Páginas

Wireshark - Seguridad en redes

Pregunta

Dentro de la red del trabajo, en la vlan de invitados ultimamente hemos tenido visitas que le gusta pasar su tiempo viendo a los demas........y me di cuenta que usa el wireshark como herramienta...........
Conocen alguna herramienta que bloquee el wireshark,?

Me di cuenta una vez que pase por detras de el y vi en la pantalla la interfaz del wireshark y se puso nervioso........
cuento con un switch administrable cisco cat500 y en la vlan de invitados no tienen muchos permisos, solo a paginas coorporativas, pero de todas maneras me gustaria saber algo asi en contra ya que en la empresa se realizan trasferencias a diferentes pagos bancarios y pues no me gustaria ser tambien responsable si algo llegase a pasar.
por eso es mi principal duda, si existe alguna aplicacion que evite el uso del wireshark, o algun comando en equipos cisco que evite el tipo de ataques del wireshark

Respuesta

Si no me equivoco, wireshark necesita winpcap para poder funcionar, para empezar mira en Agregar o quitar programas a ver si lo tienes instalado (creo que también circula por ahí una versión portable). Esto suponiendo que tengas control sobre el ordenador "espía", de otro modo no creo que puedas evitar que ese ordenador analice el tráfico que le llega a su interfaz de red, así que tendrías que intentar detectar y bloquear la conexión.


Otra respuesta

Como te diste cuenta que estan usando el wireshark y que es lo que hacen?. 
A que te referis con bloquear el wireshark?, el wireshark es simplemente un programa que escucha el trafico que pasa por la boca del switch donde esta conectado. Si tu red esta bien armada, es switcheada y robusta, con el wireshark no podes hacer mucho. Pero si la persona tiene acceso a los switches en donde pueda replicar puertos, o si los switches son malos y los podes saturar con facilidad, ahi la cosa cambia. 
Como es tu estructura de red y que es lo que necesitas hacer?
La vlan de invitados es para invitados y cada uno se conecta bajo su responsablidad, el que se conecta tiene que saber que es como estar directamente en internet y por lo tanto deberia tomar todos los recaudos posibles, por lo menos a mi me gusta verlo asi. 
Mi vlan de invitados tambien me trae dolores de cabeza por lo que la fui recortando cada vez mas en cuanto a lo que pueden hacer los clientes ahi, al fin termina siendo una vlan que nadie quiere usar y yo feliz jeje. 


y otra respuesta más

Deberias probar con Un firewall Mikrotik, y filtrarlo por Capa 7. Hay reglas que miran el source, miran el paquete, y lo marcan por aplicacion, y despues le decis, si lo dropeas o lo aceptas


y más una respuesta

Bueno, aca el punto es que el wireshark, si está instalado en una máquina que está conectada a un puerto no espejeado, entonces no puede obtener mucha información, excepto la que se presente por broadcast y la relacionada con el tráfico que la misma máquina genere. Si la persona que estaba divirtiendose con el analizadoir no tiene acceso a la configuración del switch, entonces no pudo espejear los puertos y tampoco tiene acceso a información relevante.

lo que puedes hacer, para elevar tu nivel de tranquilidad, es bloquear la posibilidad de que desde la vlan de invitados se tenga acceso a toda la red; supongo que esas transferencias de las que hablas no se realizan desde la vlan de invitados... o si??

y siguen las respuestas

el wireshark es un sniffer por lo que no se usa mas que para ver el trafico en la red. Para realizar ataques, se usa un sniffer para ver la red y otros programas para atacarla.
En cuanto a limitar el wireshark, no es algo que puedas limitar porque es algo pasivo dentro de la red, no hace mas que escuchar lo que recibe la placa de red. Lo que si tenes que limitar es el resto de los programas que se usan para atacar la red pero tenes que conocerlos.
En cuanto a querer mejorar la seguridad de tu red me parece muy buena idea y busca en la pagina de cisco como hacerlo, se llama hardening.
El trafico contra bancos esta todo encriptado por lo que no es facil de hacer algo y tenes que tenerla muy clara como para si quiera intentar hacer algo, si esta persona dejo que alguien lo viera simplemente snifeando la red, no creo que la tenga muy clara. Lo que si te puede molestar es haciendo otras cosas contra maquinas o sistemas de tu red y ahi es donde entra cuan bien tengas configuradas tus cosas. Algo que tenes que tener bien configurado es tu vlan de invitados, esta realmente separada de tu red?
Vas a tener que leer bastante sobre el tema seguridad para poder comprender como frenar los ataques, es un mundo muy interesante.
  
Y otra  respuesta mas

Ya que cuentas con un Switch Administrable CISCO, lo primero es como dicen los listeros separar las VLANs de forma que no se tenga acceso fisico a ningun lado de la intranet y ademas implementar seguridad de puerto a tus conexiones de VLAN de invitados que es algo fundamental. Entiendo que si usas un switch como punto de entrada entonces con el wireshark solo se podran ver los paquetes entre el host origen y destino, asi que tu atacante tendria que hacerse pasar como gateway de tu red para engañar a los host y ver los paquetes de los demas equipos y eso es con otro tipo de software. 

Y la última respuesta

La otra forma es que  el atacante inunde tu switch con ARP Request y el swich
al tener tanta data pase del modo de operacion de switch a Hub. Con la consecuencia de que toda la info pase por todos los puertos.

Otra cosa a revisar es que la configuracion de los puertos por mas que esten en modo acceso, que no tengan el trunking seteado en negotiate o auto. Dado que si esta esta asi y el atacante envia una pdu requiriendo que el puerto se convierta en troncal estas en la misma.