1. Seguridad de Redes
Facultad de Ingeniería en Sistemas, Electrónica e Industrial
Ing. David Guevara A, Msc
UTA-FISEI
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 1 / 11
2. Seguridad en redes TCP/IP
En el modelo TCP/IP pueden existir distintas vulnerabilidades y un
atacante puede explotar los protocolos asociados a cada una de ellas. Cada
día se descubren nuevas deficiencias, la mayoría de las cuales se hacen
públicas por los organismos internacionales, tratando de documentar, si es
posible, la forma de solucionar y contrarestar los problemas.
Vulnerabilidades:
Red Estan asociadas al medio físico en el que se realiza la conexión. Se
presentan problemas de control de acceso y confindencialidad.
Internet Cualquier ataque que afecte al datagrama IP. Se usa técnicas
como el sniffing. Suplantación de mensajes, modificación de datos,
denegación de mensajes y retrasos en los mismos.
Transporte Se puede encontrar problemas de autenticación, integridad y
confidencialidad. DOS, intercepción de sesiones TCP
Aplicación Se presentan varias deficiencias asociada a los diferentes
protocolos, por tanto la cantidad de deficiencias es mayor a las
otras capas.
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 2 / 11
3. Seguridad en redes TCP/IP
Vulnerabilidades capa de Aplicación
DNS. Se conocen también como spoofing de DNS, un atacante puede
modificar la información que suministra ésta base de datos, o acceder
a información que muestre la topología de la red de una organización.
Telnet. El mayor problema es que esta aplicación transmite un usuario
y contraseña como texto claro, por lo que permite la captura de esta
información utilizando técnicas de sniffing.
FTP. Al igual que Telnet, FTP envía información como texto claro.
HTTP. Una de sus vulnerabilidades es la posibilidad de entregar
información desde el cliente de HTTP, esto es posible mediante la
ejecución remota de código en la parte del servidor.
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 3 / 11
4. Ataques a redes TCP/IP
Previa la realización a un ataque es necesario conocer el objetivo del
ataque. Para realizar esta primera fase es necesario obtener la mayor
información posible del equipo u organización a ser atacada.
Utilización de herramientas de administración
En los sistemas operativos basados en UNIX, se cuenta con algunas
aplicaciones de administración que permiten obtener información del
sistema como: ping, traceroute, whois, finger, nslookup, telnet, dig, etc
Grupos de noticias y buscadores de internet
Se puede obtener información emitida por los usuarios de la organización.
Una simple búsquedfa de la cadena @dominio.com en
http://groups.google.com o en http://www.google.com puede ofrecer
detalles como los sistemas operativos existentes en la red, tecnologías y
servidores utilizados.
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 4 / 11
5. Ataques a redes TCP/IP
Existen técnicas más avanzadas que permiten extraer información más
precisa de un sistema o de una red en concreto. La utilización de estas
técnicas se conoce con el nombre de fingerprinting, es decir, obtención de
la huella identificativa de un sistema o equipo conectado a la red.
Indentificación de mecanismos de control TCP
Identificación de respuestas ICMP
ICMP echo
ICMP timestamp
ICMP information
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 5 / 11
6. Exploración de puertos
También conocido como port scanning, permite el reconocimiento de los
servicios ofrecidos por los equipos en una red. El atacante podrá usar esa
información para hacer uso de exploits que le permitan realizar un ataque
de intrusión.
Técnicas conocidas:
TCP connect scan. Permite analizar todos los puertos posibles
TCP SYN scan. Envia paquete de inicio de conexión (SYN), recibe
RST-ACK sin el puerto esta cerrado o SYN-ACK si el puerto esta
abierto, se utiliza para no ser registrados por el sistema objetivo.
TCP FIN scan. Se usa en sistemas Unix, se envia un paquete FIN y
se recibe RST si el puerto esta cerrado.
TCP Xmas Tree scan. Similar al anterios se envían FIN,URG y
PUSH
TCP Null scan. Se envían en cero todos los indicadores de TCP, se
debe recibir un RESET en los puertos cerrados
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 6 / 11
7. Exploración de puertos UDP
Mediante la exploración de puertos UDP es posible determinar si un
sistema está o no disponible, así como encontrar los servicios asociados a
los puertos UDP que encontramos abiertos.
Se envían datagramas UDP con el campo datos en blanco. Se recibe un
mensaje ICMP de puerto no alcanzable (port unreachable) si el puerto está
cerrado. Si el puerto esta abierto no se recibe ninguna respuesta.
A diferencia de las exploraciones TCP, se trata de un proceso mucho más
lento, puesto que la recepción de los paquetes enviados se consigue
mediante el vencimiento de temporizadores (timeouts).
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 7 / 11
8. Herramientas para la exploración de puertos
La aplicación más utilizada es Nmap (Network Mapper). Esta herramienta
implementa la mayoría de técnicas para la exploración de puertosy permite
descubrir información de los servicios y sistemas encontrados.
Acciones de exploración:
Descubriendo IP activas
nmap -sP IP_ADDRESS/NETMASK
Exploración de puertos TCP activos
nmap -sT IP_ADDRESS/NETMASK
Exploración de puertos UDP activos
nmap -sU IP_ADDRESS/NETMASK
Exploración del tipo de sistema operativo
nmap -O IP_ADDRESS/NETMASK
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 8 / 11
9. Escuchas de red
Los escuchas de red permite la obtención de información sensible. Un
sniffer no es más que un sencillo programa que intercepta toda la
información que pase por la interfaz de red a la que esté asociado. Una vez
capturada, se podrá almacenar por su análisis posterior.
Desactivación de filtro MAC
Una técnica usada por la mayoría de los sniffers de redes Ethertnet se basa
en la posibilidad de desactivar el filtro MAC (poniendo la tarjeta de red en
modo promiscuo)
Solución modo promiscuo
Para evitar esta técnica se debe segmentar la red a través del uso de
conmutadores (switches). Pero existen otras técnicas para poder realizar
sniffing cuando la red esta segmentada, a estas técnicas se lo conoce como
suplantación de ARP.
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 9 / 11
10. Suplantación ARP
Un ataque de suplantación ARP captura el tráfico sin necesidad de poner en
modo promiscuo la interfaz de red. Se puede conseguir que los conmutadores de
la red entreguen los paquetes envenenando las tablas ARP.
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 10 / 11
11. Autor
Ing. David Guevara A, Msc
dguevara@uta.edu.ec
david@ddlinux.com
http://david.ddlinux.com
Presentación desarrollada en LYX con el módulo beamer
Ing. David Guevara A, Msc (UTA-FISEI) Seguridad de Redes 11 / 11