Seg Redes 2 Vulnerabilidades Ataques

Curso de
S
Seguridad
id d de
d la
l Información
I f ió en
Redes EmpresarialesTCP
EmpresarialesTCP/IP
/IP
ADACSI
1
Vulnerabilidades
Ataques y
Contramedidas
Módulo 2
ADACSI
2
Docentes: Seguridad de la Información en

Módulo 2
Lic. Jorge Coca Redes empresariales TCP/IP Clase 2
Ing. Enrique Larrieu-Let Curso 2012
Vulnerabilidades
ADACSI
3
Vulnerabilidades de la capa física

• Las vulnerabilidades de la capa física están ligadas al
medio sobre el que se realiza la conexión.
• Esta capa presenta problemas de control de acceso, de
confidencialidad
fid i lid d y disponibilidad.
di ibilid d
• Son ejemplos de vulnerabilidades a este nivel los ataques
a los enlaces, el cableado, interferencias, conexiones no
autorizadas, interceptación intrusiva de las
comunicaciones, escuchas no intrusivas en medios de
transmisión,, etc.
• Ataques físicos: Este tipo de ataques pueden llegar a ser
muy difíciles de realizar, ya que generalmente requieren
un acceso físico a los elementos que se quieren atacar.
ADACSI
4

Módulo 2
Vulnerabilidades de la capa de red
• En esta capa se puede realizar cualquier ataque que
afecte un datagrama IP.
• Se incluyen como ataques contra esta capa las
técnicas de sniffing, la suplantación de mensajes, la
modificación de datos, los retrasos de mensajes y la
denegación de mensajes.
• Cualquier atacante puede suplantar un paquete si
indica que proviene de otro sistema. La suplantación
d un mensaje
de j se puede
d realizar,
li por ejemplo,
j l dando
d d
una respuesta a otro mensaje antes de que lo haga el
suplantado.
ADACSI
5
Vulnerabilidades de la capa de red

• En esta capa, la autenticación de los paquetes se realiza a
nivel de máquina (por dirección MAC o IP) y no a nivel
de usuario. Si alguien suministra una dirección de
máquina adecuada,
adecuada el receptor no detectará la
suplantación.
• Para conseguir su objetivo, este tipo de ataques suele
utilizar otras técnicas, como la predicción de números de
secuencia TCP, el envenenamiento de tablas ARP caché.
• Por otro lado,, los ppaquetes
q se ppueden manipular
p si se
modifican sus datos y se reconstruyen de forma adecuada
los controles de las cabeceras. Si esto es posible, el
receptor será incapaz de detectar el cambio.
ADACSI
6

Módulo 2
Vulnerabilidades de la capa de transporte
• La capa de transporte transmite información TCP o UDP sobre
datagramas IP.
• En esta capa podemos encontrar problemas de autenticación, de
integridad y de confidencialidad.
• Algunos de los ataques más conocidos en esta capa son las
denegaciones de servicio debidas a protocolos de transporte.
• En cuanto a los mecanismos de seguridad incorporados en el
diseño del protocolo de TCP (como las negociaciones
involucradas en el establecimiento de una sesión TCP), existe
una serie de ataques que aprovechan ciertas deficiencias en su
diseño.
• Una de las vulnerabilidades más graves es la posibilidad de
• interceptación de sesiones TCP establecidas, con el objetivo de
secuestrarlas y dirigirlas a otros equipos con fines deshonestos.
ADACSI
7
Vulnerabilidades de la capa de aplicación

• Como en el resto de niveles, la capa de aplicación presenta
varias deficiencias de seguridad asociadas a sus protocolos.
• Debido al gran número de protocolos definidos en esta capa, la
cantidad de deficiencias presentes también será superior al
resto de capas.
• Un ejemplo de deficiencias de seguridad a este nivel lo
ejemplifica el Servicio de nombres de dominio.
• Un servidor de DNS es una base de datos accesible desde
internet. Por lo tanto, un atacante puede modificar la
información que suministra esta base de datos o acceder a
información sensible almacenada en la base de datos,
pudiendo obtener información relativa a la topología de la red
de una organización concreta (por ejemplo, la lista de los
sistemas que tiene la organización).
ADACSI
8

Módulo 2
Telnet
• Normalmente, el servicio Telnet autentica al usuario mediante la
solicitud del identificador de usuario y su contraseña, que se
transmiten en texto claro por la red.
red
• Así, al igual que el resto de otros servicios de internet que no
protegen los datos mediante mecanismos de protección, el
protocolo de aplicación Telnet hace posible la captura de
información sensible como contraseñas mediante el uso de
técnicas de sniffing.
• Actualmente
Act almente existen
e isten otros protocolos a nivel
ni el de aplicación (como,
(como
por ejemplo, SSH) para acceder a un servicio equivalente a Telnet
pero de manera segura (mediante autenticación fuerte). Aun así,
el hecho de cifrar el identificador del usuario y la contraseña no
impide que un atacante, que las conozca, acceda al servicio.
ADACSI
9

Logon y Autenticación
• Proceso logon
– Comienza con el ingreso del ID del usuario, seguido de un
intercambio para verificar su identidad
BD
Usuario Red Passw-ID
Telnet Servidor
de aplicaciones
Usuario
Password
ADACSI
10

Módulo 2
File Transfer Protocol
• Al igual que Telnet, FTP es un protocolo que envía la
información en texto claro (tanto por el canal de datos como por
el canal de comandos).
comandos) Así pues,
pues al enviar el identificador de
usuario y la contraseña en texto claro por una red potencialmente
hostil, presenta las mismas deficiencias de seguridad que veíamos
anteriormente con el protocolo Telnet.
• Por otra parte, FTP permite la conexión anónima a una zona
restringida en la cual sólo se permite la descarga de archivos. De
este modo,
modo se restringen considerablemente los posibles
problemas de seguridad relacionados con la captura de
contraseñas, sin limitar una de las funcionalidades más
interesantes del servicio.
ADACSI
11

Hypertext Transfer Protocol
• El protocolo HTTP es el responsable del servicioWorld Wide
Web. Una de sus vulnerabilidades más conocidas procede de la
posibilidad de entrega
• de información por parte de los usuarios del servicio. Esta
entrega de información desde el cliente de HTTP es posible
mediante la ejecución remota de código en el servidor.
• La ejecución de este código por parte del servidor suele
utilizarse para dar el formato adecuado tanto a la información
entregada por el usuario
s ario como a los resultados
res ltados devueltos
de eltos (para
que el navegador del cliente la pueda visualizar correctamente).
Si este código que se ejecuta presenta deficiencias de
programación, la seguridad del equipo en el que esté
funcionando el servidor se podrá poner en peligro.
ADACSI
12

Módulo 2
TOP TWENTY
• Instituto SANS www.sans.org
• Lista dinámica, orientadora y pública.
• Registros
– CVE (Exposiciones y Vulnerabilidades Comunes)
– CAN (Candidatos a ser CVE)
• Análisis automatizado de los TOP 20
– SARA (gratuito) (cisecurity.org)
• ICAT Instituto Nacional de Standards y Tecnología
g
– Descripción de vulnerabilidades vinculadas a los CVE.
– lista de vulnerabilidades WWW.icat.nist.gov
– Estadísticas
ADACSI
13
Vulnerabilidad
1. Instalaciones por default de sistemas y aplicaciones.
Descripción
- Se instalan más servicios y utilidades que las necesarias.
- Se desconoce todo lo q que se instala.
- No se actualizan las aplicaciones desconocidas o no utilizadas,
exponiendo vulnerabilidades.
- En los S.O. quedan puertos abiertos innecesarios.
- En las aplicaciones se suelen incluir ejemplos no depurados.
Protección
- Utilizar un scanner de puertos y uno de vulnerabilidades luego de cada
instalación.
- Utilizar las guías CIS (Center for Internet Security)
www.cisecurity.org
Guías para Unix y Windows.
ADACSI
14

Módulo 2
Vulnerabilidad
2. Cuentas sin contraseña o con contraseñas débiles.
Descripción
- Cuentas por default sin password o con contraseñas bien
conocidas.
id
- Cuentas de usuarios con password débiles o en blanco.
Protección
- Auditar las cuentas en los sistemas.
- Revisar password en equipos de comunicaciones.
- Procedimientos de ABM de cuentas.
cuentas
- Tokens y elementos biométricos.
ADACSI
15
Vulnerabilidades
3. Respaldos (Backups) incompletos o inexistentes.
4. Puertos innecesarios abiertos.
Descripción
- Instalaciones por default o pruebas dejan puertos abiertos
innecesarios.
Protección
- Realizar un escaneo de puertos completo TCP y UDP (1 -
65535).
- Elaborar la lista de puertos justificados (auditoría)
- Cerrar los puertos innecesarios.
ADACSI
16

Módulo 2
Vulnerabilidad
5. Insuficiente filtrado de paquetes con direcciones
de inicio y destino inadecuadas.
Descripción
p
- Falsificar direcciones IP para cubrir las huellas de un
ataque.
- No filtrar adecuadamente los paquetes entrantes y
salientes a la red frente a estos ataques.
Protección
- Crear
C reglas
l ded filtrado
filt d en ell router
t o firewall
fi ll externo.
t
- Revisar logs de los routers y firewalls y monitorear que no
crezcan excesivamente.
- Probar periódicamente el filtrado simulando un ataque
ADACSI
17
Vulnerabilidad - Recomendaciones
1. Cualquier paquete que entre en la red no debe tener como dirección de
origen una dirección de la red interna.
2. Cualquier paquete que entre en la red debe tener como dirección de
destino una dirección de la red interna.
3. Cualquier
C l i paquete que salga l ded la
l redd debe
d b tener como dirección
di ió de
d
origen una dirección de la red interna.
4. Cualquier paquete que salga de la red no debe tener como dirección de
destino una dirección de la red interna.
5. Cualquier paquete que entre en la red o salga de ella no debe tener
como dirección de origen o de destino una dirección perteneciente al
rango de dirección privadas o de las listadas en el espacio reservado
detallado en el RFC1918. Estas incluyen las 10.x.x.x/8, 172.16.x.x/12 o
192 168 x x/16 y la red de retorno o "loopback"
192.168.x.x/16 loopback 127.0.0.0/8.
127 0 0 0/8
6. Bloquear todos los paquetes marcados con una ruta predefinida desde
su origen (source routed) o aquellos paquetes con el campo de opciones
del paquete IP habilitado.
7. Tanto las direcciones reservadas, como las de autoconfiguración DHCP
y las Multicast deben de ser también bloqueadas.
ADACSI
18

Módulo 2
Puertos más vulnerables
1. Servicios de Inicio de Sesión -- telnet (23/tcp), SSH (22/tcp),
FTP (21/tcp), NetBIOS (139/tcp), rlogin (512/tcp 514/tcp)
2. RPC y NFS-- Portmap/rpcbind (111/tcp y 111/udp), NFS
(2049/tcp y 2049/udp), lockd (4045/tcp y 4045/udp)
3. NetBIOS en Windows NT -- 135 (tcp y udp), 137 (udp), 138
(udp), 139 (tcp). Windows 2000 - los puertos anteriores y
además el 445(tcp y udp)
4. X Windows - del 6000/tcp al 6255/tcp
5. Servicios de Nombres -- DNS (53/udp), transferencias de zona
DNS (53/tcp), LDAP (389/tcp y 389/udp)
6. Mail -- SMTP (25/tcp), POP (109/tcp y 110/tcp), IMAP (143/tcp)
7. Web -- HTTP (80/tcp) y SSL (443/tcp) HTTP (8000/tcp,
8080/tcp, 8888/tcp, etc.)
8. "Pequeños servicios"-puertos inferiores al 20/tcp y 20/udp, y
time (37/tcp y 37/udp)
9. Otros -- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP
(123/udp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp y
161/udp, 162/tcp y 162/udp), BGP (179/tcp), SOCKS
(1080/tcp)
ADACSI
19
Ataques y
Contramedidas
ADACSI
20

Módulo 2
Estrategias de Seguridad
Identificando el problema
• La mejor manera de prevenirse de un posible ataque
es conociendo los mecanismos empleados
p ppara el
mismo.
• Por ello es importante identificar y conocer las fases
que componen el proceso para llevar a cabo un
ataque exitoso:
– Seguir el rastro (Footprinting)
– Exploración (Scanning)
– Enumeración (Enumeration)
ADACSI
21
Seguir el rastro
(Footprinting)
ADACSI
22

Módulo 2
Seguir el rastro
Footprinting
• Es el proceso de recopilar información sobre un
objetivo.
j
• La idea es elaborar un perfil fidedigno del objetivo
respecto de su presencia en Internet, acceso remoto,
arquitectura intranet/extranet de la red, política de
seguridad, servicios que brinda, etc.
ADACSI
23
1 - Determinación del ámbito de actividades

• El primer paso consiste en determinar el alcance de
las actividades de footprinting.
– ¿Se va a seguir el rasto de la organización completa, o se
limitarán las actividades a ciertas subsidiarias, sucursales
o sectores?
– ¿Qué sucede con los contactos de los socios comerciales
(sus extranets), o sitios de recuperación de desastres?
– ¿Hay otras relaciones o consideraciones?
• En algunos casos, puede ser una tarea desalentadora

para determinar todas las entidades asociadas con
una organización.
ADACSI
24

Módulo 2
2 - Recopilar la información publicada
• El segundo paso en seguir el rastro es recopilar la mayor
cantidad de información pública posible.
• Como punto de partida se puede examinar la página web
de la empresa objetivo.
• Datos de posible interés :
– Ubicaciones
– Compañías relacionadas
– Noticias de fusiones o adquisiciones
– Números de teléfono
– Nombres de contacto y direcciones de e-mail
– Políticas de seguridad o privacidad que indiquen mecanismos
de seguridad instalados
– Enlaces a otros servidores web de la empresa
ADACSI
25
3 - Enumeración de la red
• El primer paso es identificar nombres de dominio y
redes asociadas con una organización en particular.
• Para ello se debe ubicar en Internet la base de datos

donde se encuentra registrado el dominio del
objetivo. Lo mejor es comenzar por el principio, o
sea ubicando el TLD (Top Level Domain).
• El cuerpo responsable de la coordinación de algunos

de los elementos más importantes que hacen que
Internet funcione ágilmente es el Internet Assigned
Numbers Authority (IANA).
ADACSI
26

Módulo 2
4 – Interrogación de DNS
• Después de haber identificado los dominios, sus
bloques de números IP y sus servidores de dominio,
el paso que sigue es realizar las consultas a dichos
servidores de nombres de dominio (DNS).
• Uno de los defectos de configuración más graves
que un administrador de sistema puede cometer es
permitir el acceso a la zona de transferencia de DNS
a usuarios no autorizados.
ADACSI
27
nslookup - consulta
ns.midominio.com.ar
ns.midominio.com.ar
ADACSI
28

Módulo 2
nslookup - respuesta
ns.midominio.com.ar
ADACSI
29
Configuración del DNS
200.200.1.1
200.200.1.2
ADACSI
30

Módulo 2
5 - Reconocimiento de la red
• Traceroute: es una herramienta de diagnóstico de
redes que permite seguir la pista de los paquetes que
van desde un host (punto de red) a otro. Se obtiene
además una estadística de las velocidades de
transmisión de esos paquetes.
• Esta herramienta se llama traceroute en UNIX y
linux, mientras que en Windows se llama tracert.
ADACSI
31
Exploración
ADACSI
32

Módulo 2
Exploración de la red
• Seguir el rastro equivale a merodear en busca de
información, explorar es equivalente a palpar las
paredes a la búsqueda de puertas y ventanas.
• Siguiendo el rastro se puede obtener una lista de
direcciones IP y de red, descargas de transferencia
de zona y consultas whois. Esto puede proporcionar
nombres y direcciones de correo de empleados y
direcciones IP de servidores.
• Ahora se determinarán los sistemas que se
encuentran activos y cuáles son accesibles a través
de Internet.
ADACSI
33
Barridos de ping
• Es uno de los pasos básicos en la exploración de una
red para determinar si los sistemas están activos.
• Consiste en enviar,
enviar a un rango de direcciones IP, IP
paquetes ICMP ECHO (tipo 8) y obtener respuestas
ECHO REPLY (tipo 0) que indique que el sistema
está activo.
• Para grandes redes es necesario utilizar herramientas
que realicen barridos automáticos.
automáticos Por ejemplo en
Unix existen el fping y el gping, y para Windows el
superscan y el languard network scanner entre otros.
ADACSI
34

Módulo 2
Barridos de ping
ADACSI
35
Barridos de ping
• Se debe tener cuidado de excluir la dirección de broadcast de la
red pues se podría sacturar o inundar la red de paquetes ICMP
tal como si fuera un ataque smurf.
• El ataque smurf, es un ataque de Denegación de Servicio (DoS)
que utiliza
tili mensajesj ded ping
i all broadcast
b d t con spoofing fi para
inundar (flood) un objetivo (sistema atacado).
• En este tipo de ataque, el atacante envía grandes cantidades de
tráfico ICMP (ping) a la dirección de broadcast, todos ellos
teniendo la dirección de origen cambiada (spoofing) a la
dirección de la víctima. En las redes que ofrecen accesos a
broadcast, potencialmente miles de máquinas responderán a
cada paquete. Todas esas respuestas retornan a la IP de origen
(la IP de la víctima atacada).
• Para asegurar una red que disponga de routers Cisco se debe
ejecutar la opción de configuración no ip directed-broadcast .
ADACSI
36

Módulo 2
Barridos de ping
web
ADACSI
37
Barridos de ping
• Cuando el tráfico icmp esté bloqueado en el router
frontera o por un firewall, lo mejor es la exploración
de los puertos que las máquinas tengan abiertos o
sea en espera para determinar los sistemas activos
existentes en la red.
• Se puede utilizar nmap y su opción TCP ping scan.
Esta opción envía paquetes TCP SYN al puerto que
se desee para todo el rango de direcciones
especificado y espera paquetes de respuesta TCP
SYN/ACK. Se puede hacer esto con los puertos mas
comúnmente usados como 80, 25, 110, 143, 53,
23.....
ADACSI
38

Módulo 2
Contramedidas para Barridos de ping
Detección
• Utilizar programas IDS para red, que constituyen la
mejor manera de detección de los barridos de ping.
ping
• Utilizar programas de IDS para host. Existen
innumerables herramientas tanto en Unix como en
Windows pero se debe considerar el impacto que
producen en el servidor.
• Si se detecta tráfico ICMP ECHO desde un sistema
o red es posible que nos estén haciendo un
reconocimiento de red y sea el preludio de un futuro
ataque.
ADACSI
39
Contramedidas para Barridos de ping

Prevención
• Se debe evaluar el tipo de tráfico ICMP que permite la red,
en la actualidad existen 18 tipos de tráfico ICMP. ECHO y
ECHO REPLY son sólo dos de los tipos.
• Hay que prestar especial i l atención
ió a las
l necesidades
id d de d lal
empresa, según que tipo de tráfico ICMP se necesite, se
deberá controlarlo pero no cortarlo , y cortar el resto del
tráfico de este tipo de ser posible mediante un firewall por
hardware.
• Una solución puede ser permitir únicamente el paso hacia la
red DMZ de paquetes ICM ECHO_REPLY, HOST
UNRECHABLE Y TIME EXCEEDED. EXCEEDED
• Ademas se debería limitar mediante las ACL el trafico ICMP
sólo para direcciones ip específicas del ISP. Esto dificultará
los barridos a sistemas conectados directamente a Internet y
permitirá al ISP verificar conectividad.
ADACSI
40

Módulo 2
Enumeración
ADACSI
41
Enumeración
• Si la adquisición inicial de datos de un objetivo y el
sondeo sin intrusión no es suficiente, lo siguiente es
identificar cuentas de usuario válidas y recursos
compartidos
tid mall protegidos.
t id
• Al proceso de obtener nombres de recursos compartidos
o cuentas de usuario se lo denomina enumeración.
• El rastreo y la exploración son el punto de partida para la
enumeración.
• La enumeración implica la conexión activa a los
sistemas y la realización de consultas dirigidas. Es una
técnica mucho más intrusiva que las de rastreo y
exploración.
ADACSI
42

Módulo 2
Enumeración - Tipo de información
• Mucha de la información conseguida mediante
enumeración puede parecer inofensiva a primera vista.
Por ejemplo una vez que se consiga una cuenta válida de
usuario
i es cuestión
tió de
d tiempo
ti obtener
bt l password.
la d
• Información que se puede obtener:

– Recursos de red y recursos compartidos
– Usuarios y grupos
– Aplicaciones
• Las técnicas de enumeración son específicas para cada

sistema operativo.
ADACSI
43
Enumeración - Windows
• Enumerar dominios
– net view /domain, net view /network
• Enumerar controladores de dominio
– Resource Kit
• Compartir NetBios
– DumpACL, Legion, NAT (Netbios Auditing Tool)
• Enumeración de recursos
– epdump, getmac, netdom
• Enumeración de grupos y usuarios
– nbtstat
• SNMP
– snmpscan
• Enumeración de mensajes y aplicaciones
– netcat, regdmp
ADACSI
44

Módulo 2
Enumeración - Windows
Contramedidas
• Restringir el acceso a usuarios anónimos
(conexiones de sesión nula) . En el Registro de
Windows (Registry) modificar el valor de la
variable Restrict Anonimous en:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon
trol Set\Control\LSA
• Filtrar todos los puertos TCP y UDP desde el 135 al

139 en todos los dispositivos de acceso a la red
perimetrales.
ADACSI
45
Enumeración - UNIX
• Enumeración de cuentas y recursos
– showmount
• Enumeración de grupos y usuarios
– finger
• Enumeración de mensajes y aplicaciones
– rpcinfo
ADACSI
46

Módulo 2
Enumeración - Contramedidas
• Deshabilitar los agentes snmp de los equipos o
cambiarles las contraseñas por default. Bloquear el
acceso a todos los puertos TCP y UDP 161 y 162
(SNMP) en todos los dispositivos de acceso a la red
perimetrales.
• Cerrar todos los puertos innecesarios
• Bloquear todos los accesos remotos innecesarios
ADACSI
47
Definiciones
• Ataque a la seguridad: Cualquier acción que
comprometa la seguridad de la información de una
organización.
• Mecanismo de seguridad: un mecanismo diseñado
para detectar un ataque a la seguridad, prevenirlo o
restablecerse de él.
• Servicio de seguridad: un servicio que mejora la
seguridad de los sistemas de procesamiento de
datos y la transferencia de información de una
organización. Los servicios están diseñados para
contrarrestar los ataques a la seguridad, y hacen uso
de uno o más mecanismos para proporcionar el
servicio.
ADACSI
48

Módulo 2
Escenarios de Seguridad
Ports abiertos Permisos a los
Falta de
recursos compartidos
actualización Servicios mal
Server Server Server
configurados Instalaciones
Computer Computer por default
Ethernet
Ethernet
LOGs Parches
Server
Backups
INTERNET
Router de Router
Firewall
frontera interno
ACL Ethernet Server
ACL Passwords
Server
Computer Computer débiles

AAA
Privilegios
cuentas usuarios
Usuario remoto
Relaciones
de confianza
ADACSI
49
Mitos
En mi compañía ya tenemos seguridad porque ...
... se instaló un firewall.

firewall
... se contrató una persona para el área.
... en la última auditoría de sistemas no hubo
observaciones importantes.
... ya escribí las políticas.
... se hizo un ppenetration testing
gyy
ya se corrigió
g todo.
... los hackers son buenos y tienen muchos
conocimientos
ADACSI
50

Módulo 2
Antecedentes de ataques
• Comienzo: poca ciencia

– Internos: basados en permisos para modificar Datos
– Externos: averiguar claves válidas
• Actualidad: de todo un poco
– Explorar vulnerabilidades de diseño, configuración y
operación de sistemas
ADACSI
51
Hackers: más peligroso y más fácil

Packet Forging/
Spoofing
High Stealth Diagnostics
DDOS Complejidad
Back Sweepers
Doors de las
Sniffers
Exploiting Known herramientas
Vulnerabilities Hijacking
Sessions
Disabling
Audits
Self Replicating
Code
Password
Cracking Complejidad
de uso
Password
Guessing
Low1980 1990 2000 2010
ADACSI
52

Módulo 2
Clasificación de ataques
según el elemento de ataque
• 1ra gen: ataque físico
– Centrados en los componentes electrónicos
– Solución: redundancia
• 2da gen: ataque sintáctico
– Exploran vulnerabilidades de los programas, algoritmos
de cifrado y de los protocolos.
– Solución: actualización continua
• 3ra g
gen: ataque
q semántico
– Colocación o distribución de información falsa
– Solución: no creer ciegamente todo lo que se lee o recibe
ADACSI
53
Clasificación de ataques
• Número de paquetes a emplear
– Atomic: se requiere un único paquete
– Composite: son necesarios múltiples paquetes
• Información
I f ió necesaria
i para realizarlo
li l
– Context: se requiere sólo información de la cabecera
– Content: es necesario también el campo de datos o payload
ADACSI

Módulo 2
Clasificación de Ataques
según la condición que afecta
• Interrupción
– Afecta a la disponibilidad
• Intercepción
I t ió
– Afecta a la confidencialidad
• Modificación
– Afecta la integridad
• Falsificación
– Afecta a la autenticidad
ADACSI
55
Clasificación de Ataques
• Ataque Pasivo: intenta conocer o hacer uso de la
información del sistema, pero no afecta a los
recursos del mismo.
• Ataque activo: intenta alterar los recursos del
sistema o afectar su funcionamiento.
ADACSI
56

Módulo 2
Ataques Pasivos
ADACSI
57
Ataques Pasivos - Ejemplos
• Escucha de tráfico Red (Sniffing)

• Escucha secreta (Eavesdropping)
• Captura de tráfico (Snooping)
ADACSI
58

Módulo 2
Ataques Pasivos
• Los ataques pasivos se dan en forma de escucha o de
observación no autorizada de las transmisiones.
• El objetivo del atacante es obtener información que se
esté transmitiendo.
• Dos tipos de ataques pasivos son:
– la obtención de contenidos de mensajes
– el análisis de tráfico.
ESCUCHAR
CONFIDENCIALIDAD
Intercepción
Ej. Sniffing
ADACSI
59
Análisis de tráfico
• Este tipo de ataque es más sutil que el anterior.
• Suponga que se ha ocultado el contenido del mensaje
u otro tráfico de información (por ej. cifrando) de
manera qque el atacante incluso habiendo capturado
p el
mensaje no pueda extraer la información que
contiene.
• Aún así, el atacante podría observar el patrón de los
mensajes, determinar la localización y la identidad
de los servidores que se comunican, descubrir la
frecuencia y la longitud de los mensajes que se están
intercambiando
intercambiando.
• Esta información puede ser útil para averiguar la
naturaleza de la información que se está
transmitiendo.
ADACSI
60

Módulo 2
Contramedidas
• Los ataques pasivos son muy difíciles de detectar ya
que no implican alteraciones de los datos.
• Normalmente, el mensaje se envía y se recibe de
una manera aparentemente normal y ni el emisor ni
el receptor son conscientes de que una tercera
persona ha leído los mensajes u observado el patrón
de tráfico.
• Es posible evitar el éxito de estos ataques en general
mediante
di ell uso de
d cifrado.
if d
• Al tratar con ataques pasivos, el énfasis se pone más
en la prevención que en la detección.
ADACSI
61
Monitoreos
• Analizadores de Protocolos: Herramientas de diagnóstico y
seguimiento de los paquetes que son transmitidos a través
de las redes. Pueden ser equipos de Hardware o Software
instalado en PC
PC’ss estándar
• Entre otras realizan las siguientes tareas:

– Obtención de información de todos los paquetes/tramas que se
transmiten por la red
– Analizan datos que componen los paquetes/tramas
– Permiten modificar los datos de los paquetes/tramas
– Pueden almacenar la información que es transmitida, calcular
volumen de tráfico y detectar problemas de tráfico, errores de
Hardware o ruido.
ADACSI
62

Módulo 2
Sniffing
• Ataque muy efectivo en ambientes de difusión
(Ethernet con hubs).
• Se obtiene gran cantidad de información sin cifrar:
usuarios
usuarios, direcciones de e-mail,
e-mail passwords
passwords,
direcciones IP, direcciones físicas, etc
• Al analizar se pueden obtener las topologías de red.
• Ataque de tipo interno
• Consistente en capturar tramas que circulan por la red
mediante un programa ejecutándose en una máquina
conectada a ella con su placa de red configurada en
modo promiscuo, o bien mediante un dispositivo que
se engancha directamente el cableado (wiretapping).
ADACSI
63
Sniffing
• Un sniffer no es más que un sencillo programa que
recibe toda la información que pasa por la interfaz
de red a la que está asociado. Una vez capturada, se
la puede almacenar para su análisis posterior.
posterior
• Estos dispositivos, denominados sniffers de alta
impedancia, se conectan en paralelo con el cable de
forma que la impedancia total del cable y el aparato
es similar a la del cable solo, lo que hace difícil su
detección.
detecc ó .
ADACSI
64

Módulo 2
Sniffing
Desactivación del filtro MAC
• Una de las técnicas más utilizadas por la mayoría de los sniffers de redes
Ethernet se basa en la posibilidad de configurar la interfaz de red para que
desactive su filtro MAC (poniendo la tarjeta de red en modo promiscuo).
• Las redes basadas en dispositivos Ethernet (donde todas las máquinas de
una misma red local comparten el mismo medio) fueron concebidas para
que todos los equipos sean capaces de ver el tráfico de toda la red.
• Cuando los equipos se envían datos es necesario especificar explícitamente
el destinatario, indicando su dirección física o MAC.
• Para evitar que cualquier máquina reciba información que no le
corresponde, las tarjetas Ethernet incorporan un filtro que ignora todo el
tráfico que no vaya dirigido a ellas, descartando aquellos paquetes con una
dirección MAC que no coincide con la suya. La desactivación de este filtro
se conoce con el nombre de modo promiscuo.
• En esta situación un sniffer podrá capturar tanto los paquetes destinados a
esta máquina como el resto de tráfico de la misma red.
ADACSI
65
Sniffing
• Contra estos ataques existen diversas soluciones; la más económica a
nivel físico es no permitir la existencia de segmentos de red de fácil
acceso, lugares ideales para que un atacante conecte un sniffer y capture
todo nuestro tráfico.
• Otra contramedida es el uso de aplicaciones
p de cifrado ppara realizar las
comunicaciones o el almacenamiento de la información.
• Tampoco se deben descuidar las tomas de red libres, donde un intruso
con una PC portátil puede conectarse para capturar tráfico.
• Es recomendable analizar regularmente nuestra red para verificar que
todas las máquinas activas están autorizadas.
• Otra técnica consiste en la segmentación de la red mediante el uso de
switches Al segmentar la red,
switches. red el único tráfico que tendrían que ver las
máquinas sería el que les pertenece, puesto que el switch se encarga de
encaminar hacia la puerta correspondiente únicamente aquellos
paquetes destinados a las direcciones MAC que ha aprendido en dicha
puerta.
ADACSI
66

Módulo 2
Captura con un sniffer - telnet
ADACSI
67
• El protocolo telnet es transportado por TCP. Los paquetes 3, 4 y 5

corresponden al establecimiento de la sesión TCP para telnet (port 23).
ADACSI
68

Módulo 2
• El paquete 9 muestra la petición de identificación, es decir el nombre de

usuario que realiza el servidor al equipo cliente.
ADACSI
69
• El paquete 16 muestra el primero de los caracteres de las credenciales de

identificación de usuario, el carácter “a” que envía el cliente al servidor.
ADACSI
70

Módulo 2
• El paquete 20 muestra el segundo de los caracteres de las credenciales de

identificación de usuario, el carácter “d” que envía el cliente al servidor.
ADACSI
71
• El paquete 23 muestra el tercero de los caracteres de las credenciales de

identificación de usuario, el carácter “m” que envía el cliente al servidor.
ADACSI
72

Módulo 2
• El paquete 27 muestra el cuarto de los caracteres de las credenciales de

identificación de usuario, el carácter “i” que envía el cliente al servidor.
ADACSI
73
• El paquete 31 muestra el quinto y último,

último en este ejemplo,
ejemplo de los caracteres de
las credenciales de identificación de usuario, el carácter “n” que envía el
cliente al servidor.
ADACSI
74

Módulo 2
• El paquete 39 muestra la petición de autenticación, es decir la contraseña, que

realiza el servidor al equipo cliente.
ADACSI
75
• A partir del paquete 41 se muestran los caracteres de las credenciales de

autenticación de usuario, (en este paquete el carácter “a”) que envía el cliente
al servidor. El proceso es similar al de identificación. Los caracteres de la
contraseña se envían de a uno por paquete.
ADACSI
76

Módulo 2
• Todo lo anterior se puede resolver más sencillamente mediante filtros u

herramientas que tienen los sniffers.
• Por ejemplo, si se selecciona el paquete 3 que es donde se inicia la sesión
TCP de telnet y luego se elige de la barra de menú la opción “Analyze”, y
una vez desplegada la ventana se elige la opción “Follow TCP Stream”
se obtendrá el detalles de la sesión completa.
ADACSI
77
ADACSI
78

Módulo 2
Captura con un sniffer - correo pop3
ADACSI
79
Captura - detalle de capas
ADACSI
80

Módulo 2
Captura - descubriendo el servidor
ADACSI
81
Captura - descubriendo el usuario
ADACSI
82

Módulo 2
Captura - descubriendo la password
ADACSI
83
Sniffing
• Las técnicas de sniffing también se conocen como
técnicas de eavesdropping y técnicas de snooping.
• Eavesdropping, es una variante del sniffing,
caracterizada por realizar la adquisición o
intercepción del tráfico que circula por la red de
forma pasiva, es decir, sin modificar el contenido
de la información.
• Las técnicas de snooping se caracterizan por el
aalmacenamiento
ace a e to de laa información
o ac ó captu
capturada
ada een eel
ordenador del atacante, mediante una conexión
remota establecida durante toda la sesión de
captura. En este caso, tampoco se modifica la
información incluida en la transmisión.
ADACSI
84

Módulo 2
Eavesdroping
• La interceptación o eavesdropping, también
conocida por passive wiretapping es un proceso
mediante el cual un agente capta información - en
claro o cifrada - que no le iba dirigida; esta
captación puede realizarse por muchísimos medios
(por ejemplo, capturando las radiaciones
electromagnéticas).
• Aunque es en principio un ataque completamente
pasivo, lo más peligroso del eavesdropping es que
es muy difícil de detectar mientras que se produce,
de forma q que un atacante p puede capturar
p
información privilegiada y claves para acceder a
más información sin que nadie se de cuenta hasta
que dicho atacante utiliza la información
capturada, convirtiendo el ataque en activo.
ADACSI
85
Snooping
• Aunque el resultado es en muchos aspectos similar al
sniffing, técnicamente poco tiene que ver con éste.
• En ningún momento se capturan datos que circulan por la
red,
d la
l tarjeta
j no trabaja
b j en modo
d promiscuo
i ( más,
(es á nii
siquiera es necesario un interfaz de red), simplemente, la
información que un usuario introduce en un terminal es
clonada en otro, permitiendo tanto la entrada como la
salida de datos a través de ambos.
• En algunas versiones de Linux existe un programa
d
denominado
i d ttysnoop capaz de d registrar
i en tiempo
i reall
todo lo que un usuario teclea en una terminal, tanto física
como virtual.
ADACSI
86

Módulo 2
DNS Snooping
• DNS cache snooping es una técnica que permite conocer
los nombres de dominio que ha resuelto un servidor DNS.
• Permite al atacante averiguar qué dominios están resueltos
por el servidor y,
y consecuentemente,
consecuentemente cuáles no.
no
• El hecho de que un servidor DNS ofrezca esta
vulnerabilidad, es considerado como el nivel más bajo de
vulnerabilidades que puede sufrir un sistema informático.
• Un servidor DNS vulnerable está otorgando información
sobre la red al atacante y dicha información puede ser
utilizada para explotar eficientemente otras
vulnerabilidades.
• La información obtenida por el atacante, explotando esta
vulnerabilidad, se encuentra enmarcada en la fase de
descubrimiento, si se consideran las etapas de un ataque
informático.
ADACSI
87
Detección de sniffers en Unix/Linux

• En entornos Linux o UNIX la verificación de una
interface en modo promiscuo se puede hacer usando
ifconfig. Este programa configura la interface de red
instalada en un determinado host y obtiene información
de la configuración en el momento de ejecutar el
programa. Cuando un adaptador de red se encuentra en
modo promiscuo, ifconfig nos devuelve la siguiente
información:
$ ifconfig -a
$ eth0 Link Encap:
p 10Mbps
p Ethernet HWaddr: xx:xx:xx:xx:xx:xx
inet addr: a.b.c.d Bcast: a.b.c.f Mask: m.m.m.m
UP BROADCAST RUNNING PROMISC MULTICAST
MTU:1500 Metric:1
• Este mecanismo no es infalible.
ADACSI
88

Módulo 2
• Existen programas que pueden hacer esta labor como Nast.
(Network Analizer Sniffer Tool) http://nast.berlios.de/
• Nast es un Sniffer multipropósito. Entre otras funciones,
realiza:
– li d de
listado d host
h ded una red,
d
– búsquedas de Gateway,
– control y decubrimiento de ARP-Spoofing
– reseteo de conexiones TCP establecidas,
– búsqueda de dispositivos hub / switch,
– escaneo de puertos
– seguimiento de TCP data Stream
• Para descubrir el modo promiscuo en interfaces de red se
debe ejecutar nast en el modo:
$ nast -P, [IP de la interfase]
• nos devolverá información de si dicha interface está en modo promiscuo.
$ Nast V. x.x.x
ADACSI
89

• CMP (Check Promiscuous Mode)
– ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/cpm/
• Este pequeño programa realizado por la Universidad de
Carnegie Mellon, chequea el interfaz de red de la máquina
descubriendo si está siendo utilizado en modo promiscuo
(escuchando todo el tráfico de la red).
– $ cpm
– 4 network interfaces found:
– eth0:5: Normal
eth0:3: Normal
eth0:2: Normal
eth0:1: Normal
eth0: *** IN PROMISCUOUS MODE ***
• Existen otros programas como Antisniff, Sentinel, SniffDet,
ifstatus o NEPED
ADACSI
90

Módulo 2
Detección de sniffers en Windows
• PromiScan http://www.securityfriday.com/tools/promiscan_sla.html
• "PromiScan (www.securityfriday.com) es una utilidad de
distribución gratuita diseñada para dar caza a los nodos
promiscuos en una LAN rápidamente y sin crear una carga
pesada en la red. Hay que tener en cuenta que localizar un
nodo promiscuo es una tarea ardua, y que en muchos casos el
resultado es incierto; no obstante, PromiScan consigue
mostrar cada uno de esos nodos de una manera transparente,
claramente visible.
• PromiscDetect http://www.ntsecurity.nu/downloads/promiscdetect.exe
• DecaffeinatID http://irongeek.com/downloads/decaffeinatid0.09.zip
• Otra herramienta, que, aunque tiene otras funciones, nos puede servir para
la detección de sniffers es DecaffeinatID, que nos informará de cualquier
cambio en la tabla de entradas ARP. La utilidad permanece residente
monitorizando de forma automática. Se trata, pues de una herramienta
ARP-Watch. ADACSI
91
Detección de sniffers (otras técnicas)

• El Test del Ping. Se construye una petición tipo “ICMP
echo” con la dirección IP de la máquina sospechosa de
ejecutar un sniffer, pero con una dirección MAC
deliberadamente errónea.
• Se envía un paquete “ICMP echo” al objetivo con la
dirección IP correcta, pero con una dirección de hardware de
destino distinta. La mayoría de los sistemas desatenderán este
paquete ya que su dirección MAC es incorrecta. Pero en
algunos sistemas Linux, NetBSD y NT, puesto que el NIC
está en modo ppromiscuo,, el sniffer captará
p este ppaquete
q de la
red como paquete legítimo y responderá por consiguiente. Si
el blanco en cuestión responde a la petición, se sabrá que está
en modo promiscuo.
ADACSI
92

Módulo 2
Ataques Activos
ADACSI
93
Ataques Activos
• Los ataques activos implican alguna modificación
del flujo de datos o la creación de un flujo falso y se
pueden dividir en cuatro categorías:
– Suplantación de identidad
– Repetición
– Modificación de mensajes
– Interrupción de servicio
ADACSI
94

Módulo 2
Suplantación
• Se produce cuando una entidad finge ser otra.
• Un ataque de este tipo incluye habitualmente una de
las otras formas de ataque activo. Por ejemplo las
secuencias de autenticación pueden ser capturadas y
repetidas después de que una secuencia válida de
autentificación haya tenido lugar, permitiendo así,
que una entidad autorizada con pocos privilegios
obtenga privilegios extra haciéndose pasar por la
entidad que realmente los posee.
Suplantación
INTEGRIDAD
Y
AUTENTICIDAD
ADACSI
95
Repetición
• Implica la captura pasiva de una unidad de datos y su
retransmisión posterior para producir un efecto no
autorizado.
Captura y Repite
CONFIDENCIALIDAD
Y AUTENTICIDAD
ADACSI
96

Módulo 2
Modificación de Mensajes
• Es cuando una parte de un mensaje original es
alterada, o que los mensajes se han retrasado o
reordenado, para producir un efecto no autorizado.
Intercepta y reenvía el mensaje modificado
INTEGRIDAD
CONFIDENCIALIDAD
Y AUTENTICIDAD
ADACSI
97
Interrupción de Servicio
• Impide el uso o la gestión normal de las utilidades de
comunicación.
• Podría tener un objetivo específico como por ejemplo
suprimir todos los mensajes dirigidos a un destino en
particular (por ej. a auditoría de seguridad).
• Otra variante sería la interrupción de una red
completa, ya sea inhabilitándola o sobrecargándola
con mensajes para reducir su rendimiento.
INTERRUMPIR
DISPONIBILIDAD
ADACSI
98

Módulo 2
Contramedidas
• Los ataques activos presentan características opuestas
a los pasivos. Aunque los ataques pasivos son
difíciles de detectar, existen medidas para prevenir su
éxito.
• Sin embargo, es bastante difícil prevenir por
completo los ataques activos, debido a que se
requeriría la protección física y lógica de todas las
herramientas de comunicación y las rutas en todo
momento.
• Por el contrario, el objetivo es de detectarlos y
recuperarse de cualquier interrupción o retraso que
originen.
• Como la detección tiene un efecto disuasivo, podría
contribuir a la prevención.
ADACSI
99
Ataques Activos - Ejemplos

• Ataque de fuerza bruta
• Enmascaramiento
• Reenvío de paquetes
p q
• Modificación de mensajes (Hijacking)
• Acceso no autorizado a través de servicios de red
(intentos de penetración)
• Negación de servicio (DoS)
• Bombardeo de Mails (Spamming)
• Suplantación del Correo electrónico (Spoofing)
ADACSI
100

Módulo 2
Spoofing
• En términos de seguridad de redes hace referencia al
uso de técnicas de suplantación de identidad
generalmente con usos maliciosos o de investigación.
• Existen diferentes tipos de spoofing dependiendo de la
tecnología a la que nos refiramos, como el IP spoofing
(quizás el más conocido), ARP spoofing, DNS
spoofing, Web spoofing o e-mail spoofing, aunque en
general se puede englobar dentro de spoofing
cualquier tecnología de red susceptible de sufrir
suplantaciones de identidad.
ADACSI
101
ARP Spoofing
• Con el objetivo de reducir el tráfico de broadcast en
la red, cada respuesta de ARP (arp-reply) que llega a
la tarjeta
j de red es almacenada en una tabla caché,
aunque la máquina no haya realizado la
correspondiente petición.
• Así pues, toda respuesta de ARP que llega a la
máquina es almacenada en la tabla de ARP de este
equipo. Este mecanismo es el que se utilizará para
realizar
li ell ataque de
d suplantación
l ió ded ARP.
ARP
• Este engaño se conoce con el nombre de
”envenenamiento de ARP”(ARP poisoning).
ADACSI
102

Módulo 2
ARP Spoofing
• Los Switches y los hosts guardan una tabla local con la
relación IP-MAC llamada "tabla ARP".
• Dicha tabla ARP puede ser falseada por un ordenador
atacante que emita tramas ARP-REPLY indicando su MAC
como destino válido para una IP específica, como por
ejemplo
j l la
l de
d un router,t d esta
de t manera lal información
i f ió
dirigida al router pasaría por el ordenador atacante quien
podrá “sniffear” dicha información y redirigirla si así lo
desea.
• Con el comando arp y el parámetro –a se puede ver con
contenido de la tabla arp caché.
ADACSI
103
ARP Spoofing
• Un host, antes de enviar una petición ARP, trata de resolver
buscando en las propias entradas del caché.
• Cada host mantiene una tabla caché ARP, la cual contiene
las correspondencias más recientes entre las direcciones IP y
las direcciones hardware.
• Las entradas en esta tabla pueden ser:
• Entradas dinámicas: la dirección física se obtiene de una
respuesta ARP. Las entradas tienen un tiempo de vida
establecido. Cuando este tiempo finaliza, la entrada
correspondiente es eliminada del caché.
• Entradas estáticas: la dirección física es introducida
manualmente por el usuario. Las entradas así creadas no
tienen tiempo de vida, por lo que se tienen que eliminar
también de forma manual.
ADACSI
104

Módulo 2
ARP Spoofing
• El objetivo de un ataque de suplantación de ARP es poder
capturar tráfico ajeno sin necesidad de poner en modo
promiscuo la interfaz de red.
• Envenenando la tabla de ARP de los equipos involucrados
en la comunicación que se quiere capturar se puede
conseguir que el switch les haga llegar los paquetes.
• Si el engaño es posible, cuando las dos máquinas comiencen
la comunicación enviarán sus paquetes hacia la máquina
donde está el sniffer. Este, para no descubrir el engaño, se
encargará de encaminar el tráfico que ha interceptado.
ADACSI
105
ARP Spoofing
• ARP SPOOFING es la Suplantación de Identidad por
falsificación de la tabla ARP.
• Se trata de la construcción de tramas de solicitud y respuesta
ARP modificadas con el objetivo de falsear la tabla ARP
(relación IP-MAC) de una víctima y forzarla a que envíe los
paquetes a un host atacante en lugar de hacerlo a su destino
legítimo.
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Hardware Protocol Network Protocol
Hardware Address Lengh Network Address Lengh Respuesta

Sender Hardware Address
Sender Network Address
Sender Network Address
Target Hardware Address
Target Network Address
• El protocolo ARP trabaja a nivel de enlace de datos de OSI, por lo que esta
técnica solo puede ser utilizada en redes LAN o en cualquier caso en la
parte de la red que queda antes del primer Router.
ADACSI
106

Módulo 2
ARP Spoofing
• Se puede lograr un ataque de “Man in the Middle” (MITM)
haciendo creer a las víctimas que somos con quien quieren
comunicarse suplantando las direcciones MAC de dichas
víctimas.
• En lugar de modificar nuestra dirección física, lo que se busca
es indicarle a cada víctima que la dirección MAC que busca es la
nuestra.
• Ejemplo:
Actores:
PC cliente (PCC) : IP= 192.168.1.1 MAC= 00:12:34:11:11:11
PC servidor (PCS) : IP= 192.168.1.2 MAC= 00:12:34:22:22:22
PC atacante : (PCA) IP= 192.168.1.3 MAC= 00:12:34:33:33:33
ADACSI
107
ARP Spoofing
• Desde la PCA se envían paquetes de respuesta ARP falsos hacia
las víctimas.
• A PCC le indicamos que la dirección MAC del servidor es la
nuestra.
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

00:12:34:33:33:33
192.168
1.2
00:12:34:11:11:11
192.168.1.1
ADACSI
108

Módulo 2
ARP Spoofing
•A PCS (el servidor) también le indicamos que la dirección MAC
del cliente es la nuestra.
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

00:12:34:33:33:33
192.168
1.1
00:12:34:22:22:22
192.168.1.2
ADACSI
109
ARP Spoofing
• Para evitar que las arp-cache de las PC de las víctimas
se refresquen, se deben enviar flujos constantes de
paquetes ARP-Replay modificados hacia ambas
víctimas Esto es lo que se conoce como ataque ARP-
víctimas.
Poisoning.
• Ahora, para que nadie se entere de que estamos en el
medio, se deben hacer llegar los paquetes a los
verdaderos destinatarios reenviándoles los paquetes
capturados.
• Así la comunicación entre ambos no se ve
interrumpida, y se puede “ver” todo el tráfico entre
ellos.
ADACSI
110

Módulo 2
ARP Spoofing
• Para ejecutar el ataque se debe utilizar un snnifer
para poder capturar y filtrar el tráfico entre ambos.
• Se pueden obtener ya sea nombres de usuario,
contraseñas,
t ñ o guardard sesiones
i completas.
l t
• Existen varios programas que permiten manipular
paquetes de datos tanto en entornos xNIX como en
entorno Windows.
ADACSI
111
ARP Spoofing
• Cain&Abel: Es un programa para sistemas operativos de Microsoft que
permite recuperar contraseñas. Aunque no es su principal función, utiliza
técnicas de ARP spoofing para capturar el tráfico de la red y recuperar o
incluso modificar contraseñas. Es capaz de interpretar múltiples protocolos,
incluso VoIP para realizar escuchas telefónicas de forma sencilla.
http://www oxid it/cain html
http://www.oxid.it/cain.html
• Dsniff: Es un conjunto de herramientas para la auditoría de redes de cualquier
tipo, incluyendo aquellas construidas con conmutadores. Algunas de sus
características más llamativas incluyen la intercepción de tráfico cifrado con
los protocolos HTTPS (HTTP Secure) y SSH (Secure SHell), aprovechando la
debilidad de los mismos a la hora de establecer contextos de seguridad
basados en una infraestructura de clave pública (PKI).
http://www.monkey.org/~dugsong/dsniff/
• Arp-sk: Se define por sus propios autores como una “navaja suiza” para ARP.
Se trata de un generador de paquetes ARP que permite casi cualquier uso
posible del protocolo para realizar numerosos ataques, no sólo aquellos
basados en el envenenamiento de caché. Desde suplantaciones más
elaboradas, hasta denegaciones de servicio a una máquina o incluso toda la
ADACSI
subred. http://sid.rstack.org/arp-sk/
112

Módulo 2
ARP Spoofing
• Arp-tool: es un sencillo programa para plataformas UNIX que permite realizar
envenenamientos de cachés ARP y otras manipulaciones construyendo
paquetes personalizados. Se ha hecho muy famoso al ser incluido junto a un
exploit que permite la obtención de contraseñas de los usuarios de los
servicios Hotmail y Messenger de Microsoft, así como la denegación de
servicio de los clientes o la instalación en los mismos de software no deseado.
deseado
http://www.securiteam.com/exploits/5IP0E2A4UE.html
• Arpoison: es otra herramienta para construir paquetes ARP personalizados
que permitan realizar ataques de envenenamiento de cachés o similares. Su
principal ventaja reside en la posibilidad de ajustar el número de paquetes y el
lapso de tiempo entre los mismos a los parámetros que mejor se ajusten a la
red que estamos analizando. http://www.arpoison.net/
• Brian: Esta herramienta extremadamente simple (comprendido en un sólo
fichero C) utiliza ARP poisoning para deshabilitar las interconexiones en la
LAN. Esto permite a un atacante sniffear todo el tráfico en la red.
http://www.bournemouthbynight.co.uk/tools/
ADACSI
113
ARP Spoofing
Ettercap: es la herramienta por excelencia para realizar ataques de tipo “man in
the middle”, utilizando ARP spoofing y otras sofisticadas técnicas. Permite la
monitorización y filtrado del tráfico de una red o entre dos nodos de la misma,
incluyendo la disección tanto activa como pasiva de múltiples protocolos. Al
igual que Dsniff o Cain & Abel,
Abel es capaz de extraer información sensible del
tráfico analizado. Está disponible para múltiples plataformas (tanto UNIX como
Windows) y provee además varias interfaces de uso diferentes, para adaptarse a
las circunstancias de la mejor forma posible. Ettercap es capaz de intervenir
comunicaciones cifradas bajo SSL en protocolos como HTTPS o SSHv1, lo que
lo convierte en una herramienta muy polivalente y ampliamente utilizada.
Incluye la posibilidad de realizar ataques de envenenamiento de DHCP, robo de
puertos o redirecciones ICMP, así como el descubrimiento preciso de una red de
computadoras. Por si todas estas características no fuesen suficientes,
implementa una arquitectura escalable por medio de plugins que permite
ampliar su funcionalidad. http ://ettercap.sourceforge.net
ADACSI
114

Módulo 2
ARP Spoofing
• Arpoc y WCI: Este programa para Unix y Windows realiza un ataque tipo
“man in the middle” en la red LAN. Contesta a cada petición ARP que alcanza
la máquina con una respuesta ARP manipulada y reenvía cualquier paquete de
entrega no local al router apropiado. http://www.phenoelit-us.org/
• Parasite: El servicio Parasite sniffea la red LAN y responde a peticiones ARP
con respuestas ARP manipuladas. La herramienta permite gradualmente a la
máquina establecerse por sí misma como un hombre en el medio para
cualquier comunicación en la red. http://www.thc.org/releases.php
ADACSI
115
ARP Spoofing
• La manera más sencilla de protegerse de esta técnica es
revisando la tabla ARP que se desea proteger para ver si hay en
algún momento dos equipos con la misma dirección MAC.
• También se puede proteger mediante tablas ARP estáticas
(siempre que las ips de red sean fijas).
• Para convertir una tabla ARP estática tendríamos que ejecutar
el comando:
• Comando # arp -s [IP] [MAC]

• EJEMPLO:
# arp -s 192.168.2.2
192 168 2 2 00:12:34:22:22:22
00 12 34 22 22 22
• Siempre se puede eliminar una dirección estática con el
comando: # arp -d 192.168.2.2 00:12:34:22:22:22
• El problema es que para una red grande se dificulta la gestión.
ADACSI
116

Módulo 2
ARP Spoofing
• Otra manera más evolucionada y costosa es la
instalación y configuración de sistemas de
detección de intrusos, tanto a nivel de host como a
nivel
i l de
d red.
d
• La idea es que estos sistemas impidan el paso de
paquetes de respuesta ARP que no fueron
solicitados y además detecte y bloquee tormentas de
paquetes ARP-REPLAY.
ADACSI
117
ARP Spoofing
• El ataque de MITM no es el único que se puede hacer con la
técnica de ARP-Spoofing.
• Se puede efectuar un ataque de Denegación de Servicio (DoS)
• Si se envenena la caché arp de un servidor por ejemplo
haciéndonos pasar por el gateway de la red (suplantándolo),
(suplantándolo)
toda la comunicación pasará por nuestro equipo.
• Si se desechan todos los paquetes que el servidor envía a sus
clientes, esto provocaría una DoS sin que los clientes sepan
qué sucede.
• Las posibilidades son muchísimas, pudiendo llegar hasta
controlar una red completa.
• Una protección adicional es utilizar switches con
funcionalidades de autentificación de equipos y que puedan
fijar las direcciones MAC de sus puertas, bloqueando dicha
puerta si detecta el paso de una MAC distinta a la que tiene
autorizada.
ADACSI
118

Módulo 2
IP spoofing
• La idea es actuar en nombre de otro equipo.
• Se basa en generar paquetes IP con dirección de
g falsa.
origen
• Objetivos: Pasar filtros o aprovechar relaciones de
confianza.
• Ej:
– configurar una interfase de loopback en un router con
una dir IP deseada.
– Configurar interfases virtuales en los S.O.
• Deben seleccionarse dir IP libres
ADACSI
119
IP spoofing
•Suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un
paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se
consigue generalmente gracias a programas destinados a ello y puede ser usado
para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP.
•Hay que tener en cuenta que las respuestas del host que reciba los paquetes irán
dirigidas a la IP falsificada
falsificada. Por ejemplo si enviamos un ping (paquete icmp "echo
echo
request") spoofeado, la respuesta será recibida por el host al que pertenece la IP
legalmente. Este tipo de spooofing unido al uso de peticiones broadcast a
diferentes redes es usado en un tipo de ataque de flood conocido como ataque
smurf.
•Para poder realizar IP SPOOFING en sesiones TCP, se debe tener en cuenta el
comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con su
ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no
se le impide de alguna manera) cortar la conexión en cualquier momento al
recibir paquetes sin haberlos solicitado.
•También hay que tener en cuenta que los routers actuales no admiten el envío de
paquetes con IP origen no perteneciente a una de las redes que administra (los
paquetes spoofeados no sobrepasarán el router).
ADACSI
120

Módulo 2
DNS Spoofing
•Suplantación de identidad por nombre de dominio. Se
trata del falseamiento de una relación "Nombre de
dominio-IP" ante una consulta de resolución de nombre,
es decir, resolver con una dirección IP falsa un cierto
nombre
b DNS o viceversa.
i E
Esto se consigue
i falseando
f l d las
l
entradas de la relación Nombre de dominio-IP de un
servidor DNS, mediante alguna vulnerabilidad del
servidor en concreto o por su confianza hacia servidores
poco fiables. Las entradas falseadas de un servidor DNS
son susceptibles de infectar (envenenar) el caché DNS de
otro servidor diferente ((DNS Poisoning).
g)
ADACSI
121
WEB Spoofing
•Suplantación de una página web real (no confundir con phising).
Enruta la conexión de una víctima a través de una página falsa
hacia otras páginas WEB con el objetivo de obtener información
de dicha víctima (páginas WEB visitas, información de
formularios,, contraseñas etc.).
) La página
p g WEB falsa actúa a modo
de proxy solicitando la información requerida por la víctima a cada
servidor original y saltándose incluso la protección SSL. El
atacante puede modificar cualquier información desde y hacia
cualquier servidor que la víctima visite. La víctima puede abrir la
página web falsa mediante cualquier tipo de engaño, incluso
abriendo un simple LINK. El WEB SPOOFING es difícilmente
detectable, quizá la mejor medida es algún plugin del navegador
que muestre en todo momento la IP del servidor visitado,
visitado si la IP
nunca cambia al visitar diferentes páginas WEB significará que
probablemente estemos sufriendo este tipo de ataque.
ADACSI
122

Módulo 2
Mail Spoofing
•Suplantación en correo electrónico de la dirección e-
mail de otras personas o entidades. Esta técnica es usada
con asiduidad para el envío de e-mails hoax como
suplemento perfecto para el uso de phising y para SPAM,
es tan sencilla
ill como ell uso dde un servidor
id SMTP
configurado para tal fin. Para protegerse se debería
comprobar la IP del remitente (para averiguar si
realmente esa ip pertenece a la entidad que indica en el
mensaje) y la dirección del servidor SMTP utilizado.
Otra técnica de protección es el uso de firmas digitales.
ADACSI
123
Ataques SMTP
• Vinculados al correo electrónico

• Ataque a nivel de aplicación
• Protocolo SMTP (puerto TCP 25)
– Bombing
• Saturar un mailbox
– Spamming
• Distribuir un mensaje a muchos
– Spoofing
• Alterar identidad del remitente
ADACSI
124

Módulo 2
DoS - Denial of Service
• Denegación de un servicio debido a un ataque
externo.
– Consumo de recursos escasos
• C
Conectividad
ti id d (SYN flood)
fl d)
• Uso de recursos ajenos (neg serv UDP)
• Consumo de ancho de banda (ICMP)
• Consumo de otros recursos
– Alteración de configuración
• Configuración de routers
• Registry en Windows
– Alteración física de recursos
• Racks y backbone
• “Trends in DoS Attack Technology” CERT
ADACSI
125
Flooding
– Net Flood
• Degradar la capacidad de conexión a la red saturando sus enlaces.
• ICMP Flood y UDP Flood. BW ataque  BW atacado.
– Smurf
• Variante del Net Flood qque aprovecha
p las características de
broadcast de las redes. (Nuking)
• Se combina con IP spoofing . Se envía paquete ICMP (IP origen:
máquina a atacar; IP destino: broadcast).
– TCP Syn Flood
• Asociado al protocolo TCP. (limitación de conexiones)
• Envío de paquetes SYN a un sistema  reserva de memoria.
• Se puede combinar con IP spoofing. (“neptune”, “synk4”)
– Connection Flood
• Variante del Syn Flood que establece la conexión (a veces no FIN)
– SMTP Flood
• Envío masivo de mensajes a grandes listas.
ADACSI
126

Módulo 2
DDoS
• Variante de DoS Distribuidos
• Son ataques masivos desde distintas fuentes a un mismo
objetivo.
• Origen: gusano de Robert Morris
• Expansión a gran escala: año 2000
• IRC o chat (puertos 6660 y 6669)
• Aprovecha vulnerabilidades de los S.O. y aplicaciones
(bufferoverflows, format-strings)
• Fases
– 1. Escanear muchos sistemas frente a una vulnerabilidad conocida.
– 2. Acceder a esos sistemas a través de la vulnerabilidad
– 3. Instalar la herramienta de DDoS en cada sistema
– 4. Utilizar esos sistemas para comprometer a otros
ADACSI
127
Ping of death
• Ping de la muerte (1996)
– Envía un paquete ping (ICMP echo request) > 64KB.
– Se pproduce overflow en el buffer de memoria asignado.
g
– Cálculo: 65535 - 20 - 8 = 65507 bytes
• Unix: # ping adacsi.com 65510
• Win: C:\ping -l 65510 adacsi.com
– Protección: vigilar paquetes ICMP de gran tamaño.
ADACSI
128

Módulo 2
Referencias para Best Practices
1. Best practice source: Control Objectives for Information and related Technology
Description: Generally accepted best practices, processes, measures and indicators for IT
governance and control.
Website: http://www.isaca.org
2. Best practice source: ISO/IEC 27001 IT Security techniques -- Information security
management systems
Description: Comprehensive management system for information security focused on IT
risk and controls.
Website: http://www.iso.org
3. Best practice source: Center for Internet Security (CIS) Benchmarks
Description: Best practice standards and benchmarks to control IT risks. The focus is on
technical security benchmarks, configurations and metrics.
Website: http://cisecurity.org
4. Best practice source: Open Web Application Security Project (OWASP)
Description: Web and application security best practices and tools.
tools
Website: http://www.owasp.org
5. Best practice source: US Department of Defense, Security Technical Implementation
Guides (STIGs)
Description: Technical configuration standards developed and used by the US
Department of Defense. Covers a wide range of technologies.
Website: http://iase.disa.mil/stigs/index.html
ADACSI
129
Referencias para Best Practices

6. Best practice source: US National Security Agency (NSA) Guides
Description: Technical security configuration guides developed and used by the US
National Security Agency covering a wide range of technologies.
Website: http://www.nsa.gov/ia/guidance/security_configuration_guides/
7. Best practice source: US Federal Financial Institutions Examination Council's
Description: Series of 'booklets' co
covering
ering wide
ide range of technologies and designed for
federal auditors to assess compliance with best practices.
Website: http://www.ffiec.gov
8. Best practice source: US National Institute of Standards and Technology (NIST),
Computer Security Division, Special Publications (SPs)
Description: Series of publications on security guidelines designed for a wide range of
technologies.Website: http://csrc.nist.gov/publications/PubsSPs.html
9. Best p
practice source: Committee of Sponsoring
p g Organizations
g of the Treadwayy
Commission (COSO) Framework
Description: Internal control and risk management framework used in compliance with
Sarbanes-Oxley Act of 2002.Website: http://www.coso.org
10. Best practice source: Information Technology Infrastructure Library (ITIL)
Description: Comprehensive set of best practices for IT services management (problem,
ADACSI
change, configuration, incident management), development and operations. Published
by UK Office of Government Commerce.Website: http://www.itil-officialsite.com 130

Módulo 2
Referencias
– Nmap (U): insecure.org/nmap

– Nmap (NT): www.eeye.com/html/research/tools
– S
Superscan (W)
(W): members.home.com/rkeir/soft
b h / k i / ft
– Netscan (W): nwpsw.com
– Strobe (U): ftp.FreeBSD.org/pub/FreeBSD/ports
– Netcat (U y NT): 10pht.com/weld/netcat
– WinScan (W): prosolve.com
– Nessus (U y W): nessus.org
nessus org
– Satan (U y W): fish.com/satan ; wwdsi.com/saint
ADACSI
131
Interrupción - Disponibilidad
Tcp-wrapper Nocol
Tcplogger Tiger
Udplogger Crack
Icmplogger Noshell
Etherscan Trinux
Nstat Monitor de performance
Argus Windows NT Resource Kit
Gabriel Scan NT
Suck Server NetXRayy
Red Button
ADACSI
132

Módulo 2
Intercepción - Privacidad
Tcp-wrapper Cpm
Tcplogger Ifstatus
Icmplogger Trinux
Etherscan Monitor de red
Tcpdump Windows NT Resource Kit
ISS Internet Scanner
Courtney Scan NT
Gabriel NetXRay
Nocol Suck Server
Ti
Tiger R d Button
Red B tt
Crack
ADACSI
133
Modificación - Integridad
Tcp-wrapper lsof
Tcplogger osh
Icmplogger noshell
Etherscan trinux
ISS Monitor de sucesos
Gabriel Windows NT Resource
COPS Kit
Tiger Scan NT
Red Button
ADACSI
134

Módulo 2
Producción - Integridad
Tcp-wrapper Tripwire
Tcplogger Lsof
Icmplogger Osh
Etherscan Noshell
ISS Trinux
Gabriel Monitor de sucesos
COPS Windows NT Resource
Tiger Kit
Crack Scan NT
Red Button
ADACSI
135
SARA
ADACSI
136

Módulo 2
MBSA
ADACSI
137
MBSA
ADACSI
138

Módulo 2

Seg Redes 2 Vulnerabilidades Ataques

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seg Redes 2 Vulnerabilidades Ataques

Cargado por

Copyright:

Formatos disponibles

Curso de

Docentes: Seguridad de la Información en

Vulnerabilidades de la capa física

Docentes: Seguridad de la Información en

Vulnerabilidades de la capa de red

Docentes: Seguridad de la Información en

Vulnerabilidades de la capa de aplicación

Docentes: Seguridad de la Información en

Vulnerabilidades de la capa de aplicación

Docentes: Seguridad de la Información en

Vulnerabilidades de la capa de aplicación

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

1 - Determinación del ámbito de actividades

• En algunos casos, puede ser una tarea desalentadora

Docentes: Seguridad de la Información en

• Para ello se debe ubicar en Internet la base de datos

• El cuerpo responsable de la coordinación de algunos

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Configuración del DNS

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Contramedidas para Barridos de ping

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

• Información que se puede obtener:

• Las técnicas de enumeración son específicas para cada

Docentes: Seguridad de la Información en

• Filtrar todos los puertos TCP y UDP desde el 135 al

Docentes: Seguridad de la Información en

• Cerrar todos los puertos innecesarios

• Bloquear todos los accesos remotos innecesarios

Docentes: Seguridad de la Información en

ACL Ethernet Server

Computer Computer débiles

... se instaló un firewall.

Docentes: Seguridad de la Información en

• Comienzo: poca ciencia

Hackers: más peligroso y más fácil

Low1980 1990 2000 2010

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Ataques Pasivos - Ejemplos

• Escucha de tráfico Red (Sniffing)

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

• Entre otras realizan las siguientes tareas:

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Docentes: Seguridad de la Información en

Captura con un sniffer - telnet

• El protocolo telnet es transportado por TCP. Los paquetes 3, 4 y 5

Docentes: Seguridad de la Información en

• El paquete 9 muestra la petición de identificación, es decir el nombre de

Captura con un sniffer - telnet