Artículos

Analizadores de protocolos.

logo11d 4 1

Analizadores de protocolos.

Las redes Ethernet han ganado una inmensa popularidad debido a su buen rendimiento, facilidad de instalación y costo razonable de los equipos de red.

Sin embargo, la tecnología Ethernet no está exento de importantes inconvenientes.

El principal es la inseguridad de la información transmitida. Las computadoras conectadas a una red Ethernet pueden interceptar información dirigida a sus vecinos. La razón de esto es el llamado mecanismo de mensajería de difusión adoptado en las redes Ethernet

Transmisión local

En una red Ethernet, las computadoras conectadas a ella generalmente comparten el mismo cable, que sirve como medio para enviar mensajes entre ellas.

Cualquier persona que quiera transmitir un mensaje a través de un canal común debe asegurarse primero de que este canal esté libre en un momento determinado.

Una vez iniciada la transmisión, la computadora escucha la frecuencia portadora de la señal, determinando si la señal ha sido distorsionada como resultado de colisiones con otras computadoras que están transmitiendo sus datos simultáneamente con ella.

Si hay En caso de colisión, la transmisión se interrumpe y el ordenador « durante un periodo de tiempo determinado para intentar repetir la transmisión un poco más tarde.

Si el ordenador está conectado a la red Ethernet. no transmite nada por sí mismo. sin embargo, continúa «escuchando» todos los mensajes transmitidos a través de la red por ordenadores vecinos.

Al notar su dirección de red en el encabezado de un dato entrante, la computadora copia esta parte en su memoria local.

Hay dos formas principales de conectar computadoras a una red Ethernet.

En el primer caso, los ordenadores se conectan mediante cable coaxial.

Este cable serpentea como una serpiente negra de una computadora a otra y se conecta a adaptadores de red con un conector en forma de T. Esta topología en lenguaje profesional se denomina red Ethernet 10Base2. Sin embargo, también se la puede llamar una red en la que «todos escuchan a todos».

Cualquier computadora conectada a la red es capaz de interceptar datos enviados a través de esta red por otra computadora.

En el segundo caso, cada computadora está conectada mediante un cable de par trenzado. con un puerto de interruptor central separado — un concentrador o un conmutador.

En estas redes, llamadas redes Ethernet LOBaseT, las computadoras se dividen en grupos llamados dominios de colisión.

Los dominios de colisión se definen mediante puertos hub o switch conectados a un bus común.

Como resultado, no se producen colisiones entre todas las computadoras de la red. y por separado — entre aquellos que forman parte del mismo dominio de colisión, lo que aumenta el rendimiento de la red en su conjunto.

Recientemente, han comenzado a aparecer nuevos tipos de conmutadores en grandes redes que no utilizan transmisión y no cierre los puertos de los grupos entre sí.

En cambio, todos los datos transmitidos a través de la red se almacenan en la memoria y se envían lo antes posible. Sin embargo, todavía existen bastantes redes de este tipo — no más del 10% del número total de redes tipo Ethernet.

Así, el algoritmo de transferencia de datos adoptado en la gran mayoría de las redes Ethernet requiere que cada computadora conectada a la red «escuche» continuamente #187; todo el tráfico de la red sin excepción.

Los algoritmos de acceso propuestos, cuando se utilicen, desconectarían las computadoras de la red durante la transmisión de mensajes «extraños&#187. mensajes, quedó sin implementar debido a su excesiva complejidad y baja eficiencia.

Analizador de protocolos tal cual

El adaptador de red de cada computadora en la red Ethernet, normalmente .»oye» todo lo que se «habla» entre sus vecinos en un segmento de esta red.

Pero procesa y coloca en su memoria local sólo aquellas porciones (las llamadas tramas) de datos que contienen una dirección única asignada a él en la red.

Además de esto, la gran mayoría de los adaptadores Ethernet modernos permiten la operación en un modo especial llamado promiscuo, cuando se usa, el adaptador copia todos y cada uno de los cuadros de datos transmitidos a través de la red a la memoria local de la computadora.

Los programas especializados que ponen el adaptador de red en modo promiscuo y recopilan todo el tráfico de la red para su posterior análisis se denominan analizadores de protocolos.

Estos últimos son ampliamente utilizados por los administradores de red para monitorear el funcionamiento de estas redes e identificar sus áreas sobrecargadas que afectan negativamente la velocidad de transferencia de datos.

Desafortunadamente, los analizadores de protocolos también son utilizados por los atacantes, quienes pueden usarlos. para interceptar las contraseñas de otras personas y otra información confidencial.

Cabe señalar que los analizadores de protocolos representan un grave peligro. La sola presencia de un analizador de protocolos en una red indica que existe una brecha en sus mecanismos de seguridad. El analizador de protocolos podría haber sido instalado por un extraño que penetró en la red desde el exterior (por ejemplo, si la red tiene acceso a Internet).

Pero esto también podría ser obra de un &#171 ;de cosecha propia» un atacante con acceso legal a la red. En cualquier caso, la situación actual debe tomarse en serio. Los expertos en seguridad informática clasifican los ataques a ordenadores que utilizan analizadores de protocolos como los llamados ataques de segundo nivel.

Esto significa que el pirata informático ya ha logrado traspasar las barreras de seguridad de la red y ahora busca aprovechar su éxito. Utilizando un analizador de protocolos, puede intentar interceptar los inicios de sesión y contraseñas de los usuarios, datos financieros confidenciales (como números de tarjetas de crédito) y comunicaciones confidenciales (como el correo electrónico).

Con recursos suficientes, un atacante informático puede, en principio, interceptar toda la información transmitida a través de una red.

Existen analizadores de protocolos para cualquier plataforma. Pero incluso si resulta que aún no se ha escrito un analizador de protocolos para una plataforma en particular, todavía se debe tener en cuenta la amenaza que representa un ataque a un sistema informático utilizando un analizador de protocolos.

El hecho es que los analizadores de protocolos no analizan una computadora específica, sino protocolos. Por lo tanto, el analizador de protocolos puede «torcer» poseer un nido en cualquier nodo de la red y desde allí interceptar el tráfico de la red que, como resultado de las transmisiones, llega a todos los ordenadores conectados a la red.

Los objetivos más comunes de los ataques de los piratas informáticos que utilizan analizadores de protocolos son las universidades. Aunque sólo sea por la gran cantidad de nombres de usuario y contraseñas diferentes que pueden robarse durante un ataque de este tipo. Usar un analizador de protocolos en la práctica no es una tarea tan fácil como podría parecer.

Para beneficiarse de un analizador de protocolos, un pirata informático debe tener conocimientos suficientes de la tecnología de redes. Es imposible simplemente instalar y ejecutar un analizador de protocolos, ya que incluso en una pequeña red local de cinco ordenadores el tráfico asciende a miles y miles de paquetes por hora. Y por lo tanto, en poco tiempo, la salida del analizador de protocolos llenará el espacio «duro» disco «lleno».

Esta es la razón por la que un atacante informático suele configurar un analizador de protocolos para interceptar sólo los primeros 200-300 bytes de cada paquete transmitido a través de la red. Normalmente, es en el encabezado del paquete donde se encuentra la información sobre el nombre de inicio de sesión y la contraseña del usuario, que, por regla general, es de mayor interés para el atacante.

Sin embargo, si el atacante tiene suficiente espacio en el «hardware» disco, luego aumentar el volumen de tráfico que intercepta solo lo beneficiará y le permitirá aprender muchas cosas interesantes.

Hay muchos analizadores de protocolos publicados en servidores en Internet, que se diferencian solo en el conjunto de funciones disponibles. Busque «analizador de protocolos» y «rastreador» en el servidor softseek proporciona enlaces a una docena de paquetes de software.

Para computadoras que ejecutan sistemas operativos Windows, algunos de los mejores analizadores de protocolos son Lan Explorer de Intellimax y NetXRay de Network Associates. NetXRay (traducido del inglés — «Network X-ray») tiene un amplio conjunto de funciones que le permiten tomar una instantánea del «interior» Red Ethernet, determine qué nodos y segmentos soportan la mayor carga, recopile informes y construya diagramas en base a los datos obtenidos. Hay una versión gratuita de NetXRay disponible en Internet en http://nai/asp_set/products/tnv/snitierbasicJntro.asp.

El analizador de protocolo Lan Explorer («LAN Analyzer») no es inferior en funcionalidad a NetXRay, tiene una muy buena interfaz de usuario, es conveniente y fácil de usar. Una versión de prueba de 15 días de Lan Explorer está disponible en http://intellimax/ftpsites.htm.

El analizador de protocolos de Network Monitor también se incluye con el sistema operativo Windows NT Server de Microsoft. Para instalarlo, haga doble clic en el ícono Red en el Panel de control, luego vaya a la pestaña Servicios y presione el botón Agregar. (Agregar…) y seleccione Agente y herramientas de Network Monitor en el cuadro de diálogo que aparece. Después de la instalación, el analizador de protocolos se puede iniciar desde el menú Programas en la sección Herramientas administrativas.

Cómo protegerse del analizador de protocolos

Hagamos una reserva ahora mismo — Sólo aquellos que quieran luchar contra los piratas informáticos que utilizan analizadores de protocolos para lanzar ataques a sistemas informáticos conectados a la red necesitan consejos sobre cómo defenderse de un analizador de protocolos. En manos de un administrador de red, un analizador de protocolos es una herramienta muy útil que le ayuda a encontrar y solucionar problemas, deshacerse de los cuellos de botella que reducen el rendimiento de la red y detectar rápidamente intrusos informáticos.

Puedo recomendar lo siguiente. Primero, intente conseguir un adaptador de red que fundamentalmente no pueda funcionar en modo promiscuo. Estos adaptadores existen en la naturaleza. Algunos de ellos no admiten el modo promiscuo a nivel de hardware (son una minoría), mientras que otros simplemente se suministran con un controlador. lo cual no permite el funcionamiento en modo promiscuo, aunque este modo está implementado en hardware. Para encontrar un adaptador que no tenga modo promiscuo, simplemente contacte con el soporte técnico de cualquier empresa que venda analizadores de protocolos y averigüe con qué adaptadores no funcionan sus paquetes de software. En segundo lugar, dado que la especificación PC99, preparada en las profundidades de las corporaciones Microsoft e Intel, requiere la presencia incondicional de un modo promiscuo en la tarjeta de red, compre un conmutador inteligente de red moderno que almacene en la memoria el mensaje transmitido a través de la red y lo envíe. En la medida de lo posible, exactamente a la dirección. Por tanto, la necesidad de «escuchar» Ya no es necesario un adaptador de todo el tráfico para extraer mensajes del mismo, cuyo destinatario es esta computadora.

En tercer lugar, evite la instalación no autorizada de analizadores de protocolos en las computadoras de la red. Aquí deberías utilizar herramientas del arsenal que se utiliza para combatir los marcadores de software y, en particular, — con troyanos (instalación de firewalls) Cuarto, cifrar todo el tráfico de la red. Existe una amplia gama de paquetes de software que le permiten hacer esto de manera bastante eficiente y confiable. Por ejemplo, la capacidad de cifrar contraseñas de correo electrónico la proporciona un complemento del protocolo de correo electrónico POP (Protocolo de oficina postal): — Protocolo APOP (Autenticación POP). Cuando se trabaja con APOP, cada vez se transmite una nueva combinación cifrada a través de la red, lo que no permite que un atacante obtenga ningún beneficio práctico de la información interceptada mediante un analizador de protocolos. El único problema es que hoy en día no todos los servidores y clientes de correo admiten APOP.

Otro producto llamado Secure Shell o — SSL fue desarrollado originalmente por la empresa finlandesa SSH Communications Security (http://ssh.fi) y actualmente tiene muchas implementaciones disponibles de forma gratuita a través de Internet. SSL es un protocolo seguro para la transmisión segura de mensajes a través de una red informática mediante cifrado.

Los paquetes de software diseñados para proteger los datos transmitidos a través de una red mediante cifrado y unidos por la presencia de la abreviatura PGP en su nombre tienen volverse especialmente famoso, lo que significa Pretty Good Privacy. Puede encontrar información sobre estos paquetes en Internet en http://nai/asp_set/products/ins/intro.asp. Desafortunadamente, la versión de distribución gratuita del programa de cifrado de esta serie disponible en este servidor solo está disponible para los residentes de EE. UU. y Canadá, así como para los afortunados moscovitas que se han convertido en propietarios de CD pirateados, en los que se puede encontrar accidentalmente. de vez en cuando. •

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять