Publicado el 28 de Enero del 2019
1.450 visualizaciones desde el 28 de Enero del 2019
1,0 MB
17 paginas
Creado hace 9a (10/04/2015)
10/04/2015
Evadiendo portales cautivos
en hoteles o aeropuertos.
Túneles DNS.
Gabriel Maciá Fernández
Índice del taller
• ¿Qué es un portal cautivo?
• ¿Qué es un túnel?
• ¿Qué es DNS?
• Túneles DNS. Cómo funcionan.
• Defensas frente a túneles DNS.
© Gabriel Maciá Fernández
1
�10/04/2015
¿QUÉ ES UN PORTAL CAUTIVO?
© Gabriel Maciá Fernández
2
�10/04/2015
Acceso en Barajas
© Gabriel Maciá Fernández
3
�10/04/2015
Acceso en Barajas
15 primeros minutos gratuitos
30 m
1h
24h
5€ + IVA
7,5€ + IVA
15€ + IVA
¿Dónde los encontramos?
• Universidades
• Estaciones de tren, aeropuertos,
autobús (pago)
• Hoteles (de pago)
• Establecimientos públicos
© Gabriel Maciá Fernández
4
�10/04/2015
Vulnerabilidades del portal cautivo
• No se cifra el tráfico entre el cliente y el AP
– Ataques de captura de tráfico (spoofing,
hijacking…)
• En muchos de los portales no se controla el
tráfico DNS
– Esto permite el sortear el control del portal
cautivo utilizando Túneles DNS.
¿Hay control de tráfico DNS?
© Gabriel Maciá Fernández
5
�10/04/2015
¿QUÉ ES UN TÚNEL?
¿Qué es un túnel?
• Encapsulamiento de datos de unos protocolos
en otra torre de protocolos diferente
© Gabriel Maciá Fernández
6
�10/04/2015
Ejemplo de un túnel
IPA
IPB
Datos
TCP
IP
DATOS
X.25
ATM
Veamos un ejemplo
práctico de túnel
© Gabriel Maciá Fernández
7
�10/04/2015
¿QUÉ ES DNS?
¿Qué es DNS?
• DNS es uno de los protocolos más utilizados
en la red
– Permite traducción de nombres a IP
– Comunicaciones de tipo UDP en puerto 53
– Varios tipos de registro
• Tipo A, SOA, NS
• Tipo TXT
• Servidor con autoridad sobre un dominio
© Gabriel Maciá Fernández
8
�10/04/2015
¿Qué es DNS?
• Payload de DNS
TÚNELES DNS
© Gabriel Maciá Fernández
9
�10/04/2015
¿Para qué se utilizan?
• Evasión de
información
corporativa
• Evasión de políticas
de red y de
seguridad
• Evasión de portales
cautivos. Uso más
extendido.
¿Cómo funciona?
• Oscar Pearson (Bugtraq) Abril 1998
• Elementos
1
Dominio:
ejemplo.com
4
payload
2
Servidor DNS
3
Cliente
© Gabriel Maciá Fernández
10
�10/04/2015
Ejemplos de payload
• Realizar una query tipo A al siguiente dominio:
lainformacionquequieromandar.ejemplo.com
• Variantes:
– Uso de diferentes codificaciones
• Base 32, Base64, Binary 8, Netbios, Hex
– Diferentes tipos de técnicas
• Descubrimiento del mejor encoding
• Spoofing de IP
• Uso de diferentes tipos de registro
Aspectos a implementar
• DNS tiene límite de 512 bytes/paquete
– Puede no ser suficiente para TCP/IP
– Uso de EDNS (payloads > 512 bytes)
• DNS es tráfico UDP
– No se garantiza reensamblado correcto de
paquetes
• Los servidores DNS solo envían paquetes
como respuesta y no de forma independiente
– Polling continuo
© Gabriel Maciá Fernández
11
�10/04/2015
Algunas herramientas
IODINE
• NSTX
• OzymanDNS
• Psudp
• Squeeza
• Tcp‐over‐dns
• TUNS
• DNScapy
• Dns2tcp
• DeNiSe
Algunas herramientas
© Gabriel Maciá Fernández
12
�10/04/2015
Algunas herramientas
• IODINE
– Modelo cliente – servidor
– Alto rendimiento: cada respuesta puede contener
hasta 1KB de datos comprimidos
– Portabilidad: Win32, Unix (Linux, MacOS, Android..)
Servidor y cliente con plataformas diferentes.
– Seguridad. Permite acceso con contraseña (hash
MD5). Ignora paquetes de otras IPs.
– Facilidad de uso. Hasta 16 clientes al mismo tiempo.
Veamos un ejemplo
CONFIGURACIÓN SIMPLE DE IODINE
© Gabriel Maciá Fernández
13
�10/04/2015
Configuración completa
• Premisa: La conexión al servidor IODINE está
bloqueada
• Uso de DNS relay a través del DNS local
– Configuración del DNS server:
• Compra del dominio prueba.com
• Configuración de registros
MÉTODOS DE DEFENSA
© Gabriel Maciá Fernández
14
�10/04/2015
Métodos de defensa
PREVENCIÓN
DETECCIÓN
RESPUESTA
• Prevención
– Control del tráfico DNS en tu red
• Servidor propio DNS
• Split DNS
• Detección:
– Análisis de payload
– Análisis de tráfico
Métodos de defensa
• Análisis de payload
– Tamaño de las peticiones y las respuestas
– Entropía de los hostnames
– Análisis estadístico
• E.g. Consonantes o números repetidos (Lockington, 2012)
– Detección de peticiones a tipos de registro inusuales
(e.g. TXT).
– Violaciones de políticas (e.g. paso de peticiones DNS a
un DNS local).
– Firmas específicas
© Gabriel Maciá Fernández
15
�10/04/2015
Métodos de defensa
• Análisis de tráfico
– Volumen de tráfico DNS por IP
– Volumen de tráfico DNS por dominio
– Número de hostnames por dominio
– Localización geográfica del servidor DNS
consultado
– Peticiones DNS huérfanas
– …
Métodos de defensa
PREVENCIÓN
DETECCIÓN
RESPUESTA
• Respuesta
– Hosts no autenticados tienen DNS restringido
(Split DNS).
– Bloqueo de tráfico DNS sospechoso (anomaly
detection)
– Asignar cuota de uso de tráfico DNS
– Denegar uso de algunos tipos de registro
© Gabriel Maciá Fernández
16
�10/04/2015
Gracias por su atención
© Gabriel Maciá Fernández
17
Crear cuenta
Comentarios de: Evadiendo portales cautivos en hoteles o aeropuertos - Túneles DNS (0)
No hay comentarios