Concentradores.
Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.
Canal de Telegram: https://t.me/protecciondelainformacion1
Grupo de Telegramas: https://t.me/protecciondelainformacion2
Sitio web: https://legascom.ru
Correo electrónico: online@legascom.ru
#proteccióndelainformación #seguridaddelainformación
Después de revisar en publicaciones anteriores los fundamentos teóricos de las capas del modelo OSI, ahora pasemos a considerar los ataques que pueden implementarse contra dispositivos y aplicaciones que se ejecutan en cada una de las capas de OSI.
Los ataques a nivel físico se conocen desde hace mucho tiempo, y parece que todos saben cómo lidiar con ellos, pero a veces con la ayuda de un ataque de este tipo se puede obtener información confidencial.
Comencemos con los dispositivos de red más simples: concentradores (hub). Como saben, el concentrador, al recibir un paquete en uno de sus puertos, lo retransmite a todos los demás.
En este caso, todas las máquinas conectadas a este concentrador reciben el paquete enviado. El uso de estos dispositivos reduce significativamente el ancho de banda del segmento de red y, lo que es más importante desde el punto de vista de la seguridad de la información, cualquier usuario conectado a un concentrador puede escuchar fácilmente todo el tráfico que pasa a través de ese segmento.
Para probar esto en la práctica, es suficiente conectar varias máquinas al concentrador y en una de ellas ejecutar el disco de arranque y la distribución Kali descrita en las aplicaciones o cualquier otra distribución
Linux que contiene esta utilidad. De aquí en adelante, todas las utilidades enumeradas en los ejemplos se incluyen con Kali Linux, a menos que se indique explícitamente lo contrario.
Después de arrancar el sistema operativo Kali Linux, debe seleccionar: Privilege Escalation – Sniffers - Wireshark.
A continuación, en la ventana de la aplicación que se abre, debe especificar la interfaz desde la que se interceptará el tráfico y hacer clic en iniciar.
Bueno, ahora lo más interesante. Vamos desde una máquina conectada al mismo concentrador que a cualquier sitio que transmita credenciales a través de un formulario web sin cifrar e ingresamos el nombre de usuario y la contraseña (mejor no real). Envía estos datos al servidor y recibe un mensaje de credenciales incorrectas.
Luego, vaya a la ventana de Wireshark y vea el tráfico HTTP que se transmitió desde la máquina local al servidor web.
En mi ejemplo, utilicé un portal web de una conocida red social que hace unos años no usaba cifrado al transferir credenciales y transmitía el nombre de usuario y la contraseña sin cifrar. En mi caso, el Inicio de sesión fue test y la contraseña p@ssw0rd. En el registro, el carácter @ se reemplaza por el código hexadecimal UTF-8.
Por supuesto, muchos sitios web utilizan el cifrado al transferir credenciales, pero sin embargo, al escuchar el tráfico, un hacker experimentado puede recopilar una gran cantidad de información útil. Por ejemplo, en los servidores a los que accede el equipo, puede intentar identificar el sistema operativo instalado en el equipo hasta las versiones de las actualizaciones instaladas. También puede aprender acerca de las aplicaciones instaladas. Estos ataques se llaman "passive fingerprint". La información obtenida de esta manera puede ser utilizada posteriormente por el atacante para implementar ataques más complejos.
Los ejemplos anteriores son evidencia de que los concentradores no son adecuados para su uso en redes de área local. Pero no te apresures a tirarlos. Si utiliza clústeres de conmutación por error en su red (la necesidad de aplicar la conmutación por error se explica en detalle en las publicaciones de riesgo), podrá usar concentradores para conectar internamente los nodos del clúster. El hecho es que los nodos del clúster necesitan intercambiar constantemente mensajes del tipo "estoy vivo" (I'm alive), estos mensajes se transmiten por los nodos entre sí. Dado que el concentrador no crea tablas CAM, sino que envía paquetes directamente, en caso de falla de uno de los nodos, el segundo nodo aprende más rápidamente sobre la falla del segundo. Los conmutadores forman tablas CAM que tienen algún tiempo de vida, y cuando uno de los nodos falla, el segundo se entera de esto solo después de ese tiempo de vida. Sin embargo, hablaremos más sobre los conmutadores en un momento posterior. Para aplicaciones comerciales críticas, como el correo electrónico, una base de datos empresarial o un sitio web, una simple Duración de unos pocos segundos es extremadamente dañina, mientras que para una carrera como administrador de sistemas es simplemente peligrosa. Por lo tanto, el uso de concentradores en sistemas de clúster está bien justificado. Para evitar estas amenazas, es necesario utilizar los conmutadores, que se discutirán en las siguientes publicaciones.
Ahora encontrar un concentrador en una red corporativa ya no es tan fácil. Estos son reemplazados por conmutadores en todas partes, y esta es la mejor manera de evitar las amenazas descritas anteriormente. En el caso de que su red tenga concentradores y no pueda abandonarlos en este momento, debe bloquear mediante software a los usuarios la capacidad de escuchar el tráfico. La forma más fácil de hacerlo es privando a los usuarios de privilegios administrativos en sus estaciones de trabajo. También debe evitar que la tarjeta de red funcione en un modo que le permita recibir todo el tráfico, no solo el que está diseñado para esta máquina.
