Pentesting: Conocer qué servidores y qué Webs visitan desde una determinada corporación mediante DNSCacheSnooping | DiazSecurity.com – Blog de Miguel Díaz
10 diciembre, 2011 a las 17:40

Parece que día a día nos vamos concienciando mas de la importancia de la privacidad: los navegadores añaden la navegación privada, las redes sociales mejoran sus políticas de privacidad y el usuario además aprende a usar todo esto… Pero… ¿y si muchas de estas medidas no sirvieran de (casi) nada?

Me gustaría empezar una nueva parte en el blog acerca de la seguridad informática es algo que siempre me ha llamado la atención aunque no sea mas que un pequeño aprendiz.

Hoy os explicaré la técnica del DNS Cache Snooping con la que podremos conocer las páginas, servidores visitados (y mucho mas) desde una empresa mediante un caso práctico y os propondré alguna solución.

Caso práctico: Conocer el tráfico de la red informática de Correos

He elegido Correos como ejemplo al ser una empresa grande y conocida a nivel nacional. Antes de empezar debemos tener claro como funcionan los servidores DNS:

Cuando introducimos el servidor de un portal nuestro ordenador preguntará a un DNS qué IP corresponde a ese dominio y con esta información el PC se conectará con dicha página. Los servidores DNS están interconectados de forma que si en su caché no figura el dominio solicitado lo preguntará a otro y lo guardará la caché un tiempo prudencial para poder responder mas rápidamente en futuras ocasiones.

Para saber qué dominios están visitando en su red nos conectaremos a uno de sus DNS, y una vez hecho le preguntaremos qué páginas tiene cacheadas sin que tenga que recurrir a otros servidores DNS. Podemos averiguar que DNS usan en Correos usando nslookup:

Como veis es sencillo, establecemos que queremos consultar qué DNS hay y luego damos el servidor sobre el cual queremos realizar la consulta y obtenemos los distintos servidores que usan en correos: En nuestro caso usaremos ns1.correos.es

Ahora pasamos a lo divertido, conectarnos al DNS de Correos y ver a qué servidores se ha accedido recientemente:

Os comento, lo primero que hemos hecho ha sido definir sobre que servidor DNS haremos las consultas, a continuación le hemos dicho que nos de resultados de tipo a, es decir nos dirá a que IP corresponde un determinado dominio y posteriormente hemos pedido que en caso de que no encuentre cacheado el dominio no lo pregunte a fuentes externas. Por último hemos introducido la URL del dominio que queríamos ver si estaba cacheada “www.facebook.com” y puesto que el servidor nos ha sabido resolver la IP podemos decir que esa página se ha visto de forma muy reciente desde el la red de Correos.

Debemos saber además que si ponemos una Web que no existe o que no ha sido visitada obtendremos un listado de servidores que si pueden darnos esa información.

Si le damos un par de vueltas al coco veremos que no solo nos valdrá para marujear si no que podemos averiguar la tecnología que usan en esa red: Por ejemplo si una de las url cacheadas es update.microsoft.com seguramente usarán Windows, si conectan con los servidores de Symantec quizás usen Norton Antivirus, o si lo hacen a servidores Sun tengan equipos con Java, etc.

Obviamente sería tedioso comprobar dirección a dirección cada uno de los dominios, pero podemos crear nuestro propio script encargado de hacerlo automáticamente desde un listado y nos guarde el listado en un txt. Lo dejo a vuestra imaginación.

La solución frente a esto es muy sencilla: Usar varios servidores DNS  uno encargado de gestionar exclusivamente nuestros servicios y usar otro para Internet el cual no sea accesible desde fuera de la red corporativa.

Acerca de Miguel Díaz

Informático, enamorado de la programación, diseño Web y el deporte.
Categorías: Internet, Pentesting, Seguridad, Servidores. Etiquetas: , , , , , .

2 comentarios en Pentesting: Conocer qué servidores y qué Webs visitan desde una determinada corporación mediante DNSCacheSnooping

  1.  h3ku dice:

    la verdad es que no entiendo muy bien lo que quiere decir que la web facebook.con en este caso a sido visto desde correos, me podrias explicar un poco mas que quiere decir esto?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *