TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP. Técnico en Seguridad de Redes y Sistemas 2011, Juan Pablo Quesada Nieves

Transcripción

1 TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP 2011, Juan Pablo Quesada Nieves

2 TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP Tipos de Ataques en TCP/IP Técnicas para la Búsqueda de Objetivos de un Ataque Mecanismos para Obtención de Información acerca de Objetivos Bibliografía y Recursos Web 2

4 Introducción (1/3) Los ataques consisten en valerse de vulnerabilidades de la red o de un sistema informático Los primeros ataques a través de la red se aprovechaban de las vulnerabilidades del protocolo TCP/IP Conforme TCP/IP ha ido superando esas vulnerabilidades y se ha hecho más fuerte en el ámbito de la seguridad, los ataques se han dirigido a la capa de aplicaciones y, principalmente, a la Web 4

5 Introducción (2/3) Los ataques se realizan por diversas razones: obtener información privilegiada dañar el funcionamiento normal de un servicio o de un SI usar el sistema para otro ataque diferente utilizar recursos dañar la imagen de la empresa o persona Intentan comprometer la confidencialidad, la disponibilidad y la integridad de los recursos de la red 5

6 TIPOS DE ATAQUES EN TCP/IP Introducción (3/3) Tipos de ataque: Sniffing (Rastreo) Spoofing (Falsificación) DoS (Denegación de Servicio ) 6

7 Sniffing (1/3) Este ataque consiste en supervisar el tráfico generado en un red El elemento utilizado para escuchar todo lo que se mueve por la red se denominasniffer oanalizadorde red, que puede ser tanto software como hardware El software utilizado como sniffer activa lo que se conoce como modopromiscuodelatarjetadered en la máquina donde se ejecuta, lo que permite obtener todas las tramas Ethernet que se envían dentro de la misma Red de Área Local 7

8 Sniffing (2/3) Para poder activar el modo promiscuo, en sistemas UNIX debemos ser usuario root, mientras que en sistemas WINDOWS debemos tener permisos de administrador Los sniffers activan este modo de manera automática Actualmente, las conexiones a través de cable se llevan a cabo mediante switches, en lugar de los antiguos hubs, lo que hace que el tráfico sea dirigido a su destino, de forma que se complica el uso de sniffers 8

9 TIPOS DE ATAQUES EN TCP/IP Sniffing (3/3) Para la escucha en redes inalámbricas el sniffing sigue siendo muy eficaz y utilizado 9

10 Utilidad de los sniffers (1/2) Analizar el tráfico de red dentro de nuestra empresa o de nuestro hogar para poder encontrar incidencias, como congestiones en la red, cuellos de botella, intrusiones, etc. Detectar fallos en los paquetes, ya sea porque llegan corruptos, no llegan las tramas de confirmación o se duplican Convertir el tráfico que viaja por la red (ceros y unos) en señales analógicas comprensibles para el humano 10

11 Utilidad de los sniffers (2/2) Crear ficheros con las capturas realizadas y establecer filtros sobre ellas para ver lo que queramos en concreto, y así analizar el tráfico de la red Crear estadísticas y gráficos de todo tipo, por ejemplo por tipo de protocolo, por dirección IP, por dirección MAC, Capturar nombres de usuario y contraseñas que viajan por la red sin encriptar 11

12 Protección contra sniffers Hacer uso de otros sniffers Utilizar switches Utilizar firewalls Encriptar la información que viaja por la red SSL (Secure Sockets Layer), para el caso de la Web PGP (Pretty Good Privacy) y S/MIME (Secure Multipurpose Internet Mail Extensions), para el caso del correo electrónico SSH (Secure SHell), para el caso del acceso remoto a servidores UNIX VPN (Virtual Private Network) 12

13 Spoofing (1/2) Este ataque consiste en suplantar la identidad de otra máquina de la red para tener acceso a los recursos de un tercer sistema de manera maliciosa, basándose en algún tipo de confianza, ya sea el nombre o la dirección IP del host suplantado Las técnicas de spoofing van desde engañar al propio servidor falseando simplemente una dirección IP, hasta lo que sería engañar directamente al usuario final (entrando ya en Ingeniería Social) 13

14 Spoofing (2/2) Uno de los ejemplos más típicos de spoofing es el phishing Existen varias técnicas de spoofing: IP Spoofing ARP Spoofing DNS Spoofing En un ataque de tipo spoofing existen tres máquinas en juego: Máquina atacante Máquina atacada Máquina a suplantar 14

15 IP Spoofing (1/2) Esta técnica consiste en conseguir una dirección IP de un host o un servidor, y hacerse pasar por él con el objetivo de obtener información confidencial o provocar un ataque DoS La dirección IP la sustituimos dentro de un paquete TCP/IP, como pueden ser los clásicos ICMP, UDP o TCP, y el sistema atacado responderá a esta dirección suplantada, no a la nuestra 15

16 IP Spoofing (2/2) Un ejemplo de ataque IP Spoofing consistiría en mandar un ping con la dirección IP origen falseada. El host atacado respondería al ping, lo que provocaría que el sistema suplantado recibiera respuesta sin haberla solicitado Hoy en día un ataque clásico de IP Spoofing es bastate difícil de conseguir, ya que los enrutadores actuales no permiten que se envíen paquetes con direciones IP que no pertenezcan a la red, por lo que los paquetes que intentemos mandar no van a pasar del router 16

17 ARP Spoofing (1/4) Consiste en la construcción de tramas ARP de solicitud y respuesta falseadas, de manera que se fuerce al host atacado a enviar los paquetes al atacante en vez de hacerlos directamente al sistema de destino Las comunicaciones TCP/IP se basan en la resolución de la dirección IP en función de la dirección MAC y, para ello, en nuestra máquina residen tablas ARP que asocian las direcciones MAC con las direcciones IP de la red. Este ataque trataría de falsear estas direcciones MAC basándose en el envenenamiento de la tabla ARP (ARP Poisoning) 17

18 ARP Spoofing (2/4) Para ver la tabla ARP de nuestro equipo ejecutamos el comando arp a desde una consola o terminal Las tarjetas de red en nuestro equipo se visualizan ejecutando el comando ipconfig /all (Windows) o ifconfig a (Linux) desde una consola o terminal Cuando una máquina de la red necesita resolver una dirección IP, hace un ARP request a la red preguntando por dicha dirección IP. Cuando la máquina con esa dirección IP recibe la petición, hace unarpreply con su dirección MAC 18

19 ARP Spoofing (3/4) Un típico ataque ARP Spoofing es Man In The Middle. El atacante recoge la información del atacado y se la envía al equipo suplantado para que parezca que se trata de una comunicación normal La única manera de detectar este ataque sería analizando el tráfico de red y viendo que existen dos máquinas con diferentes direcciones IP y con las mismas direcciones MAC 19

20 ARP Spoofing (4/4) Haciendo este ataque conseguimos ver todo el tráfico que va dirigido de una máquina a otra. Si las conexiones que se realizan entre ambas no van cifradas, podríamos obtener información confidencial mediante el uso de unsniffer 20

21 DNS Spoofing (1/2) Trata de asociar el nombre del dominio de una página web con la dirección IP de una máquina que no es la real, es decir, engañar al usuario final con una dirección IP de un servidor donde se alojaría otra página web Este ataque podría también realizarse de manera más facil si directamente pudiéramos acceder al fichero de asociación de DNS de un host en concreto (C:\Windows\System32\drivers\etc\hosts) 21

22 DNS Spoofing (2/2) También se podría comprometer un servidor DNS infectando la caché de otro, es decir, haciendo lo que se conoce como Envenenamiento DNS o DNS Poisoning 22

23 DoS DoS (Denial of Service -Denegación de Servicio-) es un ataque dirigido a una máquina, o conjunto de máquinas, con el objetivo de terminar parcial o totalmente con los servicios que ofrece El ataque DoS se basa en intentar consumir todos los recursos de una máquina (ancho de banda o ciclos de procesador) sin dejar espacio libre para peticiones legítimas 23

24 DDoS En el ataque DoS tradicional, una máquina lanza el ataque a otra; en el ataque DDoS (Distributed Denial of Service -Denegación de Servicio Distribuida-) es un conjunto de máquinas distribuidas las que apuntan a un mismo objetivo Este tipo de ataque se suele hacer mediante botnets, conjunto de máquinas robots que se pueden ejecutar de manera autónoma, pero controlada por otra Normalmente, se infectan varias máquinas dispersadas geográficamente (máquinas zombies) y se lanza el ataque desde todas ellas, muy difícil de interceptar 24

25 Métodos de ataque DoS Dirigidos a consumo de ancho de banda: Inundación ICMP (ICMP Flood) Smurf Inundación UDP (UDP Flood) Fraggle Dirigidos a atacar la conectividad: Inundación SYN (SYN Flood) 25

26 ICMP Flood Inundación ICMP, Ping Flood o ICMP Flood es un ataque, por lo general DDoS, que trata de saturar la red con un gran número de paquetes ICMP Una manera de realizar este ataque es mediante botnets. Si conseguimos instalar un ping flooder en multitud de máquinas y ejecutamos el ping flood desde todas esas máquinas de manera simultánea hacia un servidor, probablemente se colapsará y se producirá la denegación del servicio 26

27 Smurf (1/3) Versión de ICMP Flood que utiliza también la inundación por ping, pero se envía a toda la red, es decir, el efecto que tiene el ataque está amplificado Se basa en el uso de servidores de difusión para poder analizar una red entera 27

28 Smurf (2/3) Pasos del ataque: 1. El atacante envía una solicitud echo request mediante un ping a uno o varios servidores de difusión falsificando la dirección IP origen por el de la víctima 2. El servidor lo envía al resto de la red 3. Las máquinas de la red responden al servidor 4. El servidor de difusión envía la respuesta al equipo destino 28

29 TIPOS DE ATAQUES EN TCP/IP Smurf (3/3) 29

30 UDP Flood Este ataque consiste en generar grandes cantidades de paquetes UDP contra la víctima elegida Fraggle Ataque similar al Smurf, pero haciendo uso de paquetes UDP en lugar de ICMP 30

31 SYN Flood (1/2) Ataque DoS que consiste en saturar el tráfico de red aprovechando el mecanismo de negociación Threeway handshake que realiza el protocolo TCP al iniciar una conexión 31

32 SYN Flood (2/2) Consiste en enviar a una máquina (normalmente un servidor) muchas solicitudes SYN con una dirección de usuario inexistente, lo que causa que la máquina atacada se quede en espera del ACK que mandaría el supuesto usuario 32

34 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Obtención de información general (1/4) Cuando se quiere comprometer una máquina, lo primero que es necesario hacer es analizar y estudiar un objetivo Para buscar información tenemos una gran variedad de herramientas, técnicas y destrezas Entre los datos que necesitamos conocer se encuentran: Nombre del dominio Dirección IP Servicios disponibles (TCP y UDP) 34

35 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Obtención de información general (2/4) La herramienta de las herramientas es, sin duda, Internet Una vez se dispone del dominio, se pueden utilizar sitios web públicos para recabar más información, como los grupos de noticias, los foros de Internet y los canales de chat Un administrador de sistemas podría preguntar cómo se configura un determinado servicio en su nuevo servidor En esta consulta el administrador facilitaría, a todo el que la quisiera leer, información sobre su máquina y sus datos de contacto 35

36 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Obtención de información general (3/4) En Internet las cosas tienen que estar organizadas a nivel global, ya que la red de redes funciona para todo el planeta La organización de dominios para los usuarios se realiza desde varios organismos Cada país tiende a tener su propia web de gestión de dominios para evitar que varias personas o empresas registren el mismo dominio. Así, España tiene Portugal tiene etc. Para los dominios.com está 36

37 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Obtención de información general (4/4) Existen también direcciones alternativas donde poder encontrar información sobre los dominios a investigar, tales como o 37

38 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Búsqueda de máquinas (1/2) Por razones de seguridad, las transferencias DNS replican la información de un servidor DNS a otro servidor DNS conocido como secundario Teóricamente, sólo máquinas autorizadas pueden solicitar y recibir estas transferencias, pues la información que se facilita es bastante sensible La información que se envía incluye unas tablas donde figuran las máquinas cara a Internet de una organización, a veces con sus sistemas operativos 38

39 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Búsqueda de máquinas (2/2) El solicitar una transferencia de zona a un servidor DNS y obtener las tablas mencionadas obedece a un error de configuración en los propios servidores DNS 39

40 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Técnicas de rastreo (1/3) Los puertos son las puertas y ventanas de acceso a un dispositivo, es decir, los puntos donde se realiza la conexión de red que brindan un servicio en un dispositivo Cuando una máquina quiere ofrecer un servicio abre un puerto y espera a que se realicen peticiones sobre el mismo. Las máquinas que quieren disfrutar de ese servicio realizan peticiones sobre ese puerto 40

41 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Técnicas de rastreo (2/3) Varias máquinas pueden conectarse al tiempo a un único puerto, pero las acciones de lectura/escritura sólo se pueden realizar de una en una Todas las comunicaciones realizadas entre diferentes dispositivos conectados en la red se basan en un protocolo elegido El escaneo de puertos es una de las técnicas más ruidosas, pues genera un aumento del tráfico en la red 41

42 TÉCNICAS PARA LA BÚSQUEDA DE OBJETIVOS DE UN ATAQUE Técnicas de rastreo (3/3) El escaneador de puertos tratará de detectar cuáles son los puertos abiertos, lo que es fácilmente detectable por cualquier cortafuegos o detector de intrusos, lo que nos dejará absolutamente al descubierto, ya que nuestra propia IP es transmitida en el proceso 42

44 MECANISMOS PARA OBTENCIÓN DE INFORMACIÓN ACERCA DE OBJETIVOS Averiguación de nombres de usuario Existen herramientas para averiguar los nombres de usuario de un equipo en concreto o de los equipos conectados a una red Herramientas disponibles (en sistemas UNIX) pueden ser: finger, who, rwho, rusers 44

45 MECANISMOS PARA OBTENCIÓN DE INFORMACIÓN ACERCA DE OBJETIVOS Ingeniería social Ataque que afecta al objetivo de la confidencialidad de la seguridad informática Consiste en obtener información secreta de una persona u organismo para utilizarla posteriormente con fines maliciosos Los ingenieros sociales utilizan el correo electrónico, páginas web falsas, el correo ordinario o el teléfono para llevar a cabo sus planes Ejemplos importantes: Phishing Pharming 45

47 BIBLIOGRAFÍA Y RECURSOS WEB García-Moran, J.P.; Fernández Hansen, Y.; Martínez Sánchez, R.; Ochoa Martín, Ángel; Ramos Varón, A.A.: Hacking y Seguridad en Internet. Edición Ra-Ma Jimeno García, M.T.; Míguez Pérez, C.; Heredia Soler, E.; Caballero Velasco, M.A.: Destripa la Red. Edición ANAYA MULTIMEDIA