técnico en seguridad de redes y sistemas © 2011, … · tÉcnicas y herramientas de ataque a...

TÉCNICAS Y HERRAMIENTAS DE

ATAQUE A REDES TCP/IPTécnico en Seguridad de Redes y Sistemas

© 2011, Juan Pablo Quesada Nieves

TÉCNICAS Y HERRAMIENTAS DE ATAQUE A

REDES TCP/IP

� Tipos de Ataques en TCP/IP

� Técnicas para la Búsqueda de Objetivos de un Ataque

� Mecanismos para Obtención de Información acerca de Objetivos

� Bibliografía y Recursos Web

Técn

ico en S

eguridad de R

edes y Sistem

as


2

Técn

ico en S

eguridad de R

edes y Sistem

as


REDES TCP/IP





Técn

ico en S

eguridad de R

edes y Sistem

as


3

Técn

ico en S

eguridad de R

edes y Sistem

as

TIPOS DE ATAQUES EN TCP/IP

� Introducción (1/3)� Los ataques consisten en valerse de vulnerabilidades

de la red o de un sistema informático

� Los primeros ataques a través de la red se

Técn

ico en S

eguridad de R

edes y Sistem

as

� Los primeros ataques a través de la red seaprovechaban de las vulnerabilidades del protocoloTCP/IP

� Conforme TCP/IP ha ido superando esasvulnerabilidades y se ha hecho más fuerte en elámbito de la seguridad, los ataques se han dirigido ala capa de aplicaciones y, principalmente, a la Web

4

Técn

ico en S

eguridad de R

edes y Sistem

as


� Introducción (2/3)� Los ataques se realizan por diversas razones:

� obtener información privilegiada� dañar el funcionamiento normal de un servicio o de un SI� usar el sistema para otro ataque diferente

Técn

ico en S

eguridad de R

edes y Sistem

as

� utilizar recursos� dañar la imagen de la empresa o persona

� Intentan comprometer la confidencialidad, ladisponibilidad y la integridad de los recursos de lared

5

Técn

ico en S

eguridad de R

edes y Sistem

as


� Introducción (3/3)� Tipos de ataque:

� Sniffing (Rastreo)� Spoofing (Falsificación)� DoS (Denegación de Servicio )

Técn

ico en S

eguridad de R

edes y Sistem

as

6

Técn

ico en S

eguridad de R

edes y Sistem

as


� Sniffing (1/3)� Este ataque consiste en supervisar el tráfico

generado en un red

� El elemento utilizado para escuchar todo lo que se

Técn

ico en S

eguridad de R

edes y Sistem

as

� El elemento utilizado para escuchar todo lo que semueve por la red se denomina sniffer o analizador dered, que puede ser tanto software como hardware

� El software utilizado como sniffer activa lo que seconoce como “modo promiscuo de la tarjeta de red” enla máquina donde se ejecuta, lo que permite obtenertodas las tramas Ethernet que se envían dentro de lamisma Red de Área Local 7

Técn

ico en S

eguridad de R

edes y Sistem

as


� Sniffing (2/3)� Para poder activar el modo promiscuo, en sistemas

UNIX debemos ser usuario “root”, mientras que ensistemas WINDOWS debemos tener permisos deadministrador

Técn

ico en S

eguridad de R

edes y Sistem

as

� Los sniffers activan este modo de manera automática

� Actualmente, las conexiones a través de cable sellevan a cabo mediante switches, en lugar de losantiguos hubs, lo que hace que el tráfico sea dirigidoa su destino, de forma que se complica el uso desniffers 8

Técn

ico en S

eguridad de R

edes y Sistem

as


� Sniffing (3/3)� Para la escucha en redes inalámbricas el sniffing

sigue siendo muy eficaz y utilizado

Técn

ico en S

eguridad de R

edes y Sistem

as

9

Técn

ico en S

eguridad de R

edes y Sistem

as


� Utilidad de los sniffers (1/2)� Analizar el tráfico de red dentro de nuestra empresa

o de nuestro hogar para poder encontrar incidencias,como congestiones en la red, cuellos de botella,intrusiones, etc.

Técn

ico en S

eguridad de R

edes y Sistem

as

� Detectar fallos en los paquetes, ya sea porque llegancorruptos, no llegan las tramas de confirmación o seduplican

� Convertir el tráfico que viaja por la red (ceros y unos)en señales analógicas comprensibles para el humano

10

Técn

ico en S

eguridad de R

edes y Sistem

as


� Utilidad de los sniffers (2/2)� Crear ficheros con las capturas realizadas y

establecer filtros sobre ellas para ver lo que queramosen concreto, y así analizar el tráfico de la red

Técn

ico en S

eguridad de R

edes y Sistem

as

� Crear estadísticas y gráficos de todo tipo, por ejemplopor tipo de protocolo, por dirección IP, por direcciónMAC, …

� Capturar nombres de usuario y contraseñas queviajan por la red sin encriptar

11

Técn

ico en S

eguridad de R

edes y Sistem

as


� Protección contra sniffers� Hacer uso de otros sniffers

� Utilizar switches

Utilizar firewalls

Técn

ico en S

eguridad de R

edes y Sistem

as

� Utilizar firewalls

� Encriptar la información que viaja por la red� SSL (Secure Sockets Layer), para el caso de la Web� PGP (Pretty Good Privacy) y S/MIME (Secure Multipurpose

Internet Mail Extensions), para el caso del correoelectrónico

� SSH (Secure SHell), para el caso del acceso remoto aservidores UNIX

� VPN (Virtual Private Network)12

Técn

ico en S

eguridad de R

edes y Sistem

as


� Spoofing (1/2)� Este ataque consiste en suplantar la identidad de

otra máquina de la red para tener acceso a losrecursos de un tercer sistema de manera maliciosa,basándose en algún tipo de confianza, ya sea elnombre o la dirección IP del host suplantado

Técn

ico en S

eguridad de R

edes y Sistem

as

nombre o la dirección IP del host suplantado

� Las técnicas de spoofing van desde engañar al propioservidor falseando simplemente una dirección IP,hasta lo que sería engañar directamente al usuariofinal (entrando ya en Ingeniería Social)

13

Técn

ico en S

eguridad de R

edes y Sistem

as


� Spoofing (2/2)� Uno de los ejemplos más típicos de spoofing es elphishing

� Existen varias técnicas de spoofing:IP Spoofing

Técn

ico en S

eguridad de R

edes y Sistem

as

� IP Spoofing� ARP Spoofing� DNS Spoofing

� En un ataque de tipo spoofing existen tres máquinasen juego:� Máquina atacante� Máquina atacada� Máquina a suplantar 14

Técn

ico en S

eguridad de R

edes y Sistem

as


� IP Spoofing (1/2)� Esta técnica consiste en conseguir una dirección IP

de un host o un servidor, y hacerse pasar por él con elobjetivo de obtener información confidencial oprovocar un ataque DoS

Técn

ico en S

eguridad de R

edes y Sistem

as

� La dirección IP la sustituimos dentro de un paqueteTCP/IP, como pueden ser los clásicos ICMP, UDP oTCP, y el sistema atacado responderá a esta direcciónsuplantada, no a la nuestra

15

Técn

ico en S

eguridad de R

edes y Sistem

as


� IP Spoofing (2/2)� Un ejemplo de ataque IP Spoofing consistiría en

mandar un ping con la dirección IP origen falseada.El host atacado respondería al ping, lo que provocaríaque el sistema suplantado recibiera respuesta sinhaberla solicitado

Técn

ico en S

eguridad de R

edes y Sistem

as

haberla solicitado

� Hoy en día un ataque clásico de IP Spoofing esbastate difícil de conseguir, ya que los enrutadoresactuales no permiten que se envíen paquetes condireciones IP que no pertenezcan a la red, por lo quelos paquetes que intentemos mandar no van a pasardel router 16

Técn

ico en S

eguridad de R

edes y Sistem

as


� ARP Spoofing (1/4)� Consiste en la construcción de tramas ARP de

solicitud y respuesta falseadas, de manera que sefuerce al host atacado a enviar los paquetes alatacante en vez de hacerlos directamente al sistemade destino

Técn

ico en S

eguridad de R

edes y Sistem

as

de destino

� Las comunicaciones TCP/IP se basan en la resoluciónde la dirección IP en función de la dirección MAC y,para ello, en nuestra máquina residen tablas ARPque asocian las direcciones MAC con las direccionesIP de la red. Este ataque trataría de falsear estasdirecciones MAC basándose en el envenenamiento dela tabla ARP (ARP Poisoning)

17

Técn

ico en S

eguridad de R

edes y Sistem

as


� ARP Spoofing (2/4)� Para ver la tabla ARP de nuestro equipo ejecutamos

el comando arp –a desde una consola o terminal

� Las tarjetas de red en nuestro equipo se visualizan

Técn

ico en S

eguridad de R

edes y Sistem

as

� Las tarjetas de red en nuestro equipo se visualizanejecutando el comando ipconfig /all (Windows) oifconfig –a (Linux) desde una consola o terminal

� Cuando una máquina de la red necesita resolver unadirección IP, hace un ARP request a la redpreguntando por dicha dirección IP. Cuando lamáquina con esa dirección IP recibe la petición, haceun ARP reply con su dirección MAC 18

Técn

ico en S

eguridad de R

edes y Sistem

as


� ARP Spoofing (3/4)� Un típico ataque ARP Spoofing es Man In The

Middle. El atacante recoge la información del atacadoy se la envía al equipo suplantado para que parezcaque se trata de una comunicación normal

Técn

ico en S

eguridad de R

edes y Sistem

as

� La única manera de detectar este ataque seríaanalizando el tráfico de red y viendo que existen dosmáquinas con diferentes direcciones IP y con lasmismas direcciones MAC

19

Técn

ico en S

eguridad de R

edes y Sistem

as


� ARP Spoofing (4/4)� Haciendo este ataque conseguimos ver todo el tráfico

que va dirigido de una máquina a otra. Si lasconexiones que se realizan entre ambas no vancifradas, podríamos obtener información confidencialmediante el uso de un sniffer

Técn

ico en S

eguridad de R

edes y Sistem

as

mediante el uso de un sniffer

20

Técn

ico en S

eguridad de R

edes y Sistem

as


� DNS Spoofing (1/2)� Trata de asociar el nombre del dominio de una página

web con la dirección IP de una máquina que no es lareal, es decir, engañar al usuario final con unadirección IP de un servidor donde se alojaría otrapágina web

Técn

ico en S

eguridad de R

edes y Sistem

as

página web

� Este ataque podría también realizarse de maneramás facil si directamente pudiéramos acceder alfichero de asociación de DNS de un host en concreto(C:\Windows\System32\drivers\etc\hosts )

21

Técn

ico en S

eguridad de R

edes y Sistem

as


� DNS Spoofing (2/2)� También se podría comprometer un servidor DNS

infectando la caché de otro, es decir, haciendo lo quese conoce como Envenenamiento DNS o DNS

Poisoning

Técn

ico en S

eguridad de R

edes y Sistem

as

22

Técn

ico en S

eguridad de R

edes y Sistem

as


� DoS� DoS (Denial of Service -Denegación de Servicio-) es

un ataque dirigido a una máquina, o conjunto demáquinas, con el objetivo de terminar parcial ototalmente con los servicios que ofrece

Técn

ico en S

eguridad de R

edes y Sistem

as

� El ataque DoS se basa en intentar consumir todos losrecursos de una máquina (ancho de banda o ciclos deprocesador) sin dejar espacio libre para peticioneslegítimas

23

Técn

ico en S

eguridad de R

edes y Sistem

as


� DDoS� En el ataque DoS tradicional, una máquina lanza el

ataque a otra; en el ataque DDoS (Distributed Denialof Service -Denegación de Servicio Distribuida-) es unconjunto de máquinas distribuidas las que apuntan aun mismo objetivo

Técn

ico en S

eguridad de R

edes y Sistem

as

un mismo objetivo

� Este tipo de ataque se suele hacer mediante botnets,conjunto de máquinas robots que se pueden ejecutarde manera autónoma, pero controlada por otra

� Normalmente, se infectan varias máquinasdispersadas geográficamente (máquinas zombies) y selanza el ataque desde todas ellas, muy difícil deinterceptar

24

Técn

ico en S

eguridad de R

edes y Sistem

as


� Métodos de ataque DoS� Dirigidos a consumo de ancho de banda:

� Inundación ICMP (ICMP Flood)� Smurf� Inundación UDP (UDP Flood)

Técn

ico en S

eguridad de R

edes y Sistem

as

� Fraggle

� Dirigidos a atacar la conectividad:� Inundación SYN (SYN Flood)

25

Técn

ico en S

eguridad de R

edes y Sistem

as


� ICMP Flood� Inundación ICMP, Ping Flood o ICMP Flood es un

ataque, por lo general DDoS, que trata de saturar lared con un gran número de paquetes ICMP

Técn

ico en S

eguridad de R

edes y Sistem

as

� Una manera de realizar este ataque es mediantebotnets. Si conseguimos instalar un ping flooder enmultitud de máquinas y ejecutamos el ping flood

desde todas esas máquinas de manera simultáneahacia un servidor, probablemente se colapsará y seproducirá la denegación del servicio

26

Técn

ico en S

eguridad de R

edes y Sistem

as


� Smurf (1/3)� Versión de ICMP Flood que utiliza también la

inundación por ping , pero se envía a toda la red, esdecir, el efecto que tiene el ataque está amplificado

Técn

ico en S

eguridad de R

edes y Sistem

as

� Se basa en el uso de servidores de difusión para poderanalizar una red entera

27

Técn

ico en S

eguridad de R

edes y Sistem

as


� Smurf (2/3)� Pasos del ataque:

1. El atacante envía una solicitud echo request mediante unping a uno o varios servidores de difusión falsificando ladirección IP origen por el de la víctima

2. El servidor lo envía al resto de la red

Técn

ico en S

eguridad de R

edes y Sistem

as

2. El servidor lo envía al resto de la red3. Las máquinas de la red responden al servidor4. El servidor de difusión envía la respuesta al equipo

destino

28

Técn

ico en S

eguridad de R

edes y Sistem

as


� Smurf (3/3)

Técn

ico en S

eguridad de R

edes y Sistem

as

29

Técn

ico en S

eguridad de R

edes y Sistem

as


� UDP Flood� Este ataque consiste en generar grandes cantidades

de paquetes UDP contra la víctima elegida

� Fraggle

Técn

ico en S

eguridad de R

edes y Sistem

as

� Fraggle� Ataque similar al Smurf, pero haciendo uso de

paquetes UDP en lugar de ICMP

30

Técn

ico en S

eguridad de R

edes y Sistem

as


� SYN Flood (1/2)� Ataque DoS que consiste en saturar el tráfico de red

aprovechando el mecanismo de negociación Three-

way handshake que realiza el protocolo TCP al iniciaruna conexión

Técn

ico en S

eguridad de R

edes y Sistem

as

31

Técn

ico en S

eguridad de R

edes y Sistem

as


� SYN Flood (2/2)� Consiste en enviar a una máquina (normalmente un

servidor) muchas solicitudes SYN con una direcciónde usuario inexistente, lo que causa que la máquinaatacada se quede en espera del ACK que mandaría elsupuesto usuario

Técn

ico en S

eguridad de R

edes y Sistem

as

supuesto usuario

32

Técn

ico en S

eguridad de R

edes y Sistem

as


REDES TCP/IP





Técn

ico en S

eguridad de R

edes y Sistem

as


33

Técn

ico en S

eguridad de R

edes y Sistem

as

TÉCNICAS PARA LA BÚSQUEDA DE

OBJETIVOS DE UN ATAQUE

� Obtención de información general (1/4)� Cuando se quiere comprometer una máquina, lo

primero que es necesario hacer es analizar y estudiarun objetivo

Técn

ico en S

eguridad de R

edes y Sistem

as

� Para buscar información tenemos una gran variedadde herramientas, técnicas y destrezas

� Entre los datos que necesitamos conocer seencuentran:� Nombre del dominio� Dirección IP� Servicios disponibles (TCP y UDP) 34

Técn

ico en S

eguridad de R

edes y Sistem

as



� Obtención de información general (2/4)� La herramienta de las herramientas es, sin duda,

Internet

� Una vez se dispone del dominio, se pueden utilizarsitios web públicos para recabar más información,

Técn

ico en S

eguridad de R

edes y Sistem

as

sitios web públicos para recabar más información,como los grupos de noticias, los foros de Internet y loscanales de chat

� Un administrador de sistemas podría preguntar cómose configura un determinado servicio en su nuevoservidor 2008. En esta consulta el administradorfacilitaría, a todo el que la quisiera leer, informaciónsobre su máquina y sus datos de contacto 35

Técn

ico en S

eguridad de R

edes y Sistem

as



� Obtención de información general (3/4)� En Internet las cosas tienen que estar organizadas a

nivel global, ya que la “red de redes” funciona paratodo el planeta

Técn

ico en S

eguridad de R

edes y Sistem

as

� La organización de dominios para los usuarios serealiza desde varios organismos

� Cada país tiende a tener su propia web de gestión dedominios para evitar que varias personas o empresasregistren el mismo dominio. Así, España tienewww.nic.es, Portugal tiene www.nic.pt, etc. Para losdominios .com está www.nic.com 36

Técn

ico en S

eguridad de R

edes y Sistem

as



� Obtención de información general (4/4)� Existen también direcciones alternativas donde poder

encontrar información sobre los dominios ainvestigar, tales como www.allwhois.com owww.ripe.net

Técn

ico en S

eguridad de R

edes y Sistem

as

37

Técn

ico en S

eguridad de R

edes y Sistem

as



� Búsqueda de máquinas (1/2)� Por razones de seguridad, las transferencias DNS

replican la información de un servidor DNS a otroservidor DNS conocido como secundario

Técn

ico en S

eguridad de R

edes y Sistem

as

� Teóricamente, sólo máquinas autorizadas puedensolicitar y recibir estas transferencias, pues lainformación que se facilita es bastante sensible

� La información que se envía incluye unas tablasdonde figuran las máquinas cara a Internet de unaorganización, a veces con sus sistemas operativos

38

Técn

ico en S

eguridad de R

edes y Sistem

as



� Búsqueda de máquinas (2/2)� El solicitar una transferencia de zona a un servidor

DNS y obtener las tablas mencionadas obedece a unerror de configuración en los propios servidores DNS

Técn

ico en S

eguridad de R

edes y Sistem

as

39

Técn

ico en S

eguridad de R

edes y Sistem

as



� Técnicas de rastreo (1/3)� Los puertos son las puertas y ventanas de acceso a un

dispositivo, es decir, los puntos donde se realiza laconexión de red que brindan un servicio en undispositivo

Técn

ico en S

eguridad de R

edes y Sistem

as

� Cuando una máquina quiere ofrecer un servicio abreun puerto y espera a que se realicen peticiones sobreel mismo. Las máquinas que quieren disfrutar de eseservicio realizan peticiones sobre ese puerto

40

Técn

ico en S

eguridad de R

edes y Sistem

as



� Técnicas de rastreo (2/3)� Varias máquinas pueden conectarse al tiempo a un

único puerto, pero las acciones de lectura/escriturasólo se pueden realizar de una en una

Técn

ico en S

eguridad de R

edes y Sistem

as

� Todas las comunicaciones realizadas entre diferentesdispositivos conectados en la red se basan en unprotocolo elegido

� El escaneo de puertos es una de las técnicas másruidosas, pues genera un aumento del tráfico en lared

41

Técn

ico en S

eguridad de R

edes y Sistem

as



� Técnicas de rastreo (3/3)� El escaneador de puertos tratará de detectar cuáles

son los puertos abiertos, lo que es fácilmentedetectable por cualquier cortafuegos o detector deintrusos, lo que nos dejará absolutamente aldescubierto, ya que nuestra propia IP es transmitida

Técn

ico en S

eguridad de R

edes y Sistem

as

descubierto, ya que nuestra propia IP es transmitidaen el proceso

42

Técn

ico en S

eguridad de R

edes y Sistem

as


REDES TCP/IP





Técn

ico en S

eguridad de R

edes y Sistem

as


43

Técn

ico en S

eguridad de R

edes y Sistem

as

MECANISMOS PARA OBTENCIÓN DE

INFORMACIÓN ACERCA DE OBJETIVOS

� Averiguación de nombres de usuario� Existen herramientas para averiguar los nombres de

usuario de un equipo en concreto o de los equiposconectados a una red

Técn

ico en S

eguridad de R

edes y Sistem

as

� Herramientas disponibles (en sistemas UNIX)pueden ser: finger, who, rwho, rusers

44

Técn

ico en S

eguridad de R

edes y Sistem

as

MECANISMOS PARA OBTENCIÓN DE

INFORMACIÓN ACERCA DE OBJETIVOS

� Ingeniería social� Ataque que afecta al objetivo de la confidencialidad

de la seguridad informática

� Consiste en obtener información secreta de unapersona u organismo para utilizarla posteriormentecon fines maliciosos

Técn

ico en S

eguridad de R

edes y Sistem

as

con fines maliciosos

� Los ingenieros sociales utilizan el correo electrónico,páginas web falsas, el correo ordinario o el teléfonopara llevar a cabo sus planes

� Ejemplos importantes:� Phishing� Pharming 45

Técn

ico en S

eguridad de R

edes y Sistem

as


REDES TCP/IP





Técn

ico en S

eguridad de R

edes y Sistem

as


46

Técn

ico en S

eguridad de R

edes y Sistem

as

BIBLIOGRAFÍA Y RECURSOS WEB

� García-Moran, J.P.; Fernández Hansen, Y.;Martínez Sánchez, R.; Ochoa Martín, Ángel;Ramos Varón, A.A.: “Hacking y Seguridad enInternet. Edición 2011”. Ra-Ma. 2011

Técn

ico en S

eguridad de R

edes y Sistem

as

� Jimeno García, M.T.; Míguez Pérez, C.; HerediaSoler, E.; Caballero Velasco, M.A.: “Destripa laRed. Edición 2011”. ANAYA MULTIMEDIA.2011

47

Técn

ico en S

eguridad de R

edes y Sistem

as

técnico en seguridad de redes y sistemas © 2011, … · tÉcnicas y herramientas de ataque a...

Documents