] > Tipos Spoofing - MIRULU INFORMATIZATE
 [+]
 

Tipos Spoofing

| PDF| Imprimir |

Este artículo va destinado a aquellos que quieran refrescar conocimientos olvidados o para los que no sepan a que hace referencia el spoofing.

En términos de seguridad de redes el Spoofing, hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Cada vez más, estas técnicas son usadas por redes de "mafiosos" para después vender sus servicios al mejor postor.

Existen diferentes tipos de spoofing dependiendo de la tecnología a la que nos refiramos, los cuales se describirán más adelante, como el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

Clases de Spoofing

Ip spoofing

Se conoce como creación de tramas TCP/IP utilizando una dirección IP falseada; la lógica de este tipo ( almenos la lógica ) es muy sencilla : desde un equipo, se simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer equipo/sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. El spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización. 

En un escenario típico del ataque, se envía una trama SYN a su objetivo indicando como dirección origen la de esa tercera máquina que está fuera de servicio y que mantiene algún tipo de relación de confianza con la atacada (suele usarse el ataque smurf, es un ataque de denegación de servicio que utiliza mensajes de ping al broadcast con spoofing para inundar (flood) un objetivo).

El host objetivo responde con un SYN + ACK a la tercera máquina, que simplemente lo ignorará por estar fuera de servicio (si no lo hiciera, la conexión se resetearía y el ataque no sería posible), el atacante enviará ahora una trama ACK a su objetivo, también con la dirección origen de la tercera máquina. Para que la conexión llegue a establecerse, esta última trama deberá enviarse con el número de secuencia adecuado; el pirata ha de predecir correctamente este número: si no lo hace, la trama será descartada, y si lo consigue la conexión se establecerá y podrá comenzar a enviar datos a su objetivo, generalmente para tratar de insertar una puerta trasera que permita una conexión normal entre las dos máquinas. Para entrar en más profundidad, habría que buscar documentación especifica de los tipos de ataque. 

Una medida sencilla para evitar el ip spoofing, es eliminar las relaciones de confianza basadas en la dirección IP o el nombre de las máquinas, sustituyéndolas por relaciones basadas en claves criptográficas; el cifrado y el filtrado de las conexiones que pueden aceptar nuestras máquinas también son unas medidas de seguridad importantes de cara a evitar el spoofing.

Arp spoofing

Hace referencia a la construcción de tramas de solicitud y respuesta ARP falseadas (relación IP-MAC), de forma que en una red local se puede forzar a una determinada máquina a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. La idea es sencilla, y los efectos del ataque pueden ser muy negativos: desde negaciones de servicio (DDOS ) hasta interceptación de datos, incluyendo algunos Man in the Middle contra ciertos protocolos cifrados.

El protocolo Ethernet trabaja mediante direcciones MAC, no mediante direcciones IP. ARP es el protocolo encargado de traducir direcciones IP a direcciones MAC para que la comunicación pueda establecerse; para ello cuando un host quiere comunicarse con una IP emite una trama ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor la IP con la que desea comunicarse. El ordenador con la IP solicitada responde con un ARP-Reply indicando su MAC.

Los Switches y los hosts guardan una tabla local con la relación IP-MAC llamada "tabla ARP". Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino válido para una IP específica, como por ejemplo la de un router, de esta manera la información dirigida al router pasaría por el ordenador atacante quien podrá sniffar dicha información y redirigirla si así lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso en la parte de la red que queda antes del primer Router. Una manera de protegerse de esta técnica es mediante tablas ARP estáticas (simpre que las ips de red sean fijas), lo cual puede ser difícil en redes grandes. Para convertir una tabla ARP estática se tendría que ejecutar el comando: 

 
 <b>FORMULA #</b> <i>arp -s [IP] [MAC]</i>
 
 <b>EJEMPLO #</b> <i>arp -s 192.168.85.212 00-aa-00-62-c6-09</i>

Otras formas de protegerse incluyen el usar programas de detección de cambios de las tablas ARP (como Arpwatch ) y el usar la seguridad de puerto de los switches para evitar cambios en las direcciones MAC.

Dns spoofing

:

Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación "Nombre de dominio-IP" ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el caché DNS de otro servidor diferente (DNS Poisoning). En el siguiente link de microsoft vemos cómo evitar corrupción de caché DNS: http://support.microsoft.com/?kbid=241352

WEB SPOOFING

Suplantación de una página web real (no confundir con phising). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima (páginas WEB vistas, información de formularios, contraseñas etc.). La página WEB falsa actúa a modo de proxy solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple LINK. El WEB SPOOFING es difícilmente detectable, quizá la mejor medida es algún plugin del navegador que muestre en todo momento la IP del servidor visitado, si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque.

Para obtener más información acerca del Web Spoofing podemos consultar.

Descripcion de los codigos:

· [HB96] L. Todd Heberlein and Matt Bishop.
Attack class: Address spoofing.
In Proceedings of the 19th National Information Systems Security Conference, pages 371-377, Octubre 1996.

· [Dae96]
Daemon9.
IP-Spoofing demystified.
Phrack Magazine, 7(48), Junio 1996.

· [Ste94]
W. Richard Stevens.
TCP/IP Illustrated Volume I: The Protocols.

· [Tan96]
Andrew Tanenbaum.
Computer Networks.
Prentice Hall, 1996.

· [Bel89]
Steven M. Bellovin.
Security problems in the TCP/IP Protocol Suite.
Computer Communications Review, 19(2):32-48, Abril 1989.

· [Mor85]
Robert Morris.
A Weakness in the 4.2BSD Unix TCP/IP Software.
Technical Report CSTR-117, AT&T Bell Laboratories, 1985.

· [Bel96]
Steven M. Bellovin.
RFC1498: Defending against sequence number attacks, Mayo 1996.

· [Ris01]
Neil B. Riser.
An overview of some the current spoofing threats, Julio 2001.
The SANS Institute.

· [Vol97]
Yuri Volobuev.
Playing redir games with ARP and ICMP, Septiembre 1997.

· [FBDW96]
Edward W. Felten, Dirk Balfanz, Drew Dean, and Dan S. Wallach.
Web Spoofing: an Internet Con Game.
Technical Report 540-96, Princeton University Department of Computer Science, 1996.
Revisado en febrero de 1997.

 

Mail spoofing

Suplantación en correo electrónico de la dirección e-mail de otras personas o entidades. Esta técnica es usada con asiduidad para el envío de e-mails hoax como suplemento perfecto para el uso de phising y para SPAM, es tan sencilla como el uso de un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Otra técnica de protección es el uso de firmas digitales.

En definitiva y para acabar, hoy en día existen herramientas que permiten a usuarios no experimentados realizar cualquiera de estos tipos de spoofing. Sólo necesitan google, tiempo que perder y tener claros algunos conceptos básicos. 

FUENTES: