Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: piranna en 06 de Febrero de 2008, 03:55:03 pm

Título: Detectar tarjetas en modo Promiscuo + Problema con WireShark
Publicado por: piranna en 06 de Febrero de 2008, 03:55:03 pm

Hola, estoy realizando una auditoria para la red corporativa de mi empresa y un informe sobre distintas herramientas de seguridad informatica para mi jefe y me he encontrado con dos "pequeños" problemas.

El primero, que necesito un programa bajo Linux o bajo Windows (mejor bajo Linux) para detectar a maquinas conectadas en la red corporativa en modo promiscuo, o sea, sniffando la red. He encontrado que hay varios programas pero ninguno ofrece garantias de ningun tipo aparte de que se quedan anticuados muy rapidamente, por lo que apenas hay informacion sobre el tema y se deja casi como una situacion imposible, lo cual no es precisamente de ayuda...

Y en segundo lugar y mas o menos relaccionado con el primero, esta justo hacer lo contrario. Resulta que he estado probando WireShark (ya lo conocia de oidas cuanto todavia se llamaba Ethereal) y me ha sorprendido lo bien que funciona mostrandome todas las cabeceras de los paquetes, pero por alguna extraña razon no me captura las trazas TCP de los demas, solo de la navegacion que yo realizo, lo cual es poco util. Os pongo en situacion:

1º Bajo Ubuntu en un portatil HP con tarjeta Intel pongo WireShark a capturar como root
2º En mi MacBook me desconecto del wifi
3º Despues vuelvo a conectar el Mac por wifi a la misma red que esta escaneando el Linux
4º El WireShark detecta todos los paquetes de autodescubrimiento del Mac: MDNS, Samba... luego el WireShark esta claro que esta escaneando en la misma red que se ha conectado el Mac
5º Hago una busqueda aleatoria desde el Mac en Google...
6º ...y el WireShark no detecta nada

Sin embargo, si desde el Linux realizo una navegacion el WireShark si que lo detecta. ¿Cual puede ser el motivo?

Muchas gracias por todo.

Título: Re: Detectar tarjetas en modo Promiscuo + Problema con WireShark
Publicado por: Dabo en 06 de Febrero de 2008, 11:01:29 pm

Hola amigo, bienvenido al foro, ando muy mal de tiempo ahora como para poder contestarte algo concreto de WireShark /Ethereal

Este texto de Alfon sigue siendo muy válido y te recomiendo leerlo con calma, no sé si lo has visto antes, ya me cuentas

http://nautopia.coolfreepages.com/detectando_sniffers.htm

Mira también esto;

http://www.elo.utfsm.cl/~tel242/docs/trabajos/anteriores/01-inf-1s-2004.pdf

De todos modos, te comento que hay muchas aplicaciones para proporcionar una salida más legible a los paquetes capturados con Ethereal

Saludos -;)