A nivel de la capa de enlace se tiene el caso en el que el medio de transmision sea compartido. La tecnica de Ethernet conocida como Carrier Sense Multiple Access/Colision Detect (CSMA/CD) se basa en el envio del trafico destino a cada nodo del segmento. El destino recibe el mensaje pero tambien los demas nodos. El problema con este esquema es el hecho de que se comparte la velocidad de transmision y desde la perspectiva de seguridad la implicacion principal reside en que cualquier nodo de la red puede capturar el trafico de la red y enterarse de que esta fluyendo en ella. La tecnologia de Ethernet con un dispositivo como un concentrador o hub tenia estas implicaciones. Pero Ethernet ha evolucionado a tecnologias de conmutacion o switch. La tecnologia de conmutacion funciona construyendo una tabla de direcciones de control de acceso al medio (Media Access Control, MAC) y envia el trafico destino a un MAC particular usando hardware, formando asi un circuito entre origen y destino. El objetivo de la tecnologia de conmutacion en Ethernet es que sea optimo el uso del medio y la seguridad queda controlada. Sin embargo, un conmutador o switch Ethernet solo administra a nivel de la capa de enlace. El protocolo Ethernet cuando convive con el protocolo IP, necesita de un protocolo auxiliar, ARP (Address Resolution Protocol). Cuando el protocolo IP necesita transmitir un paquete, estando en una red Ethernet, necesita indicar la direccion IP destino pero tambien la direccion Ethernet o MAC correspondiente. Dado que la red Ethernet se va formando dinamicamente dependiendo de que nodos esten activos o no, ARP permite que cada nodo de la red vaya construyendo una tabla dinamica que traduce las direcciones IP a Ethernet. Cuando algun nodo necesita transmitir un paquete IP primero tiene que preguntar a todo el segmento de red sobre la direccion Ethernet, usando el protocol ARP. Genera un broadcast Ethernet que contiene un paquete ARP. ETHERNET ORIGEN| ETHERNET FF:FF:FF:FF:FF:FF | ARP QUIEN ES IP w.x.y.z ? Sea o no una red conmutada, dado que es un broadcast, todos los nodos de la red Ethernet escuchan este paquete. Tipicamente el nodo que tiene la IP asignada, si esta activo, contesta un paquete ARP ETHERNET ORIGEN| ETHERNET DESTINO (QUIEN PREGUNTO)| ARP IP w.x.y.z. es MAC aa:bb:cc:dd:ee:ff Para poder brincarse la seguridad impuesta por el conmutador, se puede hacer un ataque de hombre en medio (man in the middle) usando al protocolo ARP. Para llevar a cabo el ejemplo del ataque y poder escuchar toda la red se puede hacer teniendo 3 sistemas ========== ======== ================== Ruteador -------- Switch -------- Red o Nodo victima ========== ======== ================== | | ======== Atacante ======== Ruteador - Dispositivo que se encarga de recibir todos los paquetes IP de una red IP y rutearlos a otras redes IP Red o Nodo Victima - Es el generador del trafico, que tipicamente va hacia el ruteador, y del cual se quieren caputar los paquetes Atacante - Es la maquina que estara escuchando de manera continua las peticiones ARP de la Red o Nodo victima e inyectar respuesta ARP falsas. El atacante debe estar habilitado como un nodo que absorbe paquetes IP y los vuelve a direccionar al ruteador. El atacante hace un ataque del hombre en medio Existen dos herramientas de hackeo para lograr esto + ArpSpoof - Creada por Dug Song y aplica la falsificacion de ARP (disponible en http://www.monkey.org/~dugsong/dsniff) + fragrouter - Para lograr la absorcion de paquetes IP y enviarlos al ruteador, este sofware permite hacerlo (http://packetstormsecurity.org) El ataque se va hacer con una computadora victima, controlado y NO DEBE HACERSE EN OTRO CONTEXTO SIN PERMISO DEL ADMINISTRADOR DE LA RED. Suponiendo la maquina victima, con direccion 10.10.10.25 Suponiendo la maquina atacante, con direccion 10.10.10.50 Suponiendo el ruteador, con direccion 10.10.10.254 La maquina victima tiene que aplicar el ataque usando arpspoof, indicando arpspoof -t 10.10.10.25 10.10.10.254 se esta indicando que cualquier peticion ARP generada por la computadora con IP 10.10.10.25 y preguntando por 10.10.10.254, conteste con la direccion MAC del ataquente, falsificando la verdadera direccion de MAC del ruteador. Checar en la victima con el comando arp -a y se podra ver que 10.10.10.254 tiene la direccion MAC del atacante. Falta que en la maquina atacante se active el ruteo. fragrouter -B1 esta opcion indica que la maquina atacante active la opcion de IP forward Al concluir estos dos comandos, generar trafico desde la maquina victima, se podra ver todo el trafico !! La explicacion es la siguiente: 1) Victima pregunta por la direccion MAC de 10.10.10.254. 2) Atacante escucha el broadcast generado por 10.10.10.25 y responde un paquete ARP indicando que la direccion MAC de 10.10.10.254 es la que tiene atacante. 3) Victima envia los paquetes IP a Atacante, creyendo que es el ruteador. 4) Atacante recibe los paquetes, los puede analizar, y dado que se activo la absorcion de IP con el redireccionamiento (forward) los entrega al ruteador 5) El ruteador recibe los paquetes de Atacante y cuando tiene la respuesta de las redes IP remotas, las entrega a Atacante. 6) Atacante analiza los paquetes que van hacia Victima, y los entrega a Victima 7) Vicitma recibe los paquetes creyendo que el ruteador los entrega Y asi siguen estos pasos hasta que atacante ya no decida continuar con el analisis. Las posibles defensas contra este ataque: Introducir de manera estatica la direccion IP del ruteador arp -s 10.10.10.254 MACAddr Esto complica la administracion de cada sistema La manera para evitar que existan ataques de robo de texto en claro, es usar criptografia. Con el uso de SSH, SSL y PGP es posible asegurar protocolos como telnet, http y smtp, entre otros.