Autor:
David Subires Parra
Módulo Profesional: Seguridad y Alta Disponibilidad Ciclo Formativo:
Administración de Sistemas Informáticos en Red
Instituto:
I.E.S Celia Viñas
Curso Académico:
2011/2012 1 / 10
Índice de contenido Introducción.......................................................................................................................3 ¿Qué es Man in the Middle?..............................................................................................4 ¿Qué es ARP Spoofing?.....................................................................................................4 Aplicación práctica............................................................................................................5 Solución a esta debilidad...................................................................................................9 Usos legítimos.................................................................................................................10
2 / 10
Introducción Ettercap es un interceptor/sniffer para redes LAN con switch. Soporta direcciones activas y pasivas de varios protocolos(incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un ataque Man in the middle. Sus funciones son las siguientes: − Inyección de caracteres en una conexión establecida emulando comandos o respuestas mientras la conexión está activa. − Compatibilidad con SSH1: puede interceptar usuarios y contraseñas incluso en conexiones “seguras” con SSH − Compatibilidad con HTTPS: intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a través de un proxy. − Intercepta tráfico remoto mediante un túnel GRE: si la conexión se establece mediante un túnel GRE con un router CISCO, puede interceptarla y crear un ataque “Man in the Middle” − “Man in the Middle” contra túneles PPTP (VPN) Plataforma: Linux/ Windows
Última versión: NG-0.7.3
Además de las funciones que nos ofrece ettercap podemos añadir más mediante plugins: − − − − − − −
Colector de contraseñas Ataques DoS Filtrado y sustitución de paquetes. OS fingerprint: es decir, detección del sistema operativo remoto. Mata las conexiones. Escáner de LAN: hosts, puertos abiertos, servicios.. Detecta otros envenenamientos ARP en la red.
Una vez que empieza a rastrear el tráfico, obtendrás un listado de todas las conexiones activas, junto a una serie de atributos acerca de su estado (active, killed, etc..)
3 / 10
¿Qué es Man in the Middle? Un ataque man-in-the-middle o intermediario en español es un ataque en el que el intermediario adquiere la capacidad de leer, insertar y modificar los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace ha sido interceptado.
¿Qué es ARP Spoofing? El ARP Spoofing, también conocido como ARP Poisoning o Envenenamiento arp, es una técnica usada para infiltrarse en una red Ethernet (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en LAN, modificar el tráfico, o incluso detenerlo. El principio del ARP Spoofing es enviar mensajes ARP falsos a la red, normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro host (el host atacado), como por ejemplo el gateway, cualquier tráfico dirigido a la dirección IP de ese host, será erróneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el tráfico (ataque pasivo) o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una víctima asociando una dirección MAC inexistente con la dirección IP de la puerta de enlace predeterminada de la víctima.
4 / 10
Aplicación práctica Para instalar ettercap tenemos que descargarnos el paquete desde la web oficial, http://ettercap.sourceforge.net/. En el caso de windows nos descargamos el instalador aquí: http://downloads.sourceforge.net/project/ettercap/unofficial %20binaries/windows/ettercap-NG-0.7.3-win32.exe? r=&ts=1322524658&use_mirror=garr Y en el caso de Linux nos descargamos el código fuente para compilarlo aquí: http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz? download aunque también se puede instalar mediante repositorios, ejecutando la orden sudo apt-get install ettercap-gtk ( en ubuntu). Una vez instalado, iniciamos el programa (en el caso de Linux lo ejecutamos como root para poder seleccionar la interfaz de red a utilizar con la orden ettercap --gtk )
Pulsamos la pestaña Sniff > Unified Sniffing, para elegir el modo de sniff. Seleccionamos la interfaz que está conectada a la red.
5 / 10
Pulsamos la pestaña Hosts > Scan for hosts para detectar los host de lared.
Pulsamos la pestaña Host > Host list para ver la relación de IP-MAC que hay conectadas a la red, cabe destacar que el router será uno de los listados y que nuestro pc no sale en la lista. Seleccionamos la IP del equipo a atacar y pulsamos Add to Target 1, después el router Add to Target 2.
6 / 10
Ahora que ya tenemos los objetivos marcados, procedemos al envenenamiento de arp para poder realizar el man in the middle. Pulsamos la pestaña Mitm > ARP Poisoning y marcamos el checkbox Sniff remote connections.
Por último pulsamos la pestaña Start > Start sniffing.
7 / 10
Con esto ya tenemos ettercap snifando el tráfico de red entre el host atacado y el router. Al terminar debemos de deshacer el arp spoofing, pulsando en Mitm > Stop Mitim Attack's, para que el otro ordenador no se quede sin acceso a internet. Aquí podemos ver como ettercap muestra los usuarios y contraseñas del equipo atacado, siendo indiferente si son http o https, las conexiones “seguras”.
También podemos realizar más acciones, desde la pestaña Plugins, como ataques DoS (DoS Attack), dns spoof, detectar arp spoofing (ARP cop), detectar SO (finger print), ver las url por las que navega (remote_browser)
8 / 10
Solución a esta debilidad Un método para prevenir el ARP Spoofing, es el uso de tablas ARP estáticas, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP. Sin embargo, esta no es una solución práctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la dirección IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red. Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y Allied Telesis. Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía email al administrador de la red, cuando una entrada ARP cambia. Comprobar la existencia de direcciones MAC clonadas puede ser también un indicio de la presencia de ARP Spoofing. Por ejemplo, para evitar que nuestro equipo sea víctima de un ataque man in the middle , bastará con añadir la entrada arp del gateway de manera permanente (cada vez que inicie el sistema, mediante un fichero .sh o .bat):
En ubuntu:
sudo arp -s 192.168.1.1 00:11:22:33:44:55
En windows: arp -s 192.168.1.1 00-11-22-33-44-55 La única diferencia es el formato de la MAC
9 / 10
Usos legítimos El ARP Spoofing puede ser usado también con fines legítimos. Por ejemplo, algunas herramientas de registro de red, pueden redireccionar equipos no registrados a una página de registro antes de permitirles el acceso completo a la red. Otra implementación legítima de ARP Spoofing, se usa en hoteles para permitir el acceso a Internet, a los portátiles de los clientes desde sus habitaciones, usando un dispositivo conocido como HEP (Head-End Processor o Procesador de Cabecera), sin tener en cuenta su dirección IP. El ARP Spoofing puede ser usado también para implementar redundancia de servicios de red. Un servidor de backup puede usar ARP Spoofing para sustituir a otro servidor que falla, y de esta manera ofrecer redundancia de forma transparente.
10 / 10