Pequeño trabajo investigativo: Redes caseras.

[desevensa]

Primero que todo me disculpo si este tema no va aquí.

Ahora si explico mi historia.

En algún lugar (y si no estoy mal fue en este foro) leí algo que me confirmaba algo con lo que creo que todos estamos de acuerdo: "Las redes caseras son cada vez más comunes y si están mal configuradas pueden generar vulnerabilidades en los datos que viajan por esa red." Por otro lado, en la U debo hacer un trabajo de investigación y esto me sirvió como medio perfecto para hacer algo que me interesa y a la vez cumplir con esa investigación así que me puse "manos a la obra" para averiguar cuales son las vulnerabilidades comunes en una red casera, cómo se efectúan, se descubren y se previenen tratando de dejar eso claro para el usuario común.

Como una contrariedad me voy a enfocar con Linux aunque no estaría mal abarcarlo para el usuario de windows con el uso de software libre.

Hace poco descargué la versión 4 de BackTrack y me ha funcionado muy bien (aunque hay muchas herramientas que no sé para que son ). Así que con el BackTrack y mi red me puse a pensar qué tipos de ataque se podría hacer y solo se me ha ocurrido lo siguiente:

1. Obtener la contraseña de la red inalámbrica: Aircrack-ng me parece el indicado.
2. Hacer un Sniffing; Wireshark para obtener información.
3. Un envenenamiento ARP: Ettercap para robar información.

Hasta ahora no se me ha ocurrido mas Xo.

En cuanto a la prevención creo que lo más importante es evitar el acceso a la red inalambrica usando WPA2 con una buena contraseña y configurando mejor el router. Para detectar intrusiones sería hacer vigilancia de Hosts con nmap o algo por el estilo.

Como se darán cuenta me falta mucho y este tema tiene tres objetivos:

1. Saber si lo que he hecho está bien enfocado.
2. Preguntar qué otros ataques y respectivas protecciones existen.
3. Aclarar un problemilla con ettercap que va acontinuación.

Ettercap: Lo que busco hacer es hacer el envenenamiento ARP para que redireccione el tráfico de ej: www.google.com al servidor apache del BT. lo que hago es...
Inicio el disco de BT, inicio la red y el servidor, modifico el archivo ettercap.dns con los parámetros dns necesarios, inicio ettercap en unified sniffing, activo el plugin para el envenenamiento, busco hosts, los añado a la lista, inicio el envenenamiento y por último inicio el sniffing. Pero no siempre funciona

Realmente no sé por qué pasa pero me he dado cuenta (con el uso de Cain & Abel) de que en ocasiones me hace un envenenamiento a medias ya sea con la tarjeta wireless o con la ethernet pero ¿por qué? fuera siempre diría que es cuestión de la tarjeta pero no. Hace poco encontré en los plugins de ettercap algo que me mostraba si el envenenamiento estaba bien y me da los mismos resultados; en ocasiones a medias y en otras completo. Como si fuera poco traté de ejecutarlo sin el plugin y en orden diferente (creo que soy un poco iluso) con los mismos resultados.

Si alguien me puede ayudar con eso le agradeceré mucho. Espero que la información que di sea suficiente pero si necesitan más solo digan (Pero nada de datos privados je je je).

[desevensa]

Creo que encontré el problema con ettercap. Me puse a buscar y resulta que al desactivar el firewall funciona. Entonces intenté cambiar el firewall (desactivar el que tengo y activar el de windows) y funciona.

Entonces me respondí una pregunta pero ahora tengo otra: ¿por qué el firewall permite el envenenamiento entre el cliente y el router sólo en ocasiones? Me imagino que debería funcionar de la misma manera siempre.

¿alguna idea?

[desevensa]

Espero no estar escribiendo un diario personal sino que esto sea leído y mejorado por parte de alguien.

Volviendo al tema de ettercap ahora tengo un problema tanto de traducción como de hardware... Para empezar a esnifar hay dos opciones Unified y Bridged. He intentado tomar la opción de Bridged pero BackTrack no me permite dos conexiones simultaneas al mismo router así que debo hacerlo en mi linux instalado.

Antes de instalar ettercap en Mandriva (es lo que uso ahora) me puse a leer en el manual tratando de tener en claro lo que tengo que hacer. El manual no dice mucho, realmente solo tiene un párrafo de ello y no lo entiendo muy bien.

BRIDGED, it uses two network interfaces and forward the traffic from
one to the other while performing sniffing and content filtering. This
sniffing method is totally stealthy since there is no way to find that
someone is in the middle on the cable. You can look at this method as
a mitm attack at layer 1. You will be in the middle of the cable
between two entities. Don't use it on gateways or it will transform
your gateway into a bridge. HINT: you can use the content filtering
engine to drop packets that should not pass. This way ettercap will
work as an inline IPS

Realmente no tengo conocimientos profundos en topología de redes entonces

Pregunta 1: En la parte en la que recomienda no usarlo en los gateways ¿se refieren a la dirección del router?

Pregunta 2: ¿Qué quiere decir que mi gateway se transformará en un puente?

Pregunta 3: ¿Qué traduce lo que está resaltado en negrilla? Realmente no entiendo eso de IPS, lo único que se me viene a la mente es IPs pero no me dice nada.

Pregunta 4: He buscado por internet información de este modo de operación sin éxito alguno y mientras instalo ettercap en Mandriva para probarlo ¿podría alguien comentarme qué se puede hacer en este modo de operación?

Por el momento no es más, agradezco por anticipado cualquier ayuda que alguien pueda darme.

[j8k6f4v9j]

Pregunta 1: En la parte en la que recomienda no usarlo en los gateways ¿se refieren a la dirección del router?

No, se refiere a que no es recomendable su uso cuando tu máquina hace de puerta de enlace (tú eres el "router") con Internet para una o más máquinas.

Pregunta 2: ¿Qué quiere decir que mi gateway se transformará en un puente?

Quiere decir que comunicará las redes a las que esté conectado, dejando ver todo el tráfico y haciéndolo accesible.

Pregunta 3: ¿Qué traduce lo que está resaltado en negrilla? Realmente no entiendo eso de IPS, lo único que se me viene a la mente es IPs pero no me dice nada.

En este caso IPS significa Intrusion Prevention System. Quiere decir con ello que se puede manipular el tráfico de forma transparente y, como se dispone del tráfico para que éste pueda ser analizado, actuar en base al análisis sobre máquinas específicar o un tráfico concreto.

Pregunta 4: He buscado por internet información de este modo de operación sin éxito alguno y mientras instalo ettercap en Mandriva para probarlo ¿podría alguien comentarme qué se puede hacer en este modo de operación?

Tal y como te indica el texto, es un ataque MITM (hombre/mono en medio). Lo que aporta es la capacidad, repito, de disponer de absolutamente todo el tráfico, haciéndolo disponible no sólo para su análisis sino también para su manipulación.


Salu2

[desevensa]

Después de casi cinco meses de no escribir nada aquí vuelvo para poner al día el tema con mis pocos avances. Mi demora fue, primero, por aquello de las vacaciones y luego porque casi no puedo configurar un servidor en mi red casera pero al final obtuve el servidor como quería.

Instalé una máquina ubuntu server con LAMP y configurándole protocolos ssl. Como era de esperarse al tener certificados auto-firmados el navegador me advertía que era un canal cifrado pero que no tenía el visto bueno de una CA así que debía ingresar bajo mi responsabilidad.

Al ver eso me puse a buscar y encontré aquí el tema de Cazando mitos en el que informaban que la empresa StartCom brindaba certificados libres y me puse en la tarea de obtener unos de ahí. Debido a que soy prácticamente nuevo en el tema de configuraciones del servidor apache me dio caña obtener tales certificados pero pude y ahora el servidor funciona con SSL y muestra la página sin advertencias, casi todo funciona de maravilla excepto que si pongo la dirección http://midominio.com me muestra un error y me dice que ponga la dirección completa, es decir https://midominio.com y funciona. ¿alguien sabe cómo se configura para que se direccione automáticamente a la dirección correcta?

Eso es todo lo que he hecho, ahora lo que pienso hacer es configurar apache en BT4, ya que tengo los certificados ¿solo es necesario copiar el archivo .crt y .key para configurar correctamente el servidor apache? Creería que sí, pero no me funcionó. Eso lo hice anoche muy tarde y por eso lo intenté una sola vez, espero repetirlo hoy con mejores resultados aunque si estoy cometiendo un error y alguien me puede evitar unas horas de trabajo estaré agradecido ...

Por ahora eso es todo, tengo otras preguntas con lo de las configuraciones del servidor pero como eso no está relacionado directamente con el tema lo dejaré al final. Cuando configure BT4 con SSL empezaré a intentar ataques en mi red y me reportaré de nuevo.

[j8k6f4v9j]

Después de casi cinco meses de no escribir nada aquí vuelvo para poner al día el tema con mis pocos avances. Mi demora fue, primero, por aquello de las vacaciones y luego porque casi no puedo configurar un servidor en mi red casera pero al final obtuve el servidor como quería.

Instalé una máquina ubuntu server con LAMP y configurándole protocolos ssl. Como era de esperarse al tener certificados auto-firmados el navegador me advertía que era un canal cifrado pero que no tenía el visto bueno de una CA así que debía ingresar bajo mi responsabilidad.

Al ver eso me puse a buscar y encontré aquí el tema de Cazando mitos en el que informaban que la empresa StartCom brindaba certificados libres y me puse en la tarea de obtener unos de ahí. Debido a que soy prácticamente nuevo en el tema de configuraciones del servidor apache me dio caña obtener tales certificados pero pude y ahora el servidor funciona con SSL y muestra la página sin advertencias, casi todo funciona de maravilla excepto que si pongo la dirección http://midominio.com me muestra un error y me dice que ponga la dirección completa, es decir https://midominio.com y funciona. ¿alguien sabe cómo se configura para que se direccione automáticamente a la dirección correcta?

http://httpd.apache.org/docs/2.0/mod/mod_rewrite.html

Eso es todo lo que he hecho, ahora lo que pienso hacer es configurar apache en BT4, ya que tengo los certificados ¿solo es necesario copiar el archivo .crt y .key para configurar correctamente el servidor apache? Creería que sí, pero no me funcionó. Eso lo hice anoche muy tarde y por eso lo intenté una sola vez, espero repetirlo hoy con mejores resultados aunque si estoy cometiendo un error y alguien me puede evitar unas horas de trabajo estaré agradecido ...

A ver si este enlace ayuda
http://www.tc.umn.edu/~brams006/selfsign_ubuntu.html


Salu2

[desevensa]

Una pregunta: ¿cómo se cambia el nombre del host y del dominio al Backtrack4 sin tener que reiniciar?

Resulta que instalé el certificado y la clave privada en BT4 según las instrucciones y efectivamente apache me funciona con el soporte ssl pero el navegador me advierte que es un certificado autofirmado válido solo para bt. El código del error es: sec_error_untrusted_issuer.

Cambié el nombre del host con el comando hostname nombre_servidor pero al reiniciar la red con /etc/init.d/networking restart y reiniciar apache no hay cambios, no puedo reiniciar todo el computador porque trabajo con el liveCD. Supongo que el error es por el FQDN pero no sabría qué mas hacer.

Ayuda por favor...

[Fruit]

El FQDN no sirve para nada, no hace falta que esté bien, al menos según tengo entendido.

Y sí, efectivamente, si te firmas tu propio certificado, el certificado no será válido por estar autofirmado. Si quieres un certificado completamente válido tendrás que pagar a una entidad como Verisign para que te lo hagan.

[desevensa]

Creo que me expliqué mal. Entiendo que un certificado autofirmado produzca ese efecto en el navegador porque no hay una verdadera CA sustentando el certificado. Por mi parte tengo una cuenta abierta en StartCom, tengo mi clave privada y mi certificado validado por dicha CA. El certificado es clase 1.

Hay dos cosas que necesito hacer:

1- configurar nuevamente mi servidor con ese certificado en ubuntu porque tuve que reinstalar todo.
2- configurar apache con el certificado en BT4

En síntesis las dos cosas son lo mismo, me tiene confundido es que en teoría ya está todo lo necesario pero no me funciona.

[j8k6f4v9j]

desevensa, el navegador compara también la dirección a la que estás accediendo.

Por ejemplo, aunque el nombre esté bien configurado en el sistema, si accedes a través de su dirección IP se va a quejar de que el nombre del certificado no coincide con el del sistema.

Si es éste el caso, tienes dos opciones, 1) configurar tu archivo de hosts añadiendo una entrada con el nombre de dominio registrado en el certificado para que apunte a la dirección IP del backtrack, o 2) hacer visible el servidor web configurado a través de puerto 80 para la dirección IP pública a la que resuelven los DNS del cliente.


Salu2

[desevensa]

Oops, ahora me confundí, he estado buscando la forma correcta de modificar el archivo /etc/hosts. Además de encontrar mucha información que no me ha sido útil, estoy dudando de cual IP es la que debo incluir, es decir: pongo la IP privada de la red interna o la IP publica que tengo. De cualquier forma al hacer esos cambios no tienen efecto alguno.

El archivo original está así:

127.0.0.1 localhost
127.0.1.1 odin

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

Sé que por la naturaleza del foro no debería pedir que alguien me diga cómo debe quedar pero creo que debo hacerlo.

Revisando la página con el error vi otra cosa, resulta que la página dice que el certificado es válido para odin y no para el nombre del dominio; eso me deja confundido (la imagen está aquí). ¿Eso debería ser así?

La opción 2 tampoco la entiendo del todo, mi red está conformada por un router cuyo firewall desvía el tráfico entrante al servidor. Aclaro que cuando inicio BT4 desconecto el servidor y le asigno la IP de la red correspondiente. Al hacer telnet al puerto 443 o un ping ya desde dentro o fuera de la red todo sale bien. Incluso agregando la excepción de seguridad entro correctamente al index. ¿es eso lo que quiere decir esa opción? o es otra cosa.

[j8k6f4v9j]

Supongamos que el certificado es para el dominio example.org. En el backtrack debes tener un virtualhost de apache para ese dominio que atienda las peticiones hechas a https://example.org y que utilice tu certificado para ese dominio. Supongamos que el backtrack apache se está ejecutando en la máquina cuya dirección IP local es 192.168.1.2. Entonces, en el archivo /etc/hosts del cliente debes añadir esta línea al final:

Código:

192.168.1.2     example.org

Luego, desde el navegador (deberás cerrarlo y volverlo abrir si ya estaba abierto) ya podrás ir a la dirección example.org, y si apache está usando el certificado correcto coincidirá el nombre de la petición con el nombre del certificado.


Si se trata de un certificado de prueba que sólo es válido para un nombre de máquina en concreto, como se aprecia en la captura que pusiste más arriba, pues sencillamente basta con poner en la url el nombre de la máquina para la que está creado el certificado, y no http://localhost, ni http://127.0.0.1, ni http://192.168.1.2

Es un problema muy tonto, a veces puede dar quebraderos de cabeza incluso en productivo.

Algunos sitios en producción lo que hacen es dedicar un contenedor para redireccionar al nombre de dominio registrado en el certificado. De ese modo, si accedes a http://192.168.1.2, por ejemplo, en vez de comprobar el certificado te redirige directamente a http://example.org, con lo que no salta ningún aviso por no coincidir el nombre de dominio.

En cuanto al aviso de certificado autofirmado, el navegador debe reconocer como entidad certificadora a aquella que haya firmado el certificado para tu dominio.


Salu2

[desevensa]

Muchas gracias por tu ayuda j8k6f4v9j, casi me coge el fin del mundo tratando de configurar todo sin saber lo del host virtual. Resulta que para poder configurar un host virtual en apache hay que configurar también un servidor DNS que resuelva la dirección completa y la dirija al servidor. No tenía nada de eso, ni siquiera tenía instalado algo para el DNS. Pero pude .

Ahora, al fin pude reconfigurar mi servidor de escritorio y aparece la dichosa letra s sin problemas.

Para referencias la configuración del servidor DNS la seguí de esta página, la configuración del host virtual la hice con Webmin y es muy importante instalar los certificados propios de la CA en las directivase del host virtual porque al parecer ubuntu no los trae por defecto.

[j8k6f4v9j]

Estupendo. No hay de qué. Gracias a ti por publicar los detalles que te han permitido hacerlo funcionar. Así da gusto.


Salu2

[desevensa]

Es hora de empezar a preguntar por Ettercap que es el siguiente paso.

Hoy empecé a manejar con un poco más de atención Ettercap. Como lo había dicho antes al hacer un DNS spoofing con un firewall decente (que no sea el que viene por defecto con windows) el spoofing se hace en un solo sentido, por lo cual desactivé el firewall en el pc que iba a manejar como cliente.

El archivo etter.dns lo arreglé para que redireccionara www.google.com a la ip del servidor arreglado; funcionó así que detuve el ataque para empezar a trabajar con el nombre DNS que tengo.

El primer problema que tuve fue que a pesar de haber detenido el DNS spoff el pc que estaba siendo atacado quedó con la "memoria" de lo que se había hecho y esto se mantuvo durante un buen tiempo sin importar si reiniciaba el pc o no. Es decir que si escribía la dirección me redireccionaba al servidor. ¿cómo puedo "limpiar" lo que hice con ettercap? al querer abrir google tuve que hacerlo con el subdominio ".com.co" lo cual me resultó un tanto tedioso.

Otra cosa que quería preguntar es si es válido poner en el archivo etter.dns la línea

www.google.com A midominio.com:443

para que al escribir la dirección en el navegador aparezca en la barra de direcciones algo asi como https://www.google.com. Lo que quiero decir que si el ataque puede hacerse para que al escribir determinada dirección, el navegador cargue los datos correspondientes al nombre DNS deseado aún si es HTTPS.

[j8k6f4v9j]

El primer problema que tuve fue que a pesar de haber detenido el DNS spoff el pc que estaba siendo atacado quedó con la "memoria" de lo que se había hecho y esto se mantuvo durante un buen tiempo sin importar si reiniciaba el pc o no. Es decir que si escribía la dirección me redireccionaba al servidor. ¿cómo puedo "limpiar" lo que hice con ettercap? al querer abrir google tuve que hacerlo con el subdominio ".com.co" lo cual me resultó un tanto tedioso.

Es uno de los problemas de Windows con la envenenación de la caché. Para que vuelva a tomar la dirección buena deberás inyectarle de nuevo respuestas DNS, dándole la dirección buena en lugar de la falseada.

Otra cosa que quería preguntar es si es válido poner en el archivo etter.dns la línea para que al escribir la dirección en el navegador aparezca en la barra de direcciones algo asi como https://www.google.com. Lo que quiero decir que si el ataque puede hacerse para que al escribir determinada dirección, el navegador cargue los datos correspondientes al nombre DNS deseado aún si es HTTPS.

Yo no uso ettercap para el spoofing, pero con DNS spoofing lo que se falsea es el nombre de dominio, con independencia del protocolo que se use para transmitir los datos.


Salu2

[desevensa]

Me he encontrado con un gran problema...

Resulta que al hacer el envenenamiento arp, la relación http://nombre_de_dominio <-> dirección ip se hace por defecto al puerto 80 lo cual excluye el puerto 443 que es el encargado del SSL y no muestra la s. Cuando la relación es https://nombre de dominio-dirección ip sí se carga el modulo SSL pero obviamente se compara el nombre de dominio dado con el nombre de dominio asignado al certificado y se dispara la alerta del navegador diciendo que no es confiable la conexión.

En alguna página que no recuerdo cual era me pareció haber visto que para arreglar ese problema había que tener el demonio indicado. No se si sea cierto y si lo es no se cual demonio será.

Por el momento no se me ocurre nada y el proyecto al parecer no tiene futuro ... Solo espero que haya una posible solución.

[j8k6f4v9j]

Es normal que el navegador te avise, porque no eres el propietario del dominio. Para esto mismo existen los certificados.Puedes generar y usar un certificado que sí se corresponda con el dominio, pero que esté firmado por sí mismo. No eliminarás el aviso, sino que simplemente lo cambiarás por uno menos sospechoso. Por desgracia, hay muchísimos sitios oficiales que firman sus propios certificados, en vez de pagar a una CA, por lo que muchos usuarios están acostumbrados a firmar certificados poco fiables.

Salu2

[desevensa]

Realmente me sorprende eso de que

Por desgracia, hay muchísimos sitios oficiales que firman sus propios certificados, en vez de pagar a una CA, por lo que muchos usuarios están acostumbrados a firmar certificados poco fiables.

En lo personal prefiero no hacerlo...

En fin, al parecer no puedo avanzar mas al menos que encontrara algo que suplante una CA, al DNS o algún exploid para el navegador o algo por el estilo.

Muchas gracias por la ayuda j8, con todo esto he aprendido mucho, aunque me falta todavía más me ha parecido un tema interesante.