Gestión de los permisos de los archivos
Introducción a los permisos de los archivos Cada archivo o directorio tiene tres niveles de propiedad: A cada nivel de propiedad se le pueden asignar los siguientes permisos: Tenga en cuenta que el permiso de ejecución para un archivo le permite ejecutar ese archivo. El permiso de ejecución para un directorio le permite acceder al contenido del directorio, pero no ejecutarlo. Cuando se crea un nuevo archivo o directorio, se le asigna automáticamente el conjunto de permisos por defecto. El permiso por defecto para un archivo o directorio se basa en dos factores: Permisos de base Cada vez que se crea un nuevo archivo o directorio, se le asigna automáticamente un permiso base. Los permisos base de un archivo o directorio pueden expresarse en valores symbolic o octal. Permission Symbolic value Octal value No hay permiso — 0 Ejecutar –x 1 Escriba -w- 2 Escribir y ejecutar -wx 3 Leer r– 4 Leer y ejecutar r-x 5 Leer y escribir rw- 6 Leer, escribir, ejecutar rwx 7 El permiso base para un directorio es 777 (drwxrwxrwx), que concede a todo el mundo los permisos de lectura, escritura y ejecución. Esto significa que el propietario del directorio, el grupo y otros pueden listar el contenido del directorio, crear, borrar y editar elementos dentro del directorio, y descender en él. Tenga en cuenta que los archivos individuales dentro de un directorio pueden tener su propio permiso que podría impedirle editarlos, a pesar de tener acceso ilimitado al directorio. El permiso base para un archivo es 666 (-rw-rw-rw-), que concede a todo el mundo los permisos de lectura y escritura. Esto significa que el propietario del archivo, el grupo y otros pueden leer y editar el archivo. Ejemplo 1 Si un archivo tiene los siguientes permisos: $ ls -l -rwxrw—-. 1 sysadmins sysadmins 2 Mar 2 08:43 file Ejemplo 2 Si un directorio tiene los siguientes permisos: $ ls -dl directory drwxr—–. 1 sysadmins sysadmins 2 Mar 2 08:43 directory Nota El permiso base que se asigna automáticamente a un archivo o directorio es not el permiso por defecto con el que termina el archivo o directorio. Cuando se crea un archivo o directorio, el permiso base es alterado por el umask. La combinación del permiso base y el umask crea el permiso por defecto para los archivos y directorios. Máscara del modo de creación de archivos del usuario La umask es una variable que elimina automáticamente los permisos del valor de permiso base cada vez que se crea un archivo o directorio para aumentar la seguridad general de un sistema linux. El umask puede expresarse en symbolic o octal. Permission Symbolic value Octal value Leer, escribir y ejecutar rwx 0 Leer y escribir rw- 1 Leer y ejecutar r-x 2 Leer r– 3 Escribir y ejecutar -wx 4 Escriba -w- 5 Ejecutar –x 6 No hay permisos — 7 El valor por defecto de umask para un usuario estándar es 0002. El valor por defecto de umask para un usuario root es 0022. El primer dígito de umask representa los permisos especiales (sticky bit, ). Los tres últimos dígitos de umask representan los permisos que se quitan al usuario propietario (u), al propietario del grupo (g), y a otros (o) respectivamente. Ejemplo El siguiente ejemplo ilustra cómo el umask con un valor octal de 0137 se aplica al archivo con el permiso base de 777, para crear el archivo con el permiso por defecto de 640. Figura – Aplicación de la umask al crear un archivo Permisos por defecto El permiso por defecto para un nuevo archivo o directorio se determina aplicando el umask al permiso base. Ejemplo 1 Cuando un standard user crea un nuevo directory, el umask se establece en 002 (rwxrwxr-x), y el permiso base para un directorio se establece en 777 (rwxrwxrwx). Esto hace que el permiso por defecto sea 775 (drwxrwxr-x). Symbolic value Octal value Base permission rwxrwxrwx 777 Umask rwxrwxr-x 002 Default permission rwxrwxr-x 775 Esto significa que el propietario del directorio y el grupo pueden listar el contenido del directorio, crear, borrar y editar elementos dentro del directorio, y descender en él. Los demás usuarios sólo pueden listar el contenido del directorio y descender a él. Ejemplo 2 Cuando un standard user crea un nuevo file, el umask se establece en 002 (rwxrwxr-x), y el permiso base para un archivo se establece en 666 (rw-rw-rw-). Esto hace que el permiso por defecto sea 664 (-rw-rw-r–). Symbolic value Octal value Base permission rw-rw-rw- 666 Umask rwxrwxr-x 002 Default permission rw-rw-r– 664 Esto significa que el propietario del archivo y el grupo pueden leer y editar el archivo, mientras que los demás usuarios sólo pueden leerlo. Ejemplo 3 Cuando un root user crea un nuevo directory, el umask se establece en 022 (rwxr-xr-x), y el permiso base para un directorio se establece en 777 (rwxrwxrwx). Esto hace que el permiso por defecto sea 755 (rwxr-xr-x). Symbolic value Octal value Base permission rwxrwxrwx 777 Umask rwxr-xr-x 022 Default permission rwxr-xr-x 755 Esto significa que el propietario del directorio puede listar el contenido del mismo, crear, borrar y editar elementos dentro del directorio, y descender en él. El grupo y los demás sólo pueden listar el contenido del directorio y descender a él. Ejemplo 4 Cuando un root user crea un nuevo file, el umask se establece en 022 (rwxr-xr-x), y el permiso base para un archivo se establece en 666 (rw-rw-rw-). Esto hace que el permiso por defecto sea 644 (-rw-r—r–). Symbolic value Octal value Base permission rw-rw-rw- 666 Umask rwxr-xr-x 022 Default permission rw-r-r– 644 Esto significa que el propietario del archivo puede leer y editar el archivo, mientras que el grupo y otros sólo pueden leer el archivo.
Configuración de IP estática
Configurar dirección IP estática en Linux/Debian usando la consola (TCP/UDP) En la terminal de Linux/Bebian Comprueba las interfaces de red que tienes en el equipo. Podrás observar que las inferfaces de red ethernet empiezan con la abreviatura enp0s, que las interfaces de red inalámbrica empiezan con la abreviatura wlan y que además tienes una interfaz de red de loopback con la abreviatura lo que sirve para comprobar si tienes conectividad con tu propia máquina en la dirección IP 127.0.0.1. En mi caso solamente tengo una interfaz de red ethernet llamada enp0s3 y la interfaz de red de loopback llamada lo como puedes observar en la siguiente imagen: Edita el archivo de configuración de las interfaces de red con el siguiente comando: En ese archivo tendrás que asignar una dirección IP fija las interfaces de red que desees. En mi caso el interfaz de red que quiero configurar hemos visto que se llama enp0s3 pero en tu caso puede ser que se llame eth1, eth2, eth3, etc por lo que tendrías que sustituir enp0s3 por el nombre de tu interfaz de red. El aspecto de mi archivo de configuración de las interfaces de red es el siguiente: Donde: Reinicia las interfaces de red de tu servidor para aplicar los cambios. Esto puedes hacerlo de la siguiente manera: Si tuvieras algún problema con el comando anterior, puedes probar a deshabilitar y habilitar de nuevo la interfaz de red que acabamos de configurar de la siguiente manera: Comprueba que tienes conectividad con otros equipos de la red y que tienes conexión a Internet. En caso de que tengas conectividad con otros equipos de tu red pero no tengas conexión a Internet, quizás te falte configurar los servidores DNS.
CertBot
Paso 1: Instalación de Certbot El primer paso para usar Let’s Encrypt para obtener un certificado SSL es instalar el software Certbot en su servidor. Nota : actualmente, Certbot no está disponible en los repositorios de software de Debian de forma predeterminada, pero es posible configurar el buster-backportsrepositorio en su /etc/apt/sources.listarchivo para permitirle instalar una versión posterior del software Certbot con APT . Los backports , sin embargo, son paquetes recompilados de los repositorios inestables y de prueba de Debian que han sido recompilados para ejecutarse en una distribución estable de Debian. Estos paquetes no se prueban regularmente y es posible que no siempre estén actualizados. En consecuencia, el backport de Certbot instalará la versión0.31mientras que la versión actual a partir de este escrito es1.09. Una diferencia notable entre estas versiones de Certbot es que la configuración predeterminada para la versión0.31habilitará TLS v1.0 y TLS v1.1, dos protocolos de seguridad que han quedado obsoletos en la mayoría de los principales navegadores web, y habilitar estos protocolos puede presentar una vulnerabilidad de seguridad. Si bien es posible cambiar este valor predeterminado, hacerlo puede interrumpir las actualizaciones automáticas que hacen que Certbot sea tan útil. Hasta que una versión más reciente de Certbot esté disponible en los repositorios de Debian APT, este tutorial seguirá la recomendación de instalación de la versión de la documentación de Certbot.1.09con snappy , un administrador de paquetes desarrollado para sistemas Linux que instala paquetes en un formato denominado snaps . Para instalar Certbot como un complemento en Debian, primero debe haberlo snapdinstalado en su servidor. snapdes un demonio necesario para instalar, usar y administrar instantáneas. La instalación del snapdpaquete también instalará el snapcomando en su servidor. Para instalar snapd, actualice su índice de paquetes local si no lo ha hecho recientemente: Luego instale el snapd: Después de ejecutar este comando, se le pedirá que confirme que desea instalar snapdy sus dependencias. Hágalo presionando Yy luego ENTER. Luego, use el snapcomando para instalar el corecomplemento. Esto instalará algunas dependencias en su servidor que son necesarias para cualquier complemento que instale, incluido el complemento Certbot: Luego actualice el corecomplemento. Si lo hace, se asegurará de tener snapdinstaladas las últimas versiones y sus dependencias: Después de eso, puede instalar el certbotcomplemento con el siguiente comando. Tenga en cuenta que las instantáneas se pueden instalar en uno de los tres niveles de confinamiento que brindan diversos grados de aislamiento de su sistema. Por ejemplo, la mayoría de las instantáneas se instalan en el –strictnivel de confinamiento de manera predeterminada, lo que evita que estos programas accedan a los archivos o la red de su sistema. Debido a que se debe permitir que Certbot edite ciertos archivos de configuración para configurar correctamente los certificados, este comando incluye la –classicopción. Este nivel de confinamiento permite que cualquier instantánea instalada debajo de él tenga el mismo acceso a los recursos del sistema que los paquetes tradicionales: Instalación de python3 Instalación de classic certbot Este proceso de instalación instalará el certbotejecutable en el /snap/bin/directorio. Cree un enlace simbólico a este archivo en el /usr/bin/directorio para asegurarse de que puede ejecutar el certbotcomando en cualquier parte de su sistema: Certbot ahora está listo para usar, pero para que configure SSL para Apache, debemos verificar que Apache se haya configurado correctamente. Paso 2: Configuración del certificado SSL Certbot necesita poder encontrar el host virtual correcto en su configuración de Apache para configurar automáticamente SSL. Específicamente, lo hace buscando una ServerNamedirectiva que coincida con el dominio para el que solicita un certificado. Si siguió el paso de configuración del host virtual en el tutorial de instalación de Apache , debería tener un VirtualHostbloque para su dominio con la directiva ya configurada correctamente./etc/apache2/sites-available/your_domain.confServerName Para verificar, abra el archivo de host virtual para su dominio usando nanosu editor de texto favorito: Encuentra la ServerNamelínea existente. Debería verse así, con su propio nombre de dominio en lugar de your_domain:/etc/apache2/sitios-disponibles/su_dominio.conf Si aún no lo hace, actualice la ServerNamedirectiva para que apunte a su nombre de dominio. Luego guarde el archivo y salga de su editor. Si usó nano, hágalo presionando CTRL + X, Yy luego ENTER. A continuación, verifique la sintaxis de sus cambios de configuración: Si no hay ningún error de sintaxis, verá esto en su salida: Si obtiene un error, vuelva a abrir el archivo de host virtual y verifique que no haya errores tipográficos o que falten caracteres. Una vez que la sintaxis de su archivo de configuración sea correcta, vuelva a cargar Apache para cargar la nueva configuración: Certbot ahora puede encontrar el VirtualHostbloque correcto y actualizarlo. A continuación, actualicemos el firewall para permitir el tráfico HTTPS. Paso 3: Permitir HTTPS a través del cortafuegos Si tiene ufwhabilitado el firewall, como se recomienda en las guías de requisitos previos, deberá ajustar la configuración para permitir el tráfico HTTPS. Afortunadamente, cuando se instala en Debian, ufwviene con algunos perfiles que ayudan a simplificar el proceso de cambiar las reglas del firewall para el tráfico HTTP y HTTPS. Puede ver la configuración actual escribiendo: Si siguió el Paso 2 de nuestra guía sobre Cómo instalar Apache en Debian 10 , el resultado de este comando se verá así, mostrando que solo se permite el tráfico HTTP al servidor web: Para permitir adicionalmente el tráfico HTTPS, permita el perfil «WWW completo» y elimine la asignación de perfil «WWW» redundante: Su estado ahora debería verse así: A continuación, ejecutemos Certbot y obtengamos nuestros certificados. Paso 4: Obtener un certificado SSL Certbot proporciona una variedad de formas de obtener certificados SSL a través de complementos. El complemento de Apache se encargará de reconfigurar Apache y recargar la configuración cuando sea necesario. Para usar este complemento, escriba lo siguiente: Esto se ejecuta certbotcon el –apachecomplemento y se usa -dpara especificar los nombres para los que desea que el certificado sea válido. Si es la primera vez que corre certbot, se le pedirá que ingrese una dirección de correo electrónico y acepte los términos del servicio. Además, le preguntará si está dispuesto a compartir su dirección de correo electrónico con Electronic Frontier Foundation , una organización sin fines de lucro que defiende los derechos digitales y también es el fabricante de Certbot. Siéntase libre de ingresar Ypara compartir su dirección de correo electrónico o Npara rechazar. Después de hacerlo, certbotse comunicará con el servidor Let’s Encrypt, luego ejecutará un desafío para verificar que controla el dominio para el que está solicitando un certificado. Si eso tiene éxito, la configuración se actualizará automáticamente y Apache se volverá a cargar
Samba 4 como Controlador de Dominios AD DC en Debian 12
Samba es un software libre que permite la interoperabilidad entre sistemas operativos Unix/Linux y Windows. Proporciona servicios de archivos e impresión para clientes SMB/CIFS (Server Message Block/Common Internet File System), que son los protocolos utilizados por Windows para compartir archivos e impresoras en una red. Con Samba, puedes: Samba es una herramienta esencial para entornos mixtos donde se utilizan tanto sistemas Windows como Linux, ya que facilita la colaboración y el intercambio de recursos entre estos sistemas. La última versión estable de Samba es la 4.21.3, lanzada el 6 de enero de 2025. Esta versión incluye varias mejoras y correcciones de errores en comparación con las versiones anteriores. esta versión el nivel más alto de Controlador de Dominio y bosque de AD DC que puede emular es: Windows 2008 R2. NOTA IMPORTANTE sobre Kerberos En un AD, Kerberos se utiliza para autenticar usuarios, máquinas y servicios. A partir de Samba 4.7, se proporciona soporte experimental para el KDC (Key Distribution Center) de Kerberos de MIT. En otros casos, Samba utiliza el KDC de Heimdal incluido en Samba. En este manual se detallan los pasos necesarios para instalar y configurar Samba 4 como Controlador de Dominio (AD DC) en Debian GNU/Linux 12 y sus derivados. Actualizar el servidor Antes de comenzar con la instalación de Samba 4.7 como Controlador de Dominio (AD DC), es fundamental actualizar nuestro servidor Debian GNU/Linux con las últimas versiones de seguridad y del kernel. Para ello, ejecuta los siguientes comandos: hostname, nombre del servidor Debemos configurar el nombre del servidor con un nombre descriptivo, Por ejemplo Servidor CONTROLCC editando el archivo /etc/hostname IP fija en el servidor Una vez instalado Debian GNU/Linux, el sistema está configurado para obtener automáticamente la configuración de red (IP, máscara de red, servidores DNS, puerta de enlace) a través del servicio DHCP. Sin embargo, dado que hemos instalado un servidor, es necesario asignarle una dirección IP estática. Vamos a configurar la interfaz de red enp0s3 (denominación de la primera tarjeta de red en sistemas Linux) con la dirección IP estática 192.168.1.200. También es necesario especificar la dirección del dispositivo de acceso a Internet, la puerta de enlace o gateway (192.168.1.1). Nota importante: El nombre de las interfaces de red varía según el tipo de adaptador instalado. En este manual nos referimos a la primera interfaz de red como enp0s3, pero el nombre debe reemplazarse por la designación real de su interfaz de red. La configuración de las interfaces de red está almacenada en el archivo de texto /etc/network/interfaces. Realizamos la siguiente modificación usando el editor nano: ======================================# The loopback network interfaceauto loiface lo inet loopback # The primary network interface# allow-hotplug enp0s3# iface enp0s3 inet dhcp Una vez que el servidor está configurado con una dirección IP fija, activamos la interfaz de red con el siguiente comando: Hosts: Resolución de DNS en el servidor La herramienta resolvconf actualiza automáticamente el archivo de configuración de resolución de nombres (DNS), llamado /etc/resolv.conf. Tanto el servidor como los clientes del dominio deben usar un servidor DNS capaz de resolver las zonas DNS de AD. Esta herramienta, por defecto, reescribe el archivo /etc/resolv.conf en cada arranque. Por lo tanto, vamos a usar la resolución de DNS en el archivo /etc/hosts. Vamos a añadir las DNS en el archivo /etc/hosts para permitir las búsquedas por nombres DNS. NTP: Sincronizar la hora Kerberos requiere una hora sincronizada en todos los miembros del dominio. Para ello, procedemos a instalar el servidor de hora NTP. Usamos el siguiente comando: Instalar los paquetes necesarios para Samba4 AD DC Para instalar el controlador de dominio de Active Directory, instalamos Samba y todos los paquetes necesarios. Usamos el siguiente comando: Durante la instalación, el instalador nos hará una serie de preguntas para configurar el controlador de dominio. En la primera pantalla, debemos escribir un nombre para el valor predeterminado de Kerberos en mayúsculas. Escribimos el nombre que usaremos en el dominio, en mayúsculas y pulsamos Enter para continuar. Ahora escribimos el nombre de host del servidor Kerberos para nuestro dominio. Usamos el mismo nombre que para el dominio, pero esta vez en minúsculas y pulsamos Enter para continuar. Finalmente, escribimos el nombre de host para el servidor administrativo del reino Kerberos. Usamos el mismo nombre del dominio y pulsamos Enter para finalizar la instalación. Instalar los paquetes necesarios para Samba4 AD DC Para instalar el controlador de dominio de Active Directory, debemos instalar Samba y todos los paquetes necesarios. Usando los siguientes comandos: Este es el resultado de parar/des-habilitar los servicios: Muy Importante: Antes de empezar con el aprovisionamiento, debemos cambiar el nombre de smb.conf o eliminar la configuración original de Samba (smb.conf). Este paso es obligatorio antes de aprovisionar Samba AD, ya que durante la provisión, Samba crea un nuevo archivo de configuración desde cero y generará errores si encuentra el antiguo archivo smb.conf. En este manual, he preferido cambiar el nombre de smb.conf a smb.conf.original. Ahora iniciamos el aprovisionamiento de dominios de forma interactiva, aceptando las opciones predeterminadas que nos ofrece. Además, nos aseguramos de introducir la dirección IP de nuestro servidor DNS o de un servidor externo (en este caso hemos usado el servidor de fimaz.local 192.168.100.253). También debemos escribir una contraseña segura para la cuenta de Administrador. NOTA IMPORTANTE: Si elige una contraseña débil para la cuenta de administrador, la provisión del dominio fallará. A continuación, se presentan las preguntas que nos hace el asistente. En azul están las opciones que debemos introducir y en fucsia se encuentran las opciones por defecto, que en la mayoría de los casos son válidas y solo es necesario pulsar la tecla Enter: Ahora iniciamos y habilitamos los demonios de Samba Active Directory Domain Controller . Capturas de pantalla del comando: systemctl unmask samba-ad-dc Capturas de pantalla del comando: systemctl start samba-ad-dc Capturas de pantalla del comando: systemctl enable samba-ad-dc Samba 4 AD DC ya esta funcionando A partir de momento Samba 4 AC DC esta completamente operativo. El nivel más alto de dominio que Samba está emulando debería ser Windows AD DC 2008 R2 . Lo vamos a verificar con la ayuda de la herramienta samba-tool . Verificando el servidor de archivos Nota importante: Las capetas compartidas de netlogon y las sysvol se crean automáticamente durante el aprovisionamiento ya que son obligatorias en el Controlador Dominios. Verificación de DNS Para verificar que la configuración
Cómo hacer un ataque ARP Poisoning con Kali Linux
Los ataques ARP Poisoning se basan principalmente en enviar mensajes ARP modificados (spoofing) a la tarjeta de red de manera que, al conectarse a la red local, suplantemos la identidad de otro de los dispositivos conectados a ella, por ejemplo, la puerta de enlace. Esto se logra asociando la MAC del sistema atacante a la IP del nodo atacado, recibiendo todos los paquetes tanto emitidos desde el host de la víctima como destinados a él. A continuación, se les va a explicar cómo podemos hacer un ataque ARP Poisoning utilizando tan solo la distribución de seguridad informática Kali Linux. Preparando Ettercap para el ataque ARP Poisoning Lo primero que debemos hacer, en la lista de aplicaciones, es buscar el apartado «9. Sniffing y Spoofing«, ya que es allí donde encontraremos las herramientas necesarias para llevar a cabo este ataque informático. A continuación, abriremos «Ettercap» y veremos una ventana similar a la siguiente. El siguiente paso es seleccionar la tarjeta de red con la que vamos a trabajar. Para ello, en el menú superior de Ettercap seleccionaremos «Sniff > Unified Sniffing» y, cuando nos lo pregunte, seleccionaremos nuestra tarjeta de red (por ejemplo, en nuestro caso, eth0). El siguiente paso es buscar todos los hosts conectados a nuestra red local. Para ello, seleccionaremos «Hosts» del menú de la parte superior y seleccionaremos la primera opción, «Hosts List«. Aquí deberían salirnos todos los hosts o dispositivos conectados a nuestra red. Sin embargo, en caso de que no salgan todos, podemos realizar una exploración completa de la red simplemente abriendo el menú «Hosts» y seleccionando la opción «Scan for hosts«. Tras unos segundos, la lista de antes se debería actualizar mostrando todos los dispositivos, con sus respectivas IPs y MACs, conectados a nuestra red. Nuestro Ettercap ya está listo. Ya podemos empezar con el ataque ARP Poisoning En caso de querer realizar un ataque dirigido contra un solo host, por ejemplo, suplantar la identidad de la puerta de enlace para monitorizar las conexiones del iPad que nos aparece en la lista de dispositivos, antes de empezar con el ataque debemos establecer los dos objetivos. Para ello, debajo de la lista de hosts podemos ver tres botones, aunque nosotros prestaremos atención a los dos últimos: Todo listo. Ahora solo debemos elegir el menú «MITM» de la parte superior y, en él, escoger la opción «ARP Poisoning«. Nos aparecerá una pequeña ventana de configuración, en la cual debemos asegurarnos de marcar «Sniff Remote Connections«. Pulsamos sobre «Ok» y el ataque dará lugar. Ahora ya podemos tener el control sobre el host que hayamos establecido como «Target 1«. Lo siguiente que debemos hacer es, por ejemplo, ejecutar Wireshark para capturar todos los paquetes de red y analizarlos en busca de información interesante o recurrir a los diferentes plugins que nos ofrece Ettercap, como, por ejemplo, el navegador web remoto, donde nos cargará todas las webs que visite el objetivo. Se les recuerda que estas técnicas solo son para uso privado dentro de nuestra propia red (por ejemplo, para comprobar qué información estamos mandando libremente a la red o, como hemos hecho nosotros a nivel privado, analizar todas las conexiones que establecía una aplicación del iPad que nos parecía sospechosa con Wireshark). Si utilizamos estas técnicas para monitorizar los sistemas de otras personas, estaremos cometiendo un delito.
¿Qué es el envenenamiento ARP o ataque ARP Spoofing y ¿Cómo funciona?
Un ARP Spoofing es una especie de ataque en el que un atacante envía mensajes falsificados ARP (Address Resolution Protocol) a una LAN. Como resultado, el atacante vincula su dirección MAC con la dirección IP de un equipo legítimo (o servidor) en la red. Si el atacante logró vincular su dirección MAC a una dirección IP auténtica, va a empezar a recibir cualquier dato que se puede acceder mediante la dirección IP. ARP Spoofing permite a los atacantes maliciosos interceptar, modificar o incluso retener datos que están en tránsito. Los ataques de suplantación ARP ocurren en redes de área local que utilizan protocolo de resolución de direcciones (ARP). Los ataques ARP Spoofing pueden tener efectos graves para las empresas. En su nivel más básico, los ataques de suplantación ARP se utilizan para robar información sensible de la empresa. Aparte de esto, los ataques de suplantación de ARP se utilizan a menudo para facilitar otros ataques como: De denegación de servicio ataques (Denial-of-service attacks): ataques DoS utilizan ARP Spoofing para enlazar varias direcciones IP en una LAN con la dirección MAC de un solo objetivo. Debido a esto, el tráfico que está destinada a diferentes direcciones IP será redirigido a la dirección MAC del destino, sobrecargando así el objetivo con el tráfico. Secuestro de sesiones (Session hijacking): ataques de secuestro de sesión pueden hacer uso de ARP Spoofing para robar los identificadores de sesión, garantizando así el acceso a los atacantes y los sistemas privados de datos. Ataques tipo Hombre en el Medio (Man-in-the-middle Attacks): Los ataques MITM pueden utilizar ARP Spoofing para interceptar y/o modificar el tráfico entre dos víctimas. Típicamente los ataques de suplantación de ARP siguen algunos pasos similares, que incluyen: – Primero el atacante abre una herramienta ARP Spoofing, y establece la dirección IP de la herramienta para que coincida con la IP de un objetivo. Algunos de los populares software de suplantación ARP incluyen arpspoof, Arpoison, Cain & Abel y Ettercap. El atacante hace uso de la herramienta de ARP Spoofing y escanea las direcciones MAC e IP de los hosts de la subred del objetivo. El atacante elige su destino y comienza a enviar paquetes ARP través de la LAN.Estos paquetes contienen la dirección MAC del atacante y la dirección IP de la víctima. Como otras computadoras de la red los paquetes ARP de suplantación imitan el cache, los datos que los hosts envían a la víctima, una vez falseados se redireccionan al atacante. A partir de aquí, el atacante puede robar datos o lanzar un ataque más sofisticado de seguimiento. Detección, Prevención y Protección contra el ARP Spoofing Los siguientes métodos son medidas recomendadas para la detección, prevención y protección contra ataques de suplantación ARP: El filtrado de paquetes: Los filtros de paquetes inspeccionan los paquetes que se transmiten a través de una red. Los filtros de paquetes son útiles en la prevención ARP Spoofing, ya que son capaces de filtrar y bloquear los paquetes con información de la dirección fuente de conflicto (paquetes desde fuera de la red que muestran las direcciones de origen desde el interior de la red y viceversa). Utilice software de detección de ARP Spoofing: Hay muchos programas disponibles que ayudarán a las organizaciones a detectar ARP ataques de suplantación. Estos programas funcionan básicamente mediante la inspección y la certificación de los datos antes de su transmisión y el bloqueo de los datos, que parece ser falsa. Utilizar protocolos de red criptográficos: Transport Layer Security (TLS), Secure Shell (SSH), HTTP seguro (HTTPS) y otros protocolos de comunicaciones seguras refuerzan la prevención de ataques ARP Spoofing mediante el cifrado de los datos antes de la transmisión de datos y mediante la autenticación cuando se reciben.
Ettercap
Ettercap es un interceptor/sniffer/registrador para LANs con switch. Sirve en redes LAN conmutadas, aunque es utilizado para auditorías en distintos tipos de redes. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing. Además, es capaz de revizar y analizar si se trata de una red LAN con «switch» o no e incluye detección remota de OS.
Analizadores de red y Sniffers para Microsoft Windows y Linux
¿Qué es un Sniffer? Un sniffer es una aplicación especial para redes informáticas, que permite como tal capturar los paquetes que viajan por una red. Este es el concepto más sencillo que podemos dar al respecto, pero profundizando un poco más podemos decir también que un sniffer puede capturar paquetes dependiendo de la topología de red. Por ejemplo, entopologías estrella antiguas, un sniffer podía monitorear todos los paquetes que viajan por una red, ya que estos pasan por el nodo central, por el contrario en redes modernas de estrella esto no sucede, ya que solo lo retransmite el nodo de destino. Utilidad Los principales usos que se le pueden dar son: Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por crackers para atacar sistemas a posteriori. Conversión del tráfico de red en un formato inteligible por los humanos. Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué la computadora A no puede establecer una comunicación con la computadora B? Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red. Detección de intrusos, con el fin de descubrir crackers. Aunque para ello existen programas específicos llamados IDS (Intrusion Detection System, Sistema de Detección de intrusos), estos son prácticamente analizadores con funcionalidades específicas. Creación de registros de red, de modo que los crackers no puedan detectar que están siendo investigados. Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la información real que se transmite por la red. Los 7 Mejores Analizadores de red y Sniffers para windows y Linux Una ves visto lo que es un sniffer y cuales son las utilidades mas comunes, a continuación les mostraremos las mejores herramientas analizadoras de red y sniffers para windows y linux. 1. Wireshark Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca. La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red Disponible para: Windows y Linux Visite el sitio oficial de Whireshark 2. Microsoft Message Analyzer Microsoft Message Analyzer, sucesora de Microsoft Network Monitor 3.4, es una aplicación orientada a los expertos de redes y administradores de sistemas desarrollada para permitir a los usuarios capturar los paquetes de su red local en tiempo real (incluso de forma remota), listarlos y analizar el tráfico según los diferentes protocolos. Además, la aplicación permite cargar capturas de tráficos realizadas previamente para un análisis en detalle. Disponible para: Windows Visite el sitio oficial de Microsoft Message Analyzer 3. Tcpdump Tcpdump es una herramienta para línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos por la red a la cual la computadora está conectada. Disponible para: Linux Visite el sitio oficial de TCodump 4. Windump WinDump es la versión para Windows de tcpdump (el cual funciona en Unix y derivados de él), siendo una herramienta gratuita de gestión y control de redes que funciona mediante línea de comandos. Es totalmente compatible con tcpdump y permite diversas funciones como interceptar y mostrar los paquetes, TCP/IP o de otros tipos, que son transmitidos sobre la red a la que está conectado, o diagnosticar el estado de la red y guardar los registros en ficheros, todo esto en función de reglas más o menos complejas. WinDump está basado en las librerías de WinPcap que se puede bajar gratuitamente de su página oficial. Para la ejecución de WinDump es completamente necesario instalar primero WinPcap. Para poder usar WinDump son necesarios privilegios de administrador, debido a que en su “promiscuous mode” (modo promiscuo) permite interceptar los paquetes de otros usuarios poniendo en peligro la confidencialidad de los datos de la red. Hay que decir que Windump interpreta los datos dependiendo del protocolo involucrado en la captura, ya que no es lo mismo una captura de consulta DNS que un inicio de sesión o establecimiento de conexión TCP, o una captura ICMP, aunque las diferencias, en algunos casos, son pocas. Por ejemplo, en una captura ICMP aparece la palabra “icmp”, que sin embargo en una captura TCP no aparece. Disponible para: Windows Visite el sitio oficial de windump 5. Escáner WiFi Lizard Systems Lizard Systems WiFi Scanner es una herramienta de solución de problemas de WiFi y escáner WiFi multiusos diseñada para resolver todos los problemas relacionados con WiFi de manera conveniente. Esta herramienta fácil de usar les permite a sus usuarios ubicar fácilmente redes WiFi visibles completas y su información correspondiente de forma sistematizada. Esta herramienta primero obtiene el nombre de la red, la potencia de la señal, la calidad de la señal, la dirección MAC, la información del canal, la velocidad de datos máxima y alcanzable, la información de seguridad y mucho mas. Disponible para: Windows Visite el sitio oficial de Lizard Systems 6. Capsa Network Analyzer Capsa es un analizador de red de paquetes es un software gratuito para los administradores de red para supervisar, diagnosticar y solucionar sus network.The paquete gratis de la red la versión del analizador viene con toneladas de características, y es lo suficientemente buena para uso doméstico, así como su uso en la pequeña empresa. Paquete de software libre Capsa Sniffer le permite monitorear y capturar 50 direcciones IP de red de datos de tráfico juntos y análisis de redes eficaces en tiempo real para los paquetes de red sniffing, y analizarlos. Capsa Características del succionador de paquete: – Detalle Supervisor de tráfico de todos los equipos– El control de ancho de banda (para encontrar los equipos que están viendo vídeos en línea)– Diagnóstico de Red para identificar problemas en la red– La actividad Netwok registro (para la grabación de mensajería instantánea y correo web)– Red de monitoreo del comportamiento Disponible para: Windows Visite el sitio oficial de Capsa Network Analyzer 7. Netcat Netcat es una herramienta de red que permite a través de intérprete de comandos y con una sintaxis sencilla abrir puertos TCP/UDP