Hackingenredesconmutadas

AngelAlonsoPrrizas
parrizas@wanadoo.es
http://angelillo.noip.org

Introduccin

Elusodeconmutadoresessegurofrenteasniffers

Noentodosloscasostodoslosconmutadoressonlapanacea

Veremoscomosepuedecapturartrficoenunaredethernetconmutada.

Qusolucioneshay?

Otrosataques.Ejemplosdesniffers

Cmopodemosdetectarestosataques?

Bibliografayreferenciaweb.

Conclusiones

Bibliografa

http://www.seg.inf.uc3m.es/spi/sniffers/EnvenenamientoARP.htmlArpPoison

http://bulmalug.net/body.phtml?nIdNoticia=1193Hackingenredesconmutadas

http://www.governmentsecurity.org/articles/TheIngredientstoARPPoison.phpTheingredentsto
ARPPoison

http://packetstormsecurity.nl/papers/general/Altering_ARP_Tables_v_1.00.htmAlteringARP
tables

http://www.cyruxnet.com.ar/ettercap.htmusandoEttercap

http://www.cyruxnet.com.ar/cuaderno3.htmManinthemiddle.

http://www.monkey.org/~dugsong/dsniff/Dniff.AlternativaaEttercap.

http://archive.infoworld.com/articles/op/xml/00/05/29/000529opswatch.xmlSwitchednetworks
losetheirsecurityadvantageduetopacketcapture

http://slashdot.org/articles/00/12/18/0759236.shtmlAttackagainstSSH1andSSL

http://secinf.net/info/misc/sniffingfaq.html(punto3.8)HowcanIsniffaswitchednetwork?

http://cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_5_4/config/sec_port.pdfConmutadoresciscoy
configuracinptima.

http://www.ovislinkcorp.es/productos/producto.php?categoria=switch&id=11CaractersticasconmutadorOvislink

http://www.ovislinkcorp.es/productos/pdf/fsh2400.zipManualconmutadorovislink.

http://usuarios.lycos.es/elvenbyte/index.php?pagina=stpAtaquesdespanningtree.

http://packetstorm.securify.com/NT/snarp.zipSniffermedianteARPpoisonparawindowsNT

Redesdecomputadores.AndrewS.Tanenbaum.Terceraedicin.ISBN:968880958(pag423433)

NetworkIntrusionDetection.StephenNorthcutt&JudyNobak.3edicin.ISBN:0735712654

Nuestroescenario1

Redencasadeculturadependientedelconsistoriomunicipal.

PCdireccincasadecultura.
PCoficinadeturismo.
8PCsubicadosenlabilioteca.LibreaccesoaInternet.Noinstalar
software.
2PC'sconsultabiblioteca,videoteca,Cdteca,DVD's
1PCBibliotecarioparaaltas/bajas.
2puestoslibresparaporttiles.

ConmutadorLANovislinkEtherFSH24RScon24puertos10/100.
(http://www.ovislinkcorp.es/productos/producto.php?categora=switch&id=11)

RouterADSL3com812conlneade2Mbits/s.

Nuestroescenario2

ServidorLinux(Debian3.0)

DNS,Bind9.Setieneundominioregistrado.
DHCP.Pararasignarlasip'sdetodaslasmquinasdelaredlocal.
Exim.Gestindelcorreoconelnombrededominioadquirido.
Apache.Ver:1.3.27.Pginaswebdelayuntamientoybiblioteca.
MySQL.Basededatosdelibrosyusuarios(120Megabytes).Algunas
websinteractanmediantePHP.
Telnet:Administracindelservidor.
Ncleo2.4.18bf4(pordefectolaquetraeladistribucin).
Iptables.HacemosNATalaredlocalyfiltramostrficocomoP2P.

Nuestroescenario3

Laredsiemprehafuncionadobien,exceptuandolasvecesquesecaeel
ADSL.

...hastaqueundayenmomentosconcretoselaccesoalabasededatos
eraimposible..

Comprobamosautonegociacinyforzamosmanual
root@servidor:~$miitool

eth1:100Mbit,Fullduplex,linkok

Elproblemanoeraste,porquesloocurraenmomentosmuy
concretos.Cuandolosusuariosdeporttilesseconectaban.

ProblemadeDHCPyconflictodeIP's?
Unusuarioenconcretousabaunaaplicacindesconocidaparanosotros.
Ettercap

Queesettercap?

SnifferquefuncionabajounataquellamadoARPpoison(envenenamiento
ARP)

ElataquearpovechaelprotocoloARP(AddressResolutionProtocol)

ARPnosdevuelvelaMACdeunatarjetaquetieneunadireccinIP.

SeenvaunpaqueteARPaladireccinbroadcastFF:FF:FF:FF:FF:FF
PerocadamquinaguardaensucachelparMAC/IPduranteuntiempo.
AunquenoefectuemosunARPRequestennuestracachseguardanlos
datosigual.
LoquehacemosesfalsearARPconlaMACdelatacantedemodoqueel
trficopasaporelordenadorespa.

FuncionamientoARP

Host1
00:00:00:00:00:01

192.168.0.2

Host2
00:00:00:00:00:02

192.168.0.3

H1envaunpaqueteARPRequestaladireccinbroadcast
preguntandocualeslaMACdelatarjetaquetienecomoip
192.168.0.3
H2RespondeconunARPReplyconsuMAC.
H1anotaensucachquelaMAC00:00:00:00:00:02esdela
mquinaconip192.168.0.3
Elmismoprocedimientoparaelhost2
ElconmutadorrecibetramasporelpuertodeH1condireccinorigenMACdelhost2.
ElconmutadorasociaalinterfazdeH1laMAC1.Latramalamandaporinundacinpor
quenoconoceaqueinterfacecorresponde.CuandoH2contestayasabecualeselinterface
porelquelodebedeenviarporqueyalotieneensustablas.AnotaelparMACpuertoparaH2.

EnvenenamientoARP
Host1
00:00:00:00:00:02

192.168.0.2

Host2
00:00:00:00:00:03

192.168.0.3

HostEspa
00:00:00:00:00:04

192.168.0.4

ELhostEspaenvaaHost1ARPReplys
haciendocreerqueelHost2esl,astodas
lastramasquevayanalH2pasanporelhost
Espa.ParaevitarqueH1sedecuentaelHE
reenvaaH2lastramasquehacapturado.
AdemssemandanARPReplys
continuamenteparatenerlacach
engaada..AnlogamentesehaceconH2
lomismo,haciendoqueeltrficohaciaH1
paseporHE.
Alconmutadorselehacecreerqueporel
puertodondeestelHEtenemoselH2
mandandoletramasconlasMACdela
vctima.

Nuestroescenario
192.168.0.1
00:00:00:00:00:01

IP:192.168.50
GW:192.168.0.1

...................

192.168.50.64
GW:192.168.0.1

192.168.0.70
GW:192.168.0.1

NuestrohostEspamandaARPReplysatodasloshostdela
redhaciendocreerqueleselquetienelaMAC00:00:00:00:00:01
ycomoconstadireccinhardwareeslaquepertenecealrouter
pordefectodetodosloshostparasaliraInternet,todoeltrfico
pasaporl,capturaloquequierayreenvaaH1.
ELproblemaesqueesteprocesamientollevasutiempoyal
finalseralentiza.

Aniveldeconmutador,steensustablastieneparados
puertosdistintosunamismaMACporqueelespahamandado
tramasconlaMAC00:00:00:00:00:01porelpuertodonde
estconectado.YparaelpuertoEspatendraensustablas
dosMAC's,lafalsificadaylapropia.

Ettercap

Entrandoenelservidor

TambinsepuedeinundarlastablasdelconmutadorconMAC'sfalsasdetal
maneraqueelconmutadornoencuentraladireccindestinoensustablasyla
mandaporbroadcasting.

ElHackercapturasesionestelnet,capturaelusuarioypassword.

Aunquenoaccedamoscomorootsinoconusuarionormalysetuidabamos
(su)elhackerlogrexplotarunabugdelkernelenunafuncindellamadaal
sistemaptraceparaverelestadodeunprocesohijo.stebugestpresenteen
todosloskernelsanterioresa2.4.21.http://lists.debian.org/debiansecurity/2003/debiansecurity
200304/msg00118.htm

Elproblemadesteataqueesquepermitecapturarsesionesencriptadas
SSH1,SSL,creandocertificadosfalsos.Porejemplo,H1yH2yE(espa)
capturamoselestablecimientodeconexionesdeA,acontinuacinenviamosa
BuncertificadoidnticoaldeAperoconipladelamaquinaE,almismo
tiempoenviamosuncertificadofalsoaAastodoeltrficopasasinencriptar
porE.

Cmoevitarlo?

Lasolucinptimaesconfigurarlospuertodelconmutadorcomoseguros.

SepuedeasociaraunpuertounaovariasMACsparaquefiltretodaslastramasque
nollevenensudireccinorigenalgunadeesasMACs.

Enlosswitchciscoporejemploestoseraalgocomo:

Console>(enable)setportsecurity2/1enable

Console>(enable)setportsecurity2/1enable00902b03340

Notodoslosconmutadorespermitenesto.Ciscosi.http://mailman.argo.es/pipermail/hacking/2001
September/000677.html

Nuestroconmutadornopermitestaconfiguracin.Hayqueidearalgo.
CrearemosVLANSenelconmutadoraislandoeltrficodelasconexionesde
porttiles

Aadimosunatarjetaderedalservidorytenemosdosredesindependientes
HacemosNATparalasdosredesperoentreellasnoseven.

CreandoVLANS

Situacinfinal

Eth0conectadaalrouterADSL3com

Eth1conectadaaVLAN1192.168.0.1

Eth2conectadaaVLAN2192.168.1.1

VLAN1:conectamostodoslosordenadoresdelabibliotecaylacasadecultura

VLAN2:latiguillosdelosporttilesyelcablehaciaeth2

UsamoslaaplicacinshorewallparahacerNATyfiltrareltrfico.Iptablestambin
permitefiltrarporMAC.

Algoasharamossilohiciramosaalgo

echo1>/proc/sys/net/ipv4/ip_forward

iptablesflush

iptablestablenatflush

iptablestablenatappendPOSTROUTINGoutinterfaceeth0jMASQUERADE

iptablesappendFORWARDininterfaceeth1jACCEPT

IptablesappendFORWARDininterfaceeth2jACCEPT

Tenemosdosredes192.168.0.0y192.168.1.0

Actualizacionesservidor

Nuevaversindelncleo2.4.21libredebugs.

Cambiamoselaccesovashellporssh2envezdetelnet.Encriptamos.

Sedesactivaronelaccesoashellalascuentasquenoseusancomotal,
comolaqueaccedeparahacerlasbsquedasenlabasededatosOPAC1.
(/bin/false)

Otrosataques

MACFlooding:Inundarelconmutadorparaquemandelastramaspor
broadcasting.

MACduplicating:ponerselaMACdeotratarjetaaseltrficotambines
enviadoporeseinterface.

Ifconfigeth0down

Ifconfigeth0hwether000000000005

Ifconfigeth0up

AtaquesdeSpanningTree:SeenvadesdeunhostBPDU'sconelobjetivode
recalcularelrbollibredebucles.Consecuencia:DenialOfService,mientrasse
recalculaelrbolnoseretrasmitentramas.TambinsepuedeenviarBPD
Uscon
prioridadmximaparaqueelusuarioatacantequedecomorazyveatrficoque
nodeberaver,paraelloelatacantedebeestarconectadoadosconmutadoresa
lavez.Todoestoesposiblesisetienesoftwareadecuadoporejemplopara
generarBPDUs.http://usuarios.lycos.es/elvenbyte/index.php?pagina=stp

Programasalternativos

ARPFUN,ARPTOOL,DNIFF.

DNIFF:soportamsde30protocolos,algunosdeellosestndaryotros
propietarios.

FTP,Telnet,SMTP,HTTP,POP,poppass,NNTP,IMAP,SNMP,
LDAP,Rlogin,RIP,OSPF,PPTPMSCHAP,NFS,YP/NIS,SOCKS,
X11,CVS,IRC,AIM,ICQ,Napster,PostgreSQL,MeetingMaker,
CitrixICA,SymantecpcAnywhere,NAISniffer,MicrosoftSMB,
OracleSQL*Net,SybaseetMicrosoftSQL

PermitecapturarsesionesSSLypresentarsecertificadosilegtimos

OtrosusosdeenvenenamientoARP

ARPSpoffingesusadoparasistemasdebackupydetoleranciaafallos.
MedianteIPaliasyARPSpoofingpermitimosqueunservidoradoptela
identidaddelservidorquesehacado.

DeteccindeARPSpoffing

EvitarelARPSpoffingsinlosconmutadoresadecuadosesmuydifcil.

HayprogramasquepermitenavisaraladministradordeunareddeataquesA
RP.

ARPwatchmonitorizalosparesMAC/IPyalertacuandohayuncambio.

Sedebedemonitorizareltrficoycomparndoloconunabasededatos

OtrosprogramastomansecuenciasIP/MACyperidicamentepreguntanlas
actualizacionesenlared.

Estosmtodosresultanfarragososcuandoporejemplosedisponedeunservidor
DHCPqueasignalasIP'sdinmicamente

Otrasolucin,apartedecomprarunconmutador100%againstsniffingeshacer
quelosdatosvayanencriptadosaunqueestamedidasobrecargueelprocesamientode
losdatosyaadacomplejidadenlasconfiguraciones.

Conclusiones

Parausarestetipodeataquesnosenecesitaconocimientosespecficosde
programacin.Alalcancecualquiera.

Existenmuchosprogramasparastetipodeataques.

Ensituacionesconmuchosusuarios,comoredesacadmicas,controlarstetipode
ataquesporquepermitenvertodoeltrficodeunsegmentoderedpudiendopermitir
averiguarinformacindeusuarios,contraseas,etc.

NoestdemscontrolarellastablasMAC/IPparaversiexistealgntipode
duplicidadocambioquepuedaninduciraunataque.

Siempresepuedenautomatizarlogs,scripts,etc.,paraquemandenperidicamente
informacinaladministrador.

EnltimainstanciasepuedeaislarlastramasdeunaMACmedianteiptables.

Esimportanteconocerlascaractersticasdelconmutadorantesdecomprarloyversi
estpreparadoparastetipodeataques.