Main in the middle
Upcoming SlideShare
Loading in...5
×
 

Main in the middle

on

  • 1,285 views

 

Statistics

Views

Total Views
1,285
Views on SlideShare
1,285
Embed Views
0

Actions

Likes
0
Downloads
41
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Main in the middle Main in the middle Presentation Transcript

  • Conocido como MITM
    (Hombre en el medio)
    “MAIN IN THE MIDDLE”
  • INTRODUCCION
    Este trabajo trata sobre “Main in themiddle” que significa hombre en el medio, el cual definiremos, y mostraremos los métodos mas comunes.
  • CONTENIDO
  • DEFINICION
    Es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre 2 computadoras ajenas.
    Conocido como MITM.
    PC1
    PC2
    INTRUSO
  • Este ataque da origen a los siguientes posibles ataques posteriores:
    SNIFFING
    SPOOFING
    NEGACION DEL SERVICIO
  • SNIFFING (Robo de Información)
    Leer credenciales enviadas.
    Leer información enviada.
    Observar el comportamiento de trafico de red del usuario.
  • SPOOFING (Suplantación de identidad)
    El atacante envía datos como si fuera el origen.
    Realiza operaciones con los datos del cliente.
    Mostrar paginas falsas.
  • NEGACION DEL SERVICIO
    Bloquea el acceso a ciertas paginas.
  • METODOS DE AUTENTIFICACION VULNERADOS CON MITM
  • 1) IP Spoofing (Transparent proxy attack)
    Por IP Spoofing entendemos la técnica por la cual falseamos una IP origen (normalmente) con el objetivo habitual de burlar Firewalls, ocultar la identidad (Decoy)
    • Para ejecutar este ataque de los hackers intentan engañar a la víctima a través mencionados a continuación tres sencillos pasos.. Paso tres explica analogía de MITM en caso de HTTPS
  • PASO 1
    Reescritura de direcciones URL: Anteponer todos los URL con el anfitrión del atacante para que las solicitudes se enrutan a través de él http://home.netscape.com/ por http://www.attacker.org/http://www.server.com/
    PASO 2
    Las páginas se solicitó entonces a través de www.attacker.org, que funciona como un proxy para ir a buscar la página de verdad (en este caso, http://www.server.com/), la aplicación de cualquiera de las transformaciones deseadas del atacante en el proceso.
  • PASO 3
    Después de los pasos anteriores se han ejecutado hay una conexión segura entre la víctima y el anfitrión del atacante de los cuales la víctima no se da cuenta que él es feliz a notar que tiene una conexión segura por lo tanto, sus datos son seguros.
    El atacante puede crear una conexión segura a la máquina real, descifrar los datos recibidos, aplicar transformaciones, volver a cifrar para la víctima, y ​​enviarlo a él. "La víctima sigue siendo desinformados sin embargo, el hacker ya ha logrado su objetivo.
  • Como evitarlo
    Mediante el uso de resoluciones DNS inversas
    Scripts
  • 2)ACCESS POINT FALSO (EVIL TWIN)
    “Evil Twin” es una potencial amenaza para los usuarios de Wi/Fi que utilizan habitualmente puntos de acceso públicos para conectarse a Internet denominados “hotspot”.
    Un hacker configura lo que se llama acceso remoto pirata o renegado “rogueaccesspoint” con un mínimo de las características de la red en la cual los usuarios esperan conectarse.
    Cuando lo hacen ignoran que están en una red falsa, en ese momento el pirata sustrae información sensitiva del equipo, como datos de tarjetas de crédito, contraseñas de correos electrónicos, datos industriales, planos y lo que sea útil para el sujeto; cabe destacar que también afecta a la mensajería instantánea.
  • ¿COMO LO HACE?
    En un lugar con acceso público a internet ponen el Access point con el mismo SSID que el público y las personas que se conecten a él, pasan por nuestra conexión. Es común que esta técnica se realice en aeropuertos o sanborns y usando el SSID default de prodigy “prodigymovil”.
    Existe una vulnerabilidad en el algoritmo de conexión a redes preferidas en Windows que permite a un atacante conocer los SSIDs de sus redes preferentes.
    En Linux esto se puede hacer con una herramienta llamada Karma
    (http://www.theta44.org/karma/) que te permite conocer los –clientes inalámbricos y falsificar el SSID.
  • Existe una vulnerabilidad en el algoritmo de conexión a redes preferidas en Windows que permite a un atacante conocer los SSIDs de sus redes preferentes.
    En Linux esto se puede hacer con una herramienta llamada Karma
    (http://www.theta44.org/karma/) que te permite conocer los –clientes inalámbricos y falsificar el SSID.
  • PREVENCION:
    La alianza Wi-Fi™ recomienda prevenir este tipo de amenazas con medidas sencillas para evitar ser una víctima:
    Los usuarios finales deben cambiar sus claves de acceso regularmente.
    No responder a correos electrónicos con preguntas.
    Buscar conexiones seguras o que lo soliciten.
    Buscar puntos de acceso que utilicen VPN.
    Conocer el listado de los puntos de acceso público que son seguros.
    Utilizar productos que estén certificados para WPA™ y WPA2™.
    Ver el estado de configuración de los equipos de fábrica, ya que la seguridad viene deshabilitada.
    Renombrar el identificador de la red hogareña, generalmente trae un nombre por defecto.
  • Medidas que se deben tomar en los puntos de acceso público:
    Solamente registrarse en puntos de accesos conocidos que utilicen un acceso SSL (capa de conexión segura) https. Para saber si su conexión es segura verifique si existe un certificado que la respalde.
    En redes locales solicitar a los administradores que generen redes VPN con encriptación sobre sus túneles.
    Deshabilitar su tarjeta de wifi en su equipo portátil cada vez que deje de usarlo.
    Los puntos de accesos deberían ser conocidos o al menos de una fuente confiable.
    No es suficiente que los productos estén certificados, las claves de seguridad deben ser configuradas en los puntos de accesos y en los dispositivos clientes.
  • Medidas a tener en cuenta en el navegador
    El ícono del candado.
    Ventanas emergentes (Pop-up)
    Vínculos (links) que no son familiares
    Configuración de la placa de red
    La tarjeta de crédito debería ser usada solamente para compras por Internet y estar atento a cualquier cambio en el resumen.
  • SOLUCION:
    Usar una VPN (red privada virtual) es el método más seguro conocido en la actualidad, se puede decir que es algo engorroso instalarlo, pero la satisfacción de estar seguro paga con crecer el trámite realizado.
    Lo óptimo es realizar una red privada virtual con su empresa a través de algún producto que le permita gestionar esa red en forma automática, de esa manera todo lo que diga o escriba con sus pares será totalmente o casi totalmente seguro.
  • 3) DNS POISONING
    ¿Cómo funciona el DNS (Domain Name System)?
    El DNS es como un sistema de respuestas y preguntas. Cuando escribes una dirección en el navegador, por ejemplo www.domisfera.com, este preguntará a los servidores DNS cuál es la dirección IP. Obtendrá 82.194.79.198 como respuesta y entonces lanzará una petición HTTP esa dirección IP para obtener la página web correspondiente.
    ¿Cómo puedes atacar el DNS?
  • PREVENCION
    Una forma de prevenir un ataque de envenenamiento de DNS es asegurar que la última versión del software de DNS, llamado Berkeley Internet Name Domain (BIND), este instalado y actualizado.
    Hacer que el puerto fuente sea aleatorio.
    Para las grandes empresas implementar el
    iso-27001 acerca de la gestión de la seguridad.
  • 4) ARP SPOOFING O ARP POISONING ROUTING
    Spoofing: En términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad.
    Se quiere direccionar el trafico de red entre hots, Host1 y Host2 hacia un tercer Host (atacante)
    Redirección de trafico de Host1: Se envían mensajes de ARP al Host 1 ligando la IP de Host 2 con la Mac address del atacante.
    Redirección de trafico de Host 2: Se envían mensajes ARP al Host 2 ligando la IP de Host 1 con la Mac Address del atacante.
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • EJEMPLO ARP SPOOFING
  • ¿CÓMO PREVENIR EL ARP SPOOFING?
    Un método para prevenir el ARP Spoofing, es el uso de tablas ARP estáticas, es decir añadir entradas estáticas ARP, de forma que no existe caché dinámica, cada entrada de la tabla mapea una dirección MAC con su correspondiente dirección IP
    # arp -a
    IP address HW type HW address 172.16.1.3 10Mbps Ethernet 00:00:C0:5A:42:C1 172.16.1.2 10Mbps Ethernet 00:00:C0:90:B3:42 172.16.2.4 10Mbps Ethernet 00:00:C0:04:69:AA
  • ¿CÓMO PREVENIR EL ARP SPOOFING?
    Por lo tanto, en redes grandes es preferible usar otro método: el DHCP snooping. Mediante DHCP, el dispositivo de red mantiene un registro de las direcciones MAC que están conectadas a cada puerto, de modo que rápidamente detecta si se recibe una suplantación ARP. Este método es implementado en el equipamiento de red de fabricantes como Cisco, Extreme Networks y AlliedTelesis.
  • ¿CÓMO PREVENIR EL ARP SPOOFING?
    Otra forma de defenderse contra el ARP Spoofing, es detectarlo. Arpwatch es un programa Unix que escucha respuestas ARP en la red, y envía una notificación vía email al administrador de la red, cuando una entrada ARP cambia.
    COMANDOS:
    # tail -f /var/log/syslog (notifcaciones en los archivos )
    2) $ arp –a (que ocurre en la tabla arp)
  • RARP (“Reverse ARP”, o ARP inverso) es el protocolo usado para consultar, a partir de una dirección MAC, su dirección IP correspondiente. Si ante una consulta, RARP devuelve más de una dirección IP, significa que esa dirección MAC ha sido clonada.
    ¿CÓMO PREVENIR EL ARP SPOOFING?
  • CONCLUSIONES
    Las aplicaciones fundamentales para la empresa, deben residir en sistemas y en estructuras de red diseñados para contrarrestar no solo este tipo de ataque sino, la gran mayoría de ellos y garantizar la Seguridad de la Información acorde al ISO 17799.
    La comprensión de los conceptos y las prácticas de Seguridad de l puede ayudarle a reducir al mínimo el tiempo de inactividad.
  • Usando en MITM, el atacante puede dar origen a posibles ataques que son el SNIFFING (Robo de información), SPOOFING (Suplantación de cliente) y la negación de servicio (Bloqueo de páginas) cuyos objetivos es violar la privacidad del usuario, sin que este se entere de lo sucedido.
     El administrador de red y su equipo deben de tener un protocolo de monitoreo constante y/o periódico sobre la red y sus comportamientos.
  • RECOMENDACIONES
    La Organización debe cumplir con los Estándares Internacionales, en Gestión de la Seguridad de la Información como la ISO 27001:2005 – NTP ISO 17799:2007, de esa manera garantizar una Política de Seguridad de la Información; que a su vez garantiza el cumplimiento del CID.
    Toda Organización debe estar comprometida con la Seguridad de la Información, en base al uso de buenas prácticas de Tecnología de Información y de soluciones de hardware tolerantes a errores en la organización y poder mejorar tanto la disponibilidad como la escalabilidad.
  • El área de Ti de una empresa debe contar con equipos certificados los cuales reduzcan al mínimo cualquier tipo de ataque perpetuado a la red la seguridad no es un gasto sino es una inversion.
    Las organizaciones deben crear políticas para limitar el uso del software de búsqueda y de plug-ins de buscadores que no se requieren en la organización. Esto es más que nada una medida prudente para controladores ActiveX, que pueden instalarse sin que los usuarios se enteren.
  • GRACIAS