Menú principal

miércoles, 9 de febrero de 2011

Detectar Mac OS X y LogMeIn con DNS Cache Snooping

La técnica de DNS Cache Snooping consiste en consultar las resoluciones de nombres de dominio que se encuentran cacheados en el servidor DNS de una empresa para así conocer a qué servidores se están conectando los equipos internos de una red. Veamos un ejemplo para entenderlo.

DNS Cache Snooping

Supongamos que un equipo de la red interna de una empresa quiere conectarse a este blog, es decir, a www.seguridadapple.com. Para ello, primeramente necesita conocer cuál es la dirección IP asociada a este nombre de dominio, así que consultará al servidor DNS que tiene configurado el equipo en las opciones TCP/IP de la conexión. Si este es un servidor de la empresa interno, inicialmente no conocerá la respuesta, así que comenzará un proceso de consultas recursivas entre servidores DNS para alcanzar un servidor que sí que conozca la dirección IP.

Cuando la dirección IP llega al servidor interno de la organización, éste almacenará durante un tiempo la información obtenida en la memoria Caché por si algún otro equipo realiza la misma consulta. Si durante el ese tiempo, algún otro equipo realiza la consulta, entonces contestará directamente sin necesidad de realizar el proceso recursivo de descubrimiento de la respuesta.

La técnica de DNS Caché Snooping se basa en eso, en conocer que información está en la memoria Caché de un servidor DNS de una organización. De esta forma se pueden conocer hábitos de navegación, software instalado y hasta reconocer perfiles de personas en una organización y saber si están o no activos en un momento dado.

Para obtener esa información, basta con configurar las consultas al DNS interno como consultas no recursivas, es decir, que si el servidor DNS no conoce la respuesta, que no lance ninguna otra pregunta a otro servidor. Así, si conoce la respuesta, es decir, está en caché, se obtendrá la dirección IP asociada a un nombre de dominio, y si no, se obtendrá una referencia al servidor DNS al que habría que preguntar.

Analizando las conexiones de LogMeIn

Esta semana pasada estuvimos hablando de LogMeIn, el servicio que permite conectarse remotamente a un Mac OS X por medio de una página web y, pensando en la arquitectura, nos dimos cuenta de que se podría detectar la existencia de Mac OS X en una red interna con ese servicio mediante la técnica de DNS Cache Snooping. 

Los equipos con LogMeIn instalado, realizan conexiones hacia los servidores de dicho servicio, y el usuario solo tiene que conectarse a esos servidores. Es por tanto necesario que el equipo con LogMeIn anuncie su existencia en Internet conectándose a ellos.

Para conocer cuál es el proceso, procedimos a capturar con Wireshark una sesión de comunicaciones entre un cliente Mac OS X con LogMeIn instalado y analizamos las peticiones DNS y obtuvimos lo siguiente.

Figura 1: Peticiones realizadas a LogMeIn analizadas con Wireshark

Como se puede ver, se realizan una serie de peticiones a servidores de LogMeIn como son:

- dc.logmein-gateway.com
- list.2.logmein-gateway.com
- control.app59.logmein.com

Tras analizar los registros que se consultan, uno de ellos, en concreto list.2.logmein-gateway.com, parece ser una lista con los servidores que puede utilizar el equipo para anunciarse.

Figura 2: Valores del registro list.2.logmein-gateway.com de tipo TXT en el servidor DNS

Tras realizar varias pruebas vimos que los equipos consultan, de forma aleatoria, uno de los siguientes cuatro registros:

- list.1.logmein-gateway.com
- list.2.logmein-gateway.com
- list.3.logmein-gateway.com
- list.4.logmein-gateway.com

Y  partir de ahí el servicio de LogMeIn se conecta a uno de los servidores descritos en esa lista.

¿Cómo detectar los Mac OS X con LogMeIn?

Pues basta con utilizar cualquier herramienta de DNS Cache Snooping y configurarla para buscar estos registros, si alguno está en la caché DNS, entonces se podrá inferir que hay algún Mac OS X con el servicio LogMeIn. La FOCA tiene un módulo de DNS Cache Snooping que puede usarse para detectar software vulnerable.

Si quieres obtener la FOCA Pro y aprender más sobre cómo sacarle partido, puedes apuntarte al training online del día 14 de Marzo.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares