"Pain made to order!"
Slipknot
----[1][Palabras del Autor]
Bueno este texto esta dedicado a todas aquellas personas
Interesadas en la Seguridad Informatica, Admins de Redes.
Vamos a tocar Varios temas relacinonados con el Spoofing
y como prevenirlo en plataformas *NIX en general
que pueden ser Linux 2.2.x, OpenBSD, FreeBSD y BSD en general.
Los usuarios del sistema operativo Windows/9x/NT/2k
estan casi desprotegidos totalmente, salvo si estan atras
de algunas de las plataformas nombradas o de un Router o/y
Firewall.
Bueno, espero que lo disfruten igual que lo disfrute escribiendolo.
Powertech.
----[2][ARP Spoofing]
ARP Spoofing es la variacion de IP Spoofing porque explota una debilidad
del protocolo TCP/IP.
ARP "authentification" es tambien basado en la "Source Adress" direccion
de donde provienen los paquetes, lo que lo diferencia a ARP es que
se fija
en una direccion en el Hardware.
Para verla, lo hicelo siguiente :
[toor@powertech toor]# ifconfig eth0
ne2k-pci.c: PCI NE2000 clone 'Winbond 89C940' at I/O 0x6400, IRQ 9.
eth0: Winbond 89C940 found at 0x6400, IRQ 9, 00:00:E8:57:82:6B.<-\
eth0 Link encap:Ethernet HWaddr
00:00:E8:57:82:6B <--------|Hwaddr
BROADCAST MULTICAST
MTU:1500 Metric:1
Interrupt:9
Base address:0x6400
Para los que quieren saber exactamente que es la HWaddress: son valores
unicos, que estan "quemados" en tu targeta de red por el fabricante,
que
identifica tu direccion fisica. Estas consisten en 48-bits
(12 caracteres).
Un ejemplo de una direccion de hardware es esta:
HWaddr 00:00:E8:57:82:6B
Si no estan conformes lean HWAddress HOWTO
http://network.uhmc.sunysb.edu/hdw_addr
ARP significa en ingles "Address Resolution Protocol". ARP resuelve
la IP
a una direccion fisica. Cuando un host quiere una sesion, manda para
afuera un ARP broadcast llevando la IP de su objetivo deseado. Sin
embargo, por conveniencia, nuestro sistema crea lo que se podria llamar
"ARP cache" asi la maquinas se pueden conectar a Host conocidos mas
rapidamente sin hacer un broadcast. Es con este cache que los atacantes
pueden utilizarlo para spooferase ya que lo que guarda es la hardware
address.
En el ARP spoofing, el atacante mantiene su HWaddress pero asume el
IP de un
trusted Host, para hacerlo el atacante manda "la informacion de mapeo"
al objetivo y al cache. Desde ese punto, los paquetes provenientes
del objetivo
son ruteadas hasta la HDaddress del atacante.
Desde ahora el objetivo piensa que el atacante es un trusted host.
----[3][DNS spoofing]
DNS spoofing es cuando el atacante compromete al Domanin Name Server
(DNS) y altera la tabla con los Hostnames y IP.
Estos cambios son escritos adentro de la base de datos de traduccion
del
DNS server. Cuando el cliente hace un nslookup a un host el DNS
le da la
IP y tambien el reves, esta direccion queda en la manos del atacante.
Normalmente ejemplo:
[toor@powertech toor]# nslookup www.ezkracho.com.ar
Server: relay3.impsat1.com <|____Nuestro DNS
Address: 200.31.1.8 <------|
Non-authoritative answer:
Name: www.ezkracho.com.ar
Address: 63.65.251.8
[toor@powertech toor]# nslookup www.yahoo.com.ar
Server: relay3.impsat1.com <|____Nuestro DNS
Address: 200.31.1.8 <------|
Non-authoritative answer:
Name: ar.yahoo.com
Addresses: 200.49.66.82, 200.49.66.83
Aliases: www.yahoo.com.ar, ar.rc.yahoo.com
Pero supongamos que el atacante ingresa al DNS de impsat y con un programa
que automatize la tarea de cambiar. Si alguien busca www.yahoo.com
el DNS le ponge el IP de ezkracho.com.ar, redirecionandolo.
Un ejemplo de estos tipo de programas es el paquete de ADM se llama
ADMidpkd.tar.gz.
Con este programa, tambien si estas en LAN podes poner en funcion el
snifer sin igresar al DNS ya que trabaja igual que un snifer normal
pone la tarjeta de red en modo promiscuo e intersepta el paquete
del
Query y lo cambia haciendo lo que comente antes.
"hackeado" ejemplo:
[toor@powertech toor]# nslookup www.yahoo.com.ar
Server: relay3.impsat1.com
Address: 200.31.1.8
Non-authoritative answer:
Name: ar.yahoo.com
Addresses: 63.65.251.8 <-------IP de ezkracho
Aliases: www.yahoo.com.ar, ar.rc.yahoo.com
Y entonces todos aquellos que usen el DNS de impsat y quiera ir a yahoo
veran la pagina de ezkracho.
En el paquete de programas que le comente de ADM hay un sniffer que
ante
CUALQUIER request o query, o como lo llamen lo mandara a ezkracho*.
*A la direccion que elijamos.
Tambien hay varios programas mas:
-=Jizz=-
author: unknown
OS: *NIX ,MS-DOS
-=ERECT=-
author: Johan y Dioxide
OS:*NIX
-=Snoof=-
author:DOC_Chaos [RoC]
OS:*NIX
Los pueden bajar en:
http://www.anticode.com
----[4][Previniendo IP Spoofing]
-Nota-
Para los que no saben de que se trata el IP spoof ni para que sirve,
tienen dos textos muy buenos que se llaman "Spoofing muy pero muy facil"
de mi amigo CAOS y tienen el numero 1 de este texto "Spoofing N-1"
de
Powertech :).
La mejor manera de prevenir estos ataques son:
-Restringir direcciones locales que vengan de la afuera de nuestra RED.
-Intentar no tener Trusted Host.
-Utilizar SYN Loggers asi se podra detectar si alguien intenta Hacerle
un
DoS a tu maquina, se preguntaran y porque un SYN logger, bueno porque
este
ataque es el mas efectivo contra sistemas *NIX, y asi pueden tomar
su
"identidad".
-Utilisar Firewall que trabajen con los modulos del kernel y no un soft
que escucha puertos, firewalls recomendados:
* IPchains
* IPfwadm
* IP filter
(Si no saben utilizar IPchains les recomiendo que lean del HOWTO que
viene
con su distro.)
- Activar el modulo del kernel rp_filter, en muchas distros lo
activan
por default por ejemplo Debian, lo que tienen que hacer es poner en
/etc/rc.d/rc.local la siguiente linea:
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
Esto tiene que utilisarce con IPchains.
-Filtrar servicios que son vulnerables a este ataque por ejemplo:
* X Windows
* Servicios R, (rlogin, rsh. rexec)
* Servicios RCP
* TCP Wrappers
* Cualquier servicio que use IP para autentificar
-Utilisar sevicios con encriptacion integrada ejemplos:
* OpenSSH
* OpenSSL
* SSH
* SSH2
* FtpSSL
Ya que con conectarse a un puerto y al recibir un par de paquetes se
puede
calcular secuencia TCP y se puede Spoofear el Servicio.
Ademas las conexiones no podran ser "Snifeadas" esto significa que
no
podran capturar los paquetes, que pueden llevar los datos del login.
----[5][Previniendo ARP Spoof]
Ya les explique como es esta ataque aca vemos como protegernos del mismo.
Hay muchas maneras de defenderse de esto, la mejor manera es grabar
nuestra HWaddr en piedra, pero seria algo incomodo.
Los ataques de ARP spoofing son muy limitados en muchas maneras. Una
de la maneras es que las nuevas tarjetas de red le hacen un update
al
cache mas o menos cada 5 minutos haciendo que el ataque no sea de gran
riesgo a una red.
"ARP": Una Herramienta para manipular tablas de ruteo. ARP, te permite
interactuar y manipular el cache de arp, aca voy a explicar como
usar esta
herramienta:
-----------------------------------------------------------------------------
Opcion
| Funcion
|
----------------------------------------------------------------------------|
-a [hostname]
| Specifica un host en particular al
|
| que le queres hacer el query.
|
|
|
-d [hostname]
| Borra una entrada a un Host en
|
| particular.
|
|
|
-f [archivo de conf.] |
Archivo de configuracion.
|
|
|
|
|
-a [hostname] [address_type] | Specifica la HWaddr al Host seleccionado.
|
|
|
|
|
-t [type]
| Para las distintas tipo de entrada por ejm: |
| ether, ax25, arcnet, and pronet (token ring)|
|
|
|
|
-v
| Para activar el modo Verbose
|
-----------------------------------------------------------------------------
Si igual quieren estar seguros que no les hagan este ataque instalen
en su sitema
"ARPwatch" que observa los cambios de IP/Ethernet, se se detectan
cambios o
nuevas direcciones este programa le envia un mail al root.
----[6][Previniendo DNS Spoofing]
DNS spoofing en muy facil detectar. Si sospechas de tu DNS, hace
nslookup
desde varias maquinas de tu red fijarse en los prosesos , en la tabla
cron
para ver si estan corriendo un programa "desconosido" o si lo inicia
y
fijarse si su tarjeta de red esta en modo promiscuo, Salvo si
tu DNS haya
sido comprometido por algun tiempo
va a ser rapidamente decubierta ya que si esto es hecho en un ISP los
usuariose quejaran.
Pero revisando las maquinas capas no puede ser suficiente, por eso
recomiendo que utilisen este fabuloso programa, este se llama DOC
(Domain Obsenity Control) que viene con mucha documentacion.
DOC es un programa que diagnostica tu DNS mandando distintos Querys
y despues analisa el contenido de lo obtenido, DOC lo pueden bajar
de:
http://coast.cs.purdue.edu/pub/tools/unix/doc.2.0.tar.gz
----[6][Palabras Finales]
Bueno este es el final de mi texto, espero que lo hayan disfrutado
y haber podido implementar lo que explique.
En este texto ayudaron:
Inspiracion musical : Slipknot, Cypress Hill, KoRn y 2pac
Inspiracion comestible: Hamburgesas de McTonto's (aprovecho para
agradecele a mystify por contarme de que eran las hamburgesas jaja),
Huevos de pascua vencidos :)
-[saludos]-
Les mando un saludo a la gente de #linux no voy a nombrar gente
porque me voy a olvidar de algunos y se calientan en cambio asi
estan todos felices.
Saludos especiales a:
CAOS \
GiBA \_Ezkracho
Team
Bach /
[Hellraiser] /
(Creo que todo esto sono muy cursi, ja)
"Lo unico seguro
es la inseguridad"
----[7][Comunicate con el autor]
Si queres contactarte conmigo o preguntarme algo podes encontrame en
los
siguientes lugares:
Mail: powertech@mixmail.com
Web: http://www.ezkracho.com.ar , en el Forum
Irc: irc.ciudad.com.ar #linux
ICQ: 20484186