Wiki Transmissió de Dades

Ataques en entornos de red

Pàgina Inicial

Introducción

En esta ampliación intentaré explicar diferentes tipos de ataques que se realizan en conexiones de Red. Las motivaciones para realizar esta extensión sobre el Tema 6 es de curiosidad personal y profesional, ya que cualquier persona que intente trabajar y administrar un sistema conectado a la red debería tener unos conocimientos mínimos sobre ello. Intentaremos dar una idea tan solo de los ataques a nivel de red, obviando los ataques de Ingeniería Social o sploits aprovechamiento de bugs de aplicaciones concretas.

Descripción

Para disponer de seguridad es necesario que el sistema que utilizamos considerara tres aspectos:

  • Autenticidad

    • Se debe asegurar que cada persona que interviene en la comunicación es quien dice ser, comprobar la integridad de la información enviada y el sistema que realiza las comprobaciones.

  • Privacidad

    • Este requisito trata de que la información solo esté disponibles para las personas autorizadas.

  • Accesibilidad

    • Por último es necesario que la información esté siempre disponibles para los usuarios autorizados

Además de estos tres, se podría citar otro de especial importancia:

  • No repudio

    • Es algo muy simple pero que se hace bastante complejo, consiste que una vez asegurada este aspecto ninguna de las partes que ha intervenido en una comunicación pueda negarlo. Para ello se requiere una mínima autenticidad. Es un aspecto vital y que debe ser desarrollado profundamente para disponer de un Comercio Electrónico de calidad.



Para comprometer estos aspectos ciertos agentes, diferenciables entre personas, agentes lógicos (bugs,backdoors) y naturales (cortes de electricidad, cortes de la comunicación por motivos físicos, etc.) han desarrollado ataques que se pueden clasificar como:

  • Pasivos

    • No intervienen en una comunicación ajena, tan solo capturar información pero sin influir en ella.

  • Activos

    • Cambian, añaden o eliminan mensajes en una comunicación.



Otra posible clasificación mas concreta se podría hacer en cuanto a la intención o como se desea realizar el ataque o amenaza:

  • Intercepción

  • Un agente obtiene información de una comunicación ajena sin modificar ni alterar la misma. Son ataques de tipo pasivo, el mas conocido es el sniffing en redes Ethernet o cualquiera de medio compartido. Es un ataque contra la privacidad.

  • Interrupción

  • Un agente intenta atacar la accesibilidad de un sistema. Es un ataque de tipo activo, un de los mas conocido es DoS ( dennial of service ), que se realiza de múltiples maneras. Para realizar este tipo de ataques suele intentarse colapsar el sistema victima o lograr que realice un bloqueo completo de todo el sistema o un servicio hacia el exterior.

  • Impersonación

  • En este ataque se intenta hacerse pasar por otro agente. Es un ataque contra la autenticidad aunque la finalidad general es finalmente atacar la privacidad una pasado el método de autenticación. El ataque mas conocido de este tipo en TCP/IP es el IP Spoofing, que se aprovecha del alto valor/confianza que se le da a la dirección IP de los datagramas.

  • Substitución

  • Este es un ataque complejo que intenta perjudicar la autenticidad y la privacidad, se podría clasificar como una unión de un ataque de intercepción y uno de impersonación. El método general para realizar este ataque es necesario tener control del medio entre el emisor y el receptor.

Ataques en TCP/IP

Contra la privacidad

  • TCP SYN Scanning

    • Es el scaneo de puertos mas sencillo, consiste en enviar paquetes SYN con el objetivo de encontrar los puertos abiertos. La mayoría de firewalls tienen políticas de seguridad que detectan cuando se hacen diversas peticiones desde un mismo host.

  • TCP FIN Scanning

    • Este ataque se aprovecha que algunos firewalls solo filtran las peticiones de SYN a puertos cerrados. Si se envía un FIN a un puerto cerrado este suele contestar con el RST correspondiente, en cambio si el puerto esta abierto detecta el error y no envía ninguna respuesta.

  • Fragmentation scanning

    • Consiste en realizar un escaneo de puertos con fragmentos muy pequeños. El objetivo principal es burlar la seguridad de los firewalls que pueden llegar a ignorarlos según su tamaño. El ataque también se puede llegar utilizar para colapsar un sistema.

  • Packet Snnifing y Snooping

    • Consiste en capturar al trafico que se envía en una comunicación determinada distinta de la propia. Existen diferentes sniffers especializados que analizar diferentes tramas e interpretan la información según los puertos de envío y recepción o según diferentes secuencias fijas en protocolos de la capa de aplicación.

Contra la autenticidad

  • IP Spoofing

    • El mas sencillo consiste en simplemente cambiar la dirección IP de origen. De esta forma el destinatario cree que un ataque se le realiza una máquina C.

  • DNS Spoofing

    • El ataque consiste en analizar las peticiones DNS que realiza una máquina mediante sniffing y enviar como respuesta el sitio deseado utilizando IP Spoofing, de esta forma la maquina que realizo la petición tomará esa dirección IP de forma transparente. El inconveniente para realizara es que la respuesta debe ser muy rápida puesto que sino llegará antes la respuesta del servidor de DNS y el ataque fallará, es necesario generalmente estar en la misma red local que la victima para poder realizarlo.

  • Web Spoofing/ Phising

    • Técnica bastante conocida que intenta copiar el diseño o dirección web (URL) de un sitio conocido para obtener datos de las victimas. Es mas bien un ataque de ingeniería social que una debilidad de los protocolos.

  • IP Splicing-Hijacking

    • El ataque trata de interceptar una sesión obteniendo el numero de secuencia de un datagrama.

Contra la accesibilidad (DoS, Denial of Service)

  • Syn Flood

    • Trata de saturar una máquina enviando una gran cantidad de peticiones de inicio de conexión. Este ataque se aprovecha de un estado débil del protocolo TCP. Cuando se realiza un SYN y su SYN-ACK correspondiente, las conexiones quedan suspendidas en espera de mas datos. Un atacante puede aprovecharlo e intentar saturar a un host.

  • Connetion Flood

    • El ataque intenta llegar al máximo de peticiones simultaneas que puede soportar un sistema/aplicación o protocolo provocando que otros usuarios no puede acceder.

  • Net Flood

    • La finalidad que se busca es simplemente consumir todo el ancho de banda de la red de la victima, imposibilitandole realizar otras tareas.

Fuentes

  • Apuntes de clase.
    http://www.segu-info.com.ar/
    http://insecure.org/nmap/nmap_doc.html
    http://www.iec.csic.es/criptonomicon
    http://en.wikipedia.org/wiki/Computer_security
    http://en.wikipedia.org/wiki/Spoofing_attack

Indice