ataque man in-the-middle
TRANSCRIPT
Ataque Man-in-the-middle
Instituto de Estudios Universitarios
Sesión 01
Ataque Man-in-the-middle
En criptografía, un ataque man-in-the-middle o JANUS (MitM o intermediario, en
español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y
modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca
que el enlace entre ellos ha sido violado.
El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas.
El ataque MitM es particularmente significativo en el protocolo original de
intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación.
La necesidad de una transferencia adicional por un canal seguro
Salvo el Interlock Protocol, todos los sistemas criptográficos seguros frente a ataques
MitM requieren un intercambio adicional de datos o la transmisión de cierta
información a través de algún tipo de canal seguro. En ese sentido, se han
desarrollado muchos métodos de negociación de claves con diferentes exigencias de
seguridad respecto al canal seguro
Posibles subataques
El ataque MitM puede incluir algunos de los siguientes subataques:
Intercepción de la comunicación (eavesdropping), incluyendo análisis del tráfico y
posiblemente un ataque a partir de textos planos (plaintext) conocidos.
Ataques a partir de textos cifrados escogidos, en función de lo que el receptor haga
con el mensaje descifrado.
Ataques de sustitución.
Ataques de repetición.
Posibles subataques
Ataque por denegación de servicio (denial of service). El atacante podría, por ejemplo,
bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso
pasa por el envío periódico de mensajes de status autenticados.
MitM se emplea típicamente para referirse a manipulaciones activas de los mensajes,
más que para denotar intercepción pasiva de la comunicación.
Defensas contra el ataque
La posibilidad de un ataque de intermediario sigue siendo un problema potencial de
seguridad serio, incluso para muchos cripto sistemas basados en clave pública. Existen
varios tipos de defensa contra estos ataques MitM que emplean técnicas de
autenticación basadas en:
Claves públicas
Autenticación mutua fuerte
Claves secretas (secretos con alta entropía)
Passwords (secretos con baja entropía)
Otros criterios, como el reconocimiento de voz u otras características biométricas
Defensas contra el ataque
La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no
exigen ser secretas, mientras que los passwords y las claves de secreto compartido
tienen el requerimiento adicional de la confidencialidad.
Las claves públicas pueden ser verificadas por una autoridad de certificación (CA),
cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada
en el navegador web o en la instalación del sistema operativo).
Defensas contra el ataque
La integridad de las claves públicas debe asegurarse de alguna manera, pero éstas no
exigen ser secretas, mientras que los passwords y las claves de secreto compartido
tienen el requerimiento adicional de la confidencialidad.
Las claves públicas pueden ser verificadas por una autoridad de certificación (CA),
cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada
en el navegador web o en la instalación del sistema operativo).
EJEMPLO 1
Ejemplo 1
Abrimos nuestra distro kali en Vmware, pero debemos colocar la red de nuestra distro
en la maquina virtual en modo bridge o puente como se ilustra, si en tu caso no tienes
mas maquinas virtuales dentro de la red
Ejemplo 1
Ejemplo 1
Abrimos una terminal
Ejemplo 1
Ejemplo 1
Tecleamos lo siguiente
Ejemplo 1
Ejemplo 1
Se abrirá la siguiente ventana
Ejemplo 1
Ejemplo 1
Recordemos que es Ettercap
Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta
direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH
y HTTPS).
También hace posible la inyección de datos en una conexión establecida y filtrado al
vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer
un Ataque Man-in-the-middle(Spoofing).
Ejemplo 1
Recordemos que es Ettercap
Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta
direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH
y HTTPS).
También hace posible la inyección de datos en una conexión establecida y filtrado al
vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer
un Ataque Man-in-the-middle(Spoofing).
Ejemplo 1
Si escribimos
ettercap –h
Nos saldrá la línea de comando que podemos ejecutar si escogemos la opción de la
consola
Ejemplo 1
Ejemplo 1
Ejemplo 1
Ejemplo 1
Ahora si escribimos lo siguiente
ettercap –T –M ARP –i eth0 // //
Tomando en cuenta que
-T significa el modo texto
-M un ataque MITM
Ejemplo 1
ARP Es un ataque de MITM para redes ethernet, que permite al atacante capturar el
tráfico que pasa por la LAN y también detenerlo (una denegación de servicio o DoS).
Consiste en enviar algunos mensajes ARP falsos ('spoofed'). Estos frames ethernet
contienen las direcciones MAC manipuladas según la conveniencia del atacante. Estos
mensajes confunden a los dispositivos de red (principalmente a los switchs). Como
resultado los frames de las víctimas son enviados al atacante o a un destino no válido
en el caso de una "DoS".
Ejemplo 1
Ahora si escribimos lo siguiente
ettercap –T –M ARP –i eth0 // //
Tomando en cuenta que
-eth0 interfaz a través de cable
Ejemplo 1
Ejemplo 1
Ejemplo 1
Ejemplo 1
Ejemplo 1
Ahora en otra terminal escribiremos lo siguiente
driftnet –h
Tomando en cuenta que
-h será como el wizard de comando en los cuales nos podemos apoyar para utilizar
este capturador del trafico de la red en forma de imagenes
Ejemplo 1
Ejemplo 1
Ejemplo 1
Ejemplo 1
En esa misma terminal ahora escribiremos
driftnet –i eth0
Tomando en cuenta que
-i selecciona la interface a escuchar, por defaults son todas
etho a travez del cable
Ejemplo 1
Ejemplo 1
Abrimos en la maquina física el navegador en mi caso abrí el Chrome, nos vamos a
youtube, tecleamos un video o lo que queramos, le damos play, y se supone que el
drifnet debe de capturar ese tráfico en forma de imágenes como se denota a
continuación
Ejemplo 1