DNS Hacking y Prevencion de IntrusosPor: Xianur0

   

MX

Gob Unam

WwwWww jornada .......

Estructura de DominioUn dominio esta estructurado de la siguiente forma:

Esto quiere decir que primero hay un servidor principal que se encarga de almacenar la direccionde los dns encargados de ciertos dominio (en este caso mx) y despues el dns del dominioconsultado.

   

Dialogo DNS

ClienteCliente

Cual es la IP de www.gob.mx?Cual es la IP de www.gob.mx?

ns1.gobierno­ns1.gobierno­digital.gob.mxdigital.gob.mx

La IP es: 200.77.236.16La IP es: 200.77.236.16 

En este ejemplo de dialogo Dns: un cliente intenta acceder a la pagina www.gob.mx, pero al no sabe cual es su IP consulta al dns encargado de resolver dicho dominio (ns1.gobierno­digital.gob.mx).

   

Cliente DNS Recursivo

Cual es la IP de www.gob.mx?Cual es la IP de www.gob.mx?

 

ns1.gobierno­digital.gob.mx

Cual es la IP de www.gob.mx?Cual es la IP de www.gob.mx?

La IP es: 200.77.236.16La IP es: 200.77.236.16

Dialogo Recursivo DNS

La IP es: 200.77.236.16La IP es: 200.77.236.16

Preguntare

El Cliente consulta a un DNS Recursivo, el cual actuara como cliente para resolver la consulta dada, y para ello reenvia la consulta recivida a otro servidor DNS, y seguido de esto, le entrega el resultado al cliente

   

Tipos de registros DNSya que un DNS no solo almacena IPs..

A = Address – Este registro se usa para traducir nombres de hosts a direcciones IP.

Ejemplo: www.gob.mx. 17442 IN A 200.77.236.16

CNAME = Canonical Name – Se usa para crear nombres de hosts adicionales, o alias, para los hosts de un dominio.

Ejemplo: www.gmail.com. 17291 IN CNAME mail.google.com.

NS = Name Server – Contiene la informacion de los servidores DNS de un dominio dato.

Ejemplo: google.com. 276835 IN NS ns4.google.com.

MX = Mail Exchange – Contiene la Lista de Servidores de Correo.

Ejemplo: google.com. 2408  IN MX 10 smtp4.google.com.

PTR = Pointer – Sirve para Traducir IP a Host:

Ejemplo: 200.77.236.16 = www.google.com 

SOA = Start of authority – Proporciona información sobre la zona.

Ejemplo: google.com. 86400 IN SOAns1.google.com. dns­admin.google.com. 2009041401 7200 1800 1209600 300

   

Tipos de registros DNS

HINFO = Host INFOrmation – Contiene Informacion del Hardware y del Software del servidor,

TXT = TeXT ­  Permite a los dominios identificarse de modos arbitrarios.

metroflog.com. 38764 IN TXT "spf2.0/pra ip4:216.139.255.0/25 ip4:216.139.214.8/30 ip4:216.139.214.12/30 ip4:216.139.214.16/30  ip4:216.139.216.244/30 ip4:216.139.216.248/30  ip4:216.139.239.168/30 ip4:216.139.239.172/30 ip4:216.139.208.208/30 mx ~all"

LOC = LOCalización ­ Permite indicar las coordenadas del dominio.

SRV = SeRVicios ­ Permite indicar los servicios que ofrece el dominio.

SPF = Sender Policy Framework ­  En este registro se especifica cual o cuales hosts están autorizados a enviar correo desde el dominio dado. 

   

DNSPrimario DNS Maestro

Si, las tengo en mi cache

DNS Secundario

Me dejas ver las Zonas?

Atacante

Me dejas ver las Zonas?

Estas son las Zonas

AXFR

Solucion: Solucion: Configurar allow­transfer en las zonas de los respectivos DNS

Zona:Zona: son los  son los registros que registros que contiene un contiene un DNS sobre DNS sobre cierto dominio cierto dominio (anterior (anterior pagina).pagina).

   

Ejemplo Real de un ataque AXFR (La tool esta en el blog)Ejemplo Real de un ataque AXFR (La tool esta en el blog)

   

Registros Invalidos DNS

Victima DNSCual es la ip de localhost.php.net?

127.0.0.1

PC

Hola localhost.algo.netMi cookie es: ......

Resultado:

Vaya soy localhost.php.net!!

Usuario

Navegador quiero entrar a  

localhost.algo.net

Un Cliente solicita la IP de “localhost.php.net” la cual es: 127.0.0.1 

El cliente se consultara a si mismo

   

Registros Invalidos DNS

Navegador

Si usamos un poco de Ingenieria social: creamos un socket en el puerto 80...

Hack tool

Hola localhost.web.net

Pagina Falsa

Tenemos un poco de phishing de la nueva era (es dificil pensar que estando en un subdominio de la web, sea falsa, ademas de que es dificil que un antivirus lo detecte).O bien si hay cookies mal configuradas tenemos robo de credenciales.

Solucion: Solucion: Eliminar los Registros DNS InutilesEliminar los Registros DNS Inutiles

   

DNS Brute Force

Atacante

Cual es la IP de intranet.victima.com?

DNS

La IP es: xxx.xxx.xxx.xxx

Atacante

Cual es la IP de admin.victima.com?DNS

No Existe!

Solucion:Solucion: Crear un Registro A llamado: “ Crear un Registro A llamado: “*”*” con la respectiva IP del dominio por con la respectiva IP del dominio por defecto.defecto.Por Ejemplo:Por Ejemplo:

** ININ AA 74.125.67.10074.125.67.100

Esto es usado para averiguar subdominios que no estan a cierta vista (Muchos administradores ocultan datos en subdominios por que “nadie los ve”).

   

Ejemplo Real de un DNS Bruteforce (Ver blog para Ejemplo Real de un DNS Bruteforce (Ver blog para obtener la herramienta).obtener la herramienta).

   

Antes de pasar al siguiente tema que es DNS ID Hacking, Antes de pasar al siguiente tema que es DNS ID Hacking, vamos a ver unos conceptos previos: vamos a ver unos conceptos previos: 

Primero por que es que cuando realizamos una consulta, el servidor dns no la confunde con otra?

Por el ID, cada paquete lleva un identificador numerico que evita que se confunda el paquete con otro, ademas de que dificulta que una persona intente envenenar la cache dns falsificando el origen de los paquetes (se edita la parte del origen en el paqutete y se envia, y por el mal diseño del protocolo UDP, no hay forma de comprobar que realmente haya venido esa consulta de dicha IP [leer sobre DNS Smurf Attack], por ello recomiendo usar DNS sobre UDP, es mas seguro y nos evitamos desagradables momentos).

Y ya que solo el ID nos detiene, por que no un ataque de cumpleaños?

   

DNS ID Hacking

ClienteCual es la IP de Cual es la IP de www.gob.mxwww.gob.mx? (ID = 444)? (ID = 444)

 

La IP es: 200.77.236.16 (ID = 444)La IP es: 200.77.236.16 (ID = 444)

ns1.gobierno­digital.gob.mx

ClienteCual es la IP de Cual es la IP de www.gob.mxwww.gob.mx? (ID = 445)? (ID = 445)

La IP es: La IP es: 74.125.67.10074.125.67.100 (ID = 445) (ID = 445)

 

DNS Muerto por DDoS

Atacante

Resultado: El Cliente piensa que la IP de www.gob.mx es la de googlePara dejarlo mas claro pasar a la siguiente grafica...

   

DNS ID Hacking

Cliente dns.victima.com ns1.gobierno­digital.gob.mxIP de www.gob.mx?

IP de www.gob.mx? (ID = 344) 

La IP es: La IP es:  200.77.236.16 200.77.236.16 (ID = 344)(ID = 344)

La IP es: La IP es:  200.77.236.16200.77.236.16

AtacanteAtacante dns.victima.com

La IP de www.gob.mx es 74.125.67.100 (ID = 342)

La IP de www.gob.mx es 74.125.67.100 (ID = 343)

La IP de www.gob.mx es 74.125.67.100 (ID = 344)

Solucion:Solucion: Configurar el allow­recursion solo para los dominios que lo necesiten y usar puertos al  Configurar el allow­recursion solo para los dominios que lo necesiten y usar puertos al azar (asi es mas dificil que un atacante adivine a cual puerto enviar la respuesta DNS).azar (asi es mas dificil que un atacante adivine a cual puerto enviar la respuesta DNS).

Ya esta por demas claro lo de arriba, asi que lo dejare asi... solo falta agregar quela respuesta de “Atacante” tiene que ir al mismo puerto por el cual fue consultado elDNS original

   

Seguridad Adicional

●  Fake DNS Server FingerprintFake DNS Server Fingerprint●  DomainKeys Identified MailDomainKeys Identified Mail●  DNSSECDNSSEC

   

DNS Server FingerprintDNS Server Fingerprint

Para evitar esto podemos editar el archivo named.conf.options  (esto en bind)Para evitar esto podemos editar el archivo named.conf.options  (esto en bind)colocando el parametro “version” con el valor que queramos mostrar.colocando el parametro “version” con el valor que queramos mostrar.

   

Resultado: Fake DNS Server FingerprintResultado: Fake DNS Server Fingerprint

   

DomainKeys Identified MailDomainKeys Identified Mail

DomainKeys es una tecnología propuesta por Yahoo! para DomainKeys es una tecnología propuesta por Yahoo! para "probar y proteger la identidad del remitente del email.""probar y proteger la identidad del remitente del email."

●Utiliza  SHA­256 como hash criptográfico.Utiliza  SHA­256 como hash criptográfico.●  RSA como sistema de cifrado de clave pública.RSA como sistema de cifrado de clave pública.●  y codificar el hash cifrado usando Base64.y codificar el hash cifrado usando Base64.

   

Como Funciona DKIM?Como Funciona DKIM?

From: From: admin@victima.comadmin@victima.com

To: To: usuario@yahoo.comusuario@yahoo.com

default._domainkey.victima.com TXTdefault._domainkey.victima.com TXT

k=rsa\; p=Key; (Esta es la key para el k=rsa\; p=Key; (Esta es la key para el dominio, el mail al no contenerla, dominio, el mail al no contenerla, sera mandado a spam por ser falso).sera mandado a spam por ser falso).

Mensaje real?

dns1.victima.comdns1.victima.com

   

DNSEC ofrece: – Protección entre servidores

● TSIG/SIG0 (Transaction SIGnature): permite la autenticación entre servidores, asegurando la transferencia de zonas.

– Protección datos.● KEY/SIG/NXT: establece mecanismos de autenticación e integridad de

datos● DS: permite un mecanismo de seguridad distribuida basado en el

establecimiento de redes de confianza (Chains of Trust)– Una infraestructura de distribución de claves públicas

● Posible utilidad en el establecimiento de túneles IPSEC dinámicos.

DNSSECDNSSEC

   

Espero que sea de utilidad Espero que sea de utilidad estas presentaciones para estas presentaciones para entender mas el mundo de entender mas el mundo de la seguridad en DNS, se la seguridad en DNS, se despide su amigo despide su amigo Xianur0.Xianur0.

http://xianur0.blogspot.comhttp://xianur0.blogspot.com