Spoofing

Spoofing, en términos de seguridad informática hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.

Existen diferentes tipos de spoofing dependiendo de la tecnología a la que nos refiramos, los cuales se describirán más adelante, como el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

TIPOS DE SPOOFING

IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la IP origen de un paquete TCP/IP por otra IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán dirigidas a la IP falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo request") spoofeado, la respuesta será recibida por el host al que pertenece la IP legalmente.

ARP SPOOFING: Suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP falseadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. Explicándolo de una manera más sencilla: El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC. Los Switches y los hosts guardan una tabla local con la relación IP-MAC llamada "tabla ARP". Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY cuando se solicitara la MAC de una IP específica, como por ejemplo la un router, de esta manera la información dirigida al router pasaría por el ordenador atacante quien podrá sniffar dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta técnica solo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer Router. La manera más sencilla de protegerse de esta técnica es mediante tablas ARP estáticas (simpre que las ips de red sean fijas).

DNS SPOOFING: Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente (DNS Poisoning).

WEB SPOOFING: Suplantación de una página web real (no confundir con phising). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas WEB visitas, información de formularios, contraseñas etc.). La página WEB falsa actúa a modo de proxy solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple LINK. El WEB SPOOFING es difícilmente detectable, quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado, si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque.

MAIL SPOOFING: Suplantación en correo electrónico de la dirección e-mail de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de e-mails hoax como suplemento perfecto para el uso de phising y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Otra técnica de protección es el uso de firmas digitales.

El protocolo de resolución de direcciones es responsable de convertir las dirección de protocolo de alto nivel(direcciones IP) a direcciones de red físicas. Primero, consideremos algunas cuestiones generales acerca de Ethernet.

ARP se emplea en redes IEEE 802 además de en las viejas redes DIX Ethernet para mapear direcciones IP a dirección hardware. Para hacer esto, ha de estar estrechamente relacionado con el manejador de dispositivo de red. De hecho, las especificaciones de ARP en RFC 826 sólo describen su funcionalidad, no su implementación, que depende en gran medida del manejador de dispositivo para el tipo de red correspondiente, que suele estar codificado en el microcódigo del adaptador.

Si una aplicación desea enviar datos a una determinado dirección IP de destino, el mecanismo de encaminamiento IP determina primero la dirección IP del siguiente salto del paquete (que puede ser el propio host de destino o un "router") y el dispositivo hardware al que se debería enviar. Si se trata de una red 802.3/4/5, deberá consultarse el módulo ARP para mapear el par <tipo de protocolo, dirección de destino> a una dirección física.

El módulo ARP intenta hallar la dirección en su caché. Si encuentra el par buscado, devuelve la correspondiente dirección física de 48 bits al llamador(el manejador de dispositivo). Si no lo encuentra, descarta el paquete (se asume que al ser un protocolo de alto nivel volverá a transmitirlo) y genera un broadcast de red para una solicitud ARP.

En criptografía, un ataque man-in-the-middle (MitM, u hombre en el medio, en castellano) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.

Con la característica Escritorio remoto de Windows® XP Professional puede controlar el equipo de forma remota desde otra oficina, desde casa o mientras se encuentra de viaje. Esto le permite utilizar los datos, aplicaciones y recursos de red del equipo de la oficina desde fuera de ella.

Este artículo da por hecho que su equipo de la oficina forma parte de una red corporativa en la que se permiten las conexiones con Escritorio remoto. Si tiene alguna duda al respecto, pregunte al administrador del sistema.

El software de cliente Conexión a Escritorio remoto permite a los equipos con Windows 95, Windows 98, Windows 98 Second Edition, Windows Me, Windows NT 4.0 o Windows 2000 controlar de forma remota el equipo con Windows XP Professional. El software de cliente está disponible en el CD de instalación de Windows XP Professional y Windows XP Home Edition. Está instalado de forma predeterminada en equipos que ejecutan Windows XP Professional y Windows XP Home Edition.

Para instalar el software Conexión a Escritorio remoto en un equipo cliente

Después de habilitar el equipo con Windows XP Professional para permitir conexiones remotas y después de instalar el software de cliente en un equipo cliente basado en Windows, ya puede iniciar sesión en el Escritorio remoto. Primero debe establecer una conexión de red privada virtual o una conexión de servicio de acceso remoto desde el equipo cliente a la red de la oficina o al equipo host.

Nota: para cambiar la configuración de conexión, (tamaño de pantalla, información de inicio de sesión automática, opciones de rendimiento, etc.), haga clic en Opciones antes de conectar.

Nota: un archivo de Escritorio remoto (.rdp) contiene toda la información de una conexión a un equipo remoto, incluida la configuración de Opciones que se estableció al guardar el archivo. Puede personalizar cualquier número de archivos .rdp, incluso los archivos para conectarse a un mismo equipo con configuraciones distintas. Por ejemplo, puede guardar un archivo que se conecta a Mi PC en modo de pantalla completa y otro archivo que se conecta al mismo equipo en tamaño de pantalla de 800×600. De forma predeterminada, los archivos .rdp se guardan en la carpeta Mis documentos\Escritorios remotos. Para modificar un archivo .rdp y cambiar su configuración de conexiones, haga clic con el botón secundario en el archivo y, a continuación, haga clic en Modificar.