jueves, junio 05, 2008

Ataques a LDAP (IV de IV)

***************************************************************************************
Ataques a LDAP (I de IV)
Ataques a LDAP (II de IV)
Ataques a LDAP (III de IV)
Ataques a LDAP (IV de IV)
***************************************************************************************

2.4.1.- Ataque 4: Hijacking de sesión LDAP-s

El uso de LDAP-s evita el Ataque 3 de acceso a los datos, sin embargo, es necesario, para evitar los Ataques 1 y Ataques 2, utilizar una comprobación correcta de los certificados digitales por parte del cliente, porque si no, se puede realizar un ataque de Hijacking.
En caso de no verificar correctamente los certificados digitales, la herramienta Cain&Abel, a partir de la versión 4.9.6, realiza Hijacking LDAP-s mediante técnicas de hombre en medio, es decir, cuando un Servidor LDAP-s envía el Certificado del Servidor al Cliente el atacante realiza una copia falsa del certificado, un duplicado. Si el Cliente acepta certificados digitales no validados correctamente, entonces el atacante puede acceder a todos los datos de la conexión. Esta comprobación depende de la configuración de seguridad que tenga el cliente o el uso que haga el usuario de la aplicación.

Creación de un certificado digital falso en el atacante usando Cain&Abel

A partir de ese momento, los clientes son los que deben fortalecer o no la seguridad del sistema. Clientes como LDP no permite la conexión en el momento que detecta un fallo en la validación del certificado.

Conexión fallida con cliente LDP usando una conexión LDAP-s

Otros clientes, permiten la interacción del usuario generando una alerta, como se puede ver en la conexión realizada con el cliente LDAP de la fundación Mozilla[25]. Para ver el funcionamiento primero se debe configurar la conexión al servidor LDAP-s

Configuración de la conexión LDAP-s

Una vez configurada se procede a realizar la conexión. El certificado que va a recibir el Cliente va a ser el duplicado falso generado por el atacante y el usuario recibirá una alerta de seguridad como se puede ver en la siguiente captura y tendrá que tomar una decisión de proseguir o no con la conexión LDAP-s utilizando dicho certificado.

Recepción de certificado falso y alerta

A partir de este punto es responsabilidad del usuario el aceptar o no el certificado digital. La no aceptación incurriría en una situación en la que no habría conexión, es decir, el atacante realizaría un ataque de Denegación de Servicio con éxito. En este entorno, esta sería la mejor opción, pues ningún dato quedaría en riesgo, incluyendo las credenciales del usuario.
En caso de aceptar la conexión, el cliente habría aceptado cifrar los datos con el certificado falso emitido por el hombre en medio, lo que le permitiría al atacante ver todos los datos, es decir, realizar el Ataque 3 y además, realizar un ataque de downgrading (Ataque 2), para poder acceder a las credenciales, lo cual implicaría el mayor riesgo de seguridad.
En la siguiente captura se puede ver como la herramienta de ataque CAIN&ABEL guarda en un fichero de texto todos datos transmitidos entre el Cliente y el Servidor. El Ataque 3 tiene éxito por tanto.

Hijacking y captura de sesión

En esta otra captura se puede observar como la contraseña es obtenida por el atacante tras ser aceptado por el cliente el certificado digital falso igual que si no se estuviera utilizando un certificado digital. El Ataque 3, de downgrading, tiene éxito.

Credenciales obtenidas mediante un hijacking de sesión LDAP-s

Como se puede observar tras ver todos estos ataques, la única forma de mantener una infraestructura segura sería la de diseñar una red segura por ejemplo con conexiones IPSec sin Pre-Shared Key o mediante el uso de conexiones LDAP-s que no permitan la conexión utilizando certificados digitales falsos.

Agradecimientos: A Juan Luís Rambla por ayudarme a montar el LDAP-s y a Antonio Guzmán por ayudarme con todo el trabajo.

***************************************************************************************
Ataques a LDAP (I de IV)
Ataques a LDAP (II de IV)
Ataques a LDAP (III de IV)
Ataques a LDAP (IV de IV)
***************************************************************************************

1 comentario: