Este documento nace a razon de oir tantas veces en tantos documentos "borra bien tu ip", "te pueden localizar por tu ip", "tu ip tal", etc.
La direccion IP en internet es lo primero que averiguamos de un usuario, pero a partir de ahi conseguir info acerca de el... si sabemos su login a lo mejor con un finger sacamos algo, con un nslookup po-
demos intentar resolverla, saber el servidor etc.
Las Direcciones IP son necesarias para identificar a varios ordenadores en una red, asi como routers etc. En las redes TCP/IP la direccion de un ordenador se conoce como direccion IP. Debido a que TCP/IP
trata con el internetworking, la direccion esta basada en una direccion de red y otra de ordenador.
Hablamos ahora de casos reales. En caso tanto de administrador como de intruso, creo que esto sera interesante; Bien, soy un admin, de mi propio unix o del unix de la empresa en la que trabajo. Encuentro
vestigios de algun ataque hacker, y resulta que logro hacerme con la posible direccion IP del atacante. Bien, ahora... que puedo hacer.
Si es una IP no dinamica, puedo intentar averiguar todo lo que pueda de ella, su servidor, etc, y contactar con el servidor para hacerle saber que esta haciendo su usuario. Pero... y en caso de IP dinamica?
Bueno, en caso de una IP dinamica, con el nslookup no podriamos sacar mucho, desde cierto punto de vista. Ejemplo, la IP que tenemos es aaa.bbb.ccc.ddd, y ya no esta en la red. Dependiendo de la clase de IP
que tengamos, variara la forma de actuar.
Una direccion IP seria una secuencia de cuatro numeros en base 10 que abarcaria desde el 0 al 255. Realmente cada uno de esos numeros seria un byte, 8 bits, un octeto.
La forma de escribir las direcciones de tal forma que quede aaa.bbb.ccc.ddd se conoce como notacion de punto decimal o "DottedDecimal". La direccion de original IP es un valor de 32 bits (4 bytes).
El convenio es escribir cada byte como un valor decimal separado por un punto despues de cada numero.
Aparte de la notacion decimal, tambien se usa, a veces, la notacion hexadecimal. Por ejemplo, una mascara 255.255.255.0 seria 0xffffff00. A algunos criterios es la forma mas compacta, que no la mas clara.
Los bits de una direccion IP se interpretan de la forma:
Es decir, un numero determinado de bits de la direccion IP de 32 bits, se considera direccion de red, el resto se interpreta como la direccion del ordenador, de la maquina, del dispositivo final. La direccion de ordenador identifica mi maquina, mientras que la de red a la LAN a la que esta conectado.
Los ordenadores de una misma red local pueden comunicarse entre ellas sin necesidad de un dispositivo adicional, mientras que para comunicarse con otras maquinas de otra red necesitaran un router.
Existen lo que se llaman "Clases de direcciones IP", y que se usan para acomodar redes de diferente tamaño, es decir, el numero de ordenadores que hay conectados a ella. Hay cinco clases de direcciones, nombradas de Clase A a Clase E.
Lo unico que se exige a una determinada IP para pertenecer a una clase son los primeros bits, otra cosa son los casos especiales.
De las cinco clases solo se usan las tres primeras, las dos ultimas se reservan para usos especiales.
La clase A admite 126 redes, cada una con 16 millones de ordenadores. Aunque la direccion usa siete bits, hay dos valores (0 y 127) que tienen un significado especial, por lo tanto los numeros usados van del
1 al 126 en las clases A.
La clase B es para redes de hasta 65.534 ordenadores, y como maximo 16.384 redes.
La clase C es para organizaciones pequeñas. Cada direccion le permite 254 ordenadores, y puede haber alrededor de 2 millones de redes de clase C.
Rangos de direcciones IP:
- Direcciones clase A: 0.xxx.xxx.xxx a 127.xxx.xxx.xxx
- Direcciones clase B: 128.xxx.xxx.xxx a 191.xxx.xxx.xxx
- Direcciones clase C: 192.xxx.xxx.xxx a 223.xxx.xxx.xxx
Dentro de las mismas clases hay direcciones con significados especiales:
Una direccion con todo ceros en la parte de direccion de red significa la red local.
La direccion de clase A 127.xxx.xxx.xxx se usa para la comunicacion dentro del mismo ordenador. Convencionalmente se usa 127.0.0.1 como la direccion de bucle cerrado.
Poniendo todos los bits a uno en toda direccion significa un mensaje para todos los ordenadores. La direccion 134.18.255.255 significa todos los ordenadores de la red 134.18. La direccion 255.255.255.255 se interpreta como una llamada general limitada, recibiran el paquete todas las estaciones de trabajo de la red actual. Conviene dejar claro, que, si por ejemplo, estas conectado a internet, un paquete de este tipo especial, con el destino 255.255.255.255, no llegara a todo Internet.
Clases de direcciones IP:
Retomemos el tema, tenemos la IP aaa.bbb.ccc.ddd, y digamos que es de clase B. Vemos esa IP y la dividimos en RED, SUBRED y MAQUINA, nos quedaria:
RED: aaa.bbb.
SUBRED: ccc.
MAQUINA: ddd.
Claro claro, esto es lo que hariamos si fuese de clase B, si fuese de clase C o A la red seria distinta, y la forma de ejecutar variaria
de aaa.000.000.000 a aaa.bbb.ccc.000 respectivamente.
Lo que hariamos seria intentar probar con el nslookup la direcc. aaa.bbb.000.000 (que sera su red), lo mas probable seria que nos resolviese la direccion diciendonos la red a la cual pertenece.
Basicamente esto es lo que podemos encontrar en RIPE NCC http://www.ripe.net/, lo que, pues simplemente con ponerle la IP completa, nos ahorraria un poco de trabajo.
Ahora ya sabemos el server desde donde actuo, podemos ahora "actuar" de la forma que creamos conveniente, contactar con el ISP....
Ahora yo soy el servidor, el ISP, y tengo un IP de mi red, y me reclaman o quiero saber desde donde se conecta tal usuario, aunque yo tenga sus datos personales, bancarios etc.
En Esp. hay dos formas de conectar, a traves de Infovia plus, o de una llamada a un nodo del ISP.
Si es a traves de Infovia +, el Radius (programa que autentifica a los usuarios de Infovia) guarda unos logs diciendo que IP tiene cada usuario en cada momento, es decir: conecta juanito y se le da aaa.bbb.ccc.ddd a las 22:24:01 del 11-Jun-1999 desconecta juanito a las 23:56:12 del 11-Jun-1999
Y por lo cual sabemos con que cuenta se uso dicha IP a tal hora.
Luego si queremos saber desde donde llama, el radius guarda tambien un log en el que hay un numero que si se lo comunicas a los de Telefonica con orden judicial en mano (supuesto) te dicen el numero de telefono que era ese numerito a tal hora.
Red Infovia Plus
Si es a traves de un nodo del ISP lo normal seria consultar los logs del pppd o el programa que se use para gestionar la conexion averiguar la cuenta y listo.
Como normalmente el ISP tendra el Caller-ID se tendra tambien el numero de telefono, o los 4 primeros digitos. En caso mas serio, la solucion final seria contactar con Telefonica, la que nos daria el numero de
telefono.
Los ISP tambien tienen un software RADIUS que autentifica las llamadas entrantes, registran el login, password, hora de acceso, direccion ip de la maquina por la que entrarn (si utilizan un RAS que controla
los modems o los accesos por RDSI), etc.
Los casos, que ya se han tratado, de aquellos usuarios que no entren via nodo local, y entren por una red externa que les comunique con internet, serian los usuarios que conecten por Infovia Plus (T.TD)
o Interpista (BT Telecomunicaciones).
El Radius puede configurarse para asignar una direccion fija o una direccion dinamica (DHCP) dependiendo por donde hayan entrado. Existen varios programas RADIUS, uno de los mas utilizados es el
LIVINGSTON ,www.livingston.com, de Lucent Technologies. La distribucion de Linux, Debian, lo lleva incluido en uno de sus paquetes.
Una vez sabido esto, podemos puntualizar mejor, que no tendria tanta importancia, en un caso relevante, el uso de cuentas ajenas, si no el telefono que se use para conectar.
Y aqui queda redactada la importancia que tiene el numero de telefono desde el que se conecte. El resto lo dejo para mentes avizoras.Finalmente recordar que he estado hablando de direcciones IP en
Internet, basadas en el IPv4, y los casos de Esp.
martes, 5 de abril de 2011
Suscribirse a:
Enviar comentarios (Atom)
0 comentarios:
Publicar un comentario