Seguridad en Redes

Orientados a Conexin
Autenticacin por IP Confa en la direccin/es IP para comprobar si un paquete coincide con nuestras reglas. Se puede falsear (spoofing) pero hay que tener en cuenta algunas consideraciones. - No se puede realizar si el sistema operativo tiene implementado correctamente la generacin del ISN (Initial Sequence Number). Generadores de ISN vulnerables a ataque son W95, W98, WMe, SpeedStream, 3Com Office Connect, Zyxell.

- El spoofing se realiza normalmente a ciegas, por lo que es costoso si se tiene que implementar un protocolo orientado a conexin (TCP). No se puede realizar un ataque orientado a conexin si el sistema operativo o cortafuegos perimetral no tiene abierto algn puerto. - Es sencillo utilizar spoofing para realizar ataques de denegacin de servicio no orientados a conexin (UDP, ICMP , TCP Syn).

Ejemplo: La conocida vulnerabilidad del Sygate y Sygate Pro 5.0

Si se utiliza como direccin origen 127.0.0.1 se puede acceder a todos los puertos protegidos por el cortafuegos. Esto hace posible ataques orientados a conexin y lo hace vulnerable a TODOS los ataques de denegacin de servicio no orientados a conexin. En contra de lo que pone en el aviso, Sygate Pro s los detecta, pero no los para a no ser que se ponga una regla expresa para denegar esa IP. Puede que algn programa que use la interfaz localhost (127.0.0.0 - 127.0.0.255) no funcione correctamente pero no son comunes. Autenticacin por puerto

Se basa en los puertos origen y destino para comprobar si un paquete coincide con una de nuestras reglas. Se puede falsear teniendo en cuenta estas consideraciones: - El puerto origen de un ataque solo puede ser mayor que 1024 en una mquina Linux/Unix atacante. - El puerto origen de un ataque puede ser cualquier puerto en una mquina Windows atacante. Ejemplo: Fallo de los cortafuegos Kerio y Sygate Pro al permitir el paso si el puerto origen es un puerto determinado. Si intentamos acceder a los puertos UDP de un PC protegido por Sygate Pro con y sin reglas por Angel Garca Enrquez 1

Seguridad en Redes defecto con un puerto origen 137 o 138 tendremos pleno acceso a todos los puertos UDP abiertos en el cortafuego.

Autenticacin por aplicacin

Confa en la identificacin correcta de aplicaciones que producen el trfico para hacer coincidir una regla o no. A pesar de que puede llegar a ser muy segura tambin se puede eludir. En NT, W2000 y XP, simplemente aadiendo las claves correspondientes en el registro para que la aplicacin que quiere comunicarse sea cargada por "svchost.exe", el cul suele estar permitido en el cortafuego. Esto ltimo, en combinacin con las anteriores formas de saltarse las autenticaciones puede permitir a un programa comunicarse a travs de un cortafuegos. Esto afectara a todos.

Ataque ICMP
El ICMP (Protocolo de mensajes de control de Internet) es un protocolo de Internet muy conocido y utilizado. Lo usan fundamentalmente equipos en red para enviar distintos mensajes de error. Los ataques remotos intentan aprovecharse de los puntos dbiles del protocolo ICMP. El protocolo ICMP est diseado para una comunicacin unidireccional que no requiera autentificacin. De esta forma, los ataques remotos pueden activar los ataques denominados DoS (por denegacin de servicio), o los ataques que proporcionan a individuos no autorizados acceso a paquetes entrantes y salientes. Entre los ejemplos ms habituales de ataques ICMP se encuentran los ataques flood mediante Ping, flood de ICMP_ECHO y los ataques Smurf (denegacin de servicios). Los equipos expuestos al ataque de ICMP son significativamente ms lentos (afecta a todas las aplicaciones que usen Internet) y tienen problemas para conectarse a Internet.

Ataque TCP y UDP

Una tcnica especfica que permite extraer informacin de un sistema concreto es el Fingerprinting es decir, la obtencin de su huella identificativa respecto a la pila TCP/IP. El objetivo primordial suele ser obtener el sistema operativo que se ejecuta en la mquina destino de la inspeccin. Esta informacin junto con la versin del servicio o servidor facilitar la bsqueda de vulnerabilidades asociadas al mismo. Gran parte de la informacin de la pila TCP/IP puede obtenerse en base al intercambio en tres pasos propio del protocolo TCP/IP (TCP three-way handshake) La probabilidad de acierto del sistema operativo remoto es muy elevada, y se basa en la identificacin de las caractersticas propias de una implementacin de la pila TCP/IP frente a otra, ya que la interpretacin de los RFCs no concuerda siempre. Para poder aplicar esta tcnica con precisin es necesario disponer de un puerto abierto (TCP y/o UDP). Las diferentes pruebas a realizar para diferenciar los sistemas operativos son: Angel Garca Enrquez 2

Seguridad en Redes - FIN probe: Al enviarse un paquete de FIN el sistema remoto no debera responder aunque implementaciones como la de Windows NT devuelven un FIN-ACK. - Bogus flag probe: Se activa un flag TCP aleatorio en un paquete SYN. La respuesta de implementaciones como Linux devuelven un SYN-ACK con el mismo flag activo. - ISN sampling: Pretende encontrarse un patrn empleado por la implementacin para seleccionar los nmeros iniciales de secuencia (ISN) de una conexin TCP. - Monitorizacin del Dont fragment bit: Se analiza si el sistema operativo establece por defecto el bit de no fragmentacin (DF) como activo o no. - Tamao de ventana TCP inicial: El tamao de ventana empleado por defecto en cada implementacin es muy particular y ayuda a descubrir de cual puede tratarse. - Valor de ACK: El valor del nmero de secuencia asignado en el campo ACK diferencia Tambin la implementacin, ya que algunas devuelven el valor recibido como nmero de secuencia mientras que otras lo incrementan en uno. - Mensaje de error de ICMP quenching: El RFC 1812 determina que el control de flujo de mensajes de error debe limitarse. Al enviar un paquete UDP a un nmero elevado de puerto, aleatoriamente, se puede medir el nmero de mensajes de tipo unreachable por unidad de tiempo. - ICMP message quoting: Los comentarios aadidos a los mensajes de error ICMP varan en funcin del sistema operativo. - Mensaje de error ICMP-integridad: Las cabeceras IP pueden ser alteradas por las diferentes implementaciones al devolver mensajes de error ICMP. Un anlisis exhaustivo de los cambios en las cabeceras puede permitir determinar el S.O. - TOS (Tipo de Servicio): Ante los mensajes ICMP port unreachable puede examinarse el campo TOS, que suele ser cero pero puede variar. Dos de las herramientas que facilitan esta tarea son NMAP y QUESO. Mientras que la funcionalidad de la primera es muy amplia, la segunda slo se aplica a la aplicacin de esta tcnica (identificacin de sistemas a travs del comportamiento de la pila TCP/IP). Dentro de las tcnicas de identificacin de un sistema existen otras, denominadas pasivas, que no se basan en enviar paquetes al sistema a atacar. Para ello monitorizan el trfico asociado al sistema y en funcin de los atributos y caractersticas de los paquetes, principalmente de las cabeceras TCP, determinan su origen.

Ataques internet y email worms

Un gusano informtico es un programa que contiene cdigos maliciosos que atacan a los equipos host y se extienden a travs de una red. Los gusanos de la red explotan las vulnerabilidades de seguridad en varias aplicaciones. Debido a la disponibilidad de Internet, se pueden extender por todo el mundo en cuestin de horas desde su lanzamiento. En algunos casos, incluso en cuestin de minutos. La mayora de los ataques de gusanos (Sasser, SqISlammer) se pueden evitar usando protegidos o no usados. Adems, tambin es esencial proteger el sistema con los parches de seguridad ms recientes Angel Garca Enrquez 3

Seguridad en Redes

El E-Mail Bombing consiste en enviar muchas veces un mensaje idntico a una misma direccin, saturando as mailbox del destinatario.El Spamming, en cambio se refiere a enviar el e-mail miles de usuarios, hayan estos solicitados el mensaje o no. Es muy utilizado por las empresas para publicitar sus productos. El Spamming esta siendo actualmente tratado por las leyes europeas como una violacin de los derechos de privacidad del usuario.

Ataque Buffer Overflow

El buffer, o array fijo, es un espacio contiguo de memoria que previamente se reserva para el almacenamiento de datos. Los desarrolladores emplean esta estructura para guardar datos (comandos, parmetros, etc.) que pueden introducir los usuarios u otros programas. El desbordamiento de buffer se produce cuando en un buffer con tamao limitado se intenta introducir ms datos de los que permite, excediendo el nmero de bytes que se haban reservado en la memoria. Este tipo de errores suelen detectarse en programas escritos en C que utilizan funciones de la librera estndar -como strcat(), strcpy(), sprintf() o vsprintf()-, que no realizan ningn tipo de chequeo para determinar si estn sobrepasndose los lmites de los buffers. Para entender cmo se produce un desbordamiento de buffer vamos a poner un ejemplo. Imaginemos un programa que admite el comando DESTINATARIO seguido de una direccin de correo electrnico como parmetro. Para almacenar dicha direccin el programador crea un buffer de 128 bytes, tamao que es a priori suficiente, ya que permite introducir cualquiera. Sin embargo, qu ocurre si un usuario, por error o de forma malintencionada, en vez de introducir el comando seguido de un e-mail, enva como parmetro una cadena que excede los 128 bytes? Los datos introducidos desbordan el tamao predeterminado del buffer, y los caracteres sobrantes pasan a ocupar espacios de la memoria del sistema que no estaban reservados para el almacenamiento de datos. En la mayora de las situaciones este tipo de error provocar una denegacin de servicio, interrumpiendo el programa o afectando a la estabilidad del propio sistema. Un ataque ms sofisticado consiste en introducir cdigo en la cadena de datos que se envan para provocar el desbordamiento, y forzar la ejecucin del mismo. Este tipo de ataque requiere grandes conocimientos de Ensamblador y del sistema por parte del atacante, que debe definir la direccin de retorno de la funcin afectada para alterar el flujo del programa y conseguir as ejecutar el cdigo en Ensamblador introducido en el desbordamiento.

Angel Garca Enrquez 4