Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Eliezer Paniagua

dos

Anuncio 
Dos
MS-DOS es un sistema operativo sin interfaz gráfica que confiaba puramente en una interfaz de
línea de comandos para funcionar, con un total de 109 comandos con los que movernos por el
sistema y utilizar sus capacidades, que en la mayoría de casos pasaban por ejecutar otras
aplicaciones que residían en un disquete, pero que en ocasiones podía extenderse entre dos o
más de estos medios.
MS-DOS se compuso de un amplio rango de versiones, donde la última versión distribuida por
separado fue la MS-DOS 6.22, pero no la última formalmente, pues el desarrollo de MS-DOS
siguió adelante para que MS-DOS 7.0 llegase distribuido junto a Windows 95, MS-DOS 7.1 junto
a Windows 95 OSR2, Windows 98 y Windows 98SE, y finalmente la última versión oficial, MSDOS 8.0, que llegó integrada en Windows ME, algo que hizo sin separación entre sistemas,
pero que posteriores actualizaciones del sistema solucionaron.
Ventajas de MS-DOS:
Una ventaja del MS-DOS, es que fue capaz de ir actualizándose cada año desde su aparición,
cada vez con mejoras en su rendimiento funcional ya que se pudo ir incorporando nuevos
programas y archivos según sus actualizaciones.
Otra de sus ventajas es que fue capaz de soportar a otros sistemas operativos como es el caso
de windows sin perder ninguna de sus cualidades como sistema operativo.
Capas de actualizarse: con mejoras en su rendimiento funcional, incorporando nuevos
programas y archivos según sus aplicaciones.
Capas de soportar: otros sistemas operativos sin perder ninguna cualidad como sistema
operativo.
Desventajas de MS-DOS:
Las desventajas del MS-DOS quedan en evidencia al intentar realizar más de una tarea al
mismo tiempo, debido a que este sistema operativo es monotarea.
Otra desventaja es que solo lo puede ocupar un usuario a la vez debido a que es un sistema
MONOUSUARIO.
No tenia un interface amigable, es decir, no contaba con ventanas, colores, etc, que hicieran
más grato el trabajo o la comunicación entre el computador y el usuario.
Monotarea: No se pueden realizar mas de una cosa a la vez. Esto provocaría lentitud o
simplemente ninguno de los programas trabajaría.
Monousuario: Solo puede ser utilizado por un usuario.
Interfaz: La forma de visualización no era muy agradable, debió a que no contaba con ventanas,
colores agrables, que hicieran mas grato el utilizarlo.
¿Para qué sirve MS-DOS?
Este sistema nos puede ser útil en equipos antiguos que no cuenten con potencia suficiente
para ejecutar un sistema operativo que no depende de MS-DOS, o bien para ejecutar tanto
juegos antiguos como gestores de ventanas como lo eran Windows 1.0, 2.0 o 3.1.
En su época, MS-DOS tenía la misma utilidad que a día de hoy tiene Windows 10, y es que
excepto en contadas ocasiones, hace falta un sistema operativo para ejecutar cualquier
programa que necesitemos, por lo que en su época, era necesario contar con MS-DOS para
ejecutar los programas que necesitaríamos para pasar nuestro día, ya fuese de
entretenimiento –generalmente con juegos—o con programas de productividad para nuestro
trabajo, pues a pesar de no contarse con una interfaz gráfica, el teclado era más que suficiente
para realizar un uso productivo del sistema.
A día de hoy, la consola de comandos de Windows es lo que ha quedado de la época de MSDOS, y desde ella podemos aún realizar determinadas gestiones, que si bien no son
precisamente extensas, sí que pueden ser llamativamente más rápidas que hacerlo a través de
la interfaz gráfica que precisamente sustituye a éstos comandos.
Características
Se caracterizaba por ser muy sencilla y en la cual había que introducir códigos alfanuméricos
que se debían memorizar, no obstante, la aparición de Windows como sistema operativo
reemplazó al DOS y este se empezó a utilizar en segundo plano.
Este sistema no es multitarea, ni multiusuario ya que no puede trabajar con más de un usuario,
ni con más de un proceso a la vez. Lo que para los programadores de hoy en día y los expertos
en este tema no es de utilidad.
En la actualidad existen varias versiones de DOS:
FreeDos: el más reciente y el cual posee licencia libre.
PC-DOS: propia de IBM.
MS-DOS: pertenece a Microsoft y es el más conocido.
Apple DOS: desarrollado por Apple.
Por su parte en la versión XP, el DOS tiene un papel secundario y es relegado a un segundo
plano, no obstante, en algunas versiones aún se utiliza el MS-DOS para ejecutar alguna interfaz
del dispositivo.
Entre los principales comandos del MS-DOS se pueden mencionar:
DATE: el cual permite cambiar la fecha.
TIME: cambia la hora.
COPY: copiar archivos
HELP: ofrece ayuda sobre los distintos comandos
ERASE: borrar archivo
CLS: limpia la pantalla
DIR: muestra los archivos que están en el directorio
RENAME: renombrar archivos.
MD: crear un nuevo directorio
EDIT: edita archivos.
Muchas veces escuchamos sobre ataques DOS, que traducido literalmente del inglés significa
ataque de denegación de servicio. Ahora bien, hay muchos que conocen y han sufrido estos
ataques en el pasado, pero muchos que recién comienzan en el mundo del hosting pueden
desconocer este tema. Por eso hoy abordaremos un breve artículo para explicar en términos
simples y prácticos… qué es un ataque DOS.
¿Qué es un ataque DOS?
Un ataque DOS (del inglés, Denial Of Service) es un ataque a un sistema o red que tiene como
finalidad la denegación del servicio, es decir, que el sistema o red no pueda servir
normalmente las peticiones a usuarios legítimos. En un DOS se genera una enorme cantidad
de peticiones desde un host en particular, lo cual satura los servicios que corren de cara al
servidor y generalmente provoca la pérdida de conectividad de la red por un alto consumo de
ancho de banda, o una sobrecarga por un alto número de paquetes por segundo (ppts)
Tipos de ataque DOS
Los ataques DOS se puede dar de muchas formas, pero todas tienen un punto en común, y es
la utilización del protocolo TCP/IP para lograr que el ataque sea efectivo. Si bien existen
muchísimas formas, estas características son compartidas por la mayoría de los ataques:
Consumo de recursos de sistema, como ancho de banda, ram o cpu.
Alteración de información de configuración, como puede ser el routeo de la información.
Alteraciónes de estado, tales como interrupción de sesiones TCP (TCP reset).
Interrupción de componentes físicos de red.
Interrupción de los medios que enlazan un servicio y la víctima, de manera que ya no pueda
haber comunicación.
Se da cuando el ataque alcanza el límite máximo de conexiones simultáneas que un servicio de
internet puede soportar, una vez se llega a ese límite ya no se admiten conexiones nuevas. Por
lo tanto, se genera una denegación del servicio en ese momento, las conexiones se establecen
pero no hacen peticiones y es una forma de colmar la capacidad del servidor. Este tipo de
ataques, más si vienen desde un solo host, son fácilmente identificables.
Ataque SYN Flood
Un ataque SYN flood es una forma de DOS que involucra al atacante enviando sucesivas
peticiones de tipo SYN. Normalmente cuando un cliente intenta establecer una conexión TCP a
un servidor, el cliente y el servidor intercambian una serie de mensaje, que normalmente se
podrían resumir de esta manera:
El cliente hace una petición de la conexión enviando un mensaje SYN al servidor.
El servidor acepta esta petición enviando un mensaje SYN-ACK hacia el cliente.
El cliente responde nuevamente con un ACK, y finalmente se establece la conexión.
Esto sería el comportamiento normal para establecer una conexión TCP, sin embargo, en el
caso del SYN Flood, el ataque funciona no respondiendo de la manera que se espera, en su
lugar el atacante puede elegir entre no enviar el código ACK por defecto o hacer un spoof a la
dirección IP en el mensaje SYN, causando así que el server envíe mensajes SYN-ACK a una IP
falsa, que no devolverá nunca el ACK por que sabe que nunca envió el SYN.
Es uno de los ataques más frecuentes, el concepto es simple, enviar más paquetes de las que el
buffer del servicio puede soportar, y por lógica llegando al límite del mismo, ocasionando así
que el servidor no pueda responder a nuevas peticiones. De esta manera se satura el buffer y
se impide que las conexiones legítimas puedan ser servidas correctamente por el servidor.
Podemos concluir que el Sistema Operativo en Disco actualmente no es utilizada por las nuevas
actualizaciones de los sistemas operativos actuales, como por ejemplo la más actual que es
Windows.
DDOS
Que es DDOS
Es un atasco de tráfico inesperado causado por cientos de solicitudes de transporte
compartido falsas. Las solicitudes parecen ser legítimas para los servicios de transporte
compartido, así que envían a conductores al lugar de recogida, lo que inevitablemente
obstruye las calles de la ciudad. Esto evita que el tráfico legítimo regular llegue a su destino.
Qué es un ataque de DDoS
Los ataques de DDoS también conocidas como ataques de red distribuidos son un tipo de
ataque que aprovecha los límites de capacidad específicos de una red. Por ejemplo la
capacidad de la infraestructura que habilita el sitio web de la empresa. El ciberataque consiste
en enviar múltiples solicitudes al recurso web a la vez, lo cual provoca que llegue a su máxima
capacidad y desborde. Una vez atacada la web deja de funcionar correctamente y se crea una
brecha de seguridad.
Cómo funciona
Los recursos de red como los servidores tienen un límite de solicitudes que pueden llegar al
mismo tiempo. Cuando las cantidades de solicitudes sobrepasan los límites de cualquiera de
las infraestructuras, el servicio puede verse afectado de las siguientes maneras:
Las respuestas de las solicitudes se volverán mucho más lentas de lo normal, dejando el
servidor o web casi inaccesible.
El servidor probablemente rechazará todas las solicitudes de los usuarios.
Un ataque cibernético de DDoS puede dejar inutilizada una página web o un servidor durante
horas o incluso días, provocando pérdidas monetarias y de archivos importantes.
Un caso muy popular es el caso de Andorra Telecom, en el que un ataque de DDoS a sus
servidores principales dejó incomunicado al país durante horas.
Significado de ataque DDoS
Un ataque DDoS, o ataque distribuido de denegación de servicio, es un tipo de ciberataque
que intenta hacer que un sitio web o recurso de red no esté disponible colapsándolo con
tráfico malintencionado para que no pueda funcionar correctamente.
Durante un ataque DDoS, los atacantes utilizan una gran cantidad de equipos infectados y
dispositivos conectados a través de Internet, incluidos dispositivos del Internet de las cosas
(IoT), smartphones, ordenadores personales y servidores de red, para enviar una gran cantidad
de tráfico a sus objetivos.
El objetivo del ataque DDoS es desestabilizar e interrumpir el funcionamiento normal de
plataformas, páginas web o servidores. Esto compromete directamente la ciberseguridad del
proveedor de servicios (es decir, la empresa que posee el servidor web), ya que en algunos
casos permite a los hackers tomar el control de computadoras u otros dispositivos de forma
remota.
Generalmente los ataques DDoS son realizados por ciberdelincuentes con fines
malintencionados. Los blancos más usuales son sitios de compras online y sitios que ofrecen
servicios online (entre ellos, redes sociales como WhatsApp o servicios de entretenimiento
como Netflix), pero cualquier empresa que tenga un servidor o página web puede sufrir este
tipo de ataque.
Estos ataques no solo son utilizados para sabotear servidores. En una compañía, el
administrador de los servidores de la empresa puede probar la capacidad de tráfico de sus
equipos realizando un ataque DDoS y con ello determinar el punto en que empeoran su
funcionamiento o colapsan.
¿Cómo identificar un ataque?
Un ataque de denegación de servicio distribuido puede ser percibido de manera distinta,
dependiendo del tamaño y giro de la empresa.. Si su empresa o startup es víctima de un
ataque de este tipo, notará un incremento en gran escala del tráfico de internet entrante de
múltiples direcciones IP antes de que sus sistemas colapsen. Adicionalmente, este tráfico se
caracteriza por usuarios con dispositivos, localización geográfica o versión de navegador web
totalmente distintos.
Como usuario o cliente, al visitar páginas o aplicaciones web, es posible sospechar que está
sufriendo un ataque DDoS si notamos que tarda mucho en cargar o simplemente muestra el
error 503.
Herramientas que ciberdelincuentes suelen utilizar para atacar la capa de aplicaciones, por lo
que las solicitudes con características sospechosas son filtradas. Una de sus principales
ventajas es que las especificaciones pueden personalizarse y perfeccionarse cada vez que sea
necesario.
-Internet, filtrando el tráfico según una serie de especificaciones.
Estas especificaciones o normas permiten identificar las herramientas que ciberdelincuentes
suelen utilizar para atacar la capa de aplicaciones, por lo que las solicitudes con características
sospechosas son filtradas. Una de sus principales ventajas es que las especificaciones pueden
personalizarse y perfeccionarse cada vez que sea necesario.
-Tipos de ataques DDoS
Una conexión de red a Internet está compuesta por varios elementos o capas, descritas en el
Modelo OSI (Open Systems Interconnection Model por sus siglas en inglés), que actúa como un
modelo universal de la comunicación entre redes y sistemas informáticos con siete capas
distribuidas verticalmente. Según la capa que afectan, podemos clasificar a los ataques DDoS
en tres tipos principales: los ataques volumétricos, los ataques de protocolo y los ataques a la
capa de aplicación.
-Ataques volumétricos
Este tipo de ataque busca saturar los recursos del servidor de la víctima enviando una gran
cantidad de datos mediante alguna técnica de creación de tráfico masivo, como lo hace una red
de bots. Esto puede implicar, por ejemplo, que los clientes de una tienda no puedan realizar
una compra en línea, o que un paciente no logre acceder a su historia médica.
Según la metodología usada por el ciberdelincuente, los ataques volumétricos pueden ser de
inundación UDP, de inundación ICMP o de reflexión o amplificación de DNS.
-Inundación UDP
La inundación de protocolo de datagramas de usuario (UDP por sus siglas en inglés) es un
ataque de capa de transporte que busca sobrecargar un puerto con gran ancho de banda
enviando solicitudes vacías, de manera que cuando la víctima intenta responderlas obtiene un
mensaje de «Destino inalcanzable». Con suficientes solicitudes, el sistema deja de estar
disponible para otros usuarios.
Inundación ICMP
El protocolo de control de mensajes de Internet (ICMP) utiliza dispositivos para diagnosticar
errores en la comunicación con la red. Este método de ataque de capa de red sobrecarga la red
de la víctima con mensajes ICMP a la víctima, cuyos sistemas se ven obligados a responder
cada mensaje, haciendo que su servicio sea extremadamente lento.
Reflejo/amplificación de DNS
En este caso, los ciberdelincuentes utilizan una dirección IP falsificada (que es la dirección IP de
la víctima) para enviar una cantidad excesiva de solicitudes a servidores DNS abiertos. Cuando
los servidores DNS generan las respuestas, estas son enviadas a la víctima, sobrecargando sus
redes.
Logo Delta Protect
Ataques DDoS: Qué son, cómo identificarlos y cómo prevenirlos
Aprende qué son los ataques DDoS, qué características te permiten identificar si estás siendo
un víctima y cómo puedes evitar que afecten a tu empresa.
En la actualidad, muchas pymes y startups se valen del uso de sitios web para llevar a cabo
operaciones comerciales, para crear foros de interacción o simplemente para publicar
información sobre sí mismas. Por ello, las páginas y aplicaciones web son activos de gran
importancia para las empresas, lo cual las hace blancos para hackers malintencionados.
Entre los ataques que usualmente afectan a los servicios online se encuentran los ataques
DDoS. A continuación, te explicaremos qué son, cómo identificarlos y cómo mitigarlos.
¿Qué es un ataque DDoS?
Un ataque de denegación de servicio distribuido o distributed denial of service (DDoS) es un
tipo de ciberataque en el cual se busca aumentar, de forma desproporcionada, el volumen de
tráfico o cantidad de solicitudes a un sitio web o servidor.
Para comprender cómo funcionan los ataques de denegación de servicio distribuido es
necesario considerar que todos los servidores, sitios web y aplicaciones tienen una cantidad
limitada de solicitudes que pueden manejar a la vez. Adicionalmente, la conexión a Internet
tiene un límite en la cantidad de datos que puede transmitir en un momento dado, a lo que
llamamos ancho de banda.
Por ello, para llevar a cabo este tipo de ataque, los cibercriminales primero crean una botnet
infectando una red de dispositivos para que lancen solicitudes a un servidor de manera masiva
y sincronizada. Así, una persona puede enviar suficientes solicitudes para hacer que colapse un
servidor y que su servicio se haga considerablemente más lento o que simplemente sea
incapaz de dar respuesta.
El objetivo del ataque DDoS es desestabilizar e interrumpir el funcionamiento normal de
plataformas, páginas web o servidores. Esto compromete directamente la ciberseguridad del
proveedor de servicios (es decir, la empresa que posee el servidor web), ya que en algunos
casos permite a los hackers tomar el control de computadoras u otros dispositivos de forma
remota.
Generalmente los ataques DDoS son realizados por ciberdelincuentes con fines
malintencionados. Los blancos más usuales son sitios de compras online y sitios que ofrecen
servicios online (entre ellos, redes sociales como WhatsApp o servicios de entretenimiento
como Netflix), pero cualquier empresa que tenga un servidor o página web puede sufrir este
tipo de ataque.
Sin embargo, estos ataques no solo son utilizados para sabotear servidores. En una compañía,
el administrador de los servidores de la empresa puede probar la capacidad de tráfico de sus
equipos realizando un ataque DDoS y con ello determinar el punto en que empeoran su
funcionamiento o colapsan.
¿Cómo identificar un ataque DDoS?
Un ataque de denegación de servicio distribuido puede ser percibido de manera distinta,
dependiendo del tamaño y giro de la empresa.. Si su empresa o startup es víctima de un
ataque de este tipo, notará un incremento en gran escala del tráfico de internet entrante de
múltiples direcciones IP antes de que sus sistemas colapsen. Adicionalmente, este tráfico se
caracteriza por usuarios con dispositivos, localización geográfica o versión de navegador web
totalmente distintos.
Como usuario o cliente, al visitar páginas o aplicaciones web, es posible sospechar que está
sufriendo un ataque DDoS si notamos que tarda mucho en cargar o simplemente muestra el
error 503.
Tipos de ataques DDoS
Una conexión de red a Internet está compuesta por varios elementos o capas, descritas en el
Modelo OSI (Open Systems Interconnection Model por sus siglas en inglés), que actúa como un
modelo universal de la comunicación entre redes y sistemas informáticos con siete capas
distribuidas verticalmente. Según la capa que afectan, podemos clasificar a los ataques DDoS
en tres tipos principales: los ataques volumétricos, los ataques de protocolo y los ataques a la
capa de aplicación.
-Ataques volumétricos
Este tipo de ataque busca saturar los recursos del servidor de la víctima enviando una gran
cantidad de datos mediante alguna técnica de creación de tráfico masivo, como lo hace una red
de bots. Esto puede implicar, por ejemplo, que los clientes de una tienda no puedan realizar
una compra en línea, o que un paciente no logre acceder a su historia médica.
Según la metodología usada por el ciberdelincuente, los ataques volumétricos pueden ser de
inundación UDP, de inundación ICMP o de reflexión o amplificación de DNS.
-Inundación UDP
La inundación de protocolo de datagramas de usuario (UDP por sus siglas en inglés) es un
ataque de capa de transporte que busca sobrecargar un puerto con gran ancho de banda
enviando solicitudes vacías, de manera que cuando la víctima intenta responderlas obtiene un
mensaje de «Destino inalcanzable». Con suficientes solicitudes, el sistema deja de estar
disponible para otros usuarios.
-Inundación ICMP
El protocolo de control de mensajes de Internet (ICMP) utiliza dispositivos para diagnosticar
errores en la comunicación con la red. Este método de ataque de capa de red sobrecarga la red
de la víctima con mensajes ICMP a la víctima, cuyos sistemas se ven obligados a responder
cada mensaje, haciendo que su servicio sea extremadamente lento.
-Reflejo/amplificación de DNS
En este caso, los ciberdelincuentes utilizan una dirección IP falsificada (que es la dirección IP de
la víctima) para enviar una cantidad excesiva de solicitudes a servidores DNS abiertos. Cuando
los servidores DNS generan las respuestas, estas son enviadas a la víctima, sobrecargando sus
redes.
-Ataques de protocolo
Los ataques de protocolo utilizan solicitudes de conexión maliciosas para agotar los recursos de
red y transporte (capas 3 y 4), incluyendo firewalls, servidores y equilibradores de carga. De
esta manera, vulneran la seguridad informática de estas capas y evitan que la víctima pueda
recibir solicitudes genuinas.
-La inundación SYN y los ataques Smurf son los tipos más utilizados de ataques de protocolo.
-Ataque de inundación SYN
Para conectarse a las aplicaciones de Internet, se activa el protocolo de control de transmisión
(TCP) que requiere tres pasos para funcionar: cuando un usuario intenta conectarse al servidor
web, primero se envía una paquete SYN, luego debe enviarse un paquete SYN-ACK que
confirma la sincronización y, por último, se recibe un mensaje ACK para completar el protocolo
y lograr la conexión.
Los ataques de inundación SYN se basan en enviar una gran cantidad de paquetes SYN a un
servidor, sin enviar el paquete de confirmación. Al hacer esto, el servidor se queda esperando
la respuesta de las conexiones TCP hasta que es incapaz de aceptar nuevas conexiones.
-Ataque Smurf
En este tipo de ataque se envían múltiples paquetes ICMP con una IP de origen falsificada a
una red de computadoras que, de forma automática, envían una respuesta a la misma
dirección IP, que resulta ser de la víctima. Cada dispositivo de la red envía una respuesta, por lo
que mientras más equipos posea, más lento será el tráfico de la víctima.
El nombre de este ataque fue tomado de The Smurfs, el nombre en inglés de Los Pitufos, pues
se trata de seres pequeños que, en conjunto, pueden paralizar un objetivo más grande que
ellos.
-Ataques a la capa de aplicación
Estos ataques van dirigidos a la capa 7 de OSI o capa de aplicación, la región del servidor donde
se generan las páginas y aplicaciones web por solicitudes HTTP. En el extremo del cliente es una
solicitud sencilla, pero en el extremo del servidor la respuesta puede ser obstaculizada o
retrasada si se están procesando múltiples solicitudes a la vez. Por ello, el objetivo de un
ataque DDoS a la capa de aplicación es enviar gran cantidad de solicitudes al servidor para
agotar sus recursos.
Debido a la forma en que se llevan a cabo, también se llaman ataques de inundación HTTP. Se
trata de ataques fáciles de llevar a cabo, pero difíciles de prevenir y controlar, pues es
complicado diferenciar una solicitud malintencionada de una genuina.
-Prevención de ataque DDoS:
No es sencillo detener o evitar un ataque DDoS, pero tampoco es imposible hacerlo. Para
mitigar estos ataques y tener un nivel aceptable de protección DDoS, lo ideal es abordar el
problema desde múltiples perspectivas, tratando de corregir todas las vulnerabilidades que los
facilitan. Por eso, a continuación te dejamos siete consejos para evitar estos ataques:
-Disminuir el área vulnerable a ciberataques
La mayoría de los ataques DDoS tienen éxito en sistemas desactualizados y con pobres o nulas
medidas de ciberseguridad en general. Cuando hablamos de disminuir el área vulnerable, nos
referimos a tomar todas las medidas de ciberseguridad general necesarias. Esto incluye
mantener todo el software actualizado y eliminar cualquier herramienta o servicio que no sea
esencial para la continuidad del negocio.
Así mismo, utilizar productos para simplificar y automatizar la ciberseguridad de tu empresa,
como Apolo, puede darle ventaja sobre sus competidores en materia de mantenimiento del
servicio y capacidad de respuesta a incidentes.
-Establecer cómo es el tráfico normal en el servidor
Si conoces tu plataforma y tu alcance, puedes establecer cómo es el tráfico usual de tu
servidor. Esto te permitirá identificar cuándo el tráfico no sigue un comportamiento normal
que probablemente pueda tratarse de un ataque DDoS.
Por supuesto, no hay una fórmula maestra. Si lanzas un producto nuevo o una nueva versión de
un servicio que has estado promocionando, podrías tener más tráfico de lo normal sin que se
trate de un ciberataque. Sin embargo, es recomendable que estés alerta especialmente en
momentos en que el tráfico aumenta de forma inexplicable.
-Utilizar firewalls para contrarrestar ataques sofisticados
Existen firewalls especialmente diseñados para proteger la capa de aplicaciones de ataques
DDoS. Los firewalls de aplicaciones web (WAF por sus siglas en inglés) funcionan como un
proxy inverso entre el servidor de origen y el Internet, filtrando el tráfico según una serie de
especificaciones.
Estas especificaciones o normas permiten identificar las herramientas que ciberdelincuentes
suelen utilizar para atacar la capa de aplicaciones, por lo que las solicitudes con características
sospechosas son filtradas. Una de sus principales ventajas es que las especificaciones pueden
personalizarse y perfeccionarse cada vez que sea necesario.
-Aplicar limitación de solicitudes
Poner un límite a la cantidad de solicitudes que puede procesar un servidor en un periodo de
tiempo es una estrategia eficaz de mitigación de ataques DDoS, pero probablemente no sea
suficiente para detener el ataque por sí sola. Debe utilizarse en conjunto con otras para
complementarse y aumentar su efectividad.
-Utilizar programas de mitigación de DDoS
Los programas de mitigación o protección DDoS bloquean el paso de tráfico malicioso,
evitando que alcance los sistemas o recursos de la víctima, a la vez que permiten que el tráfico
auténtico continúe con normalidad. Esto puede lograrse de distintas maneras, que incluyen el
uso de servicios de DNS basados en la nube, servicios de barrido o servicios de CDN.
Este tipo de programas limita efectivamente el impacto del ataque, reduciendo el tiempo de
inactividad y permitiendo que la víctima desarrolle sus operaciones online de manera habitual.
-Implementar una CDN
El uso de una red de distribución de contenido (CDN por sus siglas en inglés), que se sitúa
delante de los sistemas del cliente, acelera el tráfico usando protocolos HTTP y HTTPS y detiene
los ataques dirigidos a un sitio web justo antes de pasar a los juegossistemas protegidos. Esto
evita los ataques que afectan a las capas 3 y 4 del modelo OSI.
Se trata de una herramienta que funciona de manera casi automática, por lo que no requiere
intervención del personal de la empresa. Una de las mejores opciones es el CDN de Cloudflare.
Sin embargo, como sólo protege las capas de red y transporte, es ideal complementar su uso
con un firewall de aplicaciones web que proteja la capa 7.
-Implementar balanceadores de carga para distribuir el tráfico
Una de las estrategias más efectivas para contrarrestar un ataque de denegación de servicio
distribuido es clonar la infraestructura en más de un servidor y utilizar un balanceador de carga
para distribuir las solicitudes entre los servidores de manera proporcional a la carga de trabajo
que haya en un momento determinado.
Al tener múltiples servidores activos y con capacidad de dar respuesta, disminuye la
probabilidad de que se sobrecarguen y, por ende, se mantiene el servicio sin interrupciones
para los usuarios.
Kiting de nombre de Dominio
Kiting o Kiting de Dominio se refiere a la práctica de registrar y cancelar repetidamente el
mismo nombre de dominio una y otra vez. Esto permite a un individuo de Domain Kiting
explotar los días del período de prueba/regalo sin cargo o recargo y «poseer» el nombre de
dominio de forma gratuita si el proveedor tiene esta opción.
El kiting de dominios es la práctica de registrar repetidamente un nombre de dominio y luego
dejarlo expirar, para aprovechar el período de gracia que los registradores ofrecen entre el
momento en que un dominio expira y cuando está disponible para volver a registrarlo.
El kiting de dominios puede utilizarse para evitar que un nombre de dominio sea registrado por
otra persona, o para generar ingresos volviendo a registrar el nombre de dominio y
vendiéndolo posteriormente.
Seguridad
El secuestro de nombres de dominio y de sistemas de nombres de dominio (DNS) es grave y
cada vez más frecuente y puede costarle dinero y pérdida de reputación. El secuestro de
dominio permite a terceros redirigir a los visitantes del sitio web de su empresa hacia sitios
falsos con ánimo de robar credenciales de acceso e información confidencial. Los
secuestradores de DNS también pueden recabar información a partir de los correos
electrónicos de la empresa para lanzar sofisticados ataques de suplantación de identidad
contra clientes y túempleados utilizando los propios dominios de la empresa. De este modo, el
ataque parece legítimo. Ello no solo constituye un riesgo grave para la información, sino una
pesadilla para la privacidad, especialmente a la luz de políticas de privacidad gubernamentales
más estrictas como el Reglamento General de Protección de Datos (RGPD).
LOS CIBERDELINCUENTES PONEN EN PELIGRO NOMBRES DE DOMINIO Y DNS
El secuestro de nombres de dominio y de sistemas de nombres de dominio (DNS) es grave y
cada vez más frecuente y puede costarle dinero y pérdida de reputación. El secuestro de
dominio permite a terceros redirigir a los visitantes del sitio web de su empresa hacia sitios
falsos con ánimo de robar credenciales de acceso e información confidencial. Los
secuestradores de DNS también pueden recabar información a partir de los correos
electrónicos de la empresa para lanzar sofisticados ataques de suplantación de identidad
contra clientes y empleados utilizando los propios dominios de la empresa. De este modo, el
ataque parece legítimo. Ello no solo constituye un riesgo grave para la información, sino una
pesadilla para la privacidad, especialmente a la luz de políticas de privacidad gubernamentales
más estrictas como el Reglamento General de Protección de Datos (RGPD).
¿CÓMO ATACAN LOS CIBERDELINCUENTES A LOS DNS?
A nivel básico, el DNS hace las veces de agenda de direcciones de internet. Es responsable de
traducir los nombres de dominio introducidos por su correspondiente dirección IP (una cadena
única de dígitos) que los navegadores web utilizan para identificar el enrutamiento del tráfico.
Este proceso, al igual que otros protocolos, no tiene mucha visibilidad, pero sostiene toda la
actividad del internet público. Por tanto, las actividades maliciosas para corromper o vulnerar
los DNS no solo constituyen una amenaza para usuarios y organizaciones, sino que pueden
comprometer la confianza general hacia la propia red de redes.
Sistema de gestión de nombres de dominio a nivel de registrador
Este método se aprovecha de las deficiencias en los controles de acceso y permisos de los
sistemas de gestión de dominios. Normalmente, el atacante obtiene el nombre de usuario y la
contraseña de un portal de registrador que no está protegido por autenticación de dos factores
o por validación IP. De este modo puede acceder y modificar los servidores de nombres de los
dominios accesibles de la cuenta, pudiendo tomar así el control de los contenidos.
TRES VECTORES DE ATAQUE PARA EL SECUESTRO DE DNS
-Sistema de gestión de nombres de dominio a nivel de registrador
Este método se aprovecha de las deficiencias en los controles de acceso y permisos de los
sistemas de gestión de dominios. Normalmente, el atacante obtiene el nombre de usuario y la
contraseña de un portal de registrador que no está protegido por autenticación de dos factores
o por validación IP. De este modo puede acceder y modificar los servidores de nombres de los
dominios accesibles de la cuenta, pudiendo tomar así el control de los contenidos.
-Registro de dominios del servidor de nombres
El propio registro puede verse en peligro. Es famoso el caso de un registro en Brasil en 2016, en
el que 36 dominios bancarios del país fueron redireccionados a sitios web falsos, reconstruidos
a la perfección, durante seis horas. Los sitios web fraudulentos disponían incluso de
certificados digitales válidos expedidos a nombre de la entidad bancaria, con lo que se
conseguía engañar a los clientes cuyos ordenadores quedaban infectados con un malware que
pasaba por una actualización de complementos de seguridad del navegador del banco.
-Los sistemas del proveedor de DNS
Este ataque se basa en una vulnerabilidad de los sistemas o procesos del registrador,
permitiendo así el acceso no autorizado al DNS por medio de credenciales
Envenenamiento DNS
Que es un envenenamiento DNS?
Es una situación creada de manera maliciosa o no deseada que provee datos de un servidor de
nombres de dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar
debido a diseños inapropiados de software, falta de configuración de nombres de servidores y
escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de
un sistema DNS.
Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena
temporalmente para futuros incrementos de desempeño, es considerado envenenado,
extendiendo el efecto de la situación a los clientes del servidor. También conocido como
envenenamiento de la caché DNS. Es un tipo de ataque de suplantación de identidad en el que
un hacker se hace pasar por otro dispositivo o usuario y éste disfraz le permite robar con
facilidad información valiosa. Es una técnica que manipula vulnerabilidades conocidas dentro
del sistema de nombres de dominio DNS.
Una vez que el ataque está en marcha, al desviarse la información al servidor ilegítimo, los
hackers obtienen acceso a un servidor DNS. De este modo pueden realizar el robo de
información en sistemas privados, instalar virus y malware o realizar el bloqueo de dispositivos.
Ataque al DNS
Un ataque se genera aprovechando las vulnerabilidades del servidor DNS para desviar el tráfico
de los sitios legítimos hacia los falsos.
Estas amenazas trabajan de forma engañosa, por ejemplo, se modifica la información para que
el servidor DNS le indique al usuario una búsqueda de un sitio web determinado con la
dirección incorrecta, el usuario visita un sitio que parece perfectamente normal, e incluso,
funciona con cierta normalidad; sin embargo, la víctima termina en sitio web malicioso.
Ataques de Envenenamiento de Caché
Normalmente, una computadora conectada a Internet utiliza un servidor DNS proporcionado
por el proveedor de servicios de Internet (ISP). Este DNS generalmente atiende solamente a los
propios clientes del ISP y contiene una pequeña cantidad de información sobre DNS
almacenada temporalmente por usuarios previos del servidor. Un ataque de envenenamiento
(poisoning attack) de un solo servidor DNS de un ISP puede afectar a los usuarios atendidos
directamente por el servidor comprometido o indirectamente por los servidores dependientes
del servidor.
Para realizar un ataque de envenenamiento de caché, el atacante explota una vulnerabilidad en
el software de DNS que puede hacer que este acepte información incorrecta. Si el servidor no
valida correctamente las respuestas DNS para asegurarse de que ellas provienen de una fuente
autoritativa, el servidor puede terminar almacenando localmente información incorrecta y
enviándola a los usuarios para que hagan la misma petición.
Esta técnica puede ser usada para reemplazar arbitrariamente contenido de una serie de
víctimas con contenido elegido por un atacante. Por ejemplo, un atacante envenena las
entradas DNS de direcciones IP para un sitio web objetivo, reemplazándolas con la dirección IP
de un servidor que él controla. Luego, el atacante crea entradas falsas para archivos en el
servidor que él controla con nombres que coinciden con los archivos del servidor objetivo.
Estos archivos pueden contener contenido malicioso, como un virus o un gusano. Un usuario
cuya computadora ha referenciado al servidor DNS envenenado puede ser engañado al creer
que el contenido proviene del servidor objetivo y sin saberlo descarga contenido.
Variante
En las siguientes variantes, las entradas del servidor ns.wikipedia.org pueden ser envenenadas
y redirigidas al servidor de nombres del atacante en la dirección w.x.y.z. Estos ataques asumen
que el servidor para wikipedia.org es ns.wikipedia.org.
Para conseguir éxito en el ataque, el atacante debe forzar que el servidor DNS objetivo haga
una petición hacia un dominio controlado por uno de los servidores de nombres del atacante.
Redirección al servidor de nombres del dominio objetivo
La primera variante del envenenamiento de caché de DNS involucra redirigir el nombre del
servidor del atacante del dominio hacia el servidor de nombres del dominio objetivo, luego se
asigna a dicho servidor de nombres una dirección IP especificada por el atacante.
Petición del servidor DNS: cuáles son los registros de direcciones para
subdominio.ejemplo.com?
Subdominio.ejemplo.com. IN A
Respuesta del atacante:
Answer:
(no response)
Authority section:
Example.com. 3600 IN NS ns.wikipedia.org
Additional section:
Ns.wikipedia.org. IN A w.x.y.z
Un servidor vulnerable puede almacenar en caché el registro A adicional (la dirección IP) para
ns.wikipedia.org, permitiendo al atacante resolver consultas para todo el dominio
wikipedia.org.
-Responder antes del servidor de nombres real
La tercera variante de envenenamiento de caché de DNS, que es denominada falsificación de
DNS (DNS Forgery) involucra hacer demorar la respuesta real hacia una consulta recursiva DNS
hacia el servidor DNS. Las consultas DNS contienen un número identificador (nonce) de 16 bits,
utilizado para identificar las respuestas asociadas a una respuesta dada. Si el atacante puede
predecir exitosamente el valor de dicho número identificador y devolver la respuesta primero,
el servidor aceptará la respuesta del atacante como válida. Si el servidor elige aleatoriamente
el puerto origen de respuesta, el ataque se volverá más dificultoso, dado que la respuesta falsa
debe ser enviada por el mismo puerto desde donde la consulta se originó.
Prevención y mitigación
Muchos ataques de envenenamiento de caché contra servidores DNS pueden evitarse al
desconfiar de la información que otros servidores DNS les pasan e ignorar cualquier registro
DNS pasado que no sea directamente relevante para la consulta. Por ejemplo, las versiones de
BIND 9.5.0-P1 [2] y superiores realizan estas comprobaciones. [3] La aleatorización del puerto
de origen para solicitudes DNS, combinada con el uso de números aleatorios
criptográficamente seguros para seleccionar tanto el puerto de origen como el nonce
criptográfico de 16 bits , puede reducir en gran medida la probabilidad de ataques exitosos de
DNS.
Este tipo de ataque puede ser mitigado también por las capas de transporte o aplicación para
conseguir validación extremo a extremo (end-to-end validation) una vez que una conexión es
establecida en extremo. Un ejemplo común de esto es el uso de Seguridad de Capa de
Transporte y firmas digitales. Por ejemplo, usando la versión segura de HTTP, HTTPS, los
usuarios pueden verificar si el certificado digital es válido y pertenece al dueño esperado de un
sitio web. De manera similar, el programa de inicio de sesión remoto SSH verifica certificados
digitales en los extremos (si los conoce) antes de proseguir con una sesión. Para aplicaciones
que descargan actualizaciones automáticamente, la aplicación puede alojar una copia local del
certificado digital de los datos y validar el certificado almacenado en la actualización de
software contra el certificado alojado.
El envenenamiento plantea varios riesgos, tanto para las personas como para las
organizaciones. Son difíciles de detectar y de remediar una vez que se establecen. Existen
diversas formas para protegerse ante estos ataques, por ejemplo:
Configuración segura de DNS: Realizar configuración de servidores DNS para que no dependan
en gran medida de las relaciones con otros servidores.
Desactivar el DNS dinámico: Éste introduce lagunas en el sistema DNS al permitir que
cualquier sistema añada un registro a una zona o modifique un registro si la seguridad es débil.
El DNS dinámico nunca debería estar habilitado para los servidores, sólo para las redes de
estaciones de trabajo privadas.
Cifrar datos DNS: Un paso importante es cifrar siempre los datos incluidos en las solicitudes de
respuesta de DNS. Esto ofrece una capa adicional de protección al evitar que los
ciberdelincuentes intercepten datos. Los datos cifrados enviados para solicitudes y respuestas
de DNS mantienen alejados a los hackers, ya que no podrán duplicar el certificado de seguridad
único para el sitio web legítimo.
Rechazar las solicitudes de DNS a través de puertos abiertos: Una de las formas en que los
atacantes descubren las vulnerabilidades es bombardeando sus servidores DNS con consultas
para tomar el control del servidor. Rechazando las peticiones a través de puertos abiertos, se
evitan las consultas que pueden contaminar sus datos DNS.
Introducir extensiones de seguridad DNS (DNSSEC): Las extensiones de seguridad del sistema
de nombres de dominio son un sistema de seguridad que ayuda a verificar el origen y la
integridad de los datos que van y vienen en un proceso de resolución de DNS.
Capacitación al usuario: Una estrategia importante en la prevención de ataques es la
capacitación a usuarios para ayudarlos a ser plenamente conscientes de los riesgos
potenciales, si bien, los ataques de envenenamiento de DNS pueden ser difíciles de detectar,
incluso, para los usuarios bien preparados. Una capacitación sólida puede ayudar a detener la
propagación de ciertas amenazas.
Algunas ventajas de envenenamiento DNS son: obtener información , vender información,
extorción a empresas , manipular a la persona a cambio de dinero, y demás.
Envenenamiento ARP
¿Que es un envenenamiento ARP?
Es un tipo de ciberataque llevado a cabo sobre una red de área local (LAN) que consiste en
enviar paquetes ARP maliciosos a una gateway predeterminada en una LAN para cambiar los
emparejamientos en su tabla de direcciones IP a MAC.
El protocolo ARP traduce direcciones IP a direcciones MAC. Debido a que el protocolo ARP fue
diseñado puramente para la eficiencia y no para la seguridad, los ataques de envenenamiento
de ARP son extremadamente fáciles de llevar a cabo siempre que el atacante tenga el control
de una máquina dentro de la LAN de destino o esté directamente conectado a ella.
El envenenamiento ARP (también conocido como ARP Spoofing) es un tipo de ciberataque
llevado a cabo sobre una red de área local (LAN) que consiste en enviar paquetes ARP
maliciosos a una gateway predeterminada en una LAN para cambiar los emparejamientos en su
tabla de direcciones IP a MAC. El protocolo ARP traduce direcciones IP a direcciones MAC.
Debido a que el protocolo ARP fue diseñado puramente para la eficiencia y no para la
seguridad, los ataques de envenenamiento de ARP son extremadamente fáciles de llevar a
cabo siempre que el atacante tenga el control de una máquina dentro de la LAN de destino o
esté directamente conectado a ella.
El ataque en sí consiste en que un atacante envía un mensaje de respuesta ARP falso a la
gateway de red predeterminada, informándole que su dirección MAC debe asociarse con la
dirección IP de su objetivo (y viceversa, de modo que la dirección MAC de su objetivo sea ahora
asociado con la dirección IP del atacante). Una vez que la gateway predeterminada ha recibido
este mensaje y transmite sus cambios a todos los demás equipos de la red, todo el tráfico del
objetivo a cualquier otro equipo de la red viaja a través de la computadora del atacante, lo que
le permite inspeccionarlo o modificarlo antes de reenviarlo a su verdadero destino. Debido a
que los ataques de envenenamiento de ARP ocurren en un nivel tan bajo, los usuarios a los que
se dirige el envenenamiento de ARP rara vez se dan cuenta de que su tráfico está siendo
inspeccionado o modificado. Además de los ataques de hombre en el medio, el
envenenamiento de ARP se puede utilizar para causar un estado de negación de servicio en
una LAN simplemente interceptando o descartando y no reenviando los paquetes del objetivo.
Objetivo
Este consiste en infectar a un dispositivo conectado a una red, con el fin de que esté le haga
creer a los otros ordenadores que es el router. Esto se logra cambiando la dirección física de la
tarjeta de red original por la dirección MC del atacante
Tipos de ataque
Ataque MITM
Un ataque Man-in-the-Middle, o ataque MITM, es una técnica utilizada por ciberdelincuentes
para interceptar y manipular la comunicación entre dos partes sin su conocimiento. El atacante
se sitúa entre el remitente y el receptor legítimos, actuando como un intermediario invisible.
Aprovechando esta posición privilegiada, el atacante puede acceder, modificar y hasta
suplantar los mensajes enviados, lo que puede tener consecuencias devastadoras.
Ataque SSLSTRIP
El SSLStrip es un software que reconoce cuándo una página web no cuenta con la política HSTS
(HTTP Strict Transport Security), la cual impide que los usuarios se conecten al sitio de otro
modo que no sea por el protocolo de cifrado HTTPS. Luego, redirige a las personas a las
versiones HTTP de las páginas web que solicite visitar en un navegador y, de esta forma, el
atacante podrá ver toda la información sin ninguna capa de cifrado.
Los ataques ARP Poisoning o también conocidos como ARP Spoofing, son uno de los ataques
más conocidos y más peligrosos que podemos encontrarnos en las redes cableadas e
inalámbricas. Si un ciberdelincuente realiza correctamente este ataque, será capaz de
interceptar todas las comunicaciones entre la víctima y la conexión a Internet, además, con
técnicas algo más avanzadas, podría incluso modificar el tráfico al vuelo e incluso «levantar» la
seguridad del protocolo HTTPS para convertirlo en HTTP y vulnerar nuestra seguridad.
¿Cómo protegerse de un ataque de intermediario?
Ahora que sabes qué es el envenenamiento de ARP, te preguntarás cómo protegerte de este y
otros tipos de ataques de intermediario. Para ello, puedes aplicar las siguientes
recomendaciones para evitar el ataque ARP:
Evita las redes wifi públicas: recuerda que el envenenamiento de ARP se puede hacer por
medio de un dispositivo infectado conectado a la red. Por eso, es bueno evitar todo tipo de
redes públicas.
Utiliza una VPN: esto le añade una capa de cifrado a todo tu tráfico de red y protegerte del
envenenamiento de ARP.
Activa la política HSTS: si eres desarrollador web y permites que los usuarios ingresen
información confidencial en tu sistema, como contraseñas, deberías activar este protocolo para
protegerte del envenenamiento de ARP.
Do un ataque ARP Poisoning.
En qué consiste el ataque ARP Poisoning
El ataque ARP Poisoning consiste en envenenar la tabla ARP de una víctima, haciéndola creer
que el router es el atacante, con el objetivo de que la víctima reenvíe todo su tráfico a este
atacante para realizar un sniffing de todas y cada una de las conexiones que realice. De esta
forma, un dispositivo víctima podría enviar, sin saberlo, todo su tráfico de red a este atacante, y
realizar dos tipos de ataques diferentes:
Ataque DoS: si el atacante no reenvía las conexiones al router para salir a Internet, estaremos
haciendo una denegación de servicio a la víctima, es decir, le estaremos dejando sin conexión a
Internet.
Ataque Man in the Middle: si el atacante reenvía las conexiones al router para salir a Internet,
estaremos haciendo un ataque MitM, obteniendo todo su tráfico de red para su posterior
estudio, además, también se podría modificar al vuelo la información que envíe o reciba la
víctima, de hecho, uno de los ataques más peligrosos son los de SSL Stripping, por los que un
atacante es capaz de «levantar» el tráfico de HTTPS y convertirlo en HTTP para espiar todas las
comunicaciones. El atacante podrá continuar enrutando todas las comunicaciones y obtener
toda la información, que es lo más normal, de hecho, podrá robar las cookies de la víctima y
hacerse pasar por él sin necesidad de robar cuentas de usuario y contraseñas.
Secuestro de sesiones: Se utilizan para robar identificadores de las sesiones, de forma que se
puede garantizar el acceso a los atacantes y los sistemas que estos utilicen.
Para poder realizar un ataque ARP Poisoning, es necesario cumplir con ciertos requisitos:
El atacante debe estar dentro de la misma red que la víctima, misma red cableada o misma red
WiFi.
Deberá escanear toda la red local en busca de la dirección IP de la víctima, para posteriormente
lanzarle el ataque.
Debe hacer uso de diferentes herramientas, con el objetivo de crear un paquete ARP falso y
enviarlo a la víctima. Dos herramientas muy conocidas para realizar esta tarea son Arpspoof y
también BetterCap, de este último tenéis un completo tutorial en RedesZone.
Una vez que se envíe a la víctima los paquetes ARP falsos, creerá que nosotros somos el router.
Pero para que la comunicación sea bidireccional también es necesario hacer creer al router que
nosotros somos la víctima, por tanto, tendremos que lanzar dos ataques ARP Poisoning, uno a
la víctima y otro al router.
Una vez que tanto la víctima como el router hayan recibido los paquetes ARP falsos, se
comunicarán con el atacante directamente en lugar de hacerlo entre ellos, y ahora mismo el
atacante ya estará en el medio de la comunicación. Ahora el atacante
Pasos más comunes en los ataques ARP Poisoning
Este tipo de ataques suelen seguir una estructura común, lo cual puede ayudar a identificarlos
de forma más sencilla.
El atacante utiliza una herramienta ARP, y fija una dirección IP.
Se realiza un escaneo de las direcciones MAC e IP, correspondientes al host de la red objetivo.
Se elige el destino y procede a enviar los paquetes maliciosos. Estos contienen las direcciones
previamente indicadas.
Los paquetes suplantan o imitan al equipo objetivo, y falsea los datos para redireccionar el
ataque.
Se realizan robos de datos o lanzamiento de paquetes de seguimiento.
Este ataque funciona mediante la manipulación de la tabla ARP de una red. La tabla ARP se
utiliza para traducir direcciones MAC a direcciones IP, lo que permite a los dispositivos de red
comunicarse entre sí.
En un ataque ARP Poisoning, el atacante envía falsos mensajes ARP a los dispositivos de la red.
Estos mensajes ARP contienen información falsa que hace que los dispositivos de la red asocien
la dirección MAC del atacante con la dirección IP de otro dispositivo de la red, como el router o
el servidor. Una vez que la tabla ARP de un dispositivo ha sido comprometida, todo el tráfico
que se dirige a la dirección IP del dispositivo comprometido se reenvía al atacante. El atacante
puede entonces examinar, manipular o bloquear el tráfico que se dirige a la víctima.
Este se divide en dos etapas: la etapa de envenenamiento y la etapa de escucha. En la etapa de
envenenamiento, el atacante envía paquetes ARP falsificados a los dispositivos de la red. Estos
paquetes falsificados contienen una dirección MAC falsa que se asocia con una dirección IP
válida de otro dispositivo de la red. De esta manera, cuando un dispositivo desea comunicarse
con el dispositivo asociado a esa dirección IP, enviará paquetes a la dirección MAC del atacante
en lugar del dispositivo real.
En la etapa de escucha, el atacante intercepta el tráfico que fluye entre los dispositivos. El
atacante puede examinar el tráfico para obtener información sensible, como credenciales de
inicio de sesión o información financiera. También puede manipular el tráfico para lograr sus
objetivos. Por ejemplo, puede bloquear el tráfico para impedir que los usuarios accedan a
recursos en línea o redirigir el tráfico a sitios web falsos para el robo de información. En todo
caso, cada atacante puede establecer diferentes variables en el ataque. De forma que pueden
varias en cierto modo.
¿Y el ataque MAC Flooding?
Cada uno de los dispositivos que utilizamos para conectarnos a la red tiene una dirección MAC
diferente. Esto es necesario para poder ser identificado por el router y, en definitiva, poder
conectarnos y navegar por Internet. Es, por decirlo de alguna manera, como un identificador.
En total son seis bloques de dos caracteres hexadecimales. También se le conoce como
dirección física.
En una red los switches gestionan tablas de direcciones MAC. Esto lo hacen para dirigir el
tráfico entre los diferentes puertos de una manera más eficiente. Lo que hace un atacante con
esta amenaza es crear una inundación, una solicitud masiva para lograr el colapso de esta tabla
que mencionamos.
Con esto logran que, en caso de un ataque exitoso, el switch pase a enviar paquetes que reciba
a través de todos sus puertos y así poder interceptar el tráfico. Es lo que se conoce también
como saturación de direcciones MAC.
Lo que hace el atacante en este caso es bombardear el switch con una gran cantidad de
solicitudes, cada una de ellas con una dirección MAC falsa, con el objetivo de saturar
rápidamente esa tabla. Esto significa que van a enviar miles de direcciones falsas en segundos.
Cuando esto ocurre, el switch comienza a redireccionar tráfico a través de todos los puertos y
permite utilizar un sniffer para capturar el tráfico. Esto, como vemos, pone en riesgo la
privacidad y seguridad. Hay que tener en cuenta que el tamaño máximo de la tabla de
direcciones MAC puede variar en función del switch que estemos utilizando. Este se puede
evitar al llevar a cabo las siguientes acciones:
Limitar los puertos.
Asignación estática de direcciones MAC.
Deshabilitar puertos que no se usen.
Evitar conexiones de otros dispositivos.
DMZ
Una zona desmilitarizada (conocida también como DMZ, sigla en inglés de demilitarized
zone) o red perimetral es una red local que se ubica entre la red interna de una organización
y una red externa, generalmente en Internet.
Es una red perimetral que protege la red de área local (local-area network, LAN) interna
contra el tráfico no confiable.
Un significado común para una DMZ es una subred que se encuentra entre la Internet pública
y las redes privadas. Expone los servicios externos a redes no confiables y agrega una capa
adicional de seguridad para proteger los datos confidenciales almacenados en redes internas,
utilizando firewalls para filtrar el tráfico.
El objetivo final de una DMZ es permitir que una organización acceda a redes no confiables,
como Internet, a la vez que garantiza que su red privada o LAN permanecen seguras. En la
DMZ, las organizaciones normalmente almacenan servicios y recursos externos así como
servidores para el sistema de nombres de dominio (Domain Name System, DNS), el protocolo
de transferencia de archivos (File Transfer Protocol, FTP), correo, proxy, protocolo de voz
sobre Internet (Voice over Internet Protocol, VoIP) y servidores web.
Cómo funciona una red DMZ?
Las empresas con un sitio web público que los clientes utilizan deben hacer que su servidor
web sea accesible desde Internet. Hacerlo significa poner en riesgo toda su red interna. Para
evitar esto, una organización podría pagarle a una empresa de alojamiento para que aloje el
sitio web o sus servidores públicos en un firewall, pero esto afectaría el rendimiento. En lugar
de eso, los servidores públicos se alojan en una red que es independiente y aislada.
Estos servidores y recursos están aislados y tienen acceso limitado a la LAN para garantizar
que se pueda acceder a ellos a través de Internet, pero la LAN interna no puede hacerlo.
Como resultado, un enfoque DMZ hace que sea más difícil para un pirata informático obtener
acceso directo a los datos de una organización y a los servidores internos a través de Internet
Una red DMZ proporciona un búfer entre Internet y la red privada de una organización. La
DMZ está aislada por una puerta de enlace de seguridad, como un firewall, que filtra el
tráfico entre la DMZ y una LAN. Está protegida por otra puerta de enlace de seguridad que
filtra el tráfico entrante de redes externas.
Idealmente se la ubica entre dos firewalls, y la configuración del firewall de la DMZ garantiza
que un firewall u otras herramientas de seguridad observen los paquetes de red entrantes
antes de que lleguen a los servidores alojados en la DMZ. Esto significa que incluso si un
atacante sofisticado puede atravesar el primer firewall, también debe acceder a los servicios
reforzados de la DMZ antes de que pueda causarle daño a una empresa.
La DMZ establece una “zona de seguridad” entre varios equipos conectados a una misma
red, donde se encuentran ubicados archivos e información de la entidad que pueden ser
accesibles desde internet.
Beneficios de usar una DMZ
El principal beneficio de una DMZ es proporcionar una red interna con una capa de seguridad
adicional al restringir el acceso a los servidores y datos confidenciales. Una DMZ permite que
los visitantes del sitio web obtengan ciertos servicios mientras proporcionan un búfer entre
ellos y la red privada de la organización. Como resultado, ofrece también beneficios de
seguridad adicionales, tales como:
Habilitación del control de acceso:
Las empresas pueden proporcionar a los usuarios acceso a servicios fuera de los perímetros
de su red a través de Internet pública. La DMZ permite el acceso a estos servicios al tiempo
que implementa segmentación de red, para que a un usuario no autorizado se le dificulte
llegar a la red privada. Una DMZ también puede incluir un servidor proxy, que centraliza el
flujo de tráfico interno y simplifica el monitoreo y el registro de ese tráfico.
Prevención del reconocimiento de la red:
Al proporcionar un búfer entre Internet y una red privada, una DMZ evita que los atacantes
realicen el trabajo de reconocimiento que hacen cuando obtienen datos de objetivos
potenciales. Los servidores dentro de la DMZ están expuestos públicamente, pero un firewall
ofrece otra capa de seguridad que evita que un atacante pueda ver dentro de la red interna.
Incluso si un sistema DMZ se pone en peligro, el firewall interno separa la red privada de la
DMZ para mantenerla segura y dificultar el reconocimiento externo.
Bloqueo de suplantación del protocolo de Internet (IP):
Los atacantes pueden intentar obtener acceso a los sistemas suplantando una dirección IP y
haciéndose pasar por un dispositivo aprobado que ha iniciado sesión en una red. Una DMZ
puede descubrir y detener estos intentos de suplantación de identidad, ya que otro servicio
verifica la legitimidad de la dirección IP. La DMZ también proporciona segmentación de red
con el fin de crear un espacio para que se organice el tráfico y se acceda a los servicios
públicos lejos de la red privada interna.
Los servicios de una DMZ incluyen:
Servidores DNS. Es el software o máquina encargada de atender y dar respuesta a la petición
de los clientes DNS, por ejemplo, indicando en que dirección se aloja una determinada
página web. Los servidores recursivos tienen la capacidad de reenviar la solicitud hacia otro
servidor en caso de que ellos no dispongan de la dirección solicitada.
Servidores FTP. Es un protocolo de red para la transferencia de archivos entre sistemas
conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura clienteservidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos
desde él o para enviarle archivos, independientemente del sistema operativo utilizado en
cada equipo.
Servidores de correo. Es una aplicación de red de computadoras ubicada en un servidor de
Internet, para prestar servicio de correo electrónico (correo-e o e-mail).
Servidores proxy. Es un ordenador que actúa como intermediario entre tu dispositivo e
Internet. Puede mejorar la velocidad, la seguridad y la privacidad. Los servidores proxy se
usan para gestionar el uso de Internet y denegar el acceso a ciertos sitios, o para acceder a
recursos con ubicación bloqueada.
Servidores web.Un servidor web es una plataforma computacional muy potente que
resguarda datos para ser consultados por diversos usuarios. Cuenta con un software que
entrega la información solicitada por visitantes o miembros de un grupo de trabajo, a través
de un dispositivo conectado a la red.
Diseño y arquitectura de DMZ
Una DMZ es una “red abierta amplia”, pero existen varios enfoques de diseño y arquitectura
que la protegen. Se la puede diseñar de varias maneras, desde un enfoque de cortafuegos
único hasta cortafuegos dobles y múltiples. La mayoría de las arquitecturas modernas de
DMZ utilizan firewalls dobles que pueden expandirse para desarrollar sistemas más
complejos.
Firewall único:
una DMZ con un diseño de firewall único requiere tres o más interfaces de red. La primera es
la red externa, que conecta la conexión de Internet pública al firewall. La segunda forma la
red interna, y la tercera se conecta a la DMZ. Varias reglas monitorean y controlan el tráfico
que puede acceder a la DMZ y limitan la conectividad a la red interna.
Firewall doble:
la implementación de dos firewalls con una DMZ entre ellos suele ser una opción más
segura. El primer firewall solo permite el tráfico externo hacia la DMZ, y el segundo solo
permite el tráfico que va desde la DMZ hacia la red interna. Un atacante tendría que poner a
ambos firewalls en peligro para obtener acceso a la LAN de una organización.
La red DMZ no es segura en sí misma. Permite que los hosts y sistemas almacenados dentro
de ella sean accesibles desde redes externas no confiables, como Internet, mientras
mantiene aislados otros hosts y sistemas en redes privadas.
¿Cuál es el beneficio de la DMZ?
Una DMZ proporciona una capa adicional de seguridad a una red interna. Restringe el acceso
a datos confidenciales, recursos y servidores al colocar un búfer entre los usuarios externos y
una red privada. Otros beneficios incluyen controlar el acceso, evitar que los atacantes
realicen reconocimiento de posibles objetivos y proteger a las organizaciones de ser atacadas
a través de suplantación de identidad.
Documentos relacionados
20 y Prouespeculacio están sufriendo desde ayer un ataque DDOS
20 y Prouespeculacio están sufriendo desde ayer un ataque DDOS
hostsuar - transferir dominio
hostsuar - transferir dominio
Práctica UD 2
Práctica UD 2
Práctica de laboratorio Servidor DNS
Práctica de laboratorio Servidor DNS
ATAQUES A LAS VIAS GENERALES DE COMUNICACION. Si bien
ATAQUES A LAS VIAS GENERALES DE COMUNICACION. Si bien
Árbol de Ataque (1)
Árbol de Ataque (1)
Introducción
Introducción
Capitulo 9 PC Hardware and Software Version 4.0 Spanish
Capitulo 9 PC Hardware and Software Version 4.0 Spanish
CONFIGURACIÓN DE DNS EN SERVIDOR CON UBUNTU 16
CONFIGURACIÓN DE DNS EN SERVIDOR CON UBUNTU 16
Descargar
Anuncio
Anuncio