Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AngelAlonsoPrrizas
parrizas@wanadoo.es
http://angelillo.noip.org
Introduccin
Elusodeconmutadoresessegurofrenteasniffers
Noentodosloscasostodoslosconmutadoressonlapanacea
Veremoscomosepuedecapturartrficoenunaredethernetconmutada.
Qusolucioneshay?
Otrosataques.Ejemplosdesniffers
Cmopodemosdetectarestosataques?
Bibliografayreferenciaweb.
Conclusiones
Bibliografa
http://www.seg.inf.uc3m.es/spi/sniffers/EnvenenamientoARP.htmlArpPoison
http://bulmalug.net/body.phtml?nIdNoticia=1193Hackingenredesconmutadas
http://www.governmentsecurity.org/articles/TheIngredientstoARPPoison.phpTheingredentsto
ARPPoison
http://packetstormsecurity.nl/papers/general/Altering_ARP_Tables_v_1.00.htmAlteringARP
tables
http://www.cyruxnet.com.ar/ettercap.htmusandoEttercap
http://www.cyruxnet.com.ar/cuaderno3.htmManinthemiddle.
http://www.monkey.org/~dugsong/dsniff/Dniff.AlternativaaEttercap.
http://archive.infoworld.com/articles/op/xml/00/05/29/000529opswatch.xmlSwitchednetworks
losetheirsecurityadvantageduetopacketcapture
http://slashdot.org/articles/00/12/18/0759236.shtmlAttackagainstSSH1andSSL
http://secinf.net/info/misc/sniffingfaq.html(punto3.8)HowcanIsniffaswitchednetwork?
http://cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_5_4/config/sec_port.pdfConmutadoresciscoy
configuracinptima.
http://www.ovislinkcorp.es/productos/producto.php?categoria=switch&id=11CaractersticasconmutadorOvislink
http://www.ovislinkcorp.es/productos/pdf/fsh2400.zipManualconmutadorovislink.
http://usuarios.lycos.es/elvenbyte/index.php?pagina=stpAtaquesdespanningtree.
http://packetstorm.securify.com/NT/snarp.zipSniffermedianteARPpoisonparawindowsNT
Redesdecomputadores.AndrewS.Tanenbaum.Terceraedicin.ISBN:968880958(pag423433)
NetworkIntrusionDetection.StephenNorthcutt&JudyNobak.3edicin.ISBN:0735712654
Nuestroescenario1
Redencasadeculturadependientedelconsistoriomunicipal.
PCdireccincasadecultura.
PCoficinadeturismo.
8PCsubicadosenlabilioteca.LibreaccesoaInternet.Noinstalar
software.
2PC'sconsultabiblioteca,videoteca,Cdteca,DVD's
1PCBibliotecarioparaaltas/bajas.
2puestoslibresparaporttiles.
ConmutadorLANovislinkEtherFSH24RScon24puertos10/100.
(http://www.ovislinkcorp.es/productos/producto.php?categora=switch&id=11)
RouterADSL3com812conlneade2Mbits/s.
Nuestroescenario2
ServidorLinux(Debian3.0)
DNS,Bind9.Setieneundominioregistrado.
DHCP.Pararasignarlasip'sdetodaslasmquinasdelaredlocal.
Exim.Gestindelcorreoconelnombrededominioadquirido.
Apache.Ver:1.3.27.Pginaswebdelayuntamientoybiblioteca.
MySQL.Basededatosdelibrosyusuarios(120Megabytes).Algunas
websinteractanmediantePHP.
Telnet:Administracindelservidor.
Ncleo2.4.18bf4(pordefectolaquetraeladistribucin).
Iptables.HacemosNATalaredlocalyfiltramostrficocomoP2P.
Nuestroescenario3
Laredsiemprehafuncionadobien,exceptuandolasvecesquesecaeel
ADSL.
...hastaqueundayenmomentosconcretoselaccesoalabasededatos
eraimposible..
Comprobamosautonegociacinyforzamosmanual
root@servidor:~$miitool
eth1:100Mbit,Fullduplex,linkok
Elproblemanoeraste,porquesloocurraenmomentosmuy
concretos.Cuandolosusuariosdeporttilesseconectaban.
ProblemadeDHCPyconflictodeIP's?
Unusuarioenconcretousabaunaaplicacindesconocidaparanosotros.
Ettercap
Queesettercap?
SnifferquefuncionabajounataquellamadoARPpoison(envenenamiento
ARP)
ElataquearpovechaelprotocoloARP(AddressResolutionProtocol)
ARPnosdevuelvelaMACdeunatarjetaquetieneunadireccinIP.
SeenvaunpaqueteARPaladireccinbroadcastFF:FF:FF:FF:FF:FF
PerocadamquinaguardaensucachelparMAC/IPduranteuntiempo.
AunquenoefectuemosunARPRequestennuestracachseguardanlos
datosigual.
LoquehacemosesfalsearARPconlaMACdelatacantedemodoqueel
trficopasaporelordenadorespa.
FuncionamientoARP
Host1
00:00:00:00:00:01
192.168.0.2
Host2
00:00:00:00:00:02
192.168.0.3
H1envaunpaqueteARPRequestaladireccinbroadcast
preguntandocualeslaMACdelatarjetaquetienecomoip
192.168.0.3
H2RespondeconunARPReplyconsuMAC.
H1anotaensucachquelaMAC00:00:00:00:00:02esdela
mquinaconip192.168.0.3
Elmismoprocedimientoparaelhost2
ElconmutadorrecibetramasporelpuertodeH1condireccinorigenMACdelhost2.
ElconmutadorasociaalinterfazdeH1laMAC1.Latramalamandaporinundacinpor
quenoconoceaqueinterfacecorresponde.CuandoH2contestayasabecualeselinterface
porelquelodebedeenviarporqueyalotieneensustablas.AnotaelparMACpuertoparaH2.
EnvenenamientoARP
Host1
00:00:00:00:00:02
192.168.0.2
Host2
00:00:00:00:00:03
192.168.0.3
HostEspa
00:00:00:00:00:04
192.168.0.4
ELhostEspaenvaaHost1ARPReplys
haciendocreerqueelHost2esl,astodas
lastramasquevayanalH2pasanporelhost
Espa.ParaevitarqueH1sedecuentaelHE
reenvaaH2lastramasquehacapturado.
AdemssemandanARPReplys
continuamenteparatenerlacach
engaada..AnlogamentesehaceconH2
lomismo,haciendoqueeltrficohaciaH1
paseporHE.
Alconmutadorselehacecreerqueporel
puertodondeestelHEtenemoselH2
mandandoletramasconlasMACdela
vctima.
Nuestroescenario
192.168.0.1
00:00:00:00:00:01
IP:192.168.50
GW:192.168.0.1
...................
192.168.50.64
GW:192.168.0.1
192.168.0.70
GW:192.168.0.1
NuestrohostEspamandaARPReplysatodasloshostdela
redhaciendocreerqueleselquetienelaMAC00:00:00:00:00:01
ycomoconstadireccinhardwareeslaquepertenecealrouter
pordefectodetodosloshostparasaliraInternet,todoeltrfico
pasaporl,capturaloquequierayreenvaaH1.
ELproblemaesqueesteprocesamientollevasutiempoyal
finalseralentiza.
Aniveldeconmutador,steensustablastieneparados
puertosdistintosunamismaMACporqueelespahamandado
tramasconlaMAC00:00:00:00:00:01porelpuertodonde
estconectado.YparaelpuertoEspatendraensustablas
dosMAC's,lafalsificadaylapropia.
Ettercap
Entrandoenelservidor
TambinsepuedeinundarlastablasdelconmutadorconMAC'sfalsasdetal
maneraqueelconmutadornoencuentraladireccindestinoensustablasyla
mandaporbroadcasting.
ElHackercapturasesionestelnet,capturaelusuarioypassword.
Aunquenoaccedamoscomorootsinoconusuarionormalysetuidabamos
(su)elhackerlogrexplotarunabugdelkernelenunafuncindellamadaal
sistemaptraceparaverelestadodeunprocesohijo.stebugestpresenteen
todosloskernelsanterioresa2.4.21.http://lists.debian.org/debiansecurity/2003/debiansecurity
200304/msg00118.htm
Elproblemadesteataqueesquepermitecapturarsesionesencriptadas
SSH1,SSL,creandocertificadosfalsos.Porejemplo,H1yH2yE(espa)
capturamoselestablecimientodeconexionesdeA,acontinuacinenviamosa
BuncertificadoidnticoaldeAperoconipladelamaquinaE,almismo
tiempoenviamosuncertificadofalsoaAastodoeltrficopasasinencriptar
porE.
Cmoevitarlo?
Lasolucinptimaesconfigurarlospuertodelconmutadorcomoseguros.
SepuedeasociaraunpuertounaovariasMACsparaquefiltretodaslastramasque
nollevenensudireccinorigenalgunadeesasMACs.
Enlosswitchciscoporejemploestoseraalgocomo:
Console>(enable)setportsecurity2/1enable
Console>(enable)setportsecurity2/1enable00902b03340
Notodoslosconmutadorespermitenesto.Ciscosi.http://mailman.argo.es/pipermail/hacking/2001
September/000677.html
Nuestroconmutadornopermitestaconfiguracin.Hayqueidearalgo.
CrearemosVLANSenelconmutadoraislandoeltrficodelasconexionesde
porttiles
Aadimosunatarjetaderedalservidorytenemosdosredesindependientes
HacemosNATparalasdosredesperoentreellasnoseven.
CreandoVLANS
Situacinfinal
Eth0conectadaalrouterADSL3com
Eth1conectadaaVLAN1192.168.0.1
Eth2conectadaaVLAN2192.168.1.1
VLAN1:conectamostodoslosordenadoresdelabibliotecaylacasadecultura
VLAN2:latiguillosdelosporttilesyelcablehaciaeth2
UsamoslaaplicacinshorewallparahacerNATyfiltrareltrfico.Iptablestambin
permitefiltrarporMAC.
Algoasharamossilohiciramosaalgo
echo1>/proc/sys/net/ipv4/ip_forward
iptablesflush
iptablestablenatflush
iptablestablenatappendPOSTROUTINGoutinterfaceeth0jMASQUERADE
iptablesappendFORWARDininterfaceeth1jACCEPT
IptablesappendFORWARDininterfaceeth2jACCEPT
Tenemosdosredes192.168.0.0y192.168.1.0
Actualizacionesservidor
Nuevaversindelncleo2.4.21libredebugs.
Cambiamoselaccesovashellporssh2envezdetelnet.Encriptamos.
Sedesactivaronelaccesoashellalascuentasquenoseusancomotal,
comolaqueaccedeparahacerlasbsquedasenlabasededatosOPAC1.
(/bin/false)
Otrosataques
MACFlooding:Inundarelconmutadorparaquemandelastramaspor
broadcasting.
MACduplicating:ponerselaMACdeotratarjetaaseltrficotambines
enviadoporeseinterface.
Ifconfigeth0down
Ifconfigeth0hwether000000000005
Ifconfigeth0up
AtaquesdeSpanningTree:SeenvadesdeunhostBPDU'sconelobjetivode
recalcularelrbollibredebucles.Consecuencia:DenialOfService,mientrasse
recalculaelrbolnoseretrasmitentramas.TambinsepuedeenviarBPD
Uscon
prioridadmximaparaqueelusuarioatacantequedecomorazyveatrficoque
nodeberaver,paraelloelatacantedebeestarconectadoadosconmutadoresa
lavez.Todoestoesposiblesisetienesoftwareadecuadoporejemplopara
generarBPDUs.http://usuarios.lycos.es/elvenbyte/index.php?pagina=stp
Programasalternativos
ARPFUN,ARPTOOL,DNIFF.
DNIFF:soportamsde30protocolos,algunosdeellosestndaryotros
propietarios.
FTP,Telnet,SMTP,HTTP,POP,poppass,NNTP,IMAP,SNMP,
LDAP,Rlogin,RIP,OSPF,PPTPMSCHAP,NFS,YP/NIS,SOCKS,
X11,CVS,IRC,AIM,ICQ,Napster,PostgreSQL,MeetingMaker,
CitrixICA,SymantecpcAnywhere,NAISniffer,MicrosoftSMB,
OracleSQL*Net,SybaseetMicrosoftSQL
PermitecapturarsesionesSSLypresentarsecertificadosilegtimos
OtrosusosdeenvenenamientoARP
ARPSpoffingesusadoparasistemasdebackupydetoleranciaafallos.
MedianteIPaliasyARPSpoofingpermitimosqueunservidoradoptela
identidaddelservidorquesehacado.
DeteccindeARPSpoffing
EvitarelARPSpoffingsinlosconmutadoresadecuadosesmuydifcil.
HayprogramasquepermitenavisaraladministradordeunareddeataquesA
RP.
ARPwatchmonitorizalosparesMAC/IPyalertacuandohayuncambio.
Sedebedemonitorizareltrficoycomparndoloconunabasededatos
OtrosprogramastomansecuenciasIP/MACyperidicamentepreguntanlas
actualizacionesenlared.
Estosmtodosresultanfarragososcuandoporejemplosedisponedeunservidor
DHCPqueasignalasIP'sdinmicamente
Otrasolucin,apartedecomprarunconmutador100%againstsniffingeshacer
quelosdatosvayanencriptadosaunqueestamedidasobrecargueelprocesamientode
losdatosyaadacomplejidadenlasconfiguraciones.
Conclusiones
Parausarestetipodeataquesnosenecesitaconocimientosespecficosde
programacin.Alalcancecualquiera.
Existenmuchosprogramasparastetipodeataques.
Ensituacionesconmuchosusuarios,comoredesacadmicas,controlarstetipode
ataquesporquepermitenvertodoeltrficodeunsegmentoderedpudiendopermitir
averiguarinformacindeusuarios,contraseas,etc.
NoestdemscontrolarellastablasMAC/IPparaversiexistealgntipode
duplicidadocambioquepuedaninduciraunataque.
Siempresepuedenautomatizarlogs,scripts,etc.,paraquemandenperidicamente
informacinaladministrador.
EnltimainstanciasepuedeaislarlastramasdeunaMACmedianteiptables.
Esimportanteconocerlascaractersticasdelconmutadorantesdecomprarloyversi
estpreparadoparastetipodeataques.