You are on page 1of 44

Fortificacin de redes locales

Agenda
Ataques de infraestructura en redes de Datos
Tcnicas de Spoofing
Contramedidas

Seguridad
La seguridad depende de 3 factores:
Tecnologa:
Estndares
Productos de los fabricantes
Desarrollos personales

Procesos:
Procedimientos y operaciones en nuestros
entornos

Personas:
Formacin vertical del personal de la empresa

Porque Atacan?
Hacer Dao

Motivos Personales

Alterar, daar or borrar


informacin
Deneger servicio
Daar la imagen pblica

Desquitarse
Fundamentos polticos o
terrorismo
Gastar una broma
Lucirse y presumir

Motivos Financieros

Robar informacin
Chantaje
Fraudes Financieros

Motivos

La tecnologa tiene fallos.


Es muy fcil hacerlo.
No hay conciencia clara del delito

Porque es divertido

Impacto de los Ataques


Prdida de
Beneficios

Daos en la
reputacin

Deterioro de la
confianza de los
inversores

Daos en la
confianza de los
clientes

Datos
comprometidos

Consecuencias
legales
(LOPD/LSSI)

Interrupcin de
los procesos de
Negocio

Incidentes Reportados al CERT


Data Source: CERT ( http://www.cert.org)

Vulnerabilidades por Aos


Data Source: CERT ( http://www.cert.org)

Sofisticacin de los Ataques vs.


Conocimientos requeridos

Ataques a redes TCP/IP

El Modelo OSI
7. Aplicacin
6. Presentacin
5. Sesin
4. Transporte
3. Red
2. Conexin
1.Fsico

En Realidad el TCP/IP
4. Aplicacin

Cuatro capas son suficientemente


representativas
8-5. usuario

3. Transporte

HTTP, FTP, TFTP, telnet, ping, SMTP,


POP3, IMAP4, RPC, SMB, NTP, DNS,

2. Red

TCP, UDP, IPsec


IP, ICMP, IGMP

1. interface

ARP, RARP

RFC 1180 - TCP/IP tutorial


There are security considerations within the
TCP/IP protocol suite. To some people
these considerations are serious problems,
to others they are not; it depends on the
user requirements. This tutorial does not
discuss these issues, but if you want to
learn more you should start with the topic
of ARP-spoofing, then use the "Security
Considerations" section of RFC 1122 to lead
you to more information.

Tcnicas de Spoofing
Las tcnicas spoofing tienen como objetivo
suplantar validadores estticos

Un validador esttico es un medio


de autenticacin que permanece
invariable antes, durante y despus
de la concesin.

Tcnicas de Sniffing
Capturan trfico de red.
Necesitan que la seal fsica llegue a la
tarjeta de red.
En redes de difusin mediante
concentradores todas las seales llegan a
todos los participantes de la
comunicacin.
En redes conmutadas la comunicacin se
difunde en funcin de direcciones.
Switches utilizan direccin MAC.

Niveles Afectados
SERVICIO

Nombres de dominio
Direcciones de correo electrnico
Nombres de recursos compartidos

RED

Direccin IP

ENLACE

Direccin MAC

Tipos de tcnicas de Spoofing


Spoofing ARP
Envenenamiento de conexiones.
Man in the Middle.

Spoofing IP
Rip Spoofing.
Hijacking.

Spoofing SMTP
Spoofing DNS
Phising.

Tcnicas Combinadas
Sniffing + Spoofing
Hijacking (secuestro)
Y Envenenamiento

Nivel de Enlace: Spoofing ARP

Suplantar identidades fsicas..


Saltar protecciones MAC.
Suplantar entidades en clientes
DHCP.
Suplantar identidades en switches
de comunicaciones.

Solo tiene sentido en comunicaciones


locales.

Direccin Fsica

Tiene como objetivo definir un identificador


nico para cada dispositivo de red.
Cuando una mquina quiere comunicarse con
otra necesita conocer su direccin fsica.
Protocolo ARP
No se utilizan servidores que almacenen
registros del tipo:
Direccin MAC <-> Direccin IP.
Cada equipo cuenta con una cach local donde
almacena la informacin que conoce.

Sniffing en Redes de Difusin


PC 2

PC HACKER

PC 3

Sniffer

PC 1

filtra

Da
tos
PC
4

filtra

PC 4

Sniffing en Redes Conmutadas


PC 2

PC HACKER

PC 3

Sniffer

PC 1

MAC 1

MAC 2

MAC H

Da
t os
PC
4

MAC 3

PC 4

MAC 4
Puerto 1 MAC 1
Puerto 2 MAC 2
Puerto 6 MAC H
Puerto 11 MAC 3
Puerto 12 MAC 4

Envenenamiento de Conexiones
Man in the Middle

La tcnica consiste en interponerse entre


dos sistemas.

Para lograr el objetivo se utiliza el


protocolo ARP.

El envenenamiento puede realizarse


entre cualquier dispositivo de red.

en : 4
5
ta
es 66:5
1
7:
1.
1. : 7
1. :88
99
4

1.1.1
.1

1.
99 1.
:8 1.2
8: e
77 st
:6 a e
6: n
55
:4
4

Ataque ARP Man In The Middle

ene
i
t
en
i
u
Q 1.2?
.
1.1
1.1.1.2 esta en
00:11:22:33:44:55:66

1.1.1
.2

Man in the Middle

Sirve como plataforma para otros


ataques.

DNS Spoofing.
Phising.
Hijacking.
Sniffing

Se utiliza para el robo de contraseas.

Demostracin
Envenamiento entre hosts.
Robo de contraseas.
DNS Hijacking.
Phising (WebSpoofing).
HTTPS Spoofing.

Generacin del Hash LM


Se rellena hasta 14 caracteres con Nulos
Se convierte a Maysculas.
Se separa en 2 strings de 7 caracteres
Seattle1

SEATTLE

1******

Key

Constante

Key

DES

DES

Concatena

Constante

Hash LM

Consideraciones del Hash


LM
En realidad no en un hash
Tiene un Set de Caracteres Limitado

Solo se utilizan caracteres alfanumricos comunes


No distingue Maysculas y Minsculas
142 smbolos

Se rellena hasta 14 caracteres


2 contraseas de siete caracteres

El N Mximo de contraseas posibles es


6.8*1012
Unsalted (Sin aliar)

Generacin de un Hash NT
Se calcula el Hash de la contrasea
Se almacena.

Seattle1

MD4

unicode
Pwd

Consideraciones del Hash NT


Preserva las Maysculas y Minsculas
65,535 smbolos (Todo el Set Unicode)

Mxima longitud = 127 caracteres


Contrasea de N Caracteres 14 usando el set
de Caracteres LM tendremos ahora hasta
4.6*1025 Hashes diferentes
Se admiten maysculas y minsculas
El hash es de la contrasea completa y no dos de 7

Si N Caracteres de la contrasea 14
(full char set) 2.7*1067
Si se utilizan contraseas de 127 caracteres
4.9*10611
Unsalted

Salting
Previene el que se pueda derivar
o deducir la contrasea del fichero
de contraseas.
Su presentacin y
almacenamiento difiere
Efecto lateral: vence los ataques
de hash pre-calculados
Alice:root:b4ef21:3ba4303ce24a83fe0317608de02bf38d
Bob:root:a9c4fa:3282abd0308323ef0349dc7232c349ac
Cecil:root:209be1:a483b303c23af34761de02be038fde08

Misma
Contrase
a

Vulnerabilidad Kerberos
Casi todo el mundo conoce las debilidades de
LM/NTLM.
El Sniffing de Kerberos es menos conocido
Muchos administradores todava piensan que
KERBEROS es inexpugnable.
El ataque lo explico por primera vez Frank
ODwyer en 2002
El problema radica en un nico paquete de preautenticacin.
En este paquete se enva el timestamp cifrado
con una clave derivada de la contrasea del
usuario.

Autenticacin Kerberos
Cliente

KRB_AS_REQ
KRB_AS_REP
KRB_TGS_REQ
KRB_TGS_REP
...

KDC

Autenticacin de credenciales
(AS Exchange)
El cliente inicia la comunicacin solicitando la
autenticacin
KRB_AS_REQ

El KDC contesta afirmativamente o con un


error
KRB_AS_REP
KRB_ERROR

Solicitud de autenticacin
(KRB_AS_REQ)
Este mensaje tiene cuatro campos:
Versin del protocolo Kerberos usado = V5
Tipo del mensaje = KRB_AS_REQ
Datos de pre-autenticacin = PADATA
Informacin de la solicitud: Nombre del cliente,
dominio,...
Protocol Version
Number

Tipo del Mensaje


KRB_AS_REQ

PA DATA

Cuerpo del Mensaje

Datos de Pre-Autenticacin
(PADATA)
OPCIONAL
Se utiliza para prevenir ataques offline
El KDC puede verificar el PDDATA y responder
slo a clientes pre-autenticados
Si no hay pre-autenticacin, el KDC enviara
respuestas que un atacante podra intentar
descifrar off-line

Datos de Pre-Autenticacin
(PADATA)
Contiene:
Un sello de tiempo de la solicitud en ASCII con
el siguiente formato: YYYYMMDDHHMMSSZ

Cifrado con una clave derivada de la


contrasea del usuario

Generacin PADATA
(RC4-HMAC)
Contrasea

YYYYMMDDHHMMSSZ

HMAC

Clave (K)

RC4

PA DATA

Verificacin PADATA
(RC4-HMAC)

KDC
Clave (K)

PA DATA

RC4

YYYYMMDDHHMMSSZ

Ataque PADATA
(RC4-HMAC)
Contrasea
factible

Diccionario

PA DATA

HMAC
RC4
Clave (K)

???????????????????

Tiene formato de fecha?


YYYYMMDDHHMMSSZ

Contramedidas

Proteccin contra
Envenenamiento de Conexiones
Medidas preventivas.
Control fsico de la red.
Bloqueo de puntos de acceso.
Segmentacin de red.

Gestin de actualizaciones de seguridad.


Proteccin contra Exploits.
Proteccin contra troyanos.

Fortificacin Switches

Proteccin contra
Envenenamiento de Conexiones
Utilizacin de detectores de Sniffers.
Utilizan test de funcionamiento anmalo.
Test ARP

Sistemas de deteccin de Intrusos


Comprobacin de pares IP <-> MAC

Carga esttica de tablas ARP

Medidas de proteccin contra


crackeo de passwords
Seleccionar una contrasea fuerte
Usar IPSec para cifrado de Kerberos
Utilizar Smart Card

You might also like