falsificación del tráfico de direcciones IP de LAN

4

Para dar tantos detalles como sea posible, estoy haciendo un Pentest para un cliente que tiene bastantes "sistemas terminales", lo que significa que son simplemente una caja con una conexión de regreso al servidor principal. Estos sistemas se encuentran en una ubicación diferente a la del servidor principal, por lo que si se interrumpe la conexión, se pueden detener las funciones comerciales críticas y mi contrato no es tal que pueda solucionarlo. (Mi contrato simplemente renuncia a toda responsabilidad permitida por la ley). Todas las ubicaciones están en la misma VLAN entre sí, con solo 1 línea que sale de la oficina principal.

Ahora, con esta topología, algunos de estos sistemas tienen servidores ssh instalados en ellos para que la oficina principal pueda conectarse a esta oficina remota. Están bastante bien bloqueados, pero desde otros sistemas no críticos pude recuperar algunas contraseñas y nombres de usuario, incluido un administrador de sistemas anterior que se retiró hace unos meses. Cada vez que voy a conectarme al servidor ssh recibo una conexión rechazada. He determinado que la única conexión con él es desde una dirección IP específica.

¿Es posible falsificar mi dirección IP y mi dirección mac para engañar a este servidor ssh para que al menos me permita iniciar sesión? Sin embargo, si hago esto, ¿arrancaría la computadora actual y posiblemente interrumpiría el tráfico desde ella Y desde la terminal (con el servidor ssh) al servidor principal?

El único artículo aquí que encontré fue Spoof de otra dirección IP en la misma red, ¿la fuente de spoofing obtendrá la respuesta? y no proporcionó la respuesta específica que necesitaba. Me preocupa más poder mantener los servicios en lugar de demostrar que un atacante podría iniciar sesión. Podría simplemente proporcionar una versión redactada de la lista de usuarios / contraseñas y el método de suplantación de IP (suponiendo que esto podría funcionar).

    
pregunta RB4 08.02.2016 - 16:02
fuente

1 respuesta

2

Cuando falsifiques la IP, la respuesta no te llegará al menos durante mucho tiempo. Como efecto secundario puede causar lo que se llama robo de puertos. Esto sucede cuando se ve una IP en dos puertos diferentes de un conmutador. Luego, la IP se asigna al puerto desde el que se vio la IP por última vez, en el cual podría ser el puerto desde el cual falsificó la dirección. Pero cuando el host original envía otro paquete (que ocurrirá con frecuencia al menos por ARP, IGMP, ...), la IP se asigna de nuevo al puerto original en ese conmutador.

Creo que solo hay un escenario realista que te permitirá falsificar con éxito la dirección IP y también interactuar con el servidor.

  • Realizar un ataque MitM entre esos hosts
  • Conéctate a ese servidor con una dirección de origen falsa
  • Tome los números de secuencia de los paquetes que recibe para ese host original
  • Descarte los paquetes aunque nunca llegan al host original (aplique esto solo al puerto 22)
  • Enviar respuestas con números de secuencia tomados del paquete fuente

La forma más sencilla de hacerlo es a través de las reglas de iptable. Pero "fácil" debe verse en el contexto de este complejo problema. ¡Te animo especialmente a que pruebes esto en un laboratorio primero!

    
respondido por el davidb 08.02.2016 - 20:48
fuente

Lea otras preguntas en las etiquetas