Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Wielkość: px

Rozpocząć pokaz od strony:

Download "Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych"

Irena Markowska
7 lat temu
Przeglądów:

1 Paweł Pokrywka, Ispara.pl multispoof: Zaawansowany mac spoofing w sieciach lokalnych 1

2 Plan prezentacji Obszar zainteresowania Problem uwierzytelniania w sieciach LAN Wykorzystanie podatności: multispoof Detekcja nadużyć Środki prewencyjne 2

3 Sieci LAN Obszar zainteresowania: Sieć lokalna z dostępem do Internetu (tzw. sieć osiedlowa) Dostęp do zasobów globalnej sieci jest płatny Problem: Jak powiązać transmisje sieciowe przepływające przez router operatora z człowiekiem, którego komputer je wygenerował? 3

4 Uwierzytelnianie w LAN Uwierzytelnianie na postawie adresów MAC Adres można zmienić I podszywając się w ten sposób pod legalnego, nieaktywnego użytkownika wykorzystywać jego pasmo transmisyjne Czy można się podszywać pod wiele komputerów jednocześnie? IP można zdefiniować wiele aliasów MAC tylko jeden na interfejsie 4

wykorzystywać jego pasmo transmisyjne Czy można się podszywać pod wiele

5 multispoof: Idea 5

6 multispoof: Wyniki 6

7 multispoof: Budowa Architektura: Procesy uniksowe IPC Niskopoziomowa komunikacja z siecią Wstrzykiwanie ramek Podsłuchiwanie transmisji Wirtualny interfejs sieciowy tap Rozkładanie obciążenia 7

Wstrzykiwanie ramek Podsłuchiwanie transmisji

8 Zbieranie danych o sieci 8

9 Rozkładanie obciążenia 9

10 Podmiana MAC 10

11 Więcej informacji Szczegółowa dokumentacja jak i sam program multispoof są dostępne na:

12 Demonstracja 12

13 Obrona przed spoofingiem Metody reaktywne Wykrywanie nadużyć i lokalizowanie sprawców Zazwyczaj tanie Trzeba wykonywać wielokrotnie Metody prewencyjne Wprowadzanie zabezpieczeń uniemożliwiających podszywanie się Kosztowne Jednorazowo Nie można jednoznacznie stwierdzić które podejście jest bardziej korzystne. 13

Wprowadzanie zabezpieczeń uniemożliwiających podszywanie się Kosztowne

14 Metody detekcji Metody słabe (tylko multispoof): Skanowania ARP, testowanie łączności Brak standardowych transmisji Skanowanie i monitorowanie hostów Metody silne (wykrywanie spoofingu): Hosty pułapki Korelacja transmisji sieciowych Moment pojawienia się hosta w sieci Analiza wykorzystania portów przełączników 14

Metody silne (wykrywanie spoofingu): Hosty pułapki Korelacja transmisji

15 Analiza wyk. portów switcha 15

16 Lokalizacja Metoda detekcji dająca odpowiedź na pytanie: Czy w danej chwili w sieci można zaobserwowac mac-spoofing? Dwóch ludzi Telefon komórkowy/krótkofalówka Mapa sieci Samochód i drabina 16

17 Prewencja sprzętowa Inteligentne przełączniki sieciowe Port Security 802.1x Bardzo duża skuteczność Wysoki koszt urządzeń administracji (Port Security) 17

18 Prewencja programowa Model dostępu do usługi w sesjach Rozpoczęcie sesji zabezpieczone przed przechwyceniem danych uwierzytelniających ochrona przed atakiem powtórzeniowym Czas trwania sesji wszystkie transmisje powinny być uwierzytelnione Zakończenie sesji tylko na życzenie użytkownika lub po timeout'cie 18

atakiem powtórzeniowym Czas trwania sesji wszystkie transmisje powinny być

19 Metody programowe 1 Autoryzujące serwery proxy Proxy aplikacyjne Każda aplikacja wymaga proxy SOCKS4 SOCKS5 UDP uwierzytelnianie (silne ale tylko na papierze) 19

20 Metody programowe 2 Portale Słabe uwierzytelnianie Możliwość przedłużania sesji w nieskończoność Authpf Silne uwierzytelnianie Przy braku dodatkowych zabezpieczeń możliwe pasożytnicze korzystanie z usługi 20

Authpf Silne uwierzytelnianie Przy braku

21 Metody programowe 3 VPN IPSec (ESP/AH) PPTP (popularność) PPPoE (wykluczenie IP!) L2TP OpenVPN (tokeny, karty chipowe) inne: Peter Gutmann, Linux's answer to MS-PPTP 21

22 Metody programowe 4 Metody pomocnicze Firewall DHCP ARP Sprawdzanie zgodności IP-MAC 22

23 Skuteczność Proxy Portale, Authpf VPN Metody pomocnicze 23

24 Kierunki dalszego rozwoju Utrudnianie wykrywania: Randomizacja (kolejność skanowania, odstępy czasowe, metody testowania) Symulacja normalnej aktywności (klient i serwer) Kontrola wykorzystania adresów Antyradar Wybór trybu pracy: Wydajność transmisji typu bulk Wygoda przy normalnym użytkowaniu Anonimowość (brak skanowania, tylko jedno IP) 24

25 Kierunki dalszego rozwoju Przełamywanie innych, słabych metod uwierzytelniania: Przechwytywanie danych uwierzytelniających: Proxy Portale Pasożytnicze korzystanie z usługi: Portale Authpf Przełamywanie metod dodatkowo zabezp. 25

26 Dziękuję za uwagę 26

Podobne dokumenty

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć