main in the middle

C O N O C I D O C O M O M I T M

( H O M B R E E N E L M E D I O )

“MAIN IN THE MIDDLE”

INTRODUCCION

Este trabajo trata sobre “Main in the middle” quesignifica hombre en el medio, el cual definiremos, ymostraremos los métodos mas comunes.

CONTENIDO

DEFINICION

Es un ataque en el que el enemigo adquiere lacapacidad de leer, insertar y modificar a voluntad,los mensajes entre 2 computadoras ajenas.

Conocido como MITM.

Este ataque da origen a los siguientes posibles ataques posteriores:

SNIFFING (Robo de Información)

Leer credenciales enviadas.

Leer información enviada.

Observar el comportamiento de trafico de red delusuario.

SPOOFING (Suplantación de identidad)

El atacante envía datos como si fuera el origen.

Realiza operaciones con los datos del cliente.

Mostrar paginas falsas.

NEGACION DEL SERVICIO

Bloquea el acceso a ciertas paginas.

METODOS DE AUTENTIFICACION

VULNERADOS CON MITM

1) IP Spoofing (Transparent proxy attack)

Por IP Spoofing entendemos la técnica por la cual falseamos una IPorigen (normalmente) con el objetivo habitual de burlar Firewalls,ocultar la identidad (Decoy)

• Para ejecutar este ataque de los hackers intentan engañar a lavíctima a través mencionados a continuación tres sencillos pasos..Paso tres explica analogía de MITM en caso de HTTPS

PASO 1

Reescritura de direcciones URL: Anteponer todos los URLcon el anfitrión del atacante para que las solicitudes seenrutan a través de él http://home.netscape.com/ porhttp://www.attacker.org/http://www.server.com/

PASO 2 Las páginas se solicitó entonces a través de www.attacker.org,que funciona como un proxy para ir a buscar la página de verdad(en este caso, http://www.server.com/), la aplicación decualquiera de las transformaciones deseadas del atacante en elproceso.

PASO 3Después de los pasos anteriores se han ejecutado hay unaconexión segura entre la víctima y el anfitrión del atacante de loscuales la víctima no se da cuenta que él es feliz a notar que tieneuna conexión segura por lo tanto, sus datos son seguros.

El atacante puede crear una conexión segura a la máquina real,descifrar los datos recibidos, aplicar transformaciones, volver acifrar para la víctima, y enviarlo a él. "La víctima sigue siendodesinformados sin embargo, el hacker ya ha logrado su objetivo.

Como evitarlo

Mediante el uso de resoluciones DNS inversas

Scripts

2)ACCESS POINT FALSO (EVIL TWIN)

“Evil Twin” es una potencial amenaza para los usuarios de Wi/Fi queutilizan habitualmente puntos de acceso públicos para conectarse aInternet denominados “hotspot”.

Un hacker configura lo que se llama acceso remoto pirata o renegado“rogue access point” con un mínimo de las características de la red en lacual los usuarios esperan conectarse.

Cuando lo hacen ignoran que están en una red falsa, en ese momento elpirata sustrae información sensitiva del equipo, como datos de tarjetasde crédito, contraseñas de correos electrónicos, datos industriales,planos y lo que sea útil para el sujeto; cabe destacar que también afecta ala mensajería instantánea.

¿COMO LO HACE?

En un lugar con acceso público a internet ponen elAccess point con el mismo SSID que el público y laspersonas que se conecten a él, pasan por nuestraconexión. Es común que esta técnica se realice enaeropuertos o sanborns y usando el SSID default deprodigy “prodigymovil”.

Existe una vulnerabilidad en el algoritmo de conexión aredes preferidas en Windows que permite a unatacante conocer los SSIDs de sus redes preferentes.

En Linux esto se puede hacer con una herramientallamada Karma

(http://www.theta44.org/karma/) que te permiteconocer los –clientes inalámbricos y falsificar el SSID.

Existe una vulnerabilidad en el algoritmo deconexión a redes preferidas en Windows quepermite a un atacante conocer los SSIDs de susredes preferentes.

En Linux esto se puede hacer con una herramientallamada Karma

(http://www.theta44.org/karma/) que te permiteconocer los –clientes inalámbricos y falsificar elSSID.

PREVENCION:

La alianza Wi-Fi™ recomienda prevenir este tipo de amenazas con medidas sencillas para evitar ser una víctima:

Los usuarios finales deben cambiar sus claves de acceso regularmente.

No responder a correos electrónicos con preguntas. Buscar conexiones seguras o que lo soliciten. Buscar puntos de acceso que utilicen VPN. Conocer el listado de los puntos de acceso público que son seguros. Utilizar productos que estén certificados para WPA™ y WPA2™. Ver el estado de configuración de los equipos de fábrica, ya que la

seguridad viene deshabilitada. Renombrar el identificador de la red hogareña, generalmente trae

un nombre por defecto.

Medidas que se deben tomar en los puntos de acceso público:

Solamente registrarse en puntos de accesos conocidosque utilicen un acceso SSL (capa de conexión segura)https. Para saber si su conexión es segura verifique siexiste un certificado que la respalde.

En redes locales solicitar a los administradores quegeneren redes VPN con encriptación sobre sus túneles.

Deshabilitar su tarjeta de wifi en su equipo portátil cadavez que deje de usarlo.

Los puntos de accesos deberían ser conocidos o al menosde una fuente confiable.

No es suficiente que los productos estén certificados, lasclaves de seguridad deben ser configuradas en los puntosde accesos y en los dispositivos clientes.

Medidas a tener en cuenta en el navegador

El ícono del candado.

Ventanas emergentes (Pop-up)

Vínculos (links) que no son familiares

Configuración de la placa de red

La tarjeta de crédito debería ser usada solamente para compras por Internet y estar atento a cualquier cambio en el resumen.

SOLUCION: Usar una VPN (red privada virtual) es el método más

seguro conocido en la actualidad, se puede decir que es algo engorroso instalarlo, pero la satisfacción de estar seguro paga con crecer el trámite realizado.

Lo óptimo es realizar una red privada virtual con su empresa a través de algún producto que le permita gestionar esa red en forma automática, de esa manera todo lo que diga o escriba con sus pares será totalmente o casi totalmente seguro.

3) DNS POISONING

¿Cómo funciona el DNS (Domain Name System)?

El DNS es como un sistema de respuestas y preguntas.

Cuando escribes una dirección en el navegador, por ejemplo

www.domisfera.com, este preguntará a los servidores DNS

cuál es la dirección IP. Obtendrá 82.194.79.198 como

respuesta y entonces lanzará una petición HTTP esa

dirección IP para obtener la página web correspondiente.

¿Cómo puedes atacar el DNS?

PREVENCION

Una forma de prevenir un ataque de envenenamiento de

DNS es asegurar que la última versión del software de

DNS, llamado Berkeley Internet Name Domain (BIND),

este instalado y actualizado.

Hacer que el puerto fuente sea aleatorio.

Para las grandes empresas implementar el

iso-27001 acerca de la gestión de la seguridad.

4) ARP SPOOFING O ARP POISONING ROUTING

Spoofing: En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad.

Se quiere direccionar el trafico de red entre hots, Host1 y Host2 hacia un tercer Host (atacante)

Redirección de trafico de Host1: Se envían mensajes de ARP al Host 1 ligando la IP de Host 2 con la Mac address del atacante.

Redirección de trafico de Host 2: Se envían mensajes ARP al Host 2 ligando la IP de Host 1 con la Mac Address del atacante.

EJEMPLO ARP SPOOFING

¿CÓMO PREVENIR EL ARP SPOOFING?

Un método para prevenir el ARP Spoofing, es eluso de tablas ARP estáticas, es decir añadirentradas estáticas ARP, de forma que no existecaché dinámica, cada entrada de la tabla mapeauna dirección MAC con su correspondientedirección IP

• # arp -a

• IP address HW type HW address 172.16.1.3 10Mbps Ethernet 00:00:C0:5A:42:C1 172.16.1.2 10Mbps Ethernet 00:00:C0:90:B3:42 172.16.2.4 10Mbps Ethernet 00:00:C0:04:69:AA

Por lo tanto, en redes grandes es preferible usar otrométodo: el DHCP snooping. Mediante DHCP, eldispositivo de red mantiene un registro de lasdirecciones MAC que están conectadas a cadapuerto, de modo que rápidamente detecta si serecibe una suplantación ARP. Este método esimplementado en el equipamiento de red defabricantes como Cisco, Extreme Networks y AlliedTelesis.


Otra forma de defenderse contra el ARP Spoofing, esdetectarlo. Arpwatch es un programa Unix que escucharespuestas ARP en la red, y envía una notificación víaemail al administrador de la red, cuando una entradaARP cambia.

COMANDOS:

1) # tail -f /var/log/syslog (notifcaciones en los archivos )

2) $ arp –a (que ocurre en la tabla arp)


RARP (“Reverse ARP”, o ARP inverso) es elprotocolo usado para consultar, a partir de unadirección MAC, su dirección IP correspondiente. Siante una consulta, RARP devuelve más de unadirección IP, significa que esa dirección MAC ha sidoclonada.


CONCLUSIONES

Las aplicaciones fundamentales para laempresa, deben residir en sistemas y enestructuras de red diseñados para contrarrestarno solo este tipo de ataque sino, la granmayoría de ellos y garantizar la Seguridad de laInformación acorde al ISO 17799.

La comprensión de los conceptos y las prácticasde Seguridad de l puede ayudarle a reducir almínimo el tiempo de inactividad.

Usando en MITM, el atacante puede dar origen aposibles ataques que son el SNIFFING (Robo deinformación), SPOOFING (Suplantación decliente) y la negación de servicio (Bloqueo depáginas) cuyos objetivos es violar la privacidad delusuario, sin que este se entere de lo sucedido.

El administrador de red y su equipo deben detener un protocolo de monitoreo constante y/operiódico sobre la red y sus comportamientos.

RECOMENDACIONES

La Organización debe cumplir con los EstándaresInternacionales, en Gestión de la Seguridad de laInformación como la ISO 27001:2005 – NTP ISO17799:2007, de esa manera garantizar una Política deSeguridad de la Información; que a su vez garantiza elcumplimiento del CID.

Toda Organización debe estar comprometida con laSeguridad de la Información, en base al uso de buenasprácticas de Tecnología de Información y de solucionesde hardware tolerantes a errores en la organización ypoder mejorar tanto la disponibilidad como laescalabilidad.

El área de Ti de una empresa debe contar conequipos certificados los cuales reduzcan al mínimocualquier tipo de ataque perpetuado a la red laseguridad no es un gasto sino es una inversion.

Las organizaciones deben crear políticas paralimitar el uso del software de búsqueda y de plug-ins de buscadores que no se requieren en laorganización. Esto es más que nada una medidaprudente para controladores ActiveX, que puedeninstalarse sin que los usuarios se enteren.

GRACIAS

main in the middle

Documents

datos de tarjetas

datos industriales

datos recibidos

conexin segura

mitm hombre

travs de

vctima a travs mencionados

acceso pblico a internet