Seguridad en Redes de Computadores-971051070

Ataques Contra las Redes TCP/IP

Seguridad en redes TCP/IP

Capa de Red

Capa de Internet

Capa de Transporte

Capa de Aplicación

Actividades previas a la realización de un ataque

Utilización de Herramientas de Administración

Descubrimiento de Usuarios

Información de Dominios

Cadenas Identificativas

Grupos de Notificas e
Identificadores de Internet

Búsqueda de Huellas Identificativas

Identiﬁcación de mecanismos de control TCP

Identiﬁcación de Respuestas ICMP

ICMP echo: permite la exploración de sistemas activos

ICMP timestamp: si un sistema está activo, se recibirá un paquete de tipo timestamp-reply,
indicando si es posible conocer la referencia de tiempo en el sistema de destino.

ICMP information: consiste en permitir que
ciertos equipos que no disponen de disco puedan extraer su propia conﬁguración, autoconﬁgurarse en el momento de inicio, obtener su dirección IP, etc.

Exploración de Puertos

TCP connect scan: Mediante el establecimiento de una conexión TCP completa (completando los tres pasos del establecimiento de la conexión) la exploración puede ir analizando todos los puertos posibles

TCP SYN scan: Enviando únicamente paquetes de inicio de conexión (SYN) por cada uno de los puertos que se quieren analizar se puede determinar si ´estos están abiertos
o no.

TCP FIN scan: Al enviar un paquete FIN a un puerto, deberíamos recibir un paquete de reset (RST) si dicho puerto está cerrado

TCP Xmas Tree scan. Esta técnica es muy similar a la anterior, y también se obtiene como resultado un paquete de reset si el puerto está cerrado.

TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploración deberíıa recibir como resultado un paquete de reset en los puertos no
activos

Escuchas de Red

Desactivación de Filtro MAC

Suplantación de ARP

Herramientas disponibles para realizar snifﬁng

Fragmentación IP

Fragmentación en Redes Ethernet

Fragmento Inicial

Fragmento Siguiente

Ultimo Fragmento

Fragmentación para emmascaramiento de datagramas IP

Ataques de Denegación de Servicio

IP Flooding: se basa en una inundación masiva de la red mediante datagramas IP.

Smurf: es una variante del ataque anterior (IP Flooding), pero realizando una suplantación de las direcciones de origen y destino de una petición ICMP del tipo echo-reques

TCP/SYN Flooding: se aprovecha del número de conexiones que están
esperando para establecer un servicio en particular para conseguir la denegación del
servicio

Teardrop: intentará realizar una utilización fraudulenta de la fragmenta
coin IP para poder confundir al sistema operativo en la reconstrucción del datagrama original y colapsar así el sistema

Snork: se basa en una utilización malintencionada de dos servicios típicos
en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de
caracteres) y el servicio ECHO

Ping of death: Al igual que otros
ataques de denegación existentes, utiliza una deﬁnición de longitud máxima de datagrama
IP fraudulenta.

Ataques Distribuidos: un ataque de denegación de servicio en el que existen múltiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo

Deficiencias de Programación

Desbordamiento de Buffer

Cadenas de Formato

Mecanismos de Protección

Mecanismos de Prevención

La utilización de estas técnicas se conoce con el nombre de ﬁngerprinting, es decir, obtención de la huella identiﬁcativa de un sistema o equipo conectado a la red.

La fase de recogida de información podría comenzar con la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un Sistema como, por ejemplo, ping, traceroute, whois, ﬁnger, rusers, nslookup, rcpinfo, telnet, dig, etc

La exploración de puertos puede permitir el reconocimiento de los servicios ofre
cidos por cada uno de los equipos encontrados en la red escogida.

Topic flotante

lizando todos los puertos posibles

Mediante la exploración de puertos UDP es posible determinar si un sistema está
o no disponible, asíı como encontrar los servicios asociados a los puertos UDP que
encontramos abiertos.

Nmap, junto con Nessus, son dos de las herramientas más frecuentemente utili
zadas tanto por administradores de redes como por posibles atacantes, puesto que ofrecen la mayor parte de los datos necesarios para estudiar el comportamiento de un sistema o red que se quiere atacar

Un sniffer no es más que un sencillo programa que intercepta toda la información
que pase por la interfaz de red a la que esté asociado. Una vez capturada, se podrá almacenar para su análisis posterior.

Una solución para evitar esta técnica consiste en la segmentación de la red y de
los equipos mediante el uso de conmutadores (switches). Al segmentar la red y los equipos, el único tráﬁco que tendrían que ver las máquinas sería el que les pertenece, puesto que el conmutador se encarga de encaminar hacia el equipo únicamente aquellos paquetes destinados a su dirección MAC

El objetivo de un ataque de suplantación de ARP es poder capturar tráﬁco ajeno sin
necesidad de poner en modo promiscuo la interfaz de red. Envenenando la tabla
de ARP de los equipos involucrados en la comunicación que se quiere capturar se
puede conseguir que el conmutador les haga llegar los paquetes

La fragmentación divide los datagramas IP en fragmentos de menor longitud y se
realiza en el nivel inferior de la arquitectura para que sea posible recomponer los
datagramas IP de forma transparente en el resto de niveles. El reensamblado realiza
la operación contraria.

Para solucionar el uso de la fragmentación fraudulenta y garantizar una correcta
inspección de paquetes, es necesaria la implementación del proceso de fragmentación y el reensamblado de datagramas en dispositivos de prevención y detección.

Deﬁnimos denegación de servicio como la imposibilidad de acceder a un recurso
o servicio por parte de un usuario legítimo. Es decir, la apropiación exclusiva de un recurso o servicio con la intención de evitar cualquier acceso a terceras partes.

TRIN00 es un conjunto de herramientas master-slave utilizadas para sincronizar distintos
equipos que cooperarán, de forma distribuida, en la realización de una denegación de ser
vicio.

Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerza
las condiciones necesarias para aprovecharse de un error de seguridad subyacente.

Se basa en la posibilidad de escribir información más allá de los limites de una tupla almacenada en la pila de ejecución. A partir de esta tupla, asociada a una llamada a función dentro del programa, se puede conseguir corromper el ﬂujo de la ejecución modiﬁcando el valor de regreso de la llamada a la función

Los ataques que explotan deﬁciencias de programación mediante cadenas de for
mato se producen en el momento de imprimir o copiar una cadena de caracteres
desde un buffer sin las comprobaciones necesarias

Seguridad en Redes de Computadores-971051070

Ataques Contra las Redes TCP/IP

Mecanismos de Protección

Mecanismos de Prevención

La utilización de estas técnicas se conoce con el nombre de ﬁngerprinting, es decir, obtención de la huella identiﬁcativa de un sistema o equipo conectado a la red.

La fase de recogida de información podría comenzar con la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un Sistema como, por ejemplo, ping, traceroute, whois, ﬁnger, rusers, nslookup, rcpinfo, telnet, dig, etc

La exploración de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida.

Topic flotante

lizando todos los puertos posibles

Mediante la exploración de puertos UDP es posible determinar si un sistema estáo no disponible, asíı como encontrar los servicios asociados a los puertos UDP queencontramos abiertos.

Nmap, junto con Nessus, son dos de las herramientas más frecuentemente utilizadas tanto por administradores de redes como por posibles atacantes, puesto que ofrecen la mayor parte de los datos necesarios para estudiar el comportamiento de un sistema o red que se quiere atacar

Un sniffer no es más que un sencillo programa que intercepta toda la información que pase por la interfaz de red a la que esté asociado. Una vez capturada, se podrá almacenar para su análisis posterior.

La fragmentación divide los datagramas IP en fragmentos de menor longitud y serealiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles. El reensamblado realiza la operación contraria.

Para solucionar el uso de la fragmentación fraudulenta y garantizar una correctainspección de paquetes, es necesaria la implementación del proceso de fragmentación y el reensamblado de datagramas en dispositivos de prevención y detección.

Deﬁnimos denegación de servicio como la imposibilidad de acceder a un recursoo servicio por parte de un usuario legítimo. Es decir, la apropiación exclusiva de un recurso o servicio con la intención de evitar cualquier acceso a terceras partes.

TRIN00 es un conjunto de herramientas master-slave utilizadas para sincronizar distintos equipos que cooperarán, de forma distribuida, en la realización de una denegación de servicio.

Un exploit es un programa, generalmente escrito en C o ensamblador, que fuerzalas condiciones necesarias para aprovecharse de un error de seguridad subyacente.

Los ataques que explotan deﬁciencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteresdesde un buffer sin las comprobaciones necesarias