Capitulo 4. Analista de Redes

Analista de Seguridad Informática
Capítulo 4. Analista de redes
Organiza
Enseñanzas Propias Dpto. Lenguajes y Computación
© Julio Gómez López jgomez@ual.es

www.administraciondesistemasoperativos.com
Universidad de Almería 1
Modelo TCP/IP

Man in the middle Sniffers

DNS spoofing
Phising
1.1 :88:7
99
4
.1. 7:6
4
6: n
:4
:6 e
1 e 6:
55
77 ta
8: es
sta 55:
:8 .2
en 4
99 1.1
1.
.2?
1.1.1.1
e 1 .1.1
tien
¿Q uien
1.1.1.2 esta en 00:11:22:33:44:55:66

1.1.1.2
El ataque man in the middle consiste en envenenar las tablas

ARP del cliente para decirle que la dirección IP 172.16.0.1
corresponde a la dirección MAC del atacante, la
HH:HH:HH:HH:HH. De esta forma, el equipo atacante se pone
en medio de la comunicación y todo el tráfico del cliente pasar
por él. Al pasar el tráfico del cliente por el atacante éste puede
monitorizar el tráfico (snnifing), modificarlo o eliminarlo.
arp -a

¿Cómo funciona ARP?

El protocolo ARP se publicó en 1982 como RFC 826. Como la
seguridad en las tecnologías de la información no era un factor
importante en aquella época, el objetivo era simplemente
proporcionar funcionalidad. ARP transforma las direcciones IP
a direcciones MAC.
Para averiguar la dirección

MAC, el cliente retransmite una
solicitud ARP a todas las
máquinas de la red local,
preguntando ¿Quién tiene la
dirección IP 172.16.0.1? La
máquina que tiene dicha IP
responde indicándole al cliente
su dirección MAC.

Como sería muy costoso el tener que retransmitir
solicitudes ARP y esperar las respuestas antes de enviar
datos, cada pila IP contiene una tabla ARP también
conocido como caché ARP.
La caché ARP contiene una tabla con todas las direcciones
IP y las direcciones MAC correspondientes. La tabla puede
albergar entradas estáticas (por ejemplo, aquellas generadas
por el usuario) y entradas dinámicas (por ejemplo, aquellas
que ha ido aprendiendo a través de las solicitudes de otros
clientes).


Al hacer el ataque podemos conseguir:
•Monitorizar. Para poder monitorizar el tráfico tan sólo
tenemos que ejecutar un snnifer en el equipo del
atacante y visualizar el tráfico de la red y capturar sus
contraseñas.
•Modificar. Podemos modificar cualquier servicio (web,
dns, ftp…) . Por ejemplo, si modificados el DNS cuando
un cliente le pregunte a un servidor DNS externo ¿Qué
dirección IP tiene el dominio www.dominio.es? podemos
hacer que no se realice la petición y le respondemos
que va al dirección IP que nosotros queramos
(envenenamiento DNS).
•Bloquear. Como nuestro equipo esta en el medio de la
comunicación podemos filtrar el tráfico de la red.
ARP Spoofing – Cain & Abel

Quizás, la forma más fácil de realizar envenenamiento ARP es utilizar el
programa Cain y Abel (http://www.oxid.it/cain.html). Para realizar
envenenamiento ARP tenemos que realizar los siguientes pasos:
•Abrimos el programa
•Nos vamos a la pestaña Network
•Habilitamos el snnifer (segundo icono de la barra de herramientas) y
seleccionamos la tarjeta de red que queremos utilizar.


•Nos vamos a la pestaña Sniffer y pulsamos el botón + para escanear los
equipos que hay en nuestra red.

•Ahora, para hacer envenenamiento ARP y el ataque man in the middle
pulsamos en la pestaña inferior APR


•Y por último, activamos en el envenenamiento ARP pulsando el tercer
icono de la barra de herramientas (icono amarillo).
Ahora mismo ya hemos hecho envenenamiento ARP para

que todo el tráfico de la red pase por nuestro equipo (ataque
man in the middle). Y ahora, por ejemplo, podríamos:
•Instalar en nuestro equipo un snnifer (p.e. ethereal) y
registrar todo el tráfico de la red.
•Añadir una entrada APR-DNS y hacer que cuando un
cliente se conecte a un dominio (p.e. www.google.es) se
vaya a la IP que nosotros queramos.


DNS Spoofing

Registro de contraseñ
contraseñas

RETO
Realiza el ataque “man in the middle” contra un equipo para hacer:

•dns spoofing para que las entradas www.ual.es y www.terra.es
apunten a www.google.es
•Snifers. Realiza una prueba de conexión e intenta capturar las
contraseñas que viajan por la red.
•Phising. Haz un ataque de phising a hotmail para que apunte al
servidor w2k3.
CONTRAMEDIDAS
Los ataques descritos anteriormente se basan en realizar el envenamiento
de ARP para hacer pasar el tráfico de la víctima por nuestro equipo. Para
evitar el envenamiento ARP es necesario utilizar un switch que permita
asociar en cada puerto una determinada dirección MAC. De esta forma si
un cliente intenta cambiar o envenar una dirección MAC el switch filtrará la
comunicación. Existen muchos switchs que permiten ésta funcionalidad
así como la creación de VLANs. Un ejemplo de este tipo de switchs lo
puede encontrar en la familia de switchs de Cisco System Catalyst.

Sniffing

Sniffing (HUB)
Sniffing (Redes conmutadas Switch)

Sniffers - VoIP
La telefonía sobre IP es toda una revolución que esta cambiando la forma

en que nos comunicamos y que esta teniendo un gran calado en la
sociedad ya que son muchos los usuarios que se comunican a través de
un programa de voz sobre el protocolo IP (VoIP / Voice over IP).
Las llamadas de voz sobre IP a través de Internet se han convertido en
una manera muy popular de ahorro en las comunicaciones ya que resultan
muy baratas y, en muchas ocasiones, incluso gratis al hacer uso de las
redes de transporte de datos para la transmisión de voz.
Sniffers - VoIP

Sniffers - VoIP
Para poder establecer una llamada telefónica se utiliza el protocolo H.323
o SIP. Y una vez establecida la llamada se utiliza el protocolo RTP (Real
Time Protocol) para transmitir el audio de la forma más rápida posible. De
ésta forma si quiere grabar una conversación VoIP entonces hay que
capturar el tráfico RTP y guardarlo en un fichero de audio.
Sniffers - VoIP
Usuarios
172.16.13.250:5060
Login=pass
(100 al 130)

Sniffers - VoIP
Cain & Abel
Sniffers - VoIP
Wireshark

Sniffers - VoIP
Wireshark
RETO
Utiliza Cain o Wireshark para monitorizar una conversación VoIP. Si no

dispones de material para realizar una llamada entonces abre el fichero
“ejemplo de captura de datos.pcap”, reproduce la conversación grabada y
localiza el número de teléfono de destino.

Sniffers – Otros sniffers

@stack LC5
Sniffers – Detectar sniffers

Virus
VIRUS
Atacante
Victima
Falso atacante Falso atacante Falso atacante

Spoofing
Origen: Objetivo atacado

Destino: Mensaje BroadCast
Atacante
Victima
Falso atacante Falso atacante Falso atacante

Se registra la IP válida
Atacante Victima
NO Se registra la IP
Atacante Proxy Victima
El servidor registra las peticiones de los clientes y

pueden obtener nuestra IP

NO Se registra la IP
Atacante Victima
Ahora el problema es la velocidad y la latencia
Torpark

Existen muchas herramientas que nos permiten cambiar de

forma automática el servidor proxy. Una de las herramientas
más utilizadas es Torpark (http://tor.eff.org/).
Paso 1. Instalar torpark

Paso 2. Iniciar el servicio2

Paso 3. Configurar la
conexión para utilizar el
proxy
127.0.0.1 puerto 8118
ww.adsl4ever.com/ip
http://cqcounter.com/whois/

Existen distribuciones live-cd que ya tienen incorporado

en el navegador torpark
RETO
Utiliza torpark para conectarte de forma anónima a Internet. Utiliza alguna

página web que te muestre tu dirección IP y determina su ubicación


Capitulo 4. Analista de Redes

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capitulo 4. Analista de Redes

Cargado por

Copyright:

Formatos disponibles

Analista de Seguridad Informática

Capítulo 4. Analista de redes

Analista de Seguridad Informática

Enseñanzas Propias Dpto. Lenguajes y Computación

© Julio Gómez López jgomez@ual.es

© Julio Gómez López jgomez@ual.es

Man in the middle Sniffers

1.1.1.2 esta en 00:11:22:33:44:55:66

El ataque man in the middle consiste en envenenar las tablas

© Julio Gómez López jgomez@ual.es

¿Cómo funciona ARP?

Para averiguar la dirección

¿Cómo funciona ARP?

© Julio Gómez López jgomez@ual.es

¿Cómo funciona ARP?

ARP Spoofing – Cain & Abel

© Julio Gómez López jgomez@ual.es

ARP Spoofing – Cain & Abel

ARP Spoofing – Cain & Abel

© Julio Gómez López jgomez@ual.es

ARP Spoofing – Cain & Abel

ARP Spoofing – Cain & Abel

Ahora mismo ya hemos hecho envenenamiento ARP para

© Julio Gómez López jgomez@ual.es

ARP Spoofing – Cain & Abel

ARP Spoofing – Cain & Abel

© Julio Gómez López jgomez@ual.es

Realiza el ataque “man in the middle” contra un equipo para hacer:

© Julio Gómez López jgomez@ual.es

© Julio Gómez López jgomez@ual.es

Sniffing (Redes conmutadas Switch)

© Julio Gómez López jgomez@ual.es

La telefonía sobre IP es toda una revolución que esta cambiando la forma

© Julio Gómez López jgomez@ual.es

© Julio Gómez López jgomez@ual.es

© Julio Gómez López jgomez@ual.es

Utiliza Cain o Wireshark para monitorizar una conversación VoIP. Si no

© Julio Gómez López jgomez@ual.es

Sniffers – Otros sniffers

Sniffers – Detectar sniffers

© Julio Gómez López jgomez@ual.es

Falso atacante Falso atacante Falso atacante

© Julio Gómez López jgomez@ual.es

Origen: Objetivo atacado

Falso atacante Falso atacante Falso atacante

© Julio Gómez López jgomez@ual.es

Atacante Proxy Victima

El servidor registra las peticiones de los clientes y

© Julio Gómez López jgomez@ual.es

Ahora el problema es la velocidad y la latencia

© Julio Gómez López jgomez@ual.es

Existen muchas herramientas que nos permiten cambiar de

Paso 1. Instalar torpark

© Julio Gómez López jgomez@ual.es

© Julio Gómez López jgomez@ual.es

Existen distribuciones live-cd que ya tienen incorporado

Utiliza torpark para conectarte de forma anónima a Internet. Utiliza alguna

© Julio Gómez López jgomez@ual.es

También podría gustarte