Fase 4 - Desarrollar Trabajo Colaborativo 2 Soler Páez Leidy Tatiana Universidad Nacional Abierta y a Distancia Bogotá,
Views 143 Downloads 2 File size 1MB
Fase 4 - Desarrollar Trabajo Colaborativo 2 Soler Páez Leidy Tatiana Universidad Nacional Abierta y a Distancia Bogotá, Colombia [email protected]
Resumen — En este documento se explican diferentes técnicas que existen para hacer suplantación de identidad. La suplantación de identidad generalmente empieza por medio de un correo electrónico o haciendo otro tipo de comunicación con el objetivo de a atraer una víctima, se hace que el mensaje o la comunicación parezca legitima o de confianza y de esta manera tener la confianza de la víctima. Palabras clave— DNS, SMTP, Seguridad, vulnerabilidad, suplantación, Phishing.
exitosa el ataque se requiere que el delincuente se encuentre en la misma subred que la víctima. Consiste en suplantar la dirección IP origen de un paquete TCP/IP por otra dirección IP la cual se desea suplantar. Esto se puede lograr por medio de programas orientados a ello y se puede usar para cualquier protocolo TCP/IP como ICMP, UDP o TCP. Las respuestas del host que reciba los paquetes irán dirigidas a la IP falseada. [1]
Abstract— This document explains different techniques that exist to do identity theft. Phishing generally begins with an email or other communication with the aim of attracting a victim, making the message or communication appear legitimate or trustworthy, and thus having the victim's trust. Keywords: DNS, SMTP, Security, threats, spoofing, Phishing Imagen 1: Ip Spoofing Fuente: https://www.cloudflare.com/eses/learning/ddos/glossary/ip-spoofing/
I. INTRODUCCIÓN La seguridad de red es el proceso de tomar medidas físicas y preventivas para proteger la red del uso inadecuado, mal funcionamiento, modificación, destrucción o divulgación. Se implementa mediante tareas y herramientas para evitar que personas no autorizadas entren a la red. En el desarrollo de este documento se mostraran ejemplos de suplantación de identidad, es común en encontrar problemas por incidentes de seguridad, personas mal intencionadas que atenten contra la integridad de la información, las redes o los sistemas. II.
REALIZAR UN PEQUEÑO RESUMEN DE 3 TIPOS DE ATAQUE DE SUPLANTACIÓN DE IDENTIDAD DIFERENTES AL QUE VA A DESARROLLAR EN ESTA ACTIVIDAD
Phishing Es una técnica de engaño en donde los atacantes hacen que la víctima entregue información privada y confidencial por ejemplo contraseñas cuentas, números de tarjeta. Por lo general consiste en enviar un correo electrónico no deseado que aparentemente puede ser legítimo y confiable, por ejemplo haciendo suplantación de una entidad financiera, luego de que la víctima acceda al correo lo re direcciona a un sitio fraudulento que suplanta la identidad de la fuente confiable, la víctima ingresa la información que el atacante desea conseguir, pensando que se encuentra en el sitio auténtico de la entidad financiera. [2]
Ip Spoofing
Defacement
Es una técnica que tiene como objetivo realizar él envió de paquetes TCP/IP o UDP/IP con una dirección falsa y así inyectar paquetes en un sistema externo, los atacantes usan una dirección autorizada y legitima, para no ser detectados y bloqueados por un sistema de filtrado. Generalmente esta técnica es usada para realizar ataques DoS y DDoS.
Consiste en realizar la modificación de un sitio web víctima, sin autorización del propietario, este tipo de ataque lo pueden logran por medio de la explotación de vulnerabilidades en gestores de contenido desactualizados o mal configurados. Este tipo de técnica se usa con el objetivo de dañar la imagen de una organización generando desconfianza entre sus clientes o distribuir malware o contenido catalogado como spam. [3]
El atacante también puede lograr obstaculizar el tráfico entre más sistemas informáticos, para llevar a cabo de forma
ARP Spoofing
Este tipo de ataque consiste en enviar mensajes falsificados (Address Resolution Protocol) a una red, con el objetivo de enlazar la dirección MAC con la dirección IP de un equipo legítimo en la red. Si el atacante logra enlazar la dirección MAC a una dirección IP auténtica, empezara a recibir información lo cual es posible mediante la dirección IP enlazada, lo que permite a los atacantes interceptar, modificar o incluso retener datos que se encuentren en tránsito. Este tipo de ataques suplantación ARP ocurren en redes de área local que utilizan protocolo de resolución de direcciones (ARP).
Imagen 3: Virtual Box Fuente: El autor En la siguiente imagen se evidencia el diagrama de red de la simulación que se realizara.
Imagen 2: ARP Spoofing Fuente: https://support.huawei.com/enterprise/es/doc/EDOC1100093 238/6819df08/anti-arp-spoofing-application
Imagen 4: Diagrama de red Fuente: El autor Paso 1
III.
SIMULAR ALGUNA DE LAS TÉCNICAS DE SPOOFING ENCONTRADAS DENTRO DEL CASO MENCIONADO RESPALDADO CON LAS REFERENCIAS DEL CURSO, PUEDE UTILIZAR REFERENCIAS EXTERNAS, MOSTRANDO EL PROCESO COMPLETO MEDIANTE PANTALLAZOS EXPLICADOS MUY TÉCNICAMENTE.
Se realiza ubicación de la maquina atacante para este caso Kali Linux y se realiza validación de la IP actual de la máquina realizando un Ifconfig en la terminal.
Dentro del caso aseguremos 2 se ven diferentes tipos de spoofing como lo son email spoofing, IP spoofing y DNS spoofing. En este caso se realizara simulación de una suplantación de DNS. Para el desarrollo del ataque se usaran los siguientes recursos:
1 Maquina física anfitrión (Windows 10) 1 Máquina virtual atacante (kali Linux) 1 Máquina virtual Victima (Ubuntu Server)
Imagen 5: Ifconfig maquina Atacante Fuente: El autor Paso 2 Se realiza ubicación de la maquina victima para este caso Ubuntu Server y se realiza validación de la IP actual de la máquina realizando un Ifconfig en la terminal.
Imagen 6: Ifconfig maquina Victima Fuente: El autor Paso 3 Se debe realizar edición del archivo de configuración de Ettercap, para esto es necesario dirigirse a la ubicación /etc/ettercap/etter.conf, haciendo uso el editor de texto nano.
Imagen 8: Edición de las variables uid y gid Fuente: El autor Paso 6 Dentro del mismo archivo de configuración de Ettercap se debe ubicar (If you use iptables)
Imagen 7: Ingreso al archivo etter.conf Fuente: El autor Paso 4 Dentro de este archivo se debe ubicar las variables uid y gid Imagen 9: Ubicación If you use iptables Fuente: El autor Paso 7 Se realiza edición quitando los signos # para dejar habilitados los paramentos.
Imagen 7: ubicación de las variables uid y gid Fuente: El autor Paso 5 Se debe realizar edición de las variables asignando un valor de 0 Imagen 9: Edición de If you use iptables Fuente: El autor
Paso 8
En el menú de aplicaciones y herramientas de Kali Linux se debe ubicar sniffing & Spoofing – ettercap-graphical
Se debe realizar edición del archivo de DNS de Ettercap, para esto es necesario dirigirse a la ubicación /etc/ettercap/etter.dns, haciendo uso el editor de texto nano.
Imagen 9: Ingreso al archivo etter.dns Fuente: El autor Paso 9 En este archivo se encuentra la configuración DNS, por medio de este se redirigen las solicitudes DNS específicas. En este caso específico la victima intentara acceder al sitio web de instragram y lo re direccionará a la maquina atacante.
Imagen 12: Ettercap Graphical Fuente: El autor Paso 12 Se realiza ejecución de la herramienta ettercap
Imagen 10: archivo etter.dns Fuente: El autor
Imagen 13: Interfaz de Ettercap Fuente: El autor
Paso 10 Se realiza modificación de los DNS
Paso 13 En la herramienta se debe acceder al menú Sniff y elegir la opción Unified sniffing
Imagen 14: Opción Unified sniffing Fuente: El autor Paso 14 Imagen 11: Modificación de los DNS Fuente: El autor Paso 11
Se debe hacer selección de la Interfaz. Para este caso corresponde a “eth0”
Al realizar ejecución de esta opción la aplicación hace escaneo sobre la red
Imagen 15: Selección de interfaz Fuente: El autor Luego de hacer clic el OK mostrara información sobre la acción ejecutada.
Imagen 18: Escaneo de red Fuente: El autor Resultado del escaneo realizado sobre la red.
Imagen 16: Información de interfaz eth0 Fuente: El autor Imagen 19: Resultado del escaneo de red Fuente: El autor
Paso 15 Ahora se debe acceder al menú Start y elegir la opción Stop sniffing
Paso 17 En el menú Host se debe elegir la opción Host List con el objetivo de identificar los host detectados por la herramienta.
Imagen 17: Stop sniffing Fuente: El autor Paso 16 En el menú Hosts se elige la opción Scan for Hosts, para que muestre los dispositivos de la red.
Imagen 20: Selección de lista de host detectados Fuente: El autor En la siguiente imagen se evidencian los host detectado
Imagen 17: Scan for Hosts Fuente: El autor
Imagen 24: Sniff remote connections Fuente: El autor
Imagen 21: Lista de host detectados Fuente: El autor
Como resultado de la acción anterior se obtiene lo siguiente
Paso 18 Ahora se debe seleccionar la IP de la puerta de enlace y haciendo clic se elige (Add to Target 2) y al IP equipo victima (Add to Target 1)
Imagen 25: Resultado de Sniff remote connections Fuente: El autor Paso 20 Ahora en el menú Plugins se elige la opción Manage the plugins
Imagen 22: Add Target 1 -2 Fuente: El autor Paso 19 En el menú Mitm se elige la opción ARP poisoning
Imagen 26: Manage the plugins Fuente: El autor Se hace selección del plugins: dns spoof
Imagen 23: Opción ARP poisoning Fuente: El autor Se abre una nueva ventana donde se debe seleccionar la opción “Sniff remote connections.” o husmear conexiones remotas.
Imagen 27: Selección dns spoof Fuente: El autor
Paso 21
Imagen 29: activación dns spoof Fuente: El autor
Ahora desde la maquina víctima se debe ingresar a Instagram.com, o 192.168.0.69 IV. EXPLICAR EN QUÉ CONSISTIÓ EL ATAQUE QUE REALIZÓ EN EL PUNTO ANTERIOR CON SUS PROPIAS PALABRAS Los servidores DNS son los encargados de transformar los nombres de dominios en IP y viceversa, este tipo de servicio por lo general pasa desapercibido para la mayoría de los usuarios.
Imagen 28: Prueba de acceso Instagram Fuente: El autor
En el caso expuesto en el punto anterior la suplantación de una red social como Instagram, puede llevar a capturar y obtener datos importantes y confidenciales, con la captura de datos como usuarios y contraseñas se puede llegar a cometer diferentes delitos informáticos, si un delincuente se dedica a diseñar una página muy similar a la página legitima logra engañar fácilmente a su víctima redirigiéndolo a un sitio fraudulento, ya sea para capturar datos, realizar descarga de malware, o robar información para luego extorsionar a la víctima. El DNS spoofing se da cuando queda vinculada una dirección IP errónea a una dirección web, el objetivo es dar el dato falso antes de que el servidor encuentre la dirección real. El escenario de DNS Spoofing es el siguiente: Se hizo uso de tres máquinas: • 1 Maquina física anfitrión (Windows 10) • 1 Máquina virtual atacante (kali Linux) • 1 Máquina virtual Victima (Ubuntu Server)
Imagen 29: Maquina desde donde se ejecuta la prueba Fuente: El autor En la siguiente imagen se evidencia la activación de los plugins de dns Spoof y la redirección que realiza cuando la maquina victima intenta acceder a Instagram. [4]
Desde la maquina atacante se realizó configuración previa de la herramienta ettercap haciendo edición de los archivos etter.conf y etter.dns en donde se editan una serie de parámetros y se hace la modificación del apuntamiento de los DNS. Con la configuración anterior ya realizada se procede a ejecutar el modo grafico de la herramienta ettercap y se empieza a realizar el ataque de DNS Spoofing, inicialmente se realiza un escaneo de la red en donde se identifica la víctima y posterior a esto se activan los plugins de dns_spoof, cuando la víctima accede al sitio instagram.com este lo re direcciona a la dirección IP de la maquina atacante. V. QUÉ MECANISMOS DE SEGURIDAD SE DEBEN APLICAR A LA EMPRESA ASEGUREMONOS PARA EVITAR ATAQUES DE SPOOFING EXITOSOS CONTRA SU SISTEMA Para evitar este tipo de suplantaciones es necesario tomar las siguientes medidas de prevención de la empresa ASEGUREMONOS.
Realizar validación de las conexiones a sitios que utilizan cifrado, muchas veces los usuarios no se percatan de las URLS de los sitios a los que acceden. Los sitios seguros generalmente siempre empiezan por HTTPS un sitio fraudulento puede redirigir a uno con HTTP.
Hacer jornadas de capacitación con los empleados de la empresa sobre temas de seguridad con el objetivo de que sean más precavidos al momento de acceder a sitios web.
Deshabilitar la opción de gestión remota de los routers (para ataques de fuera de la red local) que por defecto suelen venir activados.
Desactivar servicios innecesarios. Destinar el servidor exclusivamente al servicio DNS, desactivando todos los servicios innecesarios adicionales al software de DNS y a la administración del sistema.
Aplicar las reglas de firewall estrictamente necesarias para permitir el funcionamiento de DNS
Establecer políticas de revisión del software para confirmar que correctamente actualizado y así evitar posibles vulnerabilidades por falta parches de seguridad.
El servicio de DNS no debe ejecutarse como root o como usuario privilegiado del sistema, con esto evitará posicionar al atacante en una situación de control del sistema en caso de ser comprometido [6]
Realizar configuración de los servidores DNS para que confíen lo menos posible en otros servidores DNS al momento de relacionarse entre sí. De tal forma, los delincuentes tendrán menos posibilidades de alterar las configuraciones y los registros DNS de los servidores que tendrían como objetivo.
El uso de la herramienta DNSSEC que tiene como objetivo proveer autenticación de datos DNS de carácter confiable. [5] VI. REFERENCIAS
[1] C. Garcia, «hacking-etico,» 26 Agosto 2010 . [En línea]. Available: https://hackingetico.com/2010/08/26/hablemos-de-spoofing/. [2] ambit, «ambit,» [En línea]. Available: https://www.ambitbst.com/blog/spoofing-que-es-y-c%C3%B3mo-evitarlo. [3] INCIBE, 25 Abril 2019. [En línea]. Available: https://www.incibe.es/protege-tu-empresa/blog/protegetefrente-al-defacement-y-no-le-cambien-cara-tu-web. [4] J. camilo, 26 Mayo 2014. [En línea]. Available:
https://www.youtube.com/watch?v=q5ZrHQmrFFI. [5] «L. Fernández, 07 Marzo 2020. [En línea]. Available: https://www.redeszone.net/tutoriales/seguridad/mitigarataques-dns/.,» [En línea].
VII. BIOGRAFÍA Leidy Tatiana Soler Páez, nació en Bogotá, Colombia, el 29 de julio de 1989, Graduada de la Universidad Manuela Beltrán en el año 2015 como Ingeniera de sistemas. Su experiencia profesional actualmente se encuentra enfocada en el área de seguridad informática de una entidad financiera.