LABORATORIO – Ethical Hacking

1. OBJETIVO (S)

o Configurar múltiples herramientas que permitan realizar ataques a la infraestructura de red y a los
servicios prestados sobre ella.
o Entender el funcionamiento y modo de operación de algunas herramientas de ataque a la
seguridad de la red.
o Analizar cada uno de los ataques y generar propuestas para prevenirlos a futuro.
o Desarrollar habilidades y conocimientos con respecto a la forma de vulnerar el servicio de
seguridad en redes inalámbricas

2. LECTURAS PREVIAS

o Máxima seguridad con dsniff. El sniffer total – [En Línea]:

http://beta.redes-linux.com/manuales/seguridad/sniffers.pdf

o Pruebas de Intrusión - [En Línea]:

http://www.internet-solutions.com.co/ser_prueba_intrusion.php

o Marco Teórico

3. MARCO TEORICO

3.1 BackTrack4

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la

auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene
una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad
informática.

BackTrack Incluye una larga lista de herramientas de seguridad listas para usar, entre las que
destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers,
herramientas de análisis forense y herramientas para la auditoría Wireless. Fue incluida en el
puesto 32 de la famosa lista "Top 100 Network Security Tools" de 2006.

3.2 Yersinia [1]

Yersinia es una herramienta para realizar ataques a nivel 2 del modelo OSI. Los principales
protocolos que ataca la herramienta en la última versión son los siguientes: Spanning Tree Protocol
(STP), VLAN Trunking Protocol (VTP), Hot Standby Router Protocol (HSRP), Dynamic Trunking
Protocol (DTP), IEEE 802.1Q, Cisco Discovery Protocol (CDP), Dynamic Host Configuration Protocol
(DHCP) and, finally, the Inter-Switch Link Protocol (ISL).

Algunos de los ataques causan la denegación del servicio (DoS), mientras que otros ataques
permiten que otros ataques más avanzados puedan ser efectuados y causar denegación de servicio.
Actualmente Yersinia es definida como una herramienta de trabajo diaria para los administradores de
la red.

-1-
3.3 Exploits [3]

Un 'exploit' es un programa o técnica que aprovecha una vulnerabilidad. Los exploits dependen de
los sistemas operativos y sus configuraciones, de las configuraciones de los programas que se están
ejecutando en un ordenador y de la LAN donde están. Vale, pero ¿qué es una vulnerabilidad? Una
'vulnerabilidad' es "algo" de un sistema informático que evitará que se pueda usar correctamente, o
que permitirá que lo controlen personas no autorizadas. Hay muchos tipos de vulnerabilidades. Puede
haber un error en la configuración del servicio o bien un error en la programación del servicio. Pueden
estar creados en cualquier lenguaje. Los exploit para windows suelen estar hechos en C y/o
ensamblador, mientras que los de Unix pueden estar hechos también en perl por ejemplo, aunque
suelen estar hechos en C.

3.4 Ethical Hacking

El “Penetration test” o “ethical hacking”, es un conjunto de metodologías y técnicas para realizar una
evolución integral de las debilidades de los sistemas informáticos. Consiste en un modelo que
reproduce intentos de acceso a cualquier entorno informático de un intruso potencial desde los
diferentes puntos de entrada que existan, tanto internos como remotos.

El objetivo general del ethical hacking es acceder a los equipos informáticos de la organización
analizada e intentar obtener los privilegios del administrador del sistema, logrando así realizar
cualquier tarea sobre esos equipos. También se podrán definir otros objetivos secundarios que
permitan realizar pruebas puntuales sobre algunos ámbitos particulares de la empresa.

4. MATERIAL A UTILIZAR

o VMware Player
o 2 Tarjeta de red inalámbrica USB. (caso particular Alfa Network)
o Máquina virtual XP (password: labredesML340)
o Cisco IP Comunicator
o Wireshark
o Máquina virtual con live CD Backtrack 4 R1
o airmon-ng
o aircrack-ng
o airodump-ng

Las Máquinas virtuales serán suministradas por el Asistente.

-2-
5. PROCEDIMIENTO

5.1 TOPOLOGÍAS CABLEADAS

3 Máquinas Virtuales
2 Maquinas físicas
1 Switch

Topología para ARPSpoof y DNSspoof

Topología para Ataque DHCP

Topología Pen-Test voip

-3-
5.2 TOPOLOGÍA INALÁMBRICA

Se cuenta con un AP el cual está protegido por una contraseña WEP de 64bits y con un AP el cual
está protegido por contraseña WPA con encripción TKIP,

Se debe identificar la contraseña y establecer conexión con cada AP.

5.3 INICIO BACKTRACK

Para iniciar la interfaz gráfica use el comando startx

-4-
5.4 Configuración de Red

Use el comando ifconfig para verificar el estado de la red.

Si esta así, no tiene ip valida

Para iniciar la interfaz de red use el comando

-5-
# /etc/init.d/networking restart

5.5 ARPSPOOF

Abra una consola y ejecutar lo siguiente

arpspoof -i interface –t victima host

Dónde:

Interface: nombre de la interfaz del equipo local conectada al segmento de red donde está el equipo
víctima.
Víctima: Dirección IP del equipo víctima.
Host: Dirección ip de equipo local.

A continuación abra una nueva terminal de consola

echo 1 > /proc/sys/net/ipv4/ip_forward

-6-
Para verificar el funcionamiento puede usar el comando arp -a en la maquina XP

5.6 DNSSPOOF

Puede detener el ARPSpoof si aún sigue corriendo, Ctrl + C

Para el correcto funcionamiento de esta herramienta, es requisito que la tabla arp de la víctima tenga
en su registro que él la IP del DNS es la IP de la máquina que desea hacer el ataque. Una vez
garantizado este requisito, abra una consola y ejecute lo siguiente

#nano host

Desde la terminal de Linux cree un archivo llamado “host” (no importa la ubicación, lo importante es
que sepa dónde estará ubicado), como el siguiente:

Donde la primer parte de la línea indica la dirección IP (69.63.184.142) que será devuelta cuando se
digite en el navegador de la víctima la dirección web de la segunda parte de la línea
(www.uniandes.edu.co). Es decir, el archivo host creado en el paso anterior indica que toda petición
DNS hacia www.uniandes.edu.co va regresar como dirección IP la dirección de www.facebook.com.

En este ejemplo, la dirección IP 69.63.184.143 es de www.facebook.com y se puede verificar de la

siguiente forma:

 Ejecute desde consola el comando nslookup

 Luego digite la dirección del servidor, del cual desea conocer su IP, para ello escriba su
dirección web.
 Las últimas líneas de Name y Address indican la dirección web y su dirección IP respectiva.

-7-
Ahora, para poner en funcionamiento la herramienta, ejecute el siguiente comando:

dnsspoof –I interface -f ubicacionarchivohost

Dónde:

Interface: nombre de la interfaz del equipo local conectada al segmento de red donde está el equipo
víctima.
Ubicacionarchivohost: Directorio y nombre del archivo donde se encuentra la pareja IP – Dirección
Web que serán devueltos a la víctima. Por ejemplo, si el archivo host fue creado en la carpeta “etc”
escriba /etc/host. Si al ejecutar el comando dnsspoof lo realiza desde la ubicación del archivo host,
simplemente digite:

dnsspoof –I interface -f host

Ahora, desde el PC víctima ingrese a www.uniandes.edu.co y le aparecerá la página de

www.facebook.com

5.7 YERSINIA

Yersinia es una herramienta para generar ataques en redes LAN.

 Desde la consola ejecute el comando yersinia –G para iniciar la interfaz grafica

-8-
En la pestaña Launch Attacks están los diferentes ataques que se pueden realizar:

Como lo muestra la imagen los protocolos que se pueden atacar son los siguientes:
 DCP (Discovery Cisco Protocol)
 DHCP
 802.1q
 802.1X
 DTP (Dynamic Trunking Protocol)
 HSRP
 ISL
 STP (Spanning Tree Protocol)
 VTP(Vlan trunking Protocol)

En este ejemplo se realizara un ejemplo de ataque de denegación de servicio al DHCP de la red.

-9-
5.7.1 ATAQUES A DHCP - SENDING DISCOVER PACKET

En el menú grafico de Yersinia, seleccione el ataque DHCP y posteriormente seleccione la casilla

“Sending Discover Packet”. Al seleccionarlo se da clic en “ok”.

A continuación se observa un router que actúa como DHCP bajo el ataque de Yersinia:

 El pool de direcciones IP (en este caso un pool Clase C) del router antes del ataque:

Después de inicio del ataque

- 10 -
Como se observa paso a paso, todas las direcciones IP que puede entregar el DHCP han sido
consumidas. Cuando un PC desea conectarse a la red se observa lo siguiente:

Primero intenta obtener una dirección IP:

Como el DHCP no tiene direcciones disponibles, el equipo no tiene conectividad.

5.8 Pen Test VoIP

Para realizar este ataque inicie la captura de tramas con el wireshark según como se
muestra abajo.

- 11 -
Identifique la interfaz que tenga una dirección IP valida y que es con la cual está conectada la
máquina virtual al switch.

Haga clic en el botón Start o iniciar para iniciar la captura

Tome el teléfono Cisco y marque a la extensión 102 la cual corresponde al Softphone

instalado en la máquina virtual XP.

El wireshark iniciara la captura de todos los paquetes que entran al PC, mantenga la captura
por el tiempo que dure la llamada, al terminar la llamada detenga la captura de paquete y
siga la secuencia en las imágenes.

- 12 -
- 13 -
5.9 Ataque WEP

- 14 -
Introducción

Para desarrollar este ataque es necesaria la captura el tráfico cifrado, tanto como sea posible usando
airodump-ng. Cada paquete de datos WEP tiene asociado 3-byte vector de inicialización (IV):
después de que un número suficiente de paquetes de datos han sido recogidos, se debe ejecutar
aircrack-ng al archivo de captura resultante.

Proceso:

1) Ejecute la máquina virtual con la herramienta Backtrack, usuario root, password toor
2) Por comodidad es recomendable iniciar el modo grafico para poder hacer copia de las
diferentes consolas al igual que ver su ejecución, si lo desea inicie el modo gráfico con el
comando
# startx

Instalar la tarjeta de red USB

1) Asegúrese que la tarjeta USB está conectada a la máquina virtual

NOTA: Este laboratorio hace uso de 2 máquinas virtuales con tarjeta de red inalámbrica, por lo cual
debe conectar las 2 tarjetas de red USB Alfa Network a la misma máquina real y con VMware hacer
que se conecte una a la máquina XP y otra al BackTrack (no importa cuál)

2) Inicie una consola en la máquina virtual y use el siguiente comando

# /etc/init.d/networking restart
para reiniciar los servicios de red. Nuestra tarjeta de red inalámbrica se verá como wlan0
3) Use el comando ifconfig para verificar que la tarjeta de red inalámbrica está conectada he
instalada en su máquina, esta tarjeta de red la vera como Wlan0

- 15 -
 4) Si no está la tarjeta repita el comando # /etc/init.d/networking restart y verifique que está
conectada a la máquina virtual como se muestra en la imagen arriba

2- Configurar la tarjeta en modo monitor

La tarjeta de red inalámbrica se debe configurar en modo monitor para que pueda inyectar tráfico en
las redes.
Hay varios métodos para configurar la tarjeta en modo monitor, en este laboratorio usaremos los
siguientes comandos:

# airmon-ng stop wlan0

# ifconfig wlan0 down
# airmon-ng start wlan0

a partir de este momento la tarjeta de red también será referenciada como mon0

- 16 -
Es posible que al usar el comando anterior salga un error, en este caso usa el comando Kill para
detener los procesos que están en la parte superior.
# kill 5843

Es posible que tenga que ejecutar los 3 comandos anteriores para que la tarjeta mon inicie, verifique
con el comando ifconfig como queda la tarjeta mon# ya que puede ser mon0, mon1, mon2…

3 - Encontrar redes para atacar

Para encontrar las redes a las cuales tiene alcance nuestra tarjeta de red inalámbrica, usamos el
comando:
# airodump-ng mon0
este comando nos muestra:
BSSID: Dirección MAC del punto de acceso.
PWR: Nivel de señal reportado por la tarjeta.
Beacons: Número de anuncios de los paquetes enviados por la AP
#Data: Numero de paquetes de datos capturados, de estos paquetes se sacan los IVs, para un
ataque con WEP de 64bits se requieren alrededor de 30.000 en los casos donde WEP
está configurado a 128bits se necesitan cerca de 120.000
#/S: Número de paquetes de datos por segunda, medido en los últimos 10 segundos
CH: Número del canal de frecuencia al que trabaja el AP
MB: Velocidad máxima de transferencia del AP
ENC: Algoritmo de cifrado, OPN = sin encriptación, WEP? = no hay datos suficientes para
elegir entre WEP y WPA/WPA2, WEP indica estático o dinámico de WEP, WPA o
WPA2 y TKIP o CCMP si alguno está presente.
CIPHER: El sistema de cifrado detectado. Uno de CCMP, WRAP, TKIP, WEP, WEP40, o
WEP104. No es obligatorio, pero generalmente se utiliza TKIP con WPA y CCMP se
suele utilizar con WPA2. WEP40 se muestra cuando el índice de clave es mayor que 0.
La norma establece que el índice puede ser 0-3 para 40bit y debe ser 0 para 104 bits.
AUTH: El protocolo de autenticación utilizado, no es obligatorio
ESSID: Muestra el nombre de red inalámbrica. El llamado "SSID", que puede estar vacío si se
activa ocultar SSID. En este caso, airodump-ng intentará recuperar el SSID de las
respuestas de la sonda y peticiones de asociación.

- 17 -
NOTA: La red que van a atacar en el laboratorio se llama Top_down_Network_securit. Esta guía
se creó atacando una red llamada UNIANDES

4 - Ataque
1) Usaremos el comando:
airodump-ng -c ___ -w ____ --bssid ______________ mon0
 La opción –c indica el canal al cual transmite la red.
 La opción –w indica el nombre de los archivos que se escribirán con los datos
capturados de la red, estos archivos quedan en el home del usuario backtrack que es
igual al escritorio en el modo gráfico.
 La opción --bssid Indica la mac del dispositivo a atacar
 El último parámetro es la tarjeta de red, puede ser mon0 o wlan0
Para nuestro caso el comando completo será así:
# airodump-ng -c 8 -w uniandes --bssid 00:1B:11:9B:13:CE mon0

2) Para que el ataque funcione se deben capturar paquetes con IV, pero esto solo es posible si el
AP tiene tráfico, así que si el campo #Data permanece en 0 por un tiempo muy prolongado e
posible que no se pueda atacar la clave WEP.

Este paso que sigue es opcional depende de si los data están aumentando
considerablemente.
3) Como se necesitan muchos paquetes de datos, backtrack tiene la opción de hacer solicitudes
ARP con el fin de aumentar el tráfico de la red, esta solicitud solo se puede hacer si hay tráfico
en la red.

- 18 -
 a. Usamos el comando aireplay-ng -1 0 -e _________ mon0
la opción -1 0 permiten hacer una asociación con el AP, para luego capturar réplicas
de los paquetes.
b. La opción –e permite ingresar el nombre de la red, también se puede usar --bssid.
c. El comando completo sería:
# aireplay-ng -1 0 -e UNIANDES mon0
d. Para iniciar la inyección de tráfico se ejecuta el comando:
# aireplay-ng -3 -e UNIANDES mon0

4) Luego de capturar 30.000 paquetes (se indica en el campo #Data) detenemos la captura con
“CTRL+C” y hacemos uso de la herramienta aircrack sobre el archivo de captura con
extensión .cap.
el comando es:
# aircrack-ng ______________
El parámetro de este comando es solo el archivo de .cap
# aircrack-ng uniandes-01.cap

Y listo!!! KEY FOUND! …

- 19 -
5.10 Ataque WPA

Introducción

WPA puede usar diferentes algoritmos de cifrado: AES (estándar y seguro por ahora) y el Temporal
Key Integrity Protocol (TKIP). Un ataque basado en la misma técnica que volvió obsoleto al WEP
(ataque conocido como chopchop) ha permitido que se pueda descifrar un paquete de tipo ARP en
menos de 15 minutos, independientemente de la contraseña usada para proteger el WPA. TKIP se
creó precisamente para solucionar los problemas de WEP. Por ejemplo añade entre otras,
comprobación de integridad del mensaje (MIC) en vez del débil CRC32 que usaba WEP. El problema
es que TKIP también conserva varios peligros heredados de WEP. TKIP se creó para que fuese
compatible con los dispositivos que ofrecían WEP sólo con actualizaciones del firmware, sin
necesidad de cambiar el hardware: un parche.

Repetir los pasos 1 a 3 del ataque WEP

1) Usaremos el comando:
airodump-ng -c ___ -w ____ --bssid ______________ mon0
 La opción –c indica el canal al cual transmite la red.
 La opción –w indica el nombre de los archivos que se escribirán con los datos capturados
de la red, estos archivos quedan en el home del usuario backtrack que es igual al
escritorio en el modo gráfico.
 La opción --bssid Indica la mac del dispositivo a atacar
 El último parámetro es la tarjeta de red, puede ser mon0 o wlan0
Para nuestro caso el comando completo será así:
# airodump-ng -c 3 -w wpa --bssid 00:1B:11:9B:13:CE wlan0

- 20 -
Debemos esperar hasta que al lado de la hora (primera línea imagen anterior) aparezca una línea que
dice WPA handshake: dirección mac

Este paso que sigue es opcional depende de si los data están aumentando considerablemente.
Es necesario hacer uso del programa de inyección de tráfico aireplay-nr en este caso aumentamos
los argumentos los cuales consisten en:

aireplay –ng -0 10 -a {bssid del AP a atacar} -c {mac destino*} interfaz

*La mac destino se obtiene del comando # airodump-ng anterior, y se toma el valor que está debajo
de station para nuestro caso:
# airepaly-ng -0 10 –a 00:1B:11:9B:13:CE -c 00:22:FB:97:55:D2 wlan0

Es necesario que un equipo cliente se conecte al AP para que el ataque pueda servir, cuando el texto

Aparece en la primera línea en la ventano donde corre el airodump-nr ya está listo el ataque, solo nos
queda compara las capturas que hizo airodump-nr con nuestro diccionario.
El diccionario puede ser creado o descargado de una base de datos, sirve un archivo de texto plano.
Para hacer la búsqueda utilizamos el siguiente comando:

# aircrack-ng wpa-01.cap -w dir

# aircrack-ng {nombre del archivo capturado con airodump} -w {diccionario de palabras}

- 21 -
Con esto obtenemos nuestra clave WPA.

6. ACTIVIDADES Y ENTEGABLES

Mostrar al asistente o monitor la ejecución de: (No debe entregar documento de esto)
 ARPspoof de tal manera que la víctima suponga que su máquina es el DNS predeterminado y
por tanto pueda realizar el ataque de DNSspoof de forma satisfactoria.

- 22 -
 Yersinia con el fin de vulnerar un dispositivo de red, hacer Denegación de servicio al DHCP de
un rotuer.
 Que encontró un las contraseñas WEP y WPA y que puede usarlas para conectar la maquina
XP a la red
 Que logro reproducir una llamada IP con el wireshark

- 23 -