sign (sniffen in geswitchten Netzwerken) DaNiel Ettle FH-Regensburg Informatikstudent

Transkript

1 sign (sniffen in geswitchten Netzwerken) DaNiel Ettle FH-Regensburg Informatikstudent

2 1 SENSIBILISIERUNG 1 1 Sensibilisierung Es passiert immer genau dann, wenn man meint, dass man nichts zu befuerchten hat. frueher: telnet ftp www pop3 heute: geswitchte netzwerke firewalls ssh/ssl allgemein verschluesselte uebtragungen morgen: IPsec bluetooth (teilweise heute schon) IPv6 ssh2

3 2 GRUNDLAGEN UND VORRAUSSETZUNGEN 2 2 Grundlagen und Vorraussetzungen 2.1 Verantwortung Verantwortungsbewusstes handeln. Sichten, verfaelschen oder weitergeben von geschuetzten Daten ist strafbar. 2.2 Grundlagen Allgemeine Grundkenntnisse in UNIX, C++, TCP/IP und Netwerktopologien sollten vorhanden sein.

4 3 EINFUEHRUNG 3 3 Einfuehrung Hijacking: entfuehren, uebernehmen Flugzeugentfuehrung Sessions entfuehren Routing-Protokolle:

5 3 EINFUEHRUNG Schichtwerk Hijacking funktioniert auf verschiedenen Ebenen. Layer-2 ARP, MAC Adressen. Layer-3/4 TCP, IP, UDP, ICMP Layer-5 Protokolle auf Application-Ebene (HTTP, FTP, POP3,... ) Layer 8 (just kidding) Social Hijacking. (Radiergummi, Einkaufswagen, jemanden von einer Party abschleppen. ;-))

6 3 EINFUEHRUNG Hardwarezeuch Vorraussetzung ist: Der Angreifer muss in der Lage sein, Pakete fuer mindestens eines der Opfer empfangen zu koennen. Am besten ueber einen Hub verbunden, switches egal ob managebar oder nicht. Die Netzwerkkarte des Angreifers muss in den promiscuous mode schaltbar sein (Realtek taugt da nix :-) ).

7 4 NETZTOPOLOGIEN 6 4 Netztopologien 4.1 Shared Medium Netzwerke Aus dem Geschichtsunterricht: Beispiel Abbildung 1: Aufbau eines shared Networks

8 4 NETZTOPOLOGIEN geswitchte Netzwerke MAC-Tabelle existiert Sternverkabelung virtuelle P2P Beispiel Abbildung 2: Aufbau eines switched Networks

9 4 NETZTOPOLOGIEN ARP Spoofing/Relaying - Layer Was n ARP? setzt IP-Adresse auf MAC-Adressen um. physikalischen Adressierung im Ethernet Kids-club ARP Broadcaststurm laemt Netzwerke lame - nur was fuer Kids

10 4 NETZTOPOLOGIEN blonde Hardware begrenzter MAC-Table speicher Low End switches sind Hubs hoher Traffic Hub modus

11 4 NETZTOPOLOGIEN Gundel Gaukelei MAC Adresse auf einer UNIX Kiste aendern (!faelschen). ifconfig <interface> down ifconfig <interface> hw ether C0:0l:CA:FE:BA:BE down ifconfig <interface> ifconfig <interface> up Die Adresse per ICMP-echo-request (ping halt) an eine IP-Adresse (Rechner) oder per Broadcast an andere Rechner bekannt machen.

12 4 NETZTOPOLOGIEN Spoofen ARP Spoofing im nichtgeswitchten Netzwerk. Bart Lisa DE:AD:CA:FE:E0: C0:01:CA:FE:BA:BE HUB Sideshow Bob :05:19:87:DE:AD (C0:0F:EE:15:60:0D) Abbildung 3: einfaches ARP Spoofing Angreifer( SideShow Bob ) generiert gefaelschtes Paket und schickt es an sein Opfer( LISA ). C0:01:CA:FE:BA:BE arp reply is-at C0:0F:EE:15:G0:0D src-ip: dst-ip: LISA aendert ihre ARP-Tabelle. Bart bekommt evtl. Kernelmeldung (C0:0F:EE:15:60:0D is using my ip unwahrscheinlich.

13 4 NETZTOPOLOGIEN Eisszeiten und Einfriermoeglichkeiten ARP Tabelle einfrieren. arp -v -i eth0 -s :31:6B:94:32:A8 loeschen, updaten oder faelschen. macht kein mensch. NetBSD und OpenBSD Kernel, ARP robustness strange IP rejecting

14 4 NETZTOPOLOGIEN TCP - Layer 4 RFC 793 quadruble (IP sender, TCP-port sender, IP empfaenger, TCP-port empfanger) 32bit Sequenzummer Flags Grundlegendes Server SVR_SEQ SVR_ACK SVR_WND Client CLT SEQ CLT_ACK CLT_WND Abbildung 4: TCP Sequenznummernverhalten CLT_ACK <= SVR_SEQ <= CLT_ACK + CLT_WIND SVR_ACK <= CLT_SEQ <= SVR_ACK + SVR_WIND Zudem gibt es noch Controll Bits: URG: Urgent Pointer ACK: Acknowledgment PSH: Push Function RST: Reset the connection SYN: Synchronize sequence numbers FIN: No more data from sender

15 4 NETZTOPOLOGIEN Verbdingsaufbau... Three Way Handshake Client Server SYN SEQ=1023 Verbindungsaufbau SYN SEQ=3023 ACK=1024, WIN=500 ACK=3024, SEQ=1024 WIN=500 Datenaustausch ACK=1024, SEQ=1124 ACK=3024, WIN=500 ACK,SEQ=3024 ACK=1125, WIN=300 Abbildung 5: TCP Verbindungsaufbau, Client sendet 100 Bytes Daten

16 4 NETZTOPOLOGIEN und Abbau normal Abbildung 6: TCP Verbindungsabbau, Client sendet RST oder Timeout Gleichzeitiger, beidseitiger Abbau mit FIN Einseitiger Abbau mit RST Rechner explodiert, Nuklearkrieg, etc...

17 4 NETZTOPOLOGIEN RFC 793, RST und andere Phaenomene Wann wird nun dieses RST Kommando gesendet? Antwort auf ein Packet einer nicht existierenden Verbindung. Antwort auf ein ACK eines noch nicht gesendeten Packets. ACK ist groesser als SEQ. Bei Verbindungsende einer Transmission. Verwerfen des Packets bei einer Firewall. Artikel von Laurent Joncheray A Simple Active Attack Against TCP (1995). Angriff mittels mittels RST-Reopen. spontaner Verbdindungsauffbau nach RST?!

18 4 NETZTOPOLOGIEN Desynchronized state Verbinung desynchronized state ESTABLISHED mode stable Zustand (keine Daten werden gesendet) die Server Sequenznummer ist nicht gleich der Client Acknowledgenummer (SVR SEQ!= CLT ACK) die Client Sequenznummer ist nicht gleich der Server Acknowledgenummer (CLT SEQ!= SVR ACK) Falls Daten gesendet werden, koennen folgende zwei Sitationen eintreten: 1. CLT SEQ < SVR ACK + SVR WIND und CLT SEQ > SVR ACK wird das Paket akzeptiert 2. CLT SEQ > SVR ACK + SVR WIND oder CLT SEQ < SVR ACK wird das Packet verworfen Verbindung desychronisieren: null data an Server schicken RST schicken FIN schicken (moeglich, aber schlecht da ACK resultiert)

19 4 NETZTOPOLOGIEN Angriff Vorraussetzung: IP-Spoofing funktioniert (Angriff von aussen nach innen) desynchronisierten Zustand, Client sendet Server SVR_SEQ SVR_ACK SVR_WND SEG_SEQ SEG_ACK SEG_FLAG Client CLT SEQ CLT_ACK CLT_WND Abbildung 7: TCP Sequenznummern Pakete SEG_SEQ = CLT_SEQ SEG_ACK = CLT_ACK Solange CLT SEQ!= SVR ACK gilt, Pakete verwerfen. Angreifer aendert Pakete. SEG SEQ und SEG ACK (und die Checksum) SEG_SEQ = SVR_ACK SEG_ACK = SVR_SEQ Server akzeptiert Paket. keine Sorge, Bild folgt. ;-)

20 4 NETZTOPOLOGIEN 19 Server Client LISTEN LISTEN CLOSED SEG_SEQ=CLT_SEQ SEG_FLAG=SYN SEG SEQ=SVR SEQ SEG_ACK=CLT_SEQ+1 SEG_FLAG=SYN SEG_SEQ=CLT_SEQ+1 SEG_FLAG=RST SEG_SEQ=ATK_SEQ SEG_FLAG=SYN CLOSED SYN SENT SYN RECEIVED ESTABLISHED SVR_SEQ=SVR_SEQ+1 SVR_ACK=ATK_SEQ+1 SEG_SEQ=SVR_SEQ SEG_ACK=ATK_SEQ+1 SEG_FLAG=SYN SEG_SEQ=ATK_SEQ+1 SEG_ACK=SVR_SEQ+1 SEG_FLAG=SYN ESTABLISHED CLT_SEQ=CLT_SEQ+1 CLT_ACK=SVR+SEQ+1 Abbildung 8: TCP Sequenznummern Attack

21 4 NETZTOPOLOGIEN ACK-Storm Nachteil: ACK Storm resultiert. Server Client SYN(100) SYN(400) ACK(101) RST(101) SYN(700) SYN(900) ACK(701) SYN(701) ACK(901) SYN(101) ACK(401) SYN(900) ACK(701) Abbildung 9: TCP ACK Storm, ausgeloest durch eine Hijack-Attacke

22 4 NETZTOPOLOGIEN Kevin vs. Tsutomu TCP Sequence Number Guessing Angriff von Kevin Mitnick auf die Workstation von Tsutomu Shimomura. Theorie: RFC Mikrosekunden erhoeht Realitaet: keine Verbindung - keine Erhoehung neue Verbindung +64 laufende Verbdinung +128/sec BSD und Linux (ab ) benutzen real random Selbst bei ungenauer Anfangssequenznummer des Opfers noch hijacken moeglich. Mehrere Packete mit gleichen Inhalts mit anderer SEQ.

23 4 NETZTOPOLOGIEN Verteidigung Unterdrueckung von IP-Spoofing (Inputfilterung) keine Authentifikation eines Benutzers mittels IP-Adressen Auth. durch ein Cryptosystem (Einmalpasswort etc.) echter Zufallsgenerators fuer die Anfangssequenznummern absehen von Filterung kritischer Seiten (Meinungsfreiheit).

24 4 NETZTOPOLOGIEN UDP - Layer 4 Was ist UDP besseres IP Paket einfach zu spoofen keine Sequenznummern oder aehnliches Wird trotzdem fuer viele wichtige Dienste verwendet: NFS SNMP DNS Netbios RIP... Grund: short requests Inzwischen: TCP extensions (RFC 1644)

25 4 NETZTOPOLOGIEN Flutwellen,... keine Flusskontrolle keine virtuellen Verbindungen Server muss alle Pakete annehmen Ueberlastung Stuerme... Echo Reply Attack ping an die Broadcast Adresse mit der IP des Opfers Modemzugang reicht falsch Konfigurierte Route Subnetzuebergreifend und andere Katastrophen zustandslos keinerlei Quittungs oder Laufnummern keine Ueberpruefung auf richtigkeit der Quelladresse

26 4 NETZTOPOLOGIEN 25 UDP spoofing Szenario Windows Rechner mit einem Namensdienstdatagramm (netbios-ns 137/udp) Senden einer nicht angeforderten negativen Nachricht eines lokal registrierten Namens der Browserdienst verweigert ein Durchsuchen der Netzwerkumgebung. es werden keine Nachrichten mehr empfangen (net send), severmeldungen werden ignoriert. Domaenendienste koennen aufgrund der falschen authentiaet nicht mehr ausgefuehrt werden. freigegeben Resourcen, sowohl auf dem eigenen Rechner sowie auch bezogene fallen aus. NFS ist noch schlimmer. Klartextuebertragung. IP-Adresse als Authentifizierung Nightmare File System

27 4 NETZTOPOLOGIEN Deiche, Daemme und brennende Waende Resultat: Kein Schutz moeglich aufgrund der Architektur Dienste bleiben unsicher Authentifizierung nur auf Anwendungsebene verbesserbar Schutz: Abschalten von Diensten Firewall neue Protokolle

28 4 NETZTOPOLOGIEN ICMP - Layer 3 Internet Control Message Protokoll RFC 792 und andere Zustaende Netzzustand Echo/ Echo Reply (Ping) Destination Unreachable (Host down, Firewall) Source Quench Redirect Route Advertisement Information Request/Reply... Angriffsmoeglichkeiten

29 4 NETZTOPOLOGIEN Router Advertisement default-route normal ueber DHCP oder manuell ICMP Router Advertisement Packete kein Routing Protokoll discovern eines Netzes RFC 1256 ICMP Router Discovery Message hey, wir haben doch da eine bessere route Redirection - Umleitung Aufallsicherheit Router sind eher unanfaellig beliebige Umleitung moeglich dauerhaft, erst bei erneutem ICMP Packet geaendert Source Quench Netz-load-balancing Flusskontrolle Reduzierung des Datenstroms beinahe stillegung

30 4 NETZTOPOLOGIEN Durstloescher und andere Schutzmassnahmen Gegenmassnahmen: schwierig notwendiges Protocoll haeufige fehlerhafte config von Firewall und Routern unfreiwillige Informationsfreigabe Hardware: ICMP MSG/Zeit feste Routingeintraege

31 5 TOOLS 30 5 Tools 5.1 do it yourself Man braucht einen sniffer tcpdump sniffit ethereal einen Packetgenerator ippacket tkipconstructor spak und noch paar Flooder ARP-Flooder SYN-Flooder RST-Deamon alternativ kann man sich auch noch selber was mit libnet oder libpcap

32 5 TOOLS ready, steady, hijack Hier gibt es nicht (noch nicht) soviele Programme. Hier wiederrum nur die wichtigsten. juggernaut (fuer geswitchte netzwerke nicht so geeignet) hunt (teilweise umstaendlich) dsniff (core dumped schon mal, aber sehr nett) ettercap (unterstuezt plugins)

33 6 SCHUTZMASSNAHMEN 32 6 Schutzmassnahmen 6.1 Einfuehrung Nachdem das Problem das nun bekannt ist macht man sich natuerlich Gedanken was man dagegen tun kann. IPsec verwenden verschluesselte Methode oder Zertifikate verwenden. weniger anfaellige Netzwerktopologien aufbauen. 6.2 Hardware wenig sinnvolle Devices Log-file server (richtig configurierte!) firewalls neue switches 6.3 Software viele programme unueberschaubar zeitintensiv erkennen von promiscous mode

34 6 SCHUTZMASSNAHMEN IP Filter wichtige hinweise und erfahrungen Inputfilterung private Adressen kommen niemals von einem externen Device. (naja, fast nie) Multicast-Adressen der Klasse D. ( bis ) Reservierten Adressen der Klasse E. experimentellen Anwendungen. (NSA und amerikanische Militaer Stecker ziehen) Loopback. Netz-Broadcast ( ) eigene IP-Adresse Empfaenger IP Filterung Alle Packete die nicht die eigene IP haben intressieren nicht Broadcast auf (old school BSD-Stack reagiert mit ICMP) einziges gutes Beispiel wo man (DENY) anstatt (REJECT) zurueckschicken kann Port Filterung Client sendet niemals unter 1023 Server sendet niemals ueber TCP Flags Server: SYN, ACK, ACK, ACK,... Client: SYN ACK, ACK, ACK,...

35 6 SCHUTZMASSNAHMEN Umgang mit ICMP Kriegsstimmung. Ueberlegung: meisten packete boesartig, keine harmlosen unschuldigen anfragen Jedes Paket das man wegschickt kann als DoS eingesetzt werden mehr Informationen fuer den Angreifer, selbst eine Fehlermeldung bringt info. Eine Fehlermeldung verdoppelt den Verkehr auf dem Netz (naja, was war mal) ICMP ist ein Netzzustandsprotokoll.

36 6 SCHUTZMASSNAHMEN 35 Devise: Man kanns nie richtig aber sicherlich falsch machen kein oder nur teilweises Versenden von ICMP Echo-Replys. Spionagemoeglichkeit fuer interne Netzstrukturen. verhindern von ICMP Echo Ping Flooding nur zu wenigen Rechnern erlauben. Suchmaschinen nutzen dies fuer Webserver. kein versenden von Destination Unreachable Auskunft ueber offene UDP Ports Siehe nmap UDP scan oder nessus. ignorieren von ICMP Source-Quench DoS durch einschleusen von ICMP Pakten mit diesem Inhalt. Erreichbarkeit sinkt. ignorieren von ICMP Redirect DoS angriff oder Ueberlast Man-in-the-Middle Attack unerwuenschte IP Routen (traffic abkommen) verhindern von ICMP Time-Exceeded Auskunft ueber interne Router und Bandbreiten (traceroute) Firewall sollte nicht im Traceroute sichtbar sein.

37 6 SCHUTZMASSNAHMEN misstrauen ein gewisses Mass an misstrauen schadet nie. login Leichen entfernen Zertifaktsaenderungen betrachten (beware of Snake Oil) connection lost (internes netz) peer hunting

38 6 SCHUTZMASSNAHMEN wenns doch passiert? Notfallplan weglaufen

39 7 PRAKTISCHE VORFUEHRUNG 38 7 praktische Vorfuehrung Realitaetsabgleich... festhalten

40 7 PRAKTISCHE VORFUEHRUNG 39 Danksagung Die Jungs und Maedls die sich das zeuch ausdenken, Programme coden und verbreiten. dem CCC Den verstaendnissvollen Admins der FH/UNI-Regensburg team23.org H. Prof. Dr. Pohl fuer seine gute CK Vorlesung alle meine Freunde die mich unterstuetzt haben