Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Teoría 1
Spoofing:
Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación
de identidad generalmente con usos maliciosos o de investigación, es decir, un atacante falsea
el origen de los paquetes haciendo que la víctima piense que estos son de un host de confianza
o autorizado para evitar la víctima lo detecte. Por ejemplo, cuando nos comunicarnos con un
determinado host, la dirección de ese host ocupa un lugar determinado en la cadena de datos,
al igual que nuestra propia dirección también ocupa otra posición determinada, pues si
conseguimos “manipular” la información de ese lugar, podremos falsear el origen de datos y
hacer creer al host destino que somos quien realmente no somos, esto es SPOOFING.
Definiciones básicas
Para entender completamente como este tipo de ataques puede ocurrir, hay que comprender la
estructura de la suite de protocolo TCP/IP. Un entendimiento básico de estas cabeceras y
protocolos de red es crucial para el proceso.
Host
Máquina conectada a una red de ordenadores y que tiene un nombre de equipo (en inglés,
hostname). Es un nombre único que se le da a un dispositivo conectado a una red informática.
Puede ser un ordenador, un servidor de archivos, un dispositivo de almacenamiento por red,
una máquina de fax, impresora, etc. Este nombre ayuda al administrador de la red a identificar
las máquinas sin tener que memorizar una dirección IP para cada una de ellas.
Protocolo De Internet – IP
El protocolo de Internet (IP) es un protocolo de red que funciona en la capa 3 (la red) del modelo
OSI. Esto es un modelo de conexión, decir no hay ninguna información en cuanto al estado de
transacción, que es usado a paquetes de ruta sobre una red. Además, no hay ningún método en
el lugar para asegurar que un paquete correctamente es entregado al destino.
MAC
Todos los ordenadores de una misma red comparten el mismo medio, por lo que debe de existir
un identificador único para cada equipo, o mejor dicho para cada tarjeta de red. Cuando se
envían datos en una red local, hay que especificar claramente a quien van dirigidos. Esto se
consigue mediante la dirección MAC, un número compuesto por 12 dígitos hexadecimales que
identifica de forma única a cada dispositivo Ethernet. La dirección MAC se compone de 48 bits.
Los 24 primeros bits identifican al fabricante del hardware, y los 24 bits restantes corresponden
al número de serie asignado por el fabricante, lo que garantiza que dos tarjetas no puedan tener
la misma dirección MAC. Direcciones MAC duplicadas causarían problemas en la red.
Ip Spoofing
Suplantación o falseamiento de IP, hacer creer que somos quien no somos. No confundir
spoofear una IP con anonimizar una IP. El spoofing trae consigo el anonimato, pero sería como
un anonimato “a elegir”, esto es, apropiarse de la IP de otro usuario de la red.
Consiste en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual
se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y
puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que
tener en cuenta que las respuestas del host que reciba los paquetes irán dirigidas a la IP
falsificada. Por ejemplo si enviamos un ping (paquete ICMP “echo request”) spoofeado, la
respuesta será recibida por el host al que pertenece la IP legalmente. Este tipo de spoofing
unido al uso de peticiones broadcast a diferentes redes es usado en un tipo de ataque de flood
conocido como smurf ataque. Para poder realizar IP SPOOFING en sesiones TCP, se debe
tener en cuenta el comportamiento de dicho protocolo con el envío de paquetes SYN y ACK con
su ISN específico y teniendo en cuenta que el propietario real de la IP podría (si no se le impide
de alguna manera) cortar la conexión en cualquier momento al recibir paquetes sin haberlos
solicitado. También hay que tener en cuenta que los routers actuales no admiten el envío de
paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes
spoofeados no sobrepasarán el router).
El IP Spoofing es, cuanto menos, imposible hoy en día de cara a Internet, los proveedores se
han preocupado mucho de que eso no ocurra. En épocas anteriores Internet se preocupaba de
brindar conectividad sin importar la seguridad, es por ello que ese tipo de actividades tenían
éxito, hoy… es muy, muy, muy difícil.
El Encabezado IP tiene 20 bytes de longitud, supongamos que nuestro esnifer recogió esto y
que ello pertenece a la parte de IP.
45 00 00 28 43 EF 40 00 80 06 5E 86 AC 1C 00 09 AC 1C 00 19
AC 1C 00 09 ‐‐‐‐‐> Bytes 13 al 16, Dirección IP origen en hexadecimal:
AC = 172, 1C = 28, 00 = 00, 09 = 09, en este caso la IP sería: 172.28.0.9
5E 86 5E 86 ‐‐‐‐‐‐> Bytes 11 y 12, Checksum: Es un método para comprobar la integridad de
los datos, IP asume que la corrección la harán protocolos de nivel superior, aun así, verifica la
integridad de los mismos, pero no la corrige.
Algunos tipos de ataques:
● Non‐Blind Spoofing: Este tipo de ataque ocurre cuando el atacante está sobre la
misma subred que la víctima. La secuencia y números de reconocimiento pueden
ser sniffado, eliminando la dificultad de calcularlos con exactitud. La amenaza más
grande de spoofing en este caso sería el secuestro de sesión. Esto es logrado por
corrompiendo el paso de datos de una conexión establecida haciéndolo pasar por la
máquina del atacante.
● Blind Spoofing: Esto es un ataque más sofisticado, porque la secuencia y números
de reconocimiento son inalcanzables. Para intentar esto se envían varios paquetes a
la máquina objetivo probando varios números de secuencia. En el pasado, las
máquinas usaban técnicas básicas para generar estos números de secuencia. Era
relativamente fácil averiguarlos de forma exacta estudiando paquetes y sesiones
TCP. Esto ya no es posible hoy en día, la mayor parte de los sistemas operativos
generan números de secuencia de manera arbitraria, haciendo difícil su predicción
con exactitud. Sin embargo, si el número de secuencia fuera comprometido, los
datos podrían ser enviados al objetivo.
● Man In the Middle Attack: En este ataque una máquina atacante intercepta una
comunicación entre dos host. La máquina atacante controla ahora el flujo de la
comunicación y puede eliminar o cambiar la información enviada por uno de los
participantes originales sin el conocimiento del remitente original o del destinatario.
De este modo, el atacante puede engañar a la victima haciendo que le revele
información confidencial debido a que confía en él, usando para ello “IP spoofing”.
● Ataque de Negación de Servicio (DOS): IP spoofing casi siempre es usado en lo
que es actualmente uno de los ataques más difíciles de los que defenderse, este es,
la negación de servicio, o DOS. El atacante inunda a la víctima con tantos paquetes
como sea posible en una cantidad de corta de tiempo. Para prolongar la eficacia del
ataque, se suplanta la IP de origen (mediante IP spoofing) para hacer que el trazado
y posterior detención del DoS sea tan difícil como sea posible. Cuando múltiples host
comprometidos (en muchas ocasiones sin que estos lo sepan) participan en el
ataque, todos envían trafico spoofeado lo que provoca que el ataque sea efectivo
rápidamente.
Algunos casos:
¿Qué pasaría si lográsemos enviar un paquete a un host destino de otra
red/subred falsificando la dirección IP origen del paquete?
Suponiendo que el router deje salir el paquete (es posible configurar ACL’s en los routers para
que esto no ocurra) cuando el destino reciba el paquete de datos, responderá a la dirección IP
falsificada, entonces el host falsificado recibirá el paquete y lo descartará puesto que él no lo
envió. Regla nº 1 del spoof,si no podemos “ponernos en medio” de una comunicación hay que
tumbar el equipo por el que nos hacemos pasar puesto que si no responderá a los paquetes del
objetvo desechándolos y se cerrará la conexión.
¿Qué pasaría si lográsemos enviar un paquete a un host destino de la misma
red/subred falsificando la dirección IP origen del paquete?
● Caso a) La IP del equipo falsificado existe y está activa en la LAN: Que aparecerá el
mensajito famoso de que hay un nombre de host o dirección IP duplicada en la Red,
hay sistemas operativos que ni tan siquiera controlan eso, pero también puede
ocurrir que dejemos “frito” por instantes o para siempre a la pila de TCP/IP del
equipo, recuerda que las direcciones IP dentro de una red/subred deben ser únicas.
● Caso b) La IP del equipo falsificado no existe o no está operativo: Pues que el destino
actualizará su tabla ARP con nuestra MAC y la IP falsa, intentará responder a la IP
remitente y no recibirá respuesta, pasado un tiempo cerrará la conexión.
¿Qué pasaría si lográsemos enviar miles de paquetes a un host destino de la
misma red/subred falsificando la dirección IP origen del paquete utilizando una IP
que no existe en la LAN?
Dependerá de muchos factores, Sistema Operativo, Switches, IDS, tipo de paquete enviado,
etc. Pero en el mejor de los casos provocaremos un DoS al equipo destino, cada una de las
miles de conexiones se quedan abiertas y esperando la respuesta, no la habrá claro… y la IP
logeada… será otra que no la nuestra.
¿Cómo evitarlo?
Hay algunas precauciones que pueden ser usadas para limitar los riesgos de sufrir IP spoofing
en su red, como:
● Filtrando en el router: Implementando filtros de entrada y salida en su router es una
buena idea para comenzar su defensa ante el spoofing. Usted deberá implementar
un ACL (lista de control de acceso) que bloquea direcciones de IP privadas por
debajo de su interfaz. Además, este interfaz no debería aceptar direcciones de tu
rango interno como dirección de origen (técnica común de spoofing que se usaba
para engañar a los cortafuegos). Por encima de la interfaz, usted debería restringir
direcciones de origen fuera de su rango válido, esto evitará que alguien en su red
envíe tráfico spoofeado a Internet. Es importante que no se permita la salida de
ningún paquete que tenga como dirección IP de origen una que no pertenezca a su
subred.
● El cifrado y la Autenticación: la Realización del cifrado y la autenticación también
reducirán amenazas de spoofing. Estas dos características están incluidos en Ipv6,
que eliminará las actuales amenazas de spoofing.
Conclusión
IP Spoofing es un problema sin una solución fácil, ya que es causa de un mal diseño del
protocolo TCP/IP. El entendimiento de cómo y por qué los ataques de spoofing son usados,
combinado con unos métodos de prevención simples, puede ayudar a proteger su red de estos
ataques.
ARP Spoofing
En una red que sólo tuviera el nivel Físico del modelo OSI, los dispositivos sólo se conocerían
entre sí por medio de su dirección física y dicha dirección tiene que ser única para evitar errores
de envío. Pero como los protocolos de alto nivel direccionan las máquinas con direcciones
simbólicas (como en IP) tiene que existir un medio para relacionar las direcciones físicas con
las simbólicas, un traductor o manejador de direcciones. Así tenemos la aparición de ARP, un
protocolo de nivel de red responsable de encontrar la dirección hardware (Ethernet MAC) que
corresponde a una determinada dirección IP. Para ello se envía un paquete (ARP request) a la
dirección de multidifusión de la red (broadcast (MAC = ff ff ff ff ff ff)) que contiene la dirección IP
por la que se pregunta, y se espera a que esa máquina (u otra) responda (ARP reply) con la
dirección Ethernet que le corresponde. Cada máquina mantiene una caché con las direcciones
traducidas para reducir el retardo y la carga. ARP permite a la dirección de Internet ser
independiente de la dirección Ethernet, pero esto sólo funciona si todas las máquinas lo
soportan.
El ARP Spoofing es la suplantación de identidad por falsificación de tabla ARP. Se trata de la
construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la
tabla ARP (relación IP‐MAC) de una víctima y forzarla a que envíe los paquetes a un host
atacante en lugar de hacerlo a su destino legítimo.
¿Cómo evitarlo?
Si se quiere proteger una red pequeña se puede recurrir al uso de direcciones IP estáticas y
tablas ARP también estáticas, de modo que no haya una caché dinámica. Usando estas
entradas estáticas se evita que los intrusos alteren las tablas a su gusto.
El problema con esta solución es la gran dificultad para mantener estas entradas ARP, y si se
piensa en redes grandes es casi imposible llevar a cabo esta labor, ya que cada vez que una
máquina se conecte a la red o cambie de IP se debe actualizar las entradas de las tablas ARP.
Para redes grandes se tendría que analizar las características de “Port Security” de los
switches, una de estas características permite forzar al switch a permitir sólo una dirección
MAC para cada puerto físico en el switch, lo cual impide que alguien cambie la dirección MAC de
su máquina o que trate de usar más de una dirección a la vez. Esto último permite prevenir los
ataques de ManintheMiddle.
DNS Spoofing
El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena
información asociada a nombres de dominio en redes como Internet. Su principal función es la
asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo
electrónico de cada dominio. Por ejemplo, al acceder a www.google.com, si nuestro navegador
no conoce su dirección IP realizará una consulta al servidor DNS para que esté le diga cuál es
la IP que le corresponde y así accederá a la página mediante su IP y mostrará su contenido.
El DNS Spoofing hace referencia al falseamiento de una dirección IP ante una consulta de
resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o
viceversa. Esto se puede conseguir de diferentes formas, desde modificando las entradas del
servidor encargado de resolver una cierta petición para falsear las relaciones direcciónnombre,
hasta comprometiendo un servidor que infecte la caché de otro (lo que se conoce como DNS
Poisoning); incluso sin acceso a un servidor DNS real, un atacante puede enviar datos
falseados como respuesta a una petición de su víctima sin más que averiguar los números de
secuencia correctos.
Algunos escenarios de este ataque:
● DNS Cache Poisoning: Como imaginará, Un servidor DNS no puede almacenar la
información de todas las correspondencias nombre/IP de la red en su memoria. Por
ello, los servidores DNS tiene una caché que les permite guardar un registro DNS
durante un tiempo. De hecho, un Servidor DNS tiene los registros sólo para las
máquinas del dominio que tiene autoridad y necesita sobre máquinas fuera de su
dominio debe enviar una petición al Servidor DNS que maneje esas máquinas. Para
no necesitar estar preguntando constantemente puede almacenar en su caché las
respuestas devueltas por otros servidores DNS.
Virus informático
Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la
computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente,
reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en una computadora, aunque también
existen otros más inofensivos, que solo se caracterizan por ser molestos.
Los virus informáticos tienen, básicamente, la función de propagarse a través de un software,
no se replican a sí mismos porque no tienen esa facultad como elgusano informático, son muy
nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde
una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes
informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa
que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código
del virus queda residente (alojado) en la memoria RAM de la computadora, incluso cuando el
programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los
servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables
que sean llamados para su ejecución. Finalmente se añade el código del virus al programa
infectado y se graba en el disco, con lo cual el proceso de replicado se completa.
Gusano informático
Un gusano informático (también llamado IWorm por su apócope en inglés, I de Internet, Worm
de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos
utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al
usuario.Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de
un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Lo más peligroso de los
worms o gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu
ordenador podría enviar cientos o miles de copias de sí mismo, creando un efecto devastador a
gran escala.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que
reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en
la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre
infectan o corrompen los archivos de la computadora que atacan.
Troyano
En informática, se denomina troyano o caballo de Troya (traducción literal del inglés trojan horse
a un software malicioso que se presenta al usuario como un programa aparentemente legítimo
e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.
El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de
Homero.
Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una
puerta trasera que permite la administración remota a un usuario no autorizado.