SEGUNDA PARTE


En esta “Segunda Etapa”, me comprometí  en explicar sobre:

- IP Sniffing  y Envenamiento ARP

1.       INTRODUCCION

2.       CAPITULO 1: ATAQUE: MAN IN THE MIDDLE

3.       CAPITULO 2: DETECCION DEL ATAQUE


INTRODUCCION

No encontré mejor manera de hacerlo mediante un ataque común y muy conocido, el cual es el “Man in the Middle”, como su traducción lo dice “hombre en el medio”. Así que empecemos de una vez.

Antes quiero mencionar que esta explicación sobre el ataque es para dar a conocer su modo de ejecución y también conocimiento del mismo para poder detenerlos en una posible intrusión,  este análisis de red, fue hecho dentro de “maquinas virtuales”.

Nota: Las aplicaciones en cuestión no son peligrosas, ni delictivas, en realidad son usadas por Especialistas en Seguridad y/o Administradores de Red, lo que lo hace delictivo es la persona que lo usa y el fin de la misma. Estos temas forman parte de cursos como “Security Specialist”, “Ethical Hacking”, “Pruebas de Pentesting” y entre otros cursos relacionados a temas de “Seguridad de la Información y/o tecnologías”

Como en todo curso siempre es bueno tener un amplio conocimiento, en esta primera explicación mencionare el modo de ataque y en la segunda parte como tratar de evitarlo y/o darse cuenta del mismo.

 

1.    ATAQUE MAN IN THE MIDDLE

Es un ataque pasivo, el cual puede realizarse en redes cableadas como inalámbricas,  todo se explica mejor a través de una imagen, la cual explicare.

http://www.flu-project.com/wp-content/uploads/Main_the_middle.jpg

Tenemos un “USUARIO (Victima)”, la cual se conecta a un “SERVIDOR WEB (Web u otra PC)”,  donde están haciendo comunicación envió o recepción de data. Se observa un “Atacante” que está en medio de la comunicación,  por el cual está pasando toda la data que realiza el “USUARIO”

Para esto recomendaría tener claro conceptos como:
-TCP
-IP
-DNS
-ARP
-MAC
-ICMP
-SNIFFER
-MODO PROMISCUO DE LA TARJETA DE RED
-SPOOFING
Para esta explicación utilizaremos WIRESHARK.

1.1 QUE ES WIRESHARK?

-Bueno wireshark es un analizador de trafico de red, el cual es utilizado tanto por administradores de red como de intrusos, para la utilización del wireshark es necesario previa instalación del Wincap, la cual es la base del programa y se encarga de instalar los driver correspondientes para nuestra tarjeta de red y pueda realizar dicha tarea.

Solo se debe configurar con la tarjeta de red y colocarlo de “Modo Promiscuo”, tiene un campo de filtro, el cual puedes colocar parámetros según lo que deseas que te muestre.

http://blogofsysadmins.com/wp-content/uploads/2011/02/Wireshark-manual.png

Descarga: http://www.wireshark.org/download.html

En la imagen se puede observar que está mostrando todo lo relacionado al protocolo TCP debido a que se uso dicho filtro que muestre solo paquetes TCP.

Se preguntan, que podríamos observar en un simple análisis TCP?, pues les comento, por ejemplo conversaciones del Messenger, si se escribe documentos de office o algún documento.

Que no se podría ver a simple vista?, las webs que se conectan por un protocolo tipo SSL, como por ejemplo las web con protocolo “HTTPS”, ya que su información es cifrada y lo que muestra solo son caracteres sin sentido, ojo que el paquete es capturado y podría descifrarse,  no hay nada seguro como bien lo saben, pero ese ya es otro tema.

Claramente el WireShark tiene muchos más filtros y unas cuantas mas funciones de acuerdo al filtro que se realice.

 

1.2          CAMPOS DE WIRESHARK

1)      Es el campo de definición de filtros, permite definir los parámetros  de filtro para buscar aquellos paquetes y/o protocolos que nos interesen.

2)      Muestra la lista de paquetes que se capturan en tiempo real (Tipo de protocolo, Números de Secuencia, flags, marcas de tiempo, etc.), muchas veces viendo este campo podremos deducir el problema.

3)      Permite desglosar por capas cada una de las cabeceras de cada paquete seleccionado de la zona 2.

4)      Nos presenta la representación en formato hexadecimal, tal y como captura nuestra tarjeta de red.

Hay muchos manuales y/o tutoriales de Wireshark que les podría ayudar.
http://bit.ly/QbZZ6c
http://bit.ly/MSisUI

El método que se utilizó  para esta explicación es conocido como “ARP SPOFF”, lo que se conseguirá es monitorizar todas las tramas enviadas por el equipo “USUARIO (Victima)”, contaminando la cache (Envenamiento ARP) del equipo o equipos involucrados con la IP/MAC “falsa”, como por decirlo un “phising de red”,  hacerse pasar por la MAC de otra PC.


Existen más métodos claramente como:

1.       PORT MIRRORING O VACL (VLAN-BASED ACLs): Se pueden replicar el puerto que queramos.

2.       CONECTANDOSE ATRAVES DE UN SWITCH: Por medio de switch configurables tanto IP/MAC.

3.       MODO PUENTE: Conectando otra tarjeta de red.

(Pueden investigar más de estos métodos, se les dejara de tarea J )

Hay claramente muchas aplicaciones más, que nos ayudan a analizar la red, el kit completo lo tiene “BACKTRACK”.

 Ahora veremos cómo defendernos y que medidas podemos tomar, para estos ataques.

 

2.    DETECCION DEL ATAQUE (SEGUNDA PARTE)

 

Primera aclarar que un poco difícil detectar estos analizadores de red, debido a que trabajan en forma pasiva y no dejan casi ninguna huella. Así que mostrare unos cuantos métodos que se conocen para poder detectarlos. Lo que si comento que estos tipos de ataques, hacen una sobrecarga en la red interna, por las peticiones que realiza y puede llegar a saturarla.

 

2.1               ACCESO A UNA PC

Este método es el menos probable, siempre y cuando tengamos acceso a cualquier equipo que conforma nuestra red. Viendo los procesos que se están ejecutando o revisando los archivos que se cargan al iniciar el sistema operativo.

Por ejemplo: Si tenemos de 10 a 30 equipos probablemente se podría hacer de forma inmediata, debido a la poca cantidad, pero en caso de una red de 100 equipos y a la vez que contenga subredes y/o otras sucursales, se hace mas complicado verdad?, es por eso que este método de detección es poco utilizado y solo se usaría de manera selectiva.

 

2.2               PRUEBA ICMP


                Realizando Ping, a la dirección IP que se va a analizar, observando el retardo de paquetes, una forma es creando una conexión TCP falsa en la red durante un lapso de tiempo, mientras esperamos que el posible “Sniffer”  procese los paquetes, de esta manera se incrementa el tiempo de latency, entonces cuando volvamos a analizar el retardo del ping, el tiempo en milisegundos puede seguir igual o incrementarse, si se incrementa es probable que haya un sniffer ejecutándose.


Para este tipo de análisis, se puede automatizar mediante un programa creado en Consola (Windows DOS), o (Linux SHELL).

 

2.3               PRUEBAS ARP

 

Esta prueba trata, de agregar a nuestra tabla ARP, una IP de la red con una MAC (Falsa), de tal manera la tendremos dentro de nuestra tabla.

Agregar una IP con MAC:

Commando: arp –s “ip” “mac
Ver tabla ARP:
Commando: arp –a

 

Expliquemos, si la dirección MAC (Falsa) es incorrecta, no debería llegar a su destino, pero en caso en el caso por estar en “Modo promiscuo la tarjeta de red”, debido a que utilizan un sniffer, este recibirá el paquete, si vemos que el paquete llega a su destino, es que la tarjeta de red está en modo promiscuo y detectamos un sniffer en nuestra red ;).

 

(Entre las 3 prefiero las “PRUEBAS ARP”)

                                

Por último, así como hay aplicaciones para poder Sniffear, también hay aplicaciones para detectar Sniffers”. Como por ejemplo:

-          Antisnif (Prueba que dispositivos de red están ejecutándose en modo promiscuo, usa técnicas de test de DNS, ping de latencia y test de ARP, ingresando el rango de IP’s.

-          ProDetect, Promiscan y PromisDec ( Detectan los host que están en modo promiscuo dentro de la LAN)

-          SniffDet ( Para detectar el sniffer realiza pruebas de ARP, test ICMP, test DNS y test de ping de latencia)

-          Sentinel (Parecido al Antisnif, también detecta dispositivos en modo promiscup y realiza test DNS, ICMP, ping de latencia y de ARP)

COMO PROTEGERNOS

La mejor manera de protección es mediante métodos de cifrado, algunas técnicas son las siguientes:

PGP (Pretty Good Privacy): Uso de clave pública y privada

SSL (Secure Socket Layer): Proporciona autenticación privada en las paginas web’s, mediante protocolo HTTPS, aunque en algunas veces no es muy eficaz

SSH (Secure Shell): Conexión seguro al conectarse remotamente a una terminal.

 

 Como se ve puede observar bajo esta breve explicación, no se necesita tener de muchos conocimientos de redes que con unas simples aplicaciones que cualquier persona puede bajar de internet, se puede comprometer la confidencialidad de la información personal. Hay que tomarse la palabra SEGURIDAD más en serio, tanto en el mismo “Usuario”, como en los “Administradores de Red”.

 

Espero que el texto haya sido de su agrado, aun queda mucho por aprender, hay otros temas que también conozco, ya pronto me animare en resumirlo y publicarlos.

 

ATTE.

Roberto Rivera ;)