dns tunneling
DESCRIPTION
Laboratorio de DNS_TunnelingTRANSCRIPT
10/04/2015
© Gabriel Maciá Fernández 1
Evadiendo portales cautivos en hoteles o aeropuertos.
Túneles DNS.
Gabriel Maciá Fernández
Índice del taller
• ¿Qué es un portal cautivo?
• ¿Qué es un túnel?
• ¿Qué es DNS?
• Túneles DNS. Cómo funcionan.
• Defensas frente a túneles DNS.
10/04/2015
© Gabriel Maciá Fernández 4
Acceso en Barajas
15 primeros minutos gratuitos
30 m 5€ + IVA
1h 7,5€ + IVA
24h 15€ + IVA
¿Dónde los encontramos?
• Universidades• Estaciones de tren, aeropuertos, autobús (pago)
• Hoteles (de pago)• Establecimientos públicos
10/04/2015
© Gabriel Maciá Fernández 5
Vulnerabilidades del portal cautivo
• No se cifra el tráfico entre el cliente y el AP
– Ataques de captura de tráfico (spoofing, hijacking…)
• En muchos de los portales no se controla el tráfico DNS
– Esto permite el sortear el control del portal cautivo utilizando Túneles DNS.
¿Hay control de tráfico DNS?
10/04/2015
© Gabriel Maciá Fernández 6
¿QUÉ ES UN TÚNEL?
¿Qué es un túnel?
• Encapsulamiento de datos de unos protocolos en otra torre de protocolos diferente
10/04/2015
© Gabriel Maciá Fernández 7
DATOS X.25 ATM
Ejemplo de un túnel
Datos TCP IP
IPBIPA
Veamos un ejemplo práctico de túnel
10/04/2015
© Gabriel Maciá Fernández 8
¿QUÉ ES DNS?
¿Qué es DNS?
• DNS es uno de los protocolos más utilizados en la red
– Permite traducción de nombres a IP
– Comunicaciones de tipo UDP en puerto 53
– Varios tipos de registro
• Tipo A, SOA, NS
• Tipo TXT
• Servidor con autoridad sobre un dominio
10/04/2015
© Gabriel Maciá Fernández 10
¿Para qué se utilizan?
• Evasión de información corporativa
• Evasión de políticas de red y de seguridad
• Evasión de portales cautivos. Uso más extendido.
¿Cómo funciona?
• Oscar Pearson (Bugtraq) Abril 1998
• Elementos
Servidor DNS Cliente
Dominio: ejemplo.com
payload
1
2 3
4
10/04/2015
© Gabriel Maciá Fernández 11
Ejemplos de payload• Realizar una query tipo A al siguiente dominio:
• Variantes:
– Uso de diferentes codificaciones
• Base 32, Base64, Binary 8, Netbios, Hex
– Diferentes tipos de técnicas
• Descubrimiento del mejor encoding
• Spoofing de IP
• Uso de diferentes tipos de registro
lainformacionquequieromandar.ejemplo.com
Aspectos a implementar
• DNS tiene límite de 512 bytes/paquete– Puede no ser suficiente para TCP/IP
– Uso de EDNS (payloads > 512 bytes)
• DNS es tráfico UDP– No se garantiza reensamblado correcto de paquetes
• Los servidores DNS solo envían paquetes como respuesta y no de forma independiente– Polling continuo
10/04/2015
© Gabriel Maciá Fernández 12
Algunas herramientas
• NSTX
• OzymanDNS
• Psudp
• Squeeza
• Tcp‐over‐dns
• TUNS
• DNScapy
• Dns2tcp
• DeNiSe
IODINE
Algunas herramientas
10/04/2015
© Gabriel Maciá Fernández 13
Algunas herramientas
• IODINE
– Modelo cliente – servidor
– Alto rendimiento: cada respuesta puede contener hasta 1KB de datos comprimidos
– Portabilidad: Win32, Unix (Linux, MacOS, Android..) Servidor y cliente con plataformas diferentes.
– Seguridad. Permite acceso con contraseña (hash MD5). Ignora paquetes de otras IPs.
– Facilidad de uso. Hasta 16 clientes al mismo tiempo.
Veamos un ejemplo
CONFIGURACIÓN SIMPLE DE IODINE
10/04/2015
© Gabriel Maciá Fernández 14
Configuración completa
• Premisa: La conexión al servidor IODINE está bloqueada
• Uso de DNS relay a través del DNS local
– Configuración del DNS server:
• Compra del dominio prueba.com
• Configuración de registros
MÉTODOS DE DEFENSA
10/04/2015
© Gabriel Maciá Fernández 15
Métodos de defensa
• Prevención
– Control del tráfico DNS en tu red
• Servidor propio DNS
• Split DNS
• Detección:
– Análisis de payload
– Análisis de tráfico
PREVENCIÓN DETECCIÓN RESPUESTA
Métodos de defensa• Análisis de payload
– Tamaño de las peticiones y las respuestas
– Entropía de los hostnames
– Análisis estadístico
• E.g. Consonantes o números repetidos (Lockington, 2012)
– Detección de peticiones a tipos de registro inusuales (e.g. TXT).
– Violaciones de políticas (e.g. paso de peticiones DNS a un DNS local).
– Firmas específicas
10/04/2015
© Gabriel Maciá Fernández 16
Métodos de defensa
• Análisis de tráfico
– Volumen de tráfico DNS por IP
– Volumen de tráfico DNS por dominio
– Número de hostnames por dominio
– Localización geográfica del servidor DNS consultado
– Peticiones DNS huérfanas
– …
Métodos de defensa
• Respuesta
– Hosts no autenticados tienen DNS restringido (Split DNS).
– Bloqueo de tráfico DNS sospechoso (anomalydetection)
– Asignar cuota de uso de tráfico DNS
– Denegar uso de algunos tipos de registro
PREVENCIÓN DETECCIÓN RESPUESTA