Tecnoloxía xa

Ejercicios de Iptables 4.d

2013-05-10T09:30:00.001+02:00

d.- Explorar las extensiones de "marcado" como –mark.

Al igual que en el caso anterior modificábamos los bits de TOS ahora podemos emplear números enteros positivos (hasta el 4.294.967.296) para clasificar y diferenciar a unos paquetes de otros en función de dicho valor.

El modo de empleo es para la comparación:

-t mark --mark {número} -j OBJETIVO

pero también podemos modificar las marcas para asignarle un valor determinado:

-j MARK --set-mark {número}

Las marcas se suelen emplear en combinación con iproute2 o colas para definir las rutas por dónde ha de ir determinado tráfico o incluso para realizar balanceos de carga entre varios interfaces de red.

Por ejemplo vamos a hacer que todo el tráfico que llegue por la interfaz eth1 y el generado por el propio equipo destinados a los puertos 80 (tráfico http) los marque con el número "1".

iptables -t mangle -A PREROUTING -i eth1 -p tcp --dport 80 -j MARK --set-mark 1

iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 1

Ahora de las tres conexiones que tengo eth0, eth1 y eth2 en realidad podría salir a Internet por eth0 (estoy haciendo nat en la tarjeta) o por eth2 (la interfaz en modo puente que es la que está configurada por defecto para salir). Lo que voy a hacer es crear y configurar una tabla para que todos los paquetes marcados con un "1" - el tráfico web- emplee esta tabla y salga por la interfaz eth0 mientras el resto sigue saliendo por eth2 (podríamos desear hacer esto en caso de querer hacer que un determinado tráfico salga siempre por un determinado interfaz, o que los costes de ambas líneas sean distintas, o en procesos de balanceos).

Para controlar por qué interfaz sale el tráfico inserto reglas para que se registre el tráfico saliente por cada una de las interfaces destinado al puerto 80:

iptables -A OUTPUT -i eth0 -p tcp --dport 80 -j LOG

iptables -A OUTPUT -i eth1 -p tcp --dport 80 -j LOG

iptables -A OUTPUT -i eth2 -p tcp --dport 80 -j LOG

como podemos ver en la siguiente imagen, por defecto el tráfico sigue saliendo por eth2

Dado que hemos marcado los paquetes con "1" vamos a trabajar con ello.

En primer lugar y por cuestiones de legibilidad creamos una tabla de enrutamiento y le asignamos el número 201 y nombre web.salida:

echo 201 web.salida >> /etc/iproute2/rt_tables

añadimos una regla para que todo el tráfico marcado a uno emplee esta tabla

ip rule add fwmark 1 table web.salida

nos aseguramos de que la regla ha sido añadida correctamente

ip rule ls

finalmente generamos la tabla web.salida enlazándola a la interfaz eth0 cuya puerta de enlace es la 10.0.2.2

ip route add default via 10.0.2.2 dev eth0 table web.salida

tras hacerlo podemos ver cómo la iptables marca los paquetes salientes y cómo el tráfico http comienza a pasar por la interfaz eth0 en lugar de por eth2:

iptables -L OUTPUT -vn

en la última imagen podemos ver cómo ha dejado de enviar tráfico por eth2 y comienza a hacerlo por eth0.

<< Anterior Siguiente >>

Seguridad en telefonía móvil. 4.4 Las redes de tercera genarción (3G): UMTS

2013-05-09T09:27:00.001+02:00

4.4.- Las redes de tercera generación (3G): UMTS

UMTS (Universal Mobile Telecommunications System) definido por el ETSI (European Telecommunications Standards Institute) fue seleccionado por la ITU (International Telecommunication Union) como sistema del estándar IMT2000 (International Mobile Telecommunications 2000) para la definición de los sistemas móviles de la tercera generación. La seguridad es similar a GSM pero actualizada para solventar las vulnerabilidades conocidas. La tercera generación entró en servicio en 2003-2004 y la mayor ventaja frente a los sistemas anteriores es su velocidad de transferencia, frente a los 9.6 kb/s de GSM y las decenas de GPRS, prometía velocidades de hasta 2Mbs. Lo cierto es que 3gpp en su versión 7, mediante el empleo de HSPA+ tal y cómo se ve en la Ilustración 4 promete velocidades de subida de hasta 11 Mbps y descenso de 42 Mbps. En cualquier caso las velocidades reales ofrecidas por las operadoras, al menos en España distan bastante de estas velocidades.

Los elementos de seguridad como decíamos se basan en desarrollos de los elementos definidos para GSM y GPRS pero intentando corregir algunos fallos conocidos y ya comentados de las primeras generaciones:

Posibilidad de atacar falseando BTS
Las claves de autenticación y cifrado se transmite en modo texto dentro de las redes y entre redes de distintas operadoras.
La encriptación no cubre todo el sistema de modo que los datos de usuario y señalización se transmiten en texto plano, por ejemplo en GSM en el enlace de microondas entre BTS y BSC.
Algunos de los algoritmos involucrados eran débiles y no estaban contrastados, por lo que se demostró que eran vulnerables a determinados ataques que podían comprometer los mecanismos de autenticación.
No ofrecen integridad de datos.
Usaban el IMEI considerándolo como un tipo de identificación seguro para el terminal, tal y como vimos podría ser no sólo capturado sino falseado.

Los sistemas 2G no ofrecían flexibilidad de actualización o mejora en cuanto a las funciones de seguridad implementadas.

<< Anterior Siguiente >>

Esnifando tráfico de red con tcpdump. Capturando tráfico

2013-05-08T21:55:00.001+02:00

Instalo tcpdump

apt-get install tcpdump

Descargamos los ficheros de la práctica y comprobamos los mismos con file:

file em0.lpc sf1.lpc

Instalamos libpcap y tcpdump -sino lo está ya-

apt-get install tcpdump

Iniciamos las capturas con tcpdump, en este caso capturo un ping a ww.google.es

tcpdump -n -i eth2 -s 1515

si queremos capturar los datos en un fichero podríamos hacer:

tcpdump -n -i eth2 -s 1515 -w sf1.lpc

.lpc en este caso hace referencia a que es un fichero con formato libpcap.

Empleando TCPDUMP para leer datos de contenido almacenado

tcpdump -n -r sf1.lpc -c 4

con la opción "-c 4" indicamos que sólo queremos mostrar cuatro paquetes, la alternativa sería emplear more o less:

tcpdump -n -r sf1.lpc | more

para filtrar el tráfico según el tipo (udp, tcp,...)

tcpdump -n -r sf1.lpc -c 2 udp

tcpdump -n -r em0.lpc -c 8 tcp

Si queremos que nos muestre los números de secuencia absolutos en lugar de los relativos, debemos emplear el modificador "-S":

tcpdump -n -r em0.lpc -c 8 tcp -S

Formato de la hora de captura

si empleamos el modificador -tttt nos mostrará la hora de captura en formato Coordinated Universal Time (UTC hora universal coordinada), sin él emplearemos la hora local.

También podemos emplear el modificador -tt que nos móstrará el número de segundos transcurridos desde la época UNIX (1/1/1970):

Mejora del detalle en la visualización de datos:

-v: permite mostrar información más detallada de los paquetes.

tcpdump -n -r em0.lpc -v -c 1 tcp

-e: mostrar el encabezado del nivel de enlace (p.e. Ethernet)

tcpdump -n -r em0.lpc -e -c 1 tcp

-X Muestra la notación en hexadecimal a al izquierda y en ASCCI a la derecha:

tcpdump -n -r em0.lpc -X -e -c 1 tcp

TCPDUMP y los filtros de paquetes BERKELEY

-host ip_del_host: muestra los paquetes que tengan como origen o destino dicha ip de host

-src ip_del_host: muestra los paquetes que tengan como origen dicho host

-src host ip_del_host: equivalente al anterior

-dst ip_del_host: muestra los paquetes que tengan como destino dicho host

-src net ip_de_red: muestra paquetes originados en la red indicada.

tcpdump -n -r sf1.lpc -c 2 host 172.27.20.3

tcpdump -n -r sf1.lpc -c 2 src 172.27.20.4

tcpdump -n -r sf1.lpc -c 2 src host 172.27.20.4

tcpdump -n -r sf1.lpc -c 2 dst 172.27.20.3

tcpdump -n -r sf1.lpc -c 2 src net 10.10.10

Se puede emplear también tcp, udp o icmp para especificar el protocolo, o incluso emplear el modificador "not" para mostrar todos menos el indicado, p.e. "not tcp".

tcpdump -n -r em0.lpc -c 2 tcp

tcpdump -n -r em0.lpc -c 2 not tcp

tcpdump -n -r sf1.lpc -c 2 icmp

tcpdump -n -r sf1.lpc -c 2 not icmp and not udp and not tcp

También podemos emplear el modificador "proto" seguido del número de protocolo que queramos para observar uno en concreto. Otros también poseen sus propias palabras reservadas como "arp"

tcpdump -n -r sf1.lpc -c 2 proto 6

tcpdump -n -r em0.lpc -c 2 not arp

tcpdump -n -r sf1.lpc -c2 tcp and dst port 22

tcpdump -n -r em0.lpc udp and src port 3736

Para comprobar los tipos de los paquetes ICMP podemos emplear el siguiente formato:

tcpdump -n -r sf1.lpc -c 2 'icmp[icmptype] != icmp-echo'

tcpdump -n -r sf1.lpc -c 2 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'