ARP Spoofing – EtterCap
A todo el mundo que le guste el tema de la seguridad, les sonaran términos como sniffer o husmeadores de red. Son programas que se encargan de escuchar y recoger todo el trafico que pasa por la red. Antes era muy sencillo en aquellas redes conectadas a través de Hubs o concentradores, aparatos con un único dominio de colisión y difusión que trabajan en capa 1 (física), en los que cuando se enviaba una trama a través de un puerto esta se retransmitida a través del resto de los puertos, con lo cual si conectabamos un equipo a la red y poníamos la tarjeta de red en modo promiscuo, es decir escuchando todo el tráfico, esta recibía todo sin importar si los paquetes tenían como destino nuestro equipo.
Aquí entraban en juego los sniffers, con los que lo único que teníamos que hacer es esperar y pronto empezaban a caer las contraseñas de protocolos no seguros como pueden ser telnet, ftp, http…
.
Para mejorar en cierto modo los problemas de seguridad así como el rendimiento de la red, nació un nuevo concepto que eran los Switches o conmutadores, que permitían dividir la red en segmentos, con tantos dominios de colisión somo puertos tenga el switches y un único dominio de difusión. Los switches ya empiezan a trabajar en capa 2 (capa de enlace), con lo que empiezan a saber que es eso de la direcciones MAC, que serian las direcciones físicas que tienen asociadas las tarjetas de red. Esto empieza a traer ciertas ventajas. Las tramas ya no se envían a todas las bocas sino que sabe donde se han de enviar, mayor densidad de puertos, mayores velocidades, ¿ mayor seguridad ?….pues no tanta.
Con el uso de los Switches se suponia que la información solo podia ser recibida por su receptor legitimo.
Menuda brasa madre mía….
Ya vamos a ir viendo poco a poco y mas en detalle cada uno de estos conceptos. Un poquito mas y nos ponemos manos a la obra. Hemos hablado de Direcciones físicas (MAC), que como bien nos cuenta la Wikipedia:
identificador de 48 bits (6 bytes) que corresponde de forma única a una tarjeta o interfaz de red. Es individual, cada dispositivo tiene su propia dirección MAC determinada y configurada por el IEEE (los últimos 24 bits) y el fabricante (los primeros 24 bits) utilizando el OUI.
Para que nos entendamos, podemos decir que un ordenador tiene una tarjeta de red con la que se conecta a una red en la que hay mas equipos conectados y cada tarjeta tiene un numerito que lo identifica de forma univoca.
Quizas las MAC no nos suenen tanto, pero lo que seguro sabemos de que va son las dirección IP. Algo así como 10.208.214.0/255.255.255.0 o 10.208.214.0/24 (IP/Netmask). Cuando hablamos de Direcciones Ip estamos trabajando en capa 3 (Red).
Que rollo madre mía…. Solo un poquito mas.
Pues existe un protocolo que es el ARP, que lo que establece es una relación entre las dirección físicas (MAC) y las de red (IP).
No os preocupéis que ya entraremos mas en detalle en todas estas historias.
El trukillo de todo esto consiste en engañar, y realizar asociaciones que no son ciertas entra MAC-IP. También se conoce como un ataque de tipo Man in the middle – Hombre en medio.
Centrémonos en un escenario. Imaginemos que estamos en una empresa pequeñita en la estructura de red es la siguiente
Router — Firewall — Switch — Usuarios de la empresa
Todo el trafico que generen los usuarios pasara por el Switch, luego por el firewall que dispondrá de una serie de reglas de filtrado y finalmente el router lo encaminara hacia el exterior.
Como estamos en una red “Switcheada” se supone que nosotros no debemos recibir nada que no sea para nosotros. Lo que debemos hacer es ponernos en la mitad para que todo el trafico pase a través de nosotros. ¿Y como podemos conseguir esto?. Envenenando las tablas ARP de los que equipos que mantienen una relación entre la dirección MAC e IP.
En este caso en concreto nuestro gateway o ruta por defecto es el firewall. Entonces lo que debemos intentar es hacer creer a los equipos que nosotros somos el Gateway, y a su vez tenemos que hacer creer al Firewall que nosotros somos el equipo al que tiene que reenviar la información. Con esto conseguimos que todo el trafico pase por nosotros.
Se que estamos sacando muchos conceptos, pero esta bien ir soltándolos para que nos vayan sonando.
Al grano. Como podemos poner en practica este ataque de una forma sencilla. Pues con una herramienta llamada ettercap.
Si trabajamos un un sistemas linux debian el proceso es muy sencillo.
Para instalarla ejecutamos: apt-get install ettercap-gtk (seria con interface gráfico).
Tenemos que editar el archivo de configuración etter.conf que en las ultimas versiones estará dentro del directorio etc, y si estamos trabajando en un sistema linux, editamos el archivo y de-comentamos siguientes lineas:
vi /etc/etter.conf
redir_command_on = «iptables -t nat -A PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport»
redir_command_off = «iptables -t nat -D PREROUTING -i %iface -p tcp –dport %port -j REDIRECT –to-port %rport»
Ya comentaremos mas adelante cosillas sobre IpTables (Firewall) y NAT.
Ya tenemos la instalación preparada. Ahora ejecutamos con privilegios de root ettercap -–gtk. Nos aparece una consola muy bonita.
Ejecutamos Shift+U y seleccionamos la interfaz de red de la que queremos capturar el trafico.
Pulsamos la combinación de teclas Ctrl+S para que nos detecte todos los equipos que tenemos conectados en la red, y seleccionamos el menu HOSTs para ver las maquinas que ha reconocido.
Aquí ya podemos realizar un ataque a todos los equipos o solo a lo que nos interesan.
Ahora solo nos queda seleccionar desde el menú mintm- arp poisoning – snifft remote connection, y comienza el ataque.
Luego vamos a la opción Start-Start sniffing. Y empezamos a jugar.
Veréis que pronto empiezan a caer contraseñas:Gmail, ftp…