Capitulo 7
AMENAZAS Y ATAQUES
Cada diferente tipo de red puede ser atacada de una manera distinta. Sin
embargo, existen ciertos tipos de ataques que son comunes a todas las redes, ya
que se originan gracias a vulnerabilidades o debilidades en los conceptos basicos
del disefio de redes, y no centtalizan sus modos de operacién en arquitecturas
Snicas.
En este capitulo cubriremos estos ataques, analizando en detalle su origen,
funcionamiento y alcance. También veremos los mejores métados para mitigar
dichas emenazas.
Para poder comprender a fondo este capitulo, es esencial que el lector haya
incorporado los conceptos analizados hasta el momento, ya que volveremos
nuevamente sobre elles.
‘Sniffing
EI término Sniffing (olfatear) se refiere a la accién de interceptar paquetes que
circulen dentro de la red, para ser luego almacenades e interpretados por un tercero
‘a quien originaimente no le corresponda obtener dichos paquetes.
Como sabemos, toda fed esté compuesta por computadoras, cables y
conmutadores. Para que la informacién llegue correctamente de origen a destino,
ésta deberé pasar por los cables y conmutadores que estén dentro del recorrida
fisico y ldgico correspondiente.
en SEE| 254 | Amenazes yataques
Desde el momento en que Ia informacion corre por los cables y conmutadores,
ésta esta précticamente fuera del dominio de control, y puede ser interceptada,
Inclusive modificada por cualquier agente que tenga acceso a dicha red,
Como hemos visto en e! capitulo 2, los componentes mas cominmente
Ltlizados para interconectar las LAN son los hubs y los switches. Hemos cubierto los
métodos de funcionamiento de cada uno y las diferencias entre ellos. A
continuacion, veremos cdmo es posible tomar provecho de sus modos de operacion
para poder interceptar toda informacion que circule por la red.
El método que utilizan ambos componentes para direccionar los paquetes es
‘mediante el uso de las direcciones MAC de los equipas conectados a ellos. Cada
‘equipo conectado se identifica al componente informéndole su direccién MAC,
Cuando un paquete es distribuido y recibido por los equipos de la red, cada equipo
vorifica si la direccién MAC del equipo destino coincide can su propia direccién MAC.
Si la direcoién coincide, e! paquete es aceptado por el equipo y enviado a los
protocolos o servicios de capas superiores. Sila direccién no coincide, el paquete es
descartado,
EI seoroto del Sniffing radica en la posibiidad de configurar a nuestro
dispositivo de red para que acepte cualquier paquete entrante, Esta modalidad se
llama promiscuous mode (mado promiscuo). AI configurar @ nuestro dispositive en
promiscuous mode, todos los paquetes que lleguen a nuestro equipo seran
aveptades.
Luego de configurarse en promiscuous mode, nuestro equipo comenzara a
Feclbir infinidad de paquetes, de los cuales una gran mayoria, probablemente, haya
sido onginalmente destinada a otro equipo en la red. Por suerte para el atacante, el
aquete seré recibido, de todas formas, por el equipo original, ya que el Sniffing no
{rena tas comunicaciones entre equipos, sino que aprovecha los métodos de
distribucion de informacion de los dispositives de hardware (hubs y switches) que
Conectan las redes, interceptando tinicamente las copias de les paquetes enviados
or dichos dispositivos. Estos métodes de distribucién de informacién fueron
‘cubiertos en el capitulo 2.
Sst er
Redes y seguridad pery
—
ee ————_,
a
= Receptor |
7 |
|
Fig. 74 Intercepelén de paquetes en una LAN.
mani int nt .
snare i ee ane ny
Ce er es ction tree
Fig, 7-2 Resuttado de Sniffing con Wireshark.
‘Maria KATZ| 256 | ‘Amenazas y ataques
[oer 7 HTTP/i.4
Host: sn googte. con
Iser-Agent: Mozilla/5.@ (X11; Ubuntu;
Gecko/20100101 Firefox/21.0.° UY? MAMUK 1686; rv:31.0)
text,
: ea barge, gr etoyanet ppc
cept -Language: en-us,en;q-0.5
Accept-Encoding: grip, ceftate
Connection: Keep-alive
eae
1475164b080015 0: U=38aab860b97e0198.
FID=0 3 Fx : TM:
MID=59=pjCwZ1F LLLGBLOCuduUa_bgxKaj vxVHAPU. WdqpgECFYTONDVBT
Fig. 73 Leotura de un paquete interceptado,
nerd Yer ntercertados, los paqutes pueden ser analzaos pr el usuario para
‘tener too Ure de nformactn. Enos gaso8 en los qu los protools do capes
Superioes que se utlicen para e envio de infrmacén, rabejen en text plan, fa
obtenida por el atacante seré cien por clento legible y comprensible. 7
£1 ejemplo mas tpico es et
sl protocolo HTTP. Este pre i
uiado pas ls emuncadones Web, ta una comuniccsn HI, teronoe
epee, nota ebener toda infermacin de la sean que estalezca la
int cumentes, imagen ma snc
Queso when pea riser dicha sgn,” ™# Pte) ls eredeiles
‘Veamos una situacién ejemplo:
2) 6 usuario se concta fa URL “hi
: m ittp://www.dominio.comy priv
oquerclintercamblo de cedenciles para accesoa dene siowenr, eo
The server 107.7.57.80 requlres a usemame
and password The sever says: asticted
User name,
fia
Pesshont
See ean
Fig, 74 Pedido de credenciates de un sitio We
MATIAS Karz
Redes y seguridad ais
2) El usuario introduce sus eredenciales y es reditigido al sitio privado, donde
‘comienza 2 Interactuar con el sitio Web, visualizando y/o deseargendo informacién:
10.7.757)oc0ate
Bienvenido, Juan!
Fig. 7-5 Navegactén en sitio Wob privado,
3) Mientras que el usuario cree estar en una situacién segura, un atacante
conectado @ su misma red LAN realiz6 un snifing de dicha red. Luego de esperar un
tiempo, ol atacante realiza un analisis de los paquetes interceptados y encuentra los
paquetes pertenecientes a la sesion de la vietima:
ED AED aca
[arme Get fprivater urtp/at
Fig. 76 Listado de paquetes de una sesién especifice.
4) El atacante logra identificar el paquete que contiene las credenciales, las cuales
se encuentran en texto plano, completamente legibles.
Fig, 7-7 Obtenci6n de credenciales,
5) €! atacante, ahora, puede acceder al sitio Web privado mientras que la viotima
jemas se entoré de que sus credenciales habian sido robadas.
Como podemos ver, este proceso es muy facil de realizar, y Ios mismos
resultados se pueden obtener siempre que se utilicen protocols que trabajen en
texto plano, come por ejemplo HTTP, POP3, SMTP, IMAP, FTP, Telnet y varios mas.
En redes conectadas por hubs esta tarea es muy simple de realizar, ya que
‘estos dispositivos al recibir un paquete, simplemente, distribuyen copias
masivamente de éste hacia todos los puertos de red eonectados.
En redes conectadas por switches, la situacién cambia, ya que la informacion
ro es distribuida masivamente, sino que por cada comunicacion se generan canales
virtuales independientes y privados.
Estas caracteristicas fueron cubiertas en detalle en el capitulo 2.
Esto significa que en redes conectadas por switches, e! configurar nuestro
equipo en promiscuous mode no es suficiente para logar el Sniffing, y deberemos
recurtir a otra técnica. Esta técnica se llama ARP Poisoning.
mew‘Amanazas y ataques
ARP Poisoning
El protocolo ARP se encarga de traducir direcciones MAC a direcciones IP. Gracias a
‘este protocolo los equipos de una red pueden identificarse entre ellos. £] método de
ARP Broadcasting le permite a un equipo identificarse en le red, informando
masivamente a toda la red de sus direcciones IP y MAC. Esto es posible mediante el
envio de un paquete de broadcast que contenga dichas direcciones.
Este paquete, al ser recibido por todos los equipos en el segmento, es leido
por el protocol ARP de cada equipo, quien actualize su tabla de asignaciones
Ginémicamente. Esta lista, luego sera utlizada por el sistema operativo para
‘obtener ia informacion necesaria para generar los paquetes que seran introducidos
en la red, Estos conceptos fueron cublertos en detalle en el capitulo 4.
EI ataque de ARP Poisoning (Envenenamiento ARP también llamado “ARP
spoofing’.) consta de la generacion arbitraria de paquetes de ARP Broadcasting
falsos por parte del atacante, que relacionan la direccién MAC de su equipo con la
ireccién IP de quien sera el equipo victima.
La estructura del paquete generado es el siguiente:
PAQUETE ARP
DIRECOOWIP | MACCORRESPONDIENTE | NOTIACARA
tuevicrmay | (wacaracanre) | BronDcAST
Fig. 7-8 Generacion de paquetes ARP Broadcasting falsos.
‘Como muestra la imagen, el paquete generado contiene informacidn falsa que
relaciona al equipo victima directamente con et equipo det atacante, poniendo en
riesgo Ia integridad de les. comunicaciones hacia ese equipo.
\Veamos cémo funciona esto:
1) En una red, existen 3 equipos. Anterior al ataque, las tablas de ARP de los 3
‘equipos estd correctamente armada:
Redes y seguridad
| DIRECOON IP | MAC CORRESPONDIENTE
| y92.1687.31 | 00:11:22.33:4455
192.168.7.32 ‘MABBCCDDEEFF
192.168.7.33 | OO:AAt1-B8:22:CC
Fig, 7.9 Red ejemplo con 3 equines.
La estructura do red seria la siguient
SERVIDOR
~~ Fig. 7410 Estructura Red
192.1687 32
mplo.
2) El atacante inicia el ataque ARP Poisoning, generando un paquete de ARP
Broadcasting falso:
DIRECCON IP
192,168,733
Fig, 7-14 Contenido
—
MAC CORRESPONDIENTE
AA BBCCODEEFF
paquete ARP falso,
arias KarzEa eas
3) El paquete es introcucido en la red mediante Broadcast, llegéndole a todos los
equips del segmento. Los equipos, al recibir esta informacién, actualizan las tables
de su sistema operativo de manera dindmica y automética. Las tablas ARP de los 3
equipos logran llenarse de la siguiente forma:
eee
| [timecode [wc comesronorare | |
192.168.7.31 00:11:22:33:44:55 |
192168732
telewzas
L Eee
"Fig. 712 Nueva tabla ARP de los equipos.
4) Luego de lograr modificar las tablas ARP del segmenta, el atacante solo debe
esperar que algin equipo intente enviarle informacién a la victim.
5) Cuando un equipo desea comunicarse con la victima, éste enviard un paquete
con Ia IP 192.168.7.33. El paquete sora recibido por el protocolo ARP en capa 2.
ARP buscard en su tabla la direcci6n fsa correspondiente 2 la dlreccién IP de
destino (Esta direccidn es la que fue previamente envenenada por el atacante).
El paquete originaimente doberia ser ast:
Tem | woe [wea [eS |
ievicrna | te sermoon | wc vicrma | macseanon) |
pao
Fig. 7-13 Formato original del paqueto.
Sin embargo, por culpa del envenenamiento, e! paquete real seré introducido en la
red de la siguiente manera:
Redes y seguridad
Saar
| [ronan | roeo [cone [rucoesino | |
| [evterma | wsewvoon | accra | mac atacanre
Fig. 7:14 Formato real det paquete.
6) El paquete contendrd una direecion MAC incorrecta, pero ya que el switch no
tiene forma de verficar dicha informacién, no tiene otra alternativa que enviar el
paquete por el puerto que le correspond, segin su tabla de asignaciones:
De esta forma, el atacante oblendra informacién que originalmente no fue
destinada a él, logrando circunvalar los métodos de seguridad implementados por
las téenicas de switching.
Cabe destacar que, aunque el ataque haya sido satistactorio, esta técnica es
conocida por ser det tipo activa, en el sentide que en elgtin momento la estructura
6gica de [a red fue modificada. Los ataques pasivos (como un atague de Sniffing en
tuna ted conectada por hubs) no alteran la configuracién de la red. Esto hace que
‘sean mucho mas dificiles de detectar. Los ataques activos, al deformar las
Configuraciones originalmente establecidas por los administradores de red, son
facilmente detectables utilizando las correctas herramientas de anélisis.Ea ‘Amenazas y ataques:
Adicionalmente, existe otro punto negativo de este ataque. El paquets que fue
rediiigido y enviado al atacante, jams fue recibido por la vctima, Esto presenta un
problema, ya que tanto el emisor como e! receptor pueden asumir que existe algin
problema con la red, lo cual puede continuar con una revisién de la red y el posterior
escubrimiento del ataque.
Existe un método que logra evitar este riesgo, duplicando la informacion que
fs interceptada por el atacante. Esta téonica se llama Man-in-The-Midale,
‘Man-In-The-Middle (MITM)
EI ataque de Man-In-The-Middle (MITM, Hombre en el medio} es una técnica que
‘complementa al ARP Poisoning, ampliando el nivel del ataque, y agregando un paso
mas: la duplicacin y el reenvio a la vietima de la informacion obtenida.
Cronoléglcamente, un ataque MITM se sia en el momento inmediatamente
posterior al paso 6 en el proceso de ARP Poisoning. Como pademes recordar, en
teste momento el mensaje fue enviado, la victima no recibié e! paquete y el emisor
permanece esperando una respuesta.
DESTINO
SSERVIDOR
Ci}
Jeo :
Fig. 7-6 Redireccion del paquete hacia el atacante.
He aquf la magia del ataque MITM. Veamos cémo sigue el proceso:
Redes y seguridad Ea
7) La PC atacante guarda en memoria una copia del paquete recibido por el emisor,
y modifica el original, indioando su propia direccin IP como origen, y la direccién IP
de la victima como destino.
[a
|
|
8) La PC vietima recibe la informacién, la procesa segtin corresponda y le erwia una
respuesta a su emisor, quien en este momento es la PC etaconte.
SERVIDOR
ARTACANTE
| , |
— ~~ Fig. 748 Respuesta de lavietima.
‘MATIAS KATZEl Aevenazey aque
9) La PC atacante, nuevamente, guarda en memoria una copia del paguete (esta
vvez recibido por la vietima), y modifica el original, indicando su propia direcci6n IP
‘como origan, y la direccidn iP del emisor original como destino.
Fig. 7-19 Nueva duplicacton y reenvio del paquete a origen.
10) Cuando la sesién de paquetes finaliza, la PC atacante sniffea y analiza la
informacin obtenda,v sobre la base de eso reliza un informe sobre 1s datos
| [Sam mea a
semvinon | JUAN yeas | oaTos)
LINAGENES |
| Iroocunenros
|
Fig, 7.20 Reporte al atacante de los datos obtonidos..
Note:
ste proceso puede realizarse también hacia las sesiones inicladas por
ima misma, como por ejemplo una conexién a un servidor Web, FTP, SMTP.
Gracia a estos nuevos pasos, os ange y | sta
, os ese yas debiidads del ataque de ARP
Peon eraparcon ta tra Janse ener de sun sv hia ex
robeda,y el emsor coninda recbiendo ls respuestas que espera, Por lo tant
ninguno de los dos se alerta del ataque. . i no
Redes y soguridad Ea
Se podria decir que en circunstancias normales, presentadas en redes,
comunes, este ataque es précticamente indetectable.
‘A-continuacién, veremos unas imagenes que evidencian la presencia de un
‘ataque MITM:
41) Listamos los detalles de fa configuracion de red de nuestra PC, y vemos
nuestras direcciones IP y MAG, y la direccion IP del gateway.
Fig. 7-21 Direcelones IP y MAC.
2) Listamos las asignaciones ARP en nuestra PC Victima y vemos la direcci6n IP y
MAC esociads a nuestro gateway.
Fig, 7-22 ARP al gatoway.
3) Iniciamos y realizamos un ARP Poisoning.
Fig. 7-23 ARP Polsoning..
4) Volvemos a lstar las asignaciones ARP en nuestra PC Victima y vemos que a
nueva direccién IP y MAC, asooiada a nuestro gateway, corresponde con la direccion
MAC de nuestra PC Atacante.
ig, 7-24 Poison de ARP realzado correctamente.
‘A partir de este momento, todas las comunicaciones que la PC vietima realice
‘on Internet pasaran primero por la PC atacante, quien guardard una copia de cada
paguete enviado y recibide, para poder analizarlo luego, y obtener informacién
‘conficencial
La combinaci6n de las téenicas de ARP Polsoning, Sniffing y Man-In-The-Mlddle
ros permitiré reunir todo dato que fluya en nuestra red, ya sean contrasefias
Conversaciones, archivos 0 simplemente la informaciGn que nuestra vietima esté
(MaTias KATZEa Amenazas yataques
visualizando en Ios sitios Web que esté visitando. Todo protocolo que transmita su
informacién en texto plano es susceptible a este ataque.
Mediante esta técnica es posible engaiiar @ los usuarios fécilmente, imporsonando
@ equip0s en un dominio especifico y redirigiendo las consultas de red a dicho
dominio hacia destines alternatives y maliciosos.
Para poder realizar este ataque, necesitamos implementar dos servicios:
2). Un servidor DHCP
2) Un servidor DNS
Estos servicios, al igual que su implementacién, fueron explicados en los
copitulos 45.
Lo primero que debemos hacer es abtener un relevamiento completo sobre la
configuracién actual de nuestra red. Eso se puede obtener muy facilmente,
€lecutando el comando “ipconfig /all” desde un sistema Windows o "ifconfig -a" en
un sistema Linux:
Fig. 7-25 Obtencién de informacion sobre la red.
Esta informacién nos servird para configurar nuestro servidor DHCP, e! cual
uedara configurado de la misma forma que el actual servidor DHCP, salvo por una
Pequefia diferencia: EI servidor DNS primario sera distinto, dejando al actual
Servidor primario como servider seoundatio.
De esta manera, quedardn implementados dos servidiores DHCP en la red: el
real, y el alternativo, configurado y controtado por el atacante, con configuraciones
siferentes,
Es importante subrayar que en el campo “Servidor DNS Primario” se encuentra
una direccién IP nueva. Esta direccién IP corresponde a un servidor implementado y
‘onfigurado por nosotros, en donde debemos instalar el servicio ONS, En el campo
‘Servidor ONS Secundario” figuraré la IP del servidor DNS real, de manera tal que
‘eatin
era
Rodes y seguridad
lta dol seador ONS
las consutes DNS en lave no se ean interrumpides pr la ata del ser
mmaiese. ai