14 sept 2011

Fingerprinting pasivo con Satori

 

Buenas a todos, durante los últimos meses son muchos los artículos que hemos dedicado a las fases de búsqueda de información realizadas durante las auditorías de seguridad de la información, hemos hablado de Footprinting y de Fingerprinting Activo, pero hasta el momento no habíamos dedicado unas líneas al Fingerprinting Pasivo.

Para los que no estén familiarizados con la diferencia del Fingerprinting Activo y el pasivo, este primero se caracteriza en que el atacante realiza alguna acción que provoca una respuesta en la víctima, mientras que el Pasivo se limita a escuchar los paquetes de una red local, por tanto pasa totalmente desapercibido.

Un ejemplo de Fingerprinting Activo sería Nmap, de la que ya hemos hablado en el blog. Y un ejemplo de Fingerprinting Pasivo sería Satori, a la que dedicaremos la entrada de hoy.

Satori es una herramienta dedicada expecíficamente a intentar averiguar el Sistema Operativo de cualquier equipo de la red, analizando el comportamiento de los mismos para algunos protocolos como los siguientes:

  • DHCP
  • SNMP
  • CDP
  • SMB
  • SNMP
  • SCCP
  • HSRP
  • TCP
  • ICMP
  • CPD
  • HPSP
  • EIGRP
  • OSPF
  • etc.

Satori cuenta con versiones para Linux y Windows, esta última utiliza WinPcap para poner la tarjeta en modo promiscuo.

Podéis descargar la última versión de Satori desde el siguiente enlace: http://myweb.cableone.net/xnih/

Tras descomprimirlo os encontraréis con los siguientes archivos. Debéis ejecutar satori.exe:

 

 

Tras ejecutar Satori, veréis la siguiente pantalla. Para comenzar deberéis pulsar sobre la flecha verde:

 

 

Ahora debéis seleccionar la interfaz de red que queréis utilizar:

 

 

Y listo, ya habréis comenzado a capturar paquetes. Ahora Satori intentará averiguar el sistema operativo/firmware de los equipos encontrados en la red, de los que ha ido capturando paquetes, para ello analizará las direcciones "MAC". Como sabréis, los seis primeros símbolos de una MAC identifican al fabricante (para saber el fabricante de un dispositivo a través de su MAC podéis utilizar algún servicio como http://www.coffer.com/mac_find/):

 

 

Una herramienta imprescindible para nuestra caja de herramientas.

Saludos!

2 comentarios:

  1. [...] NOTA: Más arriba, en la introducción, os hablo de Satori. Os dejo un enlace sobre esta herramienta en Flu-Project: http://www.flu-project.com/fingerprinting-pasivo-con-satori.html [...]

    ResponderEliminar
  2. [...] en modo activo, a diferencia de otras herramientas utilizadas para un uso similar como pueda ser Satori o Network Minner, que funcionan en modo pasivo y de las que ya os hablamos [...]

    ResponderEliminar