Ataques Man In The Middle

TIPOS DE ATAQUES Man in the middle

ROUGE ACCESS POINT

Los  dispositivos equipados con tarjetas inalambricas a menudo intentan conectarse automáticamente al punto de acceso que emite la señal mas fuerte.Los atacantes pueden configurar su propio punto de acceso inalambrico y engañar a los dispositivos cercanos para unirse a su dominio.Todo el trafico de red de la victima ahora puede ser manipulado por el atacante.Esto es peligroso porque el atacante ni siquiera tiene que estar en una red confiable para hacer esto.El atacante simplemente necesita una proximidad física lo suficientemente cercana.

ARP SPOOFING

ARP es el protocolo de resolución de direcciones.Se utiliza para resolver direcciones IP en direcciones físicas MAC en una red de área local.Cuando un host necesita hablar con un host con una dirección IP determinada hace referencia a la cache ARP para resolver la dirección IP en una dirección MAC.Si no se conoce la dirección se realiza una solicitud solicitando la dirección MAC del dispositivo con la dirección IP.

Un atacante que desee hacerse pasar por otro host podría responder a las solicitudes a las que no debería responder con su propia dirección MAC. Con algunos paquetes colocados con precisión un atacante puede detectar el trafico privado entre dos host. Se puede extraer información valiosa del trafico como el intercambio de tokens de sesión,proporcionando acceso completo a las cuentas de la aplicación a las que el atacante no debería poder acceder.

Ataques ARP SPOOFING

MDNS SPOOFING

El DNS de multidifusion es similar al DNS pero se realiza en una red de área local (LAN) mediante trasmisión como ARP. Esto lo convierte en un objetivo perfecto para los ataques de suplantación de identidad.Se supone que el sistema local de resolución de nombres hace que la configuración de los dispositivos de red sea extremadamente simple.Los usuarios no tienen que saber exactamente con que direcciones deben comunicarse sus dispositivos.Dejan que el sistema lo resuelva por ellos.Los dispositivos como televisores impresoras y sistemas de entretenimiento hacen uso de este protocolo ya que generalmente se encuentran en redes confiables.

Cuando una aplicación necesita conocer la dirección de un determinado dispositivo como TV.local,un atacante puede responder fácilmente a esa solicitud con datos falsos indicándole que resuelva en una dirección que tiene control.Dado que los dispositivos mantienen un cache local de direcciones la victima ahora vera el dispositivo del atacante como confiable por un periodo de tiempo.

Ataque Man In The Middle DNS-spoofing

SUPLANTACIÓN DE DNS

Al igual que ARP resuelve las direcciones IP en direcciones MAC en una LAN,DNS resuelve los nombres de dominio en direcciones IP. Cuando se usa un ataque de suplantación de DNS el atacante intenta introducir información corrupta de cache de DNS a un host en un intento de acceder a otro host utilizando su nombre de dominio.

Esto lleva a  la victima a enviar información confidencial a un host malicioso con la creencia de que esta enviando información a una fuente confiable.Un atacante que ya haya falsificado una dirección IP podría tener mucho mas fácil falsificar DNS simplemente resolviendo la dirección de un servidor DNS a la dirección del atacante.

Ataques Man-in-the-Middle-

TÉCNICAS DE ATAQUE MAN IN THE MIDDLE

SNIFFING

Los atacantes usan herramientas de captura de paquetes para inspeccionar paquetes a un nivel bajo.El uso de dispositivos inalambricos específicos que se pueden poner en modo de monitoreo o promiscuo puede permitir que un atacante vea los paquetes que no están destinados a ver como los paquetes dirigidos a otros hosts.

INYECCIÓN DE PAQUETES

Un atacante también puede aprovechar el modo de monitoreo de su dispositivo para inyectar paquetes maliciosos en los flujos de comunicación de datos.Los paquetes pueden combinarse con flujos de comunicación de datos validos que parecen ser parte de la comunicación pero de naturaleza maliciosa.La inyección de paquetes generalmente implica primero sniffar para determinar como y cuando elaborar y enviar paquetes.

SECUESTRO DE SESIÓN

La mayoría de las aplicaciones web utilizan un mecanismo de inicio de sesión que genera un token de sesión temporal para usar en futuras solicitudes para evitar que el usuario escriba una contraseña en cada pagina.Un atacante puede detectar trafico confidencial para identificar el token de sesión de un usuario y utilizarlo para realizar solicitudes como usuario.El atacante no necesita falsificar una vez que tiene un token de sesión.

SSL STRIPPING

Dado que el uso de HTTPS es una protección común contra la falsificación de ARP o DNS los atacantes usan la eliminación de SSL para interceptar paquetes y alterar sus solicitudes de dirección basadas en HTTPS para ir a su punto final equivalente HTTP lo que obliga al host a realizar solicitudes al servidor sin cifrar.La información confidencial se puede filtrar en texto sin formato.

Ataques de SSL STRIPPING

PREVENCIÓN DE ATAQUES MAN IN THE MIDDLE

ENCRIPTACION FUERTE

Tener un fuerte mecanismo de encriptacion en los puntos de acceso inalambrico evita que usuarios no deseados se unan a su red simplemente estando cerca.Un mecanismo de cifrado débil puede permitir que un atacante ingrese a la red por fuerza bruta y comience a atacar en el medio.Cuanto mas fuerte sea la implementacion de cifrado mas seguro.

RED PRIVADA VIRTUAL (VPN)

Las VPN se pueden usar para crear un entorno seguro para la información confidencial dentro de una red de área local.Utilizan cifrado basado en claves para crear una subred para una comunicación segura.De esta manera incluso si un atacante llega a una red compartida no podrá descifrar el trafico en la VPN.

HTTPS

Se puede utilizar para comunicarse de forma segura a través de HTTP mediante el intercambio de claves publico-privadas.Esto evita que un atacante tenga uso de los datos que pueda estar Snifando. Los sitios web solo deben usar HTTPS y no proporcionar alternativas HTTP. Los usuarios pueden instalar complementos del navegador para aplicar siempre el uso de HTTPS en las solicitudes.

AUTENTICACION BASADA EN CLAVE PUBLICA

Los ataques Man In the Middle generalmente implican falsificación de algo.La autenticacion basada en pares de claves publicas como RSA se puede usar en varias capas de la pila para ayudar a garantizar si las cosas con las que se esta comunicando son en realidad las cosas con las que desea comunicarse. 

que-es-un-ataque-man-in-the-middle