Bezpieczeństwo systemów

Wybrane ataki sieciowe

Na czym polega spoofing?

Spoofing, czyli atak poprzez podszywanie się w tradycyjnym ujęciu oznacza działanie atakującego, Bezpieczeństwo

polegające na oszukaniu mechanizmu autentykacji zachodzącego pomiędzy maszynami przekazującymi systemów informatycznych

między sobą pakiety.

Proces autoryzacji przeprowadzany jest poprzez Testy penetracyjne

sfałszowanie pakietów "zaufanego" hosta - naleŜącego do atakowanej sieci.

Obecnie mianem spoofingu określa się dowolną metodę Spoofing

łamania zabezpieczeń opartych na adresie lub nazwie hosta.

Istnieje kilka technik podszywania. MoŜna go realizować praktycznie w kaŜdej warstwie.

BSI – spoofing

BSI – spoofing

Zbigniew Suski

1

Zbigniew Suski

2

ARP – schemat działania

Spoofing ARP

C:\Windows> arp –a

Klient

Interfejs: 192.168.10.2 on Interface 0x2000003

1 Bufor ARP

B

Adres internetowy

Adres fizyczny

Typ

(ARP Cache)

5

192.168.10.3

00-50-BA-D4-C8-D3

dynamiczny

2

spooffer

A

[root@spooffer]# ./arpspoof –t 192.168.10.2 192.168.10.3

Bufor ARP

3 (ARP Cache)

Source

Destination

Prot

Info

Sniffer

6

00:50:BA:D4:B7:2B 00:50:BA:D4:AA:45 ARP 192.168.10.3 is at 00:50:BA:D4:B7:2B

1. Sprawdzenie bufora ARP

C

00:50:BA:D4:B7:2B 00:50:BA:D4:AA:45 ARP 192.168.10.3 is at 00:50:BA:D4:B7:2B

2. Wysłanie pytania ARP (jaki jest adres

00:50:BA:D4:B7:2B 00:50:BA:D4:AA:45 ARP 192.168.10.3 is at 00:50:BA:D4:B7:2B

sprzętowy komputera o adresie IP 192.168.1.5) 4

3. Dodanie pozycji ARP do bufora ARP odbiorcy C:\Windows> arp –a

Klient

4. Wysłanie odpowiedzi ARP

Interfejs: 192.168.10.2 on Interface 0x2000003

5. Dodanie pozycji ARP do bufora ARP nadawcy Adres internetowy

Adres fizyczny

Typ

6. Wysłanie pakietu IP

192.168.10.3

00-50-BA-D4-B7-2B

dynamiczny

BSI – spoofing

BSI – spoofing

Zbigniew Suski

3

Zbigniew Suski

4

Ochrona przed spoofingiem ARP

Routing IP

Dok

Zaprzestanie u

ąd wysłać datagram o danym adresie IP?

Ŝywania ARP

Bariery sprzętowe ( routery)

Fragment tablicy routingu

192.168.1.0 255.255.255.0 192.168.1.1

192.168.2.0 255.255.255.0 192.168.2.1

Wykrywanie spoofingu ARP:

192.168.3.0 255.255.255.0 192.168.3.1

192.168.4.0 255.255.255.0 192.168.4.1

192.168.5.0 255.255.255.0 192.168.5.1

Pasywna detekcja na poziomie hosta

192.168.6.0 255.255.255.0 192.168.6.1

192.168.7.0 255.255.255.0 192.168.7.1

Aktywna detekcja na poziomie hosta

192.168.8.0 255.255.255.0 192.168.8.1

Detekcja na poziomie serwera

Detekcja na poziomie sieci przez okresowe

Router

kontrole

Detekcja na poziomie sieci przez ciągłe

monitorowanie

BSI – spoofing

BSI – spoofing

Zbigniew Suski

5

Zbigniew Suski

6

Opracował: Zbigniew Suski

Bezpieczeństwo systemów

Wybrane ataki sieciowe

Spoofing routingu

Spoofing routingu

Spoofing routingu

Spoofing routingu polega na skłanianiu komputerów do

wykorzystanie protokołu ICMP

przesyłania datagramów w miejsca inne niŜ te, do których powinny trafić.

permanentne zapisy ARP dotyczące routerów

MoŜe to doprowadzić do odmowy usługi. Maszyna, do

Spoofing routingu opartego na RIP

której są kierowane pakiety nie odpowiada.

RIP wykorzystuje port 520 UDP, co oznacza, Ŝe nie wymagane jest połączenie, a pakiety

MoŜe zostać przechwycony wszelki ruch pomiędzy przyjmowane są od kaŜdego.

sieciami.

RIP v1 nie posiada Ŝadnego mechanizmu

W trakcie tego działania moŜna prowadzić filtrowanie autoryzacji.

ruchu, wprowadzać modyfikacje, tworzyć wraŜenie

W RIP v2 zastosowana jest prosta forma

poprawnego funkcjonowania sieci.

autoryzacji uŜywająca nieszyfrowanych haseł.

BSI – spoofing

BSI – spoofing

Zbigniew Suski

7

Zbigniew Suski

8

Spoofing routingu opartego na RIP

DNS – przypomnienie podstawowych pojęć

DNS jest systemem rozproszonej bazy danych

Normalny ruch z

udostępniającym usługę translacji nazw na adresy w sieci IP.

Komputera A do Komputera

Komputer A

B przechodzi przez routery

Jest to system hierarchiczny. Dane umoŜliwiające translację RIP1 i RIP2 bez interwencji

nazw na adresy są przechowywane w plikach strefowych na serwerze DNS.

RIP2 Router

Po przesłaniu

Domena prosta - zawiera rekordy, które umoŜliwiają sfałszowanego pakietu RIP

do routera RIP2, wszystkie

translację nazw na adresy IP, czyli umoŜliwia

Komputer C

dane przeznaczone dla

odpowiadania na proste pytania DNS.

Komputera B będą

najpierw przekazywane do

Komputera C, a następnie

Domena odwrotna - zawiera rekordy, które umoŜliwiają do Komputera A, ale

translację adresów IP na nazwy, czyli umoŜliwia RIP1 Router

dopiero po ich uprzednim

przejrzeniu przez Komputer

odpowiadania na odwrotne pytania DNS.

C

Serwer autorytatywny - serwer odpowiedzialny za Komputer B

utrzymywanie dokładnej i pewnej informacji o domenie BSI – spoofing

BSI – spoofing

Zbigniew Suski

9

Zbigniew Suski

10

DNS – przypomnienie podstawowych pojęć

Spoofing DNS

Serwer pierwotny - serwer autorytatywny stanowiący

Przejęcie serwera DNS

pierwotne źródło informacji o domenie

Umieszczanie sfałszowanych danych w pamięci

Serwer wtórny -

serwer autorytatywny, który okresowo

podręcznej serwera DNS

pobiera plik strefowy z serwera głównego.

wykorzystanie pola Transaction ID

Serwer Caching-Only - serwer nieautorytatywny, który

zablokowanie serwera DNS atakiem DoS

otrzymuje odpowiedzi od innych serwerów, zapamiętuje je i

odpowiednie ustawienie w sfałszowanych

jest wobec tego w stanie udzielać odpowiedzi klientom.

odpowiedziach:

Pytania iteracyjne - jeŜeli serwer nie potrafi odpowiedzieć,

adresu źródłowego i docelowego

to zwraca adres serwera autorytatywnego, który powinien

numeru portu źródłowego i docelowego

znać odpowiedź.

odpowiednio duŜej wartości TTL

Pytania rekursywne - jeŜeli serwer nie potrafi odpowiedzieć, to sam poszukuje pełnej odpowiedzi na zadane pytanie i

wartości TID

zwraca odpowiedź klientowi.

wybranie właściwego momentu wysyłania odpowiedzi BSI – spoofing

BSI – spoofing

Zbigniew Suski

11

Zbigniew Suski

12

Opracował: Zbigniew Suski

Bezpieczeństwo systemów

Wybrane ataki sieciowe

Scenariusz ataku - załoŜenia

Scenariusz ataku

1. Uzyskanie listy serwerów DNS domeny abc.com. Np.

Atak na serwer dns1.firma.com ma na celu poprzez usługę whois

umieszczenie w jego pamięci podręcznej

2. Zapytanie o dowolny komputer z domeny abc.com.

sfałszowanego zapisu dotyczącego serwera

nslookup www.abc.com dns1.firma.com

wazny.abc.com.

3. Atak DoS na serwery DNS domeny abc.com

4. Wysłanie zapytanie o adres serwera wazny.abc.com Celem intruza jest aby uŜytkownik korzystający z nslookup wazny.abc.com dns1.firma.com

serwera DNS dns1.firma.com, chcący połączyć się z 5. Wysłanie do serwera dns1.firma.com sfałszowanych odpowiedzi na pytania dotyczące komputera

serwerem wazny.abc.com uzyskiwał połączenie z wazny.abc.com

serwerem intruz.

BSI – spoofing

BSI – spoofing

Zbigniew Suski

13

Zbigniew Suski

14

Scenariusz ataku

Spoofing DNS - zapobieganie

Wyłączenie pamięci podręcznej serwerów DNS

Weryfikacja odpowiedzi serwera

Porównanie odpowiedzi z róŜnych serwerów

6. Sprawdzenie, czy sfałszowane odwzorowanie zostało umieszczone w pami

Porównywanie odpowiedzi na pytania proste i

ęci podręcznej serwera

dns1.firma.com nslookup wazny.abc.com

odwrotne

dns1.firma.com

Pytania iteracyjne zamiast rekursywnych

7. Próba połączenia klienta z domeny firma.com z serwerem wazny.abc.com

Test na autorytatywność

Nie uŜywać DNS ?

Wykorzystanie ICMP (RFC 1788)

DNS Security

BSI – spoofing

BSI – spoofing

Zbigniew Suski

15

Zbigniew Suski

16

Opracował: Zbigniew Suski