Como se implementa un anti-sniffer?

Ralil Ayancan Guillermo (Casa Matriz) GRalil en codelco.cl
Mar Feb 21 10:32:23 CLST 2006


> -----Mensaje original-----
> De: linux-bounces en listas.inf.utfsm.cl [mailto:linux-
> bounces en listas.inf.utfsm.cl] En nombre de Miguel Angel Amador L
> Enviado el: lunes, 20 de febrero de 2006 23:59
> Para: Discusion de Linux en Castellano
> Asunto: Re: Como se implementa un anti-sniffer?
> 
> On 2/20/06, kazabe <kazabe en gmail.com> wrote:
> > Holas!
> >
> > Pues eso!   exactamente que es y como se implementa un anti-sniffer?
> que
> > documentacion  o sitios me recomiendan al respecto?
> >
> >
> > Gracias & saludos
> >
> > --
> > "Imagination is more important than knowlege"
> > A.E.
> 1- no Hagas Crossposting!!!
> 2- Google!!!
> 3- Puedes buscar por la tecnologia de switchs Catalyst 2960 de Cisco.
> contra envenamientos de ARP. o ARP Flood's... otras cosas es
> implementar 802.1x.
>  Saludos
> 
> --
> Miguel Angel Amador L.
> [ jokercl at gmail dot com |  User #297569 counter.li.org ]
> [ http://www.fotolog.net/kush ]

[Ralil Ayancan Guillermo (Casa Matriz)] 

Si tienes para poner un Switch CISCO.... no significa que sean anti-sniffer... 
Los manejos de ataques por ARP que indicas creo que van mas indicados a ser ANTI-SPOFFING que es cuando se toma una MAC de otro equipo para ver los paquetes que le estan llegando (esto seria sniffear) pero un switch como CISCO, AVAYA o EXTREME NETWORKS, etc. nunca va a permitirte ver dos direcciones MAC en dos puertas distintas, por que es un equipo que ademas de las TABLAS MAC o ARP maneja otros conceptos como SPANNING TREE para bloquear LOOPs que son detectados por ejemplo cuando el switch ve MACS iguales en distintas puertas muy rapido.
También existen protecciones como el 802.1x o el port-security, pero van indicadas hacia otras funciones de seguridad.

Si quieres sniffear en un switch Cisco, o cualquiera con estas caracteristicas deberas configurar una puerta en PORT-MIRRORING (monitor session) para permitir que el switch envie realmente toda la información que llega a la MAC o IP sniffeada, ya que el switch sabe en que puerta esta una MAC y envia la información solo a esa puerta, no como lo que sucede en un HUB o (switch de 10 lukas) por eso no creo que tenga mucho sentido indicarle que estudie un 2960 Cisco. Es un buen elemento para evitarlos pero no son exactamente esos protocolos los que deberia revisar.

Creo que esto puede ser de mayor utilidad:

http://www.linux-sec.net/Sniffer.Detectors/




Este mensaje es de naturaleza confidencial y puede contener información protegida por normas de secreto y propiedad intelectual. Si usted ha recibido este correo electrónico por error, le agradeceremos se comunique inmediatamente con nosotros por este misma vía y tenga además la amabilidad de borrar el mensaje y sus adjuntos; así mismo, usted no debera copiar el mensaje ni sus adjuntos ni divulgar su contenido a ninguna persona. Muchas gracias.

THIS MESSAGE IS CONFIDENTIAL BY ITS NATURE. IT MAY ALSO CONTAIN INFORMATION THAT IS PRIVILEGED OR OTHERWISE LEGALLY EXEMPTED FROM DISCLOSURE. IF YOU HAVE RECEIVED IT BY MISTAKE, PLEASE LET US KNOW BY E-MAIL IMMEDIATELY AND DELETE THE MESSAGE AND ITS EXHIBITS FROM THE SYSTEM; YOU SHOULD ALSO NOR COPY THE MESSAGE OR ITS EXHIBITS NOR DISCLOSE ITS CONTENTS TO ANYONE. THANK YOU.



Más información sobre la lista de distribución Linux