Sniffers: como se proteger?
Alguns sniffers são bastante conhecidos por serem livremente distribuídos. Dentre eles podemos citar:
Um dos mais utilizados é o Wireshark, disponível em versões para o Windows, Linux e para o MacOS X. Na sequência deste conteúdo, apresentamos um vídeo que ensinará você a configurar e utilizar. A prática será bastante interessante para que você compreenda o funcionamento e os riscos reais de um ataque sniffer.
No sentido de evitar a possibilidade de um ataque de sniffer, duas abordagens diferentes podem ser adotadas:
1. Detectar e eliminar os sniffers;
2. Proteger os seus dados contra os sniffers.
Em relação à primeira estratégia, é preciso saber que os sniffers são extremamente difíceis de serem detectados, pois são programas passivos. Isto significa que eles não geram uma trilha de auditoria e, a menos que seu dono seja muito estúpido, farejando todo tráfego da rede em vez dos primeiros bytes significativos por conexão, eles consomem poucos recursos de rede. Uma ferramenta bastante utilizada para a detecção de sniffers na rede é o Nitwit. O Nitwit é capaz de detectar sniffers mesmo se a interface de rede não estiver no modo promíscuo.
Vamos imaginar a seguinte situação: Suponha que alguém entra em um escritório vazio, desconecta uma máquina da rede e conecta um notebook com o mesmo IP. Este notebook possui um programa sniffer instalado. Nesse momento, o tráfego da rede começa a ser monitorado. Esta situação é difícil de detectar, a menos que você esteja utilizando mapas de topologia de rede, ou seja, ferramentas que marcam qualquer alteração na topologia da rede, e os verifica diariamente. Caso contrário, o notebook continuará lá, escutando os dados e tendo acesso as informações preciosas da rede.
Adotar uma posição defensiva é a melhor opção para evitar dores de cabeça. Esta é a segunda abordagem para evitar um ataque de sniffer. Duas maneiras eficientes de se defender contra sniffers consistem em:
1. Segmentar a topologia da rede (dividir em subredes);
2. Criptografar os dados (através da utilização de métodos de criptografia para Web, SSH e etc).
Note que os sniffers podem apenas capturar os dados dentro de um mesmo segmento de rede. Isso significa que quanto mais você é capaz de segmentar a rede, menor é a quantidade de dados que um sniffer pode ter acesso. O emprego de equipamentos tais como switches, roteadores ou bridges é uma forma eficiente de se proteger contra sniffers. Já as sessões criptografadas fornecem uma solução diferente. Ao invés de se preocupar com dados sofrendo sniffing, você simplesmente os adultera (criptografa) até um ponto que os mesmos estejam irreconhecíveis. O SSH é um bom exemplo de programa que fornece comunicação criptografada, substituindo o velho Telnet. Quando você for realizar a prática utilizando um sniffer, experimente utilizar o Telnet e o SSH e veja o resultado. Você poderá tirar suas próprias conclusões!