Presentació de spoofing

172 views

Published on

Presentació de spoofing.

Més manuals a: http://www.exabyteinformatica.com

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
172
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Presentació de spoofing

  1. 1. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware© Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/Presentació de SpoofingPer spoofing es coneix a la creació de trames TCP/IP utilitzant una adreça IP falsejada; la ideadaquest atac és molt senzilla: des del seu equip, un pirata simula la identitat duna altramàquina de la xarxa per aconseguir accés a recursos dun tercer sistema que ha establert alguntipus de confiança basada en el nom o ladreça IP del host suplantat. I com els anells deconfiança basats en aquestes característiques tan fàcilment falsificables són encara massaabundants (no tenim més que pensar en els comandament, els accessos NFS, o la protecció deserveis de xarxa mitjançant TCP Wrapper), el spoofing segueix sent en lactualitat un atac notrivial, però factible contra qualsevol tipus dorganització.Com hem vist, en el spoofing entren en joc tres màquines: un atacant, un atacat, i un sistemasuplantat que té certa relació amb latacat; perquè el pirata pugui aconseguir el seu objectiunecessita duna banda establir una comunicació falsejada amb el seu objectiu, i per un altreevitar que lequip suplantat interfereixi en latac.Probablement això últim no li sigui molt difícil daconseguir: a pesar que existeixen múltiplesformes de deixar fora de joc al sistema suplantat (almenys als ulls de latacat) que no sóntrivials (modificar rutes de xarxa, situar un filtrat de paquets entre tots dos sistemes,etcètera...), el més fàcil en la majoria docasions és simplement llançar una negació de serveicontra el sistema en qüestió.Encara que en el punt següent parlarem amb més detall daquests atacs, no sol ser difícil detombar, o almenys bloquejar parcialment, un sistema mitjà; si malgrat tot latacant no hoaconsegueix, simplement pot esperar al fet que desconnectin de la xarxa a la màquina a la qualdesitja suplantar (per exemple, per qüestions de pur manteniment).Laltre punt important de latac, la comunicació falsejada entre dos equips, no és tan immediatcom lanterior i és on resideix la principal dificultat del spoofing.En un escenari típic de latac, un pirata envia una trama SYN al seu objectiu indicant com aadreça origen la daquesta tercera màquina que està fora de servei i que manté algun tipus derelació de confiança amb el PC que rep lataca. El host objectiu respon amb un SYN+ACK a latercera màquina, que simplement ho ignorarà per estar fora de servei (si no ho fes, la connexióes resetejaria i latac no seria possible), i latacant enviarà ara una trama ACK al seu objectiu,també amb ladreça origen de la tercera màquina.Perquè la connexió arribi a establir-se, aquesta última trama haurà denviar-se amb el nombrede seqüència adequat; el pirata ha de predir correctament aquest nombre: si no ho fa, latrama serà descartada), i si ho aconsegueix la connexió sestablirà i podrà començar a enviardades al seu objectiu, generalment per tractar dinserir una porta posterior que permeti unaconnexió normal entre les dues màquines.Podem comprovar que el spoofing no és immediat; dentrada, latacant ha de fer-se una ideade com són generats i incrementats els nombres de seqüència TCP, i una vegada que ho sàpiga
  2. 2. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware© Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/ha daconseguir enganyar al seu objectiu utilitzant aquests nombres per establir lacomunicació; com més robusta sigui aquesta generació per part de lobjectiu, més difícil hotindrà el pirata per realitzar latac amb èxit.A més a més, és necessari recordar que el spoofing és un atac cec: latacant no veu en capmoment les respostes que emet el seu objectiu, ja que aquestes van dirigides a la màquina queprèviament ha estat deshabilitada, per la qual cosa ha de pressuposar què està succeint a cadamoment i respondre de forma adequada sobre la base daquestes suposicions.Seria impossible tractar amb el deteniment que mereixen tots els detalls relatius al spoofingpel que per obtenir informació addicional és necessari dirigir-se a excel·lents articles queestudien tots els detalls de latac, com de la mateixa forma, per conèixer amb detall elfuncionament del protocol TCP/IP i els seus problemes .Per evitar atacs de spoofing reeixits contra els nostres sistemes podem prendre diferentsmesures preventives; en primer lloc, sembla evident que una gran ajuda és reforçar laseqüència de predicció de nombres de seqüència TCP: un esquema de generació robust pot serel basat en , que la majoria dUnix són capaços dimplantar (encara que molts dells no ho facinper defecte). Una altra mesura senzilla és eliminar les relacions de confiança basades enladreça IP o el nom de les màquines, substituint-les per relacions basades en clauscriptogràfiques; el xifrat i el filtrat de les connexions que poden acceptar les nostres màquinestambé són unes mesures de seguretat importants de cara a evitar el spoofing.Fins ara hem parlat de latac genèric contra un host denominat spoofing o, per ser mésexactes, IP Spoofing; existeixen altres atacs de falsejament relacionats en major o menormesura amb aquest, entre els quals destaquen el DNS Spoofing, el ARP Spoofing i el WebSpoofing .Per finalitzar aquest punt, anem a comentar-los breument:· DNS Spoofing:Aquest atac fa referència al falsejament duna adreça IP davant una consulta de resolució denom (això és, resoldre amb una adreça falsa un cert nom DNS), o viceversa (resoldre amb unnom fals una certa adreça IP). Això es pot aconseguir de diferents formes, des de modificantles entrades del servidor encarregat de resoldre una certa petició per falsejar les relacionisadreça-domini, fins a comprometent un servidor que infecti la caché dun altre (el que esconeix com DNS Poisoning); fins i tot sense accés a un servidor DNS real, un atacant pot enviardades falsejades com a resposta a una petició de la seva víctima només esbrinant els nombresde seqüència correctes.· ARP Spoofing:Latac denominat ARP Spoofing fa referència a la construcció de trames de sol·licitud i respostaARP falsejades, de manera que en una xarxa local es pot forçar a una determinada màquina alfet que enviï els paquets a un host atacant en lloc de fer-ho a la seva destinació legítima.
  3. 3. Más manuales en: http://www.exabyteinformatica.com/manuales-y-apuntes-freeware© Roger Casadejús Pérez | http://www.exabyteinformatica.com/tienda/La idea és senzilla, i els efectes de latac poden ser molt negatius: des de negacions de servei(DOS) fins a intercepció de dades, incloent alguns Man in the Middle contra certs protocolsxifrats. En podem obtenir més informació sobre aquest atac, així com codi font per enviartrames falsejades i comprovar els efectes del ARP Spoofing a la nostra xarxa.· Web Spoofing:Aquest atac permet a un pirata visualitzar i modificar qualsevol pàgina web que la seva víctimasol·liciti a través dun navegador, incloent les connexions segures via SSL.Per a això, mitjançant codi maliciós un atacant crea una finestra del navegador corresponent,daparença inofensiva, en la màquina de la seva víctima; a partir daquí, enruta totes lespàgines dirigides a lequip atacat (incloent les carregades en noves finestres del navegador) através de la seva pròpia màquina, on són modificades perquè qualsevol esdeveniment generatpel client sigui registrat (això implica registrar qualsevol dada introduïda en un formulari,qualsevol clic en un enllaç, etcètera)...

×