miércoles, agosto 28, 2013

Herramientas de seguridad y ataques de red en IPv4/IPv6

Desde que arrancamos con el trabajo de Evil FOCA para realizar ataques man in the middle en IPv6 he estado preguntándome si en una red común sin protecciones extras de seguridad para el protocolo IPv6 saltaría alguna alerta con las utilidades habituales para protección de equipos, ya que algunos antimalware se venden como soluciones completas de seguridad en el PC.

Para eso, le pedí a mi compañero Umberto que hiciera unas pruebas con las suites de seguridad para sistemas Microsoft Windows y viera si alguna de ellas detectaba dos ataques muy comunes: ARP-Spoofing en IPv4 y Neighbor Advertisement Spoofing en IPv6. Las suites probadas fueron las siguientes:
- NOD32 Smart Security 6
- Kaspersky Internet Security 2013
- Bitdefender Total Security
- Panda Global Protection 2014
- McAfee Total Protection 2013
- Norton 360
Los resultados fueron bastante sorprendentes, pero de manera negativa, ya que de todas ellas, la única que detecto un ataque ARP-Spoofing fue NOD32 Smart Security 6, mientras que el resto de suites dejó que se manipularan las tablas ARP del equipo que estaba protegido.

Figura 1: ESET Smart Security 6 detectando el ataque ARP-Spoofing

Visto estos resultados, os podéis imaginar que cuando se hizo un Neighbor Adverstisement Spoofing con Evil FOCA en los equipos, ninguna de todas ellas fue capaz de detectar que se habían manipulados las tablas de vecinos, así que la Evil FOCA puede campar de forma libre por esas redes. Evil FOCA wins.

Figura 2: NA Spoofing con Evil FOCA

Después quisimos probar con las herramientas de seguridad MARMITA 1.3 y PATRIOT NG 2.0, destinadas a proteger el sistema contra ataques de red. Los resultados fueron los esperados, ya que ambas detectaron el ARP Spoofing en IPv4, pero ninguna de ellas fue capaz de detectar el ataque NA Spoofing en IPv6.

Figura 3: Marmita detectando el ataque ARP-Spoofing

Visto esto, hemos comenzado a trabajar para tener un agente de seguridad IPv6 - que seguramente incorporemos a Marmita - y que sea capaz de detectar los ataques de red en IPv6 además de los de ataques en red de IPv4, para mitigar estos problemas.

Saludos Malignos!

10 comentarios:

  1. Habría que empezar a conseguir que el término "red común" incluyera ya medidas básicas de seguridad en todas las capas posibles, incluida la capa 8 del modelo OSI (el problema está entre la silla y el teclado) :-)

    Gracias como siempre!

    ResponderEliminar
  2. mmmm... en mi trabajo tengo una mini red con unos switches 3750 y unos routers cisco 7200 de cisco con un IPS instalado para prevenir ataques como vlan hoppings mac flooding tables etc etc.. hize unas pruebas para reventar un server hp proliant con 8gb de ram y un par de cpus amd, el primer ataque satisfactorio fue el de flooding con RA en ipv6 , use scapy para inundar a todos los dispositivos y no tuve problemas, tods los dispositivos colapsaron. no he probado tu evil foca pero me temo que los resultados pueden ser parecidos, ahora mi pregunta seria si haz hecho pruebas con port security en una infraestructura de red donde este implementada este feature en los puertos? saludos desde costa rica chema.

    ResponderEliminar
  3. ¿Por qué no probaron con Avast 8, el antivirus más usado en todo el mundo? Lo digo para saber qué tal protege ese conocido antivirus gratuito en estos casos.

    ResponderEliminar
  4. ESET lo ha vuelto a hacer. Para que después me digan los típicos listos y enterados que McAfee (en este caso) es mejor... Es que me descojono de todos ellos, tipica gente que ni siquiera sabe que los antivirus o firewall son configurables.

    ResponderEliminar
  5. Claro, probaron los antivirus más cutres
    De acuerdo con el comentario del avast 8, probadlo y luego nos contais

    ResponderEliminar
  6. @Anonimo
    "Claro, probaron los antivirus más cutres"
    - NOD32 Smart Security 6
    - Kaspersky Internet Security 2013
    - Bitdefender Total Security
    - Panda Global Protection 2014
    - McAfee Total Protection 2013
    - Norton 360
    Si faltan avast 8, G data.. y quizá un par mas, pero como prueba de concepto es mas que valida, es bastante triste tu comentario.

    ResponderEliminar
  7. Probar Marmita con IPv6 no tiene precio!! Para todo lo demas FaaS! Jajajaja...

    ResponderEliminar
  8. -Has probado con la gran herramienta zone alarm??
    -no consigo conectarme al ssh con Outlook. ¿que pasa?
    -funcionaria con IPv7??
    -calc.exe me protege de estos ataques??
    -funcionarían estas demos en la rootedCON?


    IPv4!= IPv6 ;)

    ResponderEliminar
  9. @Anónimo, se probaron Patriot-ng y Marmita para ver si las dos personas que trabajan en ellas, que son Yago Jesús y Dani Romero, habían añadido algo de IPv6, que no lo sabíamos. Realmente, al final las añadí al post porque ambas herramientas me gustan y así les ayudaba a que la gente las conociera más y las usasen.

    Saludos!

    ResponderEliminar
  10. Instalo Martita 1.3 el 28 y el 2 de septiembre PLAFFF!!

    Bienvenido a la realidad, empieza la semana con ARP-Spoofing. Quin sea ha entrado por wifi (¿Porque puse el Password por definicion el viernes?). Cambio la SSID. quando miro ya esta otra vez con spoofing. cambio el password. Ya no entra. Seré imbecil...
    Empiezo a mirar por las camaras y no veo nadie extraño, así que me decido y salgo del despacho a ojear fisicamente los puntos muertos, y me encuentro un tipo de unos 50 años que tal como me ve enciende la grua(iba con una grua) y se larga.
    Gràcias Marmita por quitarme un mal rollo y solo quede por susto.

    PD: Igual si qe hace falta ser un paranoico.

    PD2: Aún no entiendo porque puse el PW del ruter por definicion

    ResponderEliminar