Scribd Logo
Upload

Welcome to Scribd!

  • Redes y Seg-Cap 7

    Uploaded by

    Carina Grandi
    3 views13 pages

    Original Title

    REDES Y SEG-CAP 7

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    3 views13 pages

    Redes y Seg-Cap 7

    Uploaded by

    Carina Grandi

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 13
    Capitulo 7 AMENAZAS Y ATAQUES Cada diferente tipo de red puede ser atacada de una manera distinta. Sin embargo, existen ciertos tipos de ataques que son comunes a todas las redes, ya que se originan gracias a vulnerabilidades o debilidades en los conceptos basicos del disefio de redes, y no centtalizan sus modos de operacién en arquitecturas Snicas. En este capitulo cubriremos estos ataques, analizando en detalle su origen, funcionamiento y alcance. También veremos los mejores métados para mitigar dichas emenazas. Para poder comprender a fondo este capitulo, es esencial que el lector haya incorporado los conceptos analizados hasta el momento, ya que volveremos nuevamente sobre elles. ‘Sniffing EI término Sniffing (olfatear) se refiere a la accién de interceptar paquetes que circulen dentro de la red, para ser luego almacenades e interpretados por un tercero ‘a quien originaimente no le corresponda obtener dichos paquetes. Como sabemos, toda fed esté compuesta por computadoras, cables y conmutadores. Para que la informacién llegue correctamente de origen a destino, ésta deberé pasar por los cables y conmutadores que estén dentro del recorrida fisico y ldgico correspondiente. en SEE | 254 | Amenazes yataques Desde el momento en que Ia informacion corre por los cables y conmutadores, ésta esta précticamente fuera del dominio de control, y puede ser interceptada, Inclusive modificada por cualquier agente que tenga acceso a dicha red, Como hemos visto en e! capitulo 2, los componentes mas cominmente Ltlizados para interconectar las LAN son los hubs y los switches. Hemos cubierto los métodos de funcionamiento de cada uno y las diferencias entre ellos. A continuacion, veremos cdmo es posible tomar provecho de sus modos de operacion para poder interceptar toda informacion que circule por la red. El método que utilizan ambos componentes para direccionar los paquetes es ‘mediante el uso de las direcciones MAC de los equipas conectados a ellos. Cada ‘equipo conectado se identifica al componente informéndole su direccién MAC, Cuando un paquete es distribuido y recibido por los equipos de la red, cada equipo vorifica si la direccién MAC del equipo destino coincide can su propia direccién MAC. Si la direcoién coincide, e! paquete es aceptado por el equipo y enviado a los protocolos o servicios de capas superiores. Sila direccién no coincide, el paquete es descartado, EI seoroto del Sniffing radica en la posibiidad de configurar a nuestro dispositivo de red para que acepte cualquier paquete entrante, Esta modalidad se llama promiscuous mode (mado promiscuo). AI configurar @ nuestro dispositive en promiscuous mode, todos los paquetes que lleguen a nuestro equipo seran aveptades. Luego de configurarse en promiscuous mode, nuestro equipo comenzara a Feclbir infinidad de paquetes, de los cuales una gran mayoria, probablemente, haya sido onginalmente destinada a otro equipo en la red. Por suerte para el atacante, el aquete seré recibido, de todas formas, por el equipo original, ya que el Sniffing no {rena tas comunicaciones entre equipos, sino que aprovecha los métodos de distribucion de informacion de los dispositives de hardware (hubs y switches) que Conectan las redes, interceptando tinicamente las copias de les paquetes enviados or dichos dispositivos. Estos métodes de distribucién de informacién fueron ‘cubiertos en el capitulo 2. Sst er Redes y seguridad pery — ee ————_, a = Receptor | 7 | | Fig. 74 Intercepelén de paquetes en una LAN. mani int nt . snare i ee ane ny Ce er es ction tree Fig, 7-2 Resuttado de Sniffing con Wireshark. ‘Maria KATZ | 256 | ‘Amenazas y ataques [oer 7 HTTP/i.4 Host: sn googte. con Iser-Agent: Mozilla/5.@ (X11; Ubuntu; Gecko/20100101 Firefox/21.0.° UY? MAMUK 1686; rv:31.0) text, : ea barge, gr etoyanet ppc cept -Language: en-us,en;q-0.5 Accept-Encoding: grip, ceftate Connection: Keep-alive eae 1475164b080015 0: U=38aab860b97e0198. FID=0 3 Fx : TM: MID=59=pjCwZ1F LLLGBLOCuduUa_bgxKaj vxVHAPU. WdqpgECFYTONDVBT Fig. 73 Leotura de un paquete interceptado, nerd Yer ntercertados, los paqutes pueden ser analzaos pr el usuario para ‘tener too Ure de nformactn. Enos gaso8 en los qu los protools do capes Superioes que se utlicen para e envio de infrmacén, rabejen en text plan, fa obtenida por el atacante seré cien por clento legible y comprensible. 7 £1 ejemplo mas tpico es et sl protocolo HTTP. Este pre i uiado pas ls emuncadones Web, ta una comuniccsn HI, teronoe epee, nota ebener toda infermacin de la sean que estalezca la int cumentes, imagen ma snc Queso when pea riser dicha sgn,” ™# Pte) ls eredeiles ‘Veamos una situacién ejemplo: 2) 6 usuario se concta fa URL “hi : m ittp://www.dominio.comy priv oquerclintercamblo de cedenciles para accesoa dene siowenr, eo The server 107.7.57.80 requlres a usemame and password The sever says: asticted User name, fia Pesshont See ean Fig, 74 Pedido de credenciates de un sitio We MATIAS Karz Redes y seguridad ais 2) El usuario introduce sus eredenciales y es reditigido al sitio privado, donde ‘comienza 2 Interactuar con el sitio Web, visualizando y/o deseargendo informacién: 10.7.757)oc0ate Bienvenido, Juan! Fig. 7-5 Navegactén en sitio Wob privado, 3) Mientras que el usuario cree estar en una situacién segura, un atacante conectado @ su misma red LAN realiz6 un snifing de dicha red. Luego de esperar un tiempo, ol atacante realiza un analisis de los paquetes interceptados y encuentra los paquetes pertenecientes a la sesion de la vietima: ED AED aca [arme Get fprivater urtp/at Fig. 76 Listado de paquetes de una sesién especifice. 4) El atacante logra identificar el paquete que contiene las credenciales, las cuales se encuentran en texto plano, completamente legibles. Fig, 7-7 Obtenci6n de credenciales, 5) €! atacante, ahora, puede acceder al sitio Web privado mientras que la viotima jemas se entoré de que sus credenciales habian sido robadas. Como podemos ver, este proceso es muy facil de realizar, y Ios mismos resultados se pueden obtener siempre que se utilicen protocols que trabajen en texto plano, come por ejemplo HTTP, POP3, SMTP, IMAP, FTP, Telnet y varios mas. En redes conectadas por hubs esta tarea es muy simple de realizar, ya que ‘estos dispositivos al recibir un paquete, simplemente, distribuyen copias masivamente de éste hacia todos los puertos de red eonectados. En redes conectadas por switches, la situacién cambia, ya que la informacion ro es distribuida masivamente, sino que por cada comunicacion se generan canales virtuales independientes y privados. Estas caracteristicas fueron cubiertas en detalle en el capitulo 2. Esto significa que en redes conectadas por switches, e! configurar nuestro equipo en promiscuous mode no es suficiente para logar el Sniffing, y deberemos recurtir a otra técnica. Esta técnica se llama ARP Poisoning. mew ‘Amanazas y ataques ARP Poisoning El protocolo ARP se encarga de traducir direcciones MAC a direcciones IP. Gracias a ‘este protocolo los equipos de una red pueden identificarse entre ellos. £] método de ARP Broadcasting le permite a un equipo identificarse en le red, informando masivamente a toda la red de sus direcciones IP y MAC. Esto es posible mediante el envio de un paquete de broadcast que contenga dichas direcciones. Este paquete, al ser recibido por todos los equipos en el segmento, es leido por el protocol ARP de cada equipo, quien actualize su tabla de asignaciones Ginémicamente. Esta lista, luego sera utlizada por el sistema operativo para ‘obtener ia informacion necesaria para generar los paquetes que seran introducidos en la red, Estos conceptos fueron cublertos en detalle en el capitulo 4. EI ataque de ARP Poisoning (Envenenamiento ARP también llamado “ARP spoofing’.) consta de la generacion arbitraria de paquetes de ARP Broadcasting falsos por parte del atacante, que relacionan la direccién MAC de su equipo con la ireccién IP de quien sera el equipo victima. La estructura del paquete generado es el siguiente: PAQUETE ARP DIRECOOWIP | MACCORRESPONDIENTE | NOTIACARA tuevicrmay | (wacaracanre) | BronDcAST Fig. 7-8 Generacion de paquetes ARP Broadcasting falsos. ‘Como muestra la imagen, el paquete generado contiene informacidn falsa que relaciona al equipo victima directamente con et equipo det atacante, poniendo en riesgo Ia integridad de les. comunicaciones hacia ese equipo. \Veamos cémo funciona esto: 1) En una red, existen 3 equipos. Anterior al ataque, las tablas de ARP de los 3 ‘equipos estd correctamente armada: Redes y seguridad | DIRECOON IP | MAC CORRESPONDIENTE | y92.1687.31 | 00:11:22.33:4455 192.168.7.32 ‘MABBCCDDEEFF 192.168.7.33 | OO:AAt1-B8:22:CC Fig, 7.9 Red ejemplo con 3 equines. La estructura do red seria la siguient SERVIDOR ~~ Fig. 7410 Estructura Red 192.1687 32 mplo. 2) El atacante inicia el ataque ARP Poisoning, generando un paquete de ARP Broadcasting falso: DIRECCON IP 192,168,733 Fig, 7-14 Contenido — MAC CORRESPONDIENTE AA BBCCODEEFF paquete ARP falso, arias Karz Ea eas 3) El paquete es introcucido en la red mediante Broadcast, llegéndole a todos los equips del segmento. Los equipos, al recibir esta informacién, actualizan las tables de su sistema operativo de manera dindmica y automética. Las tablas ARP de los 3 equipos logran llenarse de la siguiente forma: eee | [timecode [wc comesronorare | | 192.168.7.31 00:11:22:33:44:55 | 192168732 telewzas L Eee "Fig. 712 Nueva tabla ARP de los equipos. 4) Luego de lograr modificar las tablas ARP del segmenta, el atacante solo debe esperar que algin equipo intente enviarle informacién a la victim. 5) Cuando un equipo desea comunicarse con la victima, éste enviard un paquete con Ia IP 192.168.7.33. El paquete sora recibido por el protocolo ARP en capa 2. ARP buscard en su tabla la direcci6n fsa correspondiente 2 la dlreccién IP de destino (Esta direccidn es la que fue previamente envenenada por el atacante). El paquete originaimente doberia ser ast: Tem | woe [wea [eS | ievicrna | te sermoon | wc vicrma | macseanon) | pao Fig. 7-13 Formato original del paqueto. Sin embargo, por culpa del envenenamiento, e! paquete real seré introducido en la red de la siguiente manera: Redes y seguridad Saar | [ronan | roeo [cone [rucoesino | | | [evterma | wsewvoon | accra | mac atacanre Fig. 7:14 Formato real det paquete. 6) El paquete contendrd una direecion MAC incorrecta, pero ya que el switch no tiene forma de verficar dicha informacién, no tiene otra alternativa que enviar el paquete por el puerto que le correspond, segin su tabla de asignaciones: De esta forma, el atacante oblendra informacién que originalmente no fue destinada a él, logrando circunvalar los métodos de seguridad implementados por las téenicas de switching. Cabe destacar que, aunque el ataque haya sido satistactorio, esta técnica es conocida por ser det tipo activa, en el sentide que en elgtin momento la estructura 6gica de [a red fue modificada. Los ataques pasivos (como un atague de Sniffing en tuna ted conectada por hubs) no alteran la configuracién de la red. Esto hace que ‘sean mucho mas dificiles de detectar. Los ataques activos, al deformar las Configuraciones originalmente establecidas por los administradores de red, son facilmente detectables utilizando las correctas herramientas de anélisis. Ea ‘Amenazas y ataques: Adicionalmente, existe otro punto negativo de este ataque. El paquets que fue rediiigido y enviado al atacante, jams fue recibido por la vctima, Esto presenta un problema, ya que tanto el emisor como e! receptor pueden asumir que existe algin problema con la red, lo cual puede continuar con una revisién de la red y el posterior escubrimiento del ataque. Existe un método que logra evitar este riesgo, duplicando la informacion que fs interceptada por el atacante. Esta téonica se llama Man-in-The-Midale, ‘Man-In-The-Middle (MITM) EI ataque de Man-In-The-Middle (MITM, Hombre en el medio} es una técnica que ‘complementa al ARP Poisoning, ampliando el nivel del ataque, y agregando un paso mas: la duplicacin y el reenvio a la vietima de la informacion obtenida. Cronoléglcamente, un ataque MITM se sia en el momento inmediatamente posterior al paso 6 en el proceso de ARP Poisoning. Como pademes recordar, en teste momento el mensaje fue enviado, la victima no recibié e! paquete y el emisor permanece esperando una respuesta. DESTINO SSERVIDOR Ci} Jeo : Fig. 7-6 Redireccion del paquete hacia el atacante. He aquf la magia del ataque MITM. Veamos cémo sigue el proceso: Redes y seguridad Ea 7) La PC atacante guarda en memoria una copia del paquete recibido por el emisor, y modifica el original, indioando su propia direccin IP como origen, y la direccién IP de la victima como destino. [a | | 8) La PC vietima recibe la informacién, la procesa segtin corresponda y le erwia una respuesta a su emisor, quien en este momento es la PC etaconte. SERVIDOR ARTACANTE | , | — ~~ Fig. 748 Respuesta de lavietima. ‘MATIAS KATZ El Aevenazey aque 9) La PC atacante, nuevamente, guarda en memoria una copia del paguete (esta vvez recibido por la vietima), y modifica el original, indicando su propia direcci6n IP ‘como origan, y la direccidn iP del emisor original como destino. Fig. 7-19 Nueva duplicacton y reenvio del paquete a origen. 10) Cuando la sesién de paquetes finaliza, la PC atacante sniffea y analiza la informacin obtenda,v sobre la base de eso reliza un informe sobre 1s datos | [Sam mea a semvinon | JUAN yeas | oaTos) LINAGENES | | Iroocunenros | Fig, 7.20 Reporte al atacante de los datos obtonidos.. Note: ste proceso puede realizarse también hacia las sesiones inicladas por ima misma, como por ejemplo una conexién a un servidor Web, FTP, SMTP. Gracia a estos nuevos pasos, os ange y | sta , os ese yas debiidads del ataque de ARP Peon eraparcon ta tra Janse ener de sun sv hia ex robeda,y el emsor coninda recbiendo ls respuestas que espera, Por lo tant ninguno de los dos se alerta del ataque. . i no Redes y soguridad Ea Se podria decir que en circunstancias normales, presentadas en redes, comunes, este ataque es précticamente indetectable. ‘A-continuacién, veremos unas imagenes que evidencian la presencia de un ‘ataque MITM: 41) Listamos los detalles de fa configuracion de red de nuestra PC, y vemos nuestras direcciones IP y MAG, y la direccion IP del gateway. Fig. 7-21 Direcelones IP y MAC. 2) Listamos las asignaciones ARP en nuestra PC Victima y vemos la direcci6n IP y MAC esociads a nuestro gateway. Fig, 7-22 ARP al gatoway. 3) Iniciamos y realizamos un ARP Poisoning. Fig. 7-23 ARP Polsoning.. 4) Volvemos a lstar las asignaciones ARP en nuestra PC Victima y vemos que a nueva direccién IP y MAC, asooiada a nuestro gateway, corresponde con la direccion MAC de nuestra PC Atacante. ig, 7-24 Poison de ARP realzado correctamente. ‘A partir de este momento, todas las comunicaciones que la PC vietima realice ‘on Internet pasaran primero por la PC atacante, quien guardard una copia de cada paguete enviado y recibide, para poder analizarlo luego, y obtener informacién ‘conficencial La combinaci6n de las téenicas de ARP Polsoning, Sniffing y Man-In-The-Mlddle ros permitiré reunir todo dato que fluya en nuestra red, ya sean contrasefias Conversaciones, archivos 0 simplemente la informaciGn que nuestra vietima esté (MaTias KATZ Ea Amenazas yataques visualizando en Ios sitios Web que esté visitando. Todo protocolo que transmita su informacién en texto plano es susceptible a este ataque. Mediante esta técnica es posible engaiiar @ los usuarios fécilmente, imporsonando @ equip0s en un dominio especifico y redirigiendo las consultas de red a dicho dominio hacia destines alternatives y maliciosos. Para poder realizar este ataque, necesitamos implementar dos servicios: 2). Un servidor DHCP 2) Un servidor DNS Estos servicios, al igual que su implementacién, fueron explicados en los copitulos 45. Lo primero que debemos hacer es abtener un relevamiento completo sobre la configuracién actual de nuestra red. Eso se puede obtener muy facilmente, €lecutando el comando “ipconfig /all” desde un sistema Windows o "ifconfig -a" en un sistema Linux: Fig. 7-25 Obtencién de informacion sobre la red. Esta informacién nos servird para configurar nuestro servidor DHCP, e! cual uedara configurado de la misma forma que el actual servidor DHCP, salvo por una Pequefia diferencia: EI servidor DNS primario sera distinto, dejando al actual Servidor primario como servider seoundatio. De esta manera, quedardn implementados dos servidiores DHCP en la red: el real, y el alternativo, configurado y controtado por el atacante, con configuraciones siferentes, Es importante subrayar que en el campo “Servidor DNS Primario” se encuentra una direccién IP nueva. Esta direccién IP corresponde a un servidor implementado y ‘onfigurado por nosotros, en donde debemos instalar el servicio ONS, En el campo ‘Servidor ONS Secundario” figuraré la IP del servidor DNS real, de manera tal que ‘eatin era Rodes y seguridad lta dol seador ONS las consutes DNS en lave no se ean interrumpides pr la ata del ser mmaiese. ai

    You might also like