A todo el mundo que le guste el tema de la seguridad, les sonaran términos como sniffer o husmeadores de red.
Son programas que se encargan de escuchar y recoger todo el trafico que pasa por la red.
Antes era muy sencillo en aquellas redes conectadas a través de Hubs o concentradores, aparatos con un único dominio de colisión y difusión que trabajan en capa 1 (física), en los que cuando se enviaba una trama a través de un puerto esta se retransmitida a través del resto de los puertos, con lo cual si conectabamos un equipo a la red y poníamos la tarjeta de red en modo promiscuo (que escuche todo el tráfico) esta recibía todo sin importar si los paquetes tenían como destino nuestro equipo.
Aquí entraban en juego los sniffers, con los que lo único que teníamos que hacer es esperar y pronto empezaban a caer las contraseñas de protocolos no seguros como pueden ser telnet, ftp, http…
.
Para mejorar en cierto modo los problemas de seguridad así como el rendimiento de la red, nació un nuevo concepto que eran los Switches o conmutadores, que permitían dividir la red en segmentos, con tantos dominios de colisión somo puertos tenga el switches y un único dominio de difusión.
Los switches ya empiezan a trabajar en capa 2 (capa de enlace), con lo que empiezan a saber que es eso de la direcciones MAC, que serian las direcciones físicas que tienen asociadas las tarjetas de red. Esto empieza a traer ciertas ventajas. Las tramas ya no se envían a todas las bocas sino que sabe donde se han de enviar, mayor densidad de puertos, mayores velocidades, ¿ mayor seguridad ?…. pues no tanta en realidad...
Con el uso de los Switches se suponía que la información solo podía ser recibida por su receptor legitimo.
Ya vamos a ir viendo poco a poco y más en detalle cada uno de estos conceptos.
Hemos hablado de Direcciones físicas (MAC),
Según Wikipedia: MAC: Identificador de 48 bits (6 bytes) que corresponde de forma única a una tarjeta o interfaz de red. Es individual, cada dispositivo tiene su propia dirección MAC determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el OUI.
Para que nos entendamos, podemos decir que un ordenador tiene una tarjeta de red con la que se conecta a una red en la que hay mas equipos conectados y cada tarjeta tiene un numerito que lo identifica de forma unica.
Quizas las MAC no nos suenen tanto, pero lo que seguro sabemos de que va son las dirección IP. Algo así como 10.208.214.0/255.255.255.0 (IP/Netmask).
Cuando hablamos de Direcciones Ip estamos trabajando en capa 3 (Red).
Pues existe un protocolo que es el ARP, que lo que establece, es una relación entre las dirección físicas (MAC) y las de red (IP).
El truco de todo esto, consiste en engañar y realizar asociaciones que no son ciertas entre MAC-IP. También conocido como un ataque de tipo Man in the middle u Hombre en medio.
Imaginemos que estamos en una empresa la estructura de red es esta:
Todo el trafico que generen los usuarios pasara por el Switch, luego por el firewall que dispondrá de una serie de reglas de filtrado y finalmente el router lo encaminara hacia el exterior.
Como estamos en una red “Switcheada” se supone que nosotros no debemos recibir nada que no sea para nosotros. Lo que debemos hacer es ponernos en la mitad para que todo el trafico pase a través de nosotros. ¿Y como podemos conseguir esto?. Envenenando las tablas ARP de los que equipos que mantienen una relación entre la dirección MAC e IP.
En este caso en concreto nuestro gateway o ruta por defecto es el firewall. Entonces lo que debemos intentar es hacer creer a los equipos que nosotros somos el Gateway, y a su vez tenemos que hacer creer al Firewall que nosotros somos el equipo al que tiene que reenviar la información. Con esto conseguimos que todo el trafico pase por nosotros.
Como podemos poner en practica esto de una forma sencilla??? Pues con una herramienta llamada ettercap.
Si trabajamos un un sistemas linux debian el proceso es muy sencillo, para instalarla ejecutamos:
dijo: apt-get install ettercap-gtk (seria con interface gráfico, lo ideal para principiantes). [/quote]
Tenemos que editar el archivo de configuración etter.conf que en las ultimas versiones estará dentro del directorio etc, en el caso de que estén trabajando en un sistema linux, abrimos el archivo y quitamos los comentarios de las siguientes líneas:
vi /etc/etter.conf
redir_command_on = “iptables -t nat -A PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”
redir_command_off = “iptables -t nat -D PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport”
PASO 1:
Ejecutamos Ettercap como root $ ettercap -–gtk.
PASO 2:
Pulsamos las teclas Shift+U y seleccionamos la interfaz de red de la que queremos capturar el trafico.
PASO 3:
Pulsamos las teclas Ctrl+S para que nos detecte todos los equipos que tenemos conectados en la red, y seleccionamos el menu HOSTs para ver las maquinas que ha reconocido.
Aquí ya podemos recibir el trafico de todos los equipos o solo a lo que nos interesan.
PASO 4:
Ahora solo nos queda seleccionar desde el menú mintm- arp poisoning / snifft remote connection, y comienza el ataque.
PASO 5:
Por ùltimo, vamos a la opción Start / Start sniffing. Y empezamos a jugar.
ARP
Man in the middle
Ettercap
IP
Hubs
MAC
Switch
