Come bypassare i filtri sugli indirizzi IP usati da firewall e router

Transcript

1 Come bypassare i filtri sugli indirizzi IP usati da firewall e router De Beuckelaer Kristof Articolo pubblicato nel numero 4/2006 della rivista hakin9 Tutti i diritti riservati. E vietato copiare e divulgare l articolo in forma modificata. Rivista hakin9, Casa editrice Software-Wydawnictwo, via Piaskowa 3, Varsavia, Polonia; it@hakin9.org

2 Focus Come bypassare i filtri sugli indirizzi IP usati da firewall e router De Beuckelaer Kristof Grado di difficoltà Il termine spoofing è molto noto nell'ambito della sicurezza informatica e si riferisce a quella particolare situazione in cui una persona o un programma riesce a camuffare un altro programma. Una tecnica simile allo spoofing è il ref-tar spoofing. La tecnica detta di IP smart spoofing è una combinazione di ARP cache poisoning, conversione degli indirizzi di rete e routing. Oggi esiste un nuovo metodo per eseguire uno spoofing di un indirizzo IP grazie ad un programma chiamato ARP-sk, anche se ci sono anche altri strumenti, come per esempio ARP-fillup. Se siete già abbastanza esperti, potete scrivere un semplice script in Perl per automatizzare questo processo e/o usare ARP-sk e ARP-fillup contemporaneamente. Lo spoofing degli IP non è un attacco nuovo ed esistono diversi tool in grado di sfruttarlo. Di seguito, spiegheremo perché il controllo sugli accessi basato sugli IP non è sempre affidabile e perché non dovrebbe mai essere usato in una rete aziendale. La tecnica di IP smart spoofing utilizza una combinazione di ARP cache poisoning, conversione degli indirizzi di rete e routing. Essa non richiede nessuna tecnica particolare. Per prima cosa, in questo articolo incominceremo da zero, in modo da rinfrescarci la memoria su MAC spoofing ed ARP spoofing/cache poisoning, per poi arrivare gradualmente allo smart spoofing. Effetti dello smart spoofing I dispositivi di rete, come i router o i firewall, spesso usano un filtro sugli indirizzi IP di origine. Questi filtri possono essere bypassati da qualsiasi computer che si trova sul percorso di rete tra il client autorizzato e il firewall. Per esempio, in molte reti aziendali connesse a Internet attraverso un firewall, sono pochi i computer che possono accedere a Internet direttamente (le informazioni del proxy HTTP o il filtro sull'url, server di posta, ecc). Allo stesso modo, le applicazioni il cui accesso è riservato a specifici indirizzi IP possono essere violati da qualsiasi computer sul percorso di rete tra un client autorizzato e il server. Questo è il caso di molte applicazioni come Apache ACL, r-commands, NFS, TCP Wrapper, i tool di amministrazione riservata, ecc. Dall'articolo imparerai... perché il controllo degli accessi in base agli indirizzi IP non è né sicuro né affidabile e perché non dovrebbe mai essere usato in una rete aziendale. Cosa dovresti sapere... le basi dell'arp spoofing, la conversione degli indirizzi di rete e il routing. 24 hakin9 Nº 4/2006

3 Come bypassare i filtri sugli indirizzi IP Tabella 1. Il Frame Ethernet MAC di destinazione Il Frame Ethernet Hardware MAC di origine Inoltre, anche le regole anti-relay sull'smtp basate sulla reverse resolution degli indirizzi IP di origine possono essere violate. Eseguendo uno spoofing sull'indirizzo IP di un SMTP relay A, un malintenzionato sul percorso di rete tra A e B, può eseguire un relay dei messaggi attraverso un SMTP relay B, usando un indirizzo alterato da un dominio di posta su A. Cos'è il protocollo ARP? Il protocollo Address Resolution Protocol (ARP) è un protocollo di rete che fornisce la mappatura tra l'indirizzo del livello di rete e un indirizzo del livello di collegamento. Per esempio, il protocollo ARP viene usato per risolvere un indirizzo IP nell'indirizzo Ethernet corrispondente. Come fa un ARP a risolvere un indirizzo IP in un indirizzo MAC Ethernet? Affinché un protocollo ARP possa risolvere un determinato indirizzo IP in un indirizzo Ethernet, esso deve trasmettere un pacchetto di richiesta ARP. Questo pacchetto di richiesta ARP contiene l'indirizzo MAC di origine, l'indirizzo IP di origine e l'indirizzo IP di destinazione. Ogni host nella rete locale riceverà questo pacchetto. L'host con l'indirizzo IP di destinazione specificato invia un pacchetto di risposta ARP all'host di origine con il suo indirizzo IP. Panoramica delle funzioni di ARP-sk Tipo Payload Checksum Protocollo HW addr lth P addr lth Opcode Indirizzo di origine hardware Indirizzo di origine protocollo Indirizzo di destinazione hardware Indirizzo di destinazione protocollo Il protocollo ARP è molto conosciuto, esso permette di eseguire molti attacchi anche se quelli più comuni sono limitati allo sniffing. ARP-sk è un software concepito per manipolare le tabelle ARP di qualsiasi strumento. Esso può essere facilmente eseguito inviando i pacchetti appropriati. In sostanza, un messaggio ARP su una rete Ethernet/IP ha 7 parametri importanti (vedere Tabella 1): il livello Ethernet fornisce 2 indirizzi (SRC e DST), il livello ARP contiene il codice del messaggio (richiesta OPPURE risposta) e le coppie (ETH, IP) sia per l'origine che la destinazione. Ricordatevi che non è necessario avere una conformità tra il livello ARP e Ethernet. Questo significa tra questi 2 livelli è possibile fornire indirizzi non legati tra loro. <<piccola promemoria>> #1 manipolazioni ARP Manipolazioni ARP o sul come reindirizzare il traffico su una LAN La prima idea che viene in mente per violare una LAN è di impostare l'interfaccia di una rete in modalità promiscua. In questo modo ogni pacchetto che arriva all'interfaccia viene direttamente trasferita dal livello 2 (Ethernet nella maggior parte dei casi) al livello superiore (IP, ARP, DNS...) senza verificare che la corretta destinazione del pacchetto sia realmente quella interfaccia. Sfortunatamente questo metodo è piuttosto limitato perché non è possibile recuperare quello che c'è oltre, per esempio, uno switch. <<piccola promemoria>> #2 MAC spoofing MAC spoofing Questo attacco mira al protocollo del livello 2 che nella maggior parte dei casi si tratta di Ethernet. Questo metodo è molto efficace contro gli switch per aggiornare la tabella CAM (Content Addressable Memory), per usare la terminologia Cisco, ed elencare tutti gli indirizzi Ethernet legati alle porte dello switch. Ma alcune volte non è perfetto o sufficientemente efficace. Se la tabella CAM è statica, la porta della vittima verrà chiusa e l'amministratore verrà allertato. Comunque è da notare che alcuni switch ritornano alla modalità passiva fail open (passano tutti i pacchetti a tutte le porte, proprio come degli hub) in presenza di troppi conflitti. <<piccola promemoria>> #3 ARP spoofing ARP Spoofing Poiché il MAC spoofing non è né efficiente né discreto, passiamo direttamente al livello superiore e al protocollo ARP. In questo caso i messaggi sono scambiati quando un host vuole scoprire un indirizzo MAC di un host remoto. Per esempio, se Batman vuole il MAC di Robin, egli invierà un messaggio di richiesta ARP (Who has? Viene usato Red.- ARP per ottenere l'indirizzo Ethernet di un host dall'indirizzo IP. ARP è usato abbondantemente da tutti gli host in una rete Ethernet) all'indirizzo broadcast e Robin risponderà con il proprio indirizzo. Ma cosa succede se Joker risponde prima di Robin? 12:50: arp who-has robin dice a batman [1] 12:50: risposta arp di robin è -at 0:10:a4:9b:6d:81 [2] Batman inserirà l'indirizzo MAC di Joker nella propria cache ARP. Ma il pacchetto di Batman è stato co- hakin9 Nº 4/

4 Focus Listing 1. Invio di una query Who has -w -d batman -S robin -D batman + Running mode "who-has" + IfName: eth0 + Source MAC: 00:10:a4:9b:6d:81 + Source ARP MAC: 00:10:a4:9b:6d:81 + Source ARP IP : (robin) + Target MAC: 52:54:05:F4:62:30 + Target ARP MAC: 00:00:00:00:00:00 + Target ARP IP : (batman) --- Inizia l'invio -- ARP Who has (00:00:00:00:00:00)? Tell (00:10:a4:9b:6d:81) --- batman (00:00:00:00:00:00) statistic --- ARP Who has (00:00:00:00:00:00)? Tell (00:10:a4:9b:6d:81) 1 packets tramitted (each: 42 bytes - total: 42 bytes) nuova voce nella cache e vi posizionerà gli indirizzi forniti nel messaggio ARP (vedere Listing 1 e Listing 2). Prima di continuare, forniamo la seguente legenda: -D indirizzo del filtro a cui connettersi -S indirizzo dell'host fidato dove eseguire lo spoofing Adesso, quando Batman inizierà una comunicazione con Robin, i pacchetti verranno inviati a Joker senza che Batman faccia niente. Da notare che l'invio di una query ARP in uni-cast è pienamente conforme al RFC. Infatti essi sono autorizzati a lasciare che il sistema verifichi le voci della sua cache. munque trasmesso, quindi anche Robin risponderà: 12:50: risposta arp di robin è -at 52:54:5:fd:de:e5 [3] Nota importante Se il bersaglio da colpire non ha già la voce che l'aggressore vuole imitare, inviare delle risposte sarà inutile poiché la cache non potrà aggiornare una voce non esistente. La cache ARP? ARP salva la mappatura tra l'indirizzo IP e l'indirizzo MAC in una tabella chiamata cache ARP. Le voci di questa tabella sono aggiunte ed eliminate in modo dinamico. ARP Cache poisoning Poiché gli attacchi precedenti presentano dei limiti, la soluzione migliore è quella di manipolare direttamente la cache della vittima, a prescindere dai messaggi ARP inviati dalla vittima stessa. Quindi dobbiamo essere in grado di: aggiungere una nuova voce nella cache della vittima aggiornare una voce già esistente Creazione di una nuova voce Per eseguire questa operazione, invieremo una query (Who has?) alla vittima. Quando un host riceve un who-has, esso si aspetta che verrà eseguita una connessione. Quindi, per minimizzare il traffico ARP, creerà una Listing 2. Il contenuto della cache di Batman # prima alfred ( ) at 00:90:27:6a:58:74 # dopo robin ( ) at 00:10:a4:9b:6d:81 alfred ( ) at 00:90:27:6a:58:74 Listing 3. Metodo di aggiornamento -r -d batman -S robin -D batman + Running mode "reply" + IfName: eth0 + Source MAC: 00:10:a4:9b:6d:81 + Source ARP MAC: 00:10:a4:9b:6d:81 + Source ARP IP : (robin) + Target MAC: 52:54:05:F4:62:30 + Target ARP MAC: 52:54:05:F4:62:30 + Target ARP IP : (batman) --- Inzia l'invio -- ARP For (52:54:05:F4:62:30) is at 00:10:a4:9b:6d: batman (52:54:05:F4:62:30) statistic --- ARP For (52:54:05:F4:62:30): is at 00:10:a4:9b:6d:81 1 packets tramitted (each: 42 bytes - total: 42 bytes) Aggiornamento di una voce Il metodo usato con l'arp spoofing è giusto quello che ci serve! L'unica cosa da fare è inviare le risposte 26 hakin9 Nº 4/2006

5 Come bypassare i filtri sugli indirizzi IP ARP a Batman con l'ip di Robin ma con l'indirizzo MAC di Joker. Quindi, anche se la voce è già presente nella cache di Batman, essa verrà aggiornata dalle informazioni di Joker: robin ( ) at 52:54:05:fd:de:e5 alfred ( ) at 00:90:27:6a:58:74 Ed ora, viene aggiornata con questo metodo (vedere Listing 3). Ed ora, analizziamo i risultati: Fig. 1: Attacco di tipo Man in the Middle robin ( ) at 00:10:a4:9b:6d:81 alfred ( ) at 00:90:27:6a:58:74 Gli attacchi disponibili A questo punto, dopo le necessarie preparazioni, siamo pronti per iniziare ad interferire nella comunicazione tra Batman e Robin. Analizziamo meglio i possibili tipi di attacco. Sniffing Il modo più ovvio e divertente per lanciare un attacco di sniffing è il Man in the Middle. Fig. 2: Proxying Proxying e hijacking A questo punto siamo in grado di reindirizzare il traffico come farebbe un proxy trasparente con i flussi applicativi. Il livello IP (o qualsiasi altro programma) deve semplicemente prendere i dati all'applicazione appropriata, anche se l'host di destinazione non è quello giusto. Per esempio, Joker vuole modificare alcuni input in una transazione HTTP tra Batman e Robin: [root@joker]# iptables -t nat -A PREROUTING -p tcp -s robin -d batman --dport 80 -j REDIRECT --to-ports 80 Joker deve semplicemente impostare un proxy HTTP sulla porta 80 e poi, può alterare tutti i dati. Inoltre, se esiste una qualche forma di verifica dell'integrità (come CRC32, MD5 o SHA-1 per esempio), Joker potrà Fig. 3: Smartspoofing ricalcolare i checksum prima di rinviare il tutto. I limiti di questa operazione sono legati allo strumento che usiamo per gestire i dati. Per esempio, se Joker possiede una parte di un sito remoto HTTP sul proprio server HTTP, ma alcune parti sono parzialmente modificate. Le query alle parti non modificate sono inoltrate direttamente al sito reale. La seguente figura mostra quando le manipolazioni precedenti sono configurate in questo modo: -r -d robin -S batcave-gw -D robin -r -d batcave-gw -S robin -D batcave-gw hakin9 Nº 4/

6 Focus -r -d batman -S batcave-gw -D batman -r -d batcave-gw -S batman -D batcave-gw [...] Joker invierà dgli ICMP Redirect alle stazioni infette. Per evitarlo, dobbiamo bloccarle. Con Linux, possiamo farlo attraverso IP sysctl: echo 0 > /proc/sys/net/ipv4/conf/ all/send_redirects Bypassare i firewall (smartspoofing) Con la ARP cache poisoning, l'utente malintenzionato inserisce il suo computer nel percorso di comunicazione server-client. Con l'invio dell'ip, il traffico esistente è ancora indirizzato al lato client. Naturalmente, l'icmp redirect è stato disabilitato sul computer del malintenzionato. Infine, l'utente malintenzionato usa la conversione di indirizzi di rete di origine per violare l'indirizzo IP del client e stabilire una nuova connessione al server. A questo punto, l'aggressore può eseguire una qualsiasi applicazione di rete per connettersi al server usando l'indirizzo IP del client. Qualsiasi controllo sugli accessi in base all'indirizzo IP del client sarà inutile. Inoltre, il traffico esistente non ne è disturbato e, dal lato server, l'attacco di smartspoofing non può essere rilevato. Imitando un host sulla rete e intercettando una connessione, possiamo bypassare il firewall con le regole applicate per un host falsato. Per fare questo, Joker non deve eseguire un doppio re-indirizzamento (ARP MiM) come nel caso precedente: -r -d batcave-gw -S robin -D batcave-gw L'uso di Linux per perpetrare l'attacco, semplifica notevolmente la procedura poiché la funzionalità Netfilter NAT selezionerà i pacchetti che appartengono alle nostre connessioni e quelli che non appatengono in modo automatico: [root@joker]# iptables -t nat -A POSTROUTING -j SNAT --to Denial of service Un attacco di tipo denial of service è veramente molto facile da eseguire con i messaggi ARP. Basta abbandonare tutti i pacchetti che sono stati re-indirizzati: [root@joker]# iptables -A FORWARD -s robin -d batman -j DROP Se si preferisce non reindirizzare il traffico alla propria casella, è possibile anche creare un buco nero ARP, inviando pacchetti a indirizzi MAC non utilizzati. -r -d robin -S batman --rand-arp-hwa-src -D robin A questo punto Robin crederà che Batman sia morto. Conclusioni Grazie ai problemi di sicurezza relativi al protocollo ARP e all'attacco smartspoofing che ne consegue, i controlli di accesso che si basano sugli indirizzi IP di origine possono essere violati in molti modi. Quando si inviano risposte ARP falsate, la maggior parte delle reti IDS che ascoltano sulle porte dello switch hub, riesce a rilevare un indirizzo IP duplicato, ma non riesce a bloccare l'attacco. Inoltre, questo approccio dovrebbe richiedere l'uso di numerosi NIDS su molte reti. Un altro approccio potrebbe usare un IDS basato sull'host per rilevare i messaggi ARP e mantenere la conformità con la tabella ARP. Arpwatch, disponibile su molte piattaforme UNIX, riesce a mantenere un database di indirizzi MAC Ethernet visti in rete insieme alle loro coppie IP. Questo strumento invia un messaggio all'amministratore di sistema avvertendolo di eventuali cambiamenti, tra cui una nuova attività, flip-flop, indirizzi modificati o riutilizzati, ecc. Infine, un controllo sugli accessi veramente affidabile dovrebbe usare Cenni sull'autore Questo articolo è stato scritto da Kristof De Beuckelaer che studia e vive in Belgio. Il suo interesse riguardante la sicurezza informatica è iniziato da quando ha incominciato a sperimentare e leggere Linux, a sfruttare e risolvere i problemi di sicurezza e a lavorare sul networking. Da circa 4, 5 anni, è attivamente coinvolto in diversi gruppi di utenti, compresi quelli che si dedicano alla scrittura di codice e script, sia per Windows che Linux. È entrato in contatto con Linux per la prima volta attraverso una terminal session e da quel giorno l'esperienza non si è mai conclusa, fino a dare alla luce il suo primo e personale sistema operativo auto-costruito in Linux. Al momento, sta continuando a studiare per trasformare il suo grande hobby in lavoro e per diventare un ingegnere nell'ambito della Sicurezza, dello sviluppo dei software e del Networking. Ringraziamenti Vorrei ringraziare Laurent Licour & Vincent Royer per aver sviluppato la nuova tecnica di smartspoofing, le cui informazioni hanno costituito la base per la redazione di questo articolo. una autenticazione forte invece dell'identificazione di un indirizzo IP di origine o autenticazione di password in testo semplice. I protocolli VPN come SSH, SSL o IpSec possono migliorare enormemente la sicurezza attraverso l'autenticazione, l'integrità dei dati e la segretezza. Infine esistono un paio di modi che offrono una protezione migliore contro questi attacchi, tra cui un metodo di rilevamento che duplica gli indirizzi MAC su uno switch (ARPwatch per esempio) e/o abilita un sticky ARP. Questo eviterà che i terminali possano modificare l'indirizzo MAC, ma è richiesto un lavoro amministrativo potenzialmente elevato. Vi ringrazio per aver letto questo articolo. Sarò lieto di rispondere alle vostre domande nel mio forum sul sito ( 28 hakin9 Nº 4/2006