Tecnologías de seguridad en switches
•
5 recomendaciones•2,656 vistas
Esta presentación fue utilizada en la charla "Tecnologías de Seguridad en Switches", impartida en las Jornadas de Seguridad Informática organizadas por GSIC en A Coruña en febrero de 2012
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a Tecnologías de seguridad en switches
Similar a Tecnologías de seguridad en switches (20)
Último
Último (20)
Tecnologías de seguridad en switches
- 1. GRUPO ACADEMIA POSTAL Tecnologías de seguridad en Switches Como aprovechar las configuraciones por defecto para hacer un ataque “Man in the Middle” y como evitarlo con medidas sencillas
- 2. GRUPO ACADEMIA POSTAL Objetivos • Conocer las tecnologías de red implicadas habitualmente en las redes de área local de organizaciones de tamaño pequeño y mediano • Presentar las vulnerabilidades más habituales que se encuentran cuando los switches se ponen en producción con sus configuraciones por defecto • Realización de un ataque combinado para colocar un “Man in the Middle” – Agotamiento de las direcciones IP del servidor de DHCP legítimo – Introducción de un servidor DHCP “maligno” – Cambio de la pasarela por defecto de los clientes legítimos – Configuración NAT en el equipo atacante para proporcionar el retorno del tráfico • Aplicar contramedidas: – Limitación del número de direcciones MAC asociadas en cada puerto del switch – DHCP “Snooping”
- 3. GRUPO ACADEMIA POSTAL Escenario Base • Funcionamiento por defecto de una red sencilla: – 1 sola VLAN 1 sola red – Asignación dinámica de las direcciones IP de los clientes – Comprobación del acceso a Internet
- 4. GRUPO ACADEMIA POSTAL Escenario Base • Configuración por defecto del switch: – Excepto: spanning-tree portfast • Configuración del router: – Servidor DHCP: ip dhcp excluded-address 192.168.10.1 192.168.10.239 ip dhcp pool RANGO network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 8.8.8.8 • Demostración en el simulador
- 5. GRUPO ACADEMIA POSTAL Comienzo del ataque (simulación) • 1ª Acción hostil: Agotamiento de las direcciones IP disponibles: – Existen múltiples herramientas para lanzar peticiones DHCP desde un mismo equipo cambiando la MAC – En el simulador no es posible llevarlo a cabo… En el escenario real utilizaremos un sencillo script – En el simulador se excluyen todas las direcciones la red • 2ª Acción hostil: Activación de un servidor de DHCP “maligno” – Proporciona direcciones IP del rango previamente agotado pero en este caso cambiando la dirección IP de la pasarela por defecto – La pasarela por defecto será el equipo atacante que recibirá todo el tráfico que va dirigido a Internet y posteriormente lo reenviará a la pasarela legítima • Demostración: Se sustituye el servidor DHCP por un router para poder enrutar el tráfico hacia la salida (limitación del simulador)
- 6. GRUPO ACADEMIA POSTAL Comienzo del ataque (escenario real) • Una vez que se ha entendido el escenario base con el simulador, se llevan a cabo las mismas acciones en el escenario real – Un router Cisco 2801 que simula una conexión a Internet y es el servidor DHCP atacado – Un switch Catalyst Cisco 3560 sin configuración de seguridad – Un equipo con Windows XP Víctima – Un equipo (virtualizado) con Debian Agotará las direcciones IP del servidor DHCP – Un equipo (virtualizado) con Debian Falso servidor DHCP Será el equipo “Man in the Middle” • Comprobación del funcionamiento antes del ataque
- 7. GRUPO ACADEMIA POSTAL Comienzo del ataque (escenario real) • 1ª Acción hostil: Agotamiento de las direcciones IP disponibles: – Existen múltiples herramientas para lanzar peticiones DHCP desde un mismo equipo cambiando la MAC – En este caso se usa una utilidad llamada “macchanger” que se puede instalar con un simple “apt-get install macchanger” – Se ejecuta un sencillo script que solicita mediante peticiones DHCP nuevas direcciones IP con diferentes direcciones MAC origen – Es fácil encontrarlo: “starve.sh” – Lo ejecutamos y … esperamos unos pocos minutos, que variarán en función del tamaño del conjunto de direcciones a agotar
- 8. GRUPO ACADEMIA POSTAL starve.sh while true; do # Eliminar cualquier cliente dhcp que se esté ejecutando killall dhclient rm -f /var/run/dhclient.pid # Desactivar la interfaz ifconfig eth1 down # Cambiar la MAC de la interfaz e imprimir la nueva dirección MAC macchanger -a eth1 2>&1 | grep Faked # Activar la interfaz ifconfig eth0 up # Realizar una nueva solicitud DHCP dhclient eth1 2>&1 | grep DHCPACK done
- 9. GRUPO ACADEMIA POSTAL Continuando • 2ª Acción hostil: Activación de un servidor de DHCP “maligno” y otras configs – Proporciona direcciones IP del rango previamente agotado pero en este caso cambiando la dirección IP de la pasarela por defecto – La pasarela por defecto será el equipo atacante que recibirá todo el tráfico que va dirigido a Internet y posteriormente lo reenviará a la pasarela legítima – Se libera la configuración IP de la víctima y se pide una nueva dirección IP • Se puede observar como se obtiene una dirección IP y una máscara válida, pero la pasarela es incorrecta • Se comprueba si existe conectividad con el exterior y, evidentemente, no la hay • Para que el equipo “Man in the Middle” enrute tráfico, se debe activar el enrutamiento mediante: echo 1 > /proc/sys/net/ipv4/ip_forward
- 10. GRUPO ACADEMIA POSTAL Continuando • 2ª Acción hostil: Activación de un servidor de DHCP “maligno” y otras configs (II) – Comprobación: tshark dst net 192.168.10.0/24 or host 201.100.11.1 – Si se desea capturar también el tráfico de retorno, existe la posibilidad de hacer NAT en el equipo atacante, de modo que el tráfico que proviene del router pase a través de él antes de retornarlo a la víctima iptables –t nat –A POSTROUTING –o eth1 –j MASQUERADE
- 11. GRUPO ACADEMIA POSTAL Aplicando contramedidas en el switch • En muchos switches existe una funcionalidad muy útil que permite limitar el número de direcciones MAC que pueden ser aprendidas desde un puerto concreto – Es algo muy útil para evitar que se pueda saturar la tabla de envío del switch, pero en este caso evitaría el agotamiento del conjunto de direcciones del servidor DHCP • Activación de la seguridad de puerto: – Configuración: Switch> enable Switch# configure terminal Switch(config)# interface range f0/1 – 24 Switch(config-if-range)# switchport portsecurity Switch(config-if-range)# switchport portsecurity maximum 3 Switch(config-if-range)# end
- 12. GRUPO ACADEMIA POSTAL Aplicando contramedidas en el switch • DHCP Snooping – Es una funcionalidad que permite que el switch analice el tráfico DHCP • Permite mensajes de solicitud de información por todos los puertos: – DHCPDISCOVER, DHCPREQUEST • Permite definir un ratio de paquetes por segundo • Solamente permite mensajes de respuesta (enviados desde los servidores DHCP) DHCPOFFER y DHCPACK a través de puertos considerados “seguros” – En los puertos no seguros, este tipo de respuestas se descartan – Configuración: Switch(config)# ip dhcp snooping vlan 1 Switch(config)# no ip dhcp snooping information option Switch(config)# ip dhcp snooping Switch(config)# interface FastEthernet0/24 Switch(config-if)# ip dhcp snooping trust
- 13. GRUPO ACADEMIA POSTAL Contacto Francisco Javier Nóvoa fjnovoa@udc.es fjnovoa@academiapostal.es http://cisconetworkingspain.blogspot.com Miguel Valencia miguel.valencia@academiapostal.es
- 14. GRUPO ACADEMIA POSTAL Preguntas