2. Introducciòn
¿Por qué Yersinia?
No otra bacteria, o quizás organismo, ha tenido tanto efecto en la
historia humana como Yersinia pestis, la bacteria que causa la plaga.
Muchas aparaciones de la plaga han causado muerte y disminución de la
población durante la historia. La más famosa, sin embargo, fue la
Peste Negre de la Edad Media que mató un tercio de la población de la
Europa del siglo catorce. La gente observaba cómo sus familiares y
amigos morían con bultos en sus cuellos y un color cercano al negro
en sus cuerpos, que agonizaban debido a fallos respiratorios. Las
personas que tuvieron la enfermedad y no eran capaces de resistirse a
ella morían en entre tres y cinco días.
(tomado de http://members.aol.com/omaryak/plague/
3. Introducción
Quié nes somos
Amigos trabajando en la misma compañ ia, S21sec (http://www.s21sec.com
)
Interesados en los protocolos de red y có mo asegurar las redes de
nuestros clientes (o có mo proteger las redes de los “blackhat”)
Dispuestos a ayudar a la comunidad
4. Razones
Estabamos cansados de realizar siempre los mismos ataques de nivel dos
(ARP Poisoning, CAM Flooding, ...)
Estabamos cansados de ver paquetes en las redes de nuestros clientes y no
ser capaces de jugar con ellos
Estabamos cansados de comprobar, que a menudo, los routers y switches
está mal configurados y rara vez son seguros
n
Estabamos cansados de ver que existían ataques teó ricos contra estos
protocolos pero sin ninguna informació n adicional
Así que, era el momento de actuar
6. Características
100% escrito en C. Usa libpcap, libnet y ncurses.
Corre en Linux, *BSD y Solaris
Multihilo: soporta múltiples usuarios y múltiples ataques por usuario
Puedes examinar, analizar y observar tus paquetes
Puedes editar cada campo de cada protocolo
Puedes capturar los datos en formato pcap
Protocolos soportados: STP, CDP, DTP, DHCP, HSRP, 802.1Q
ISL y VTP.
Personalizació n en fichero de configuració n
Puedes aprender los paquetes de la red y volver a inyectarlos con tus
modificaciones
Escucha a tu red!
Tres modos principales: línea de comandos, cliente de red y GUI ncurses
7. Cliente de línea de comandos
Uso
Usage: yersinia [-hVID] [-l logfile] protocol
[protocol_options]
-V Program version.
-h This help screen.
-I Interactive mode (ncurses).
-D Daemon mode.
-l logfile Select logfile.
-c conffile Select config file.
protocol Can be one of the following: cdp, dhcp, dot1q,
dtp, hsrp, stp, vtp.
Try 'yersinia protocol -h' to see protocol_options help
Please, see the man page for a full list of options and many
examples.
Send your bugs & suggestions to the Yersinia developers
<yersinia *AT* wasahero.org>
8. Cliente de línea de comandos
Características
Fá y rá
cil pido de usar
Integració n amigable con shell script (pen-testing)
No es necesario ninguna $TERM especial, tan só lo la línea de comandos
9. Cliente de red
Uso.
yersinia –D
(-D es por Daemon)
Caracterísiticas
Escucha por defecto en el puerto 12000/tcp
Autenticació n (login & enable)
CLI similar a Cisco (con algunas mejoras!!!)
Permite configurar un servidor de Yersinia en cada segmento de red para
que los administradores de red puedan controlar sus redes
Fá de usar si tienes experiencias con Cisco
cil
Ayuda a los usuarios de MS Windows a ejecutar Yersinia
10. Ncurses GUI
Uso
yersinia –I
(-I stands for Interactive)
Características
Bonita, visual y poderosa
Compatible con Ncurses Linux, *BSD and Solaris (curses)
Puedes examinar y analizar los paquetes de tu red, y aprender có mo
aprovechar configuraciones poco seguras
Puedes sacar el máximo provecho a Yersinia
Bonitos colores
13. (Rapid) Spanning Tree
Características.
Controla tus bucles de red
Soporta Spanning Tree Protocol (STP) y Rapid Spanning Tree Protocol
(RSTP)
Dos diferentes formats de BPDU: Configuration BPDU y TCN BPDU
Sin autenticació n
Implementado en la gran mayoría de medianas y grandes empresas
Fá de jugar con é l
cil
14. (Rapid) Spanning Tree
Ataques implementados
Send a RAW configuration BPDU
Send a RAW TCN BPDU
DoS generated by sending different configuration BPDU
DoS generated by sending different TCN BPDU
Becoming the Root Role in the Spanning Tree
Becoming other active switch in the Spanning Tree
Becoming the Root Role with a MiTM attack
15. (Rapid) Spanning Tree
STP y ataque
Multihomed!!
Users
Switch Switch
Users
ZIPI ZAPE
Attacker
16. (Rapid) Spanning Tree
Contramedidas (só lo Cisco)
Usa port security y deshabilita STP en los puertos que
no necesiten. Para má informació n:
s
http://www.cisco.com/en/US/products/hw/switches/ps628/products_
Si usas la característica de portfast en tu configuració n STP,
habilita tambié n la opció n de BPDU guard para evitar
estos ataques :
http://www.cisco.com/warp/public/473/65.html
Usa la opció n root guard para evitar que dispositivos no
controlados se conviertan en root:
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_no
17. Cisco Discovery Protocol
Características
Protocolo propietario de Cisco
Los dispositivos Cisco lo utilizan para comunicarse con otros dispositivos
Cisco
Contiene informació n interesante (IOS Version, Platform, VLAN
Domain, ...)
18. Cisco Discovery Protocol
Ataques implementados
Sends a RAW CDP packet
DoS flooding CDP table (implmentado por FX de Phoenolit)
Sets up a virtual device (sin dañ o, pero puede molestar a los
administradores de red)
21. Dynamic Host Configuration Protocol
Características
Modelo Cliente / Servidor
Asigna direcciones IP y otra informació n de red (servidores DNS, puerta
de enlace, servidores WINS, má scara de red, ...)
Muy utilizado
Sin autenticació n
Puede causar mucho dañ o a una organizació n
Usa protocolo UDP (puerto 68/udp y 67/udp)
22. Dynamic Host Configuration Protocol
Ataques implementados
Sends a RAW packet
Sends a DISCOVER
Sends an OFFER packet
Sends a REQUEST packet
Sends a RELEASE packet
Sends a DECLINE packet
Sends an INFORM packet
DoS exhausting available ip address from the DHCP pool
Sets up a rogue DHCP Server to configure clients with nasty IP
settings (can be used for MiTM attacks or for creating chaos)
24. Dynamic Host Configuration Protocol
Contramedidas
Usad Port Security (otra vez!)
DHCP Snooping: configurad qué interfaces pueden responder peticiones
DHCP. Para má informació n
s
http://www.cisco.com/en/US/products/hw/switches/ps4324/products_configuration_g
25. Hot Standby Router Protocol
Características
Modelo HA (Activo/Pasivo)
Autenticació n en claro (default: cisco)
Manda los paquetes a una direcció n multicast
Usa protocolo UDP (puerto 1985/udp)
26. Hot Standby Router Protocol
Ataques implementados
Sends a raw HSRP packet
Becomes the ACTIVE element with a fake IP address
Becomes the ACTIVE element with your real IP address (MiTM)
36. VLAN Trunking Protocol
Contramedidas
Usad una contraseñ a!!! (todavía estamos intentando como funciona el
campo MD5 cuando se utiliza una contraseñ a)
Deshabilitar si no se necesita
37. IEEE 802.1Q
Características
Se necesita para pasar tramas entre switches (trunking)
Añ ade una capa adicional (802.1Q)
Marca los paquetes con la informació n de VLAN
38. IEEE 802.1Q
Ataques implementados
Sends a RAW 802.1Q packet
Sends a RAW 802.1Q double encapsulated packet
THE VLAN attack, or how to become the VLANs Master!!
41. TERCER ACTO
Próximos pasos
Un paso hacia el más allá!
42. Próximos pasos
Añ adir nuevos protocolos: ISMP, ISL (en curso), VQP/VMS
Una vez que terminemos con el framework, es hora para la
investigació n
Jugar con dispositivos de red má complejos y de diferentes
s
fabricantes (ahora estamos centrados en Cisco, ya que es fácil
conseguirlos en Ebay!!!)
Expectaciones de los autores
Necesitamos vuestra ayuda!! (es un proyecto muy grande!)
43. Referencias
Guillermo Marro thesis:
http://seclab.cs.ucdavis.edu/papers/Marro_masters_thesis.pdf
Sean Convery presentation:
http://www.blackhat.com/presentations/bh-usa-02/bh-us-02-convery-switches.pdf
CDP vulnerability by FX: http://www.phenoelit.de/stuff/CiscoCDP.txt
vlan gsec paper
Cisco Spanning-Tree Portfast BPDU Guard Enhancement:
http://www.cisco.com/warp/public/473/65.html
CISCO Technotes.Spanning-Tree Protocol Root Guard Enhancement:
http://www.cisco.com/en/US/tech/tk389/tk621/technologies technote09186a00800
Understanding and Configuring VLAN Trunk Protocol:
http://www.cisco.com/warp/public/473/21.html
44. Referencias
Configuring VLAN Trunks:
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/sw_5_2/cofigide/e_tr
Cisco frames format:
http://www.cisco.com/en/US/tech/tk389/tk390/technologies_tech_note09186a0080
Tcpdump. http://www.tcpdump.org
Ethereal: http:/www.ethereal.com
802.1q: IEEE standard for local and metropolitan area networks: Virtual
Bridged Local Area Networks.
Oleg K. Artemjev, Vladislav V. Myasnyankin: Fun with the Spanning Tree
Protocol: http://www.phrack.org/show.php?p=61&a=12
45. Muchas gracias por vuestra
atención
Alfredo Andres
<slay@ wasahero.org>
David Barroso
<tomac@ wasahero.org>