Category: Seguridad en Redes


Sanduchito

ACLARACIÓN:

El siguiente ataque tiene únicamente fines académicos, no nos hacemos responsables por la visualización, gestión o manipulación del material presentado en esta web o de su uso.

INTRODUCCIÓN:

Man in the middle (MitM) básicamente es un ataque en el protocolo ARP. Normalmente cuando las computadoras se comunican a través de una red de trabajo un solicitante envía una solicitud ARP para preguntar cuál de los equipos posee una dirección IP en particular. Este requerimiento es enviado a todos en la red y solo uno de los equipos envía una respuesta diciendo ser el dueño de esa IP. En resumidas cuentas el atacante dice ser el dueño. El problema se da porque el protocolo ARP no incorpora una funcionabilidad que le permita saber si el equipo que respondió realmente sea el dueño de esa dirección IP, adicionalmente no hay una regla en el protocolo ARP que diga que los equipos tengan que esperar una solicitud para enviar una respuesta.

OBJETIVO:

El objetivo de este tipo de ataque es obtener la capacidad de observar e interceptar mensajes entre dos víctimas, algo muy fácil de realizar si no se poseen sistemas criptográficos seguros en la red.

Este tipo de ataques puede afectar a todos las máquinas (incluyendo a los servidores) de nuestra red sea LAN o WAN ya sea en una casa o una empresa.

En el artículo vamos a traerles paso a paso y con imágenes cómo funciona este ataque, además al final se presenta un pequeño video para que les quede completamente claro, empecemos.

GLOSARIO:

De los términos que les mostramos a continuación pueden tener más información si hacen clic en el nombre de cada uno.

  • ArpSpoof: Herramienta que nos permite hacer un “envenenamieto del caché” de las tablas ARP, esto permite redireccionar paquetes hacia otro equipo
  • Cliente FTP: Programa que nos permite conectarnos a un servidor FTP a través del protocolo FTP para realizar transferencias de archivos.
  • DHCP: es un protocolo de red que les permite a los clientes de una red obtener parámetros de configuración de forma automática
  • DSniff: Son un conjunto de herramientas para el rastreo de claves y para el análisis de tráfico
  • IP Forwarding: Este mecanismo se encarga de la retransmisión de paquetes que se reciben en una interfaz física hacia otro nodo en la red.
  • Consola de Windows: es un intérprete de comandos, podemos acceder a ella a través del botón INICIO -> ejecutar -> escribimos “cmd” sin las comillas y luego presionamos el botón aceptar.
  • Consola de Linux: es una forma de acceder al sistema sin interfaz gráfica, en Linux la ubicación de su acceso directo es variada, pero la podemos encontrar directamente en el escritorio o el menú de herramientas del sistema como “Terminal”.
  • Servidor FTP: un programa que nos permite el intercambio de datos entre el servidor y un ordenador.
  • Tablas ARP: es una tabla que contiene la vinculación entre una dirección física (MAC) de la tarjeta de red y una IP de la red.
  • Prompt: cuando tenemos el prompt visible es porque tenemos la oportunidad de ingresar comandos en la consola o terminal.

COMO FUNCIONA EL ATAQUE:

En este ataque didáctico vamos a obtener el usuario y clave de autentificación en un servidor FTP para lo cual necesitaremos:

  1. Un servidor FTP
  2. Un cliente FTP
  3. Un equipo que sea el atacante

La pequeña red de ejemplo normalmente funciona de la siguiente manera (antes del ataque):

antes del ataque

Como atacantes vamos a entrar de la siguiente manera desviando el tráfico de la red:

durante el ataque

Como funcionará:

  1. El cliente FTP (usaremos el cliente de FileZilla) se autentifica en un servidor vía FTP (usaremos el servidor de Filezilla).
  2. Con Arpspoof haremos que el cliente crea que el atacante es el servidor y viceversa.
  3. En el atacante activamos el reenvío de IP (IP forwarding) para poder retransmitir los paquetes entre las víctimas.
  4. Con DSniff obtenemos las credenciales que están en los paquetes.

EL ATAQUE:

Nosotros vamos a usar una distribución de Linux, Backtrack 5 para el ataque, la cual debemos configurar correctamente:

  1. Confirmamos que la interfaz de red que vamos a usar se encuentra activa.
    verifica interfaces
  2. En este caso no se encuentra activa, por lo cual debemos activarla (levantarla).
    levantar interfazlisto interfaces
  3. Reiniciamos el servicio de red (en caso de querer dirección IP por DHCP).
    reinicio interfaces
  4. Si en la red hay un servidor DHCP, nos proporcionará una dirección IP, caso contrario le asignamos una IP.
    asigno IP

Para la siguiente parte del ataque necesitamos saber las direcciones IP, si tenemos a las máquinas cerca podemos hacer lo siguiente.

  1. Como las máquinas víctimas son Windows ejecutamos “ipconfig /all” en la consola para verificar sus IP.
    ip servidor
    ip cliente
  2. Confirmamos que las víctimas se puedan comunicar entre ellas antes del ataque usando el comando ping de la siguiente manera “ping –t <dirección IP>” desde cliente hacia el servidor y viceversa.
    pines entre servidor y cliente

Regresamos al Backtrack para comenzar con el ataque. Abrimos 3 terminales para realizar desde la primera arpspoof del cliente hacia el servidor, en la segunda arpspoof del servidor al cliente y la tercera para activar el reenvio de paquete en Linux.

  1. Ejecutamos arpspoof del servidor al cliente, no hay que cerrar este terminal.
    arpspoof servidor cliente
  2. Ejecutamos arpspoof del cliente al servidor, tampoco debemos cerrar este terminal.
    arpspoof cliente servidor
  3. Activamos el reenvio de paquete en Linux, si no se dan problemas solo nos mostrará el prompt.
    reenvio paquetes
  4. En la tercera terminal ejecutamos el comando dsniff para escuchar los paquetes que pasen por el atacante.
    dsniff

Ahora lo falta es que el cliente realice una autentificación en el servidor.

  1. Accedemos desde el cliente FTP al servidor
  2. En este caso el servidor nos muestra que se realizo la conexión.
    acceso al servidor
  3. Nos desconectamos del servidor.
    me desconecto del servidor

Ahora “mágicamente” aparece el usuario y clave en nuestro termina

usuario y clave

VIDEO EXPLICATIVO:

A veces un video (en HD y pantalla completa) vale más que mil palabras asi que…

RECOMENDACIONES Y CONCLUSIÓN:

Este es uno de los ataque más peligrosos que podemos tener en nuestra red ya que se puede capturar información confidencial que obviamente es muy importante.

Es un error por parte de los administradores la seguridad en la empresas pensar que poner un password fuerte es la solución. En casos como el que acabamos de mostrar se puede obtener una clave compleja de 20 caracteres que pueden incluir letras, números y caracteres especiales. La verdadera seguridad está en la implementación de protocolos de seguridad como SSL y un monitoreo constante del tráfico en la red.

Como medidas de defensa adicionales contra este tipo de ataques tenemos:

  • Infraestructura de claves públicas.
  • Descargar la última versión de los navegadores web.
  • Un segundo canal de verificación (seguro).

INTEGRANTES:

Ángel González Vera                        twitter: @angelgonzalezv6
Kevin Baque Carrasco                     twitter: @kevinbaque_c
Edison Navarro Briones                 twitter: @johed_nb
Carlos Medina Bravo                       twitter: @camb125
Diego Rodríguez Camacho            twitter: @dierocam

DNS SPOOFING

DNS SPOOFING es un tipo de ataque por el cual un cracker podría llevarnos  a un sitio web totalmente falso y con malas intenciones.

Por ejemplo:

Imaginemos que escribimos google.com en la barra de direcciones, el navegador invocara al lado del cliente DNS, y esta pasa la petición a la red. En la red existe un atacante que va a detectar la solicitud DNS y le va a devolver al cliente DNS una IP que no se corresponde  con la del host solicitado, pero permite dar una impresión de que si es la pagina solicitada.

GUÍA PARA REALIZAR UN ATAQUE DNS SPOOFING UTILIZANDO BACK TRACK

  • Configuramos la IP de la tarjeta de red de nuestra maquina con BackTrack, con el siguiente comando:

             ifconfig NIC dirección_IP/Mascara 

En nuestro caso la tarjeta de red se llama eth1

  • Configuramos el Gateway  o puerta de enlace a nuestra maquina con el comando

              route add default  gw IP_del_Gateway 

  • Configurar el servidor DNS en el archivo /etc/resolv.conf, mediante el comando:

echo nameserver IP_Servidor_DNS >/etc/resolv.conf

  • Verificamos las configuraciones realizadas a nuestra tarjeta de red, haciendo ping a nuestra víctima, al Gateway y al servidor DNS.

Para nuestro ejemplo, levantaremos un sitio web en el servidor apache de nuestra propia maquina. Un ataque real levantaría un sitio falso para poder robar información del usuario víctima.

  • Desde el back Track Levantamos el servicio apache ya que en este vamos a tener la pagina levantada para realizar el ataque

             Applications ->Services->HTTPD -> apache start

  • Localizamos el archivo de configuración etter.dns mediante el comando

             locate etter.dns

  • Modificamos este archivo con la información del sitio web que vamos a suplantar y la IP de nuestro sitio web falso.

La estructura de este archivo es la siguiente:

Sitio_Web A IP_Sitio_Web_Falso

 

En nuestro caso tenemos vamos a re direccionar  las peticiones hacia facebook de nuestra víctima, a nuestro sitio web falso montado en nuestra maquina atacante 192.168.179.127

  • Se ejecuta el comando ettercap para realizar el ataque  con los siguientes parámetros:

Donde:

-T  nos indica que iniciaremos la aplicación en modo texto (-G para iniciar la interfaz grafica).

-q   Modo silencioso

-i    Para indicar el nombre de nuestra tarjeta de red en este caso es eth1

-P  Especificamos el Plugin a utilizar, para este ataque utilizamos el plugin dns_spoof. Este es el que realiza la

suplantación.

-M  Para especificar que el tipo ataque MID (Man In the Middle), en este caso será un envenenamiento arp.

//    (TARGET 1) Con las dobles barras indicamos que vamos a dirigir nuestro ataque a cualquier puerta Gateway, esto  es correcto para nuestra demostración; pero lo indicado es especificar la IP del Gateway.

//    (TARGET 2) Este ultimo parámetro es el que indica la Ip de nuestra víctima, con las dobles barras vamos a realizar un ataque a todas las maquinas e la red, se debe de tener cuidado al usar // ya que en una red grande esto podría ocasionar una denegación de servicio.

En la siguiente imagen vemos como escanea la red en busca de las víctimas para realizarles un envenenamiento arp y se activa el modo sniffing para poder revisar las peticiones de las víctimas.

Mientras nuestra victima realiza una petición en el explorador…

Esta petición es redirigida por ettercap a la IP 192.168.179.127

El cliente al final accede a nuestro sitio falso que en nuestro caso es la página Offensive Security. Un atacante montaría una página idéntica a la verdadera, para así robar información.

A continuación el video del ataque.

Integrantes

Karen Arellano Infante

Kerly Burgos Garcés

Erick Lindao Rodriguez

Mauricio Torres Masache

Integrantes:

  • Evelyn Márquez

  • Oswaldo Giler

  • Walter Verdesoto

  • Gianella Tamayo

1. INTRODUCCIÓN

La irrupción de las nuevas tecnologías de comunicación basada en redes inalámbricas ha proporcionado nuevas expectativas a futuro para el desarrollo de sistemas de comunicación, así como nuevos riesgos.

La flexibilidad y movilidad que nos proporcionan las nuevas redes inalámbricas han hecho que su utilización se hayan disparado con el pasar de los años, siendo esta la mejor manera de realizar conectividad de datos en edificios sin necesidad de cablearlos.

Pero como todas las nuevas tecnologías en evolución, presenta unos riesgos debidos al optimismo inicial y en la adopción de la nueva tecnología sin observar los riesgos inherentes a la utilización de un medio tan “observable” como son las ondas de radio.

El presente trabajo pretende dar una visión global del estado actual de la seguridad en las redes inalámbricas, desde los riesgos existentes en las implementaciones de los estándares actuales, hasta las mejoras propuestas para subsanar dichos riesgos pasando por consideraciones recomendadas en cuanto al diseño de redes inalámbricas.

2. METODOS DE DETECCIÓN DE REDES INALÁMBRICAS

Existen algunos métodos de detección, uno de ellos se denomina “wardriving” y se encarga de la búsqueda de redes inalámbricas desde un vehículo en movimiento. Esta actividad es parecida al uso de un escáner para radio. Es muy utilizado en los E.E.U.U. y este método es bastante sencillo.

Su utilización es muy simple necesitamos una tarjeta de red inalámbrica WNIC (Wireless Network Interface Card), un ordenador portátil (Laptop), un software para detección de señales(Xirrus), y debemos tener pistas de puntos de acceso o simplemente pasearse por un centro de comercial o algún sitio donde nos conste la utilización de redes inalámbricas.

Adicionalmente el ordenador portátil puede estar equipado con un sistema GPS para marca la posición exacta donde la señal es más fuerte, o incluso una antena direccional para recibir el tráfico de red desde una distancia considerable.

Una vez detectada la existencia de una red abierta, se suele presentar todas las características de dicha red esto esencialmente depende mucho del software que utilicemos.

3. RIESGO DE LAS REDES INALÁMBRICAS

No podemos pasar por alto los elementos que componen la red inalámbrica:

Existen 4 tipos de redes inalámbricas, la basada en tecnología Bluetooh, la IrDa (Infrared Data Association), la HomeRF y la WECA (Wi-Fi). La primera de ellas no permite la transmisión de grandes cantidades de datos entre ordenadores de forma continua y la segunda tecnología, estándar utilizado por los dispositivos de ondas infrarrojas, debe permitir la visión directa entre los elementos comunicantes. Las tecnologías HomeRF y Wi-Fi están basados en especificaciones 802.11 (Ethenert Inalámbrica) y son las que utilizan actualmente las tarjetas de red inalámbricas.

La topología de estas redes consta de dos elementos claves, las estaciones cliente (STA) y los puntos de acceso (AP). La comunicación puede realizarse directamente entre estaciones cliente o a través del AP. El intercambio de datos sol es posible cuando existe una autentificación entre ellos (un STA pertenece a un AP). Por defecto, el AP transmite señales de gestión periódicas, el STA las recibe e inicia la autentificación mediante el envió de una trama de autentificación. Una vez realizada esta, la estación cliente envía una trama asociada y el AP responde con otra.

La utilización del aire como medio de transmisión de datos mediante la propagación de ondas de radio ha proporcionado nuevos riesgos de seguridad. La salida de estas ondas de radio fuera del edificio donde está ubicada la red permite la exposición de los datos a posibles intrusos que podrían obtener la información sensible a la empresa y a la seguridad informática de la misma.

Varios son los riesgos derivables de este factor. Por ejemplo se podría realizar ataques por inserción, de denegación de servicios, de fuerza bruta entre otros, pero a pesar de esto existen soluciones y mecanismos de seguridad para impedir que puedan introducirse en la red. Cabe recalcar que unos mecanismos son seguros y otros “rompibles”.

4. POLÍTICAS DE SEGURIDAD

Aparte de las medidas que se hayan tomado en el diseño de la red inalámbrica, debemos aplicar ciertas normas y políticas de seguridad que nos ayudarían a mantener una red más segura:

  • Utilizar WEP, aunque sea romplible como un mínimo de seguridad
  • Utilizar mecanismos de intercambio de clave dinámica aportado por los diferentes productos comerciales hasta que el comité 802.11i, encargado de mejorar la seguridad en las redes inalámbricas, publique una revisión el estándar 802.11 con características avanzadas de seguridad, incluyendo AES (Advanced Encryption Standar) e intercambio dinámico de claves.
  • Inhabilitar DHCP para la red inalámbrica. La IPs deben ser fijas.
  • Actualizar el firmware de los puntos de accesos para cubrir los posibles agujeros en las diferentes soluciones wireless.
  • Proporcionar un entorno físicamente seguro a los puntos de acceso y desactivarlos cuando se pretenda un periodo de inactividad largo.
  • Cambiar el SSID (Server Set ID) por defecto de los puntos de acceso, conocidos por todos. El SSID es una identificación configurable que permite la comunicación de los clientes con un determinado punto de acceso. Actúa como un password compartido entre la estación cliente y el punto de acceso.
  • Inhabilitar la emisión broadcast del SSID.
  • Reducir la propagación de las ondas de radio fuera del edificio.
  • Utilizar IPSec, VPN, firewalls y monitorizar los accesos a los puntos de acceso.

5. CONCLUSIÓN

Con la tecnología inalámbrica se nos abre todo un mundo de posibilidades de conexión sin la utilización de cableado clásico, proporcionando una flexibilidad y comodidad sin precedentes en la conectividad entre ordenadores.

Esta tecnología tiene como mayor inconveniente la principal de sus ventajas, el acceso al medio compartido de cualquiera con el material y los métodos adecuados, proporcionando un elevado riesgo de seguridad que tendremos que tener presentes a la hora de decantamos por esta opción y que crecerá en igual medida (o mas rápido) que las soluciones aportadas para subsanar estos riesgos.

Por la tanto se recomienda la utilización de una política de seguridad homogénea y sin fisuras, que trate todos los aspectos que comporten riesgo, sin mermar la rapidez y que sepa aprovechar las ventajas de las redes inalámbricas.

6. ¿QUÉ ES XIRRUS WI-FI INSPECTOR?

  • Es de gran utilidad para monitorear redes Wi-Fi y la gestión de la Wi-Fi en funcionamiento de un ordenador portátil.
  • Funciona en Windows 7, Vista o XP, el Inspector Wi-Fi ofrece y dispone de información detallada sobre redes Wi-Fi, el manejo de una computadora portátil con conexión Wi-Fi, y las herramientas para solucionar problemas Wi-Fi o problemas de conectividad.
  • Es una herramienta útil para cualquier despliegue y funcionamiento de Wi-Fi.

6.1 APLICACIONES DE XIRRUS WI-FI INSPECTOR:

El Inspector Wi-Fi se puede utilizar para una serie de aplicaciones prácticas, entre ellas:

  • La búsqueda de redes Wi-Fi
  • Solución de problemas de conectividad Wi-Fi temas
  • Verificación de la cobertura Wi-Fi (Site Survey)
  • Gestión de un ordenador portátil con Wi-Fi
  • Acceso a dispositivos Wi-Fi
  • Detección de AP no autorizados
  • Verificación de la configuración de AP
  • Con el objetivo antenas Wi-Fi
  • Wi-Fi de Educación

7. ¿QUÉ ES XIRRUS WI-FI MONITOR GADGET FOR WINDOWS 7 / VISTA?

  •  El Xirrus Wi-Fi Monitor es una utilidad gratuita para gadget de Windows 7 y Vista.
  • Gadgets son simples, mini-aplicaciones que se ejecutan en el escritorio de Windows y facilitar el acceso a de uso común de información y herramientas.
  • El Xirrus Wi-Fi Monitor es un dispositivo que proporciona un acceso inmediato a información sobre su entorno Wi-Fi y su computadora portátil con Wi-Fi conexión.
  • Es una herramienta útil para cualquiera despliegue y funcionamiento de Wi-Fi.

8. PASOS A SEGUIR:

8.1. Debemos descargar Xirrus Wi-Fi Inspector,  del siguiente enlace:

http://www.xirrus.com/Products/Wi-Fi-Inspector

Es totalmente gratuito!!!

8.2. Aqui tambien nos podemos descargar el Gadget que es de mucha ayuda

8.3. Una vez descargados y descomprimidos, procedemos a instalarlos y nos aparecera en el Desktop los respectivos iconos y gadget correspondientes como mostramos en las imagenes:

Listos para usarse!!!

8.4. Al utilizar Xirrus Wi-Fi Inspector nos aparecerá la siguiente interface:

Y aquí se muestran las siguientes divisiones:

Radar -> Simula un radar donde se revela la existencia de redes inalámbricas próximas en función de la potencia con la que llega la señal.

Connection -> 
Muestra información detallada sobre la actual conexión Wi-Fi.

  • SSID -> Nombre del enlace o la red detectada
  • SIGNAL(dBms) -> Es la intensidad de la red wifi
  • Network mode -> Es el Estándar de conexión  a la red wifi. 802.11 /a/b/g/n
  • Cifrado o Codificación por defecto -> Puede ser WEP, AES-CCMP ,  TKIP
  • Autenticación por defecto -> Puede ser WPA/PSK , WPA2/PSK, Open
  • Vendor -> Indica el fabricante del dispositivo router o access point detectado
  • BSSID -> Mac Address del equipo que transmite la señal de red.
  • Channel -> Canal de trasmisión
  • Frecuency -> Frecuencia de la señal.
  • Network type -> Tipo de red, Ej. Access Point
  • Graph -> Marque la casilla para activar / desactivar la gráfica del nivel de señal de la red Wi-Fi con el tiempo

Networks -> Muestra una tabla dinámica de todas las redes Wi-Fi

Signal History -> Muestra un gráfico de Wi-Fi niveles de señal de red a través del tiempo.

Video Tutorial

Chequeala!!!

http://www.youtube.com/watch?v=nkSUZfBZPWQ

Bibliografía

– WORD -> DETECCION DE REDES

– TUTORIAL DE XIRRUS WI-FI INSPECTOR PDF -> xirruswifiinspectorguide1-2-0

– TUTORIAL DE XIRRUS WI-FI MONITOR PDF -> XirrusWiFiMonitor-gadget-1-2-0

Introducción:

Es un delito también conocido como estafa cibernética que aplica técnicas de ingeniería social para sustraer información confidencial.

Objetivo:

Este ataque consiste en obtener las credenciales de acceso a cuentas como clientes de bancos, servicios de pago online o cuentas específicas que manejan información privilegiada.

Diagrama del Ataque:

Herramientas a Utilizar:

  •  Live CD.- BackTrack

Procedimiento para expedir un correo de phishing: 

Paso 1 Sigue leyendo

CLIENT SIDE ATTACK

Client Side Attack (Ataque del lado del cliente)

Objetivo

Tener acceso y tomar control de una máquina víctima explotando una vulnerabilidad de una aplicación que será ejecutada por el usuario víctima.

En que consiste el ataque del lado del cliente

Esta técnica consiste en crear e infectar un archivo malicioso con el fin de obtener acceso a la computadora victima ya sea por red local o por la web. El archivo malicioso lo crearemos utilizando la herramienta metasploit que viene incorporada en BACKTRACK 5

Realizando ataque del lado del cliente
Ahora procederemos a realizar el ataque:
Tenemos nuestra maquina victima con Windows XP el cual tiene instalado el adobe reader 8, y nuestra máquina atacante el cual tiene instalado el BACKTRACK 5

Una vez que entremos a nuestro sistema BACKTRACK abrimos una consola de comandos y levantamos la herramienta Metaspolit escribiendo la siguiente instrucción:

msfconsole

Una vez cargado el Metaspolit, procederemos a ejecutar las siguientes líneas de comando.

Sigue leyendo