IPSec vs. ARP Spoofing

Hola,
repasando lo que conocía de IPSec me ha surgido una duda acerca del nivel
de
protección que ofrece. Obviamente es una manera eficaz de proteger los
datos
de extremo a extremo pero, ¿qué ocurriría si yo alcanzo una posicion de
"man
in the middle" y utilizo tecnicas de spoofing de ARP?

El spoofing de ARP actúa antes del envío de paquetes IP, suplantando la
MAC
del equipo de destino para engañar al emisor y así robar los datos para
reenviar los datos a su destino verdadero de una forma transparente, así
que
dándole vueltas al asunto me he imaginado que un equipo "Z" atacante
podría
simular ser el receptor antes de que IPSec actúe y cifre los datos, y así
negociar el nivel de seguridad mediante ISAKMP con el equipo "A" emisor
(si
esto es posible). En este caso tanto A como Z son los extremos de la
comunicación.

Aunque también es posible que falle la autenticación a nivel de Kerberos.
No
sé, estoy un poco verde en técnicas hacking y quizá podais arrojar un poco
de
luz al tema.

Saludos!!

Hola Marcos
Definitivamente ipsec es util para evitar ataques de arp spoofing, ahora
bien, hasta un cierto punto.
ipsec es util sí:
1.- El usuario que hace el man in the middle no tiene acceso a la clave
origen (si se utilizan "pre shared keys" esto puede ser un problema)
2.- La máquina que origina la comunicación esta configurada como un "secure
server" ,es decir, rechaza toda comunicación no securizada mediante ipsec
(en caso contrario tras fallar la negociacion isakmp con la máquina del
"hacker" intentaría conectar sin seguridad)

Espero haberme expresado con claridad ;-) si tienes cualquier duda no dudes
en preguntar,

Un saludo

Fernando Rubio


<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>
"Marcos F" escribió en el mensaje
news:
> Hola,
> repasando lo que conocía de IPSec me ha surgido una duda acerca del nivel
> de
> protección que ofrece. Obviamente es una manera eficaz de proteger los
> datos
> de extremo a extremo pero, ¿qué ocurriría si yo alcanzo una posicion de
> "man
> in the middle" y utilizo tecnicas de spoofing de ARP?
>
> El spoofing de ARP actúa antes del envío de paquetes IP, suplantando la
> MAC
> del equipo de destino para engañar al emisor y así robar los datos para
> reenviar los datos a su destino verdadero de una forma transparente, así
> que
> dándole vueltas al asunto me he imaginado que un equipo "Z" atacante
> podría
> simular ser el receptor antes de que IPSec actúe y cifre los datos, y así
> negociar el nivel de seguridad mediante ISAKMP con el equipo "A" emisor
> (si
> esto es posible). En este caso tanto A como Z son los extremos de la
> comunicación.
>
> Aunque también es posible que falle la autenticación a nivel de Kerberos.
> No
> sé, estoy un poco verde en técnicas hacking y quizá podais arrojar un poco
> de
> luz al tema.
>
> Saludos!!

Interesante Fernando pero,
¿y si el equipo que inicia la comunicación no pertenece a un dominio?
¿Cómo
valida en ese caso IKE la autenticidad del usuario "maligno"?. Si no
pertenece a un dominio o grupo, ya sería un usuario válido para realizar
toda
la negociación con IPSec, ¿o no? De esa manera podría establecer una
asociación de seguridad con el controlador de IPSec del equipo emisor y
obtener una clave de cifrado.
Quizá estoy diciendo tonterias, pero para resolver mis dudas prefiero
preguntaros.


"Fernando Rubio [MS]" wrote:

Hola Marcos
Definitivamente ipsec es util para evitar ataques de arp spoofing, ahora
bien, hasta un cierto punto.
ipsec es util sí:
1.- El usuario que hace el man in the middle no tiene acceso a la clave
origen (si se utilizan "pre shared keys" esto puede ser un problema)
2.- La máquina que origina la comunicación esta configurada como un
"secure
server" ,es decir, rechaza toda comunicación no securizada mediante ipsec
(en caso contrario tras fallar la negociacion isakmp con la máquina del
"hacker" intentaría conectar sin seguridad)

Espero haberme expresado con claridad ;-) si tienes cualquier duda no
dudes
en preguntar,

Un saludo

Fernando Rubio


<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>
"Marcos F" escribió en el mensaje
news:
> Hola,
> repasando lo que conocía de IPSec me ha surgido una duda acerca del
> nivel
> de
> protección que ofrece. Obviamente es una manera eficaz de proteger los
> datos
> de extremo a extremo pero, ¿qué ocurriría si yo alcanzo una posicion de
> "man
> in the middle" y utilizo tecnicas de spoofing de ARP?
>
> El spoofing de ARP actúa antes del envío de paquetes IP, suplantando la
> MAC
> del equipo de destino para engañar al emisor y así robar los datos para
> reenviar los datos a su destino verdadero de una forma transparente,
> así
> que
> dándole vueltas al asunto me he imaginado que un equipo "Z" atacante
> podría
> simular ser el receptor antes de que IPSec actúe y cifre los datos, y
> así
> negociar el nivel de seguridad mediante ISAKMP con el equipo "A" emisor
> (si
> esto es posible). En este caso tanto A como Z son los extremos de la
> comunicación.
>
> Aunque también es posible que falle la autenticación a nivel de
> Kerberos.
> No
> sé, estoy un poco verde en técnicas hacking y quizá podais arrojar un
> poco
> de
> luz al tema.
>
> Saludos!!

Para establecer una comunicación ipsec es necesario antes de nada que emisor
y receptor conozcan un "secreto" que nadíe más conozca.
En Windows 2000 se utilizan 3 tipos de secretos
1.-preshared key (o clave predefinida que comparten todas las máquinas que
halbarán por ipsec entre si)

En este caso ipsec no será util si la máquina que hace el man in the middle
es parte de las que tienen derecho a halbar por ipsec con origen y destino

2.- kerberos (si lás máquinas pertenecen al mismo dominio o a dominios que
mantienen una relación de confianza entre si)
Este no tiene el problema del punto anterior pero solo puede ser usado en
las condiciones dadas
3.- certificados
utilizando el par clave publica ,clave privada de manera similar a como se
hace con kerberos.

Se que me explico muy mal ;-) así que no dudes en preguntar de nuevo

Un saludo

Fernando Rubio

<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>

"Marcos F" escribió en el mensaje
news:
> Interesante Fernando pero,
> ¿y si el equipo que inicia la comunicación no pertenece a un dominio?
> ¿Cómo
> valida en ese caso IKE la autenticidad del usuario "maligno"?. Si no
> pertenece a un dominio o grupo, ya sería un usuario válido para realizar
> toda
> la negociación con IPSec, ¿o no? De esa manera podría establecer una
> asociación de seguridad con el controlador de IPSec del equipo emisor y
> obtener una clave de cifrado.
> Quizá estoy diciendo tonterias, pero para resolver mis dudas prefiero
> preguntaros.
>
>
> "Fernando Rubio [MS]" wrote:
>
>> Hola Marcos
>> Definitivamente ipsec es util para evitar ataques de arp spoofing, ahora
>> bien, hasta un cierto punto.
>> ipsec es util sí:
>> 1.- El usuario que hace el man in the middle no tiene acceso a la clave
>> origen (si se utilizan "pre shared keys" esto puede ser un problema)
>> 2.- La máquina que origina la comunicación esta configurada como un
>> "secure
>> server" ,es decir, rechaza toda comunicación no securizada mediante ipsec
>> (en caso contrario tras fallar la negociacion isakmp con la máquina del
>> "hacker" intentaría conectar sin seguridad)
>>
>> Espero haberme expresado con claridad ;-) si tienes cualquier duda no
>> dudes
>> en preguntar,
>>
>> Un saludo
>>
>> Fernando Rubio
>>
>>
>> <este mensaje se proporciona como esta y no ofrece garantias de ninguna
>> clase>
>> "Marcos F" escribió en el mensaje
>> news:
>> > Hola,
>> > repasando lo que conocía de IPSec me ha surgido una duda acerca del
>> > nivel
>> > de
>> > protección que ofrece. Obviamente es una manera eficaz de proteger los
>> > datos
>> > de extremo a extremo pero, ¿qué ocurriría si yo alcanzo una posicion de
>> > "man
>> > in the middle" y utilizo tecnicas de spoofing de ARP?
>> >
>> > El spoofing de ARP actúa antes del envío de paquetes IP, suplantando la
>> > MAC
>> > del equipo de destino para engañar al emisor y así robar los datos para
>> > reenviar los datos a su destino verdadero de una forma transparente,
>> > así
>> > que
>> > dándole vueltas al asunto me he imaginado que un equipo "Z" atacante
>> > podría
>> > simular ser el receptor antes de que IPSec actúe y cifre los datos, y
>> > así
>> > negociar el nivel de seguridad mediante ISAKMP con el equipo "A" emisor
>> > (si
>> > esto es posible). En este caso tanto A como Z son los extremos de la
>> > comunicación.
>> >
>> > Aunque también es posible que falle la autenticación a nivel de
>> > Kerberos.
>> > No
>> > sé, estoy un poco verde en técnicas hacking y quizá podais arrojar un
>> > poco
>> > de
>> > luz al tema.
>> >
>> > Saludos!!
>>
>>
>>

No, que va Fernando, si te explicas bien. Me ha quedado claro. Esto es un
poco un repaso para el 70-216 que tendré en breve, y son muchas las
situaciones que te puedes encontrar en una red. IPSec, además, es un
conjunto
de protocolos complejo y son muchas las cosas que interactúan al mismo
tiempo. Ya había visto bastantes temas sobre spoofing, sniffing, etc e
IPSec
en las Jornadas Technet de Seguridad de diciembre en Santiago, y ahora tú
me
has resuelto algunas pequeñas dudas que tenía ;)
Muchas gracias,
un saludo!

"Fernando Rubio [MS]" wrote:

Para establecer una comunicación ipsec es necesario antes de nada que
emisor
y receptor conozcan un "secreto" que nadíe más conozca.
En Windows 2000 se utilizan 3 tipos de secretos
1.-preshared key (o clave predefinida que comparten todas las máquinas
que
halbarán por ipsec entre si)

En este caso ipsec no será util si la máquina que hace el man in the
middle
es parte de las que tienen derecho a halbar por ipsec con origen y
destino

2.- kerberos (si lás máquinas pertenecen al mismo dominio o a dominios
que
mantienen una relación de confianza entre si)
Este no tiene el problema del punto anterior pero solo puede ser usado en
las condiciones dadas
3.- certificados
utilizando el par clave publica ,clave privada de manera similar a como
se
hace con kerberos.

Se que me explico muy mal ;-) así que no dudes en preguntar de nuevo

Un saludo

Fernando Rubio

<este mensaje se proporciona como esta y no ofrece garantias de ninguna
clase>

"Marcos F" escribió en el mensaje
news:
> Interesante Fernando pero,
> ¿y si el equipo que inicia la comunicación no pertenece a un dominio?
> ¿Cómo
> valida en ese caso IKE la autenticidad del usuario "maligno"?. Si no
> pertenece a un dominio o grupo, ya sería un usuario válido para
> realizar
> toda
> la negociación con IPSec, ¿o no? De esa manera podría establecer una
> asociación de seguridad con el controlador de IPSec del equipo emisor y
> obtener una clave de cifrado.
> Quizá estoy diciendo tonterias, pero para resolver mis dudas prefiero
> preguntaros.
>
>
> "Fernando Rubio [MS]" wrote:
>
>> Hola Marcos
>> Definitivamente ipsec es util para evitar ataques de arp spoofing,
>> ahora
>> bien, hasta un cierto punto.
>> ipsec es util sí:
>> 1.- El usuario que hace el man in the middle no tiene acceso a la
>> clave
>> origen (si se utilizan "pre shared keys" esto puede ser un problema)
>> 2.- La máquina que origina la comunicación esta configurada como un
>> "secure
>> server" ,es decir, rechaza toda comunicación no securizada mediante
>> ipsec
>> (en caso contrario tras fallar la negociacion isakmp con la máquina
>> del
>> "hacker" intentaría conectar sin seguridad)
>>
>> Espero haberme expresado con claridad ;-) si tienes cualquier duda no
>> dudes
>> en preguntar,
>>
>> Un saludo
>>
>> Fernando Rubio
>>
>>
>> <este mensaje se proporciona como esta y no ofrece garantias de
>> ninguna
>> clase>
>> "Marcos F" escribió en el mensaje
>> news:
>> > Hola,
>> > repasando lo que conocía de IPSec me ha surgido una duda acerca del
>> > nivel
>> > de
>> > protección que ofrece. Obviamente es una manera eficaz de proteger
>> > los
>> > datos
>> > de extremo a extremo pero, ¿qué ocurriría si yo alcanzo una posicion
>> > de
>> > "man
>> > in the middle" y utilizo tecnicas de spoofing de ARP?
>> >
>> > El spoofing de ARP actúa antes del envío de paquetes IP, suplantando
>> > la
>> > MAC
>> > del equipo de destino para engañar al emisor y así robar los datos
>> > para
>> > reenviar los datos a su destino verdadero de una forma transparente,
>> > así
>> > que
>> > dándole vueltas al asunto me he imaginado que un equipo "Z" atacante
>> > podría
>> > simular ser el receptor antes de que IPSec actúe y cifre los datos,
>> > y
>> > así
>> > negociar el nivel de seguridad mediante ISAKMP con el equipo "A"
>> > emisor
>> > (si
>> > esto es posible). En este caso tanto A como Z son los extremos de la
>> > comunicación.
>> >
>> > Aunque también es posible que falle la autenticación a nivel de
>> > Kerberos.
>> > No
>> > sé, estoy un poco verde en técnicas hacking y quizá podais arrojar
>> > un
>> > poco
>> > de
>> > luz al tema.
>> >
>> > Saludos!!
>>
>>
>>