Denegación de Servicio (DoS)



Documentos relacionados
Práctica de Seguridad en Redes

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores

Aspectos Básicos de Networking

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Firewall Firestarter. Establece perímetros confiables.

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Qué son y cómo combatirlas

Práctica de laboratorio c Funciones de múltiples listas de acceso (Desafío)

Redes de Área Local: Configuración de una VPN en Windows XP

Encriptación en Redes

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos:

BREVE INTRODUCCIÓN A IPSEC

Ataques de Denegación de Servicio Seguridad en Internet

Firewalls, IPtables y Netfilter

ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES

CFGM. Servicios en red. Unidad 2. El servicio DHCP. 2º SMR Servicios en Red

Redes de Computadores con Itinerancia Wi-Fi y VPN Redes de Computadores I ELO-322

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

INTRODUCCION. Ing. Camilo Zapata Universidad de Antioquia

66.69 Criptografía y Seguridad Informática FIREWALL

Seguridad Informática

Seguridad de la información: ARP Spoofing

Consideraciones Generales: Tradicionalmente, debido al medio de transmisión físico, las redes cableadas son más seguras que las redes inalámbricas.

TRANSFERENCIA DE FICHEROS FTP

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Guía rápida Arris TG862

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

CCNA 3 EXAMEN 7 SU PUNTUACION ES 100%. RESPUESTAS CORRECTAS AL PRIMER INTENTO: 21/21 EJERCICIO COMPLETADO

Qué equilibra la importancia del tráfico y sus características con el fin de administrar los datos? Estrategia QoS

Presentación de BlackBerry Collaboration Service

Práctica de laboratorio: Uso de Wireshark para examinar tramas de Ethernet

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software - info@solucionempresarial.com.

Proceso de resolución de un nombre de dominio. Javier Rodríguez Granados

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING.

FUNDAMENTOS DE COMPUTACION TECNOLOGIA VPN. Integrantes: Luis Mario Galarza, Andrés Santos P. INTRODUCCION ( QUE ES VPN?)

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Diseño e implementación de un sistema de seguridad perimetral ZENTYAL. Henry Alexander Peñaranda Mora cod Byron Falla cod

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

Las redes y su seguridad

Internet, conceptos básicos

ARQUITECTURAS CLIENTE/SERVIDOR

Capítulo 8, Sección 8.6: IPsec

Es un conjunto de dispositivos interconectados entre si que comparten recursos y/o servicios como video, voz y datos a través de medios guiados, no

Unidad IV: TCP/IP. 4.1 Modelo Cliente-Servidor

Diseño de aplicaciones móviles seguras en Android.

Principios básicos de las redes propias Nokia N93i-1

Arquitecturas cliente/servidor

VPN. Luis Opazo A. Dirección de Informática. Temuco, 10 de Septiembre Quées una VPN?

INFORMÁTICA IE. Términos a conocer y conceptos básicos. World Wide Web (WWW):

CONFIGURACIÓN DE UNA VPN TIPO INTRANET:

Sistemas de seguridad en redes inalámbricas: WEP, WAP y WAP2

Redes Locales: El protocolo TCP/IP

Arquitectura de Redes y Sistemas de Telecomunicación

Arquitectura de sistema de alta disponibilidad

Windows Server Windows Server 2003

Redes (IS20) Ingeniería Técnica en Informática de Sistemas. CAPÍTULO 8: El nivel de transporte en Internet

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Lección 12: Seguridad en redes Wi Fi

WINDOWS : TERMINAL SERVER

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

Estructuras de Sistemas Operativos

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

TUTORIAL: Cómo hacer más segura nuestra red MAC OS X

3.INSTALACIÓN Y CONFIGURACIÓN DE LOS EQUIPOS DE RED

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

Instalación, creación y configuración del servicio FTP

HERRAMIENTA PARA EL MAPEO DE LA RED

AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7

CONFIGURACION DE SERVIDOR SSH EN REDHAT. Redhat para todos. Breve manual de configuración de servidor FTP en redhat

Introducción a las Redes de Computadoras. Obligatorio

GUIA COMPLEMENTARIA PARA EL USUARIO DE AUTOAUDIT. Versión N 02 Fecha: 2011-Febrero Apartado: Archivos Anexos ARCHIVOS ANEXOS

TÉCNICAS Y HERRAMIENTAS DE ATAQUE A REDES TCP/IP. Técnico en Seguridad de Redes y Sistemas 2011, Juan Pablo Quesada Nieves

RECETA ELECTRÓNICA Informe de Seguridad

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Direcciones IP IMPLANTACIÓN DE SISTEMAS OPERATIVOS 1º ASIR. En redes IPv4.

La interoperabilidad se consigue mediante la adopción de estándares abiertos. Las organizaciones OASIS y W3C son los comités responsables de la

TEMA 3. REDES Y SEGURIDAD INFORMÁTICA

Protocolo ARP. Address Resolution Protocol

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH

Laboratorio de Redes de Computadores

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

Dispositivos de Red Hub Switch

15 CORREO WEB CORREO WEB

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

Gracias a ese IP único que tiene cada ordenador conectado a la red de internet se pueden identificar y comunicar los ordenadores.

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

Tabla de contenido. 1. Objetivo Asignación de responsabilidades Alcance Procedimientos relacionados...4

Manual de Acceso Remoto al Portal Timbó. Montevideo 2011

DHCP. Dynamic Host Configuration Protocol. Protocolo de Configuración Dinámica de Host. Administración de Redes de Computadores

Redes de Computadores I

Tema 4 Cortafuegos. Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA de la clase.

QUE ES SOLUCIÓN NET-LAN

TEMA 5 SISTEMA/ ADMINISTRACIÓN AUTORIZACIÓN.

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

Resumen del trabajo sobre DNSSEC

Práctica 5. Curso

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

Transcripción:

ASI - DoS,1 Denegación de Servicio (DoS) Curso 2013/14 Grado Asignatura Gestión Informática Empresarial Auditoría y Seguridad Informática Profesores Alfredo Cuesta Infante alfredo.cuesta@ajz.ucm.es Alberto Herrán González aherran@ajz.ucm.es

ASI - DoS,2 Contenidos Definición y visión global DoS directo Ping flood SYN spoofing DoS con intermediarios DoS distribuido Ataque por reflexión Ataque con amplificación Pero cómo se hace spoofing? Defensas contra un DoS Otros ataques Redes privadas virtuales Seguridad en redes WiFi Desbordamiento de memoria

ASI - DoS,3 Denegación de Servicio (DoS) Definición La denegación de servicio, Denial of Service, o DoS es un ataque desde la red cuya acción impide el uso autorizado de redes, sistemas o aplicaciones mediante el agotamiento de sus recursos. Clasificación mediante blanco del ataque Blanco del ataque Recurso agotado Ejemplo Redes Ancho de banda ping flood Sistemas Software que gestiona la red SYN spoofing Aplicaciones Una aplicación de red concreta Firefox Clasificación mediante número de hosts empleados Desde un único host, directamente contra el atacado. Utilizando intermediarios: Ataque distribuido, DDoS Distributed DoS. Ataque por reflexión Reflection attack. Ataque con amplificación Amplifier attack.

ASI - DoS,4 DoS Ping flood Ataque básico Opción flood del ping de Linux: ejecutar ping -f contra una IP destino...pero: La IP de la fuente (atacante) se identifica en el paquete ICMP. Por tanto: El atacante es descubierto, y lo que es peor... el eco de cada paquete vuelve hacia él, por lo que también se satura su equipo. El atacante intentará lanzar ping imitando, spoofing, otra dirección fuente. Spoofing de la dirección fuente 1. El atacante genera paquetes ICMP con diferentes direcciones fuente. 2. El atacado comienza a responder a cada paquete. 3. Cada paquete respondido llega al host real, aquel cuya IP había sido imitada. 4. Si existe, puesto que no ha enviado nada, envía un mensaje de error de vuelta. Si no existe entonces el paquete puede acabar volviendo a su origen. Resultado: El atacante no se identifica, no satura su red, al atacar desde varias IP rebaja las posibilidades de ser rechazado por IDSs, y logra que el atacado tenga aún más tráfico que sólo generado por el ping.

ASI - DoS,5 DoS SYN spoofing Es un ataque contra los recursos del sistema, en concreto contra el código del SO que gestiona las peticiones de conexión TCP. Cliente Envía SYN = x Servidor Protocolo SYN-ACK para conexiones TCP 1. El cliente envía la señal SYN; una secuencia x. El servidor almacena los detalles de la petición en una tabla llamada TCP connections 2. El servidor devuelve la señal SYN y la ACK: ACK = x + 1 SYN = una secuencia diferente y 3. El cliente envía la señal ACK = y + 1. 4. El servidor marca la petición TCP como establecida. Envía ACK = y+1 Envía SYN-ACK SYN = y ACK = x+1 Descripción del ataque 1. El atacante genera muchas señales SYN con direcciones fuente falsas. 2. El servidor almacena cada una de ellas en la tabla TCP connections y envía señales SYN-ACK a los hosts propietarios de dichas direcciones. 3. Como no recibe ningún ACK de vuelta la tabla del servidor se llena. Esta tabla no suele tener mucho espacio porque normalmente las peticiones se despachan rápidamente. Las peticiones legítimas se quedan sin atender!

ASI - DoS,6 DDoS Atacante Controladores Zombies Agentes Zombies Blanco Zombi: Host en el que se detecta y aprovecha una brecha en su SO para instalar una puerta de atrás y controlar su comportamiento en remoto. Figure 8.4 DDoS Attack Architecture

ASI - DoS,7 Ataque por reflexión Atacante imitación de eco del Blanco eco reflejado continuamente Intermediario Blanco En un DDoS los intermediarios son zombies; hosts que NO tienen un comportamiento normal. En un ataque por reflexión el intermediario no sufre ninguna modificación. Figure 8.5 Reflection Attack De hecho se necesita que funcione normalmente para obtener el ataque deseado.

Ataque con amplificación Los paquetes ICMP se envian a una red usando la dirección IP de broadcast imitando la dirección fuente del host atacado. La dirección IP de broadcast es una dirección lógica a la cual todos los hosts de una red están conectados lo que se envía a esa dirección es recibido por todos. Todos los hosts conectados a la red responden a la dirección de la fuente. Atacante Zombies Blanco Reflectores intermediarios Ha habido dos programas famosos de este tipo: Smurf y Fraggle Alfredo Cuesta @ 2014 Figure 8.6 Amplification Attack ASI - DoS,8

ASI - DoS,9 Pero cómo se hace spoofing? Sockets En general un socket es un programa que facilita la comunicación entre otros dos. Los SO utilizan sockets para que las aplicaciones puedan comunicarse con el Kernel cuando se trata de enviar y recibir datos por un red. Estos sockets se programan siguiendo un protocolo de transporte: TCP, UDP... Aplicación : 7 Presentación : 6 Pila OSI Sesión : 5 Transporte : 4 Red : 3 Enlace : 2 Física : 1 Se pueden inyectar/leer paquetes IP desde una aplicación directamente a la red? SÍ Raw sockets Raw Sockets son programas para leer directamente de la tarjeta de red. Wireshark o cualquier otro sniffer, por ejemplo. Igualmente se puede crear un programa para componer a voluntad paquetes de red e inyectarlos directamente en la tarjeta. En YouTube hay varios tutoriales.

Defensas contra un DoS Es imposible impedir por completo un DoS. Si el atacante es un usuario legítimo. Si se produce un acceso legitimo pero con un gran demanda. La propuesta usual es tener exceso de ancho de banda y distrubuir servidores replicados. Resulta una solución muy costosa pero siempre será necesaria, al menos en parte. En general hay 3 ĺıneas de defensa: 1. Prevención: El filtrado de paquetes ICMP se debe implementar lo más cerca posible del atacante, y siempre antes o en el mismo punto de acceso del ISP. En caso de un SYN flood, un opción es utilizar SYN cookies*. Otra opción es tirar las peticiones TCP incompletas si se llena la tabla. Si es un ataque con amplificación, bloquear el uso de la IP de broadcast. 2. Detección y Filtrado: La detección y filtrado es una tarea de los sistemas IDS y cortafuegos instalados. 3. Identificación y Trazado: Al igual que antes, esta tarea se lleva a cabo por los IDS. * SYN Cookie es información importante de la petición TCP que se codifica y se utiliza como secuencia en la señal SYN que envía el servidor. El cliente envía el ACK = información codificada e incrementada. Cuando el servidor recibe el ACK reconstruye la información de la petición (que antes estaba en la tabla). Este método se suele emplear sólo cuando la tabla llena. Alfredo Cuesta @ 2014 ISP : Internet Service Provider Es la empresa que proporciona la conexión a Internet ICMP : Internet Control Message Protocol Es el protocolo que utiliza el ping. ASI - DoS,10

ASI - DoS,11 Otros ataques en menor detalle Redes privadas virtuales Seguridad en redes WiFi Desbordamiento de memoria Seguridad en aplicaciones web y bases de datos = Última práctica

ASI - DoS,12 Redes privadas virtuales (VPN) Motivación En la transparencia anterior el cortafuegos separa la DMZ de la intranet, pero... qué ocurre si se algún empleado teletrabaja?, si hay varias sucursales o franquicias se deben implementar clones de la intranet? En ambos casos se recurre a Internet: En el primer caso es abusrdo pensar que la intranet llegará hasta el domicilio En el segundo sería muy costoso y fácil de cometer errores Solución Para acceder por Internet hay que asegurar la confidencialidad, integridad y autenticación de las comunicaciones. Estas características las preserva la criptografía. Para una comunicación continuada se emplean redes privadas virtuales, VPN o Virtual Private Networks. VPN

ASI - DoS,13 Seguridad en redes WiFi Puntos débiles 1. Interferencias electromagnéticas. 2. Mayor potencia de emisión mayor número de posibles atacantes. 3. Todo el mundo tiene acceso al medio conviene cifrar las conexiones el cifrado debe ser eficaz. 4. Es fácil inyectar y acceder al tráfico de la red. 5. Hay que proteger también los dispositivos cliente (ataque Evil Twin) Defensas 1. Replicar puntos de acceso, aumentar potencia. 2. Reducir la potencia, contraseñas de al menos 20 caracteres. 3. Utilizar WPA-2. WEP se revienta en menos de 15 min! 4. Para redes personales Filtrado por dirección MAC Para LAN de empresas WIDS (Wireless IDS) 5. Borrar redes ocultas de la lista de redes preferidas. Ataque de punto de acceso falso (Evil Twin) Todos los clientes guardan una lista de las redes a las que conectarse cada vez que la detectan. Un atacante se podría hacer pasar por una de estas redes para acceder al dispositivo, pero... Los clientes anuncian su lista de redes preferidas? Hay un caso especial en el que sí. Cuando en la lista de redes preferidas hay una red oculta el cliente tiene que preguntar por ella! El Evil Twin se hace pasar por esta red.

ASI - DoS,14 Desbordamiento de memoria Los ataques por desbordamiento de memoria consisten en: acceder a posiciones reservadas de memoria, escribiendo en ellas desbordando sus ĺımites, de modo que se logre reescribir el código fuente, generalmente con otro código malicioso. Son ataques que precisan muchos conocimientos de informática Lenguajes de programación, compiladores, arquitectura y estructura de los procesadores... Program File Las zonas protegidas son: Pila, Stack Montón, Heap Global Data Datos globales, Global data Defensas Al compilar Program Marcar las opciones de verificación y protección Machine de escritura. Usar lenguajes de programación de alto-nivel. Code Escribir los programas con poĺıticas de código seguro. Al ejecutar Aleatorizar la asignación de memoria Impedir ejecución de código cuando este se encuentra almacenado en zonas reservadas de memoria Process image in main memory Kernel Code and Data Stack Spare Memory Heap Global Data Program Machine Code Process Control Block Top Bot

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback