Connect with us

Il magazine su Sicurezza Digitale e Tecnologia – Bismark.it




Guide

Come difendersi da un attacco su Rete Lan

Quando si progetta una rete locale si tende solitamente ad isolare le varie componenti con mdegli switch. In questo modo si dovrebbe offrire manche una maggiore sicurezza, poichè se un attaccante si mette su una qualsiasi posizione a sniffare il traffico che passa sulla rete, intercetterebbe solo i frammenti di dati che appartengo alla stessa sottorete.
Esistono però diversi attacchi che permettono, sfruttando le debolezze di alcuni mprotocolli, di intercettare comunque i dati che vengono inviati ad una mmacchina. Una di queste tecniche è ’ARP-spoofing.
 

Standard ISO OSI
Una comunicazione tra due macchine richiede numerose operazioni, e necessità
anche lo scambio di numerose informazioni. Per semplificare la gestione di questo problema è stato introdotto lo standard ISO-OSI. Lo standard ISOOSI è formato da 7 livelli. il livello più basso è il livello fisico, che si occupa della trasmissione fisica dei dati attraverso i cavi di rete, mentre il livello più altro è il livello dell’applicazione ovvero ,le specifiche usate dalle varie applicazioni per comunicare. Se un computer A vuole inviare un messaggio al computer B il pacchetto passa dal livello più basso della pila ISOOSI, il quale aggiungerà un header contenente le informazioni ad esso competenti, e passerà il pacchetto al livello superiore, il quale a sua volta aggiungerà un altro header che specifica i parametri di quel livello e lo invierà al livello superiore, fino arrivare ad incapsulare l’header di livello 7 ed inviare il messaggio. Il recevente a sua volta ripercorrerà la pila (così è chiamato l’insieme dei livelli) partendo dal livello più
basso verso i livelli più alti, accedendo così alle informazioni contenute nel messaggio.

Il Protocollo ARP
Visto in breve come funziona lo standard ISO-OSI, dobbiamo capirecome sia possibile, in una rete LAN, ottenere l’indirizzo fisico che identifica la scheda di rete del destinatario (l’indirizzo MAC) partendo da un indirizzo IP di livello 3.

Il protocollo ARP si occupa proprio di questo, ovvero costruisce della tabelle nelle quali sono associati agli indirizi IP i relativi MAC-address. Una LAN piuttosto ampia può essere
costituita da qualche centinaio di computer. Pertanto, se ogni macchina avesse una memoria contenente in modo statico una tabella che associa gli IP ai MAC ci sarebbero dei gravi problemi nel caso in cui venga aggiunta anche una sola macchina e si debbano modificare tutte le tabelle di tutti i pc. Fortunatamente il protocollo ARP ci viene incontro per risolvere questo problema. Vediamo ora come avviene questo in pratica: supponiamo che la macchina con ip 196.0.0.1 voglia l’indirizzo MAC della macchina 196.0.0.24.

La prima operazione che effettuerà sara’ inviare a tutte le macchine (in broadcast) una richiesta dell’indirizzo MAC della macchina 196.0.0.24, questa operazione avviene inviando una richiesta “ARP who-has” all’indirizzo mac ff:ff:ff:ff:ff:ff, che corrisponde all’indirizzo MAC di broadcast. Tutte le macchine della rete riceveranno questa richiesta, e la macchina interessata risponderà con un “ARP reply” e il proprio indirizzo mac. Una volta che la macchina 196.0.0.1 ha acquisito l’indirizzo MAC, lo memorizza nella propria cache in modo che – se si deve inviare un nuovo messaggio – non deve effettuare di nuovo questa richiesta generando traffico addizonale sulla rete.

ARP-Spoofing
Ora che abbiamo illustrato come funziona il protocollo ARP, siamo in grado di comprendere come funzionano gli attacchi di tipo ARP-spoofing. Come abbiamo appena detto, quando una macchina A deve richiedere l’indirizzo MAC di un altra macchina B, la prima operazione è inviare un messaggio a tutte le macchine chiedendo tale indirizzo, pertanto se un malintenzionato volesse ridirigere il traffico indirizzato da A verso B, sulla propria macchina C, gli basterebbe rispondere alla richiesta inviata, passando come indirizzo IP quello di B ma come MAC address quello della sua macchina ( C ), in questo modo la macchina A trasmetterebbe i dati indirizzati verso B alla macchina macchina C, che riceverebbe tutti i dati.

Ovviamente, se l’attaccante vuole evitare che B si insospettisca dopo un po di tempo in cui non riceve più niente, dovrà anche fare in modo che tutto il traffico che arriva a C venga ritrasmesso di nuovo a B, in modo tale che C può rimanere in ascolto con uno sniffer senza che A o B sospettino niente. Per fare questo si utilizzano degli appositi programmi (ce ne sono diversi in rete) di ip forward che ridirigono il traffico da C a B.

Un attacco pratico
Ora vedremo in pratica, come avviene un attacco. Ovviamente tralascieremo alcuni particolari che daremo per scontati, in modo da non fornire ai malintenzionati uno spunto per azioni illegali. In questo esempio pratico ci sono tre macchine (Fig2) un client (a) con indirizzo IP 196.0.0.1 che comunica con il proprio server (b) con IP 196.0.0.24 e la nostra macchina da cui verrà effettuato l’attacco (c), con IP 196.0.0.25. Immaginiamo che 196.0.0.24 e 196.0.0.1 sono connessi e stanno comunicando. Per avere accesso alle informazioni che i due pc si stanno inviando, l’attaccante dovrà aggiornare la ARP table in modo da ridirigere il traffico tra le due macchine.

Per fare questo, userà DugSniff. Ovviamente questo è solo uno dei numerosi strumenti utilizzabili per testare se la vostra rete è vulnerabile da questo tipo di attacchi; se volete provarne altri vi rimando alla sezione link dell’articolo.

Per indirizzare verso la macchina dell’attaccante il traffico che si trasmettono 196.0.0.1 e 196.0.0.24, si deve usare il comando ARP redirect 196.0.0.24 196.0.0.1. In questo modo ora la macchina 196.0.0.25 ovvero la macchina da cui viene lanciato l’attacco può intereccettare il traffico che viene trasmesso. Per completare l’attacco basterà abilitare sulla macchina dell’attaccante un IP forwarding. In questo modo, le due macchine continueranno a scambiarsi dati come se niente fosse e l’attaccante potrà sniffare tutto il traffico che viene scambiato tra le due macchine.

Previre e intercettare l’attacco
Questo tipo di attacchi non è facile da rilevare, poiché le macchine che subiscono l’attacco non subiscono alcun effetto particolare che possa segnalare un attacco in corso, pertanto è necessario monitorare la rete in modo da rilevare un attacco.

Per fare questo, si può cercare di scoprire scoprire se nella rete c’è qualcuno che sta sniffando dati, oppure più semplicemente controllare costantemente la ARP table. Allo scopo, esiste un programma chiamato ARP_watch che logga i cambiamenti della ARP table permettendo di rilevare l’attacco.

Per quando riguarda la prevenzione da questi, l’unico modo è impostare le tabelle ARP in modo statico, anche se questo comporta gli svantaggi che abbiamo visto all’inizio.

Come abbiamo potuto vedere, questo tipo di attacchi è estremamente potente, sia per la facilità con cui può esse messo in atto, e anche per la difficoltà nel rilevarlo. Inoltre permette all’attaccante di ottenere informazioni anche su una rete switchata.

C’è da dire comunque che questi attacchi possono essere applicati soltanto su reti locali, e che non rappresentano una minaccia dall’esterno. Prima di lasciarvi, vi ricordiamo che usare queste tecniche per verificare la sicurezza della propria rete è consentito e auspicabile, mentre intercettare il traffico di ignari utenti – oltre che eticamente scorretto – è un reato punibile a livello penale (anche se si tratta di dipendenti dell’azienda che autorizza l’intercettazione).

[hackerjournal n39]

Standard ISO-OSI
http://openskill.info/infobox.php?ID=696
Sito
 che illustra lo standard ISO-OSI

Protocollo ARP
http://www.faqs.org/rfcs/rfc826.html
Rfc ufficiale con le specifiche del protocollo ARP
www.diit.unict.it/users/scava/iter/ARP.pdf
Un altro sito in cui viene spiegato il protocollo ARP

ARP-Spoofing
http://www.ks.uni-freiburg.de/inetwork/ papers/ARP-Spoof-Slides.pdf
http://media.frnog.org/FRnOG_1/FRnOG_1-2.en.pdf

Tools
http://www.monkey.org/~dugsong/dsniff/
La suite di tools tra cui l’ARP redirect usata nell’articolo
http://ettercap.sourceforge.net
Un’altra suite di tools, sviluppata al Politecnico di Milano
http://aixpdslib.seas.ucla.edu/packages/arpwatch.html
Il sito di ARP-watch

Continue Reading

More in Guide

    News

    Top News

    To Top