PDF de programación - Como evitar la filtración IP empleada por cortafuegos y routers

Cómo evitar la filtración IP
empleada por cortafuegos

y routers

Kristof De Beuckelaer

Artículo publicado en el número 3/2006 de la revista hakin9. Os invitamos a la lectura de toda la revista.

Todos los derechos protegidos. Distribución gratuita admitida bajo la condición de guardar la forma y el contenido actuales

del artículo. Revista hakin9 Software-Wydawnictwo, ul. Piaskowa 3, 01-067 Warszawa, [email protected]

Cómo evitar la filtración IP
empleada por cortafuegos
y routers

Foco

Kristof De Beuckelaer

Grado de dificultad

El spoofing es un termino bien conocido en el ámbito de la
seguridad y describe una situación en la que una persona
o programa puede hacerse pasar por otro. Una técnica común de
spoofing es el ref-tar spoofing. El smart spoofing de IP usa una
combinación de envenenamiento del caché ARP, NAT (traducción
de la dirección de red) y enrutamiento.

H ay un nuevo método para suplantar

una dirección IP con una herramienta
llamada ARP-sk, no obstante también
hay otras herramientas disponibles, como ARP-
fillup. Si eres una persona habilidosa podrías
escribir un script sencillo en perl que automatiza-
ra este proceso y/o usara ARP-sk y ARP-fillup
conjuntamente. El spoofing de IP no es algo
nuevo y se han desarrollado varias herramientas
para aprovecharlo. Como conclusión explicare-
mos porque el control de acceso basado en IP
no es fiable en muchos caso y nunca debería ser
usado en una red corporativa.

El smart spoofing usa una combinación de
envenenamiento del caché ARP, NAT y enru-
tamiento. No necesita ningún tipo de hack so-
fisticado. Primero empezaremos por lo básico,
así que daremos un repaso al MAC spoofing
y al ARP spoofing/envenenamiento de caché,
hasta llegar al smart spoofing.
El impacto del smart
spoofing
Los dispositivos de red tales como los routers
o firewalls usan normalmente el filtrado de di-
recciones IP origen. Estas reglas pueden ser
evitadas por cualquier ordenador localizado

entre el cliente autorizado y el firewall. Por
ejemplo, en la mayoría de las redes corpora-
tivas conectadas a Internet a través de una
firewall, sólo unos pocos ordenadores puede
acceder directamente a Internet (el proxi HTTP
interno de control de contenidos o filtrado de
URLs, servidores de correos, etc). Con el
smart spoofing cualquier usuario interno puede
evitar estas restricciones (el filtrado de URLs,
enviar/recibir email SMTP directamente, etc).
De la misma forma, aplicaciones cuyo
acceso está restringido a unas direcciones
IP determinadas puede ser aprovechado
por cualquier ordenador que se halle entre
un cliente autorizado y el servidor. Este es el

En este artículo aprenderás...
• Por qué el control de acceso por IP no es segu-
ro, ni fiable en muchos casos, y nunca debería
ser usado en redes corporativas.

Lo que deberías saber...
• Los fundamentos del ARP spoofing, NAT y en-

rutamiento.

24

www.hakin9.org

Como evitar el filtrado de direcciones IP

administración

caso de muchas aplicaciones tales
como Apache ACL, r-commands,
NFS, TCP Wrapper, herramientas
de
restringidas,
etc. Además, los controles de anti-
transmisión de SMTP basados en
la resolución inversa de direcciones
IP origen pueden ser aprovechados.
Suplantando la dirección IP de un
SMTP A, un usuario malintenciona-
do que se encuentre en la red entre
A y B, puede enviar correos a tra-
vés del relay SMTP B, usando una
dirección de correo falsificada de un
dominio de correo hospedado en A.
¿Qué es el ARP?
Addres Resolution Protocol (ARP)
– Protocolo de resolución de direc-
ción, es un protocolo de red que
asigna una dirección de protocolo de
red con una dirección de hardware.
Por ejemplo, el ARP es usado asig-
nar una dirección IP a una dirección
Ethernet.

¿Cómo asigna ARP una
dirección IP a una dirección
Ethernet MAC?
Cuando el ARP necesita asignar una
dirección IP dada a una dirección
Ethernet, envía una paquete de pe-
tición ARP. El paquete ARP contiene
la dirección MAC origen y las direc-
ciones IP de origen y de destino.
Cada host de la red local recibe este
paquete. El host con la dirección de
destino especificada en el paquete
envía una paquete ARP de respues-
ta al host que ha originado la petición
con la IP asignada.
Guía rápida de ARP-sk
ARP es un protocolo muy conocido,
permite muchos ataques e incluso
los más comunes se restringen al
sniffing. ARP-sk es una herramienta
diseñada para manipular tablas ARP
de todo tipo de equipos. Esto puede
ser fácilmente conseguido mandan-
do los paquetes apropiados. Bási-
camente, un mensaje ARP en una
red Ethernet/IP tiene 7 parámetros
importantes (ver Tabla 1):

• La capa Ethernet proporciona

dos direcciones (SRC y DST),

Tabla 1. Ethernet frame
MAC
Destino
Esquema Ethernet

MAC origen Tipo

Tipo de Hardware

HW addr lth
P addr lth
Dirección Hardware Origen
Dirección de protocolo Origen
Dirección Hardware Destino
Dirección de protocolo Destino

• La capa ARP contiene el código
del mensaje (petición o respues-
ta), y el par (ETH,IP) para ambos
el origen y el destinatario.

Ten en cuenta que no hay nada que
especifique que tiene que haber co-
herencia entre la capa ARP y la capa
Ethernet. Esto significa que puedes
proporcionar direcciones no correla-
cionadas entres estas 2 capas.

<<little reminders>> #1
Manipulaciones del ARP

Manipulaciones del
ARP o como redirigir el
trafico de una LAN
La primera idea que me viene a la
mente cuando alguien quiere hacer
un sniff en una LAN, es poner nuestro
interfaz de red en modo promiscuo.
Por lo tanto, cada paquete que llegue
al interfaz es directamente transferido
del nivel 2 (Ethernet la mayoría de las
veces), al superior (IP, ARP, DNS, etc)
sin comprobar que el destino correcto
del paquete este o no en el interfaz.
Desgraciadamente, esto está bas-
tante restringido porque no puedes
alcanzar lo que esté más allá de los
switches, por ejemplo.

<<little reminders>> #2 MAC spoofing
MAC spoofing
Este ataque va dirigido al protocolo
de 2º nivel, Ethernet la mayoría de
las veces. Esto es muy eficiente con-
tra switches para actualizar su tabla
CAM (Content Addressable Memory)

www.hakin9.org

Carga

Checksum

Tipo de Proto-
colo
Opcode

en terminología de Cisco, que hace
una lista con todas las direcciones
Ethernet ligadas a cada puerto del
switch. Pero a veces no es perfecto
o suficientemente efectivo.

• Si la tabla CAM es estática, el
puerto de la víctima será alertado
y el administrador alertado.

Date cuenta de que algunos switches
retroceden al modo fail open (pasan
cada paquete a todos los puertos,
como si fuera un hub) cuando hay
demasiados cónflictos.

<<little reminders>> #3 ARP spoofing
ARP Spoofing
Ya que el MAC spoofing no es ni
eficiente ni sigiloso, vayamos a la
capa superior y al protocolo ARP.
Estos mensajes son intercambiados
cuando un host quiere descubrir la
dirección MAC de un host remoto.
Por ejemplo, si Batman quiere el
MAC de Robin manda un mensaje
de petición ARP a la dirección de
transmisión y Robin responde con
su dirección.

Pero qué pasa si el Joker respon-

de antes que Robin?

12:50:31.198300 arp who-has robin
tell batman [1]
12:50:31.198631 arp reply robin is
-at 0:10:a4:9b:6d:81 [2]

Batman pondrá la dirección MAC del
Joker en su caché ARP. Pero como
el paquete de Batman fue transmiti-
do Robin también responderá.

25

Crear una nueva entrada
Para hacer esto mandaremos una
pregunta (Who has?) al objetivo. En
cambio, cuando el host recibe un
who-has cree que se va a realizar una
conexión. Por lo tanto, para reducir el
tráfico ARP, crea una nueva entrada
en su caché y pone allí las direcciones
suministradas en el mensaje ARP (ver
Listado 1 y Listado 2)

Aquí tienes una pequeña anota-

ción antes de continuar:

• -D – dirección del equipo de filtra-

do al que conectarse

• -S – dirección del host de con-
fianza al que vamos a suplantar

Así que ahora, cuando Batman inicie
una transacción con Robin, los paque-
tes serán enviados a Joker y sin tener
que hacer que batman mande nada.
Date cuenta que mandar una petición
ARP en uni-cast es totalmente compa-
tible con RFC. Están autorizados para
dejar que un sistema compruebe las
entradas de su caché.

Actualizar una entrada
El método que hemos visto con el
ARP spoofing es exactamente lo que
necesitamos! Simplemente tenemos
que enviar respuestas a batman con
la IP de robin pero con la MAC del
Joker. De manera que si la entrada

Foco

Listado 1. Enviando la petición Who has

[root@joker]# arp-sk -w -d batman -S robin -D batman
+ Running mode "who-has"
+ IfName: eth0
+ Source MAC: 00:10:a4:9b:6d:81
+ Source ARP MAC: 00:10:a4:9b:6d:81
+ Source ARP IP : 192.168.1.2 (robin)
+ Target MAC: 52:54:05:F4:62:30
+ Target ARP MAC: 00:00:00:00:00:00
+ Target ARP IP : 192.168.1.1 (batman)

--- Start sending --
To: 52:54:05:F4:62:30 From: 00:10:a4:9b:6d:81 0x0806
ARP Who has 192.168.1.1 (00:00:00:00:00:00) ?
Tell 192.168.1.2 (00:10:a4:9b:6d:81)

--- batman (00:00:00:00:00:00) statistic ---
To: 52:54:05:F4:62:30 From: 00:10:a4:9b:6d:81 0x0806
ARP Who has 192.16.1.1 (00:00:00:00:00:00) ?
Tell 192.168.1.2 (00:10:a4:9b:6d:81)
1 packets tramitted (each: 42 bytes - total: 42 bytes)

Listado 2. Contenidos del caché de Batman

# before
[batman]$ arp -a
alfred (192.168.1.3) at 00:90:27:6a:58:74

# after
[batman]$ arp -a
robin (192.168.1.2) at 00:10:a4:9b:6d:81
alfred (192.168.1.3) at 00:90:27:6a:58:74

12:50:31.198862 arp reply robin is
-at 52:54:5:fd:de:e5 [3]

Importante
Si el objetivo todavía no tiene la
entrada que el atacante quiere su-