Pequeño trabajo investigativo: Redes caseras.
Primero que todo me disculpo si este tema no va aquí.
Ahora si explico mi historia.
En algún lugar (y si no estoy mal fue en este foro) leí algo que me confirmaba algo con lo que creo que todos estamos de acuerdo: "Las redes caseras son cada vez más comunes y si están mal configuradas pueden generar vulnerabilidades en los datos que viajan por esa red." Por otro lado, en la U debo hacer un trabajo de investigación y esto me sirvió como medio perfecto para hacer algo que me interesa y a la vez cumplir con esa investigación así que me puse "manos a la obra" para averiguar cuales son las vulnerabilidades comunes en una red casera, cómo se efectúan, se descubren y se previenen tratando de dejar eso claro para el usuario común.
Como una contrariedad me voy a enfocar con Linux :D aunque no estaría mal abarcarlo para el usuario de windows con el uso de software libre.
Hace poco descargué la versión 4 de BackTrack y me ha funcionado muy bien (aunque hay muchas herramientas que no sé para que son :( ). Así que con el BackTrack y mi red me puse a pensar qué tipos de ataque se podría hacer y solo se me ha ocurrido lo siguiente:
- Obtener la contraseña de la red inalámbrica: Aircrack-ng me parece el indicado.
- Hacer un Sniffing; Wireshark para obtener información.
- Un envenenamiento ARP: Ettercap para robar información.
Hasta ahora no se me ha ocurrido mas Xo.
En cuanto a la prevención creo que lo más importante es evitar el acceso a la red inalambrica usando WPA2 con una buena contraseña y configurando mejor el router. Para detectar intrusiones sería hacer vigilancia de Hosts con nmap o algo por el estilo.
Como se darán cuenta me falta mucho y este tema tiene tres objetivos:
- Saber si lo que he hecho está bien enfocado.
- Preguntar qué otros ataques y respectivas protecciones existen.
- Aclarar un problemilla con ettercap que va acontinuación.
Ettercap: Lo que busco hacer es hacer el envenenamiento ARP para que redireccione el tráfico de ej: www.google.com al servidor apache del BT. lo que hago es...
Inicio el disco de BT, inicio la red y el servidor, modifico el archivo ettercap.dns con los parámetros dns necesarios, inicio ettercap en unified sniffing, activo el plugin para el envenenamiento, busco hosts, los añado a la lista, inicio el envenenamiento y por último inicio el sniffing. Pero no siempre funciona :eek: :confused:
Realmente no sé por qué pasa pero me he dado cuenta (con el uso de Cain & Abel) de que en ocasiones me hace un envenenamiento a medias ya sea con la tarjeta wireless o con la ethernet pero ¿por qué? fuera siempre diría que es cuestión de la tarjeta pero no. Hace poco encontré en los plugins de ettercap algo que me mostraba si el envenenamiento estaba bien y me da los mismos resultados; en ocasiones a medias y en otras completo. Como si fuera poco traté de ejecutarlo sin el plugin y en orden diferente (creo que soy un poco iluso) con los mismos resultados.
Si alguien me puede ayudar con eso le agradeceré mucho. Espero que la información que di sea suficiente pero si necesitan más solo digan (Pero nada de datos privados je je je).
Continuando con el proyecto.
Es hora de empezar a preguntar por Ettercap que es el siguiente paso.
Hoy empecé a manejar con un poco más de atención Ettercap. Como lo había dicho antes al hacer un DNS spoofing con un firewall decente (que no sea el que viene por defecto con windows) el spoofing se hace en un solo sentido, por lo cual desactivé el firewall en el pc que iba a manejar como cliente.
El archivo etter.dns lo arreglé para que redireccionara www.google.com a la ip del servidor arreglado; funcionó así que detuve el ataque para empezar a trabajar con el nombre DNS que tengo.
El primer problema que tuve fue que a pesar de haber detenido el DNS spoff el pc que estaba siendo atacado quedó con la "memoria" de lo que se había hecho y esto se mantuvo durante un buen tiempo sin importar si reiniciaba el pc o no. Es decir que si escribía la dirección me redireccionaba al servidor. ¿cómo puedo "limpiar" lo que hice con ettercap? al querer abrir google tuve que hacerlo con el subdominio ".com.co" lo cual me resultó un tanto tedioso.
Otra cosa que quería preguntar es si es válido poner en el archivo etter.dns la línea para que al escribir la dirección en el navegador aparezca en la barra de direcciones algo asi como https://www.google.com. Lo que quiero decir que si el ataque puede hacerse para que al escribir determinada dirección, el navegador cargue los datos correspondientes al nombre DNS deseado aún si es HTTPS.