Title: Ataques y Contramedidas
1Ataques y Contramedidas
2Un ataque ocurre cuando una persona o un grupo de
personas intenta acceder, modificar o dañar un
sistema o entorno.Estos ataques generalmente
intentan lograr algunos de estos objetivos
- Un ataque de acceso Ataca la privacidad.
- Un ataque de modificación Ataca la integridad.
- Un ataque de denegación de servicio Ataca la
disponibilidad. - Un ataque de fabricación Ataca la autenticidad.
3Las personas que ataquen los sistemas se ven
motivadas por diferentes razones
- Por diversión o desafío.
- Por venganza.
- Por terrorismo.
- Rédito económico.
- Ventaja competitiva.
- Poder
4Las amenazas representan el posible peligro del
sistema. Pueden provenir de personas (hackers,
crackers), de programas o de desastres
naturales.Entre las amenazas más comunes podemos
encontrar
- Eavesdropping (termino inglés que traducido al
español significa escuchar secretamente, se ha
utilizado tradicionalmente en ámbitos
relacionados con la seguridad, como escuchas
telefónicas. - Se ha convertido en parte de la jerga habitual en
criptografía y se refiere a ataques de escuchas,
tanto sobre medios con información cifrada, como
no cifrada.) - Acceso no autorizado
- Denegación de Servicio
- Denegación de Servicio Distribuída
5Los problemas de inseguridad actuales no se
encuentran favorecidos únicamente por usuarios
maliciosos, sino que muchas veces se encuentran
ayudados por malas implementaciones de las
aplicaciones, desconocimiento, negligencia,
etc.Hemos catalogado los principales factores
que pueden generar problemas de seguridad en
- Falta de políticas y/o normativas
- Protocolos
- Ambiente multilenguaje y multiproveedor
- Dispersión geográfica
- Falta de actualización de software de base
- Uso incorrecto de las aplicaciones
- Errores en los programas
- Errores de configuración
- Passwords
- Falta de supervisión y/o control.
6Es importante conocer la forma en que proceden
los intrusos para conocer la manera de
detenerlos.En general los intrusos realizan las
mismas actividades cuando desean ingresar o
atacar a un sistema, por lo que podemos
generalizar los pasos en
- Investigación
- Penetración
- Persistencia
- Expansión
- Logro del objetivo
7Siempre antes de realizar un ataque, los
intrusos realizan un estudio del
objetivo.Generalmente consiste en obtener la
siguiente información
I N V E S T I G A C I O N
- Información de la empresa objetivo.
- Información del dominio objetivo conociendo el
nombre de la empresa se puede obtener su
información de dominio a través de consultas tipo
WHOIS. - Información de los servidores una vez que el
intruso obtuvo el dominio, puede realizar
consultas NSLOOKUP para conocer cuáles son los
servidores que tiene la empresa.
8- Identificación de la plataforma uno de los
principales datos que buscan de sus objetivos es
la plataforma sobre la que trabajan (Windows,
Linux, Novell, etc.). Esto se puede realizar
mediante la utilización de técnicas de OS
fingerprint. - Identificación de los servicios otra información
importante que buscan obtener los atacantes son
los servicios que ofrecen los servidores
objetivos. Esto se puede realizar mediante
escaneadores de puertos (port-scanners).
I N V E S T I G A C I O N
Contramedidas Como primer contramedida, es
necesario restringir la información que se
difundirá a través de los servicios de DNS y
WHOIS. También se puede incluir filtrado de
paquetes, para evitar la detección de la
plataforma y los servicios y un Sistema de
Detección de Intrusos (IDS) para detectar cuando
se está produciendo un escaneo de puertos.
9En esta situación el atacante intentará acceder
al objetivo. Para realizar este paso, utilizan
diferentes técnicas
P E N E T R A C I O N
- Explotación de vulnerabilidades existe algún
producto instalado que permita la ejecución de
código arbitrario. - Debilidad de contraseñas una contraseña débil
puede permitir el ingreso de intrusos. - Servicios mal configurados un servicio que no
esté adecuadamente configurado puede permitir que
intrusos hagan uso abusivo del mismo, o incluso,
que ejecuten código arbitrario.
10Contramedidas
P E N E T R A C I O N
- Explotación de vulnerabilidades actualización
constante del software instalado. - Debilidad de contraseñas definir una política de
contraseñas robusta. - Servicios mal configurados revisar
periódicamente la configuración de los servicios.
Como contramedida general, siempre tenemos que
tener en cuenta al filtrado de paquetes y la
revisión periódica de los archivos de logs para
conocer los eventos que han sucedido en el
sistema.
11Una vez que un atacante ha logrado ingresar a un
sistema, generalmente realiza actividades para
evitar ser detectado y deja herramientas o
puertas traseras en el sistema para poder
mantener un acceso permanente.
P E R S I S T E N C I A
Para evitar ser detectado, en general un atacante
busca los archivos de auditoría o log del
sistema, para borrarlos o modificarlos ocultando
su acceso y sus actividades. En Windows NT/2000,
se puede realizar borrando el contenido del Visor
de Sucesos.
Contramedidas Para evitar que un intruso
elimine los archivos de log, se puede optar por
mantenerlos guardados fuera del lugar donde se
generan.
Es complicado evitar la copia de archivos, pero
puede detectarse la modificación de ellos.
Existen herramientas que crean un hash de los
archivos de sistema, y avisan al administrador en
caso de detectar una modificación.
12Muchas veces, el objetivo final de un ataque no
es el primer sistema atacado, sino que se
utilizan varios saltos intermedios para lograr
realizar un ataque sin ser rastreados.
E X P A N S I O N
- Esto puede generar que nuestro sistema sea
víctima y a la vez sea atacante.
Nuevamente, las contramedidas son el filtrado de
paquetes, los sistemas IDS, y el control
periódico de los archivos de log.
13En este punto podríamos decir que la tarea del
intruso ha llegado a su objetivo. A partir de
aquí, podemos esperar diferentes acciones por
parte del intruso
L O G R O D E L O B J E T I V O
- Desaparecer sin dejar rastro
- Avisar al administrador que se ha ingresado al
sistema - Comentar los fallos de seguridad encontrados a
sus colegas - Hacer públicos los fallos de seguridad
14Como vimos anteriormente, la seguridad debe
proveer integridad, disponibilidad y
confidencialidad de la información.
Un ataque puede tener diferentes efectos
15Nos referimos a INTERCEPTACION cuando un usuario
no autorizado obtiene acceso a la información
- Ataques de interceptación
- Eavesdropping
- STP Manipulation
- CAM table overflow
16En un ataque por MODIFICACION, un usuario
malicioso generalmente obtiene acceso no
autorizado a un recurso con los privilegios
necesarios para cambiarlo. Modificar un flujo de
datos en una transmisión de red o archivos en un
servidor pueden ser ejemplos de estos ataques.
- Ataques de modificación
- Man-in-the-Middle
- Manipulación de datos
17La INTERRUPCION consiste en dañar o dejar sin
funcionamiento un sistema completo o parte de
éste.Si bien la detección es inmediata, los
daños ocasionados por la suspensión del servicio
y el tiempo de recuperación pueden ser muy
importantes.
- Ataques de interrupción
- Denegación de Servicio
- Denegación de Servicio Distribuída
18La FALSIFICACION puede aplicarse a la creación de
nuevos objetos dentro del sistema, o simplemente
participar en una conversación simulando ser otro
interlocutor.
- Ataques de falsificación
- IP Spoofing
- MAC Address Spoofing
19El RECONOCIMIENTO es el descubrimiento no
autorizado de la topología de la red, sus
sistemas, servicios o vulnerabilidades.
- Para realizar cada paso del reconocimiento de una
red, existen numerosas herramientas o
alternativas. Algunas herramientas ya integran
toda la secuencia de pasos detectan los hosts
alcanzables en una red, y por cada uno de estos
realizan una búsqueda de sus servicios y
vulnerabilidades.
Utilizando por ejemplo, las herramientas nslookup
y whois, un atacante puede determinar también el
rango de direcciones IP asignados a una
corporación o entidad.
Una alternativa para evitar el descubrimiento es
establecer filtros de tráfico. El fltrado de
tráfico puede actuar como una barrera que impida
los paquetes ICMP echo (generalmente utilizados
en la primer fase del descubrimiento).
20La Interceptación o EAVESDROPPING, es un proceso
mediante el cual un agente capta información (en
claro o cifrada) que no le iba dirigida.
Lo más peligroso del eavesdropping es que resulta
muy difícil de detectar mientras se produce.
Un medio de interceptación habitual es el
SNIFFING. Este método consiste en capturar tramas
que circulan por la red mediante un software que
corre en una máquina conectada al segmento de red.
Otro punto a tener en cuenta es la imposibilidad
de establecer límites concretos en redes wireless.
- Contramedidas
- No permitir la existencia de segmentos de red de
fácil acceso. - Utilizar cifrado para realizar las comunicaciones
o el almacenamiento de la información. - No permitir tomas de red libres habilitados.
- Realizar autenticación a nivel de la capa de
enlace. Por ejemplo, en wireless la utilización
de 802.11i.
21Un ATAQUE POR ACCESO consiste en que un atacante
obtiene los privilegios necesarios para acceder a
los dispositivos o recursos de red en forma
ilícita.Los métodos más utilizados son
- Explotar contraseñas triviales aplicar fuerza
bruta, diccionarios o herramientas de crack. - Explotar servicios mal configurados servicios
como TFTP, FTP anónimo y acceso remoto al
registro. - Explotar fallas de aplicaciones desbordamientos
de buffers. - Ingeniería social engañar a los usuarios con el
fin de obtener información.
Algunos ejemplos son
22- Ataque Man-in-the-middle
- Explotación de las relaciones de confianza
- Manipulación de datos
- IP Spoofing
- Repetición de una sesión
- Auto rooters
- Back doors
23Como los routers, tanto los switches de capa 2
como los de capa 3 tienen algunas consideraciones
de seguridad que se deben tener en cuenta. Los
ataques o vulnerabilidades más comunes
relacionados con la capa 2 y los switches
- La sobrecarga en la tabla CAM de los switches
- El acceso a diferentes VLANs
- La utilización de STP para modificar el árbol de
expansión - La falsificación de direcciones MAC
- La inundación y saturación del servidor DHCP
24Denegación de Servicio (DoS)
Los ataques de DoS están apuntados exclusivamente
a afectar negativamente el funcionamiento de un
servicio ofrecido por algún sistema o dispositivo
de red. Un ataque de DoS exitoso afectará tanto
al servicio que lo volverá totalmente
inalcanzable.
Este tipo de ataques no involucran un acceso al
sistema, sino que buscan la degradación del
servicio.
- Los ataques DoS pueden generarse de diferentes
maneras
25- Por explotación de errores de aplicaciones se
envían paquetes malformados que generan una caída
de la aplicación. - Por mensajes de control se envían paquetes con
mensajes de control para que los dispositivos
interrumpan la operación de la red. - Por inundación (flooding) consumen los recursos
con una gran cantidad de paquetes.
- Algunos de los ataques más conocidos son
- Ping de la muerte
- Syn flood
- Land attack
- Teardrop
26Para defendernos de los ataques DoS por
explotación de vulnerabilidades, es imperioso
mantener los sistemas libres de estas
vulnerabilidades mediante las últimas
actualizaciones.
Para defendernos de los ataques de DoS por
mensajes de control, necesitaremos crear filtros
de paquetes apropiados.
Para defendernos de los ataques de DoS por
inundación, existen dispositivos llamados IDS
(Intrution Detection Systems) que ayudan a
detectar a un ataque de este tipo en proceso.
Otra alternativa es restringir la cantidad de
conexiones simultáneas que atenderá un servidor.
27Denegación de Servicio Distribuído (DDoS)
Básicamente el DDoS es un ataque similar al DoS,
donde se intenta consumir todos los recursos de
una víctima hasta agotar su capacidad de
procesamiento o llegar a un desborde. A
diferencia del DoS en este caso nos enfrentamos a
múltiples atacantes, ocasionando así una
avalancha mucho mayor de paquetes sobre el
destino del ataque.
En los ataques por DDoS, el atacante se suele
aprovechar de los hosts de usuarios hogareños que
están conectados en forma permanente. Este tipo
de hosts, generalmente, no están lo
suficientemente protegidos, entonces un usuario
malicioso podría cargar en docenas o miles de
estos hosts un software de ataque.
El programa de ataque permanece latente en las
computadoras hasta que reciben una señal del
usuario malicioso. Esta señal, le indica a todos
los hosts (comúnmente llamados zombis) en forma
simultánea que deben comenzar el ataque hacia un
destino determinado.
28Un ataque muy común de DDoS es el ataque SMURF.
Este sistema de ataque se basa en transmitir a la
red una trama ICMP correspondiente a una petición
de ping. Esta trama lleva como dirección de
origen la dirección IP de la víctima, y como
dirección de destino la dirección broadcast de la
red atacada.
Otro ataque DDoS muy conocido es el TFN (Tribe
Flood Network). En este ataque, un usuario
malicioso obtiene acceso privilegiado a múltiples
hosts e instala un software que realice Syn Flood
sobre un destino en particular al momento de
recibir la orden del atacante.
Evitar un ataque de inundación no resulta muy
sencillo. Algunos servicios en los sistemas
operativos permiten definir el número máximo de
conexiones.
Otro punto a tener en cuenta es configurar los
routers de borde para que ajusten la velocidad de
arribo de determinados tipos de paquetes ( por
ejemplo limitar la velocidad de ICMP y TCP Syn).
29 Fin