Galería

Protección contra ARP spoofing

 

¿Qué es el “ARP spoofing”?

 

El “ARP spoofing” es un ataque que aprovecha la simple funcionalidad del protocolo ARP de la capa 2. Consiste en que un atacante envíe respuestas (“replies”) ARP falsas de tal modo que los datos enviados entre las víctimas pasen a través del atacante. El escenario más común, y lógico, usado habitualmente consiste en “engañar” a un “router” y una máquina para interceptar la comunicación entre ambos.

 

¿Por qué es importante protegerse?

 

El “ARP spoofing” es la base para un gran número de técnicas. Entre ellas pueden destacarse el “Hijacking”, “DNS spoofing” y el “phishing”. La finalidad es siempre obtener información sensible que el usuario esté enviando por la red. Por información sensible se puede entender: contraseñas, imágenes, documentos, archivos en general, historial de navegación, conversaciones de VoIP, etc.

 

El método de protección ideado

 

Se pretende proteger una conexión en concreto usando las herramientas “Visor de eventos” del equipo local, así como el “Programador de tareas” también del equipo local. ¿Qué se va a hacer con cada una de ellas? – Sencillo. Con el “Visor de eventos” se pretende observar qué queda registrado en el sistema cuando se realiza una conexión a una red inalámbrica para este caso de ejemplo. Posteriormente con el “Programador de tareas” se procede a crear una tarea que se ejecute cuando se produzca un evento determinado, en este caso la conexión a una red. La ejecución de dicha tarea agregará una entrada estática en la caché ARP de la máquina.

 

Localizando el evento de la conexión a una red

 

Para abrir el visor de eventos hay que ejecutar “mmc.exe” y cargar el componente “Visor de eventos” del equipo local, o bien accediendo de forma directa ejecutando “eventvwr.exe”. Una vez dentro del visor hay que navegar hasta “Registros de aplicaciones y servicios/Microsoft/Windows/NetworkProfile/Operativo”. Aparecerá algo como lo siguiente:

 

clip_image002

 

Imagen 1: Evento de conexión desde el “Visor de eventos”

 

Se puede observar que cuando el equipo se conecta a una red queda registrado el evento “10000”. Para obtener más información se pulsa sobre la pestaña “Detalles” y posteriormente en la opción “Vista XML”. El resultado será parecido al siguiente:

 

clip_image004

 

Imagen 2: Vista XML del evento de conexión

 

En los elementos que hay que centrarse se encuentran: “EventID”, “Level”, “Data Name=’Name’”. En el caso de nuestra conexión inalámbrica, el último parámetro es el SSID.

 

Configurando una tarea

 

Para abrir el “Programador de tareas” basta con agregar el complemento en la consola de administración del sistema (“mmc.exe”), o bien ejecutando “taskschd.msc”.

 

Pulsando sobre “Biblioteca de programador de tareas” se obtiene una vista como la siguiente:

 

clip_image006

 

Imagen 3: Vista de la biblioteca del programador de tareas

 

A continuación se enumeran los pasos seguidos para crear la tarea:

 

1. Pulsar en “Acción/Crear tarea…”.

 

2. En la pestaña “General” agregar un nombre, descripción y marcar:

 

a. “Ejecutar tanto si el usuario inició sesión como si no”

 

b. “Ejecutar con los privilegios más altos”

 

c. “Configurar para:” <Seleccionar el sistema operativo>

 

3. En la pestaña “Acciones” se deja la acción “Iniciar un programa” con la configuración:

 

a. Programa o script: “%systemroot%\System32\netsh.exe”

 

b. Argumentos: “interface ipv4 add neighbors “Conexión de red inalámbrica” 192.168.1.1 90-01-3b-ce-70-7b”

 

c. Pulsar sobre “Aceptar”

 

4. En la pestaña “Desencadenadores” se pulsa en “Nuevo…” y se realizan los siguientes pasos:

 

a. Establecer la sección “Iniciar la tarea: Al producirse un evento”

 

b. En “Configuración” marcar “Personalizada” y pulsar sobre “Nuevo filtro de evento”

 

c. En la nueva ventana emergente pulsar sobre la pestaña “XML” y marcar “Editar consulta manualmente” (Se acepta la advertencia).

 

d. Introducir la siguiente consulta “XPath”:

 

<QueryList>

 

<Query Id=”0″ Path=”Microsoft-Windows-NetworkProfile/Operational”>

 

<Select Path=”Microsoft-Windows-NetworkProfile/Operational”>*[System[(Level=4 or Level=0) and (EventID=10000)] and EventData[Data[@Name=”Name”]=”ServicioTecnico_2011“]]</Select>

 

</Query>

 

</QueryList>

 

5. Pulsar sobre “Aceptar” en todas las ventanas emergentes que se han ido abriendo.

 

6. Introducir las credenciales de usuario cuando se acepte la última ventana.

 

clip_image008

 

Imagen 4: Tarea creada y listada

 

En estos instantes, ya estaría creada la tarea que agregará de forma automática una entrada ARP estática cuando el equipo se conecte a una red wireless. En este ejemplo esa red es “ServicioTecnico_2011” y la IP y dirección MAC del router son las que aparecen en los parámetros del comando “netsh”.

 

Para cambiar la red wireless en la que se desee ejecutar esta tarea basta con cambiar el SSID de la consulta “XPath”, así como los parámetros del comando “netsh”.

 

clip_image009

 

Imagen 5: Entrada ARP estática

 

A la hora de cambiar a otra red, inalámbrica por ejemplo, permanece establecida la entrada ARP estática. Podría perfeccionarse el método creando otra tarea que se ejecute con el evento de desconexión de una red (10001) y elimine la entrada ARP estática. Todo esto se haría para evitar problemas de comunicación si la nueva red está en el mismo segmento de red que la anterior.

 

Sabemos que existen herramientas como “Marmita” o “XArp” que ayudan a evitar y detectar ataques ARP. Aun así parecía interesante aplicar este método y “jugar” un poco con el “Visor de eventos” y el “Programador de tareas”.

Visto en http://www.windowstecnico.com/archive/2012/06/18/protecci-243-n-contra-arp-spoofing-un-tanto-especial.aspx

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s