Foro de elhacker.net

Hola
 
¿ME puede alguien explicar como defenderse de un ataque de man in the middle? A través de certificados pero no llego a entender que no me esten engañando.

Pues que la información pase cifrada

no necesariamente, pueden hacer un certificado falso, recibir todo antes que tu y reenviartelo con un certificado falso solo para que haya candadito

xD, solo he dicho:


Si al que está haciendo el Man In the Middle le sale la información cifrada ya no hay peligro, pero si hace eso que tu has dicho (que yo no tengo ni idea) pues sí, o si te mete un troyano o algo... pero si la información pasa cifrada (para el atacante me refiero) ya no puede ver nada y tendrá que buscarse otras formas como la que has nombrado

Saludos

Por cierto, como se llama ese método SSH spoof o algo así??

Usar SSL no es una solución para prevenir el capturado de tráfico a traves de un MITM, el atacante basta con que spofee el router y cuando la persona ingrese al servidor del atacante este entregue un certificado inválido y cuando el navegador vaya a consultar el certificado a alguna entidad certificadora el equipo del atacante le dirá que el certificado es válido y listo, ahora hechas a correr wireshark y le das el certificado ssl inválido que generaste y con eso ya te pueden capturar el tráfico cifrado.

Prevenir el MITM puede ser mas complejo de lo que se aparenta.

Muy interesante!! Luego miraré vídeos de ejemplo que tengo curiosidad  ;)

si tu lo dices ....

tan sencillo como esto

para cifrar todo el trafico



si solo quieres cifrar el trafico web, pues esto



recomendable leerse este artículo
 (http://warcry.ddns.jazztel.es/articulos-Mitos-del-Túnel-SSH-y-VPN.html)

y si el que hace el MiTM te falsea el servidor vpn y todo el trafico termina pasando por su server de todas formas? (y ahora mejor, porque el MitM te lo puede hacer remoto XD)

Veo que no te has visto los videos, ni te has leido mi articulo.

En resumen, el server es mio, y lo mas importante, los certificados son mios, sin ca publicas o que se puedan suplantar.

La conexion es cifrada punto a punto ( client to client ) donde los dos extremos son mios, si sabes suplantar eso, te agradeceria que pasaras un tuto.

Siempre me he opuesto a usar servicios vpn de terceros, nunca sabes quien hay al otro lado.

La unica manera de que con este sistema client to client me puedan hacer un MITM, es del lado del ISP de mi red de confianza, y si los ISP permiten hacer MITM desde su electronica de red, entonces estamos todos igual de jodidos

si, lo siento no vi los vids... si ambas partes son tuyas, es solido... no hay a donde correr, tendrías que romper las llaves privadas...


si, algún lado está expuesto, la cosa es donde estás mas seguro...

jajajajaja vaya engel lex, te la has liado por no ver los videos antes xD

Pues si, es bastante mas segura pero aun tiene el mismo problema de diseño que una conexión normal y de todas maneras se puede hacer un MITM, en tu esquema falta un punto muy importante y es el punto de conexión entre el pc y el router y del router hacia internet hasta el servidor y del servidor a google (claro, entre el servidor y google hay un switch, firewall, etc), el tema no es que vamos a vulnerar la vpn.

Si te fijas, has tratado de levantar un servicio DNS que no te ha funcionado y tuviste que utilizar los dns manualmente de google, eso sucede porque has pasado el 100% del tráfico por la vpn de manera inclusiva y no exclusiva, cuando configuras openvpn de manera exclusiva usas el servicio dns de tu proveedor de isp y todo el resto pasa por la vpn o solo el rango de ip que tu quieres.

En este caso digamos que estoy en tu red pero tu estas pasando por tu vpn, pero no estas usando los dns del servidor sino de google, por lo cual basta con spoofear el router y cuando quieras ingresar a un sitio de manera segura por primera ves lo que hará tu navegador será consultar el registro A del servidor DNS, en ese momento nuestro servidor de ataque va a servir su propio servicio de DNS con bindns y va a decir.... yo soy 8.8.8.8 y digo que elbanco.com ahora tiene la ip x.x.x.x la cual es la ip del servidor atacante, entonces despues de eso restaura la conexión y suelta al router que estaba cautivo y cuando el navegador intente conectarse a elbanco.com ya tendrá en su caché la dirección ip del atacante y en ves de entrar al servidor del banco estará entrando al servidor del atacante, pero... entra por http o https? como lo hace para validar el certificado?, pues la mayoría de los portales bancarios no utilizan https en el front, solo en el login, asi que si el atacante simula el sitio del banco podrá crear un login sin ssl o es mas, si la cookie del banco no tiene configurado el flag "secure" entonces la cookie se va a enviar sin cifrar y el atacante con esa cookie podrá capturar la sesión de la victima y lo9guearse como el y tomar su sesión bancaria.

Estos casos son bastantes remotos porque el usuario debiera fijarse en el ssl antes de continuar, pero de todas maneras el MITM ya está efectuado porque la vpn no se ejecuta dentro de una red privada sino a traves de una extranet por internet, por lo cual, sigue siendo interceptable en ambos extremos.

Prevenir eficazmente el MITM no es tan facil como se aparenta, por ejemplo dell tiene una vpnssl de hardware muy buena de 1u el cual previene alguno de estos tipos de ataque, esto es una tarea mas que nada de parte del router, el prevenir la compartición de direcciones mac y modo promiscuo, los routers de casa no estan diseñados para eso, por eso en las buenas practicas se recomienda siempre verificar la huella digital de todos los certificados ssl antes de ingresar a un sitio y jamas aceptar certificados por revocación o expirados, hay que tener cuidado con el tipo de cifrado que no sea vulnerable a fuerza bruta como md5, rsa de 1024 hacia abajo, tls 1.0, diffie hellman, etc.

tienes razón WHK, en la configuración que tengo hecha en el vídeo las peticiones dns (puerto 53) las coge de la red no segura, con lo que te podrían hacer un dns spoofing.

la teoría es que incluyendo en la configuración del cliente


las peticiones dns se las haría al server, pero la realidad es que se las sigue haciendo al 8.8.8.8 y por tanto son visibles en un MIMT con wireshark.

no entiendo exactamente donde esta el fallo, creo que es de windows, que detecta que el dns 8.8.8.8 proporcionado por el dhcp del router esta operativo, y ya no permite peticiones dns a otros servidores mientras que el primario no este down.

la solución fácil y rápida es:

te vas a la configuración de red del adaptador que tengas conectado a internet, y pones el dns a mano el de tu server vpn osea en mi configuración 172.168.1.1, ahí dejas totalmente fuera a un atacante haciendo un MINT, ya que ahora si estas pasando todo el trafico por la vpn, y el DNS que te resuelve las peticiones es el de tu casa.

tiene una pega, que si configuras esta opción antes de la conexión, en mi caso que tengo un dyn.dns no es capaz de resolverlo y la vpn no se establece, por lo que primero tienes que establecer la vpn y luego modificar el dns en la configuración del adaptador, el que tenga una dirección ip no tiene ese problema ya que no necesita resolver nada

Os leo y me quedo flipando la cantidad de cosas que sabéis, vaya unos hackers!!!!! (Lo digo enserio, sin ironía)

Saludos!!!