167 181 1 PB

Diseccin de un Ataque MITM
mediante ARP Spoofing y

Tcnicas de Proteccin Existentes
Dissection of a MITM attack
via ARP Spoofing and
Existing Protection Techniques
Cmo referenciar este artculo?:

F. J. Daz Jimnez y J.G. Palacio Velsquez. Diseccin de un ataque MITM mediante ARP Spoofing y Tcnicas de Proteccin Exis-
tentes, Barranquilla, Ed. Coruniamericana, Vol. I, 2012. 9-24
F.J. Daz Jimnez*

femny@gmail.com
J.G. Palacio Velsquez **
jpalacio@gmail.com
Resumen Abstract
Desde hace algunos aos las empresas se han dado For several years companies have realized the impor-
cuenta de la importancia de proteger su informacin; los tance of protecting their information, the hazards in-
peligros que implica la transmisin de datos a travs de volved in the transmission of data through the network,
la red han hecho que se implementen ciertas medidas have made certain security measures in order to mini-
de proteccin, con miras a minimizar el riesgo de robo mize the risk of theft. One of the most common mistakes
de los mismos. Uno de los errores ms comunes al tra- in trying to protect us, is that we focus on protecting the
tar de protegernos es que nos concentramos en pro- information, preventing it from outside can access our
teger la informacin, evitando que desde el exterior se network, but what happens when the attack comes not
pueda acceder a nuestra red, pero qu sucede cuando from without but from within our own network. This paper
el ataque no viene desde afuera, sino desde adentro presents a series of techniques that can be used to com-
de nuestra propia red. Este artculo presenta una serie promise the security of a network from within, through
de tcnicas que pueden ser utilizadas para vulnerar la ARP spoofing technique, performing such attacks by
seguridad en una red desde adentro, a travs de la tc- Man In The Middle, in order to capture traffic which is
nica de ARP Spoofing, realizando ataques de tipo Man not destined for our equipment. Finally, we present a se-
In The Middle, con miras a capturar trfico que no vaya ries of techniques that can be applied to protect us from
destinado a nuestro equipo, al final presentamos una such attacks, and thereby minimize the risk of theft of
serie de tcnicas que pueden ser aplicadas para prote- information within a LAN.
gernos de dichos ataques, y de esta manera minimizar
el riesgo de robo de informacin dentro de una red LAN. Index Terms
TCP/IP, ARP, Ethernet, MAC, Sniffer, Atacks, ARP
Palabras Clave Spoofing, ARP Poison, MITM, Security, arpspoof, arp-
TCP/IP, ARP, Ethernet, MAC, Sniffer, Ataques, ARP sk, ethercap, cain & abel.
Spoofing, ARP Poison, MITM, Seguridad, arpspoof, arp-
sk, ethercap, cain & abel.
* M. Sc en Ingeniera de Sistemas y Computacin, Desarrollo Profesional de Software, Director I+D+I Salud Software Center House, Docente, catedr-
tico Fundacin Universitaria San Martn.
** M. Sc en Ingeniera de Sistemas y Computacin, Ingeniero de Comunicaciones, Redes y Seguridad de la Universidad Simn Bolvar. Fundacin
Universitaria San Martn.
Artculo recibido: Agosto 15/2012. Aceptado en Septiembre 14/2012.
| Innov.Ing.Desarro. | Vol. 1 No. 1| Pgs. 9-24 | Coruniamericana Barranquilla-Medelln, Colombia | Enero-Dic. 2012 | ISSN: 2344-7559 |
http://coruniamericana.edu.co/publicaciones/ojs/index.php/IID
10 F.J. Daz Jimnez / J.G. Palacio Velsquez
I. INTRODUCCIN
Las redes de computadoras se implementan a travs de protocolos de comunicacin. Un protoco-

lo, segn Tanenbaum [1], Es un conjunto de reglas que definen el formato y el significado de los
paquetes, o mensajes, que intercambiaron las entidades iguales en una capa, por lo tanto podemos
decir que un protocolo es aquel que determina cmo se llevar a cabo la comunicacin entre dos
nodos de una red, pero teniendo en cuenta que cada protocolo trabaja en una capa especfica de la
misma.
Actualmente el conjunto de protocolos conocido como TCP/IP agrupa una gran cantidad de pro-
tocolos que se utilizan en las redes, dicho sistema se encuentra organizado en 4 capas; la capa de
acceso a la red, la capa de Internet, la capa de Transporte y la capa de Aplicacin, a diferencia del
modelo OSI en el que podemos encontrar 7 capas.
El uso de los equipos de interconexin adecuados dentro de la red puede mejorar en gran medida
el rendimiento y seguridad de la misma, actualmente es muy raro encontrar redes de computadoras
que utilicen Hubs para la interconexin de sus equipos de cmputo. Estos fueron reemplazados
por los switches, que permiten solucionar algunos problemas de seguridad, asociados al sniffing
de trfico y mejoran el rendimiento de la red, disminuyendo las colisiones.
Aunque no se debe pensar que con el uso de switches el problema de la seguridad asociado al
sniffing est solucionado, en este artculo mostraremos algunas tcnicas muy sencillas de imple-
mentar y cmo disminuir el riesgo de este tipo de ataques en nuestras redes.
II. DIFERENCIAS ENTRE HUBS Y SWITCHES
En la capa de acceso a la red, que es la que nos interesa en este artculo, es donde se manipulan las
direcciones fsicas de los equipos, conocidas como direcciones MAC. Los switches, elementos que
interconectan los equipos en redes LAN y que trabajan en dicha capa, utilizan esta direccin para
armar una tabla que les permita determinar qu direccin MAC se encuentra conectada a qu puer-
to, de tal manera que si un equipo desea comunicarse con otro dentro del mismo segmento de red,
esto se hara a travs de la direccin fsica de cada equipo, enviando la informacin slo al equipo
al que le corresponda la MAC de destino, a diferencia de los hubs que no reconocen direcciones
de ningn tipo, y simplemente hace que los equipos compartan un bus de comunicaciones, de tal
manera que todo el trfico en la red, le sea enviado a todos los equipos dentro de la LAN.
Esta caracterstica de los hubs permite que a travs de un sniffer se pueda capturar todo el trfico
de la red, para esto se aprovecha de una caracterstica de las tarjetas de red, conocida como modo
promiscuo. Normalmente cuando un equipo recibe una trama en la que la direccin MAC de
destino no es la suya, la tarjeta simplemente la descarta, pero en modo promiscuo, se elimina esta
limitacin y se le indica a la tarjeta de red que acepte todas las tramas, incluso aquellas que no
vayan destinadas ella, lo nico que queda despus es filtrar y analizar dicho trfico, buscando la
informacin que sea de utilidad.
Debido al hecho de que los switches slo envan trfico al equipo que le corresponde, realizar la
tcnica de sniffing es un poco ms complicada, ya que para poder capturar trfico que no le co-
rresponda al equipo, primero hay que hacer que el switch enve dicho trfico hacia el equipo del
Diseccin de un Ataque MITM mediante ARP Spoofing y Tcnicas de Proteccin Existentes 11
atacante, esto se puede lograr a travs de herramientas como arpspoof, ethercap, etc. que permiten
envenenar la tabla ARP de los equipos dentro de una red LAN, para lo cual debemos primero lo-
grar conectarnos a la red.
Aunque se piense que no es tan sencillo conectarse a una red LAN, tengamos en cuenta que en
muchas organizaciones los hubs (ya en desuso y no recomendados) y switchs no se encuentran
protegidos, y en muchos switches los puertos de conexin del nivel de acceso de usuarios no se en-
cuentran restringidos, y si adems tenemos en cuenta el auge de las redes inalmbricas, conectarse
a una LAN se facilita mucho ms.
III. EL PROTOCOLO ARP
El protocolo ARP (Address Resolution Protocol) es un protocolo que trabaja en la capa de acceso
a la red del modelo TCP /IP (equivalente a la capa de enlace de datos del modelo OSI).
Segn la RFC 826[2], este protocolo presenta un mtodo para la conversin de las direcciones IP
en las redes de rea local a las direcciones Ethernet (direcciones MAC).
Los equipos de red que implementan este protocolo arman una tabla, llamada tabla ARP, la cual se
almacena en la memoria del equipo y permite establecer la relacin entre la direccin IP y la direc-
cin Ethernet de los equipos; cuando se necesita averiguar una direccin MAC asociada a una IP,
simplemente se localiza la direccin IP en la tabla y se busca dentro del mismo registro de la tabla
la direccin MAC asociada, la Fig 1 muestra un ejemplo de una tabla ARP:
------------------------------------
|IP address Ethernet address |
------------------------------------
|223.1.2.1 08-00-39-00-2F-C3|
|223.1.2.3 08-00-5A-21-A7-22|
|223.1.2.4 08-00-10-99-AC-54|
------------------------------------
Fig 1. Ejemplo de Tabla ARP [3].
En las computadoras que implementen la suite de protocolos TCP/IP se puede visualizar la tabla
ARP generada a travs del comando arp a, la cual arroja como resultado unas tablas ARP como
las mostradas en la Fig. 2.
Cuando un equipo desea enviar una informacin a otro a travs de la red LAN, lo hace a travs de
la direccin IP; lo primero que hace el sistema es verificar si la direccin IP de destino hace parte
de su mismo segmento de red. Si es as, el equipo consulta en su tabla ARP, que direccin MAC le
corresponde a la IP de destino, si la direccin solicitada no se encuentra en ella, el protocolo ARP
enva un paquete de broadcast a la red LAN con la direccin IP solicitada, los diferentes equipos
dentro de la LAN comparan dicha IP con la suya, y slo el equipo al que le corresponda, responde-
r envindole la direccin MAC de su interfaz de red. Cada equipo ir actualizando su respectiva
tabla ARP.
Fig 2. Tabla ARP generada en equipo con (a) Microsoft Win-

dows 7. (b) GNU/Linux Debian Lenny 5.0.
Cuando la direccin IP se corresponde con una red diferente a la del host de origen, el equipo debe
enviar la solicitud a su puerta de enlace, por lo que requerir la direccin MAC de dicho Gateway,
ejecutando el proceso antes mencionado.
Siendo un poco maliciosos, nos preguntamos qu pasara si un equipo le indica a la red, o a algn
equipo dentro de la misma, que l es su puerta de enlace, enviando la IP de la puerta de enlace real,
pero indicando su propia MAC, pues que los equipos le enviarn a ste toda la informacin que
deba ir hacia otra red, como por ejemplo, las solicitudes hacia Internet.
La RFC 903[4] presenta el protocolo RARP (Reverse Address Resolution Protocol), que realiza el
proceso inverso, convirtiendo las direcciones MAC en direcciones IP.
IV. ARP SPOOFING
La tcnica de ARP Spoofing, y especficamente la tcnica ARP poisoning, permite hacer un en-
venenamiento de la tabla ARP de uno o varios equipos dentro de la red LAN, de tal manera que
podamos, por ejemplo, hacer que uno o varios equipos nos enven a nosotros trfico destinado
hacia otro computador.
Existen diferentes herramientas que permiten realizar diferentes ataques de ARP Spoofing en una
red LAN, la distribucin GNU/Linux BackTrack, que posee una gran cantidad de utilidades para
realizar auditoria de redes, test de penetracin, etc., posee algunas de estas herramientas.
A. arpspoof
Esta herramienta hace parte de un conjunto de herramientas, conocidas como dsniff [5][6], que
permiten realizar auditoras a redes de todo tipo, incluye varios tipos de ataques para realizar in-
tercepcin de trfico. Por ejemplo, a travs de arpspoof podemos envenenar fcilmente la tabla
ARP de un equipo en la red, enviando constantemente respuestas ARP no solicitadas a los equipos
atacados, con la finalidad de mantener envenenada la cache:
# arpspoof t ipvictima ipasuplantar
Por ejemplo, si quisiramos envenenar la cache ARP de un equipo con la IP 172.168.30.54 y su-
plantar un equipo con la IP 172.168.30.1, de tal forma que todos los paquetes que sean destinados a
dicho equipo se enven al equipo del atacante, siendo la IP del atacante 172.168.30.53, tendramos
que ejecutar la siguiente instruccin:
# arpspoof t 172.168.30.54 172.168.30.1
El sistema comenzar a enviar mensajes ARP falsificados, indicando que la MAC del equipo
172.168.30.1 es la del equipo del atacante, como se observa en la Fig 3.
Fig 3. Ejecucin del programa arpspoof en BackTrack 4.0 R2.
De esta forma, la tabla ARP del equipo 172.168.30.54 es envenenada, y por lo tanto si se ejecuta el
comando arp a en dicho equipo, se obtendr una respuesta como la mostrada en la Fig 4.
Fig 4. Equipo Windows XP con la tabla ARP envenenada.

En (a) puede observarse la tabla ARP normal, en (b) puede
observarse que ambas IPs poseen la misma direccin MAC
del atacante (172.168.30.53).
Luego se repite el mismo procedimiento para el otro lado de la comunicacin. Para que la comu-
nicacin entre los dos equipos se realice de forma transparente a los usuarios debemos habilitar el
encaminamiento de paquetes en el ncleo del sistema, a travs del comando:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Ya nos encontramos en la mitad de la comunicacin, y a travs de un sniffer como wireshark po-

demos capturar todo el trfico de dicha comunicacin sin necesidad de colocar la tarjeta en modo
promiscuo, ya que la transmisin est siendo enviada hacia el equipo del atacante, esta tcnica se
conoce como Man in The Middle (MITM).
En la Fig 5 se observa cmo a travs de wireshark podemos visualizar el trafico arp generado, y
notamos que el sistema detecta duplicidad en el uso de 172.168.30.1
Fig 5. Captura de trfico a travs de wireshark: se ha filtrado

para mostrar solo el trfico ARP.
B. arp-sk
La herramienta arp-sk [7][8], no incluida en BackTrack, es conocida como la navaja suiza del
protocolo ARP (nombre dado por sus propios autores); permite realizar una gran cantidad de ata-
ques sobre el protocolo ARP. Aqu mostraremos cmo se realizara un ataque de denegaciones de
servicio utilizando arp-sk.
Primero planteemos un escenario de ejemplo:
Teniendo una red con direccionamiento 172.168.30.0/24, en la que el router posee la IP 172.168.30.1
y la MAC 68:7F:74:75:6D:DB
# arp-sk T u1 r i eth0 S 172.168.30.1:AA:BB:CC:DD:EE:FF
Esta instruccin enva un trfico de broadcast a toda la red teniendo en cuenta las opciones utiliza-
das en el comando, las cuales son:
-T u1: enva los paquetes cada milisegundo.
-r: enva mensajes ARP Reply (respuestas ARP) a la red con la informacin indicada en el par-
metro S.
-S: direccin IP con la direccin MAC falsa enviada en los mensajes ARP Reply.
La Fig 6. muestra los mensajes ARP Reply enviados a la direccin MAC de broadcast FF:FF:FF:-
FF:FF:FF, tambin se puede observar la direccin MAC del atacante 08:00:27:98:E7:D9.
Podemos hacer que se asocie la direccin MAC del router al equipo atacante, agregando el par-
metro s con la direccin MAC del router, el comando quedara como sigue:
# arp-sk T u1 r i eth0 S 172.168.30.1:AA:BB:CC:DD:EE:FF s 68:7F:74:75:6D:DB
Con esto se logra que se asocie la MAC del router a la tarjeta de red del atacante.
Fig 6. Mensajes ARP Reply enviados por arp-sk.
Mientras el sistema se encuentre enviando los mensajes ARP, los equipos dentro de la red LAN no
tendrn acceso al router y por lo tanto no tendrn acceso a Internet.
La Fig 7. muestra cmo al tratar de hacer un ping hacia el router (IP: 172.168.30.1) no se obtiene
ninguna respuesta.
Este ataque es realizado sobre toda la red, si se desea atacar a un solo equipo dentro de la red el
comando puede ser ejecutado de la siguiente forma:
# arp-sk T u1 r i eth0 S 172.168.30.1:AA:BB:CC:DD:EE:FF d 08:00:27:D9:28:4E
El parmetro d permite indicar la direccin MAC del equipo al que se desea atacar.
a)
b)
Fig 7. Equipos de la LAN con la MAC del router alterada, (a)

tabla ARP envenenada, (b) resultado del comando ping hacia
el router.
C. Ettercap
Naci como un sniffer para redes LAN, pero se fue convirtiendo poco a poco en una poderosa
herramienta para la realizacin de ataques Man In The Middle [9]. Es capaz de realizar una gran
cantidad de ataques orientados a colocarse en la mitad de una transmisin, incluidos ataques de
ARP Spoofing, envenenamiento de DHCP, robo de puertos, etc. Existen versiones de ettercap para
diversos sistemas operativos, incluidos, como es obvio, Windows y GNU/Linux; BackTrack lo
incluye entre sus herramientas de sniffing y spoofing, el sistema puede ser ejecutado por consola o
por interfaz grfica, la Fig 8. muestra la interfaz grfica de ettercap.
Este software es capaz de intervenir comunicaciones encriptadas con SSL, como HTTPS o SSH-1,
lo que le permite capturar contraseas de sitios web seguros, como las cuentas de correo electr-
nico, a travs de esta herramienta, utilizando un ataque MITM podemos capturar los nombres de
usuario y contraseas de cualquier conexin https, sin que los usuarios de la red se den cuenta.
Fig 8. Interfaz grfica de ettercap ejecutada desde BackTrack

4.0 R2.
D. Cain & Abel
Esta herramienta [10] permite la recuperacin de contraseas; aunque esta no es su funcin prin-
cipal, fue desarrollado para plataforma Windows, y puede, utilizando la tcnica de ARP Spoofing,
capturar trfico de la red, recuperar o incluso modificar contraseas, puede trabajar sobre mltiples
protocolos, como HTTPS, SSH-1, DNS, VoIP, etc. La Fig 9 muestra la interfaz grfica de Cain &
Abel funcionando en una mquina con sistema operativo Windows XP.
Fig 9. Interfaz grfica de la herramienta Cain & Abel.
Como puede verse, existen una gran cantidad de herramientas que pueden ser utilizadas para rea-
lizar ataques de ARP Spoofing, muchas de ellas disponibles para diferentes sistemas operativos, y
muchas incluidas en la distribucin de GNU/Linux BackTrack.
Todas estas herramientas pueden ser utilizadas para realizar diferentes ataques que requieran del
envenenamiento ARP, como los mostrados en este artculo; ms adelante nos concentraremos en
realizar un ataque Man In The Middle, utilizando ettercap para mostrar cmo se podra capturar las
claves de conexiones web seguras, como las de correos electrnicos e incluso sitios web bancarios,
y luego presentaremos una serie de tcnicas que permitan protegernos.
V. Man in the Middle
Hemos visto cmo la tcnica de ARP Spoofing permite envenenar la tabla ARP de los equipos
atacados, de tal manera que podamos suplantar equipos dentro de una red LAN y capturar trfico
destinado a dicho equipo. Imaginemos ahora que el equipo que queremos suplantar en la red es
un router utilizado para enrutar paquetes hacia otra red, muy comnmente Internet; en este caso le
podramos decir a los equipos atacados que nuestro equipo es el router, de tal manera que todo el
trfico hacia Internet; pase primero por nosotros. Hay que aclarar que para pasar desapercibidos
debemos habilitar el forwarding en nuestro equipo, para que luego de capturar el trfico hacia el
router nuestro equipo lo reenve hacia el router real. Esto permite colocarnos en la mitad de la
transmisin; a este ataque se le conoce como MITM (Man In The Middle - Hombre en el Medio).
La Fig 10. (a) muestra cmo sera el trfico entre el equipo origen y destino normalmente y (b)
como sera el trfico con una estacin ubicndose entre el equipo de origen y el router.
VI. Hacking HTTPS con Ettercap y SSLStrip
A travs de este ejemplo explicaremos como utilizando la tcnica de ARP Spoofing en un ataque
MITM, usando ettercap, podemos capturar trfico https y obtener de esta forma los nombres de
usuario y las contraseas de cualquier conexin web segura. Al realizar este ataque, estamos asu-
miendo que ya se cubrieron las fases previas de un ataque informtico y que ya se logr conectar
el equipo del atacante a la red LAN.
Lo siguiente es iniciar el sistema operativo BackTrack y habilitar el forwarding en el equipo a

travs de la instruccin:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Luego de esto podemos ejecutar ettercap ya sea desde la lnea de comandos o desde la interfaz
grafica.
Por lnea de comandos podra ser de la siguiente forma:
# ettercap Tq i eth0 M arp:remote /objetivo1/ /objetivo2/
Los parmetros utilizados en el ejemplo tienen la siguiente finalidad:

-T: trabajar en modo texto
-q: modo silencioso, no se muestra el contenido de los paquetes, slo la informacin de las contra-
seas, slo puede ser utilizado si se trabaja en modo texto.
-i: la interfaz de red utilizada para realizar el ataque
-M arp:remote: ataque de Man In The Middle con envenenamiento arp.
Fig 10. (a) Trfico convencional en una red entre un cliente

y un servidor web (b) Trfico alterado al envenenar la tabla
ARP de la victima para ejecutar un ataque MITM.
Por ejemplo, si quisiramos atacar a un equipo con la IP 172.168.30.54, y la IP del router fuera
172.168.30.1, podramos escribir el comando de la siguiente forma:
# ettercap Tq i eth0 M arp:remote /172.168.30.54/ /172.168.30.1/
El problema que se encuentra en este ataque es que el navegador de la vctima mostrar un mensaje
de advertencia con respecto a que el certificado SSL del sitio web no es vlido, lo que puede ge-
nerar desconfianza en la vctima, pero esto es fcilmente resuelto ejecutando el programa, sslstrip
[11] que reemplaza las solicitudes https por http, ubicndose entre el cliente y el servidor, de la
siguiente forma:
Redireccionamos el trfico web del puerto 80 al puerto donde se desee poner a trabajar el sslstrip,
por ejemplo el 10000, que es el que utiliza el sslstrip por defecto.
# iptables t nat A PREROUTING p tcp --destination-port 80 j REDIRECT --to-ports 10000
Habilitamos el ettercap y luego ejecutamos el sslstrip.
# sslstrip a k f
A travs de esta instruccin le estamos indicando al sistema que:
-a: Registrar todo el trfico SSL y HTTP hacia y desde el servidor.
-k: Detener todas las sesiones en progreso, para que el proceso de login vuelva a ser necesario.
-f: Sustituir el favicon de bloqueo en las solicitudes seguras.
Luego solo resta esperar a que el equipo de la vctima ingrese a su correo electrnico o a alguna
pgina de login segura, y en la pantalla del atacante aparecer algo como lo que se muestra en la
Fig 11. Si en lugar de seleccionar un equipo para atacar, se colocan los dos slash pegados (//), se
logar atacar a toda la red entera.
Fig 11. Se observa el nombre de usuario (victimahack), con-

trasea (ClaveHackeada) y servidor de correo (Yahoo) al
cual se conect la vctima.
VII. Deteccin de Ataques y Proteccin
Antes que nada, es importante aclarar que no se necesita gran experiencia para ejecutar ataques
de ARP Spoofing. Los Script Kiddies pueden ejecutar ataques ARP utilizando la gran cantidad de
herramientas disponibles para ello. [4][12] Los ataques son posibles porque el protocolo ARP no
implementa una forma de corroborar la autenticidad de las peticiones en la red. En realidad el pro-
tocolo ARP no fue diseado para enfrentarse a nodos maliciosos, por lo que los datos son vulnera-
bles a redireccionamiento, secuestro o alteraciones. Existen diversas herramientas para detectar y
protegerse de los ataques al protocolo ARP, a continuacin se exponen algunas de ellas.
A. ARPwatch
Arpwatch [14] es una herramienta publicada por el LBL research group, utilizada para detectar tr-
fico ARP sospechoso. Arpwatch monitorea la tabla de mapeos IP/MAC y enva correos al adminis-
trador en caso de cambios en ella. El inconveniente de arpwatch es que transfiere al administrador
del sistema la decisin de determinar qu eventos ARP son realmente ataques de envenenamiento
o simplemente eventos no maliciosos, adems de no tomar medidas automticas para prevenir o
detener el supuesto ataque, la Fig. 12 muestra una herramienta llamada DecaffeinatID, que im-
plementa Arpwatch bajo plataforma Windows, en la figura se puede observar cmo la aplicacin
advierte sobre la modificacin de una direccin MAC en la tabla ARP.
Fig 12. Deteccin de ARP Spoofing con DecaffeinatID que

implementa Arpwatch.
B. IDS, Snort
Snort es un Sistema de prevencin y deteccin de

intrusos en la red (IDS/IPS) de cdigo abierto, de-
sarrollado por Sourcefire.
Snort es uno de los ms poderosos y ligeros IDS,
posee anlisis de trfico a tiempo real, registro de
paquetes, y puede detectar gran variedad de ata-
ques y enviar alertas a tiempo real.[15] El princi-
pal problema con los IDS es que tienden a generar
una gran cantidad de falsos positivos, lo que re-
quiere personal especializado para atender dichos
eventos.
Fig 13. Algoritmo de deteccin de ARP spoofing
de Snort
C. Dynamic ARP Inspection
Los switches CISCO cuentan con la herramienta DAI (Dynamic ARP Inspection), sta caracte-
rstica de seguridad valida todos los paquetes ARP en una red. DAI intercepta, registra y descarta
todos los paquetes ARP con combinaciones de IP/MAC no vlidas [16], de esta manera se protege
contra ataques MITM. La base de datos de IP/MAC es construida mediante la tcnica de DHCP
snooping, siempre y cuando sta se encuentre habilitada en las VLANs y en los Switches. El
DHCP snooping es una caracterstica destinada a evitar que nodos malintencionados se hagan
pasar por el servidor DHCP de una red. Esta tcnica, as como el DAI, se basa en los conceptos de
puertos de confianza y puertos no confiables.[17] La solucin DAI solo puede implementarse en
dispositivos de red CISCO habilitados para ello.
Marcos X, et. al. proponen un sistema [18] basado en la inspeccin dinmica de ARP (DAI) de
Cisco System, pero sin requerir switch costosos. El DHCP snooping es implementado en un ser-
vidor que captura todas las peticiones ARP en la red y emite una respuesta ARP correcta con base
en su propia tabla de mapeos IP/MAC.
D. Port Security
Port Security es una caractertica de los Switches Cisco que restringe el acceso a los puertos del
switch mediante la identificacin de las direcciones MAC de las estaciones de trabajo que estn
pemitidas para acceder a dicho puerto.[19].
Cuando un dispositivo cuya MAC no se encuentra registrada en el puerto intenta acceder al mismo
se produce una violacin de seguridad.
Dependiendo de la configuracin del Switch, la violacin de seguridad puede restringir los datos
y enviar una notificacin SNMP o puede deshabilitar el puerto. La figura 14 muestra la configura-
cin de una interface especfica del switch.
Fig 14. Salida del comando show port security en una iterface
especfica del Switch Cisco Catalyst 4500.
E. ARP-Guard
ARP-Guard[20] es otra de las herramientas diseadas para proteger la red contra ataques internos
y dispositivos no autorizados; segn el fabricante, el aplicativo cierra los agujeros de seguridad
que los sistemas convencionales como firewalls, antivirus y sistemas de deteccin de intrusos no
cubren.
ARP-Guard es un sistema enfocado en la proteccin en capa 2, es capaz de detectar y prote-

ger automticamente ataques tipo ARP poisoning, MAC flooding e IP spoofing, a diferencia del
Arpwatch, que solo realiza la deteccin del ataque. El funcionamiento del sistema ARP-Guard
requiere de una arquitectura de sensores que detectan los ataques ARP y reportan al sistema de
administracin para evaluacin y procesamiento de la amenaza. Los sensores se conectan a los
puertos SPAN (Switched Port Analyzer) del switch, estos puertos permiten el monitoreo de todo el
trfico que fluye por el switch.[21].
Fig 15. Arquitectura del sistema de proteccin ARP-Guard.

Tomado de [22]
VIII. Conclusin
Concentrarnos en protegernos slo de los ataques externos es un error comn de los administrado-
res de red en muchas organizaciones, la implementacin de polticas de seguridad deben tener en
cuenta que los ataques que busquen comprometer a nuestros sistemas no solamente pueden venir
desde fuera de nuestra red, sino tambin desde adentro.
El ARP Spoofing presenta todo un abanico de posibilidades para comprometer el funcionamien-

to de una red LAN, pudiendo realizar ataques de suplantacin, denegacin de servicios, Man In
The Middle, etc., estos ataques pueden ser realizados fcilmente, utilizando algunas herramientas
como arpspoof, ettercap, arp-sk, cain & abel y muchas otras.
Es necesario proteger nuestra red, desde los equipos de cmputo, hasta los equipos de interco-
nexin, no slo la parte fsica sino la lgica. Las tcnicas y tecnologas que se pueden implementar
para minimizar el riesgo de ataques que utilicen la tcnica ARP Spoofing son muchas; como vemos
existen algunos dispositivos de interconexin que permiten implementar mecanismos como DAI
y Port Security en switchess CISCO, hasta la instalacin de sistemas IDS e IPS, como snort, en
puntos especficos de la red, donde se permita monitorizar el trfico que viaja por todo el sistema,
hasta la implementacin de aplicaciones para los equipos clientes que permitan identificar este
tipo de ataques y avisen a los usuarios para que estos tomen las medidas de prevencin necesarias.
A todo esto debemos sumar adems la capacitacin de los usuarios de los equipos de cmputo
en la red de la organizacin, hacindolos concientes de los peligros existentes y el porqu de las
polticas de seguridad implementadas, hacindolos partcipes de todos los procesos asociados a la
seguridad de la infraestructura informtica de la organizacin, dndoles a entender que son ellos la
pieza clave para que todas las implementaciones de seguridad funcionen como debe ser.
Las organizaciones gastan millones de dlares en firewalls y dispositivos de seguridad, pero tiran
el dinero porque ninguna de estas medidas cubre el eslabn ms dbil de la cadena de seguridad:
la gente que usa y administra los computadores Kevin Mitnick.
REFERENCIAS
[1] Tanenbaum, A.S. Redes de Computadoras, 4ta ed., P. Guirrieri, Ed. New Jersey: Pearson
Education, Inc., 2003, pp. 36.
[2] Plummer, D.C. RFC 826: An Ethernet Address Resolution Protocol --or -- Converting Ne-
twork Protocol Addresses to 48 bit Ethernet Address for Transmission on Ethernet Hardwa-
re,1982.
[3] Socolofsky, T.J.; Kale, C.J. RFC 1180: A TCP/IP Tutorial, 1991, pp. 8.
[4] Ortega, A.P.; Marcos, X.E. Anlisis, Diseo e Implementacin de un Sistema para Evitar
Ataques al Protocolo ARP en Redes de rea Local (Tesis de Grado), Facultad de Ingeniera
Elctrica y Computacin. Escuela Superior Politcnica del Litoral, 2008.
[5] Song, D. dsniff. ltimo acceso: 30 de mayo de 2011. http://www.monkey.org/~dugsong/dsniff/
[6] Chomsiri, T. HTTPS Hacking Protection ainaw, vol. 1, pp.590-594, 21st International Con-
ference on Advanced Information Networking and Applications Workshops (AINAW07),
2007.
[7] Raynal, F. Detoisien, E. Blancher, C. arp-sk, A Swiss Knife Tool for ARP. ltimo acceso: 30
de mayo de 2011. http://sid.rstack.org/arp-sk/[8] Elmeleegy, K.; Cox, A.L.; , EtherProxy:
Scaling Ethernet By Suppressing Broadcast Traffic, INFOCOM 2009, IEEE , pp.1584-1592,
19-25 April 2009.
[9] Ornaghi, A. Valleri, M. Ettercap NG. ltimo acceso: 2 de junio de 2011. http://ettercap.sour-
ceforge.net/index.php
[10] Montoro, M. oxid.it. ltimo acceso: 2 de junio 2011. http://www.oxid.it/cain.html
[11] Marlinspike, M. SSLSTRIP. ltimo acceso: 2 de junio 2011. http://www.thoughtcrime.org/
software/sslstrip/
[12] An Analysis of the Schemes for Detecting and Preventing ARP Cache Poisoning Attacks.
[13] S. Buer. Arpoison. ltimo acceso: 6 de Junio de 2011. http://arpoison.sourceforge.net
[14] Lawrence Berkeley National Laboratory Network Research Group. Arpwatch. Ultimo acceso
7 de junio de 2011. http://ee.lbl.gov/
[15] Hou Xiangning, et al. The detection and prevention for ARP spoofing based on Snort, Inter-
national Conference on Computer Aplication and System Modeling, IEEE, 2010
[16] Cisco. Dynamic ARP Inspection. ltimo acceso: 7 de Junio de 2011 http://www.cisco.com/
en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/dynarp.html.
[17] DHCP Snooping. The Cisco Learning Network. ltimo acceso: 7 de Junio de 2011. https://
learningnetwork.cisco.com/docs/DOC-2314.
[18] Marcos X, et. al. Diseo preliminar de un sistema para evitar ataques al protocolo ARP en
redes de rea local. Escuela Superior Politcnica del Litoral.
[19] Cisco Systems Inc. Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide.
2004.
[20] ARP-Guard. ltimo acceso: 17 de junio de 2011 https://www.arp-guard.com/info/product/

arp-guard/
[21] Reiners W. ARP-Guard, ARP Spoofing Attacks Protection, 3M Future, 2005. http: //
www.3mfuture.com/articles_arp/arp_guard_arp-spoofing_onepage_en.pdf
[22] ARP-Guard. Architecture. ltimo acceso: 16 de junio de 2011 https://www.arp-guard.com/
info/product/architecture/

167 181 1 PB

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

167 181 1 PB

Transféré par

Droits d'auteur :

Formats disponibles

Diseccin de un Ataque MITM

mediante ARP Spoofing y

Cmo referenciar este artculo?:

F.J. Daz Jimnez*

Las redes de computadoras se implementan a travs de protocolos de comunicacin. Un protoco-

II. DIFERENCIAS ENTRE HUBS Y SWITCHES

III. EL PROTOCOLO ARP

Fig 2. Tabla ARP generada en equipo con (a) Microsoft Win-

IV. ARP SPOOFING

Fig 3. Ejecucin del programa arpspoof en BackTrack 4.0 R2.

Fig 4. Equipo Windows XP con la tabla ARP envenenada.

Ya nos encontramos en la mitad de la comunicacin, y a travs de un sniffer como wireshark po-

Fig 5. Captura de trfico a travs de wireshark: se ha filtrado

Primero planteemos un escenario de ejemplo:

Fig 6. Mensajes ARP Reply enviados por arp-sk.

Fig 7. Equipos de la LAN con la MAC del router alterada, (a)

Fig 8. Interfaz grfica de ettercap ejecutada desde BackTrack

D. Cain & Abel

Fig 9. Interfaz grfica de la herramienta Cain & Abel.

V. Man in the Middle

VI. Hacking HTTPS con Ettercap y SSLStrip

Lo siguiente es iniciar el sistema operativo BackTrack y habilitar el forwarding en el equipo a

Los parmetros utilizados en el ejemplo tienen la siguiente finalidad:

Fig 10. (a) Trfico convencional en una red entre un cliente

Fig 11. Se observa el nombre de usuario (victimahack), con-

VII. Deteccin de Ataques y Proteccin

Fig 12. Deteccin de ARP Spoofing con DecaffeinatID que

Snort es un Sistema de prevencin y deteccin de

C. Dynamic ARP Inspection

ARP-Guard es un sistema enfocado en la proteccin en capa 2, es capaz de detectar y prote-

trfico que fluye por el switch.[21].

Fig 15. Arquitectura del sistema de proteccin ARP-Guard.

El ARP Spoofing presenta todo un abanico de posibilidades para comprometer el funcionamien-

[20] ARP-Guard. ltimo acceso: 17 de junio de 2011 https://www.arp-guard.com/info/product/

Vous aimerez peut-être aussi