Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema03 Seguridad Redes
Tema03 Seguridad Redes
Seguridad en Internet
http://certyred.usal.es
http://bisite.usal.es/ 1
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Contenido
1 Introducción 5
4 Ataques típicos 18
4.1 Sniffing ............................................................................................18
4.1.1 Condiciones de uso y limitaciones .................................................... 19
4.1.2 Arquitectura típica de un sniffer ...................................................... 20
4.1.3 Servicios vulnerables ..................................................................... 21
4.1.4 Sniffers principales ........................................................................ 21
4.2 Detección de sniffers .......................................................................30
4.2.1 Consulta directa de las interfaces de red .......................................... 30
4.2.2 No es posible la consulta directa de las interfaces de red .................... 31
5 Spoofing 33
5.1 Nivel de enlace ................................................................................33
5.1.1 Introducción ................................................................................. 33
5.1.2 Redes Ethernet ............................................................................. 33
5.1.3 ¿Qué es una dirección MAC? ........................................................... 34
5.1.4 Mac spoofing ................................................................................ 35
5.1.5 Arp spoofing ................................................................................. 35
5.2 Nivel de red .....................................................................................41
http://certyred.usal.es
http://bisite.usal.es/ 3
5.2.1 IP spoofing ................................................................................... 41
5.2.2 DNS Spoofing ............................................................................... 44
5.2.3 ICMP Spoofing .............................................................................. 47
5.2.4 Web Spoofing ............................................................................... 49
5.2.5 SMTP spoofing .............................................................................. 50
6 Firewalls 51
6.1 Soluciones hardware y software ......................................................52
6.2 Firewalls a nivel de red. Escenarios. ................................................52
6.2.1 Arquitectura básica ........................................................................ 53
6.2.2 Arquitectura DMZ .......................................................................... 54
6.3 Soluciones software.........................................................................55
6.4 Definir políticas de filtrado ..............................................................56
7 Wifi 56
7.1 El aire es de todos ...........................................................................57
7.2 Ocultación de redes inalámbricas ....................................................58
7.3 Las prisas del instalador no son buenas consejeras .........................59
7.3.1 Configuración de IP automática y por defecto y DHCP ........................ 59
7.3.2 Aclaración sobre las infraestructuras WiFi ......................................... 60
7.3.3 Filtrado de MAC ............................................................................ 60
7.3.4 Alejar el router de las ventanas ....................................................... 61
7.4 Cifrado de conexiones ......................................................................62
7.4.1 Intentando cablear el cielo con WEP ................................................. 62
7.4.2 Santo y seña: WPA y WPA2 ............................................................ 63
7.5 Resumen wifi ...................................................................................63
8 Resumen 64
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
1 Introducción
En seguridad informática, al igual que en la mayoría de las disciplinas, a la hora de
afrontar un nuevo proyecto, nos encontramos con la ineludible necesidad de planificar las
actuaciones.
De una manera metódica, cuando nos enfrentemos a la labor de auditar una red de
servicios, debemos:
• indagar en bases de datos públicas que nos permitan conocer la localización de sus
servidores
• usar herramientas que nos permitan conocer los puertos que tienen abiertos los
servidores
• Nombres de dominio.
• Bloques de red.
http://certyred.usal.es
http://bisite.usal.es/ 5
• Nombres de usuarios.
• Grupos de usuarios.
• Tablas de rutas.
• Información SNMP.
Respecto de los servicios de Intranet, debemos recoger:
• Bloques de red.
• Nombres de usuarios.
• Grupos de usuarios.
• Tablas de rutas.
• Información SNMP.
Respecto de los servicios de acceso remoto, nos interesa conocer:
• Tipos de conexión.
6
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
debemos adoptar una metodología muy sistemática y controlada, sin perder de vista siempre
la seguridad.
Esto es una tarea pesada, pero sin lugar a duda es una de las tareas más
importantes que podemos abordar.
Otras veces, las páginas web de las organizaciones contienen aplicaciones web,
seguramente enlazadas a bases de datos. Este punto cobra una especial importancia si
tenemos conocimientos sobre inyección de SQL en las aplicaciones, pudiendo obtener mucha
información sobre usuarios, o incluso accesos sin privilegios a partes de la aplicación.
2.2 Buscadores
Otra forma interesante para la prospección de información es el uso de buscadores
de internet. Gracias a Google, podemos obtener muchísima información, e incluso conseguir
ficheros de passwords, o la localización exacta de las áreas de administración del sitio web
destino:
http://certyred.usal.es
http://bisite.usal.es/ 7
Ilustración 1: Primeras 3 páginas con enlaces a www.elpais.es
8
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Si usamos Unix o Linux, podemos hacer uso de la herramienta cliente de whois, que
suele venir ya instalado mediante algo del estilo:
$whois “objetivo.”@whois.internic.net
http://www.networksolutions.com/whois-search/objetivo
He usado como cadena de consulta “elpais”, que es uno de los periódicos más
importantes de tirada nacional. Si lanzamos la consulta en linux, nos muestra los dominios
que existen en que empiecen por elpais:
$whois “elpais.”@whois.internic.net
El resultado son los 50 primeros dominios que empiecen por “elpais” como puede
verse en Ilustración 3 (está recortado porque la lista era demasiado grande).
http://certyred.usal.es
http://bisite.usal.es/ 9
Si la lanzamos en windows, el resultado es similar, pero muestra la información
whois de todos los dominios. Por tanto vamos a lanzar una consulta algo más sencilla al
dominio elpais.com:
En este caso nos muestra el registro whois completo del dominio (Ilustración 4).
10
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Con los datos obtenidos estamos en disposición de descubrir más datos sobre la red del
objetivo.
Nslookup www.elpais.com
http://certyred.usal.es
http://bisite.usal.es/ 11
De ahí vemos qué servicios usan y qué ips tienen. Esas direcciones pertenecen
probablemente a Europa por lo que de manera similar a lo que hicimos antes, podemos
obtener información sobre las mismas sin más que usar el comando
$whois 77.67.20.235@whois.ripe.net
Con él le estamos pidiendo al servidor Whois de RIPE (Réseaux IP Européens, Redes
europeas IP) información sobre esa dirección IP. Podemos ver el resultado de la consulta en
Ilustración 6.
El servicio DNS se implementa como una gran base de datos distribuida, y para
replicar la información se hace mediante un mecanismo conocido como “trasferencia de
zona”. Si esta transferencia no está bien configurada, estamos ante un grave error. Por eso
es importante configurar los servidores de DNS de una organización para no permitir la
trasferencia de zona a servidores o clientes no permitidos.
Este problema no tiene por que acarrear un riesgo elevado, si no fuera porque
muchas veces el administrador de una gran red no hace diferencia entre las máquinas
públicas, que prestan servicio, y las otras máquinas de la organización. En este caso, si
obtenemos una transferencia de zona de algún servidor DNS de la organización,
conseguiremos tener un mapa detallado de toda la red de la misma.
Para consultar los servicios DNS usaremos el cliente nslookup, mediante los
siguientes pasos:
$nslookup
Servidor: 33.Red-80-58-0.pooles.rima-tde.net
Address: 80.58.0.33
> server = 208.67.222.222
> set type=any
> ls –d elpais.com. > tx_dom_dominio.txt
12
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Lo único que sí deberíamos tener en cuenta son los datos de contacto que hemos
proporcionado con el registro del dominio, ya que al ser datos públicos, podrían ser usados
para ingeniería social, wardialing, etc.
Ahora podemos, con un poco de creatividad, hacer un pequeño script que obtenga
datos de las máquinas que conocemos, para tener más detalle sobre ellas, y poder conocer
las versiones de los servicios que ejecutan, sistemas operativos y versiones.
Pero antes de automatizar nuestros estudios, hemos de sentar unas bases del juego,
y conocer las herramientas de que disponemos para poder consumar nuestra labor. Vamos a
usar herramientas y técnicas que nos permitan conocer los sistemas que están arriba, su
arquitectura, sistema operativo, y servicios que ofrecen.
Al usar el comando ping, encontraremos los sistemas que estén respondiendo a las
peticiones ICMP ECHO.
http://certyred.usal.es
http://bisite.usal.es/ 13
64 bytes from x.y.z.t: icmp_seq=6 ttl=241 time=105.0 ms
64 bytes from x.y.z.t: icmp_seq=7 ttl=241 time=112.3 ms
64 bytes from x.y.z.t: icmp_seq=8 ttl=241 time=205.8 ms
64 bytes from x.y.z.t: icmp_seq=9 ttl=241 time=103.0 ms
64 bytes from x.y.z.t: icmp_seq=10 ttl=241 time=125.6 ms
Para ejecutar un barrido, o bien nos hacemos un script que haga los pings a las
máquinas que necesitamos, o bien usamos alguna herramienta que lo haga. En nuestro
caso, asumiendo que todo el mundo sabe programar, optamos por la opción del uso de una
herramienta: nmap. Nmap podemos encontrarlo en http://www.insecure.org/nmap.
Actualmente nmap es, bajo nuestro criterio, el scanner más completo que existe, y se
distribuye bajo licencia GPL.
Para efectuar nuestro barrido de pings usando nmap, emplearemos la opción –sP.
Ante la negativa de recibir pings de las máquinas de una red, podemos optar por otra
alternativa, que consiste en el envío de paquetes TCP a las máquinas de destino. El
fundamento consiste en que siempre que se envíe un paquete TCP ACK a un sistema vivo,
éste devolverá un paquete RST, para indicar que el paquete recibido está fuera de estado y
terminar la conexión. Algunos autores denominan a esta técnica como PINGS TCP, ya que
son una alternativa al uso de ping, basados en TCP.
Si queremos llevar a cabo un PING TCP, podemos usar nuestra navaja suiza para
escaneos, nmap. Para ello lo invocaremos con la opción –PT.
14
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Como contramedida al uso de PING TCP, debemos hacer uso de firewalls que tengan
conocimiento del estado para que descarte todos los paquetes ACK que se no se
correspondan con sesiones ya establecidas.
Este tipo de escaneo se basa en conectarse al los puertos del sistema objetivo. Para
ello usa el método de apertura de conexiones de TCP en tres pasos:
Este tipo de escaneados podríamos efectuarlo con telnet, a los puertos que queramos
saber si están abiertos en la máquina objetivo, pero sería un trabajo muy pesado (y poco
efectivo). Por ello, usaremos de nuevo nuestro escaneador de puertos “nmap”, con los
modificadores –sT.
http://certyred.usal.es
http://bisite.usal.es/ 15
Nmap run completed -- 1 IP address (1 host up) scanned in 10 seconds
Para llevar a cabo un escaneado SYN en nuestro nmap, usaremos la opción –sS:
Si un firewall deja pasar todos los paquetes que provengan del puerto 53 en el
origen, podremos escanear una máquina si nuestros paquetes proceden de esos puertos
“permitidos”. Podemos indicarle a nmap que todos los paquetes tengan un origen constante
con la opción –g: “nmap –sS –g 53 host”.
16
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Los sistemas operativos de Microsoft tienen como costumbre devolver paquetes RST
aunque haya un servicio escuchando, por lo que con ésta técnica podremos discernir
rápidamente el tipo de sistema al que nos enfrentamos.
Los escaneados de tipo nulo se llevan a cabo mediante el envío de paquetes TCP al
sistema objetivo, con los todos los flags de la cabecera TCP desactivados. El comportamiento
es análogo a los escaneos XMAS.
Podemos ejecutar nuestro escaneado nulo de puertos usando la opción –sN de nmap.
Los escaneados RPC envían comandos NULL a los puertos abiertos, con la intención
de descubrir si son puertos de llamada a procedimientos remotos. Una vez que se sabe que
son puertos RPC, hemos de investigar qué aplicación se encuentra escuchando en ese
puerto.
http://certyred.usal.es
http://bisite.usal.es/ 17
139/tcp open netbios-ssn
515/tcp open printer
1024/tcp open kdm
10000/tcp open snet-sensor-mgmt
Remote operating system guess: Linux 2.1.19 - 2.2.20
Uptime 10.375 days (since Mon Aug 02 11:11:35 2004)
Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds
En ocasiones nos puede resultar atractivo conocer qué tipo de paquetes IP son
admitidos por el sistema. Para ello disponemos de la opción –sO de nmap:
4 Ataques típicos
En este apartado aprenderemos las bases, la teoría y la práctica de los ataques más
populares en redes de ordenadores, así como protegernos de ellos mediante cambios en las
configuraciones, el uso de cortafuegos, sistemas de detección de intrusos y sistemas de cebo
para entretener a los atacantes. En el apartado de defensa veremos la última tecnología
basadas en agentes inteligentes.
Entre los ataques que se explican tenemos las escuchas, las falsificaciones de
diversos tipos, los secuestros de sesión y los ataques de denegación de servicio, tanto
centralizados como distribuidos.
4.1 Sniffing
Ya hemos dicho que cuando nos encontramos recabando información sobre sistemas
remotos en una red, antes de aplicar técnicas de ataque, es muy recomendable conseguir
toda la información posible acerca de la víctima. Una de las muchas técnicas que podemos
usar para obtener dicha información es el sniffing.
18
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
• Sniffing por software: es la forma más habitual. Usa programas informáticos para
capturar el tráfico en la red.
• Sniffing por hardware: es una forma más cara de hacerlo. Tendríamos que
"pinchar" en un segmento de red un dispositivo que fuera capaz de almacenar el
tráfico que escucha.
Nos dedicaremos al sniffing por software, ya que es la opción que se encuentra más
al alcance de cualquier mano.
Los compañeros que participaban en el transporte nada les impedía leer el contenido
del papel. Sin embargo los compañeros que no intervenían en el transporte no tenían
posibilidad de leer el mensaje, ya que éste no pasaba por sus manos.
Con el sniffing ocurre lo mismo que con el paso de mensajes de Alicia y Juan:
podremos husmear en las comunicaciones que transcurran por un medio físico que podamos
escuchar.
¿Podremos entonces hacer sniffing de un paquete de datos que transcurre entre New
York y Tokio? Seguramente no. Tendría que darse una situación bastante compleja para
poder hacerlo.
Entonces, ¿para qué nos sirve el sniffing? Supongamos que nos encontramos en la
red de nuestra empresa, y supongamos que los ordenadores se conectan a un hub ethernet.
Todo el tráfico de la red viajará por nuestro cable, y tendremos oportunidad de husmear las
comunicaciones.
Otro típico caso típico de uso del sniffer son las máquinas remotas comprometidas,
donde nos aportarán información interesante sobre los servicios de la red.
http://certyred.usal.es
http://bisite.usal.es/ 19
El sniffing es una técnica compatible con otras, como diversos spoofing, obteniendo
de la combinación unos muy buenos resultados.
20
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Esto permite generar paquetes personalizados para, por ejemplo, realizar ataques
man-in-the-middle (MITM o de hombre en medio) y secuestro de sesiones mediante
las cuales intervienen un tráfico y suplantan la identidad original del individuo.
Inicialmente son objetivo de este tipo de ataque todos los servicios que no usen
cifrado en las comunicaciones, o bien no se lleven a cabo a través de un canal cifrado punto
a punto (una VPN por ejemplo). En el momento en que una parte de la comunicación
transcurra por un tramo no cifrado, el servicio es vulnerable.
Entre los servicios que pueden ser atacados con mayor impacto están:
• HTTP
• FTP
• POP3
• SMTP
• …
Los programas para realizar sniffing se han distribuido de dos formas diferenciadas:
comerciales y gratuitos o libres (en algunas literaturas se refieren a ellos como
'underground').
Típicamente los sniffers comerciales han sido usados para mantener redes, y los
sniffers “underground” para asaltar a los ordenadores de una red. Hoy día, gracias a la gran
evolución de las comunidades de desarrolladores de software libre las diferencias entre los
sniffers comerciales y no comerciales están muy limadas, llegando en muchos casos a
superar los no comerciales a los comerciales.
http://certyred.usal.es
http://bisite.usal.es/ 21
• Detección de intrusos. Aunque para ello existen programas específicos llamados IDS
(Intrusión Detection System, Sistema de Detección de Intrusos), estos son
prácticamente sniffers con funcionalidades específicas.
4.1.4.1 Tcpdump
Tcpdump está basado en la librería libpcap, que proporciona rutinas para hacer las
lecturas de la red y también sirve de base para otros muchos programas de captura. Esta
librería también puede ser encontrada en el sitio web citado arriba.
Hay versión de libpcap y tcpdump para Windows, que podremos encontrar bajo la
denominación “windump”. Especificándole –i eth0 le estamos indicando al sniffer que analice
el tráfico de la interfaz eth0.
22
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
12:31:50.631991
Opciones Descripción
-n Indica a tcpdump que no haga las traducciones de los nombres de host y los
servicios y presente los valores numéricos correspondientes.
-s len Establece la longitud de datos que tcpdump debe capturar, donde “len”
representa dicha longitud. El valor por defecto son 68 bytes, que es suficiente
http://certyred.usal.es
http://bisite.usal.es/ 23
para protocolos IP, TCP o UDP, aunque a veces insuficiente para otros protocolos
de más alto nivel, como NFS, y algunos otros protocolos de red.
4.1.4.2 Wireshark
Este sniffer se conocía antes como Ethereal. Cuenta con una bonita interfaz gráfica lo
que le añade un punto de sencillez de cara al manejo por el usuario. Tiene versiones para
Linux, Windows y OSX de 32 y 64 bits.
o Ilustración 8)
o Captura paso a paso (How to capture)
• En el centro tenemos la sección Files donde podemos especificar un fichero de una
captura anterior o capturas de ejemplo disponibles en su wiki.
24
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
http://certyred.usal.es
http://bisite.usal.es/ 25
Ilustración 7: Pantalla inicial de Wireshark
26
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
http://certyred.usal.es
http://bisite.usal.es/ 27
Si lo comparamos con el antiguo Ethereal (
Ilustración 9), veremos todas las opciones que ha alcanzado, entre las cuales cabe
destacar el soporte wireless.
• Ilustración 11.
28
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
http://certyred.usal.es
http://bisite.usal.es/ 29
Ilustración 11: Envío y recepción de una consulta en Google.
Otros sniffers, preparados para redes conmutadas son:
30
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
En el primer caso lo que tendremos que hacer es mirar el estado de las diferentes
interfaces de redes que tengamos en dicho equipo y ver si alguna está en modo Promiscuo.
La forma más habitual en linux es utilizar el comando ifconfig, aunque podemos usar otros
como ifstatus descargable de ifstatus.sourceforge.net.
http://certyred.usal.es
http://bisite.usal.es/ 31
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc
pfifo_fast state UNKNOWN qlen 1000
link/ether 00:0c:29:10:8a:dc brd ff:ff:ff:ff:ff:ff
Además, normalmente cuando la interface pasa a modo promiscuo, queda reflejado
en el fichero de logs, tal y como podemos ver aquí.
# cat /var/log/messages
"Is usualy to install a sniffer when you hack some system, but if you do it, the net
device is established to promisc mode and if the admin is inteligent must to discover the
sniffer. Using RhideS you can to hide some promisc mode interface easily."
traducible por
“Es normal instalar un sniffer cuando atacas algún sistema, pero si lo haces, el
dispositivo de red se coloca en modo promiscuo y si el administrador es inteligente
descubrirá el sniffer. Usando RhideS puedes ocultar cualquier interfaz en modo promiscuo
fácilmente.”
Una de las posibles técnicas, consiste en enviar paquetes a una máquina inexistente
y cuya dirección no está dada de alta en el servidor de nombres. Sabremos que tenemos un
sniffer en nuestra red si posteriormente detectamos cualquier intento de acceso a la máquina
ficticia.
32
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
1. Antisniff
2. Nmap
Antisniff era una de las mejores herramientas de detección de sniffer de forma
remota, aunque está ya obsoleto porque no contempla la nueva generación de sniffers.
Nmap sirve para escanear puerto de las máquinas. Sin embargo puede utilizar
scripts, que extienden su funcionalidad. sniffer-detect.nse permite detectar si un equipo
está en modo promiscuo. En versiones antiguas de nmap este script se llamaba
promiscuous.nse.
Si lo descargamos de http://nmap.org/nsedoc/scripts/sniffer-detect.html y
ejecutamos algo similar a
http://certyred.usal.es
http://bisite.usal.es/ 33
Contra los sniffers hardware, la solución es proteger el acceso a la infraestructura de
red y, en casos extremos, usar cables que permitan detectar su manipulación.
5 Spoofing
El vocablo inglés "spoof" significa algo así como "parodia", "truco", "engaño". Así
spoofing hace referencia a cualquier forma de hacerse pasar por quien no se es (para
acceder a nuestro sistema por ejemplo). Imaginemos que llama a nuestra casa un señor
vestido con un mono de Repsol, que nos presenta el carné de instalador de Repsol y nos dice
que ha de verificar nuestra instalación. Si no es realmente empleado y le dejamos entrar
entonces podríamos decir que nos han engañado. De igual forma, cuando somos víctimas de
alguna técnica de spoofing, también estaremos sufriendo un engaño.
5.1.1 Introducción
La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde
denegaciones de servicio hasta interceptación de datos, incluyendo algunos Man in the
Middle contra ciertos protocolos cifrados.
La ethernet fue concebida en torno a una idea principal: todas las máquinas de una
misma red local comparten el mismo medio (el cable). Todas las máquinas son capaces de
“ver” todo el tráfico de la red. Debido a esto, las tarjetas ethernet incorporan un filtro que
ignora todo el tráfico que no está destinado a él. Esto se consigue ignorando aquellos
paquetes cuya dirección MAC (Media Access Control) no coincide con la suya.
34
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Un sniffer, como hemos visto, elimina este filtro de la tarjeta de red y la coloca en
modo promiscuo. De esta forma la tarjeta es capaz de ver todo el tráfico que pasa por la red.
Sólo es cuestión de colocar los filtros adecuados y comenzar a capturar los paquetes que
más nos interesen (usuario y clave de conexiones telnet, POP3, web...)
Todos los ordenadores de una misma red comparten el mismo medio, por lo que
debe de existir un identificador único para cada equipo, o mejor dicho para cada tarjeta de
red. Esto no sucede en una conexión telefónica mediante módem, ya que se supone que
cualquier dato que se envía está destinado al equipo que se encuentra al otro lado de la
línea.
Pero cuando se envían datos en una red local, hay que especificar claramente a
quien van dirigidos. Esto se consigue mediante la dirección MAC, un número compuesto por
12 dígitos hexadecimales que identifica de forma única a cada dispositivo ethernet.
¿Cómo conocer las direcciones MAC de los equipos de nuestra red? La configuración
de la tarjeta de nuestro equipo la obtendremos con el comando ifconfig (Unix/Linux) o
ipconfig (Win32). La salida de este comando se asemejará al siguiente:
collisions:0 txqueuelen:100
http://certyred.usal.es
http://bisite.usal.es/ 35
Este comando nos mostrará la relación IP/MAC de los equipos que la caché tiene
almacenados en ese momento. Por ejemplo, si queremos obtener la dirección ethernet, de
una máquina, primero le haremos un ping. De esta forma almacenaremos la dirección MAC
en nuestra caché y mediante arp -a podremos obtener su dirección MAC.
Cada vez que deseamos comunicarnos con un equipo de la red, debemos de conocer
su dirección MAC. Para ello enviaremos un arp -request a la dirección de broadcast
(FF:FF:FF:FF:FF:FF), solicitando la MAC de la dirección del equipo con el que queremos
contactar.
Esta técnica es quizás la más básica a éste nivel. Consiste simplemente en cambiarse
la dirección MAC asignada al dispositivo de red. Esto puede permitir la suplantación de
personalidad cuando la autentificación se realice por la MAC, como pueda ser asignación de
IP’s.
Teniendo en cuenta que ésta es una técnica muy simple de implementar mediante
ifconfig o edición del registro, no debería de usarse como método de autentificación ni
confiabilidad.
De tener acceso físico, posiblemente resulte más rápido robar el ordenador o copiar
la información que cambiar la MAC.
El método consiste en “envenenar” la caché arp de las dos máquinas que queremos
espiar. Una vez que las cachés estén envenenadas, los dos hosts comenzarán la
comunicación, pero los paquetes serán para nosotros, los esnifaremos y los enrutaremos de
nuevo al host apropiado.
36
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
De esta forma la comunicación es transparente para los dos hosts. La única forma de
descubrir que existe un “man in the middle” (hombre en el medio) en nuestra conexión sería
ver la caché arp de nuestra máquina y comprobar si existen dos maquinas con la misma
dirección MAC.
Desde nuestra máquina enviaremos paquetes de tipo ARP_REPLY falsos a las dos host
que queremos husmear. En estos reply’s debemos de decirle:
Enviamos un flujo constante de ARP_REPLY (para evitar que la caché arp de las
maquinas se refresque con la información verdadera) al host 1 y host 2 con los siguientes
datos:
De esta forma estamos “envenenando” las caché arp. A partir de ahora lo paquetes que se
envíen entre ambas nos llegarán a nosotros, pero para que ambos hosts no noten nada
extraño, deberemos de hacer llegar los paquetes a su destino final. Para ello deberemos de
tratar los paquetes que recibamos en función del host de origen:
http://certyred.usal.es
http://bisite.usal.es/ 37
Existen varios programas que implementan esta técnica: Arptool, Arp_fun, ettercap.
De ellos Ettercap es el más completo, ya que permite varios tipos de sniffeo:
• Por IP
• MAC
• Arp_spoofing.
Además puede ejecutarse en modo comando, o mediante un entorno de ventanas. Si
lo arrancamos en modo con ventanas la forma de usarlo es la siguiente:
38
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
http://certyred.usal.es
http://bisite.usal.es/ 39
Esto busca las máquinas presentes en la red.
40
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Hasta aquí hemos visto la forma en la que se pueden utilizar las vulnerabilidades del
protocolo ARP para poder espiar en nuestra red. Pero también podemos realizar ataques DoS
(Denial of Service o Denegación de servicio). Si “envenenamos” la caché arp de una máquina
haciéndonos pasar por el equipo pasarela de la red, toda comunicación con el exterior pasará
por nosotros. Si desechamos los paquetes procedentes de este host y no los reenviamos a la
pasarela, el host no podrá comunicarse con el exterior.
Algunos switches pueden ser manipulados mediante paquetes ARP para que en vez
de actuar en modo puente (bridging) lo hagan en modo repetición. Es decir, que en vez de
enviar los paquetes por la boca o puerto adecuado del switch, los enviará por todos, a todas
las máquinas les llegarán todos los paquetes de la red.
http://certyred.usal.es
http://bisite.usal.es/ 41
Esto se consigue inundando la tabla de direcciones con gran cantidad de direcciones
MAC falsas. El switch al recibir un paquete cuya dirección MAC de destino no tenga en su
caché, lo enviará a todos los equipos, esperando la respuesta del equipo para poder
almacenar su MAC en la caché. Pero como estamos “bombardeándola” con direcciones MAC
falsas, esto no ocurrirá.
La solución, como antes, pasa por asignar una MAC y una IP a la boca del
conmutador, lo cual impide que se manden paquetes a una MAC o IP falseada por una boca
diferente a la asignada.
5.2.1 IP spoofing
• un atacante
• un atacado
• un sistema suplantado que tiene cierta relación con el atacado
Para que el atacante pueda conseguir su objetivo necesita por un lado establecer una
comunicación falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera
en el ataque.
Probablemente esto último no le sea muy difícil de conseguir: a pesar de que existen
múltiples formas de dejar fuera de juego al sistema suplantado - al menos a los ojos del
atacado - que no son triviales (modificar rutas de red, ubicar un filtrado de paquetes entre
ambos sistemas...), lo más fácil en la mayoría de ocasiones es simplemente lanzar una
negación de servicio contra el sistema en cuestión.
Aunque en el punto siguiente hablaremos con más detalle de estos ataques, no suele
ser difícil tumbar, o al menos bloquear parcialmente, un sistema medio; si a pesar de todo el
atacante no lo consigue, simplemente puede esperar a que desconecten de la red a la
máquina a la que desea suplantar (por ejemplo, por cuestiones de puro mantenimiento).
El otro punto importante del ataque, la comunicación falseada entre dos equipos, no
es tan inmediato como el anterior y es donde reside la principal dificultad del IP spoofing. En
42
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
un escenario típico del ataque, un pirata envía una trama SYN a su objetivo indicando como
dirección origen la de esa tercera máquina que está fuera de servicio y que mantiene algún
tipo de relación de confianza con la atacada. El host objetivo responde con un SYN+ACK a la
tercera máquina, que simplemente lo ignorará por estar fuera de servicio (si no lo hiciera, la
conexión se cortaría y el ataque no sería posible)
El atacante enviará ahora una trama ACK a su objetivo, también con la dirección
origen de la tercera máquina. Para que la conexión llegue a establecerse, esta última trama
deberá enviarse con el número de secuencia adecuado; el pirata ha de predecir
correctamente este número: si no lo hace, la trama será descartada y si lo consigue la
conexión se establecerá y podrá comenzar a enviar datos a su objetivo, generalmente para
tratar de insertar una puerta trasera que permita una conexión normal entre las dos
máquinas.
Si todo va de acuerdo con lo previsto, el SYN/ACK será ignorado por el trusted host.
Después de (1), el atacante puede descansar un poco para darle tiempo al host objetivo para
enviar el SYN/ACK (el atacante no puede ver este segmento).
http://certyred.usal.es
http://bisite.usal.es/ 43
(4) El host objetivo establece la conexión y la transferencia de datos puede
comenzar.
Para evitar ataques de spoofing exitosos contra nuestros sistemas podemos tomar
diferentes medidas preventivas; en primer lugar, parece evidente que una gran ayuda es
reforzar la secuencia de predicción de números de secuencia TCP. Otra medida sencilla es
eliminar las relaciones de confianza basadas en la dirección IP o el nombre de las máquinas,
sustituyéndolas por relaciones basadas en claves criptográficas; el cifrado y el filtrado de las
conexiones que pueden aceptar nuestras máquinas también son unas medidas de seguridad
importantes de cara a evitar el spoofing.
En redes grandes (como Internet) existen muchos dispositivos de red que pueden
realizar filtrados al tráfico que gestionan. Uno de esos filtros es precisamente la
comprobación de la IP de origen.
Evidentemente, el IP spoofing funciona en una LAN (sobre todo en las que sean tipo
bus pasivo). Sin embargo, en Internet no podemos suponer que, a priori, el IP spoofing
puede funcionar. Los ISP aplican (o deberían aplicar) filtros en los servidores de acceso y en
sus routers para 'paliar' este problema. En el peor de los casos, si no lo hace el ISP, lo hará
el carrier1, así que estamos en una situación parecida.
Lo mismo puede hacerse en un router, pero con menos precisión. Un router filtra
necesariamente por grupos de direcciones. El administrador conoce qué rangos direcciones
de origen deberían llegar por cada una de las interfaces del router, y debería aplicar los
filtros correspondientes.
Por tanto, para que un ataque DoS + IP spoofing tenga éxito desde una enlace PPP
dial-up convencional, tanto el carrier como el ISP tendrían que ser muy descuidados.
1
Carrier: empresa que se encarga del mantenimiento de las líneas de datos.
44
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Si tenemos acceso interactivo a un host remoto (una shell Unix por ejemplo),
podríamos hacer spoofing en su segmento de red y atacar los sistemas situados en ese
entorno, pero ese es un escenario distinto: las comunicaciones no se inician desde nuestra
conexión dial-up, sino en el host remoto.
Eso significa que si alguien quiere nukear, normalmente tendrá que hacerlo 'a cara
descubierta' (con el riesgo de ser detectado) o a través de una shell Unix en cualquier punto
de Internet. También implica que el uso de ICMP para forzar desconexiones normalmente
sólo es posible si podemos situarnos en la misma LAN y *no* atravesando Internet.
http://certyred.usal.es
http://bisite.usal.es/ 45
irresoluble. Si el NS no tiene esta función de recursividad, simplemente, si sirve el dominio
de la dirección que le pedimos que resuelva la resolverá, y si no nos dirá que no puede
resolverla.
Dado que el protocolo de transporte no identifica los paquetes por conexión, debe ser
el protocolo DNS el que asigne a los paquetes una "identificación" para poder saber que
paquete responde a, por ejemplo, una pregunta anterior. A esta identificación se le llama
QueryID y la asigna el NS que inicia la comunicación (el que pregunta). A partir de ese
momento todos los paquetes referentes a la resolución de esa pregunta irán identificados
con ese QueryID.
5.2.2.2.2 Inyección de datos falsos en la caché de un NS
Método A: Suplantación de un NS
Si hacemos una consulta a ns.victim.com sobre una dirección que sirva el ns.xs.com
(por ejemplo, consultamos www.xs.com), ns.victim.com se pondrá en contacto con
46
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Pues bien, una vez tenemos el QueryID del NS víctima creamos un datagrama DNS
con la información falsa que queremos transmitir (XXX.dns1.org <-> 1.1.1.1), como si la
enviara el NS de dns1.org, y con destino a ns.victim.com.
Cuando un NS hace una consulta a otro no sabe que número de respuestas puede
obtener a su query, ni le importa, pues todo lo que sea información lo recibirá con mucho
gusto.
Así, aplicado al caso anterior, lo único que debemos hacer es preparar nuestro NS
(ns.xs.com) para que responda con la información falsa (XXX. dns1.org <->1.1.1.1) a las
preguntas de un NS (ns.victim.com) y hacer que el NS víctima pregunte a nuestro NS.
Este método es mucho más sencillo y efectivo que el anterior, aunque requiere más
recursos para que funcione, pues debemos modificar el programa servidor de nombres o
bien hacer un programa que funcione como tal, y que sirva nuestros datos falsos.
http://certyred.usal.es
http://bisite.usal.es/ 47
5.2.2.2.3 Impacto
Aparte del uso que todos podamos estar pensando para este tipo de ataques a DNS
hay multitud de usos mucho más serios, en que la seguridad de muchos sistemas puede
quedar comprometida:
• NFS (Network File Sharing) en sistemas que exporten para nombres de hosts
• Servicios r* (rlogin, rsh, etc.) haciéndonos pasar por máquinas confiables.
• TCP Wrappers que se basen en nombres de hosts para cortar el paso.
5.2.2.3 Conclusión
El primer ataque seria evitable si se usase un protocolo de transporte como TCP, con
números de secuencia "aleatorios" o bien usando QueryIDs también más o menos aleatorios.
Tras algunos problemas de seguridad y a nivel mundial, este tipo de medidas se han
implementado.
Con IPv6, más orientado a la seguridad, este tipo de problemas dejarán de existir,
pero la implantación de esta versión aún va lenta.
Las herramientas basadas en el protocolo ICMP, como puedan ser ping o traceroute,
mandan paquetes de prueba a una máquina y calculan los paquetes perdidos en función de
los paquetes de respuesta recibidos en un periodo de tiempo. Pero esto tiene dos problemas
principalmente:
48
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Por ejemplo TCP tolera mejor la pérdida de paquetes de asentimiento que los de
datos. De igual forma en los protocolos de streaming la perdida de paquetes en la dirección
opuesta a los datos no perjudica en nada al sistema.
Los dos componentes principales del ataque por denegación de servicios smurf
son el
uso de paquetes ICMP de petición de eco falsificados y el direccionamiento de paquetes a
direcciones IP de broadcast.
En las redes IP, un paquete puede dirigirse a una máquina individual o puede
transmitirse a una red entera. Cuando un paquete se envía a la dirección IP de broadcast de
una red local desde una máquina de la propia red el paquete es transmitido a todas las
máquinas de esa red. Cuando un paquete se envía a una dirección IP de broadcast fuera de
la red local, el paquete es transmitido a todas las máquinas de la red objetivo (siempre y
cuando los routers por los que transita el paquete estén configurados para permitir el paso a
este tráfico).
Las direcciones IP de broadcast normalmente son direcciones con la parte del host
con todos sus bits a 1. Por ejemplo, la IP de broadcast de la red 10.0.0.0 es 10.255.255.255.
Si se tiene dividida una red de clase A en 256 subredes, la dirección IP de broadcast para la
subred 10.50.X.X sería 10.50.255.255. Las direcciones de red con todos los bits a cero en la
parte del host, como por ejemplo, 10.50.0.0, también pueden producir una respuesta de
broadcast.
En el ataque smurf, los atacantes utilizan paquetes ICMP de petición de eco dirigidos a
IP de broadcast de máquinas remotas para generar ataques por denegación de servicios.
Hay tres partes en estos ataques: el atacante, el intermediario y la víctima (Nótese que el
intermediario también puede ser una víctima)
http://certyred.usal.es
http://bisite.usal.es/ 49
potencialmente dejarla inutilizable. Aunque no se ha etiquetado al intermediario como una
víctima, podría sufrir estos mismos ataques.
La solución al problema pasa por evitar que paquetes con direcciones IP falsificadas
circulen por la red y evitar también la circulación de paquetes que tienen como dirección
destino una dirección IP de broadcast. Vea la sección Prevención
del
IP
Spoofing.
El Web Spoofing es el hecho de crear una copia de una página web. Su objetivo es la
monitorizar todas las actividades que realiza la víctima, desde los datos que se pueda
escribir en un simple formulario, hasta sus passwords, su número de tarjeta, etc...
El hacer que la víctima visite nuestro falso sitio y crea que está en el sitio verdadero,
además de la apariencia, suele venir dado por:
• Email que aparentan ser de su banco pidiéndole que entre para verificar sus datos
o realizar alguna operación.
• Algún tipo de malware que redirige las peticiones que se hace del sitio real al
falso.
Las personas que usan Internet a menudo toman decisiones relevantes basadas en
las señales del contexto que perciben. Por ejemplo, se podría decidir el teclear los datos
bancarios porque se cree que se está visitando el sitio del banco. Esta creencia se podría
producir porque la página tiene un parecido importante, sale la dirección del banco (o una
parecida) en la barra de navegación, etc.
50
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
El navegador de la victima dice que hay una conexión segura, porque tiene una, pero
desgraciadamente esa conexión es con www.atacante.org, y no con el sitio que piensa la
víctima. El indicador de conexión segura solo le da a la victima una falsa sensación de
seguridad. Si la víctima no comprueba que realmente es la conexión segura de su banco, por
ejemplo, puede no detectar el problema.
5.2.4.1 Remedios
Web Spoofing es un ataque peligroso y difícilmente detectable, que hoy por hoy se
puede llevar a cabo en Internet. Afortunadamente hay algunas medidas preventivas que se
pueden practicar:
Muchos de los últimos virus que circulan por la red llevan incorporado un servidor de
correo que usa las listas de contacto y direcciones de email de los usuarios infectados para
enviarse con una identidad falseada en un intento de aumentar la confiabilidad de las futuras
víctimas, además de ocultar el usuario que realmente está infectado.
También se usa esta técnica como forma de engañar a usuarios para que entren en
sitios web falsificados con la intención de robar datos confidenciales. Banesto, Banco Popular,
BBVA y más son ejemplos de correos engañosos enviados a sus clientes.
http://certyred.usal.es
http://bisite.usal.es/ 51
5.2.5.1 Remedio
Identifica, a través de los registros DNS a los servidores de SMTP autorizados para el
transporte de los mensajes. La forma de hacerlo es a través de una entrada TXT en los DNS,
del tipo
6 Firewalls
Ya hablamos en el tema 2 de los firewall y cortafuegos. A nivel de red podemos
resumir las capacidades de los firewalls en:
Podemos tener firewalls funcionando en modo Proxy, con las siguientes características:
52
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Combinando los firewalls a nivel de red, transporte y aplicación tenemos nuevas funciones
que proporcionan los firewalls:
• NAT
• VPN
• Filtro de contenidos
• Alta disponibilidad y clustering.
• Integración con otros productos de seguridad de terceros: antivirus, filtrado de
URL’S, inspección de contenidos, etc.
Las soluciones hardware nos proporcionan un equipo compacto, todo dentro de una
caja, que enchufaremos a nuestra red. Suelen estar equipados con un sistema operativo
propietario, o bien un sistema adaptado y asegurado por el fabricante del producto.
Las soluciones software requieren de un equipo con al menos dos interfaces de red, y
con sistema operativo de propósito general (que puede ser Windows, Unix, Linux, etc.). Por
lo general el rendimiento de estos firewalls es inferior a las soluciones hardware, aunque se
pueden conseguir muy buenos rendimientos con el uso de Linux e IPTables.
Cuando vayamos a implantar un firewall, hay que tener en cuenta los siguientes factores:
http://certyred.usal.es
http://bisite.usal.es/ 53
El principal objetivo que cumplen los firewalls es escuchar el tráfico que pasa entre
las redes que flanquea, y llevar a cabo acciones con los paquetes de datos.
También permiten el uso de políticas de listas de control de accesos, con las que
crear reglas que automáticamente refuerzan las políticas de seguridad usando direcciones IP,
puertos, protocolos y estado de las conexiones para sobre las que aplicar las acciones.
Dentro de nuestra red, existen varias formas de situar los firewalls, consiguiendo de
esta manera cumplir objetivos diferentes para la seguridad, negación y concesión de acceso.
Esta misma solución puede ser usada con más de una red de área local y la conexión
a internet, disponiendo de diferentes reglas para cada red que se conecte.
54
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Un claro ejemplo de este tipo de arquitecturas son las redes que disponen de
servidores web, de correo, etc. accesibles desde fuera de la organización.
http://www.linuxjournal.com/article/4415
http://certyred.usal.es
http://bisite.usal.es/ 55
6.3 Soluciones software
Como en el capítulo de seguridad de sistemas ya tratamos los firewall personales,
ahora veremos iptables.
IPTables es un sistema de filtrado de paquetes que forma parte del Kernel de Linux
desde las versiones 2.4. También es conocido como NetFilter. Muchas soluciones hardware
usan Iptables a bajo nivel como software de firewall por su potencia.
Las tres reglas básicas de todo Firewall son INPUT (entrada), OUTPUT (salida) y
FORWARD (retransmisión), que identifican lo que puede hacerse con un paquete de datos o
conoexión:
• Dejar entrar
• Dejar salir
• Dejar pasar o atravesar el sistema
Aunque con iptables podremos hacer muchas más cosas como:
Para no dejar mal sabor de boca, haremos una pequeña introducción al uso de
IPTABLES:
56
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Ejemplo: supongamos que queremos denegar todas las conexiones que vengan al
puerto 23 tcp de nuestra máquina. Deberíamos establecer la siguiente regla:
Y si queremos denegar por defecto cualquier tráfico de entrada que no encaje con
nuestras reglas, deberemos poner:
Una sana práctica para este paso es establecer las políticas de entrada a DROP, y a
partir de la denegación absoluta, abrir solamente el tráfico que nos interese, en los puertos
que nos interese, desde las direcciones que nos interese. No permitir todo aquello que no
sea estrictamente necesario disminuye la superficie del posible ataque.
7 Wifi
El nombre de Wifi es la forma “humana” de referirnos a la tecnología especificada en
el estándar IEEE 802.11, y actualmente es una marca comercial registrada por la Wifi
Alliance, que es la encargada de probar qué productos son compatibles con los estándares
Wifi: es decir, qué aparatos funcionarán como deberíamos esperar de ellos.
El Wifi ha tenido una penetración muy rápida en el mercado de usuario, parte por las
ventajas que conlleva, y otra parte por haber sido un arma comercial usada por los
proveedores de acceso a Internet. Las principales ventajas para el usuario han sido poder
conectarse a internet en cualquier parte de su casa sin tirar largos cables por los pasillos, y
la reducción de costes y agujeros en las paredes.
Ha pasado de ser un gadget de lujo a ser un artículo de amplio consumo, que casi
regalan en las cajas de galletas. Y es precisamente esta rapidez de implantación la que ha
conseguido que mucha gente la asimile como algo cotidiano y bueno sin preocuparse por "el
lado oscuro" de la Wifi: su seguridad.
http://www.elpais.com/articulo/tecnologia/Aviones/espia/norteamericanos/pirateados/pr
ograma/cuesta/26/dolares/elpeputec/20091218elpeputec_2/Tes
http://certyred.usal.es
http://bisite.usal.es/ 57
eran interceptadas las imágenes aéreas enviadas por los aviones espías estadounidenses en
Irak y Afganistán, usando el programa Skygrabber, que puede comprarse en su web
(http://www.skygrabber.com/) por poco más de 25 euros.
El hecho de que Wifi opere directamente por el aire, sin cables, y el hecho de que el
aire sea de todos implica que cualquier observador podría ver lo que tú mandas o recibes en
una conexión Wifi.
Veámoslo con un ejemplo menos técnico. Todos hemos tenido un par de vecinas que
se hablan a través del patio de luces del edificio (un Wifi un poco primitivo). Ellas hablan y
su conversación es muchas veces escuchada por otras personas que están cerca de las
ventanas. Si tienes algún interés en la información que transmiten las vecinas puedes
acceder a ella sin problemas.
El sonido que nuestras vecinas producen son ondas sonoras (agitaciones del aire que
nuestros oídos convierten en ondas mecánicas), pero el ejemplo es asimilable a las redes
Wifi que son ondas electromagnéticas: cualquier “vecino” que esté dentro del alcance de la
“voz” podrá “escuchar” nuestras comunicaciones y entenderlas, al igual que ocurrió con los
aviones espía.
3
http://www.mityc.es/telecomunicaciones/Espectro/Paginas/CNAF.aspx
58
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
En términos técnicos una Wifi oculta significa que el punto de acceso Wifi no envía de
forma periódica un paquete de datos llamado “beacon” (testigo) con el nombre de la red
(llamado técnicamente SSID de forma general, y ESSID en redes de tipo infraestructura) y si
está protegida o no para facilitar su descubrimiento.
http://certyred.usal.es
http://bisite.usal.es/ 59
Lo contrario de facilitar el descubrimiento no es evitar su descubrimiento. Si
queremos descubrir una red inalámbrica “oculta” no tenemos más que prestar atención a lo
que pasa por el aire (como cuando escuchábamos a las vecinas) y analizarlo con
detenimiento, pero sin emitir nada para no ser detectados.
Mejorar la seguridad de una instalación Wifi es un proceso que lleva algo de tiempo,
y cuando la destreza del instalador no es adecuada o suficiente, conlleva muchos intentos
fallidos de establecer la seguridad adecuada y tener que volver a empezar de nuevo.
Durante muchos años los aparatos que hemos comprado venían configurados con la
seguridad mínima posible para facilitar que todo funcionase lo antes posible. En cuestión de
las redes Wifi esto implica tres aspectos que trataremos en mayor detalle:
60
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Cuando hablamos de redes Wifi de forma sistemática nos referimos a redes Wifi en
infraestructura. Para quien no lo sepan las redes Wifi se pueden configurar en dos modos:
• infraestructura, por ejemplo con el router de Telefónica para dar acceso a Internet
a todos nuestros ordenadores.
• ad-hoc, que sirve para conectar diferentes equipos directamente sin el uso de
routers para, por ejemplo, para intercambiar archivos).
La mayoría de la gente se conecta a redes de tipo infraestructura, que además de
compartir debilidades con las redes ad-hoc también tiene las suyas propias.
Ya vimos que las direcciones MAC son un numerito muy grande que tiene asignado
cada tarjeta de red y las Wifi no son una excepción. En teoría cada dirección es única y sólo
la tiene una tarjeta de red.
La MAC se transmite en todas las comunicaciones a nivel Wifi. Siendo más precisos,
se envía la dirección MAC del emisor y la del receptor en cada transmisión. ¿Para qué? El aire
es de todos y nuestros ordenadores deben recibir solamente la información que está
destinada a nosotros. Nuestra tarjeta de red escuchará todo el tráfico inalámbrico, pero sólo
se quedará con el que esté destinado a nuestro ordenador, es decir, lleve como destino
nuestra dirección MAC.
Sabiendo lo que es la dirección MAC, alguien pensó que filtrar las direcciones MAC
que pueden conectarse a un router sería una medida de seguridad muy efectiva. Filtrar las
direcciones MAC que pueden conectarse significa hacer una lista de direcciones admitidas y
descartar las demás. Pero ya sabemos que la MAC no es una huella dactilar.
Pongamos un ejemplo de nuestro mundo cotidiano para ver dónde está el fallo: el
sistema de filtrado MAC en redes inalámbricas funciona igual que un vigilante de seguridad
en la puerta de un edificio, que tiene una lista en papel de los nombres de las personas a las
que tiene que permitir pasar. Los visitantes tienen que llevar su nombre en una etiqueta en
http://certyred.usal.es
http://bisite.usal.es/ 61
su chaqueta para que el vigilante pueda leer el nombre. Si el nombre de la etiqueta está en
la lista, puedes pasar. Si el nombre no está en la lista, se te deniega el acceso.
Es evidente que si te haces una etiqueta con el nombre de alguien que esté en la
lista, podrías entrar. En la Wifi, por tanto, es tan sencillo como hacer que la tarjeta de red
envíe en sus transmisiones la MAC de otra tarjeta admitida, suplantando así su
identidad.
¿Cambiar la dirección MAC? ¿Pero no se supone que es única para cada dispositivo?
Hagamos un acto de fe y digamos que las direcciones MAC son únicas para cada dispositivo
cuando salen de fábrica. Sin embargo podemos cambiar la dirección MAC de la mayoría de
los dispositivos de red con muy poquito esfuerzo mediante MAC spoofing.
Así desenmascaramos uno de los mitos más peligrosos de las redes Wifi: el filtrado
de MAC es inseguro. No nos protege del uso no autorizado de la red. Igual que desactivar
la configuración automática, sólo sirve para frustrar a unos cuantos “amigos del Internet
gratuito”, pero no será ninguna traba seria para alguien con unos conocimientos mínimos.
62
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Desde el primer momento hemos dicho que muchos de los problemas a que nos
enfrentamos con las redes inalámbricas son debidas al medio de transmisión: el aire. Y como
en cierto modo se añora el uso de los cables en la tecnología Wifi, se propuso el modelo de
cifrado WEP, que son las siglas de Privacidad Equivalente al Cable en inglés (Wired
Equivalent Privacy). Es decir, es un intento de cablear el cielo.
Para hacer más difícil adivinar la clave de encriptado, usan unos cuantos bits elegidos
al azar para añadirle a la clave secreta. A estos 24 bits al azar se les llama vector de
inicialización, y no son secretos, se transmiten también en texto plano (sin cifrar) para que
pueda usarlos también el destino.
El hecho de que el vector sea de 24 bits implica que habrá 16.777.216 de vectores
diferentes. Como se usa uno nuevo con cada transmisión, cuando hacemos una gran
transferencia (por ejemplo, descargar una peli del emule para tener la copia de seguridad de
la original que hemos comprado), si nuestra red está configurada con un MTU (Maximun
transmission unit o Unidad máxima de transmisión) de 1.500 bytes esto significa que al
menos cada 24 MB de tráfico, habrá una colisión de vectores de inicialización. Este ataque se
conoce como el ataque Korek, y está basado en las investigaciones de Wagner, FMS y
Arbaugh4.
WEP no sirve para nada. Incluso hay discos ya preparados para meter en un
ordenador5 y seguir un menú que nos guiará paso a paso para romper la red, usando
4
Artículo de Arbaug: http://www.cs.umd.edu/~waa/attack/v3dcmnt.htm
Artículo de FMS: http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf
Artículo de Wagner et Al: http://www.isaac.cs.berkeley.edu/isaac/mobicom.pdf
5
http://www.wifiway.org/
http://www.wifislax.com/
http://certyred.usal.es
http://bisite.usal.es/ 63
complejas herramientas como aircrack o weplap, entre otras, sin ningún conocimiento
previo.
Debido a que WEP resultó ser un mal sueño, se desarrolló WPA (Wifi Protected
Access o Acceso protegido a WiFi). Podemos decir que WPA son unas mejoras sobre WEP
para hacerlo más robusto: amplia el tamaño de los vectores de inicialización a 48 bits, es
decir, 16.777.216 veces 16.777.216 o 281.474.976.710.656 vectores diferentes. Ahora la
repetición es más bien poco probable. Necesitamos transmitir 402.653.184.000 MB (402
petabytes, 402 millones de gigas) para obtener con seguridad un vector de inicialización
repetido.
Posteriormente salió WPA2, que también opera tanto en modo personal como en
modo profesional, y sustituye el uso de TKIP por el estándar de cifrado AES.
En este momento, el ataque más efectivo contra WPA consiste en capturar el inicio
de conexión de un cliente legítimo (recuerda que el aire es de todos), y tratar de reproducir
la clave usada probando todas las claves posibles (mediante un diccionario, por ejemplo). Así
que podríamos decir que el WPA y WPA2 personal es seguro en este momento, y que atacar
la clave usada implica adivinar la clave mediante prueba y error. Lo que quiere decir que, si
usamos una clave bastante larga (por ejemplo 25 caracteres, y que no estén sacados de un
diccionario, combinando palabras y números), podemos confiar en el sistema, por el
momento.
Y una cosa muy importante, si tienes un router Wifi que te puso tu operador de
ADSL, con una clave muy larga llena de letras y números que venía en una pegatina, debes
cambiarla inmediatamente porque, aunque te parezca muy difícil de encontrar, esas claves
han sido generadas siguiendo un patrón repetible, por ejemplo, con la excelente aplicación
wlandecrypter, que nos ayudará a romperla en segundos.
64
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
• El cifrado WPA es seguro por el momento, pero debe usarse con claves muy largas
(más de 20 caracteres) y que no sean previsibles.
• Es muy importante cambiar la clave que venía en el router por defecto porque se
basan en algoritmos conocidos para generarlas.
• Quitar la configuración automática de red con DHCP y cambiar los parámetros de red
configurados por defecto suponen una incomodidad que simplemente retardará un
poco el ataque que haya tenido éxito. No confíes en este método: es sólo un
pequeño retraso.
• El aire es de todos. Aunque bajes la potencia del router y lo alejes de las ventanas,
se pueden usar antenas para captar las señales de la red Wifi. No confíes sólo en
este método para mantener privada tu red. Aunque siempre viene bien como
añadido al cifrado WPA.
8 Resumen
Apartado Contenido
http://certyred.usal.es
http://bisite.usal.es/ 65
Apartado Contenido
o Direcciones físicas
o Cuentas de correo
o Teléfonos
o Nombres de clientes
• Buscadores, que pueden haber indexado documentos o
noticias ya eliminadas.
• Consultar información registro de los dominios.
• Consulta de información de la red de la web.
• Consultas DNS:
o Name servers del dominio.
o Subdominios.
o Servidores de correo.
• Bloques de red.
• Nombres de usuarios.
• Grupos de usuarios.
• Tablas de rutas.
• Información SNMP.
Para ello se utilizan los escáneres de puertos que usan diferentes
técnicas para descubrir la mayor cantidad de esta información:
66
CERTIFICACIÓN PROFESIONAL
Seguridad en Internet
Apartado Contenido
• Escaneados SYN
• Escaneados de puerto de origen
• Escaneado FIN
• Escaneado e identificación
• Escaneado XMAS
• Escaneado Nulo
• Escaneado RPC
• Protocolos IP admitidos
http://certyred.usal.es
http://bisite.usal.es/ 67
Apartado Contenido
comúnmente de un banco.
o SMTP spoofing: se hace pasar por un servidor de
correo legítimo.
• NAT.
• VPN.
• Filtrado de contenidos.
Firewall
• Control de entrada por MAC, IP.
Tiene dos arquitecturas básicas:
68