PFsense: firewall perimetral (II)

En esta segunda parte se explican las configuraciones previas a la utilización del firewall.

Recordemos el artículo anterior, donde las configuraciones de las interfaces quedaban de este modo:

Pues ahora hay que cambiar la interfaz de red del Anfitrión (máquina real no virtualizada), para que se pueda acceder vía web a pfsense. En este caso podemos acceder desde una dirección IP perteneciente a la red interna (192.168.1.0/24), quedando así la configuración de la interfaz del anfitrión:

Para acceder solo debemos poner en el navegador http://192.168.1.2 e introducir las credenciales por defecto. Usuario “admin” y Password “pfsense”.

Nos aparecerá una ventana como esta:

La primera vez que se entra, se accede a un “Wizard”, es decir a una configuración paso a paso:

La primera parte es donde se configuran las direcciones de los Servidores DNS, el nombre de la máquina y el nombre del dominio, en este caso se configura con las DNS de Google.

El dominio llamado en este caso “mired”, facilita mucho las cosas a la hora de acceder a un equipo, ya que podemos comunicarnos por ejemplo con un equipo llamado “oficina”, poniendo únicamente oficina.mired, o en este caso para acceder a pfsense en lugar de poner http://192.1681.2 se puede poner http://pfsense.mired.

En esta misma página de configuración existen otras opciones que en este caso no nos hacen falta como es la configuración PPOE. En el caso de que queramos conectar un router en modo “bridge”, es decir que tenga NAT deshabilitado y todo el tráfico vaya directo hacia el firewall pfsense, pero este no es el caso.

Por último la sincronización de la hora y fecha del equipo se hace a través de un servidor ntp, podemos elegir la zona horaria, en este caso la de Madrid:

Seguidamente, una vez que procedemos a dar “next” se pasa a la configuración de las interfaces previamente seleccionadas antes en la configuración.

La primera interfaz (WAN), la interfaz que se conecta a internet (vinculada a la interfaz wlan0 del anfitrión), está configurada por DHCP, siempre se podrá configurar de forma estática, simplemente deberá coincidir con el rango de esta red (192.168.0.0/24).

En la configuración general es importante incluir la dirección MAC de la interfaz WAN, es decir en este caso la MAC de wlan0. Si pfsense estuviera conectado a un router, deberíamos poner la MAC de la boca de red a la que está conectada el router, para evitar posibles ataques de tipo “spoofing”.

En la parte de abajo aparece una opción llamada “Block logonnetworks”, si esta opción está activada, se bloquearán redes a través de la interfaz WAN que sean de tipo privado, es decir, no dejará que una dirección IP de fuera del tipo 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, y 169.254.0.0/16, entre a través de WAN.

Configuración de la red interna:

El último paso es cambiar la clave de acceso web, algo muy recomendable.

Al terminar la configuración, pfsense muestra una “Dashboard”, donde se muestra un resumen de la configuración, de la carga de CPU y memoria utilizada y el estado de las interfaces de red.

En el siguiente artículo se profundizará más en la configuración avanzada de pfsense.

PFsense: firewall perimetral (I)

En este primer artículo vamos a explicar la instalación de este firewall basado en FreeBSD (), así como las múltiples opciones de instalación de paquetes que contiene. PFsense deriva de otra distribución anterior llamada monowall, más centrada en instalación de equipos embebidos (se ejecuta por completo en memoria RAM), ya que PFsense se puede instalar prácticamente en cualquier PC y tiene la capacidad de poder ser instalado en un disco duro.

Entre las funciones más destacables de PFsense se encuentran:

  • Firewall: Filtrado (por IP, protocolo, puerto etc…), Limitación de conexiones, enrutamientos por regla, creación de alias.
  • Tabla de estado: informa del estado de los servicios y conexiones.
  • NAT (Network Address Translation): con cuatro tipos de configuraciones.
  • Multi-WAN: Se pueden agregar varias conexiones de Internet con diferentes proveedores para poder usar balanceo de carga, usándose para distribuir equitativamente el ancho de banda o utilizar otra conexión en caso de que un ISP falle.
  • Servidor VPN: con OpenVPN, IPsec o PPTP.
  • PPPoE Server.
  • Gráficos RDP.
  • Soporte de DNS dinámico.
  • Servidor DHCP.
  • Portal cautivo, servidor Radius, Proxy Squid, IDS/IPS Snort etc.

[Read more…]

Crónica Rooted CON – Día 3

Post escrito en colaboración con Manuel Bermúdez Casado.

El tercer y último día de la Rooted empezó con una interesante charla de Manu Quintans (@Groove) y Frank Ruiz (@francruar) “50 shades of crimeware” que trataba sobre las nuevas técnicas de robo de tarjetas. Contaron cómo los criminales se organizan, venden malware y números de tarjetas. Profundizaron en los nuevos tipos de malware especializados en TPV y como este malware es capaz de infectar un TPV de cualquier establecimiento y enviar directamente los datos de las tarjetas a Internet.

Seguidamente, la ponencia “Profundizando en la seguridad de la aviación” nos mostró las nuevas investigaciones de Hugo Teso (@hteso) sobre la seguridad en la aviación. Hugo Teso lleva unos años investigando sobre la seguridad en aviones comerciales. Nos explicó que los aviones disponen de diferentes ordenadores y nos mostró cómo éstos se actualizan en ocasiones por medios inseguros como redes Wi-Fi o 3g. Esta charla dejó de manifiesto la poca atención que se presta en temas de seguridad informática en la aviación. Aunque sus investigaciones no han sido probadas en entornos reales por los peligros que esto conlleva, sí que se han realizado pruebas con drones, simulando casi a la perfección entornos reales.

Tras un pequeño descanso los ponentes José Pico y David Pérez, cofundadores de la empresa layakk, (@layakk) exponen un tema desconocido para muchos: “atacando 3G”. A través de una meticulosa investigación y una gran explicación con muchos detalles técnicos relatan las inseguridades de la comunicación por UMTS, o tecnología 3G. A pesar de que esta tecnología es mucho más segura que la tecnología 2G anterior, sigue heredando las deficiencias de GSM, por lo tanto forzando a que el usuario solo use 2G, se puede volver a conseguir efectuar diversos ataques como denegación de servicio o la localización de un dispositivo (si el atacante se encuentra en un radio no mayor a 3 km) o la interceptación de la comunicación.

En la siguiente charla Handware hacking: Si hay un ‘input’ hay peligro” Borja Berástegui (@Bberastegui) nos muestra cómo acceder a los sistemas operativos de los paneles de información que se encuentran expuestos al público. Estos paneles son cada vez más populares y están localizados en multitud de lugares públicos como aeropuertos y oficinas de turismo. Los paneles disponen de una pantalla táctil y una aplicación que corre a pantalla completa impidiendo así que cualquier usuario pueda acceder al sistema operativo. Las técnicas de Borja Berástegui consisten en provocar excepciones en la aplicación para acceder al sistema.

Después de comer Juan Vázquez(@_juan_vazquez_) y Julián Vilas (@julianvilas) con su ponencia “Tú a Boston Barcelona y yo a California Tejas. A patadas con mi SCADA!”, explican las deficiencias en la seguridad de sistemas críticos SCADA y PLCs. Muchos de estos sistemas de carácter industrial se implantan en zonas de vital importancia como el sector energético, por ejemplo. En este caso la demostración se hace emulando el modelo del fabricante yokogawaCETUM CS 3000 R3. Sistemas donde se usan versiones del sistema operativo Windows XP SP2 o en algunos casos incluso Windows 2000, con fallos en las configuraciones como directorios compartidos con todos los permisos, firewalls desactivados, vulnerables a varios tipos de exploit. Para terminar se hace una demostración usando metaexploit sobre uno de estos sistemas.

Seguidamente Aladdin Gurbanov, en su ponencia “Magnetic Road” nos enseña la facilidad para clonar tarjetas con banda magnética. Lo hace de una manera divertida y amena y además su acento ruso y los vídeos que expone grabados con su propio móvil, en situaciones cotidianas (pagando el desayuno o el parking con una tarjeta clonada), consiguen hacer sonreír a todos los asistentes. Aladdin explica la facilidad que existe para comprar un clonador de tarjetas ya que se puede conseguir en ebay por unos 50 euros. Incluso las pegatinas holográficas de las tarjetas bancarias se pueden pedir a China por un precio muy barato. En conclusión la falsificación de tarjetas es un juego de niños.

Tras un pequeño descanso Raúl Siles (@dinosec) continúa deleitándonos con los fallos de seguridad de los sistemas IOS, este año con la ponencia “iOS: Regreso al futuro”. Raúl pone en entredicho el sentido de las actualizaciones obligatorias en un sistema IOS, donde explica la manera de evadir esas actualizaciones. Referenciando la película «Regreso al futuro», hace un símil con la manera de engañar a un dispositivo, y hacerle creer que ya está actualizado cuando en realidad no lo está. Esto plantea inseguridades tan relevantes como, por ejemplo, el poder aprovechar un fallo de seguridad en un dispositivo por no estar actualizado desde hace mucho tiempo; y el usuario ni siquiera lo sabe porque su propio dispositivo le indica que si lo está. Para ello Raúl usa un script hecho en python llamado Iproxy con dos técnicas, una temporal y otra persistente, llamadas “StarWars” y ”Matrix”. A pesar de que estos fallos han sido reportados a Apple, no hay confirmación de su solución a día de hoy.

La última ponencia del día fue a cargo de Jaime Sánchez (@segofensiva) y Pablo San Emeterio (@psaneme), la charla “WhatsApp: mentiras y cintas de video” trataba sobre las inseguridades de WhatsApp, Snapchat y Viber. Sobre WhatsApp cabe destacar la inseguridad en sus comunicaciones y lo fácil que es suplantar la identidad en diferentes mensajes. Snapchat es una aplicación muy usada en EEUU y consiste en compartir imágenes con otros usuarios. En la investigación de esta aplicación Jaime Sánchez y Pablo San Emeterio demostraron cómo se podía suplantar la identidad de los usuarios, llegando incluso a suplantar la identidad del propio CEO de Snapchat.

Por último y ya que se cumplía el quinto aniversario de la Rooted se repartieron premios a los ponentes mejor valorados:

NighterMan (muy recomendable su charla Live Free or Die Hacking de la Rooted de 2012).
2º David Pérez y José Picó
3º Raúl Siles
4º Juan Antonio Calles y Pablo González
5º Roberto Baratta

Intro al escáner de web Nikto (II)

Siguiendo con la entrada de ayer Intro al escáner de web Nikto (I) vamos a seguir con la introducción al escáner web de Nikto.

Usando Nikto
Como ejemplo voy a usar Nikto contra un servidor Web que tengo algo desactualizado, recalcando los datos más significativos:

perl nikto.pl -h mipaginaweb.com-Cgidirs -evasion -mutate 1 -mutate 2  -mutate 4 
     -mutate 5 -T 012345789abcx6 –p 443,80 -Format html -output resultado_nikto1

[Read more…]

Intro al escáner de web Nikto (I)

Nikto, ahora llamado “nikto2”, ya que va por su versión 2.1.5, es un escáner gratuito de vulnerabilidades web, de tipo Open Source, con licencia GPL. Entre otras características:

    Soporta SSL y una configuración para usarlo a través de un proxy. Comprueba la existencia de elementos desfasados en un servidor.
    Tiene la posibilidad de exportar un informe en formato csv, html, xml etc…
    Permite escanear los puertos de un servidor a través de nmap
    El tipo de escaneado se puede modificar o “tunear” para excluir las vulnerabilidades que no nos interesen.
    A pesar de que la última versión estable salió en diciembre de 2012, es un escáner que se sigue usando por sus ventajas y utilidades.

Existen variaciones como MacNikto para mac y wikto para Windows. En este artículo se usa la versión de Linux. Lo podemos descargar en el siguiente enlace.

Primero veremos la información de configuración del programa, obtenida parcialmente de la ayuda de Nikto y de otros recursos como el Manual de Nikto para Kali. En la siguiente entrada pasaremos a ver un ejemplo de ejecución.

[Read more…]

Sistemas «reboot and restore»

Como bien indica el título, existen sistemas que nos pueden hacer la vida mucho más fácil, sobre todo a la hora de administrar múltiples equipos en lugares como universidades, centros públicos etc…

Este tipo de sistemas protegen nuestra máquina obligando a que sea “autista”, esto quiere decir que todo cambio que se produzca en la máquina volverá a ser subsanado tras su reinicio de forma inmediata.

Esto puede dar muchas ventajas, pero poca libertad al usuario que está usando el equipo. Poca libertad porque no va a poder guardar ningún cambio en el equipo, pero si en una unidad de almacenamiento propia, por ejemplo un pen drive USB.

Las ventajas son varias, ya que un usuario poco experimentado puede borrar un archivo de configuración que no debe, o puede infectar la máquina con un virus porque el pen drive que ha introducido estaba infectado, porque ha abierto un correo que no debía o porque ha visitado una URL que era de carácter malicioso y en cada uno de estos casos, se podrá restaurar el sistema inmediatamente.

No hay problema porque siempre que ocurra algo así con solo reiniciar el sistema queda como al principio, es como si se clonara el disco, o discos duros, justo cuando está todo instalado y en perfecto funcionamiento y cada vez que reiniciamos esa imagen se restaurase de nuevo, pero sin esperar.

Estos sistemas se venden en el mercado y los hay de diversos tipos, ya que pueden funcionar únicamente por software, pero los hay que también funcionan por hardware.

¿Dónde es conveniente usar este tipo de sistemas? Pues en universidades, colegios, centros públicos etc…, zonas donde los ordenadores están expuestos a todo tipo de personas.

Existen productos como Custodius:

Este tipo de tarjetas, con conexión PCI, permite la restauración instantánea al reiniciarse el equipo (sólo en sistemas Windows). Para poder hacer cambios en el sistema, sólo hace falta pulsar las teclas ctrl+enter al inicio e introducir la contraseña de administración, entonces se entra en modo supervisor para poder guardar los cambios necesarios.

La restauración no tiene por qué ser sólo instantánea, también puede ser desde un backup o respaldo, y aquí sí que se incluyen sistemas UNIX, Linux y Windows.

La protección se puede hacer sólo de una partición o disco determinado o de todos los discos y particiones que tenga el sistema (soporta hasta 48 particiones y hasta 3 discos). Además es capaz de proteger la BIOS para que no se produzcan cambios en ella.

Obviamente toda esta protección no vale de nada si alguien con un simple destornillador puede extraer la tarjeta, por lo tanto esto tiene que ir acompañado de un sistema de sellado del equipo que impida que se abra la torre del equipo de forma sencilla.

Otra función que contempla es la de SNCOPY, donde un equipo ya configurado es capaz de funcionar conjuntamente con la tarjeta de red y clonarse en otros equipos con las mismas tarjetas, configurando así muchos equipos clonándose la configuración del anfitrión.

Otro producto de características parecidas es Deep Freeze. Funciona sólo por software y de forma parecida a Custodius, ya que al reiniciar el sistema vuelve a restaurar todo. Éste software “congela” la configuración del sistema, pero deja que los cambios por parte del usuario se produzcan por ejemplo en una unidad de red remota o en un espacio “descongelado”.

Esta empresa además presume de poder proteger el MBR (Master Boot Record), de inserciones de rootkits.

Aunque, esto no es del todo cierto, ya que según un artículo publicado en la página http://securitylabs.websense.com/ se hace un análisis sobre una variante de un malware llamado Robot Dog (malware destinado sobre todo a atacar a China y en concreto a cibercafés). Que es capaz de hacer que el software de recuperación no actúe correctamente.

El proceso es algo largo de explicar pero se puede ver en este link.

Con lo cual queda en evidencia la posible efectividad, de este tipo de herramientas que funcionan únicamente vía software, ya que pueden ser vulnerables a los kernel rootkits.

Esto surgió entre el año 2006 y 2008, se buscaron medidas para solucionar el problema en este tipo de software. Entre estas medidas están las llamadas AE: anti-execution., que en resumen vienen a decir que la responsabilidad de lo que se ejecuta en la máquina recae sobre el usuario, con lo cual estamos en las mismas.

De todas maneras este tipo de malware es efectivo si se llega a ejecutar con permisos de administrador, con lo cual es difícil que en un aula o colegio pueda suceder, ya que la mayoría de las veces se estará ejecutando con una cuenta de usuario limitada.

En el caso de tarjetas como Custodius, no deberían ser vulnerables a los kernel rootkits, pero si a los BIOS rootkits. A pesar de que en su web aseguran que protegen la BIOS, existen comentarios en foros de gente que ha actualizado la BIOS del equipo con la tarjeta puesta y que los cambios se han hecho efectivos.

La existencia de BIOS root kits es una realidad, y existen ejemplos como Mebromi (or MyBios), que ataca a BIOS AWARD (Phoenix Technologies).

A pesar de que es difícil que un equipo se infecte con este tipo de rootkit, siempre es conveniente usar sistemas reboot and restore, a modo de complemento.

Por ejemplo si el uso es en un aula universitaria, sólo el encargado del aula debe tener y usar la clave de administrador, la cual solo se usará en caso estrictamente necesario. Por otro lado, solo se usará modo supervisor en caso de necesidad absoluta de instalar un software determinado y a poder ser sin estar conectado a internet (sí en el caso de las actualizaciones de adobe, java o del propio sistema operativo), y por supuesto complementar toda esta seguridad conjuntamente con un firewall personal / antivirus. Además se deberá proteger la entrada en la BIOS mediante un password, así como la entrada en el modo supervisor de nuestro sistema de recuperación, y tener la caja del equipo totalmente sellada para impedir que nos sustraigan la tarjeta PCI o que hagan un clear CMOS.

En caso de que sea estrictamente necesario actualizar la BIOS del equipo, deberá hacerse con sumo cuidado y sólo conseguir el software de la página oficial del fabricante.

Otros sistemas conocidos, son por ejemplo Rollback RX PC que usa un sistema de instantáneas que se pueden recuperar en cuestión de segundos y no consumen casi recursos del sistema. Tiene la posibilidad de cifrar estas instantáneas con cifrado AES 256, para que en caso de robo del equipo, protegernos de que un extraño pueda hacer una restauración.

Otra herramienta conocida es Shadow Defender, que ejecuta el sistema en modo “Shadow mode”, que básicamente lo que hace es virtualizar parte del sistema, justo donde se realizan cambios. En caso de querer volver a un estado anterior, basta con reiniciar el sistema.

Otra opción interesante es Sandboxie actúa de forma parecida a los anteriores, es un sistema tipo sandbox que hace algo parecido a la virtualización por aislamiento, pero en este caso se crea “un contenedor”, donde se ejecutan los programas de aplicación. Además evita la inyección en el kernel de Windows.

En este enlace de YouTube se pueden ver diversas pruebas con varios de los programas mencionados antes, donde se ponen a prueba con virus de diversa índole.

Seguridad Wi-Fi empresarial – Servidores radius (III)

En esta tercera y última parte sobre seguridad Wi-Fi empresarial se detalla como conectar con diferentes clientes, desde varios sistemas operativos al servidor radius.

Primero se empezará a detallar como conectarse desde Windows 7:

Lo primero que hay que hacer es instalar la autoridad certificadora o CA.

De los certificados que se crearon en el artículo anterior tenemos root.pem, que es el que hay que instalar:

[Read more…]

Seguridad Wi-Fi empresarial – Servidores radius (II)

En el capítulo anterior se hizo un resumen de los tipos de configuraciones que se pueden tener en un servidor radius. Ahora se describe la manera de configurar un servidor con Freeradius.

Como no podría ser de otra manera, no nos hacemos responsables del resultado de llevar a cabo las siguientes acciones y modificaciones, así que se recomienda aplicarlas primero sobre entornos no críticos además de no ejecutar nunca un script de una fuente no confiable o que se ignora lo que hace. ¿Somos una fuente confiable? Sí.

La instalación se puede hacer en cualquier sistema Linux. En este caso se ha escogido Debian wheezy. Para instalar Freeradius, primero se deben obtener algunos paquetes que son necesarios:

apt-get install dpkg-dev fakeroot libpam0g-dev libmysqlclient-dev libgdbm-dev libldap2-dev \
   libsasl2-dev libiodbc2-dev bind9 libkrb5-dev libperl-dev libpcap-dev libreadline-dev \
   libsnmp-dev libpq-dev libtalloc-dev libyubikey-dev libsqlite3-dev

[Read more…]

Seguridad Wi-Fi empresarial – Servidores radius (I)

En la actualidad las conexiones inalámbricas se han vuelto algo indispensable a la hora de conectarnos a internet, el aluvión de nuevos dispositivos como móviles, tablets, ebooks etc… Hacen que en casi todo hogar doméstico exista un router con funciones de punto de acceso para poder conectarnos sin cables.

Los motivos que llevan a conectarse sin cables son varios, desde la simple comodidad de no tirar cables por casa, a las características de la infraestructura de una empresa o las propiedades geográficas de un lugar, que no permiten hacer otro tipo de conexión.

En 1999 se asienta la tecnología inalámbrica llamada Wi-Fi, funcionando bajo el estándar IEEE 802.11b, que nos daba una mísera velocidad de 11 Mbps, y donde los dispositivos aún eran únicamente compatibles con el famoso cifrado WEP, el cual usa el algoritmo de cifrado RC4 de 128 bits (104 en realidad) y que fácilmente puede ser roto.

[Read more…]

Ataque al protocolo HSRP

¿Cómo funciona?

El protocolo de Cisco Hot Standby Router Protocol (HSRP) se usa para la conexión entre routers con el fin de evitar fallos en una red, gracias a la redundancia, comprobando el estado de los mismos cada cierto tiempo. Su funcionamiento se basa en que uno de los routers actúa como maestro de los demás y es el encargado de enrutar el tráfico, mientras que los demás actúan como respaldo en caso de fallo del maestro.

Supongamos dos routers, R1 y R2, donde el primero hace de maestro y el segundo de respaldo. Ambos intercambian mensajes de saludo tipo hello, que permiten conocer el estado del otro a intervalos de tiempo pre configurados, usando para ello la dirección de destino multicast 224.0.0.2. La prioridad a la hora de configurar los routers es la que determina quien actúa de maestro y quién no. Si el maestro sobrepasa un tiempo límite en enviar mensajes de saludo al otro, entonces el «esclavo» asume el papel de maestro.

Ataque

El ataque consiste en que si un usuario emula ser un router con máxima prioridad, podría conseguir ser considerado como el maestro, enrutar todo el tráfico y por tanto conseguir un MitM. Veamos un ejemplo.

Imaginemos que R1 (maestro) y R2 (esclavo) tienen la puerta de enlace 192.68.1.1. Ambos tienen la misma porque ofrecen redundancia. Los ordenadores de nuestro escenario están conectados al switch dentro de la red 192.168.1.0/24. La IP del atacante es la 192.168.1.160 además de una IP virtual 192.168.1.1.

Los dos routers están configurados con el protocolo de enrutamiento HSRP en su interfaz Ethernet, donde R2 se configura con una prioridad de 90 y R1 con una de 100 (prioridad por defecto), para que haga de maestro.

Los dos routers intercambian paquetes de saludo con un intervalo de tiempo de 3 segundos. Estos paquetes se envían a la dirección 224.0.0.2 (multicast), con lo cual cualquier host con conectividad en la capa 2 es capaz de leer estos paquetes y averiguar los parámetros de configuración del protocolo. Capturar los paquetes es sencillo, en este caso lo haremos con whireshark en funcionamiento sniffer.

Para instalar whireshark:

apt-get install wireshark

Con esta información el atacante tiene los datos necesarios para convertirse en router maestro. En la captura podemos ver algo como esto:

Para que el atacante se convierta en router activo solo tiene que mandar mensajes de saludo con mayor prioridad. Los datos más importantes que vemos en la captura son:

  • State, donde el estado ha de ser activo y con código 16, lo que comprueba que el saludo se hace desde un router activo.
  • HelloTime, la frecuencia con la que se envía el paquete de saludo, por defecto 3 segundos.
  • Priority, en este caso 100.

Una vez que tenemos la información necesaria sólo queda construir el paquete e inyectarlo para hacernos con el control. Para la construcción del paquete usaremos la herramienta scapy.

El generador de paquetes scapy escrito en phyton nos permite generar paquetes con muchas opciones, aunque nos centraremos en su uso para interferir en diversos protocolos de enrutamiento y ataques a routers. Para instalar scapy tenemos varias opciones. Si disponemos de un sistema Linux que use sistema apt podemos hacer lo siguiente:

apt-get update
apt-get install python-scapy

También podemos bajarlo de la página de Debiano de la página oficial del proyecto. Una vez bajado el paquete, lo instalamos:

dpkg -i python-scapy_2.1.0-1_all.deb 

Ejecutamos el programa y creamos el paquete a inyectar de la siguiente forma:

scapy

Welcome to Scapy (2.1.0)

>>>
>>> ip = IP(src='192.168.1.1', dst='224.0.0.2')
>>> udp = UDP()
>>> hsrp = HSRP(group=1, priority=255, virtualIP='192.168.1.1')
>>> send(ip/udp/hsrp, iface='wlan0', inter=3, loop=1)
...................
Sent 19 packets.

El envío de paquetes se hace cada 3 segundos indefinidamente, mandando mensajes idénticos a los de R1. En este caso wlan0 es nuestra interface wireless, pero debemos cambiar el parámetro por la interface que se esté usando. Si nos fijamos en una captura con whireshark de los paquetes enviados veremos los paquetes hello:

También podemos ver el uso de multicast DNS, ya que no hay ningún servidor DNS instalado:

Ahora R1 pasa de estar activo a estar en modo standby (o modo espera) y R2 pasa a estar en modo speak.

En este momento el enrutador no responderá a las peticiones ARP de 192.168.1.1, por lo que nostros podemos responder las peticiones ARP para la IP 192.168.1.1 y capturar el tráfico de las máquinas de la LAN ya que somos nosotros ahora los que enrutamos, logrando un ataque MitM.

Una solución adecuada para solventar este fallo de seguridad es el uso de cifrado md5 para la comunicación entre routers y así evitar que se inyecten paquetes, ya que aunque se pueda capturar tráfico como antes, no es posible para un atacante puede inyectar los paquetes sin el hash md5 asociado.

Enlaces: