Ramn Jess Surez Prez

Seguridad y Alta Disponibilidad Manual CAIN & ABEL(Sniffer)

Qu es un Sniffer? El uso que se les den a ste tipo de aplicaciones es algo importante de sealar, ya que gracias a ellos podemos ayudar a que nuestra Red tenga ms seguridad, hacer pruebas y as poder tener un muy buen resultado, el problema viene cuando otros usuarios lo utilizan con fines de delitos electrnicos, ya que con ste tipo de herramientas se puede obtener informacin confidencial. Los principales usos que se le pueden dar son: Captura de contraseas enviadas sin cifrar y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por atacantes (malmente conocidos como hackers, pero de eso hablare otro da) para atacar sistemas. Anlisis de fallos para descubrir problemas en la red, tales como: por qu el ordenador A no puede establecer una comunicacin con el ordenador B? Medicin del trfico, mediante el cual es posible descubrir cuellos de botella en algn lugar de la red. Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la informacin real que se transmite por la red.

Algunos sniffers trabajan slo con paquetes de TCP/IP, pero hay otros ms sofisticados que son capaces de trabajar con un nmero ms amplio de protocolos e incluso en niveles ms bajos tal como el de las tramas del Ethernet.

Ramn Jess Surez Prez

Escaneando la red.
Con Cain & Abel encendido, procederemos a activar el Sniffer, para ello haremos clic sobre el botn marcado en la foto situado en la parte superior izquierda de la barra de herramientas del programa. Hecho esto, nos dirigiremos a la pestaa superior Sniffer una vez all, en la pestaa inferior Host haremos clic derecho y seleccionaremos Scan MAC Addresses

Despus marcaremos la opcin para escanear todos los equipos de mi subred (All host in my subnet) y haremos clic en OK.

Ramn Jess Surez Prez Como podremos observar, aparecer una lista con los equipos de la subred. Ahora es el momento de escoger una vctima para nuestra prueba, en mi caso utilizare una mquina virtual con la IP 192.168.1.25.

Interceptando el trfico generado por la vctima.

Dentro del mdulo de sniffer de Cain, nos dirigiremos a la pestaa inferior APR para posteriormente hacer clic en el smbolo + situado en la barra de herramientas. Hecho esto, aparecer una ventana, donde debemos seleccionar en la parte izquierda la IP de nuestra vctima y en la parte derecha la direccin que queremos intervenir, en nuestro caso la propia puerta de enlace.

Ramn Jess Surez Prez Una vez agregada nuestra victima a la lista, haremos clic sobre el botn APR situado en la parte superior de la barra de herramientas para empezar a redirigir el trfico.

Esta accin provocar que nuestro equipo copie temporalmente la IP de la puerta de enlace y obtenga los paquetes destinados a ella por parte del cliente, sin interrumpir la conexin entre ambos, por lo que el equipo cliente no notar el cambio. Si accedemos a la pestaa inferior Passwords, en el apartado HTTP podremos observar las direcciones que visita nuestra vctima.

Ramn Jess Surez Prez

Capturando contraseas.
En la misma zona donde visualizamos el trfico de nuestra vctima, podremos visualizar contraseas de webs no seguras. Para comprobar la eficacia del sniffer y no peligrar la privacidad de nadie, me registr en una web que no tena soporte https e inici sesin.

Como se puede observar claramente, el sniffer intervino la conexin capturando la contrasea de la vctima.

Ramn Jess Surez Prez Pero Can no solo captura contraseas de pginas web no seguras (HTTP) sin que tambin es capaz de capturar contraseas de otro tipo de protocolos no seguros como puede ser FTP, VNC, Telnet Para probar de nuevo el funcionamiento del sniffer, decid conectarme a un servidor ftp de prueba que cree anteriormente desde la mquina vctima.

Una vez ms el sniffer obtuvo la direccin IP del servidor, usuario y contrasea, aunque esta vez, se almacen en el apartado de FTP tambin incluida dentro de la pestaa Passwords.

Ramn Jess Surez Prez

Suplantando la tabla DNS.

La tabla DNS, es la encargada de traducir los dominios en direcciones IP para conectarnos a travs de ella a los distintos equipos de la red. En este apartado, redirigiremos un dominio existente (www.terra.es) a una web creada en la propia red local (En la prctica real, esta web podra ser un exploit y el usuario jams sospechara de ello). Para suplantar la DNS, nos dirigiremos a la pestaa inferior APR, una vez all nos dirigiremos al apartado APR-DNS y all haremos clic derecho para seleccionar Add to list.

Aqu debemos introducir en la parte superior del formulario, el dominio a suplantar y en el destino, la direccin ip del servidor web que suplantar al dominio indicado.

Ramn Jess Surez Prez De esta manera, cuando la vctima acceda a la web, en este caso terra, ser redirigida a la web falsa indicada, conservando el dominio en la barra de direcciones del explorador ya que hemos suplantado la tabla DNS.

Ramn Jess Surez Prez

Cambiar la direccin fsica.

La direccin MAC es un identificador de 48 bits (6 bloques hexadecimales) que corresponde de forma nica a una tarjeta o dispositivo de red. Su funcin es permitir la comunicacin a nivel de enlace (Capa 2 del modelo OSI). La suplantacin de esta direccin puede permitir pasar desapercibido frente a otros sniffers o atravesar filtros hacindose pasar por otros equipos. Para enmascarar la direccin fsica de nuestro adaptador de red, accederemos al men Configure dentro de la barra de herramientas, una vez all en la pestaa APR (Arp Position Routing) podremos enmascararnos con la direccin IP y direccin MAC deseada.

Ya sea desde Windows o Linux, a travs de las propiedades del adaptador, tambin podremos enmascarar la direccin MAC de este.

Ramn Jess Surez Prez

Proteccin frente a Sniffers.

El ARP (Protocolo de Resolucin de Direcciones) es un protocolo acta a nivel de enlace de datos responsable de encontrar la direccin hardware (Ethernet MAC) que corresponde a una determinada direccin IP. Para lograr esto se enva un paquete (ARP request) a la direccin (broadcast) de difusin de la red (MAC = FF FF FF FF FF FF), que contiene la direccin IP por la que se pregunta, y se espera a que esa mquina (u otra) responda (ARP reply) con la direccin fsica que le corresponde. Cada mquina mantiene una cach, (tambin conocida como tabla ARP), con las direcciones traducidas para reducir el retardo y la carga. Segn las pruebas realizadas en el aula, la suplantacin de la MAC de la puerta de enlace no es lo suficientemente perfecta como para engaar a la tabla ARP esttica. Por ello, si un equipo tiene definida en la tabla ARP la direccin de la puerta de enlace de forma esttica junto con su MAC, el sniffer ser incapaz de intervenir e interceptar paquetes.

Tanto en Windows como el Linux podemos administrar la tabla ARP de la misma forma. Mediante el comando arp apodremos visualizar las entradas de la cach.

Y mediante el comando arp s direccionIP DireccionMAC podremos fijar entradas estticas.