Estoy aprendiendo algunos conceptos de seguridad de red y tengo la siguiente pregunta:
Un caso de ataque de espionaje es que un adversario de alguna manera se coloca dentro de una red para capturar el tráfico de comunicación entre dos hosts. En el caso, ¿cómo podría el adversario colocarse dentro de esta red sin ser observado por Intruder Detection Systems o cualquier tipo de sistemas de detección?
Las posibilidades de cómo esto puede suceder son múltiples. Un atacante necesitará el control de una sola computadora dentro o solo fuera de la red. Dependiendo de la red, podría ser posible detectar partes significativas del tráfico. Es difícil detectar detectores de red pasivos. Un IDS puede detectar intentos de exfiltrar los datos detectados, pero los detalles de lo que se detecta o no son muy específicos del IDS que se utiliza.
Además, si el atacante logra colocarse en una posición privilegiada solo fuera de los sistemas protegidos por el IDS, básicamente será indetectable.
Para comprender mejor cómo podría funcionar esto, aquí hay un ejemplo no tan falto de escuchas pasivas: Imagine un centro de datos donde cualquiera puede alquilar un lugar para su servidor. Ahora suponga que la red no se ha configurado correctamente, lo que lleva a que el tráfico se envíe de forma aleatoria a las máquinas incorrectas (sí, eso sucede). Esos paquetes podrían ser detectados por otros servidores en el centro de datos; ningún IDS detectaría este tipo de escuchas ilegales, ya que se realiza fuera de la responsabilidad del IDS. El atacante no podría ver todo el tráfico hacia y desde su objetivo, pero los datos confidenciales podrían ser detectados independientemente.
Eso no es posible. Si un adversario captura una máquina en la red, un software puede escuchar en cualquier tráfico de ese dispositivo de red de máquinas. Por lo tanto, todo el tráfico desde y hacia esa máquina está comprometido.
Si un adversario puede colocar una nueva máquina bajo su control en la red, aún así solo puede captar el tráfico que de alguna manera cruza la tarjeta de red de ese dispositivo. Interactuar con la red de cualquier manera puede revelar el ataque a un detector de intrusos, por lo que interactuar con la red no es una opción.
Con la escucha pura hay dos casos:
1. se utiliza un hub
Dado que los concentradores simplemente transmiten todos los paquetes, todo el tráfico que atraviesa los concentradores a los que está conectado un adversario está comprometido.
2. se usa un interruptor
Los conmutadores no transmiten tráfico. En este caso, un adversario no puede capturar ningún tráfico sin interactuar con la red (lo que podría revelar el ataque). Esta es la razón por la que los conmutadores se utilizan en la mayoría de los lugares donde la seguridad desempeña algún papel.
Si el atacante / conmutador / enrutador en la red puede ser controlado por un atacante, todos los datos que cruzan ese concentrador están comprometidos, obviamente. Dependiendo del tamaño y la infraestructura de esa red, muchos datos sensibles podrían verse comprometidos de esta manera.
TL; DR: en las redes modernas que transportan información sensible, esto es imposible.
P.S .: La detección de intrusiones también es solo software. Y el software tiene errores. Por lo tanto, saber qué software de cortafuegos / detección se usa en la red objetivo permitirá algunas formas de interactuar con la red. El tráfico que se puede comprometer en tal caso es impredecible. Lo mismo ocurre con la captura de un nudo de red (hub / switch / enrutador): si eso se puede hacer sin detección, un atacante tendrá acceso a una amplia escala de datos en esa red.
Lea otras preguntas en las etiquetas attack-prevention packet ids