1. seguridad en redes tcp/ip
1.1. Capa de red: Normalmente esta formada por una red lan o wan.
1.2. Capa de internet: es donde independientemente del modo de coneccion es donde todos se pueden comunicar
1.3. Capa de transporte: es el control de flujo de errores hace que la red sea mas fiable
1.4. Capa de aplicacion: engloba todo lo que hay por encima de la capa de transporte.
2. Escuchas de red
2.1. Desactivacion de filtro mac
2.1.1. Una de las tecnicas mas utilizadas por la mayorıa de los sniffers de redes Ethernet se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro mac
2.2. Suplantacion de arp
2.2.1. El protocolo arp es el encargado de traducir direcciones ip de 32 bits, a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet.
2.3. Herramientas disponibles para realizar sniffing
2.3.1. Una de las aplicaciones mas conocidas, en especial en sistemas unix, es tcpdump. Este programa, una vez ejecutado, captura todos los paquetes que llegan a nuestra maquina y muestra por consola toda la informacion relativa a los mismos.
2.4. Uno de los primeros ataques contra las dos primeras capas del modelo tcp/ip son las escuchas de red. Se trata de un ataque realmente efectivo, puesto que permite la obtenci´on de una gran cantidad de informaci´on sensible.
3. Ataques de denegacion de servicio
3.1. Ip flooding
3.1.1. se basa en una inundacion masiva de la red mediante datagramas IP.
3.1.2. Este ataque se realiza habitualmente en redes locales o en conexiones con un gran ancho de banda.
3.1.3. El trafico generado en este tipo de ataque puede ser: aleatorio, definido o dirigido.
3.2. Smurf
3.2.1. Este tipo de ataque de denegacion de servicio realiza una suplantacion de las direcciones de origen y destino de una peticion icmp.
3.3. Tcp/syn flooding
3.3.1. se aprovecha del numero de conexiones que estan esperando para establecer un servicio en particular para conseguir la denegacion del servicio.
3.4. Teardrop
3.4.1. intenta realizar una utilizacion fraudulenta de la fragmentacion ip para poder confundir al sistema operativo en la reconstruccion del datagrama original y colapsar asi el sistema.
3.5. Snork
3.5.1. se basa en una utilizacion malintencionada de dos servicios tipicos en sistemas Unix: el servicio CHARGEN y ECHO.
3.6. Ping of death
3.6.1. utiliza una definicion de longitud maxima de datagrama ip fraudulenta.
3.7. Ataques distribuidos
3.7.1. un ataque de denegacion de servicio en el que existen multiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo.
3.8. es un incidente en el cual un usuario o una organizacion es privada de los servicios de un recurso que esperaba obtener.
3.9. Definimos denegacion de servicio como la imposibilidad de acceder a un recurso o servicio por parte de un usuario legitimo.
4. Actividades previas a la realizacion de un ataque
4.1. Utilizacion de herramientas de administracion
4.1.1. Son todas aquellas aplicaciones que permiten obtencion de informacion de un sistema.
4.1.2. informacion como el trasado de ruta, obtencion de la ip atacada
4.1.3. obtencion del nombre usuario administrador en sistema
4.1.4. informacion del host de dominio
4.2. Busqueda de huellas identificativas
4.2.1. Identificación de mecanismos de control tcp
4.2.1.1. La huella identificativa que un atacante querria obtener de los sistemas de una red hace referencia a toda aquella informacion de la implementaci´on de pila tcp/ip de los mismos.
4.2.2. Identificacion de respuestas icmp
4.2.2.1. Aunque el objetivo original del protocolo icmp es el de notificar errores y condiciones inusuales
4.3. Exploracion de puertos
4.3.1. La exploracion de puertos es una tecnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino.
4.3.2. Exploracion de puertos tcp
4.3.2.1. tcp connect scan. Mediante el establecimiento de una conexion tcp completa
4.3.2.2. tcp syn scan. Enviando unicamente paquetes de inicio de conexi´on
4.3.2.3. tcp fin scan.Al enviar un paquete fin a un puerto, deberiamos recibir un paquete de reset
4.3.2.4. tcp xmas tree scan. Esta tecnica es muy similar a la anterior, y tambien se obtiene como resultado un paquete de reset si el puerto esta cerrado.
4.3.2.5. tcp null scan. En el caso de poner a cero todos los indicadores de la cabecera tcp.
4.3.3. Exploracion de puertos UDP
4.3.3.1. Nmap junto con nessus son las herramientas mas utilizadas para la exploracion de puertos mediante utp
5. Fragmentacion ip
5.1. Fragmentacion en redes ethernet
5.1.1. La mtu por defecto de un datagrama ip para una red de tipo ethernet es de 1500 bytes. Asi pues, si un datagrama ip es mayor a este tamano y necesita circular por este tipo de red, seria necesario fragmentarlo por medio del encaminador que dirige la red.
5.1.2. Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento comun.
5.1.3. Informacion sobre su posicion en el paquete inicial
5.1.4. Informacion sobre la longitud de los datos transportados al fragmento.
5.1.5. Cada fragmento tiene que saber si existen mas fragmentos a continuacion.
5.2. Fragmentacion para emascaramiento de datagramas ip
5.2.1. Para solucionar el uso de la fragmentacion fraudulenta y garantizar una correcta inspeccion de paquetes, es necesaria la implementacion del proceso de fragmentacion y el reensamblado de datagramas en dispositivos de prevencion y deteccion.
6. Deficiencias de programacion
6.1. Desbordamiento de buffer
6.1.1. Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir informacion mas alla de los limites de una tupla almacenada en la pila de ejecucion
6.2. Cadenas de formato
6.2.1. Los ataques que explotan deficiencias de programacion mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.