La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Redes ARP Spoofing.

Publicada porLoída Olivero Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad en Redes ARP Spoofing."— Transcripción de la presentación:

1 Seguridad en Redes ARP Spoofing

2 Introducción (1) Una computadora conectada a una red Ethernet tiene dos direcciones Dirección de NIC (dirección MAC) Globalmente única y no modificable que se almacena en la NIC. El header Ethernet contiene la dirección MAC de las máquinas fuente y destino. Dirección IP Cada computadora en una red debe tener una dirección IP única. Virtual y asignada por software.

3 Introducción (2) Paquetes Ethernet
Tienen un header Ethernet (delivery) Los paquetes se fraccionan en frames Se envían por el cable hacia un switch (por ej.) El switch decide por cuál port debe mandar el frame. Para ello busca la dirección destino del frame en una tabla interna que mapea números de ports y direcciones MAC.

4 Introducción (3) En el momento en que el frame Ethernet es construido a partir de un paquete IP no se tiene idea de la MAC de la máquina destino. La única información disponible es la dirección IP destino. Debe existir una forma para que el protocolo Ethernet obtenga la MAC de la máquina destino dado el IP destino. Aquí es donde el protocolo ARP (Address Resolution Protocol) aparece en escena.

5 Adress Resolution & Reverse Adress Resolution

6

7

8 Encapsulamiento de ARP

9 Funcionamiento del ARP (1)
Obtener la dirección IP del destino. Crear un mensaje ARP de pedido (request). Insertar la dirección física del emisor (sender). Insertar la dirección IP del emisor. Insertar la dirección IP del destino. La dirección física del destino se llena con 0. El mensaje se pasa a la capa link donde es encapsulado en un frame. Dirección fuente: dirección física del emisor. Dirección destino: dirección broadcast.

10 Funcionamiento del ARP (2)
Cada host o router en la red recibe el frame. Todos los equipos lo pasan al ARP. Todas las máquinas, excepto la destino, descartan el paquete. La máquina destino responde con un mensaje ARP que contiene su dirección física. Mensaje unicast. El emisor recibe el mensaje de respuesta y obtiene la dirección física de la máquina destino.

11

12

13 Proxy ARP

14

15

16 Encapsulamiento RARP

17 Para evitar el envío de un paquete ARP request cada vez que se necesite un host puede mantener una cache con la dirección IP y su correspondiente dirección física en su tabla ARP (ARP cache). Cada entrada en la tabla ARP suele ser “envejecida” para que luego de cierto tiempo de inactividad sea eliminada. Cuando una computadora recibe un ARP reply se actualiza su entrada en la tabla ARP. El protocolo ARP es stateless, por lo tanto la mayoría de los sistemas operativos actualizarán su cache si reciben una respuesta (reply), sin importar si enviaron o no un pedido (request).

18 ARP Spoofing Construir respuestas ARP falsas.
Una máquina target puede ser “convencida” de enviar frames a la computadora B, frames que originalmente estaban destinados a A. La computadora A no tendrá idea de esta redirección. Este proceso de actualizar la cache ARP de la máquina target se conoce como “ARP poisoning”.

19 switch A B Hacker IP:10.0.0.1 MAC:aa:aa:aa:aa ARP cache ARP cache
ARP reply falso IP: MAC:cc:cc:cc:cc ARP reply falso IP: MAC:cc:cc:cc:cc switch ARP reply falso MAC:cc:cc:cc:cc IP: A IP: MAC:aa:aa:aa:aa B IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC bb:bb:bb:bb IP MAC aa:aa:aa:aa

20 La cache de A fue “envenenada”.
switch A IP: MAC:aa:aa:aa:aa B IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC cc:cc:cc:cc IP MAC aa:aa:aa:aa La cache de A fue “envenenada”.

21 ARP Spoofing Desde ahora todos los paquetes que A pretende enviar a B van a la máquina del hacker. La entrada en la cache tiende a expirar por lo tanto deberá enviar nuevamente el ARP reply. ¿Qué tan seguido? Depende del sistema particular. Generalmente cada 40 segundos es suficiente. Adicionalmente el hacker querrá que su driver Ethernet no “hable” demasiado: Por ejemplo puede efectuar un ifconfig -arp

22 Complicación (1) Algunos sistemas pueden tratar de actualizar su cache enviando un pedido ARP (unicast). Como cuando mi mujer me llama sólo para saber si estoy aquí.  Un pedido de este tipo puede estropear las cosas porque puede cambiar la entrada ARP de la víctima eliminando la entrada que el hacker falsificó. Una computadora también puede guardar en su cache la dirección MAC que apareció en el pedido ARP.

23 Complicación (2) Más vale prevenir que curar
Se logra alimentando el sistema “mujer” con respuestas y de esta forma nunca necesitará preguntar. Un paquete (real) desde B hacia A será enviado por la máquina de hacker. ¿Qué tan seguido? Una vez más: 40 segundos es suficiente.

24 Ataque Man-in-the-Middle (1)
Un hacker inserta su computadora en el camino (comunicaciones) entre dos máquinas target. El hacker hará el forward de los frames entre estas dos computadoras y así las comunicaciones no se interrumpirán. Por ejemplo Hunt, Ettercap, etc. Se consiguen facilmente en la web.

25 Ataque Man-in-the-Middle (2)
El ataque se efectúa de la siguiente forma: Sea X la máquina del hacker. Sean T1 y T2 las máquinas target. X envenena las caches ARP de T1 y de T2. T1 asocia el IP de T2 con la MAC de X. T2 asocia el IP de T1 con la MAC de X. Todo el tráfico entre T1 y T2 pasa primero por X.

26 switch T1 T2 Hacker IP:10.0.0.1 MAC:aa:aa:aa:aa ARP cache ARP cache
ARP reply falso IP: MAC:cc:cc:cc:cc ARP reply falso IP: MAC:cc:cc:cc:cc switch ARP reply falso MAC:cc:cc:cc:cc IP: T1 IP: MAC:aa:aa:aa:aa T2 IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC bb:bb:bb:bb IP MAC aa:aa:aa:aa

27 La cache de T1 fue envenenada.
switch T1 IP: MAC:aa:aa:aa:aa T2 IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC cc:cc:cc:cc IP MAC aa:aa:aa:aa La cache de T1 fue envenenada.

28 switch T1 T2 Hacker IP:10.0.0.1 MAC:aa:aa:aa:aa ARP cache ARP cache
ARP replies falsas IP: MAC:cc:cc:cc:cc switch ARP replies falsas MAC:cc:cc:cc:cc IP: T1 IP: MAC:aa:aa:aa:aa T2 IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC cc:cc:cc:cc IP MAC aa:aa:aa:aa

29 La cache de T2 fue envenenada.
switch T1 IP: MAC:aa:aa:aa:aa T2 IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC cc:cc:cc:cc IP MAC cc:cc:cc:cc La cache de T2 fue envenenada.

30 T1 T2 Hacker switch Mensaje que debería haber ido a T2 El Hacker
IP: MAC:aa:aa:aa:aa T2 IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc switch ARP cache Mensaje que debería haber ido a T2 El Hacker hará el fw del mensaje IP MAC cc:cc:cc:cc IP MAC cc:cc:cc:cc

31 T1 T2 Hacker switch El hacker hará el fw del mensaje Mensaje que
IP: MAC:aa:aa:aa:aa T2 IP: MAC:bb:bb:bb:bb Hacker IP: MAC:cc:cc:cc:cc switch ARP cache El hacker hará el fw del mensaje Mensaje que debería ir a IP MAC cc:cc:cc:cc IP MAC cc:cc:cc:cc

32 Tipos posibles de Ataque (1)
Sniffing Al utilizar ARP spoofing todo el tráfico puede dirigirse hacia el hacker. Ahora es posible hacer sniffing en una red switcheada. DoS (Denial of Service) Actualizar una cache ARP con MACs no existentes puede provocar que se descarten frames. Estas MACs inexistentes pueden envierse a todos los clientes en la red con el objetivo de causar un DoS.

33 Tipos posibles de Ataque (2)
Esto también puede llevar a un ataque post-MiM: las computadoras target seguirán enviando frames a la MAC del atacante aún despues de haber sido removidas del camino de comunicación. El hacker debe restaurar las entradas ARP para lograr un ataque MiM “limpio”. Hijacking Utilizando el ataque MiM todo el tráfico de una conexión TCP pasará primero por el hacker. Comparado con los exploits TCP ahora es mucho más sencillo hacer el hijack (apropiación) de una sesión TCP.

34 Tipos posibles de Ataque (3)
Broadcasting Se pueden mandar frames por broadcast (a toda la red) simplemente seteando la dirección destino a FF:FF:FF:FF:FF:FF (broadcast MAC). Si se inunda la red con respuestas ARP falsificadas capaces de setear la MAC del gateway a la dirección de broadcast, toda la información que debería enviarse a redes externas es ahora enviada por broadcast a la red local, habilitando el sniffing. Si un hacker escucha los pedidos ARP y genera respuestas con la dirección broadcast se enviarán grandes volúmenes de información a las redes.

35 Tipos posibles de Ataque (4)
Cloning Supuestamente una dirección MAC es única. Es posible cambiar la MAC de una placa de red (quemada en su ROM) En algunos sistemas operativos es posible cambiar (a nivel del S.O.) la MAC. ifconfig Un atacante puede causar un DoS en una máquina target, luego asignarse a sí mismo el IP y la MAC de la máquina target y así recibir todos los frames destinados hacia la máquina que acaba de “reemplazar”.

36 Defensas contra el ARP Spoofing (1)
No hay defensa universal. Utilizar entradas ARP estáticas No pueden actualizarse. Las respuestas ARP son ignoradas. La tabla ARP necesita una entrada estática por cada máquina presente en la red. Gran overhead Para diseminar estas tablas. Mantener las tablas actualizadas.

37 Defensas contra el ARP Spoofing (2)
Windows todavía acepta respuestas ARP falsificadas y es capaz de actualizar una entrada estática con la MAC falsa. Port Security También conocido como port binding o MAC Binding. Es una característica presente en los switches de alta calidad. Previene cambios en las tablas MAC de un switch. A menos que un administrador lo haga manualmente. No aplicable ni a redes grandes ni a redes que utilizan DHCP.

38 Defensas contra el ARP Spoofing (3)
Arpwatch Programa UNIX gratis que “escucha” respuestas ARP en una red. Construye una tabla donde se asocian IPs y MACs y se almacena en un archivo. Cuando cambia un par MAC/IP (flip-flop) envía un al administrador. En redes donde se producen frecuentes flip-flops, por ejemplo si está habilitado el servicio de DHCP, es difícil detectar flip-flops provocados por atacantes.

39 Defensas contra el ARP Spoofing (4)
RARP (Reverse ARP) Se pide un IP a partir de una MAC conocida. Detecta el problema de MAC cloning. Se detecta el cloning cuando se reciben múltiples respuestas para un único RARP.

40 Notas (1) Diferentes S.Os. pueden comportarse distinto
Solaris acepta actualizaciones ARP solamente después de un período de timeout. Para “envenenar” la cache de una máquina Solaris un atacante tendría que lograr un DoS sobre la segunda máquina target. Este DoS puede detectarse empleando algunas herramientas.

41 Notas (2) ARP gratuito El IP fuente y destino en el pedido ARP es el mismo. En forma de broadcast. Algunas implementaciones lo reconocen como un caso especial, donde un sistema envía información actualizada acerca de él mismo a todo el mundo. Un solo paquete puede estropear toda la red.

42 Seguridad en Redes ICMP Redirect

43 Introducción El mensaje ICMP route redirect es general-mente enviado por el default router al sistema para indicar que existe una ruta más corta para un destino particular. Un hacker puede falsificar un mensaje ICMP redirect para lograr un efecto similar al provocado por el problema de ARP cache poisoning.

44 Internet Control Message Protocol (ICMP)
El ICMP fue diseñado para hacer frente a las deficiencias del protocolo IP el protocolo IP no tiene mecanismos de reporte y corrección de errores. Por ejemplo descartar un datagrama debido a que no se encuentra el router o el campo time-to-live tiene un valor 0. Al protocolo IP también le falta un mecanismo de manejo de queries. Por ejemplo se necesita información de otro host o de un router.

45 Posición del ICMP en capa Network

46 Mensaje ICMP El ICMP forma un protocolo de capa de red por sí mismo. Sin embargo sus mensajes no se pasan directamente a la capa link, primero son encapsulados en datagramas IP.

47 Formato general de un mensaje ICMP

48 Mensajes ICMP 3: Destination unreachable 4: Source quench
11: time exceeded 12: Parameter Problem 5: Redirection 8,0: Echo request or reply 13,14: Timestamp request and reply 17,18: Address mask request and 10,9: Route solicitation and advertisement

49 Redirección (1) Cuando un router o un host necesita enviar un paquete destinado a otra red, debe conocer la dirección IP apropiada del router próximo. Cada router y cada host debe tener una tabla de ruteo. Por cuestiones de eficiencia usualmente los hosts no toman parte en el proceso de actua-lización del ruteo. Ruteo estático.

50 Redirección (2) Habitualmente la tabla de ruteo de un host tiene un número limitado de entradas. Conoce el IP de un único router, el default router. El host puede enviar un datagrama (a otra red) a un router equivocado. El router que recibe estos datagramas hará un forward del datagrama hacia el router correcto. una actualización de la tabla de ruteo del host enviándole un mensaje de redirección.

51 Redirección (3)

52 Redirección (4) Code 0: Redirección para ruteo específico de red.
Code 1: Redirección para ruteo específico de host. Code 2: Redirección para ruteo específico de red basado en el tipo de servicio especificado. Code 3: Redirección para ruteo específico de host basado

53 Redirección (5)

54 Redirección (6) Algunos hosts realizan algunos chequeos antes de modificar su tabla de ruteo al recibir un mensaje ICMP redirect. Estos chequeos tratan de prevenir problemas a partir de un router/host que se encuentra funcionando mal o un usuario malicioso, que esta modificando una tabla de ruteo de un sistema. Sin embargo no es difícil crear un mensaje ICMP falso, el cual puede pasar exitosamente todos estos tests.

55 Redirección (7) Items que pueden ser verificados.
El nuevo router debe encontrarse conectado en forma directa a la red. El mensaje de redirección debe ser enviado por el router actual para ese destino. El mensaje de redirección no puede decirle al host que utilice al emisor del mensaje de redirección como router. La ruta que está siendo modificada debe ser una ruta indirecta.

56 ICMP Spoofing Un hacker puede falsificar un mensaje ICMP redirect para lograr un efecto similar al producido por ARP cache poisoning. Suponga que el hacker ( ) trata de convencer al target ( ) que el camino más corto a es a través de Suponga que el router original es Se enviará el siguiente paquete falso.

57 Destination IP address (137.189.89.176) Option Type (5) Code (1)
VER HLEN Service Type PACKET_LEN Identification Flag Fragmentation offset Time to live Protocol (ICMP) Header Checksum Source IP address ( ) Destination IP address ( ) Option Type (5) Code (1) Checksum IP address of the target router ( ) Protocol (IPPROTO_IP) Source IP address ( ) Destination IP address ( ) 8 bytes of data IP header ICMP Embedded header No necesita llenarse en el mensaje falso

58 Propiedades Algunas propiedades del ICMP redirect
A diferencia de las entradas de la cache ARP las entradas de ruteo no expiran con el tiempo. en algunos sistemas si expiran (ej. redhat 7.2) El ataque puede lanzarse desde cualquier lugar. Se puede conseguir evitar que el target se comunique con cualquier dirección fuera de su subnet (DoS).

59 Tipos posibles de Ataque
Sniffing Man-in-the-middle Session hijack DoS Nameserver Router

60 Prevención (1) Firewall
Bloquea todos los mensajes ICMP redirect provenientes del exterior de la LAN. No es bueno confiar ciegamente y unicamente en el firewall. No puede bloquear hackers que tienen acceso a nuestra red local. Simplemente descartar todos los ICMP redirect en su host.

61 Prevención (2) Para redhat 6.1 Para redhat 6.2 o superior
Debe resetear su red para que los cambios tengan efecto for f in /proc/sys/net/ipv4/a done Agregar las siguientes líneas al archivo /etc/sysctl.conf: # Disable ICMP Redirect Acceptance net.ipv4.conf.all.accept_redirects = 0 /etc/rc.d/init.d/network restart

Descargar ppt "Seguridad en Redes ARP Spoofing."

Presentaciones similares

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
Dirección IP - Características

Dirección IP - Características
Respuestas Jack y la mata de frijoles /60. 1.vivía 2.estaba 3.estaba 4.era 5.llamaba 6.gustaba 7.comía 8.dormía 9.gustaba 10.llamó 11.dijo 12.había 13.quería.

Respuestas Jack y la mata de frijoles /60. 1.vivía 2.estaba 3.estaba 4.era 5.llamaba 6.gustaba 7.comía 8.dormía 9.gustaba 10.llamó 11.dijo 12.había 13.quería.
Conocimiento, Uso y Evaluación de Medicamentos Genéricos

Conocimiento, Uso y Evaluación de Medicamentos Genéricos
Los números del 0 al cero uno dos tres cuatro cinco 6 7 8

Los números del 0 al cero uno dos tres cuatro cinco 6 7 8
Curso de Java Java – Redes Rogelio Ferreira Escutia.

Curso de Java Java – Redes Rogelio Ferreira Escutia.
Universidad San Martín de Porres

Universidad San Martín de Porres
1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO 2005 30 mayo 2005.

1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO mayo 2005.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO de Junio de 2005.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
TEMA 5.- 1ª PARTE. EL A.O. Y SUS APLICACIONES

TEMA 5.- 1ª PARTE. EL A.O. Y SUS APLICACIONES
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó

Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó
Respuestas Buscando a Nemo.

Respuestas Buscando a Nemo.
ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO

ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO
Clase 16 Jairo y su hija. La mujer con flujo de sangre. Dos ciegos.

Clase 16 Jairo y su hija. La mujer con flujo de sangre. Dos ciegos.

Presentaciones similares

Anuncios Google