El documento describe las funciones y capacidades del programa Cain & Abel, un sniffer de red. Explica cómo Cain & Abel puede escanear redes, interceptar tráfico, capturar contraseñas transmitidas sin cifrar, y suplantar tablas DNS y direcciones MAC. También discute formas de protegerse contra sniffers como establecer entradas ARP estáticas.
1. Ramón Jesús Suárez Pérez
Seguridad y Alta Disponibilidad
Manual CAIN & ABEL(Sniffer)
¿Qué es un Sniffer?
El uso que se les den a éste tipo de aplicaciones es algo importante de señalar,
ya que gracias a ellos podemos ayudar a que nuestra Red tenga más seguridad,
hacer pruebas y así poder tener un muy buen resultado, el problema viene
cuando otros usuarios lo utilizan con fines de delitos electrónicos, ya que con
éste tipo de herramientas se puede obtener información confidencial.
Los principales usos que se le pueden dar son:
• Captura de contraseñas enviadas sin cifrar y nombres de usuario de la red.
Esta capacidad es utilizada en muchas ocasiones por atacantes (malmente
conocidos como hackers, pero de eso hablare otro día) para atacar
sistemas.
• Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué
el ordenador A no puede establecer una comunicación con el ordenador B?
• Medición del tráfico, mediante el cual es posible descubrir cuellos de
botella en algún lugar de la red.
• Para los desarrolladores, en aplicaciones cliente-servidor. Les permite
analizar la información real que se transmite por la red.
Algunos sniffers trabajan sólo con paquetes de TCP/IP, pero hay otros más
sofisticados que son capaces de trabajar con un número más amplio de
protocolos e incluso en niveles más bajos tal como el de las tramas del
Ethernet.
2. Ramón Jesús Suárez Pérez
Escaneando la red.
Con Cain & Abel encendido, procederemos a activar el Sniffer, para ello haremos clic
sobre el botón marcado en la foto situado en la parte superior izquierda de la barra de
herramientas del programa.
Hecho esto, nos dirigiremos a la pestaña superior “Sniffer” una vez allí, en la pestaña
inferior “Host” haremos clic derecho y seleccionaremos “Scan MAC Addresses”
Después marcaremos la opción para escanear todos los equipos de mi subred
(“All host in my subnet”) y haremos clic en “OK”.
3. Ramón Jesús Suárez Pérez
Como podremos observar, aparecerá una lista con los equipos de la subred.
Ahora es el momento de escoger una víctima para nuestra prueba, en mi caso utilizare
una máquina virtual con la IP 192.168.1.25.
Interceptando el tráfico generado por la víctima.
Dentro del módulo de sniffer de Cain, nos dirigiremos a la pestaña inferior “APR” para
posteriormente hacer clic en el símbolo “+” situado en la barra de herramientas.
Hecho esto, aparecerá una ventana, donde debemos seleccionar en la parte izquierda
la IP de nuestra víctima y en la parte derecha la dirección que queremos intervenir, en
nuestro caso la propia puerta de enlace.
4. Ramón Jesús Suárez Pérez
Una vez agregada nuestra victima a la lista, haremos clic sobre el botón “APR” situado
en la parte superior de la barra de herramientas para empezar a redirigir el tráfico.
Esta acción provocará que nuestro equipo copie temporalmente la IP de la puerta de
enlace y obtenga los paquetes destinados a ella por parte del cliente, sin interrumpir la
conexión entre ambos, por lo que el equipo cliente no notará el cambio.
Si accedemos a la pestaña inferior “Passwords”, en el apartado “HTTP” podremos
observar las direcciones que visita nuestra víctima.
5. Ramón Jesús Suárez Pérez
Capturando contraseñas.
En la misma zona donde visualizamos el tráfico de nuestra víctima, podremos
visualizar contraseñas de webs no seguras.
Para comprobar la eficacia del sniffer y no peligrar la privacidad de nadie, me registré
en una web que no tenía soporte https e inicié sesión.
Como se puede observar claramente, el sniffer intervino la conexión capturando la
contraseña de la víctima.
6. Ramón Jesús Suárez Pérez
Pero Caín no solo captura contraseñas de páginas web no seguras (HTTP) sin que
también es capaz de capturar contraseñas de otro tipo de protocolos no seguros como
puede ser FTP, VNC, Telnet…
Para probar de nuevo el funcionamiento del sniffer, decidí conectarme a un servidor
ftp de prueba que cree anteriormente desde la máquina víctima.
Una vez más el sniffer obtuvo la dirección IP del servidor, usuario y contraseña,
aunque esta vez, se almacenó en el apartado de “FTP” también incluida dentro de la
pestaña “Passwords”.
7. Ramón Jesús Suárez Pérez
Suplantando la tabla DNS.
La tabla DNS, es la encargada de traducir los dominios en direcciones IP para
conectarnos a través de ella a los distintos equipos de la red.
En este apartado, redirigiremos un dominio existente (www.terra.es) a una web creada
en la propia red local (En la práctica real, esta web podría ser un exploit y el usuario
jamás sospecharía de ello).
Para suplantar la DNS, nos dirigiremos a la pestaña inferior “APR”, una vez allí nos
dirigiremos al apartado “APR-DNS” y allí haremos clic derecho para seleccionar
“Add to list”.
Aquí debemos introducir en la parte superior del formulario, el dominio a suplantar y
en el destino, la dirección ip del servidor web que suplantará al dominio indicado.
8. Ramón Jesús Suárez Pérez
De esta manera, cuando la víctima acceda a la web, en este caso terra, será redirigida
a la web falsa indicada, conservando el dominio en la barra de direcciones del
explorador ya que hemos suplantado la tabla DNS.
9. Ramón Jesús Suárez Pérez
Cambiar la dirección física.
La dirección MAC es un identificador de 48 bits (6 bloques hexadecimales) que
corresponde de forma única a una tarjeta o dispositivo de red.
Su función es permitir la comunicación a nivel de enlace (Capa 2 del modelo OSI).
La suplantación de esta dirección puede permitir pasar desapercibido frente a otros
sniffers o atravesar filtros haciéndose pasar por otros equipos.
Para enmascarar la dirección física de nuestro adaptador de red, accederemos al menú
“Configure” dentro de la barra de herramientas, una vez allí en la pestaña
“APR (Arp Position Routing)” podremos enmascararnos con la dirección IP
y dirección MAC deseada.
Ya sea desde Windows o Linux, a través de las propiedades del adaptador, también
podremos enmascarar la dirección MAC de este.
10. Ramón Jesús Suárez Pérez
Protección frente a Sniffers.
El ARP (Protocolo de Resolución de Direcciones) es un protocolo actúa a nivel de
enlace de datos responsable de encontrar la dirección hardware (Ethernet MAC) que
corresponde a una determinada dirección IP.
Para lograr esto se envía un paquete (ARP request) a la dirección (broadcast) de
difusión de la red (MAC = FF FF FF FF FF FF), que contiene la dirección IP por la que se
pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la dirección
física que le corresponde.
Cada máquina mantiene una caché, (también conocida como tabla ARP), con las
direcciones traducidas para reducir el retardo y la carga.
Según las pruebas realizadas en el aula, la suplantación de la MAC de la puerta de
enlace no es lo suficientemente perfecta como para engañar a la tabla ARP estática.
Por ello, si un equipo tiene definida en la tabla ARP la dirección de la puerta de enlace
de forma estática junto con su MAC, el sniffer será incapaz de intervenir e interceptar
paquetes.
Tanto en Windows como el Linux podemos administrar la tabla ARP de la misma
forma.
Mediante el comando “arp –a”podremos visualizar las entradas de la caché.
Y mediante el comando “arp – s direccionIP DireccionMAC” podremos fijar entradas
estáticas.