martes, 1 de agosto de 2017

¡Te estoy viendo!, no puedes ocultarte.

Se leyó el día 27/07/2017 la noticia en RedesZone: "Cómo ocultar tu equipo en la red local para no ser detectado" (https://www.redeszone.net/2017/07/26/ocultar-equipo-red-local/), en la cual se comenta como hacer indetectable tú equipo en la red interna en donde se encuentre conectado.

Se consigue configurando el firewall de Windows para bloquear las comunicaciones a través del protocolo ICMP, ya que es el protocolo más utilizado para detectar las presencia de equipos conectados en una red.  Las herramientas que se suelen utilizar son:"Ping" y "Trace", que son, en definitiva, tipos especiales de paquetes del protocolo ICMP.

También indican que habría que revisar todo protocolo susceptible de indicar que nuestro equipo se encuentra conectado a la red para poder así estar 100% seguros de que nadie es capaz de detectarnos.

Pues, se puede afirmar que dicho planteamiento no es del todo correcto. Aunque se bloquee las peticiones entrantes del protocolo ICMP en un equipo o cualquier otro protocolo, es posible detectar dicho equipo.

Párrafo de la noticia leída

Nunca se puede estar al 100 % seguro de que nadie es capaz de detectar nuestra máquina.

¿Por qué?

Porque, en redes IPv4, siempre se puede utilizar  el protocolo de capa 2 (Nivel o Capa de Enlace del modelo OSI): ARP, para determinar la presencia de una máquina en la red.

En cualquier comunicación, se marca una dirección IP (Nivel o Capa de Red del modelo OSI) y un puerto de destino (Nivel o Capa de Transporte del modelo OSI). Pero, por debajo de todo esto y de manera transparente al usuario se trabaja con el Nivel o Capa de Enlace del modelo OSI, ya que toda red es a su vez una red local, es decir, Internet es una red local dentro de una red local y dentro de una red local, y así en bucle.

Esta Capa de Enlace se utiliza, básicamente, para buscar la dirección MAC del dispositivo que tiene asignada la IP buscada o la IP de aquel dispositivo que conoce cómo llegar a ese dispositivo (comúnmente conocido como: Puerta de Enlace).

Esa información, la relación de IP y MAC,  que se almacena en la tabla ARP, permanece en el equipo durante un cierto tiempo.

En definitiva, el protocolo ARP determina la MAC de la IP a la que va dirigida la comunicación saliente y genera un tabla con esa información.

De todo esto, se obtiene el famoso ataque ARP Spoofing para poder realizar el también afamado ataque: MiTM (Man in the Middle - Hombre en el medio).

Más información:
https://es.wikipedia.org/wiki/Internet_Control_Message_Protocol
https://es.wikipedia.org/wiki/Protocolo_de_resoluci%C3%B3n_de_direcciones
https://es.wikipedia.org/wiki/Ataque_de_intermediario
https://es.wikipedia.org/wiki/ARP_Spoofing

Un ejemplo

Sobre una máquina virtual  de uso propio, con el direccionamiento que se muestra en pantalla, se aplica la instrucción indicada en el artículo precursor de este artículo, y que permite la inclusión en el firewall de Windows de una regla para bloquear comunicaciones a través del protocolo ICMP.


Se comprueba desde otra máquina virtual que se encuentra en el mismo rango de direccionamiento que un "ping" a la máquina anteriormente comentada, no responde y no podemos afirmar que se encuentre activa.


Pero que ocurre cuando tras lanzar un "ping", se consulta la tabla ARP


Se obtiene la dirección MAC, y por lo tanto podemos afirmar que la máquina se encuentra activa.

Por lo tanto, no se puede afirmar que una máquina puede encontrarse 100% oculta frente al resto de equipos de su red.

RECORDEMOS: NUNCA SE ESTA 100% SEGURO

Lo que hagas con la información es cosa tuya, no mía ... pero ten conciencia.