Suplantación del Usuario en un Portal Cautivo

  • Posted on: 9 December 2020
  • By: ReYDeS

Los sistemas de portal cautivo en línea también son responsables de hacer un puente, o encaminar tráfico desde una red no fiable hacia una red fiable en base a la información de la dirección IP (Internet Protocol) o dirección MAC (Media Access Control), para validar previamente a los usuarios autenticados. Conociendo esto, se tiene una oportunidad de evadir la autenticación de un portal cautivo, suplantando a un usuario previamente autenticado, asumiendo su dirección MAC o dirección IP.

Asumir la dirección IP o dirección MAC del usuario es sencillo, si se suplanta un usuario quien está en la red se generarán problemas de conflicto con la dirección IP. Los usuarios Windows y OS X visualizarán una advertencia relacionada con la dirección IP, lo cual puede alertar a los administradores la potencial presencia de un ataque. Por lo tanto un atacante será incapaz de transmitir de manera fiable tráfico, debido a cada respuesta SYN y ACK será inevitablemente reseteado por el usuario siendo suplantando.

Aparte de estas limitaciones, la suplantación del usuario para evadir la autenticación de un portal cautivo, puede ser una técnica útil y algo oculta. Con los sistemas de portal cautivo, algunos usuarios podrían hacer logout cuando finalizan su trabajo, dejando su sesión autenticada. Con la capacidad de suplantar a los usuarios, además de identificar quienes usuarios están inactivos pero autenticados, un atacante puede evadir los retos asociados con la suplantación de un usuario quien sigue presente sobre la red.

Suplantar la dirección MAC

Suplantar la dirección MAC de otro dispositivo es trivial sobre la mayoría de plataformas. En Windows se puede utilizar las propias funcionalidades y características, como también herramientas de terceros, lo cual permite cambiar exitosamente la dirección MAC.

En sistemas Linux se puede utilizar la utilidad de nombre “ifconfig”.

$ sudo ifconfig eth0
$ sudo ifconfig down
$ sudo ifconfig eth0 hw ether 00:01:02:03:04:05
$ sudo ifconfig up

En sistemas Linux muchos controladores requieren la interfaz de red sea configurado en un estado “desactivado”, antes de cambiar la dirección MAC. Una vez se cambia la dirección MAC, se puede volver la interfaz hacia un estado activo, para luego solicitar una dirección DHCP, y obtener la misma dirección IP de la victima dentro de la duración del arrendamiento DHCP.

Algunos controladores como en tarjetas Ethernet e inalámbricas, pueden no respetar ajustes de direcciones MAC alternativas. Consecuentemente es mejor revisar y evaluar cual ajuste o herramienta funciona mejor para cambiar exitosamente la dirección MAC en el entorno.

Fuentes:

https://windowsreport.com/mac-address-changer-windows-10/
https://thegeekpage.com/free-mac-address-changer/
https://linux.die.net/man/8/ifconfig

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete