Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FACULTAD DE INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
GUÍA DE LABORATORIO Ataque y Protección Man in the Middle
Objetivos:
Comprender como funciona la comunicación LAN y el Modelo OSI con este ataque y
protección
Entender el funcionamiento del ataque Man in the Middle
Utilizar la herramienta arpsoofing para entender funcionamiento de man in the middle
Comprender lo vulnerable que es al capa 2 del modelo OSI
Como se protege de este tipo de ataque
INTRODUCCIÓN
En este laboratorio se explica el ARP y como realizar, entender y protegerse del ataque man in
the middle
Recursos:
ACTIVIDADES
A. Fundamentación Teórica
B. Estableciendo Ambiente del laboratorio
C. Realizando el ataque el hombre en la mitad
D. Protegiendo los equipos Windows y Linux de ese tipo de ataque
E. PREGUNTAS
F. CONCLUCIONES
A FUNDAMENTACIÓN
Este tipo de ataque consiste un poder interceptar la comunicación entre dos equipos,
ubicándose en la mitad de ellos, Engañando a cada una de las partes, haciendo pasar por
el otro, como ocurrió en la Operación Jaque Mate donde liberaron a Ingrid Betancourt, a
los tres norteamericanos y 11 policias y soldados colombianos.
El protocolo arp es el que relaciona las direcciones físicas (MAC) y las direcciones lógicas
(IP), es importante entender cómo funciona bien este protocolo para comprender este
ataque.Para Interceptar la comunicación entre equipos se utilizar el arp spoofing, que es
el envenenamiento de la tabla arp.
El protocolo ARP trabaja a nivel de la capa de enlace de datos de modelo OSI, por lo que
esta técnica sólo puede ser utilizada en el segmento de red o vlan. Una manera de
protegerse de esta técnica es mediante entradas tablas ARP estáticas (siempre que las
ips de red sean fijas), lo cual puede ser difícil en redes grandes. Para adicionar una
entrada estática en la tabla ARP estática se tendría que ejecutar el comando:
Funcionamiento de ARP:
Supongan que se tiene una pequeña red y se quiere realizar un ssh a la computadora de
uno de ellos que tiene de host el nombre "venus". Antes que nada nuestro cliente ssh
(putty) va a convertir el nombre venus en una dirección IP de 32 bits, Una vez que
tenemos la dirección IP del host venus, el cliente ssh, le va a decir al TCP que se
encargue de establecer una conexión con esa dirección de IP; aquí el TCP va a enviar un
datagrama IP solicitando una conexión al host venus. En este ejemplo se trabaja con la
red local 192.168.1.0/24, por lo cual el datagrama IP puede ir directamente hacia ese
host, pero en el caso de que quisiera realizar un ssh a un host en una red remota nuestro
datagrama IP se enruta directamente hacia la salida predeterminada de la
red(192.168.1.254), como por ejemplo un router y de ahí seguiría hasta el próximo salto
hasta llegar a destino. Como se sabe en una LAN se debe identificar con la dirección de
hardware (dirección MAC), por lo que ARP va a asociar la dirección IP de 32 bits en la
dirección de hardware de 48 bits. Luego ARP va a enviar un pedido o lo que se llama un
"ARP request" al broadcast, es decir, a cada host conectado en la red, en el ARP request
va incluido la dirección IP del host venus y lo que hace es preguntar "si es dueño de esta
dirección IP, responda un mensaje unicast con la dirección de hardware". El host venus va
a recibir este broadcast con el ARP request preguntando por él y le va a contestar, esta
respuesta se llama "ARP reply" y por supuesto que en ella va incluida su dirección de
hardware. Una vez que se recibe el ARP reply con la dirección de hardware finalmente se
puede realizar de envió del datagrama IP al host venus para establecer la conexión. Y
todo esto gracias a ARP Para hacer más eficiente el trabajo de resolver cual es la
dirección de hardware de un host cada vez que se la necesita averiguar, existe el ARP
Cache. Cada vez que algún host resuelve una dirección de hardware de otro host, todos
los demás guardan una copia en el cache para después no tener que volver a hacer ese
mismo trabajo. Cada dirección de hardware que entra al ARP Cache es guardada por un
minuto (según el Sistema Operativo), luego de ello se borra y si se la necesita la tiene que
volver a pedir, a menos que ya otro host la haya pedido por lo cual vuelve a ingresar al
cache. En Linux el comando "arp" sirve para manipular el arp cache del sistema. Si
quiere ver el cache actual, se digita el siguiente comando:
root@venus:~# arp -a
router (192.168.1.254) at 58:23:8c:7d:6d:cf
pcjulio (192.168.1.63) at 00:25:ab:90:c6:e9
La opción "arp -a" muestra todas las entradas que hay en nuestro cache, como
vemos primero aparece el host, luego la dirección IP y luego la dirección de
hardware. Tenemos otras opciones del comando arp que también nos pueden ser
muy útiles, por ejemplo la opción "arp -d" que nos permite borrar cualquier entrada
del cache pero esto solo puede ser hecho por el root.
1. Con base en la Red donde se va a realizar las pruebas y con base a la topología de la red
(Figura 1), completar la siguiente información del direccionamiento IP y de las direcciones MAC
de sus equipos y llenar la tabla. La dirección IP en Microsoft la consulta con el comando
ipconfig /all y en GNU Linux con ifconfig.
En este laboratorio se van a mostrar los ejemplos con base al direccionamiento de la figura 1
En la figura 3 está la tabla ARP del computador víctima con la interfaz Ethernet, el 0xC significa
que esa interfaz es la 12 (C esta en hexadecimal y pasando a decimal da 12)
3. Instalar el paquete dsniff en Ubuntu, en Kali Linux ya está instalado, con el siguiente comando
se instala en Ubuntu
f. Detener los dos procesos de ataques pulsando Ctrl C en cada ventana del
arpspoofing.
Ya con esos datos se puede ingresar la entrada estática en la tabla arp utilizando
el comando netsh como administrador, con las siguientes opciones como esta en
la figura 11, netsh, escribir el comando interface, para mirar las lista de
interfaces, puede ejecutar el comando show interfaces, y se corrobora que en mi
caso es la interface 12 (Ethernet) y adicionamos la entrada con el comando add
neighbors 12 192.168.168.10.254 58-23-8c-7d-6d-cd, donde el 12 representa el
número de la interfaz, la dirección IP del router y la dirección MAC del router, y por
último se sale (exit)
PREGUNTAS
1. Con la ayuda del sniffer explique ¿qué tramas está enviando el atacante a las víctimas y
que pasa en su tabla arp?, muestre evidencias.
Direcciones del IP
kali atacante es 192.168.1.2
Víctima 192.168.1.7 Windows
cd /
mkdir ntpserver
cd ntpserver
git clone https://github.com/PentesterES/Delorean.git
cd Delorean
./delorean.py --help
en otra ventana
cd /usr/share/ssltrip
tail -f sslstrip.log
4. Buscar si hay videos o manuales más actualizados del punto anterior y realizar la prueba
6. ¿Qué es DHCP Snooping, Port Security, Dynamic ARP Inspection, MACSec, ACLs
Hardware-based de capa 2?
Bibliografía
Operación Jaque Mate donde liberaron a Ingrid Betancourt, a los tres norteamericanos y
11 policias y soldados colombianos.