Ataque y defensa en redes informáticas

Transcripción

1 Ataque y defensa en redes informáticas ANTELO GÁSPARI, María Cecilia CARNEVALE, Federico

2 PREMISAS En todo sistema operativo, hay agujeros de seguridad En toda aplicación, hay agujeros de seguridad En todo sistema hay errores de configuración Los usuarios comunes carecen de información respecto al tema

3 MOTIVOS PARA LLEVAR ADELANTE UN ATAQUE INFORMÁTICO

4 MOTIVOS PARA LLEVAR ADELANTE UN ATAQUE INFORMÁTICO MICE: Money, Ideology, Compromise, Ego Consideraciones económicas ó políticas (fraude, extorsión) Diversión Venganza Ideología Realización personal Búsqueda de reconocimiento social y de pertenencia y estatus en una cierta comunidad de usuarios Testeo del sistema

5 Tipos de ataques Pasivos Activos Intercepción Interrupción Modificación Fabricante Divulgación Análisis de trafico Fuente Insider Outsider Insider: Usuario autentificado Outsider: Usiario externo a la red fisica ACTIVOS: producen cambios en la información y en la situación de los recursos de un sistema. PASIVOS: registran el uso de los recursos y/o acceden a la información guardada ó transmitida por el sistema.

6 Tipos de ataques

7 Ataques de interrupción: se produce la suspensión del servicio prestado (DoS). Ataques de interceptación o de monitorización: el atacante extrae información valiosa de la víctima, mediante técnicas de sniffing y sus variantes. No provocan daño directo, persiguen obtener información sobre las organizaciones y sus redes (escaneo de puertos, reconocimiento de SO, observación de tráfico). Ataques de modificación/suplantación de la identidad: el atacante se sitúa entre el servidor y la víctima. Intercepta los mensajes y los modifica maliciosamente para generar un falseo de datos que sea beneficioso para sí, o para generar un daño (man in the middle ó hijacking, spoofing, envenenamiento de caché ARP). Ataques de generación: el atacante genera un código malicioso y lo inyecta en el sistema de la víctima. Puede hacerlo conociéndola o no. En el primer caso, primeramente deberá detectar y documentar las vulnerablidades que aparecen en ese sistema, para luego desarrollar alguna herramienta que permita explotarlas. Se puede lograr la conexión no autorizada a equipos y servidores (troyanos, gusanos, bombas lógicas, rootkits, etc). Para llevar adelante este tipo de ataques, se requiere de Ingeniería Social.

8 CRACKERS LAMMERS HACKERS PROFESIONALES TIPOS DE INTRUSOS ESPÍAS SPAMMERS PIRATAS DESARROLLADORES DE MALWARE

9 Tipos de intrusos HACKERS: > Demuestran y ponen a prueba su inteligencia y conocimientos. >No pretenden provocar daños en los sistemas. >Su actividad se considera un delito. CRACKERS Ó BLACK HATS: >Atacan un sistema con el objetivo de obtener algún beneficio, o para generar un daño. LAMERS: >Obtienen información y programas para realizar ataques, sin tener conocimientos técnicos. >Responsables de un gran porcentaje de los ataques que suceden. ESPÍAS/SNIFFERS: >Rastrean, recomponen y descifran los mensajes que circulan por la red. SPAMMERS: >Envío masivo de correo electrónico no solicitado, a través de la red. PIRATAS INFORMÁTICOS: >Pirateo de programas y contenidos digitales. > Infringen sobre la propiedad intelectual. CREADORES DE MALWARE CRIMINALES PROFESIONALES

10 Pasos para realizar un ataque EL TRIÁNGULO DE LA INTRUSIÓN

11 Pasos para realizar un ataque 1) Identificación de la víctima, obtener footprint. Escaneo de sistemas, búsqueda de vulnerabilidades. 2) Obtención de acceso a esos sistemas, mediante la explotación de las vulnerabilidades encontradas. 3) Instalación de la herramienta necesaria para efectuar el ataque. 4) Efectuar el ataque propiamente dicho 5) Eliminar las pruebas. Incluso parchear la vulnerabilidad encubierta, para que no pueda ser utilizada por otros intrusos.

12 Consecuencias de un ataque Acceso a información confidencial. Utilización inadecuada de determinados servicios por parte de usuarios no autorizados. Transmisión de mensajes mediante un servidor de correo por parte de usuarios ajenos a la organización, lo cual podría generar el envío masivo de mensajes de spam a través de un servidor. Utilización de la capacidad de procesamiento de los equipos para otros fines, como por ejemplo, tratar de romper las claves criptográficas de otros sistemas. Creación de nuevas cuentas de usuarios con privilegios administrativos, que faciliten posteriores accesos al sistema comprometido. Consumo del ancho de banda de la red de la organización para otros fines. Almacenamiento de contenidos ilegales en los equipos. Modificación o destrucción de archivos guardados en un servidor (Data Corruption). Website vandalism : modificación del contenido y de la apariencia de determinadas páginas web pertenecientes a una organización. Desvío de los datos hacia otros destinos (Leakage). Suspensión de los servicios prestados (DoS).

13 Pasos para realizar un ataque Conocer el objetivo, obtener footprint: recopilación de información sobre los sistemas informáticos y las entidades a las que pertenecen. Para eso existen múltiples utilidades: Ping Whois Nslookup Finger Traceroute Nmap etc 1 Defensa es no dar información o información falsa: Deshabilitar los servicios que proporcionan información. Filtrado de paquetes. Herramientas como RotoRoute, que genera respuestas falsas frente a peticiones del tipo Traceroute.

14 Fingerprinting Es una técnica que permite extraer información de un sistema, es decir, su huella identificatoria respecto a la pila TCP/IP. Cada S.O. usa diferentes implementaciones para el protocolo TCP/IP. Obtener el S.O. que se ejecuta en el destino Necesidad de tener un puerto abierto (TCP y/o UDP) FIN probe ISN sampling Tamaño de win inicial TOS Bogus flag probe Bit DF Valor ACK Opciones TCP Protección: Ocultar el comportamiento característico de una implementación TCP/IP por medio de un parche; una herramienta capaz de hacerlo es IP personality.

15 Escaneo de puertos Una vez que se dispone de dispositivos a nivel IP activos, se procede a la búsqueda de vulnerabilidades, basada en una exploración de escaneo de puertos abiertos, tanto UDP como TCP. Herramienta por excelencia para realizar un escaneo de puertos es NMAP. Las técnicas existentes en el proceso de escaneo emplean diferentes procedimientos para descubrir información: TCP connect scan. TCP SYN scan. TCP FIN scan. TCP Xmas tree scan. TCP null scan. TCP ACK scan. TCP window scan. TCP RPC scan. UDP scan.

16

17

18

19

20 Nmap desde CMD

21

22 Escaneo basado en protocolo ICMP Es importante analizar los usos indebidos de este protocolo, porque pueden dar mucha información en caso de ataques, algunos ejemplos son: ICMP Echo (echo y echo reply): Se sabrá si una determinada IP está activa o no. ICMP broadcast: Con un echo a una red se consigue que todos los equipos respondan echo replay asociado (windows no responde a este tipo de paquetes). ICMP Timestamp: Si un sistema está activo, se recibirá un paquete indicando que implemente este tipo de transferencia y permite conocer la referencia de tiempo en el destino. Protección: Filtrar todos aquellos tipos de paquetes que no son necesarios para la funcionalidad asociada a los servicios de la red.

23 Analizador de inventario Consultor de Inventario de la Red, ofrece varios tipos de escaneos para asegurar un inventario de ordenador rápido. Puede inventariar cada ordenador con Windows, Mac OS X o Linux en su red, incluso los que están fuera de línea. Los dispositivos de red SNMP también se soportan. Basta indicar al programa lo que debe escanear, y comenzará a descubrir su red: encuentra todos los nodos dentro del rango IP, muestra la lista de computadoras del grupo de trabajo y extrae la estructura del dominio.

24

25

26

27 Sniffing Es un ataque pasivo de fuente tipo insider. Ataque realmente efectivo, ya que permite la obtención de gran cantidad de información. Necesidad de un medio compartido (segmento de red). Tiene opciones de filtrado para facilitar el objetivo. Se puede obtener información directa si un usuario de la red no utiliza encriptación (SSL). Se puede obtener información como cuentas de bancos, correos, contraseñas, cookies, sitios que la víctima visita, etc. Hoy en día con el uso masivo de las conexiones. inalámbricas, las redes pueden ser más vulnerables a este tipo de ataques.

28 Defensa contra sniffers : La primer defensa contra un ataque de sniffers, es la microsegmentación de una red mediante switches ( no es posible en red inalámbrica). Por desgracia existe otro ataque que puede vulnerar este tipo de defensa, llamado MAC flooding que convierte a un sw en un hub. Otra defensa, es utilizar encriptación de los datos por medio de protocolos seguros como SSH. Existen herramientas de detección de sniffers. El objetivo que la mayoría de pruebas tratan de conseguir, es que la máquina que tiene la tarjeta de red en modo promiscuo se traicione a sí misma, revelando que ha tenido acceso a información que no iba dirigida a ella. Pero muchas veces resulta imposible detectarlos. Usar redes inalámbricas seguras del tipo clave compartida. Utilizando sistema WEP, WEP2, WEP Plus (WEP tiene una vector de inicialización pequeño y aplicando técnicas relativamente simples de descifrado, puede vulnerarse la seguridad implementada, mediante sniffers de WIFI y Aircrack ).

29

30 Ataques a claves mediante cracking Fuerza bruta Forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. De Diccionario Consiste en intentar averiguar una contraseña probando todas las palabras del diccionario. Las herramientas utilizadas para este tipo de ataque son: l0phtcrack Cain Crack

31 Ataques de suplantación de la IP Spoofing identidad ARP Spofing DNS Spoofing SMPT Spoofing Web Spoofing GPS Spoofing

32 IP Spoofing Actuar en nombre de otro usuario Generacion de paquetes IP con direccion origen falsa Con esa direccion de IP falsa puede evitar filtros. Proteccion: los enrutadores actuales no admiten el envío de paquetes con IP origen no perteneciente a una de las redes que administra (los paquetes suplantados no sobrepasarán el enrutador). ARP Spoofing Se trata de construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP. El atacante hace un ARP-REPLY indicando su MAC como destino válido para una IP específica. Proteccion: Tablas ARP estaticas (dificil en redes grandes), usar programas de detección de cambios de las tablas ARP (Arpwatch) y el usar la seguridad de puerto de los SW para evitar cambios en las direcciones MAC. DNS Spoofing Se consigue falseando las entradas de la relación Nombre de dominio-ip de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto. Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el cache DNS de otro servidor diferente (DNS Poisoning).

33 Web Spoofing Enruta la conexión de una víctima a través de una página falsa hacia otras páginas WEB con el objetivo de obtener información de dicha víctima. El web spoofing es difícilmente detectable. Proteccion: algún plugin del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes páginas WEB significará que probablemente estemos sufriendo este tipo de ataque. SMPT Spoofing Suplantación en correo electrónico de la dirección de correo electrónico de otras personas o entidades. El protocolo no lleva a cabo ningún mecanismo de autenticación cuando se realiza una conexión TCP al puerto asociado. Proteccion: Se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Las medidas recomendadas para prevenir estos ataques son crear registros SPF y firmas digitales DKIM. GPS Spoofing Intenta engañar a un receptor de GPS transmitiendo una señal ligeramente más poderosa que la recibida desde los satélites del sistema GPS. Interés a nivel militar.

34 Routing Protocols Forma Vulnerar los protocolos de enrutamiento mediante la introducción de los paquetes de actualización de las rutas. Da la posibilidad de adecuar y condicionar los caminos que segura el trafico. Protocolo Un protocolo que puede ser falseado (spoofing) es el RIP (puerto 520 UDP). Es necesario identificar un router que hable en este protocolo. Proteccion Para proteger las actualizaciones de enrutamiento, cada router debe configurarse para admitir la autenticación. Los pasos para proteger las actualizaciones de RIPv2 son los siguientes: Paso 1. Impida la propagación de actualizaciones de enrutamiento RIP Paso 2. Impida la recepción de actualizaciones RIP no autorizadas. Paso 3. Verificar el funcionamiento del enrutamiento RIP.

35 Session Hijaking Permite la posibilidad de apoderarse de una sesión ya establecida. Este proceso podría suponer obviar todo el proceso de autenticación previo. TCP hijaking puede realizarse en entornos de red de difusión, basado en introducir paquetes en medio de una transmisión como si provinieran del dispositivo original. Mejor conocido como MitM, ya que el atacante debe situarse en el equipo que estableció la conexión original.

36 Man in the Middle Para realizar este ataque se deben conocer los números de secuencia actuales. Una vez obtenido el control, el objetivo será ejecutar algún comando que permita acceder al sistema remoto en forma directa. Una posible técnica empleada, es source-routing, de forma que los paquetes de vuelta lleguen al atacante y no al destino real. Otra posible técnica es Blind-hijacking, y se basa en adivinar o intuir las respuestas de los sistemas de la comunicación. Existen métodos para apoderarse de las conexiones encriptados por SSH o SSL como dsniff o ettercap.

37

38 Defensa contra MitM Existen varios tipos de defensa contra estos ataques MitM que emplean técnicas de autenticación basadas en: Claves públicas Autenticación mutua fuerte Claves secretas Passwords Otros criterios, como el reconocimiento de voz u otras características biométricas Las claves públicas pueden ser verificadas por una autoridad de certificación, cuya clave pública sea distribuida a través de un canal seguro (por ejemplo, integrada en el navegador web o en la instalación del sistema operativo).

39 TROYANOS Ó BACKDOORS (Programas bacteria) Son fragmentos de programas no autorizados que se introducen en otros con el objetivo de provocar comportamientos anómalos o no deseados en el programa original. Normalmente, este tipo de software se descarga al visitar una página o abrir un correo sin que el usuario se dé cuenta de ello. Existen virus diseñados no sólo para hacer daño sobre la integridad del sistema que se ataca, sino también para cometer fraudes y estafas. DEFENSA: Hacer un análisis exhaustivo de los puertos empleados para la comunicación exterior, así como también detectar las huellas que generan en los sistemas ficheros o registros.

40 ATAQUES DE DENEGACIÓN DE SERVICIO Sobrepasar los límites de recursos establecidos para un servicio determinado, eliminación temporal del servicio a sus usuarios No hay peligro de seguridad para las máquinas, ya que no modifican los contenidos de la información, ni permiten obtener información sensible El efecto puede durar mientras esté en marcha el ataque, o bien puede que persista.

41 MOTIVOS Se ha instalado un troyano y se necesita que la víctima reinicie la máquina para que surta efecto. Se necesita cubrir inmediatamente otro ataque Se provoca un "crash" del sistema, generando así la sensación de que ha sido algo pasajero y raro. El intruso cree que actúa bien al dejar fuera de servicio algún sitio web que le disgusta. El administrador del sistema quiere comprobar que sus instalaciones no son vulnerables a este tipo de ataques. El administrador no puede acceder al sistema Se necesita matar un proceso que no responde Lanza contra sí mismo un ataque que detiene esos servicios.

42 FORMAS PARA CONSEGUIR UNA DoS Ejecutar actividades que produzcan un elevado consumo de los recursos de las máquinas afectadas: procesador, memoria, y/o disco rígido, provocando una caída en su rendimiento. Provocar el colapso de redes de computadoras, mediante la generación de grandes cantidades de tráfico, generalmente desde múltiples objetivos. Realizar sabotajes mediante routers maliciosos : proporcionan información falsa sobre tablas de enrutamiento, e impiden el acceso a ciertas máquinas de la red. Transmitir paquetes malformados o que incumplan las reglas de un protocolo, para provocar la caída de un equipo que no esté preparado para recibir tráfico malintencionado. Para ello, se suelen utilizar protocolos no orientados a la conexión, como UDP ó ICMP, o bien el protocolo TCP, sin llegar a establecer una conexión completa con el equipo atacado. Activar programas bacteria : su objetivo es replicarse en un sistema informático, consumiendo la memoria y la capacidad el procesador, hasta detener por completo al equipo infectado.

43 Colapso de redes de computadoras PASOS: 1)Encontrar un servidor o un servicio objetivo, que tenga los ports abiertos y/o que posea vulnerabilidades sobre las cuales aprovecharse para poder ingresar. En definitiva, uno que acepte conexiones entrantes y que no requieran autenticación para poder acceder. Entre los típicos, podemos encontrar: servidores WEB servidores DNS servidores de 2)Sobrepasar las capacidades de esos servidores Si no se envía tráfico específico, y sólo se trata de peticiones de conexión IP FLOODING

44 IP FLOODING Cientos de miles de conexiones simultáneas a un mismo servidor víctima (tráfico basura) consumo de recursos y degradación de la respuesta (consumo de ancho de banda). Se basa en los protocolos ICMP y UDP, ya que se tratan de protocolos no orientados a la conexión y que permiten el envío de paquetes sin requisitos previos. Se aplican en redes locales o en conexiones con un ancho de banda importante. TRÁFICO ALEATORIO Sólo se busca degradar la calidad del servicio ofrecido sobre la red DIRIGIDO Se busca dejar fuera de servicio la red y colapsar el equipo destino

45 DDoS :Denegación de Servicio Distribuida Para incrementar la potencia del ataque, se envían ataques DoS desde diferentes lugares de la red. Los participantes pueden ser voluntarios, o formar parte de una botnet. El atacante debe aprovechar las vulnerabilidades en sus sistemas operativos y aplicaciones, con el fin de apoderarse de ellos e instalarles un servicio que acepte órdenes, típicamente un virus, que abre puertas traseras y facilita el control remoto de su sistema. Los infectados no se enteran, pero pueden saberlo si revisan el tráfico saliente y también por la degradación en el ancho de banda de su conexión. TRINOO

46 TRINOO

47 TRINOO Topología master-slave. El atacante obtiene permisos de administrador en las máquinas que va a controlar. Estas deberán ser equipos interconectados en grandes redes corporativas, con buen ancho de banda y en los que el origen del ataque pudiera pasar desapercibido. El atacante tratará de realizar un ataque de intrusión a un primer equipo de estas redes, desde donde continuará con la búsqueda de nuevos equipos vulnerables y procederá a su infección de igual manera que como realizó con el primer equipo. Ejecución de tareas periódicas para tratar de esconder los rastros de la intrusión que puedan delatar la entrada en el sistema y la detección del origen en el ataque. La comunicación siempre se inicia con la transmisión de una contraseña. Esto permite que ni el administrador del equipo ni otros atacantes, puedan acceder al control de la red de ataques TRINOO. La comunicación entre las distintas capas, se realiza mediante conexiones TCP (fiables) para la parte atacante-master, y conexiones UDP (no fiables) para la parte master-slave, en puertos específicos de cada máquina.

48 Defensa contra TRINOO Emplear sistemas de monitorización para la protección de redes (firewall, sistemas de detección de intrusos, IDS) capaces de filtrar tráfico TCP y UDP que va hacia determinados puertos.

49 Transmisión de paquetes malformados PING DE LA MUERTE LAND ATTACK SUPERNUKE TEARDROP TCP SYN FLOOD

50 PING DE LA MUERTE Enviar un paquete de ping (ICMP echo request) de un tamaño muy grande, es decir, superior a bytes. El paquete es fragmentado, a nivel IP, por las redes intermedias, y cuando el sistema destino recibe los últimos pedazos, desborda el buffer de memoria de la pila TCP/IP, ocasionando que el sistema destino deje de proveer servicio al bloquearse, por reboot o por shutdown. Actualmente, los sistemas operativos no permiten que se envíen paquetes de tamaños tan grandes, directamente se ve: gffh

51 LAND ATTACK Basado en TCP, consiste en el envío de paquetes SYN, en los que la dirección y el puerto de origen son iguales a la dirección y puerto destino, de forma tal de bloquear el sistema. SUPERNUKE Se trata de un ataque contra algunos sistemas windows, que se quedan colgados o disminuyen drásticamente su rendimiento, al recibir paquetes UDP manipulados (fragmentos de paquetes Out-Of-Band), dirigidos contra el puerto 137. DEFENSA: Instalar los parches adecuados suministrados por el fabricante del sistema operativo.

52 Envío de paquetes TCP/IP fragmentados de forma incorrecta. Modificación de los campos de posición y longitud del header IP, para introducir incoherencias cuando se produzca la reconstrucción del datagrama original. Los equipos vulnerables se cuelgan al recibir este tipo de ataques maliciosos. DEFENSA: Aplicar parches del sistema operativo TEARDROP

53 TCP SYN FLOOD Consiste en el envío masivo de peticiones de inicio de conexión (SYN), que nunca se podrán establecer.

54 Three-way handshake: el cliente nunca responderá con un ACK No se podrá establecer la conexión, pero quedará en half open, para la cual el servidor reservará cierta cantidad de memoria en buffer, con el fin de almacenar las estructuras de datos que esperaría recibir La memoria del destino quedará copada en su totalidad por conexiones falsas, no siendo posible el establecimiento de conexiones de clientes reales, con la consecuencia de anular el servicio. Es obligatorio que la IP origen sea inexistente, ya que si no, el objetivo, logrará responderle al cliente con un SYN/ACK, y como esa IP no pidió ninguna conexión, le va a responder al objetivo con un RST, y el ataque no tendrá efecto. Las conexiones "semiabiertas" van caducando tras un tiempo, liberando "huecos" para nuevas conexiones, pero mientras el atacante mantenga el SYN Flood, la probabilidad de que una conexión recién liberada sea capturada por un nuevo SYN malicioso es muy alta. El inconveniente sería que el atacante debería tener una capacidad suficiente como para mantener abiertas todas las sesiones que colapsan el servidor atacado. DEFENSA: Las técnicas del tipo de establecimiento de conexión, no tienen solución, ya que se trata de la competencia entre los usuarios falseados y los legítimos para lograr comunicarse con el servidor. Si el ataque utiliza además IP Spoofing, entonces es casi imposible detenerlo.

55 SMURF (tormenta de broadcast)

56 Envío masivo de mensajes de control ICMP de echo request (ping) dirigidos a direcciones de broadcast, empleando la dirección del equipo víctima, que se verá desbordado por la cantidad de mensajes de respuesta generados en la red de equipos, que actúa como amplificadora del ataque. En conjunto con la técnica de IP Spoofing, se puede enviar un paquete ICMP con la dirección IP origen de la máquina a atacar y como dirección IP destino la de broadcast de una red con un elevado número de máquinas. Así, todas las respuestas de la red de broadcast se dirigirán realmente a la dirección IP del sistema spoofeado. Los sistemas windows no son vulnerables a este tipo de ataques. DEFENSA: Restringir el tráfico de broadcast desde fuera de la red hacia adentro, evitando ser así, multiplicador de tráfico. Es decir, que lo que se parchea son las máquinas/redes que puedan actuar de intermediarias (inocentes) en el ataque y no la máquina víctima. Los routers o firewalls deben ser los encargados de filtrar esos mensajes: si el router/firewall de salida del atacante estuviera convenientemente configurado para evitar spoofing, filtraría todos los paquetes de salida que tuvieran una dirección de origen que no perteneciera a la red interna.

57 MECANISMOS DE DEFENSA CONTRA ATAQUES DEL TIPO DoS Listas de Control de Acceso (ACL) Limitadores Híbridos

58 LISTAS DE CONTROL DE ACCESO (ACL): Se trata de una serie de reglas que se aplican para administrar permisos, con el fin de frenar determinado conjunto de paquetes IP. Provee protección a una red, controlando el movimiento de tráfico desde afuera y hacia adentro de ese punto. Cuando se aplica un ACL a un router, se chequean los paquetes IP entrantes para verificar si satisfacen una tabla ACL antes de ingresar. Sin embargo, el problema que tiene, es que a medida que crece esta tabla de reglas, se degrada la performance de la red, haciéndola más difícil de administrar. Además, podría llegar a restringir tráfico legítimo. Es un método efectivo para redes pequeñas, pero directamente no sirve para frenar los ataques distribuidos de denegación de servicio, ya que el flujo proviene de hosts de diferentes redes. LIMITADORES: La diferencia con las ACLs, es que no separan la red completamente de la víctima, sino que imponen un umbral de límite de tráfico, que el servidor es capaz de manejar. No es la solución ideal, porque siguen aceptando un tráfico potencialmente peligroso, ya que es posible que provenga de atacantes. HÍBRIDOS: Una combinación de las anteriores. Es un método efectivo para frenar el tráfico malicioso y además brindando acceso completo al tráfico legítimo.

59 CONSIDERACIONES/CONCLUSIONES 1)La topología de una red, define la cantidad de tráfico atacante que puede pasar a través de ella TOPOLOGÍA 1 TOPOLOGÍA 2

60 CONSIDERACIONES/CONCLUSIONES 2)Cuanto más elementos de red haya en el camino, más seguro estará el servidor ante daños físicos o de los exploits. Pero, se verán comprometidos los routers y switches Si el interés principal es mantener sus datos seguros más que la salud de sus dispositivos de red o la eficiencia de las conexiones a su red, entonces deberá optar por aumentar el número de routers y switches que segmenten su red, bajo el costo de la demora de respuesta del servidor y además, de una red económicamente más costosa de montar Relación de compromiso entre seguridad y performance. 3) Siempre combinar el uso de ACL y limitadores.

61 MEDIDAS PREVENTIVAS Mantener las máquinas actualizadas y seguras físicamente. Mantener personal especializado en cuestiones de seguridad (o subcontratarlo). Aunque una máquina no contenga información valiosa, hay que tener en cuenta que puede resultar útil para un atacante, a la hora de ser empleada en un DoS coordinado o para ocultar su verdadera dirección. No permitir el tráfico "broadcast" desde fuera de nuestra red. De esta forma evitamos ser empleados como "multiplicadores" durante un ataque Smurf. Filtrar el tráfico IP Spoof. Auditorías de seguridad y sistemas de detección. Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados. Para esto es recomendable estar suscripto a listas que brinden este servicio de información. Por último, pero quizás lo más importante, la capacitación continua del usuario

62 PREGUNTAS SUGERIDAS Qué es spoofing y para qué tipo de ataque puede servir? Cómo se defiende de un ataque tipo sniffer? Qué es un ataque DoS? Mencione dos formas que puede emplear para llevarlo adelante y explique en qué consiste uno de los posibles ataques de este tipo. Como administrador de una red, qué debería tener en cuenta a la hora de montarla, para prevenir un ataque DoS?

63 LISTO!... PREGUNTAS?