1-Que es un ataque a la red
La mayoría de las organizaciones poseen redes de área local LAN y conexiones a Internet WAN que permite el intercambio de información y el uso de recursos compartidos entre sus usuarios. El buen funcionamiento de la red es por tanto un objetivo prioritario para las empresas.
Los ataques a las redes pueden dejar inoperativos los recursos y causar por tanto perdidas económicas a las organizaciones, además de exponer a intrusos datos que pueden ser privados.
El objetivo de este artículo es presentar los principales ataques a una red.
2-Tipos de ataques a la red
2.1- Ataques de escaneo:
Los ataques de escaneo se realizan para la recopilación de información sobre posibles puertas de acceso a la red. Consisten en recopilar la información de que puertos están escuchando en la red para posteriormente acceder a los recursos a través de ellos.
A continuación se comentará como se realiza un escaneo aprovechando las vulnerabilidades del TCP/IP
2.1.1 Ataques de escaneo TCP:
El protocolo TCP/IP utiliza puertos virtuales para realizar el envío y recepción de los datos por la red adoptando la estrategia cliente/servidor, escucha permanente por determinados puertos para recibir los datos que se van a transmitir de un equipo a otro
Los puertos pueden estar....
- Escuchando Listening:
si la respuesta es SYN/ACK.
- Cerrados Closed:
si la respuesta es RST/ACK.
Los ataques que se producen TCP se basan en el uso de los flags que el protocolo incorpora para regular la comunicación.
Los flags o banderas son bits de control para establecer, mantener y terminar una conexión, por ello pasan desapercibidos y los filtros que a veces no pueden determinar con que finalidad han sido lanzados.
Para establecer la comunicación se utilizan tres banderas de control o flags:
SYN, ACK, FIN.
Cuando un cliente quieres enviar datos a un servidor primero debe establecer la conexión siguiendo un proceso inicial que se denomina el saludo de tres vías.
Este saludo es el que posibilita que ambos establezcan una conexión.
Las imágenes muestran como se realiza el saludo de tres vías (Three-Way Handshake)
Para saber más sobre como funciona TCP podemos visitar el siguiente link
Hay dos tipos de ataques:
2.1.1.1- Ataque TCP SYN scanning (objetivo averiguar puertos abiertos):
Basándose en lo anterior, el servidor escucha permanentemente todas las peticiones que le llegan por la red a un número de puerto determinado que permanece abierto.
Se envía una solicitud de conexión enviándole un segmento SYN (Synchronize Sequence Number).
Se espera a que el servidor devuelva el estado del puerto
Inmediatamente al comprobar que el puerto esta abierto se envía un RST para finalizar la conexión dejando esta a medias, por eso se denomina ataque de media-apertura, y ya tenemos la información que estábamos buscando.
Para evitar este tipo de ataques se recomienda tener activo algún sistema de monitorización de redes como un Firewall o algún tipo de filtro que detecte paquetes SYN auque no es 100% efectivo ya que cualquier comunicación se establece de esta forma y es difícil detectar el escaneo.
2.1.1.2- Ataque TCP FIN scanning (Stealth Port Scanning)
El protocolo TCP establece que:
- Si el puerto esta abierto y recibe un paquete FIN con el bit RST activado lo ignora.
- Si esta cerrado responde con un RST.
Se utiliza para burlar los dispositivos de filtrado y bloqueo de la red como los firewalls que detectan ataques SYN:
Cuando enviamos un paquete FIN a un puerto cerrado
la respuestas es un paquete con RST activo que confirma el puerto cerrado
y si el puerto esta abierto ignorará esta petición.
Por razones de implementación del protocolo en el sistema Windows es el único que responde siempre a todas las peticiones, estén los puertos abiertos o cerrado, por lo cual no da pistas sobre que puertos hay abiertos.
Los sistemas vulnerables son UNIX LINUX NOVELL que funcionan como establece el protocolo TCP.
En esta página hay un ejemplo de escaneo interesante para ampliar esta información.
Otras paginas de interés para ampliar este tema:
2.1.2- Ataque por Fragmentación:
Como su nombre indica, consiste en fragmentar los paquetes de ataques SYN y FIN para que los filtros de la red no puedan detectarlos.
Es poco efectivo ya que genera tal cantidad de pequeños paquetes que son enviados a la victima, que pueden llegar a bloquear tanto los recursos del atacante como saturar las colas de los posibles filtros de la red (firewalls).
2.1.3- Snnifing:
El ataque Snnifing se considera un ataque pasivo, porque realmente sólo recopila y almacena la información que circula por la red.
Estas herramientas se pueden instalar tanto en quipos de la red como en equipos de comunicaciones de la red.
Para efectuar este tipo de ataque, estas herramientas software ponen la tarjeta de red en modo “promiscuo” es decir todo los paquetes que lleguen a ese punto, en lugar de comprobar la IP y si no son para ese equipo lanzarlos de nuevo, son analizados como legítimos.
Además de recopilar las direcciones de la red, estas herramientas pueden almacenar datos más comprometidos como passwords de recursos compartidos de cuentas de correo, etc.
Algunos ejemplos de sniffers
2.1.4- Snooping:
Este tipo de ataque también es pasivo, también escucha en la red todo el trafico, pero a diferencia del anterior, este ataque permite acceder a datos e incluso descargar los mismos para una manipulación posterior.
Algunos ejemplos de snoopers
2.2- Ataques de autentificación
Los ataques de autentificación consisten en introducirse en un sistema suplantando la identidad de un usuario o del propio administrador. O bien se aprovecha una sesión establecida por el usuario, o bien con los datos obtenidos de los ataques de escaneo.
2.2.1- Spoofing – looping:
El spoofing-looping es una combinación de ataque de suplantación de identidad y borrado de huellas.
El atacante accede al sistema suplantando la identidad de algún usuario preferentemente el administrador con la información que se obtuvo del ataque de escaneo, y después va saltando por la red, aprovechando las relacciones de confianza entre las redes.
En cada nueva red accesible el atacante realiza de nuevo escaneo para acceder como usuario legitimo y en conjunto desde el origen al destino pueden existir muchas estaciones, esto genera muchos problemas a la hora de rastrear, tanto legislativos porque al saltar de un equipo a otro podemos cambiar de pais con sus correpondientes normas legislativas como el depliege humano que conlleva, el rastreo.
2.2.2- DNS spoofing
Los DNS son servidores distribuidos por la red que ejecutan servicios de traduccion de direcciones ip numericas a nombres.
Sin los DNS la direccion de una pagina web seria numérica, y mas difícil de recordar
.
Una de las ventajas que tiene es la adaptación a los cambios, podemos cambiar la direccion Ip de un servidor y su nombre permanecer sin que los ususarios sufran ningun contratiempo.
Los DNS trabajan en zonas he intercambian la información que poseen con otros de otras zonas.
DNS spoofing se refiere a un servidor que esta recibiendo información de un host no autorizado para prestar este servicio con fines maliciosos, como la redirección hacia paginas incorrectas al acceder a la web.
En esta pagina hay información mas detallada de cómo actúa con ejemplos
2.2.3- WEB soopfing
En este ataque lo que se suplanta es un sitio web por completo.
La finalidad de este ataque es la recopilación de todo tipo de información que se puede recoger de los usuarios de la página.
Entre los datos se pueden recopilar nombres de ususarios contraseñas numeros de cuenta corriente etc.
Además, el atacante tiene plena disposición para cambiar cualquier dato que sea introducido por la victima.
2.2.4- ARP soopfing
Una de las soluciones para evitar el sniffing en una red es segmentarla usando un switch.
Esto mejora los efectos de este tipo de ataques pero da paso a otros aprovechando las vulnerabilidades del switch.
El ARP spoofing consiste en
2.2.5- IP splicing-Hijacking
Son ataques de apropiación de identidad. Se producen en sesiones ya establecidas, el atacante espera a recibir la información del ingreso del usuario en el sistema y se apropia de su identidad para acceder.
Para protegerse de este tipo de ataques se utilizan las sesiones seguras en las que los datos van cifrados, por ejemplo usando el protocolo SSH de cifrado.
2.3- Ataques de Modificación-daño
Este tipo de ataques son los más peligrosos porque actúan sobre los datos o los programas instalados, modificando o borrando los archivos.
Estos ataques necesitan primero de los anteriores para obtener la información necesaria de la red y normalmente es el objetivo final de un intruso.
Estos ataques se efectúan sobre el software o los datos del sistema con la finalidad de sustituir el software original por otro malicioso y los archivos de datos de la victima por otros que pueden llevar incorporados virus, troyanos etc
2.3.1- Tampering o Data Diddling
Con este tipo de ataques se puede hacer mucho daño a entidades como bancos, ya que al acceder al sistema, si se han conseguido los permisos oportunos, deja libre al atacante para crear por ejemplo cuentas falsas o modificar las existentes y desviar dinero de una a otra.
El uso de virus en sistemas, también es considerado como un ataque de modificación o daño, por ejmplo los troyanos ocultos en programas que efectúan operaciones de modificación y borrado sin el control del usuario que los esta usando.
Existen troyanos que permiten el acceso a la computadora desde la red permitiendo que el atacante tome el control remotamente.
Los mas conocidos Back Orifice y NetBus entre otros….
Otra de las finalidades de estos ataques es desacreditar a entidades cambiando la pagina de inicio Web de una organización por otra de contenidos no deseados.
2.3.2- Borrado de huellas:
El atacante cuando accede a un sistema lo hace aprovechando las vulnerabilidades que este tiene, estas acciones se pueden ver reflejadas en los logs del sistema, monitores de red o si nuestra red posee un firewall en los logs del firewall.
Es importante una vez realizado el ataque saber borrar las huellas que son todas aquellas operaciones que se han realizado en el sistema durante el acceso indebido.
Estas operaciones se almacenan en el sistema en diferentes archivos denominados logs
Un log es un archivo normalmente de texto, donde quedan registradas con menor o mayor detalle, todos las acciones que se producen en un sistema. Actúan como diario del sistema y sirven para que el administrador lleve un control de todo lo que sucede y cuando sucede.
Estos logs debe ser debidamente manipulados para que el administrador no descubra por donde se accedió y que se instalo o modifico y así corregir la vulnerabilidad. o rastrear el acceso.
Los logs son configurables por los administradores del sistema, y son de gran ayuda a la hora de detectar posibles problemas.
Cuando se ataca un sistema se hace imprescindible borrar huellas modificando los distintos logs del sistema en los que queda reflejado todo lo que se ha hecho, si no se eliminan dichas huellas el administrador del sistema, puede averiguar por donde se accedió y que se hizo en el sistema y así poder evitar posteriores nuevos accesos.
Si se borran las huellas, encontrar los posibles agujeros es una tarea mas complicada para el administrador.
2.3.3- Ataques activeX
ActiveX es un conjunto de elementos desarrollados por Microsoft para darle al entrono Web un aspecto más vivo y dinámico.
Para mas información acerca de que son y como funciona visitar
Para prevenir las vulnerabilidades ActiveX utiliza certificados y firmas digitales, con entidad certificadora.
Aceptando un el control ActiveX , estamos dando capacidad suficiente al control para ejecutarse sin restricciones.
Si es el Administrador o un usuario con permisos de administrador el que acepta el control, el acceso sobre el sistema es total.
La mayoría de la gente acepta el control sin advertir de donde viene, y en ocasiones estos controles pueden ser inicio de un ataque con controles ActiveX.
La forma de actuar de estos controles dañinos se basa en la manipulación de algunos exploradores haciendo que no se solicite la confirmación a través de la entidad certificadora a la hora de descargarse un control.
De este modo se pueden instalar los controles sin control en el sistema.
En esta pagina podemos encontrar muchas herramientas para prevenir mucho ataques que se producen en la red, entre ellas los controles activeX
2.3.4- Ataques por vulnerabilidades
Las vulnerabilidades son puntos débiles de nuestros sistemas que son aprovechados parar acceder y realizar alguna acción maliciosa.
El software que utilizamos es sometido a numerosas pruebas para detectar y corregir las vulnerabilidades, pero esto no garantiza al 100% que no este libre de ser vulnerable.
Los desarrolladores de software cuando detectan alguna vulnerabilidad, la corrigen con los famosos parches.
Estas debilidades dan pie a numerosos ataques a través del red, un ejemplo son los virus que se introducen en el sistema explotando las vulnerabilidades o agujeros del sistema operativo, entre los mas conocidos están Blaster, Sasser, Bugbear.B, Klez.I, Nachi.A.
Para más información sobre estos virus y como actúan en el sistema se puede acceder a la dirección:
Los ataques que explotan las vulnerabilidades, se realizan por norma general remotamente, accediendo a través de la red.
Entre los ataques mas conocidos destacaremos:
- Ataques de “Ingeniería social”:
Estos ataques son los mas efectivos si el atacante tiene habilidad para convencer al usuario de realizar acciones para revelar login y password que serán usados posteriormente por el atacante.
Se pueden hacer o bien por teléfono o por correo electrónico. suplantando la identidad del Administrador del sistema.
Los datos solicitados se usaran posteriormente para acceder al sistema remotamente.
- Trashing o ataques de monitorización:
Este ataque consiste en monitorizar el sistema para descubrir posibles agujeros de seguridad que serán explotados posteriormente.
La única manera de mantenerse en la medida de lo posible a salvo de este tipo de ataque, es tener el sistema lo mas actualizado posible instalando los parches suministrados por el fabricante del software, y nunca revelar datos del sistema si no se conoce la fuente que los esta solicitando.
2.4- Ataques de puertas traseras BACKDOORS
Estos ataques son los mas desconocidos, pero no por ello los menos dañinos y habitualmente utilizados.
Una puerta trasera en si es un programa que permite remotamente acceder a un sistema con total libertad de movimientos,, es un acceso a un sistema o programa de tal manera que para el usuario es transparente.
Las puertas traseras se pueden producir por dos causas:
- Cuando un programador desarrolla una aplicación y establece que puertas traseras para acceder al programa mas rápidamente en la fase de pruebas.
- Por error o por fallos que se producen posteriormente.
Una puerta trasera no es peligrosa en si, pero si es cierto que es una entrada al sistema no controlada y esto si es peligroso para la seguridad e integridad.
Pero como funcionan realmente……?
La mayoría de las puertas traseras se introducen en nuestro sistema en forma de troyanos, que son programas encubiertos en otros, cuya finalidad es siempre malévola.
Para poder utilizar las puertas traseras debe existir un cliente y un servidor, los troyanos tienen la capacidad del instalar en el sistema un servidor para posteriormente acceder como cliente al pc y tener control remoto.
Una de las características de este tipo de ataque es que necesita de la colaboración de la victima, por lo que es importante saber de donde proceden los archivos o programas que recibimos y no aceptar nada que provenga de gente desconocida.
Estos programas se instalan sin que la victima tenga conocimiento de ello y se ejecuntan en segundo plano, pro ello no son visibles por la victima.
Algunos de los efectos producidos por la instalación de BackDoor son:
- Monitorización del sistema completo.
- Descarga de virus.
- Desinstalación e instalación de programas.
- Borrado de información de usuario.
- Manipulación del registro del sistema.
En esta página se muestra paso a paso como funciona una de las puertas traseras que se pueden transmitir por Internet
Algunos de los agentes externos que se aprovechan de estas “Puertas traseras” con fines malintencionados son:
2.4.1- Explotis:
Los exploits aprovechan las vulnerabilidades de los programas instalados para introducirse en el sistema.
Existen multitud de exploits a la carta para explotar los errores del software instalado.
Normalmente son programillas que están escritos en lenguajes de bajo nivel como C.
La ejecución de los exploits depende de la localización.
- Locales:
se deben ejecutar en la maquina localmente, para lo que se requiere un acceso a la misma.
- Remotos:
se ejecutan desde un Pc remoto y actúan sobre otro de la red a
través de puertos abiertos por servicios con vulnerabilidades.
Como es habitual la mejor manera de tener un sistema protegido contra los exploits es la continua actualización con los parches que corrigen las vulnerabilidades antes mencionadas.
2.4.2- Obtención de passwords Cracking:
Consiste en obtener las claves de acceso a los equipos a través de herramientas que realizan todas las combinaciones posibles, hasta dar con la correcta.
Este tipo de ataques son conocidos como ataques por fuerza bruta.
Poner passwords demasiado evidentes, o no cambiar nunca la palabra de paso hace mas sencillo este tipo de ataque.
2.4.3- Uso de diccionarios:
Se denomina así a un tipo de programas capaces de probar multitud de claves hasta encontrar la correcta. Estos ataques se pueden realizar por varios computadores simultanemente procesando datos.hasta dar con la clave buscada.
No hay comentarios:
Publicar un comentario