Sniffing

LSI 2013-2014

Contenido

Sniffing

Sniffing en medio compartido Sniffing en medio conmutado Herramientas de captura de trfico Herramientas de deteccin Ataques en medio conmutado

ARP spoofing MAC address overflow Port Stealing

Sniffing

MEDIO COMPARTIDO

Sniffing en medio compartido

Legacy Ethernet

Implementaciones antiguas de Ethernet basadas en cable coaxial y protocolo de acceso al medio CSMA / CD

- Cuando un equipo enva una trama, sta llega a todos los equipos - 1 dominio de colisin

Sniffing en medio compartido

Legacy Ethernet

Dispositivos de interconexin: - repetidores - hubs (rep. multipuerto) Permiten aumentar el tamao de las redes Sigue siendo 1 dominio de colisin

Sniffing en medio compartido

Un dominio de colisin

Conjunto de dispositivos que comparten un medio fsico de transmisin y que, por lo tanto, compiten por l

Todos los equipos reciben todo el trfico En modo "normal", la tarjeta de red (NIC) slo deja pasar el trfico dirigido a su dir. MAC (o a la dir. de broadcast o multicast) En modo promiscuo, la NIC "acepta" todos los paquetes, correspondan o no con su dir. MAC

Permite capturar trfico dirigido a otros equipos

Sniffing

MEDIO CONMUTADO

Sniffing en medio conmutado

Ethernet Conmutado

Puente (bridge) y conmutador (switch)

Trabajan en capa 2, tomando decisiones sobre el envo de tramas en base a direcciones MAC Reenvan trfico slo por el puerto en el que est conectada la mquina de destino

Cada equipo slo recibe trfico dirigido a l

Sniffing en medio conmutado

Ethernet Conmutado (cont.)

Varios dominios de colisin (cada puerto es un dominio de colisin) Un dominio de difusin (o dominio de broadcast)

Sniffing en medio conmutado

En una red conmutada o "switcheada" slo recibes "tu" trfico

10

Sniffing en medio conmutado

En una red de rea local, formada por hubs, switches y dispositivos finales, nicamente existe un dominio de difusin Inconvenientes:

Saturacin de trfico de difusin en la red Falta de control interno en las comunicaciones

Qu se puede hacer para segmentar un dominio difusin en varios ms pequeos, con el trfico de difusin de cada uno aislado?

Utilizacin de routers Creacin de VLANs

11

Encaminador (router)

Dispositivo de interconexin de redes de capa 3, cuyo objetivo es conectar redes lgicas diferentes. Estos dispositivos realizan dos funciones fundamentales:

Determinacin de la ruta (enrutamiento) Transmisin del paquete por la interfaz adecuada (conmutacin)

Diferentes dominios de difusin o broadcast

12

VLAN

Qu es una VLAN?

Es una agrupacin lgica de dispositivos que se basa en la configuracin de switches Se pueden crear en un switch (o conjunto de switches) diferentes dominios de difusin, asignando cada puerto del switch a una agrupacin (VLAN) concreta

13

VLAN

Qu es una VLAN? (cont.)

Los criterios que permiten determinar a qu VLAN est asignado un puerto pueden ser muy diferentes:

Configuracin esttica del puerto En funcin de la direccin IP del dispositivo conectado al puerto En funcin de la direccin MAC del dispositivo conectado al puerto En funcin del usuario conectado al puerto (IEEE 802.1x) ...

14

VLAN

Ejemplo:

Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24 Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24

15

VLAN

Ejemplo:

Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24 Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24

trunk

Para unir VLANs que estn definidas en varios switches se puede crear un enlace especial llamado trunk, por el que fluye trfico de varias VLANs
16

VLAN. Trunk

Los puertos que estn asignados a una nica VLAN, se conocen como puertos de acceso Los puertos que estn asignados a varias VLANs (enlace trunk), se conocen como puertos troncales

Cmo sabe un switch a qu VLAN pertenece una trama cuando la recibe por un puerto troncal?

Las tramas se etiquetan antes de ser transmitidas por el enlace troncal El estndar IEEE 802.1Q permite aadir una etiqueta de 4 bytes a la cabecera de las tramas Ethernet, en donde se incluye el n de VLAN al que pertenece dicha trama

17

Sniffing en medio conmutado

Tcnicas para capturar trfico en medio conmutado

18

Y Wi-Fi?

Medio compartido Utilizan Carrier sense multiple access with collision avoidance (CSMA/CA)

Protocolo de control de acceso que permite que mltiples estaciones utilicen un mismo medio de transmisin

Se rigen por el estndar 802.11 Especialmente vulnerables

Cualquiera puede escuchar

Seguridad:

WEP WPA WPA2

19

WEP (Wired Equivalent Privacy)

Se basa en clave nica y esttica El equipo necesita la clave para autenticarse ante el punto de acceso (AP) La comunicacin se cifra usando esta clave ms un Vector de Inicializacin (IV):

clave de cifrado = clave WEP + IV

Al enviar la trama, se enva el IV, para que el receptor pueda descifrarla, si conoce la clave WEP RC4 como algoritmo de cifrado Problemas:

IV es demasiado pequeo (24 bits). Acaba por repetirse despus de un nmero no muy grande de tramas => capturando tramas con el mismo IV, se puede descifrar la clave WEP RC4, en la forma en que lo usa WEP, puede romperse
20

WPA (Wi-Fi Protected Access)

Usa claves dinmicas en lugar de clave esttica

Algoritmo TKIP (Temporary Key Integrity Protocol) <= roto

RC4 como algoritmo de cifrado (corrigiendo las deficiencias de WEP) Compatible con equipos existentes

21

WPA2 (802.11i)

AES (Advanced Encryption Standard) - CCMP (Counter Mode CBC MAC Protocol) como algoritmo de cifrado

Counter Mode: dificulta encontrar patrones CBC-MAC (Cipher Block Chaining-Message Authentication Code): proporciona integridad

Requiere mucha ms carga de computacin => nuevo HW Desde 2006, todos los productos Wi-Fi Certified deben usar WPA2

22

Wi-Fi

Las redes Wi-Fi se "asemejan" a este escenario (red de cable con topologa HUB)

Adems del modo "promiscuo", en Wi-Fi, existe el modo "monitor", que permite a la NIC capturar paquetes sin asociarse con el punto de acceso
23

Herramientas

Tcpdump Wireshark Ettercap

24

Herramientas. Tcpdump

Herramienta de lnea de comandos cuya utilidad principal es analizar el trfico que circula por la red Funciona en la mayora de los sistemas operativos UNIX, utilizando libpcap

Hay una adaptacin para Windows, WinDump, que utiliza WinPcap

Web:

http://www.tcpdump.org/

Instalacin (Linux):

apt-get install tcpdump

25

Herramientas. Tcpdump

Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X) -- vv: verbose -- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp tcpdump tcp -X -vv

26

Herramientas. Tcpdump

Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X) -- vv: verbose -- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp tcpdump tcp -X -vv -- captura trfico del puerto 80 tcpdump port http

27

Herramientas. Tcpdump

Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X) -- vv: verbose -- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp tcpdump tcp -X -vv -- captura trfico del puerto 80 tcpdump port http -- enva la captura a un archivo (formato compatible con WireShark) tcpdump -w capture.pcap

28

Herramientas. Tcpdump

Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X) -- vv: verbose -- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp tcpdump tcp -X -vv -- captura trfico del puerto 80 tcpdump port http -- enva la captura a un archivo (formato compatible con WireShark) tcpdump -w capture.pcap -- lee un archivo de log tcpdump -r capture.pcap

29

Herramientas. Tcpdump

Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X) -- vv: verbose -- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp tcpdump tcp -X -vv -- captura trfico del puerto 80 tcpdump port http -- enva la captura a un archivo (formato compatible con WireShark) tcpdump -w capture.pcap -- lee un archivo de log tcpdump -r capture.pcap -- captura trfico con origen o destino 192.168.3.2 tcpdump host 192.168.3.2

30

Herramientas. Tcpdump

Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X) -- vv: verbose -- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp tcpdump tcp -X -vv -- captura trfico del puerto 80 tcpdump port http -- enva la captura a un archivo (formato compatible con WireShark) tcpdump -w capture.pcap -- lee un archivo de log tcpdump -r capture.pcap -- captura trfico con origen o destino 192.168.3.2 tcpdump host 192.168.3.2 -- mostrar los paquetes ftp con el origen y destino indicados tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp

31

Herramientas. Tcpdump

Ejemplos:
-- captura trfico tcp e imprime cada paquete en hexadecimal y ASCII (-X) -- vv: verbose -- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp tcpdump tcp -X -vv -- captura trfico del puerto 80 tcpdump port http -- enva la captura a un archivo (formato compatible con WireShark) tcpdump -w capture.pcap -- lee un archivo de log tcpdump -r capture.pcap -- captura trfico con origen o destino 192.168.3.2 tcpdump host 192.168.3.2 -- mostrar los paquetes ftp con el origen y destino indicados tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp -- capturar los paquetes dirigidos al puerto 22 que lleguen por la interfaz eth0 tcpdump -i eth0 port 22 32

Herramientas. Wireshark

Herramienta de anlisis de trfico de red Cuenta con una muy buena interfaz grfica Incluye soporte para multitud de protocolos Filtros, seguimiento de comunicaciones, anlisis automtico del trfico, Web:

http://www.wireshark.org/

Multitud de tutoriales, videos, etc.

Instalacin (Linux):

apt-get install wireshark

33

Herramientas. Wireshark

34

Herramientas. Wireshark

35

Herramientas. Wireshark

36

Herramientas. Wireshark

Ejemplos

Filtrado por protocolo

Filtrado por IP

ip.addr == 192.168.0.1 / !(ip.addr == 192.168.0.1) ip.src, ip.dst, Ms filtros de ejemplo: Analize > Display Filters

37

Herramientas. Wireshark

38

Herramientas. Wireshark

Otras opciones tiles:

Follow TCP stream Expert Info Bsqueda de una cadena de texto

Edit > Find packet > String

39

Herramientas deteccin sniffing

Nast (apt-get install nast)

-P, --check-sniffers

Busca tarjetas en modo "promiscuo"

40

Herramientas deteccin sniffing

NEPED (Network Promiscuous Ethernet Detector)

Pequeo programa en C

http://downloads.securityfocus.com/tools/neped.c Realiza peticin ARP para cada IP a diagnosticar pero en lugar de dirigirla a la direccin de broadcast (FF:FF:FF:FF:FF:FF) lo hace a una aleatoria e inexistente Slo las interfaces en modo promiscuo vern estos paquetes, luego slo estas interfaces contestarn a estas peticiones

Se basa en la siguiente tcnica (test ARP):

41

Herramientas deteccin sniffing

Con ettercap

ettercap -T // -P search_promisc

Otras herramientas: Sentinel, AntiSniff, SniffDet,

42

Sniffing

ATAQUES EN MEDIO CONMUTADO

43

ARP Spoofing

Tambin se conoce como ARP Poisoning o ARP Poison Routing Tcnica para infiltrarse en red Ethernet conmutada Permite al atacante leer paquetes de datos en la LAN, modificar el trfico o detenerlo El atacante intenta asociar su MAC con la IP de la vctima

44

ARP (Address Resolution Protocol) (Recordatorio)

Protocolo de la capa de enlace de datos responsable de encontrar la direccin MAC que corresponde a una determinada direccin IP Funcionamiento:

Se enva un paquete (ARP request) a la direccin de difusin de la red que contiene la direccin IP por la que se pregunta, y se espera a que esa mquina (u otra) responda (ARP reply) con la direccin Ethernet que le corresponde

Source HitronTe_44:55:66 HewlettP_b7:e9:28

Destination Broadcast HitronTe_44:55:66

Protocol ARP ARP

Info Who has 192.168.0.5? Tell 192.168.0.1 192.168.0.5 is at 00:15:60:b7:e9:28

45

ARP (Address Resolution Protocol) (Recordatorio)

Cada mquina mantiene una cach con las direcciones traducidas para reducir el retardo y la carga

Las entradas de la tabla se borran cada cierto tiempo, ya que las direcciones fsicas de la red pueden cambiar

root@debian:/home/lsi# arp -a ? (10.10.102.4) at 00:90:fb:22:ff:95 [ether] on eth0 ? (10.10.102.5) at 00:90:fb:22:ff:95 [ether] on eth0 ? (10.10.102.27) at 00:1d:09:14:1e:7c [ether] on eth0

46

ARP Spoofing

Trudy lanza un ARP request a la dir. broadcast preguntando por la MAC de la IP 192.168.0.1 (Gateway) El GW contesta con ARP reply indicando cul es su dir. MAC. Trudy lanza un ARP request a la dir. broadcast preguntando por la MAC de la IP 192.168.0.2 (Alice) Alice contesta con su dir. MAC.

Proceso normal

192.168.0.1

47

ARP Spoofing

Trudy lanza un ARP request a la dir. broadcast preguntando por la MAC de la IP 192.168.0.1 (Gateway) El GW contesta con ARP reply indicando cul es su dir. MAC Trudy lanza un ARP request a la dir. broadcast preguntando por la MAC de la IP 192.168.0.2 (Alice) Alice contesta con su dir. MAC.

Proceso normal

192.168.0.1

Trudy enva reiteradamente ARP reply falsos, a Alice y al GW, asociando la IP de ambos con su propia MAC
spoof

A Alice le hace creer que l es el GW Al GW le hace creer que l es Alice Todo el trfico que transite entre el GW y Alice pasar a travs de Trudy

48

Herramientas que permiten ARP spoof

ettercap Cain y Abel suit Dsniff

49

ettercap

Herramienta de seguridad gratuita y de cdigo abierto Puede usarse para anlisis de protocolos de red y para auditoras de seguridad Permite realizar ataques man-in-the-middle en una LAN Instalacin en Debian

apt-get install ettercap apt-get install ettercap-gtk // con la interfaz grfica

50

ettercap. Funcionalidades

OS fingerprinting pasivo Recolector de contraseas para multitud de protocolos:

TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG

Soporte para plug-ins Terminacin de conexiones Soporte para SSH1 Soporte para SSL Inyeccin de caracteres en una conexin establecida Filtrado/borrado de paquetes
51

ettercap

Opciones:

-T -C -G -q -P list

lanza ettercap en modo texto lanza ettercap en modo grfico (GUI basada en Ncurses) lanza ettercap con interfaz GTK (si se instal ettercap -gtk) modo silencioso (no muestra el contenido de los paquetes) Muestra la lista de plugins disponibles usa la interfaz especificada

-i <interface>

52

ettercap

Especificacin de cada objetivo: MAC/IPs/PUERTOs

"//80" cq MAC, cq IP y slo puerto 80 "/10.0.0.1/" cq MAC, slo IP 10.0.0.1, y cq puerto "/192.168.0.100,192.168.0.105-7/" <- se pueden especificar varios objetivos y rangos /192.168.0.100/21-23

53

ettercap

Ayuda en modo interactivo: se activa pulsado "h"

[vV] [pP] [lL] [oO] [cC] [sS] [<space>] [qQ] change the visualization mode activate a plugin print the hosts list print the profiles list print the connections list print interfaces statistics stop/cont printing packets quit

54

ettercap

ip_forwarding disabled. Lo hace ettercap -M, --mitm <METHOD:ARGS>

Esta opcin activa el ataque "Man in the Middle (MitM)". El ataque MitM es totalmente independiente de la captura de trfico Ataques MitM disponibles:

ARP Spoofing: arp ([remote],[oneway]) Port Stealing: port ([remote],[tree])

55

ettercap. ARP Spoofing

arp ([remote],[oneway])

Implementa ARP poisoning mitm attack Se envan ARP request/replies a las vctimas para envenenar su cach ARP Una vez que la cach ha sido envenenada, las vctimas enviarn todos los paquetes al atacante que, podr modificarlos y reenviarlos al destino real "remote" es opcional. Se debe especificar si se quiere capturar trfico de una dir. IP remota envenenando un GW. Si se especifica una vctima y el GW en los "targets", ettercap capturar slo la conexin entre ellos, pero para permitir a ettercap capturar conexiones que pasan a travs del GW, hay que usar este parmetro "oneway" forzar a ettercap a envenenar slo desde TARGET1 a TARGET2. til si se quiere envenenar slo el cliente y no el router (donde puede haber un monitor de ARP)

56

ettercap. ARP Spoofing

arp ([remote],[oneway])

Ejemplo:

ettercap -T -M arp:oneway,remote /192.168.1.2/ /192.168.1.1/

Realiza ARP poisoning contra el host 2 en la LAN y el GW

IMPORTANTE: detener el ataque (q, en modo consola)

57

ARP Spoofing. Prevencin

MACs estticas en cach ARP

58

ARP Spoofing. Deteccin

Arpwatch (apt-get install arpwatch)

Primero inspecciona la red y anota las MACs Luego monitoriza y genera alertas si hay cambios

La MAC 08:00:27:f3:b1:0b, perteneciente al atacante, est intentando usurpar la MAC 0:0e:0c:c6:c5:82, que pertenece al gateway legtimo, mediante peticiones ARP fraudulentas

59

ARP Spoofing. Deteccin

Snort

Descomentar la siguiente lnea en snort.conf:

#preprocessor arpspoof

Aadir la relacin de MACs/IPs a monitorizar:

preprocessor arpspoof_detect_host: 192.168.254.254 00:0e:0c:c6:c5:82

Implica trabajo de gestin. Problema en redes grandes

60

ARP Spoofing. Deteccin

Snort

Lanzar Snort:

61

ARP Spoofing. Deteccin

Nast (apt-get install nast)

-c, --check-arp-poisoning

Cuando se inicia realiza una asociacin de todas las MACs de la LAN Luego permanece a la escucha, por si alguna cambia

62

ARP Spoofing. Deteccin

Con ettercap

ettercap -T // -P arp_cop ettercap -T // -P scan_poisoner

63

ARP Spoofing. Deteccin

Con Wireshark

Wireshark normalmente detecta el ataque por arp-spoofing y lanza un mensaje similar a duplicate use of 192.168.1.11 detect! Puede que no lo detecte. En ese caso se puede buscar rastro del ataque filtrando por protocolo: arp

Buscamos:

Un determinado host, est anunciando su MAC, pero ningn otro host realiza peticin alguna Un determinado host solicita una MAC y se observan dos respuestas: misma IP pero con MACs diferentes

Wireshark tambin permite filtrar por ARP request y ARP reply:

ARP request: arp.opcode==0x0001 ARP reply: arp.opcode==0x0002

64

ARP Spoofing. Deteccin

Otras herramientas: Sentinel, ArpOn, Algunos switches disponen de Dynamic Arp Inspection y DHCP Snooping

Detectan el ataque y pueden parar automticamente el puerto del atacante

65

Port flooding (1)

Otros nombres: MAC Address Overflow, CAM Flooding, CAM Table Overflow, MAC flooding (+ general) Descripcin: Consiste en enviar mltiples tramas falsificadas (flood) a travs de un puerto, con el objetivo de llenar la tabla CAM del switch

66

Port flooding (2)

Qu es la tabla CAM?

Los switches mantienen una tabla que mapea direcciones MAC a puertos fsicos de switch Esto es lo que se conoce como tabla de asignacin o tabla CAM (ContentAddressable Memory) del switch Esto permite al switch dirigir datos slo al puerto fsico en el que se encuentra el destinatario (a diferencia de un HUB)

67

Port flooding (3)

Cmo se rellena la CAM?

Cuando una trama llega a puerto fsico del switch, se aade una entrada, especificando la MAC del equipo que envi la trama junto con el puerto por el que entra

De esta forma, cuando el switch recibe una trama dirigida a ese equipo sabr por qu puerto debe enviarla.

CCNA How Switches Learn MAC Addresses: http://www.youtube.com/watch?v=WqjpBn-0oI4&feature=related

68

Port flooding (4)

Cmo dirige el trfico el switch?

Busca la MAC destino en la tabla CAM

Aparece: se enva la trama por el puerto que indica la CAM No aparece (equipo no envi trfico o su entrada expir): se enva la trama por todos los puertos, salvo por el que entr

Todos los equipos recibirn la trama. Aquel cuya MAC coincida con la MAC destino de la trama contestar. Esto permitir al switch registrar el puerto asociado a esa MAC (nueva entrada en la CAM)

Gracias a esto, el switch no necesitar inundar (flood) todos los puertos con futuros paquetes dirigidos a ese equipo

69

Port flooding (5)

Qu ocurre si se llena la tabla CAM?

En los switches de gama baja, normalmente, las tramas que tengan una direccin MAC destino no almacenada en la tabla CAM se retransmiten por todos los puertos <- El switch se comporta como un HUB Los switches de gama media/alta, incluyen mecanismos para mitigar el ataque, pero no vienen configurados por defecto!

Efectos

Un atacante puede conectarse a cualquier puerto del switch y capturar trfico que no recibira en circunstancias normales Puede provocar DoS (Denial of Service)

Tcnica til para capturar trfico en entorno conmutado, cuando ARP spoofing no es efectivo (p.ej. hay mapeado ARP esttico)

70

Port flooding (6). Herramientas.

Ettercap

Plugin "rand_flood" Necesario "ajustar" "port_steal_send_delay" en etter.conf

defecto: 2000 microsegundos

ettercap -TP rand_flood

71

Port flooding (7). Herramientas.

Macof

Parte de la suite dsniff (apt-get install dsniff) Ejemplo:

while (true); do macof -d 192.168.1.1 -n 10000; sleep 240; done

Enva 10000 tramas falsas Espera 240 segundos y enva otras 10000. Esto hace que la CAM permanezca llena (asumiendo que tiene un tamao < 10000) El proceso se repite hasta que el atacante decida parar el ataque (Ctrl+C)

72

Port flooding (y 8). Prevencin

La deteccin es sencilla, ya que analizando el trfico de red veramos gran cantidad de tramas con valores aleatorios Los switches de gama media/alta permiten configurar ciertas caractersticas para mitigar este tipo de ataques:

Unicast Flooding Protection

Permite controlar el nivel de inundacin (flooding) de paquetes permitido Permite limitar el nmero de MACs que el switch puede "aprender" por puerto Tiempo de expiracin de las MAC en la tabla CAM

Port security

Aging time

73

Port stealing (1)

El atacante enva multitud de tramas ARP (pero no con el objetivo de saturar la CAM)

Las tramas ARP tienen como MAC origen la MAC de la(s) vctima(s) El objetivo es que el switch "aprenda" que la vctima se encuentra en ese puerto y as dirija el trfico hacia l. Es decir, se le "roba" el puerto a la vctima Una vez que el atacante recibe paquetes "robados", detiene el proceso de inundacin y realiza un ARP request a la vctima (destino real del paquete). Esto provocar que la vctima recupere su puerto En cuanto el atacante recibe el ARP reply sabe que la vctima ha recuperado su puerto, y le reenva los paquetes robados. Entonces se puede reiniciar el proceso de inundacin esperando nuevos paquetes

Tcnica til para capturar trfico en entorno conmutado, cuando ARP spoofing no es efectivo (p.ej. hay mapeado ARP esttico)

74

Port stealing (2). Implementacin con ettercap

port ([remote],[tree])

Inunda la LAN con paquetes ARP (en base al parmetro port_steal_delay) con el objetivo de robar el puerto del switch de cada vctima en la lista de hosts La opcin remote tiene el mismo significado que en el mtodo "arp" mitm Si no se especifica la opcin "tree"

La direccin MAC origen ser una de las MACs en la lista de hosts La direccin MAC de destino es la misma que la del atacante (otras NICs no vern estos paquetes) La MAC de destino ser una MAC falsa, de modo que estos paquetes sern propagados a otros switches Esto podra permitir robar puertos en otros switches en el rbol (si hay), pero se genera una cantidad ingente de trfico

Si se especifica "tree"

75

Port stealing (y 3). Implementacin con ettercap

port ([remote],[tree])

Cuando se para el ataque, ettercap enviar un ARP request para cada host robado, devolvindole sus puertos del switch Ejemplos:

ettercap -T -M port:remote /10.0.0.1/ /10.0.0.15/

Intercepta y visualiza trfico entre 10.0.0.1 y 10.0.0.15 Tambin se recibe el trfico para 10.0.0.1 y 10.0.0.15

ettercap -T -M port:remote /10.0.0.1/

Intercepta y visualiza todo el trfico para 10.0.0.1

76

Otros ataques

DNS Spoof ICMP redirection DHCP Spoof

77

Session hijacking (secuestro de sesin)

SNIFFING. TCNICAS DE HACKING

78

Session hijacking (secuestro de sesin)

Objetivo: explotar una sesin vlida para obtener acceso no autorizado a informacin o servicios Fundamentos del ataque:

Generalmente, una aplicacin Web hace uso de sesiones para mantener el estado y suplir as la carencia de HTTP (protocolo sin estado) Conociendo el identificador de la sesin, se puede "generar" en otra mquina (atacante)

79

Session hijacking (secuestro de sesin)

Qu es una sesin?

Mecanismo utilizado para mantener "estado" entre distintas peticiones HTTP (protocolo sin estado) Son mantenidas por el servidor (las lee y escribe) Tienen un identificador El cliente (navegador) debe enviar ese identificador en cada peticin HTTP. De esta forma, el servidor sabe quin est enviando la peticin, recupera el estado y crea al usuario la ilusin de sesin Si alguien no autorizado se apropia (hijack) del identificador de la sesin, puede "recrear" la sesin en su mquina. Si el usuario estaba autenticado en la sesin, se consigue la suplantacin de su identidad

80

Session hijacking (secuestro de sesin)

Cmo enva el navegador el identificador de la sesin al servidor?

Como parte de la URL

http://www.sitio.com/%28X%281%29F%28iSji_itFJzJ9tZglJMvMyFw8v8-R4k0euN18LvcqPYXNA_ww1O6jVMReOBd4kI-3DM9w9PN3JXgqL2gp3oqjDqb3tk1%29%29/Default.aspx http://www.sitio.com/myservlet;jsessionid=1E6FEC0D14D044541DD84D2D013D29ED

En una cookie

81

Session hijacking (secuestro de sesin)

Hay varias formas de realizar un secuestro de sesin:

Session fixation:

El atacante establece el session id. P. ej: enviando un enlace que contiene el session id. Cuando la vctima pincha en el enlace, se crea la sesin, con el identificador que conoce el atacante. El atacante slo tiene que esperar a que la vctima se conecte

Sidejacking:

El atacante captura trfico de red con el objetivo de obtener el session id (a partir de la URL o de una cookie) <- veremos un ejemplo

Cross-site scripting (XSS):

El atacante consigue ejecutar cdigo en la mquina de la vctima simulando que pertenece a un servidor de confianza. El atacante podra utilizar esta capacidad de ejecucin de cdigo para robar el session id

82

Session sidejacking a partir de cookies con Wireshark

Pasos:
1.

Identificar la cookie que necesitamos "secuestrar"

Normalmente, los sitios Web utilizan varias cookies. Es necesario averiguar cul es la necesaria (normalmente, es suficiente con el token de autenticacin) Herramientas como Cookies Manager (plug-in para Firefox), permiten gestionar las cookies (buscar, editar, crear, )

83

Session sidejacking a partir de cookies con Wireshark

Pasos:
1.

Identificar la cookie que necesitamos "secuestrar" Capturar trfico de la vctima

2.

84

Session sidejacking a partir de cookies con Wireshark

Pasos:
1.

Identificar la cookie que necesitamos "secuestrar" Capturar trfico de la vctima Buscar la cookie

2. 3.

Wireshark permite realizar bsquedas en el contenido del trfico (Ctrl-F o Edit>Find Packet) Filtrando por "Set-Cookie:" podemos encontrar la cookie que buscamos Encontrado un paquete "candidato", la opcin "Follow TCP Stream" nos facilitar su interpretacin
85

Session sidejacking a partir de cookies con Wireshark

Pasos:
1.

Identificar la cookie que necesitamos "secuestrar" Capturar trfico de la vctima Buscar la cookie Crear una cookie con los datos obtenidos y almacenarla en el navegador

2. 3. 4.

Se puede hacer manualmente, pero existen herramientas que facilitan el trabajo (p. ej. Cookies Manager+)

86

Session sidejacking a partir de cookies con Wireshark

Pasos:
1.

Identificar la cookie que necesitamos "secuestrar" Capturar trfico de la vctima Buscar la cookie Crear una cookie con los datos obtenidos y almacenarla en el navegador Dirigirse a la URL del sitio

2. 3. 4.

5.

87

Session hijacking (secuestro de sesin)

Hay herramientas que permiten automatizar los pasos vistos previamente

Por ejemplo: Firesheep (plugin para firefox) Usuarios sin conocimientos pueden realizar el ataque

Mitigacin

Cierre de la sesin <- esto no da la garanta absoluta (algunas aplicaciones no responden correctamente) Prevenir la captura del trfico de nuestra mquina

Uso de protocolos seguros (a distintos niveles)

Muchos sitios Web en la actualidad permiten configurar el uso de https siempre (p. ej. Facebook o Twitter) Hay herramientas que nos ayudan a utilizar https siempre que sea posible (p. ej. HTTPS Everywhere)

Aplicar las recomendaciones vistas para prevenir ataques MitM

88

Bibliografa recomendada

Inteco. Anlisis de trfico con wireshark. Disponible en: http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_segu ridad_analisis_trafico_wireshark.pdf Kevin Lauerman and Jeff King, 2010. Layer 2 Attacks and Mitigation Techniques for the Cisco Catalyst 6500 Series Switches Running Cisco IOS Software. MAC Address Overflow Attack and Mitigation Techniques. White Paper. Disponible en: http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11 _603836.html SANS Institute. An Ettercap Primer. http://www.sans.org/reading_room/whitepapers/tools/ettercap-primer_1406 Santos del Riego, A (2013). Legislacin [Proteccin] y Seguridad de la Informacin. Disponible en: http://psi-udc.blogspot.com.

89