Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vulnerabilidades y Soluciones PDF
Vulnerabilidades y Soluciones PDF
Objetivo
En esta semana conoceremos los ataques más comunes a
las redes de información de las organizaciones, y las
herramientas que nos permiten vigilar la red y corregir
dichos ataques.
ATAQUES Y VULNERABILIDADES
Objetivos del tema
1. Denial of service
2. Cracking de passwords.
3. E mail bombing y spamming.
- Seguridad en WWW
- TFTP
- Los comandos “r”
- Seguridad en NETBios.
- Cracking en cloud computing.
- Virus troyanos y Worms.
1. Denial of service:
Hay diversos tipos de ataque en este modo, los cuales veremos a continuación:
- Consumo de recursos escasos
- Destrucción o alteración de información de configuración
- Destrucción o alteración física de los componentes de la red.
2 Curso de redes y seguridad
Fase
Veremos cada uno de estos ataques:
Ejemplo: Bombing
Es un mecanismo muy usado actualmente para saturar las redes y
consumir toda la banda. Consiste en generar una gran cantidad de
paquetes dirigidos únicamente a la misma red. Existe un paquete especial,
llamado “ping”, que se usa para detectar la longitud de conexiones que
debe recorrer el paquete para llegar de un origen a un destino. Si un cracker
inunda (otro término para esta inundación es el flodeo, o flooding) una red
con muchos paquetes ping, consume todo el ancho de banda de la misma.
Actualmente existen millones de computadores en red, llamados
“computadores zombies”, que se dedican a flodear redes de empresas o
urganizaciones. También son usados para el e-mail bombing, que será
explicado en breve.
2. Cracking de passwords
Los crackers que intentan entrar a un sistema de red, deben usar un programa
que encripte palabras y que compare dichas encriptaciones con el original. El
7 Curso de redes y seguridad
Fase
éxito depende de la calidad del diccionario que contiene los posibles
passwords, el programa usado, la máquina craqueadora y la paciencia del
sujeto.
También se puede usar la fuerza bruta, que consiste en usar todas las
combinaciones posibles de passwords sobre el login, hasta encontrar la
correcta.
Acciones a tomar
Este FTP bounce se puede usar en varios procedimientos que pueden dar
lugar a una vulnerabilidad. Uno de ellos, usado por hackers y crackers por igual
es el escaneo de puertos. Mediante una máquina ordinaria, se hace un
conjunto de paquetes “port” dirigidos a otra máquina, y a cada uno de los
¿Soluciones?
5. TELNET
Hasta acá hemos observado una gran cantidad de ataques que vulneran la
seguridad de nuestra organización, y hemos visto que su operación más común
consiste en acceder recursos o máquinas del sistema inestabilizando o
interrumpiendo el algoritmo P-C.
Tcp-Wrapper.
Algo muy importante de este programa es que permite dejar una traza de las
conexiones hechas en la red, tanto a servicios admitidos como no admitidos,
indicando el servicio al que se intentó acceder y la máquina que intentó
hacerlo.
El programa posee 2 archivos principales, en los que se definen las reglas que
deben usarse para el control de paquetes en la red (recordemos que al tráfico
de la red, dependiendo de la capa en la que estemos trabajando del modelo
Para concluir, podemos decir que el tcp-wrappers es una simple pero efectiva
herramienta para controlar y monitorear la actividad de la red en nuestra
máquina, y nos permite un control sobre las conexiones que se efectúan en
nuestra red.
Los 5 subprogramas que componen este programa principal son los siguientes:
Argus
Al igual que el NetLog, el Argus también tiene una herramienta buscadora que
permite filtrar los contenidos y ver aquellos que solo nos interesan.
Este software permite ver las cabeceras de los paquetes que circulan por la
red. La cabecera de un paquete contiene información relacionada con la
máquina origen, la máquina destino, el tipo de protocolo usado, entre otros
datos importantes para el análisis. Y no solo esto, podemos aplicar filtros que
nos pemitan ver solo determinados protocolos, determinados puertos de la red,
máquinas, y aún usar operadores entre paquetes (>, <, =, and, or, not…), para
comparar
Recordemos que todas estas herramientas se pueden usar tanto para bien
como para mal. SATAN, como genera un registro de todas las máquinas
Courtney
Ahora dijimos que estos programas pueden ser usados tanto como
herramientas de protección como herramientas de ataque. Siendo SATAN una
herramienta tan buena para la detección de topologías de redes, se necesitaba
otro programa que detectara el uso de la misma. Esta herramienta es esta, que
permite detectar a la máquina que genera el ataque SATAN (ya explicamos el
funcionamiento de estos ataques) a partir de información pasada por el
programa TcpDump. Al detectar un continuo chequeo de puertos en un lapso
corto de tiempo, el programa genera un aviso.
TcpList
Este programa indica todas las conexiones que usen el protocolo TCP creadas
desde la máquina en la que lo estamos ejecutando, o aquellas entrantes a
dicha máquina. También es un programa de dominio público.
Tiger
Crack
Tripwire es, sin lugar a dudas, otra herramienta vital en nuestro sistema, al
igual que el crack. Su función principal es la de detectar cualquier cambio o
modificación en el sistema de archivos, como modificaciones no autorizadas o
alteraciones maliciosas de algunos softwares.
El programa genera una base de datos en la que genera una “firma” o archivo
identificador por cada elemento en el sistema de archivos. En esta firma
almacena información relevante como el nombre del usuario propietario del
archivo, última fecha de modificación, última fecha de acceso, etc. Esta base
de datos de firmas, guardada, puede ser comparada en cualquier momento con
una nueva base de datos actuales, y detectar así las modificaciones en los
archivos del sistema.
Es útil tener una base de datos “main”, sobre la que se hacen comparaciones
periódicas para detectar cambios, y que esta “main” sea actualizada cada vez
que se ingresa un elemento nuevo al sistema de manera autorizada. Otro punto
a tener en cuenta en el manual de procedimientos de nuestra organización.
Chkwtmp
Es similar al anterior, salvo que este compara los “logines” que se han
realizado en la máquina con la información del último “login” en la misma,
detectando así usuarios que hayan sido eliminados del archivo de logines. Esto
con el objeto de detectar “borrones” en los accesos y descubrir intrusiones
cubiertas.
Spar
Sencillamente, nos permite tener una lista de todos los archivos abiertos por el
sistema, así como directorios, archivos de ref, etc.
Ifstatus
Este archivo permite indicar al administrador de red cuales son los comandos
que puede ejecutar cada usuario de la red.
Noshell
Trinux