¿Puede un atacante espiar los datos de Ethernet, si pueden conectarse a él? Sí. Un atacante que está conectado físicamente a su red Ethernet probablemente pueda escuchar todos los paquetes enviados a esa red de área local .
Podría pensar que Ethernet conmutada podría impedir eso, pero de hecho, en muchos / la mayoría de los conmutadores Ethernet, no lo hace. Un atacante puede usar inundación de MAC para fuerza el cambio a un modo degradado donde envía una copia de todos los paquetes al atacante , lo que permite que el atacante escuche a escondidas todo el tráfico enviado en esa red Ethernet de área local. De manera similar, suplantación ARP puede permitir que un atacante provoque que algunos paquetes se enruten a él. No se sabe que todos los enrutadores sean vulnerables, pero estos ataques pueden ser bastante sutiles, y no estoy seguro de que la comunidad haya explorado completamente el espacio de posibles ataques en este sentido. Por lo tanto, le recomiendo que asuma de manera conservadora que este ataque es posible.
En otras palabras, te recomiendo que asumas que cualquier persona que pueda conectarse a tu red Ethernet probablemente pueda escuchar todos los paquetes enviados en esa red de área local.
Estos ataques no requieren una tarjeta de interfaz de red especial. Cualquier tarjeta Ethernet es suficiente. El atacante solo necesita ejecutar un programa de detección de paquetes, que establece la tarjeta Ethernet en modo promiscuo y le pide que muestre todos los paquetes Ethernet que son visibles para esa tarjeta Ethernet.
¿Cómo puede defenderse de esto? La defensa más sólida es utilizar una criptografía sólida para cifrar todas las comunicaciones y asegurarse de que solo las personas autorizadas y de confianza reciban las claves de cifrado. Usar IPSec para cifrar todo el tráfico sería suficiente. Lo mismo haría cualquier otro VPN o software de cifrado de capa de enlace. El principal inconveniente es que estas soluciones pueden requerir una configuración considerable y, por lo tanto, su uso es torpe.
Otra defensa es hacer todo lo posible para garantizar que las personas que no son de confianza no puedan conectarse a su red Ethernet. Por ejemplo, si desea exponer los puertos Ethernet en espacios públicos, puede crear una red de invitados separada (con cortafuegos desactivada desde su red corporativa interna) y asegurarse de que todas las tomas de Ethernet en espacios públicos estén conectadas a la red de invitados. Debe complementar esto con seguridad física, para asegurarse de que las personas no autorizadas no tengan acceso a su área de trabajo, a los armarios de la red, a las salas de servidores, etc.
También puede desconectar las redes internas de los cortafuegos, siguiendo el principio de "privilegio mínimo". Por ejemplo, si la nómina tiene información particularmente confidencial en sus sistemas y redes locales de Ethernet, entonces puede organizar que su red de área local de Ethernet se limite a su edificio o sus oficinas, de modo que otros empleados que no forman parte de la nómina El departamento no tiene conexión a esa red Ethernet de área local.
Una tercera defensa es alentar a los usuarios a utilizar el cifrado para todas las comunicaciones confidenciales. Esto proporciona un respaldo en caso de que un atacante obtenga acceso a su red Ethernet interna. Por ejemplo, puede asegurarse de que los servicios web internos confidenciales estén configurados para usar SSL en todo el sitio, y que otros servicios internos confidenciales estén configurados para usar cifrado. Puede prohibir las contraseñas de texto simple en su red interna (por ejemplo, requiere SSH y SFTP en lugar de telnet y FTP). Puede alentar a los usuarios a utilizar HTTPS Everywhere para proteger su tráfico web, donde los servidores web lo admitan.
Una cuarta defensa es habilitar las funciones en sus conmutadores Ethernet para defenderse contra tales ataques. Puede usar la autenticación de cliente (por ejemplo, 802.1X) para asegurarse de que solo los clientes autorizados puedan conectarse a la red Ethernet. (El filtrado de direcciones MAC es una versión pobre para este hombre, que proporciona solo un bajo nivel de seguridad). También puede habilitar la "seguridad de puerto" y funciones de seguridad similares que están diseñadas específicamente para evitar la inundación de MAC y los ataques de suplantación ARP.