Autor:

David Subires Parra

Mdulo Profesional: Seguridad y Alta Disponibilidad Ciclo Formativo: Instituto: Curso Acadmico: Administracin de Sistemas Informticos en Red I.E.S Celia Vias 2011/2012
1 / 10

ndice de contenido
Introduccin.......................................................................................................................3 Qu es Man in the Middle?..............................................................................................4 Qu es ARP Spoofing?.....................................................................................................4 Aplicacin prctica............................................................................................................5 Solucin a esta debilidad...................................................................................................9 Usos legtimos.................................................................................................................10

2 / 10

Introduccin
Ettercap es un interceptor/sniffer para redes LAN con switch. Soporta direcciones activas y pasivas de varios protocolos(incluso aquellos cifrados, como SSH y HTTPS). Tambin hace posible la inyeccin de datos en una conexin establecida y filtrado al vuelo aun manteniendo la conexin sincronizada gracias a su poder para establecer un ataque Man in the middle. Sus funciones son las siguientes: Inyeccin de caracteres en una conexin establecida emulando comandos o respuestas mientras la conexin est activa. Compatibilidad con SSH1: puede interceptar usuarios y contraseas incluso en conexiones seguras con SSH Compatibilidad con HTTPS: intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a travs de un proxy. Intercepta trfico remoto mediante un tnel GRE: si la conexin se establece mediante un tnel GRE con un router CISCO, puede interceptarla y crear un ataque Man in the Middle Man in the Middle contra tneles PPTP (VPN) Plataforma: Linux/ Windows ltima versin: NG-0.7.3

Adems de las funciones que nos ofrece ettercap podemos aadir ms mediante plugins: Colector de contraseas Ataques DoS Filtrado y sustitucin de paquetes. OS fingerprint: es decir, deteccin del sistema operativo remoto. Mata las conexiones. Escner de LAN: hosts, puertos abiertos, servicios.. Detecta otros envenenamientos ARP en la red.

Una vez que empieza a rastrear el trfico, obtendrs un listado de todas las conexiones activas, junto a una serie de atributos acerca de su estado (active, killed, etc..)

3 / 10

Qu es Man in the Middle?

Un ataque man-in-the-middle o intermediario en espaol es un ataque en el que el intermediario adquiere la capacidad de leer, insertar y modificar los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace ha sido interceptado.

Qu es ARP Spoofing?
El ARP Spoofing, tambin conocido como ARP Poisoning o Envenenamiento arp, es una tcnica usada para infiltrarse en una red Ethernet (basada en switch y no en hubs), que puede permitir al atacante husmear paquetes de datos en LAN, modificar el trfico, o incluso detenerlo. El principio del ARP Spoofing es enviar mensajes ARP falsos a la red, normalmente la finalidad es asociar la direccin MAC del atacante con la direccin IP de otro host (el host atacado), como por ejemplo el gateway, cualquier trfico dirigido a la direccin IP de ese host, ser errneamente enviado al atacante, en lugar de a su destino real. El atacante, puede entonces elegir, entre reenviar el trfico (ataque pasivo) o modificar los datos antes de reenviarlos (ataque activo). El atacante puede incluso lanzar un ataque de tipo DoS (Denegacin de Servicio) contra una vctima asociando una direccin MAC inexistente con la direccin IP de la puerta de enlace predeterminada de la vctima.

4 / 10

Aplicacin prctica
Para instalar ettercap tenemos que descargarnos el paquete desde la web oficial, http://ettercap.sourceforge.net/. En el caso de windows nos descargamos el instalador aqu: http://downloads.sourceforge.net/project/ettercap/unofficial %20binaries/windows/ettercap-NG-0.7.3-win32.exe? r=&ts=1322524658&use_mirror=garr Y en el caso de Linux nos descargamos el cdigo fuente para compilarlo aqu: http://prdownloads.sourceforge.net/ettercap/ettercap-NG-0.7.3.tar.gz? download aunque tambin se puede instalar mediante repositorios, ejecutando la orden sudo apt-get install ettercap-gtk ( en ubuntu). Una vez instalado, iniciamos el programa (en el caso de Linux lo ejecutamos como root para poder seleccionar la interfaz de red a utilizar con la orden ettercap --gtk )

Pulsamos la pestaa Sniff > Unified Sniffing, para elegir el modo de sniff. Seleccionamos la interfaz que est conectada a la red.

5 / 10

Pulsamos la pestaa Hosts > Scan for hosts para detectar los host de lared.

Pulsamos la pestaa Host > Host list para ver la relacin de IP-MAC que hay conectadas a la red, cabe destacar que el router ser uno de los listados y que nuestro pc no sale en la lista. Seleccionamos la IP del equipo a atacar y pulsamos Add to Target 1, despus el router Add to Target 2.

6 / 10

Ahora que ya tenemos los objetivos marcados, procedemos al envenenamiento de arp para poder realizar el man in the middle. Pulsamos la pestaa Mitm > ARP Poisoning y marcamos el checkbox Sniff remote connections.

Por ltimo pulsamos la pestaa Start > Start sniffing.

7 / 10

Con esto ya tenemos ettercap snifando el trfico de red entre el host atacado y el router. Al terminar debemos de deshacer el arp spoofing, pulsando en Mitm > Stop Mitim Attack's, para que el otro ordenador no se quede sin acceso a internet. Aqu podemos ver como ettercap muestra los usuarios y contraseas del equipo atacado, siendo indiferente si son http o https, las conexiones seguras.

Tambin podemos realizar ms acciones, desde la pestaa Plugins, como ataques DoS (DoS Attack), dns spoof, detectar arp spoofing (ARP cop), detectar SO (finger print), ver las url por las que navega (remote_browser)

8 / 10

Solucin a esta debilidad

Un mtodo para prevenir el ARP Spoofing, es el uso de tablas ARP estticas, de forma que no existe cach dinmica, cada entrada de la tabla mapea una direccin MAC con su correspondiente direccin IP. Sin embargo, esta no es una solucin prctica, sobre todo en redes grandes, debido al enorme esfuerzo necesario para mantener las tablas ARP actualizadas: cada vez que se cambie la direccin IP de un equipo, es necesario actualizar todas las tablas de todos los equipos de la red. Por lo tanto, en redes grandes es preferible usar otro mtodo: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que estn conectadas a cada puerto, de modo que rpidamente detecta si se recibe una suplantacin ARP. Este mtodo es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y Allied Telesis. Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y enva una notificacin va email al administrador de la red, cuando una entrada ARP cambia. Comprobar la existencia de direcciones MAC clonadas puede ser tambin un indicio de la presencia de ARP Spoofing. Por ejemplo, para evitar que nuestro equipo sea vctima de un ataque man in the middle , bastar con aadir la entrada arp del gateway de manera permanente (cada vez que inicie el sistema, mediante un fichero .sh o .bat):

En ubuntu:

sudo arp -s 192.168.1.1 00:11:22:33:44:55

En windows: arp -s 192.168.1.1 00-11-22-33-44-55

La nica diferencia es el formato de la MAC

9 / 10

Usos legtimos
El ARP Spoofing puede ser usado tambin con fines legtimos. Por ejemplo, algunas herramientas de registro de red, pueden redireccionar equipos no registrados a una pgina de registro antes de permitirles el acceso completo a la red. Otra implementacin legtima de ARP Spoofing, se usa en hoteles para permitir el acceso a Internet, a los porttiles de los clientes desde sus habitaciones, usando un dispositivo conocido como HEP (Head-End Processor o Procesador de Cabecera), sin tener en cuenta su direccin IP. El ARP Spoofing puede ser usado tambin para implementar redundancia de servicios de red. Un servidor de backup puede usar ARP Spoofing para sustituir a otro servidor que falla, y de esta manera ofrecer redundancia de forma transparente.

10 / 10