UNIVERSIDAD NACIONAL DE SAN MARTN FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA

CURSO:

ARQUITECTURA CLIENTE / SERVIDOR

TEMA:

COMPLEMENTACION DE LA SEMANA 2

ESTUDIANTES:

DIANA LUZ QUINTEROS TUANAMA JOHN CLARK SANTA MARA PINEDO ULISES LAZO BARTRA JUNIOR RIVERA HIDALGO MARCO ANTONIO RUIZ GRANDEZ ING. MIGUEL ANGEL VALLES CORAL

DOCENTE:

LUGAR:

TARAPOTO - PERU

FECHA:

16 10 - 2006

CICLO ACADEMICO: 2006 II

ARP son las siglas en ingls de Address Resolution Protocol (Protocolo de resolucin de direcciones). Es un protocolo de nivel de red responsable de encontrar la direccin hardware (Ethernet MAC) que corresponde a una determinada direccin IP. Para ello se enva un paquete (ARP request) a la direccin de multidifusin de la red (broadcast (MAC = ff ff ff ff ff ff)) conteniendo la direccin IP por la que se pregunta, y se espera a que esa mquina (u otra) responda (ARP reply) con la direccin Ethernet que le corresponde. Cada mquina mantiene una cach con las direcciones traducidas para reducir el retardo y la carga. ARP permite a la direccin de Internet ser independiente de la direccin Ethernet, pero esto solo funciona si todas las mquinas lo soportan. ARP est documentado en el RFC(Request For Comments) 826. El protocolo RARP realiza la operacin inversa. En Ethernet, la capa de enlace trabaja con direcciones fsicas. El protocolo ARP se encarga de traducir las direcciones IP a direcciones MAC (direcciones fsicas).Para realizar sta conversin, el nivel de enlace utiliza las tablas ARP, cada interfaz tiene tanto una direccin IP como una direccin fsica MAC. ARP se utiliza en 4 casos referentes a la comunicacin entre 2 hosts: 1. Cuando 2 hosts estn en la misma red y uno quiere enviar un paquete a otro. 2. Cuando 2 host estn sobre redes diferentes y deben usar un gateway/router para alcanzar otro host. 3. Cuando un router necesita enviar un paquete a un host a travs de otro router. 4. Cuando un router necesita enviar un paquete a un host de la misma red.

Tablas ARP La filosofa es la misma que tendramos para localizar al seor X entre 150 personas: preguntar por su nombre a todo el mundo, y el seor X nos responder. As, cuando a A le llegue un mensaje con direccin origen IP y no tenga esa direccin en su tabla ARP, enviar su frame ARP a la direccin broadcast (fsica), con la IP de la que quiere conocer su direccin fsica. Entonces, el equipo cuya direccin IP coincida con la preguntada, responder a A envindole su direccin fsica. En este momento A ya puede agregar la entrada de esa IP a su tabla ARP. Las entradas de la tabla se borran cada cierto tiempo, ya que las direcciones fsicas de la red pueden cambiar (Ej: si se estropea una tarjeta de red y hay que sustituirla)

Funcionamiento I Si A quiere enviar un frame a la direccin IP de B (misma red), mirar su tabla ARP para poner en la frame la direccin destino fsica correspondiente a la IP de B. De esta forma, cuando les llegue a todos el frame, no tendrn que deshacer el frame para comprobar si el mensaje es para ellos, sino que se hace con la direccin fsica. Funcionamiento II Si A quiere enviar un mensaje a C (un nodo que no este en la misma red), el mensaje deber salir de la red. As, A enva el frame a la direccin fsica del router de salida. Esta direccin fsica la obtendr a partir de la IP del router, utilizando la tabla ARP. Si esta entrada no esta en la tabla, mandar un mensaje ARP a esa IP (llegar a todos), para que le conteste indicndole su direccin fsica.

Ejemplo Address Resolution Protocol Una vez en el router, ste consultar su tabla de encaminamiento, obteniendo el prximo nodo (salto) para llegar al destino, y saca el mensaje por el interfaz correspondiente. Esto se repite por todos los nodos, hasta llegar al ltimo router, que es el que comparte el medio con el host destino. Aqu el proceso cambia: el interfaz del router tendr que averiguar la direccin fsica de la IP

destino que le ha llegado. Lo hace mirando su tabla ARP o preguntando a todos. ARP-SPOOFING Espiando en redes segmentadas La segmentacin de redes mediante el uso de Switches pareca la solucin perfecta para evitar los temibles sniffers. Pero no es oro todo lo que reluce y es posible aprovechar una inseguridad en el protocolo ARP para espiar en la red. En este articulo vamos a explicar una de las tcnicas utilizadas para poder sniffear en una red segmentada mediante Switches : ARP-SPOOFING. Empecemos metindonos un poco en ambiente, aclarando ideas y definiendo trminos. No quiero empezar a soltar siglas y palabras tcnicas y que os quedis todos con la boca abierta y buscando otro artculo para leer. Redes Ethernet La ethernet fue concebida en torno a una idea principal: todas las mquinas de una misma red local comparten el mismo medio (el cable). Todas las mquinas son capaces de ver todo el trfico de la red. Debido a esto, las tarjetas ethernet incorporan un filtro que ignora todo el trfico que no est destinado a l. Esto se consigue ignorando aquellos paquetes cuya direccin MAC (Media Access Control) no coincide con la suya. Un sniffer elimina este filtro de la tarjeta de red y la coloca en modo promiscuo. De esta forma la tarjeta es capaz de ver todo el trfico que pasa por la red. Solo es cuestin de colocar los filtros adecuados y comenzar a capturar los paquetes que ms nos interesen(login/passwd de conexiones de telnet, POP3, vnc,...) El empleo de switches soluciona este problema. Mediante la segmentacin de la red el nico trfico que seremos capaces de ver ser el nuestro, ya que el Switch se encarga de enrutar hacia nuestro segmento solo aquellos paquetes destinado a nuestra direccin MAC.

Esquemticamente el proceso de ARP es:

Arp-Spoofing Este mtodo no pone la interfaz de red en modo

promiscuo. Esto no es necesario porque los paquetes son para nosotros y el switch enrutar los paquetes hacia nosotros. Vamos a ver como es esto posible. El mtodo consiste en envenenar la cache arp de las dos mquinas que queremos sniffear. Una vez que las caches estn envenenadas, los dos hosts comenzarn la comunicacin, pero los paquetes sern para nosotros, los sniffearemos y los enrutaremos de nuevo al host apropiado. De esta forma la comunicacin es transparente para los dos hosts. L a nica forma de descubrir que existe a man in the middle en nuestra conexin sera ver la cache arp de nuestra mquina y comprobar si existen dos maquinas con la misma direccin MAC. El esquema de la comunicacin es sencillo:

Desde nuestra mquina enviaremos paquetes de tipo arp-reply falsos a las dos host que queremos sniffear. En estos replys debemos de decirle al host 1 que la direccin ethernet del segundo host es la nuestra, quedando esta informacin almacenada en su cache arp. Este equipo enviar ahora los paquetes al host 2 pero con nuestra direccin MAC. Los paquetes ya son nuestros. El switch se encargar de hacernos llegar los datos. Imaginemos la siguiente situacin:

Enviamos un flujo constante de arp-reply (para evitar que la cache arp de las maquinas se refresque con la informacin verdadera) al host 1 y host 2 con los siguientes datos: HOST 1 : arp-reply informando que 192.168.0.2 tiene direccin MAC 03:03:03:03:03:03 HOST 2 : arp-reply informando que 192.168.0.1 tiene direccin MAC 03:03:03:03:03:03 De esta forma estamos envenenando las cache arp. A partir de ahora lo paquetes que se enven entre ambas nos llegarn a nosotros, pero para que ambos hosts no noten nada extrao, deberemos de hacer llegar los paquetes a su destino final. Para ello deberemos de tratar los paquetes que recibamos en funcin del host de origen:

Paquetes procedentes de HOST 1 -----------------> reenviar a 02:02:02:02:02:02 Paquetes procedentes de HOST 2 -----------------> reenviar a 01:01:01:01:01:01 De esta forma la comunicacin entre ambos no se ve interrumpida, y podemos ver todo el trfico entre ellos. Solo tendremos que utilizar un sniffer para poder capturar y filtrar el trfico entre amos, ya sea login/passwd de telnet, ftp, POP3,..., o incluso la sesin completa. Eso ya depende de la habilidad y el inters de cada cual. Como podis comprobar el proceso no es complicado, pero que utilidades tenemos disponibles para poder enviar los paquetes arp falsificados? Existen varios programas para juguetear con el arp-spoofing: Arptool, ArpFun, ettercap. Este ltimo esta muy completo, ya que permite varios tipos de sniffeo: Por IP, MAC y Arp-Spoofing. Pudiendo ejecutarse bien en modo comando, o mediante un entorno de ventanas. En este entorno se nos mostrar al inicio un listado de los hosts encontrados en la LAN. Para realizar esta bsqueda, el programa enva un ARP-REQUEST de las IP teniendo en cuenta la IP del host donde se est ejecutando y la mscara de red. Obteniendo a continuacin los ARP-REPLYs podremos componer la lista de los hosts presentes en la red. Hay que tener mucho cuidado con la mscara de red que usemos, porque si es de clase B (255.255.0.0) el programa realizar 255*255=65025 ARP-REQUEST, lo cual le llevar su tiempo ya que el retardo entre cada peticin es de 1 milisegundo. Hasta aqu hemos visto la forma en la que se pueden utilizar las vulnerabilidades del protocolo ARP para poder espiar en nuestra red. Pero las posibilidades son mltiples: ataques DoS (Denegacin de servicio), si envenenamos la cache arp de una mquina hacindonos pasar por el gateway de la red, toda comunicacin con el exterior pasar por nosotros. Si desechamos los paquetes procedentes de este host y no los reenviamos al gateway, el host no podr comunicarse con el exterior. Algunos switches pueden ser manipulados mediante paquetes ARP para que en vez de actuar en modo bridging lo hagan en modo repeticin. Es decir, que en vez de enviar los paquetes por la boca o puerto adecuado del switch, los enviar por todos, a todas las mquinas les llegarn todo los paquetes de la red. Esto se consigue inundando la tabla de direcciones con gran cantidad de direcciones MAC falsas. El switch al recibir un paquete cuya direccin MAC de destino no tenga en su cache, lo enviar a todos los equipos, esperando la respuesta del equipo para poder almacenar su MAC en la cache. Pero como estamos bombardendola con direcciones MAC falsas, esto no ocurrir. ARP-SPOOFING y servidores redundantes El ARP-SPOOFING no solo sirve como herramienta para espiar en una red o realizar ataques DoS. Tambin se puede utilizar para crear servidores redundantes, servidores con tolerancia fallos. La idea consiste en crear un servidor auxiliar que tome la identidad del servidor que ha dejado de funcionar. Para ello haremos uso de IP alias y de ARP-SPOOFING. Es una solucin

rpida y no muy ortodoxa, pero nos puede ser til si nuestro presupuesto no es muy elevado.

En muchas ocasiones es vital la redundancia en un determinado servicio: HTTP, FTP, SMTP, POP... . Los equipos que nos permiten la redundancia en un servicio suelen ser bastante caros, por lo que este mtodo nos puede solucionar el problema. La situacin es la siguiente:

Tenemos un servidor principal con dos interfaces de red (la segunda nos permitir acceder al servidor cuando el backup est funcionando) y un servidor de backup tambin con dos tarjetas de red (o bien puede utilizarse una sola en el redundante y emplear IP Alias para poder disponer de dos direcciones IP). El servidor de backup debe de configurarse de forma que cuando se active (porque el principal ha sufrido algn problema y deja de funcionar) configure su tarjeta de red con la IP del servidor principal que debe de sustituir (bien configurando la nica tarjeta con IP Alias o configurando una segunda tarjeta). A continuacin el servidor de backup utilizar ARP SPOOFING para asegurarse de que recibe todos los paquetes destinados al servidor que el est sustituyendo. Los paquetes ARP que se enviarn informarn de que la direccin MAC correspondiente a la IP del servidor principal es ahora la MAC del servidor de backup. Este envo debe de producirse de manera continua, mientras dure la cada del principal, evitando as que las cache arp se refresquen con la direccin MAC verdadera del servidor principal. Si la cache arp expirase y se actualizase con la MAC verdadera del servidor principal, se producira un race condition, como podemos ver a continuacin:

Como podemos ver en la figura, si el servidor de backup responde al ARP

REQUEST con su ARP REPLY antes que el servidor principal, el ARP REPLY del backup se machacar con el del principal. Mientras que si es al contrario, ser el ARP REPLY del principal el que ser sustituido por el del servidor de backup. Esto no debe de llegar a producirse, ya que sino el proceso de redundancia sera intil. La activacin del servidor de backup deber de producirse de forma automtica, ya que estos problemas suelen producirse de madrugada (no siempre claro) y no servira de nada que fusemos nosotros los que tuvisemos que activarlo manualmente. Utilizar un servidor de NFS para ambos equipos sera lo ms conveniente, ya que de esta forma podremos acceder a los mismos contenidos desde ambos servidores, una solucin interesante para servicios como HTTP, POP3, FTP...

Lo principal ya esta explicado, ahora solo tienes que hacer uso de tu imaginacin. En la bibliografa encontrars algunos artculos en los que me he basado para escribir este artculo y que seguro tambin te pueden servir de

ayuda. Ahora solo tienes que leer y practicar. Pero recuerda una cosa: NO ROMPAS NADA. RARP son las siglas en ingls de Reverse Address Resolution Protocol (Protocolo de resolucin de direcciones inverso). Es un protocolo utilizado para resolver la direccin IP de una direccin hardware dada (como una direccin Ethernet). La principal limitacin era que cada MAC tena que ser configurada manualmente en un servidor central, y se limitaba solo a la direccin IP, dejando otros datos como la mscara de subred, puerta de enlace y dems informacin que tenan que ser configurados a mano. Otra desventaja de este protocolo es que utiliza como direccin destino, evidentemente, una direccin MAC de difusin para llegar al servidor RARP. Sin embargo, una peticin de ese tipo no es reenviada por el router del segmento de subred local fuera de la misma, por lo que este protocolo, para su correcto funcionamiento, requiere de un servidor RARP en cada subred. Posteriormente el uso de BOOTP lo dej obsoleto, ya que ste ya funciona con paquetes UDP, los cuales se reenvan a travs de los routers (eliminando la necesidad de disponer de un servidor BOOTP en cada subred) y, adems, BOOTP ya tiene un conjunto de funciones mayor que permite obtener ms informacin y no slo la direccin IP. En Linux, s, que el comando ARP es capaz de manipular la cach ARP del Kernel en varias formas. Los ficheros relacionados, pudieran ser : /proc/net/arp, /etc/networks /etc/hosts /etc/ethers Samba Es una implementacin libre del protocolo de archivos compartidos de Microsoft Windows (antiguamente llamado SMB, renombrado recientemente a CIFS) para sistemas de tipo UNIX. De esta forma, es posible que ordenadores con Linux o Mac OS X se vean como servidores o acten como clientes en redes de Windows. Samba tambin permite validar usuarios haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e incluso como un dominio Active Directory para redes basadas en Windows; a parte de ser capaz de servir colas de impresin, directorios compartidos y autenticar con su propio archivo de usuarios. Entre los sistemas tipo Unix en los que se puede ejecutar Samba, estn las distribuciones GNU/Linux, Solaris y las diferentes variantes BSD entre las que podemos encontrar el Mac OS X Server de Apple. Historia

Samba fue desarrollado originalmente para Unix por Andrew Tridgell utilizando un sniffer o capturador de trfico para entender el protocolo a travs de la ingeniera inversa. El nombre viene de insertar dos vocales al protocolo estndar que Microsoft usa para sus redes, el SMB o server message block. En un principio Samba tom el nombre de smbserver pero tuvieron que cambiarlo por problemas con una marca registrada. Tridgell busco en el diccionario de su mquina Unix alguna palabra que incluyera las letras s, m y b con la orden grep hasta que dio con Samba. Caractersticas Samba es una implementacin de una docena de servicios y una docena de protoclos, entre los que estn NetBIOS sobre TCP/IP (NetBT), SMB (tambin conocido como CIFS), DCE/RPC o ms concretamente, MSRPC, el servidor WINS tambin conocido como el servidor de nombres NetBIOS (NBNS), la suite de protocolos del dominio NT, con su Logon de entrada a dominio, la base de datos del gestor de cuentas seguras (SAM), el servicio Local Security Authority (LSA) o autoridad de seguridad local, el servicio de impresoras de NT y recientemente el Logon de entrada de Active Directory, que incluyen una versin modificada de Kerberos y una versin modificada de LDAP. Todos estos servicios y protocolos son frecuentemente referidos de un modo incorrecto como NetBIOS o SMB. Samba configura directorios Unix/Linux (incluyendo sus subdirectorios) como recursos para compartir a travs de la red. Para los usuarios de Microsoft Windows, estos recursos aparecen como carpetas normales de red. Los usuarios de Linux pueden montar en sus sistemas de archivos ests unidades de red como si fueran dispositivos locales, o utilizar la orden smbcilent para conectarse a ellas muy al estilo del cliente de la lnea de rdenes ftp Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones del sistema de archivos que se est usando en Linux. Por ejemplo, las carpetas home pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno acceda a sus propios archivos; sin embargo deberemos cambiar los permisos de los archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de escritura en el recurso no ser suficiente. La configuracin de Samba se consigue editando un solo archivo, accesible en /etc/smb.conf o en /etc/samba/smb.conf.