Man in the middle aplicado a la seguridad

Man-In-The-Middle aplicado a la Seguridad Martin Alberto Rubio [email_address] Colombia Juan Pablo Quiñe [email_address] Perú

Agenda
Qué es Man-In-The-Middle (MITM)
MITM aplicado a la seguridad HTTP
Teoría HTTP
¿Estamos seguros?
Como evaluar la seguridad HTTP usando MITM

¿Qué es man in the middle?
“ Un ataque man-in-the-middle ( MITM ) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.”
Extraido de:
http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

Algunos ataques mas comunes o conocidos
ARP Poisoning
ARP Spoofing
DNS spoofing
Port Stealing (robo de puerto)
DHCP Spoofing
Otros ataques de tipo MITM:
STP Mangling
Port stealing
ICMP redirection
IRDP spoofing
Route mangling

Ataque ARP M an I n T he M iddle ¿Quien tiene 1.1.1.2? 1.1.1.1 1.1.1.2 Comunicación Estándar LAN

Ataque ARP M an I n T he M iddle 1.1.1.2 esta en 00:11:22:33:44:55:66 1.1.1.1 1.1.1.2 Comunicación Estándar LAN

Ataque ARP M an I n T he M iddle 1.1.1.1 1.1.1.2 Intercambio de Datos Comunicación Estándar LAN

Ataque ARP M an I n T he M iddle ¿Quien tiene 1.1.1.2? 1.1.1.1 1.1.1.2 Comunicación con ataque MiTM

Ataque ARP M an I n T he M iddle 1.1.1.2 esta en 99:88:77:66:55:44 1.1.1.1 1.1.1.2 1.1.1.1 esta en 99:88:77:66:55:44 Comunicación con ataque MiTM

Ataque ARP M an I n T he M iddle Intercambio de Datos 1.1.1.1 1.1.1.2 Comunicación con ataque MiTM

Algunas ideas “ El mayor enemigo de la seguridad es ignorar cuán vulnerable se es”

DEMO MITM en telnet

Man-In-The-Middle aplicado a la evaluación de Seguridad en HTTP

Arquitectura de una aplicación Web Firewall Firewall Database Web App Scripts Web Server User

Métodos HTTP

Como funcionan los Web Servers
El browser parte el URL en 3 partes:
El protocolo ("HTTP")
El nombre del servidor ("www.website.com")
El Archivo ("webpage.html")
El navegador se comunica con un servidor de dominio, donde traduce el nombre del servidor por la dirección IP
El navegador luego realiza una conexión al Servidor Web a la dirección IP al puerto 80.

Como funcionan los Web Servers (Cont.)
Siguiendo el protocolo HTTP, el navegador envía una solicitud GET al servidor, solicitando por el archivo http://webpage.html .
El servidor envía el texto HTML text por la página web al navegador.
El navegador lee el texto HTML y formatea la página en la pantalla.

¿Algunos supuestos en HTTP?
Siempre se hace una conexión utilizando un browser
Es posible enviar datos ocultos dentro del código fuente
Los parámetros o variables no pueden ser manipulados por el cliente
No es posible insertar otra cosa que no sea HTTP

Confianza en los datos del lado cliente
No se bloquean caracteres especiales
Filtrado en la salida de caracteres HTML
Acceso a Admin por las aplicaciones Web
Autenticación vía ActiveX/JavaScript
Falta de autenticación de usuario a realizar tareas críticas
Debilidades en el manejo de sesiones
¿Qué trae esto como consecuencia?

Las acciones realizadas en la red pueden afectar seriamente el mundo en el que vivimos Algunas ideas…

¿Estamos Seguros?
¿Con un firewall?
¿ ?

¿Estamos Seguros? (Cont.)
¿Con un firewall?
iptables -A INPUT -i eth0 -p tcp --sport 1024-65535 -d $IPADDR --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $IPADDR --sport 80 --dport 1024-65535 -j ACCEPT

¿Con un firewall?
NO

¿Como se vulnera un Firewall?

¿Con un IDS (Host, Red)?
Métodos de detección:
Por heurísticos
Por anomalías de protocolo
Por patrones
¿Estamos Seguros? (Cont.) http://www.prueba.com/cgi-bin/index.htm?TOPIC=HOW_2_APPLY http://www.prueba.com/cgi-bin/index.htm?TOPIC=‘ OR 1=1 -- http://www.prueba.com/cgi-bin/index.htm?TOPIC=%like%admin NO

¿Qué tal un IPS?
http://www.prueba.com/upload.jsp NO

DEMO MITM en HTTP

Como poder evaluar nuestra seguridad en HTTP Utilizando MITM para evaluación de HTTP

Ideas Sueltas… El conocimiento en temas de seguridad trae consigo una gran responsabilidad

Arquitectura funcional de una aplicación HTTP Sistema Operativo Servidor Web Aplicación Web Aplicación Web Base de Datos (Información)

Fallos comunes de seguridad Web
Cross-site Scripting
SQL Injection
Debilidades en Login/Password
Robo de Sesiones
Mensajes de error de sistema en crudo
Validación de Parámetros
Buffer Overflows
Robo de Cookies

Partamos del supuesto

Alteremos nuestro supuesto
Reemplazamos el Cliente por una ventana en línea de comandos
Utilizamos browsers no convencionales o antiguos (Lynx, Opera, Iexplorer 3.0)
Implementamos capas adicionales en la conexión (proxys en la navegación)

Alteremos nuestro supuesto (Cont.)
La PC
El Browser
El Proxy
Control Total Información Manipulable

¿Qué ha pasado ahora?
Somos capaces de ver, capturar, modificar la información que ha sido procesada en los browsers
Somos capaces de entender la lógica de la programación
Somos capaces de manipular la información a fin de probar la seguridad de nuestros sistemas

Algunas herramientas
Achiles
Burp Proxy
Paros
Fiddler2
Acunetix
AppScan

Manipulación de datos Proxy i.e. Achilles Web Browser Server

Manipulación de datos (Cont.)

DEMO MITM como herramienta de seguridad

Pensamientos Finales Una evaluación de seguridad debe ser autorizada por el personal responsable de los equipos a evaluar

¿PREGUNTAS?

Man in the middle aplicado a la seguridad

by Juan Pablo Quiñe Paz on Jan 29, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 119

Statistics

Man in the middle aplicado a la seguridad — Presentation Transcript

http://hackspy.blogspot.com	116
http://hackspy.blogspot.com.es	3