Aprendiendo analizar tráfico de red, DNS y tráfico de fondo

Vamos con otra lección de análisis de red. En la primera veíamos como analizar un escenario en el que había peticiones http, en este vamos a ver qué sucede antes de esas peticiones (aunque ya lo sabemos no lo vemos sin un analizador de tráfico) y a lo que llamamos tráfico de fondo.

Todas las redes son distintas y tienen un tráfico igual pero otro diferente, debido a los distintos servicios y programas que en ellos corren.

Vamos a ver qué sucede cuando usamos un navegador web para visitar la página de www.google.com

En una navegación estándar y típica lo primero que va hacer nuestro navegador es interpretar la dirección web como un sitio alojado en una dirección Ip pública, usando la resolución de nombres DNS, es un tipo RECORD como «A»

Vamos a verlo reflejado en nuestra captura:

(continuará)

Aprendiendo analizar tráfico de red ( continuación )

El último post finalizaba de la siguiente manera:

Mother … treat your mother right … que bueno Mister «T» si os fijais en la imagen del fondo del escenario de las chicas parece el símbolo de cisco, justo antes de que salga a cantar el BECERRO, menuda voz.

Si Mister «T» llevaba esas cadenas de oro en el cuello en protesta por la esclavitud africana, pero a ver si preguntais cosas de informática no de Mister T 🙂 bueno AL LIO.

Ahora os toca abrir la imagen principal del anterior post y observar a vosotros las tramas 10 y 11

Lo único que vereis diferente es el puerto destino siendo el 443 y observando nos damos cuenta que es una petición a un servidor https:

Nuestro esquema de red quedaría así:

Y así finalizamos una clase de analisis de red, sabiendo del post anterior que además un equipo tiene instalado el dropbox.

Ahora le toca el turno a nuestro patrocinador, anuncios:

Aprendiendo analizar tráfico de red

Hola a todos 🙂 vamos aprender un poco o a reforzar. Vais a construir con el Visio, con el Packet Tracer o lo que os parezca, el esquema de red. Lo vamos a sacar del análisis de una pequeña captura de las tramas de red.

Vamos a utilizar: varios equipos, switch, router y varios servidores web de internet, también un portátil con el que iré capturando el tráfico.

Vamos analizar desde dentro de la red LAN del cliente.

Os pongo la captura general y será la imagen principal a la que debemos visualizar cada vez que pasemos a una trama nueva para no pegarla varias veces a lo largo del post (es la captura general):

(imagen de arriba) Pincharemos con el ratón sobre la trama No. 1, se ve marcada en azul y fijándonos en la info que nos proporciona podemos descubrir que se trata de un router usando IPV6. Su Ip esta debajo de la columna Source, fe80::201:5cff:fe31ff02::1

(imagen de abajo) Si nos vamos al panel del detalle del paquete, marcado en amarillo esta su MAC: 00:01:5c:31:bb:c1

La ipV6 de destino del paquete es una dirección de multicast, os he puesto el círculo rojo, eso de círculo …

Por lo tanto ya podemos empezar a construir nuestro esquema con solo mirar la primera trama o Frame.

En la TRAMA o frame 2, la segunda de la imagen principal que poníamos al principio del post, columna No. correspondiente al número 2, en el panel de la lista de paquetes, podemos darnos cuenta de que es una trama de tipo ARP.

Pregunta por la ip 24.6.175.56 por eso pone la «?» y el que pregunta (tell) es la ip 24.6.168.1 como vemos bajo la columna info, «who has 24.6.175.56»

Al ser un ARP (ver Wikipedia si no se sabe) está preguntando por la MAC que tiene el equipo de esa IP 24.6.175.56

Una vez marcada nos vamos más abajo al panel de detalle del paquete como vemos en la imagen a continuación, y la dirección de destino es un broadcast. MAC broadcast (FF:FF:FF:FF:FF:FF)

Por lo tanto nuestro esquema estaría en este momento:

En la TRAMA
3 descubrimos una petición http [SYN] con número de secuencia igual a cero seq=0 por ser el primer paquete generado.

Por lo tanto se trata del protocolo de las tres vías en inglés 3-way handshake. Trata de establecer conexión con un servidor web. El protocolo de los tres estados podéis ver su funcionamiento en wikipedia.. Vamos al panel de detalle:

En la cabecera Ethernet II, interpretamos que desde se envía un paquete desde un equipo con MAC: d4:85:64:a7:bf:a3 al router, usando la MAC de destino del router, pasando por un switch de capa dos

Nos vamos a la línea roja de donde sacamos la Ip de destino del servidor web que la ha sabido nuestra red gracias a otro protocolo y la recepción de otros paquetes previos DNS. Ip de destino servidor web 216.168.252.157 y la nuestra de origen del nuevo PC la 24.6.173.220

En la parte del protocolo de transmisión vemos el puerto aleatorio del equipo 41865 y el de destino del servidor web,l puerto de escucha o daemon 80.

El flags que está marcado es el primero [SYN] y ya recortado en la imagen podemos ver el tamaño de la ventana en 8192, tenéis un post en este blog sobre cómo funciona el tamaño de la ventana y los números de secuencia.

Como todavía no respondió el servidor web, no debemos ponerlo en nuestro esquema ya que pudiera no existir. Nos toca analizar la respuesta del servidor si es que la hay y ya seguimos con nuestro esquema.

TRAMA 4.

Hiendo al principio del post y viendo la imagen original la trama No.4, en el panel de lista de paquetes el origen o source es la ip del servidor externo del servicio web, el protocolo es TCP y en info http (puerto 80) y nuestro puerto cómo destino él 41865 (socket 24.6.173.220:41865) y en info nos dice entre otras cosas que es un SYN-ACK, es decir un acuse de recibo de respuesta al anterior envío de SYN, además el ACK vemos que es igual a uno ACK=1 que es justo el siguiente al nuestro número de secuencia anterior seq=0, confirmando así que ha llegado.

Pasa algo aquí que suele confundir a los novatos. Vamos al panel de detalle:

Podríamos pensar que está mal la MAC de origen, aparece escrita la del router y no la del servidor de destino. Esto es debido al estar analizando en nuestra red local y tener al router en el medio. El router desencápsula el paquete procedente de internet o una red externa y lo vuelve a encapsular cambiando la cabecera MAC del servidor por la de su interface fastethernet de salida a la red el PC (es decir nuestra red) así el switch pueda procesar la trama correctamente, por lo tanto la mac de origen es la del router y la de destino la del nuevo PC. Por lo tanto vemos una Ip de otra red pero con la MAC del router local. Con la TRAMA 5 finaliza el protocolo de las tres vías.

Para ver el resumen de esta conversación de establecimiento de conexión con el servidor Web podemos hacer click con el botón derecho del ratón sobre la trama 3 y presionar botón derecho, del menú contextual que sale seleccionamos follow TCP STREAM, nos mostrara solo esa conversación:

Nuestro esquema quedaría ahora mismo de la siguiente manera:

TRAMA 6

Con esta trama descubrimos que en contra de nuestra prohibición en el trabajo, nuestro empleado tiene en el equipo el Dropbox instalado. Está lanzando una petición broadcast el dropbox.

TRAMA 7

Estamos en el mismo caso anterior de establecimiento de sesión Web pero un equipo nuevo. Creo que ahora vosotros ya podéis identificar el tráfico, en la TRAMA 8 responde el servidor y en la TRAMA 9 finaliza.

Seguimos más tarde, ir haciendo el dibujo … y si no os apetece podéis esperar viendo un video de MISTER «T» cantando, si si un RAP, no tiene desperdicio …porque dirán que los informáticos somos frikies …

 

Modificar metadatos a los documentos

Para los que sabéis que son los metadatos y como verlos en los documentos os dejo unas aplicaciones para cambiarlos:

Mira las fechas de creación, modificación y último acceso de un documento por ejemplo con esta aplicación online:

http://www.informatica64.com/foca/

Ahora modifícalos y vuelve a comprobarlo. Usa para ello estos programas http://www.forensicswiki.org/wiki/Timestomp para unos y http://es.download.cnet.com/File-Date-Touch/3000-18511_4-75629826.html para otros.

Y hacer buen uso de ello.

Borrar la cache de navegacion del java – Caché de Flash y Java.

A veces borramos el histórico de navegación pero nos olvidamos del java y nos pueden encontrar inforamación valiosísima, por el ejemplo el profesor en clase puede saber que he estado jugando al Jordi Tarres en versión flash 🙂 (ojala lo hubiera) cuando debería haber estado atendiendo.

La caché de los navegadores web se limita a las páginas web y a las imágenes. Muchas aplicaciones web programadas con Flash y Java no se ven afectadas por la limpieza de caché clásica, almacenan archivos en las caché de los plugins.

CCleaner puede borrar tanto la caché de Flash como la de Java, pero lo ideal es tener más control sobre lo que borras y para ello debemos recurrir a los paneles de cada complemento.

Por ejemplo en flash podemos tener partidas de juegos web, cookies, música …

Para Flash: entra en Panel de control de Flash y echa un vistazo al contenido. http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager07.html

Evitar que Java almacene contenido temporal en el ordenador  y además borra los archivos temporales, tienes la ayuda aquí:

http://www.java.com/es/download/help/plugin_cache.xml

Y más claro ni agua.

VPN CISCO CON CERTIFICADO OPEN SSL GENERADO EN LINUX DEBIAN

Iba hablaros sobre el VLAN Hopping y como hacer el saltar de una Vlan a otra con el doble etiquetado, pero vamos a cambiar un poco la temática de los anteriores post.

Echamos de menos a Chema escribiendo sobre aplicaciones para sistemas operativos que nos facilitan la vida, Chema animate y cuelga algo anda que tanto facebook es malo para el cuerpo.

Para los que ya sabeis hacer una VPN o estais estudiando para el CCNA Security, si teneis una VPN establecida ya entre dos routers CISCO os vamos a explicar como establecer la VPN con certificados generados con openSSL desde DEBIAN. Podeis prácticar OPENSSL siguiendo este curso de la universidad Politecnica de Madrid gratuito y que esta ahora mismo desarrollandose a tiempo libre, os dejo el enlace, echarle un vistazo os va gustar y vais aprender bastante (no sobre CISCO):

http://www.criptored.upm.es/crypt4you/temas/privacidad-proteccion/leccion1/leccion1.html

Este será nuestro esquema:

Dos routers conectados por VPN mediante SITE to SITE haciendo un peer entre RA y RC con RB por el medio.

Instalamos un debian en una máquina virtual, por defecto ya viene instalado el openssl y si no viene pues desde modo super user escribimos apt-get install openssl

Procedemos a solicitar los certificados de router1 y router2:

Creamos directorios para trabajar en nuestro directorio de usuario:

Crear directorio: mkdir cisco

Movernos al directorio creado: cd cisco
Crear varios directorios: mkdir certs newcerts private crl
Crear el directorio index vacio sint exto con: touch index.txt
Ahora meter en serial echo 01: echo 01 > serial
Copiar por seguridad a donde estamos el fichero openssl.cnf: cp /etc/ssl/openssl.cnf

Ahroa vamos a modificar el fichero /etc/ssl/openssl.cnf y modificamos con nano /etc/ssl/openssl.cnf dos de las entradas que hay dentro del fichero y las dejamos así:

dir = .
certificate = $dir/certs/cacert.pem

Copiamos y salimos.

Toca generar el par de claves de CA y el certificado raíz.

openssl y damos al enter a continuación ya en modo openssl

genrsa –des3 –out private/cakey.pem 2048

Nos pide inserta una key, poneis la vuestra habitual, por ejemplo ciscopass

openssl req –new –x509 –days 1000 –key private/cakey.pem –out certs/cacert.pem –config openssl.cnf

De este no pongo imagen pero sería similar.

Nos va pedir los datos para el certificado raiz, os pongo un ejemplo de lo que podeis poner.

Country = ES, State or province = AST, Locality = Koeln, Organization Name = CMD, Sistemas Unit = Prueba, Common Name = CA. Email y otros campos los dejamos vacios.

Ojo en la creación de certificados más adelante, hay que tener cuidado con el common name, no debemos de poner el mismo ya que luego no deben coincidir deben ser únicos. Es decir al crear el certificado para RouterA y nos pida los datos de más arriba podemos poner en Common Name=RA

Podemos ver en pantalla el certificado raíz con el siguiente comando:

root@Mich:/home/miguel/prueba# openssl x509 -in certs/cacert.pem -noout -text

Toca generar los certificados para los routers, los vamos hacer un poco más ligeros de 1024 en vez de 2048 como el de CA de antes, así que generamos la RSA para RA y para RB, dejo la de RA pero la de RC sería lo mismo pero cambiando el nombre.pem. Recordar la palabra que ponéis, si no estais en producción y es una prueba lo que estais haciendo usar siempre la misma.

Escribí R6key.pem pero en vuestro caso sería RAkey.pem, lo mismo para RCkey pero variando ahí el nombre, el proceso es el mismo.

Si os fijais en la sintasis y quereis saber para que sirve el -noout el -text de más arriba o el -out que utilizamos en esta genración de certificado pinchar en este enlace que tiene una buena chuleta en pdf, aunque habrá algunos como des3 que ya os imaginais que es hacerlo con triple DES:

Haz clic para acceder a chuleta_openssl.pdf

Toca solicitar la petición a la CA del certificado de RA y RC, dando la llave RSA que acabamos de generar y dando de salida una petición:

openssl req –new –key private/RAkey.pem –out certs/RAreq.pem –config openssl.cnf

openssl req –new –key private/RCkey.pem –out certs/RCreq.pem –config openssl.cnf

Mi intención era marcar en verde la RSA RAkey.pem pero os capture la imagen y ahora no puedo pero bueno ya la veis en el comando de la imagen solo que escribí R6key.pem

Ahora la CA usando la petición (request) generá el certificado, hay que hacerlo para RA y para RC, es muy parecido en Windows al proceso con el ADCS.

openssl ca -notext –in certs/RAreq.pem –out certs/RAcert.pem –config openssl.cnf

openssl ca -notext –in certs/RCreq.pem –out certs/RCcert.pem –config openssl.cnf

Toca pasarlo todo al contenedor PKCS#12, por que hacemos esto, pues porque tenemos que  definir un formato de fichero usado comúnmente para almacenar claves privadas con su certificado de clave pública protegido mediante clave simétrica.

Recordar la clave de exportación que ya sabeis de anteriores pasos.

Ahora toca pasar los certificados del directorio de linux donde los habéis generado al router. Yo he usado el método del USB 🙂 me parecio el más rápido para no tener que hacer nada especial con el vmware, ya que mi router 2911 dispone de puerto USB, así que hice un copy usbflash0: flash: hay que tener en cuenta que para que nos reconozca el usb debe de estar recien formateado y ojo con el formato de partición que usais si vais con este método.

Finalmente los importamos:

RA(config)# crypto ca import RALab pkcs12 flash:RA.p12 test
RA(config)# crypto ca trustpoint RALab
enrollment terminal
revocation-check none
exit

RC(config)# crypto ca import RCLab pkcs12 flash:RC.p12 test
RC(config)# crypto ca trustpoint RCLab
enrollment terminal
revocation-check none
exit

Crypto ca trustpoint significa que vamos a ser un entidad de certificación que acepta certificados autofirmados y no necesita firma de terceros, esto por resumir, al final del post os explico que quiero decir con resumir.

Enrollment terminal se usa para indicar que los certificados van a ser un copy paste del certificado directamente de un txt, o lo que es lo mismo en nuestro caso una importación.

Revocation-check none significa que no vamos a usar ninguna lista de rovocación, como una CRL o un online responder.

Por último queda cambiar en la politica de vuestra vpna la authentication pre-share por rsa-sig  que al visualizar la configuración no aparecerá pues por defecto es rsa-sig

Os dejo un ejemplo:

RA(config)# crypto isakmp policy 10
RA(config-isakmp)# authentication rsa-sig
RA(config-isakmp)# encryption aes 256
RA(config-isakmp)# hash sha
RA(config-isakmp)# group 5
RA(config-isakmp)# lifetime 3600
RA(config-isakmp)# end

Para RC lo mismo

También quitar las líneas que no se van a usar ya de la pre-shared, ejemplo:

R1(config)#no crypto isakmp key cisco123456 address 10.2.2.1

Cosas que pueden suceder, pues para que se establezca la VPN pues haberla tenido antes de los certificados funcionando para evitar problemas y estar seguros que la FASE 1 y 2 las hacia correctamente.

Yo por ejemplo tuve problemas al generar los pines, donde menos piensas, en el equipo, resulta que tenía un movil conectado a la wifi pero haciendo de modem para mi pc (si si para escaquearme y saltarme el firewall del trabajo) y al ser wifi realmente me generó una métrica mas baja en la tabla de enrutamiento del pc y ahi tenía el problema que salia por otra red el ping extendido.

Fue cuestión de cambiarla y a correr.

Espero que aprendierais algo, ya que tuve que escribirlo dos veces entero, pues un fallo con el teclado me hizo perder todo …, na que la lie con el wordpress 😦 a quien no le paso alguna vez ??, así que me he armado de valor y lo he vuelto a escribir todo un poco mas escueto, pero ahí queda todo esto, ahora ya puedo dar a subir el post y descargar toda la FURIA que llevo guardando por cada letra que he repetido, ya puedo golpear y romper el teclado, quizas tambien el ratón …

ListDlls , Handle y MacMatch encontrar ficheros modificados o abiertos por fechas, etc …

LISTDLLS

Herramienta de la Suite de SysInternals. Podemos indicando el pid de un proceso ver las dll que carga ese proceso en cuestión.

Os recuerdo que una dll son las siglas de Dynamic Link Library (bibliotecas de enlace dinámico), términos que hacen referencia a archivos con código ejecutable que se cargan por parte del sistema operativo bajo demanda del programa.

Puedes buscar las dll que carga tu notepad por poner un ejemplo.

Handle (sysInternals)

Permite mostrar un listado de procesos que mantienen abiertos archivos o directorios.

Objetivo: averiguar si un determinado proceso tiene abierto un fichero o qué tipo de objetos mantiene abierto un proceso.

MacMatch

Permite localizar archivos en función de fechas concretas, y podemos limitar la cantidad de datos analizar. Buscará ficheros modificados en un intervalo de tiempo dado. Ver en la ayuda lo que es M,A y C. Muy útil el comando u aplicación.

INSPECCION DINAMICA DE ARP en CISCO

(ver post anteriores dhcp snooping y ip source guard)

Con anterioridad veíamos un ataque de capa se puede decir que 3 mediante direcciones ip, ahora va ser directamente sobre capa 2, la MAC

Doy por supuesto a estas alturas que ya se sabe como almacena un switch una dirección MAC.

Si un host solicita mediante un broadcast de arp y con la ip de destino, una MAC que no conoce para poder mandar sus datos, el equipo que tenga esa ip responderá con un ARP Replay conteniendo su dirección MAC, por eso un atacante puede engañar diciendo que  tiene esa ip y mandar su MAC falsa, con lo que el host origen asociará esa ip con esa MAC falsa, enviando los paquetes ip a esa dirección mas falsa que el pressing catch.

Este ataque es conocido como envenenamiento de ARP y es considerado un ataque man in the middle. Aclarado y dedicado al comentario que nos llego si podíamos aclararlo un poco más para los novatos.

Los switches de CISCO pueden utilizar DAI (Dinamic ARP Inspector) para evitar este tipo de ataques, uuuuuh cuidadin que muerde CISCO.

Los puertos del switch los vamos a considerar confiables o no confiables, inspeccionando solo los que llegan a los puertos no confiables contra la base de datos de DHCP Snooping y las introducidas de manera estática y si ve alguna incoherencia entre la MAC y la IP descarta la trama y envía un mensaje de log. Recomendamos tener un servidor de syslog funcionando.

Para habilitar DAI se debe introducir esta línea por cada vlan que se quiera activar el servicio de protección y se considerará puerto no confiable a todos los que pertenezcan a esa VLAN, lo que quiere decir que se inspeccione el trafico que pasa por ese puerto.

SwitchMiguel(config)#ip arp inspection vlan {vlan-rango}

Pero si queremos que algún Puerto determinado dentro de esa Vlan sea confiable y no se inspeccione el tráfico pues:

SwitchMiguel(config)#interface type {mod/num} ejemplo: interface fastethernet 0/0

SwitchMiguel(config-if)#ip arp inspection trust

 

Para las direcciones que estén configuradas de manera estática necesitamos al no haber comprobación contra DHCP snooping darle esa información de manera estática:

SwitchMiguel(config)#arp access-list {nombre de la acl}

SwitchMiguel(config-acl)#permit ip host {ip estática} mac host {mac estática}

El siguiente paso es asociar esta ACL al DAI:

SwitchMiguel(config)#ip arp inspection filter {nombre de la acl arp} vlan {id de vlan o rango de vlan} [static]

OJOOOO pistojooo Como toda lista de acceso si no encuentra ninguna coincidencia descarta la trama ya que lleva implícito al final un denegar todo. Los CCNA ya los sabeis y sino a repasar por paquetes. (ver listas de acceso)

 

LA MAC PUEDE VENIR FALSEADA en el paquete de respuesta de ARP por el atacante y ser luego distinta en la trama ethernet, entonces podemos comprobar la mac que nos llego del ARP con el de esta trama de datos. Por ejemplo:

Src-mac: compara

IP SOURCE GUARD EN CISCO

(ver antes dhcp snooping)

Es una característica de los switches Cisco y se usa para detectar y eliminar ataques de direcciones Ip falsas. Este tipo de ataque es más difícil de parar sin CISCO, lo que no quiere decir de detectar.

Imaginemos un PC al que le damos una Ip por ejemplo por DHCP, este PC puede ser atacado y cambiada su IP comenzando a usar direcciones falsas. Este ataque se suele usar para ataques de denegación de servicio, en las que lógicamente los paquetes jamás regresan al origen.

Este tipo de ataque se suele producir dentro de una misma VLAN, ya sería más difícil descubrir que la ip es falsa pues está comprendida dentro de la misma red y en redes grandes pues quien sabe … sobre todo si tenemos la desgracia de ser informáticos de los de verdad, de los que llevamos toda la vida subcontratados (cuando hablamos de VLAN nos referimos a una misma subred)

Esta característica de CISCO habilitada en un Switch analiza y busca la dirección MAC y la asociación con la IP correspondiente en la base de datos de DHCP Snooping visto anteriormente. También comprueba las estáticas grabadas por nosotros.

Se deben cumplir dos condiciones para que ip source guard no plante cara a la trama:

1) La dirección IP de origen no puede ser distinta de la dirección IP aprendida en el DHCP Snooping. Automáticamente el switch crea una ACL dinámica en el puerto que se usa a modo de filtro para impedir entrada de cualquier ip que no coincida con la correspondiente a la base de datos del ya citado un millón de veces DHCP Snooping.

2) La dirección MAC de origen debe ser igual a la aprendida en el DHCP Snooping y a la aprendida en el puerto del Switch. En este caso usa el comando port.security que os sonará a los que habéis hecho pinitos con el Cisco Security.

Para que todo funcione se debe tener DHCP Snooping configurado. Ya canse de escribir tantas veces esa palabra, a partir de ahora es sustituida por   o por  ahí le dimos ohhh ehhh oeee oeee oeee.

Lo primero a configurar serían aquellas direcciones IP y MAC es decir “host” que no usan DHCP y están conectadas a puertos de los switches, asociando el puerto a la vlan, mac e ip correspondientes:

SwitchMiguel(config)#ip source binding {mac-address} vlan {vlan-id ip-address} interface {tipo modelo y número}

Ahora habilitamos en los puertos del switch que lo queremos implementar:

SwitchMiguel(config)#interface {tipo modelo y número de interface}

SwitchMiguel(config-if)#ip verify source

Si añadimos el parámetro port-security inspecciona también la MAC, sino solo la IP.

SwitchMiguel(config-if)#ip verify source port-security

Verificación del estado de dhcp snoopingcommando:

SwitchMiguel(config)#show ip verify source {interface type mod/num}

Para ver las direcciones aprendidas dinámicamente en la base de datos sería:

SwitchMiguel(config)#show ip source bindng {ip-address} {mac-address} dhcp-snooping interface {type mod/num} vlan {vlan-id}

 

Podemos prevenir este tipo de ataques de ARP Poisoning

Podéis ver la entrada en este blog sobre ARP Watch para Debian o ArpON. Hay otras aplicaciones como Marmita que son gratuitas y sirve como preventivas siempre y cuando no dispongamos de aplicaciones específicas de CISCO u otros.

Más sobre la aplicación en este fantástico sitio web http://www.flu-project.com/marmita-detectando-ataques-man-in-the-middle.html

Seguir las prácticas de esta web. Tampoco es mala idea.

El caso de Marmita no va impedir un ataque pero si su detección y es gratuita, la han creado los chicos de informática64 unos genios en su área. (No seguir leyendo sin haber descargado y estar visualizando la aplicación.) Su fuerte se basa en tener una base de datos local con las asociaciones de IP y MAC, es decir la tabla original de ARP antes de ser comprometida. Vamos a poder ver en su sección de ARP Table la misma Mac para dos Ip distintas, la del router verdadero y la del atacante. Si vamos a la pestaña Virtual Arp Table veremos que la ip del atacante tenía antes otra MAC.

Hay más aplicaciones como XARP para Windows, yo personalmente no la he usado pero he leído que a veces detectada positivos que no lo son, pero bueno siempre pensamos que estas aplicaciones son reactivas y no valen para otra cosa, donde estén las de monedero …

También tenemos gratuitos sistemas de detección de intrusión como EASYIDS . Si vamos a usar un PC con estos sistemas debemos de tener dos tarjetas de red instaladas, una para administración y la otra en modo promiscuo para sniffar la red. EASYIDS si nos ha gustado bastante, descargarla y probarla, está basada en snort.

Tanto para Marmita como para este sistema u otros debemos usar si por ejemplo estamos en un CISCO la funcionalidad de Spam para monitorizar todos los puertos. En el caso de EASYIDS es una imagen que podemos arrancar desde una ISO en una máquina virtual de vmware, es un Linux.

Ver como ayuda indispensable-> http://seguridadyredes.wordpress.com/2011/02/10/snort-easyids-un-ids-preconfigurado-con-base/

Hacer todas las prácticas de la red completa con monitorización y reenviar tramas de spam entre swiches de distintas vlan con respam podéis lanzar tramas de un switch a otro switch con una vlan distinta para monitorizar en esta (ver comandos de CCNP Swiching) en un equipo en la vlan administración pero distinta a donde tenemos el syslog corriendo, por poner un ejemplo retorcido.

Antes de implementar esta seguridad yo usaría el Evil Foca que acaba de salir al mercado y es Español, para realizar los ataques de envenenamiento y comprender un poco más toda esta situación.

Practicar estos ejemplos enseña mucho (recordar siempre la ética Hacker) manual sencillo del foca àhttp://www.dragonjar.org/evil-foca-manual-no-oficial.xhtml

Página del creador con direcciones a distintos tutoriales y ejemplos así como la descarga, si el chico del gorrito o mejor dicho consultor de seguridad, que por cierto nosotros no conocemos de nadaàhttp://www.elladodelmal.com/2013/04/pruebas-con-evil-foca.html

Descarga directa àhttp://informatica64.com/evilfoca/