Guía de instalación y configuración

Caín & Abel

Objetivos:

Instalación de Caín.

Instalación de Abel de forma local y remota.

Conocer algunos ataques que se pueden presentar en las redes a través de sniffers como

Caín & Abel.

Requerimientos

Windows XP/Server/7

Permisos de administrador.

Convenciones

Información

Advertencia

Metodología

Teniendo en cuenta que Caín & Abel se encuentra dividido en dos partes, primero se explicara el

proceso de instalación de Caín y luego la de Abel. Seguidamente se implementaran algunos

ataques que se pueden hacer mediante esta herramienta.

Instalación de Caín

Para descargar el programa acceda a la página http://www.oxid.it/downloads/ca_setup.exe donde

se le dará la opción de guardarlo o ejecutarlo.

Luego aparecerá la siguiente ventana:

Presione “Next” para continuar.

Se presentan los acuerdos de licencia, hacemos clic en “Next” para continuar.

Se presenta el directorio de destino predeterminado, si desea cambiarlo haga clic en “Browse”, de

lo contrario presione “Next” para continuar.

Haga clic en “Next” para iniciar la instalación del programa.

Una vez finalizada la instalación, el sniffer solicitará la instalación de WinPCap, el cual permite a las

aplicaciones capturar y transmitir paquetes de red. Caín & Abel es tan solo una de las muchas

aplicaciones que hacen uso de esta herramienta.

Si desea obtener mayor información sobre WinPCap puedo hacerlo a través de

http://www.winpcap.org/

Haga clic en “Install” para proceder con la instalación.

Haga clic en “Next” para continuar.

Presione “Next” para continuar.

Acepte los términos de la licencia haciendo clic en “I Agree”.

Haga clic en “Install” para comenzar la instalación.

Haga clic en “Finish” para terminar.

Instalación Abel

Cuando se instala Caín también se copia Abel, mas no se instala. Debemos instalarlo ya sea local o

remotamente.

Local

Busque en la carpeta destino que usted eligió para guardar el programa, los archivos Abel.dll y

Abel.exe. En esta guía lo guardamos en C:\Program Files\Cain.

Ahora cópielos y péguelos en la carpeta C:\Windows y ejecute Abel.exe para instalar el servicio.

Recuerde que debe tener permisos de administrador para realizar esta operación.

Ejecute services.msc para iniciar el servicio.

Haga clic en “OK” para continuar.

Seleccione el servicio Abel y haga clic en “Start”.

Ahora Abel se está ejecutando.

Remota

Para instalar Abel de forma remota, se hace clic en la pestaña “Network” de Caín.

Al hacer clic en “Entire Network”, aparecerán los dominios existentes:

Ahora buscamos el equipo en el cual queremos instalar Abel teniendo en cuenta el grupo al cual

pertenece. En esta implementación vamos a instalar Abel a un equipo que se encuentra en el

grupo LABORATORIO.

Para conectarnos a la maquina remota damos clic derecho en WINXPXX y seleccionamos la opción

“Connect as”.

Recuerde que en WINXPXX, las últimas XX representan el número del computador en el

que queremos instalar Abel.

Ahora nos aparece una credencial en donde se pide el nombre de usuario y contraseña del equipo

remoto.

Recuerde que debe autenticarse como usuario con privilegios de administrador.

Si aparece un mensaje como el siguiente:

Se debe a que la maquina a la cual le queremos hacer la instalación remota tiene

configurada la política de seguridad “Network Access: Sharing and security model for local

account” en modo “Guest Only”, por lo que al momento de iniciar sesión todos los

usuarios se autentican como invitados, permitiéndoles el acceso a recursos determinados.

Para cambiar esta política hacemos lo siguiente en el usuario remoto que en este caso

sería WINXPXX:

Lo cual nos abre las herramientas Administrativas:

Buscamos “Network Access: Sharing and security model for local account” en modo “Guest

Only” y le damos doble clic para cambiar su configuración.

Damos clic en “Apply” y luego en “OK”.

Ahora volvemos a establecer la conexión desde Caín, colocamos el usuario y contraseña y

continuamos con la instalación.

A continuación damos clic derecho en “Services” y nos muestra la opción de instalar Abel.

En este momento se copian los archivos Abel.exe y Abel.dll de manera transparente para el

usuario y se completa su instalación automáticamente, como vemos en la siguiente imagen.

Finalmente Abel se encuentra instalado en el equipo remoto.

CONFIGURACIÓN DE CAÍN PARA REALIZAR DNS SPOOFING

DNS Spoofing hace refencia a un ataque en donde el objetivo es llevar al usuario a una

página o un servidor diferente al que realmente desea, y de esta forma poder divertirnos

un rato u obtener información personal de este usuario. Para lograrlo, lo que se hace es

modificar la respuesta que da el DNS a la resolucion de un nombre, cambiando la parte de

la direccion IP por la del servidor o la pagina a la cual deseamos llevar al usuario.

En la imagen anterior observamos el resultado de la utilizcion del DNS Spoofing. Ahora vamos paso

a paso a configurar Caín & Abel para lograr realizar este ataque.

PASOS PREVIOS

a. Iniciar dos maquinas virtuales de Windows XP.

b. Configurar las maquinas virtuales con las siguientes direcciones estaticas:

Maquina virtual 1: Maquina virtual 2:

Direccion IP: 192.168.130.0XX Direccion IP: 192.168.130.2XX

Mascara: 255.255.255.0 Mascara: 255.255.255.0

Gateway: 192.168.130.1 Gateway: 192.168.130.1

DNS: 192.168.100.23 – 192.168.100.24 DNS: 192.168.100.23 – 192.168.100.24

Debe asegurarse que ambas maquinas virtuales puedan navegar en Internet.

Recuerde que XX en las direcciones IP se refieren al número del computador.

c. Instalar el programa Caín en la maquina virtual 1, para esto basese en la explicación dada

en el comienzo de esta guia acerca de la instalacion de Caín & Abel.

Una vez terminos estas tareas, estamos listos para comenzar la configuración de Caín y asi

lograr realizar el DNS Spoofing.

1. En la maquina virtual 1, ejecutamos el programa Caín, que por lo general cuenta con un acceso

directo en el escritorio. En caso de que no se encuentre el icono, entonces nos vamos a Inicio –

Programas – Cain – Cain.

Una vez ejecutemos el programa, nos va a salir la ventana principal que se debe ver asi:

2. En esta ventana, podemos observar varias pestañas, Decoders, Network, Sniffer, Cracker,

Traceroute, CCDU, Wireless y Query. La pestaña que nosotros vamos a utilizar es Sniffer, asi

que damos clic sobre ella y luego en la parte de abajo clic sobre la opcion Hosts.

En caso de que al estar en Sniffer – Hosts aparezca una lista de direcciones, entonces

debemos borrarlas, para esto hacemos clic derecho sobre el espacio en blanco y elegimos

la opcion Remove All.

3. El siguiente paso es inicializar el Sniffer, para hacerlo damos clic sobre el boton que aparece a

la derecha del la carpeta.

4. Ahora, necesitamos saber cuáles son los equipos que nosotros podemos ver, cuales son las

víctimas potenciales, para esto simplemente hacemos clic derecho en el espacio vacío, luego

clic en Scan MAC Addresses.

En caso de que al estar en Sniffer – Hosts aparezca una lista de direcciones, entonces

debemos borrarlas, para esto hacemos clic derecho sobre el espacio en blanco y elegimos

la opcion Remove All.

5. En la ventana que nos aparece luego de realizar el paso anterior, se nos da la posibilidad de

escoger si queremos buscar todas las direcciones MAC de mi subred o las direcciones MAC de

un rango seleccionado. Seleccionamos el radiobutton “All hosts in my subnet” y el último

checkbox “All Test” y decimos ok. Esta tarea puede tomar algunos segundos.

Una vez esta tarea está terminada, en el espacio en blanco podremos observar las direcciones

IP y MAC de los equipos que para nosotros son visibles, además del OUI fingerprint, que es el

campo en donde se muestra el fabricante del dispositivo que está conectado a la red. Al

obtener la dirección MAC del equipo, hay una parte que funciona como “código de barras”,

pues permite identificar el dispositivo y otra parte que permite identificar el fabricante. Caín

cuenta con una base de datos de fabricantes, entonces cuando ya obtiene las direcciones

MAC, compara esta información con la de su base de datos y muestra en texto claro el nombre

del fabricante.

6. A continuación, en la parte de abajo de la ventana damos clic en la opción APR. En esta parte

realizaremos el ataque Man In the Mittle – MItM.

El ataque Man in the Middle consiste en ubicar un equipo entre otros dos, por lo general

un computador y el gateway, sin que ninguno de los dos se de por enterado de ello. Esto

permite que el computador infiltrado puede leer, modificar o insertar información al

tráfico entre estos dos equipos conectados a la red. Cabe resaltar que el atacante de tener

la capacidad de observar e interceptar los mensajes de la comunicación entre las dos

victimas. Este tipo de ataques permite la realización de:

Intercepcion de la comunicación.

Ataques a partir de textos cifrados conocidos.

Ataques de sustitución.

Ataques de repetición.

Ataques por denegacion del servicio.

Una de la formas de realizar el ataque MItM es ARP Poison Routing, el cual consiste en

enviar mensajes ARP falsos a los equipos que quiero intervenir. Para entender mejor esto

veamos un ejemplo: Supongamos que tenemos tres equipos, A, B y el Sniffer. El equipo A y

B son los que se estan comunicando, y el equipo Sniffer es desde el cual vamos a realizar el

ataque. El equipo Sniffer envia un mensaje ARP falso a los otros equipos, de forma que

obliga a que la tabla ARP sea actualizada. En esta actualizacion, el equipo Sniffer le dice al

equipo A que su direccion MAC es la asociada a la direccion IP del equipo B, de igual

forma, el equipo Sniffer le dice al equipo B que su direccion MAC es la asociada a la

direccion IP del equipo A. veamos las siguiente imágen:

Imagen tomada de http://www.oxid.it/downloads/apr-intro.swf

Como observamos en la figura, el equipo Sniffer a quedado ubicado en la mitad de la

comunicación entre los equipos A y B pero estos no saben que esto está sucediendo. APR

presenta algunas restricciones, como por ejemplo que solo funciona dentro de un dominio de

broadcast y que el equipo Sniffer debe tener la capacidad de reenrutar los paquetes al destino

correcto ademas de conocer la relacion IP-MAC de los host involucrados en la acción.

7. Una vez aquí, ya conocemos los candidatos a víctimas, pero debemos escoger cuales son las

maquinas a las cuales les haremos el ataque MItM. Para esto damos clic en Add to list, que es

el símbolo que parece como un signo más.

Si el boton todavia no esta activado, entonces se debe hacer clic en la divicion de la parte

de arriba.

En caso de que la divicion de la parte de arriba no este vacia, entonces debemos vaciarla,

para esto hacemos clic derecho sobre la primera entrada que aparezca y elegimos la

opcion Remove All.

8. Ahora encontraremos una ventana con dos columnas, la columna de la izquierda muestra una

lista de direcciones IP de donde debemos escoger cual será nuestra “victima A” y de la

columna izquierda, debemos escoger cual será nuestra “victima B” que generalmente es el

gateway de la red. Luego damos clic en OK.

9. Como podemos observar, a la izquierda de la ventana principal encontramos varias opciones

de las cuales debemos escoger APR-DNS. Luego, damos clic derecho sobre el campo vacio y

escogemos la opción Add to list – Insert.

En caso de que el campo no este vacio, entonces debemos vaciarlo, para esto hacemos

clic derecho sobre la primera entrada que aparezca y elegimos la opcion Remove All.

10. En la ventana que sigue, es en la que realizaremos la entrada que quedara almacenada en

Caín. En el primer campo, DNS Name Requested, es donde escribimos la URL que queremos

“redireccionar”, y el siguiente campo, “IP address to rewrite in response packects” es donde

escribimos la IP del sitio al que realmente va a ir la víctima. Luego presionamos OK. ¿Notan

alguna similitud con los registros tipo A del DNS?

Si de pronto no conocemos la direccion IP de la pagina a la que queremos que vaya la victima,

podemos hacer clic en el boton “Resolve” y alli escribimos la URL de la pagina, ademas, si nos

hemos equivocado en los datos escritos, podemos editar o eliminar las entradas realizadas

simplemente dando clic derecho sobre la entrada en la que se desea trabajar.

Este paso debemos repetirlo por si digitan las paginas icesi.edu.co o http://www.icesi.edu.co,

quedando una ventana similar a esta:

11. El último paso es empezar a intervenir la comunicación entre los dos equipos, lo que se conoce

como envenenar la red (poisoning). ¿Cómo lo hace Caín? Como vimos anteriormente,

realizamos un ataque MItM, lo que nos permite ver el tráfico entre nuestar victima y el otro

equipo conectado a la red, generalmente el gateway. Aprovechando esto, Caín esta atento a

las respuestas del DNS hacia la victima. Estas respuestas son los registros tipo A, por eso el

parecido de lo que configuramos anteriormente con estos registros. Cuando el sniffer

encuentra algun paquete de respuesta del DNS a la victima, lo revisa y compara con las

entradas que tiene almacenadas, las que nosostros hemos configurado, si se presenta alguna

coincidencia, Caín modifica el contenido de este paquete cambiando la información que

nosostros hemos configurado (la direccion IP de la pagina a la que queremos que vaya la

victima). Cuando la victima recibe la respuesta, cree que viene directamente del DNS e

inmediatamente la ejecuta. Para activar esto, damos clic en el botón amarillo que se

encuentra a la derecha del botón de activación de sniffer que utilizamos anteriormente.

12. Ahora lo ultimo que debemos hacer es ir a la maquina virtual 2, abrir el Internet Explorer e ir a

la pagina www.icesi.edu.co, el resultado debe ser similar a la siguiente imagen:

CONFIGURACIÓN ABEL CONSOLA REMOTA

Debido a que este servicio nos da una Shell remota con los permisos de acceso que tenga esa

cuenta, cada comando enviado se ejecuta con esos privilegios. Se puede utilizar esta consola para

agregar usuarios, enumerar y mapear redes, hacer ping a host remotos, entre otros.

En la siguiente imagen se puede observar la consola remota del equipo WINXPXX con permisos de

System.

Recuerde que XX en las direcciones IP se refieren al número del computador.

Ahora vamos a ver qué usuarios tiene ese equipo y le cambiaremos la contraseña a uno de ellos.

Con el comando net user vemos los usuarios que tiene este equipo.

El siguiente paso es cambiar la contraseña, esto lo hacemos con el comando net user usuario

nuevaContraseña.

Luego iniciamos sesión desde WINXPXX con “Usuario”, nos damos cuenta que Password1 ya no

nos autentica sino que la contraseña que nos permite iniciar sesión es Carolina.

Recuerde que XX en las direcciones IP se refieren al número del computador.

CONFIGURACIÓN ABEL ROUTES

Esta utilidad enumera todas las entradas presentes en la tabla de enrutamiento, como el destino,

la máscara de red, el Gateway, la interfaz y la métrica. Nos permite agregar, modificar y eliminar

rutas. A continuación se muestra la tabla de enrutamiento del equipo WINXPXX.

Si eliminamos la ruta que sale hacia internet (default Gateway), el equipo WINXPXX se queda sin

internet. Para hacer esto hacemos clic derecho sobre la ruta y presionamos eliminar.

Ahora entremos al browser de WINXPXX y como esperábamos no tenemos acceso a internet.