Auditoría y Seguridad en Redes

Ataques

Ataques

• Sniffers

• Spoofing– Web Spoofing

• Denegación de Servicio– Smurf

Sniffers

• Sniff Husmear

• Interfaz en modo promiscuo

• Dar formato a la salida

Sniffers (modo promiscuo)

O rd en ad or 2 O rd en ad or 3 O rd en ad or 4 O rd en ad or 5

O rd en ad or 1m od o p rom iscu o

Mensaje de Ordenador 2 a Ordenador 5

Mensaje de Ordenador 2 a Ordenador 5

Mensaje de Ordenador 2 a Ordenador 5

Sniffers (utilización)

• Captura de contraseñas

• Captura de información confidencial

• Ataque a la seguridad y obtención de acceso no autorizado

Sniffers (detección)

• Difícil por ser programas pasivos.

• En la máquina local– ifconfig– ifstatus– ipconfig /All (Windows)

• En la subred– NEPED

Spoofing

• Spoofing Burlar

• Clases– De TCP/IP– De ARP– De DNS

Spoofing TCP/IP

• Spoofing ciego– Desde fuera de la subred

• Spoofing no ciego– Desde la propia subred

Spoofing IP

• Sustitución de la dirección IP origen por una falsa en la construcción de paquetes

Opciones + relleno

Dirección origen

Dirección destino

Versión IHL Tipo servicio Longitud total

Identificador Indicadores Desplaz. del fragmento

Tiempo de vida Protocolo Suma comprobación cabecera

Cabecera IP

Spoofing TCP

• Ataque a los números de secuencia

Opciones + relleno

Número de secuencia

Puerto de origen

Desplazamiento Reservado Ventana

Puerto destino

Suma de comprobación Puerto urgente

Número de confirmación

Indicadores

Cabecera TCP

Diálogo TCP

Cliente Servidor

SYN (X)

ACK (Y+1)

ACK-SYN (X+1,Y)

Spoofing TCP/IP (defensa)

• Evitar utilizar la dirección de origen para la autenticación

• Utilizar soluciones criptográficas adecuadas

• Configuración adecuada de routers para evitar la entrada de paquetes con direcciones locales

Spoofing de ARP

• ARP Address Resolution Protocol

• Resuelve direcciones IP a direcciones MAC

• Debilidad: ARP confía en la dirección IP

• Atacante informa a ARP de su dirección MAC y de una dirección IP falsa.

• La víctima cree que el atacante es el host en el que confía

Spoofing ARP (defensa)

• Hacer asignaciones estáticas de direcciones IP y MAC (comando arp)

• Inconveniente: Cuando se añaden equipos nuevos o se cambian tarjetas de red, hay que modificar esas asignaciones

Web Spoofing

• Simular toda la WWW en un host controla-do por el atacante

• Crea un entorno en el que el usuario confía

• Consecuencias– Vigilancia– Manipulación

• Reescritura de URLs

Web Spoofing

Navegador

de la

víctima

Servidor

Atacante

Petición de página

Petición página real

Envío página modificada

Servidor

RealEnvío página real

Web Spoofing

• Las conexiones seguras no ayudan

• ¿Cómo hacer que el usuario se conecte?– Poniendo los enlaces en páginas bien conocidas– A través de mensajes de correo– Modificando un motor de búsqueda web– Utilzando Spoofing de DNS

Web Spoofing (defensa)

• Deshabilitar Javascript

• Observar en el navegador– Línea de estado– Línea de localización– Visualizar código fuente de la página– Localizar al atacante

Denegación de Servicio (DoS)

Intentos de inundar una red, imposibilitando el tráfico legítimo.

Intentos de cortar conexiones entre dos máquinas.

Intentos de imposibilitar a alguien acceder a un servicio.

Intentos de imposibilitar a una máquina ofrecer un servicio.

Típico: Syn-Flood

SYN-Flood

• Inundación de mensajes SYN

Cliente Servidor

SYN (X)

SYN (Z)

ACK-SYN (X+1,Y)

ACK-SYN(Z+1,W)

Smurf

• Smurf Pitufo• Tipo DoS• Utiliza spoofing y ICMP-flood• Ataque asimétrico• Tres figuras:

– Atacante– Intermediario (amplificador)– Víctima

Smurf (funcionamiento)

Atacante

Servidores

Interme-

diario

Mensajes respuesta (k * n)

(k) msjs. ICMP con direc. Ori-gen de la víctima a broadcast

Víctima

Smurf (defensa)

• Intermediario– Configurar routers para que no entren mensajes

ICMP con dirección de broadcast.– Configurar servidores para no responder a mensajes

ICMP con direc. de broadcast

• Víctima– Filtrar en router mensajes de intermediario– Contactar con intermediario para que corrija el

problema