������������������������������������������������������������������������������������������������������������������������������������������������������������

���������������������������������������������������������������������������������

 

Programaci�n de herramientas de generaci�n de tr�fico malicioso aplicadas a una red virtual

 

Programming malicious traffic generation tools applied to a virtual network

 

Programa��o de ferramentas de gera��o de tr�fego malicioso aplicada a uma rede virtual

 

Luis Alberto Uvidia-Armijo I

la.uvidiaa@uea.edu.ec

https://orcid.org/0000-0002-1967-2494

 

 

Mar�a Gabriela Moyano-J�come II

maria.moyano@espoch.edu.ec

https://orcid.org/0000-00015460-1328

 

 
 

 

 

 

 

 

 

 

 

 


Correspondencia: la.uvidiaa@uea.edu.ec

 

Ciencias de la Computaci�n

 

Art�culo Cient�fico

 

*Recibido: 25 de junio *Aceptado: 23 de agosto de 2021 * Publicado: 1 de septiembre de 2021

 

                                I.            M�ster Universitario en Tecnolog�as Sistemas y Redes de Comunicaciones, Universidad Estatal Amaz�nica, Puyo, Ecuador.

                            II.            M�ster Universitario en Tecnolog�as, Sistemas y Redes de Comunicaciones, Escuela Superior Polit�cnica de Chimborazo, Riobamba, Ecuador.

 


 

Resumen

Con la evoluci�n de las telecomunicaciones y el pasar de los a�os, se ha visto que las empresas cada vez dependen m�s de su infraestructura de red, por consecuencia cualquier problema que se genere por m�s peque�o que sea puede llegar a colapsar sus operaciones. La falta de protecci�n en las redes es un problema com�n hoy en d�a, de tal manera que ha surgido un n�mero alarmante de ciberdelincuentes que cada vez mejoran sus habilidades de ataque obteniendo mayores beneficios incluso infiltr�ndose en la misma empresa. El trabajo actual contiene detalles de una recolecci�n de informaci�n sobre seguridad inform�tica y herramientas generadoras de tr�fico malicioso, siendo necesarias a la hora de gestionar pruebas de desempe�o y funcionalidad de una red empresarial, la mayor�a de estas herramientas son de c�digo abierto que est�n disponibles para poder ser utilizadas, modificadas o mejoradas por la comunidad acad�mica de acuerdo con sus requerimientos. Posteriormente se dise�a y simula una red IP virtualizada para poder demostrar el potencial de ataque de dichas herramientas, se realiza un an�lisis de resultados a tener en cuenta en caso de que suceda un ataque real, concluyendo con una descripci�n de m�todos apropiados para contrarrestar los distintos ataques simulados.

Palabras clave: Programaci�n; seguridad; ip.

 

Abstract

With the evolution of telecommunications and the passing of the years, it has been seen that companies increasingly depend on their network infrastructure, consequently any problem that is generated, no matter how small, can collapse their operations. The lack of protection in networks is a common problem today, in such a way that an alarming number of cybercriminals have emerged that each time improve their attack skills obtaining greater benefits even by infiltrating the same company. The current work contains details of a collection of information on computer security and tools that generate malicious traffic, being necessary when managing performance and functionality tests of a business network, most of these tools are open source that are available for be able to be used, modified or improved by the academic community according to their requirements. Subsequently, a virtualized IP network is designed and simulated in order to demonstrate the attack potential of these tools, an analysis of the results is carried out to take into account in the event of a real attack, concluding with a description of appropriate methods to counteract the different simulated attacks.

Keywords: Programming; security; Ip.

 

Resumo

Com a evolu��o das telecomunica��es e o passar dos anos, tem-se verificado que as empresas dependem cada vez mais da sua infraestrutura de rede, pelo que qualquer problema que seja gerado, por menor que seja, pode colapsar as suas opera��es. A falta de prote��o em redes � um problema comum hoje, de tal forma que um n�mero alarmante de cibercriminosos tem surgido que a cada vez melhoram suas habilidades de ataque obtendo maiores benef�cios at� mesmo por se infiltrarem na mesma empresa. O presente trabalho cont�m detalhes de um conjunto de informa��es sobre seguran�a de computadores e ferramentas que geram tr�fego malicioso, sendo necess�rias no gerenciamento de testes de desempenho e funcionalidade de uma rede empresarial, a maioria dessas ferramentas s�o de c�digo aberto que est�o dispon�veis para serem utilizadas, modificados ou melhorados pela comunidade acad�mica de acordo com suas necessidades. Posteriormente, � desenhada e simulada uma rede IP virtualizada para poder demonstrar o potencial de ataque das referidas ferramentas, � efectuada uma an�lise dos resultados para ter em considera��o no caso de um ataque real, concluindo com uma descri��o dos m�todos adequados para neutralizar os diferentes ataques simulados.

Palavras-chave: Programa��o: seguran�a; ip.

 

Introducci�n

Con la evoluci�n de las telecomunicaciones, el pasar de los a�os y las m�ltiples investigaciones sobre la seguridad de redes, se ha visto que las empresas cada vez dependen m�s de su infraestructura de red y cualquier problema que se genere, por m�s peque�o que sea puede llegar a colapsar las operaciones. La falta de protecci�n de las redes es un problema muy com�n hoy en d�a, de tal manera que han salido a la luz un n�mero alarmante de atacantes, y cada vez van mejorando sus habilidades de ataque obteniendo mayores beneficios incluso infiltr�ndose en la misma empresa.

Generalmente los ataques aprovechan vulnerabilidades de un sistema operativo, com�nmente desconocidos por el fabricante y que conllevan a dejar puertas abiertas para ciberdelincuentes, el proceso de establecimiento de una red segura requiere la necesidad de realizar pruebas de eficiencia y comportamiento, para lo cual se vuelve una necesidad muy relevante la utilizaci�n de herramientas que poseen la capacidad de generar tr�fico de distintos tipos a redes ya sean reales o simuladas, con el fin de evaluar sus caracter�sticas y rendimientos logrando tener una mejor percepci�n del comportamiento de las mismas.

Debido a estos requerimientos varios investigadores han recurrido a la necesidad de desarrollar herramientas que posean la capacidad de realizar pruebas de funcionamiento simulando ataques a servidores en entornos virtuales como en redes de infraestructuras en el mundo real, con el objetivo de demostrar que se puede conseguir acceso al sistema, robo de informaci�n privilegiada, informaci�n de estados bancarios, y m�s com�nmente desestabilizar el sistema o servidor, encontrando vulnerabilidades del sistema de las cuales se pueda beneficiar el ciberterrorismo.

Gracias a la ayuda de estas herramientas se realiza una gesti�n de la red, y a partir de un reporte detallado de cada uno de los sucesos durante la ejecuci�n del ataque, se generar�n hip�tesis en cuanto a qu� pasa s� la red o los servicios se ven afectados por un ataque real, lo cual define que tan disponible y eficiente es la red y se determinar� si cumple o no con calidad de servicio.

El trabajo actual contiene detalles de una recolecci�n de informaci�n sobre seguridad inform�tica y herramientas generadoras de tr�fico, las cuales pueden ser de ayuda a la hora de gestionar pruebas de desempe�o y funcionalidad de una red, la mayor�a de estas herramientas son Open Source (de c�digo abierto) las cuales est�n disponibles para poder ser utilizados, modificados o mejorados por la comunidad acad�mica e investigadora de acuerdo a las especificaciones de cada investigaci�n o trabajo a realizar.

El contenido de la investigaci�n realizada nos permite apreciar que existe un gran n�mero de herramientas generadoras de tr�fico para la realizaci�n de ataques de distinto tipo, de los cuales se hace una breve rese�a de sus caracter�sticas y aplicaci�n. Adicionalmente se hace una descripci�n de los m�todos para contrarrestar los ataques en distintos sistemas operativos.

 

 

 

Metodolog�a

El presente trabajo consiste en una metodolog�a te�rica y pr�ctica. En primer lugar, se ha efectuado una revisi�n te�rica acerca del ciberterrorismo actual y los tipos de ataques m�s frecuentes, as� como tambi�n los tipos de herramientas que se utilizan para generar tr�fico malicioso, por otra parte, se ha revisado el estado del arte de la seguridad inform�tica con propuestas y proyectos afines a su desarrollo. Para posteriormente realizar el dise�o y simulaci�n de una red IP virtual, que permite simular una empresa con equipos interconectados, mediante la utilizaci�n de un generador de entornos virtuales, a fin de demostrar la vulnerabilidad de la rede frente a diferentes tipos de ataques a los cuales se puede enfrentar, se ha realizado simulaciones con diferentes sistemas operativos para obtener resultados m�s apegados a un entorno empresarial de datos real.

 

Resultados

Se realiz� la construcci�n y dise�o de la red IP virtualizada en el equipo anfitri�n conformada por un equipo servidor basado en el sistema operativo Ubuntu, tres equipos clientes y un equipo enrutador, mediante el uso de la herramienta Virtual Box se logr� obtener simulaciones reales gracias a su optimo desempe�o, una vez montada la red se us� las herramientas generadoras de tr�fico malicioso en los equipos clientes, logrando efectuar diversos ataques al servidor de la red empresarial de entre los cuales est�n, el ataque de detecci�n de puertos, ataque de fuerza bruta, ataque de hombre en el medio, ataque denegaci�n de servicios y el ataque de suplantaci�n de identidad (phishing), por otro lado se comprob� los an�lisis obtenidos mediante la herramienta Wireshark que permiti� localizar los puertos, el protocolo y el equipo atacante utilizados para efectuar el ataque, logrando identificar las vulnerabilidades del servidor y de la red IP virtualizada. Finalmente se implement� mecanismos de control de ataques en los equipos que conforman la red, a trav�s de la herramienta ESET smart security 9, el cual filtro ataques mediante el m�dulo de cortafuegos programable brind�ndonos la opci�n de eliminar o bloquear las potenciales amenazas, adicionalmente se implement� un cortafuegos generado a trav�s de Iptables dentro del servidor Ubuntu, como complemento adicional se instal� la aplicaci�n ARPwhatch la cual env�a al administrador un correo electr�nico en el momento que alguien intenta atacar el servidor Ubuntu, de esta manera pudimos contrarrestar los ataques generados.

 

Ataque de escaneo de puertos y servicios

         Herramienta generadora de tr�fico Nmap

La herramienta Nmap se la instal� en un equipo cliente de la red que lleva como sistema operativo Windows Xp, como primer paso se descarg� el archivo de instalaci�n y se lo ejecut�, paso seguido aceptamos los par�metros de pol�ticas de licencia, y seleccionamos los complementos de la herramienta y presionamos next, como se observa en la figura 1.

Fig.1: Instalaci�n de complementos Nmap

Interfaz de usuario gr�fica, Texto, Aplicaci�n

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

 

Una vez finalizada la instalaci�n se procedi� a ejecutar la herramienta, mediante el comando: nmap 192.168.1.17 se logr� identificar los puertos disponibles con su respectivo servicio como se detalla en la figura 2.

Fig.2: Listado de puertos abiertos.

Sin t�tulo6

Fuente: Autores, 2021

An�lisis de resultados

En el servidor: http://192.168.1.17, se detectaron puertos abiertos que poseen servicios de correo electr�nico en los protocolos:

      Smtp: (Simple Mail Transfer Protocol), protocolo empleado para el intercambio de mensajes de correo, proporciona su servicio de salida a trav�s del puerto 25.

      Http: (Protocolo de transferencia de hipertextos), protocolo empleado para compartir informaci�n con la web, proporciona su servicio de salida a trav�s del puerto 80.

      Pop3: (Protocolo de oficina de correo), protocolo empleado para recibir los mensajes de correo electr�nico almacenados en un servidor, proporciona su servicio de salida a trav�s del puerto 110.

      Imap: (Protocolo de acceso a mensajes de internet), protocolo empleado para acceder a mensajes almacenados en un servidor web, proporciona su servicio de salida a trav�s del puerto 143.

Posteriormente se implement� un escaneo m�s profundo mediante el c�digo: namap �p110 �T4-A �v 192.168.1.17 que aplica los siguientes par�metros:

-p110: Genera el ataque al puerto (Pop3) por la ruta 110.

-T4: Toma control del temporizador controlando la sincronizaci�n.

-A: Permite generar una exploraci�n minuciosa al equipo que est� siendo atacado.

-v: Detalla la versi�n de Zemap o Nmap.

Los resultados obtenidos del an�lisis los detalla la figura 3, que se resumen en los siguientes:

  • Distancia de la red: 2 saltos
  • Latencia del Host: 0.0012s
  • Capacidades de Pop3: implementacion de courier mail server.

Fig.3: Escaneo m�s profundo.

1

Fuente: Autores, 2021

 

Gracias a la implementaci�n de la herramienta Wireshark en la maquina Servidor de Ubuntu, se logr� monitorear los eventos generados aplicado un sondeo TCP/SYN, como podemos observar en la figura 4, se verifica el env�o de paquetes de control SYN que permiten entablar una conexi�n real esperando que se cumpla con la petici�n de la conexi�n, confirmaci�n de la conexi�n y recepci�n de la informaci�n, desde el atacante de la red (192.168.1.17); en primer lugar, se recibi� una respuesta RST (reset) esto indica que no hay nadie escuchando en el puerto y se reiniciara la conexi�n debido a SYN duplicados, retardados o comprimidos entonces el puerto se marca como filtrado, a continuaci�n se volvi� a enviar un paquete SYN, esta vez se recibi� una respuesta ACK indicando que el puerto est� abierto y permitiendo una respuesta del protocolo Pop3 con la informaci�n (OK Hello There).

Fig.4: Monitoreo Wireshark.

2

Fuente: Autores, 2021

         Herramienta generadora de tr�fico Look@Lan

La herramienta Look@LAN 2.50 se la instal� en un equipo cliente de la red dotado con el sistema operativo Windows Xp, como primer paso se descarg� el archivo de instalaci�n y se lo ejecut�, paso seguido aceptamos los par�metros de pol�ticas de licencia y presionamos next, como se observa en la figura 5.

Fig.5: Proceso de instalaci�n Look@LAN.

Interfaz de usuario gr�fica, Texto, Aplicaci�n

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Una vez instalada la herramienta la ejecutamos y seleccionamos crear nuevo perfil y es ah� donde editamos el rango de direcciones IP, para la busqueda de equipos hablilitados dentro de la red, precionamos siguiente y arranca el escaneo de redes una vez termindado dicho escaneo arroja un reporte de red en el cual seleccionamos nuestra direccion Ip: 192.168.1.17 y se obtuvo los resultados mostrados en la figura 6.

         Sistema operativo: Ubuntu

         Puertos detectados.

         Informaci�n adicional: Servidor Apache 2.4.7 (Ubuntu).

Fig.6: Resultados generados por Look@LAN.

3

Fuente: Autores, 2021

Resultados obtenidos mediante Wireshark

Se logr� monitorear los eventos suscitados, como podemos observar en la figura 7, se verifica el env�o de paquetes de control SYN, por parte del equipo atacante, esta vez se recibi� una respuesta ACK indicando que el puerto est� abierto y permitiendo el an�lisis del protocolo Http mostrando informaci�n sobre la p�gina de inicio del webmail alojado en apache2.

Fig.7: Monitoreo Wireshark.

4

Fuente: autores, 2021

 

Ataque de hombre en el medio

         Herramienta generadora de tr�fico Cain&Abel

La herramienta Cain&Abel V 4.9.56, se la instal� en un equipo cliente de la red con sistema operativo Windows Xp, como primer paso se descarg� el archivo de instalaci�n y se lo ejecut�, paso seguido aceptamos los par�metros de pol�ticas de licencia y presionamos next, como se observa en la figura 8.

Fig.8: Instalaci�n herramienta Cain&Abel.

Interfaz de usuario gr�fica, Aplicaci�n, Word

Descripci�n generada autom�ticamente

Fuente: Autores,2021

Una vez finalizada la instalaci�n fue necesaria instalar WinpCap, que permite la captura de paquetes. Paso siguiente se ejecut� la herramienta Cain&Abel una vez ejecutada presionamos en el icono de interface para verificar que interface tenemos en nuestro caso usamos la tarjeta de red inal�mbrica, luego pinchamos en la pesta�a Sniffer, dentro de la pesta�a pinchamos en el signo + y seleccionamos un test total de la red, una vez escaneada nos aparecer�n todos los dispositivos conectados a nuestra red, paso seguido en las pesta�as de abaja le damos clic en ARP, en la primera zona de la pantalla le damos clic en el signo + y seleccionamos la IP del router y le damos en OK, empezara a capturar paquetes, luego nos dirigimos al navegador y entramos en una p�gina de prueba en este caso la p�gina del servidor de correo:

http://192.168.1.17/Webmail/src/login.php

Aqu� ponemos nuestro usuario y contrase�a y entramos, ahora vamos a la herramienta y pinchamos en la pesta�a inferior Passwords estando ah� seleccionamos HTTP, y vemos que se ha generado el nombre de usuario la contrase�a y la web, como podemos observar en la figura 9.

 

 

 

 

 

 

 

 

 

 

 

Fig.9: Herramienta Cain&Abel.

5

Fuente: Autores, 2021

Resultados obtenidos

La herramienta nos permiti� almacenar el nombre de usuario, la contrase�a y la direcci�n web generadas desde un cliente, evidenciando un ataque ARP el cual consiste en vincular la direcci�n MAC del atacante con la direcci�n IP del servidor, logrando recibir datos que est�n en tr�nsito, que se acceden mediante la direcci�n IP teniendo como destino el servidor.

���� Utilizando Wirwshark se logr� monitorear los eventos suscitados en el servidor, como podemos observar en la figura 10, se verifica el env�o de paquetes de control SYN, por parte del equipo atacante, obteniendo como respuesta un paquete ACK adem�s se captur� informaci�n sobre la p�gina del servicio de Webmail.

Fig.10: Monitoreo de eventos hacia el servicio Webmail.

6

Fuente: Autores, 2021

 

Ataque de fuerza bruta

         Herramienta generadora de tr�fico Medusa

La instalaci�n de la herramienta medusa se la realizo en el equipo cliente Ubuntu escritorio con sistema operativo Linux, mediante los comandos que se visualizan en la figura 11.

Fig.11: Instalaci�n de la herramienta Medusa.

Texto

Descripci�n generada autom�ticamente

Fuente: Autores,2021

A�adimos el paquete APG que permite generar diccionarios de combinaciones de n�mero s�mbolos y letras, mediante el comando:

root@luis: /home/luisuvidia# apt-get install apg

 

Paso seguido ejecutamos el paquete APG para generar el diccionario que permite realizar el ataque de fuerza bruta con el siguiente comando:

root@luis: /home/luisuvidia# apg �m 3 �x 4 �n 9999 >> password.txt

 

En donde �m detalla el n�mero m�nimo de caracteres que se aplican a las contrase�as generadas, -x n�mero m�ximo de caracteres que se aplican a las contrase�as generadas, -n indica la cantidad de contrase�as que se van a generar y password.txt representa el nombre del archivo el cual va a contener las contrase�as.

���� Ejecutamos la herramienta sobre el servidor 192.168.1.17, esta a su vez mediante el protocolo POP3 trata de identificar al usuario1 mediante los comandos �h, que determina el host, -u, representa al usuario al que procede el ataque, -P, indica la ubicaci�n del diccionario de contrase�as y �F, permite detener el ataque una vez encontrada la contrase�a correcta. Logrando como resultado la obtenci�n del nombre de usuario y la contrase�a, como lo detalla la figura 12.

 

Fig.12: Ejecuci�n del ataque.

Interfaz de usuario gr�fica, Texto

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

 

Resultados obtenidos

Se realiz� un monitoreo aplicado al servidor 192.168.1.17 con la herramienta Wireshark en la cual se puede evidenciar los intentos por parte del equipo atacante tratando de probar contrase�as aleatoriamente, hasta lograr descifrar la contrase�a correcta que en nuestro caso es 1560luis, logrando que el protocolo pop3 permita el acceso mediante la informaci�n C: PASS 1560luis y S: + OK logget in. Como podemos ver en la figura 13.

Fig.13: Descubrimiento de usuario y contrase�a.

7

Fuente: Autores,2021

 

Ataque de denegaci�n de servicios dos

Los ataques de DoS se realizaron, con el objetivo de saturar el servidor Web mediante las siguientes herramientas:

         Herramienta generadora de tr�fico Hping3

Se procedi� con la instalaci�n de la herramienta Hping3 en el equipo cliente Ubuntu escritorio, mediante la siguiente l�nea de comandos:

root@luis: /home/luisuvidia# apt-get install hping3

 

Una vez instalada la herramienta se ejecut� los siguientes comandos, -p, indica el puerto al que se va a inyectar tr�fico, -S, inicializa la bandera de paquetes SYN, --flood controla la velocidad de inyecci�n de los paquetes ordenando a hping3 que inyecte con la m�xima velocidad al servidor 192.168.1.17, -d, determina la extensi�n del paquete en bytes, esto lo podemos apreciar m�s detallado en la figura 14.

Fig.14: ejecuci�n del ataque mediante hping3.

Interfaz de usuario gr�fica, Texto

Descripci�n generada autom�ticamente

Fuente: Autores,2021

Resultados obtenidos

Se monitoreo el servidor IP: 192.168.1.17 con la herramienta Wireshark en la cual se puede evidenciar la gran cantidad de paquetes enviados por parte del equipo atacante que lleva la IP: 192.168.1.16 hacia el servidor se puede observar que al momento de detener el ataque se han enviado 35520 paquetes mediante el puerto 80 de salida a la web, en la figura 30 se observa con m�s detalles.

Fig.15: Resultados del ataque.

8

Fuente: Autores,2021

 

         Herramienta generadora de tr�fico Perl

Se procedi� con la instalaci�n de la herramienta Perl en el equipo cliente Ubuntu escritorio, mediante la siguiente l�nea de comandos:

root@luis: /home/luisuvidia# apt-get install perl buil-essential curl

 

Una vez instalada la herramienta se procedi� a descargar un script que controla la saturaci�n del servicio Web mediante el puerto 80 dicho script est� escrito en lenguaje de programaci�n C++. Posteriormente se ejecut� los siguientes comandos, Ddos.pl, el cual posee el script para ejecutar el ataque, -dns, establece la direcci�n IP del servidor que va a ser atacado y �port, determina el puerto al cual se pretende colapsar con tr�fico, esto lo podemos ver m�s detallado en la figura 16.

Fig.16: Proceso de ataque DoS.

Texto

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Ataque a la web (phishing)

El ataque phishing es cuando alguien clona una p�gina y la utiliza para recabar datos se procede a demostrar dicho ataque con la utilizaci�n del sistema operativo Kalilinux implementado en la m�quina de uno de los clientes de nuestra red el cual posee distintas herramientas para generaci�n de ataques una de las cuales es:

         Herramienta SetTokit

Es una herramienta de ingenier�a social hecha espec�ficamente para ataques de phishing, como primer paso se procedi� a ingresar a la m�quina virtual KaliLinux y posteriormente a la pesta�a aplicaciones luego a herramientas de explotaci�n y luego hacemos clic sobre SE, en la figura 17 podemos apreciar la interfaz de SET la cual se basa en men�s y est� desarrollada en lenguaje de programaci�n python.

Fig.17: Selecci�n de la herramienta SET.

9

Fuente: Autores, 2021

Una vez puesta en marcha la herramienta se procede a seleccionar la opci�n 1 que contiene una serie de submen�s con una lista de ataques que se pueden efectuar, a continuaci�n, se escoge la opci�n 2 (Vector de ataque a sitio Web), paso seguido se selecciona la opci�n 3 (M�todo de ataque de credenciales), luego se selecciona la opci�n 2 (clonar sitio) la cual especifica la clonaci�n de una direcci�n Web, luego nos pide una direcci�n IP de redireccionamiento esta direcci�n es la que se la va enviar a la v�ctima en nuestro caso la pusimos 192.168.1.20 y finalmente se ingres� la URL del sitio Web a clonar, como se observa en la figura 18.

10Fig.18: Resultado de Ataque phishing.

 

 

 

 

 

 

 

 

Fuente: Autores, 2021

Para hacerle m�s real el ataque se opt� por enviar la direcci�n IP falsa mediante correo electr�nico, de tal manera que la v�ctima piense que se trata de un correo propio de la empresa y caiga en el ataque phishing, para esto se seleccion� la opci�n (e-mail attack single email address), en donde se ingres� el correo electr�nico de la v�ctima, adicionalmente se ingres� el correo del remitente y se elabor� el asunto del mensaje y el contenido del mismo, adem�s se incluy� la IP falsa 192.168.1.20 a la cual va acceder la victima una vez que lea el mensaje, finalmente la herramienta Social Engineering atack (SET) se encargara de enviar el mensaje como podemos apreciar en la figura 19.

Fig.19: Cuerpo del mensaje a ser enviado a la v�ctima.

11

Fuente: Autores, 2021

Posteriormente, para corroborar el env�o del ataque revisamos el correo electr�nico simulando que somos la v�ctima, en la figura 20 podemos apreciar el mensaje recibido con el remitente Departamento de comunicaciones, el asunto Cambio de seguridad y la direcci�n IP a la cual se efectuar� el Phishing.

Interfaz de usuario gr�fica, Texto, Aplicaci�n

Descripci�n generada autom�ticamente

Fig.20: Correo electr�nico recibido.

Fuente: Autores,2021

Una vez que la v�ctima ingresa a la direcci�n IP enviada, se abre la p�gina Web que clonamos, permitiendo de esta manera confundir a la v�ctima, una vez en la p�gina fueron ingresados los datos de usuario (usuario1) y la contrase�a (1560luis), como se aprecia en la figura 21.

Fig.21: P�gina Web clonada.

Interfaz de usuario gr�fica, Texto, Correo electr�nico

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Al momento que la v�ctima hace clic en (Login), el navegador r�pidamente redirige a la p�gina Web original.

Resultados obtenidos

Una vez terminado el proceso del ataque la herramienta SET almaceno los datos obtenido de la v�ctima y se visualizaron en el panel de control de la consola del atacante, adem�s se cre� un archivo de texto llamado CLAVES en la carpeta ra�z de instalaci�n de la herramienta, el cual contiene el nombre de usuario y contrase�a de la v�ctima, como lo podemos ver en la figura 22.

Fig.22: Archivo generado por SET.

13

Fuente: Autores, 2021

Adicionalmente en la herramienta Wireshark se aprecia los continuos procesos de redireccionamiento de la p�gina, desde la direcci�n IP falsa: 192.168.1.20 hasta la direcci�n IP: 192.168.1.17 del cliente, como podemos observar en la figura 23 los eventos identificados.

 

 

 

 

Fig.23: Eventos visualizados con Wireshark.

Tabla

Descripci�n generada autom�ticamente con confianza baja

Fuente: Autores, 2021

Propuestas para contrarrestar ciberataques

Control de ataque de escaneo de puertos

Para hacer frente al ataque de escaneo de puertos, se realiz� la implementaci�n de la herramienta ESET Smart Security 9 dentro del equipo cliente de Microsoft, dicha herramienta posee la capacidad de contrarrestar amenazas de nivel de red (malware), sistema de bloqueo de intrusos a trav�s del Host (HIPS), protecci�n contra ataques basados en scripts, adem�s mayor n�mero de capas especiales de protecci�n ante ataques de cibercriminales. En la figura 24 podemos visualizar la herramienta de protecci�n.

Fig.24: Smart Security 9.

Interfaz de usuario gr�fica, Texto, Aplicaci�n, Correo electr�nico

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Por otra parte, como medida de seguridad para el cliente Linux se implement� un potente cortafuego llamado UFW, el cual est� desarrollado para abrir y cerrar puertos al momento de arrancar el sistema, otra de las ventajas es que solo se lo modifica con permisos de administrador con esta ventaja, cualquier intruso no puede hacer modificaciones en la herramienta, esto es posible gracias a la configuraci�n de Iptables que habilita (ACCEPT) o deshabilita (DROP) puertos, las configuraciones que le aplicamos se pueden observar en la figura 25.

Fig.25: Configuraci�n de las Iptables.

Interfaz de usuario gr�fica, Texto, Aplicaci�n, Correo electr�nico

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

 

Resultados Adquiridos

Se volvi� a ejecutar la herramienta Look@LAN para escaneo de puertos la cual dio como resultado que ning�n puerto est� habilitado ya que anteriormente procedimos a deshabilitar el acceso a los puertos de los protocolos smtp, pop3, imap3, mysql, como podemos observar en la figura 26.

Fig.26: Herramienta Look@LAN sin resultados.

Interfaz de usuario gr�fica, Aplicaci�n, Tabla

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

De la misma manera de ejecuto la herramienta Nmap o Zenmap, evidenciando el mismo resultado de la herrameinta anterior la cual no arrojo ninguna informacion sobre el escaneo de puertos como se observa en la figura 27.

Fig.27: Ejecuci�n de la Herramienta Zenmap sin resultados

Interfaz de usuario gr�fica, Texto, Aplicaci�n, Correo electr�nico

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Finalmente se ejecut� la herramienta Wireshark para evidenciar el rechazo de las conexiones que intentaban ser establecidas por parte de las herramientas Look@LAN y Nmap las mismas que fueron controladas en la configuraci�n de las Iptables, en la figura 28 se observa el proceso de intentos de conexi�n.

Fig.28: Intentos fallidos de conexi�n.

Tabla

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Control de ataque de hombre en el medio

Se busc� alternativas de control para este ataque y una de las cuales es la herramienta ESET Smart Security con su sistema de an�lisis en tiempo real se logr� detectar una advertencia donde nos indicaba que se localizaron varias amenazas potencialmente peligrosas, entre ellas los archivos de ejecuci�n de Cain&Abel que lleva extensi�n ejecutable (.exe), cabe destacar que la herramienta permite aplicar acciones de eliminar, desinfectar o dejar sin acciones, como podemos observar en la figura 29.

 

 

Fig.29: Advertencia amenazas encontradas.

Interfaz de usuario gr�fica, Texto, Aplicaci�n

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Por otro lado, en el servidor Ubuntu Linux se aplic� la herramienta ARPWATCH, la cual tiene la capacidad de emitir alertas en el preciso instante que el servidor se encuentra en proceso de un potencial ataque por parte de un equipo extra�o a la red. Dicha alerta la realiza mediante el env�o de correos electr�nicos a una cuenta que se le asocie, en nuestro caso la configuraci�n que la realizamos fue la siguiente:

Eth0 �a �n 192.168.1.1/24 �m usuario1@luvidia.simplesite.com

Finalmente se recibi� el correo de aviso de que un equipo con la direcci�n Ip: 192.168.1.18 en nuestro caso un equipo cliente de la red, intent� acceder al servidor Ubuntu, indic�ndonos la fecha y la hora del suceso, como se aprecia en la figura 30.

Fig.30: Correo de notificaci�n de posible ataque.

Interfaz de usuario gr�fica, Texto, Correo electr�nico

Descripci�n generada autom�ticamente

Fuente: Autores,2021

 

Control de ataque de fuerza bruta

Para el control de ataques de fuerza bruta, se realiz� la configuraci�n de acceso a los puertos mediante las IPtables del equipo servidor Ubuntu, gracias a esto se pudo controlar el acceso a los puertos, para confirmar el correcto funcionamiento realizamos una prueba de ataque con la herramienta Medusa, pudimos ver que nos muestra un mensaje que dice que el puerto 110 (puerto del protocolo TCP que proporciona el servicio pop3) se encuentra inhabilitado y de esta forma deja de establecer comunicaci�n y finaliza la ejecuci�n, como se ve en la figura 31.

Fig.31: Ataque fallido con Medusa.

Texto

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Control de ataque de denegaci�n de servicios

Para el control de ataques de fuerza bruta, se realiz� la configuraci�n de acceso a los puertos mediante las Iptables del equipo servidor Ubuntu, gracias a esto se pudo controlar la generaci�n reiterada de tr�fico hacia el servidor Web, para esto se a�adi� unas l�neas de c�digos las cuales cumplen la funci�n de deshabilitar la conexi�n si detectan que se ha suscitado varios intentos de conexi�n, como podemos observar en la figura 32.

 

 

 

 

 

Fig.32: Intento fallido de conexi�n con el servidor Web.

Texto

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Finalmente se probo con la herramienta NetTools la misma que se evidencio que no se puede acceder al servidor Web debido a la restriccion que se le configuro en la Iptables, en la figura 33 se obseva el intento fallido de conexi�n.

Fig.33: Intento fallido de ataque DoS mediante Nettools5

Interfaz de usuario gr�fica, Texto, Aplicaci�n, Correo electr�nico

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Control de ataque a la web (phishing)

Mediante el control de reglas del cortafuego UFW se pudo establecer un control total por parte del equipo servidor al generar un rango de direcciones IP que poseen permiso para ingresar a la comunicaci�n con el servidor, como vemos en la figura 34, aqu� nos muestra la regla que deshabilita el ingreso al puerto 80 desde un equipo externo hacia el servidor.

 

 

Fig.34: Regla de denegaci�n de acceso al puerto 80.

Interfaz de usuario gr�fica

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

Al intentar realizar el ataque phishing desde el atacante externo en nuestro caso el cliente KaliLinux, fue imposible lograr establecer la conexi�n hacia el servidor Web, para poder capturar la informaci�n del contenido de la p�gina Web v�ctima del ataque, en la figura 35 podemos observar el error que genera la herramienta SET al intentar comunicarse con el servidor

Fig.35: Intento fallido de conexi�n mediante SET..

Texto

Descripci�n generada autom�ticamente

Fuente: Autores, 2021

 

Conclusiones

         Se realiz� la construcci�n y dise�o de la red IP en el equipo anfitri�n conformada por un equipo servidor basado en el sistema operativo Ubuntu, tres equipos clientes y un equipo enrutador, se logr� obtener simulaciones reales mediante el uso de la herramienta Virtual Box gracias a su optimo desempe�o, adem�s se logr� efectuar diversos ataques a la red de entre los cuales est�n, el escaneo de puertos, fuerza bruta, hombre en el medio, y el phishing, por otro lado se comprob� los an�lisis obtenidos mediante la herramienta Wireshark la cual permiti� localizar los puertos, el protocolo y el equipo atacante utilizados para efectuar el ataque, logrando identificar las vulnerabilidades del servidor y de la red IP virtualizada.

         Finalmente se aplicaron soluciones de control en los equipos, a trav�s de la herramienta ESET smart security 9, el cual filtro ataques mediante el m�dulo de cortafuegos programable brind�ndonos la opci�n de eliminar o bloquear las potenciales amenazas, adicionalmente se implement� un cortafuegos generado a trav�s de Iptables dentro del servidor Ubuntu, como complemento adicional se instal� la aplicaci�n ARPwhatch la cual env�a al administrador un correo electr�nico en el momento que alguien intenta atacar el servidor Ubuntu, de esta manera pudimos contrarrestar los ataques generados.

         Partiendo del presente estudio se platea promover la generaci�n de desarrollo, como base para futuros an�lisis a medida del avance de la tecnolog�a y el pasar de los a�os con futuros ataques, adem�s, es un sustento te�rico para implementaciones en un entorno empresarial de datos real, ya que contiene puntos importantes como las posibles amenazas y ataques que puede ser v�ctima.

 

Referencias

1.      C. Vialfa, �Introducci�n a la seguridad inform�tica,� Ccn, 15 Octubre 2016. [En l�nea]. Available: http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica. [�ltimo acceso: 15 Junio 2017].

2.      M. A. Casta�eda Vasquez, �Sistemas Operativos,� blogspot, Agosto 2011. [En l�nea]. Available: http://ingenieria-sistemas-sistemas-opera.blogspot.com.es/p/seguridad-informatica_15.html. [�ltimo acceso: 18 Junio 2017].

3.      S. A. Kaabi, N. A. Kindi, S. A. Fazari y Z. Trabelsi, �Virtualization based ethical educational platform for hands-on lab activities on DoS attacks,� de Global Engineering Education Conference (EDUCON), 2016 IEEE, Abu Dhabi, 2016.

4.      T. Zseby, F. I. V�zquez, A. King y K. C. Claffy, �Teaching Network Security With IP Darkspace Data,� IEEE Transactions on Education , vol. 59, n� 1, pp. 1-7, 2016.

5.      J. Keller y R. Naues, �A Collaborative Virtual Computer Security Lab,� de e-Science and Grid Computing, 2006. e-Science '06. Second IEEE International Conference on, Amsterdam, 2016.

6.      M. S�nchez G�mez, �Infraestructuras Cr�ticas y Ciberseguridad,� 6 Julio 2011. [En l�nea]. Available: https://manuelsanchez.com/2011/07/06/infraestructuras-criticas-y-ciberseguridad/. [�ltimo acceso: 17 Junio 2017].

7.      G. Vani, �SlideShare,� 28 Diciembre 2013. [En l�nea]. Available: https://es.slideshare.net/gio_vani/scanners-29542462. [�ltimo acceso: 18 Junio 2017].

8.      J. Vivancos P�rez, �Seguridad,� Seguridad y Alta Disponibilidad, 2012. [En l�nea]. Available: http://dis.um.es/~lopezquesada/documentos/IES_1213/SAD/curso/UT4/ActividadesAlumnos/13/herramientas.html. [�ltimo acceso: 23 06 2017].

9.      L. Paus, �Welivesecurity,� 2 Febrero 2015. [En l�nea]. Available: https://www.welivesecurity.com/la-es/2015/02/02/manipulando-paquetes-hping3/. [�ltimo acceso: 18 Junio 2017].

10.  F. Pri��ez G�mez, �Formaci�n Profesional a trav�z de internet,� I.E.S Mar de C�diz, 8 Septiembre 2016. [En l�nea]. Available: http://fpg.x10host.com/VirtualBox/qu_es_la_virtualizacin.html. [�ltimo acceso: 18 Junio 2017].

11.  M. Ferrer Amer, �rootear,� rootear, 19 Agosto 2013. [En l�nea]. Available: https://rootear.com/virtualizacion/como-utilizar-virtualbox. [�ltimo acceso: 18 Junio 2017].

12.  b. Boss, �Syconet blog de inform�tica y redes,� Syconet, 7 Julio 2012. [En l�nea]. Available: https://syconet.wordpress.com/2012/07/07/introduccion-al-servidor-de-correo-postfix/. [�ltimo acceso: 7 Junio 2017].

13.  E. Fum�s Cases, �Apache HTTP Server: �Qu� es, c�mo funciona y para qu� sirve?,� ibrugor, 11 Junio 2014. [En l�nea]. Available: http://www.ibrugor.com/blog/apache-http-server-que-es-como-funciona-y-para-que-sirve/. [�ltimo acceso: 19 Junio 2017].

14.  M. A. Alvarez, �phpMyAdmin,� desarrolloweb.com, 19 Julio 2002. [En l�nea]. Available: https://desarrolloweb.com/articulos/844.php. [�ltimo acceso: 20 Junio 2017].

15.  H. Hern�ndez , �Definici�n y principales caracter�sticas de Joomla,� Hostname, 26 Noviembre 2012. [En l�nea]. Available: https://www.hostname.cl/blog/que-es-joomla. [�ltimo acceso: 20 Junio 2017].

 

 

 

 

� 2021 por los autores. Este art�culo es de acceso abierto y distribuido seg�n los t�rminos y condiciones de la licencia Creative Commons Atribuci�n-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/)

Enlaces de Referencia

  • Por el momento, no existen enlaces de referencia
';





Polo del Conocimiento              

Revista Científico-Académica Multidisciplinaria

ISSN: 2550-682X

Casa Editora del Polo                                                 

Manta - Ecuador       

Dirección: Ciudadela El Palmar, II Etapa,  Manta - Manabí - Ecuador.

Código Postal: 130801

Teléfonos: 056051775/0991871420

Email: polodelconocimientorevista@gmail.com / director@polodelconocimiento.com

URL: https://www.polodelconocimiento.com/