Práctica 6.1. Aplicación Cain & Abel
La monitorización del tráfico de red es un aspecto
fundamental para analizar qué está sucediendo en la misma, y poder tomar
precauciones y medidas de seguridad en la misma.
Herramientas como Wireshark, NMAP o Cain & Abel permiten
realizar una monitorización de qué equipos se encuentran conectados en una red
y qué puertos y aplicaciones utilizan.
En nuestro caso vamos a realizar una serie de prácticas que
permiten ver las vulnerabilidades de protocolos como ARP y DNS, y de este modo
tomar ciertas precauciones.
Emplearemos una herramienta para sistemas Windows denominada
Cain & Abel, aunque para GNU/Linux podemos emplear ETTERCAP que posee
similares prestaciones.
Instalamos el programa Cain:
Pulsamos en Next para comenzar la instalación:
Aquí podemos ver la
pantalla principal del programa instalado:
Arrancamos el resto
de equipos dentro de la red, que vamos a analizar: en mi caso un debian linux y
un Ubuntu Linux.
Desde la maquina
windows 7 donde tenemos Cain, hacemos un ping al resto de equipos para
comprobar que tenemos conexión entre ellos, y comprobamos sus direcciones MAC:
En primer lugar seleccionaremos la pestaña superior Sniffer
y la inferior Hosts. Pulsaremos sobre el botón superior de sniffing, esto
arranca el Sniffer.
Después con el botón derecho pulsamos sobre scan MAC
Addresses:
Escaneará nuestra red local y nos dará información (IP y
MAC) de qué equipos se encuentran en red con nuestro equipo. Podemos
seleccionar un rango de direcciones en las que va a analizar:
ARP POISONING
El ARP Spoofing, también conocido como ARP Poisoning o ARP
Poison Routing, es una técnica usada para infiltrarse en una red Ethernet
conmutada (basada en switch y no en hubs), que puede permitir al atacante
monitorizar paquetes de datos en la LAN (red de área local), incluso modificar
el tráfico.
El principio de ARP Spoofing es enviar mensajes ARP falsos
(falsificados, o spoofed) a los equipos de la LAN.
Normalmente la finalidad es asociar la dirección MAC del
atacante con la dirección IP de otro equipo, como por ejemplo la puerta de
enlace predeterminada (gateway). De esta forma cualquier tráfico dirigido a la
dirección IP de ese equipo suplantado (por ejemplo el gateway), será enviado al
atacante, en lugar de a su destino real. El atacante, puede entonces elegir,
entre reenviar el tráfico a el equipo real (ataque pasivo o escucha, empleado
en MitM) o modificar los datos antes de reenviarlos (ataque activo).
Para realizar un ataque ARP Poisoning o de envenenamiento
ARP, seleccionamos la pestaña inferior ARP, y pulsaremos el botón superior +.
Seleccionaremos de los equipos de nuestra LAN, porqué equipo
queremos hacernos pasar (columna
izquierda) y en qué equipos queremos infectar su tabla ARP (columna derecha) con una entrada de
nuestra MAC asociada a la IP del equipo a suplantar. Tenemos que señalar los equipos de la
derecha:
Cogemos el equipo del compañero en columna izquierda y lo
usamos para envenenar al equipo 103 que es otro compañero. Entonces todos los
que envíen paquetes al equipo 103 me llegan a mí.
Me voy a hacer pasar por el equipo con IP acabada en 37:
Voy a envenenar al equipo con IP terminada en 38:
Seleccionamos y pulsamos el botón ARP amarillo
Todo el tráfico que manden entre el equipo con IP 37 y el
equipo con IP 38, será capturado por Cain en mi máquina:
Probamos haciendo un ping entre la maquina IP 37 y la de IP
38:
En primer lugar la MAC del equipo infectado era la que vemos
aquí con IP 38:
Después de realizar el envenenamiento disponemos de dos
entradas de la misma MAC.
En mi equipo con IP 37, vemos que la MAC del equipo IP 38 y
IP 39 son la misma (MAC real de mi equipo IP 39:
En mi equipo con IP 38, vemos que la MAC del equipo IP 37 y
IP 39 son la misma (MAC real de mi equipo IP 39):
Y vemos
como esta capturando el trafico:
Mediante esta técnica es posible monitorizar el tráfico que
va dirigido al router y rastrear protocolos no seguros como FTP, HTTP, POP,
SMTP, Telnet o FTP, y de esta forma obtener credenciales.
PHARMING
Es posible realizar una inserción en las tablas locales de
nombres de dominio, posibilitando un redireccionamiento a un IP con una web
falsa. Seleccionando la pestaña inferior ARP, y la opción APR-DNS podemos crear
entradas de nombres de dominio con IP falsas.
Antes de usar PHARMING vamos a envenenar el equipo con IP 37
y nos hacemos pasar por el router para que todo el tráfico que vaya dirigido al
router pase por mi equipo:
Aquí vemos como después de hacer desde la máquina victima un
ping a google.es nos captura el tráfico de la red:
Ahora ya podemos pasar a demostrar el funcionamiento de
PHARMING.
Pulsamos sobre la pestaña inferior APR y en la tabla de
izquierda pulsamos sobre APR-DNS:
Pulsamos con el botón derecho y le damos a add list:
Podemos añadir cualquier entrada falsa del nombre de
dominio, como esta:
La IP que le hemos
puesto al pulsar en Resolve, hemos escrito www.elmundo.es
de tal forma que al acceder desde el
navegador a google en la máquina víctima le va a redirigir a elmundo.es:
Quedaría de esta forma:
Después de realizar DNS Spoofing, al hacer ping a googles.es
desde la maquina victima nos envía a una dirección IP falsa (en mi caso la IP
de elmundo.es me mostrará):
Si abrimos el navegador y accedemos a www.google.es nos llevara a la dirección IP que
le hemos puesto en su lugar (en mi caso elmundo.es).
Automáticamente se abre:
Las falsificaciones de sitios web donde se hacen uso de
credenciales mediante formularios, ponen en peligro nuestras contraseñas y por
tanto la privacidad e integridad de nuestros datos.
Recomendaciones:
Para evitar este tipo de ataques se recomienda entre otras
acciones, el uso de tablas ARP estáticas, o al menos, entradas estáticas como
la que da acceso a la puerta de enlace, ya que la mayoría del tráfico pasa a
través de esta IP. Se puede realizar mediante el comando:
arp –s IP MAC
En redes grandes con gran cantidad de administración no es
una buena solución, realizar esta configuración a mano. Para esos casos lo
mejor es monitorizar los intentos de modificación de tablas ARP, por ejemplo
mediante software específico de detección de intrusos (IDS) como SNORT, o
específicos de intentos de duplicados ARP: bajo GNU/Linux Arpwatch o en windows
DecaffeinatID o realizar una monitorización especifica mediante Wireshark que
es capaz de detectar intentos de duplicados ARP.
En el caso de DNS Spoofing, debemos tener especial
precaución con las falsificaciones de sitios web, comprobando en los sitios web
que enviamos credenciales (mail, redes sociales, banca, comercio online, etc.)
que emplean protocolos seguros, como HTTPS, certificado digital que permita ver
su autenticidad, y otros aspectos como la veracidad de su URL, o que nunca nos
pedirán por otras vías de comunicación (teléfono o mail) el envío de dichas
credenciales.
Con esto queda demostrado el funcionamiento del Programa Cain & Abel desde Windows 7.
OK. buen trabajo.
ResponderEliminar