" LA DEFENSA CONTRA EL MITM" CONTRAMEDIDA CONTRA ATAQUES DE HOMBRE EN EL MEDIO 👀💀💫😏💻

arpwatch 14:35:00

"DEFENSA CONTRA ATAQUES MITM"

Conviene hablar de lo importantes que es entender los protocolores de red y tener una gran usanza con estos ultimos mencionados, no hace falta solo saber y tener un conocimiento profundo de como a nivel teorico funcionan los protocolos de red al hacer frente a diversos ataques como son uno de los mas conocidos de el hombre en el medio , el hombre en el medio como ya es conocido es uno de los ataques mas comunes a dia de hoy y donde poco o nada se tiene que tener de entendimiento para efectuar este ataque como han existido casos donde script kiddies solo bajan una herramienta o sistema operativo especializado para tales casos y ejecutan el ataque, no voy a dar nombres de casos pero por internet abundan este tipo de cuestiones.

en este articulo hablaremos y utilizaremos para coprender el uso de arpwatch y diversas medidas o trucos para hacer frente a un intento de ataque de hombre en el medio , como bien sabemos este tipo de ataque consiste en sniffear o olfeatear toda la red por donde nos encontramos , podria tratarse tambien en el particular caso de redes remotas, siempre y cuando conozcamos el gateway que queremos engañar pero si bien es complejo es particularmente posible en todos los casos, aunque hay que destacar tambien y hacer un parentesis de que hoy en dia la mayoria de counicaciones estan cifradas, aun existen desarolladores que implementan una pobre seguridad al transmitir las comunicaciones y los datos mismos o que con algunas vulnerabilidades criticas se puede efectuar tambien correctamente un ataque de downgrade o mejor conocido como un ataque de baja de version para efecutar otros ataques como el del hombre en el medio.

no voy a explicar en este articulo el funcionamiento o teoria del hombre en el medio tanto de los protocolos, el lector debera buscar fuentes confiables para una correcta comprension, una de las herramientas que abordare es arpwatch como su nombre lo indica visor de arp o los ojos del protocolo arp, esta pequeña utilidad pero potente de linea de comandos en linux (desconozco realmente si funciona o si podria funcionar en windows tambien ) funciona de la siguiente manera:

ya que como bien sabemos que el protocolo arp guarda en la cache arp de los sistemas operativos de las estaciones cliente la pareja de DIRECCION_IP/DIRECCION_MAC entonces podremos usar esto a nuestro favor ya que la herramienta verifica que esto no cambie si en algun particular caso este par llegara a cambiar entonces estamos ante una posible eventual hombre en el medio o estan tratando de engañar a nuestro trafico de red.

ejemplo:

si tenemos el par 192.168.0.23 / 00:0F:DE:CA:00 y estamos de acuerdo que la ultima direccion es la mac original y no debe porque estar a algo como esto dentro de la cache arp en el trafico de red.

192.168.0.23 / 00:00:FF:CE:10

entoces estamos ante un posible eventual ataque, esto lo logra por medio del cambio de patron de caracteres, un paradigma que es posible detectar un cambio dentro de los parametros posibles.

he remarcado todo el contexto anterior para que se ponga enfasis al funcionamiento de esta gran herramienta a continuacione vamos a ver como podremos instalar en nuestro linux favorito o S.O de hacking esta herramienta.

ahora veremos como podremos personalizar para nuestros trabajos esta herramienta y que es lo que debemos modificar para que que la herramienta nos pueda enviar alertas a nuestro propio correco electronico en caso de algun ataque , los archivos que se pueden leer en la imagen de abajo son los que se configuran normalmente en esta herramienta.

Imagen 2. archivos configurables dentro de arpwatch para una correcta defensa.

Los archivos anteriores mostrados en la imagen son los mas importantes por ejemplo la ubicacion /usr/local/arpwatch es la localizacion normal donde se instala dentro de nuestra distribucion la herramienta arpwatch, la base de datos local en forma de archivo que contiene los pares ip/mac que hemos mencionado en la explicacion anterior esta esn esta ubicacion que se muestra en la imagen, en ARP.dat , asi que a partir de aqui deberemos estar al pendiente de este formato dentro de esta herramienta que son los .dat ya que esta herramienta es el formato que utiliza por defecto, ademas algun extra interesante de esta herramienta es que podemos añadir como un enfasis los codigos ethernet que queremos bloquear para que asi el atacante vea mermada o disminuidas sus posibilidades de ataque de hombre en el medio.

en la imagen anterior vemos que se utiliza para inicialiar por medio de systemctl para iniciar el demonio y aunque apagemos nuestra maquina este ultimo al volver a encender la misma seguira activo nuevamente dejando al servicio sin interrupciones mientras este configurado,

como vemos podremos crear el archivo tambien directamente con la extension o el formato .dat como lo mencionamos unas lineas arriba , el archivo debera contener el par que hemos mencionado arriba para que la configuracion y el arranque tenga efecto.

Este ultimo es el mas completo ya que se encarga de toda la accion en general, por ejemplo estamos lanzando en la terminal el binario que se encuentra en sbin, con el parametro -d le estamos diciendo que la herramienta corra dentro del directorio donde estamos trabajando, el parametro -i estamos especificando la interfaz de red en este caso es por defecto eth0 pero dependiendo de tu sistema podria variar en dado caso eth1, eth2 al tener mas de una de las interfaces de red, el parametro -f estamos especificando donde se encuentra la base de datos del par en forma de archivos en este caso se encuentra en /tmp/arp.dat, una vez ya que contamos con todo es hora de arrancar y la imagen siguiente es lo que debes visualizar en tu sistema, en dado caso como la imagen de abajo si el mensaje es algo como mismath entonces la utilidad encontro una de las anormalidades en el trafico de red que no cooncide tu mac con la que circula o la de la tarjeta de red impregnada y entonces estamos ante un eventual ataque de hombre ene l medio.

toda la pantalla anterior nos da la informacion para verificar nuestra interfaz de red asi como el fabricante, la direccion mac el timestamp o la hora de estampado para tambien verificar errores y posibles intrusiones por este medio el nombre del host o la estacion cliente.

vemos que ha resultado en un mismatch ya que posiblmente estamos ante un eventual mitm o alguna tarjeta esta en modo promiscuo, tabmien cabe mencionar que el modo promiscuo utilizan los atracantes para visualizar trafico que normalmente no va dirigido hacia su equipo por lo que existen metodos y tecnicas para detectar si alguna tarjeta esta en modo promiscuo por medio del trafico de red, tecnicas que no mencionaremos en este articulo si no en otra ocasion ya que esta fuera del alcance de este articulo, la herramienta siguiente esta disponible para windows solamente en version de prueba y comercial y es capaz de detectr multiples nodos en modo promiscuo dentro de redes amplias y de area local.

el funcionamiento de promiscan es muy sencillo por lo que dejaremos que el lector experimente por si solo para cuestiones practicos, vamos a mencionar un libro que me encanto a la hora de experimentar sobre diversas herramientas en linux y es el libro de la imagen de la portada de este articulo, dicho libro no solo contiene temas sobre arpwatch si no sobres mas herramientas muy utilidad a la hora de la defensa y el ataque de redes de datos y comunicaciones.