Blackhats italia 2002 1 Man in the middle attacks Cosa sono Cosa sono Come sfruttarli Come sfruttarli Come ottenerli Come ottenerli Come prevenirli Come

Blackhats italia 2002Blackhats italia 2002 11

Man in the middle Man in the middle attacksattacks

Cosa sono Cosa sono Come sfruttarliCome sfruttarli Come ottenerliCome ottenerli Come prevenirliCome prevenirli

Alberto Orgnahi <[email protected]>Marco Valleri <[email protected]>


DisclaimerDisclaimer

Copyright (c) Blackhats italia 2002. Copyright (c) Blackhats italia 2002. Permission is granted to copy, Permission is granted to copy, distribute and/or modify this distribute and/or modify this document under the terms of the document under the terms of the GNU Free Documentation License, GNU Free Documentation License, Version 1.1 or any later version Version 1.1 or any later version published by the Free Software published by the Free Software Foundation; Foundation;


Table of contentsTable of contents

A seconda dello scenario in cui ci si trova ad operare A seconda dello scenario in cui ci si trova ad operare l'attacco man in the middle assume forme diverse:l'attacco man in the middle assume forme diverse:

RETE LOCALE:RETE LOCALE:- ARP poisoning- ARP poisoning - DNS spoofing- DNS spoofing - STP - STP manglingmangling

DA RETE LOCALE A REMOTODA RETE LOCALE A REMOTO (attraverso un gateway): (attraverso un gateway):- ARP poisoning- ARP poisoning - DNS spoofing- DNS spoofing - DHCP - DHCP spoofing spoofing - ICMP redirection- ICMP redirection - IRDP spoofing- IRDP spoofing - route - route manglingmangling

REMOTO: REMOTO: - DNS poisoning- DNS poisoning - traffic tunneling- traffic tunneling - route mangling- route mangling


IntroduzioneIntroduzione


Definizione m-i-t-mDefinizione m-i-t-m

La tipologia di attacco che va sotto il nome di man-in-the-middle consiste nel dirottare il traffico generato durante la comunicazione tra due host verso un terzo host (attaccante) il quale fingera’ di essere l’end-point legittimo della comunicazione.

BA

M

LogicaReale

Connessione:


Ruolo dell’attaccanteRuolo dell’attaccante

Essendo l’attaccante fisicamente in mezzo alla comunicazione delle due (o piu’) vittime, ricevera’ pacchetti da e verso le stesse.

Si dovra’ preoccupare di inoltrare i pacchetti che riceve verso la corretta destinazione in modo tale che risulti trasparente ai due end-point della comunicazione.


Tipologie di attacco Tipologie di attacco (1)(1)Half & Full duplex attackHalf & Full duplex attackA seconda della capacita' di riuscire a monitorare solo uno o entrambi i versi della connessione l'attacco verra' chiamato mitm half duplex o mitm full duplex

BA

M

HALF-DUPLEX

BA

M

FULL-DUPLEX


Tipologie di attacco (2)Tipologie di attacco (2)Transparent attackTransparent attack

Questo attacco nasconde perfettamente l’host attaccante alle due vittime.

src: 192.168.1.1

src: 192.168.1.1

A

192.168.1.1

B

192.168.1.5

M

192.168.1.90


Tipologie di attacco (3)Tipologie di attacco (3)Proxy attackProxy attack

L’attaccante funge da proxy per la connessione

src: 192.168.1.1

src: 192.168.1.90

A

192.168.1.1

B

192.168.1.5

M

192.168.1.90


Come sfruttare il Come sfruttare il MITMMITM


Vantaggi (1)Vantaggi (1)SniffingSniffing

E’ la cosa piu’ ovvia che si puo’ fare.Una volta guadagnato il “middle” i pacchetti transitano attraverso la macchina dell’attaccante.

Compromette tutti i protocolli in “plain text”

Permette di carpire le password di numerosi protocolli molto diffusi (telnet, ftp, http, ecc)


Vantaggi (2)Vantaggi (2)HijackingHijacking

Semplice da portare a termineSemplice da portare a termine

Non e’ di tipo blind (si conoscono Non e’ di tipo blind (si conoscono perfettamente i numeri di sequenza perfettamente i numeri di sequenza della connessione)della connessione)

Estrema facilita’ nell’oscurare un lato Estrema facilita’ nell’oscurare un lato della comunicazione e inserirsi al suo della comunicazione e inserirsi al suo postoposto


Vantaggi (3)Vantaggi (3)InjectingInjecting

Possibilita’ di aggiungere pacchetti alla Possibilita’ di aggiungere pacchetti alla connessione (solo full-duplex)connessione (solo full-duplex)

Modifica dei numeri di sequenza di una Modifica dei numeri di sequenza di una connessione TCP per mantenerla connessione TCP per mantenerla sincronizzatasincronizzata

Ancora piu’ semplice nella soluzione Ancora piu’ semplice nella soluzione “proxy attack”“proxy attack”


Vantaggi (4)Vantaggi (4)FilteringFiltering

Possibilita’ di modificare il payload dei Possibilita’ di modificare il payload dei pacchetti (ricalcolando il checksum dove pacchetti (ricalcolando il checksum dove necessario)necessario)

Creare filtri pattern matching on the flyCreare filtri pattern matching on the fly

Modifica anche della lunghezza del Modifica anche della lunghezza del payload ma solo in regime FULL-DUPLEXpayload ma solo in regime FULL-DUPLEX


Esempi di attacchiEsempi di attacchi


Esempi di attacchi (1)Esempi di attacchi (1)Command injectionCommand injection

Utile nel caso di sessioni telnet con Utile nel caso di sessioni telnet con autenticazione non riproducibile autenticazione non riproducibile (RSA token,…)(RSA token,…)

Inserimento comandi verso il Inserimento comandi verso il server server

Simulare risposte verso il clientSimulare risposte verso il client


Esempi di attacchi Esempi di attacchi (2)(2)Malicious code injectionMalicious code injection Inserimento malicious code in Inserimento malicious code in

pagine web, mail ecc (javascript, pagine web, mail ecc (javascript, trojans, virus, ecc)trojans, virus, ecc)

Modifica on the fly di file binari in Modifica on the fly di file binari in fase di download (virus, backdoor, fase di download (virus, backdoor, ecc)ecc)


Esempi di attacchi (3)Esempi di attacchi (3)Key exchangingKey exchanging

Modifica delle chiavi pubbliche Modifica delle chiavi pubbliche scambiate all’inizio della connessione. scambiate all’inizio della connessione. (es SSH1)(es SSH1)

Server Client

MITM

start

KEY(rsa) KEY(rsa)

Ekey[S-Key]Ekey[S-Key]S-KEY S-KEY S-KEY

MEskey(M)

D(E(M))

D(E(M))


Esempi di attacchi (4)Esempi di attacchi (4)Parameters and banner substitutionParameters and banner substitution

E' possibile sostituire i parametri che il server E' possibile sostituire i parametri che il server e il client si scambiano per modificare il e il client si scambiano per modificare il comportamento di entrambi. comportamento di entrambi.

Esempio: e’ possibile far si che una Esempio: e’ possibile far si che una connessione che richiede SSH2 sia stabilita in connessione che richiede SSH2 sia stabilita in SSH1.SSH1.

– Risposte possibili del server:Risposte possibili del server: SSH-1.99 -- il server supporta ssh1 e ssh2 SSH-1.99 -- il server supporta ssh1 e ssh2 SSH-1.51 -- il server supporta SOLO ssh1 SSH-1.51 -- il server supporta SOLO ssh1

– Creazione di un filtro che cambia 1.99 con 1.51Creazione di un filtro che cambia 1.99 con 1.51

Possibilita’ di aggirare known_hostsPossibilita’ di aggirare known_hosts


Esempi di attacchi (5)Esempi di attacchi (5)IPSEC FailureIPSEC Failure

Bloccare il keymaterial scambiato sulla Bloccare il keymaterial scambiato sulla porta 500 UDPporta 500 UDP

Gli end point credono che l’altro non Gli end point credono che l’altro non sia in grado di usare IPSECsia in grado di usare IPSEC

Se il client e’ configurato in fall-back Se il client e’ configurato in fall-back c’e’ buona probabilita’ che l’utente non c’e’ buona probabilita’ che l’utente non si accorga di comunicare in clear-textsi accorga di comunicare in clear-text


Tecniche di attaccoTecniche di attaccoIN LOCALEIN LOCALE


Attacchi Locali (1)Attacchi Locali (1)ARP poison ARP poison - introduzione (1)- introduzione (1)

Stack TCP/IP su ethernet

eth IP TCP Dati FCS

TCP

IP

eth FCS

Dati Livello Applicazione

Livello Trasporto

Livello Network

Livello Data-Link

Frame trasmesso



Il protocollo ARP (Address Resolution Il protocollo ARP (Address Resolution Protocol) si preoccupa di mappare i 32 Protocol) si preoccupa di mappare i 32 bit di indirizzo IP (versione 4) in 48 bit di bit di indirizzo IP (versione 4) in 48 bit di indirizzo ETHindirizzo ETH

Due tipi principali di messaggi: Due tipi principali di messaggi: – ARP request (richiesta di risoluzione ARP request (richiesta di risoluzione

indirizzo)indirizzo)– ARP reply (risposta contenente un indirizzo ARP reply (risposta contenente un indirizzo

eth)eth)



Le risposte sono memorizzate nella ARP Le risposte sono memorizzate nella ARP CACHE, in modo da limitare il traffico CACHE, in modo da limitare il traffico arp sulla retearp sulla rete

Problemi :Problemi :– Il protocollo e’ statelessIl protocollo e’ stateless– Le ARP reply sono memorizzate in cache Le ARP reply sono memorizzate in cache

anche se non erano state sollecitate anche se non erano state sollecitate (incrementa prestazioni ma penalizza la (incrementa prestazioni ma penalizza la sicurezza)sicurezza)


Attacchi Locali (1)Attacchi Locali (1)ARP poison ARP poison - attacco (1)- attacco (1)

Sfrutta il comportamento Sfrutta il comportamento stateless del protocollostateless del protocollo

Se l’attaccante invia una ARP Se l’attaccante invia una ARP reply (spoofata) verso un host, reply (spoofata) verso un host, questo la memorizzera’ nella questo la memorizzera’ nella propria arp cachepropria arp cache



Vittima A Vittima B

Attaccante

192.168.0.1

192.168.0.3

192.168.0.2

01:01:01:01:01:01 02:02:02:02:02:02

03:03:03:03:03:03

ARP cache:192.168.0.202:02:02:02:02:02

192.168.0.2 is at03:03:03:03:03:03

ARP cache:192.168.0.203:03:03:03:03:03

ARP cache:192.168.0.1

01:01:01:01:01:01

ARP cache:192.168.0.1

03:03:03:03:03:03

192.168.0.1 is at03:03:03:03:03:03



Le entries della cache sono provviste Le entries della cache sono provviste di timeout, quindi l’attaccante deve di timeout, quindi l’attaccante deve periodicamente “rinfrescarla”periodicamente “rinfrescarla”

Una entry non e’ aggiornata se non era Una entry non e’ aggiornata se non era gia’ presente nella cachegia’ presente nella cache– Aggirabile tramite un ICMP spoofatoAggirabile tramite un ICMP spoofato

Versione modificata dell’attacco contro Versione modificata dell’attacco contro linux e solaris linux e solaris



Utile per sniffare su reti connesse Utile per sniffare su reti connesse tramite switchtramite switch

Lo switch opera a livello 2 ed e’ Lo switch opera a livello 2 ed e’ ignaro dei cambiamenti delle ignaro dei cambiamenti delle associazioni nelle arp cache degli associazioni nelle arp cache degli host vittimehost vittime


Attacchi Locali (1)Attacchi Locali (1)ARP poison ARP poison - tools- tools

EttercapEttercap ((http://ettercap.sf.nethttp://ettercap.sf.net))– PoisoningPoisoning– SniffingSniffing– HijackingHijacking– FilteringFiltering– SSH sniffing (transparent attack)SSH sniffing (transparent attack)

DsniffDsniff ((http://www.monkey.org/~dugsong/dsniffhttp://www.monkey.org/~dugsong/dsniff))– PoisoningPoisoning– SniffingSniffing– SSH sniffing (proxy attack)SSH sniffing (proxy attack)


Attacchi Locali (1)Attacchi Locali (1)ARP poison ARP poison - tracce lasciate- tracce lasciate

Le ARP cache delle vittime Le ARP cache delle vittime contengono il mac address contengono il mac address dell’attaccantedell’attaccante

Se lo switch non e’ provvisto di Se lo switch non e’ provvisto di port-security o se si e’ su HUB, port-security o se si e’ su HUB, l’attaccante puo’ spoofare il suo l’attaccante puo’ spoofare il suo mac address.mac address.


Attacchi Locali (1)Attacchi Locali (1)ARP poison ARP poison - contromisurecontromisure

NONO - Port security sullo switch - Port security sullo switch

SISI - passive monitoring (arpwatch) - passive monitoring (arpwatch) SISI - active monitoring (ettercap) - active monitoring (ettercap) SISI - IDS (rilevano ma non evitano) - IDS (rilevano ma non evitano)

SISI - ARP entries statiche (evitano) - ARP entries statiche (evitano) SISI - Secure-ARP (in development) - Secure-ARP (in development)


Attacchi Locali (2)Attacchi Locali (2)DNS spoofing DNS spoofing - introduzione (1)- introduzione (1)

Il Domain Name System si occupa Il Domain Name System si occupa di trasformare i nomi simbolici di trasformare i nomi simbolici degli host in indirizzi IP utilizzabili degli host in indirizzi IP utilizzabili dal kerneldal kernel

HOST DNSwww.kernel.org

204.152.189.113


Attacchi Locali (2)Attacchi Locali (2)DNS spoofing DNS spoofing - introduzione (2)- introduzione (2)

Il protocollo in realta’ e’ molto Il protocollo in realta’ e’ molto piu’ complesso, ma ci limiteremo piu’ complesso, ma ci limiteremo alla trattazione delle funzionalita’ alla trattazione delle funzionalita’ che ci servono per l’attacco.che ci servono per l’attacco.

L’unico campo del pacchetto UDP L’unico campo del pacchetto UDP (porta 53) che ci interessa e’ l’ID (porta 53) che ci interessa e’ l’ID


Attacchi Locali (2)Attacchi Locali (2)DNS spoofing DNS spoofing - attacco (1)- attacco (1)

Intercettare le richieste e memorizzare il Intercettare le richieste e memorizzare il campo IDcampo ID

Forgiare una falsa risposta con il giusto IDForgiare una falsa risposta con il giusto ID

Spedire al client che ha effettuato la Spedire al client che ha effettuato la richiesta.richiesta.

Intercettare eventuali reverse query (PTR)Intercettare eventuali reverse query (PTR)



HOST DNSserverX.localdomain.it

10.1.1.50

MITM

10.1.1.1



In questo caso l’attaccante puo’ In questo caso l’attaccante puo’ fungere da proxy per il server e fungere da proxy per il server e rispondere in modo corretto a rispondere in modo corretto a tutti i servizi che il client si tutti i servizi che il client si aspetta di trovare sul server.aspetta di trovare sul server.

Port forwarding con iptablesPort forwarding con iptables


Attacchi Locali (2)Attacchi Locali (2)DNS spoofing DNS spoofing - tools- tools

EttercapEttercap ((http://ettercap.sf.nethttp://ettercap.sf.net))

– Phantom pluginPhantom plugin

DsniffDsniff ((http://www.monkey.org/~dugsong/dsniffhttp://www.monkey.org/~dugsong/dsniff))

– DnsspoofDnsspoof

Zodiac Zodiac ((http://www.packetfactory.com/http://www.packetfactory.com/ProjectsProjects//zodiaczodiac))


Attacchi Locali (2)Attacchi Locali (2)DNS spoofing DNS spoofing - tracce lasciate- tracce lasciate

Usando un risolutore di indirizzi Usando un risolutore di indirizzi diverso, ci si puo’ accorgere della diverso, ci si puo’ accorgere della differenza di rispostedifferenza di risposte

L’IP dell’attaccante e’ presente L’IP dell’attaccante e’ presente all’interno delle risposte DNSall’interno delle risposte DNS


Attacchi Locali (2)Attacchi Locali (2)DNS spoofing DNS spoofing - contromisurecontromisure

SISI - individuare risposte multiple - individuare risposte multiple (IDS)(IDS)

SISI - usare lmhost o host file per - usare lmhost o host file per risoluzioni staticherisoluzioni statiche

SISI - DNSSEC (risoluzione criptata) - DNSSEC (risoluzione criptata)


Attacchi Locali (3)Attacchi Locali (3)STP mangling STP mangling - introduzione (1)- introduzione (1)

Il protocollo di spanning tree (802.1d) e' Il protocollo di spanning tree (802.1d) e' un protocollo di layer 2 appositamente un protocollo di layer 2 appositamente progettato per evitare "loop" di pacchetti progettato per evitare "loop" di pacchetti dove siano presenti percorsi ridondatidove siano presenti percorsi ridondati

Pacchetti con MAC sorgente non Pacchetti con MAC sorgente non presente nelle tabelle dello switch, sono presente nelle tabelle dello switch, sono forwardati su tutte le porte. Questo forwardati su tutte le porte. Questo potrebbe portare a loop di forwardingpotrebbe portare a loop di forwarding



Per evitare loop nella topologia della rete, gli Per evitare loop nella topologia della rete, gli switch si costruiscono un albero di copertura switch si costruiscono un albero di copertura (spanning tree) attraverso lo scambio di (spanning tree) attraverso lo scambio di BPDU (bridge protocol data unit)BPDU (bridge protocol data unit)

Elezione di un “root switch” Elezione di un “root switch”

Per ogni switch si designano le porte Per ogni switch si designano le porte attraverso le quali si raggiunge la root e attraverso le quali si raggiunge la root e quelle verso i suoi discendenti dell’albero quelle verso i suoi discendenti dell’albero (designated port)(designated port)



Ogni pacchetto contiene una priorita’ Ogni pacchetto contiene una priorita’ che sara’ utilizzata per l’elezione della che sara’ utilizzata per l’elezione della root.root.

La priorita’ e’ rappresentata da un La priorita’ e’ rappresentata da un numero formato da 2 byte + il mac numero formato da 2 byte + il mac address dello switch (minore e’ questo address dello switch (minore e’ questo numero maggiore e’ la priorita’)numero maggiore e’ la priorita’)

Le BPDU sono continuamente scambiate Le BPDU sono continuamente scambiate per rilevare cambiamenti nella reteper rilevare cambiamenti nella rete


Attacchi Locali (3)Attacchi Locali (3)STP mangling STP mangling - attacco- attacco

Non e’ un vero e proprio m-i-t-m attack. Non e’ un vero e proprio m-i-t-m attack. Permette solo di ricevere traffico Permette solo di ricevere traffico “unmanaged”“unmanaged”

Si forgiano BPDU con priorita’ molto alta Si forgiano BPDU con priorita’ molto alta (fingendoci per la nuova root)(fingendoci per la nuova root)

Gli switch ricostruiranno l’albero per adattarsi Gli switch ricostruiranno l’albero per adattarsi alla nostra presenzaalla nostra presenza

Cercare di saturare le tabelle dello switchCercare di saturare le tabelle dello switch


Attacchi Locali (3)Attacchi Locali (3)STP mangling STP mangling - tools- tools

EttercapEttercap ((http://ettercap.sf.nethttp://ettercap.sf.net))

– Lamia pluginLamia plugin


Attacchi Locali (3)Attacchi Locali (3)STP mangling STP mangling - tracce lasciate- tracce lasciate

Il Mac address dell’attaccante e’ Il Mac address dell’attaccante e’ presente nello stato dello switchpresente nello stato dello switch


Attacchi Locali (3)Attacchi Locali (3)STP mangling STP mangling - contromisurecontromisure

SISI - Disabilitare STP sulle VLAN prive di loop - Disabilitare STP sulle VLAN prive di loop (sconsgiliato da CISCO)(sconsgiliato da CISCO)

SISI - Root Guard (se l'apparato lo supporta) - Root Guard (se l'apparato lo supporta) impedisce che determinate porte diventino impedisce che determinate porte diventino "root port“, oppure disabilitare l’STP su queste "root port“, oppure disabilitare l’STP su queste porte.porte.

SISI - Settare le porte connesse a workstations - Settare le porte connesse a workstations come "portfast", e attivare BPDU Guard su come "portfast", e attivare BPDU Guard su queste porte (se l'apparato lo supporta). queste porte (se l'apparato lo supporta).

NONO - Il portfast da solo NON e' sufficiente. - Il portfast da solo NON e' sufficiente.


Tecniche di attaccoTecniche di attaccoDA LOCALE A DA LOCALE A

REMOTOREMOTO


Attacchi locale - remoto Attacchi locale - remoto (1)(1)ARP poisoning ARP poisoning - introduzioneintroduzione

Per raggiungere una destinazione Per raggiungere una destinazione all’esterno della LAN un host deve all’esterno della LAN un host deve conoscere l’IP del gateway.conoscere l’IP del gateway.

L’host manda una ARP request L’host manda una ARP request per l’IP del gatewayper l’IP del gateway


Attacchi locale - remoto Attacchi locale - remoto (1)(1)ARP poisoning ARP poisoning - attacco- attacco

Simile all’attacco locale.Simile all’attacco locale.

Il gateway e’ un host locale, Il gateway e’ un host locale, quindi puo’ essere poisonato quindi puo’ essere poisonato come qualsiasi altro hostcome qualsiasi altro host

In presenza di “proxy arp” gli host In presenza di “proxy arp” gli host remoti sono considerati localiremoti sono considerati locali


Attacchi locale - remoto Attacchi locale - remoto (1)(1)ARP poisoning ARP poisoning - contromisurecontromisure

SISI - entry statica del gateway su - entry statica del gateway su tutti gli hosttutti gli host


Attacchi locale - remoto Attacchi locale - remoto (2)(2)DNS spoofing DNS spoofing - introduzioneintroduzione

Le richieste saranno per host non Le richieste saranno per host non locali, verso DNS non locali.locali, verso DNS non locali.

Tecnica identica a quella per gli Tecnica identica a quella per gli host locali.host locali.

Abilitare il flag “autoritative” per Abilitare il flag “autoritative” per evitare richieste iterative.evitare richieste iterative.


Attacchi locale - remoto Attacchi locale - remoto (2)(2)DNS spoofing DNS spoofing - contromisurecontromisure

SISI - individuare risposte multiple - individuare risposte multiple (IDS)(IDS)

SISI - usare lmhost o host file per - usare lmhost o host file per risoluzioni staticherisoluzioni statiche

SISI - DNSSEC (risoluzione criptata) - DNSSEC (risoluzione criptata)


Attacchi locale - remoto Attacchi locale - remoto (3)(3)DHCP spoofing DHCP spoofing - introduzioneintroduzione

Il servizio DHCP e' utilizzato per Il servizio DHCP e' utilizzato per l'assegnazione dinamica di una l'assegnazione dinamica di una serie di parametri per la serie di parametri per la connettivita' di rete:connettivita' di rete:

– Indirizzo IPIndirizzo IP– DNSDNS– Default routeDefault route


Attacchi locale - remoto Attacchi locale - remoto (3)(3)DHCP spoofing DHCP spoofing - attacco (1)- attacco (1)

Intercattando una richiesta Intercattando una richiesta (broadcast) dhcp e' possibile (broadcast) dhcp e' possibile rispondere prima del vero server.rispondere prima del vero server.

In questo modo possiamo In questo modo possiamo modificare i parametri di :modificare i parametri di :– Default gateway Default gateway – DNSDNS


Attacchi locale - remoto Attacchi locale - remoto (3)(3)DHCP spoofing DHCP spoofing - attacco (2)- attacco (2) Default gateway:Default gateway: assegnando l'indirizzo assegnando l'indirizzo

IP dell'attaccante come default IP dell'attaccante come default gateway, tutto il traffico verso l'esterno gateway, tutto il traffico verso l'esterno della lan passera' da essodella lan passera' da esso

DNS:DNS: assegnando l'indirizzo IP assegnando l'indirizzo IP dell'attaccante come DNS, tutte le dell'attaccante come DNS, tutte le richieste di risoluzione dei nomi richieste di risoluzione dei nomi verranno fatte a lui e sara' quindi in verranno fatte a lui e sara' quindi in grado di portare un attacco simile a grado di portare un attacco simile a quello visto in precedenza (DNS quello visto in precedenza (DNS spoofing)spoofing)


Attacchi locale - remoto Attacchi locale - remoto (3)(3)DHCP spoofing DHCP spoofing - tools- tools

Non e' necessario un tool Non e' necessario un tool apposito ma bastera' configurare apposito ma bastera' configurare la macchina attaccante come la macchina attaccante come DHCP server, installando ad DHCP server, installando ad esempio dhcpd.esempio dhcpd.


Attacchi locale - remoto Attacchi locale - remoto (3)(3)DHCP spoofing DHCP spoofing - tracce lasciate- tracce lasciate

L‘indirizzo IP dell'attaccante nelle L‘indirizzo IP dell'attaccante nelle configurazioni del client.configurazioni del client.


Attacchi locale - remoto Attacchi locale - remoto (3)(3)DHCP spoofing DHCP spoofing - contromisurecontromisure

La migliore contromisura e' La migliore contromisura e' l'attenzione dell'utente che si l'attenzione dell'utente che si vedra' porbabilmente arrivare piu' vedra' porbabilmente arrivare piu' di una risposta dhcp e potra' di una risposta dhcp e potra' controllare "manualmente" alla controllare "manualmente" alla ricerca di strane o inaspettate ricerca di strane o inaspettate configurazioni assegnateconfigurazioni assegnate


Attacchi locale - remoto Attacchi locale - remoto (4)(4)ICMP redirect ICMP redirect - introduzione (1)- introduzione (1)

Esaminiamo solo il comando Esaminiamo solo il comando REDIRECT del protocollo ICMPREDIRECT del protocollo ICMP

Il comando redirect serve ad Il comando redirect serve ad avvisare un host che esiste una avvisare un host che esiste una rotta piu’ breve per la rotta piu’ breve per la destinazione richiesa e questa destinazione richiesa e questa rotta passa per il gateway rotta passa per il gateway indicato nel pacchetto ICMPindicato nel pacchetto ICMP


Attacchi locale - remoto Attacchi locale - remoto (4)(4)ICMP redirect ICMP redirect - introduzione (2)- introduzione (2)

G1

G2

H

R TR

ICMP redirect to G2

LAN

2

3


Attacchi locale - remoto Attacchi locale - remoto (4)(4)ICMP redirect ICMP redirect - attacco (1)- attacco (1) Forgiare un ICMP redirect spoofando la Forgiare un ICMP redirect spoofando la

sorgente dello stesso come se fossimo il sorgente dello stesso come se fossimo il gateway originale e con destinazione gateway originale e con destinazione della redirizione l’host attaccante.della redirizione l’host attaccante.

E’ necessario sniffare il pacchetto E’ necessario sniffare il pacchetto originario poiche’ nel REDIRECT ne originario poiche’ nel REDIRECT ne devono essere inclusi 64 bit + header IP devono essere inclusi 64 bit + header IP (non sempre necessario: a seconda (non sempre necessario: a seconda dell’OS) dell’OS)


Attacchi locale - remoto Attacchi locale - remoto (4)(4)ICMP redirect ICMP redirect - attacco (2)- attacco (2) I pacchetti di tipo REDIRECT vengono presi in I pacchetti di tipo REDIRECT vengono presi in

considerazione dagli host a seconda del loro considerazione dagli host a seconda del loro sistema operativo:sistema operativo:

– Windows 9x accetta i REDIRECT di default e aggiunge Windows 9x accetta i REDIRECT di default e aggiunge una entry (di tipo host) nelle sue tabelle di routing.una entry (di tipo host) nelle sue tabelle di routing.

– Linux accetta di default i REDIRECT in alcune Linux accetta di default i REDIRECT in alcune distribuzioni (vedere in proposito distribuzioni (vedere in proposito /proc/sys/net/ipv4/<nome /proc/sys/net/ipv4/<nome interfaccia>/accept_redirects)interfaccia>/accept_redirects)

Le rotte aggiunte sono comunque temporanee.Le rotte aggiunte sono comunque temporanee.


Attacchi locale - remoto Attacchi locale - remoto (4)(4)ICMP redirect ICMP redirect - tools- tools

IRPAS icmp_redirectIRPAS icmp_redirect di Phenoelit di Phenoelit((http://www.phenoelit.de/http://www.phenoelit.de/irpasirpas//))

icmp_rediricmp_redir di Yuri Volobuev di Yuri Volobuev


Attacchi locale - remoto Attacchi locale - remoto (4)(4)ICMP redirect ICMP redirect - tracce lasciate- tracce lasciate

L’indirizzo IP dell’attaccante e’ L’indirizzo IP dell’attaccante e’ presente nelle rotte dell'host presente nelle rotte dell'host

– e' possibile spoofarlo e far e' possibile spoofarlo e far comunque arrivare a lui i pacchetti comunque arrivare a lui i pacchetti rispondendo alle ARP request per rispondendo alle ARP request per l'indirizzol'indirizzo


Attacchi locale - remoto Attacchi locale - remoto (4)(4)ICMP redirect ICMP redirect - contromisurecontromisure

SISI - Disabilitare i REDIRECT - Disabilitare i REDIRECT – ma cosi' facendo ci potebbero ma cosi' facendo ci potebbero

essere dei cali di prestazioni nella essere dei cali di prestazioni nella rete (i pacchetti fanno piu’ HOP).rete (i pacchetti fanno piu’ HOP).

NONO - Linux permette di attivare - Linux permette di attivare l'opzione "secure redirect", che non l'opzione "secure redirect", che non risulta una protezione efficacerisulta una protezione efficace


Attacchi locale - remoto Attacchi locale - remoto (5)(5)IRDP spoofing IRDP spoofing - introduzione (1)- introduzione (1) IRDP (ICMP Router Discovery Protocol) e' un IRDP (ICMP Router Discovery Protocol) e' un

protocollo basato su ICMP, utilizzato per protocollo basato su ICMP, utilizzato per l'assegnazione automatica agli host di un l'assegnazione automatica agli host di un gateway(router). gateway(router).

Ci sono due tipi di messaggi previsti dal Ci sono due tipi di messaggi previsti dal protocollo:protocollo:– "Router Advertisements" "Router Advertisements" – "Router Solicitations""Router Solicitations"

Periodicamente, ogni router manda in multicast Periodicamente, ogni router manda in multicast degli advertisment per annunciare il suo indirizzo degli advertisment per annunciare il suo indirizzo IPIP


Attacchi locale - remoto Attacchi locale - remoto (5)(5)IRDP spoofing IRDP spoofing - introduzione (2)- introduzione (2) Ogni advertisment contiene un "livello Ogni advertisment contiene un "livello

di preferenza“ e un campo “lifetime”. di preferenza“ e un campo “lifetime”.

Nel caso un host riceva piu' Nel caso un host riceva piu' advertisment da diverse sorgenti, si advertisment da diverse sorgenti, si dovrebbe scegliere quello con il livello dovrebbe scegliere quello con il livello piu' elevatopiu' elevato

Il "lifetime" sta ad indicare il tempo per Il "lifetime" sta ad indicare il tempo per cui l'host deve conservare quella rotta.cui l'host deve conservare quella rotta.


Attacchi locale - remoto Attacchi locale - remoto (5)(5)IRDP spoofing IRDP spoofing - attacco- attacco Forgiare degli "advertisment" annunciandoci Forgiare degli "advertisment" annunciandoci

come router e settando i campi "livello di come router e settando i campi "livello di preferenza" e "lifetime" al massimo valore preferenza" e "lifetime" al massimo valore consentitoconsentito

– Windows 9x Windows 9x accetta IRDPaccetta IRDP– Windows NT Windows NT usa IRDP al bootusa IRDP al boot– Windows 2000 Windows 2000 ignora IRDPignora IRDP– Linux Linux ignora IRDPignora IRDP

Si puo' rendere l'attacco piu' efficace Si puo' rendere l'attacco piu' efficace orgiando degli ICMP Host Unreachable orgiando degli ICMP Host Unreachable impersonando l'attuale router di default.impersonando l'attuale router di default.


Attacchi locale - remoto Attacchi locale - remoto (5)(5)IRDP spoofing IRDP spoofing - tools- tools

IRPAS IRPAS di Phenoelitdi Phenoelit((http://www.phenoelit.de/http://www.phenoelit.de/irpasirpas//))


Attacchi locale - remoto Attacchi locale - remoto (5)(5)IRDP spoofing IRDP spoofing - tracce lasciate- tracce lasciate

L’indirizzo IP dell’attaccanete e’ L’indirizzo IP dell’attaccanete e’ presente nelle rotte dell'host presente nelle rotte dell'host

– e' possibile spoofarlo e far e' possibile spoofarlo e far comunque arrivare a noi i pacchetti comunque arrivare a noi i pacchetti rispondendo alle ARP request per rispondendo alle ARP request per l'indirizzo spoofato.l'indirizzo spoofato.


Attacchi locale - remoto Attacchi locale - remoto (5)(5)IRDP spoofing IRDP spoofing - contromisurecontromisure

SISI - Disabilitare IRDP sugli hosts - Disabilitare IRDP sugli hosts se il sitema operativo lo se il sitema operativo lo permette.permette.


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - introduzione (1)- introduzione (1) Nel caso in cui un router ha piu' rotte Nel caso in cui un router ha piu' rotte

possibili per una stessa destinazione, sceglie possibili per una stessa destinazione, sceglie quella col "peso" maggiore. quella col "peso" maggiore.

Il peso viene determinato in base a vari Il peso viene determinato in base a vari fattori come le metriche proposte dai vari fattori come le metriche proposte dai vari protocolli di routing, e il tipo di protocollo protocolli di routing, e il tipo di protocollo stesso che ha proposto la rotta. Piu' il stesso che ha proposto la rotta. Piu' il protocollo e' "fidato", maggiore sara' il peso protocollo e' "fidato", maggiore sara' il peso delle rotte che propone. delle rotte che propone.

Le rotte statiche hanno generalmente un Le rotte statiche hanno generalmente un "grosso" peso."grosso" peso.


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - introduzione (2)- introduzione (2)

La prima cosa che viene controllata La prima cosa che viene controllata nella scelta di una rotta e' (in nella scelta di una rotta e' (in generale) la netmask. generale) la netmask.

Questo perche' piu' la netmask e' Questo perche' piu' la netmask e' grande (cioe’ restrittiva) e piu' vuol grande (cioe’ restrittiva) e piu' vuol dire che quella rotta e' specifica per dire che quella rotta e' specifica per l'host che vogliamo raggiungere e non l'host che vogliamo raggiungere e non per una piu' generica subnet.per una piu' generica subnet.


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - attacco (1)- attacco (1)

Forgiare dei pacchetti per GW annunciandoci come router con un ottima metrica per un determinato host (o classe o subnet).

Specificare una netmask grande per “battere” rotte di peso maggiore.

INTERNET GW AT

H


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - attacco (2)- attacco (2) Quando H mandera' dei pacchetti per l'host Quando H mandera' dei pacchetti per l'host

per cui l’ATTACKER si e’ annunciato come per cui l’ATTACKER si e’ annunciato come rotta preferenziale, questi arriveranno a GW.rotta preferenziale, questi arriveranno a GW.

GW sara' convinto che il modo piu' veloce per GW sara' convinto che il modo piu' veloce per raggiungere quell'host e' attraverso raggiungere quell'host e' attraverso ATTACKERATTACKER

GW mandera' ad H degli ICMP redirect GW mandera' ad H degli ICMP redirect dicendogli di usare ATTACKER come gateway dicendogli di usare ATTACKER come gateway per i pacchetti successivi. per i pacchetti successivi.


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - attacco (3)- attacco (3) Il problema a questo punto e' trovare un Il problema a questo punto e' trovare un

modo per far arrivare i pacchetti al legittimo modo per far arrivare i pacchetti al legittimo destinatario. GW, infatti, e’ convinto di poter destinatario. GW, infatti, e’ convinto di poter raggiungere l’host attraverso l’attacker.raggiungere l’host attraverso l’attacker.

INTERNET GW AT

H

D

AT2Tunnel


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - attacco (4)- attacco (4)

Possibilita’ di usare multipath routing o Possibilita’ di usare multipath routing o QoSQoS


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - tools- tools

IRPAS IRPAS di Phenoelitdi Phenoelit((http://www.phenoelit.de/http://www.phenoelit.de/irpasirpas//))

Nemesis Nemesis ((http://www.packetfactory.net/http://www.packetfactory.net/ProjectsProjects//nemesisnemesis//))


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - tracce lasciate- tracce lasciate

L’indirizzo IP dell’attaccante nelle L’indirizzo IP dell’attaccante nelle tabelle del router che sono tabelle del router che sono comunque temporaneecomunque temporanee

– E’ possibile spoofarlo come nei casi E’ possibile spoofarlo come nei casi precedenti.precedenti.


Attacchi locale - remoto Attacchi locale - remoto (6)(6)ROUTE mangling ROUTE mangling - contromisurecontromisure SISI - Disabilitare i protocolli di routing - Disabilitare i protocolli di routing

dinamico che sono inutili in uno dinamico che sono inutili in uno scenario di questo tipo scenario di questo tipo

SISI - Mettere delle ACL esplicite - Mettere delle ACL esplicite sull'interfaccia interna del router che sull'interfaccia interna del router che blocchino gli "update" indesiderati.blocchino gli "update" indesiderati.

SISI - Abilitare l'autenticazione MD5 nei - Abilitare l'autenticazione MD5 nei protocolli che la supportanoprotocolli che la supportano


Tecniche di attaccoTecniche di attaccoIN REMOTOIN REMOTO


Attacchi in remoto Attacchi in remoto (1)(1)DNS poisoning DNS poisoning - introduzione - introduzione (1)(1)Quando il DNS riceve una richiesta ci Quando il DNS riceve una richiesta ci

possono essere 3 possibilita':possono essere 3 possibilita':

1.1. Il DNS e' "autoritativo" per il dominio a cui il Il DNS e' "autoritativo" per il dominio a cui il nome richiesto appartiene. (risposta nome richiesto appartiene. (risposta autoritativa)autoritativa)

2.2. Il DNS non e' "autoritativo" per il dominio Il DNS non e' "autoritativo" per il dominio richiesto ma ha nella cache la coppia <nome richiesto ma ha nella cache la coppia <nome simbolico, indirizzo IP> in seguito ad una simbolico, indirizzo IP> in seguito ad una precedente richiesta. (risposta non precedente richiesta. (risposta non autoritativa)autoritativa)


Attacchi in remoto Attacchi in remoto (1)(1)DNS poisoning DNS poisoning - introduzione - introduzione (2)(2)3.3. Il DNS non e' "autoritativo" per il Il DNS non e' "autoritativo" per il

dominio e non ha in cache l'indirizzo dominio e non ha in cache l'indirizzo IP della macchina richiesta.IP della macchina richiesta.

La query e' di tipo ricorsivo. (risponde La query e' di tipo ricorsivo. (risponde risolvendo da solo l’host richiesto)risolvendo da solo l’host richiesto)

La query e' di tipo iterativo. (risponde La query e' di tipo iterativo. (risponde fornendo l’indirizzo del DNS autoritativo fornendo l’indirizzo del DNS autoritativo per il dominio di primo livello dell’host da per il dominio di primo livello dell’host da risolvere)risolvere)


Attacchi in remoto Attacchi in remoto (1)(1)DNS poisoning DNS poisoning - attacco (1)- attacco (1) ATTACCO DEL PRIMO TIPOATTACCO DEL PRIMO TIPO

L’attacco ha come fine quello di mettere nella cache L’attacco ha come fine quello di mettere nella cache del DNS una coppia <indirizzo IP, nome simbolico>del DNS una coppia <indirizzo IP, nome simbolico>

Si effettua una richiesta al DNS vittimaSi effettua una richiesta al DNS vittima

Si spoofa la risposta che dovrebbe arrivare dal DNS Si spoofa la risposta che dovrebbe arrivare dal DNS autoritativo (i pacchetti sono UDP)autoritativo (i pacchetti sono UDP)

Nella risposta forgiata dobbiamo inserire l'ID corretto Nella risposta forgiata dobbiamo inserire l'ID corretto della transazione iniziata dal DNS vittima (brute force, della transazione iniziata dal DNS vittima (brute force, semi-blind guessing)semi-blind guessing)


Attacchi in remoto Attacchi in remoto (1)(1)DNS poisoning DNS poisoning - attacco (2)- attacco (2) ATTACCO DEL SECONDO TIPOATTACCO DEL SECONDO TIPO

Sfrutta la “feature” del dynamic update di alcuni DNSSfrutta la “feature” del dynamic update di alcuni DNS

Inviando richieste di tipo “update”Inviando richieste di tipo “update” e’ possibile e’ possibile aggiungere o eliminare alcuneaggiungere o eliminare alcune entries per cui il DNS e’ entries per cui il DNS e’ autoritativoautoritativo

ATTACCO DEL TERZO TIPOATTACCO DEL TERZO TIPO

abusare del sistema di assegnazione dei domini (ad abusare del sistema di assegnazione dei domini (ad esempio richiedendo un spostamento di dominio a esempio richiedendo un spostamento di dominio a Network Solutions Inc.)Network Solutions Inc.)


Attacchi in remoto Attacchi in remoto (1)(1)DNS poisoning DNS poisoning - tools- tools ADMIdPackADMIdPack

Zodiac Zodiac ((http://www.packetfactory.com/http://www.packetfactory.com/ProjectsProjects//zodiaczodiac))

per il dynamic update: per il dynamic update: Net::DNS::UpdateNet::DNS::Update


Attacchi in remoto Attacchi in remoto (1)(1)DNS poisoning DNS poisoning - tracce lasciate- tracce lasciate Come nel caso del DNS spoofing, Come nel caso del DNS spoofing,

gli host manderanno tutti i gli host manderanno tutti i pacchetti della connessione verso pacchetti della connessione verso l'indirizzo IP della macchina l'indirizzo IP della macchina attaccante. attaccante.

Il DNS conservera' traccia di tale Il DNS conservera' traccia di tale IP per tutto il tempo di latenza IP per tutto il tempo di latenza dell'entry nella cache.dell'entry nella cache.


Attacchi in remoto Attacchi in remoto (1)(1)DNS poisoning DNS poisoning - contromisurecontromisure NONO - restringere il dynamic update a range di IP (possono - restringere il dynamic update a range di IP (possono

essere spoofati)essere spoofati)

SISI - Usare DNS con generazione casuale dei transaction ID - Usare DNS con generazione casuale dei transaction ID (Bind v9)(Bind v9)

SISI - DNSSec (implementato in Bind v9) permette la firma - DNSSec (implementato in Bind v9) permette la firma digitale dei dati. Ovviamente anche il resolver deve digitale dei dati. Ovviamente anche il resolver deve supportare questa estensione.supportare questa estensione.

SISI - Evitare di rendere pubblico il DNS che si utilizza "in - Evitare di rendere pubblico il DNS che si utilizza "in casa" per la risoluzione di nomi non appartenenti alla casa" per la risoluzione di nomi non appartenenti alla propria zona.propria zona.

SI SI - Eliminare il dynamic update o rendere pubblico un - Eliminare il dynamic update o rendere pubblico un semplice forwarder che inoltra le richieste ad un altro name semplice forwarder che inoltra le richieste ad un altro name server con questa feature, non raggiungibile dall'esterno.server con questa feature, non raggiungibile dall'esterno.


Attacchi in remoto Attacchi in remoto (2)(2)Traffic Tunneling Traffic Tunneling - introduzione - introduzione (1)(1) Nel seguito della spiegazione faremo riferimento ai Nel seguito della spiegazione faremo riferimento ai

router CiscoIOS e al metodo di incapsulamento IP su router CiscoIOS e al metodo di incapsulamento IP su GREGRE

Un tunnel e' instaurato tra due "end point" detti tunnel Un tunnel e' instaurato tra due "end point" detti tunnel broker.broker.

Su ognuno dei due endpoint, il tunnel e' associato ad un Su ognuno dei due endpoint, il tunnel e' associato ad un interfaccia virtuale con un suo indirizzo (ad esempio interfaccia virtuale con un suo indirizzo (ad esempio Tunnel0), che deve essere legata ad un interfaccia Tunnel0), che deve essere legata ad un interfaccia reale (ad esempio Serial0).reale (ad esempio Serial0).

Ogni volta che il router deve inoltrare un pacchetto IP Ogni volta che il router deve inoltrare un pacchetto IP che ha come “next hop” un indirizzo che cade nella che ha come “next hop” un indirizzo che cade nella subnet dell'IP address dell'interfaccia di tunnel, il subnet dell'IP address dell'interfaccia di tunnel, il pacchetto viene incapsulato e spedito all’altro endpointpacchetto viene incapsulato e spedito all’altro endpoint


Attacchi in remoto Attacchi in remoto (2)(2)Traffic Tunneling Traffic Tunneling - introduzione - introduzione (2)(2)

LAN 1

LAN 2

192.168.0.*

192.168.1.*

Router 1

Router 2192.168.1.1

192.168.0.1

195.103.31.193

195.103.31.194

INTERNET

192.168.2.1

192.168.2.2


Attacchi in remoto Attacchi in remoto (2)(2)Traffic Tunneling Traffic Tunneling - attacco- attacco

Router 1

Gateway

INTERNET

Server

Client

Fake host

Attacker

Tunnel GRE


Attacchi in remoto Attacchi in remoto (2)(2)Traffic Tunneling Traffic Tunneling - tools- tools EttercapEttercap ((http://http://ettercap.sf.netettercap.sf.net))

– Zaratan pluginZaratan plugin

TunnelXTunnelX ((http://www.phrack.comhttp://www.phrack.com))


Attacchi in remoto Attacchi in remoto (2)(2)Traffic Tunneling Traffic Tunneling - tracce - tracce lasciatelasciate La traccia piu' evidente e’ senza La traccia piu' evidente e’ senza

dubbio la riconfigurazione del dubbio la riconfigurazione del router (!!!).router (!!!).


Attacchi in remoto Attacchi in remoto (2)(2)Traffic Tunneling Traffic Tunneling - - contromisurecontromisure SISI - Password forti sul router per - Password forti sul router per

l'accesso a qualsiasi livello.l'accesso a qualsiasi livello.

SISI - Disabilitare o proteggere con - Disabilitare o proteggere con

community forti l'accesso in community forti l'accesso in scrittura via snmp.scrittura via snmp.


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (1)(1) Dal punto di vista del routing internet Dal punto di vista del routing internet

e’ divisa in Autonomous System (AS) e’ divisa in Autonomous System (AS) connessi tra loro attraverso le connessi tra loro attraverso le backbonebackbone

Si adottano differenti politiche Si adottano differenti politiche all’interno dell’AS e all’esternoall’interno dell’AS e all’esterno

Gli AS sono identificati dal loro Border Gli AS sono identificati dal loro Border Gateway quando i pacchetti viaggiano Gateway quando i pacchetti viaggiano sulla backbonesulla backbone


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (2)(2) Distance VectorDistance Vector

– Ogni router mantiene una tabella contenente la Ogni router mantiene una tabella contenente la migliore distanza conosciuta per ogni destinazione migliore distanza conosciuta per ogni destinazione e quale canale utilizzare per raggiungerla. e quale canale utilizzare per raggiungerla.

– Queste tabelle sono aggiornate scambiando le Queste tabelle sono aggiornate scambiando le informazioni coi vicini. informazioni coi vicini.

– Scarsa velocita' di convergenza Scarsa velocita' di convergenza

– problema del "conteggio all'infinito" (in parte problema del "conteggio all'infinito" (in parte ovviabile con lo split-horizon).ovviabile con lo split-horizon).


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (3)(3) Link StateLink State

– I router scambiano solo informazioni sui I router scambiano solo informazioni sui vicini e non sulle varie destinazionivicini e non sulle varie destinazioni

– Ogni router conosce l'intera topologia di Ogni router conosce l'intera topologia di rete o almeno ne ha una sua visione. rete o almeno ne ha una sua visione.

– Controlli per evitare loop, basati sull'utilizzo Controlli per evitare loop, basati sull'utilizzo di campi come "numero di sequenza" e di campi come "numero di sequenza" e "eta'"."eta'".


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (4)(4) IGRP (Interior Gateway Routing Protocol)IGRP (Interior Gateway Routing Protocol)

– Non supporta alcun tipo di autenticazione. Non supporta alcun tipo di autenticazione.

– Supporta diverse metriche: delay, bandwidth, reliability, Supporta diverse metriche: delay, bandwidth, reliability, load e hop count.load e hop count.

– Non supporta le netmask. No host route. Non supporta le netmask. No host route.

– Protocollo di tipo distance vector, i pacchetti possono Protocollo di tipo distance vector, i pacchetti possono contenere anche solo la rotta che vogliamo "aggiungere" contenere anche solo la rotta che vogliamo "aggiungere" o "modificare".o "modificare".

– Necessita’ di mantenere le rotte “vive”.Necessita’ di mantenere le rotte “vive”.


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (5)(5) EIGRP (Extended Interior Gateway Routing Protocol)EIGRP (Extended Interior Gateway Routing Protocol)

– Tipo Distance-Vector ma con delle neighbor Tipo Distance-Vector ma con delle neighbor relationshipsrelationships

– Manda soltanto i cambiamenti di topologia nei suoi Manda soltanto i cambiamenti di topologia nei suoi updates.updates.

– Supporta le netmasks.Supporta le netmasks.

– Implementa il sequencingImplementa il sequencing

– permette l'utilizzo di una autenticazione crittografica permette l'utilizzo di una autenticazione crittografica delle rotte (MD5).delle rotte (MD5).


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (6)(6) RIP (Routing Information Protocol) RIP (Routing Information Protocol) over UDPover UDP

– L'unica metrica supportata e' l'hop count. L'unica metrica supportata e' l'hop count.

– Non e' adatto a reti di grandi dimensioni Non e' adatto a reti di grandi dimensioni

– Non supporta la distinzione degli AS. Non supporta la distinzione degli AS.

– La v1 non permette di specificare la netmask delle La v1 non permette di specificare la netmask delle rotte (netmask fissata dalla classe).rotte (netmask fissata dalla classe).

– La v2 supporta l'autenticazione con password in chiaro La v2 supporta l'autenticazione con password in chiaro (16 caratteri max) o le signature MD5 (solo per Cisco)(16 caratteri max) o le signature MD5 (solo per Cisco)


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (7)(7) OSPF (Opens Shortest Path First)OSPF (Opens Shortest Path First)

– E' un protocollo di tipo link state. E' un protocollo di tipo link state.

– Puo' essere usato come IGP o anche come Puo' essere usato come IGP o anche come EGP. EGP.

– Supporta le subnet netmasks.Supporta le subnet netmasks.

– nessuna autenticazione o autenticazioni in nessuna autenticazione o autenticazioni in clear-text (alcune implementazioni con MD5).clear-text (alcune implementazioni con MD5).


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - introduzione - introduzione (8)(8) BGP4 (Border Gateway Protocol) BGP4 (Border Gateway Protocol) over TCPover TCP

– protocollo usato principalmente per il routing fra gli ASprotocollo usato principalmente per il routing fra gli AS

– protocollo di tipo distance vector, ma permette protocollo di tipo distance vector, ma permette l'enumerazione di tutti gli AS che un pacchetto deve l'enumerazione di tutti gli AS che un pacchetto deve attraversare per raggiungere ogni destinazioneattraversare per raggiungere ogni destinazione

– Non usa le metriche per le rotte, ma una serie di attributi Non usa le metriche per le rotte, ma una serie di attributi per discriminarle. per discriminarle.

– Supporta le netmasks.Supporta le netmasks.

– BGP non ha un suo metodo di sequencing, ma si BGP non ha un suo metodo di sequencing, ma si appoggia a quello del TCP.appoggia a quello del TCP.


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - attacco (1)- attacco (1) L’attacco mira a dirottare il L’attacco mira a dirottare il

traffico tra le vittime A e Btraffico tra le vittime A e B

Raccogliere informazioni dall’ Raccogliere informazioni dall’ attaccante verso A e verso B:attaccante verso A e verso B:– traceroutetraceroute– portscanning portscanning – protoscanningprotoscanning


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - attacco (2)- attacco (2) Scenario 1 aScenario 1 a

(IGRP all’interno dello stesso AS)(IGRP all’interno dello stesso AS)

A B

L’attaccante si annuncia come GW


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - attacco (3)- attacco (3) Scenario 1 b Scenario 1 b

(IGRP - all’interno dello stesso AS)(IGRP - all’interno dello stesso AS)

A B


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - attacco (4)- attacco (4) Scenario 2 aScenario 2 a

(il traffico non passa dall’AS)(il traffico non passa dall’AS)

AS 1 AS 2

BG 1 BG 2

BG 3

AS 3

BGP

RIP


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - attacco (5)- attacco (5) Scenario 2 bScenario 2 b

(il traffico non passa dall’AS)(il traffico non passa dall’AS)

AS 1 AS 2

BG 1 BG 2

BG 3

AS 3

BG 4 BG 5


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - tools- tools IRPASIRPAS di Phenoelit di Phenoelit

((http://www.phenoelit.de/http://www.phenoelit.de/irpasirpas//))

Nemesis Nemesis ((http://www.packetfactory.net/Projects/nemesihttp://www.packetfactory.net/Projects/nemesis/s/))


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - tracce - tracce lasciatelasciate Non ci sono tracce evidenti Non ci sono tracce evidenti

dell’attaccodell’attacco


Attacchi in remoto Attacchi in remoto (3)(3)ROUTE mangling ROUTE mangling - contromisurecontromisure SISI - La contromisura piu' efficace e' - La contromisura piu' efficace e'

senza dubbio abilitare senza dubbio abilitare un’autenticazione forte nei protocolli un’autenticazione forte nei protocolli che la supportanoche la supportano


ConclusioniConclusioni

La sicurezza di una nostra comunicazione e’ affidata La sicurezza di una nostra comunicazione e’ affidata – ad una corretta configurazione del client (per evitare ad ad una corretta configurazione del client (per evitare ad

esempio ICMP Redirect, ARP Poisoning etc.) esempio ICMP Redirect, ARP Poisoning etc.) – all'infrastruttura del nostro interlocutore (es. DNS all'infrastruttura del nostro interlocutore (es. DNS

dynamic update),dynamic update),– alla robustezza di apparati di "terzi", su cui non possiamo alla robustezza di apparati di "terzi", su cui non possiamo

avere nessun tipo di controllo e di garanzia (es. avere nessun tipo di controllo e di garanzia (es. Tunnelling e Route Mangling).Tunnelling e Route Mangling).

Il modo migliore per proteggere i nostri dati che Il modo migliore per proteggere i nostri dati che viaggiano in rete e'quindi l'utilizzo corretto di suite viaggiano in rete e'quindi l'utilizzo corretto di suite crittografiche sicure crittografiche sicure – sia dal lato client sia dal lato serversia dal lato client sia dal lato server– per la protezione a livello rete (es. IPSec)per la protezione a livello rete (es. IPSec)– a livello trasporto (es. SSLv3) a livello trasporto (es. SSLv3) – a livello applicativo (es. PGP).a livello applicativo (es. PGP).


BibliografiaBibliografia

Paper-mitm.txtPaper-mitm.txt– Marco Valleri Marco Valleri

<[email protected]><[email protected]>– Alberto Ornaghi Alberto Ornaghi

<[email protected]><[email protected]>

http://ettercap.sf.net/papers/Paper-mithttp://ettercap.sf.net/papers/Paper-mitm.txtm.txt

Documents

Blackhats italia 2002 1 Man in the middle attacks Cosa sono Cosa sono Come sfruttarli Come sfruttarli Come ottenerli Come ottenerli Come prevenirli Come