Generalmente, cuando realizamos un Penetration Testing, nos enfocamos sobre el objetivo y todas las tareas las realizamos sobre él. Sin embargo, una buena práctica es analizar el entorno ya que muchas veces nos va a mostrar debilidades o indicios de la infraestructura que lo soporta. Los servicios de inteligencia desde siempre la utilizan y buscan información del entorno del investigado sin afectar directamente el objetivo… a menudo “alrededor del objetivo hay mucha más información útil que atacándolo directamente”.
Hay muchos tests o ataques sobre el entorno del objetivo: Information Gathering, ataques a los routers de perímetro o ataques a los servidores de resolución de dominio (DNS).
Hoy analizaremos los servidores DNS ya que de ellos se hablan poco y hay mucho para solucionar. Un escenario típico de una compañía es que los DNS lo tercerizan y generalmente el servicio lo brinda quienes se dedican a ser hosting del web site o de los correos electrónicos. En consecuencia, el problema está resuelto: “problema del otro!” ¿Es realmente problema del otro? A mí me parece que no, porque la información que resuelve el DNS del “otro” es información “nuestra”: acceso desde Internet a nuestro sitio web, intercambio de correo electrónico y todas las aplicaciones que se imaginen que tenga contacto de nuestros servidores con el exterior…
¿Qué es lo que se puede hacer sobre un DNS? Comencemos de lo más leve a lo más grave:
• TRANSFERENCIA DE ZONA: los DNS suelen estar instalados de a dos: uno primario y otro secundario. Este último necesita realizar una copia de los datos del primario referidos a su “zona” de resolución (transferencia de zona). Hasta aquí está todo bien… ahora… ¿qué pasaría si el servidor secundario aceptara queries sin autenticación? ¿qué pasaría si en la consulta se muestra información de este estilo?
ls –d dominio objetivo (comando nslookup de Windows)
bandancha A xxx.xx.xxx.82
ftp A xxx.xx.xxx.36
hubmail A xxx.xx.xxx.27
mail A xxx.xx.xxx.16
mysql A xxx.xx.xxx.21
www.mysql A xxx.xx.xxx.21
radius1 A xxx.xx.xxx.5
radius2 A xxx.xx.xxx.15
realserver1 A xxx.xx.xxx.6
router4 A xxx.xx.xxx.145
servweb1 A xxx.xx.xxx.36
servweb2 A xxx.xx.xxx.13
sw1 A xxx.xx.xxx.130
webcam CNAME webcam2.xxx.com.xx
webcam1 A xxx.xx.xxx.92 |
Esta fue la información obtenida de un DNS secundario que publica todas sus direcciones ip externas, como decía antes “alrededor del objetivo hay mucha más información útil que atacándolo directamente”.
Se sorprenderían de la cantidad de servidores DNS que permiten queries públicas: prueben con “nslookup” de Windows o con “dig” de Linux.
• CACHÉ SNOOPING: permite conocer los nombres de dominio que han sido resueltos por un servidor DNS en particular. Esta información puede llegar a ser interesante ya que al atacante le permite crear un perfil de los patrones de uso de la comunidad de usuarios de dicho servidor DNS. Utiliza la misma debilidad del anterior (queries públicas) y se realiza con los mismos comandos.
• DNS POISON: El caché es un mecanismo que optimiza la marcha del servicio de DNS y funciona guardando por un tiempo las consultas hechas a otros servidores DNS. Si alguien envía paquetes con información falsa al servidor, éste responderá con el mismo tipo de información falsa cuando se le haga la petición.
Los ataques más sofisticados se relacionan con denegaciones de servicios, modificaciones de su contenido y comportamiento que derivan en Man in the Middle y Pharming.
No está mal que terceros hosteen nuestros DNS pero no podemos dejar en sus manos la “seguridad” de la puerta de entrada a nuestros servidores expuestos a Internet.
Para terminar los fíjense en este link una técnica de reconocimiento a través de DNS generada por mi buen amigo Pablo:
http://www.infosecurityonline.org/newsletter/marzo2007b/hacking.htm
Christian Vila Toscano
Senior Security Consultant
I-SEC Information Security
Argentina
christian.vila@isec-global.com |
