El centro de Coordinación CERT ha recibido reportes de ataques en los cuales, los invasores crean paquetes con direcciones de IP de origen spoofeadas. Esos ataques explotan las aplicaciones que usan la autentificación basada en la dirección IP. Esta explotación nos conduce al usuario y posiblemente al acceso root en el sistema objetivo. Date cuenta que este ataque no envuelve al origen del enrutamiento. Más adelante, en la sección 3 se describen soluciones recomendadas.
En el actual patrón de ataque, los invasores pueden modificar dinámicamente el kernel de un sistema de Sun 4.1.X una vez que es alcanzado el acceso root. En este ataque, el cual es diferente del ataque de spoofing de IP, los invasores usan una herramienta para obtener el control de cualquier terminal abierta o sesión de login de los usuarios del sistema. Date que cuenta, aunque la herramienta, está siendo actualmente usada mayormente en sistemas SunOS 4.1.x, las características del sistema que hacen este ataque posible no son únicas para el SunOS.
Actualizaremos esta consulta si recibimos información adicional. Por favor, chequea los archivos de la consulta regularlmente para actualizaciones que refieren a tu sitio.
I. DESCRIPCIÓN:
Esta descripción resume tanto las técnicas de spoofing de IP que pueden ganar el acceso root en un sistema, como la herramienta que los invasores están usando para obtener a través del terminal abierto y las conexiones de logins posteriores, su acceso root. Actualmente estamos viendo ataques en los que los intrusos combinan spoofing de IP con el uso de la herramienta. Sin embargo, estos son dos acciones diferentes. Los invasores pueden usar el spoofing IP para botener el acceso root para cualquier propósito, similarmente, pueden secuestrar las conexiones de los terminales a pesar de sus métodos para obtener el acceso root.
Ip Spoofing
Para obtener acceso, los invasores crean paquetes con direcciones de IP spoofeadas. Estos aplicaciones exploit, que usan una autentificación basada en direcciones de IP y llevan a usuarios inautorizados y posiblemente acceso root en sus sistemas objetivo. Posibilita el enrutamiento de paquetes a través de firewalls con filtro de enrutamiento si no están configurados para filtrar paquetes entrantes, los cuales sus direcciones de origen están en dominios locales. Es importante señalar que el ataque descrito es posiblemente incluso, sino hay paquetes de respuesta que puedan llegar al atacante.
Ejemplos de configuración que son potencialmente vulnerables:
-Routers con redes exteriores que soportan interfaces internos múltiples.
-Eouters con dos interfaces que soportan subredes en la red interna.
-Firewalls proxy en donde la aplicación proxy usa la dirección de IP de origen para la autentificación.
Los ataques de IP spoofing que estamos viendo son similares a aquellos descritos en dos documetnso 1) Security Problems in the TCP/IP Protocol Suite, bye Steve Bellovin, publicado en Computer Comunitacion Review, volumen 19, número 2 (abril de 1989) páginas 32-48. 2) "A Weakness in the 4.2BSD Unix TCP/IP Software" by Robert T. Morris. Ambos documentos están disponibles por FTP anónima desde: LINK
Servicios que son vulnerables a los ataques de IP Spoofing:
SunRPC & NFS
BSD UNIX "r" commands
Cualquier cosa envuelta por las envolturas del demonio TCP - chequea tu configuración
X Windows
Otra aplicación que use el destino de la dirección de IP para la autentificación.
Herramienta de Secuestro
Una vez que los invasores tienen acceso root a un sistema, pueden usar una herramienta que dinámicamente modifique el kernel de UNIX. Esta modificación les permite secuestrar el terminal existente y conexiones login de cualquier usuario del sistema.
Al hacerse cargo de las conexiones, los intrusos pueden eludir contraseñas de una vez y otros esquemas de autentificación fuertes haciendo explotaciones en la conexión después de que la autentificación esté completa. Por ejemplo, un usuario ligétimio conecta con un sitio remoto a través de login o sesión de terminal; el intruso secuestra la conexión después de que el usuario haya completado la autentificación y la localización remota; el sitio remoto está ahora comprometido (ver Sección uno, ejemplos de configuraciones vulnerables)
Actualmente, esta herramienta es usada mayormente en sistemas SunOS 4.1.x. Sin embargo, las características de este sistema que hacen este ataque posible no son únicas del SunOS.
El centro de coordinación CERT ha sido informado de que cualquier servicio que use Kerberos para la autentificación no debería ser vulnerable a un ataque de IP spoofing. Par amás información acerca de Kerberos, mirar: LINK
También tenga en cuenta que la información y solución descrita en esta consulta no dirige al tema del IP Spoofing móvil.
II IMPACTO
La actividad de los intrusos actuales acerca de spoofear el origen de direcciones de IP puede llevar al acceso root remoto unautorizado a sistemas detrás de un firewall con filtro de router.
Después de ganar acceso root y encargarse de una terminal existente y conexiones login, los intrusos pueden ganar acceso a sitios remotos.
III SOLUCIONES
A DETECCIÓN
IP Spoofing
Si monitoreas paquetes usando un software de monitoreo de redes como netlog, buscar un paquete en tu interfaz externo que tiene ambas, sus direcciones de origen y destino IP en tu dominio local. Si encuentras una, estása bajo ataque. Netlog está disponible por FTP anónimo en: LINK
Otra forma de detectar IP Spoofing es comparar los logs de cuentas de procesos entre los sitemas de tu red interna. Si el ataque de IP Spoofing ha sucedido en uno de tus sistemas, puedes obtener una entrada de log en la máquina víctima mostrando un acceso remoto; en la aparente máquina de origen, no habrá entrada correspondiente para iniciar el acceso remoto.
Herramienta de Secuestro
Cuando el invasor se adjunta a un terminal existente o una conexión de login, los usuarios pueden detectar actividad inusual, como apariciones de comandos en sus terminales que no escribieron o una ventana en blanco que ya no responden a sus comandos. Anima a tus usuarios a informarte de cualquier actividad como tal. Además, presta particular intención a conexiones que han estado parados durante un largo tiempo.
Una vez el ataque está completado, es difícil detectarlo. Sin embargo, los intrusos pueden dejar restos de sus herramientas. Por ejemplos, podrías encontrar un módulo de flujos de kernel diseñado para meterse dentro de conexiones TCP
B PREVENCIÓN
IP Spoofing
El mejor método de prevención del problema de IP Spoofing es instalar un sistema de filtro en el router que restrinja la entrada a tu interfaz externo (conocido como filtro de entrada) para no permitir a un paquete atravesar, si tiene una dirección de origen de tu red interna. Además, deberías filtrar los paquetes de salida que tienen una dirección de origen diferente de tu red interna, con objetivo de prevenir un ataque de IP Spoofing de origen, desde tu sitio.
Los siguientes vendedores han reportado que soportan esa característica:
Bay Networks/Wellfleet routers, version 5 and later
Cabletron - LAN Secure
Cisco - RIS software all releases of version 9.21 and later
Livingston - all versions
3COM, Cisco Systems, y Morning Star Technologies han provisto información detallada la cual puedes encontrar en el apéndiz A de esta consulta.
Si necesitas más información acerca de routers o firewalls, contacta con tu vendedor directamente.
Si el router de tu vendedor no soporta el filtro en tu sitio de entrada de la interfaz o si habrá un retraso incorporando la característica a tu sistema, puedes filtrear los paquetes de IP Spoofeados usando un segundo router entre tu interfaz externa y tu conexión exterior. Configura este router para bloquear, en la interfaz de salida conectada a tu router original, todos los paquetes que tengan una dirección de origen en tu red interna. Para este propósito, puedes usar un router de filtreo o un sistema UNIX con dos interfaces que soporten el filtreo de paquetes.
NOTA: Desactivando el enrutamiento de destino en el router, no te proteje de este ataque, pero sigue siendo una buena práctica de seguridad para hacerlo.
Información adicional para protejerte a ti mismo de ataques de IP Spoofing está en la sección de Actualizaciones, al final de este archivo; esas actualizaciones fueron añadidas después del lanzamiento inicial de esta consulta.
Herramientas de secuestro:
No hay una forma específica para prevenir el uso de herramientas que no sea previniendo intrusos para ganar el acceso root en primer lugar. Si has experimentado compromisos root, mira la sección C para instrucciones generales de como recuperar.
C RECUPERANDOSE DESDE UN COMPROMISO ROOT EN UNIX
1.-Desconectarse de la red u operar del sistema en modo de un solo usuario durante la recuperación. Esto nos protejerá de los usuarios y los invasores del acceso al sistema
2.-Verificar sistemas binarios y archivos de configuración en contra de los medios de comunicación del vendedor (no confiar en la información timestamp que provee una indicio de modificación). No confiar en ninguna herramienta de verificación como cmp(1) localizada en el sistema comprometido, también puede haber sido modificador por el intruso. Además, no confiar en los resultados de un programa de sum(1) de UNIX estándar como hemos visto intrusos modificar archivos del sistema como una forma que el checksum vuelve a lo mismo. Reemplazando cualquier archivo modificado desde los sitemas de comunicación del vendedor, no desde copias de seguridad
o
Actualizar tu sistema de los medios de comunicación del vendedor
3.-Buscar el sistema para nuevos o modificados archivos root:
find -user root -perm -4000 -print
Si estas usando sistemas de archivos NFS o AFS, usa ncheck para buscar los sistemas de fichero local
ncheck -s /dev/sd0a
4.-Cambia la contraseña de todas las cuentas
5.-No confíes tus copias de seguridad para actualizar ningún archivo usado mediante root. No quieras reintroducir archivos alterados por un intruso.
ACTUALIZACIONES
Pasos adicionales que puedes tomar para hacer frente al IP Spoofing:
Para que el IP Spoofing sea correcto, los intrusos confian en dos máquinas que confian la na a la otra através del uso de archifos .rhosts o el archivo /etc/hosts.equiv. Explotando aplicaciones que usan una autentificación basadas en las direcciones IP (como rsh y rlogin) los intrusos pueden obtener el usuario o acceso root en los hosts objetivo.
Sugerimos que uses envolturas TCP para permitir el acceso a, solamente unas pocas máquinas seleccionadas. Aunque esta no es una solución completa, reducirá susceptiblemente el ataque. De forma alternativa, cambia la configuración de la puerta de enlace de internet, asi que rlog y rsh desde internet a hosts en tus dominios, se bloquean. Si esto no es posible, deshabilita los servicios rlogin y rsh en todos tus hosts.
Algunos sitios han quitado el enrutamiento de origen, pensando que esto prevendría los ataques de IP Spoofing. Este NO es el caso. Aunque animamos a que los sitios deshabiliten el enrutamiento de origen, esto no proviene de ataques de IP Spoofing. Para prevenir ataques de ese tipo, es necesario comprometer un filtrado de paquetes descrito en esta consulta.
Además de los ataques descritos en esta consulta, ahora veremos ataques en los cuales los intrusos ganan acceso a un sitio usando una dirección de IP loopback en vez de direcciones de IP particulares a ese sitio.
Recomendamos que además de las sugerencias descritas en la sección III B de esta consulta acerca del filtrado de paquetes, configures un filtro en el router para filtrar paquetes de entradas de los siguientes rangos de IP:
127.0.0.0 - 127.255.255.255 (loopback)
10.0.0.0 - 10.255.255.255 (reserved)
172.16.0.0 - 172.31.255.255 (reserved)
192.168.0.0 - 192.168.255.255 (reserved)
Finalmente, te animamos a que consideres usar herramientas de monitoreo de red para chequear signos de ataque de IP Spoofing. Argus es una herramienta de monitoreo de red que usa un model cliente-servidor para capturar datos y asociarlos a las "transacciones". Esta herramienta provee una auditoría a nivel red; puede verificar la conformidad de un archivos de configuración de router, y la información es fácilmente adaptada al análisis del protocolo, detecciones de intrusión, y otras necesidades de seguridad. Argus está disponible en: LINK
Traducción de: http://www.cert.org/advisories/CA-1995-01.html
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario