Evadiendo portales cautivos en hoteles o aeropuertos. Túneles DNS. Índice del taller

Transcripción

1 Evadiendo portales cautivos en hoteles o aeropuertos. Túneles DNS. Gabriel Maciá Fernández Índice del taller Qué es un portal cautivo? Qué es un túnel? Qué es DNS? Túneles DNS. Cómo funcionan. Defensas frente a túneles DNS. Gabriel Maciá Fernández 1

2 QUÉ ES UN PORTAL CAUTIVO? Gabriel Maciá Fernández 2

3 Acceso en Barajas Gabriel Maciá Fernández 3

4 Acceso en Barajas 15 primeros minutos gratuitos 30 m 5 + IVA 1h 7,5 + IVA 24h 15 + IVA Dónde los encontramos? Universidades Estaciones de tren, aeropuertos, autobús (pago) Hoteles (de pago) Establecimientos públicos Gabriel Maciá Fernández 4

5 Vulnerabilidades del portal cautivo No se cifra el tráfico entre el cliente y el AP Ataques de captura de tráfico (spoofing, hijacking ) En muchos de los portales no se controla el tráfico DNS Esto permite el sortear el control del portal cautivo utilizando Túneles DNS. Hay control de tráfico DNS? Gabriel Maciá Fernández 5

6 QUÉ ES UN TÚNEL? Qué es un túnel? Encapsulamiento de datos de unos protocolos en otra torre de protocolos diferente Gabriel Maciá Fernández 6

7 Ejemplo de un túnel IP A IP B Datos TCP IP DATOS X.25 ATM Veamos un ejemplo práctico de túnel Gabriel Maciá Fernández 7

8 QUÉ ES DNS? Qué es DNS? DNS es uno de los protocolos más utilizados en la red Permite traducción de nombres a IP Comunicaciones de tipo UDP en puerto 53 Varios tipos de registro Tipo A, SOA, NS Tipo TXT Servidor con autoridad sobre un dominio Gabriel Maciá Fernández 8

9 Payload de DNS Qué es DNS? TÚNELES DNS Gabriel Maciá Fernández 9

10 Para qué se utilizan? Evasión de información corporativa Evasión de políticas de red y de seguridad Evasión de portales cautivos. Uso más extendido. Cómo funciona? Oscar Pearson (Bugtraq) Abril 1998 Elementos 1 Dominio: ejemplo.com 4 payload Servidor DNS 2 3 Cliente Gabriel Maciá Fernández 10

11 Ejemplos de payload Realizar una query tipo A al siguiente dominio: lainformacionquequieromandar.ejemplo.com Variantes: Uso de diferentes codificaciones Base 32, Base64, Binary 8, Netbios, Hex Diferentes tipos de técnicas Descubrimiento del mejor encoding Spoofing de IP Uso de diferentes tipos de registro Aspectos a implementar DNS tiene límite de 512 bytes/paquete Puede no ser suficiente para TCP/IP Uso de EDNS (payloads > 512 bytes) DNS es tráfico UDP No se garantiza reensamblado correcto de paquetes Los servidores DNS solo envían paquetes como respuesta y no de forma independiente Polling continuo Gabriel Maciá Fernández 11

12 Algunas herramientas NSTX OzymanDNS Psudp Squeeza Tcp over dns TUNS DNScapy Dns2tcp DeNiSe IODINE Algunas herramientas Gabriel Maciá Fernández 12

13 IODINE Algunas herramientas Modelo cliente servidor Alto rendimiento: cada respuesta puede contener hasta 1KB de datos comprimidos Portabilidad: Win32, Unix (Linux, MacOS, Android..) Servidor y cliente con plataformas diferentes. Seguridad. Permite acceso con contraseña (hash MD5). Ignora paquetes de otras IPs. Facilidad de uso. Hasta 16 clientes al mismo tiempo. Veamos un ejemplo CONFIGURACIÓN SIMPLE DE IODINE Gabriel Maciá Fernández 13

14 Configuración completa Premisa: La conexión al servidor IODINE está bloqueada Uso de DNS relay a través del DNS local Configuración del DNS server: Compra del dominio prueba.com Configuración de registros MÉTODOS DE DEFENSA Gabriel Maciá Fernández 14

15 Métodos de defensa PREVENCIÓN DETECCIÓN RESPUESTA Prevención Control del tráfico DNS en tu red Servidor propio DNS Split DNS Detección: Análisis de payload Análisis de tráfico Análisis de payload Métodos de defensa Tamaño de las peticiones y las respuestas Entropía de los hostnames Análisis estadístico E.g. Consonantes o números repetidos (Lockington, 2012) Detección de peticiones a tipos de registro inusuales (e.g. TXT). Violaciones de políticas (e.g. paso de peticiones DNS a un DNS local). Firmas específicas Gabriel Maciá Fernández 15

16 Análisis de tráfico Métodos de defensa Volumen de tráfico DNS por IP Volumen de tráfico DNS por dominio Número de hostnames por dominio Localización geográfica del servidor DNS consultado Peticiones DNS huérfanas Métodos de defensa PREVENCIÓN DETECCIÓN RESPUESTA Respuesta Hosts no autenticados tienen DNS restringido (Split DNS). Bloqueo de tráfico DNS sospechoso (anomaly detection) Asignar cuota de uso de tráfico DNS Denegar uso de algunos tipos de registro Gabriel Maciá Fernández 16

17 Gracias por su atención Gabriel Maciá Fernández 17