Thursday, March 19, 2009

Como hacer un cable UTP para sniffing ( only receive )


Durante el proyecto Nemo, que comente en posts anteriores, teníamos la necesidad de conectar una interfaz de nuestro IDS, que se encontraba en una DMZ interna, a la red publica.

Nosotros estabamos interesados en ocultar el IDS de los posibles atacantes.

Conectar el IDS directo a la interfaz externa implica un problema, dado que en caso de encontrarse una vulnerabilidad al IDS puede que un exploit cause que el equipo configure una IP y comienza a transmitir datos por la interfaz de sniffing.

Para solucionar esto, utilizamos el procedimiento recomendado en el siguiente Link :

How to make a sniffing (receive only) UTP cable

Este link explica como fabricar un cable UPT que solo reciba información.

Esto que parece trivial ( solo dejar los pares de transmit ), al momento de la puesta en practica no es tan sencillo, dado que tanto Hub's como Switch's realizan un 'link status" para conocer si tienen conectado un cable en el port. Si el equipo no recibe respuesta, entonces entiende que no tiene nada conectado.

El método utilizado en esto procedimiento, es introducir una gran cantidad de errores en el transmission path, de manera que el equipo detecte la señal pero que la verificación de CRC no permita pasar paquetes.

Para lograr esto, se introduce al circuito un filtro por medio de un capacitor.


la formula para calcular la impedancia del capacitor es la siguiente :

Donde

For 10M Ethernet, f = 5M, R = 200,

C = 150p (F)

For 100M Ethernet, f should be 50M, R = 200 (because still using CAT5)

C = 15p (F)


En nuestro caso, el cable funciono perfectamente.

2 comments:

Anonymous said...

Que bueno esto, voy a tratar de hacer uno para probar.

La verdad, ni sabía que se podía hacer :-).


Saludos

Maldito Nerd said...

Buenísimo, me he quedado pensando. Este método tiene que funcionar en un enlace full duplex, pero ¿Qué pasaría en uno half-duplex? (Si no entiendo mal como funciona, en modo half-duplex este cable sería inútil)

Es preocupante el hecho de que cualquiera pueda colgar un cable en la red y hacer sniffing sin ser detectado, en un switch administrable sería una muy buena medida de seguridad pasar todos los puertos en desuso a modo half duplex para prevenir esto.

Me voy a armar uno para hacer algunos experimentos, jeje...

Saludos!