Академический Документы
Профессиональный Документы
Культура Документы
En este prctico descubrirs qu herramientas puedes utilizar y cmo debes emplearlas para reforzar tu infraestructura de red.
Nivel: Avanzado
La tecnologa Ethernet es, sin duda, la ms utilizada en la actualidad en las redes de rea local tanto en el mbito empresarial como en el domstico. Como pasa con muchos inventos, sus creadores no pensaron que pudiera convertirse en estndar en un futuro, y no fue diseada pensando en su popularizacin ni en su escalabilidad. Hace unos 30 aos un adaptador de red Ethernet costaba el equivalente a unos dos mil euros, y los ordenadores conectados dentro de una empresa no eran tan numerosos como para pensar que la seguridad de la red fuera un asunto importante. El problema principal de seguridad de la tecnologa Ethernet es que no tiene un mtodo de autentificacin de red. Cada adaptador de red (NIC o Network Interface Card) tiene un identificador de direccin MAC nico (MAC o Media Access Control). Cuando utilizamos el protocolo TCP/IP sobre Ethernet, cada adaptador se asocia a una direccin IP que identifica tambin al mismo, con lo cual tenemos dos identificadores diferentes para un mismo adaptador de red a diferente nivel de red. Precisamente, para poder asociar correctamente el trfico en la red entre direcciones IP y MAC se cre el protocolo ARP (Address Resolution Protocol). Pero esto es solo el principio.
1. Reconoce el objetivo
Lo primero que hace un hacker es fijar un objetivo y analizarlo. Por ejemplo, los servidores de una empresa o sus sitios web, que suelen tener IPs fijas y dominios asociados. En el caso de un ataque a un particular concreto, la identificacin del mismo en la Red se complica, ya que las IPs pblicas de los routers domsticos suelen ser dinmicas. Para ello tratar de identificar las IPs de los equipos vivos enviando paquetes ICMP (Internet Control Message Protocol) que indican si un dispositivo est activo en la Red (por su IP) o un servicio est disponible (por los puertos TPC o UDP abiertos). De este paso obtendr un listado de IPs y puertos abiertos por cada IP.
2. Tcnicas de compromiso
Esta fase es la ms desafiante para un hacker. Tratar de detectar las vulnerabilidades en los sistemas que ha detectado en el paso anterior para comprometerlos. Para ello buscar documentacin en Internet sobre vulnerabilidades ya detectadas por los fabricantes de software y hardware para tratar de facilitarle la tarea. No todo el mundo instala las actualizaciones que corrigen las vulnerabilidades de sistemas, con lo cual son vctimas preferentes de un hacker, ya que son objetivos fciles. Detectar las vulnerabilidades le permitir intentar conseguir el mayor objetivo, que es tomar el control del sistema a travs de un usuario de tipo administrador que tiene todos los privilegios en el sistema. En ocasiones no lo conseguir en primera instancia, pero a travs de otros objetivos secundarios (como, por ejemplo, obtener una lista de usuarios o acceder a travs de una cuenta de invitado) podr llegar a descubrir otras vulnerabilidades que le llevarn a conseguir el ansiado acceso en modo administrador. La mayora de los casos de robo de informacin en empresas se realiza desde dentro de la propia red, y no a travs del usuario administrador, sino de cuentas de usuario que tienen acceso a la informacin privilegiada.
3. El ataque preliminar
Una vez con el sistema comprometido, el hacker realizar la actividad que le ha llevado a atacar el sistema, desde el robo de informacin confidencial y contraseas de todo tipo, el borrado o modificacin de informacin hasta la desconexin del sistema. Por ejemplo, los sistemas operativos guardan una lista de usuarios y contraseas en archivos que el hacker podr descargar para, despus, descifrar esta informacin con herramientas especficas, y as tener acceso a todas las cuentas del sistema. En muchas ocasiones esta tarea es muy fcil, ya que muchos usuarios guardan la informacin de acceso a diferentes servicios (usuario y contrasea) en archivos de texto en su carpeta de usuario.
Otra actividad que podr realizar en busca de informacin es la instalacin de una aplicacin que registre pulsaciones de teclas guardndolas en un archivo o envindolas a un sistema remoto. Por ltimo, tambin podr capturar el trfico de la red utilizando un sniffer.
5. Descarga la aplicacin
Puedes bajar Wireshark de su pgina web oficial, en la direccin www.wireshark.org/download.html. Automticamente detectar tu sistema y te propondr la versin recomendada.
6. El proceso de instalacin
Si realizas la instalacin en entorno Windows, en el proceso se instalar la ltima versin estable del controlador y las bibliotecas de captura de paquetes WinPcap. Si en un futuro deseas actualizar estas bibliotecas, en su sitio web oficial puedes descargar la ltima versin (www.winpcap.org/install/default.htm). En el caso de la instalacin en Windows ser necesario reiniciar el sistema.
Si tu red est conectada a un concentrador de red (hub) ser capaz de ver el trfico de toda la red. Si utiliza un conmutador de red (switch) solo vers el trfico de tu equipo en la red, ya que los conmutadores corrigen esta deficiencia de seguridad y son
capaces de llevar los paquetes al destino adecuado. Tendrs que utilizar otros recursos para ver la actividad de red de otro equipo en la red. Los routers que proporcionan los proveedores de acceso en la actualidad funcionan como conmutadores.
8. Desactiva la proteccin en tu PC
Para evitar que los cortafuegos y los programas de seguridad interfieran en el proceso de anlisis, desactvalos. Algunos paquetes de seguridad detectan las herramientas que vas a utilizar como peligrosas y directamente las bloquean o las eliminan.
En la primera lnea el dispositivo con MAC WistronN (origen) pregunta en la red (Broadcast) cul es la direccin MAC asociada a la IP 192.168.1.10, indicando adems que su IP es 192.168.1.202 (who has 192.168.1.10? tell 192.168.1.203). En la siguiente lnea, la direccin MAC TulipCom (Source) responde a la MAC WistronN (Destination) dicindole que la IP 192.168.1.10 corresponde a la MAC 00:80:5a:20:19:06 (192.168.1.10 is at 00:80:5a:20:19:06). Espera que vayan apareciendo paquetes y vers cmo al final estarn todos las IPs y MACs de los dispositivos conectados a la red local. As es como se construyen y actualizan las tablas de cach ARP.
Ahora examina el contenido de los paquetes en busca de las credenciales de acceso. En la figura puedes ver el resultado que hemos obtenido en nuestras pruebas (hemos borrado los datos sensibles y el usuario y la contrasea por motivos obvios). En algunos programas de correo se utiliza la opcin APOP, en la que podemos ver el usuario, pero la contrasea se halla cifrada, con lo cual podemos estar un poco ms tranquilos. En las pruebas hemos encontrado estos dos casos. En Microsoft Outlook 2007 para Windows se revelan las contraseas completamente, pero la versin 2011 para Mac OS X aparece cifrada.
Ahora te dejamos la tarea de ver el contenido del archivo que hemos descargado utilizando el sniffer (una pista: filtra por ftp_data).