IDEI | 2019-1c | 3 Universidad Nacional de Tierra del

1

SEGURIDAD INFORMÁTICA

UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c

Redes de computadoras: ataques

IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur

Seguridad InformáticaRedes de computadoras

Temario

Conceptos básicos.

Amenazas y vulnerabilidades.

Seguridad en redes inalámbricas.

Ataques de denegación de servicio (DoS).

Cifrado de comunicaciones y herramientas.

Tipos de firewalls y su funcionamiento.

Sistemas de detección y prevención de intrusiones (IDS).

Información de seguridad y herramientas de gestión de eventos.



Medios de transmisión de datos para redes

Cables

Fibra óptica

Microondas

Inalámbricos

Comunicaciones satelitales



Medios de transmisión de datos para redes

Copyright NASA



Medios de transmisión de datos para redes: microondas

Representación simplificada

de un enlace de

microondas.

Sistema de comunicaciones

que utiliza un haz de ondas

de radio en el rango de

frecuencia de microondas

para transmitir información

entre dos ubicaciones fijas

en la tierra.



Medios de transmisión de datos para redes: inalámbricas

Fuente: Amped wireless

2



Vulnerabilidad de los medios de comunicación

Sender

Wiretap

Satellite, microwave interception,

wired interception

LAN

WANRogue receiver:

sniffer, wiretap

Imposter

LAN

Receiver



Posibilidades de ataque sobre medios de comunicación

Escuchas telefónicas,

Rastreadores (sniffers)

Receptores deshonestos (rogue receivers)

Intercepción

Suplantación



Medios de comunicación: fortalezas y debilidades



Modelo de capas OSI: correlación con protocolos actuales



Modelo de capas OSI vs. TCP/IP



Amenazas a las comunicaciones de red

Intercepción:

visualización no autorizada.

Modificación:

cambio no autorizado.

Fabricación:

creación no autorizada.

Interrupción:

impedir acceso autorizado.

3



Amenaza: intercepción. Perímetros de seguridad

Security

perimeter



Amenaza: intercepción

Cada sitio es un perímetro de seguridad en sí mismo.

Dentro de cada perímetro:

se posee control (en gran medida) de cables, dispositivos y

computadoras debido a los controles físicos, por lo que no hay

que preocuparse tanto por la protección.

Necesidad de interconexión:

para hacer algo útil los sitios se deberán conectar entre sí, lo cual

expone cada sitio a todo tipo de cables, dispositivos y

computadoras que no se pueden controlar. El cifrado es el control

más común y útil para abordar esta amenaza.



¿Qué hace que una red sea vulnerable a la interceptación?

Anonimato

El atacante puede intentar muchos ataques, de forma anónima,

desde miles de kilómetros de distancia.

Muchos puntos de ataque

Redes grandes significan muchos puntos de entrada potencial.

Sharing

Los sistemas en red abren el acceso potencial a más usuarios que

las computadoras individuales.




Complejidad del sistema

Un sistema es muy complejo y difícil de proteger. Las redes con

sistemas diferentes, es decir con gran variedad de: sistemas

operativos, vulnerabilidades y propósitos son mucho más complejas.

Perímetro desconocido

Las redes (especialmente las grandes) cambian todo el tiempo, por

lo que puede ser difícil saber qué sistemas pertenecen y cómo se

están comportando, es imposible saber qué sistemas interconectan

las redes.



Concepto: perímetro desconocido

Network E

Network D

Network A Network BNetwork C




Camino desconocido

Puede haber muchos caminos, incluidos los no confiables, de un

host a otro.

Medidas de protección:

Utilizar cifrado en las comunicaciones es la herramienta más común

y útil para abordar esta amenaza.

4



Amenazas: modificación y fabricación

Corrupción de datos

Puede ser intencional o no intencional, malintencionado o no

malintencionado, dirigido o aleatorio.

Secuenciación

Permutar el orden de los datos, como los paquetes que llegan en

secuencia

Sustitución

Reemplazo de una parte de un flujo de datos con otro



Fuentes de corrupción de datos

Typing

errorMalicious

code

Hardware

failure

Noise,

accident

Program

error

Human

mistake

Hacker

activity

Transmission

problem

Software

flaw

La corrupción de los

datos ocurre

naturalmente debido a

fallas menores de

medios de transmisión.

La corrupción también

puede ser inducida con

fines maliciosos.




Inserción

Una forma de sustitución en la que los valores de datos se insertan

en un flujo de datos.

Repetición (Replay)

Datos legítimos son interceptados y luego reutilizados durante el

ataque. Pueden también consistir en actuar para retrasar la llegada

de datos.



Ataque de repetición

Interception

Encryption

IDID

ID

PWPassword (encrypted)

Password (encrypted)

Replay

Server

Establer números de secuencia/marcado (tags) es una contramedida

útil contra los ataques de repetición.




Todos estos ataques implican afectar algún aspecto de integridad.

El concepto de integridad incluye las siguientes propiedades:

Exactitud.

Preciso.

Sin modificar.

Modificado solo de manera aceptable.

Modificado solo por personas autorizadas

Modificado solo por procesos autorizados.

Consistente.

Internamente consistente.

Significativo y utilizable.

Proteger las propiedades referentes a integridad requiere diferentes

contramedidas, incluyendo: herramientas, protocolos y criptografía.



Amenazas: interrupción

Enrutamiento

Los protocolos de enrutamiento de Internet son complicados y malas

configuraciones pueden “envenenar” los datos de muchos

enrutadores.

Demanda excesiva

La capacidad de la red es finita y puede agotarse.

Un atacante puede generar suficiente demanda para saturar una

parte crítica de la red.

5



Amenazas: interrupción

Falla de componente

Las fallas de los componentes tienden a ser esporádicas e

impredecibles.

Causarán pérdida del servicio si no se planifican o tienen en cuenta.



Reconocimiento: escaneo de puertos

Port scanning

No puede catalogarse como un ataque en sí mismo, como una

amenaza o vulnerabilidad.

Primer paso común en muchos tipos de ataques para poder

reconocer servicios y protocolos a explotar.



Reconocimiento: escaneo de puertos



Seguridad en redes inalámbricas

Características y utilidad

Red de tipo ethernet instrumentada utilizando ondas de radio en

lugar de cables.

Herramienta para la conveniencia, idealmente cuando se requiere

movilidad.

Es una solución cuando se necesitan conexiones por cortos

períodos de tiempo.




Las tecnologías inalámbricas pueden resolver problemas que por

distintas razones no pueden resolverse mediante tecnologías

cableadas.

Ejemplos:

Lugares donde es imposible o poco conveniente seguir

agregando cables.

Áreas demasiado amplias donde los cables son imprácticos.




Las tecnologías inalámbricas no son un reemplazo de las conexiones

cableadas. No siempre son seguras, rápidas o confiables.

Posibles formas de despliegue

1) Los datos viajan en una conexión se envían mediante broadcast a

través de un canal abierto de radio.

2) Los datos viajan “protegidos” mediante un estándar inseguro de

protección WEP, basado en secreto compartido y que no asegura

confidencialidad en las comunicaciones.

6



Vulnerabilidades en redes inalámbricas

Confidencialidad

Cada mensaje en las comunicaciones por WiFi es una transmisión,

los mensajes no cifrados pueden ser leídos por cualquiera que esté

escuchando y dentro de su alcance.

Integridad

Cuando los AP en redes WiFi reciben dos flujos de comunicación que

dicen ser la misma computadora, necesariamente aceptan la que

tiene mayor intensidad de señal. Esto permite a los atacantes tomar

el control y forjar sesiones falsificando computadoras legítimas y

aumentando la potencia de la señal.



Vulnerabilidades en redes inalámbricas

Disponibilidad

Además de los problemas obvios de disponibilidad en redes WiFi

surgen nuevos inconvenientes como: secuestro de sesiones,

desasociación forzada e interferencia sobre transmisiones.

Gestión del acceso no autorizado

Se hace necesario contar con algún tipo de control criptográfico para

solucionarlo.



Debilidades del protocol WiFi

Retirar la baliza (Picking up

the beacon)

Los SSID ocultos se pueden

descubrir fácilmente al

monitorear las solicitudes de

los SSID del cliente en ausencia

de balizas SSID desde el punto

de acceso (AP).



Debilidades del protocol WiFi

Retirar la baliza (Picking up the beacon)

Open mode: el cliente monitorea las balizas, hasta que encuentra

una a la que desea conectarse. Así el cliente no está

constantemente visible.

Stealth mode (close): el cliente se convierte efectivamente en un

faro, enviando una serie continua de mensajes: “I am MAC address

mmm, looking for SSID sss. Are you sss?”

De estos mensajes un equipo no autorizado puede aprender los

valores esperados necesarios para hacerse pasar por un AP al cual el

cliente espera conectarse.



Debilidades del protocolo WiFi

SSID en todos los frames

Similar a la captura de la baliza, una vez que el cliente se conecta a

un punto de acceso, el SSID se almacena en todos los marcos de

comunicación y puede ser detectado de esa manera.

Un mejor diseño de protocolo hubiera sido que el AP y el dispositivo

asociado establecieran un valor de datos compartido que se usaría

solo durante esta asociación. Entonces la intercepción de la solicitud

de autenticación inicial revelaría el SSID, pero la interceptación de

cualquier marco posterior no lo haría.



Debilidades del protocolo WiFi

Problemas de asociación

Los clientes WiFi generalmente tienen asociaciones preferidas, redes

que conocen y en las que confían para conectarse, y pueden incluir

nombres de SSID muy comunes. Sin medidas de seguridad

adicionales, los atacantes pueden falsificar estos SSID confiables y

engañar a los dispositivos para que se conecten a puntos de acceso

no autorizados.

7



Contramedida fallida: WEP

Wired Equivalent Protection (WEP)

Se diseñó al mismo tiempo que los estándares WiFi 802.11

originales como mecanismo para asegurar esas comunicaciones.

Las debilidades en WEP se identificaron por primera vez en 2001,

cuatro años después del lanzamiento.

Se descubrieron más puntos débiles a lo largo de los años, hasta

que cualquier comunicación cifrada WEP se pudo descifrar en

cuestión de minutos.



Contramedida fallida: WEP

Funcionamiento

El cliente y el AP poseen una clave pre-compartida.

El AP envía un número aleatorio al cliente, que luego el cliente cifra

usando la clave y regresa al AP.

El AP descifra el número usando la clave y verifica que sea el mismo

número para autenticar al cliente.

Una vez que el cliente se autentica el AP y el cliente se comunican

mediante mensajes cifrados con la clave común.



Debilidades del protocolo WEP

Clave de cifrado débil

Permite trabajar con 64 o 128 bits, pero 24 de esos bits se reservan

para los vectores de inicialización, lo que reduce el tamaño de clave

efectivo a 40 o 140 bits. Las claves admitidas son alfanuméricas (o

frases en hexadecimales), por lo tanto, vulnerables a los ataques de

diccionario.

Clave estática

Dado que la clave es solo un valor que el usuario escribió en el

cliente y en el AP, y como los usuarios rara vez cambian esas claves,

la clave se usa durante muchos meses operación.




Proceso de encriptación débil

Una clave de 40 bits puede ser hallada a través de ataques de

fuerza bruta.

Los defectos descubierto en el algoritmo de cifrado RC4 que usa

WEP hicieron que las claves de 104 bits también sean fáciles de

descifrar.




Algoritmo de cifrado débil

Utiliza el algoritmo de cifrado RC4 de una manera extraña. Lo que

generó una falla que permite a los atacantes descifrar grandes

porciones de cualquier comunicación.

Inicialización inapropiada del vector de colisiones

Consiste de los primeros 24bits de la clave de cifrado. Sólo hay 16 millones de valores posibles utilizables. Insuficientes para evitar que un atacante genere todas las combinaciones posibles en pocas horas. Además los valores no fueron seleccionados al azar como deberían, por lo que algunos valores son mucho más comunes que otros.




Verificación de integridad defectuosa

Los mensajes incluyen una suma de comprobación para identificar

errores de transmisión, pero no utilizan uno que pudiera abordar la

modificación forzada (maliciosa).

Sin autenticación

Supone que cualquier cliente que conozca el SSID y la dirección

MAC del AP es legítimo.

8



WiFI Protected Access (WPA)

WPA diseñado en 2003 como reemplazo de WEP.

En 2004 se define WPA2, algoritmo adoptado como estándar de

protección en redes WiFi al día de hoy.




Clave de cifrado no estática

Utiliza jerarquía de claves: las nuevas claves se generan para la

confidencialidad e integridad de cada sesión.

Utiliza Temporal Key Integrity Program (TKIP), es decir, la clave de

cifrado se cambia automáticamente en cada paquete.

Las claves más importantes se utilizan en muy pocos lugares y en

forma indirecta, protegiéndolas de la divulgación.




Autenticación

Permite autenticación por contraseña, token o certificado.

Cifrado fuerte

Agrega soporte para AES: algoritmo de cifrado más confiable.

Protección de la integridad

Incluye verificación de integridad criptográfica de 64bits.




Inicio de sesión

Con WPA y WPA2 las sesiones comienzan con la autenticación y un

saludo de cuatro vías que da como resultado claves separadas para

el cifrado y la integridad en ambos extremos de la conexión.

WPA corrige muchas deficiencias de WEP mediante:

uso de un cifrado más fuerte;

claves más largas y cambiantes;

controles de integridad mejorados.




WPA2 es seguro si está bien configurado.

Se debe elegir un algoritmo de cifrado sólido: AES, no es

recomendable usar TKIP

Usar contraseña larga y aleatoria.

Debilidades

Existen algunos ataques contra WPA, pero de efectividad muy

limitada o requieren que se usen contraseñas débiles.



Modos de autenticación en WPA

9



Negación de servicio

Los ataques de tipo DoS (Denial of service) son intentos de impedir

que el sistema esté disponible brindando servicio.

El origen de un ataque suele ser difícil o imposible de determinar

con certeza.

Puede ocurrir por:

volumen excesivo,

fallas en una aplicación,

un enlace cortado o

un error de hardware o software.




Ataques volumétricos

Debilidad potencial � capacidad del sistema.

Si la demanda es mayor de la que el sistema puede manejar,

algunos datos no se entregarán correctamente a través de la red.

Ataques basados en aplicaciones

Un ataque puede saturar la aplicación que brinda servicios en la red.




Comunicaciones inhabilitadas

Cortar o deshabilitar el enlace entre dos puntos. Muchos usuarios no

podrán recibir el servicio, especialmente si ese enlace es un punto

único a través del cual debe pasar mucho tráfico.

Fallo de hardware o software

Similar a fallas en un enlace de comunicaciones, en estos casos los

problemas se relacionan con el equipamiento subyacente.

La protección debería involucrar conceptos como la tolerancia a

fallas.



Negación de servicio: protocolos de red

ICMP (Internet Control Message Protocol)

Utilizado para el diagnóstico del sistema, no tiene aplicaciones de

usuario asociadas. El protocolo incluye diferentes tipos de mensajes.

Echo request/echo replay: solicitar a un destino que devuelva una

respuesta.

Destino inalcanzable: indica que no se puede acceder a una

dirección de destino.

Apagado de la fuente (quench): el destino está saturando y la

fuente debe suspender el envío de paquetes por un tiempo.



Negación de servicio: protocolos de red

ICMP (Internet Control Message Protocol)

Cumple una función muy importante para la gestión de la red.

También puede usarse para atacar sistemas.

La inundación se logra porque el ancho de banda entrante es

insuficiente o los recursos (dispositivos de hardware, potencia de

cómputo, aplicaciones (software) o capacidad en tablas de datos)

son inadecuados.

Los ataques pueden ser difíciles de detectar o bloquear en el equipo

receptor.



Ataque DoS casos para: ping flood

Attacker

Attacker

Ping Ping

PingPingPing

Ping Ping Ping

(a) Attacker has greater bandwidth

(b) Victim has greater bandwidth

Reply

V

Victim

Victim

V

Ping Ping PingReply Reply

Reply Reply ReplyPing Ping Ping Ping

Ping

10



Ataque DoS: ping of death



Ataque DoS: smurf

Victim

Attacker

All network hosts

reply to victim

Victim is saturated

with ECHO replies

from entire network

Attacker sends

broadcast ECHO

request to network,

with victim’s return address



Ataque DoS: echo-chargen

Victim A Victim B

Chargen packet with echo bit on

Echoing what you just sent me

Chargen another packet with echo bit on

Echoing that again

Chargen another packet with echo bit on



Ataque DoS: SYN flood



Ataque DoS: teardrop

Ataque basado en la capacidad de

fragmentación de paquetes del

protocolo TCP.

El atacante envía paquetes que no

pueden ser reensamblados (por

conflictos en la instrucciones de

reensamablado).

En situaciones extremas esto puede

hacer que el sistema operativo se

bloquee.

Fragment start = 10 len = 500

10

20

30

40

50

60

70

80

90

100

...


Packet Fragments


Reassembly Buffer



Ataque DoS: suplantación de DNS

MMA: Cualquier servidor puede responder a una solicitud de búsqueda de DNS. Ser el primero en responder permite a un atacante redirigir el tráfico.

11



Ataque DoS: suplantación de DNS

Otras tipos: cache poisoning o modificación del servidor de DNS.



Ataque DoS: reenrutamiento de enrutamiento

Rerouting routing

Ejemplo de ataque de tipo Man-in-the-middle.

Implica que un nodo redirecciona una red para que todo el tráfico

fluya a través del nodo atacante, lo que permitiría una caso

potencial intercepción de datos.

Los enrutadores de red son un conjunto de componentes

considerados entre sí confiables.

Organizan y permiten la entrega de datos a través de diferentes

redes, incluida Internet.



Ataque DoS: secuestro de sesión

Un atacante puede

sincronizarse con un nodo

receptor mientras rompe

la sincronización con el

nodo remitente y

restablece la conexión de

ese remitente.

El atacante continúa la

sesión TCP mientras el

remitente cree que la

conexión se interrumpió.

ReceiverAttackerSender

Data (len 5)

Seq = 10

Data (len 20)

Seq = 15

Data (len 100)

Seq = 35

Data (len 30)

Seq = 35

Data (len 25)

Seq = 135

Ack = 35

Ack = 135

Ack = 15

Hijack

Reset



Ataque de negación de servicio distribuido

1. Attacker plants Trojan horse in zombies 2. Zombies attack

victim simultaneously on command

Victim



Botnets

Son redes de máquinas que ejecutan código malicioso bajo control

remoto.

Suelen pasar desapercibidas porque causan poco daño a los equipos

infectados.

El atacante está separado de los robots por varias capas, lo que

hace que el atacante sea difícil de rastrear.

Se incorporan múltiples sistemas redundantes, de modo que si se

elimina un nodo maestro (comando y control), los robots pueden

continuar conectándose a la red restante.



Botnets

Attacker Attacker

Master Master Master

C&C C&C C&C

Bot Bot Bot Bot Bot Bot

Victim

12



Botnets

Permitan confeccionar ataques implementados desde muchos sitios

separados que trabajan en paralelo contra una víctima.

Ejemplos:

Se utilizan para ejecutar ataques DDoS.

Se utilizan para enviar spam o bien para ataques masivos de

correo electrónico.

Documents

IDEI | 2019-1c | 3 Universidad Nacional de Tierra del