Sniffing
LSI - 2016/2017
José Manuel Vázquez Naya
[email protected]
Contenido
Sniffing
Sniffing en medio compartido
Sniffing en medio conmutado
Herramientas de captura de tráfico
Herramientas de detección
Ataques en medio conmutado
ARP spoofing
MAC address overflow
Port Stealing
Sniffing
MEDIO COMPARTIDO
Sniffing en medio compartido
Legacy Ethernet
Implementaciones antiguas de Ethernet basadas en cable coaxial y
protocolo de acceso al medio CSMA / CD
- Cuando un equipo envía una trama, ésta llega a todos los
equipos
- 1 dominio de colisión
Sniffing en medio compartido
Legacy Ethernet
- Dispositivos de
interconexión:
repetidores
-
- hubs (rep. multipuerto)
- Permiten aumentar el
tamaño de las redes
- Sigue siendo 1 dominio de
colisión
Sniffing en medio compartido
Un dominio de colisión
Conjunto de dispositivos que comparten un medio físico de transmisión
y que, por lo tanto, compiten por él
Todos los equipos reciben todo el tráfico
En modo "normal", la tarjeta de red (NIC) sólo deja pasar el tráfico
dirigido a su dir. MAC (o a la dir. de broadcast o multicast)
En modo promiscuo, la NIC "acepta" todos los paquetes,
correspondan o no con su dir. MAC
Permite capturar tráfico dirigido a otros equipos
Sniffing
MEDIO CONMUTADO
Sniffing en medio conmutado
Ethernet Conmutado
Puente (bridge) y conmutador (switch)
Trabajan en capa 2, tomando decisiones sobre el envío de tramas en base a
direcciones MAC
Reenvían tráfico sólo por el puerto en el que está conectada la máquina de
destino
Cada equipo sólo recibe tráfico dirigido a él
Sniffing en medio conmutado
Ethernet Conmutado (cont.)
Varios dominios de colisión (cada puerto es un dominio de colisión)
Un dominio de difusión (o dominio de broadcast)
Sniffing en medio conmutado
En una red de área local, formada por hubs, switches y dispositivos
finales, únicamente existe un dominio de difusión
Inconvenientes:
Saturación de tráfico de difusión en la red
Falta de control interno en las comunicaciones
¿Qué se puede hacer para segmentar un dominio difusión en varios
más pequeños, con el tráfico de difusión de cada uno aislado?
Utilización de routers
Creación de VLANs
VLAN
¿Qué es una VLAN?
Es una agrupación lógica de dispositivos que se basa en la configuración
de switches
Se pueden crear en un switch (o conjunto de switches) diferentes
dominios de difusión, asignando cada puerto del switch a una
agrupación (VLAN) concreta
VLAN
¿Qué es una VLAN? (cont.)
Los criterios que permiten determinar a qué VLAN está asignado un
puerto pueden ser muy diferentes:
Configuración estática del puerto
En función de la dirección IP del dispositivo conectado al puerto
En función de la dirección MAC del dispositivo conectado al puerto
En función del usuario conectado al puerto (IEEE 802.1x)
...
VLAN
Ejemplo:
Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24
Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24
VLAN
Ejemplo:
Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24
Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24
trunk
Para unir VLANs que están definidas en varios switches se puede crear un
enlace especial llamado trunk, por el que fluye tráfico de varias VLANs
VLAN. Trunk
Los puertos que están asignados a una única VLAN, se conocen
como puertos de acceso
Los puertos que están asignados a varias VLANs (enlace trunk), se
conocen como puertos troncales
¿Cómo sabe un switch a qué VLAN pertenece una trama cuando la
recibe por un puerto troncal?
Las tramas se etiquetan antes de ser transmitidas por el enlace
troncal
El estándar IEEE 802.1Q permite añadir una etiqueta de 4 bytes a la
cabecera de las tramas Ethernet, en donde se incluye el nº de VLAN
al que pertenece dicha trama
Sniffing en medio conmutado
Técnicas para capturar tráfico en medio conmutado
¿Y Wi-Fi?
Medio compartido
Utilizan Carrier sense multiple access with collision avoidance
(CSMA/CA)
Protocolo de control de acceso que permite que múltiples estaciones
utilicen un mismo medio de transmisión
Se rigen por el estándar 802.11
Especialmente vulnerables
Cualquiera puede escuchar
Seguridad:
WEP
WPA
WPA2
WEP (Wired Equivalent Privacy)
Se basa en clave única y estática
El equipo necesita la clave para autenticarse ante el punto de acceso (AP)
La comunicación se cifra usando esta clave más un Vector de Inicialización
(IV):
clave de cifrado = clave WEP + IV
Al enviar la trama, se envía el IV, para que el receptor pueda descifrarla, si
conoce la clave WEP
RC4 como algoritmo de cifrado
Problemas:
IV es demasiado pequeño (24 bits). Acaba por repetirse después de un número no
muy grande de tramas => capturando tramas con el mismo IV, se puede descifrar
la clave WEP
RC4, en la forma en que lo usa WEP, puede romperse
WPA (Wi-Fi Protected Access)
Usa claves dinámicas en lugar de clave estática
Algoritmo TKIP (Temporal Key Integrity Protocol) <= roto
RC4 como algoritmo de cifrado (corrigiendo las deficiencias de WEP)
Compatible con equipos existentes
WPA2 (802.11i)
AES (Advanced Encryption Standard) - CCMP (Counter Mode CBC
MAC Protocol) como algoritmo de cifrado
Counter Mode: dificulta encontrar patrones
CBC-MAC (Cipher Block Chaining-Message Authentication Code):
proporciona integridad
Requiere mucha más carga de computación => nuevo HW
Desde 2006, todos los productos Wi-Fi Certified deben usar WPA2
Aparecen nuevas debilidades: WPS (Wi-Fi Protected Setup)
Wi-Fi
Las redes Wi-Fi se "asemejan" a este escenario (red de cable con
topología HUB)
Además del modo "promiscuo", en Wi-Fi, existe el modo "monitor",
que permite a la NIC capturar paquetes sin asociarse con el punto de
acceso
Herramientas
Tcpdump
Wireshark
Ettercap
…
Herramientas. Tcpdump
Herramienta de línea de comandos cuya utilidad principal es analizar
el tráfico que circula por la red
Funciona en la mayoría de los sistemas operativos UNIX, utilizando
libpcap
Hay una adaptación para Windows, WinDump, que utiliza WinPcap
Web:
http://www.tcpdump.org/
Instalación (Linux):
apt-get install tcpdump
Herramientas. Tcpdump
Ejemplos:
-- captura tráfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv
-- captura tráfico del puerto 80
tcpdump port http
-- envía la captura a un archivo (formato compatible con WireShark)
tcpdump -w capture.pcap
-- lee un archivo de log
tcpdump -r capture.pcap
-- captura tráfico con origen o destino 192.168.3.2
tcpdump host 192.168.3.2
-- mostrar los paquetes ftp con el origen y destino indicados
tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp
-- capturar los paquetes dirigidos al puerto 22 que lleguen por la interfaz eth0
tcpdump -i eth0 port 22
Herramientas. Wireshark
Herramienta de análisis de tráfico de red
Cuenta con una muy buena interfaz gráfica
Incluye soporte para multitud de protocolos
Filtros, seguimiento de comunicaciones, análisis automático del
tráfico,…
Web:
http://www.wireshark.org/
Multitud de tutoriales, videos, etc.
Instalación (Linux):
apt-get install wireshark
Herramientas. Wireshark
Herramientas. Wireshark
Herramientas. Wireshark
Herramientas. Wireshark
Herramientas. Wireshark
Ejemplos
Filtrado por protocolo
Filtrado por IP
ip.addr == 192.168.0.1 / !(ip.addr == 192.168.0.1)
ip.src, ip.dst, …
Más filtros de ejemplo: Analize > Display Filters
Herramientas. Wireshark
Herramientas. Wireshark
Otras opciones útiles:
Follow TCP stream
Expert Info
Búsqueda de una cadena de texto
Edit > Find packet > String
Herramientas detección sniffing
Nast (apt-get install nast)
-P, --check-sniffers
Busca tarjetas en modo "promiscuo"
Herramientas detección sniffing
NEPED (Network Promiscuous Ethernet Detector)
Pequeño programa en C
http://downloads.securityfocus.com/tools/neped.c
Se basa en la siguiente técnica (test ARP):
Realiza petición ARP para cada IP a diagnosticar pero en lugar de
dirigirla a la dirección de broadcast (FF:FF:FF:FF:FF:FF) lo hace a una
aleatoria e inexistente
Sólo las interfaces en modo promiscuo aceptarán estos paquetes
(aceptan todos), luego sólo estas interfaces contestarán a estas
peticiones
Herramientas detección sniffing
Con ettercap
ettercap -T // -P search_promisc
Otras herramientas: Sentinel, AntiSniff, SniffDet, …
Sniffing
ATAQUES EN MEDIO CONMUTADO
ARP Spoofing
También se conoce como ARP Poisoning o ARP Poison Routing
Técnica para infiltrarse en red Ethernet conmutada
Permite al atacante leer paquetes de datos en la LAN, modificar el
tráfico o detenerlo
El atacante intenta asociar su MAC con la IP de la víctima
ARP (Address Resolution Protocol) (Recordatorio)
Protocolo de la capa de enlace de datos responsable de encontrar la
dirección MAC que corresponde a una determinada dirección IP
Funcionamiento:
Se envía un paquete (ARP request) ,a la dirección de difusión de la red,
que contiene la dirección IP por la que se pregunta, y se espera a que
esa máquina (u otra) responda (ARP reply) con la dirección Ethernet que
le corresponde
Source
Destination
Protocol
Info
HitronTe_44:55:66
Broadcast
ARP
Who has 192.168.0.5? Tell 192.168.0.1
HewlettP_b7:e9:28
HitronTe_44:55:66 ARP
192.168.0.5 is at 00:15:60:b7:e9:28
ARP (Address Resolution Protocol) (Recordatorio)
Cada máquina mantiene una caché con las direcciones traducidas
para reducir el retardo y la carga: caché ARP
root@debian:/home/lsi# arp -a
? (10.10.102.4) at 00:90:fb:22:ff:95 [ether] on eth0
? (10.10.1
Comentarios de: Sniffing (0)
No hay comentarios