Software libreJordi Herrera Joancomartí (coord.)            Joaquín García Alfaro           Xavier Perramón Tornil        ...
Jordi Herrera Joancomartí                                        Joaquín García Alfaro   Coordinador                      ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                             3                   Aspectos avanzados de segu...
·   FUOC · P03/75070/02121© FUOC • XP04/90789/00892           XP03/75070/02120                             3              ...
·   FUOC · P03/75070/02121© FUOC • XP04/90789/00892           XP03/75070/02120                            4               ...
·   FUOC · P03/75070/02121© FUOC • XP04/90789/00892           XP03/75070/02120                             5              ...
·   FUOC · P03/75070/02121© FUOC • XP04/90789/00892            XP03/75070/02120                        6                  ...
·   FUOC · P03/75070/02121© FUOC • XP04/90789/00892           XP03/75070/02120                          7                 ...
Ataques contra redesTCP/IPJoaqu´n Garc´a Alfaro     ı      ı
© FUOC • P03/75070/02121c FUOC· XP04/90789/00892                                                                          ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                          3                           Ataqu...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                        4                              Ataq...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                        5                                  ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                        6                                  ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                          7                                ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                        8                                  ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                            9                              ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                          10                               ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                       11                                  ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                        12                             Ataq...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                       13                                  ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                          14                               ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                        15                                 ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                           16                              ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                        17                              Ata...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                       18                             Ataqu...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                       19                                  ...
FUOC · P03/75070/02121© FUOC • XP04/90789/00892                                          20                               ...
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Aspectos avanzados de seguridad en redes
Upcoming SlideShare
Loading in …5
×

Aspectos avanzados de seguridad en redes

2,116 views

Published on

Seguridad en Redes...

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,116
On SlideShare
0
From Embeds
0
Number of Embeds
164
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Aspectos avanzados de seguridad en redes

  1. 1. Software libreJordi Herrera Joancomartí (coord.) Joaquín García Alfaro Xavier Perramón Tornil XP04/90789/00892 Aspectos avanzados de seguridad en redes UFormación de Posgrado
  2. 2. Jordi Herrera Joancomartí Joaquín García Alfaro Coordinador Autor Licenciado en Matemáticas por la Ingeniero técnico en Informètica de Universidad Autònoma de Barcelona Gestión e ingeniero en Informática por la y doctor por la Universitat Politècnica de Universitat Autònoma de Barcelona (UAB). Catalunya. Su ámbito de investigación es Su ámbito de investigación es la seguridad la seguridad de la información y, más en redes de computadores y, más concretamente, la protección del copyright concretamente, la criptografia y la electrónico y la seguridad en entornos detección de ataques e intrusiones en inalámbricos. Es autor de varios artículos redes TCP/IP. Actualmente está realizando nacionales e internacionales e estudios de doctorado en el grupo CCD investigador principal de proyectos de de la UAB, donde también colabora como investigación nacionales e internacionales personal de apoyo a la investigación y en el ámbito de la seguridad. Actualmente como docente de la asignatura de Redes es profesor de los Estudis d’Informàtica de computadores I de la Ingeniería y Multimèdia de la Universitat Oberta de Informática. Catalunya. Xavier Perramón Tornil Autor Doctor ingeniero de Telecomunicaciones por la Universitat Politècnica de Catalunya. Actualmente trabaja en el diseño y estandarización de sistemas de documentación multimedia. Es profesor del Departamento de Arquitectura de Computadores adscrito a la Escola Universitària Politècnica del Baix Llobregat.Primera edición: julio 2004© Fundació per a la Universitat Oberta de CatalunyaAv. Tibidabo, 39-43, 08035 BarcelonaMaterial realizado por Eureca Media, SL© Autores: Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón TornilDepósito legal: B-37.669-2004ISBN: 84-9788-212-1Se garantiza permiso para copiar, distribuir y modificar este documento según los términos de la GNU Free Documentation License,Version 1.2 o cualquiera posterior publicada por la Free Software Foundation, sin secciones invariantes ni textos de cubierta delanterao trasera. Se dispone de una copia de la licencia en el apartado “GNU Free Documentation License” de este documento.
  3. 3. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 3 Aspectos avanzados de seguridad en redesAgradecimientosLos autores agradecen a la Fundación para la Universitat Oberta de Ca-talunya (http://www.uoc.edu) la financiación de la primera edición deesta obra, enmarcada en el Máster Internacional en Software Libre ofre-cido por la citada institución. ANOTACIONES
  4. 4. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresIntroducci´ n oEn esta asignatura se presenta la problem´ tica de la seguridad en las redes de acomputadores y, m´ s concretamente, en las redes TCP/IP. aLa estructuraci´ n sigue el siguiente modelo. En primer lugar, se presenta la oproblem´ tica de la seguridad en las redes TCP/IP. Cabe destacar que esta asig- anatura se centra en la problem´ tica de la seguridad en las redes y, por lo tanto aalgunos temas de seguridad que hacen referencia a procesos m´ s espec´ficos a ıde los propios sistemas inform´ ticos s´ lo los estudiaremos sumariamente co- a omo consecuencia de la problem´ tica de la seguridad en las redes. aUna vez hayamos visto cu´ les son los eventuales problemas de seguridad en aeste tipo de redes, nos centraremos en los mecanismos de prevenci´ n que oexisten para a intentar minimizar la realizaci´ n de los ataques descritos en el oprimer m´ dulo. Veremos que, fundamentalmente, las t´ cnicas de prevenci´ n o e ose basan en el filtraje de informaci´ n. o ´Posteriormente pondremos enfasis en las t´ cnicas espec´ficas de protecci´ n e ı oexistentes. En particular, introduciremos las nociones b´ sicas de criptograf´a a ıque nos permitir´ n entender el funcionamiento de distintos mecanismos y apli- acaciones que permiten protegerse frente los ataques. En concreto nos cen-traremos en los mecanismos de autentificaci´ n y en la fiabilidad que nos pro- oporcionan los diferentes tipos, veremos qu´ mecanismos de protecci´ n existen e oa nivel de red y a nivel de transporte y veremos c´ mo podemos crear redes pri- ovadas virtuales. Por otro lado, tambi´ n veremos c´ mo funcionan algunas apli- e ocaciones seguras, como el protocolo SSH o est´ ndares de correo electr´ nico a oseguro.Finalmente, y partiendo de la base que no todos los sistemas de prevenci´ n oy protecci´ n de las redes TCP/IP son infalibles, estudiaremos los diferentes omecanismos de detecci´ n de intrusos que existen y cu´ les son sus arquitecturas o ay funcionalidades.
  5. 5. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 4 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresObjetivosGlobalmente, los objetivos b´ sicos que se deben alcanzar son los siguientes: a1. Entender los distintos tipos de vulnerabilidades que presentan las redes TCP/IP.2. Ver qu´ t´ cnicas de prevenci´ n existen contra los ataques m´ s frecuentes. e e o a3. Alcanzar unos conocimientos b´ sicos del funcionamiento de las herramien- a tas criptogr´ ficas m´ s utilizadas. a a4. Conocer los sistemas de autentificaci´ n m´ s importantes, identificando sus o a caracter´sticas. ı5. Ver diferentes propuestas existentes para ofrecer seguridad tanto a nivel de red, de transporte o de aplicaci´ n. o6. Conocer los diferentes sistemas de detecci´ n de intrusos. o
  6. 6. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 5 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresContenidosM´ dulo did´ ctico 1 o aAtaques contra les redes TCP/IP1. Seguridad en redes TCP/IP2. Actividades previas a la realizaci´ n de un ataque o3. Escuchas de red4. Fragmentaci´ n IP o5. Ataques de denegaci´ n de servicio o6. Deficiencias de programaci´ n oM´ dulo did´ ctico 2 o aMecanismos de prevenci´ n o1. Sistemas cortafuegos2. Construcci´ n de sistemas cortafuegos o3. Zones desmilitarizadas4. Caracter´sticas adicionales de los sistemas cortafuegos ıM´ dulo did´ ctico 3 o aMecanismos de protecci´ n o1. Conceptos b´ sicos de criptograf´a a ı2. Sistemas de autentificaci´ n o3. Protecci´ n a nivel de red: IPsec o4. Protecci´ n a nivel de transporte: SSL/TLS/WTLS o5. Redes privadas virtuales (VPN)
  7. 7. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 6 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresM´ dulo did´ ctico 4 o aAplicaciones seguras1. El protocolo SSH2. Correo electr´ nico seguro oM´ dulo did´ ctico 5 o aMecanismos para la detecci´ n de ataques e intrusiones o1. Necessidad de mecanismos adicionales en la prevenci´ n y protecci´ n o o2. Sistemas de detecci´ n de intrusos o3. Esc´ ners de vulnerabilidades a4. Sistemas de decepci´ n o5. Prevenci´ n de intrusos o6. Detecci´ n de ataques distribuidos oApéndiceGNU Free Documentation License
  8. 8. · FUOC · P03/75070/02121© FUOC • XP04/90789/00892 XP03/75070/02120 7 3 Aspectos avanzados de seguridad en redes Seguridad en redes de computadoresBibliograf´a ı1. Cheswick, W.R.; Bellovin, S.M.; Rubin, A.D. . (2003). Firewalls andInternet Security: Repelling the Wily Hacker. (5a ed.): Addison-Wesley Pro-fessional Computing.2. Oppliger, R. (2000). Security technologies for the Word Wide Web. 1a ed.:Artech House.3. Menezes, J.; van Oorschot, P.C.; Vanstone, S.A. (2001). Handbook ofApplied Cryptography. (5a ed.): CRC Press.
  9. 9. Ataques contra redesTCP/IPJoaqu´n Garc´a Alfaro ı ı
  10. 10. © FUOC • P03/75070/02121c FUOC· XP04/90789/00892 Ataques contra redes TCP/IP´IndiceIntroducci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 3Objectivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.1. Seguridad en redes TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.2. Actividades previas a la realizaci´ n de un ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . o 10 1.2.1. Utilizaci´ n de herramientas de administraci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . o o 10 1.2.2. B´ squeda de huellas identificativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . u 14 1.2.3. Exploraci´ n de puertos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 161.3. Escuchas de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 1.3.1. Desactivaci´ n de filtro MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 22 1.3.2. Suplantaci´ n de ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 23 1.3.3. Herramientas disponibles para realizar sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . . 251.4. Fragmentaci´ n IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 26 1.4.1. Fragmentaci´ n en redes Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 27 1.4.2. Fragmentaci´ n para emmascaramiento de datagramas IP . . . . . . . . . . . . . . . . . o 321.5. Ataques de denegaci´ n de servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 34 1.5.1. IP Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 1.5.2. Smurf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 1.5.3. TCP/SYN Flooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 1.5.4. Teardrop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 1.5.5. Snork . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 1.5.6. Ping of death . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 1.5.7. Ataques distribuidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421.6. Deficiencias de programaci´ n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 47 1.6.1. Desbordamiento de buffer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 1.6.2. Cadenas de formato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Bibliograf´a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 62
  11. 11. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 3 Ataques contra redes TCP/IPIntroducci´ n oDurante los primeros a˜ os de internet, los ataques a sistemas inform´ ticos requer´an pocos n a ıconocimientos t´ cnicos. Por un lado, los ataques realizados desde el interior de la red se ebasaban en la alteraci´ n de permisos para modificar la informaci´ n del sistema. Por el o ocontrario, los ataques externos se produc´an gracias al conocimiento de las contrase˜ as ı nnecesarias para acceder a los equipos de la red.Con el paso de los a˜ os se han ido desarrollando nuevos ataques cada vez m´ s sofisticados n apara explotar vulnerabilidades tanto en el dise˜ o de las redes TCP/IP como en la confi- nguraci´ n y operaci´ n de los sistemas inform´ ticos que conforman las redes conectadas a o o ainternet. Estos nuevos m´ todos de ataque se han ido automatizando, por lo que en muchos ecasos s´ lo se necesita un conocimiento t´ cnico muy b´ sico para realizarlos. Cualquier o e ausuario con una conexi´ n a internet tiene acceso hoy en d´a a numerosas aplicaciones para o ırealizar estos ataques y las instrucciones necesarias para ejecutarlos.En la mayor parte de la bibliograf´a relacionada con la seguridad en redes inform´ ticas ı apodemos encontrar clasificadas las tres generaciones de ataques siguientes:Primera generaci´ n: ataques f´sicos. Encontramos aqu´ ataques que se centran en com- o ı ıponentes electr´ nicos, como podr´an ser los propios ordenadores, los cables o los disposi- o ıtivos de red. Actualmente se conocen soluciones para estos ataques, utilizando protocolosdistribuidos y de redundancia para conseguir una tolerancia a fallos aceptable.Segunda generaci´ n: ataques sint´ cticos.Se trata de ataques contra la l´ gica operativa o a ode los ordenadores y las redes, que quieren explotar vulnerabilidades existentes en elsoftware, algoritmos de cifrado y en protocolos. Aunque no existen soluciones globa-les para contrarrestar de forma eficiente estos ataques, podemos encontrar soluciones cadavez m´ s eficaces. aTercera generaci´ n: ataques sem´ nticos.Finalmente, podemos hablar de aquellos ata- o aques que se aprovechan de la confianza de los usuarios en la informaci´ n. Este tipo de oataques pueden ir desde la colocaci´ n de informaci´ n falsa en boletines informativos y o ocorreos electr´ nicos hasta la modificaci´ n del contenido de los datos en servicios de con- o ofianza, como, por ejemplo, la manipulaci´ n de bases de datos con informaci´ n p´ blica, o o usistemas de informaci´ n burs´ til, sistemas de control de tr´ fico a´ reo, etc. o a a eAntes de pasar a hablar detalladamente de como evitar estos ataques desde un punto devista m´ s t´ cnico, introduciremos en este m´ dulo algunas de las deficiencias t´picas de a e o ılos protocolos TCP/IP y analizaremos algunos de los ataques m´ s conocidos contra esta aarquitectura.
  12. 12. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 4 Ataques contra redes TCP/IPObjectivosEn este m´ dulo did´ ctico el estudiante encontrar´ los recursos necesarios para alcanzar los o a asiguientes objetivos:1) Exponer los problemas de seguridad en las redes TCP/IP a partir de algunos ejemplosde vulnerabilidades en sus protocolos b´ sicos. a2) Analizar algunas de las actividades previas realizadas por los atacantes de redes TCP/IPpara conseguir sus objetivos.3) Aprender c´ mo funcionan las t´ cnicas de sniffing en redes TCP/IP para comprender el o epeligro que comportan en la seguridad de una red local.4) Estudiar con m´ s detalle algunos ataques concretos contra redes TCP/IP, como pueden aser los ataques de denegaci´ n de servicio y las deficiencias de programaci´ n. o o
  13. 13. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 5 Ataques contra redes TCP/IP1.1. Seguridad en redes TCP/IP.Durante la d´ cada de los 60, dentro del marco de la guerra fr´a, la Agencia de Proyectos e ıde Investigaci´ n Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) ose plante´ la posibilidad de que un ataque afectara a su red de comunicaciones y financi´ o oequipos de investigaci´ n en distintas universidades con el objetivo de desarrollar una red ode ordenadores con una administraci´ n totalmente distribuida. oComo resultado de la aplicaci´ n de sus estudios en redes de conmutaci´ n de paquetes, se o ocre´ la denominada red ARPANET, de car´ cter experimental y altamente tolerable a fallos. o aM´ s adelante, a mediados de los 70, la agencia empez´ a investigar en la interconexi´ n de a o odistintas redes, y en 1974 estableci´ las bases de desarrollo de la familia de protocolos que ose utilizan en las redes que conocemos hoy en d´a como redes TCP/IP. ı Modelo TCP/IP Aplicación Aplicación Transporte Transporte Internet Internet Red Red RedLa familia de protocolos TCP/IP se divide en las cuatro capas siguientes: ´ -* En ingles, Local Area Network. ´ -** En ingles, Wide Area1) Capa de red. Normalmente est´ formada por una red LAN* o WAN** (de conexi´ n a o Network.punto a punto) homog´ nea. Todos los equipos conectados a internet implementan esta ecapa. Todo lo que se encuentra por debajo de la IP es la capa de red f´sica o, simplemente, ıcapa de red.
  14. 14. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 6 Ataques contra redes TCP/IP2) Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de lared y, por lo tanto, es la capa que permite que todos se puedan interconectar, independien-temente de si se conectan mediante l´nea telef´ nica o mediante una red local Ethernet. La ı odirecci´ n y el encaminamiento son sus principales funciones. Todos los equipos conecta- odos a internet implementan esta capa.3) Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva acabo principalmente dentro esta capa, que s´ lo es implementada por equipos usuarios de ointernet o por terminales de internet. Los dispositivos de encaminamiento* (encaminado-res) no la necesitan. ´ * En ingles, routers.4) Capa de aplicaci´ n. Engloba todo lo que hay por encima de la capa de transporte. Es ola capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidoresde web, correo electr´ nico, FTP, etc. S´ lo es implementada por los equipos usuarios de o ointernet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.Como ya hemos comentado, s´ lo los equipos terminales implementan todas las capas. Los o ´equipos intermedios unicamente implementan el nivel de red y el nivel IP: Situación de las capas de la red Internet Red Internet Aplicación Aplicación Transporte Transporte Internet Internet Internet Internet Red X X X X Red Estación Encaminador Encaminador EstaciónEn cada una de las capas expuestas encontramos protocolos distintos. La situaci´ n relativa ode cada protocolo en las diferentes capas se muestra en la siguiente figura: Para profundizar en los protocolos TCP/IP, mirad los apartados 1.4, 1.10 y 29.3 de la obra: D.E. Comer (1995). internetworking *with TCP/IP (Volumen I: Principies, Protocolos and Architecture). Prentice Hall.
  15. 15. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 7 Ataques contra redes TCP/IP Protocolos y capas de Internet Capa Protocolos Aplicación HTTP Telnet SMTP DNS Transporte TCP UDP ICMP IP Internet ARP Driver de red Red Tarjeta de redComo ya se ha adelantado, en cada capa del modelo TCP/IP pueden existir distintas vul-nerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas.Cada d´a se descubren nuevas deficiencias, la mayor´a de las cuales se hacen p´ blicas por ı ı uorganismos internacionales, tratando de documentar, si es posible, la forma de solucionary contrarestar los problemas.A continuaci´ n presentamos algunas de las vulnerabilidades m´ s comunes de las distintas o acapas que veremos con m´ s detalle a lo largo de este m´ dulo: a o1) Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de red est´ n a Ataques f´sicos ıestrechamente ligadas al medio sobre el que se realiza la conexi´ n. Esta capa presenta o Este tipo de ataques puedenproblemas de control de acceso y de confidencialidad. llegar a ser muy dif´ciles de ı realizar, ya que generalmente requieren un acceso f´sico a ı los equipos que se quierenSon ejemplos de vulnerabilidades a este nivel los ataques a las l´neas punto a punto: desv´o ı ı atacar. De ah´ que no los ıde los cables de conexi´ n hacia otros sistemas, interceptaci´ n intrusiva de las comunicaci- o o ´ trataremos en este modulo ´ didactico.ones (pinchar la l´nea), escuchas no intrusivas en medios de transmisi´ n sin cables, etc. ı o2) Vulnerabilidades de la capa internet. En esta capa se puede realizar cualquier Escuchas de red ...ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las t´ cnicas e ´ ... (en ingles, sniffing).de sniffing, la suplantaci´ n de mensajes, la modificaci´ n de datos, los retrasos de mensajes o o Pueden realizarse mediante aplicaciones que se conoceny la denegaci´ n de mensajes. o con el nombre de sniffers. Ved el apartado Escuchas de red de este mismo modulo´Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La ´ para mas informacion. ´suplantaci´ n de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro omensaje antes de que lo haga el suplantado.
  16. 16. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 8 Ataques contra redes TCP/IPEn esta capa, la autenticaci´ n de los paquetes se realiza a nivel de m´ quina (por direcci´ n o a o Ataques de suplantaci´ n ... oIP) y no a nivel de usuario. Si un sistema suministra una direcci´ n de m´ quina err´ nea, o a o ´ ... (en ingles Spoofingel receptor no detectar´ la suplantaci´ n. Para conseguir su objetivo, este tipo de ataques a o ´ attacks). Mirad la seccion ´ Suplantacion de ARP delsuele utilizar otras t´ cnicas, como la predicci´ n de n´ meros de secuencia TCP, el envene- e o u apartado Escuchas de red denamiento de tablas cach´ , etc. e ´ este mismo modulo para ver un ejemplo de ataque de ´ suplantacion.Por otro lado, los paquetes se pueden manipular si se modifican sus datos y se reconstruyende forma adecuada los controles de las cabeceras. Si esto es posible, el receptor ser´ inca- apaz de detectar el cambio.3) Vulnerabilidades de la capa de transporte. La capa de transporte transmite infor- Ataques de denegaci´ n de o servicio ...maci´ n TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de oautenticaci´ n, de integridad y de confidencialidad. Algunos de los ataques m´ s conocidos o a ´ ... (en ingles Denial of Service attacks o DoS). Miraren esta capa son las denegaciones de servicio debidas a protocolos de transporte. el apartado sobre Ataques de ´ denegacion de servicio de ´ este mismo modulo para mas ´En cuanto a los mecanismos de seguridad incorporados en el dise˜ o del protocolo de TCP n ´ informacion.(como las negociaciones involucradas en el establecimiento de una sesi´ n TCP), existe una oserie de ataques que aprovechan ciertas deficiencias en su dise˜ o. Una de las vulnerabili- ndades m´ s graves contra estos mecanismos de control puede comportar la posibilidad de ainterceptaci´ n de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a ootros equipos con fines deshonestos.Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de inter-cambio de TCP respecto a la autenticaci´ n de los equipos involucrados en una sesi´ n. As´, o o ısi un usuario hostil puede observar los intercambios de informaci´ n utilizados durante el o o ´inicio de la sesi´ n y es capaz de interceptar con exito una conexi´ n en marcha con todos olos par´ metros de autenticaci´ n configurados adecuadamente, podr´ secuestrar la sesi´ n. a o a o4) Vulnerabilidades de la capa de aplicaci´ n. Como en el resto de niveles, la capa de oaplicaci´ n presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido oal gran n´ mero de protocolos definidos en esta capa, la cantidad de deficiencias presentes utambi´ n ser´ superior al resto de capas. Algunos ejemplos de deficiencias de seguridad a e aeste nivel podr´an ser los siguientes: ı• Servicio de nombres de dominio. Normalmente, cuando un sistema solicita cone- xi´ n a un servicio, pide la direcci´ n IP de un nombre de dominio y env´a un paquete o o ı * Estos ataques de ´ suplantacion de DNS se ´ UDP a un servidor DNS; entonces, este responde con la direcci´ n IP del dominio so- o conocen con el nombre de licitado o una referencia que apunta a otro DNS que pueda suministrar la direcci´ n IP o spoofing de DNS. solicitada. Un servidor DNS debe entregar la direcci´ n IP correcta pero, adem´ s, tambi´ n puede o a e entregar un nombre de dominio dada una direcci´ n IP u otro tipo de informaci´ n. o o
  17. 17. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 9 Ataques contra redes TCP/IP En el fondo, un servidor de DNS es una base de datos accesible desde internet. Por ´ lo tanto, un atacante puede modificar la informaci´ n que suministra esta base de datos o o acceder a informaci´ n sensible almacenada en la base de datos por error, pudiendo o obtener informaci´ n relativa a la topolog´a de la red de una organizaci´ n concreta (por o ı o ejemplo, la lista de los sistemas que tiene la organizaci´ n). o• Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contrase˜ a, que se transmiten en claro por la red. n As´, al igual que el resto de servicios de internet que no protegen los datos mediante ı mecanismos de protecci´ n**, el protocolo de aplicaci´ n Telnet hace posible la captura o o de aplicaci´ n sensible mediante el uso de t´ cnicas de sniffing. o e ´ ** Mirad el modulo ´ Mecanismos de proteccion Actualmente existen otros protocolos a nivel de aplicaci´ n (como, por ejemplo, SSH) o de este mismo material para para acceder a un servicio equivalente a Telnet pero de manera segura (mediante auten- ´ ´ mas informacion. ticaci´ n fuerte). Aun as´, el hecho de cifrar el identificador del usuario y la contrase˜ a o ı n no impide que un atacante que las conozca acceda al servicio.• File Transfer Protocol. Al igual que Telnet, FTP es un protocolo que env´a la infor- ı maci´ n en claro (tanto por el canal de datos como por el canal de comandos). As´ pues, o ı al env´ar el identificador de usuario y la contrase˜ a en claro por una red potencialmente ı n hostil, presenta las mismas deficiencias de seguridad que ve´amos anteriormente con ı el protocolo Telnet. Aparte de pensar en mecanismos de protecci´ n de informaci´ n para solucionar el pro- o o blema, FTP permite la conexi´ n an´ nima a una zona restringida en la cual s´ lo se o o o permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contrase˜ as, sin limi- n tar una de las funcionalidades m´ s interesantes del servicio. a• Hypertext Transfer Protocol. El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades m´ s conocidas procede de la posibilidad de en- a trega de informaci´ n por parte de los usuarios del servicio. Esta entrega de informaci´ n o o desde el cliente de HTTP es posible mediante la ejecuci´ n remota de c´ digo en la parte o o del servidor. La ejecuci´ n de este c´ digo por parte del servidor suele utilizarse para dar el formato o o adecuado tanto a la informaci´ n entregada por el usuario como a los resultados de- o * Mirad el cap´tulo ı ´ Deficiencias de programacion vueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este ´ de este mismo modulo c´ digo que se ejecuta presenta deficiencias de programaci´ n, la seguridad del equipo o o ´ didactico para mas´ ´ informacion. en el que est´ funcionando el servidor se podr´ poner en peligro*. e a
  18. 18. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 10 Ataques contra redes TCP/IP1.2. Actividades previas a la realizaci´ n de un ataque o.Previamente a la planificaci´ n de un posible ataque contra uno o m´ s equipos de una red o aTCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase,es decir, para obtener toda la informaci´ n posible de la v´ctima, ser´ necesario utilizar una o ı aserie de t´ cnicas de obtenci´ n y recolecci´ n de informaci´ n. e o o oA continuaci´ n veremos, con algunos ejemplos sencillos, algunas de las t´ cnicas existentes o eque tanto los administradores de una red como los posibles atacantes, pueden utilizar pararealizar la fase de recogida y obtenci´ n de informaci´ n previa a un ataque. o o1.2.1. Utilizaci´ n de herramientas de administraci´ n o o La fase de recogida de informaci´ n podr´a empezar con la utilizaci´ n de todas aquellas o ı o Evitar la extracci´ n de o informaci´ n oaplicaciones de administraci´ n que permitan la obtenci´ n de informaci´ n de un sistema o o ocomo, por ejemplo, ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, ´ Una posible solucion para proteger los sistemas deetc. nuestra red contra esta ´ extraccion de informacion ´ mediante herramientas deLa simple ejecuci´ n del comando ping contra la direcci´ n IP asociada a un nombre de o o ´ administracion es la ´ utilizacion de sistemasdominio podr´a ofrecer al atacante informaci´ n de gran utilidad. Para empezar, esta infor- ı o cortafuegos. Consultad elmaci´ n le permitir´ determinar la existencia de uno o m´ s equipos conectados a la red de o a a ´ ´ siguiente modulo didactico ´ ´ para mas informacion sobreeste dominio. filtrado de paquetes y sistemas cortafuegos.Una vez descubierta la existencia de, como m´nimo, uno de los equipos del dominio, el ıatacante podr´a obtener informaci´ n relacionada con la topolog´a o la distribuci´ n f´sica y ı o ı o ıl´ gica de la red, mediante alguna aplicaci´ n de administraci´ n como, por ejemplo, trace- o o oroute.Aunque traceroute es una herramienta de administraci´ n pensada para solucionar proble- omas de red, tambi´ n se puede utilizar con objetivos deshonestos. Por ejemplo, traceroute ese puede emplear para tratar de averiguar qu´ sistemas existen entre distintos equipos (en eeste caso, entre el ordenador del atacante y el equipo que se quiere atacar). ´ * En ingles, router.El funcionamiento de traceroute se basa en la manipulaci´ n del campo TTL de la cabecera oIP de un paquete, de forma que es capaz de determinar uno a uno los saltos por los queun determinado paquete avanza por la red TCP/IP. El campo TTL act´ a como un conta- udor de saltos, vi´ ndose reducido en una unidad al ser reenviado por cada dispositivo de eencaminamiento.
  19. 19. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 11 Ataques contra redes TCP/IPAs´, mediante traceroute se puede llegar a obtener una lista de los elementos de la red ırecorridos desde una ubicaci´ n de origen hasta el sistema de destino, como muestra el osiguiente ejemplo: ´ Existen herramientas graficas con una funcionalidad similar a traceroute, que permiten [root@atacante /]$ traceroute -n www.vitima.com visualizar las correspondientes traceroute to www.vitima.com (218.73.40.217), asociaciones de cada 30 hops max, 38 byte packets elemento IP y con su ´ ´ ubicacion geografica. 1 80.12.14.92 1.091 ms 1.203 ms 2.140 ms 1 80.12.14.1 2.175 ms 2.319 ms 2.155 ms 2 80.12.56.13 12.063 ms 14.105 ms 13.305 ms .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. 10 218.73.40.217 30.025 ms 28.205 ms 28.202 msComo veremos m´ s adelante, el uso del protocolo ICMP (que utilizan tanto ping como atraceroute) tambi´ n puede permitir obtener informaci´ n adicional, como la franja horaria e odel sistema de destino o la m´ scara de red empleada. aDescubrimiento de usuariosOtra informaci´ n relevante de un sistema es el nombre de los usuarios que tienen acceso oa estos equipos. Una utilidad que puede ayudar al atacante a obtener estos datos es laherramienta finger: El servicio finger ´ Dada la informacion que proporciona este servicio, [root@atacante /]$ finger -l @ www.victima.com muchos sistemas no lo tienen activado. [www.victima.com] Login name: root (messages off) Directory: /root Shell: /bin/bash On since Mar 11 12:04:32 on pts/1 from dummy.victima.com New mail received Mon Mar 8 13:12:05 2001; No Plan.Mediante finger, el atacante podr´a realizar varias pruebas para tratar de descubrir la exis- ıtencia de usuarios v´ lidos. M´ s adelante, y con la informaci´ n obtenida, podr´a probar a a o ıdistintas contrase˜ as de usuario con la finalidad de obtener un acceso remoto al sistema nutilizando, por ejemplo, un cliente de Telnet o de SSH.
  20. 20. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 12 Ataques contra redes TCP/IPInformaci´ n de dominio oDurante esta primera etapa de recogida de informaci´ n, el atacante tambi´ n tratar´ de ob- o e atener toda aquella informaci´ n general relacionada con la organizaci´ n que hay detr´ s de o o ala red que se quiere atacar. La recogida de esta informaci´ n puede empezar extrayendo la oinformaci´ n relativa a los dominios asociados a la organizaci´ n, as´ como las subredes cor- o o ırespondientes. Esto puede obtenerse f´ cilmente mediante consultas al servicio de nombre ade dominios (DNS).Si el servidor que ofrece la informaci´ n de este dominio no se ha configurado adecuada- omente, es posible realizar una consulta de transferencia de zona completa, lo cual permitir´ aobtener toda la informaci´ n de traducci´ n de direcciones IP a nombres de m´ quina. Este o o atipo de consulta puede realizarse con las utilidades host, dig y nslookup, entre otras: [root@atacante /]$ host -l victima.com www.victima.com has address 218.73.40.217 www.victima.com host information "Pentium III" "Linux" ftp.victima.com has address 218.73.40.81 ftp.victima.com host information "Pentium II" "FreeBSD" .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. [root@atacante /]$ host -l victima.com > victima.com.txtEntre la informaci´ n encontrada, el atacante podr´a encontrar informaci´ n sensible como, o ı opor ejemplo, relaciones entre sistemas de la red o subredes, el objetivo para el que seutilizan los mismos, el sistema operativo instalado en cada equipo, etc.Cadenas identificativasA medida que vaya encontrando nuevos sistemas, el atacante ir´ complementando la in- aformaci´ n recogida con toda aquella informaci´ n que pueda serle de utilidad para explotar o oposibles deficiencias en la seguridad de la red. Una primera fuente de informaci´ n podr´a o ıser, por ejemplo, la informaci´ n que ofrecen las cadenas de texto que generalmente apare- oce al conectarse a un determinado servicio. Estas cadenas, aparte de identificar cada unode los servicios ofrecidos por estos equipos, podr´an indicar el nombre y la versi´ n de la ı oaplicaci´ n que se est´ ejecutando detr´ s de dicho servicio: o a a [root@atacante /]$ ftp ftp.victima.com Connected to ftp.victima.com (218.73.40.81). 220 ProFTPD 1.2.4 Server (VICTIMA FTP Server) Name (ftp.victima.com:root): .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
  21. 21. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 13 Ataques contra redes TCP/IP [root@atacante /]$ telnet www.victima.com 80 Trying 218.73.40.217... Connected to www.victima.com. Escape character is ^]. GET / HTTP1.1 HTTP/1.1 200 OK Date: Wed, 12 Mar 2003 15:07:53 GMT Server: Apache/1.3.23 (Unix) mod_ssl/2.8.6 OpenSSL/0.9.6c .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ´Como vemos en estos dos ejemplos, utilizando unicamente un cliente de FTP y un clientede Telnet, el atacante puede hacerse una idea de las aplicaciones (y de sus respectivas ver-siones) que la red del dominio victima.com est´ utilizando para ofrecer sus servicios. aEn el ejemplo mostrado, el atacante habr´a descubierto que detr´ s de los servicios FTP ı ay HTTP que ofrece la red existe un servidor de FTP llamado ProFTPD Server (en suversi´ n 1.2.4) y un servidor de HTTP llamado Apache (en su versi´ n 1.3.23) compilado o opara funcionar en un sistema Unix. La informaci´ n del servidor de HTTP tambi´ n le o emuestra que el servidor Apache est´ utilizando la librer´a criptogr´ fica OpenSSL (en su a ı aversi´ n 0.9.6c) para poder ofrecer la versi´ n segura de HTTP por medio del protocolo o ocriptogr´ fico SSL (HTTPS) mediante la utilizaci´ n del m´ dulo mod ssl (en su versi´ n a o o o2.8.6).Grupos de noticias y buscadores de internetFinalmente, esta primera fase de recogida de informaci´ n mediante herramientas de admi- o Perfil humano de la organizaci´ n onistraci´ n suele finalizar realizando una serie de consultas en grupos de noticias, buscado- ores de p´ ginas web o meta buscadores. Mediante esta consultas, el atacante puede obtener a Muchas veces los propios administradores de la redinformaci´ n emitida por los usuarios de la organizaci´ n asociada a la red que desea ata- o o pueden divulgar, sin darsecar. Una simple b´ squeda de la cadena @victima.com en http://groups.goo- u ´ cuenta, informacion sensible de sus sistemas cuandogle.com o http://www.google.com puede ofrecer al atacante detalles de inter´ s, e utilizan listas de correo ocomo podr´an ser los sistemas operativos existentes en la red, tecnolog´as y servidores uti- ı ı grupos de noticias publicos. ´ Al hacer preguntas, o allizados, el conocimiento en cuanto a temas de seguridad por parte de los administradores, contestar otras, puedenetc. poner en peligro los equipos de su red al dar publicamente ´ ejemplos a partir de la ´ informacion de sus sistemas.
  22. 22. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 14 Ataques contra redes TCP/IP ´1.2.2. Busqueda de huellas identificativasAparte de la utilizaci´ n de herramientas de administraci´ n y servicios de internet, existen o ot´ cnicas m´ s avanzadas que permiten extraer informaci´ n m´ s precisa de un sistema o de e a o auna red en concreto.. La utilizaci´ n de estas t´ cnicas se conoce con el nombre de fingerprinting, es decir, o e obtenci´ n de la huella identificativa de un sistema o equipo conectado a la red. oIdentificaci´ n de mecanismos de control TCP oLa huella identificativa que un atacante querr´a obtener de los sistemas de una red hace ıreferencia a toda aquella informaci´ n de la implementaci´ n de pila TCP/IP de los mismos. o oEn primer lugar, esta informaci´ n le permitir´ descubrir de forma muy fiable el sistema o aoperativo que se ejecuta en la m´ quina analizada. Por otro lado, estos datos, junto con ala versi´ n del servicio y del servidor obtenidos anteriormente, facilitar´ n al atacante la o ab´ squeda de herramientas necesarias para realizar, por ejemplo, una explotaci´ n de un u oservicio contra algunos de estos sistemas. ´ * En ingles, TCP three-way handshake.La mayor parte de las t´ cnicas para obtener esta huella identificativa se basan en la infor- emaci´ n de la pila TCP/IP que puede obtenerse a partir de los mecanismos de control del ointercambio de tres pasos propio del protocolo TCP/IP.El protocolo TCP es un protocolo de la capa de transporte que asegura que los datos seanenviados correctamente. Esto significa que se garantiza que la informaci´ n recibida se ocorresponda con la informaci´ n enviada y que los paquetes sean ensamblados en el mismo oorden en que fueron enviados. Generalmente, las caracter´sticas de implementaci´ n de los mecanismos de control in- ı o Los RFC ...corporados en el dise˜ o de TCP en pila TCP/IP de un sistema operativo se basa en la n ´ ... (en ingles, Requests forinterpretaci´ n que los desarrolladores realizan de los RFC. o Comments ) son un conjunto ´ de documentos tecnicos y notas organizativas sobre. internet (originalmente sobre ARPANET). Mirad http://www.ietf.org La interpretaci´ n de los RFC (y por lo tanto, las caracter´sticas propias de imple- o ı ´ ´ para mas informacion. mentaci´ n) puede ser muy distinta en cada sistema operativo (incluso en diferentes o versiones de un mismo sistema operativo). As´ pues, la probabilidad de acierto del ı sistema operativo remoto mediante esta informaci´ n es muy elevada. o
  23. 23. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 15 Ataques contra redes TCP/IPIdentificaci´ n de respuestas ICMP o Aunque el objetivo original del protocolo ICMP es el de notificar errores y condiciones ICMPinusuales (que requieren una especial atenci´ n respecto al protocolo IP), es posible poder o El protocolo ICMP es elrealizar un uso indebido de este protocolo para obtener huellas identificativas de un sistema encargado de realizar el control de flujo de losremoto. datagramas IP que circulan por una red TCP/IP. Este protocolo consta de variasComentaremos a continuaci´ n algunos ejemplos de c´ mo obtener estas huellas a partir de o o funcionalidades que permiten realizar desde lalas distintas respuestas ofrecidas mediante el tr´ fico ICMP: a ´ comunicacion de situaciones con anomal´as (por ejemplo, ı para indicar que no se ha• ICMP echo. Como hemos visto anteriormente, el uso de tr´ fico ICMP de tipo echo a podido realizar el entrega de permite la exploraci´ n de sistemas activos. As´, con esta exploraci´ n se pretende iden- o ı o un datagrama IP) hasta la ´ comprobacion del estado de tificar los equipos existentes dentro de la red que se quiere explorar, normalmente ´ una maquina en la red. accesibles desde internet. . El comando ping puede informar, mediante paquetes ICMP de tipos echo-request y echo-reply, sobre si una determinada direcci´ n IP est´ o o a no activa. El campo TTL, utilizado en este intercambio de paquetes echo de ICMP, suele ser inicializado de forma distinta seg´ n el sistema operativo que haya detr´ s del equipo. u a Por otra parte, cuando se env´a un paquete ICMP echo-request hacia la direc- ı o o ´ ci´ n de difusi´ n (broadcast), se consigue que con un unico paquete enviado todos los equipos respondan con un paquete ICMP de tipo echo-reply. . Esta caracter´stica no es propia de todos los sistemas operativos. As´, por ejemplo, ı ı puede estar presente en algunas variantes de sistemas operativos Unix, mientras que los sistemas operativos de Microsoft no responden a este tipo de paquetes. Estas dos informaciones, el n´ mero de TTL inicial y la respuesta a un ping enviado por u difusi´ n, podr´a ser de utilizado como una primera huella identificativa de los sistemas o ı de la red.• ICMP timestamp. Mediante la transmisi´ n de un paquete ICMP de tipo timestamp- o request, si un sistema est´ activo, se recibir´ un paquete de tipo timestamp-reply, a a indicando si es posible conocer la referencia de tiempo en el sistema de destino.
  24. 24. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 16 Ataques contra redes TCP/IP . La decisi´ n de responder o no a estos paquetes depende de la implementaci´ n. Al- o o gunos sistemas operativos Windows s´ responden, mientras que otros no lo hacen. ı No obstante, la mayor´a de los sistemas operativos Unix s´ que suelen implemen- ı ı tarlo. Seg´ n si los sistemas de la red responden o no ante esta petici´ n, su huella identificativa u o apuntar´ a un posible sistema o a otro. a• ICMP information. La finalidad de los paquetes ICMP de tipo information- request y su respuesta asociada, information-reply, consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuraci´ n, au- o toconfigurarse en el momento de inicio, obtener su direcci´ n IP, etc. o . Aunque las recomendaciones de seguridad indican que los sistemas operativos no deber´an generar este tipo de paquetes ni responder a ellos, la realidad de las im- ı plementaciones existentes es otra. La respuesta, en lugar de indicar la direcci´ n IP de la red en el campo de origen, o a ´ indica la direcci´ n IP del equipo. Algunos sistemas operativos responder´ n unicamente o cuando la direcci´ n IP de destino del paquete tenga el valor de una direcci´ n IP de o o confianza. Otros sistemas, as´ como muchos dispositivos de red, implementan distintos ı m´ todos de respuesta ante este tipo de paquetes. Todas estas diferencias se pueden e utilizar en el momento de confeccionar la huella identificativa.1.2.3. Exploraci´ n de puertos o La exploraci´ n de puertos* es una t´ cnica ampliamente utilizada para identificar los o e ´servicios que ofrecen los sistemas de destino. Suele ser la ultima de las actividades previas ´ * En ingles, Port Scanning.a la realizaci´ n de un ataque. o ** Mirad el cap´tulo ı ´ Deficiencias de programacion. ´ de este mismo modulo ´ didactico para mas´ La exploraci´ n de puertos puede permitir el reconocimiento de los servicios ofre- o ´ informacion. cidos por cada uno de los equipos encontrados en la red escogida. Con esta infor- maci´ n, el atacante podr´a realizar posteriormente una b´ squeda de exploits que le o ı u permitiera un ataque de intrusi´ n en el sistema analizado**. o
  25. 25. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 17 Ataques contra redes TCP/IPExploraci´ n de puertos TCP oAparte de ser de utilidad para obtener la huella identificativa de un sistema conectado a lared, la exploraci´ n de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece oo no un determinado servicio.Existe un grande n´ mero de t´ cnicas para realizar esta exploraci´ n de puertos TCP. Entre u e olas m´ s conocidas, podemos destacar las siguientes: a• TCP connect scan. Mediante el establecimiento de una conexi´ n TCP completa (com- o pletando los tres pasos del establecimiento de la conexi´ n) la exploraci´ n puede ir ana- o o lizando todos los puertos posibles. Si la conexi´ n se realiza correctamente, se anotar´ o a el puerto como abierto (realizando una suposici´ n de su servicio asociado seg´ n el o u n´ mero de puerto). u• ´ TCP SYN scan. Enviando unicamente paquetes de inicio de conexi´ n (SYN) por cada o ´ uno de los puertos que se quieren analizar se puede determinar si estos est´ n abiertos a o no. Recibir como respuesta un paquete RST-ACK significa que no existe ning´ n u servicio que escuche por este puerto. Por el contrario, si se recibe un paquete SYN-ACK, podemos afirmar la existencia de un servicio asociado a dicho puerto TCP. En este caso, se enviar´ un paquete RST-ACK a para no establecer conexi´ n y no ser registrados por el sistema objetivo, a diferencia o del caso anterior (TCP connect scan).• TCP FIN scan.Al enviar un paquete FIN a un puerto, deber´amos recibir un paquete ı de reset (RST) s´ dicho puerto est´ cerrado. Esta t´ cnica se aplica principalmente sobre ı a e implementaciones de pilas TCP/IP de sistemas Unix.• TCP Xmas Tree scan. Esta t´ cnica es muy similar a la anterior, y tambi´ n se obtiene e e como resultado un paquete de reset si el puerto est´ cerrado. En este caso se env´an a ı paquetes FIN, URG y PUSH.• TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploraci´ n deber´a recibir como resultado un paquete de reset en los puertos no o ı activos.. La mayor parte de aplicaciones para realizar exploraci´ n de puertos TCP suelen o ser ruidosas, es decir, no intentan esconder lo que se est´ analizando la red. Esto a suele ser as´ porque se presume que o bien nadie est´ revisando la actividad de ı a exploraci´ n o que, utilizando un equipo comprometido, nadie podr´ descubrir el o a equipo desde el que realmente se realiza la exploraci´ n de puertos. o
  26. 26. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 18 Ataques contra redes TCP/IPExploraci´ n de puertos UDP o. Mediante la exploraci´ n de puertos UDP es posible determinar si un sistema est´ o a o no disponible, as´ como encontrar los servicios asociados a los puertos UDP que ı encontramos abiertos.Para realizar esta exploraci´ n se env´an datagramas UDP sin ninguna informaci´ n al cam- o ı opo de datos. En el caso de que el puerto est´ cerrado, se recibir´ un mensaje ICMP de e apuerto no alcanzable (port unreachable). Si el puerto est´ abierto, no se recibir´ ninguna a arespuesta.Dado que UDP es un protocolo no orientado a conexi´ n, la fiabilidad de este m´ todo o edepende de numerosos factores (m´ s todav´a en internet), como son la utilizaci´ n de la red a ı oy sus recursos, la carga existente, la existencia de filtros de paquetes en sistemas finales oen sistemas cortafuegos, etc.Asimismo, y a diferencia de las exploraciones TCP, se trata de un proceso mucho m´ s len- ato, puesto que la recepci´ n de los paquetes enviados se consigue mediante el vencimiento ode temporizadores (timeouts).En el caso de detectar un elevado n´ mero de puertos UDP abiertos, el atacante podr´a u ıconcluir que existe un sistema cortafuegos entre su equipo y el objetivo. Para confirmar ´esta ultima posibilidad, se puede enviar un datagrama UDP al puerto cero. Esto tendr´a que ıgenerar una respuesta ICMP de puerto no alcanzable. No recibir esta respuesta significaque existe un dispositivo que filtra el tr´ fico. aHerramientas para realizar la exploraci´ n de puertos oLa aplicaci´ n por excelencia para realizar exploraci´ n de puertos es Nmap (Network Map- o oper). Esta herramienta implementa la gran mayor´a de t´ cnicas conocidas para exploraci´ n ı e ode puertos y permite descubrir informaci´ n de los servicios y sistemas encontrados. Nmap otambi´ n implementa un gran n´ mero de t´ cnicas de reconocimiento de huellas identifica- e u etivas, como las que hemos visto anteriormente.Mediante Nmap pueden realizarse, por ejemplo, las siguientes acciones de exploraci´ n: o• Descubrimiento de direcciones IP activas mediante una exploraci´ n de la red: o . nmap -sP IP ADDRESS/NETMASK
  27. 27. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 19 Ataques contra redes TCP/IP• Exploraci´ n de puertos TCP activos: o A tener en cuenta . La mayor parte de herramientas de exploracion´ nmap -sT IP ADDRESS/NETMASK de puertos pueden ser muy “ruidosas” y no son bien vistas por los administradores de red. Es altamente• Exploraci´ n de puertos UDP activos: o recomendable no utilizar . estas herramientas sin el consentimiento expl´cito de ı los responsables de la red. nmap -sU IP ADDRESS/NETMASK• Exploraci´ n del tipo de sistema operativo de un equipo en red: o . nmap -O IP ADDRESS/NETMASKLa siguiente imagen muestra un ejemplo de exploraci´ n de puertos mediante la herramien- ota Nmap:Generalmente, Nmap es utilizado internamente por otras aplicaciones como, por ejemplo,esc´ ners de vulnerabilidades, herramientas de detecci´ n de sistemas activos, servicios web a oque ofrecen exploraci´ n de puertos, etc. o
  28. 28. FUOC · P03/75070/02121© FUOC • XP04/90789/00892 20 Ataques contra redes TCP/IP ´ Este es el caso de la utilidad Nessus. Se trata de una utilidad que permite comprobar si unsistema es vulnerable a un conjunto muy amplio de problemas de seguridad almacenados ı ´ * Mirad el cap´tulo Escaners de vulnerabilidades delen su base de datos. Si encuentra alguna de estas debilidades en el sistema analizado, se ´ ´ modulo didacticoencargar´ de informar sobre su existencia y sobre posibles soluciones. a ´ Mecanismos de deteccion de ataques e intrusiones para ´ ´ mas informacion.. Nmap, junto con Nessus, son dos de las herramientas m´ s frecuentemente utili- a zadas tanto por administradores de redes como por posibles atacantes, puesto que ofrecen la mayor parte de los datos necesarios para estudiar el comportamiento de un sistema o red que se quiere atacar*.

×