1. Escuchas de red
1.1. Se trata de un ataque realmente efectivo, puesto que permite la obtención de una gran cantidad de información sensible.
1.2. Un sniffer no es más que un sencillo programa que intercepta toda la información que pase por la interfaz de red a la que esté e asociado. Una vez capturada, se podrá almacenar para su análisis posterior.
1.3. Desactivación de filtro MAC
1.3.1. Una de las técnicas más utilizadas por la mayoría de los sniffers de redes Ethernet se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC (poniendo la tarjeta de red en modo promiscuo).
1.4. Suplantacioón de ARP
1.4.1. El protocolo ARP es el encargado de traducir direcciones IP de 32 bits, a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet.
1.4.2. El objetivo de un ataque de suplantación de ARP es poder capturar tráfico ajeno sin necesidad de poner en modo promiscuo la interfaz de red. Envenenando la tabla de ARP de los equipos involucrados en la comunicación que se quiere capturar se puede conseguir que el conmutador les haga llegar los paquetes. Si el engaño es posible, cuando las dos máquinas empiecen la comunicación enviarán sus paquetes hacia la máquina donde está el sniffer. Este, para no descubrir el engaño, se encargará de encaminar el tráfico que ha interceptado.
1.5. Herramientas disponibles para realizar sniffing
1.5.1. Una de las aplicaciones más conocidas, en especial en sistemas Unix, es Tcpdump. Este programa, una vez ejecutado, captura todos los paquetes que llegan a nuestra máquina y muestra por consola toda la información relativa a los mismos. Se trata de una herramienta que se ejecuta desde la línea de comandos y que cuenta con una gran cantidad de opciones para mostrar la información capturada de formas muy diversas.
1.5.2. Otra herramienta muy conocida es Ettercap. Esta aplicación, que también funciona desde consola, ofrece un modo de ejecución interactivo en el que se muestran las conexiones accesibles desde la máquina donde se encuentra instalado y que permite seleccionar cualquiera de ellas para la captura de paquetes.
2. Fragmentación IP
2.1. La fragmentación divide los datagramas IP en fragmentos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles. El reensamblado realiza la operación contraria.
2.2. El proceso de fragmentación y reensamblado se irá repitiendo a medida que los datagramas vayan viajando por diferentes redes.
2.3. Fragmentación en redes Ethernet
2.3.1. Para que el equipo de destino pueda reconstruir los fragmentos, éstos deben contener la siguiente información
2.3.1.1. Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento común. éste se clonará desde un campo de la cabecera IP, conocido como identificador IP (también llamado ID de fragmento).
2.3.1.2. Información sobre su posición en el paquete inicial (paquete no fragmentado).
2.3.1.3. Información sobre la longitud de los datos transportados al fragmento.
2.3.1.4. Cada fragmento tiene que saber si existen más fragmentos a continuación. Esto se indica en la cabecera, dejando o no activado el indicador de más fragmentos (more fragments, MF) del datagrama IP.
2.3.2. Las siguientes secciones examinan el contenido de cada uno de los tres fragmentos individuales.
2.3.2.1. Fragmento inicial
2.3.2.1.1. El primer fragmento es el único que contendrá la cabecera del mensaje ICMP. ésta no será clonada en los fragmentos posteriores. Como veremos más adelante, este hecho identifica la naturaleza del fragmento original.
2.3.2.2. Fragmento siguiente
2.3.2.2.1. la mayor parte del resto de datos de la cabecera IP (como el origen y destino) en la nueva cabecera.
2.3.2.3. Último fragmento
2.3.2.3.1. Este fragmento tiene un desplazamiento de 2960 y una longitud de 1048 bytes; y como no le siguen más fragmentos, el indicador de más fragmentos está desactivado.
2.4. Fragmentación para emmascaramiento de datagramas IP
2.4.1. Para solucionar el uso de la fragmentación fraudulenta y garantizar una correcta inspección de paquetes, es necesaria la implementación del proceso de fragmentación y el reensamblado de datagramas en dispositivos de prevención y detección. Esta solución puede suponer un coste adicional, ya que significa tener que examinar y almacenar cada fragmento. Aunque puede resultar muy costoso en cuanto a recursos (tiempo, proceso y memoria), será la única forma de asegurar que la inspección del paquete se ha realizado de forma correcta.
3. Ataques de denegación de servicio
3.1. Definimos denegación de servicio como la imposibilidad de acceder a un recurso o servicio por parte de un usuario legítimo. Es decir, la apropiación exclusiva de un recurso o servicio con la intención de evitar cualquier acceso a terceras partes.
3.2. IP Flooding
3.2.1. El ataque de IP Flooding se basa en una inundación masiva de la red mediante datagramas IP.
3.2.1.1. El tráfico generado en este tipo de ataque puede ser:
3.2.1.1.1. Aleatorio. Cuando la dirección de origen o destino del paquete IP es ficticia o falsa. Este tipo de ataque es el más básico y simplemente busca degradar el servicio de comunicación del segmento de red al que está conectado el ordenador responsable del ataque.
3.2.1.1.2. Definido o dirigido. Cuando la dirección de origen, destino, o incluso ambas, es la de la máquina que recibe el ataque. El objetivo de este ataque es doble, ya que además de dejar fuera de servicio la red donde el atacante genera los datagramas IP, también tratará de colapsar al equipo de destino, sea reduciendo el ancho de banda disponible, o bien saturando su servicio ante una gran cantidad de peticiones que el servidor será incapaz de procesar.
3.2.1.2. Los datagramas IP utilizados podrían corresponder a
3.2.1.2.1. UDP. Con el objetivo de generar peticiones sin conexión a ninguno de los puertos disponibles. Seg ´ un la implementación de la pila TCP/IP de las máquinas involucradas, las peticiones masivas a puertos específicos UDP pueden llegar a causar el colapso del sistema.
3.2.1.2.2. ICMP. Generando mensajes de error o de control de flujo.
3.2.1.2.3. TCP. Para generar peticiones de conexión con el objetivo de saturar los recursos de red de la máquina atacada.
3.3. Smurf
3.3.1. Este tipo de ataque de denegación de servicio es una variante del ataque anterior (IP Flooding), pero realizando una suplantación de las direcciones de origen y destino de una petición ICMP del tipo echo-request
3.4. TCP/SYN Flooding
3.4.1. Como ya hemos visto anteriormente, algunos de los ataques y técnicas de exploración que se utilizan en la actualidad se basan en no complementar intencionadamente el protocolo de intercambio del TCP. Esta debilidad del protocolo TCP proviene de las primeras implementaciones de las pilas TCP.
3.4.2. El ataque de TCP/SYN Flooding se aprovecha del número de conexiones que están esperando para establecer un servicio en particular para conseguir la denegación del servicio.
3.5. Teardrop
3.5.1. el protocolo IP especifica unos campos en la cabecera encargados de señalar si el datagrama IP está fragmentado (forma parte de un paquete mayor) y la posición que ocupa dentro del datagrama original.
3.5.2. El ataque Teardrop intentará realizar una utilización fraudulenta de la fragmentación IP para poder confundir al sistema operativo en la reconstrucción del datagrama original y colapsar así el sistema.
3.6. Snork
3.6.1. El ataque Snork se basa en una utilización malintencionada de dos servicios típicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.
3.6.2. El ataque Snork consiste en el cruce de los servicios ECHO y CHARGEN, mediante el envío de una petición falsa al servicio CHARGEN, habiendo colocado previamente como dirección de origen la dirección IP de la máquina que hay que atacar (con el puerto del servicio ECHO como puerto de respuesta). De esta forma, se inicia un juego de ping-pong infinito.
3.7. Ping of death
3.7.1. La longitud m ´ axima de un datagrama IP es de 65535 bytes, incluyendo la cabecera del paquete (20 bytes) y partiendo de la base de que no hay opciones especiales especificadas. Por otra parte, recordemos que el protocolo ICMP tiene una cabecera de 8 bytes. De esta forma, si queremos construir un mensaje ICMP tenemos disponibles 65535 - 20 - 8 = 65507 bytes.
3.7.2. El ataque de denegación de servicio ”ping de la muerte”(ping of death) es uno de los ataques más conocidos y que más artículos de prensa ha generado. Al igual que otros ataques de denegación existentes, utiliza una definición de longitud máxima de datagrama IP fraudulenta.
3.8. Ataques distribuidos
3.8.1. es aquél en el que una multitud de sistemas (que previamente han sido comprometidos) cooperan entre ellos para atacar a un equipo objetivo, causándole una denegación de servicio. El flujo de mensajes de entrada que padece el equipo atacado le dejará sin recursos y será incapaz de ofrecer sus servicios a usuarios legıtimos.
3.8.2. podemos definir los ataques de denegación de servicio distribuidos como un ataque de denegación de servicio en el que existen múltiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo.
3.9. TRIN00
3.9.1. es un conjunto de herramientas master-slave utilizadas para sincronizar distintos equipos que cooperarán, de forma distribuida, en la realización de una denegación de servicio. Las primeras implementaciones de TRIN00 fueron implementadas únicamente para sistemas Sun Solaris (en los que se produjeron los primeros ataques conocidos).
3.9.2. Para realizar las intrusiones, el atacante llevará a cabo una búsqueda de vulnerabilidades en los equipos existentes en la red, generando una lista de equipos potencialmente débiles en los que tratará de introducirse y ejecutar las herramientas necesarias para provocar la escalada de privilegios.
3.9.3. La comunicación siempre se inicia con la transmisión de una contraseña. Esto permite que ni el administrador del equipo ni el de otros atacantes puedan acceder al control de la red de ataques de TRIN00.
3.10. Tribe Flood Network
3.10.1. Tribe Flood Network (TFN) es otra de las herramientas existentes para realizar ataques de denegación de servicio distribuidos que utiliza un esquema master-slave para coordinar ataques de denegaci ´ on tradicionales (ICMP Flooding, SYN Flooding, UDP Flooding y Smurf ).
3.10.2. La arquitectura de funcionamiento del TFN es muy parecida a la de TRIN00. Una de las pocas diferencias la encontramos en la parte de clientes (respecto a los Masters del esquema de TRIN00) y la parte de demonios (respeto a los Slaves de TRIN00). De forma análoga, un atacante controla a uno o más clientes quem a su vez, controlan a uno o más demonios.
3.11. Shaft
3.11.1. La comunicación entre Shaftmasters y Shaftnodes se realiza mediante UDP (que no es fiable). Por este motivo, Shaft utiliza tickets para poder mantener ordenada la comunicación y asignar a cada paquete una orden de secuencia.
3.12. Tribe Flood Network 2000
3.12.1. Tribe Flood Network 2000 (TFN2k) añade una serie de características adicionales, de entre las que destacamos las siguientes:
3.12.1.1. La comunicación master-slave se realizan ahora mediante protocolos TCP, UDP, ICMP o los tres a la vez de forma aleatoria.
3.12.1.2. Los ataques continúan siendo los mismos (ICMP Flooding, UDP Flooding, SYN Flooding y Smurf ). Aun así, el demonio se puede programar para que alterne entre estos cuatro tipos de ataque, para dificultar la detección por parte de sistemas de monitorización en la red.
3.12.1.3. Las cabeceras de los paquetes de comunicación master-slave son ahora aleatorias, excepto en el caso de ICMP (donde siempre se utilizan mensajes de tipo echo-reply). De esta forma se evitaría una detección mediante patrones de comportamiento.
3.12.1.4. Todos los comandos van cifrados. La clave se define en tiempo de compilación y se utiliza como contraseña para acceder al cliente.
3.12.1.5. Cada demonio genera un proceso hijo por ataque, tratando de diferenciarse entre sí a través de los argumentos y parámetros que se pasan en el momento de ejecución. Además, se altera su nombre de proceso para hacerlo pasar por un proceso más del sistema.
4. Seguridad en redes TCP/IP
4.1. La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:
4.1.1. Capa de red. Normalmente esta formada por una red LAN o WAN (de conexión punto a punto) homogénea. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red física o, simplemente, capa de red.
4.1.2. Capa de Internet (o capa de internetworking) . Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante línea telefónica o mediante una red local Ethernet. La dirección y el encaminamiento son sus principales funciones. Todos los equipos conectados a Internet implementan esta capa.
4.1.3. Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que solo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento (encaminadores) no la necesitan.
4.1.4. Capa de aplicación. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electrónico, FTP, etc. Solo es implementada por los equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.
4.2. A continuación presentamos algunas de las vulnerabilidades más comunes de las distintas capas
4.2.1. Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de red están estrechamente ligadas al medio sobre el que se realiza la conexión. Esta capa presenta problemas de control de acceso y de confidencialidad.
4.2.2. Vulnerabilidades de la capa internet. En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las técnicas de sniffing, la suplantación de mensajes, la modificación de datos, los retrasos de mensajes y la denegación de mensajes.
4.2.3. Vulnerabilidades de la capa de transporte. La capa de transporte transmite información TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticación, de integridad y de confidencialidad. Algunos de los ataques más conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte.
4.2.4. Vulnerabilidades de la capa de aplicación. Como en el resto de niveles, la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran número de protocolos definidos en esta capa, la cantidad de deficiencias presentes también será superior al resto de capas.
4.2.4.1. Servicio de nombres de dominio. Normalmente, cuando un sistema solicita conexión a un servicio, pide la dirección IP de un nombre de dominio y envía un paquete UDP a un servidor DNS; entonces, ´ este responde con la dirección IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la dirección IP solicitada.
4.2.4.2. Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña, que se transmiten en claro por la red. Así, al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección, el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing.
4.2.4.3. File Transfer Protocol. Al igual que Telnet, FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos). Así pues, al enviar el identificador de usuario y la contraseña en claro por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que veíamos anteriormente con el protocolo Telnet.
4.2.4.4. Hypertext Transfer Protocol. El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor.
5. Actividades previas a la realización de un ataque
5.1. Utilización de herramientas de administración
5.1.1. La fase de recogida de información podría empezar con la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un sistema como, por ejemplo, ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc.
5.1.1.1. La simple ejecución del comando ping contra la dirección IP asociada a un nombre de dominio podría ofrecer al atacante información de gran utilidad. Para empezar, esta información le permitirá determinar la existencia de uno o más equipos conectados a la red de este dominio.
5.1.1.2. mediante traceroute se puede llegar a obtener una lista de los elementos de la red recorridos desde una ubicación de origen hasta el sistema de destino
5.1.1.3. Otra información relevante de un sistema es el nombre de los usuarios que tienen acceso a estos equipos. Una utilidad que puede ayudar al atacante a obtener estos datos es la herramienta finger
5.1.1.4. Si el servidor que ofrece la información de este dominio no se ha configurado adecuadamente, es posible realizar una consulta de transferencia de zona completa, lo cual permitirá obtener toda la información de traducción de direcciones IP a nombres de máquina. Este tipo de consulta puede realizarse con las utilidades host, dig y nslookup, entre otras
5.1.1.5. Finalmente, esta primera fase de recogida de información mediante herramientas de administración suele finalizar realizando una serie de consultas en grupos de noticias, buscadores de páginas web o meta buscadores. Mediante esta consultas, el atacante puede obtener información emitida por los usuarios de la organización asociada a la red que desea atacar.
5.2. Búsqueda de huellas identificativas
5.2.1. La utilización de estas técnicas se conoce con el nombre de fingerprinting, es decir, obtención de la huella identificativa de un sistema o equipo conectado a la red.
5.2.1.1. Identificación de mecanismos de control TCP, esta información le permitir´ a descubrir de forma muy fiable el sistema operativo que se ejecuta en la máquina analizada. Por otro lado, estos datos, junto con la versión del servicio y del servidor obtenidos anteriormente, facilitarán al atacante la búsqueda de herramientas necesarias para realizar, por ejemplo, una explotación de un servicio contra algunos de estos sistemas.
5.2.1.2. La interpretación de los RFC (y por lo tanto, las características propias de implementación) puede ser muy distinta en cada sistema operativo (incluso en diferentes versiones de un mismo sistema operativo). Así pues, la probabilidad de acierto del sistema operativo remoto mediante esta información es muy elevada.
5.2.1.3. Identificación de respuestas ICMP,
5.2.1.3.1. Comentaremos a continuación algunos ejemplos de cómo obtener estas huellas a partir de las distintas respuestas ofrecidas mediante el tráfico ICMP
5.3. Exploración de puertos
5.3.1. La exploración de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta informaci´ on, el atacante podría realizar posteriormente una b ´ usqueda de exploits que le permitiera un ataque de intrusi ´ on en el sistema analizado
5.3.2. Exploración de puertos TCP
5.3.2.1. TCP connect scan. Mediante el establecimiento de una conexión TCP completa (completando los tres pasos del establecimiento de la conexión) la exploración puede ir analizando todos los puertos posibles. Si la conexión se realiza correctamente, se anotará el puerto como abierto (realizando una suposición de su servicio asociado según el número de puerto).
5.3.2.2. TCP SYN scan. Enviando únicamente paquetes de inicio de conexión (SYN) por cada uno de los puertos que se quieren analizar se puede determinar si ´ estos están abiertos o no. Recibir como respuesta un paquete RST-ACK significa que no existe ningún servicio que escuche por este puerto.
5.3.2.3. TCP FIN scan. Al enviar un paquete FIN a un puerto, deberíamos recibir un paquete de reset (RST) sí dicho puerto está cerrado. Esta técnica se aplica principalmente sobre implementaciones de pilas TCP/IP de sistemas Unix.
5.3.2.4. TCP Xmas Tree scan. Esta técnica es muy similar a la anterior, y también se obtiene como resultado un paquete de reset si el puerto está cerrado. En este caso se envían paquetes FIN, URG y PUSH.
5.3.2.5. TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploración debería recibir como resultado un paquete de reset en los puertos no activos.
5.3.3. Exploración de puertos UDP
5.3.3.1. Mediante la exploración de puertos UDP es posible determinar si un sistema está o no disponible, así como encontrar los servicios asociados a los puertos UDP que encontramos abiertos.
5.3.3.1.1. Herramientas para realizar la exploración de puertos
6. Deficiencias de programación
6.1. La mayor parte de estas deficiencias de programación pueden suponer un agujero en la seguridad de la red debido a situaciones no previstas como
6.1.1. Entradas no controladas por el autor de la aplicación, que pueden provocar acciones malintencionadas y ejecución de código malicioso.
6.1.2. Uso de caracteres especiales que permiten un acceso no autorizado al servidor del servicio.
6.1.3. Entradas inesperadamente largas que provocan desbordamientos dentro de la pila de ejecución y que pueden implicar una alteración en el código que hay que ejecutar.
6.2. Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerza las condiciones necesarias para aprovecharse de un error de seguridad subyacente.
6.3. Desbordamiento de buffer
6.3.1. se basa en la posibilidad de escribir información más allá de los limites de una tupla almacenada en la pila de ejecución. A partir de esta tupla, asociada a una llamada a función dentro del programa, se puede conseguir corromper el flujo de la ejecución modificando el valor de regreso de la llamada a la función.
6.3.2. El objetivo de un ataque basado en desbordamiento de buffer en sistemas Unix suele ser la ejecución de una consola de sistema con los permisos asociados al usuario con el que se está ejecutando el servicio atacado. Si este usuario es el administrador del sistema, esto implica disponer de todos los privilegios sobre los recursos del equipo.
6.3.3. Ejecución local de un desbordamiento de buffer
6.3.3.1. El uso de referencias relativas es necesario puesto que la aplicación que está realizando el ataque (el exploit) desconoce la posición absoluta en memoria o, lo que es lo mismo, el estado de la pila en el momento de la ejecución del programa vulnerable.
6.3.4. Cadenas de formato
6.3.4.1. Los ataques que explotan deficiencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.
6.3.4.2. Glo