Bueno, este es un texto que encontre en el blog de Seifreed, y traje a indetectables.
Me parece muy interesante para todos los que trabajamos habitualmente en una red lan
y nuestros pass "seguros" aparentemente no lo son tanto.
(Nota:transcribo el texto original)

Muy buenas a todos/as!

Utilizamos hoy en día Internet para muchas cosas, mirar nuestro correo, mantenernos 2. comunicados con la gente, conexiones a bancos etc…

Nadie nos ha enseñado a navegar de manera segura pero conocemos conceptos como:
1. Siempre que vayas a poner datos de carácter personal que la conexión sea segura que ponga HTTPS.
2. Que nos fijemos en la imagen del candadito

Algo así como esto:

HTTPS no es tan seguro como nos creemos, tiene debilidades, haremos una prueba de concepto.

El diagrama de red sería el siguiente


Este es el escenario planteado.

Suponemos que conocemos la IP del atacante.

Habilitamos el Forwanding en la máquina atacante
Ahora mediante ARPSPOOF haremos un ataque man in the middle
Veremos como se hace el ataque de man in the middle
Primero hemos de poner la IP de la máquina a la que atacamos y después la IP del router

Ahora mediante IPTABLES hacemos la redirección de puertos
Ahora activamos SSLSTRIP
sslstrip 0.6 by Moxie Marlinspike running…

Escribiremos todos lo que recojamos de SSLSTRIP en un fichero llamado passwords

Ahora mediante TAIL iremos viendo lo que sale por pantalla

root@bt:~# tail -f passwords

Ahora cuando la máquina atacante acceda a su correo, a GMAIL por ejemplo

Veremos como nos saca el password en texto plano
Y ahí tenemos la dirección de email y la contraseña, este caso lo hemos echo con gmail, probemos por ejemplo con…paypal
Ya hemos visto lo sencillo que es capturar los datos de acceso aunque la conexión sea por HTTPS.

La pregunta es.. ¿ Como saber si estamos sufriendo un man in the middle ?

Una de las maneras sería haciendo un tracert

Como véis primero nos saldría la máquina que no está haciendo el man in the middle y luego nuestro router.

Así que tened cuidadín, desde que ubicaciones accedéis a vuestros datos privados.

Saludos

Fuente :seifreed.com

Muchas gracias por aclararlo de otra buena forma.

Para más info sobre este tema:

http://indetectables.net/foro/viewtopic ... 57&t=19417

No es valido el tracert bajo todas las compañias, lo uso mucho y no para esto.

depuniet escribió:No es valido el tracert bajo todas las compañias, lo uso mucho y no para esto.

compañia???
Estamos hablando de verificar si hay MITM en una LAN....
Si te armas una pequeña RED LAN lo vas a entender... supongo
INICIO - EJECUTAR - cmd - "tracert sitio_cualquiera.com" (sin comillas)
Si la primera ip es de tu router ... vas bien
Si la primera ip es de otra maquina de tu LAN... vas mal.
(No pensé que era tan complicado)

Si te entendido, con el cain lo solucionarias rapidisimo, y de paso le miras algo.
Las compañias que funcionan por fibra, si luego montas una lan, puede ser que al hacerlo te indique los nodos, subnodos, y los compatibles.

Mas facil:

Ayer el Switch dejó de funcionar... no sé si "xxxx" está capando el acceso con estos dispositivos o es que mi Switch ha muerto. Dudo porque el otro día hablé con un instalador de "xxx" y me dijo que la compañía iba a capar los switch para que se compraran los routers Wi-Fi.

Cualquier ISP, CUALQUIERA, te limita a 1 ip pública. Telefónica también. Lo que pasa es que las adsl llevan un router, que automáticamente te reparte ips privadas, y "xxx" te da un modem, y para más inri con salida rj45, con lo cual puedes conectarlo a un switch y tener dos ips públicas.

Pero vuelvo a repetir que eso no es lo normal en una red local. En una red local se tiene una ip pública y un router ofreciendo ips privadas.

Ya no permiten un maximo de ips publicas, asi que en local lo dicho anteriormente.

con el ettercap a "pelo" tambien funciona el MiM.



Salu3

Siempre y cuando la red no este detrás de un switch... si no tendríamos que aplicar ARP Spoofing.