Firmas SMB en Directorio activo

Hola, quería haceros una pregunta sobre las firmas SMB (CIFS en Microsoft):

He implementado por GPO en mi directorio activo las firmas SMB ; básicamente firma electrónicamente los paquetes mandados desde o hacia un servidor de ficheros (servidor de ficheros= servidor smb sino me equivoco). Por lo que leo CIFS es la implementación de SMB en Windows y Samba es la implem. de SMB de Linux.

De todas maneras mi pregunta va por otra cuestión. Es decir: se firman los paquetes SMB , para que haya integridad , y la ayuda de está config. en la GPO dice:

" El protocolo de bloque de mensajes de servidor (SMB) proporciona la base para el uso compartido de impresoras y archivos de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para impedir ataques de tipo "Man in the middle" que modifiquen los paquetes SMB en tránsito, el protocolo admite la firma digital de paquetes SMB. Esta configuración de directiva determina si el componente de cliente SMB intenta negociar la firma de paquetes SMB cuando se conecta a un servidor SMB."

Osea: "Para impedir ataques tipo man in the middle que modifiquen los paquetes smb en el tránsito" .... esta es la parte que no pillo.

Gracias de antemano !

¿Que no pillas? ¿No sabes lo que es un MiM?

Ok... La técnica conocida como "man in the middle" ("hombre en el medio") está descrita por su nombre. Se trata de interceptar una conexión entre dos puntos, hacer que esa comunicación pase a través de un tercero (tú) y hacer lo que quieras antes de que llegue a cualquiera de los dos extremos... Puedes quedarte con la información, intentar desencriptarla, incluir información a mayores o modificarla.

Esta técnica es genérica, y no depende para nada del protocolo... Se puede usar con SMB, HTTP, POP, ssh, HTTPS, SMTP...

Es como si para hablar dos personas necesitasen que tu les hicieses de interprete... No solo te enterarías de toda la conversación. Tambien podrías decirle a cada uno que el otro ha dicho lo que a ti te saliese de dentro en ese momento.

Para entenderlo, imagina un correo... Si consigues situarte entre el cliente de correo de un usuario y el servidor de correo que entregará ese mensaje (servidor SMTP), cosa batante fácil en comunicacoines en claro, podrías cambia el texto (o el adjunto) de cualquier correo que ese usuario enviase (a parte de, logicamente, espiar todo su correo)...

Supón qeu ese usuario envía un correo diciendo que Necesita que le ingreses 500€ en la cuenta X... Podrías cambiar 500 por 100 y X por Z (ok,a es una chorrada, pero ilustra el ejemplo).

Lo mismo puedes hacer con cualquier protocolo. Puedes servir paginas web fraudulentas, insertar cookies en una comunicación que engañen al servidor, o robar las cookies de autenticación de un usuario para usurpar su identidad... Puedes modificar paquetes SMB para robar una clave de windows, o... Lo que tu imaginación de para tí.

Si estás en medio de una comunicación puedes hacer algo más que enterarte de que va... Puedes modificar los términos de esa conversación.

Gracias y diculpas Moeb. Disculpas porque?

Pues porque eso si lo entiendo, sé lo que es un MITM, expresé mal la pregunta, digamos que no entiendo como ayudan las firmas a evitar un man in the middle, porque como decía, SMB es por decirlo de esta manera: pasar archivos de un servidor de ficheros a un cliente, o viceversa, la conexión en cualquier caso de un cliente SMB a un servidor SMB (CIFS en Microsoft).

No entiendo como protege esta config de GPO ? NO se vería nada si yo hago un MITM con Caín , BackTrack o cualquier otra herramienta? No cojo credenciales? no puedo cambiar el mensaje, eso lo leo, pero no entiendo del todo la cuestión de las firmas SMB.

Gracias de nuevo por tu tiempo !

Firmar los paquetes complica bastante el poder modificarlos mediante un MiTM.

Puedes seguir "viéndolos"... Pero para poder modificarlos necesitarías conocer las llaves de firam negociadas por los extremos y "refirmar" cada paquete con la firma adecuada, de forma que el otro extremo lo diese por bueno al validar la integridad del paquete...

Es algo similar a verificar la suma MD5 de un paquete cuando lo descargas de una fuente. Te garantizas que el paquete es el que colocaron los desarrolladores 8salvo que alguien haya sido capaz de modificar NO SOLO el paquete en uno de los mirrors, sino la web principal para cambiar la suma MD5... En ese caso, debería haber sido capaz de modificar todos los mirrors, o a al gente le cantaría.

Si lo que quieres es que no se vean tampoco, tendrás que encriptarlos.

Perdón por la tardanza de mi respuesta, me ha sido imposible contesrtar antes.

Muy muy interesante y esclarecedora tus respuestas (gracias por cierto por ellas):

1- Firma SMB - no repudio, soy yo, nadie me puede modificar, llego tal cual he salido del remitente o emisor de la comunicación. Aún así, un ARP Spoofing o MITM me podrá ver.

2-Encritpo: MITM no me puede ver, lee caracteres ilegibles.

¿Como encripto? Imagino que con IPSec ?

Es decir, con IPSec los paquetes llegarán al man in the middle como todos los paquetes, pero verá paquete ilegibles si la teoría no me falla.

3.Utilidad de la firma SMB. No la veo muy clara. Es cierto que se podrá asegurar que en el trayecto no ha habido modificación del mesaje, es claro que es una mejora de seguridad, pero....se queda esn eso, no? Es una pregunta casi retórica aunque cualquier ayuda la agradecería.

4. En un entorno Active Directory he intentado aplicar IPSec a todo el dominio, para que todas las comuncaciones en el dominio vayan encriptadas, nada que se pueda ver, si la red es de 1 GByte no tendría que afectar al rendimiento, hablo de una oficina de 100 ordenadores aprox, no lo sé porque no la he implementado, tan sólo la implementé en un entorno de pruebas pero me dio problemas y no sé de que tipo, ahora lo realizaré de nuevo para ver qué tipo de problemas eran, porque si TCP/IP. por diseño, no es seguro, porque no implementarle IPSec?

Muchas gracias por tu tiempo !!

Si. En windows la encriptación que se usa es IPSEC. Un tanto engorroso en ocasiones... Solo recomendado para redes que necesitan una seguridad extrema.

Las contraseñas de windows ya van encriptadas (de hecho no viajan por la red... Solo viajan desafios y respuestas encriptados usando esas contraseñas entre cliente y servidor)... No es fácil saber la contraseña de alguien esnifando.

Otra cosa son las contraseñas que viajan en claro... SMTP (sin TLS), POP (sin encriptación), etc... esas las pillas en cuanto atraviesan tu máquina usurpadora (en cuanto te pones enmedio de una comunicación, vamos). Pero tienes formas de evitarlo sin encriptar toda tu red... Como te digo, puedes usar SSL/TLS para el tráfico de correo, HTTPS para autenticación web, etc).

En mi caso, cuando necesito que determinado protocolo vaya encriptado entre dos nodos, lanzo un tunel ssh entre ambos nodos y encapsulo el tráfico de ese protocolo por ese túnel (suena más complejo de lo que es, la verdad).

Vamos, que tienes muchas maneras de securizar tu red sin necesidad de encriptar absolutamente todo el tráfico (mucho del cual es de control y carece de interés).

La firma, o el garantizar que un paquete te llega desde quien dice habertelo enviado y tal como te lo envió, si tiene importancia en determinados entornos... Es importante para actualizar archivos, Bases de datos, etc. Es como incluir tu clave publica gpg en los correos para cuando mandes un mensaje encriptado. Podran desencriptarlo muchos, pero garantizas que eres tu el emisor y que nadie ha alterado el contenido.

Digamos que es como... con las cartas certificadas. A veces es necesario saber que quien te ha enviado algo es realmente quien dice ser, y que ese mensaje no lo ha modificado nadie por el camino. Si solo comes las tartas de tu madre (porque eres un paranoico y no te fias de nadie) y un dia te llega una por correo, te gustaria estar seguro de que te la manda ella y de que nadie la ha envenenado en el trayecto... ¿no?

Cada cosa es para lo que es :)

Gracias Moeb por constestarme, por tu tiempo.

Interesantísima la respuesta !!

Conozco SSL sobre http, smtp, pop3, etc, pero lo de IPSec era por ver como, cuando y porque implementarlo, estudiaré lo que comentas de túnel SSH.

La verdad es que la seguridad informática me gusta mucho, el saber que está pasando en mi red en todo momento, en las entrañas, no desde el punto de vista Cracker sino desde el defensivo, el de saber que estás seguro en tu red, y sobre todo, SABER MONITOREARLA Y SABER QUE PASA, QUIEN PASA, PORQUE PASA, QUE PROTOCOLO ACTUA , PORQUE SE PROCUDE ESTA COMUNICACIÓN....

De nuevo: Gracias !!