Práctica
6.1 (unidad 6): Sniffing-MitM-ARP
Spoofing-Pharming
Monitorización
del tráfico de red: Aspecto fundamental para analizar qué está sucediendo en la
misma, y poder tomar precauciones y medidas de seguridad.
Herramientas como Wireshark, NMAP o Caín &Abel permiten realizar una
monitorización de qué equipos se encuentran conectados en una red y qué puertos
y aplicaciones utilizan.
Empleamos
una herramienta para sistemas Windows denominada Caín & Abel, aunque para GNU/Linux podemos emplear Ettercap que
posee similares presentaciones.
Caín & Abel: en
primer lugar seleccionaremos la pestaña superior Sniffer y la inferior Hosts.
Pulsaremos sobre el botón superior de sniffing, escaneará nuestra red local y
nos dará información (IP y Mac) de qué equipos se encuentran en red con nuestro
equipo.
ARP
POISONING: También conocido como ARP Poisoning o ARP Poison Routing,
es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en
switch y no en hubs), que puede permitir al atacante monitorizar paquetes de
datos en la LAN (red de área local), incluso modificar el tráfico.
El
principio de ARP Spoofing es enviar mensajes ARP falsos (falsificados, o
spoofed) a los quipos de la LAN. Normalmente la finalidad es asociar la
dirección MAC del atacante con la dirección IP de otro equipo, como por ejemplo
la puerta de enlace predeterminada (gateway). De esta forma cualquier tráfico
dirigido a la dirección IP de ese equipo suplantado (por ejemplo el gateway),
será enviado al atacante, en lugar de a su destino real. El atacante, puede
entonces elegir, entre reenviar el tráfico a el equipo real (ataque pasivo o escucha, empleado en el MITM) o modificar
los datos antes de reenviarlos (ataque activo).
Para realizar un ataque ARP
Poisoning o de envenenamiento ARP, seleccionamos la pestaña inferior APR, y
pulsaremos el botón superior +. Seleccionaremos de los equipos de nuestra LAN, por qué equipo
queremos hacernos pasar (columna izquierda) y en qué equipos queremos infectar
su tabla ARP (columna derecha) con una entrada de nuestra MAC asociada a la IP
del equipo a suplantar.
Mediante esta técnica es posible
monitorizar el trádico que va dirigido al router y rastrear protocolos no
seguros como FTP, HTTP, POP, SMTP, Telnet o FTP, y de esta forma obtener
credenciales.
PHARMING:
Es
posible realizar una inserción en las tablas locales de nombre de dominio,
posibilitando un redireccionamiento a una IP con un web falsa. Seleccionando la
pestaña inferior APR, y la opción ARP-DNS podemos crear entradas de nombres de
dominio con IP falsas.
Vemos como después de realizar
DNS Spoofing, en uno de los equipos afectados, al hacer ping a google nos envía
a una dirección IP falsa.
Las falsificaciones de sitios
web donde se hacen uso de credenciales mediante formularios, ponen en peligro
nuestras contraseñas y por tanto la privacidad e integridad de nuestro datos.
Recomendaciones:
·
Para evitar este tipo de ataques se recomienda
entre otras acciones, el uso de tablas ARP estáticas, o al menos, entradas
estáticas como la que da acceso a la puerta de enlace, ya que la mayoría del
tráfico pasa a través de esta IP. Se puede realizar mediante el comando: arp-a.
·
Redes grandes con gran cantidad de administración:
no es una buena solución, realizar esta configuración a mano. Para esos casos
lo mejor es monitorizar los intentos de modificación de tablas ARP, por ejemplo
mediante software específico de detección de intrusos (IDS) como SNORT, o
específicos de intentos de duplicados ARP: bajo GNU/Linux Arpwatch o en Windows
DecaffeinatID o realizar una monitorización específica mediante Wiresshark que
es capaz de detectar intendos de duplicadps ARP.
·
DNS Spoofing: debemos tener especial precaución
con las falsificaciones de sitios web, comprobando en los sitios web que
enviamos credenciales (mail, redes sociales, banca, comercio online, etc) que
emplean protocolos seguros, como HTTPS, certificado digital que permita ver su
autenticidad, y otros aspecto como la veracidad de su URL, o que nunca nos
pedirán por otras vías de comunicación (teléfono o mail) el envió de dichas
credenciales.
No hay comentarios:
Publicar un comentario