jueves, 29 de junio de 2017

Análisis de red ¿Quién ataca a quién?

Analizar lo que ocurre en tu red es algo muy importante, ya que cualquier actividad sospechosa, la podrás detectar en el momento del análisis y podrás llevar cierto control. Si además analizas tu red constantemente y ves que se repite un patrón siempre el mismo día de la semana, sobre la misma hora, desde la misma dirección IP; puedes pensar que, casi seguro, quiere atacarte esa persona tras esa IP a tu equipo y robarte datos.



Se me ocurrió una forma de explicar la importancia de analizar tu red que podría ser graciosa y entretenida de seguir. Pero lo primero es lo primero. Primero tenía que ver la tabla de usuarios activos en la red.


Para esto, primero probé a realizar un arp -a y comprebé que había 2 equipos conectados. Uno era mi equipo, y el otro era un ordenador portatil independiente que abrí. En la siguiente captura de arp dentro de la imagen anterior, se ve que de 2 equipo se pasan a 3, pues ahí ya encendí el Kali Linux.


Como muchos de vosotros ya sabréis, de las primeras operaciones que se va a realizar en la red, es conocer qué dirección MAC corresponde a cada IP del nivel de Internet, y unir así la capa de Internet y Enlace-Física. Para esto se usará el protocolo ARP para conocer la MAC de cada dirección IP de cada equipo en la red.

En este caso hemos fijado a "Nuestra víctima" que será el ordenador portatil a parte que hemos abierto. Ese ordenador dispone de un sistema Linux, más concretamente, un Ubuntu. Pero como nosotros somos analizadores de red, no tenemos por qué saber que ese equipo es de un familiar,trabajador,etc nuestro, asíq ue deberemos de encargarnos de tratar de reconocerlo.


Para realizar esta tarea, nos podemos ayudar de Kali Linux, aunque lo que sí podemos pensar, es que nosotros conocemos cada equipo de la red, pero que un buen día, uno de los equipos de nuestra red, se vuelve malicioso-a penas ocurre eso de que un trabajador que esté descontento con su empresa, se vuelva malicioso y trate de atacar a la organización- y trata de atacar a otro equipo de nuestra red, en nuestro caso, el Ubuntu.

Una de las primeras cosas que realizará el atacante, será, conociendo su IP-trabajan en la misma empresa, con lo cuál no debería ser muy difícil conocerla, ya que la víctima se ha podido ir sin apagar el equipo y el atacante ir a su equipo y escribir ipconfig o ifconfig; dependiendo del sistema operativo- utilizar nmap para ver qué puertos se ha dejado abiertos.


Nuestro atacante, ha dado con bastante información acerca de su víctima, pues sabe que se ha dejado abierto el puerto 22 de ssh, con las implicaciones en seguridad que eso podría conllevar.


Nuestro atacante ha visto una clara oportunidad, así que va a escanear toda la red con zenmap, que le da una visión más gráfica para ver cuántos trabajadores pueden tener este problema y qué posibles vulnerabilidades puede encontrar útiles de explotar.


Pero realizar ésto, genera muchos "residuos" en la red, y es aquí donde quise "darle una vuelta de tuerca" y ver cómo un equipo que estuviese analizando constantemente la red, podría percartarse de esta anomalía. Y es que esta acción que ha realizado el atacante, no va a pasar desapercibida, ya que el atacante, al escanear toda la red con la intención de encontrar más equipos con puertos abiertos; ésto generará una gran cantidad de paquetes ARP uno detrás de otro tal y como se muestra en la captura de pantalla anterior.

Esta acción que puede parecer tan tonta, nos puede servir para detectar un posible ataque en tiemp real, ya que no es normal que un equipo-ya que la fuente es siempre la misma MAC- genere tantos paquetes ARP en tan poco tiempo y encima a todas las direcciones IP de la red, es decir de la [Identificador].0 hasta la [Identificador].255. Esto puede significar principalmente dos cosas:

  1. Es un simple test de intrusión, pero consultándolo con el jefe de tecnología, podríamos salir de duda.
  2. Es un posible ataque.

Después de ese gran conjunto de paquetes ARP generados por la máquina atacante que ha usado nmap, se comenzarán a enviar varios paquetes TCP para comprobar el estado de cada puerto y saber así, cuál está abierto y cuál no. Esta cantidad de paquetes TCP en tan poco tiempo y con el mismo origen y el mismo destino, tampoco es habitual, con lo cuál, con un análisis de red, podríamos prevenir un posible ataque a un miembro de nuestra red. Esta acción de prevenir un posible ataque a un equipo de nuestra red puede ser importante debido a que ese usuario puede ser un usuario que lleve la contabilidad de la empresa, un usuario que envie informes de importancia al director o cualquier otra cosa que pueda comprometer la seguridad de los datos de los empleados y clientes.



Pero la situación podría ponerse mucho mejor para nosotros, si el atacante-que hemos dicho que era un trabajador descontento, y que por lo cuál no tiene por qué saber mucho de seguridad- comete el grave de error de conectarse a una web de login en HTTP e introducir sus credenciales, las cuales al ser un servicio en HTTP, viajarán en claro.


Se verá cómo van llegando los paquetes de la petición de la página de la Universidad de Córdoba. Solamente tendremos que ir bajando hasta encontrar el POST del login.


Y obtendremos sus credenciales. No obstante, sus credenciales no son lo más importante, ya que si se hubiese dado de alta con su correo, podríamo buscar ese correo en Twitter y Facebook y así saber a qué persona está asociado y averiguar la persona detrás del ataque cuando aún solamente está el atacante en la recogida de información.

Dependeríamos de que se cumpliesen unas determinadas circunstancias, pero pueden ser probables y nos pueden ayudar a detectar a la persona que está realizando el ataque y que se encuentra en el proceso de extraer información de interés para efectuar el ataque en el futuro. Esto nos puede quitar de una gran problema futuro.

¿Hackeamos el Mundo?





No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...