Módulo 6 Seguridad en redes de Computadoras Seguridad en redes TCP/IP
Ataques de denegacion de servicio
El ataque Teardrop intentara realizar una utilización fraudulenta de la fragmentación IP para poder confundir al sistema operativo en la reconstrucción del datagrama original y colapsar así el sistema
Ataques distribuidos
Así pues, podemos definir los ataques de denegación de servicio distribuidos como un ataque de denegación de servicio en el que existen múltiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo.
Ping of death
La longitud máxima de un datagrama IP es de 65535 bytes, incluyendo la cabecera del paquete (20 bytes) y partiendo de la base de que no hay opciones especiales especiadas. Por otra parte, recordemos que el protocolo ICMP tiene una cabe cera de 8 bytes. De esta forma, si queremos construir un mensaje ICMP tenemos disponibles 65535 - 20 - 8 = 65507 bytes.
Snork
El ataque Snork se basa en una utilización malintencionada de dos servicios típicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.
Teardrop
El ataque de TCP/SYN Flooding se aprovecha del número de conexiones que están esperando para establecer un servicio en particular para conseguir la denegación del servicio.
TCP/SYN Flooding
Esta debilidad del protocolo TCP proviene de las primeras implementaciones de las pilas TCP.
Smurf
Este tipo de ataque de denegación de servicio es una variante del ataque anterior (IP Flooding), pero realizando una suplantación de las direcciones de origen y destino de una petición ICMP del tipo echo-request:
IP Flooding
El ataque de IP Flooding se basa en una inundación masiva de la red mediante datagramas IP.
El trafico generado en este tipo de ataque puede ser:
• Definido o dirigido. Cuando la dirección de origen, destino, o incluso ambas, es la de la máquina que recibe el ataque. El objetivo de este ataque es doble, ya que además de dejar fuera de servicio la red donde el atacante genera los datagramas IP, también tratara de colapsar al equipo de destino, sea reduciendo el ancho de banda disponible, o bien saturando su servicio ante una gran cantidad de peticiones que el servidor ser´ a incapaz de procesar.
• Aleatorio. Cuando la dirección de origen o destino del paquete IP es ficticia o falsa. Este tipo de ataque es el más básico y simplemente busca degradar el servicio de comunicación del segmento de red al que está conectado el ordenador responsable del ataque.
Conceptos
Capa de aplicacion. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electronico, FTP, etc.
Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que s´olo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento* (encaminado res) no la necesitan.
Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independien temente de si se conectan mediante l´ınea telef´onica o mediante una red local Ethernet.
Capa de red. Normalmente esta formada por una red LAN* o WAN** (de conexi´on punto a punto) homogeneas. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red fısica o, simplemente,capa de red.
Escuchas de red
Herramientas disponibles para realizar sniffing
Una de las aplicaciones más conocidas, en especial en sistemas Unix, es Tcpdump. Este programa, una vez ejecutado, captura todos los paquetes que llegan a nuestra máquina y muestra por consola toda la información relativa a los mismos. Se trata de una herramienta que se ejecuta desde la línea de comandos y que cuenta con una gran cantidad de opciones para mostrar la información capturada de formas muy diversas. Tcpdump es una herramienta muy potente y es la base para muchos otros sniffers que han aparecido posteriormente.
Suplantacion de ARP
El protocolo ARP es el encargado de traducir direcciones IP de 32 bits, a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet.
Desactivacion de filtro MAC
Una de las técnicas más utilizadas por la mayoría de los sniffers de redes Ethernet se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC (poniendo la tarjeta de red en modo promiscuo).
Deficiencias de programacion
Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerza las condiciones necesarias para aprovecharse de un error de seguridad subyacente.
Cadenas de formato
Los ataques que explotan deficiencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.
Desbordamiento de buffer
Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir información Lectura recomendada más allá de los limites de una tupla almacenada en la pila de ejecución. A partir de esta tupla, asociada a una llamada a función dentro del programa, se puede conseguir corromper el flujo de la ejecución medicando el valor de regreso de la llamada a la función. Si este cambio en el flujo de ejecución es posible, se podrá llevar la ejecución a una dirección de memoria arbitraria (introducida en los datos de la pila a partir del mismo ataque) y ejecutar un código malicioso
Fragmentacion IP
El protocolo IP es el encargado de seleccionar la trayectoria que deben seguir los datagramas IP. No es un protocolo fiable ni orientado a conexión, es decir, no garantiza el control de flujo, la recuperación de errores ni que los datos lleguen a su destino..
Fragmentacion en redes Ethernet
Ultimo fragmento
Fragmento siguiente
Fragmento inicial: La cabecera IP original se clonara para que contenga un identificador de fragmentos idéntico tanto para el primer como para el resto de fragmentos.
Fragmentacion para emmascaramiento de datagramas IP
Actividades previas a la realizaci´on de un ataque
Exploracion de puertos
La exploración de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida Con esta infor
maci´on, el atacante podr´ıa realizar posteriormente una b´usqueda de exploits que le
permitiera un ataque de intrusi´on en el sistema analizado
Exploraci´on de puertos UDP
Mediante la exploración de puertos UDP es posible determinar si un sistema esta o no disponible, así como encontrar los servicios asociados a los puertos UDP que encontramos abiertos
Exploracion de puertos TCP
Existe un grande numero de técnicas para realizar esta exploración de puertos TCP. Entre las mas conocidas, podemos destacar las siguientes:
TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploración debería recibir como resultado un paquete de reset en los puertos no activos.
TCP Xmas Tree scan. Esta técnica es muy similar a la anterior, y también se obtiene como resultado un paquete de reset si el puerto está cerrado. En este caso se envían paquetes FIN, URG y PUSH.
TCP FIN scan.Al enviar un paquete FIN a un puerto, deberíamos recibir un paquete de reset (RST) sí dicho puerto está cerrado. Esta técnica se aplica principalmente sobre implementaciones de pilas TCP/IP de sistemas Unix.
TCP SYN scan. Enviando únicamente paquetes de inicio de conexión (SYN) por cada uno de los puertos que se quieren analizar se puede determinar si ´estos están abiertos o no. Recibir como respuesta un paquete RST-ACK sígnica que no existe ningún servicio que escuche por este puerto. Por el contrario, si se recibe un paquete SYN-ACK, podemos afirmar la existencia de un servicio asociado a dicho puerto TCP. En este caso, se enviar´a un paquete RST-ACK para no establecer conexi´on y no ser registrados por el sistema objetivo, a diferencia del caso anterior (TCP connect scan).
TCP connect scan. Mediante el establecimiento de una conexión TCP completa (completando los tres pasos del establecimiento de la conexión) la exploración puede ir analizando todos los puertos posibles. Si la conexión se realiza correctamente, se anotara el puerto como abierto (realizando una suposición de su servicio asociado según el número de puerto).
Busqueda de huellas identificativas
La utilización de estas técnicas se conoce con el nombre de fingerprinting, es decir, obtención de la huella identificativa de un sistema o equipo conectado a la red.
Identificaci´on de respuestas ICMP
El protocolo ICMP es el encargado de realizar el control de flujo de los datagramas IP que circulan por una red TCP/IP. Este protocolo consta de varias funcionalidades que permiten realizar desde la comunicación de situaciones con anomalías (por ejemplo, para indicar que no se ha podido realizar el entrega de un datagrama IP) hasta la comprobación del estado de una máquina en la red.
Identificaci´on de mecanismos de control TCP
Utilizaci´on de herramientas de administracion
La fase de recogida de información podría empezar con la utilización de todas aquellas Evitar la extracción de información Una posible solución para proteger los sistemas de nuestra red contra esta extracción de información mediante herramientas de ministración es la utilización de sistemas cortafuegos. Consultad el siguiente modulo didáctico para mas información sobre filtrado de paquetes y sistemas cortafuegos. aplicaciones de administración que permitan la obtencion de informacion de un sistema como, por ejemplo, ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc.
Grupos de noticias y buscadores de internet
Finalmente, esta primera fase de recogida de información mediante herramientas de administración suele finalizar realizando una serie de consultas en grupos de noticias, buscado res de páginas web o meta buscadores.
Cadenas identificativas
A medida que vaya encontrando nuevos sistemas, el atacante ira complementando la in formación recogida con toda aquella información que pueda serle de utilidad para explotar posibles deficiencias en la seguridad de la red
Informaci´on de dominio
Durante esta primera etapa de recogida de información, el atacante también tratara de obtener toda aquella información general relacionada con la organización que hay detrás de la red que se quiere atacar.
Descubrimiento de usuarios
Otra informacion relevante de un sistema es el nombre de los usuarios que tienen acceso a estos equipos. Una utilidad que puede ayudar al atacante a obtener estos datos es la herramienta finger
