Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Transcription

1 Le Tunneling DNS P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki Université de Rouen - M2SSI 24 février 2011 P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 1/46

2 Plan P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 2/46

3 Plan Politique de sécurité! Applications possibles P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 3/46

4 Mesures de protection! Politique de sécurité! Applications possibles Filtrage des flux réseau Proxy, pare-feu IDS, IPS Utilisation serveur mandataire et pare-feu Contournement? Port 53 ouvert vers l extérieur pour DNS Est-il possible de contourner toutes les mesures de protection? P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 4/46

5 Quelques exemples Politique de sécurité! Applications possibles Accès Wi-Fi avec portail captif Contournement de l authentification Utilisation de la bande passante Transfert de fichiers Diffusion de données confidentielles vers l extérieur Insertion de données non souhaitées (virus par exemple) Utilisation d applications utilisant le tunnel Navigation internet illimitée Messagerie instantanée Streaming vidéo/audio sur internet P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 5/46

6 Plan Résolution d un nom de machine Les messages DNS DNS et création de tunnel P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 6/46

7 Résolution d un nom de machine Résolution d un nom de machine Les messages DNS DNS et création de tunnel La résolution DNS Résolution de nom (délégation de zone DNS) P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 7/46

8 Les messages DNS Résolution d un nom de machine Les messages DNS DNS et création de tunnel Format des messages DNS (1/2) Paquet DNS En-tête d un paquet DNS P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 8/46

9 Les messages DNS Résolution d un nom de machine Les messages DNS DNS et création de tunnel Format des messages DNS (2/2) Champs composant le champ requête du paquet DNS P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 9/46

10 Les messages DNS Résolution d un nom de machine Les messages DNS DNS et création de tunnel Types et classes QTYPE : A : résolution de nom d hôte vers adresse IPv4 AAAA : résolution de nom d hôte vers adresse IPv6 CNAME : recheche d alias NS : recherche de nom de serveur DNS autoritaire TXT : interrogation d un champ d information NULL : interrogation libre QCLASS : classe de ressources, IN INternet P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 10/46

11 Les messages DNS Résolution d un nom de machine Les messages DNS DNS et création de tunnel QNAME La clé du tunnel DNS Composé de labels séparés par des points Labels de 63 octets maximum Le champ ne doit pas dépasser 255 octets P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 11/46

12 DNS et création de tunnel Résolution d un nom de machine Les messages DNS DNS et création de tunnel Avantages de DNS pour la création d un tunnel Non filtré par les pare-feu Protocole synchrone Aucune authentification n est nécessaire (public) Éléments requis pour établir un tunnel Contrôler un serveur DNS (délégation de zone) Déléguer une zone à notre serveur tunneling Contrôler un serveur tunneling P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 12/46

13 Plan Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 13/46

14 Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Principe DNS indispensable au fonctionnement d internet Profiter d un canal de communication non filtré par l entreprise pour transférer des données Principe du tunnel en entreprise P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 14/46

15 Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Architecture du réseau P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 15/46

16 Transporter des données sur DNS Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Stockage upstream QTYPE et QCLASS : pas envisageables Champ QNAME : 255 octets - longnomdomaine Taille des messages DNS sur UDP : 512 octets Type du champ QNAME : ASCII P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 16/46

17 Transporter des données sur DNS Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Stockage downstream Réponse intégre le QNAME de la requête QTYPE TXT : 512 octets Format ASCII Facile à détecter (marginal) QTYPE NULL : Tout type de données Pas supporté par tous les serveurs DNS QTYPE CNAME : Réponse découpée (63 octets séparés par. ) P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 17/46

18 Transporter des données sur DNS Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Contraintes Données upstream dans le champ QNAME Données downstream dans le type TXT ou CNAME Codage des données en ASCII Limitation des tampons de données à moins de n octets Contournement du cache DNS P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 18/46

19 Outils existants pour tunnels DNS Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Outils existants OzymanDNS (dnstunnel) Heyoka Iodine dns2tcp P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 19/46

20 dns2tcp Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Protocoles impliqués dans le tunnel P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 20/46

21 dns2tcp Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp Configuration serveur l i s t e n = p o r t = 53 u s e r = u t i l i s a t e u r c h r o o t = /tmp domain = tu n n e ld n s. m2ssi. edu r e s o u r c e s = s s h : : 2 2 Configuration client domain = tu n n e ld n s. m2ssi. edu r e s o u r c e s = s s h l o c a l p o r t = 80 c o m p r e s s i o n = 0 d e b u g l e v e l = 1 #DNS to use s e r v e r = ns. e n t r e p r i s e. m2ssi. edu P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 21/46

22 dns2tcp Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp SSH Lancer le serveur :./dns2tcpd -F -d 1 -f /home/utilisateur/.dns2tcprd Vérifier l accessibilité du serveur :./dns2tcpc -z tunneldns.m2ssi.edu Lancer le client :./dns2tcpc -r ssh -l z tunneldns.m2ssi.edu Créer la connexion SSH : ssh -p P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 22/46

23 dns2tcp Transporter des données sur DNS Outils existants pour tunnels DNS dns2tcp SOCKS (Secured Over Credential-based Kerberos) Création du proxy : ssh -D 1080 utilisateur@machine2 P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 23/46

24 Plan Scapy Protocole Client Serveur Démonstration P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 24/46

25 Scapy Protocole Client Serveur Démonstration Notre programme de tunneling DNS Objectif Client-serveur de tunneling DNS personnalisé Encapsulation de SSH dans DNS Basé sur Scapy Plan à Scapy Scapy appliqué au tunneling DNS P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 25/46

26 Qu est ce que Scapy? Scapy Protocole Client Serveur Démonstration Définition Puissant outil de manipulation de paquets Python (via interpréteur et script) Très utilisé dans le milieu de la sécurité Créé par un Français :) Fonctionnalités Forge de paquets, sniffing, scan de ports,... Support de plus de 100 protocoles (dont IPv6) Remplace ping, traceroute, hping, nmap, p0f, tcpdump, tshark, arpspoof Créer un paquet = 100 lignes de C / 1 ligne Scapy P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 26/46

27 Premiers pas avec Scapy Scapy Protocole Client Serveur Démonstration >>> a = IP(ttl=42) >>> a.show() ###[ IP ]### version= 4 ihl= None tos= 0x0 len= None id= 1 flags= frag= 0 ttl= 42 proto= ip chksum= None src= dst= >>> a.dst=" " >>> a.src >>> send(a) >>> sr1(a) >>> b = Ether()/IP()/TCP(dport=443) P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 27/46

28 Scapy Protocole Client Serveur Démonstration Scapy appliqué au tunneling DNS 1/2 Paquet DNS côté client request pkt = IP(dst=" ")/UDP(sport=randint(10000,30000)/DNS(rd=1, qd=dnsqr(qtype="cname", qname="mon message.tunneldns.m2ssi.edu")) Paquet DNS côté serveur qname = request pkt[dnsqr].qname qd = request pkt[dns].qd dport = request pkt[udp].sport ip dst = request pkt[ip].src reply pkt = IP(dst=ip dst)/udp(dport=dport)/dns(id=id question, qr=1, qd=qd, an=dnsrr(rrname=qname, type="cname", rdata="ma reponse" )) P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 28/46

29 Scapy Protocole Client Serveur Démonstration Scapy appliqué au tunneling DNS 2/2 Ce qui est simple Forger les paquets DNS souhaités Ce qui est plus délicat Gérer la retransmission des paquets perdus (UDP) Gérer l ordre des paquets Établir un protocole de communication commun = Utilisation des automates réseau Scapy 1 1. cf MISC N o 52 de Novembre/Décembre 2010 P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 29/46

30 Protocole Scapy Protocole Client Serveur Démonstration Présentation Accord entre les machines pour communiquer Décomposition en 5 types de messages (question-réponse) : Côté Client Code Côté Serveur Requête de connexion 0 Réponse à une requête de connexion Envoi de données 1 Réponse à un paquet de données Demande si besoin de communication 2 Envoi d informations sur les données à envoyer Envoi de requêtes vides 3 Envoi de données Envoi d un accusé de fin de communication 4 Envoi d un accusé de fin de communication P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 30/46

31 Protocole Scapy Protocole Client Serveur Démonstration Exemple Question (Client) 0.nonce.m2ssi.fr Réponse (Serveur) 0.id.0.payload 0.id.nbMessages P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 31/46

32 Protocole Scapy Protocole Client Serveur Démonstration Exemple Question (Client) 0.nonce.m2ssi.fr payload.nbpaquetsrestants.1.id.nonce.m2ssi.fr Réponse (Serveur) 0.id.0.payload 0.id.nbMessages 1.numPaquetReçu P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 31/46

33 Protocole Scapy Protocole Client Serveur Démonstration Exemple Question (Client) 0.nonce.m2ssi.fr payload.nbpaquetsrestants.1.id.nonce.m2ssi.fr 2.id.nonce.m2ssi.fr Réponse (Serveur) 0.id.0.payload 0.id.nbMessages 1.numPaquetReçu 2.nbPaquetsNécessaires P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 31/46

34 Protocole Scapy Protocole Client Serveur Démonstration Exemple Question (Client) 0.nonce.m2ssi.fr payload.nbpaquetsrestants.1.id.nonce.m2ssi.fr 2.id.nonce.m2ssi.fr numpaquetvoulu.3.id.nonce.m2ssi.fr Réponse (Serveur) 0.id.0.payload 0.id.nbMessages 1.numPaquetReçu 2.nbPaquetsNécessaires 3.numPaquetDemandé.payload P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 31/46

35 Protocole Scapy Protocole Client Serveur Démonstration Exemple Question (Client) Réponse (Serveur) 0.nonce.m2ssi.fr 0.id.0.payload 0.id.nbMessages payload.nbpaquetsrestants.1.id.nonce.m2ssi.fr 1.numPaquetReçu 2.id.nonce.m2ssi.fr 2.nbPaquetsNécessaires numpaquetvoulu.3.id.nonce.m2ssi.fr 3.numPaquetDemandé.payload 4.id.nonce.m2ssi.fr 4 P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 31/46

36 Protocole Scapy Protocole Client Serveur Démonstration Avantages Reprise sur perte Communications multiples Inconvénients Sensible aux injections (intrusion) Sensible à la syntaxe (pas de lettre à la place d un entier) P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 32/46

37 Protocole Scapy Protocole Client Serveur Démonstration Architecture du tunnel P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 33/46

38 Client Scapy Protocole Client Serveur Démonstration P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 34/46

39 Serveur Scapy Protocole Client Serveur Démonstration Automate père Crée des fils pour gérer chaque communication Répond aux requêtes authentiques Automate fils Récupère les messages de son identifiant Gère la communication avec le client tunneling Gère la communication avec le serveur ssh P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 35/46

40 Serveur Scapy Protocole Client Serveur Démonstration P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 36/46

41 Démonstration Scapy Protocole Client Serveur Démonstration Mise en place P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 37/46

42 Démonstration Scapy Protocole Client Serveur Démonstration Mise en place Serveur : sudo python tunnel server.py tunneldns.m2ssi.edu Client : ssh [-C] [-D port] -o ProxyCommand= sudo python tunnel client.py tunneldns.m2ssi.edu [0-5] toto@localhost Résumé Concis (575 lignes de code) Facile à implanter et utiliser Peu performant (non optimisé, langage de haut-niveau) P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 38/46

43 Plan Limiter les attaques Castafior P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 39/46

44 Limiter les attaques Limiter les attaques Castafior Solutions proposées Authentification (DNSsec) Authentification des clients de serveur DNS Garantie de l intégrité des informations durant le transport Proxy : serveur mandataire HTTP interroge le serveur DNS externe pour la résolution Analyse appronfondie des paquets DNS Limiter le nombre de requêtes DNS iptables -A FORWARD -i interface -p dns -m limit limit 20/5s -j ACCEPT P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 40/46

45 Castafior Limiter les attaques Castafior Présentation de l outil Outil de détection de tunnels (F. ALLARD, M. MOREL) Analyse statistique des flux Hypothèse : chaque protocole a un comportement caractéristique. paramètres : la taille du paquet, le sens des paquets échangés, les temps, le nombre d octets transmis... P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 41/46

46 Castafior Limiter les attaques Castafior Fonctionnement Phase initiale d apprentissage : modèle statique (paramètres) Phase de classification : Analyse de trafic Collecte d informations pour les comparer avec le modèle statique Décider de l éligibilité des flux Appliquer la politique de sécurité P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 42/46

47 Castafior Limiter les attaques Castafior P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 43/46

48 Plan P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 44/46

49 Apports protocole DNS et tunneling Python et Scapy prise de conscience de la difficulté de défendre un système d information La sécurité des systèmes d information Tunnel DNS contourner une politique de sécurité Affrontement constant entre les attaquants et les défenseurs Défense coûts / performance P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 45/46

50 Le mot de la fin Merci de votre attention Avez-vous des questions? P.Bienaimé, X.Delot, P.Mazon, K.Tagourti, A.Yahi, A.Zerrouki Tunneling DNS (Université de Rouen : m2ssi) 46/46