Spoofing NOMBRES: David Ponciano Valdez Mamani Seguridad en Redes Spoofing NOMBRES: David Ponciano Valdez Mamani Patricia Teodora Cosme Tancara

Spoofing Todo aquel tipo de ataques en el cual son utilizadas técnicas de suplantación de identidad. Desde el punto de vista del atacante, el spoofing suele ser utilizado básicamente para proveer información falsa acerca de su identidad, con el fin de ganar acceso no autorizado a un sistema, o tan solo para pretender ser algo que no es. Uno de los ataques de spoofing o suplantación más conocidos, sin dudas sea aquel relacionado con falsos programas de logon. En este escenario, un atacante desarrolla un programa de logon (fake logon) que se ve exactamente igual que el original y lo ejecuta en el equipo de la víctima.

IP SPOOFING: Suplantación de IP IP SPOOFING: Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. ARP SPOOFING: Suplantación por falsificación de tabla ARP. Se encuentra relacionado con la construcción de tramas de solicitud y respuesta ARP modificadas, a fin de falsear la tabla ARP de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. DNS SPOOFING: Suplantación por nombre de dominio. Se trata de falsear la relación "Nombre de dominio-IP" ante una consulta de resolución de nombre. MAIL SPOOFING: Suplantación de la dirección e-mail de otras personas o entidades. Dicha técnica suele ser utilizada con frecuencia en el envío de hoax y spam, como así también como suplemento perfecto para el uso de phising.

Introducción (1) Una computadora conectada a una red Ethernet tiene dos direcciones Dirección de NIC (dirección MAC) Globalmente única y no modificable que se almacena en la NIC. El header Ethernet contiene la dirección MAC de las máquinas fuente y destino. Dirección IP Cada computadora en una red debe tener una dirección IP única. Virtual y asignada por software.

IP Spoofing

Introducción (2) Paquetes Ethernet Tienen un header Ethernet (delivery) Los paquetes se fraccionan en frames Se envían por el cable hacia un switch (por ej.) El switch decide por cuál port debe mandar el frame. Para ello busca la dirección destino del frame en una tabla interna que mapea números de ports y direcciones MAC.

Introducción (3) En el momento en que el frame Ethernet es construido a partir de un paquete IP no se tiene idea de la MAC de la máquina destino. La única información disponible es la dirección IP destino. Debe existir una forma para que el protocolo Ethernet obtenga la MAC de la máquina destino dado el IP destino. Aquí es donde el protocolo ARP (Address Resolution Protocol) aparece en escena.

Adress Resolution & Reverse Adress Resolution

Encapsulamiento de ARP

Funcionamiento del ARP Cada host o router en la red recibe el frame. Todos los equipos lo pasan al ARP. Todas las máquinas, excepto la destino, descartan el paquete. La máquina destino responde con un mensaje ARP que contiene su dirección física. Mensaje unicast. El emisor recibe el mensaje de respuesta y obtiene la dirección física de la máquina destino.

Encapsulamiento RARP

Para evitar el envío de un paquete ARP request cada vez que se necesite un host puede mantener una cache con la dirección IP y su correspondiente dirección física en su (ARP cache). Cada entrada en la ARP suele ser “envejecida” para que luego de cierto tiempo de inactividad sea eliminada. Cuando una computadora recibe un ARP reply se actualiza su entrada en la ARP. El protocolo ARP es stateless, por lo tanto la mayoría de los sistemas operativos actualizarán su cache si reciben una respuesta (reply), sin importar si enviaron o no un pedido (request).

ARP Spoofing Construir respuestas ARP falsas. Una máquina target puede ser “convencida” de enviar frames a la computadora B, frames que originalmente estaban destinados a A. La computadora A no tendrá idea de esta redirección. Este proceso de actualizar la cache ARP de la máquina target se conoce como “ARP poisoning”.

switch A B Hacker IP:10.0.0.1 MAC:aa:aa:aa:aa ARP cache ARP cache ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc switch ARP reply falso MAC:cc:cc:cc:cc IP:10.0.0.2 A IP:10.0.0.1 MAC:aa:aa:aa:aa B IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC 10.0.0.2 bb:bb:bb:bb IP MAC 10.0.0.1 aa:aa:aa:aa

La cache de A fue “envenenada”. switch A IP:10.0.0.1 MAC:aa:aa:aa:aa B IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 aa:aa:aa:aa La cache de A fue “envenenada”.

ARP Spoofing Desde ahora todos los paquetes que A pretende enviar a B van a la máquina del hacker. La entrada en la cache tiende a expirar por lo tanto deberá enviar nuevamente el ARP reply. ¿Qué tan seguido? Depende del sistema particular. Generalmente cada 40 segundos es suficiente. Adicionalmente el hacker querrá que su driver Ethernet no “hable” demasiado: Por ejemplo puede efectuar un ifconfig -arp

Complicación Más vale prevenir que curar Se logra alimentando el sistema “mujer” con respuestas y de esta forma nunca necesitará preguntar. Un paquete (real) desde B hacia A será enviado por la máquina de hacker. ¿Qué tan seguido? Una vez más: 40 segundos es suficiente.

switch T1 T2 Hacker IP:10.0.0.1 MAC:aa:aa:aa:aa ARP cache ARP cache ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc ARP reply falso IP:10.0.0.2 MAC:cc:cc:cc:cc switch ARP reply falso MAC:cc:cc:cc:cc IP:10.0.0.2 T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC 10.0.0.2 bb:bb:bb:bb IP MAC 10.0.0.1 aa:aa:aa:aa

La cache de T1 fue envenenada. switch T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 aa:aa:aa:aa La cache de T1 fue envenenada.

switch T1 T2 Hacker IP:10.0.0.1 MAC:aa:aa:aa:aa ARP cache ARP cache ARP replies falsas IP:10.0.0.1 MAC:cc:cc:cc:cc switch ARP replies falsas MAC:cc:cc:cc:cc IP:10.0.0.1 T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 aa:aa:aa:aa

La cache de T2 fue envenenada. switch T1 IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc ARP cache ARP cache IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 cc:cc:cc:cc La cache de T2 fue envenenada.

T1 T2 Hacker switch Mensaje que debería haber ido a T2 El Hacker IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache Mensaje que debería haber ido a T2 El Hacker hará el fw del mensaje IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 cc:cc:cc:cc

T1 T2 Hacker switch El hacker hará el fw del mensaje Mensaje que IP:10.0.0.1 MAC:aa:aa:aa:aa T2 IP:10.0.0.2 MAC:bb:bb:bb:bb Hacker IP:10.0.0.3 MAC:cc:cc:cc:cc switch ARP cache El hacker hará el fw del mensaje Mensaje que debería ir a IP MAC 10.0.0.2 cc:cc:cc:cc IP MAC 10.0.0.1 cc:cc:cc:cc

Defensas contra el ARP Spoofing (1) No hay defensa universal. Utilizar entradas ARP estáticas No pueden actualizarse. Las respuestas ARP son ignoradas. La tabla ARP necesita una entrada estática por cada máquina presente en la red. Gran overhead Para diseminar estas tablas. Mantener las tablas actualizadas.

fin