1. En cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas. Cada dıa se descubren nuevas deficiencias, la mayoría de las cuales se hacen públicas por organismos internacionales, tratando de documentar, si es posible, la forma de solucionar y contrarrestar los problemas.
1.1. A continuación presentamos algunas de las vulnerabilidades más comunes de las distintas capas que veremos con más detalle a lo largo de este módulo:
1.1.1. Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de red están Ataques físicos estrechamente ligadas al medio sobre el que se realiza la conexión. Esta capa presenta problemas de control de acceso y de confidencialidad.
1.1.2. Vulnerabilidades de la capa internet. En esta capa se puede realizar cualquier ataque que afecte un datagrama IP.
1.1.3. Vulnerabilidades de la capa de transporte. La capa de transporte transmite información TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticación, de integridad y de confidencialidad.
1.1.4. Vulnerabilidades de la capa de aplicación. Como en el resto de niveles, la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Algunos ejemplos de deficiencias de seguridad a este nivel podrían ser los siguientes:
1.1.4.1. Servicio de nombres de dominio. Normalmente, cuando un sistema solicita conexión a un servicio, pide la dirección IP de un nombre de dominio y envía un paquete UDP a un servidor DNS
1.1.4.2. Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña, que se transmiten en claro por la red.
1.1.4.3. File Transfer Protocol. Al igual que Telnet, FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos).
1.1.4.4. Hypertext Transfer Protocol. El protocolo HTTP es el responsable del servicioWorld Wide Web. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio.
2. Actividades previas a la realizaci´on de un ataque
2.1. Utilización de herramientas de administración La fase de recogida de información podría empezar con la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un sistema como, por ejemplo, ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc.
2.2. Búsqueda de huellas identificativas Aparte de la utilización de herramientas de administración y servicios de internet, existen técnicas más avanzadas que permiten extraer información más precisa de un sistema o de una red en concreto.
2.3. Exploración de puertos La exploración de puertos* es una técnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino. Suele ser la última de las actividades previas a la realización de un ataque.
3. Ataques de denegación de servicio Un ataque de denegación de servicio* es un incidente en el cual un usuario o una organización es privada de los servicios de un recurso que esperaba obtener.
3.1. A continuación realizaremos una exposición sobre algunos de los ataques de denegación de servicio más representativos.
3.1.1. IP Flooding El ataque de IP Flooding se basa en una inundación masiva de la red mediante datagramas IP. El tráfico generado en este tipo de ataque puede ser:
3.1.1.1. Aleatorio. Cuando la dirección de origen o destino del paquete IP es ficticia o falsa.
3.1.1.2. Definido o dirigido. Cuando la dirección de origen, destino, o incluso ambas, es la de la máquina que recibe el ataque.
3.1.2. Smurf Este tipo de ataque de denegación de servicio es una variante del ataque anterior (IP Flooding), pero realizando una suplantación de las direcciones de origen y destino de una petición ICMP del tipo echo-request.
3.1.3. TCP/SYN Flooding Como ya hemos visto anteriormente, algunos de los ataques y técnicas de exploración que se utilizan en la actualidad se basan en no complementar intencionadamente el protocolo de intercambio del TCP.
3.1.4. Teardrop Como hemos visto en este mismo módulo*, el protocolo IP especifica unos campos en la cabecera encargados de señalar si el datagrama IP está fragmentado (forma parte de un paquete mayor) y la posición que ocupa dentro del datagrama original.
3.1.5. Snork: este ataque se basa en una utilización malintencionada de dos servicios típicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.
3.1.6. Ping of death El ataque de denegación de servicio ”ping de la muerte”(ping of death) es uno de los ataques más conocidos y que más artículos de prensa ha generado.
3.1.7. Ataques distribuidos Un ataque de denegación de servicio distribuido* es aquél en el que una multitud de sistemas (que previamente han sido comprometidos) cooperan entre ellos para atacar a un equipo objetivo, causándole una denegación de servicio.
4. Seguridad en redes TCP/IP
4.1. Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes, se creó la denominada red ARPANET, de carácter experimental y altamente tolerable a fallos.
4.1.1. La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:
4.1.1.1. Capa de internet: Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante línea telefónica o mediante una red local Ethernet.
4.1.1.2. Capa de red. Normalmente esta´ formada por una red LAN* o WAN** (de conexio´n Network. punto a punto) homogénea.
4.1.1.3. Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que sólo es implementada por equipos usuarios de internet o por terminales de internet.
4.1.1.4. Capa de aplicación. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electrónico, FTP,
5. Fragmentación IP El protocolo IP es el encargado de seleccionar la trayectoria que deben seguir los datagramas IP. No es un protocolo fiable ni orientado a conexión, es decir, no garantiza el control de flujo, la recuperación de errores ni que los datos lleguen a su destino.
5.1. Fragmentación para enmascaramiento de datagramas IP Como ya hemos introducido al principio de esta sección, la fragmentación IP puede plantear una serie de problemáticas relacionadas con la seguridad de nuestra red.
5.2. Fragmentación en redes Ethernet La MTU por defecto de un datagrama IP para una red de tipo Ethernet es de 1500 bytes.
6. Escuchas de red Uno de los primeros ataques contra las dos primeras capas del modelo TCP/IP son las escuchas de red.
6.1. Desactivación de filtro MAC Una de las técnicas más utilizadas por la mayoría de los sniffers de redes Ethernet se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC (poniendo la tarjeta de red en modo promiscuo).
6.2. Suplantación de ARP El protocolo ARP es el encargado de traducir direcciones IP de 32 bits, a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet.
6.3. Herramientas disponibles para realizar sniffing Una de las aplicaciones más conocidas, en especial en sistemas Unix, es Tcpdump. Este programa, una vez ejecutado, captura todos los paquetes que llegan a nuestra máquina y muestra por consola toda la información relativa a los mismos.
7. Deficiencias de programación En este último apartado analizaremos dos de los errores de programación más graves que podemos encontrar en aplicaciones de red como ejemplo del ´ultimo tipo de deficiencias asociadas al modelo de comunicaciones TCP/IP.
7.1. La mayor parte de estas deficiencias de programación pueden suponer un agujero en la seguridad de la red debido a situaciones no previstas como, por ejemplo:
7.1.1. Entradas no controladas por el autor de la aplicación, que pueden provocar acciones malintencionadas y ejecución de código malicioso.
7.1.2. Uso de caracteres especiales que permiten un acceso no autorizado al servidor del servicio.
7.1.3. Entradas inesperadamente largas que provocan desbordamientos dentro de la pila de ejecución y que pueden implicar una alteración en el código que hay que ejecutar.
7.2. Desbordamiento de buffer Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir información más allá de los límites de una tupla almacenada en la pila de ejecución.
7.3. Cadenas de formato Los ataques que explotan deficiencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.
7.3.1. Obtener en cualquier momento el número de caracteres en la salida.
7.3.2. El carácter de formato "%n" devolvería el número de caracteres que debería haberse emitido en la salida, y no el número de los que realmente se van emitir.