "Esta técnica se puede usar para eludir el filtrado de direcciones MAC de los puntos de acceso inalámbricos." (p. 1272).
  • Se puede realizar a través de la interfaz de red en Windows OS o modificando el registro.
  • IRDP Spoofing (ICMP Router Discovery Protocol Spoofing):
  • IRDP es utilizado por hosts para descubrir routers activos en su subred.
  • Un atacante envía mensajes de anuncio de router IRDP falsos para hacerse pasar por el gateway predeterminado o un router legítimo. El tráfico de la víctima se redirige a través de la máquina del atacante, permitiendo el sniffing, MiTM o DoS.
  • VLAN Hopping (Virtual Local Area Network Hopping):
  • Técnica para obtener acceso al tráfico en otras VLAN. Las VLAN segmentan las redes para seguridad.
  • Switch Spoofing: El atacante configura su máquina para emular un switch y negocia un enlace troncal con un switch legítimo. Esto le permite acceder a todas las VLAN permitidas en el enlace troncal.
  • Double Tagging: El atacante inserta una etiqueta 802.1Q adicional en un paquete. La primera etiqueta es procesada y eliminada por el switch, y el paquete es reenviado a la VLAN objetivo basada en la segunda etiqueta, engañando al switch para que envíe tráfico a una VLAN diferente.
  • STP Attack (Spanning Tree Protocol Attack):
  • STP previene bucles en la red bloqueando enlaces redundantes.
  • Un atacante configura un switch no autorizado con una prioridad de puente raíz más baja, forzando a la red a recalcular la topología y seleccionar el switch del atacante como el puente raíz. Esto le permite interceptar y snifear el tráfico.
  • DNS Poisoning (Domain Name System Poisoning):
  • Manipula el caché DNS para redirigir el tráfico de un objetivo a un sitio malicioso.
  • "El envenenamiento de DNS es una técnica que engaña a un servidor DNS para que tenga información de autenticación recibida o el resultado es la sustitución de una IP falsa en el nivel de DNS donde las direcciones web se convierten en direcciones IP numéricas." (p. 1289).
  • Tipos: Intranet DNS Spoofing, Internet DNS Spoofing, Proxy Server DNS Poisoning, DNS Cache Poisoning.
  • SAD DNS Attack: Una nueva variante que manipula el caché DNS para desviar el tráfico.

4. Herramientas de Sniffing

Las herramientas de sniffing son utilizadas para monitorear la red y capturar datos.

  • Wireshark: Analizador de protocolos de red popular que captura y permite la exploración interactiva del tráfico en tiempo real. Soporta varios protocolos y permite el filtrado de visualización para un análisis detallado. Permite seguir flujos TCP y revelar contraseñas transmitidas en texto claro.
  • Packet Sniffing Tools para Móviles:Sniffer Wicap: Herramienta para dispositivos ROOT ARM Android.
  • FaceNiff: Aplicación Android para sniffing y secuestro de sesiones web a través de Wi-Fi.
  • Packet Capture: Herramienta de depuración que realiza SSL decryption para capturar y registrar el tráfico de red, mostrando paquetes en formato hexadecimal o de texto.
  • Otras Herramientas (mencionadas bajo ARP Poisoning Tools):arpspoof: Redirige paquetes falsificando respuestas ARP.
  • Habu: Kit de herramientas de hacking para ARP poisoning, DHCP discovery y starvation, etc.
  • BetterCAP, Ettercap, dsniff, MITMf, Arpoison.
  • Otras Herramientas (mencionadas bajo DHCP Starvation Attack Tools):dhcpstarvation.py, Hyenae, dhcpstarv, Gobbler, DHCPig.
  • Otras Herramientas (mencionadas bajo Rogue DHCP Server Attack Tools):mitm6, DHCPwn, DHCPig.
  • Otras Herramientas (mencionadas bajo DNS Poisoning Tools):DerpNspoof, DNS Spoof, dns-poison, Ettercap, Evilgrade, DNS Poisoning Tool.
  • Herramientas Adicionales:Riverbed Packet Analyzer Plus, Capsa Portable Network Analyzer, OmniPeek, RITA (Real Intelligence Threat Analytics), Observer Analyzer, PRTG Network Monitor, SolarWinds Deep Packet Inspection and Analysis, Xplico.

5. Contramedidas de Sniffing

Protegerse contra el sniffing implica una combinación de técnicas de defensa:

  • Defensa General contra el Sniffing:
  • Restringir el acceso físico al medio de red.
  • Utilizar cifrado de extremo a extremo para información confidencial.
  • Agregar permanentemente la dirección MAC del gateway al caché ARP.
  • Usar direcciones IP estáticas y tablas ARP para prevenir el envenenamiento ARP.
  • Desactivar las transmisiones de identificación de red para evitar el descubrimiento de herramientas de sniffing.
  • Usar IPv6 en lugar de IPv4 (IPv6 es opcional en IPv4 pero obligatorio en IPv6).
  • Usar sesiones cifradas (SSH, Telnet seguro, Secure Copy (SCP), FTP cifrado, SSL para conexiones de correo electrónico) para proteger las redes inalámbricas del sniffing.
  • Usar HTTPS en lugar de HTTP.
  • Usar un switch en lugar de un hub para dirigir los datos solo al receptor previsto.
  • Usar Secure File Transfer Protocol (SFTP) en lugar de FTP.
  • Usar PGP y S/MIME, VPN, IPSec, SSL/TLS, SSH, y contraseñas de un solo uso (OTP).
  • Usar POP2 o POP3 en lugar de POP.
  • Usar SNMPv3 en lugar de SNMPv1 o SNMPv2.
  • Cifrar siempre el tráfico inalámbrico con un protocolo de cifrado fuerte como WPA2 o WPA3.
  • Recuperar las direcciones MAC directamente de la NIC en lugar del SO (esto previene el MAC address spoofing).
  • Usar herramientas para determinar si las NIC están en modo promiscuo.
  • Usar listas de control de acceso (ACL) para permitir el acceso solo a un rango de direcciones IP confiables.
  • Cambiar las contraseñas predeterminadas por contraseñas complejas.
  • Evitar la difusión de identificadores de conjunto de servicios (SSID).
  • Implementar el filtrado de direcciones MAC en el router.
  • Implementar herramientas de monitoreo y escaneo de red para detectar intrusiones maliciosas.
  • Evitar las redes inalámbricas no seguras y abiertas.
  • Implementar la segmentación de red segura.
  • Defensa contra Ataques MAC:
  • Configuración de seguridad de puerto en switches Cisco: Limita el número máximo de direcciones MAC permitidas por puerto y define la acción a tomar cuando se viola la seguridad del puerto.
  • La tabla CAM puede llenarse para inundar un switch, lo que a su vez forzará al switch a comportarse como un hub. Esto también llenará las tablas CAM de los switches adyacentes.
  • Defensa contra Ataques de DHCP Starvation y Rogue Server:
  • Habilitar la seguridad de puerto para defenderse contra DHCP starvation. Limita el número de direcciones MAC.
  • Habilitar DHCP snooping: Permite al switch inspeccionar el tráfico DHCP y verificar la validez de los mensajes DHCP. Los puertos no confiables se bloquearán.
  • MAC Limiting Configuration en Juniper Switches: Limita la cantidad de direcciones MAC permitidas por interfaz.
  • Configuración de DHCP Filtering en un Switch (Oracle): Permite a los administradores determinar si el tráfico se reenvía entre nodos de confianza, asegurando la legitimidad de los paquetes.
  • Defensa contra ARP Poisoning:
  • Implementar Dynamic ARP Inspection (DAI): Una característica de seguridad que valida los paquetes ARP en una red. Descarta paquetes ARP inválidos, lo que ayuda a prevenir ataques MiTM.
  • IP Source Guard: Restringe el tráfico IP basado en el DHCP snooping binding database.
  • Cifrado: Cifrar el tráfico entre el punto de acceso y el ordenador para prevenir el MAC spoofing.
  • Retrieval de MAC Address: Siempre recuperar la dirección MAC de la NIC.
  • Implementación de IEEE 802.1X Suites: Para control de acceso basado en puertos de red.
  • Defensa contra VLAN Hopping:
  • Defensa contra Switch Spoofing: Configurar explícitamente los puertos como puertos de acceso y asegurar que todos los puertos de acceso no estén configurados para negociar enlaces troncales.
  • Defensa contra Double Tagging: Asegurarse de que cada puerto de acceso esté asignado a una VLAN excepto la VLAN predeterminada (VLAN 1). Cambiar las VLAN nativas en todos los puertos troncales a una VLAN no utilizada.
  • Defensa contra Ataques STP:
  • BPDU Guard: Habilitado en puertos edge (PortFast) para descartar BPDUs de dispositivos no conectados.
  • Root Guard: Evita que los puertos se conviertan en puente raíz si reciben BPDUs superiores.
  • Loop Guard: Mejora la estabilidad de la red al prevenir bucles.
  • UDLD (Unidirectional Link Detection): Detecta la existencia de enlaces unidireccionales.
  • Defensa contra DNS Spoofing:
  • Implementar DNSSEC (Domain Name System Security Extensions).
  • Usar Secure Socket Layer (SSL) para asegurar el tráfico.
  • Resolver todas las consultas DNS a un servidor DNS local.
  • Bloquear las solicitudes DNS a servidores externos.
  • Configurar un firewall para restringir el DNS lookup externo.
  • Implementar un sistema de detección de intrusiones (IDS).
  • Configurar el DNS resolver para usar una nueva fuente de puerto aleatoria.
  • Restringir el servicio recursivo de DNS.
  • Usar un límite de velocidad para el dominio no existente (NXDOMAIN).
  • Asegurar las máquinas internas.
  • Usar ARP estático e IPs.
  • Usar cifrado SSH.
  • No permitir el tráfico UDP del puerto 53 como fuente predeterminada.
  • Auditar el servidor DNS para eliminar vulnerabilidades.
  • No abrir archivos sospechosos.
  • Usar siempre sitios proxy confiables.
  • Si una empresa maneja su propio resolver, debe mantenerse privado y bien protegido.
  • Aleatorizar la fuente y las direcciones IP de destino.
  • Aleatorizar los query IDs.
  • Aleatorizar el caso en las solicitudes de nombres.
  • Usar infraestructura de clave pública (PKI) para proteger el servidor.
  • Mantener un rango único o específico de direcciones IP para los sistemas de registro.
  • Implementar el filtrado de paquetes para el tráfico de entrada y salida.
  • Restringir las transferencias de zona DNS a un conjunto limitado de direcciones IP.
  • Emplear DNS Cookie RFC 7873 o desactivar los paquetes ICMP para prevenir ataques SAD DNS.
  • Usar 0x20 encoding y DNS cookies para seguridad adicional.
  • Reducir el tiempo de espera para las consultas pendientes para prevenir ataques SAD DNS.
  • Actualizar los servidores DNS a los últimos parches.
  • Usar Remote Name Daemon Control (RNDC) si las respuestas se hacen en el puerto 53.
  • Asegurarse de que el archivo "hosts" esté deshabilitado.
  • Configurar zonas STUB para dominios accedidos frecuentemente.
  • Implementar políticas robustas de contraseñas para usuarios que administran registros DNS.

6. Técnicas de Detección de Sniffing

Detectar sniffers pasivos es difícil. Un host en modo promiscuo captura y ejecuta tráfico de red no destinado a él.

  • Comprobar dispositivos en modo promiscuo:
  • El modo promiscuo permite a una tarjeta de red interceptar y leer todo el tráfico de la red.
  • Herramientas como Nmap (nmap --script=sniffer-detect [Target IP Address/Range of IP addresses]) pueden detectar NICs en modo promiscuo. NetScanTools Pro también ofrece un escáner de modo promiscuo.
  • Método Ping: Envía un ping a la máquina sospechosa con su dirección IP y una dirección MAC incorrecta. Si la máquina sospechosa responde, su adaptador Ethernet está rechazando el paquete MAC incorrecto, lo que indica que no está en modo promiscuo. Si la máquina responde a un ping con una dirección MAC incorrecta, podría estar en modo promiscuo.
  • Método DNS: Los sniffers que realizan búsquedas inversas de DNS pueden aumentar el tráfico DNS. La detección de un aumento inusual en las búsquedas inversas de DNS puede indicar la presencia de un sniffer.
  • Método ARP: Envía una solicitud ARP no broadcast a todos los nodos de la red. Si una máquina en modo promiscuo está en la red, su caché ARP local registrará esta dirección IP, y responderá a la solicitud ARP incluso si no es el destino previsto.
  • Ejecutar IDS (Sistemas de Detección de Intrusiones):
  • Los IDS pueden alertar al administrador sobre actividades sospechosas.
  • Los IDS detectan si la dirección MAC de la máquina ha cambiado (posiblemente debido a MAC spoofing).
  • Ejecutar herramientas de red:
  • Herramientas como Capsa Portable Network Analyzer pueden monitorear la red en busca de paquetes extraños o actividad sospechosa. Recopilan, consolidan, centralizan y analizan datos de tráfico de red y tecnologías.

7. Conclusión

El sniffing representa una amenaza persistente para la seguridad de la red debido a la naturaleza de los protocolos no seguros y la dificultad de su detección pasiva. Comprender los conceptos de sniffing pasivo y activo, las diversas técnicas de ataque (MAC flooding, ARP poisoning, DHCP attacks, DNS poisoning, VLAN hopping, STP attacks, IRDP spoofing) y las herramientas utilizadas por los atacantes es crucial. La implementación de contramedidas robustas, como el cifrado de tráfico sensible, la configuración de seguridad de puertos, la habilitación de DHCP snooping y Dynamic ARP Inspection, junto con el monitoreo continuo y el uso de herramientas de detección de sniffing, son esenciales para mitigar eficazmente estos riesgos y proteger la integridad de los datos en la red.

Conceptos de Sniffing, Ataques y Contramedidas

Esta guía de estudio está diseñada para revisar tu comprensión del Módulo 08 sobre "Sniffing". Cubre los conceptos clave de sniffing, diferentes técnicas de ataque (MAC, DHCP, ARP, DNS), herramientas de sniffing y contramedidas.

I. Resumen de Conceptos de Sniffing

  • Definición de Sniffing:
  • Proceso de monitorear y capturar el tráfico de la red.
  • Puede ser activo o pasivo.
  • Vulnerable en la capa de enlace de datos del modelo OSI.
  • Involucra analizadores de protocolo, puertos SPAN, wiretapping e intercepción legal.
  • Tipos de Sniffing:
  • Sniffing Pasivo:Observa el tráfico que pasa por un hub.
  • No envía paquetes adicionales.
  • Inapropiado para ataques en dominios de colisión comunes (redes conmutadas o puenteadas).
  • Las redes que usan hubs son vulnerables.
  • Ofrece ventajas sigilosas sobre el sniffing activo.
  • Sniffing Activo:Inyecta activamente tráfico en una red conmutada.
  • Necesario para sniffear datos en una red conmutada (donde un hub no está presente).
  • El atacante puede enviar paquetes de inundación o envenenamiento ARP para forzar un switch a un modo promiscuo o redirigir el tráfico.
  • Técnicas de sniffing activo: Inundación MAC, Envenenamiento DHCP, Envenenamiento ARP, Robo de Puerto de Switch, Ataque de Spoofing.
  • ¿Cómo un atacante hackea la red usando sniffers?
  1. Conectar el dispositivo a un puerto del switch.
  2. Ejecutar herramientas de descubrimiento de red para aprender la topología.
  3. Identificar la máquina de la víctima.
  4. Envenenar la máquina de la víctima usando técnicas de spoofing ARP (ataque Man-in-the-Middle).
  5. Redirigir el tráfico destinado a la víctima al atacante.
  6. Extraer credenciales y datos sensibles del tráfico redirigido.
  • Protocolos Vulnerables al Sniffing:
  • Telnet y Rlogin (claves y contraseñas en texto plano).
  • HTTP (datos en texto plano).
  • SNMP (datos en texto plano).
  • SMTP (mensajes en texto plano).
  • NNTP (falla en cifrar datos).
  • POP (datos de flujo en texto plano).
  • FTP (transferencia de archivos en texto plano, incluyendo credenciales).
  • IMAP (datos y credenciales en texto plano).
  • Sniffing en la capa de enlace de datos del modelo OSI:
  • Los sniffers operan en la capa de enlace de datos.
  • Las capas superiores no son conscientes del sniffing.
  • Capturan paquetes de la capa de enlace de datos y decodifican en bits.
  • Analizadores de Protocolo de Hardware:
  • Dispositivos que capturan señales y analizan el tráfico sin alterar los datos en el cable.
  • Usados para monitorear el uso de la red e identificar tráfico de red malicioso.
  • Capturan, decodifican y analizan el contenido hasta reglas predeterminadas.
  • Ejemplos: Xgig 100G, TPI4000.
  • Puertos SPAN (Switch Port Analyzer):
  • Una característica de Cisco que espeja el tráfico del switch de uno o más puertos al puerto SPAN.
  • Ayuda a analizar y depurar problemas de red, identificar intrusiones no autorizadas.
  • El tráfico de la red se duplica y envía a un puerto de destino para su análisis.
  • Wiretapping (Escucha telefónica/Interceptación):
  • Proceso de monitorear conversaciones telefónicas o por Internet de un tercero.
  • Permite al atacante monitorear, interceptar, acceder y registrar información contenida en el flujo de datos.
  • Tipos:Wiretapping Activo: Monitorea, registra y altera/inyecta datos en la comunicación. Ataque MITM.
  • Wiretapping Pasivo: Snoops o espía las escuchas telefónicas. Solo monitorea y registra el tráfico.

II. Técnicas de Sniffing

  • Ataques MAC (MAC Flooding):
  • Técnica para comprometer la seguridad de switches de red.
  • El atacante inunda la tabla CAM del switch con direcciones MAC falsas, forzando al switch a actuar como un hub (modo de fallo abierto).
  • En este modo, el switch difunde todos los paquetes a todas las máquinas de la red, permitiendo al atacante sniffear el tráfico.
  • Robo de Puerto de Switch:
  • Una técnica de sniffing que utiliza la inundación MAC para sniffear paquetes.
  • El atacante inunda el switch con paquetes ARP gratuitos que contienen la dirección MAC de la máquina de origen y la suya propia como destino.
  • Esto engaña al switch para que asocie la dirección MAC de la máquina de destino con el puerto del atacante.
  • Ataques DHCP (DHCP Starvation y Rogue DHCP Server):
  • DHCP Starvation Attack:Un ataque DoS que inunda el servidor DHCP con solicitudes DHCP falsas usando MACs spoofeadas.
  • Esto agota el pool de direcciones IP disponibles del servidor DHCP, impidiendo que los usuarios legítimos obtengan direcciones IP.
  • Herramientas: Yersinia, Hyenae, Gobbler.
  • Rogue DHCP Server Attack:Un atacante configura un servidor DHCP no autorizado en la red.
  • El servidor DHCP ilegítimo responde a las solicitudes DHCP de los clientes, proporcionando configuraciones IP incorrectas (como una puerta de enlace predeterminada falsa, servidor DNS falso).
  • Esto puede redirigir el tráfico del cliente a través del atacante o conducir a ataques DoS.
  • Herramientas: mitm6, DHCPwn, DHCPig.
  • Envenenamiento ARP (ARP Spoofing/ARP Poisoning):
  • Envía mensajes ARP falsos para desviar las comunicaciones entre dos máquinas a través del PC del atacante.
  • Manipula la tabla de caché ARP para asociar la dirección IP de la puerta de enlace con la dirección MAC del atacante, o la dirección IP de la víctima con la dirección MAC del atacante.
  • Amenazas del Envenenamiento ARP: Sniffing de paquetes, secuestro de sesión, VoIP call tapping, manipulación de datos, ataque Man-in-the-Middle, intercepción de datos, secuestro de conexión, restablecimiento de conexión, robo de contraseñas, ataque DoS.
  • Herramientas: arpspoof, Habu, BetterCAP, Ettercap, dsniff, MITMf, Arpoison.
  • Spoofing MAC / Duplicación MAC:
  • Cambiar la dirección MAC de un adaptador de red.
  • El atacante sniffa el tráfico de los clientes conectados y luego duplica la dirección MAC de un cliente legítimo.
  • Esto permite al atacante obtener acceso a la red y asumir la identidad de la víctima.
  • Técnicas: Cambiar la dirección MAC en la configuración de Windows OS o el Registro, herramientas como Technitium MAC Address Changer, SMAC, MAC Address Changer.
  • IRDP Spoofing (ICMP Router Discovery Protocol Spoofing):
  • El atacante envía mensajes de anuncio de router spoofed para descubrir direcciones IP de routers activos.
  • El atacante puede establecer una entrada de ruta predeterminada falsa, lo que le permite sniffear el tráfico, lanzar ataques MITM y DoS, y realizar sniffing pasivo.
  • VLAN Hopping (Salto de VLAN):
  • Técnica para obtener acceso a recursos de red que residen en una VLAN diferente.
  • Las VLANs normalmente tienen una implementación deficiente o configuraciones erróneas.
  • Los atacantes pueden robar información sensible, modificar o eliminar datos, instalar software malicioso.
  • Tipos:Switch Spoofing: El atacante conecta un switch no autorizado y crea un enlace troncal entre ellos.
  • Double Tagging (Doble Etiquetado): El atacante añade etiquetas adicionales a la trama Ethernet para eludir el flujo de tráfico a través de una VLAN.
  • STP Attack (Spanning Tree Protocol Attack):
  • Los atacantes configuran un switch rogue en la red para cambiar las operaciones del protocolo STP y sniffear el tráfico de la red.
  • El switch rogue se convierte en el puente raíz de la red al tener una prioridad más baja, lo que le permite controlar el flujo de tráfico y interceptarlo.

III. Herramientas de Sniffing

  • Wireshark:Captura y visualiza el tráfico de la red.
  • Soporta varios protocolos de red (Ethernet, IEEE 802.11, PPP, HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI).
  • Filtros de visualización para refinar el análisis.
  • Permite seguir flujos TCP para revelar contraseñas.
  • Capsa Portable Network Analyzer:Herramienta de análisis de rendimiento y diagnóstico de red.
  • Captura de paquetes y capacidades de análisis para la resolución de problemas de red.
  • Ayuda a identificar ataques de envenenamiento ARP y ataques de inundación ARP.
  • OmniPeek:Analizador de red en tiempo real.
  • Visibilidad profunda y experiencia de usuario experta en la red.
  • Puede espiar la ubicación geográfica de los paquetes capturados.
  • RITA (Real Intelligence Threat Analytics), Observer Analyzer, PRTG Network Monitor, SolarWinds Deep Packet Inspection and Analysis, Xplico.
  • Herramientas de Sniffing para Teléfonos Móviles:Sniffer Wicap: Sniffer de red móvil para dispositivos ROOT ARM Android. Captura varios tipos de conexiones (Wi-Fi, 3G, LTE).
  • FaceNiff: Aplicación Android que sniffa e intercepta perfiles web de sesión a un móvil. Funciona en dispositivos Android rooteados y abre sesiones de Wi-Fi, WEP, WPA-PSK o WPA2-PSK.
  • Packet Capture: Sniffer de tráfico de red con descifrado SSL.

IV. Contramedidas y Detección de Sniffing

  • Cómo defenderse contra el Sniffing:
  • Restringir el acceso físico al medio de la red.
  • Cifrado de extremo a extremo (confidencialidad de la información).
  • Añadir permanentemente la dirección MAC de la puerta de enlace a la caché ARP.
  • Usar direcciones IP estáticas y tablas ARP estáticas.
  • Desactivar transmisiones de identificación de red si es posible.
  • Usar IPv6.
  • Usar sesiones cifradas (SSH, Secure Copy - SCP, SFTP, SSL).
  • Usar HTTPS en lugar de HTTP.
  • Usar un switch en lugar de un hub.
  • Usar Secure File Transfer Protocol (SFTP).
  • Usar PGP/S-MIME, VPN, IPsec, SSL/TLS, SSH, OTPs.
  • Usar POP3/POP2 cifrados para descargar correos.
  • Usar SNMPv3.
  • Cifrar siempre el tráfico inalámbrico.
  • Recuperar direcciones MAC directamente de las NICs.
  • Usar herramientas para determinar si las NICs están en modo promiscuo.
  • Usar listas de control de acceso (ACLs) para restringir el acceso.
  • Cambiar contraseñas de transmisión.
  • Evitar ocultar los SSID.
  • Implementar identificadores de sesión de filtrado MAC.
  • Implementar herramientas de monitoreo de red para detectar intrusiones.
  • Evitar redes no seguras.
  • Implementar segmentación de red segura.
  • Defensa contra Ataques MAC:
  • Seguridad de Puerto en Cisco Switch:Configurar los puertos como "access ports" para limitar el número de direcciones MAC.
  • Configurar direcciones MAC seguras estáticas o dinámicas.
  • Limitar la inundación MAC y bloquear puertos que envíen trampas SNMP.
  • Defensa contra Ataques de Starvation DHCP y Rogue Server:
  • Habilitar seguridad de puerto para defenderse contra DHCP starvation.
  • Habilitar DHCP snooping:Permite que el switch acepte una transacción DHCP de un puerto confiable.
  • Los puertos no confiables no pueden enviar paquetes DHCP Discover.
  • Configurar DHCP snooping en el switch Cisco.
  • Configuración de limitación MAC en switches Juniper.
  • Filtrado DHCP en un Switch.
  • Defensa contra Envenenamiento ARP:
  • Implementar Inspección ARP Dinámica (DAI):Característica de seguridad que valida los paquetes ARP en una red.
  • Valida los paquetes ARP usando la tabla de enlace snooping DHCP.
  • Descarta paquetes ARP inválidos.
  • IP Source Guard:Característica de seguridad que restringe el tráfico IP en puertos de capa 2 al filtrar el tráfico basado en la base de datos de enlace snooping DHCP.
  • Previene ataques de spoofing cuando el atacante intenta hacer spoofing o usar una IP incorrecta.
  • Cifrado:Cifrar la comunicación entre el punto de acceso y la computadora para evitar el spoofing MAC.
  • Recuperación de Dirección MAC:Recuperar la dirección MAC directamente de la NIC.
  • Implementación de IEEE 802.1X Suites:Tipo de protocolo de red para el control de acceso a la red basado en puertos (PNAC).
  • Autenticación, Autorización y Contabilidad (AAA):Usa el servidor de autenticación para filtrar las direcciones MAC.
  • Software: Se pueden usar scripts personalizados o herramientas para monitorear tablas ARP y detectar inconsistencias.
  • Defensa contra Spoofing MAC:
  • DHCP Snooping Binding Table: Los filtros DHCP snooping no confiables ayudan a crear y mantener la tabla de enlace DHCP.
  • Dynamic ARP Inspection (DAI): El sistema comprueba los enlaces de dirección IP-MAC.
  • IP Source Guard: Filtra el tráfico IP basado en la base de datos de enlace DHCP snooping.
  • Cifrado: Cifrar la comunicación.
  • Recuperación de dirección MAC: Recuperar directamente de la NIC.
  • IEEE 802.1X Suites: Para control de acceso a la red.
  • AAA (Autenticación, Autorización y Contabilidad).
  • Defensa contra VLAN Hopping:
  • Defensa contra Switch Spoofing:Configurar explícitamente los puertos como puertos de acceso.
  • Asegurarse de que todos los puertos troncales estén configurados como no troncales.
  • Defensa contra Double Tagging:Asegurarse de que cada puerto de acceso esté asignado con la VLAN excepto la VLAN predeterminada (VLAN 1).
  • Asegurarse de que las VLAN nativas en todos los puertos troncales se cambien a una VLAN sin usar.
  • Asegurarse de que las VLAN nativas en todos los puertos troncales estén explícitamente etiquetadas.
  • Defensa contra Ataques STP:
  • BPDU Guard: Habilitar en los puertos que no deben recibir una BPDU. Esto desactiva el puerto si recibe una BPDU.
  • Root Guard: Evita que los puentes rogue se conviertan en la raíz.
  • Loop Guard: Mejora la estabilidad de la red al evitar bucles de puente.
  • UDLD (Unidirectional Link Detection): Habilita los dispositivos para detectar enlaces unidireccionales.
  • Defensa contra Spoofing DNS:
  • Implementar Extensiones de Seguridad de Nombres de Dominio (DNSSEC).
  • Usar Secure Socket Layer (SSL) para asegurar el tráfico.
  • Resolver todas las consultas DNS a un servidor DNS local.
  • Bloquear solicitudes DNS a servidores externos.
  • Configurar un firewall para restringir la búsqueda DNS externa.
  • Implementar un sistema de detección de intrusiones (IDS).
  • Configurar el resolvedor DNS para usar una nueva fuente de puerto aleatoria.
  • Restringir el servicio de recursión DNS.
  • Usar un límite de tasa para el dominio DNS no existente (NXDOMAIN).
  • Asegurar las máquinas internas.
  • Usar IP y ARP estáticos.
  • Usar SSH seguro.
  • Auditar regularmente el servidor DNS.
  • Usar herramientas de detección de sniffing.
  • No abrir archivos sospechosos.
  • Siempre usar sitios proxy confiables.
  • Los resolvedores propios deben ser privados y protegidos.
  • Aleatorizar las direcciones IP de origen y destino.
  • Aleatorizar los ID de consulta.
  • Aleatorizar el caso en las solicitudes de nombres.
  • Usar Public Key Infrastructure (PKI) para proteger el servidor.
  • Mantener un rango de direcciones IP específico para registrar sistemas.
  • Implementar filtrado de paquetes para tráfico de entrada y salida.
  • Restringir transferencias de zona DNS a un conjunto limitado de direcciones IP.
  • Emplear DNS Cookie RFC 7873 o desactivar paquetes ICMP para prevenir ataques SAD DNS.
  • Usar codificación 0x20 y cookies DNS como seguridad adicional.
  • Reducir el tiempo de espera para consultas pendientes.
  • Actualizar los servidores DNS con los últimos parches.
  • Usar claves de control de demonios de nombres remotos (RNDC).
  • Asegurarse de que la resolución de archivos "hosts" esté deshabilitada.
  • Configurar zonas STUB para dominios accedidos.
  • Implementar políticas sólidas de contraseñas.
  • Cómo Detectar el Sniffing:
  • Comprobar dispositivos en modo promiscuo:Un NIC en modo promiscuo captura y ejecuta todos los paquetes de red.
  • El sniffer deja el tráfico de la red sin rastro.
  • Herramientas: Nmap (script NSE sniffer-detect), NetScanTools Pro.
  • Ejecutar IDS (Sistema de Detección de Intrusiones):Puede alertar al administrador sobre actividades sospechosas.
  • Ejecutar herramientas de red:Herramientas como Capsa Portable Network Analyzer pueden monitorear el tráfico de la red.
  • Pueden recopilar, consolidar, centralizar y analizar datos de diferentes recursos y tecnologías de red.
  • Técnicas de Detección de Sniffer:Método Ping:Enviar una solicitud de ping a la máquina sospechosa con una IP y una dirección MAC incorrecta.
  • Si el adaptador Ethernet la rechaza, no hay sniffer.
  • Si el sniffer se ejecuta en modo promiscuo, aceptará el ping aunque la dirección MAC no coincida.
  • Método DNS:Los sniffers que usan un lookup inverso de DNS incrementan el tráfico de la red.
  • Monitorear el servidor DNS de la organización.
  • Las máquinas que generan mucho tráfico de lookup DNS inverso pueden estar ejecutando un sniffer.
  • Método ARP:Envía una solicitud ARP no broadcast a todas las NICs en la red.
  • Si la NIC está en modo promiscuo, el sniffer guardará la dirección MAC local.
  • Cuando la máquina recibe la solicitud de ping, tiene la información correcta sobre el host que envía la solicitud.
  • Los sniffers enviarán una respuesta ARP a la solicitud de ping. Esto indica el origen del sniffer.

V. Resumen del Módulo

  • Conceptos de sniffing y protocolos vulnerables.
  • Técnicas de sniffing (MAC, DHCP, ARP, spoofing DNS).
  • Herramientas de sniffing.
  • Contramedidas y técnicas de detección de sniffing.

Cuestionario de Preguntas Cortas

Responde cada pregunta en 2-3 oraciones.

  1. ¿Cuál es la diferencia principal entre sniffing pasivo y activo?
  2. Menciona tres protocolos que son particularmente vulnerables al sniffing y explica por qué.
  3. Describe brevemente cómo funciona un ataque de inundación MAC.
  4. ¿Cuál es el objetivo principal de un ataque de DHCP starvation?
  5. ¿Qué es el envenenamiento ARP y qué tipo de ataque es comúnmente asociado con él?
  6. Explica la función principal de un puerto SPAN en el contexto del sniffing.
  7. ¿Qué es el wiretapping y cuáles son sus dos tipos principales?
  8. Nombra dos amenazas clave que pueden resultar del envenenamiento ARP.
  9. ¿Cómo ayuda el DHCP snooping a defenderse contra los ataques de DHCP starvation y rogue server?
  10. Menciona dos métodos para detectar si un dispositivo en la red está en modo promiscuo.

Clave de Respuestas del Cuestionario

  1. ¿Cuál es la diferencia principal entre sniffing pasivo y activo? El sniffing pasivo solo observa el tráfico que ya está presente en la red, sin interactuar con ella, siendo efectivo en entornos de hub. El sniffing activo, por otro lado, inyecta paquetes en la red para manipular el tráfico, lo cual es necesario en entornos de switch.
  2. Menciona tres protocolos que son particularmente vulnerables al sniffing y explica por qué. HTTP, Telnet y FTP son vulnerables porque transmiten datos, incluyendo credenciales, en texto plano. Esto significa que un atacante que realiza sniffing puede interceptar y leer fácilmente la información sensible sin necesidad de descifrado.
  3. Describe brevemente cómo funciona un ataque de inundación MAC. Un ataque de inundación MAC implica que un atacante inunde el switch de red con un gran número de direcciones MAC falsas. Esto satura la tabla CAM del switch, forzándolo a entrar en un modo de fallo abierto donde difunde todo el tráfico a todos los puertos, permitiendo al atacante sniffear los datos.
  4. ¿Cuál es el objetivo principal de un ataque de DHCP starvation? El objetivo principal de un ataque de DHCP starvation es agotar el pool de direcciones IP disponibles en un servidor DHCP legítimo. Al enviar continuamente solicitudes DHCP falsas con direcciones MAC spoofeadas, el atacante impide que los clientes legítimos obtengan direcciones IP, lo que resulta en una denegación de servicio.
  5. ¿Qué es el envenenamiento ARP y qué tipo de ataque es comúnmente asociado con él? El envenenamiento ARP es una técnica en la que un atacante envía mensajes ARP falsos a una red local, asociando su propia dirección MAC con la dirección IP de otro host (como la puerta de enlace). El tipo de ataque comúnmente asociado con esto es el ataque Man-in-the-Middle (MITM), donde el atacante intercepta y retransmite el tráfico entre las víctimas.
  6. Explica la función principal de un puerto SPAN en el contexto del sniffing. Un puerto SPAN (Switch Port Analyzer) es una característica de switch que permite duplicar el tráfico de uno o más puertos de switch a un puerto de destino específico. Su función principal en el sniffing es proporcionar una copia del tráfico de la red para su análisis por un sniffer o un analizador de protocolo, sin afectar la comunicación original.
  7. ¿Qué es el wiretapping y cuáles son sus dos tipos principales? Wiretapping es el proceso de monitorear y grabar conversaciones de teléfono o Internet por parte de un tercero. Sus dos tipos principales son el wiretapping activo, que implica la alteración o inyección de datos, y el wiretapping pasivo, que solo monitorea y registra el tráfico.
  8. Nombra dos amenazas clave que pueden resultar del envenenamiento ARP. Dos amenazas clave que resultan del envenenamiento ARP son el robo de contraseñas, ya que el atacante puede interceptar credenciales en texto plano, y los ataques Man-in-the-Middle (MITM), donde el atacante se posiciona entre dos hosts para espiar o manipular su comunicación.
  9. ¿Cómo ayuda el DHCP snooping a defenderse contra los ataques de DHCP starvation y rogue server? DHCP snooping ayuda al habilitar el switch para aceptar transacciones DHCP solo de puertos confiables, y descartar paquetes DHCP Discover de puertos no confiables. Esto previene que los atacantes agoten el pool de IP de DHCP o establezcan servidores DHCP rogue al validar la fuente de los mensajes DHCP.
  10. Menciona dos métodos para detectar si un dispositivo en la red está en modo promiscuo. Dos métodos son el Método Ping, donde se envía un ping con una MAC incorrecta, y si el dispositivo responde, está en modo promiscuo. El otro es el Método DNS, observando si un dispositivo genera un volumen inusualmente alto de búsquedas DNS inversas, lo que podría indicar el uso de un sniffer.

Preguntas de Ensayo

  1. Compara y contrasta el sniffing pasivo y activo, explicando las condiciones de red donde cada tipo es más efectivo y las técnicas de ataque específicas asociadas con cada uno.
  2. Analiza los protocolos de red que son intrínsecamente vulnerables al sniffing. Explica por qué estos protocolos son susceptibles y discute las contramedidas criptográficas que se pueden implementar para mitigar estos riesgos.
  3. Describe el proceso paso a paso de cómo un atacante utiliza sniffers para hackear una red, incorporando diferentes técnicas de ataque como el envenenamiento ARP y la inundación MAC.
  4. Discute las diversas técnicas de spoofing presentadas en el material (MAC Spoofing, IRDP Spoofing, VLAN Hopping, STP Attack) y explica cómo cada una manipula la infraestructura de red para facilitar el sniffing o la interrupción del servicio.
  5. Explica la importancia de la detección de sniffing. Detalla al menos tres métodos de detección diferentes (excluyendo el uso de herramientas generales de monitoreo) y explica los principios subyacentes de cómo cada método identifica la presencia de un sniffer.

Glosario de Términos Clave

  • Sniffing: El proceso de monitorear y capturar el tráfico de la red. También conocido como "escucha" o "análisis de paquetes".
  • Sniffing Pasivo: Un tipo de sniffing donde el atacante solo escucha el tráfico que pasa a través de un hub, sin inyectar paquetes adicionales en la red.
  • Sniffing Activo: Un tipo de sniffing donde el atacante inyecta tráfico en una red (especialmente conmutada) para manipular el flujo de datos y capturar información.
  • MAC Flooding (Inundación MAC): Una técnica de ataque que desborda la tabla CAM (Content Addressable Memory) de un switch con direcciones MAC falsas, forzando al switch a actuar como un hub y difundir el tráfico.
  • CAM Table (Tabla CAM): Una tabla en un switch de red que almacena direcciones MAC y sus puertos correspondientes para reenviar el tráfico eficientemente.
  • Switch Port Stealing (Robo de Puerto de Switch): Una técnica de sniffing que usa la inundación MAC para engañar a un switch para que asocie la dirección MAC de un objetivo con el puerto del atacante.
  • DHCP Starvation Attack (Ataque de Starvation DHCP): Un ataque de denegación de servicio (DoS) donde un atacante inunda un servidor DHCP con solicitudes falsas para agotar su pool de direcciones IP.
  • Rogue DHCP Server (Servidor DHCP Rogue): Un servidor DHCP no autorizado configurado por un atacante para proporcionar configuraciones IP incorrectas a los clientes, redirigiendo potencialmente su tráfico.
  • ARP Poisoning (Envenenamiento ARP) / ARP Spoofing: Una técnica de ataque donde mensajes ARP falsos son enviados a una LAN, asociando la dirección MAC del atacante con la dirección IP de una puerta de enlace o de otro host.
  • Man-in-the-Middle (MITM) Attack (Ataque de Hombre en el Medio): Un ataque en el que un atacante se intercepta en secreto y/o retransmite comunicaciones entre dos partes que creen que se comunican directamente entre sí.
  • MAC Spoofing (Spoofing MAC) / MAC Duplicating: La técnica de cambiar la dirección MAC de un adaptador de red para obtener acceso a la red o hacerse pasar por otro dispositivo.
  • IRDP Spoofing (ICMP Router Discovery Protocol Spoofing): Un ataque donde el atacante envía mensajes de anuncio de router ICMP falsos para manipular las tablas de enrutamiento de los hosts.
  • VLAN Hopping (Salto de VLAN): Una técnica para obtener acceso a recursos en una VLAN diferente a la que el atacante está conectado, a menudo explotando configuraciones erróneas del switch.
  • Switch Spoofing (Spoofing de Switch): Un método de VLAN hopping donde un atacante configura un switch rogue para crear un enlace troncal con un switch legítimo.
  • Double Tagging (Doble Etiquetado): Un método de VLAN hopping que añade una etiqueta 802.1Q adicional a una trama para que pueda "saltar" entre VLANs.
  • STP Attack (Spanning Tree Protocol Attack): Un ataque donde un atacante configura un switch rogue con una prioridad de puente STP más baja para convertirse en el puente raíz y controlar el tráfico de la red.
  • Wiretapping (Escucha telefónica): El proceso de monitorear y grabar conversaciones de teléfono o Internet de un tercero.
  • Hardware Protocol Analyzer (Analizador de Protocolo de Hardware): Un dispositivo que captura señales de tráfico de red y las analiza sin alterar los datos en el cable.
  • SPAN Port (Switch Port Analyzer): Una característica de Cisco que permite espejar el tráfico de red de un puerto a otro para su monitoreo y análisis.
  • Wireshark: Un popular analizador de paquetes de red de código abierto utilizado para capturar y analizar el tráfico en tiempo real.
  • Capsa Portable Network Analyzer: Una herramienta de análisis de rendimiento y diagnóstico de red que captura paquetes y ofrece capacidades de análisis.
  • DHCP Snooping: Una característica de seguridad en switches que filtra los mensajes DHCP no confiables y ayuda a construir una tabla de enlace DHCP-MAC-IP.
  • Dynamic ARP Inspection (DAI) (Inspección ARP Dinámica): Una característica de seguridad que valida los paquetes ARP para mitigar los ataques de envenenamiento ARP.
  • IP Source Guard: Una característica de seguridad que restringe el tráfico IP en puertos de capa 2 basándose en la base de datos de enlace DHCP snooping.
  • DNS Poisoning (Envenenamiento DNS): Un ataque que manipula las entradas de la caché DNS para redirigir las solicitudes de dominio a una dirección IP maliciosa.
  • DNSSEC (Domain Name System Security Extensions): Una suite de extensiones para DNS que añade autenticación criptográfica a los datos DNS para protegerse contra el spoofing.
  • Promiscuous Mode (Modo Promiscuo): Un modo de operación de la tarjeta de interfaz de red (NIC) en el que captura todos los paquetes que circulan por la red, independientemente de su dirección de destino.
  • Nmap: Una herramienta de código abierto para exploración de red y auditoría de seguridad, que puede usarse para detectar si una NIC está en modo promiscuo.

Themes