Mallory es un proxy TCP/UDP que genera la misma clave TLS para facilitar el análisis de los datos

Escrito por Sergio De Luz
Seguridad

Cuando estamos realizando algún tipo de auditoría de seguridad, o queremos ver el intercambio de mensajes TLS de nuestro propio equipo con un servidor web remoto, es necesario utilizar un analizador de protocolos como Wireshark. Para poder descifrar las conexiones, necesitamos utilizar la clave e incorporarla a Wireshark para descifrarlas, de lo contrario no podremos ver nada. Mallory es un proxy que realiza un Man In The Middle y que utiliza siempre el mismo certificado auto firmado.

Este proxy TCP/UDP que es capaz de funcionar con conexiones TLS, se encarga de generar un certificado autofirmado para cada conexión Man In The Middle, pero está modificado específicamente para usar siempre la misma pareja de claves criptográficas que se encargan de firmar los certificados. De esta forma, podremos utilizar la misma clave en Wireshark para descifrar todo el tráfico de múltiples conexiones, haciendo que nuestro trabajo sea mucho más rápido y fácil ya que no tendremos que ir cambiando las claves.

Este programa Mallory deberemos situarlo en la LAN o entre el equipo al que queremos auditar las conexiones y el router principal, de tal forma que actúe de puerta de enlace para que todo el tráfico pase por el propio Proxy y capturar todas las comunicaciones.

mitm_red

Mallory soporta el descifrado de clientes que se conectan vía VPN PPTP, un protocolo que actualmente no es seguro, de esta forma podremos comprobar fácilmente si funciona. Todos los dispositivos móviles tienen integrado un cliente VPN PPTP porque es el más básico. Este proxy también podremos instalarlo en una máquina virtual fácilmente, simplemente deberemos configurar dicha máquina virtual como Bridge para capturar el tráfico de otras máquinas virtuales e incluso de nuestra máquina principal, ideal para hacer pruebas.

Otra opción es utilizar Mallory cuando hemos configurado un Hotspot Wi-Fi, de esta forma, los clientes que se conecten a dicha red inalámbrica y naveguen por Internet pasarán directamente a través de Mallory antes de ir a Internet. Una aplicación recomendable para realizar esta tarea es Airbase-NG que está incluida en la popular suite Aircrack-NG. Otra forma de instalar este Proxy que realiza un Man In The Middle es por ejemplo realizar la técnica ARP Poisoning.

Os recomendamos visitar el proyecto Mallory SameKeyProxy en GitHub, aquí encontraréis todo el código fuente del proyecto, los manuales para la instalación y el script que se encarga de automatizar todo el proceso.


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10