Bueno, después de un buen tiempo me ha dado por ponerle SSL al servidor. Ya tocaba, eso de logearse por ahí y que la contraseña pase en plano, no mola. Aunque siempre existen otros riesgos, como un programa que logee las teclas que pulsas o lo que probé ayer, la técnica “del hombre del medio” o the man of the middle que con consiste más que en ARP Poisoning y snifar las tramas que pasan por nosotros. Sería hacer pensar a la máquina cliente y al router que nosotros somos ellos, es decir, el cliente pensará que nosotros somos el router y el router pensará que nosotros somos el cliente. Eso, más un errutado y capturando las tramas, y con por ejemplo Cain está mamado pues el solito te busca los equipos que tienes en tu red o en el rango que le especidiques, enrruta los paquetes a la vez que capturas las tramas. Por si fuese poro genera certificados SSL, que tras un despiste del usuario, obtendríamos el usuario y contraseña de ese acceso. Una pena que no haya Cain en SO POSIX.
El método sería envenenar la tabla MAC de el cliente y router, enrrutar y capturar, obteniendo de algún sitio un certificado válido. Bueno, luego, como decirle al cliente que el certificado auténtico es el nuestro, no se me ocurre nada. Lo bueno de ésto, lo que he aprendido, lo malo… no se me ocurre nada. ¿Modo de protegerse? Tabla ARP Estática, de éste modo cuando Cain o desde lo que sea, nos inyecten un paquete ARP falseado, no hará efecto. Probadlo, tenéis instrucciones aquí.
Para POSIX tenéis arpoison y nemesis entre otros. Para SO Windows tenéis que yo conozca, nemesis, pero seguro que hay más alternativas. Una cosa que he de decir es que Nemesis en Windows requiere la librería LibnetNT y WinPcap. La verdad es que es muy quisquilloso con las versiones o quizá que el las máquinas en que probé algún parche oficial jode la marrana.
Me estoy enrrollando xD, si os dais cuentas, el título del post no va por ahí. Va por el Apache y SSL. Ayer, cuando implementé el SSL me surgía un problemilla, que siempre salía el mismo fuese el VirtualHost que fuese (Mi idea era tener uno diferente para cada uno). Me estuve rucando la cabeza una tarde-noche hasta que al final desistí, dejé mis pruebas y me dispuse a leer un puto RFC, no recuerdo su código, pero en resumidas cuentas, si los servidores virtuales no están corriendo en otra IP, u otro puerto, es IMPOSIBLE tener diferentes certificados SSL para cada servidor virtual. ¿Por qué? Bueno, pueden hacerse 2 cosas:
- Pensar un poco: Suele ser lo mejor el razonamiento es que antes de el cliente hacer el GET mediante HTTP 1.1, se procede a la negociación con un certificado. Es decir, se usa ese y punto, luego se hace el GET y el servidor Web es el que decide que webs mostrar basándose en la información de la cabezera que el protocolo HTTP 1.1 proporciona. Si coincide con el ServerName o ServerAlias (De lo segundo no estoy seguro) del cualquier servidor virtual, ofrece ese documento, sino, va al sitio por defecto
_dafault_.
- Capturar tramas: Bueno, nuestro comodín, capturar las tramas y ver como no hay nada HTTP, todo es SSLv3 (En Ethereal) y vemos como los primeros paquetes son negociaciones Servidor-Cliente.
Bueno, al menos, ahora, duermo más tranquilo al pensar que mi password va por una capa TLS1 (Evolución de SSLv3, que comprueba que origen y destino de los paquetes son quien dicen ser).
Venga, agur.
.
