Professional Documents
Culture Documents
TRUCOS DE TRÁFICO
Cualquier usuario de una LAN puede curiosear y manipular el tráfico local. Las técnicas denominadas ARP
spoofing y poisoning proporcionan a los atacantes una manera fácil de llevarlo a cabo.
C
uriosidad, venganza o espionaje por David C. Plumier. Como la seguridad Como sería muy costoso el tener que
industrial pueden ser las razones en las tecnologías de la información no retransmitir solicitudes ARP y esperar las
por las que desde dentro de su era un factor importante en aquella respuestas antes de enviar datos, cada
propia red un atacante pueda realizar época, el objetivo era simplemente pro- pila IP contienen una tabla ARP, también
sus fechorías. Las estadísticas confirman porcionar funcionalidad. ARP transfor- conocida como ARP caché (Figura 3). La
que entre el 70 y 80 por ciento de los ata- ma direcciones IP a direcciones MAC. Si caché contiene una tabla con las direc-
ques efectuados a una red proceden el cliente C necesita enviar un paquete al ciones IP y las direcciones MAC corres-
desde dentro de la misma [1]. Los admi- servidor S, tiene que saber cual es la pondientes. La tabla puede albergar
nistradores pasan bastante tiempo impi- dirección MAC de S si ambas máquinas entradas estáticas (por ejemplo, aquellas
diendo estos ataques internos ya que están dentro de la misma subred. Incluso generadas por un usuario) y entradas
proteger la red desde dentro es mucho si S reside en una red diferente, C aún dinámicas (aquellas que ha ido apren-
más difícil que protegerla frente a ata- necesita la MAC -en este caso, la direc- diendo a través del protocolo ARP). Las
ques externos. ción del router que reenviará el paquete. entradas dinámicas a menudo son váli-
Una de las técnicas más formidables de El router se hará cargo de todo lo demás. das para períodos cortos de tiempo, nor-
ataques internos es la que se conoce como Para averiguar la dirección MAC, C malmente unos cuantos minutos.
ARP spoofing. ARP spoofing coloca a un retransmite una solicitud ARP a todas las
atacante en una posición en la que puede máquinas de la red local, preguntando Efectuando ataques en la
espiar y manipular el tráfico local. El ata- “¿Quién tiene la dirección IP a.b.c.d?”. La LAN
que conocido como el hombre de en medio máquina que tiene dicha dirección IP Como ARP no realiza ningún intento por
es fácil de realizar gracias a un software responde indicándole al cliente su direc- protegerse frente paquetes manipulados,
sofisticado, incluso los atacantes con muy ción MAC (Figura 1). es vulnerable a una serie de ataques. Los
pocos conocimientos sobre redes dispo- Como se muestra en la Figura 2, un más comunes son MAC spoofing, MAC
nen de buenas utilidades para llevar a paquete ARP se transporta como informa- flooding y ARP spoofing.
cabo su cometido con éxito. ción dentro de una trama Ethernet. Para MAC spoofing implica que el atacante
permitir que esto pueda hacerse, el valor debe usar una dirección fuente MAC
¿Cómo funciona ARP? de 0x8006 se coloca en la cabecera de la manipulada. Esta técnica tiene sentido si
El protocolo ARP se publicó en trama en el campo tipo – esto le indica al los privilegios van ligados a una dirección
Noviembre de 1982 como RFC 826 [2] destino que se trata de un paquete ARP. MAC. Muchos administradores de WLAN
18 Número 09 WWW.LINUX-MAGAZINE.ES
ARP Spoofing • PORTADA
WWW.LINUX-MAGAZINE.ES Número 09 19
PORTADA • ARP Spoofing
modificar entradas declaradas por los cuentes; de hecho, se suele hacer clic y usuarios y administradores ignoran el
usuarios como estáticas. simplemente ignorar el mensaje. Un aviso, suponiendo que alguien ha cam-
Realizando esto se permite que un ata- error en algunas versiones del navegador biado la clave del servidor. Pocos proto-
cante monitorice el diálogo entre un Internet Explorer hace que sea posible colos o implementaciones son inmunes.
cliente y un servidor y utilizando la téc- atacar las conexiones SSL sin que el (IPsec es una excepción. IPsec rehúsa
nica del “hombre de en medio”, manipu- navegador ni siquiera muestre la alerta. trabajar si algo va mal con el proceso de
le el diálogo. El hombre en medio mani- El ataque a SSH sigue un patrón simi- autenticación).
pula las entradas del servidor en caché lar (Figura 4). Si el cliente ya conoce la A causa de este problema, casi cual-
ARP del cliente, haciendo creer al cliente clave del lado del servidor, mostrará un quier clase de comunicación interna es
que la dirección MAC del atacante es en mensaje claro (Figura 5). Pero muchos vulnerable. Hay incluso herramientas
realidad la dirección del servidor. El
mismo truco se usa para el servidor. Herramientas de Explotación ARP
Si el cliente quiere hablar con el servi- A continuación nombraremos algunos Dsniff: Los programas individuales en
dor, comprobará su tabla ARP manipula- programas que permiten a los atacantes esta suite de herramientas llevan a
da y enviará el paquete a la dirección explotar las vulnerabilidades de ARP. Los cabo distintas tareas. Dsniff, Filesnarf,
MAC del atacante. Esto permite al ata- administradores pueden utilizar estas Mailsnarf, Msgsnarf, Urlsnarf y
cante leer y modificar el paquete antes herramientas para testear sus propias Webspy fisgonean la red y cogen
de reenviarlo al servidor. Entonces el ser- redes. Son bastante útiles para demos- datos interesantes (como claves,
vidor supone que el paquete fue enviado trar la severidad de los ataques ARP. El correos y ficheros). Arpspoof,
directamente por el cliente. La respuesta problema de seguridad real, por supues- Dnsspoof y Macof permiten a los
to, no es el hecho de que estas herra- administradores y atacantes acceder
del servidor de nuevo va al atacante, que
mientas existan, ya que ARP es relativa- a datos que un switch normalmente
la reenvía al cliente. Si el servidor reside
mente inseguro. protege. Sshmitm y Webmitm sopor-
en otra subred, el atacante tan solo tiene
ARP-SK: Los programadores describen tan el ataque hombre de en medio en
que lanzar su ataque contra el router. SSH y HTTPS (aunque el autor se
sus herramientas como una Navaja
Desde luego, un atacante puede provo- refiere a ellos como ataques Monkey
Suiza para ARP; está disponible para
car una denegación de servicio simple- in the Middle). http://naughty.monkey.
versiones Unix y Windows. El progra-
mente descartando cualquier paquete ma puede manipular las tablas ARP en org/~dugsong/dsniff/
recibido. Para manipular los datos, el varios dispositivos. http://www.arp-sk. Ettercap: Un potente programa con
atacante simplemente tiene que reenviar org una interfaz basada en texto (ver Figura
datos diferentes a los que reciba. Los ata- Arpoc y WCI: Este programa para Unix y 4); la última versión también tiene un
cantes pueden fácilmente recolectar con- Windows realiza un ataque tipo hombre interfaz Gtk. Las acciones se realizan
traseñas, ya que el número del puerto les de en medio en la LAN. Contesta a cada automáticamente, con la herramienta
permite averiguar el protocolo usado e petición ARP que alcanza la máquina se muestran tarjetas potenciales en
identificar las credenciales del usuario con una respuesta ARP manipulada y una ventana. Junto a Sniffing, los ata-
reenvía cualquier paquete de entrega no ques ARP y la obtención de claves
basándose en este conocimiento.
local al router apropiado. http://www. automáticas, Ettercap también puede
manipular datos sin una conexión. El
Precaución incluso con SSL phenoelit.de/arpoc/
programa también ataca conexiones
y SSH Arpoison: Una herramienta de línea de
SSHv1 y SSL (utilizando las técnicas
Las conexiones encriptadas no son auto- comandos que crea un paquete ARP
del ataque del hombre de en medio).
máticamente inmunes, como demues- manipulado. El usuario puede especifi-
http://ettercap.sourceforge.net
car la fuente y la dirección IP/MAC de la
tran diversas herramientas ARP. Estos Hunt: Las conexiones fallidas, fisgoneo
tarjeta. http://arpoison.sourceforge.net
programas están ahora disponibles para de datos y secuestro de sesiones. La
varios sistemas operativos (véase el cua- Brian: Esta herramienta extremadamen-
herramienta utiliza manipulación ARP y
te simple (comprendido en un sólo fiche-
dro titulado “Exploits para ARP”). otras técnicas. http://
ro C) utiliza ARP poisoning para deshabi-
Además de la funcionalidad de ARP packetstormsecurity.nl/sniffers/hunt/
litar las interconexiones en la LAN. Esto
poisoning, incluye implementaciones permite a un atacante fisgonear todo el Juggernaut: En 1997, Phrack Magazine
para clientes y servidores de SSL (Secure tráfico en la red. http://www. publicó Juggernaut, el predecesor de la
Socket Layer), TLS (Transport Layer bournemouthbynight.co.uk/tools/ mayoría de los sniffers actuales con
Security), SSH (Secure Shell) o PPTP capacidad para manipular la caché
Cain & Abel: Este sofisticado software
(Point to Point Tunneling Protocol). ARP. http://www.phrack.org/show.
de Windows comenzó como una herra-
Accediendo a un servidor web SSL, el php?p=50&a=6
mienta de recuperación de claves.
navegador alerta al usuario que algo va Fisgonea la red y utiliza una variedad de Parasite: El servicio Parasite fisgonea la
mal con el certificado para la conexión. técnicas para descifrar claves encripta- LAN y responde a peticiones ARP con
Pero hay muchos usuarios que no com- das. La versión 2.5 de la herramienta fue respuestas ARP manipuladas. La herra-
la primera en introducir ARP poisoning, mienta permite gradualmente a la
prenden la importancia de la alerta y
que permite a los atacantes fisgonear el máquina establecerse por sí misma
simplemente la ignoran. El hecho de que
tráfico IP en la LAN. El programa ataca como un hombre de en medio para
muchos servidores usen un certificado cualquier comunicación en la red.
conexiones SSH y HTTPS. http://www.
generado por ellos mismos hace que http://www.thc.org/releases.php
oxid.it/cain.html/
dichas alertas sean relativamente fre-
20 Número 09 WWW.LINUX-MAGAZINE.ES
ARP Spoofing • PORTADA
Snort y ARP
Snort [6] es un ejemplo sobresaliente de te y destino. Si una de estas compara- • Snort comprueba todos los paquetes
lo que es un IDS para redes. Este sistema ciones no coinciden, Snort emite una ARP basándose en una lista de direc-
de detección de intrusiones ayuda a los advertencia. Como en el caso anterior, ciones IP y MAC proporcionadas por
administradores a detectar ataques en esto no detectaría envenenamiento el administrador. Si la dirección IP está
una red en una fase temprana, permi- ARP per se, aunque sí Proxy ARP. Por en la lista, el IDS leerá su correspon-
tiendo implementar contramedidas. otro lado, esta técnica a menudo es diente dirección MAC de la lista y la
Snort dispone de un preprocesador legítima e involucra una máquina que comparará con la dirección MAC del
Arpspoof con cuatro mecanismos de contesta peticiones ARP en delega- paquete y del cuadro Ethernet. En el
detección. ción de otra máquina. caso de discrepancia, Snort emite una
• Para cada petición ARP que detecta, el • El sistema alerta en el caso de peticio- advertencia. Este mecanismo sólo es
preprocesador Arpspoof valida la nes ARP que se envían a direcciones útil para redes pequeñas, al ser el
dirección fuente en el cuadro Ethernet unicast en vez de a broadcast. Aunque esfuerzo de configuración demasiado
contra la dirección fuente el paquete este comportamiento no se conforma grande en otros casos. No hay ningu-
ARP. Si ambas direcciones no coinci- al estándar (que tiene más de 20 na manera de utilizar esta funcionali-
den, emite una advertencia. El enve- años), existen buenas razones para dad de manera consistente con asig-
nenamiento ARP no implica la utiliza- ello. Sin embargo, un auténtico ARP nación dinámica de direcciones
ción de direcciones diferentes en estos no necesita “unicastear” peticiones, (DHCP).
campos, por lo que no se detectaría un por tanto, al igual que más arriba, este En otras palabras, la capacidad de Snort
ataque en todos los casos. mecanismo podría fallar a la hora de para la detección de envenenamiento
• Para respuestas ARP, se lleva a cabo detectar una ataque de envenena- ARP es limitada, al igual que en el caso
una comparación de direcciones fuen- miento. de otros Sistemas de Detección de
Intrusiones.
22 Número 09 WWW.LINUX-MAGAZINE.ES
ARP Spoofing • PORTADA
WWW.LINUX-MAGAZINE.ES Número 09 23