Tuesday, April 14, 2009

Arp spoofing en Telecentro !!! ( Actualizado )





Acabo de ver una entrada en el blog "Security" > /dev/null en el cual dan cuenta que la red de Telecentro ( de hecho mi operador ) esta expuesta a ataques de arp spoofing

Yo verifique esto y es posible ver trafico no dirigido directamente al usuario final.

Realice una redireccion de paquetes mediante Cain y luego una breve captura mediante Wireshark. No voy a poner IP's solo una muestra de una captura de unos mensajes en Webmessenger :



Este ataque permite hacer sniffing de paquetes que son dirigidos a otros usuarios legítimos, a partir de aquí es posible utilizar esto para diferentes ataques, Session Hijacking, surferjacking , Man in the middle y con este ultimo todas las posibles derivaciones ( modificación de respuestas a pedidos de dns, utilización de server maliciosos para bajar actualizaciones "truchas".... )

Como trabaja el arpspoofing ?

El siguiente gráfico muestra el ataque y como evitarlo.

El protocolo ARP se utiliza para enlazar las direccion de capa 3 (IP) con las direcciones físicas de la capa 2 ( MAC ). Un pedido de ARP es enviado cuando conocemos la IP pero no la direccion MAC. Dado que es un broadcast todos los equipos reciben la peticion.

Un usuario malicioso puede enviar una respuesta de ARP modificada para capturar el trafico dirigido a otro usuario. Es decir, la respuesta diría que la MAC address de la máquina del usuario legitimo corresponde a la MAC address enviada por el usuario malicioso.
Cuando el server envie los datos, la dirigira hacia ambas MAC address, de esta manera la información se replicara en dos ports diferentes, permitiendo al usuario malicioso ver el trafico.

Puede que el atacante se haga pasar por el default gateway de la red, con lo cual el trafico se dirigira a su máquina y el lo enviara hacia el router original. De esta manera puede también ver el trafico.


Existen varias herramientas que aprovechan esta vulnerabilidad, entre ellas Ethercap, Cain, dsniff, ferret.

Hace unos años realice una presentacion para un congreso de Linux sobre seguridad en Layer 2 que explica todos los ataques posibles sobre esta capa de red. El post sobre el tema aca
, la presentacion es la siguiente :





Como protegerse ?

Para evitar esto los switchs de Cisco se limitan a una MAC por puerto, esto mediante el comando

Switch(config )#switchport port-security violation shutdown

Desconozco la tecnología de Telecentro, pero debe existir la forma de evitar este tipo de vulnerabilidades.



Se puede realizar mediante herramientas de sniffing como Wireshark.

Tenemos que observar tres cosas :

Actualizaciones de ARP

Paquetes enviados entre nuestro cliente y el server con diferentes MAC

Tormentas de ACK


O mediante herramientas otras herramientas menos sofisticadas Arpwatch ( Linux ) o Winarpwatch ( Windows ) Anteriormente habia scrito que no estaba al alcance del usuario comun, realmente ignoraba la existencia de Winarpwatch, esta herramienta muestra las modificaciones a la tabla de arp.




Lo mismo puede hacerse con el comando arp -a



El uso de SSL puede ayudar, aunque hay que prestar atencion a mensajes de problemas con el certificado, podemos estar sufriendo un ataque de MitM.

IPSEC también es una buena protección, pero para esto debemos levantar una VPN fuera de la red de Telecentro.

El numero de reclamo en Telecentro es el su9768992

No comments: