Preguntas y Respuestas sobre Auditoría de Redes Informáticas

Hola! Vladimir, trataré de responder de manera acertada a tus interrogantes:

• Existen libros de CCNA v7 en Español? Por lo nuevo de la versión lo dudo mucho, sin embargo te se decir, aún estando en español la recomendación en mi experiecia sería que lo abordes en ingles, tambien te se decir, el libro es muy muy bueno para estudiar, pero este tipo de certificaciones te viene mucho mejor, practicar y practicar y practicar.

• Libros v6 v5: Si quieres rendir el examen de certificación de CCNA v7, te recomiendo te enfoques en ese contenido, ya que como bien resaltas, cambiaron temas de estructura, obviamente cisco actualizo y mejor su contenido, como tambien hicieron divisiones distintas en cuanto a los entrenamientos, si eres nuevo en Networking, podrias pensar en tomar el curso Essentials antes de pensar en el modulo 1 de CCNA.

Realmente espero haber aportado en tus dudas, sino con gusto puedo segurite respondiendo.

Saludos

Alien Vault

No soy experto, pero considera dos cosas: 1. Entiendo que con wireshark puedes capturar tráfico, pero en algunos casos va a estar cifrado (por ejemplo https), por lo cual no vas a poder ver los datos en plano que se están pasando. Adicionalmente en mi caso yo no he podido capturar toda la información de la red debido a que también depende de la topologia de la red (VLAN's, Smith, etc) 2. Con MITM tienes la opción de poder suplantar certificados, con lo cual si vas a tener la capacidad de poder desencriptar la información que se transmita.

Gracias por la respuesta, estuve investigando y logre justificarlo ya que el Firewall solo es una medida de control para acceso a la red y el IPS monitorea la actividad de la misma.

Listo, gracias por comentar tu respuesta de seguro le va servir a alguien mas. Saludos

Ampliando lo que dice Josue, muchos Firewall permiten ya la integración con un cliente ligero en cada uno de los equipos de la red (a modo de Heartbeat o "salud" del dispositivo), lo que permiten analizarlos en busca de comportamientos anómalos. La protección podría ser en dos niveles. Por un lado, proteges a la vez que revisas todos los clientes (ya sean equipos o servidores de la DMZ) y por otro, sirven para interceptar paquetes. Otra opción, y que los compañeros me corrijan si me equivoco, sería tener un equipo actuando como un propio sniffer, con las interfaces en modo promíscuo, y así analizar per se el tráfico de nuestra red. También existen programas que hacen esto de forma automática y analizan ciertas pautas de comportamiento utilizadas por un sniffer.

Buen día.

Solo como aportación a los comentarios anteriores (muy acertados), los dispositivos que te permiten detectar este tipo de actividades en una red son los IPS o IDS, sin embargo si no cuentas con estos dispositivos integrados (tambien depende donde se ubiquen en tu red) existen herramientas que te ayudan a detectar adaptadores de red en modo promiscuo.

Linux:

Sniffdet.

Windows:

Promgry.

Saludos...

Conseguido, el problema es la arquitectura la de red con switch lo que viene siendo el ARP, para solucinarlo he tenedo que activar un ARP Spoofing

Que bien :)

Especifica mejor que es tu sistema hotelero, a donde se conecta, cual es el canal para poder orientarte. Como te dice Omar, Wireshark captura el tráfico de red, paquetes que viajen por http puedes capturarlos ya que no van cifrados. En caso que no sea una web, podrías capturar su tráfico por wireshark pero debes saber como viaja la información, si tu red no tiene mucho tráfico es posible que hagas pruebas usando el sistema hotelero y logres indentificar los paquetes, obviamente el filtro es mejor, si nos compartes más informaci´´on la solución será más precisa.

Mejor lanzar un SMB Relay Attack ;) , si sabes un poco de python "impacket" seria perfecto para eso.Comprar un VPS de Debian 8 por 5USD, instalar python 2.7 , y usar este codigo https://github.com/CoreSecurity/impacket/blob/master/examples/smbrelayx.py , y si quieres ir un paso mas puedes usar otro script para enviar todo el trafico HTTP a SMB. A este punto el ataque esta listo y puedes enviarlo como un silent documento (RCE / Buffer Overflow), un Documento macro, LNK, hay tantas opciones.

Usa Jmeter y Selenium.

Necesitas algo que sea IoT como Mirai pero ya es viejo. Or L7.....L7 seria el mas facil y require mucho menos internet. Por ejemplo este codigo https://github.com/All3xJ/Hibernet/blob/master/HibernetV1.9.6.py puedes bloquear https://backtrackacademy.com con menos que 25MB de internet.....oops! y si modifiques el codigo para usar diferentes proxies es mil veces mejor!