Seguridad Informática – Modo Monitor/Promiscuo
¿Sabes qué es el modo monitor y modo promiscuo? Estamos aquí con una nueva entrada Seguridad Informática – Modo Monitor/Promiscuo para estar al día en cuanto a seguridad informática.
Seguridad Informática – Modo Monitor/Promiscuo
En este post daremos una explicación básica de como funcionan estos modos que son casi lo mismo, lo que los diferencia es el medio, muy importante tanto para la Seguridad como el Hacking, importante también que usted como parte de una red deba saber lo relativamente sencillo que es llegar para un intruso ser parte de su red y de saber todo sus movimiento ya sea Inalámbrica o Alámbrica, y usando las herramientas adecuadas poder sacar información valiosa de su ordenador o simplemente sacar la información que viaja por la red entre ellos sus contraseñas.
MODO MONITOR
Algunas tarjetas wireless (dependiendo del modelo y el chipset que utilicen) tienen un modo que se conoce como monitor.
Cuando se pone la tarjeta en este modo se suelen hablar de ponerla en modo monitorización o monitor. Este modo permite la captura de los paquetes de una red wireless (que van por el aire en ondas de radio) sin estar asociados a la red.
Este modo monitor se conoce de forma técnica como modo RFMON, y no ha de confundirse con el modo promiscuo de sus compañeras, las tarjetas de red ethernet. Este modo es vital para poder realizar cualquier técnica de auditoría inalámbrica, por ejemplo, para romper el cifrado WEP es necesario recoger un gran número de paquetes con IVs débiles.
Para poner una tarjeta en modo monitor es importante tener en cuenta los controladores. En linux son las Linux Wireless Extensions los más utilizados para la configuración de adaptadores inalámbricos.
Cuando queremos hacer esto en windows nuestras posibilidades se limitan, sobre todo por la falta de modelos compatibles con los controladores. En windows se utiliza el controlador de airopeek de la compañía Wildpackets.
Así que si estás utilizando windows y no tienes un modelo compatible, puedes pensar en cambiar de SO (Linux es el preferido para la auditoría inalámbrica, también tienes BSD) o utilizar un live-CD. El barrido activo no tiene nada que ver con la escucha, zhyzura, este es un error muy común.
NetStumbler y otras herramientas similares no registran el tráfico inalámbrico (no son husmeadores o sniffers inalámbricos), sino que detectan las redes inalámbricas mediante un barrido activo. Este procedimiento consiste en el envío de un marco sonda de petición y espera de respuestas de sonda. En los marcos sonda de respuesta de una red vienen los siguientes datos: ESSID, canal, estado del WEP, fuerza de la señal…
¿Conocen algún sniffer que funcione con mi adaptador inalámbrico?
Todos los sniffers funcionan, el problema es si el adaptador wireless puede entrar en modo monitor. Nos has dicho el modelo, con decir el bus de conexión no dices nada, necesitas conocer el modelo y compañía para saber el chipset y buscar información de como configurarlo.
Para linux existen una gran cantidad de sniffers: kismet (uno de los más famosos y preferidos en internet), Mognet, WifiScanner…
El modo monitorización se puede utilizar para el descubrimiento de redes, para ello con el modo RFMON se utiliza una combinación con el salto a lo largo de todos los canales DSSS. Aquí la sensibilidad en recepción de la tarjeta (medida en dBm, decibelios por miliwatio) es fundamental, por eso se suelen escoger adaptadores con posibilidad de su configuración al mínimo (y así no perder ningún dBm en la detección)
Bueno si tu tarjeta no tiene la posibilidad de modo monitor te será inútil para intrusión en redes wireless, es por esto que lo primero en toda buena guía de Seguridad/Hacking wireless es el repaso al hardware y su importancia en el ataque. De todos modos se suele decir que la tarjeta que es buen para la auditoría inalámbrica no tiene por qué serlo para usarla en una red ya montada y viceversa.
MODO PROMISCUO
En informática, el modo promiscuo tarjeta de red es aquel en el que una computadora conectada a una red compartida, tanto la basada en cable de cobre como la basada en tecnología inalámbrica, captura todo el tráfico que circula por ella. Este modo está muy relacionado con los sniffers que se basan en este modo para realizar su tarea.
¿Cómo funciona?
Al igual que en modo Monitor, en las redes de ordenadores, la información se transmite en una serie de paquetes con la dirección física (o dirección MAC) de quien lo envía y quien lo tiene que recibir, de manera que cuando transmitimos un fichero, éste se divide en varios paquetes con un tamaño predeterminado y el receptor es el único que captura los paquetes evaluando si llevan su dirección.
En el modo promiscuo, una máquina intermedia captura todos los paquetes, que normalmente desecharía, incluyendo los paquetes destinados a él mismo y al resto de las máquinas. Resulta a destacar que las topologías y hardware que se usen para comunicar las redes, influye en su funcionamiento, ya que las redes en bus, redes en anillo, así como todas las redes que obliguen a que un paquete circule por un medio compartido, al cual todos tienen acceso, los modos promiscuos capturarán muchos más paquetes que si están en una red con topología en árbol.
Para completar el modo, las máquinas en modo promiscuo suelen simplemente copiar el paquete y luego volverlo a poner en la red para que llegue a su destinatario real (en el caso de topologías que requieran de retransmisión).1
Las máquinas que se encuentran en este modo (promiscuo) tiene muchas relaciones con las demás máquinas, ya sea de su género o no, esto con la finalidad de satisfacer sus necesidades de software.
WINDOWS:
Los chipsets funcionales con drivers Airopeek son:
- Atheros
- Agere
- Realtek
- Symbol
- Broadcom (Nuevo)
Chipsets que no funcionan en modo monitor bajo Windows:
- Ralink
- TI (Texas Instruments)
- Atmel
- RA (RT2560F)
- INPROCOMM (ipn2220)
- Marvell
Parece ser que el modelo de tarjeta Dlink G-520 no entra en modo monitor en Windows a pesar del chipset Atheros. Es importante no confundirla con la 520+ que viene con chipset TI. Les dejo un enlace interesante para su configuración en Linux, también pueden usar Auditor (que incluye los controladores/drivers madwifi), sin ningún problema. Pero existen mejores alternativas.
GNU/LINUX:
Chipsets funcionales en modo monitor:
- Hermes (Orinoco)
- Prism 2/2.5/3
- Intersil Prism
- Prism GT
- Cisco
- Atheros
- Centrino ipw2100 e ipw2200
- Texas Instruments (TI)
- ZyDAS (Controlador: zd1211)
- Ralink (rt2500)
- Broadcom (Nuevo)
Chipsets no funcionales en modo monitor:
- INPROCOMM
Fuente: http://foro.elhacker.net
Ahora que ya sabes qué es la tarjeta de red en modo promiscuo y qué es la tarjeta de red modo monitor, te invitamos a leer artículos interesantes en nuestro sitio web.
Sigue aprendiendo con nosotros:
Sheetjs |
JavaScript vanilla |
CSS para tablas elegantes |
Exportar tabla HTML a Excel JavaScript |
Deja una respuesta