La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Clase 21 Javier Echaiz D.C.I.C. – U.N.S. JAVIER ECHAIZ.

Presentaciones similares


Presentación del tema: "Clase 21 Javier Echaiz D.C.I.C. – U.N.S. JAVIER ECHAIZ."— Transcripción de la presentación:

1 Clase 21 Javier Echaiz D.C.I.C. – U.N.S. JAVIER ECHAIZ

2 Seguridad en Sistemas: Sniffing 2 Introducción Sniffing es simplemente espiar pasivamente en una red. Es una técnica empleada por hackers para obtener información importante. Ej: –Username –Password Puede también utilizarse como técnica de investigación.

3 Seguridad en Sistemas: Sniffing 3 EstructuraLAN Estructura LAN Computadoras y demás dispositivos de red (ej: impresoras) están interconectados mediante un medio de transmisión común. Sistema de cableado –Par trenzado –Coaxil –Fibra óptica

4 Seguridad en Sistemas: Sniffing 4 (a) RAM ROM Ethernet Processor (b)

5 Seguridad en Sistemas: Sniffing 5 Los standards de red definen los protocolos a nivel Link. –Ej: Conectores Longitud máxima para el cableado Sistema de transmisión Modulación Velocidad de transmisión Etc.

6 Seguridad en Sistemas: Sniffing 6 Los dispositivos de red se conectan al sistema a través de –Network interface card (NIC) NIC: –Coordina las transferencias de información entre la computadora y la red. –Transfiere información en paralelo desde y hacia la RAM de la computadora. –Transfiere información en serie desde y hacia la red.

7 Seguridad en Sistemas: Sniffing 7 –Funciones Conversión Paralelo a Serie. Data buffering. –Componentes Port según las especificaciones de conector y sistema de transmisión. Firmware en ROM que implementa el protocolo de MAC. –Cada NIC tiene una única dirección física quemada en ROM Los primeros 3 bytes corresponden al fabricante. Los últimos 3 son un ID a cargo del fabricante.

8 Seguridad en Sistemas: Sniffing 8 –Contiene HW que le permite reconocer Su dirección física Dirección broadcast Direcciones multicast que identifican grupos de dispositivos de red. –Puede setearse para que corra en modo promiscuo, donde es capaz de escuchar todas las transmisiones. Usuado por administradores para identificar problemas en la red. Usado por hackers para interceptar passwords y otro tipo de información no encriptada.

9 Seguridad en Sistemas: Sniffing 9 10Base510Base210BaseT10BaseF Medium Thick Coax Thin Coax Twisted pair Optical fiber Max Segment length 500m200m100m2km Topology Bus StarPoint- to-Point link TopologíaLan Topología Lan

10 Seguridad en Sistemas: Sniffing 10 (a) (b) transceivers

11 Seguridad en Sistemas: Sniffing 11 (a) (b) Backplane de Alta Velocidad Dominio de colisión único

12 Seguridad en Sistemas: Sniffing 12 ¿CómofuncionanlosSniffers? (1) ¿Cómo funcionan los Sniffers? (1) Un sniffer de paquetes es un programa que espía el tráfico que circula por la red. Captura información mientras pasa por la red. Condiciones Normales: –La información es puesta en frames. –Cada frame se direcciona hacia una dirección MAC (media access control) particular.

13 Seguridad en Sistemas: Sniffing 13 –Cada NIC y demás dispositivos de red tienen una única dirección MAC. –Usualmente no se permiten cambios de MAC. –La NIC solamente recibe paquetes con su dirección MAC, todos los demás se ignoran. Modo Promiscuo –En este modo, la NIC pasará cada frame al protocolo superior sin importar la dirección MAC. ¿CómofuncionanlosSniffers? (2) ¿Cómo funcionan los Sniffers? (2)

14 Seguridad en Sistemas: Sniffing 14 HTTP Request TCP Header IP Header Frame Check Sequence Ethernet Header

15 Seguridad en Sistemas: Sniffing 15 SnifferSimple Sniffer Simple Socket() Bind() Promiscuous mode Recvfrom()

16 Seguridad en Sistemas: Sniffing 16 socket() bind() listen() read() close() socket() connect() read() write() close() blocks until server receives a connect request from client data Server Client accept() write() connect negotiation Comunicación connection-oriented (para refrescar su memoria)

17 Seguridad en Sistemas: Sniffing 17 socket() bind() sendto() close() socket() bind() recvfrom() sendto() close() blocks until server receives data from client data Server Client recvfrom() Comunicación connectionless (para refrescar su memoria)

18 Seguridad en Sistemas: Sniffing 18 ioctl –Utilizada por los programadores para Obtener información de la interfaz Configurar la interfaz. Acceder a la tabla de ruteo. Cache ARP. –Puede utilizarse para poner la NIC en modo promiscuo! ioctl (1)

19 Seguridad en Sistemas: Sniffing 19 ioctl(int fd, int request, /*void *arg */); fd: sockfd request: type of the request –SIOCGIFFLAGS Return the interface flags in the ifr_flags member –SIOCSIFFLAGS Set the interface flags from the ifr_flags member arg: address of an ifr record ioctl (2)

20 Seguridad en Sistemas: Sniffing 20 Código para un sniffer simple: SnifferSimple (Código) Sniffer Simple (Código)

21 Seguridad en Sistemas: Sniffing 21 –El Sniffer puede entonces examinar información interesante Headers. Username y password. –Protocolos interesantes para los hackers (1) telnet (port 23) ftp (port 21) POP (port 110) IMAP (port 143) NNTP (port 119) Rexec (port 512)

22 Seguridad en Sistemas: Sniffing 22 –Protocolos interesantes para los hackers (2) rlogin (port 513) X11 (port 6000+) NFS files Handles Windows NT authentication SMTP (Port 25) HTTP (Port 80) –También se pueden mirar mensajes TCP, IP, UDP, ICMP, ARP, RARP.

23 Seguridad en Sistemas: Sniffing 23 ¿QuépuedehacerunSniffer? (1) ¿Qué puede hacer un Sniffer? (1) Determinar el gateway local de una red desconocida. Simple password sniffer. –Haciendo parsing de cada paquete y guardando información relevante. Guardar todas las URLs pedidas (a partir del tráfico HTTP) y analizarlas offline.

24 Seguridad en Sistemas: Sniffing 24 –Interceptar paquetes de un host destino falseando respuestas ARP. –Inundar la red local con direcciones MAC random. ¿QuépuedehacerunSniffer? (2) ¿Qué puede hacer un Sniffer? (2)

25 Seguridad en Sistemas: Sniffing 25 DeteccióndeQuietSniffers Detección de Quiet Sniffers Propiedades –Recolectar datos únicamente –No responder ni generar nuevo tráfico Requiere chequeo físico –Conexiones Ethernet –Chequear la configuración de la NIC ej. ifconfig -a

26 Seguridad en Sistemas: Sniffing 26 DeteccióndeSniffersMaliciosos (1) Detección de Sniffers Maliciosos (1) DNS Test –Crear numerosas conexiones falsas de TCP –Esperando que un sniffer mal escrito Espie esas conexiones. Resuelva los IPs de esos hosts inexistentes. –Cuando hace la búsqueda DNS (reverse), una herramienta de detección de este tipo de ataque puede ver si el target (haciendo sniffing ) es el host inexistente.

27 Seguridad en Sistemas: Sniffing 27 Ping Test –Construir un ICMP echo request Inicializar la dirección IP con el IP del host sospechado. Deliberadamente elegir una MAC que no corresponda. –La mayoria de los sistemas ignorarán este paquete debido a que su dirección (HW) está mal. –En algunos sistemas, si la NIC está en modo promiscuo, el sniffer tomará este paquete como legítimo y responderá acordemente. –Si el host sospechado responde a nuestro pedido sabremos que está en modo promiscuo. –Los hackers capacitados saben esto y filtran estos paquetes… DeteccióndeSniffersMaliciosos (2) Detección de Sniffers Maliciosos (2)

28 Seguridad en Sistemas: Sniffing 28 ICMP Ping Latency Test –Hacerle un ping al host sospechado y obtener el round trip time. –Crear muchas conexiones TCP falsas. –Esperar que el sniffer procese estos paquetes… la latencia se incrementará. –Enviar un nuevo ping a la máquina sospechada para ver si el round trip time aumentó. DeteccióndeSniffersMaliciosos (3) Detección de Sniffers Maliciosos (3)

29 Seguridad en Sistemas: Sniffing 29 ARP Test –Enviar un pedido ARP al host sospechado con información válida salvo por la dirección de MAC destino. –Una máquina que no está en modo promiscuo nunca vería este paquete. –Si está en modo promiscuo, el pedido ARP sería visto y el kernel respondería… DeteccióndeSniffersMaliciosos (4) Detección de Sniffers Maliciosos (4)

30 Seguridad en Sistemas: Sniffing 30 EvitandoelSniffing (1) Evitando el Sniffing (1) La mejor forma de evitar este problema es no permitirle al hacker acceso a nuestros sistemas. Utilizar switches en lugar de hubs. –Con un hub todo el tráfico es visible para cada máquina de la LAN en el mismo dominio de colisión. –En un ambiente con switches, los frames son vistos únicamente por las interfaces colgadas en cada port.

31 Seguridad en Sistemas: Sniffing 31 –Sin embargo algunos sniffers pueden espiar en redes switcheadas. –La mejor forma de evitar los daños causados por un sniffer es no enviar usernames/passwords planos por la red. –La encripción es crucial. –Usar SSH en vez de telnet. –Usar HTTPS en vez de HTTP. –Usar SCP y SFTP para transferencia de archivos. EvitandoelSniffing (2) Evitando el Sniffing (2)

32 Seguridad en Sistemas: Sniffing 32 TécnicasAvanzadasdeSniffing (1) Técnicas Avanzadas de Sniffing (1) ¿Qué tan seguro es un switch? –Los switches mantienen una lista interna de las direcciones MACs de los hosts que se encuentran en cada port. –Se envía el tráfico unicamente a un port solamente si la dirección destino está presente en ese port. –Los atacantes tienen nuevas formas para evitar estos avances tecnológicos.

33 Seguridad en Sistemas: Sniffing 33 ARP Spoofing –Es posible sobreescribir la cache ARP en muchos sistemas operativos. –Es posible asociar la dirección MAC con la dirección IP del gateway default. –Provocar que todo el tráfico saliente desde el host target sea transmitido al host del atacante. –El hacker puede tambien falsificar respuestas ARP. El sniffer Dsniff (Dug Song) incluye un programa llamado arpredirect que hace exactamente esto. TécnicasAvanzadasdeSniffing (2) Técnicas Avanzadas de Sniffing (2)

34 Seguridad en Sistemas: Sniffing 34 ARP Flooding –Un switch debe mantener una tabla de todas las MACs colgadas de cada port. –Si existen muchas direcciones MACs en un solo port algunos switches mandan todo el tráfico a ese port. Ej: switches que replican todo el tráfico en un port dado (fines estadísticos). –Dsniff incluye un programa macof que facilita el flooding de un switch con direcciones MAC random. TécnicasAvanzadasdeSniffing (3) Técnicas Avanzadas de Sniffing (3)

35 Seguridad en Sistemas: Sniffing 35 Routing Games –Cambiamos la tabla de ruteo del host que queremos monitorear Todo el tráfico de la red pasará a través de nuestro host. –Enviamos un route advertisement message falso a través del Routing Information Protocol (RIP). –Nos declaramos a nosotros mismos como gw default. –Habilitamos el IP forwarding y seteamos el default gw a la red real. –Todo el tráfico saliente del host pasará por nuestro host. –No podemos recibir tráfico de retorno. TécnicasAvanzadasdeSniffing (4) Técnicas Avanzadas de Sniffing (4)

36 Seguridad en Sistemas: Sniffing 36 AlgunosSniffers (1) Algunos Sniffers (1) Tcpdump –http://www.tcpdump.org Hunt –http://www.cri.cz/kra/index.html Linux-Sniff –http://packetstorm.securify.com Sniffit –http://rpmfind.net/linux/RPM/freshmeat/sniffit/index.ht ml Ethereal –http://ethereal.zing.org

37 Seguridad en Sistemas: Sniffing 37 Snort –http://www.snort.org Karpski –http://mojo.calyx.net/~btx/karpski.html Gnusniff –http://www.oz .com.au/~peterhawkins/gnu sniff.html Dsniff –http://www.monkey.org/~dugsong AlgunosSniffers (2) Algunos Sniffers (2)


Descargar ppt "Clase 21 Javier Echaiz D.C.I.C. – U.N.S. JAVIER ECHAIZ."

Presentaciones similares


Anuncios Google