Ataques contra redesTCP/IPJoaqu´n Garc´a Alfaro     ı      ı
© FUOC • P06/M2107/01769                                                                                                  ...
© FUOC • P06/M2107/01769                                           3                           Ataques contra redes TCP/IP...
© FUOC • P06/M2107/01769                                         4                              Ataques contra redes TCP/I...
© FUOC • P06/M2107/01769                                         5                                      Ataques contra red...
© FUOC • P06/M2107/01769                                         6                                     Ataques contra rede...
© FUOC • P06/M2107/01769                                           7                                          Ataques cont...
© FUOC • P06/M2107/01769                                         8                                             Ataques con...
© FUOC • P06/M2107/01769                                             9                                    Ataques contra r...
© FUOC • P06/M2107/01769                                           10                                          Ataques con...
© FUOC • P06/M2107/01769                                        11                                          Ataques contra...
© FUOC • P06/M2107/01769                                         12                             Ataques contra redes TCP/I...
© FUOC • P06/M2107/01769                                        13                                         Ataques contra ...
© FUOC • P06/M2107/01769                                           14                                         Ataques cont...
© FUOC • P06/M2107/01769                                         15                                       Ataques contra r...
© FUOC • P06/M2107/01769                                            16                                      Ataques contra...
© FUOC • P06/M2107/01769                                         17                              Ataques contra redes TCP/...
© FUOC • P06/M2107/01769                                        18                             Ataques contra redes TCP/IP...
© FUOC • P06/M2107/01769                                        19                                          Ataques contra...
© FUOC • P06/M2107/01769                                           20                                     Ataques contra r...
© FUOC • P06/M2107/01769                                            21                                         Ataques con...
© FUOC • P06/M2107/01769                                           22                                      Ataques contra ...
© FUOC • P06/M2107/01769                                                  23                                Ataques contra...
© FUOC • P06/M2107/01769                                                                   24                          Ata...
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Ataques contra redes
Upcoming SlideShare
Loading in...5
×

Ataques contra redes

910

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
910
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
57
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Ataques contra redes

  1. 1. Ataques contra redesTCP/IPJoaqu´n Garc´a Alfaro ı ı
  2. 2. © FUOC • P06/M2107/01769 Ataques contra redes TCP/IP´IndiceIntroducci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 3Objectivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.1. Seguridad en redes TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.2. Actividades previas a la realizaci´ n de un ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . o 10 1.2.1. Utilizaci´ n de herramientas de administraci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . o o 10 1.2.2. B´ squeda de huellas identificativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . u 14 1.2.3. Exploraci´ n de puertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 161.3. Escuchas de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.3.1. Desactivaci´ n de filtro MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 22 1.3.2. Suplantaci´ n de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 23 1.3.3. Herramientas disponibles para realizar sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . . 251.4. Fragmentaci´ n IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 26 1.4.1. Fragmentaci´ n en redes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 27 1.4.2. Fragmentaci´ n para emmascaramiento de datagramas IP . . . . . . . . . . . . . . . . . o 321.5. Ataques de denegaci´ n de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 34 1.5.1. IP Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 1.5.2. Smurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 1.5.3. TCP/SYN Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 1.5.4. Teardrop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 1.5.5. Snork . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 1.5.6. Ping of death . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 1.5.7. Ataques distribuidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421.6. Deficiencias de programaci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 47 1.6.1. Desbordamiento de buffer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 1.6.2. Cadenas de formato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Bibliograf´a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 62
  3. 3. © FUOC • P06/M2107/01769 3 Ataques contra redes TCP/IPIntroducci´ n oDurante los primeros a˜ os de internet, los ataques a sistemas inform´ ticos requer´an pocos n a ıconocimientos t´ cnicos. Por un lado, los ataques realizados desde el interior de la red se ebasaban en la alteraci´ n de permisos para modificar la informaci´ n del sistema. Por el o ocontrario, los ataques externos se produc´an gracias al conocimiento de las contrase˜ as ı nnecesarias para acceder a los equipos de la red.Con el paso de los a˜ os se han ido desarrollando nuevos ataques cada vez m´ s sofisticados n apara explotar vulnerabilidades tanto en el dise˜ o de las redes TCP/IP como en la confi- nguraci´ n y operaci´ n de los sistemas inform´ ticos que conforman las redes conectadas a o o ainternet. Estos nuevos m´ todos de ataque se han ido automatizando, por lo que en muchos ecasos s´ lo se necesita un conocimiento t´ cnico muy b´ sico para realizarlos. Cualquier o e ausuario con una conexi´ n a internet tiene acceso hoy en d´a a numerosas aplicaciones para o ırealizar estos ataques y las instrucciones necesarias para ejecutarlos.En la mayor parte de la bibliograf´a relacionada con la seguridad en redes inform´ ticas ı apodemos encontrar clasificadas las tres generaciones de ataques siguientes:Primera generaci´ n: ataques f´sicos. Encontramos aqu´ ataques que se centran en com- o ı ıponentes electr´ nicos, como podr´an ser los propios ordenadores, los cables o los disposi- o ıtivos de red. Actualmente se conocen soluciones para estos ataques, utilizando protocolosdistribuidos y de redundancia para conseguir una tolerancia a fallos aceptable.Segunda generaci´ n: ataques sint´ cticos.Se trata de ataques contra la l´ gica operativa o a ode los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en elsoftware, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globa-les para contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cadavez m´ s eficaces. aTercera generaci´ n: ataques sem´ nticos.Finalmente, podemos hablar de aquellos ata- o aques que se aprovechan de la confianza de los usuarios en la informaci´ n. Este tipo de oataques pueden ir desde la colocaci´ n de informaci´ n falsa en boletines informativos y o ocorreos electr´ nicos hasta la modificaci´ n del contenido de los datos en servicios de con- o ofianza, como, por ejemplo, la manipulaci´ n de bases de datos con informaci´ n p´ blica, o o usistemas de informaci´ n burs´ til, sistemas de control de tr´ fico a´ reo, etc. o a a eAntes de pasar a hablar detalladamente de como evitar estos ataques desde un punto devista m´ s t´ cnico, introduciremos en este m´ dulo algunas de las deficiencias t´picas de a e o ılos protocolos TCP/IP y analizaremos algunos de los ataques m´ s conocidos contra esta aarquitectura.
  4. 4. © FUOC • P06/M2107/01769 4 Ataques contra redes TCP/IPObjectivosEn este m´ dulo did´ ctico el estudiante encontrar´ los recursos necesarios para alcanzar los o a asiguientes objetivos:1) Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplosde vulnerabilidades en sus protocolos b´ sicos. a2) Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IPpara conseguir sus objetivos.3) Aprender c´ mo funcionan las t´ cnicas de sniffing en redes TCP/IP para comprender el o epeligro que comportan en la seguridad de una red local.4) Estudiar con m´ s detalle algunos ataques concretos contra redes TCP/IP, como pueden aser los ataques de denegaci´ n de servicio y las deficiencias de programaci´ n. o o
  5. 5. © FUOC • P06/M2107/01769 5 Ataques contra redes TCP/IP1.1. Seguridad en redes TCP/IP.Durante la d´ cada de los 60, dentro del marco de la guerra fr´a, la Agencia de Proyectos e ıde Investigaci´ n Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) ose plante´ la posibilidad de que un ataque afectara a su red de comunicaciones y financi´ o oequipos de investigaci´ n en distintas universidades con el objetivo de desarrollar una red ode ordenadores con una administraci´ n totalmente distribuida. oComo resultado de la aplicaci´ n de sus estudios en redes de conmutaci´ n de paquetes, se o ocre´ la denominada red ARPANET, de car´ cter experimental y altamente tolerable a fallos. o aM´ s adelante, a mediados de los 70, la agencia empez´ a investigar en la interconexi´ n de a o odistintas redes, y en 1974 estableci´ las bases de desarrollo de la familia de protocolos que ose utilizan en las redes que conocemos hoy en d´a como redes TCP/IP. ı Modelo TCP/IP Aplicación Aplicación Transporte Transporte Internet Internet Red Red RedLa familia de protocolos TCP/IP se divide en las cuatro capas siguientes: ´ -* En ingles, Local Area Network. ´ -** En ingles, Wide Area1) Capa de red. Normalmente est´ formada por una red LAN* o WAN** (de conexi´ n a o Network.punto a punto) homog´ nea. Todos los equipos conectados a internet implementan esta ecapa. Todo lo que se encuentra por debajo de la IP es la capa de red f´sica o, simplemente, ıcapa de red.
  6. 6. © FUOC • P06/M2107/01769 6 Ataques contra redes TCP/IP2) Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de lared y, por lo tanto, es la capa que permite que todos se puedan interconectar, independien-temente de si se conectan mediante l´nea telef´ nica o mediante una red local Ethernet. La ı odirecci´ n y el encaminamiento son sus principales funciones. Todos los equipos conecta- odos a internet implementan esta capa.3) Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva acabo principalmente dentro esta capa, que s´ lo es implementada por equipos usuarios de ointernet o por terminales de internet. Los dispositivos de encaminamiento* (encaminado-res) no la necesitan. ´ * En ingles, routers.4) Capa de aplicaci´ n. Engloba todo lo que hay por encima de la capa de transporte. Es ola capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidoresde web, correo electr´ nico, FTP, etc. S´ lo es implementada por los equipos usuarios de o ointernet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.Como ya hemos comentado, s´ lo los equipos terminales implementan todas las capas. Los o ´equipos intermedios unicamente implementan el nivel de red y el nivel IP: Situación de las capas de la red Internet Red Internet Aplicación Aplicación Transporte Transporte Internet Internet Internet Internet Red X X X X Red Estación Encaminador Encaminador EstaciónEn cada una de las capas expuestas encontramos protocolos distintos. La situaci´ n relativa ode cada protocolo en las diferentes capas se muestra en la siguiente figura: Para profundizar en los protocolos TCP/IP, mirad los apartados 1.4, 1.10 y 29.3 de la obra: D.E. Comer (1995). internetworking *with TCP/IP (Volumen I: Principies, Protocolos and Architecture). Prentice Hall.
  7. 7. © FUOC • P06/M2107/01769 7 Ataques contra redes TCP/IP Protocolos y capas de Internet Capa Protocolos Aplicación HTTP Telnet SMTP DNS Transporte TCP UDP ICMP IP Internet ARP Driver de red Red Tarjeta de redComo ya se ha adelantado, en cada capa del modelo TCP/IP pueden existir distintas vul-nerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas.Cada d´a se descubren nuevas deficiencias, la mayor´a de las cuales se hacen p´ blicas por ı ı uorganismos internacionales, tratando de documentar, si es posible, la forma de solucionary contrarestar los problemas.A continuaci´ n presentamos algunas de las vulnerabilidades m´ s comunes de las distintas o acapas que veremos con m´ s detalle a lo largo de este m´ dulo: a o1) Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de red est´ n a Ataques f´sicos ıestrechamente ligadas al medio sobre el que se realiza la conexi´ n. Esta capa presenta o Este tipo de ataques puedenproblemas de control de acceso y de confidencialidad. llegar a ser muy dif´ciles de ı realizar, ya que generalmente requieren un acceso f´sico a ı los equipos que se quierenSon ejemplos de vulnerabilidades a este nivel los ataques a las l´neas punto a punto: desv´o ı ı atacar. De ah´ que no los ıde los cables de conexi´ n hacia otros sistemas, interceptaci´ n intrusiva de las comunicaci- o o ´ trataremos en este modulo ´ didactico.ones (pinchar la l´nea), escuchas no intrusivas en medios de transmisi´ n sin cables, etc. ı o2) Vulnerabilidades de la capa internet. En esta capa se puede realizar cualquier Escuchas de red ...ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las t´ cnicas e ´ ... (en ingles, sniffing).de sniffing, la suplantaci´ n de mensajes, la modificaci´ n de datos, los retrasos de mensajes o o Pueden realizarse mediante aplicaciones que se conoceny la denegaci´ n de mensajes. o con el nombre de sniffers. Ved el apartado Escuchas de red de este mismo modulo´Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La ´ para mas informacion. ´suplantaci´ n de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro omensaje antes de que lo haga el suplantado.
  8. 8. © FUOC • P06/M2107/01769 8 Ataques contra redes TCP/IPEn esta capa, la autenticaci´ n de los paquetes se realiza a nivel de m´ quina (por direcci´ n o a o Ataques de suplantaci´ n ... oIP) y no a nivel de usuario. Si un sistema suministra una direcci´ n de m´ quina err´ nea, o a o ´ ... (en ingles Spoofingel receptor no detectar´ la suplantaci´ n. Para conseguir su objetivo, este tipo de ataques a o ´ attacks). Mirad la seccion ´ Suplantacion de ARP delsuele utilizar otras t´ cnicas, como la predicci´ n de n´ meros de secuencia TCP, el envene- e o u apartado Escuchas de red denamiento de tablas cach´ , etc. e ´ este mismo modulo para ver un ejemplo de ataque de ´ suplantacion.Por otro lado, los paquetes se pueden manipular si se modifican sus datos y se reconstruyende forma adecuada los controles de las cabeceras. Si esto es posible, el receptor ser´ inca- apaz de detectar el cambio.3) Vulnerabilidades de la capa de transporte. La capa de transporte transmite infor- Ataques de denegaci´ n de o servicio ...maci´ n TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de oautenticaci´ n, de integridad y de confidencialidad. Algunos de los ataques m´ s conocidos o a ´ ... (en ingles Denial of Service attacks o DoS). Miraren esta capa son las denegaciones de servicio debidas a protocolos de transporte. el apartado sobre Ataques de ´ denegacion de servicio de ´ este mismo modulo para mas ´En cuanto a los mecanismos de seguridad incorporados en el dise˜ o del protocolo de TCP n ´ informacion.(como las negociaciones involucradas en el establecimiento de una sesi´ n TCP), existe una oserie de ataques que aprovechan ciertas deficiencias en su dise˜ o. Una de las vulnerabili- ndades m´ s graves contra estos mecanismos de control puede comportar la posibilidad de ainterceptaci´ n de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a ootros equipos con fines deshonestos.Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de inter-cambio de TCP respecto a la autenticaci´ n de los equipos involucrados en una sesi´ n. As´, o o ısi un usuario hostil puede observar los intercambios de informaci´ n utilizados durante el o o ´inicio de la sesi´ n y es capaz de interceptar con exito una conexi´ n en marcha con todos olos par´ metros de autenticaci´ n configurados adecuadamente, podr´ secuestrar la sesi´ n. a o a o4) Vulnerabilidades de la capa de aplicaci´ n. Como en el resto de niveles, la capa de oaplicaci´ n presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido oal gran n´ mero de protocolos definidos en esta capa, la cantidad de deficiencias presentes utambi´ n ser´ superior al resto de capas. Algunos ejemplos de deficiencias de seguridad a e aeste nivel podr´an ser los siguientes: ı• Servicio de nombres de dominio. Normalmente, cuando un sistema solicita cone- xi´ n a un servicio, pide la direcci´ n IP de un nombre de dominio y env´a un paquete o o ı * Estos ataques de ´ suplantacion de DNS se ´ UDP a un servidor DNS; entonces, este responde con la direcci´ n IP del dominio so- o conocen con el nombre de licitado o una referencia que apunta a otro DNS que pueda suministrar la direcci´ n IP o spoofing de DNS. solicitada. Un servidor DNS debe entregar la direcci´ n IP correcta pero, adem´ s, tambi´ n puede o a e entregar un nombre de dominio dada una direcci´ n IP u otro tipo de informaci´ n. o o
  9. 9. © FUOC • P06/M2107/01769 9 Ataques contra redes TCP/IP En el fondo, un servidor de DNS es una base de datos accesible desde internet. Por ´ lo tanto, un atacante puede modificar la informaci´ n que suministra esta base de datos o o acceder a informaci´ n sensible almacenada en la base de datos por error, pudiendo o obtener informaci´ n relativa a la topolog´a de la red de una organizaci´ n concreta (por o ı o ejemplo, la lista de los sistemas que tiene la organizaci´ n). o• Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contrase˜ a, que se transmiten en claro por la red. n As´, al igual que el resto de servicios de internet que no protegen los datos mediante ı mecanismos de protecci´ n**, el protocolo de aplicaci´ n Telnet hace posible la captura o o de aplicaci´ n sensible mediante el uso de t´ cnicas de sniffing. o e ´ ** Mirad el modulo ´ Mecanismos de proteccion Actualmente existen otros protocolos a nivel de aplicaci´ n (como, por ejemplo, SSH) o de este mismo material para para acceder a un servicio equivalente a Telnet pero de manera segura (mediante auten- ´ ´ mas informacion. ticaci´ n fuerte). Aun as´, el hecho de cifrar el identificador del usuario y la contrase˜ a o ı n no impide que un atacante que las conozca acceda al servicio.• File Transfer Protocol. Al igual que Telnet, FTP es un protocolo que env´a la infor- ı maci´ n en claro (tanto por el canal de datos como por el canal de comandos). As´ pues, o ı al env´ar el identificador de usuario y la contrase˜ a en claro por una red potencialmente ı n hostil, presenta las mismas deficiencias de seguridad que ve´amos anteriormente con ı el protocolo Telnet. Aparte de pensar en mecanismos de protecci´ n de informaci´ n para solucionar el pro- o o blema, FTP permite la conexi´ n an´ nima a una zona restringida en la cual s´ lo se o o o permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contrase˜ as, sin limi- n tar una de las funcionalidades m´ s interesantes del servicio. a• Hypertext Transfer Protocol. El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades m´ s conocidas procede de la posibilidad de en- a trega de informaci´ n por parte de los usuarios del servicio. Esta entrega de informaci´ n o o desde el cliente de HTTP es posible mediante la ejecuci´ n remota de c´ digo en la parte o o del servidor. La ejecuci´ n de este c´ digo por parte del servidor suele utilizarse para dar el formato o o adecuado tanto a la informaci´ n entregada por el usuario como a los resultados de- o * Mirad el cap´tulo ı ´ Deficiencias de programacion vueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este ´ de este mismo modulo c´ digo que se ejecuta presenta deficiencias de programaci´ n, la seguridad del equipo o o ´ didactico para mas´ ´ informacion. en el que est´ funcionando el servidor se podr´ poner en peligro*. e a
  10. 10. © FUOC • P06/M2107/01769 10 Ataques contra redes TCP/IP1.2. Actividades previas a la realizaci´ n de un ataque o.Previamente a la planificaci´ n de un posible ataque contra uno o m´ s equipos de una red o aTCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase,es decir, para obtener toda la informaci´ n posible de la v´ctima, ser´ necesario utilizar una o ı aserie de t´ cnicas de obtenci´ n y recolecci´ n de informaci´ n. e o o oA continuaci´ n veremos, con algunos ejemplos sencillos, algunas de las t´ cnicas existentes o eque tanto los administradores de una red como los posibles atacantes, pueden utilizar pararealizar la fase de recogida y obtenci´ n de informaci´ n previa a un ataque. o o1.2.1. Utilizaci´ n de herramientas de administraci´ n o o La fase de recogida de informaci´ n podr´a empezar con la utilizaci´ n de todas aquellas o ı o Evitar la extracci´ n de o informaci´ n oaplicaciones de administraci´ n que permitan la obtenci´ n de informaci´ n de un sistema o o ocomo, por ejemplo, ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, ´ Una posible solucion para proteger los sistemas deetc. nuestra red contra esta ´ extraccion de informacion ´ mediante herramientas deLa simple ejecuci´ n del comando ping contra la direcci´ n IP asociada a un nombre de o o ´ administracion es la ´ utilizacion de sistemasdominio podr´a ofrecer al atacante informaci´ n de gran utilidad. Para empezar, esta infor- ı o cortafuegos. Consultad elmaci´ n le permitir´ determinar la existencia de uno o m´ s equipos conectados a la red de o a a ´ ´ siguiente modulo didactico ´ ´ para mas informacion sobreeste dominio. filtrado de paquetes y sistemas cortafuegos.Una vez descubierta la existencia de, como m´nimo, uno de los equipos del dominio, el ıatacante podr´a obtener informaci´ n relacionada con la topolog´a o la distribuci´ n f´sica y ı o ı o ıl´ gica de la red, mediante alguna aplicaci´ n de administraci´ n como, por ejemplo, trace- o o oroute.Aunque traceroute es una herramienta de administraci´ n pensada para solucionar proble- omas de red, tambi´ n se puede utilizar con objetivos deshonestos. Por ejemplo, traceroute ese puede emplear para tratar de averiguar qu´ sistemas existen entre distintos equipos (en eeste caso, entre el ordenador del atacante y el equipo que se quiere atacar). ´ * En ingles, router.El funcionamiento de traceroute se basa en la manipulaci´ n del campo TTL de la cabecera oIP de un paquete, de forma que es capaz de determinar uno a uno los saltos por los queun determinado paquete avanza por la red TCP/IP. El campo TTL act´ a como un conta- udor de saltos, vi´ ndose reducido en una unidad al ser reenviado por cada dispositivo de eencaminamiento.
  11. 11. © FUOC • P06/M2107/01769 11 Ataques contra redes TCP/IPAs´, mediante traceroute se puede llegar a obtener una lista de los elementos de la red ırecorridos desde una ubicaci´ n de origen hasta el sistema de destino, como muestra el osiguiente ejemplo: ´ Existen herramientas graficas con una funcionalidad similar a traceroute, que permiten [root@atacante /]$ traceroute -n www.vitima.com visualizar las correspondientes traceroute to www.vitima.com (218.73.40.217), asociaciones de cada 30 hops max, 38 byte packets elemento IP y con su ´ ´ ubicacion geografica. 1 80.12.14.92 1.091 ms 1.203 ms 2.140 ms 1 80.12.14.1 2.175 ms 2.319 ms 2.155 ms 2 80.12.56.13 12.063 ms 14.105 ms 13.305 ms .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. 10 218.73.40.217 30.025 ms 28.205 ms 28.202 msComo veremos m´ s adelante, el uso del protocolo ICMP (que utilizan tanto ping como atraceroute) tambi´ n puede permitir obtener informaci´ n adicional, como la franja horaria e odel sistema de destino o la m´ scara de red empleada. aDescubrimiento de usuariosOtra informaci´ n relevante de un sistema es el nombre de los usuarios que tienen acceso oa estos equipos. Una utilidad que puede ayudar al atacante a obtener estos datos es laherramienta finger: El servicio finger ´ Dada la informacion que proporciona este servicio, [root@atacante /]$ finger -l @ www.victima.com muchos sistemas no lo tienen activado. [www.victima.com] Login name: root (messages off) Directory: /root Shell: /bin/bash On since Mar 11 12:04:32 on pts/1 from dummy.victima.com New mail received Mon Mar 8 13:12:05 2001; No Plan.Mediante finger, el atacante podr´a realizar varias pruebas para tratar de descubrir la exis- ıtencia de usuarios v´ lidos. M´ s adelante, y con la informaci´ n obtenida, podr´a probar a a o ıdistintas contrase˜ as de usuario con la finalidad de obtener un acceso remoto al sistema nutilizando, por ejemplo, un cliente de Telnet o de SSH.
  12. 12. © FUOC • P06/M2107/01769 12 Ataques contra redes TCP/IPInformaci´ n de dominio oDurante esta primera etapa de recogida de informaci´ n, el atacante tambi´ n tratar´ de ob- o e atener toda aquella informaci´ n general relacionada con la organizaci´ n que hay detr´ s de o o ala red que se quiere atacar. La recogida de esta informaci´ n puede empezar extrayendo la oinformaci´ n relativa a los dominios asociados a la organizaci´ n, as´ como las subredes cor- o o ırespondientes. Esto puede obtenerse f´ cilmente mediante consultas al servicio de nombre ade dominios (DNS).Si el servidor que ofrece la informaci´ n de este dominio no se ha configurado adecuada- omente, es posible realizar una consulta de transferencia de zona completa, lo cual permitir´ aobtener toda la informaci´ n de traducci´ n de direcciones IP a nombres de m´ quina. Este o o atipo de consulta puede realizarse con las utilidades host, dig y nslookup, entre otras: [root@atacante /]$ host -l victima.com www.victima.com has address 218.73.40.217 www.victima.com host information "Pentium III" "Linux" ftp.victima.com has address 218.73.40.81 ftp.victima.com host information "Pentium II" "FreeBSD" .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. [root@atacante /]$ host -l victima.com > victima.com.txtEntre la informaci´ n encontrada, el atacante podr´a encontrar informaci´ n sensible como, o ı opor ejemplo, relaciones entre sistemas de la red o subredes, el objetivo para el que seutilizan los mismos, el sistema operativo instalado en cada equipo, etc.Cadenas identificativasA medida que vaya encontrando nuevos sistemas, el atacante ir´ complementando la in- aformaci´ n recogida con toda aquella informaci´ n que pueda serle de utilidad para explotar o oposibles deficiencias en la seguridad de la red. Una primera fuente de informaci´ n podr´a o ıser, por ejemplo, la informaci´ n que ofrecen las cadenas de texto que generalmente apare- oce al conectarse a un determinado servicio. Estas cadenas, aparte de identificar cada unode los servicios ofrecidos por estos equipos, podr´an indicar el nombre y la versi´ n de la ı oaplicaci´ n que se est´ ejecutando detr´ s de dicho servicio: o a a [root@atacante /]$ ftp ftp.victima.com Connected to ftp.victima.com (218.73.40.81). 220 ProFTPD 1.2.4 Server (VICTIMA FTP Server) Name (ftp.victima.com:root): .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
  13. 13. © FUOC • P06/M2107/01769 13 Ataques contra redes TCP/IP [root@atacante /]$ telnet www.victima.com 80 Trying 218.73.40.217... Connected to www.victima.com. Escape character is ^]. GET / HTTP1.1 HTTP/1.1 200 OK Date: Wed, 12 Mar 2003 15:07:53 GMT Server: Apache/1.3.23 (Unix) mod_ssl/2.8.6 OpenSSL/0.9.6c .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ´Como vemos en estos dos ejemplos, utilizando unicamente un cliente de FTP y un clientede Telnet, el atacante puede hacerse una idea de las aplicaciones (y de sus respectivas ver-siones) que la red del dominio victima.com est´ utilizando para ofrecer sus servicios. aEn el ejemplo mostrado, el atacante habr´a descubierto que detr´ s de los servicios FTP ı ay HTTP que ofrece la red existe un servidor de FTP llamado ProFTPD Server (en suversi´ n 1.2.4) y un servidor de HTTP llamado Apache (en su versi´ n 1.3.23) compilado o opara funcionar en un sistema Unix. La informaci´ n del servidor de HTTP tambi´ n le o emuestra que el servidor Apache est´ utilizando la librer´a criptogr´ fica OpenSSL (en su a ı aversi´ n 0.9.6c) para poder ofrecer la versi´ n segura de HTTP por medio del protocolo o ocriptogr´ fico SSL (HTTPS) mediante la utilizaci´ n del m´ dulo mod ssl (en su versi´ n a o o o2.8.6).Grupos de noticias y buscadores de internetFinalmente, esta primera fase de recogida de informaci´ n mediante herramientas de admi- o Perfil humano de la organizaci´ n onistraci´ n suele finalizar realizando una serie de consultas en grupos de noticias, buscado- ores de p´ ginas web o meta buscadores. Mediante esta consultas, el atacante puede obtener a Muchas veces los propios administradores de la redinformaci´ n emitida por los usuarios de la organizaci´ n asociada a la red que desea ata- o o pueden divulgar, sin darsecar. Una simple b´ squeda de la cadena @victima.com en http://groups.goo- u ´ cuenta, informacion sensible de sus sistemas cuandogle.com o http://www.google.com puede ofrecer al atacante detalles de inter´ s, e utilizan listas de correo ocomo podr´an ser los sistemas operativos existentes en la red, tecnolog´as y servidores uti- ı ı grupos de noticias publicos. ´ Al hacer preguntas, o allizados, el conocimiento en cuanto a temas de seguridad por parte de los administradores, contestar otras, puedenetc. poner en peligro los equipos de su red al dar publicamente ´ ejemplos a partir de la ´ informacion de sus sistemas.
  14. 14. © FUOC • P06/M2107/01769 14 Ataques contra redes TCP/IP ´1.2.2. Busqueda de huellas identificativasAparte de la utilizaci´ n de herramientas de administraci´ n y servicios de internet, existen o ot´ cnicas m´ s avanzadas que permiten extraer informaci´ n m´ s precisa de un sistema o de e a o auna red en concreto.. La utilizaci´ n de estas t´ cnicas se conoce con el nombre de fingerprinting, es decir, o e obtenci´ n de la huella identificativa de un sistema o equipo conectado a la red. oIdentificaci´ n de mecanismos de control TCP oLa huella identificativa que un atacante querr´a obtener de los sistemas de una red hace ıreferencia a toda aquella informaci´ n de la implementaci´ n de pila TCP/IP de los mismos. o oEn primer lugar, esta informaci´ n le permitir´ descubrir de forma muy fiable el sistema o aoperativo que se ejecuta en la m´ quina analizada. Por otro lado, estos datos, junto con ala versi´ n del servicio y del servidor obtenidos anteriormente, facilitar´ n al atacante la o ab´ squeda de herramientas necesarias para realizar, por ejemplo, una explotaci´ n de un u oservicio contra algunos de estos sistemas. ´ * En ingles, TCP three-way handshake.La mayor parte de las t´ cnicas para obtener esta huella identificativa se basan en la infor- emaci´ n de la pila TCP/IP que puede obtenerse a partir de los mecanismos de control del ointercambio de tres pasos propio del protocolo TCP/IP.El protocolo TCP es un protocolo de la capa de transporte que asegura que los datos seanenviados correctamente. Esto significa que se garantiza que la informaci´ n recibida se ocorresponda con la informaci´ n enviada y que los paquetes sean ensamblados en el mismo oorden en que fueron enviados. Generalmente, las caracter´sticas de implementaci´ n de los mecanismos de control in- ı o Los RFC ...corporados en el dise˜ o de TCP en pila TCP/IP de un sistema operativo se basa en la n ´ ... (en ingles, Requests forinterpretaci´ n que los desarrolladores realizan de los RFC. o Comments ) son un conjunto ´ de documentos tecnicos y notas organizativas sobre. internet (originalmente sobre ARPANET). Mirad http://www.ietf.org La interpretaci´ n de los RFC (y por lo tanto, las caracter´sticas propias de imple- o ı ´ ´ para mas informacion. mentaci´ n) puede ser muy distinta en cada sistema operativo (incluso en diferentes o versiones de un mismo sistema operativo). As´ pues, la probabilidad de acierto del ı sistema operativo remoto mediante esta informaci´ n es muy elevada. o
  15. 15. © FUOC • P06/M2107/01769 15 Ataques contra redes TCP/IPIdentificaci´ n de respuestas ICMP o Aunque el objetivo original del protocolo ICMP es el de notificar errores y condiciones ICMPinusuales (que requieren una especial atenci´ n respecto al protocolo IP), es posible poder o El protocolo ICMP es elrealizar un uso indebido de este protocolo para obtener huellas identificativas de un sistema encargado de realizar el control de flujo de losremoto. datagramas IP que circulan por una red TCP/IP. Este protocolo consta de variasComentaremos a continuaci´ n algunos ejemplos de c´ mo obtener estas huellas a partir de o o funcionalidades que permiten realizar desde lalas distintas respuestas ofrecidas mediante el tr´ fico ICMP: a ´ comunicacion de situaciones con anomal´as (por ejemplo, ı para indicar que no se ha• ICMP echo. Como hemos visto anteriormente, el uso de tr´ fico ICMP de tipo echo a podido realizar el entrega de permite la exploraci´ n de sistemas activos. As´, con esta exploraci´ n se pretende iden- o ı o un datagrama IP) hasta la ´ comprobacion del estado de tificar los equipos existentes dentro de la red que se quiere explorar, normalmente ´ una maquina en la red. accesibles desde internet. . El comando ping puede informar, mediante paquetes ICMP de tipos echo-request y echo-reply, sobre si una determinada direcci´ n IP est´ o o a no activa. El campo TTL, utilizado en este intercambio de paquetes echo de ICMP, suele ser inicializado de forma distinta seg´ n el sistema operativo que haya detr´ s del equipo. u a Por otra parte, cuando se env´a un paquete ICMP echo-request hacia la direc- ı o o ´ ci´ n de difusi´ n (broadcast), se consigue que con un unico paquete enviado todos los equipos respondan con un paquete ICMP de tipo echo-reply. . Esta caracter´stica no es propia de todos los sistemas operativos. As´, por ejemplo, ı ı puede estar presente en algunas variantes de sistemas operativos Unix, mientras que los sistemas operativos de Microsoft no responden a este tipo de paquetes. Estas dos informaciones, el n´ mero de TTL inicial y la respuesta a un ping enviado por u difusi´ n, podr´a ser de utilizado como una primera huella identificativa de los sistemas o ı de la red.• ICMP timestamp. Mediante la transmisi´ n de un paquete ICMP de tipo timestamp- o request, si un sistema est´ activo, se recibir´ un paquete de tipo timestamp-reply, a a indicando si es posible conocer la referencia de tiempo en el sistema de destino.
  16. 16. © FUOC • P06/M2107/01769 16 Ataques contra redes TCP/IP . La decisi´ n de responder o no a estos paquetes depende de la implementaci´ n. Al- o o gunos sistemas operativos Windows s´ responden, mientras que otros no lo hacen. ı No obstante, la mayor´a de los sistemas operativos Unix s´ que suelen implemen- ı ı tarlo. Seg´ n si los sistemas de la red responden o no ante esta petici´ n, su huella identificativa u o apuntar´ a un posible sistema o a otro. a• ICMP information. La finalidad de los paquetes ICMP de tipo information- request y su respuesta asociada, information-reply, consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuraci´ n, au- o toconfigurarse en el momento de inicio, obtener su direcci´ n IP, etc. o . Aunque las recomendaciones de seguridad indican que los sistemas operativos no deber´an generar este tipo de paquetes ni responder a ellos, la realidad de las im- ı plementaciones existentes es otra. La respuesta, en lugar de indicar la direcci´ n IP de la red en el campo de origen, o a ´ indica la direcci´ n IP del equipo. Algunos sistemas operativos responder´ n unicamente o cuando la direcci´ n IP de destino del paquete tenga el valor de una direcci´ n IP de o o confianza. Otros sistemas, as´ como muchos dispositivos de red, implementan distintos ı m´ todos de respuesta ante este tipo de paquetes. Todas estas diferencias se pueden e utilizar en el momento de confeccionar la huella identificativa.1.2.3. Exploraci´ n de puertos o La exploraci´ n de puertos* es una t´ cnica ampliamente utilizada para identificar los o e ´servicios que ofrecen los sistemas de destino. Suele ser la ultima de las actividades previas ´ * En ingles, Port Scanning.a la realizaci´ n de un ataque. o ** Mirad el cap´tulo ı ´ Deficiencias de programacion. ´ de este mismo modulo ´ didactico para mas´ La exploraci´ n de puertos puede permitir el reconocimiento de los servicios ofre- o ´ informacion. cidos por cada uno de los equipos encontrados en la red escogida. Con esta infor- maci´ n, el atacante podr´a realizar posteriormente una b´ squeda de exploits que le o ı u permitiera un ataque de intrusi´ n en el sistema analizado**. o
  17. 17. © FUOC • P06/M2107/01769 17 Ataques contra redes TCP/IPExploraci´ n de puertos TCP oAparte de ser de utilidad para obtener la huella identificativa de un sistema conectado a lared, la exploraci´ n de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece oo no un determinado servicio.Existe un grande n´ mero de t´ cnicas para realizar esta exploraci´ n de puertos TCP. Entre u e olas m´ s conocidas, podemos destacar las siguientes: a• TCP connect scan. Mediante el establecimiento de una conexi´ n TCP completa (com- o pletando los tres pasos del establecimiento de la conexi´ n) la exploraci´ n puede ir ana- o o lizando todos los puertos posibles. Si la conexi´ n se realiza correctamente, se anotar´ o a el puerto como abierto (realizando una suposici´ n de su servicio asociado seg´ n el o u n´ mero de puerto). u• ´ TCP SYN scan. Enviando unicamente paquetes de inicio de conexi´ n (SYN) por cada o ´ uno de los puertos que se quieren analizar se puede determinar si estos est´ n abiertos a o no. Recibir como respuesta un paquete RST-ACK significa que no existe ning´ n u servicio que escuche por este puerto. Por el contrario, si se recibe un paquete SYN-ACK, podemos afirmar la existencia de un servicio asociado a dicho puerto TCP. En este caso, se enviar´ un paquete RST-ACK a para no establecer conexi´ n y no ser registrados por el sistema objetivo, a diferencia o del caso anterior (TCP connect scan).• TCP FIN scan.Al enviar un paquete FIN a un puerto, deber´amos recibir un paquete ı de reset (RST) s´ dicho puerto est´ cerrado. Esta t´ cnica se aplica principalmente sobre ı a e implementaciones de pilas TCP/IP de sistemas Unix.• TCP Xmas Tree scan. Esta t´ cnica es muy similar a la anterior, y tambi´ n se obtiene e e como resultado un paquete de reset si el puerto est´ cerrado. En este caso se env´an a ı paquetes FIN, URG y PUSH.• TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploraci´ n deber´a recibir como resultado un paquete de reset en los puertos no o ı activos.. La mayor parte de aplicaciones para realizar exploraci´ n de puertos TCP suelen o ser ruidosas, es decir, no intentan esconder lo que se est´ analizando la red. Esto a suele ser as´ porque se presume que o bien nadie est´ revisando la actividad de ı a exploraci´ n o que, utilizando un equipo comprometido, nadie podr´ descubrir el o a equipo desde el que realmente se realiza la exploraci´ n de puertos. o
  18. 18. © FUOC • P06/M2107/01769 18 Ataques contra redes TCP/IPExploraci´ n de puertos UDP o. Mediante la exploraci´ n de puertos UDP es posible determinar si un sistema est´ o a o no disponible, as´ como encontrar los servicios asociados a los puertos UDP que ı encontramos abiertos.Para realizar esta exploraci´ n se env´an datagramas UDP sin ninguna informaci´ n al cam- o ı opo de datos. En el caso de que el puerto est´ cerrado, se recibir´ un mensaje ICMP de e apuerto no alcanzable (port unreachable). Si el puerto est´ abierto, no se recibir´ ninguna a arespuesta.Dado que UDP es un protocolo no orientado a conexi´ n, la fiabilidad de este m´ todo o edepende de numerosos factores (m´ s todav´a en internet), como son la utilizaci´ n de la red a ı oy sus recursos, la carga existente, la existencia de filtros de paquetes en sistemas finales oen sistemas cortafuegos, etc.Asimismo, y a diferencia de las exploraciones TCP, se trata de un proceso mucho m´ s len- ato, puesto que la recepci´ n de los paquetes enviados se consigue mediante el vencimiento ode temporizadores (timeouts).En el caso de detectar un elevado n´ mero de puertos UDP abiertos, el atacante podr´a u ıconcluir que existe un sistema cortafuegos entre su equipo y el objetivo. Para confirmar ´esta ultima posibilidad, se puede enviar un datagrama UDP al puerto cero. Esto tendr´a que ıgenerar una respuesta ICMP de puerto no alcanzable. No recibir esta respuesta significaque existe un dispositivo que filtra el tr´ fico. aHerramientas para realizar la exploraci´ n de puertos oLa aplicaci´ n por excelencia para realizar exploraci´ n de puertos es Nmap (Network Map- o oper). Esta herramienta implementa la gran mayor´a de t´ cnicas conocidas para exploraci´ n ı e ode puertos y permite descubrir informaci´ n de los servicios y sistemas encontrados. Nmap otambi´ n implementa un gran n´ mero de t´ cnicas de reconocimiento de huellas identifica- e u etivas, como las que hemos visto anteriormente.Mediante Nmap pueden realizarse, por ejemplo, las siguientes acciones de exploraci´ n: o• Descubrimiento de direcciones IP activas mediante una exploraci´ n de la red: o . nmap -sP IP ADDRESS/NETMASK
  19. 19. © FUOC • P06/M2107/01769 19 Ataques contra redes TCP/IP• Exploraci´ n de puertos TCP activos: o A tener en cuenta . La mayor parte de herramientas de exploracion´ nmap -sT IP ADDRESS/NETMASK de puertos pueden ser muy “ruidosas” y no son bien vistas por los administradores de red. Es altamente• Exploraci´ n de puertos UDP activos: o recomendable no utilizar . estas herramientas sin el consentimiento expl´cito de ı los responsables de la red. nmap -sU IP ADDRESS/NETMASK• Exploraci´ n del tipo de sistema operativo de un equipo en red: o . nmap -O IP ADDRESS/NETMASKLa siguiente imagen muestra un ejemplo de exploraci´ n de puertos mediante la herramien- ota Nmap:Generalmente, Nmap es utilizado internamente por otras aplicaciones como, por ejemplo,esc´ ners de vulnerabilidades, herramientas de detecci´ n de sistemas activos, servicios web a oque ofrecen exploraci´ n de puertos, etc. o
  20. 20. © FUOC • P06/M2107/01769 20 Ataques contra redes TCP/IP ´ Este es el caso de la utilidad Nessus. Se trata de una utilidad que permite comprobar si unsistema es vulnerable a un conjunto muy amplio de problemas de seguridad almacenados ı ´ * Mirad el cap´tulo Escaners de vulnerabilidades delen su base de datos. Si encuentra alguna de estas debilidades en el sistema analizado, se ´ ´ modulo didacticoencargar´ de informar sobre su existencia y sobre posibles soluciones. a ´ Mecanismos de deteccion de ataques e intrusiones para ´ ´ mas informacion.. Nmap, junto con Nessus, son dos de las herramientas m´ s frecuentemente utili- a zadas tanto por administradores de redes como por posibles atacantes, puesto que ofrecen la mayor parte de los datos necesarios para estudiar el comportamiento de un sistema o red que se quiere atacar*.
  21. 21. © FUOC • P06/M2107/01769 21 Ataques contra redes TCP/IP1.3. Escuchas de red.Uno de los primeros ataques contra las dos primeras capas del modelo TCP/IP son lasescuchas de red. Se trata de un ataque realmente efectivo, puesto que permite la obtenci´ n ode una gran cantidad de informaci´ n sensible. o Mediante aplicaciones que se encargan de capturar e interpretar tramas y datagramas en Redes Ethernetentornos de red basados en difusi´ n, conocidos como escuchas de red o sniffers, es posible o Las redes Ethernet son unrealizar el an´ lisis de la informaci´ n contenida en los paquetes TCP/IP que interceptan a o ejemplo de redes basadas en ´ difusion.para poder extraer todo tipo de informaci´ n. o. Un sniffer no es m´ s que un sencillo programa que intercepta toda la informaci´ n a o que pase por la interfaz de red a la que est´ asociado. Una vez capturada, se podr´ e a almacenar para su an´ lisis posterior. aDe esta forma, sin necesidad de acceso a ning´ n sistema de la red, un atacante podr´ u aobtener informaci´ n sobre cuentas de usuario, claves de acceso o incluso mensajes de ocorreo electr´ nico en el que se env´an estas claves. Este tipo de t´ cnica se conoce como o ı esniffing.Las t´ cnicas de niffing tambi´ n se conocen como t´ cnicas de eavesdropping y t´ cnicas e e e ede snooping. La primera, eavesdropping, es una variante del sniffing, caracterizada porrealizar la adquisici´ n o intercepci´ n del tr´ fico que circula por la red de forma pasiva, es o o adecir, sin modificar el contenido de la informaci´ n. o Por otra parte, las t´ cnicas de snooping se caracterizan por el almacenamiento de la infor- e Sniffing hardwaremaci´ n capturada en el ordenador del atacante, mediante una conexi´ n remota establecida o o ´ Es posible analizar el traficodurante toda la sesi´ n de captura. En este caso, tampoco se modifica la informaci´ n in- o o de una red pinchando en un cable de red de un dispositivocluida en la transmisi´ n. o por el que circula todo el ´ ´ trafico. Tambien se pueden utilizar receptores situadosLa forma m´ s habitual de realizar t´ cnicas de sniffing en una red, probablemente porque a e en medios deest´ al alcance de todo el mundo, es la que podr´amos denominar sniffing software, utili- a ı comunicaciones sin cables.zando las aplicaciones que ya mencionadas.
  22. 22. © FUOC • P06/M2107/01769 22 Ataques contra redes TCP/IP1.3.1. Desactivaci´ n de filtro MAC oUna de las t´ cnicas m´ s utilizadas por la mayor´a de los sniffers de redes Ethernet se e a ıbasa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC(poniendo la tarjeta de red en modo promiscuo).Las redes basadas en dispositivos Ethernet fueron concebidas en torno a una idea principal:todas las m´ quinas de una misma red local comparten el mismo medio, de manera que atodos los equipos son capaces de ver el tr´ fico de la red de forma global. aCuando se env´an datos es necesario especificar claramente a qui´ n van dirigidos, indican- ı edo la direcci´ n MAC. De los 48 bits que componen la direcci´ n MAC, los 24 primeros bits o oidentifican al fabricante del hardware, y los 24 bits restantes corresponden al n´ mero de userie asignado por el fabricante. Esto garantiza que dos tarjetas no puedan tener la mismadirecci´ n MAC. oPara evitar que cualquier m´ quina se pueda apropiar de informaci´ n fraudulenta, las tarje- a otas Ethernet incorporan un filtro que ignora todo el tr´ fico que no les pertenece, descartando aaquellos paquetes con una direcci´ n MAC que no coincide con la suya. La desactivaci´ n o ode este filtro se conoce con el nombre de modo promiscuo. Con el uso adecuado de expresiones regulares y otros filtros de texto, se podr´ visualizar a Modo promiscuo ´o almacenar unicamente la informaci´ n que m´ s interese; en especial, aquella informaci´ n o a o Si es posible poner la tarjetasensible, como nombres de usuario y contrase˜ as. n de red en modo promiscuo, la ´ ´ aplicacion podra empezar a capturar tanto los paquetes ´El entorno en el que suele ser m´ s efectivo este tipo de escuchas son las redes de area a ´ destinados a esta maquina ´ como el resto de trafico de lalocal configuradas con una topolog´a en bus. En este tipo de redes, todos los equipos est´ n ı a misma red.conectado a un mismo cable. Esto implica que todo el tr´ fico transmitido y recibido por alos equipos de la red pasa por este medio com´ n. u. Una soluci´ n para evitar esta t´ cnica consiste en la segmentaci´ n de la red y de o e o los equipos mediante el uso de conmutadores (switches). Al segmentar la red y los ´ equipos, el unico tr´ fico que tendr´an que ver las m´ quinas ser´a el que les pertene- a ı a ı ´ ce, puesto que el conmutador se encarga de encaminar hacia el equipo unicamente aquellos paquetes destinados a su direcci´ n MAC. Aun as´, existen t´ cnicas para o ı e poder continuar realizando sniffing aunque se haya segmentado la red median- te switches. Una de estas t´ cnicas es la suplantaci´ n de ARP, que describiremos a e o continuaci´ n. o
  23. 23. © FUOC • P06/M2107/01769 23 Ataques contra redes TCP/IP1.3.2. Suplantaci´ n de ARP oEl protocolo ARP es el encargado de traducir direcciones IP de 32 bits, a las correspon-dientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet. Cuandoun ordenador necesita resolver una direcci´ n IP en una direcci´ n MAC, lo que hace es o oefectuar una petici´ n ARP (arp-request) a la direcci´ n de difusi´ n de dicho segmento o o ode red, FF:FF:FF:FF:FF:FF, solicitando que el equipo que tiene esta IP responda consu direcci´ n MAC. o 192.168.0.1 Broadcast 192.168.0.2 0A:0A:0A:0A:0A:0A FF:FF:FF:FF:FF:FF 0B:0B:0B:0B:0B:0B ARP-REQUEST Who has 192.168.0.2? Tell 192.168.0.1 ARP-REPLY 192.168.0.2 is at 0B:0B:0B:0B:0B:0B Datagrama IPLa figura anterior refleja c´ mo una m´ quina A, con IP 192.168.0.1 y MAC 0A:0A- o a:0A:0A:0A:0A solicita por difusi´ n qu´ direcci´ n MAC est´ asociada a la IP 192.- o e o a168.0.2. La m´ quina B, con IP 192.168.0.2 y MAC 0B:0B:0B:0B:0B:0B de- a ı ´ber´a ser la unica que respondiera a la petici´ n. oCon el objetivo de reducir el tr´ fico en la red, cada respuesta de ARP (arp-reply) que allega a la tarjeta de red es almacenada en una tabla cach´ , aunque la m´ quina no haya e arealizado la correspondiente petici´ n. As´ pues, toda respuesta de ARP que llega a la o ım´ quina es almacenada en la tabla de ARP de esta m´ quina. Este factor es el que se a autilizar´ para realizar el ataque de suplantaci´ n de ARP*. a o ˜ * Este engano se conoce con el nombre de. ”envenenamiento de ARP”(ARP poisoning). El objetivo de un ataque de suplantaci´ n de ARP es poder capturar tr´ fico ajeno sin o a necesidad de poner en modo promiscuo la interfaz de red. Envenenando la tabla de ARP de los equipos involucrados en la comunicaci´ n que se quiere capturar se o puede conseguir que el conmutador les haga llegar los paquetes. Si el enga˜ o es n posible, cuando las dos m´ quinas empiecen la comunicaci´ n enviar´ n sus paque- a o a a a ´ tes hacia la m´ quina donde est´ el sniffer. Este, para no descubrir el enga˜ o, se n encargar´ de encaminar el tr´ fico que ha interceptado. a a
  24. 24. © FUOC • P06/M2107/01769 24 Ataques contra redes TCP/IPEn la siguiente figura se puede ver c´ mo la m´ quina C se coloca entre dos m´ quinas (A y o a aB) y les env´a paquetes de tipo arp-reply: ı Conexión real Conexión lógica 192.168.0.1 192.168.0.3 192.168.0.2 0A:0A:0A:0A:0A:0A 0C:0C:0C:0C:0C:0C 0B:0B:0B:0B:0B:0B ARP-REPLY 192.168.0.2 is at 0C:0C:0C:0C:0C:0C ARP-REPLY 192.168.0.1 is at 0C:0C:0C:0C:0C:0C ARP-REPLY 192.168.0.2 is at 0C:0C:0C:0C:0C:0C ARP-REPLY ARP-REPLY 192.168.0.1 is at 0C:0C:0C:0C:0C:0C 192.168.0.2 is at 0C:0C:0C:0C:0C:0C ARP-REPLY 192.168.0.1 is at 0C:0C:0C:0C:0C:0CDe esta forma, toda comunicaci´ n entre las m€ver.rb:507:Q

×