Está en la página 1de 11

Seguridad Perimetral

1

Laboratorio N°3

Ataque y Defensa en la Capa de Enlace – Ettercap, Etherflood, Cain&Abel, Winarp Watch

Enlace – Ettercap, Etherflood, Cain&Abel, Winarp Watch (Tiempo Estimado 1 ½ hora) En el presente laboratorio

(Tiempo Estimado 1 ½ hora)

En el presente laboratorio se utilizará tráfico hostil mediante el uso de herramientas de ataque especialmente diseñadas para ello. Se analizarán los comandos de configuración de switches y software de detección de actividades anómalas a nivel de la capa de enlace. De esta manera, al finalizarlo será capaz de:

Utilizar herramientas de ataque para evaluar la seguridad del nivel de enlace de la red. Configurar los switches bajo un esquema de seguridad.

Empleará herramientas como Cain&Abel. Ettercap, WinARP Watch.

Finalmente dejará todas las aplicaciones y servicios funcionando.

Ejercicio 1:

En este ejercicio, el alumno instalará las aplicaciones Cain&Abel, Ettercap y WinARP Watch en su computador.

1. Instalación de Cain&Abel, Ettercap y WinARP Watch.

1º.

Ingrese a su estación con username: administrador y password: dat10

2º.

Ingrese a la estación del instructor \\instructor\software\Ettercap e instale el programa ettercap-NG-0.7.3-win32.exe.

3º.

Acepte todas las condiciones por omisión que pide la instalación y termine de instalar el programa.

4º.

Ingrese a la estación del instructor \\instructor\software\Cain&Abel e instale el programa ca_setup.exe

5º.

Ingrese a la estación del instructor \\instructor\software\Kiwi e instale el programa Kiwi.exe.

6º.

Acepte todas las condiciones por omisión que pide la instalación y termine de instalar el programa.

7º.

Ingrese a la estación del instructor \\instructor\software\WinARPWatch y

copie el

computador.

contenido

en

un

directorio c:\WinARPWatch

creado

en

su

Seguridad Perimetral

2

2. Ataque en la capa de enlace - Ettercap

Abra Ettercap:

2 2. Ataque en la capa de enlace - Ettercap Abra Ettercap: • Indicar el tipo

Indicar el tipo de sniffing : Unified con una sola tarjeta de red, Bridging es más “secreto” y requiere de dos tarjetas de red.

1º.

Ir al menú Sniff Unified Sniffing

Aparecerá una ventana solicitando Tarjeta de Red: Seleccionar su Tarjeta Red

Lan.

Seleccionar la tarjeta de red que se va a utilizar (tarjeta de red lan)

la tarjeta de red que se va a utilizar (tarjeta de red lan) • Ordenar el

Ordenar el escaneo de hosts en la red.

2. Ir al Menu Hosts Scan for Hosts

Seguridad Perimetral

3

Seguridad Perimetral 3 • Ver la lista de los hosts identificados. CIBERTEC

Ver la lista de los hosts identificados.

Seguridad Perimetral 3 • Ver la lista de los hosts identificados. CIBERTEC

Seguridad Perimetral

4

Al dar doble clic sobre alguno de los hosts listados se puede obtener mayor información sobre el mismo.

listados se puede obtener mayor información sobre el mismo. • La Víctima antes del ARP Poisoning

La Víctima antes del ARP Poisoning (las MAC address son diferentes). (Usar el comando arp -a).

Desde la PC del alumno, hacer ping a la IP de la victima y al Gateway

Luego digitar en una ventana DOS : arp – a

Observas las direcciones MAC de la PC y el gateway

Gateway • Luego digitar en una ventana DOS : arp – a • Observas las direcciones

Seguridad Perimetral

5

Seleccionamos el Destino 1 o (Add to TARGET1) para laVíctima y el Destino 2 (router, para poder “sniffear” todo el tráfico entre ellos.

para poder “sniffear” todo el tráfico entre ellos. • Luego lanzamos el ataque de “ARP Poisoning“

Luego lanzamos el ataque de “ARP Poisoning“ que consiste en “envenenar” la tabla ARP de la víctima indicándole que la dirección MAC del router es la del atacante de tal forma que cualquier comunicación fuera de la red o sub-red será enviada primero al atacante y luego seguirá su destino hacia el router.

Al hacer sniffing de esta forma, se requiere que la máquina atacante haga forward (routing) porque de lo contrario las peticiones de la víctima no recibirán respuesta.

El sniffing es útil cuando se configura para ambas direcciones, de lo contrario, no se podrán ver las respuestas que recibe la víctima.

Seguridad Perimetral

6

Seguridad Perimetral 6 • La tabla ARP de la víctima ha sido “envenenada” (apreciar que las

La tabla ARP de la víctima ha sido “envenenada” (apreciar que las direcciones MAC del router y del atacante son las mismas).

Verificarlo con el comando:

Desde la PC de la Victima, hacer ping a la IP de la victima y al Gateway

Luego digitar en una ventana DOS : arp – a

Observas las direcciones MAC de la PC y el gateway

Compara las MAC del gateway antes y después del ataque , son iguales??

las direcciones MAC de la PC y el gateway Compara las MAC del gateway antes y

Seguridad Perimetral

7

• Iniciar el Sniffing. • Después de esto solo basta con monitorear las Conexiones y
Iniciar el Sniffing.
Después de esto solo basta con monitorear las Conexiones y se podrán ver todas
las peticiones y respuestas desde y hacia la máquina víctima.
En el listado de Conexiones siempre se indica los procesos de autenticación
mediante un asterisco. También se tiene un botón de detalles o dando doble clic
sobre la Conexión a revisar se obtienen los detalles.
• Se necesita que los usuarios puedan acceder a email o paginas web con
autenticación para ver la captura.
Observar que todo el proceso se va registrando en la ventana inferior.
Este tipo de acciones se conocen como Man-In-The-Middle (MITM) y Ettercap
permite hacer muchas cosas más que sólo “sniffear”.

Capture y comente lo obtenido . Que aparece ?

Seguridad Perimetral

8

Ejercicio 2:

En este ejercicio el alumno efectuará un hacking inteligente de sesiones mediante el uso de la herramienta Cain&Abel y a la vez efectuará un monitoreo de actividades extrañas en la capa de enlace.

1º.

Ejecute la aplicación Cain&Abel desde el menú Inicio Programas Cain Cain v2.5. Aparecerá una pantalla similar a la siguiente:

3

2

6 1
6
1

5

Figura A. Aplicación Cain&Abel.

2º.

Ir a la Pestaña Sniffer y seleccionar la pestaña inferior : Host.

3º.

Seleccionar el ícono que simula una tarjeta de red y luego ir al menú File Add to List y presionar OK.

4º.

El programa obtendrá la lista de direcciones MAC e IP de la red en que se encuentra.

5º.

En la parte inferior seleccionar APR y presionar el signo +. Aparecerá una ventana en donde ingresará las estaciones a hackear. Ingrese la dirección de la estación de su compañero y la del gateway de la red.

de la estación de su compañero y la del gateway de la red. Importante A partir

Importante

A partir de este momento el laboratorio debe ejecutarse un alumno a la vez sobre la victima para que no haya conflicto en la tabla MAC del switch.

6º.

Seleccionar el ícono amarillo de la parte superior izquierda que asemeja al símbolo de energía nuclear. A partir de este momento el alumno podrá capturar información relevante a las sesiones que establezca el usuario monitoreado con el gateway.

7º.

El alumno monitoreado iniciará una sesión FTP con el host del instructor, navegar a Internet, conectarse a Hotmail o Gmail.

Seguridad Perimetral

9

8º.

El usuario hacker podrá verificar la información capturada en passwords y el resto de ventanas.

9º.

Ejecutar la aplicación WinARP Watch y anotar la presencia de direcciones MAC extrañas en la red.

10º.

Anote los detalles relevantes de la prueba

11º. La configuración para el switch será la siguiente para mitigar el evento.

Ejercicio 3:

Configuración de un switch Cisco con esquemas de seguridad. Realice los siguientes pasos:

1º.

Ingrese vía Telnet al switch:

telnet dirección_ip_switch username:

password:

2º.

Ingrese en modo configuración:

switch>enable switch> switch>configuration terminal switch#

3º.

Ingresar los siguientes comandos al switch:

#El siguiente comando se debe ingresar en modo global switch#configure terminal

Switch(config)# logging on Switch(config)# logging IP_Server_Syslog Switch(config)# logging trap informational

switch-config#spanning-tree vlan 1 root primary

#Habilitación del servicio de estampado de tiempo en los log switch#service timestamps debug datetime localtime switch#service timestamps log datetime localtime switch#service password-encryption

Seguridad Perimetral

10

Conectar la PC01 al Puerto fastethernet0/1 y ejecutar los siguientes comandos:

En su maquina de trabajo, cargue 2 maquinas virtuales adicionales. Desde cada maquina virtual deje corriendo el siguiente comando:

Ping – t IP_Gateway

Siga configurando en el Switch #Limitación del número de direcciones MAC por puerto del switch y anulando #cualquier nueva estación que aparezca. switch#interface fastethernet 0/1 switch#switchport mode access switch-interface#switchport port-security switch-interface#switchport port-security maximum 1 switch-interface#switchport port-security violation restrict

#Definición del tiempo de vida de las tablas MAC en el switch a nivel global switch#switchport port-security aging time 10 switch#switchport port-security aging type inactivity

Verifique que paso con las conexiones ICMP de cada una de sus maquinas virtuales y su maquina real ?

- Que maquina ya no puede conectarse a Internet ? - Cuantas maquinas se conectan a Internet ?

Switch#show port-security address

Compare las direcciones MAC que aparecen con la dirección MAC de su PC, son iguales ¿ Por que , explíquelo?

1. Imagine que Ud quiere conectarse al puerto fastethernet 0/2 de manera no autorizada, para lo cual conecte su PC (PC01) al puerto FastEthernet0/2, realice los siguientes comando y explique que sucede:

Switch#show port-security interface fastethernet0/2

Switch#show interface fastethernet0/2

Seguridad Perimetral

11

2. Configurar el puerto para que grabe la MAC conectada de manera estatica:

Switch(config)#interface fastEthernet 0/2 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 2 Switch(config-if)# switchport port-security violation restrict Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# switchport port-security aging time 20

3. Conecte la PC01 en el puerto fastEthernet0/2 y vea la configuración Port-security de la interfaz con el comando:

Switch#show port-security

Switch#show port-security address Indicar que cual es la diferencia entre los 2 comandos ingresados previamente:

4. Revise la configuración del Puerto FastEthernet 0/2 con el siguiente comando:

Switch#show run

Indicar si la dirección MAC aparece digitada ? A que se debe este cambio ?

5. Con el comando show port-security, se observa que existen violaciones en el puerto fastEthernet0/2. Para saber cuantas PCs estan conectadas a ese puerto utilice los siguientes comandos en el switch

Switch#show mac-address interface fastethernet0/2

Verifique cuantas MAC aparecen en el Puerto fastethernet0/2 y modifique

Switch(config-if)# switchport port-security maximum “N” Donde “N” : es la cantidad de direcciones mac conectadas al Puerto

6. Pruebe el metodo de Man-in-the-middle con CAIN & ABEL a la PC de alguno de sus compañeros. Verifique si funciona el ataque ?