Tema 5: Interceptación - Redes de Seguridad - PDF

Summary

Este documento proporciona información sobre interceptación en redes, incluyendo temas como sniffing, VLANs y ataques como MITM. Se proporcionan detalles técnicos y ejemplos. Proporciona una visión general sobre los conceptos básicos de seguridad en redes.

Full Transcript

ser necesario el IPtables y los wrappers para que dejen pasar a esa máquina. Al
terminar hay que cerrar la sesión.
Configuración en el fichero /etc/knockd.conf:

[openssh]
sequence = 7000, 7015, 9001
seq_time = 10 //segundos
tcpflags = SYN
command = iptables -A INPUT -s %IP% -y ACCEPT sys start ssh
[closessh]
sequence = 6000, 6015, 9018

Conectarse y cerrar la sesión:

knockd x.x.x.x 7000 7015 9001
ssh x.x.x.x
knockd x.x.x.x 6000,6015,9018 #cerrar la sesión

TEMA 5: Interceptación
Sniffing
De:

Trafico Seguro: Información cifrada → HTTPS

Trafico Inseguro: Información no cifrada → HTTP, FTP

Se puede usar para robo de información. También se puede usar para un
propósito bueno como auditorias de seguridad de red, análisis forenses post-
mortem, esto es ver lo que ha hecho una persona en una máquina que ya ha
muerto. Se hace sobre ficheros.pcap (los de wireshark).

Mirrorear puertos (sniffing sano): Un port-mirror nos sirve para poder capturar
tráfico que
entra y sale de una interfaz sobre un Switch. La captura se realiza conectando un
sniffer (wireshark por ejemplo) en una interfaz X llamada "mirror".
Método Basic: Método de autenticación no seguro. Se pasan las credenciales por
HTTP. Codifica la contraseña en base 64 y luego usa HTTPS (usando la contraseña

Apuntes LSI 43
 para cifrar) por dedajo para que la información vaya cifrada.

VLANs
Actualmente tenemos redes de medios switcheados, no hay problemas de ancho de
banda al tener switches.
De estos medios surgieron las VLAN, las máquinas no tienen que competir por el
ancho de
banda.
Una VLAN es básicamente una extensión. Podemos tener un conmutador de red
(switch)
dónde cada puerto se puede asignar a una VLAN. Redes lógicas independientes en
una misma red física.
Permite tener máquinas pertenecientes a la misma subred en ubicaciones
diferentes, antes una misma subred tenían que compartir medio físico (mismo
router), ahora tú puedes tener una máquina aquí y otra en Madrid y que ambas
pertenezcan a la misma subred.

EJ:
Un conmutador en la FIC: 3 puertos la VLAN 1, en otros la VLAN 2.
Otro conmutador en otro edificio separado geográficamente por routers de por medio
tener una serie de puertos pertenecientes a la VLAN 1.
Se gestionan con protocolos como el 802.1Q:

Este protocolo nos permite usar TRUNCK PORTS, son puertos que propagan los
paquetes taggeados por su identificador de VLAN. Cuando las máquinas de la
VLAN ven el paquete taggeado saben que es para ellas. Permite a los switches
distinguir entre las VLANS de sus puertos.

Man In The Midle (MITM)
Es un ataque cibernético en el que un tercero intercepta y posiblemente altera la
comunicación entre dos partes sin su conocimiento. El atacante actúa como un
intermediario no autorizado para obtener acceso a información confidencial, como
contraseñas o datos sensibles.

Apuntes LSI 44
 YERSINIA
Herramienta de ataque en capa 2.

Principales protocolos que ataca:
STP (Spanning Tree Protocol): organiza los backbones de la red para evitar
bucles en los paquetes. Habla por tramas BPDU. Convierte el grafo del
backbone en un árbol para evitar bucles.

Ataque en STP: Hablar STP y convertirte en nodo raíz, con lo cual te
llegará todo el tráfico, si lo dropeas estarías haciendo un DoS.

Protección:

Root bridge guard → donde pueden y no pueden ser root bridge.

BPDU Guard → Filtrar puertos por donde no puede haber tramas
BPDU.

DTP (Dynamic Trunking Protocol): negociación automática de enlaces de
troncal entre switches.

802.1.Q

Switch Spoofing → ataque
Ataque con YERSINIA.

Nos hacemos pasar por un switch.

Envío de tramas etiquetadas con distintas VLANs.

Nos saltamos los firewalls (de capa 3) al pasar paquete etiquetado y capturamos
el tráfico de otras VLANs.

Protección:

Que solo los puertos que nosotros queremos puedan taggear tramas.

Lo hacemos desde el conmutador.

Apuntes LSI 45
 Double tagging → ataque
El doble tagging es una técnica que implica emitir tramas desde una máquina con
doble etiquetado de VLAN. En este proceso, se añade un primer etiquetado
correspondiente a la propia VLAN del emisor y se agrega un segundo etiquetado
correspondiente a otra VLAN. El objetivo es eludir la protección contra spoofing en el
switch. Cuando la trama llega al switch, este la interpreta como una comunicación
legítima dentro de la VLAN del emisor, la propaga a otros conmutadores y retira la
primera etiqueta. Posteriormente, al llegar a otros conmutadores, es probable que
interpreten la segunda etiqueta y redirijan la trama a otra VLAN.

ARP SPOOFING
Consiste en enviar mensajes ARP (Address Resolution Protocol) falsos a la
Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con
la dirección IP de otro nodo (el nodo atacado), como por ejemplo el default gateway.
Si no funciona se pueden usar ICMP redirect o MAC flooding.

ICMP Redirect
ICMP se utiliza para informar a un host en una red de que debe actualizar su tabla
de enrutamiento.

Si las máquinas aceptan estos paquetes consigues que las máquinas te configuren
como default router, así el tráfico hacia afuera pasa por ti. Normalmente los tragan
las máquinas pero no el router, por lo tanto estamos hablando de un HALF MITM.

Ataque por ICMP redirect:

ettercap -M icmp mac_router/ip_router// /ip_maquina_atacar//
Defendernos de ICMP redirect:

En /proc/sys/net/ipv4/conf/all/ :../accept_redirect → Aceptar o no redirects.../secure_redirects → Solo para aceptar de máquinas confiables.../send_redirects → Dejar o no a mi máquina mandar redirects.

En /etc/sysctl.conf: → Dando valores 0 (deshabilitar) o 1 (habilitar)

net.ipv4.all.accept_redirect =
net.ipv4.all.serve_redirects =

Apuntes LSI 46
 net.ipv4.all.send_redirects =
net.ipv4.all.accept_source_routing =

MAC Flooding o CAM Flooding
A nivel de conmutador, sólo funciona en algunos conmutadores.

Si a algunos conmutadores les lleno la memoria (inundando vía MACs falsas
llenamos sus tablas CAM) pasan a funcionar en modo HUB (medio compartido,
todos los paquetes a todos los puertos, interfaz de red en modo promiscuo) tenemos
todo el tráfico.

DHCP SPOOFING
Ataque con ettercap:
ettercap -Tq -M dhcp: 10.11.48.10-25,31/255.255.255.254.0// DNS ///

Interceptamos la conexión de un cliente DHCP (Dynamic Host Configuration
Protocol) y como servidor nos ponemos como su default router.
Se le pasa un rango de IPs que será el rango de máquinas que interceptemos.

Half MITM, ya que la máquina nos mandará el tráfico pero, a la vuelta el router se lo
enviará directamente a la máquina atacada.

DHCP Snooping → Defensa
Si configuramos un conmutador como DHCP Snooping True, para bloquear los
paquetes DHCP en los puertos que no sean realmente DHCP.

Port Stealing → Robo de puertos
Los conmutadores conocen las MACs de cada entrada/puerto para direccionar
las tramas.

Normalmente los conmutadores hacen la asignación de Puertos-MAC de forma
dinámica.

Flood de paquetería hacia una MAC → el conmutador nos da el puerto a
nosotros → esnifamos → devolvemos el puerto → forwardeamos.

Yo si por ejemplo quiero robarle el tráfico a una máquina yo lo que hago en otro
puerto que es al que estaré yo conectado, floodeo un montón de paquetería con
MAC origen la de la otra máquina y entonces el conmutador dirá, ostia que esa MAC
ya no está en el puerto X, está en el Y, y lo cambiará en la tabla, y por lo tanto todo

Apuntes LSI 47
 el tráfico que le llega a esa MAC el conmutador en vez de mandarlo por su puerto
correspondiente a la máquina atacada, lo enviará por mi puerto hacia mí.

ettercap -M port:[remote| tree] /x.x.x.x// [/x.x.x.x//]
Example:

The targets are: /10.0.0.1/ /10.0.0.15/
You will intercept and visualize traffic between 10.0.0.1 and 10.0.0.15, but you will
receive all the traffic for 10.0.0.1 and 10.0.0.15 too.

The target is: /10.0.0.1/
You will intercept and visualize all the traffic for 10.0.0.1.

NDP (Neighbor Discovery Protocol)
Protocolo de descubrimiento de vecinos, este es el protocolo parejo al ARP para el
ipv6. Usamos el NDP que hace uso de paquetes icmp y que manda paquetes a una
dirección multicast.
ettercap -M ndp:[remote, oneway] //fe80:…/ …

SNDP (Secure Neighbor Discovery Protocol)
Es el NDP (IPv6) pero securizado mediante PKI (Public Key Infrastructure). Securiza
la obtención de las MACs, dificultando más los MITM.

DNS SPOOFING
Falsear resoluciones DNS.

Podemos ejecutar un ettercap con un ARP Spoofing clásico y con el plugin -P
dns_spoof,
así que en ese MITM las resoluciones DNS que nos pasen las cambiarán por las del
fichero

etter.dns.

¿Cómo protegernos?
DNSSEC: Proporciona autenticación e integridad. Si queremos también cifrado, hay
que añadir DOT → DNS over TLS, es decir cifra la comunicación con TLS (Transport
Layer Security).

Apuntes LSI 48
 Herramienta EVILGRADE
Troyanización de utilidades a la hora de hacer updates del SOs. Hay que estar
haciendo un MITM. Esto es lo que Nino cometo de un pavo que en practicas hackeo
un monton de maquinas y lo dejo para ver con cuantas se podia hacer al final del
cuatri.

Cosas de ARP
arp -a → tabla arp

arp -d ip → borra entrada de la tabla

arp -s ip mac → fija esa ip a esa mac en la tabla

ARPTABLES → Reglas y filtros a nivel de capa 2
arptables -A input --sourcemac -j drop

ip link set dev ens33 arp off → tira arp a nivel de kernel en mi maquina

IPS SNORT → puede vigilar el tema de ARP Spoofing

nast -c → barrido red ip-mac si cambia la mac nos avisa.

Con ettercap plugin -P run_flood: Floodeardor de paquetes en la red con
ettercap. Le mete una carga bestial al conmutador de red.

Protección: UNICAST FLOODING PROTECTION -> vigila la tasa de floodeo en
los puertos para que no lo puteen, si alguno lo esta floodeando le baja el ritmo.

Port Span/Port Mirroring
Se puede tener un firewall de nueva generación o algo más “casero”, como tener
Port
Spam/Port Mirroring que copiará el tráfico de esos puertos a otros.

Podríamos conectar este puerto a un PC con un IPS como snort, de forma que va a
estar
procesado en paralelo estos paquetes.
Se puede provocar un cuello de botella, para esto se usa un trunk port (bonding de
red) (IMPORTANTE estos trunk port son distintos a los del protocolo 802.1Q
(VLANs)), una agrupación de puertos de red para incrementar los anchos de banda
para atender mejor la carga, además obtenemos más tolerancia a fallos.

Si muere una tarjeta funciona todo igual, quedan más.

Apuntes LSI 49
 Un bound lo que hace es poner dos tarjetas de red a la misma red, y pongo dos
tarjetas de red trabajando con el mismo interface y misma ip, con esto consigo mejor
ancho de banda, eficiencia y tolerancia a fallos.

Tipos de Bounding/Trunk
BOND 0 → ROUND ROBIN → se reparte la paquetería entre las dos.

BOND 1 → ACTIVE-BACKUP → Funciona 1 hasta que casca y pasa a
funcionar 2.

BOND 2 → Balance XOR → (MAC origen XOR MAC destino)mod nº interfaces.

BOND 3 → Broadcast → todos los paquetes salen por todos.

BOND 4 → 802.3ad → es un estándar, nos da más velocidad y alta
disponibilidad.

BOND 5 → balance-tlb = en envío manda paquetes según la carga de los
interfaces.

BOND 6 → balance-alb = En envío manda paquetes según carga de interfaces.
En recepción hace lo mismo combinando MAC destino.

apt install ifenslave
echo bounding >> /etc/modules #cargar el modulo
modprobe bounding
lsmod | grep bounding

#En /etc/network/interfaces meter
ifaces bound0 inet static
address 10.11.x.x
netmask ----
gateway ----
slaves ens33 ens34 ens35
bond_mode 0 (el que necesite)
abajo caracteristicas especificas del bounding

DHCP Snooping
Protección contra DHCP Spoofing.

Apuntes LSI 50
 Hacer que un conmutador solo acepte por un puerto tramas DHCP y validación y
seguimiento de los mensajes DHCP.

Port Security
Mecanismo de seguridad a nivel de conmutador.

El conmutador solo deja registrar una MAC por puerto.

Esos puertos los va a tener en modo shutdown → Lo que hace si detecta una
MAC que no es la que tiene registrada es dropear los paquetes, le hará un
disable al puerto y mediante SNMP nos notificará.

Podemos seleccionar un puerto con Port Security, otro sin él y podemos tener
distintas configuraciones en distintos puertos

Otros modos:

violation-protect → Dropea paquetería, no hace snmp y no desactiva el
puerto.

violation-restrict → Dropea paquetería, hace snmp y no desactiva puerto.

TAP (Test Access Ports)
Dispositivos hardware de red.

Se suelen colocar entre el border router y el FW.

Esnifa el trafico que entra y sale de nuestra organización.

Son cajas negras pasivas. Mirrorean el tráfico a sistemas de análisis de
paquetes.
Si los apagas sigue fluyendo el tráfico por él entre el router y el firewall.

Apuntes LSI 51
 Firewall de nueva generación
Trabajan desde capa 2 a capa 7.

Se centran mucho en la protección de los hypervisores (Gestión de las
máquinas virtuales).

Vigila también el flujo de las máquinas virtuales de los hypervisores.

Autenticación.

Detección de Malware → tienen que tener sistemas muy potentes de cifrado y
descifrado.

En el firewall termina el tráfico https lo analiza y lo reenvía a la máquina dentro
de la organización.

Dan servicio de VPN.

Se suelen montar redundados en modo cluster.

Tienen sistemas de detección y prevención de intrusiones.

Sistemas de control inspection.

Sistemas de defensa contra DoS y DDoS.

Sistema de correlación de logs.

Empresas que comercializan estas mamadas meriyen : Check POint, Cisco,
Force Point, Fort Gate, Palo Alto.

SOC (Centro de operaciones de seguridad)
Componente crítico en la infraestructura de seguridad de una organización. Se basa
en tres pilares:

SIEM → System Information & Event Management → correlacionar y analizar
logs. Ej. Splunk.

EDR → Endpoint Detection and Response → son agentes que están
pensados para la detección y defensa de máquinas. Gestión de los agentes de
seguridad que corren en todas las máquinas de nuestra organización. Se centra
en la seguridad de los puntos finales (endpoints).

NDR → Network Detection and Respose → Se alimentan del TAP. Procesan
todo tipo de datos de la red.

Apuntes LSI 52
 Plugins con ettercap
sslstrip → Ciberataque que trata de hacerse con los datos de un usuario
cuando accede a una dirección web protegida mediante un certificado SSL/TLS,
es decir, cuando estamos utilizando el protocolo de la capa de aplicación
HTTPS.

Mete HTTP en claro pero de forma que el cliente vea que se está usando
HTTPS, y
no puede haber problema de certificado.

Protección:

Protocolo HSTS: Obliga a que todas las comunicaciones siempre funcionen
sobre
HTTPS. Cuando nos conectamos al servidor por primera vez nos manda un
token
para el repositorio de HSTS, y nos valdrá para protegernos de herramientas
de suplantación como SSLStrip.

sslstrip2 → versión mejorada de sslstrip.

Sidejacking
Secuestro de sesión o secuestro de cookies → Uso de credenciales de identificación
no autorizadas para secuestrar una sesión web válida de forma remota. Permitiendo
autenticación por cookie, configuración de perfiles, etc.

Cookies
Las cookies son strings que los sitios web almacenan en tu dispositivo. Estos
archivos contienen información sobre tus interacciones con el sitio, como
preferencias, datos de inicio de sesión o información de seguimiento. Las cookies se
utilizan para mejorar la experiencia del usuario y permitir que los sitios recuerden
información importante sobre ti.

Tamaño de las cookies máximo 4KB.

Supercookie: Tipo de cookie que es difícil de eliminar y puede rastrear la
actividad del usuario en línea de manera persistente.

Cookie persistente: Permanece en el dispositivo del usuario durante un
período más prolongado, almacenando información a largo plazo, como
preferencias y datos de inicio de sesión.

Apuntes LSI 53
 Zombie cookie: Una cookie que se regenera automáticamente incluso después
de ser eliminada, a menudo utilizando otras técnicas para persistir en el
dispositivo del usuario.

Uso de HSTS como cookies: Se emplean flags de la especificación HSTS
para guardar un identificador que le permita al sitio reconocer al usuario desde
cualquier web.

Alternativas a las cookies con HTML5
Webstorage, permite almacenar en memoria del navegador elementos del tipo
clave-valor, vale durante la sesión.

Sessionstorage y Localstorage donde los datos son persistentes, se almacenará
información y esta seguirá en las siguientes visitas, funciona como una cookie.
Una ventaja es el tamaño, que en localstorage es mucho mayor, y además no tienen
fecha
de expiración como las cookies.

TEMA 6: DoS, DDoS y BotNets
DoS (Denial of Service)
A nivel lógico
Una determinada vulnerabilidad que explotándola provoca una denegación de
servicio.

Solución → Parcheo y buena configuración de la máquina.

Inundación
Ataques con muchas conexiones y alta paquetería que tiran abajo una máquina o
servicio.
Factor de amplificación (FA): nº de maquinas que se utilizan para la inundación.

Tipos:

Directo: ip origen → ip destino
Inyectan directamente, no tiene por qué ser desde tu máquina. Puedes atacar
mediante ip spoofing.

Apuntes LSI 54