Prcticas de Laboratorio de Seguridad en Redes. V ao Telemtica 2013. UNAN Len.

Prctica 5: Anlisis de trfico y ataques relacionados.

1. Propsito
Familiarizar al alumno con el empleo de utilidades como tcpdump y ethereal, para capturar los paquetes transferidos en la red. Que el alumno sea capaz de analizar el trfico capturado y pueda obtener informacin relevante sobre la mquina vctima. Realizar una serie de ataques a mquinas vecinas, para poner en prctica los conocimientos tericos adquiridos.

2. Entorno
Para la realizacin de esta prctica se utilizar: Dos mquinas, una vctima y otra atacante.

Un analizador de red o simplemente un analizador de protocolos de red (analizador de paquetes o simplemente sniffer) pueden activar el modo prosmicuo de la tarjeta de red permitiendo as que todos los paquetes que le llegan a la mquina se puedan visualizar. Los ataques que se realizan con un analizador de protocolo de red son ataques pasivos puesto que no intervienen en la comunicacin. En una topologa en HUB el sniffer nos permite visualizar los paquetes que circulan por el segmento de red donde instalamos el sniffer. En una topologa en SWITCH slo observaremos el trfico transmitido y recibido por la mquina que tiene instalado el sniffer. Los sniffer suelen ser el punto de partida de ataques activos muy peligrosos. En esta prctica el alumno har uso de dos analizadores de protocolos de red, el clsico tcpdump y el ethereal (Wireshark); el primero de ellos funciona en lnea de comandos y el segundo posee interfaz grfica, pero prcticamente los dos programas permiten hacer las mismas cosas.

3. Puesta en Marcha:

3.1.

Descubrimiento de la topologa de la red existente en el laboratorio.

Para hacernos una idea de la topologa de red existente en los laboratorios, pondremos a Ethereal a capturar toda la informacin posible, para ello activamos la casilla Capture packets in promiscuous mode. Una vez realizada la captura realizaremos la misma captura, pero utilizando un filtro de captura, filtrando slo los paquetes en los que el destino o el origen sea nuestra mquina. Observa alguna diferencia? Cul es la topologa de red existente en el laboratorio?

Prcticas de Laboratorio de Seguridad en Redes. V ao Telemtica 2013. UNAN Len.

3.2.

Descubrimiento de contraseas.

Una de las aplicaciones ms habituales de los sniffers es su utilizacin para el descubrimiento de contraseas. Para ello vamos a comprobar la seguridad de varios servidores que utilizan autenticacin. Para eso realice los siguientes pasos: Ejecute Ethereal y comience una captura de paquetes, utilizando algn filtro para facilitar la captura de informacin. Conctese a http: //www.comp.unanleon.edu.ni/clases/, introduciendo un nombre de usuario y una contrasea cualquiera. Detenga la captura y gurdela en un fichero. Repita el proceso anterior conectndose a https://www.facebook.com Repita el proceso anterior ftp://www.comp.unanleon.edu.ni estableciendo una conexin al sitio FTP

Repita el proceso anterior estableciendo una conexin mediante ssh con la mquina de un compaero. Ejercicio: en cada caso, intente localizar en la traza de Ethereal los datos de autenticacin (nombre de usuario y contrasea) que han sido introducidos. En qu casos es posible? Qu protocolos con vulnerable al anlisis de trfico y cules son seguro?

3.3.

Ataques contra servidores seguros en redes conmutadas.

En una red conmutada, se puede tratar de combinar la tcnica del Envenenamiento ARP y tcnicas de suplantacin DNS para lograr un ataque de Hombre en Medio (Man in Middle attack) que, ejecutado correctamente puede llegar a comprometer la seguridad de comunicaciones que emplean protocolos seguros como HTTPS. Se realizar en grupos de 2 ordenadores (que llamaremos atacante y victima) y no la realizarn ms de dos grupos simultneamente. En primer lugar, instalamos en la mquina atacante los programas que vamos a utilizar: atacante # apt-get install dnsiff

ARP Poisoning. Puede lanzar un ataque de ARP poisoning sobre una mquina cualquiera del laboratorio mediante el siguiente procedimiento. Ejecute el siguiente comando, en los ordenadores atacante y vctima paraobservar sus cachs arp: $arp a

Prcticas de Laboratorio de Seguridad en Redes. V ao Telemtica 2013. UNAN Len.

Consulte el fichero /etc/resolv.conf del ordenador vctima para saber cul es su servidor DNS por defecto. Desde el ordenador atacante se envenenar la cach ARP del ordenador vctima hacindole creer que la MAC del servidor DNS es la MAC del ordenador atacante. Ejecute de nuevo en ambos ordenadores el comandos arp para observar sus tablas cachs arp. Una vez lanzado el ataque, realice un ping al servidor DNS desde la mquina vctima.

Ejercicio: analice y explique, con la ayuda de Ethereal, en qu consiste el ataque realizado y cul es su efecto.

DNS Spoofing. Una vez activo el ARP Spoofing, puede conseguirse que la mquina atacante suplante al DNS vctima. En este caso lo utilizaremos para que el atacante devuelva su propia direccin IP cuando la vctima pregunte por la direccin del servidor Web seguro que queremos suplantar. Para ello: Habilite el reenvo de paquetes en la mquina atacante. Edite el fichero /usr/share/dsniff/dnsspoof.hosts de la mquina atacante para aadir una entrada de la forma: IP_atacante ServidorSeguro, o si desea cree su propio archivo de sitios que desea suplantar. Lance el ataque de DNS spoofing. Una vez lanzado el ataque, realice una consulta de DNS desde la mquina vctima.

Ejercicio: analice y explique, con la ayuda de Ethereal, en qu consiste el ataque realizado y cul es su efecto.

Man in the middle attack. Una vez el ataque DNS spoofing ha tenido xito, todas las peticiones por parte de la vctima al servidor seguro pasan por la mquina atacante. Ahora utilizaremos la utilidad webmitm para que la mquina atacante haga de Proxy entre ambos, resultando en un ataque de hombre en medio efectivo. Detenga cualquier servidor Web que pueda estar ejecutndose en la mquina atacante. Ejecute el programa Proxy webmitm.

Este programa solicitar datos para crear un certificado de servidor. Si previamente se accede desde la mquina atacante al servidor web seguro, es posible obtener los datos del certificado del servidor legtimo y copiarlos en nuestro certificado, para minimizar las sospechas.

Prcticas de Laboratorio de Seguridad en Redes. V ao Telemtica 2013. UNAN Len.

Una vez lanzado el ataque, intente acceder desde la mquina vctima al servidor web seguro, empleando un nombre de usuario y contrasea cualquiera. El programa Proxy webmitm permite observar en pantalla los datos intercambiados a travs de la conexin cifrada. Ejercicio: analice y explique en qu consiste el ataque realizado y cul es su efecto.

Usando la herramienta Ettercap Realice el ataque de hombre en medio pero ahora con la herramienta Ettercap.

4. Actividades
Determine si en los diferentes ataques analizados en el transcurso de la prctica la vctima puede detectar que est siendo atacada. Existen contramedidas contra los diferentes ataques? Observe la pgina del manual de las utilidades arp, arpwathc y fragrouter y proponga (y pruebe si es posible) soluciones para las preguntas anteriores.

5. Entregable:
Deber entregar una memoria con la resolucin de cada uno de los puntos aqu planteados, que incluya comandos ejecutados y captura de su pantalla as como una explicacin clara de cada tpico.