viernes, 30 de marzo de 2018

How somebody fucked my girlfriend...yes, again [PARTE VII]

*****************************************************************************
How somebody fucked my girlfriend...yes, again [PARTE I]
How somebody fucked my girlfriend...yes,gain [PARTE II]
How somebody fucked my girlfriend...yes, again [PARTE III]
How somebody fucked my girlfriend...yes, again [PARTE IV] 
How somebody fucked my girlfriend...yes, again [PARTE V] 
How somebody fucked my girlfriend...yes, again [PARTE VI] 
How somebody fucked my girlfriend...yes, again [PARTE VII] 
How somebody fucked my girlfriend...yes, again [PARTE VIII] 
How somebody fucked my girlfriend...yes,again [PARTE IX] 
How somebody fucked my girlfriend...yes, again [PARTE X]
******************************************************************************

 Ya pillé al atacante en la última entrada y conseguí eliminar la carpeta con las fotos de mi pareja. Ya estaba todo hecho, sólo quedaba realizar unas configuraciones en la red de casa de mi novia. Son configuraciones muy sencillas y que no llevan más de una hora.


Aquí tengo que echarme yo la culpa, ya que cuando me fui a vivir con mi novia, tenía que auditar la red, pero lo fui procrastinando y se me ha pasado, así que este ataque "ha venido bien" para  ponerme con la red y realizar una serie de configuraciones necesarias.



Como vamos a tocar cosas de red, tendremos que tener en cuenta el modelo TCP/IP, ya que cuanto más abajo nos encarguemos de la seguridad de la red, más seguros estaremos, por ejemplo, si tiramos del cable no se conecta ni Dios.


Tengo que decir que invertí en routers y switches Cisco. Es un gasto curioso, pero lo que me monté fue un vtp, con un servidor y 2 clientes. Añadí los trunks y las vlans a cada interfaz en los clientes.


Me cree las vlans, una con el nombre de mi pareja donde iba a meter los dispositivos de mi pareja. Esa era la idea, pero finalmente y tras analizar los riesgos, decidí meter en esa VLAN sólo a su ordenador de sobremesa, que es ahí, donde al fin y al cabo tiene todas sus maquetas de canciones, facturas, temas de trabajo,etc. Después, me cree otra vlan en la que metí unos servidores de Backup. Los servidores de Backup los realicé con 1 Raspberry Pi y un ordenador viejo con Debian 8 sin entorno gráfico. Ya sabéis, por el tema de Software libre.


Me cree los vtp clientes y añadí los trunks y los accesos a la vlan. Guardo los cambios por si acaso y para fuera.


Sólo me quedaba agregar la IP al router. Yo contacté con el ISP y por un "módico precio" me dieron unas cuentas direcciones IPs. Estas no son las IPs que usé, pero pueden ser muy similares. Eso sí, ya os digo que no son las míticas 192.168.1.0/24 ni 192.168.0.0/24. Jugué ahí con la seguridad por oscuridad. Cree el pool de direcciones IPs. Le añadí algo más, pero quiero que veáis lo que puede cambiar lo que le añadí si no se lo pones.


Cree la red wifi en el punto de acceso. El punto de acceso estaba conectado al Router por supuesto. Después con el esquemático quedará todo más claro.


Solamente me quedaba añadir los equipos a la red wifi. Esto ya podía hacerlo cada uno con sus equipos, ves la red y te conectas con la password {la password que establecí ni de coña es la que os he dejado, todo esto es un entorno de pruebas}.


Aquí ya podéis ver un poco cómo estaba la red. Yo tenía un portátil que por fuerza conecté a la wifi. Mi pareja tiene un smartphone y una tablet que junto a i móvil también se conectaron a la wifi. El ordenador de sobremesa también se conectó a la wifi, lo que pasa es que no podía añadirle otra interfaz de red al sobremesa en esta simulación.


Como veis, el DHCP era canela en rama. No necesitaba una IP estática, ya me la daba de forma automática al portátil tras conectarlo a la red. Es importante que diga, que la IP no me la da el punto de acceso, no. La IP me la da el DHCP que está en el Router y que me la da por la interfaz FastEthernet 0/1. Esto es importante saberlo para evitar confusiones. Es más, yo podría conectarme al punto de acceso y no tener IP si lo especificase con alguna regla.


Si yo hacía un ping a los demás equipos conectados al punto de acceso, funcionaba todo, por lo que toda la configuración hasta el momento se había realizado correctamente.


El servidor de Backup sí iba a tener una IP estática, ya que tenía que tener siempre la misma, pero si os fijáis, ya no estaba en la misma red que mi portátil por ejemplo, su identificador de red era distinto.



Esto iba a ser porque en la interfaz fastEthernet0/0 iba a ponerle al router 2 IPs en la misma interfaz. Por supuesto, al final del encapsulation dot1Q tenía que añadirle el número de la vlan para que a cada una le asignase una IP en un identificador de red distinto. Cree otro DHCP, aunque aquí iban a tener todos los equipos una IP estática. Levanto la interfaz y todo debe de estar funcionando.



Como he dicho, el ordenador de mi pareja, al ser un sobremesa, no lo iba a mover de ahí, por lo cual no sería lógico que use DHCP, con una IP estática le bastaría. Se le asignaba y listo.


Y aquí vienen ya las cosas interesantes. En el DHCP de la interfaz fa0/0, he excluído las IPs desde la 4 hasta la 254. Esto es porque en esa interfaz solo iban a estar el ordenador de mi novia y la smartTV. Es decir, el Router con la 192.168.10.1, el ordenador de mi novia la 192.168.10.2 y la smartTv con la 192.168.10.3. La siguiente sería la 4, pero no la asigna el DHCP, por lo que cualquier atacante que se conectase no recibiría IP a menos que conociese el identificador de red usado y se la asigne de forma automática. Es por esto, la importancia de la seguridad por oscuridad. El atacante recibiría la 169, por lo que no tendrá conectividad con las demás máquinas.


Ahora bien, tendríamos un gran problema si en el router, por la interfaz a la que he conectado el PA, no excluyo también más direcciones IPs. Lo que ocurriría es que si un atacante, como se ve en la imagen, se conectase a la wifi{ya sea porque conoce la contraseña porque se la encuentre en un post-it, porque tire de aircrack,etc} tendrá IP y podrá interactuar con los demás equipos de la red, por ejemplo, escaneándola con nmap y encontrar software desactualizado corriendo en el puerto 21 por ejemplo y aprovecharse de esto. 

Es un problema grande, así que como yo sé que no recibimos muchas visitas y sé los equipos que tenemos en casa, sé hasta qué IP se está asignando, por lo que sé  a partir de la cual cortar y no asignarla por DHCP.


En este caso, y como tenemos 5 equipos más el router conectados, a partir de la 7 hasta la 254 digo que el DHCP no las asigne. Esto es tan fácil de probar como quitando el ordenador del atacante y ponerlo de nuevo y ver si le asigna IP por DHCP.


Y vemos que no le asigna IP. Pero ojo, sí que se ha conectado a la red wifi, lo que pasa es que, por DHCP no va a recibir más IP Address porque así se lo he especificado. Este es el típico mensaje de "Conectado pero sin acceso a Internet". Ahora eso sí, si conociese el identificador de red,podría asignarse una IP igualmente.


Al final, ya sólo me quedaba enrutar todas las redes. Yo, como ya era tarde y no quería hacerlo a manopla, tiré de ospf y lo dejé un rato hasta que aprendiese todas las rutas.


Como veis, desde el PC4 {un supuesto atacante} no tiene comunicación con mi equipo. Esto se debe a que por esa interfaz no he asignado la vlan y porque no tiene una IP válida para establecer la comunicación. Lo mismo ocurría con el atacante.



Finalmente la red quedó más o menos así. El equipo de mi novia se podía comunicar conmigo porque, a pesar de estar su equipo en la vlan 10 y el mío en la 1 por defecto, el ordenador de mi novia no estaba sólo en la vlan 10, en la 1 también. Aquí tenemos 2 opciones, una es quitar al ordenador de mi novia de la vlan 1 que se le asina por defecto o bien, tirar de ACL. Yo tiré de quitarla de la VLAN 1 y listo.

Esto de que no exista comunicación entre nosotros dentro de la LAN, es para que, si ella vuelve a ser infectada por Wanna Cry o cualquier otro rasonware similar que interactúe con la red, no salir yo perjudicado y que se quede todo en esa red, minimizando así los riesgos.

Es una solución muy sencilla como véis. No se tarda ni una hora en hacer todo esto. Al principio sí fue culpa mía por no segmentar así la red desde el primer día, pero ya está segmentada de una forma similar a lo que he contado. Por supuesto, con esto no te quitas de todos los problemas, simplemente minimizas riesgos y reduces la probabilidad y peligrosidad de un posible ataque, pero si, pro ejemplo, alguien le vuelve a robar las credenciales a mi novia, da igual toda esta segmentación.

No obstante, el grado de seguridad ya es más alto y si vienen mis padres o mis suegros a casa y se quieren conectar a la wifi, me dan su dispositivo, les conecto {ya no le digo la password a nadie} y les asigno la IP yo de forma manual. Iré comentando otras soluciones que he ido aplicando en el ordenador de mi novia para evitar o reducir posibles ataques futuros y alguna cosilla más. Pero eso ya es para otras entradas.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...