Upload
xianur0
View
3.871
Download
2
Embed Size (px)
DESCRIPTION
DNS Hacking y Prevencion de Intrusos Por Xianur0
Citation preview
DNS Hacking y Prevencion de IntrusosPor: Xianur0
MX
Gob Unam
WwwWww jornada .......
Estructura de DominioUn dominio esta estructurado de la siguiente forma:
Esto quiere decir que primero hay un servidor principal que se encarga de almacenar la direccionde los dns encargados de ciertos dominio (en este caso mx) y despues el dns del dominioconsultado.
Dialogo DNS
ClienteCliente
Cual es la IP de www.gob.mx?Cual es la IP de www.gob.mx?
ns1.gobiernons1.gobiernodigital.gob.mxdigital.gob.mx
La IP es: 200.77.236.16La IP es: 200.77.236.16
En este ejemplo de dialogo Dns: un cliente intenta acceder a la pagina www.gob.mx, pero al no sabe cual es su IP consulta al dns encargado de resolver dicho dominio (ns1.gobiernodigital.gob.mx).
Cliente DNS Recursivo
Cual es la IP de www.gob.mx?Cual es la IP de www.gob.mx?
ns1.gobiernodigital.gob.mx
Cual es la IP de www.gob.mx?Cual es la IP de www.gob.mx?
La IP es: 200.77.236.16La IP es: 200.77.236.16
Dialogo Recursivo DNS
La IP es: 200.77.236.16La IP es: 200.77.236.16
Preguntare
El Cliente consulta a un DNS Recursivo, el cual actuara como cliente para resolver la consulta dada, y para ello reenvia la consulta recivida a otro servidor DNS, y seguido de esto, le entrega el resultado al cliente
Tipos de registros DNSya que un DNS no solo almacena IPs..
A = Address – Este registro se usa para traducir nombres de hosts a direcciones IP.
Ejemplo: www.gob.mx. 17442 IN A 200.77.236.16
CNAME = Canonical Name – Se usa para crear nombres de hosts adicionales, o alias, para los hosts de un dominio.
Ejemplo: www.gmail.com. 17291 IN CNAME mail.google.com.
NS = Name Server – Contiene la informacion de los servidores DNS de un dominio dato.
Ejemplo: google.com. 276835 IN NS ns4.google.com.
MX = Mail Exchange – Contiene la Lista de Servidores de Correo.
Ejemplo: google.com. 2408 IN MX 10 smtp4.google.com.
PTR = Pointer – Sirve para Traducir IP a Host:
Ejemplo: 200.77.236.16 = www.google.com
SOA = Start of authority – Proporciona información sobre la zona.
Ejemplo: google.com. 86400 IN SOAns1.google.com. dnsadmin.google.com. 2009041401 7200 1800 1209600 300
Tipos de registros DNS
HINFO = Host INFOrmation – Contiene Informacion del Hardware y del Software del servidor,
TXT = TeXT Permite a los dominios identificarse de modos arbitrarios.
metroflog.com. 38764 IN TXT "spf2.0/pra ip4:216.139.255.0/25 ip4:216.139.214.8/30 ip4:216.139.214.12/30 ip4:216.139.214.16/30 ip4:216.139.216.244/30 ip4:216.139.216.248/30 ip4:216.139.239.168/30 ip4:216.139.239.172/30 ip4:216.139.208.208/30 mx ~all"
LOC = LOCalización Permite indicar las coordenadas del dominio.
SRV = SeRVicios Permite indicar los servicios que ofrece el dominio.
SPF = Sender Policy Framework En este registro se especifica cual o cuales hosts están autorizados a enviar correo desde el dominio dado.
DNSPrimario DNS Maestro
Si, las tengo en mi cache
DNS Secundario
Me dejas ver las Zonas?
Atacante
Me dejas ver las Zonas?
Estas son las Zonas
AXFR
Solucion: Solucion: Configurar allowtransfer en las zonas de los respectivos DNS
Zona:Zona: son los son los registros que registros que contiene un contiene un DNS sobre DNS sobre cierto dominio cierto dominio (anterior (anterior pagina).pagina).
Ejemplo Real de un ataque AXFR (La tool esta en el blog)Ejemplo Real de un ataque AXFR (La tool esta en el blog)
Registros Invalidos DNS
Victima DNSCual es la ip de localhost.php.net?
127.0.0.1
PC
Hola localhost.algo.netMi cookie es: ......
Resultado:
Vaya soy localhost.php.net!!
Usuario
Navegador quiero entrar a
localhost.algo.net
Un Cliente solicita la IP de “localhost.php.net” la cual es: 127.0.0.1
El cliente se consultara a si mismo
Registros Invalidos DNS
Navegador
Si usamos un poco de Ingenieria social: creamos un socket en el puerto 80...
Hack tool
Hola localhost.web.net
Pagina Falsa
Tenemos un poco de phishing de la nueva era (es dificil pensar que estando en un subdominio de la web, sea falsa, ademas de que es dificil que un antivirus lo detecte).O bien si hay cookies mal configuradas tenemos robo de credenciales.
Solucion: Solucion: Eliminar los Registros DNS InutilesEliminar los Registros DNS Inutiles
DNS Brute Force
Atacante
Cual es la IP de intranet.victima.com?
DNS
La IP es: xxx.xxx.xxx.xxx
Atacante
Cual es la IP de admin.victima.com?DNS
No Existe!
Solucion:Solucion: Crear un Registro A llamado: “ Crear un Registro A llamado: “*”*” con la respectiva IP del dominio por con la respectiva IP del dominio por defecto.defecto.Por Ejemplo:Por Ejemplo:
** ININ AA 74.125.67.10074.125.67.100
Esto es usado para averiguar subdominios que no estan a cierta vista (Muchos administradores ocultan datos en subdominios por que “nadie los ve”).
Ejemplo Real de un DNS Bruteforce (Ver blog para Ejemplo Real de un DNS Bruteforce (Ver blog para obtener la herramienta).obtener la herramienta).
Antes de pasar al siguiente tema que es DNS ID Hacking, Antes de pasar al siguiente tema que es DNS ID Hacking, vamos a ver unos conceptos previos: vamos a ver unos conceptos previos:
Primero por que es que cuando realizamos una consulta, el servidor dns no la confunde con otra?
Por el ID, cada paquete lleva un identificador numerico que evita que se confunda el paquete con otro, ademas de que dificulta que una persona intente envenenar la cache dns falsificando el origen de los paquetes (se edita la parte del origen en el paqutete y se envia, y por el mal diseño del protocolo UDP, no hay forma de comprobar que realmente haya venido esa consulta de dicha IP [leer sobre DNS Smurf Attack], por ello recomiendo usar DNS sobre UDP, es mas seguro y nos evitamos desagradables momentos).
Y ya que solo el ID nos detiene, por que no un ataque de cumpleaños?
DNS ID Hacking
ClienteCual es la IP de Cual es la IP de www.gob.mxwww.gob.mx? (ID = 444)? (ID = 444)
La IP es: 200.77.236.16 (ID = 444)La IP es: 200.77.236.16 (ID = 444)
ns1.gobiernodigital.gob.mx
ClienteCual es la IP de Cual es la IP de www.gob.mxwww.gob.mx? (ID = 445)? (ID = 445)
La IP es: La IP es: 74.125.67.10074.125.67.100 (ID = 445) (ID = 445)
DNS Muerto por DDoS
Atacante
Resultado: El Cliente piensa que la IP de www.gob.mx es la de googlePara dejarlo mas claro pasar a la siguiente grafica...
DNS ID Hacking
Cliente dns.victima.com ns1.gobiernodigital.gob.mxIP de www.gob.mx?
IP de www.gob.mx? (ID = 344)
La IP es: La IP es: 200.77.236.16 200.77.236.16 (ID = 344)(ID = 344)
La IP es: La IP es: 200.77.236.16200.77.236.16
AtacanteAtacante dns.victima.com
La IP de www.gob.mx es 74.125.67.100 (ID = 342)
La IP de www.gob.mx es 74.125.67.100 (ID = 343)
La IP de www.gob.mx es 74.125.67.100 (ID = 344)
Solucion:Solucion: Configurar el allowrecursion solo para los dominios que lo necesiten y usar puertos al Configurar el allowrecursion solo para los dominios que lo necesiten y usar puertos al azar (asi es mas dificil que un atacante adivine a cual puerto enviar la respuesta DNS).azar (asi es mas dificil que un atacante adivine a cual puerto enviar la respuesta DNS).
Ya esta por demas claro lo de arriba, asi que lo dejare asi... solo falta agregar quela respuesta de “Atacante” tiene que ir al mismo puerto por el cual fue consultado elDNS original
Seguridad Adicional
● Fake DNS Server FingerprintFake DNS Server Fingerprint● DomainKeys Identified MailDomainKeys Identified Mail● DNSSECDNSSEC
DNS Server FingerprintDNS Server Fingerprint
Para evitar esto podemos editar el archivo named.conf.options (esto en bind)Para evitar esto podemos editar el archivo named.conf.options (esto en bind)colocando el parametro “version” con el valor que queramos mostrar.colocando el parametro “version” con el valor que queramos mostrar.
Resultado: Fake DNS Server FingerprintResultado: Fake DNS Server Fingerprint
DomainKeys Identified MailDomainKeys Identified Mail
DomainKeys es una tecnología propuesta por Yahoo! para DomainKeys es una tecnología propuesta por Yahoo! para "probar y proteger la identidad del remitente del email.""probar y proteger la identidad del remitente del email."
●Utiliza SHA256 como hash criptográfico.Utiliza SHA256 como hash criptográfico.● RSA como sistema de cifrado de clave pública.RSA como sistema de cifrado de clave pública.● y codificar el hash cifrado usando Base64.y codificar el hash cifrado usando Base64.
Como Funciona DKIM?Como Funciona DKIM?
From: From: [email protected]@victima.com
To: To: [email protected]@yahoo.com
default._domainkey.victima.com TXTdefault._domainkey.victima.com TXT
k=rsa\; p=Key; (Esta es la key para el k=rsa\; p=Key; (Esta es la key para el dominio, el mail al no contenerla, dominio, el mail al no contenerla, sera mandado a spam por ser falso).sera mandado a spam por ser falso).
Mensaje real?
dns1.victima.comdns1.victima.com
DNSEC ofrece: – Protección entre servidores
● TSIG/SIG0 (Transaction SIGnature): permite la autenticación entre servidores, asegurando la transferencia de zonas.
– Protección datos.● KEY/SIG/NXT: establece mecanismos de autenticación e integridad de
datos● DS: permite un mecanismo de seguridad distribuida basado en el
establecimiento de redes de confianza (Chains of Trust)– Una infraestructura de distribución de claves públicas
● Posible utilidad en el establecimiento de túneles IPSEC dinámicos.
DNSSECDNSSEC
Espero que sea de utilidad Espero que sea de utilidad estas presentaciones para estas presentaciones para entender mas el mundo de entender mas el mundo de la seguridad en DNS, se la seguridad en DNS, se despide su amigo despide su amigo Xianur0.Xianur0.
http://xianur0.blogspot.comhttp://xianur0.blogspot.com