| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
Una de las formas más frecuentes que tienen los intrusos para obtener acceso a más sistemas de su red es usar un espía de paquetes (sniffer) en un host que ya ha sido comprometido. Este "sniffer" escucha en los puertos Ethernet cosas como "Password", "Login" y "su" en el flujo de paquetes y registra el tráfico posterior. De esta forma los atacantes obtienen claves de sistemas que ni siquiera tratan de atacar. Las claves enviadas sin cifrar son muy vulnerables a estos ataques.
EJEMPLO: El host A ha sido comprometido. Los atacantes instalan un sniffer. El sniffer recoge los logind del administrador en el host B desde el host C. Consigue las claves personales de los administradores mientras entran en B, entonces el administrador hace un su para corregir un problema. Ahora tienen la clave del root del host B. Más tarde el administrador deja a alguien hacer telnet desde su cuenta al host Z en otro sistio. Ahora el atacante tiene el par password/login en el host Z.
En este momento el atacante no necesita ni comprometer el sistema para hacer esto, también podría traer un portátil o un pc al edificio y meterse en su red.
El uso de ssh u otros métodos de claves cifradas impide este ataque. Cosas como APOP para cuentas pop también previene este ataque. (Los login pop normales son muy vulnerables en esto, como cualquier cosa que se envía en texto sin cifrar sobre la red).
| <<< Previous | Home | Next >>> |
| 7. Seguridad de Red | 7.2 Servicios del sistema y tcp_wrappers |