Kategoriak: All - suplantación - vulnerabilidades - redes - protocolos

arabera Esmy Yamileth Pineda Villeda 6 years ago

254

Ataques Contra Redes TCP IP

Las redes TCP/IP están sujetas a varios tipos de ataques que pueden comprometer la seguridad de la información transmitida. Entre ellos, las escuchas de red y la desactivación del filtro MAC destacan por su efectividad en la captura de datos sensibles.

Ataques Contra Redes TCP IP

Cadenas de Formato; se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.

Desbordamiento de Buffer; se basa en la posibilidad de escribir información mas allá de los limites de una tupla almacenada en la pila de ejecución.

Deficiencias de Programacion

La mayor parte de estas deficiencias de programación pueden provocar acciones malintencionadas y ejecución de código malicioso, por ejemplo:

Entradas no controladas por el autor de la aplicación, que pueden provocar acciones malintencionadas y ejecución de código malicioso.
Uso de caracteres especiales que permiten un acceso no autorizado al servido del servicio.

Entradas inesperadamente largas que provocan desbordamientos dentro de la pila de ejecución y que pueden implicar una alteración en el código que hay que ejecutar.

Ataques de Denegación de Servicio

Como la imposibilidad de acceder a un recurso o servicio por parte de un usuario legitimo.

Ataques Distribuidos; son ataques de denegación de servicios en el que existen múltiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo.
Tribe Flood Network 2000
Shaft
Tribe Flood Network
TRIN00
Ping od Death; se basa en la posibilidad de construir mediante el comando ping, un datagrama IP superior a los 65535 bytes, fragmentando en N trozos, con el objetivo de provocar incoherencias en el proceso de reensamblado.
Snork; se basa en una utilización malintencionada de dos servicios típicos en sistema Unix. el servicio CHARGEN y el servicio ECHO.
Teardrop; el objetivo sera realizar las modificación necesarias en los campos de posición y longitud para introducir incoherencias cuando se produzca la reconstrucción del datagrama original.
TCP/SYN Flooding; se aprovecha del numero de conexiones que están esperando para establecer un servicio en particular para conseguir la denegación del servicio.
Smurf; este tipo de ataque de denegación de servicio es una variante del ataque anterior, pero realizando una suplantación de las dirección de origen y destino de una petición ICMP del tipo echo-request.
IP Flooding; se basa en una inundación masiva de la red mediante datagramas IP.
Los Datagramas IP utilizados podrían corresponder a:

UDP; con el objetivo de generar peticiones sin conexión a ninguno de los puertos disponibles.

ICMP; generando mensajes de error o de control de flujo.

TCP; para generar peticiones de conexión con el objetivo de saturar los recursos de red de la maquina atacada.

El Trafico Generado en este tipo de ataques pueden ser:

Aleatorio; cuando la dirección de origen o destino del paquete IP es ficticia o falsa.

Definido o Dirigido; cuando la dirección de origen, destino o incluso ambas es la de la maquina que recibe el ataque.

Fragmentacion IP

Divide los datagramas IP en fragmentos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible componer los datagramas IP de forma transparente en el resto de niveles.

Fragmentacion para Emmascaramiento de Datagramas IP; un atacante tratara de provocar intencionalmente una fragmentacion en los datagramas que envía que envía a nuestra red con el objetivo de que pasen desapercibidos por diferentes dispositivos de prevención y de detección de ataques que no tienen implementados el proceso de fragmentacion reensamblado de datagramas IP.

Fragmentacion de Redes Ethernet; para que el equipo de destino pueda reconstruir los fragmentos, estos deben contener la siguiente información:

Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento común.
Información sobre su posición en el paquete inicial.

Información sobre la longitud de los datos transportados al fragmento.

Cada fragmento tiene que saber si existen mas fragmentos a continuación.

Escuchas de Red

Se trata de un ataque realmente efectivo puesto que permite la obtención de un gran cantidad de información sensible.

Herramientas disponibles para realizar Sniffing: Este programa una vez ejecutado captura todos los paquetes que llegan a nuestra maquina y muestra por consola toda la información relativa a los mismo.
Suplantación de ARP: El objetivo de un ataque es poder capturar trafico ajeno sin necesidad de poner en modo promiscuo la interfaz de red.
Desactivacion de Filtro MAC: Se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC poniendo la tarjeta de red en modo promiscuo.

Actividades Previas a la Realización de un Ataque

3. Exploración de Puertos: Puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida.

Exploración de Puertos UDP; Es posible determinar si un sistema esta o no disponible, así como encontrar los servicios asociados a los puertos UDP que encontramos abierto.
Exploración de Puertos TCP; se pueden utilizar para descubrir si dicho sistema ofrece o no un determinado servicio.
TCP connect sean

TCP SYN scan

TCP FIN sean

TCP Xmas Tree scan

TCP Null scan

2. Búsqueda de Huellas Identificativas

Identificación de Respuestas ICMP; Notifica errores y condiciones inusuales, es posible poder realizar un uso indebido de este protocolo para obtener huellas identificativas de un sistema remoto.
ICMP information; consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuración auto configurarse en el momento de inicio, obtener su dirección IP, etc.
ICMP timestamp; Si un sistema esta activo, se recibirá un paquete de tipo timestamp-reply indicando si es posible conocer la referencia de tiempo en el sistema de destino.
ICMP echo; permite la exploración de sistemas activos
Identificación de Mecanismo de Control TCP; Permitirá descubrir de forma muy viable el OS que se ejecuta en la maquina analizada.

1. Utilización de Herramientas de Administracion

Grupos de Noticias y Buscadores de Internet; Mediante la consultas por Internet el atacante puede obtener información emitida por los usuarios de la organización asociada a la red que desea atacar.
Cadenas Identificativas; la información que ofrecen las cadenas de texto que generalmente aparece al conectarse a un determinado servicio. Estas cadenas aparte de identificar cada uno de los servicios ofrecidos por estos equipos, podrían indicar el nombre y la versión de la aplicación que se esta ejecutando detrás de un servicio.
Información de Dominio; La recogida e esta información puede empezar extrayendo la información relativa a los dominios asociados a la organización, así como las subredes correspondientes.
Descubrimiento de Usuarios; Otra información relevante de un sistema es el nombre de los usuarios que tiene acceso a estos equipos. Una utilidad que puede ayudar al atacante a obtener estos datos es la herramienta finger.
Permiten la obtención de información de un sistema como por ejemplo: ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc

Deficiencias de Seguridad a este nivel:

Hypertext Transfer Protocol

File Transfer Protocol

Telnet

Servicio de Nombres de Dominio

Vulnerabilidades en las Capas

1. Vulnerabilidades de la Capa de Red; Estan estrechamente ligadas al medio sobre el que se realiza la conexion. Esta capa presenta problemas de control de acceso y de confidencialidad.

2. Vulnerabilidades de la Capa de Internet: Se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques contra estaa capa las tecnicas de sniffig, la suplantacion de mensajes, la modificacion de datos, ls retrasos de mensajes y la denegacion de mensajes.
3. Vulnerabilidades de la Capa de Transporte; Transmite informacion TCP o UDP sobre datagramas IP. en esta capa podemos encontrar problemas de auntenticacion, de integridad y de confidencialidad.

4. Vulnerabilidades de la Capa de Aplicación; Como en el resto de niveles, esta capa presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran numero de protocolos definidos en esta capa, la cantidad de deficiencias presentes tambien sera superior al resto de capas.

Capas de Protocolo TCP/IP

4)- Capa de Aplicacion: Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicacion que utilizan internet; clientes y servidores de web, correo electronico, FTP, etc.

3)- Capa de Transporte: Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro de esta capa, que solo es implementada por equipos usuarios de internet o por terminales de internet.

2)- Capa de Internet: Da unidad a todos los miembros de la red y por lo tanto permite que todos se pueda interconectar independientementee si se conectan por linea telefonica o mediante una rel local Ethernet.

1)- Capa de Red: Normalmente esta formada por una red LAN o WAN homogenea. Todos los equipos conectados a internet implementan esta apa. Todo lo que se encuenta por debajo de la IP es a capa de red fisica o simplemente capa de red.

Ataques Contra Redes TCP IP