Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vulnerabilidades y Soluciones
Vulnerabilidades y Soluciones
Objetivo
En esta semana conoceremos los ataques ms comunes a
las redes de informacin de las organizaciones, y las
herramientas que nos permiten vigilar la red y corregir
dichos ataques.
ATAQUES Y VULNERABILIDADES
Objetivos del tema
1. Denial of service
2. Cracking de passwords.
3. E mail bombing y spamming.
Seguridad en WWW
TFTP
Los comandos r
Seguridad en NETBios.
1. Denial of service:
Hay diversos tipos de ataque en este modo, los cuales veremos a continuacin:
-
generalmente
son
llevados
cabo
por
personas
Ejemplo: Bombing
Es un mecanismo muy usado actualmente para saturar las redes y
consumir toda la banda. Consiste en generar una gran cantidad de
paquetes dirigidos nicamente a la misma red. Existe un paquete especial,
llamado ping, que se usa para detectar la longitud de conexiones que
debe recorrer el paquete para llegar de un origen a un destino. Si un cracker
inunda (otro trmino para esta inundacin es el flodeo, o flooding) una red
con muchos paquetes ping, consume todo el ancho de banda de la misma.
Actualmente
existen
millones
de
computadores
en
red,
llamados
2. Cracking de passwords
Los crackers que intentan entrar a un sistema de red, deben usar un programa
que encripte palabras y que compare dichas encriptaciones con el original. El
Tambin se puede usar la fuerza bruta, que consiste en usar todas las
combinaciones posibles de passwords sobre el login, hasta encontrar la
correcta.
Acciones a tomar
Este FTP bounce se puede usar en varios procedimientos que pueden dar
lugar a una vulnerabilidad. Uno de ellos, usado por hackers y crackers por igual
es el escaneo de puertos. Mediante una mquina ordinaria, se hace un
conjunto de paquetes port dirigidos a otra mquina, y a cada uno de los
10
paquetes port se le pone el puerto que quiere ser escaneado, para saber si
est abierto, si se puede abrir, o si est bloqueado.
Soluciones?
11
5. TELNET
TELNET es un daemon o demonio (demonio: es un programa que se
ejecuta en segundo plano, y que no tiene interfaz grfica para comunicarse
con el usuario. Su objetivo principal es brindar procesos y servicios de
manera silenciosa) que permite a los usuariostener acceso de terminal a un
sistema, es decir, ser clientes del mismo. A travs del demonio telnet, se
crea una conexin entre cliente y servidor que sirve para transferir
informacin, solo que el login y el password para acceder al sistema es
hecho automticamente por el demonio.
El problema ac radica en que un cracker puede instalar un sniffer en la
red (Sniffer: oledor. Programa que rastrea datos en una red) y pinchar o
intervenir el programa cliente de TELNET. Con estas acciones, obtiene los
nombres de usuario y las contraseas que se mueven a travs de la red.
La solucin principal para esto es usar un programa que encripte las
contraseas y las envo una sola vez por la red. As, si se tiene un sniffer, el
cracker solo podr obtener la contrasea 1 ves, y tendr que hacer un
ataque de diccionario (el mismo ataque se hace para craquear paswords)
12
13
Tcp- wrapper
Netlog
Argus
TcpDump
SATAN
ISS
Courtney
Gabriel
Nocol
TcpList
Tcp-Wrapper.
Algo muy importante de este programa es que permite dejar una traza de las
conexiones hechas en la red, tanto a servicios admitidos como no admitidos,
indicando el servicio al que se intent acceder y la mquina que intent
hacerlo.
El programa posee 2 archivos principales, en los que se definen las reglas que
deben usarse para el control de paquetes en la red (recordemos que al trfico
de la red, dependiendo de la capa en la que estemos trabajando del modelo
14
Para concluir, podemos decir que el tcp-wrappers es una simple pero efectiva
herramienta para controlar y monitorear la actividad de la red en nuestra
mquina, y nos permite un control sobre las conexiones que se efectan en
nuestra red.
15
NetLog
Los 5 subprogramas que componen este programa principal son los siguientes:
16
Argus
Al igual que el NetLog, el Argus tambin tiene una herramienta buscadora que
permite filtrar los contenidos y ver aquellos que solo nos interesan.
17
TcpDump
Este software permite ver las cabeceras de los paquetes que circulan por la
red. La cabecera de un paquete contiene informacin relacionada con la
mquina origen, la mquina destino, el tipo de protocolo usado, entre otros
datos importantes para el anlisis. Y no solo esto, podemos aplicar filtros que
nos pemitan ver solo determinados protocolos, determinados puertos de la red,
mquinas, y an usar operadores entre paquetes (>, <, =, and, or, not), para
comparar
Recordemos que todas estas herramientas se pueden usar tanto para bien
como para mal. SATAN, como genera un registro de todas las mquinas
18
Courtney
Ahora dijimos que estos programas pueden ser usados tanto como
herramientas de proteccin como herramientas de ataque. Siendo SATAN una
herramienta tan buena para la deteccin de topologas de redes, se necesitaba
otro programa que detectara el uso de la misma. Esta herramienta es esta, que
permite detectar a la mquina que genera el ataque SATAN (ya explicamos el
funcionamiento de estos ataques) a partir de informacin pasada por el
programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso
corto de tiempo, el programa genera un aviso.
19
Gabriel
TcpList
Este programa indica todas las conexiones que usen el protocolo TCP creadas
desde la mquina en la que lo estamos ejecutando, o aquellas entrantes a
dicha mquina. Tambin es un programa de dominio pblico.
20
Estas herramientas mostradas son solo una pequea parte del gran repertorio
que existe en la red. Es responsabilidad del administrador de red y del
administrador de seguridad seleccionar aquellas que considere apropiadas de
acuerdo al grado de complejidad adicional que se quiera obtener en la red de la
organizacin, la seguridad que se quiera alcanzar, y finalmente, las polticas de
seguridad a generar.
COPS
Tiger
Crack
Tripwire
Chkwtmp
Chklastlog
Spar
Lsof
21
Cpm
Ifstatus
Osh
Noshell
Trinux
Tiger
Sistema de archivos
22
Configuraciones de usuarios
Chequeo de servicios
Crack
23
Tripwire
Tripwire es, sin lugar a dudas, otra herramienta vital en nuestro sistema, al
igual que el crack. Su funcin principal es la de detectar cualquier cambio o
modificacin en el sistema de archivos, como modificaciones no autorizadas o
alteraciones maliciosas de algunos softwares.
El programa genera una base de datos en la que genera una firma o archivo
identificador por cada elemento en el sistema de archivos. En esta firma
almacena informacin relevante como el nombre del usuario propietario del
archivo, ltima fecha de modificacin, ltima fecha de acceso, etc. Esta base
de datos de firmas, guardada, puede ser comparada en cualquier momento con
una nueva base de datos actuales, y detectar as las modificaciones en los
archivos del sistema.
Es til tener una base de datos main, sobre la que se hacen comparaciones
peridicas para detectar cambios, y que esta main sea actualizada cada vez
que se ingresa un elemento nuevo al sistema de manera autorizada. Otro punto
a tener en cuenta en el manual de procedimientos de nuestra organizacin.
Chkwtmp
24
Chklastlog
Es similar al anterior, salvo que este compara los logines que se han
realizado en la mquina con la informacin del ltimo login en la misma,
detectando as usuarios que hayan sido eliminados del archivo de logines. Esto
con el objeto de detectar borrones en los accesos y descubrir intrusiones
cubiertas.
Spar
Sencillamente, nos permite tener una lista de todos los archivos abiertos por el
sistema, as como directorios, archivos de ref, etc.
25
Ifstatus
Este archivo permite indicar al administrador de red cuales son los comandos
que puede ejecutar cada usuario de la red.
26
Noshell
Trinux
sino
que
es
usada
directamente
desde
el
dispositivo
de
27