El spoofing se refiere a la suplantación de identidad para acceder a lugares no autorizados. Existen diferentes tipos de spoofing como el DHCP spoofing que permite a un atacante hacerse pasar por un servidor DHCP y asignar direcciones IP falsas a clientes, y el STP mangling que permite manipular el mapa de red del protocolo STP para interceptar tráfico. La detección de spoofing requiere medidas como deshabilitar servicios innecesarios y configurar manualmente las IPs en redes pequeñas.
2. Es cualquier técnica que sea utilizada para la suplantación de identidad y poder
conseguir con ella acceso a lugares, sitios a los que no se está autorizado.
Hay diferentes tipos de Spoofing que pueden ser utilizados solo por el placer de
conocer (hacker) o para conseguir información y luego venderla o utilizarlo
como malware (Crackers).
La primera vez que se utilizó este término fue en los años ochenta, por Robert
Morris creador del primer gusano de internet.
DHCP SPOOFING
3. Dynamic Host Configuration Protocol (DHCP), que se describe en el RFC 1541, es una
extensión del protocolo Bootstrap (BOOTP). DHCP permite a los hosts en una red TCP /
IP de forma dinámica para obtener información de configuración básica.
Cuando un cliente DHCP arranca, emite un paquete de descubrimiento DHCP en busca
de servidores DHCP. Los servidores DHCP responden a este paquete con un paquete de
oferta de DHCP. El cliente elige un servidor para obtener información de TCP / IP de
configuración (por ejemplo, una dirección IP). La información de configuración se
asigna (arrendado) al cliente por un período corto de tiempo (por ejemplo, segundos o
minutos). El cliente deben renovar periódicamente su contrato de arrendamiento con
el fin de seguir utilizando la configuración.
Su plantación de DHCP
4. Suplantación de SecurID y DHCP - Si un cliente DHCP necesita conectarse a un
servidor DHCP remoto a través de un gasoducto y utiliza una tarjeta SecurID, el cliente
tiene que dar una dirección temporal de la tubería a fin de obtener la autenticación.
En este tipo de medio ambiente, la contraseña de Ascend Protocolo (APP) El servidor
debe autenticar a un usuario antes de una llamada a la red remota se puede hacer. APP
autenticación requiere una dirección IP, pero aceptará una temporal (falso) dirección
suministrada por el gasoducto.
La tubería puede ser configurado para actuar temporalmente como un servidor DHCP
para sus clientes locales, "spoofing" una dirección IP DHCP antes de hacer una
conexión a una red remota y el servidor DHCP. Cuando la tubería se recibe un paquete
de descubrimiento DHCP de un cliente, se le da al cliente una dirección IP temporal con
un tiempo de arrendamiento a corto, para que el cliente puede pasar de autenticación
activa (es decir, introducir el PIN de la tarjeta SecurID).
Después de que el cliente se autentica a través de APP
y los intentos de renovar su contrato de arrendamiento
de la dirección, el gasoducto se niega la solicitud y
establece la llamada a la red remota y el verdadero
servidor DHCP. El cliente recibe la dirección del
servidor DHCP y la dirección falsa puede ser
utilizado para el próximo cliente.
Su plantación de Secur ID y DHCP
5. Snooping DHCP es una característica CISCO catalyst que determina que puertos del
switch pueden responder a las peticiones DHCP.
Los puertos son identificados como confiables y no confiables. Los puertos confiables
pueden enviar todos los mensajes DHCP, mientras que los puertos no confiables
pueden enviar peticiones solamente. Los puertos confiables albergan un servidor DHCP
o pueden ser un enlace a través del servidor si un dispositivo pillo o un puerto no
confiable intenta enviar una respuesta DHCP dentro de la red, el puerto es apagado.
Describiendo el Snooping DHCPEI
6. Los puertos no confiables son aquellos que no están configurados explícitamente
comoconfiables. Una tabla DHCP es construida para los puertos no confiables. Cada
entradacontiene la dirección MAC del cliente, su dirección IP, tiempo de arrendamiento,
tipode vínculo, número de VLAN y ID de puerto registrados como clientes al
hacer peticiones DHCP. La tabla se utiliza para filtrar subsecuentemente el tráfico
DHCP.Desde la perspectiva del snooping DHCP, los puertos de acceso no confiables
nodeberían enviar ninguna respuesta al servidor DHCP, como una DHCPOFFER,DHCPACK o
DHCPNAK.Con la característica DHCP option-82 activada en el switch, el aislamiento
broadcastDHCP puerto a puerto es alcanzado cuando los puertos del cliente están dentro
de unamismaVLAN. Durante los intercambios cliente- servidor, las peticiones
broadcastdesde los clientes conectados a los puertos de acceso VLAN son interceptados
por unagente de entrega ejecutándose en el switch y no son inundados a otros clientes en
lamismaVLAN. El agente de entrega intercepta información adicional dentro de
los paquetes de petición DHCP, como desde que puerto se originó la petición y entonces
loenvía al servidor DHCP. Durante los intercambios cliente-servidor, el servidor
DHCP(independiente de option-82) envía una respuesta broadcast que contiene el
campooption-82. El agente de entrega usa esta información para identificar cual puerto
seconecta al cliente solicitante y evade la transmisión de la respuesta a la
VLANcompleta.(2)
7.
8. DHCP spoofing
El DHCP spoofing consiste en que el atacante trata de ganar al servidor en el
envio cuando emite la respuesta de dirección de IP.
La manera de protegerse de este tipo de ataque es sencillo si es una red
pequeña, deshabilitamos el DHCP y configuramos la IP manualmente, esto es
muy difícil de hacer cuando se trata de una red grande.
Actualmente existe un fallo de gran preocupación con este tipo de ataque
puesto a que el IPv6 da IP a la máquina que la solicite la única manera de
solventar este error es deshabilitando el IPv6 y el DHCP en caso de tra-tarse de
una red pequeña.
9. Reunión informativa: STP (SpanningTree Protocol) se refiere a la mutilación de
la técnica utilizada para el host atacante para ser elegido como el nuevo puente
raíz del árbol de expansión.The attacker may start either by forging BPDUs
(Bridge Protocol Data Units) with high priority assuming to be the new root, or
by broadcasting STP Configuration/TopologyChangeAcknowledgement
BPDUs to get his host elected as the new root bridge. El atacante puede iniciar
ya sea mediante la creación de BPDU (Bridge Protocol Data Unit) con alta
prioridad asumiendo que la nueva raíz, o por radiodifusión STP de
configuración / cambio de topología BPDU de acuse de recibo para obtener su
anfitrión elegido como el nuevo puente raíz.
Al tomar el puente de la raíz, el atacante
será capaz de interceptar la mayor parte del tráfico.
STP MANGLING
10.
11. STP Mangling es un tipo STP dato Man in the Middle, el cual no
sabia ni que existía.
Es el que se utilitza pera manipular el mapa de red de el
Spanning tree en un switch, (En piratería).
Adivinar que cual es juego de ambas la generación de bucles en
el Spanning Tree.
Es puerta de enlace de IPv4 utilizar Ettercap + Lamia per a
explotar aquesta tècnica. Lamia és un plugin per a fer
STP mangling però no he trobat més informació al respecte.
12. Mientras las amenazas a la seguridad de la
información de las empresas e individuos se centran
en la protección contra lo evidente, los atacantes han
hecho grandes adelantos en la sofi sticación de sus
amenazas. Ello deberia ocupar a toda la industria y
sucede, sin embargo, los riesgos no disminuyen y,
dadas las cifras, el peligro mayor proviene del interior
de las empresas.
El asunto es claro: porcentajes que van de 70% a 80%
de los ataques corresponden a los que se hicieron desde
el interior de las empresas. Casi todos responden a
esquemas hoy conocidos como ataques hombre en
medio o man in the middle.
13.
14. El problema mayor es que los resultados, de
igual forma, pueden ser mas letales que incluso
los ataques perpetrados desde el exterior de las
organizaciones.
15. Ataques Man-in-the-middle (intermediario)
man in the middle?
“ Un ataque man-in-the-middle ( MITM ) es un ataque en el que el enemigo adquiere la capacidad de leer,
insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace
entre ellos ha sido violado.”
Algunos ataques mas comunes o conocidos
ARP Poisoning
ARP Spoofing
DNS spoofing
Port Stealing (robo de puerto)
DHCP Spoofing
Otros ataques de tipo MITM:
STP Mangling
Port stealing
ICMP redirection
IRDP spoofing
Route mangling
ATAQUE
16. Que es MITM
Definición y Alcance
Métodos de Autenticación vulnerados
Métodos para realizar MITM
Dns Spoofing y Poisoning (local, lan y via wifi)
Access Point Falso
Proxy Spoofing
ARP Spoofing
Man in The Browser
MITM con AJAX / cURL
Man inThe Middle
17. “Man in The Middle” traducido al español seria “Hombre En Medio” u “Hombre
en el medio” se refiere a que existe alguien en medio de la comunicación entre
el origen y el destino.
El atacante puede observar, interceptar, modificar y retransmitir la información,
lo que da origen a los siguientes posibles ataques posteriores:
> Spoofing
El atacante puede enviar datos como si fuera el origen.
Realizar operaciones con los datos del cliente.
Mostrar páginas falsas.
Enviar los datos a un destino diferente.
DEFINICIONY ALCANCE