Seguridad en redes de computdoras

Plan your projects and define important tasks and actions

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
Rocket clouds
Seguridad en redes de computdoras por Mind Map: Seguridad en redes de computdoras

1. Ataques de denegacion de servicio

1.1. Definimos denegacion de servicio como la imposibilidad de acceder a un recurso o servicio por parte de un usuario leg´ıtimo. Es decir, la apropiacion exclusiva de un recurso o servicio con la intencion de evitar cualquier acceso a terceras partes.

1.2. IP Flooding

1.2.1. El ataque de IP Flooding se basa en una inundacion masiva de la red mediante datagramas IP.

1.3. Smurf

1.3.1. Este tipo de ataque de denegacion de servicio es una variante del ataque anterior(IPFlo- oding), pero realizando unas uplantacion de las direcciones de origen y destino de una peticion ICMP del tipo echo-request:

1.4. TCP/SYN Flooding

1.4.1. El ataque de TCP/SYN Flooding se aprovecha del numero de conexiones que estan esperando para establecer un servicio en particular para conseguir la denegacion del servicio.

1.5. Teardrop

1.5.1. El ataque Teardrop intentara realizar una utilizacion fraudulenta de la fragmentacion IP para poder confundir al sistema operativo en la reconstruccion del datagrama original y colapsara sı el sistema.

1.6. Snork

1.6.1. El ataque Snork se basa en una utilizacion malintencionada de dos servicios tıpicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.

1.7. Ping of death

1.7.1. La longitud maxima de un datagrama IP es de 65535 bytes, incluyendo la cabecera del paquete (20 bytes) y partiendo de la base de que no hay opciones especiales especificadas. Por otra parte, recordemos que el protocolo ICMP tiene una cabe- cera de 8 bytes. De esta forma, si queremos construir un mensaje ICMP tenemos disponibles 65535 - 20 - 8 = 65507 bytes.

1.8. Ataques distribuidos

1.8.1. Ası pues, podemos definir los ataques de denegacion de servicio distribuidos como un ataque de denegacion de servicio en el que existen multiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo.

2. Seguridad en redes TCP/IP

2.1. La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:

2.1.1. Capa de red. Normalmente esta formada por una red LAN* o WAN** (de conexion punto a punto) homogenea. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red f´ısica o, simplemente, capa de red.

2.1.2. Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independien- temente de si se conectan mediante l´ınea telefónica o mediante una red local Ethernet. La direccion y el encaminamiento son sus principales funciones. Todos los equipos conecta- dos a internet implementan esta capa.

2.1.3. Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que solo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento* (encaminadores) no la necesitan.

2.1.4. Capa de aplicacion. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electronico, FTP, etc. Solo es implementada por los equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.

2.2. Utilizacion de herramientas de administracion

2.2.1. Una vez descubierta la existencia de, como m´ınimo, uno de los equipos del dominio, el atacante podr´ıa obtener informacion relacionada con la topologıa o la distribucion fısica y logica de la red, mediante alguna aplicacion de administracion como, por ejemplo, trace-route. Aunque traceroute es una herramienta de administracion pensada para solucionar problemas de red, tambien se puede utilizar con objetivos deshonestos. Por ejemplo, traceroute se puede emplear para tratar de averiguar que sistemas existen entre distintos equipos (en este caso, entre el ordenador del atacante y el equipo que se quiere atacar).

2.3. Exploracion de puertos

2.3.1. La exploracion de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta informacion, el atacante podr´ıa realizar posteriormente una busqueda de exploits que le permitiera un ataque de intrusion en el sistema analizado**.

2.4. Exploracion de puertos TCP

2.4.1. Aparte de ser de utilidad para obtener la huella identificativa de un sistema conectado a la red, la exploracion de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece o no un determinado servicio.

2.5. Exploracion de puertos UDP

2.5.1. Mediante la exploracion de puertos UDP es posible determinar si un sistema esta o no disponible, ası como encontrar los servicios asociados a los puertos UDP que encontramos abiertos.

3. Deficiencias de programacion

3.1. Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerza las condiciones necesarias para aprovecharse de un error de seguridad subyacente.

3.2. Desbordamiento de buffer

3.2.1. El objetivo de un ataque basado en desbordamiento de buffer en sistemas Unix suele ser la ejecucion de una consola de sistema con los permisos asociados al usuario con el que se esta ejecutando el servicio atacado. Si este usuario es el administrador del sistema, esto implica disponer de todos los privilegios sobre los recursos del equipo.

3.3. Ejecucion local de un desbordamiento de buffer

3.3.1. El uso de referencias relativas es necesario puesto que la aplicacion que esta realizando el ataque(elexploit) desconoce la posicion absoluta en memoria o, lo que es lo mismo, el estado de la pila en el momento de la ejecucion del programa vulnerable.

4. Escuchas de red

4.1. Un sniffer no es mas que un sencillo programa que intercepta toda la informacion que pase por la interfaz de red a la que este asociado. Una vez capturada, se podra almacenar para su analisis posterior.

4.2. Suplantacion de ARP

4.2.1. El protocolo ARP es el encargado de traducir direcciones IP de 32 bits, a las correspon- dientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet. Cuando un ordenador necesita resolver una direccion IP en una direccion MAC, lo que hace es efectuar una peticion ARP (arp-request) a la direccion de difusion de dicho segmento de red, FF:FF:FF:FF:FF:FF, solicitando que el equipo que tiene esta IP responda con su direccion MAC.

4.3. Herramientas disponibles para realizar sniffing

4.3.1. Una de las aplicaciones mas conocidas, en especial en sistemas Unix, es Tcpdump. Este programa, una vez ejecutado, captura todos los paquetes que llegan a nuestra maquina y muestra por consola toda la informacion relativa a los mismos. Se trata de una herramienta que se ejecuta desde la lınea de comandos y que cuenta con una gran cantidad de opciones para mostrar la informacion capturada de formas muy diversas. Tcpdump es una herramienta muy potente y es la base para muchos otros sniffers que han aparecido posteriormente.

5. Fragmentacion IP

5.1. La fragmentacion divide los datagramas IP en fragmentos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles. El reensamblado realiza la operacion contraria. El proceso de fragmentacion y reensamblado se ira repitiendo a medida que los datagramas vayan viajando por diferentes redes.

5.2. Fragmentacion en redes Ethernet

5.2.1. Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento com un. Este se clonara desde un campo de la cabecera IP, conocido como identificador IP (tambien llamado ID de fragmento).

5.2.2. Informacion sobre su posicion en el paquete inicial (paquete no fragmentado).

5.2.3. • Informacion sobre la longitud de los datos transportados al fragmento.

5.2.4. Cada fragmento tiene que saber si existen mas fragmentos a continuacion. Esto se indica en la cabecera, dejando o no activado el indicador de mas fragmentos (more fragments, MF) del datagrama IP.

5.3. Fragmentoinicial

5.3.1. La cabecera IP original se clonara para que contenga un identificador de fragmentos identico tanto para el primer como para el resto de fragmentos.

5.4. Fragmento siguiente

5.4.1. Es importante tener presente que la cabecera ICMP del primer fragmento no ha sido clo- nada juntamente con los datos ICMP. Esto significa que si se examinara tan solo este fragmento, no se podr´ıa saber el tipo de mensaje ICMP que hay almacenado. ´ Este hecho puede suponer problemas importantes a la hora de utilizar dispositivos de filtrado.

5.5. Fragmentacion para emmascaramiento de datagramas IP

5.5.1. ara solucionar el uso de la fragmentacion fraudulenta y garantizar una correcta inspeccion de paquetes, es necesaria la implementacion del proceso de fragmentacion y el reensamblado de datagramas en dispositivos de prevencion y deteccion. Esta solucion puede suponer un coste adicional, ya que significa tener que examinar y almacenar cada fragmento. Aunque puede resultar muy costoso en cuanto a recursos (tiempo, proceso y memoria), sera la unica forma de asegurar que la inspeccion del paquete se ha realizado de forma correcta.