Este documento describe diferentes tipos de ataques de "hombre en el medio", incluyendo IP spoofing, acceso falso, DNS poisoning y ARP spoofing. Explica cómo funcionan estos ataques y medidas para prevenirlos como el uso de VPN, tablas ARP estáticas, DHCP snooping y detección continua de la red. También recomienda seguir estándares como ISO 27001 e invertir en equipos de red certificados para reducir la vulnerabilidad a estos ataques.

1. Conocido como MITM (Hombre en el medio) “MAIN IN THE MIDDLE”

2. INTRODUCCION Este trabajo trata sobre “Main in themiddle” que significa hombre en el medio, el cual definiremos, y mostraremos los métodos mas comunes.

3. CONTENIDO

4. DEFINICION Es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre 2 computadoras ajenas. Conocido como MITM. PC1 PC2 INTRUSO

5. Este ataque da origen a los siguientes posibles ataques posteriores: SNIFFING SPOOFING NEGACION DEL SERVICIO

6. SNIFFING (Robo de Información) Leer credenciales enviadas. Leer información enviada. Observar el comportamiento de trafico de red del usuario.

7. SPOOFING (Suplantación de identidad) El atacante envía datos como si fuera el origen. Realiza operaciones con los datos del cliente. Mostrar paginas falsas.

8. NEGACION DEL SERVICIO Bloquea el acceso a ciertas paginas.

9. METODOS DE AUTENTIFICACION VULNERADOS CON MITM

12. PASO 3 Después de los pasos anteriores se han ejecutado hay una conexión segura entre la víctima y el anfitrión del atacante de los cuales la víctima no se da cuenta que él es feliz a notar que tiene una conexión segura por lo tanto, sus datos son seguros. El atacante puede crear una conexión segura a la máquina real, descifrar los datos recibidos, aplicar transformaciones, volver a cifrar para la víctima, y ​​enviarlo a él. "La víctima sigue siendo desinformados sin embargo, el hacker ya ha logrado su objetivo.

13. Como evitarlo Mediante el uso de resoluciones DNS inversas Scripts

14. 2)ACCESS POINT FALSO (EVIL TWIN) “Evil Twin” es una potencial amenaza para los usuarios de Wi/Fi que utilizan habitualmente puntos de acceso públicos para conectarse a Internet denominados “hotspot”. Un hacker configura lo que se llama acceso remoto pirata o renegado “rogueaccesspoint” con un mínimo de las características de la red en la cual los usuarios esperan conectarse. Cuando lo hacen ignoran que están en una red falsa, en ese momento el pirata sustrae información sensitiva del equipo, como datos de tarjetas de crédito, contraseñas de correos electrónicos, datos industriales, planos y lo que sea útil para el sujeto; cabe destacar que también afecta a la mensajería instantánea.

15. ¿COMO LO HACE? En un lugar con acceso público a internet ponen el Access point con el mismo SSID que el público y las personas que se conecten a él, pasan por nuestra conexión. Es común que esta técnica se realice en aeropuertos o sanborns y usando el SSID default de prodigy “prodigymovil”. Existe una vulnerabilidad en el algoritmo de conexión a redes preferidas en Windows que permite a un atacante conocer los SSIDs de sus redes preferentes. En Linux esto se puede hacer con una herramienta llamada Karma (http://www.theta44.org/karma/) que te permite conocer los –clientes inalámbricos y falsificar el SSID.

17. Existe una vulnerabilidad en el algoritmo de conexión a redes preferidas en Windows que permite a un atacante conocer los SSIDs de sus redes preferentes. En Linux esto se puede hacer con una herramienta llamada Karma (http://www.theta44.org/karma/) que te permite conocer los –clientes inalámbricos y falsificar el SSID.

18. PREVENCION: La alianza Wi-Fi™ recomienda prevenir este tipo de amenazas con medidas sencillas para evitar ser una víctima: Los usuarios finales deben cambiar sus claves de acceso regularmente. No responder a correos electrónicos con preguntas. Buscar conexiones seguras o que lo soliciten. Buscar puntos de acceso que utilicen VPN. Conocer el listado de los puntos de acceso público que son seguros. Utilizar productos que estén certificados para WPA™ y WPA2™. Ver el estado de configuración de los equipos de fábrica, ya que la seguridad viene deshabilitada. Renombrar el identificador de la red hogareña, generalmente trae un nombre por defecto.

19. Medidas que se deben tomar en los puntos de acceso público: Solamente registrarse en puntos de accesos conocidos que utilicen un acceso SSL (capa de conexión segura) https. Para saber si su conexión es segura verifique si existe un certificado que la respalde. En redes locales solicitar a los administradores que generen redes VPN con encriptación sobre sus túneles. Deshabilitar su tarjeta de wifi en su equipo portátil cada vez que deje de usarlo. Los puntos de accesos deberían ser conocidos o al menos de una fuente confiable. No es suficiente que los productos estén certificados, las claves de seguridad deben ser configuradas en los puntos de accesos y en los dispositivos clientes.

20. Medidas a tener en cuenta en el navegador El ícono del candado. Ventanas emergentes (Pop-up) Vínculos (links) que no son familiares Configuración de la placa de red La tarjeta de crédito debería ser usada solamente para compras por Internet y estar atento a cualquier cambio en el resumen.

21. SOLUCION: Usar una VPN (red privada virtual) es el método más seguro conocido en la actualidad, se puede decir que es algo engorroso instalarlo, pero la satisfacción de estar seguro paga con crecer el trámite realizado. Lo óptimo es realizar una red privada virtual con su empresa a través de algún producto que le permita gestionar esa red en forma automática, de esa manera todo lo que diga o escriba con sus pares será totalmente o casi totalmente seguro.

22. 3) DNS POISONING ¿Cómo funciona el DNS (Domain Name System)? El DNS es como un sistema de respuestas y preguntas. Cuando escribes una dirección en el navegador, por ejemplo www.domisfera.com, este preguntará a los servidores DNS cuál es la dirección IP. Obtendrá 82.194.79.198 como respuesta y entonces lanzará una petición HTTP esa dirección IP para obtener la página web correspondiente. ¿Cómo puedes atacar el DNS?

26. PREVENCION Una forma de prevenir un ataque de envenenamiento de DNS es asegurar que la última versión del software de DNS, llamado Berkeley Internet Name Domain (BIND), este instalado y actualizado. Hacer que el puerto fuente sea aleatorio. Para las grandes empresas implementar el iso-27001 acerca de la gestión de la seguridad.

27. 4) ARP SPOOFING O ARP POISONING ROUTING Spoofing: En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad. Se quiere direccionar el trafico de red entre hots, Host1 y Host2 hacia un tercer Host (atacante) Redirección de trafico de Host1: Se envían mensajes de ARP al Host 1 ligando la IP de Host 2 con la Mac address del atacante. Redirección de trafico de Host 2: Se envían mensajes ARP al Host 2 ligando la IP de Host 1 con la Mac Address del atacante.

28. EJEMPLO ARP SPOOFING

29. EJEMPLO ARP SPOOFING

30. EJEMPLO ARP SPOOFING

31. EJEMPLO ARP SPOOFING

32. EJEMPLO ARP SPOOFING

33. EJEMPLO ARP SPOOFING

34. EJEMPLO ARP SPOOFING

35. EJEMPLO ARP SPOOFING

36. EJEMPLO ARP SPOOFING

37. EJEMPLO ARP SPOOFING

38. EJEMPLO ARP SPOOFING

39. EJEMPLO ARP SPOOFING

40. EJEMPLO ARP SPOOFING

41. EJEMPLO ARP SPOOFING

42. EJEMPLO ARP SPOOFING

43. ¿CÓMO PREVENIR EL ARP SPOOFING? Un método para prevenir el ARP Spoofing, es el uso de tablas ARP estáticas, es decir añadir entradas estáticas ARP, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP # arp -a IP address HW type HW address 172.16.1.3 10Mbps Ethernet 00:00:C0:5A:42:C1 172.16.1.2 10Mbps Ethernet 00:00:C0:90:B3:42 172.16.2.4 10Mbps Ethernet 00:00:C0:04:69:AA

44. ¿CÓMO PREVENIR EL ARP SPOOFING? Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y AlliedTelesis.

46. ¿CÓMO PREVENIR EL ARP SPOOFING? Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía email al administrador de la red, cuando una entrada ARP cambia. COMANDOS: # tail -f /var/log/syslog (notifcaciones en los archivos ) 2) $ arp –a (que ocurre en la tabla arp)

47. RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada. ¿CÓMO PREVENIR EL ARP SPOOFING?

48. CONCLUSIONES Las aplicaciones fundamentales para la empresa, deben residir en sistemas y en estructuras de red diseñados para contrarrestar no solo este tipo de ataque sino, la gran mayoría de ellos y garantizar la Seguridad de la Información acorde al ISO 17799. La comprensión de los conceptos y las prácticas de Seguridad de l puede ayudarle a reducir al mínimo el tiempo de inactividad.

49. Usando en MITM, el atacante puede dar origen a posibles ataques que son el SNIFFING (Robo de información), SPOOFING (Suplantación de cliente) y la negación de servicio (Bloqueo de páginas) cuyos objetivos es violar la privacidad del usuario, sin que este se entere de lo sucedido. El administrador de red y su equipo deben de tener un protocolo de monitoreo constante y/o periódico sobre la red y sus comportamientos.

50. RECOMENDACIONES La Organización debe cumplir con los Estándares Internacionales, en Gestión de la Seguridad de la Información como la ISO 27001:2005 – NTP ISO 17799:2007, de esa manera garantizar una Política de Seguridad de la Información; que a su vez garantiza el cumplimiento del CID. Toda Organización debe estar comprometida con la Seguridad de la Información, en base al uso de buenas prácticas de Tecnología de Información y de soluciones de hardware tolerantes a errores en la organización y poder mejorar tanto la disponibilidad como la escalabilidad.

51. El área de Ti de una empresa debe contar con equipos certificados los cuales reduzcan al mínimo cualquier tipo de ataque perpetuado a la red la seguridad no es un gasto sino es una inversion. Las organizaciones deben crear políticas para limitar el uso del software de búsqueda y de plug-ins de buscadores que no se requieren en la organización. Esto es más que nada una medida prudente para controladores ActiveX, que pueden instalarse sin que los usuarios se enteren.

52. GRACIAS