1. Ataques contra las redes TCP/IP
1.1. En la de la biografía relacionada con la seguridad en redes informáticas podemos encontrar clasificadas tres generaciones de ataques.
1.1.1. Ataques físicos: Encontramos aquí ataques que se centran en componentes electrónicos, como podrían ser los propios ordenadores, los cables o los dispositivos de red.
1.1.2. Ataques sintácticos: Se trata de ataques contra la lógica operativa de los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en el software, algoritmos de cifrado y en protocolos.
1.1.3. Ataques semánticos: Son aquellos ataques que se aprovechan de la confianza de los usuarios en la información, pueden ir desde colocación de información falsa en boletines informativos y correos electrónicos hasta la modificación del contenido de los datos en servicios de confianza,
1.2. Seguridad en redes TCP/IP: Durante la decada de los 60, dentro del marco de la guerra frıa, la Agencia de Proyectos de Investigacion Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se plante´o la posibilidad de que un ataque afectara a su red de comunicaciones y financio equipos de investigacion en distintas universidades con el objetivo de desarrollar una red de ordenadores con una administraci´on totalmente distribuida. Como resultado de la aplicacion de sus estudios en redes de conmutacion de paquetes, se cre´o la denominada red ARPANET, de caracter experimental y altamente tolerable a fallos.
1.2.1. La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:
1.2.1.1. Capa de red.
1.2.1.1.1. Normalmente esta´ formada por una red LAN o WAN (de conexion punto a punto) homogenea. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red fısica o, simplemente, capa de red.
1.2.1.2. Capa de internet
1.2.1.2.1. Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante lınea telefonica o mediante una red local Ethernet. La direccion y el encaminamiento son sus principales funciones. Todos los equipos conectados a internet implementan esta capa.
1.2.1.3. Capa de transporte
1.2.1.3.1. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que solo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento (encaminadores) no la necesitan.
1.2.1.4. Capa de aplicacion
1.2.1.4.1. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electr´onico, FTP, etc. S´olo es implementada por los equipos usuarios de internet o por terminales de internet.
2. Mecanismos de protección
2.1. existen para a intentar minimizar la realización de los ataques descritos en el primer modulo Posteriormente pondremos enfasis en las tecnicas espec´ıficas de proteccion existentes. En particular, introduciremos las nociones basicas de criptografıa que nos permitiran entender el funcionamiento de distintos mecanismos y aplicaciones que permiten protegerse frente los ataques. En concreto nos centraremos en los mecanismos de autentificacion y en la fiabilidad que nos proporcionan los diferentes tipos, veremos que mecanismos de proteccion existen a nivel de red y a nivel de transporte y veremos como podemos crear redes privadas virtuales.
3. Actividades previas a la realizacion de un ataque
3.1. Previamente a la planificacion de un posible ataque contra uno o mas equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase, es decir, para obtener toda la informacion posible de la vıctima, sera necesario utilizar una serie de tecnicas de obtencion y recoleccion de informacion.
3.2. Descubrimiento de usuarios
3.2.1. Otra informacion relevante de un sistema es el nombre de los usuarios que tienen acceso a estos equipos. Una utilidad que puede ayudar al atacante a obtener estos datos es la herramienta finger. Mediante finger, el atacante podrıa realizar varias pruebas para tratar de descubrir la existencia de usuarios validos.
3.3. Informaci´on de dominio
3.3.1. Durante esta primera etapa de recogida de informacion, el atacante tambien tratar´a de obtener toda aquella informacion general relacionada con la organizacion que hay detras de la red que se quiere atacar. La recogida de esta informacion puede empezar extrayendo la informacion relativa a los dominios asociados a la organizacion, ası como las subredes correspondientes. Esto puede obtenerse facilmente mediante consultas al servicio de nombre de dominios (DNS).
3.4. Cadenas identificativas
3.4.1. A medida que vaya encontrando nuevos sistemas, el atacante ir´a complementando la informacion recogida con toda aquella informacion que pueda serle de utilidad para explotar posibles deficiencias en la seguridad de la red. Una primera fuente de informacion podrıa ser, por ejemplo, la informacion que ofrecen las cadenas de texto que generalmente aparece al conectarse a un determinado servicio. Estas cadenas, aparte de identificar cada uno de los servicios ofrecidos por estos equipos, podrıan indicar el nombre y la version de la aplicaci´on
3.5. Grupos de noticias y buscadores de internet
3.5.1. Finalmente, esta primera fase de recogida de informacion mediante herramientas de administracion suele finalizar realizando una serie de consultas en grupos de noticias, buscadores de paginas web o meta buscadores. Mediante esta consultas, el atacante puede obtener informacion emitida por los usuarios de la organizacion asociada a la red que desea atacar. Una simple busqueda de la cadena @victima.com en http://groups.google. com o http://www.google.com puede ofrecer al atacante detalles de interes, como podr´ıan ser los sistemas operativos existentes en la red, tecnologıas y servidores utilizados, el conocimiento en cuanto a temas de seguridad por parte de los administradores,
4. Identificacion de mecanismos de control TCP
4.1. La huella identificativa que un atacante querrıa obtener de los sistemas de una red hace referencia a toda aquella informacion de la implementacion de pila TCP/IP de los mismos. En primer lugar, esta informacion le permitir´a descubrir de forma muy fiable el sistema operativo que se ejecuta en la m´aquina analizada. Por otro lado, estos datos, junto con la version del servicio y del servidor obtenidos anteriormente, facilitaran al atacante la busqueda de herramientas necesarias para realizar, por ejemplo, una explotaci´on de un servicio contra algunos de estos sistemas.
4.2. Identificacion de respuestas ICMP
4.2.1. Aunque el objetivo original del protocolo ICMP es el de notificar errores y condiciones inusuales (que requieren una especial atencion respecto al protocolo IP), es posible poder realizar un uso indebido de este protocolo para obtener huellas identificativas de un sistema remoto. Comentaremos a continuacion algunos ejemplos de como obtener estas huellas a partir de las distintas respuestas ofrecidas mediante el trafico ICMP:
4.2.1.1. ICMP echo
4.2.1.1.1. Como hemos visto anteriormente, el uso de trafico ICMP de tipo echo permite la exploracion de sistemas activos. Ası, con esta exploracion se pretende identificar los equipos existentes dentro de la red que se quiere explorar, normalmente accesibles desde internet, El campo TTL, utilizado en este intercambio de paquetes echo de ICMP, suele ser inicializado de forma distinta segun el sistema operativo que haya detras del equipo. Por otra parte, cuando se env´ıa un paquete ICMP echo-request hacia la direccion de difusion (broadcast), se consigue que con un unico paquete enviado todos los equipos respondan con un paquete ICMP de tipo echo-reply.