Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivo
En esta semana conoceremos los ataques más comunes a
las redes de información de las organizaciones, y las
herramientas que nos permiten vigilar la red y corregir dichos
ataques.
ATAQUES Y VULNERABILIDADES
Objetivos del tema
1. Denial of service
2. Cracking de passwords.
3. E mail bombing y spamming.
- Seguridad en WWW
- TFTP
- Los comandos “r”
- Seguridad en NETBios.
- Cracking en cloud computing.
- Virus troyanos y Worms.
1. Denial of service:
Hay diversos tipos de ataque en este modo, los cuales veremos a continuación:
- Consumo de recursos escasos
- Destrucción o alteración de información de configuración
- Destrucción o alteración física de los componentes de la red.
2 Curso de redes y seguridad
Actividad 3
Veremos cada uno de estos ataques:
Ejemplo: Bombing
Es un mecanismo muy usado actualmente para saturar las redes y consumir
toda la banda. Consiste en generar una gran cantidad de paquetes dirigidos
únicamente a la misma red. Existe un paquete especial, llamado “ping”, que
se usa para detectar la longitud de conexiones que debe recorrer el paquete
para llegar de un origen a un destino. Si un cracker inunda (otro término para
esta inundación es el flodeo, o flooding) una red con muchos paquetes ping,
consume todo el ancho de banda de la misma. Actualmente existen millones
de computadores en red, llamados “computadores zombies”, que se dedican
a flodear redes de empresas o urganizaciones. También son usados para el
e-mail bombing, que será explicado en breve.
2. Cracking de passwords
Los crackers que intentan entrar a un sistema de red, deben usar un programa
que encripte palabras y que compare dichas encriptaciones con el original. El
También se puede usar la fuerza bruta, que consiste en usar todas las
combinaciones posibles de passwords sobre el login, hasta encontrar la correcta.
Prevenir el spam o el bombing es casi imposible. Desde que se tenga una cuenta
de usuario con correo, siempre se podrá ser víctima de estas vulnerabilidades.
Cuando un correo es sobrecargado de elementos, puede darse un “denial of
service” porque la máquina se sobrecarga con la cantidad de mails que debe
procesar, llenando el disco duro con logísticos de mails recibidos, o una
sobrecarga de las conexiones de red.
Acciones a tomar
Este FTP bounce se puede usar en varios procedimientos que pueden dar lugar
a una vulnerabilidad. Uno de ellos, usado por hackers y crackers por igual es el
escaneo de puertos. Mediante una máquina ordinaria, se hace un conjunto de
paquetes “port” dirigidos a otra máquina, y a cada uno de los
¿Soluciones?
5. TELNET
Hasta acá hemos observado una gran cantidad de ataques que vulneran la
seguridad de nuestra organización, y hemos visto que su operación más común
consiste en acceder recursos o máquinas del sistema inestabilizando o
interrumpiendo el algoritmo P-C.
Hemos de hacer la aclaración que se ha repetido durante todo el curso: los temas
a tratar en estos contenidos son complejos y técnicos. Acá daremos un pequeño
acercamiento y una vista general de estas herramientas y su uso principal, mas
no ahondaremos en cuestiones técnicas referentes a su uso. Para esto, se invita
al aprendiz a consultar la bibliografía, otros cursos del SENA e información
referente al tema
Tcp-Wrapper.
Algo muy importante de este programa es que permite dejar una traza de las
conexiones hechas en la red, tanto a servicios admitidos como no admitidos,
indicando el servicio al que se intentó acceder y la máquina que intentó hacerlo.
El programa posee 2 archivos principales, en los que se definen las reglas que
deben usarse para el control de paquetes en la red (recordemos que al tráfico de
la red, dependiendo de la capa en la que estemos trabajando del modelo
Para concluir, podemos decir que el tcp-wrappers es una simple pero efectiva
herramienta para controlar y monitorear la actividad de la red en nuestra
máquina, y nos permite un control sobre las conexiones que se efectúan en
nuestra red.
Existen ataques a una red que pueden pasar desapercibidos si se llevan a cabo
con extremada velocidad, con intervalos muy cortos de tiempo de conexión, y de
manera repetida al mismo elemento de la red. ¿Cómo funcionan estos ataques?
Digamos que nuestra herramienta de seguridad registra las conexiones que se
llevan a cabo cada milisegundo en nuestro sistema. Si de alguna manera yo
pudiera generar un ataque que se repita 10 veces en un milisegundo, en el
registro de conexiones solo aparecería un solo intento de ataque, mientras que
en realidad hice 10. Si la vulnerabilidad la hubiera alcanzado en la novena
conexión, no habría aparecido en el registro, y aun así se habría violado mi
seguridad. Estos ataques se les llama “SATAN” o “ISS”. Estas vulnerabilidades
pueden ser corregidas con este programa, que es, en realidad, un conjunto de
programas que trabajan de manera conjunta para generar trazas de los paquetes
movidos en la red, sobre todo aquellos que pueden ser sospechosos y que
indican un posible ataque a una máquina.
Los 5 subprogramas que componen este programa principal son los siguientes:
Argus
Al igual que el NetLog, el Argus también tiene una herramienta buscadora que
permite filtrar los contenidos y ver aquellos que solo nos interesan.
Este software permite ver las cabeceras de los paquetes que circulan por la red.
La cabecera de un paquete contiene información relacionada con la máquina
origen, la máquina destino, el tipo de protocolo usado, entre otros datos
importantes para el análisis. Y no solo esto, podemos aplicar filtros que nos
permitan ver solo determinados protocolos, determinados puertos de la red,
máquinas, y aún usar operadores entre paquetes (>, <, =, and, or, not…), para
comparar
Recordemos que todas estas herramientas se pueden usar tanto para bien como
para mal. SATAN, como genera un registro de todas las máquinas
Courtney
Ahora dijimos que estos programas pueden ser usados tanto como herramientas
de protección como herramientas de ataque. Siendo SATAN una herramienta
tan buena para la detección de topologías de redes, se necesitaba otro programa
que detectara el uso de la misma. Esta herramienta es esta, que permite detectar
a la máquina que genera el ataque SATAN (ya explicamos el funcionamiento de
estos ataques) a partir de información pasada por el programa TcpDump. Al
detectar un continuo chequeo de puertos en un lapso corto de tiempo, el
programa genera un aviso.
TcpList
Este programa indica todas las conexiones que usen el protocolo TCP creadas
desde la máquina en la que lo estamos ejecutando, o aquellas entrantes a dicha
máquina. También es un programa de dominio público.
Cada tipo de gravedad es manejada con una clase distinta de agente, y se tiene
una herramienta que permite observar la información de cada agente, para
filtrarla y analizar la que nos interesa, como en otras herramientas.
Tiger
Crack
Tripwire es, sin lugar a dudas, otra herramienta vital en nuestro sistema, al igual
que el crack. Su función principal es la de detectar cualquier cambio o
modificación en el sistema de archivos, como modificaciones no autorizadas o
alteraciones maliciosas de algunos softwares.
El programa genera una base de datos en la que genera una “firma” o archivo
identificador por cada elemento en el sistema de archivos. En esta firma
almacena información relevante como el nombre del usuario propietario del
archivo, última fecha de modificación, última fecha de acceso, etc. Esta base de
datos de firmas, guardada, puede ser comparada en cualquier momento con una
nueva base de datos actuales, y detectar así las modificaciones en los archivos
del sistema.
Es útil tener una base de datos “main”, sobre la que se hacen comparaciones
periódicas para detectar cambios, y que esta “main” sea actualizada cada vez
que se ingresa un elemento nuevo al sistema de manera autorizada. Otro punto
a tener en cuenta en el manual de procedimientos de nuestra organización.
Chkwtmp
Es similar al anterior, salvo que este compara los “logines” que se han realizado
en la máquina con la información del último “login” en la misma, detectando así
usuarios que hayan sido eliminados del archivo de logines. Esto con el objeto de
detectar “borrones” en los accesos y descubrir intrusiones cubiertas.
Spar
Con este programa podemos auditar la información de los procesos del sistema,
permitiéndonos filtrarla y ver aquella que nos interesa, así como nos permite usar
operadores comparativos (=, >, <, >=, &&...) para analizar los resultados
obtenidos.
Sencillamente, nos permite tener una lista de todos los archivos abiertos por el
sistema, así como directorios, archivos de ref, etc.
Ifstatus
Este archivo permite indicar al administrador de red cuales son los comandos
que puede ejecutar cada usuario de la red.
Noshell
Trinux