Seguridad en Redes Sniffing Clase 21 Javier Echaiz D.C.I.C. – U.N.S. http://cs.uns.edu.ar/~jechaiz je@cs.uns.edu.ar
Introducción Sniffing es simplemente “espiar” pasivamente en una red. Es una técnica empleada por hackers para obtener información importante. Ej: Username Password Puede también utilizarse como técnica de investigación.
Estructura LAN Computadoras y demás dispositivos de red (ej: impresoras) están interconectados mediante un medio de transmisión común. Sistema de cableado Par trenzado Coaxil Fibra óptica
(a) (b) RAM Ethernet Processor RAM ROM
Los standards de red definen los protocolos a nivel Link. Ej: Conectores Longitud máxima para el cableado Sistema de transmisión Modulación Velocidad de transmisión Etc.
Los dispositivos de red se conectan al sistema a través de Network interface card (NIC) NIC: Coordina las transferencias de información entre la computadora y la red. Transfiere información en paralelo desde y hacia la RAM de la computadora. Transfiere información en serie desde y hacia la red.
Cada NIC tiene una única dirección física “quemada” en ROM Funciones Conversión Paralelo a Serie. Data buffering. Componentes Port según las especificaciones de conector y sistema de transmisión. Firmware en ROM que implementa el protocolo de MAC. Cada NIC tiene una única dirección física “quemada” en ROM Los primeros 3 bytes corresponden al fabricante. Los últimos 3 son un ID a cargo del fabricante.
Contiene HW que le permite reconocer Su dirección física Dirección broadcast Direcciones multicast que identifican grupos de dispositivos de red. Puede setearse para que corra en modo “promiscuo”, donde es capaz de escuchar todas las transmisiones. Usuado por administradores para identificar problemas en la red. Usado por hackers para interceptar passwords y otro tipo de información no encriptada.
Topología Lan Thick Coax Thin Twisted pair Optical fiber 500m 200m 10Base5 10Base2 10BaseT 10BaseF Medium Thick Coax Thin Twisted pair Optical fiber Max Segment length 500m 200m 100m 2km Topology Bus Star Point-to-Point link
(a) transceivers (b)
(a) (b) Dominio de colisión único Backplane de Alta Velocidad Dominio de colisión único Backplane de Alta Velocidad (b)
¿Cómo funcionan los Sniffers? (1) Un sniffer de paquetes es un programa que “espía” el tráfico que circula por la red. Captura información mientras pasa por la red. Condiciones Normales: La información es puesta en frames. Cada frame se direcciona hacia una dirección MAC (media access control) particular.
¿Cómo funcionan los Sniffers? (2) Cada NIC y demás dispositivos de red tienen una única dirección MAC. Usualmente no se permiten cambios de MAC. La NIC solamente recibe paquetes con su dirección MAC, todos los demás se ignoran. Modo Promiscuo En este modo, la NIC pasará cada frame al protocolo superior sin importar la dirección MAC.
HTTP Request TCP Header IP Header Frame Check Sequence Ethernet Header
Sniffer Simple Socket() Bind() Promiscuous mode Recvfrom()
Comunicación connection-oriented (para refrescar su memoria) socket() bind() listen() read() close() connect() write() blocks until server receives a connect request from client data Server Client accept() connect negotiation Comunicación connection-oriented (para refrescar su memoria)
Comunicación connectionless (para refrescar su memoria) socket() bind() sendto() close() recvfrom() blocks until server receives data from client data Server Client Comunicación connectionless (para refrescar su memoria)
ioctl (1) ioctl Utilizada por los programadores para Obtener información de la interfaz Configurar la interfaz. Acceder a la tabla de ruteo. Cache ARP. Puede utilizarse para poner la NIC en modo promiscuo!
ioctl (2) ioctl(int fd, int request, /*void *arg */); fd: sockfd request: type of the request SIOCGIFFLAGS Return the interface flags in the ifr_flags member SIOCSIFFLAGS Set the interface flags from the ifr_flags member arg: address of an ifr record
Sniffer Simple (Código) Código para un sniffer simple:
El Sniffer puede entonces examinar información interesante Headers. Username y password. Protocolos interesantes para los hackers (1) telnet (port 23) ftp (port 21) POP (port 110) IMAP (port 143) NNTP (port 119) Rexec (port 512)
Protocolos interesantes para los hackers (2) rlogin (port 513) X11 (port 6000+) NFS files Handles Windows NT authentication SMTP (Port 25) HTTP (Port 80) También se pueden “mirar” mensajes TCP, IP, UDP, ICMP, ARP, RARP.
¿Qué puede hacer un Sniffer? (1) Determinar el gateway local de una red desconocida. Simple password sniffer. Haciendo parsing de cada paquete y guardando información relevante. Guardar todas las URLs pedidas (a partir del tráfico HTTP) y analizarlas offline.
¿Qué puede hacer un Sniffer? (2) Interceptar paquetes de un host destino falseando respuestas ARP. Inundar la red local con direcciones MAC random.
Detección de Quiet Sniffers Propiedades Recolectar datos únicamente No responder ni generar nuevo tráfico Requiere chequeo físico Conexiones Ethernet Chequear la configuración de la NIC ej. ifconfig -a
Detección de Sniffers Maliciosos (1) DNS Test Crear numerosas conexiones falsas de TCP Esperando que un sniffer mal escrito Espie esas conexiones. Resuelva los IPs de esos hosts inexistentes. Cuando hace la búsqueda DNS (reverse), una herramienta de detección de este tipo de ataque puede ver si el target (haciendo sniffing ) es el host inexistente.
Detección de Sniffers Maliciosos (2) Ping Test Construir un ICMP echo request Inicializar la dirección IP con el IP del host sospechado. Deliberadamente elegir una MAC que no corresponda. La mayoria de los sistemas ignorarán este paquete debido a que su dirección (HW) está mal. En algunos sistemas, si la NIC está en modo promiscuo, el sniffer tomará este paquete como legítimo y responderá acordemente. Si el host sospechado responde a nuestro pedido sabremos que está en modo promiscuo. Los hackers “capacitados” saben esto y filtran estos paquetes…
Detección de Sniffers Maliciosos (3) ICMP Ping Latency Test Hacerle un ping al host sospechado y obtener el round trip time. Crear muchas conexiones TCP falsas. Esperar que el sniffer procese estos paquetes… la latencia se incrementará. Enviar un nuevo ping a la máquina sospechada para ver si el round trip time aumentó.
Detección de Sniffers Maliciosos (4) ARP Test Enviar un pedido ARP al host sospechado con información válida salvo por la dirección de MAC destino. Una máquina que no está en modo promiscuo nunca vería este paquete. Si está en modo promiscuo, el pedido ARP sería visto y el kernel respondería…
Evitando el Sniffing (1) La mejor forma de evitar este problema es no permitirle al hacker acceso a nuestros sistemas. Utilizar switches en lugar de hubs. Con un hub todo el tráfico es visible para cada máquina de la LAN en el mismo dominio de colisión. En un ambiente con switches, los frames son vistos únicamente por las interfaces “colgadas” en cada port.
Evitando el Sniffing (2) Sin embargo algunos sniffers pueden “espiar” en redes switcheadas. La mejor forma de evitar los daños causados por un sniffer es no enviar usernames/passwords planos por la red. La encripción es crucial. Usar SSH en vez de telnet. Usar HTTPS en vez de HTTP. Usar SCP y SFTP para transferencia de archivos.
Técnicas Avanzadas de Sniffing (1) ¿Qué tan seguro es un switch? Los switches mantienen una lista interna de las direcciones MACs de los hosts que se encuentran en cada port. Se envía el tráfico unicamente a un port solamente si la dirección destino está presente en ese port. Los atacantes tienen nuevas formas para evitar estos avances tecnológicos.
Técnicas Avanzadas de Sniffing (2) ARP Spoofing Es posible sobreescribir la cache ARP en muchos sistemas operativos. Es posible asociar la dirección MAC con la dirección IP del gateway default. Provocar que todo el tráfico saliente desde el host target sea transmitido al host del atacante. El hacker puede tambien falsificar respuestas ARP. El sniffer Dsniff (Dug Song) incluye un programa llamado “arpredirect” que hace exactamente esto.
Técnicas Avanzadas de Sniffing (3) ARP Flooding Un switch debe mantener una tabla de todas las MACs “colgadas” de cada port. Si existen muchas direcciones MACs en un solo port algunos switches mandan todo el tráfico a ese port. Ej: switches que replican todo el tráfico en un port dado (fines estadísticos). Dsniff incluye un programa “macof” que facilita el flooding de un switch con direcciones MAC random.
Técnicas Avanzadas de Sniffing (4) Routing Games Cambiamos la tabla de ruteo del host que queremos monitorear Todo el tráfico de la red pasará a través de nuestro host. Enviamos un route advertisement message falso a través del Routing Information Protocol (RIP). Nos declaramos a nosotros mismos como gw default. Habilitamos el IP forwarding y seteamos el default gw a la red real. Todo el tráfico saliente del host pasará por nuestro host. No podemos recibir tráfico de retorno.
Algunos Sniffers (1) Tcpdump Hunt Linux-Sniff Sniffit Ethereal http://www.tcpdump.org Hunt http://www.cri.cz/kra/index.html Linux-Sniff http://packetstorm.securify.com Sniffit http://rpmfind.net/linux/RPM/freshmeat/sniffit/index.html Ethereal http://ethereal.zing.org
Algunos Sniffers (2) Snort Karpski Gnusniff Dsniff http://www.snort.org Karpski http://mojo.calyx.net/~btx/karpski.html Gnusniff http://www.ozemail.com.au/~peterhawkins/gnusniff.html Dsniff http://www.monkey.org/~dugsong