Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP

Anuncio 
TÉCNICAS Y HERRAMIENTAS DE
ATAQUE A REDES TCP/IP
Técnico en Seguridad de Redes y Sistemas
© 2011, Juan Pablo Quesada Nieves
TÉCNICAS Y HERRAMIENTAS DE ATAQUE A
REDES TCP/IP
Técnico en Seguridad de Redes y Sistemas
Tipos de Ataques en TCP/IP
Técnicas para la Búsqueda de Objetivos de un Ataque
Mecanismos para Obtención de Información acerca de
Objetivos
Bibliografía y Recursos Web
2
TÉCNICAS Y HERRAMIENTAS DE ATAQUE A
REDES TCP/IP
Técnico en Seguridad de Redes y Sistemas
Tipos de Ataques en TCP/IP
Técnicas para la Búsqueda de Objetivos de un Ataque
Mecanismos para Obtención de Información acerca de
Objetivos
Bibliografía y Recursos Web
3
TIPOS DE ATAQUES EN TCP/IP
Introducción (1/3)
Técnico en Seguridad de Redes y Sistemas
Los ataques consisten en valerse de vulnerabilidades
de la red o de un sistema informático
Los primeros ataques a través de la red se
aprovechaban de las vulnerabilidades del protocolo
TCP/IP
Conforme
TCP/IP
ha
ido
superando
esas
vulnerabilidades y se ha hecho más fuerte en el
ámbito de la seguridad, los ataques se han dirigido a
la capa de aplicaciones y, principalmente, a la Web
4
TIPOS DE ATAQUES EN TCP/IP
Introducción (2/3)
Los ataques se realizan por diversas razones:
Técnico en Seguridad de Redes y Sistemas
obtener información privilegiada
dañar el funcionamiento normal de un servicio o de un SI
usar el sistema para otro ataque diferente
utilizar recursos
dañar la imagen de la empresa o persona
Intentan comprometer la confidencialidad, la
disponibilidad y la integridad de los recursos de la
red
5
TIPOS DE ATAQUES EN TCP/IP
Introducción (3/3)
Tipos de ataque:
Técnico en Seguridad de Redes y Sistemas
Sniffing (Rastreo)
Spoofing (Falsificación)
DoS (Denegación de Servicio )
6
TIPOS DE ATAQUES EN TCP/IP
Sniffing (1/3)
en
supervisar
el
tráfico
Técnico en Seguridad de Redes y Sistemas
Este ataque consiste
generado en un red
El elemento utilizado para escuchar todo lo que se
mueve por la red se denomina sniffer o analizador de
red, que puede ser tanto software como hardware
El software utilizado como sniffer activa lo que se
conoce como “modo promiscuo de la tarjeta de red” en
la máquina donde se ejecuta, lo que permite obtener
todas las tramas Ethernet que se envían dentro de la
misma Red de Área Local
7
TIPOS DE ATAQUES EN TCP/IP
Sniffing (2/3)
Técnico en Seguridad de Redes y Sistemas
Para poder activar el modo promiscuo, en sistemas
UNIX debemos ser usuario “root”, mientras que en
sistemas WINDOWS debemos tener permisos de
administrador
Los sniffers activan este modo de manera automática
Actualmente, las conexiones a través de cable se
llevan a cabo mediante switches, en lugar de los
antiguos hubs, lo que hace que el tráfico sea dirigido
a su destino, de forma que se complica el uso de
sniffers
8
TIPOS DE ATAQUES EN TCP/IP
Sniffing (3/3)
Técnico en Seguridad de Redes y Sistemas
Para la escucha en redes inalámbricas el sniffing
sigue siendo muy eficaz y utilizado
9
TIPOS DE ATAQUES EN TCP/IP
Utilidad de los sniffers (1/2)
Detectar fallos en los paquetes, ya sea porque llegan
corruptos, no llegan las tramas de confirmación o se
duplican
Convertir el tráfico que viaja por la red (ceros y unos)
en señales analógicas comprensibles para el humano
Técnico en Seguridad de Redes y Sistemas
Analizar el tráfico de red dentro de nuestra empresa
o de nuestro hogar para poder encontrar incidencias,
como congestiones en la red, cuellos de botella,
intrusiones, etc.
10
TIPOS DE ATAQUES EN TCP/IP
Utilidad de los sniffers (2/2)
Crear estadísticas y gráficos de todo tipo, por ejemplo
por tipo de protocolo, por dirección IP, por dirección
MAC, …
Capturar nombres de usuario y contraseñas que
viajan por la red sin encriptar
Técnico en Seguridad de Redes y Sistemas
Crear ficheros con las capturas realizadas y
establecer filtros sobre ellas para ver lo que queramos
en concreto, y así analizar el tráfico de la red
11
TIPOS DE ATAQUES EN TCP/IP
Protección contra sniffers
Hacer uso de otros sniffers
Utilizar firewalls
Encriptar la información que viaja por la red
SSL (Secure Sockets Layer), para el caso de la Web
PGP (Pretty Good Privacy) y S/MIME (Secure Multipurpose
Internet Mail Extensions), para el caso del correo
electrónico
SSH (Secure SHell), para el caso del acceso remoto a
servidores UNIX
VPN (Virtual Private Network)
Técnico en Seguridad de Redes y Sistemas
Utilizar switches
12
TIPOS DE ATAQUES EN TCP/IP
Spoofing (1/2)
Las técnicas de spoofing van desde engañar al propio
servidor falseando simplemente una dirección IP,
hasta lo que sería engañar directamente al usuario
final (entrando ya en Ingeniería Social)
Técnico en Seguridad de Redes y Sistemas
Este ataque consiste en suplantar la identidad de
otra máquina de la red para tener acceso a los
recursos de un tercer sistema de manera maliciosa,
basándose en algún tipo de confianza, ya sea el
nombre o la dirección IP del host suplantado
13
TIPOS DE ATAQUES EN TCP/IP
Spoofing (2/2)
Existen varias técnicas de spoofing:
IP Spoofing
ARP Spoofing
DNS Spoofing
En un ataque de tipo spoofing existen tres máquinas
en juego:
Máquina atacante
Máquina atacada
Máquina a suplantar
Técnico en Seguridad de Redes y Sistemas
Uno de los ejemplos más típicos de spoofing es el
phishing
14
TIPOS DE ATAQUES EN TCP/IP
IP Spoofing (1/2)
La dirección IP la sustituimos dentro de un paquete
TCP/IP, como pueden ser los clásicos ICMP, UDP o
TCP, y el sistema atacado responderá a esta dirección
suplantada, no a la nuestra
Técnico en Seguridad de Redes y Sistemas
Esta técnica consiste en conseguir una dirección IP
de un host o un servidor, y hacerse pasar por él con el
objetivo de obtener información confidencial o
provocar un ataque DoS
15
TIPOS DE ATAQUES EN TCP/IP
IP Spoofing (2/2)
Hoy en día un ataque clásico de IP Spoofing es
bastate difícil de conseguir, ya que los enrutadores
actuales no permiten que se envíen paquetes con
direciones IP que no pertenezcan a la red, por lo que
los paquetes que intentemos mandar no van a pasar
del router
Técnico en Seguridad de Redes y Sistemas
Un ejemplo de ataque IP Spoofing consistiría en
mandar un ping con la dirección IP origen falseada.
El host atacado respondería al ping, lo que provocaría
que el sistema suplantado recibiera respuesta sin
haberla solicitado
16
TIPOS DE ATAQUES EN TCP/IP
ARP Spoofing (1/4)
Las comunicaciones TCP/IP se basan en la resolución
de la dirección IP en función de la dirección MAC y,
para ello, en nuestra máquina residen tablas ARP
que asocian las direcciones MAC con las direcciones
IP de la red. Este ataque trataría de falsear estas
direcciones MAC basándose en el envenenamiento de
la tabla ARP (ARP Poisoning)
Técnico en Seguridad de Redes y Sistemas
Consiste en la construcción de tramas ARP de
solicitud y respuesta falseadas, de manera que se
fuerce al host atacado a enviar los paquetes al
atacante en vez de hacerlos directamente al sistema
de destino
17
TIPOS DE ATAQUES EN TCP/IP
ARP Spoofing (2/4)
Las tarjetas de red en nuestro equipo se visualizan
ejecutando el comando ipconfig /all (Windows) o
ifconfig –a (Linux) desde una consola o terminal
Cuando una máquina de la red necesita resolver una
dirección IP, hace un ARP request a la red
preguntando por dicha dirección IP. Cuando la
máquina con esa dirección IP recibe la petición, hace
un ARP reply con su dirección MAC
Técnico en Seguridad de Redes y Sistemas
Para ver la tabla ARP de nuestro equipo ejecutamos
el comando arp –a desde una consola o terminal
18
TIPOS DE ATAQUES EN TCP/IP
ARP Spoofing (3/4)
La única manera de detectar este ataque sería
analizando el tráfico de red y viendo que existen dos
máquinas con diferentes direcciones IP y con las
mismas direcciones MAC
Técnico en Seguridad de Redes y Sistemas
Un típico ataque ARP Spoofing es Man In The
Middle. El atacante recoge la información del atacado
y se la envía al equipo suplantado para que parezca
que se trata de una comunicación normal
19
TIPOS DE ATAQUES EN TCP/IP
ARP Spoofing (4/4)
Técnico en Seguridad de Redes y Sistemas
Haciendo este ataque conseguimos ver todo el tráfico
que va dirigido de una máquina a otra. Si las
conexiones que se realizan entre ambas no van
cifradas, podríamos obtener información confidencial
mediante el uso de un sniffer
20
TIPOS DE ATAQUES EN TCP/IP
DNS Spoofing (1/2)
Este ataque podría también realizarse de manera
más facil si directamente pudiéramos acceder al
fichero de asociación de DNS de un host en concreto
(C:\Windows\System32\drivers\etc\hosts)
Técnico en Seguridad de Redes y Sistemas
Trata de asociar el nombre del dominio de una página
web con la dirección IP de una máquina que no es la
real, es decir, engañar al usuario final con una
dirección IP de un servidor donde se alojaría otra
página web
21
TIPOS DE ATAQUES EN TCP/IP
DNS Spoofing (2/2)
Técnico en Seguridad de Redes y Sistemas
También se podría comprometer un servidor DNS
infectando la caché de otro, es decir, haciendo lo que
se conoce como Envenenamiento DNS o DNS
Poisoning
22
TIPOS DE ATAQUES EN TCP/IP
DoS
El ataque DoS se basa en intentar consumir todos los
recursos de una máquina (ancho de banda o ciclos de
procesador) sin dejar espacio libre para peticiones
legítimas
Técnico en Seguridad de Redes y Sistemas
DoS (Denial of Service -Denegación de Servicio-) es
un ataque dirigido a una máquina, o conjunto de
máquinas, con el objetivo de terminar parcial o
totalmente con los servicios que ofrece
23
TIPOS DE ATAQUES EN TCP/IP
DDoS
Este tipo de ataque se suele hacer mediante botnets,
conjunto de máquinas robots que se pueden ejecutar
de manera autónoma, pero controlada por otra
Normalmente,
se
infectan
varias
máquinas
dispersadas geográficamente (máquinas zombies) y se
lanza el ataque desde todas ellas, muy difícil de
interceptar
Técnico en Seguridad de Redes y Sistemas
En el ataque DoS tradicional, una máquina lanza el
ataque a otra; en el ataque DDoS (Distributed Denial
of Service -Denegación de Servicio Distribuida-) es un
conjunto de máquinas distribuidas las que apuntan a
un mismo objetivo
24
TIPOS DE ATAQUES EN TCP/IP
Métodos de ataque DoS
Dirigidos a consumo de ancho de banda:
Dirigidos a atacar la conectividad:
Inundación SYN (SYN Flood)
Técnico en Seguridad de Redes y Sistemas
Inundación ICMP (ICMP Flood)
Smurf
Inundación UDP (UDP Flood)
Fraggle
25
TIPOS DE ATAQUES EN TCP/IP
ICMP Flood
Una manera de realizar este ataque es mediante
botnets. Si conseguimos instalar un ping flooder en
multitud de máquinas y ejecutamos el ping flood
desde todas esas máquinas de manera simultánea
hacia un servidor, probablemente se colapsará y se
producirá la denegación del servicio
Técnico en Seguridad de Redes y Sistemas
Inundación ICMP, Ping Flood o ICMP Flood es un
ataque, por lo general DDoS, que trata de saturar la
red con un gran número de paquetes ICMP
26
TIPOS DE ATAQUES EN TCP/IP
Smurf (1/3)
Se basa en el uso de servidores de difusión para poder
analizar una red entera
Técnico en Seguridad de Redes y Sistemas
Versión de ICMP Flood que utiliza también la
inundación por ping, pero se envía a toda la red, es
decir, el efecto que tiene el ataque está amplificado
27
TIPOS DE ATAQUES EN TCP/IP
Smurf (2/3)
Pasos del ataque:
2.
3.
4.
El atacante envía una solicitud echo request mediante un
ping a uno o varios servidores de difusión falsificando la
dirección IP origen por el de la víctima
El servidor lo envía al resto de la red
Las máquinas de la red responden al servidor
El servidor de difusión envía la respuesta al equipo
destino
Técnico en Seguridad de Redes y Sistemas
1.
28
TIPOS DE ATAQUES EN TCP/IP
Smurf (3/3)
Técnico en Seguridad de Redes y Sistemas
29
TIPOS DE ATAQUES EN TCP/IP
UDP Flood
Fraggle
Ataque similar al Smurf, pero haciendo uso de
paquetes UDP en lugar de ICMP
Técnico en Seguridad de Redes y Sistemas
Este ataque consiste en generar grandes cantidades
de paquetes UDP contra la víctima elegida
30
TIPOS DE ATAQUES EN TCP/IP
SYN Flood (1/2)
Técnico en Seguridad de Redes y Sistemas
Ataque DoS que consiste en saturar el tráfico de red
aprovechando el mecanismo de negociación Threeway handshake que realiza el protocolo TCP al iniciar
una conexión
31
TIPOS DE ATAQUES EN TCP/IP
SYN Flood (2/2)
Técnico en Seguridad de Redes y Sistemas
Consiste en enviar a una máquina (normalmente un
servidor) muchas solicitudes SYN con una dirección
de usuario inexistente, lo que causa que la máquina
atacada se quede en espera del ACK que mandaría el
supuesto usuario
32
TÉCNICAS Y HERRAMIENTAS DE ATAQUE A
REDES TCP/IP
Técnico en Seguridad de Redes y Sistemas
Tipos de Ataques en TCP/IP
Técnicas para la Búsqueda de Objetivos de un Ataque
Mecanismos para Obtención de Información acerca de
Objetivos
Bibliografía y Recursos Web
33
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Obtención de información general (1/4)
Para buscar información tenemos una gran variedad
de herramientas, técnicas y destrezas
Entre los datos
encuentran:
que
necesitamos
Nombre del dominio
Dirección IP
Servicios disponibles (TCP y UDP)
conocer
se
Técnico en Seguridad de Redes y Sistemas
Cuando se quiere comprometer una máquina, lo
primero que es necesario hacer es analizar y estudiar
un objetivo
34
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Obtención de información general (2/4)
Una vez se dispone del dominio, se pueden utilizar
sitios web públicos para recabar más información,
como los grupos de noticias, los foros de Internet y los
canales de chat
Un administrador de sistemas podría preguntar cómo
se configura un determinado servicio en su nuevo
servidor 2008. En esta consulta el administrador
facilitaría, a todo el que la quisiera leer, información
sobre su máquina y sus datos de contacto
Técnico en Seguridad de Redes y Sistemas
La herramienta de las herramientas es, sin duda,
Internet
35
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Obtención de información general (3/4)
La organización de dominios para los usuarios se
realiza desde varios organismos
Cada país tiende a tener su propia web de gestión de
dominios para evitar que varias personas o empresas
registren el mismo dominio. Así, España tiene
www.nic.es, Portugal tiene www.nic.pt, etc. Para los
dominios .com está www.nic.com
Técnico en Seguridad de Redes y Sistemas
En Internet las cosas tienen que estar organizadas a
nivel global, ya que la “red de redes” funciona para
todo el planeta
36
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Obtención de información general (4/4)
Técnico en Seguridad de Redes y Sistemas
Existen también direcciones alternativas donde poder
encontrar información sobre los dominios a
investigar,
tales
como
www.allwhois.com
o
www.ripe.net
37
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Búsqueda de máquinas (1/2)
Teóricamente, sólo máquinas autorizadas pueden
solicitar y recibir estas transferencias, pues la
información que se facilita es bastante sensible
La información que se envía incluye unas tablas
donde figuran las máquinas cara a Internet de una
organización, a veces con sus sistemas operativos
Técnico en Seguridad de Redes y Sistemas
Por razones de seguridad, las transferencias DNS
replican la información de un servidor DNS a otro
servidor DNS conocido como secundario
38
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Búsqueda de máquinas (2/2)
Técnico en Seguridad de Redes y Sistemas
El solicitar una transferencia de zona a un servidor
DNS y obtener las tablas mencionadas obedece a un
error de configuración en los propios servidores DNS
39
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Técnicas de rastreo (1/3)
Cuando una máquina quiere ofrecer un servicio abre
un puerto y espera a que se realicen peticiones sobre
el mismo. Las máquinas que quieren disfrutar de ese
servicio realizan peticiones sobre ese puerto
Técnico en Seguridad de Redes y Sistemas
Los puertos son las puertas y ventanas de acceso a un
dispositivo, es decir, los puntos donde se realiza la
conexión de red que brindan un servicio en un
dispositivo
40
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Técnicas de rastreo (2/3)
Todas las comunicaciones realizadas entre diferentes
dispositivos conectados en la red se basan en un
protocolo elegido
El escaneo de puertos es una de las técnicas más
ruidosas, pues genera un aumento del tráfico en la
red
Técnico en Seguridad de Redes y Sistemas
Varias máquinas pueden conectarse al tiempo a un
único puerto, pero las acciones de lectura/escritura
sólo se pueden realizar de una en una
41
TÉCNICAS PARA LA BÚSQUEDA DE
OBJETIVOS DE UN ATAQUE
Técnicas de rastreo (3/3)
Técnico en Seguridad de Redes y Sistemas
El escaneador de puertos tratará de detectar cuáles
son los puertos abiertos, lo que es fácilmente
detectable por cualquier cortafuegos o detector de
intrusos, lo que nos dejará absolutamente al
descubierto, ya que nuestra propia IP es transmitida
en el proceso
42
TÉCNICAS Y HERRAMIENTAS DE ATAQUE A
REDES TCP/IP
Técnico en Seguridad de Redes y Sistemas
Tipos de Ataques en TCP/IP
Técnicas para la Búsqueda de Objetivos de un Ataque
Mecanismos para Obtención de Información acerca de
Objetivos
Bibliografía y Recursos Web
43
MECANISMOS PARA OBTENCIÓN DE
INFORMACIÓN ACERCA DE OBJETIVOS
Averiguación de nombres de usuario
Herramientas disponibles (en sistemas
pueden ser: finger, who, rwho, rusers
UNIX)
Técnico en Seguridad de Redes y Sistemas
Existen herramientas para averiguar los nombres de
usuario de un equipo en concreto o de los equipos
conectados a una red
44
MECANISMOS PARA OBTENCIÓN DE
INFORMACIÓN ACERCA DE OBJETIVOS
Ingeniería social
Consiste en obtener información secreta de una
persona u organismo para utilizarla posteriormente
con fines maliciosos
Los ingenieros sociales utilizan el correo electrónico,
páginas web falsas, el correo ordinario o el teléfono
para llevar a cabo sus planes
Ejemplos importantes:
Phishing
Pharming
Técnico en Seguridad de Redes y Sistemas
Ataque que afecta al objetivo de la confidencialidad
de la seguridad informática
45
TÉCNICAS Y HERRAMIENTAS DE ATAQUE A
REDES TCP/IP
Técnico en Seguridad de Redes y Sistemas
Tipos de Ataques en TCP/IP
Técnicas para la Búsqueda de Objetivos de un Ataque
Mecanismos para Obtención de Información acerca de
Objetivos
Bibliografía y Recursos Web
46
BIBLIOGRAFÍA Y RECURSOS WEB
Jimeno García, M.T.; Míguez Pérez, C.; Heredia
Soler, E.; Caballero Velasco, M.A.: “Destripa la
Red. Edición 2011”. ANAYA MULTIMEDIA.
2011
Técnico en Seguridad de Redes y Sistemas
García-Moran, J.P.; Fernández Hansen, Y.;
Martínez Sánchez, R.; Ochoa Martín, Ángel;
Ramos Varón, A.A.: “Hacking y Seguridad en
Internet. Edición 2011”. Ra-Ma. 2011
47
Documentos relacionados
Un ataque fascista con líquido inflamable produce destrozos
Un ataque fascista con líquido inflamable produce destrozos
OBJETIVO. Identificar los posibles ataques a los cuales se
OBJETIVO. Identificar los posibles ataques a los cuales se
Descargar
Anuncio
Anuncio