Hacking en redes conmutadas y SSL.
(23693 lectures)
Por Miguel Angel Coll
cuoyot
(www.cuoyot.net)
Creado el 15/02/2002 21:55 modificado el 15/02/2002 22:10
|
Mucha gente cree que no sirve de nada montar un sniffer en una red conmutada. Otros piensan que el SSL es 100% seguro. Todos ellos aun no han leido este artículo. |
Pagina1/1 |
Quien no ha oído decir: "En las redes conmutadas no sirve de nada meter un sniffer", o "Es imposible capturar una sesión SSL o SSH". Hasta yo creo haberlo dicho alguna vez.
Pues bien, como se suele decir "Hecha la ley, hecha la trampa".
Como Sniffear en redes conmutadas:
Las técnicas utilizadas para sniffear en redes conmutadas se basan en el conocido "ARP poison" (envenenamiento ARP). Este sencillo ataque consiste en mandar un paquete del tipo "REPLY ARP" en el que otorgamos a una IP una MAC distinta de la real. La mayoría de los S.O (excepto Linux 2.4 y Solaris 8) no implementan estados en el protocolo ARP y por tanto aceptan el REPLY aún sin haber realizado ninguna petición.
Usando esta técnica para sniffear las conexiones entre dos equipos "A" y "B", mandaremos al equipo "A" un "ARP REPLY" diciéndole que la MAC correspondiente a la ip de "B" es la del equipo donde está el sniffer. Seguidamente haremos la operación inversa con B y haremos un _mini_proxy entre A y B. De esta forma todas las comunicaciones entre A y B pasarán por nuestra máquina.
Seguro que los más avispados pensaréis: "Pero si los switch's no soportan una MAC por dos puertos distintos". Eso es cierto, los switch's guardan una tabla con las MAC's visibles desde cada una de sus bocas. Pero esa caché tiene un tamaño limitado, ¿qué pasa si la llenamos de entradas falsas? por lo general se vuelve a generar con la nueva información.
También he oído comentar que los servidores DNS pueden envenenarse, esto nos daría la posibilidad de sniffear a través de Internet.
Como capturar una sesión SSL:
Leyendo el apartado anterior ya podemos suponer por donde viene el problema. La técnica utilizada se conoce como "Man in The middle".Esta técnica consiste en capturar el establecimiento de la conexión por parte del cliente "A"; acto seguido enviamos otra petición igual que la capturada hacia el servidor "B" con origen la ip del sniffer. A la vez, enviamos un certificado Falso (más o menos currado) hacia el cliente y realizamos un _mini_proxy entre las 2 conexiones establecidas. De esta manera en el sniffer tenemos la comunicación desencriptada. El gran fallo de este ataque es que si el cliente no es tonto (demasiado suponer), no aceptará el certificado falso.
La mayor dificultad estriba en la captura inicial que se deberá realizar por envenenamiento de "ARP" o de "DNS".
La manera fácil de hacer todo esto:
http://ettercap.sourceforge.net
http://www.monkey.org/~dugsong/dsniff/
Conclusiones generales
Sospecha de las tablas ARP con entradas MAC repetidas. No deposites toda tu confianza en el switch. Si sospechas, instala un detector de intrusión (http://www.snort.org) . Nunca aceptes certificados en conexiones SSL( sobretodo de bancos en los que tengas más de 100 pts.).
Miguel Ángel Coll
Agradecimientos: Ignacio Pérez.
|
|
|
|
|
|
|---|
Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos
|
1. Re: Hacking en redes conmutadas y SSL. (16/02/2002 05:25, #4848)
Por: rafalinux82 |
| Muy bueno, gran articulo que os habeis elaborao, hasta el momento desconocía la existencia de dichos comandos.
gracias |
|
2. Re: Hacking en redes conmutadas y SSL. (16/02/2002 15:32, #4850)
Por: v1k1ng0 |
Hola,
hace poco traduje un articulo al respecto de la phrack, mas concretamente articulo 6, numero 57, sobre un programa llamado Taranis, que es capaz de reexpedir el trafico en redes conmutadas enviando trafico ethernet falsificado, que no es lo mismo que el ataque de 'ARP poison'. Pronto se colgara la traduccion en http://raregazz.cjb.net o http://raregazz.com.ar. Recomiendo que le echen un vistazo al programa (http://www.bitland.net/taranis).
Saludos... |
|
3. Re: Hacking en redes conmutadas y SSL. (17/02/2002 22:42, #4868)
Por: cuoyot |
Muy bueno el texto que has traducido. Me encantó la parte de las ratas, creo que ese mismo ejemplo lo empleó algún profesor mio de la universidad.
Sobre el tema de engañar a los switches, desconocía esa posibilidad, me parece muy interesante y digna de estudio. El único problema que le veo es que si no lo he pillado mal, la IP del sniffer quedará registrada en los logs del servidor POP, IMAP, etc..
En fin, muy chulo, Miguel Ángel Coll. |
|
|
4. Re: Hacking en redes conmutadas y SSL. (10/07/2003 11:57, #15793)
Por: anonymous |
| artículo muy pobre que no aporta nada |
|
5. Re: Hacking en redes conmutadas y SSL. (21/10/2004 18:00, #23897)
Por: Adar |
| Suficiente como para saber como funciona taranis; muy correcto |
|
6. Re: Hacking en redes conmutadas y SSL. (24/04/2007 21:19, #40309)
Por: Anónimo |
| Este articulo disculpen pero no aporta nada al aprendizaje acerca de Hackear redes |
|
7. Re: Hacking en redes conmutadas y SSL. (28/05/2007 09:39, #42083)
Por: kernelnet Informática (http://www.kernelnet.com) |
| Muy interesante. |
|
