A análise de rede

Um “analisador rede” (chamado igualmente analisador de tramas ou em inglês sniffer) é um dispositivo que permite “ouvir” o tráfego de uma rede, quer dizer, capturar as informações.

Com efeito, numa rede não comutada, os dados são enviados a todas as máquinas da rede. Contudo, numa utilização normal, as máquinas ignoram os pacotes que lhes não são destinados. Assim, utilizando o interface rede dum modo específico (chamado geralmente modo "promiscuous") é possível ouvir todo o tráfego que passa por um adaptador rede (uma placa rede ethernet, uma placa rede sem fios, etc.).

Utilização do sniffer

Um sniffer é um instrumento formidável que permite estudar o tráfego de uma rede. Serve geralmente para os administradores diagnosticarem os problemas na sua rede, bem como para saber que tráfego há. Assim, os detectores de intrusão (IDS, para intrusion detection system) são baseados num sniffeur para a captura das redes, e utilizam uma base de dados de regras para detectar redes suspeitas.

Infelizmente, como todos os instrumentos de administração, o sniffer pode igualmente ser utilizado por uma pessoa maliciosa que tem um acesso físico à rede para recolher informações. Este risco é ainda mais importante nas redes sem fios, porque é difícil confinar as ondas hertzianas num perímetro delimitado, de modo que pessoas maliciosas podem ouvir o tráfego estando simplesmente na vizinhança.

A grande maioria dos protocolos Internet faz transitar as informações de forma transparente, quer dizer de maneira não cifrada. Assim, quando um utilizador da rede consulta o seu serviço de mensagens através do protocolo POP ou IMAP, ou surfa na Internet em sites cujo endereço não começa por HTTPS, todas as informações enviadas ou recebidas podem ser interceptadas. É assim que sniffers específicos foram afinados por piratas para recuperar as senhas que circulam no fluxo rede.

Os desfiles

Existem várias maneiras de se precaver contra os incómodos que poderia provocar a utilização de um sniffer na sua rede:

• Utilizar protocolos cifrados para todas as comunicações cujo conteúdo possua um nível de confidencialidade elevado.
• Segmentar a rede a fim de limitar a divulgação das informações. É recomendado nomeadamente preferir a utilização de switchs (comutadores) a hubs (concentradores), porque comutam as comunicações, quer dizer que as informações são enviadas unicamente às máquinas de destino.
• Utilizar um detector de sniffer. Trata-se de um instrumento que sonda a rede à procura de materiais que utilizam o modo "promiscuous".
• Para as redes sem fios é aconselhável reduzir a potência dos materiais, de maneira a cobrir apenas a superfície necessária. Isso não impede eventuais os piratas de ouvir a rede, mas reduz o perímetro geográfico no qual têm a possibilidade de o fazer.

Mais informações

• Ethereal, o célebre analisador de protocolos
• TCP dump
• WinDump, portage de TCP dump no Windows