1. Escuchas de red
1.1. Un sniffer no es mas que un sencillo programa que intercepta toda la informacion que pase por la interfaz de red a la que este asociado. Una vez capturada, se podra almacenar para su analisis posterior.
1.1.1. Desactivacion de filtro MAC
1.1.1.1. Una soluci´on para evitar esta t´ecnica consiste en la segmentaci´on de la red y de los equipos mediante el uso de conmutadores (switches). Al segmentar la red y los equipos, el ´unico tr´afico que tendr´ıan que ver las m´aquinas ser´ıa el que les pertenece, puesto que el conmutador se encarga de encaminar hacia el equipo ´unicamente aquellos paquetes destinados a su direcci´on MAC. Aun as´ı, existen t´ecnicas para poder continuar realizando sniffing aunque se haya segmentado la red mediante switches. Una de estas t´ecnicas es la suplantaci´on de ARP, que describiremos a continuaci´on.
1.1.2. Suplantacion de ARP
1.1.2.1. El objetivo de un ataque de suplantaci´on de ARP es poder capturar tr´afico ajeno sin necesidad de poner en modo promiscuo la interfaz de red. Envenenando la tabla de ARP de los equipos involucrados en la comunicaci´on que se quiere capturar se puede conseguir que el conmutador les haga llegar los paquetes. Si el enga˜no es posible, cuando las dos m´aquinas empiecen la comunicaci´on enviar´an sus paquetes hacia la m´aquina donde est´a el sniffer. ´ Este, para no descubrir el enga˜no, se encargar´a de encaminar el tr´afico que ha interceptado.
1.1.3. Herramientas disponibles para realizar sniffing
2. Ataques de denegacion de servicio
2.1. Definimos denegaci´on de servicio como la imposibilidad de acceder a un recurso o servicio por parte de un usuario leg´ıtimo. Es decir, la apropiaci´on exclusiva de un recurso o servicio con la intenci´on de evitar cualquier acceso a terceras partes.
2.1.1. IP Flooding
2.1.1.1. El ataque de IP Flooding se basa en una inundaci´on masiva de la red mediante datagramas IP.
2.1.2. Smurf
2.1.3. TCP/SYN Flooding
2.1.3.1. El ataque de TCP/SYN Flooding se aprovecha del n´umero de conexiones que est´an esperando para establecer un servicio en particular para conseguir la denegaci´on del servicio.
2.1.4. Teardrop
2.1.4.1. El ataque Teardrop intentar´a realizar una utilizaci´on fraudulenta de la fragmentaci ´on IP para poder confundir al sistema operativo en la reconstrucci´on del datagrama original y colapsar as´ı el sistema.
2.1.5. Snork
2.1.5.1. El ataque Snork se basa en una utilizaci´on malintencionada de dos servicios t´ıpicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.
2.1.6. Ping of death
2.1.6.1. La longitud m´axima de un datagrama IP es de 65535 bytes, incluyendo la cabecera del paquete (20 bytes) y partiendo de la base de que no hay opciones especiales especificadas. Por otra parte, recordemos que el protocolo ICMP tiene una cabecera de 8 bytes. De esta forma, si queremos construir un mensaje ICMP tenemos disponibles 65535 - 20 - 8 = 65507 bytes.
2.1.7. Ataques distribuidos
2.1.7.1. As´ı pues, podemos definir los ataques de denegaci´on de servicio distribuidos como un ataque de denegaci´on de servicio en el que existen m´ultiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo.
3. Fragmentacion IP
3.1. La fragmentaci´on divide los datagramas IP en fragmentos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles. El reensamblado realiza la operaci´on contraria.
3.1.1. Fragmentacion en redes Ethernet
3.1.1.1. Para que el equipo de destino pueda reconstruir los fragmentos, ´estos deben contener la siguiente informaci´on: ² Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento com´un. ´ Este se clonar´a desde un campo de la cabecera IP, conocido como identificador IP (tambi´en llamado ID de fragmento). ² Informaci´on sobre su posici´on en el paquete inicial (paquete no fragmentado). ² Informaci´on sobre la longitud de los datos transportados al fragmento. ² Cada fragmento tiene que saber si existen m´as fragmentos a continuaci´on. Esto se indica en la cabecera, dejando o no activado el indicador de m´as fragmentos (more fragments, MF) del datagrama IP.
3.1.2. Fragmentacion para emmascaramiento de datagramas IP
4. Seguridad en redes TCP/IP
4.1. La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:
4.1.1. 1) Capa de red. Normalmente esta´ formada por una red LAN* o WAN** (de conexion punto a punto) homog´enea. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red fısica o, simplemente, capa de red. 2) Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante lınea telefonica o mediante una red local Ethernet. La direccion y el encaminamiento son sus principales funciones. Todos los equipos conectados a internet implementan esta capa. 3) Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que s´olo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento (encaminadores) no la necesitan. * En ingles, routers. 4) Capa de aplicacion. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electr´onico, FTP, etc. Solo es implementada por los equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.
4.1.1.1. Actividades previas a la realizacion de un ataque
4.1.1.2. Utilizacion de herramientas de administracion
4.1.1.3. Busqueda de huellas identificativas
4.1.1.3.1. La utilizacion de estas tecnicas se conoce con el nombre de fingerprinting, es decir, obtencion de la huella identificativa de un sistema o equipo conectado a la red.
4.1.1.4. Exploracion de puertos
4.1.1.4.1. La exploracion de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta informacion, el atacante podrıa realizar posteriormente una busqueda de exploits que le permitiera un ataque de intrusion en el sistema analizado**.
5. Deficiencias de programacion
5.1. Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerza las condiciones necesarias para aprovecharse de un error de seguridad subyacente.
5.1.1. Desbordamiento de buffer
5.1.1.1. El objetivo de un ataque basado en desbordamiento de buffer en sistemas Unix suele ser la ejecuci´on de una consola de sistema con los permisos asociados al usuario con el que se est´a ejecutando el servicio atacado. Si este usuario es el administrador del sistema, esto implica disponer de todos los privilegios sobre los recursos del equipo.
5.1.2. Cadenas de formato
5.1.2.1. Los ataques que explotan deficiencias de programaci´on mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.