sábado, 18 de abril de 2015

MAC spoofing o falsificación de la dirección MAC de una tarjeta de red.


Ejercicio 8 (unidad 6): MAC spoofing o falsificación de la dirección MAC de una tarjeta de red.

¿Es posible realizar MAC spoofing o falsificación de la dirección MAC de una tarjeta de red? Busca cómo se realiza para sistemas GNU/Linux y Windows y pruébalo.

http://es.wikipedia.org

MAC spoofing es una técnica para cambiar la dirección MAC de un dispositivo de red. La dirección MAC está codificada en una tarjeta de red y no se puede cambiar. Sin embargo, existen herramientas que pueden hacer al sistema operativo creer que el NIC tiene la dirección MAC de la elección de un usuario. El proceso de enmascaramiento de una dirección MAC se conoce como suplantación de dirección MAC (MAC spoofing). En esencia, esta técnica implica el cambio de identidad de una computadora por cualquier razón.

Cómo cambiar la MAC de una tarjeta de red en el Sistema operativo Windows Vista Ultimate 64 bits.

http://www.redeszone.net/seguridad-informatica/cambiar-mac-de-la-tarjeta-de-red-en-windows/

El programa utilizado es el etherchange y es totalmente compatible con este SO. Lo podéis descargar de aquí:


Lo primero que debemos hacer antes de cambiar la MAC es desconectarnos de la red a la que estemos conectados, si no estamos conectados pues perfecto.

Ejecutamos el programa (en Windows Vista, clic derecho “Ejecutar como administrador”).


Nos saldrá una pantalla así:




Pasos:

Primero nos preguntan el adaptador a elegir, elegimos el nuestro.

A continuación nos preguntan qué queremos hacer, para cambiar la MAC seleccionamos la opción número 1.

Y por último ponemos la MAC que queramos, pulsamos intro y se nos cerrará, debemos ponerla sin los dos puntos (Sonrisa ni guiones ni nada, sólo números.

Ahora debemos quitar la tarjeta de red del ordenador (desconectarla) y volverla a conectar.

Si es una tarjeta PCI con reiniciar el ordenador valdría.

Al volver a conectarla, nos vamos a Inicio/ejecutar/cmd y ponemos:

ipconfig/all y aparecerá la nueva MAC Address .


Cómo cambiar la MAC de una tarjeta de red en Linux con ifconfig


http://www.redeszone.net/2014/06/13/como-cambiar-la-mac-de-una-tarjeta-de-red-en-linux-con-ifconfig/

 

Cambiar la MAC de una tarjeta de red nos permite navegar por internet de forma anónima ya que el tráfico quedará asociado únicamente a la MAC nueva en vez de a la original de la misma. Este cambio, aparte de para aumentar nuestra privacidad en la red, también es útil para acceder a determinados servicios que únicamente permiten el tráfico a determinadas direcciones MAC.

Ya que la dirección MAC está en el hardware de la tarjeta de red no puede ser modificada fácilmente de manera permanente, sin embargo, en los sistemas operativos modernos sí que se puede modificar a nivel de software para filtrar todo el tráfico que se genere con ella.

Los usuarios de sistemas operativos basados en Linux, por ejemplo, Ubuntu, podemos cambiar la dirección MAC de nuestra tarjeta de red fácilmente desde un terminal utilizando el comando ifconfig, comando utilizado para realizar todo tipo de acciones relacionadas con la gestión y administración de redes en el sistema operativo.

Lo primero que debemos hacer es consultar la MAC actual de nuestra tarjeta de red. Para ello abriremos un terminal o un TTY en nuestro sistema y teclearemos:

  • ifconfig -a | grep direcciónHW

En caso de tener el sistema operativo en inglés el comando que debemos introducir es:
  • ifconfig -a | grep HWaddr
Si los 2 anteriores fallan siempre podemos recurrir simplemente a ifconfig -a que nos devolverá todos los resultados relacionados con las tarjetas de red (IP, DNS, Máscara de subred, MAC, etc).
Una vez conocemos la dirección MAC actual de nuestra tarjeta debemos realizar las siguientes configuraciones:
Deshabilitar la tarjeta de red a la que vamos a cambiar la dirección MAC:
  • ifconfig eth0 down
Cambiamos la MAC de dicha tarjeta por la que queramos (cambiando 00:00:00:00:00:00 por la MAC en cuestión que queramos establecer).
  • ifconfig eth0 hw ether 00:00:00:00:00:00
Volvemos a arrancar de nuevo la tarjeta de red:
  • ifconfig eth0 up
Si volvemos a utilizar el comando ifconfig -a | grep direcciónHW para consultar la MAC actual veremos que en esta ocasión nos mostrará la nueva MAC que hemos introducido en los pasos anteriores. Todo el tráfico que generemos a partir de ahora con esa tarjeta en Linux se identificará con dicha dirección física, sin embargo, los cambios únicamente afectan temporalmente a nivel de software por lo que si reiniciamos el ordenador, cambiamos de sistema operativo, formateamos o realizamos cualquier otra acción volveremos a utilizar la MAC original del dispositivo.
Antes de cambiar la dirección MAC de una tarjeta de red debemos comprobar que ningún otro dispositivo en la misma red está utilizándola y asegurarnos de que las leyes de nuestro país no prohíben explícitamente este cambio de dirección física de las tarjetas de red.
 

Publicado por en No hay comentarios:

Pintura antiwifi de EM-SEC


Ejercicio 5 (unidad 6): Pintura antiwifi de EM-SEC


https://mastecno.wordpress.com/2007/03/27/pintura-anti-wi-fi/

Pintura anti Wi-Fi-27 03 2007



La empresa EM-SEC Technologies (especializada en proyectos gubernamentales y militares) ha lanzado al mercado una pintura con la que asegura se bloquea la señal Wi-Fi a través de ella. El invento cuenta con el aval de la Agencia de Seguridad Nacional de EEUU (NSA)

La pintura bloquea las señales que entran o salen de una habitación, pero permite que haya comunicación dentro de ella.

Esta pintura permitiría entonces “blindar” oficinas, cines, museos o cualquier sitio en el que no se quiera usar el móvil o que te espíen la red wireless.

El problema radica en que seguramente también bloquee las comunicaciones a través de teléfonos móviles.
Publicado por en No hay comentarios:

Test de velocidad de acceso a internet.


Ejercicio 2 (unidad 6):      test de velocidad de acceso a internet.

A continuación se lista una serie de enlaces que permiten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior al contratado podría ser un síntoma de tener ocupantes no deseados en nuestra máquina. ¿Son las velocidades de subida y bajada las esperadas?.

 

http://www.adsl4ever.com/test/

http://www.testdevelocidad.es/

http://www.internautas.org/testvelocidad

http://wwwadslayuda.com/test-de-velocida/

http://www.testdevelocidad.es/operadores/jazztel/
http://velocimetro.mundo-r.com/velocimetro/es/calculo_velocidad

Publicado por en No hay comentarios:

Puertos de comunicaciones.


Ejercicio 1 (unidad 6): Puertos de comunicaciones.
 

http://www.outpost-es.com/support_faq_kb/1000146.html (Desde el 2005 y la última actualización es del 2007).
 

Desde el punto de vista de la seguridad, los puertos TCP y UDP en su sistema se dividen en diversos grupos de acuerdo con las probabilidades de que un agresor los utilice para acceder al sistema. 

Los intentos para acceder a los puertos que se asignan a servicios vulnerables, como DCOM o RPC, deben considerarse una indicación seria de que los mismos están siendo investigados de manera maliciosa. 

Los puertos vulnerables se dividen en dos grupos:

  • Puertos de sistema

Son vulnerables porque, a menudo, se abren para servicios del sistema con una gran frecuencia.

Puertos TCP

21-23, 79, 80, 110, 113, 119, 143, 443, 1002, 1720, 5000, 8080.

Puertos UDP

1900

Utilizados tanto en TCP como UDP

0, 25, 135, 137, 139, 389, 445, 1024-1050.

  • Puertos troyanos

Como su nombre lo indica, son aquellos especialmente utilizados por troyanos para acceder al ordenador de forma ilegítima. Recomendamos prestar especial atención a los siguientes puertos:

Puertos TCP

21, 23, 25, 80, 113, 137, 139, 555, 666, 1001, 1025, 1026, 1028, 1243, 2000, 5000, 6667, 6670, 6711, 6776, 6969, 7000, 8080, 12345, 12346, 21554, 22222, 27374, 29559

Utilizados tanto en TCP como UDP

31337, 31338

Outpost permite crear una lista de puertos sobre los cuales se prestará especial atención al controlar el tráfico de red.

¿Tienes cerrados los puertos empleados frecuentemente por el malware? Si

 

¿Es tu conexión a Internet directa, o mediante un router?. Es mediante router.

 

¿Para qué sirven los puertos 23, 135 ,443? ¿Son seguros?

Puerto/protocolo

Descripción
23/tcp
Telenet: Prótocolo usado para comunicación manejo remoto de equipo, inseguro.
135/tcp
Emap: Puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes. Poco seguro
443/tcp
Https/Ssl: usado para la transferencia segura de páginas web.
Publicado por en No hay comentarios:

SSH


Práctica 6.4 (unidad 6): SSH

SSH es un protocolo que permite acceder a máquinas remotas y ejecutar comandos a través de una red, mediante una comunicación segura cifrada a través del puerto 22. Permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves mediante certificados para no escribir contraseñas al conectar a los dispositivos y transferencias de datos de aplicaciones por un canal seguro tunelizado de forma sencilla.

En este caso práctico instalaremos un servidor SSH en Gnu/Linux y desde Windows.

1.    Para la instalación del servidor SSH en Gnu/Linux abriremos la consola y escribiremos lo siguiente: sudo apt-get install aptitude





Una vez instalado el servidor, ya podemos acceder desde cualquier máquina de la LAN o de fuera de ella.

1.    Para conectarnos al servidor de ssh que hemos instalado anteriormente, cogemos una máquina cliente GNU/Linux distinta a la máquina en la que está corriendo el servidor de ssh, pero en red con ella.

Realizaremos dicha operación mediante el siguiente comando: ssh dirección _ip (si está dentro de la misma red del servidor) o ssh nombre_de_dominio (si está en una red diferente a la del servidor).

Al iniciar la conexión nos pedirá la contraseña de un usuario válido en el servidor remoto.

Si la autenticación de la contraseña es correcta, ya podemos realizar cualquier acción en la máquina remota a través de la consola. Podemos apreciar que el nombre de la maquina cliente que aparece en el prompt ha cambiado por el nombre de la máquina servidora remota.

Una vez conectado, podremos ejecutar comando como por ejemplo: listar los archivos que hay dentro del directorio “home” de la máquina remota:

Finalizadas las acciones tendremos que desconectarnos del servidor ssh mediante la siguiente orden: Exit. Al ejecutar dicha orden veremos cómo nos da una confirmación en la que nos dice que la conexión con la ip remota ha sido cerrada:

2.    Si queremos realizar la conexión mediante un cliente bajo sistema operativo Windows, emplearemos el software específico Putty. Es un cliente SSH y telnet, de código abierto, podremos interactuar con la consola de Linux sin necesidad de estar en un máquina cliente con Linux.

http://www.putty.org/

Una vez instalado la configuración de la aplicación es sencilla. En la parte superior de la misma tenemos el campo “Host name (or ip address)” en el que tenemos que introducir el nombre de la máquina remota o bien su dirección IP. Tras introducirlo pulsaremos en “Open”.

 
Acto seguido, nos aparecerá una nueva ventana simulando una ventana de una consola de comandos. Introduciremos el usuario de la máquina remota y su contraseña respectiva. Tras introducir los datos de usuario nos aparecerá una confirmación de la conexión al servidor ssh, pudiendo de este modo ejecutar comandos remotamente.
Publicado por en No hay comentarios:

Sniffing-MitM-ARP Spoofing-Pharming


Práctica 6.1 (unidad 6):  Sniffing-MitM-ARP Spoofing-Pharming

Monitorización del tráfico de red: Aspecto fundamental para analizar qué está sucediendo en la misma, y poder tomar precauciones y medidas de seguridad.

        Herramientas como Wireshark, NMAP o Caín &Abel permiten realizar una monitorización de qué equipos se encuentran conectados en una red y qué puertos y aplicaciones utilizan.

Empleamos una herramienta para sistemas Windows denominada Caín & Abel, aunque para GNU/Linux podemos emplear Ettercap que posee similares presentaciones.

http://cain-and-abel.softonic.com/


Caín & Abel: en primer lugar seleccionaremos la pestaña superior Sniffer y la inferior Hosts. Pulsaremos sobre el botón superior de sniffing, escaneará nuestra red local y nos dará información (IP y Mac) de qué equipos se encuentran en red con nuestro equipo.



ARP POISONING: También conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switch y no en hubs), que puede permitir al atacante monitorizar paquetes de datos en la LAN (red de área local), incluso modificar el tráfico.

El principio de ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a los quipos de la LAN. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro equipo, como por ejemplo la puerta de enlace predeterminada (gateway). De esta forma cualquier tráfico dirigido a la dirección IP de ese equipo suplantado (por ejemplo el gateway), será enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico a el equipo real (ataque pasivo  o escucha, empleado en el MITM) o modificar los datos antes de reenviarlos (ataque activo).



Para realizar un ataque ARP Poisoning o de envenenamiento ARP, seleccionamos la pestaña inferior APR, y pulsaremos el botón superior +. Seleccionaremos de  los equipos de nuestra LAN, por qué equipo queremos hacernos pasar (columna izquierda) y en qué equipos queremos infectar su tabla ARP (columna derecha) con una entrada de nuestra MAC asociada a la IP del equipo a suplantar.

Mediante esta técnica es posible monitorizar el trádico que va dirigido al router y rastrear protocolos no seguros como FTP, HTTP, POP, SMTP, Telnet o FTP, y de esta forma obtener credenciales.

PHARMING: Es posible realizar una inserción en las tablas locales de nombre de dominio, posibilitando un redireccionamiento a una IP con un web falsa. Seleccionando la pestaña inferior APR, y la opción ARP-DNS podemos crear entradas de nombres de dominio con IP falsas.



Vemos como después de realizar DNS Spoofing, en uno de los equipos afectados, al hacer ping a google nos envía a una dirección IP falsa.

Las falsificaciones de sitios web donde se hacen uso de credenciales mediante formularios, ponen en peligro nuestras contraseñas y por tanto la privacidad e integridad de nuestro datos.

Recomendaciones:

·       Para evitar este tipo de ataques se recomienda entre otras acciones, el uso de tablas ARP estáticas, o al menos, entradas estáticas como la que da acceso a la puerta de enlace, ya que la mayoría del tráfico pasa a través de esta IP. Se puede realizar mediante el comando: arp-a.



·       Redes grandes con gran cantidad de administración: no es una buena solución, realizar esta configuración a mano. Para esos casos lo mejor es monitorizar los intentos de modificación de tablas ARP, por ejemplo mediante software específico de detección de intrusos (IDS) como SNORT, o específicos de intentos de duplicados ARP: bajo GNU/Linux Arpwatch o en Windows DecaffeinatID o realizar una monitorización específica mediante Wiresshark que es capaz de detectar intendos de duplicadps ARP.

·       DNS Spoofing: debemos tener especial precaución con las falsificaciones de sitios web, comprobando en los sitios web que enviamos credenciales (mail, redes sociales, banca, comercio online, etc) que emplean protocolos seguros, como HTTPS, certificado digital que permita ver su autenticidad, y otros aspecto como la veracidad de su URL, o que nunca nos pedirán por otras vías de comunicación (teléfono o mail) el envió de dichas credenciales.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)