Beruflich Dokumente
Kultur Dokumente
Evadiendoportalescautivos
enhotelesoaeropuertos.
TnelesDNS.
GabrielMaci Fernndez
ndicedeltaller
Quesunportalcautivo?
Quesuntnel?
QuesDNS?
TnelesDNS.Cmofuncionan.
DefensasfrenteatnelesDNS.
GabrielMaci Fernndez
10/04/2015
QUESUNPORTALCAUTIVO?
GabrielMaci Fernndez
10/04/2015
AccesoenBarajas
GabrielMaci Fernndez
10/04/2015
AccesoenBarajas
15 primeros minutos gratuitos
30 m
5 + IVA
1h
7,5 + IVA
24h
15 + IVA
Dndelosencontramos?
Universidades
Estacionesdetren,aeropuertos,
autobs(pago)
Hoteles(depago)
Establecimientospblicos
GabrielMaci Fernndez
10/04/2015
Vulnerabilidadesdelportalcautivo
NosecifraeltrficoentreelclienteyelAP
Ataquesdecapturadetrfico(spoofing,
hijacking)
Enmuchosdelosportalesnosecontrolael
trficoDNS
Estopermiteelsortearelcontroldelportal
cautivoutilizandoTnelesDNS.
HaycontroldetrficoDNS?
GabrielMaci Fernndez
10/04/2015
QUESUNTNEL?
Quesuntnel?
Encapsulamientodedatosdeunosprotocolos
enotratorredeprotocolosdiferente
GabrielMaci Fernndez
10/04/2015
Ejemplodeuntnel
IPA
Datos
TCP
IPB
IP
DATOS
X.25
ATM
Veamosunejemplo
prcticodetnel
GabrielMaci Fernndez
10/04/2015
QUESDNS?
QuesDNS?
DNSesunodelosprotocolosmsutilizados
enlared
PermitetraduccindenombresaIP
ComunicacionesdetipoUDPenpuerto53
Variostiposderegistro
TipoA,SOA,NS
TipoTXT
Servidorconautoridadsobreundominio
GabrielMaci Fernndez
10/04/2015
QuesDNS?
Payload deDNS
TNELESDNS
GabrielMaci Fernndez
10/04/2015
Paraquseutilizan?
Evasinde
informacin
corporativa
Evasindepolticas
deredyde
seguridad
Evasindeportales
cautivos.Usoms
extendido.
Cmofunciona?
OscarPearson(Bugtraq)Abril1998
Elementos
Dominio:
ejemplo.com
1
4
2
GabrielMaci Fernndez
ServidorDNS
payload
3
Cliente
10
10/04/2015
Ejemplosdepayload
Realizarunaquery tipoAalsiguientedominio:
lainformacionquequieromandar.ejemplo.com
Variantes:
Usodediferentescodificaciones
Base32,Base64,Binary 8,Netbios,Hex
Diferentestiposdetcnicas
Descubrimientodelmejorencoding
Spoofing deIP
Usodediferentestiposderegistro
Aspectosaimplementar
DNStienelmitede512bytes/paquete
PuedenosersuficienteparaTCP/IP
UsodeEDNS(payloads >512bytes)
DNSestrficoUDP
Nosegarantizareensamblado correctode
paquetes
LosservidoresDNSsoloenvanpaquetes
comorespuestaynodeformaindependiente
Polling continuo
GabrielMaci Fernndez
11
10/04/2015
Algunasherramientas
NSTX
OzymanDNS
Psudp
Squeeza
Tcpoverdns
TUNS
DNScapy
Dns2tcp
DeNiSe
IODINE
Algunasherramientas
GabrielMaci Fernndez
12
10/04/2015
Algunasherramientas
IODINE
Modelocliente servidor
Altorendimiento:cadarespuestapuedecontener
hasta1KBdedatoscomprimidos
Portabilidad:Win32,Unix(Linux,MacOS,Android..)
Servidoryclienteconplataformasdiferentes.
Seguridad.Permiteaccesoconcontrasea(hash
MD5).IgnorapaquetesdeotrasIPs.
Facilidaddeuso.Hasta16clientesalmismotiempo.
Veamosunejemplo
CONFIGURACINSIMPLEDEIODINE
GabrielMaci Fernndez
13
10/04/2015
Configuracincompleta
Premisa:LaconexinalservidorIODINEest
bloqueada
UsodeDNSrelay atravsdelDNSlocal
ConfiguracindelDNSserver:
Compradeldominioprueba.com
Configuracinderegistros
MTODOSDEDEFENSA
GabrielMaci Fernndez
14
10/04/2015
Mtodosdedefensa
PREVENCIN
DETECCIN
RESPUESTA
Prevencin
ControldeltrficoDNSentured
ServidorpropioDNS
SplitDNS
Deteccin:
Anlisisdepayload
Anlisisdetrfico
Mtodosdedefensa
Anlisisdepayload
Tamaodelaspeticionesylasrespuestas
Entropadeloshostnames
Anlisisestadstico
E.g.Consonantesonmerosrepetidos(Lockington,2012)
Deteccindepeticionesatiposderegistroinusuales
(e.g.TXT).
Violacionesdepolticas(e.g.pasodepeticionesDNSa
unDNSlocal).
Firmasespecficas
GabrielMaci Fernndez
15
10/04/2015
Mtodosdedefensa
Anlisisdetrfico
VolumendetrficoDNSporIP
VolumendetrficoDNSpordominio
Nmerodehostnames pordominio
LocalizacingeogrficadelservidorDNS
consultado
PeticionesDNShurfanas
Mtodosdedefensa
PREVENCIN
DETECCIN
RESPUESTA
Respuesta
HostsnoautenticadostienenDNSrestringido
(SplitDNS).
BloqueodetrficoDNSsospechoso(anomaly
detection)
AsignarcuotadeusodetrficoDNS
Denegarusodealgunostiposderegistro
GabrielMaci Fernndez
16
10/04/2015
Graciasporsuatencin
GabrielMaci Fernndez
17