IDEI | 2019-1c | 3 Universidad Nacional de Tierra del ...
Transcript of IDEI | 2019-1c | 3 Universidad Nacional de Tierra del ...
1
SEGURIDAD INFORMÁTICA
UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c
Redes de computadoras: ataques
IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Temario
Conceptos básicos.
Amenazas y vulnerabilidades.
Seguridad en redes inalámbricas.
Ataques de denegación de servicio (DoS).
Cifrado de comunicaciones y herramientas.
Tipos de firewalls y su funcionamiento.
Sistemas de detección y prevención de intrusiones (IDS).
Información de seguridad y herramientas de gestión de eventos.
IDEI | 2019-1c | 3 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Medios de transmisión de datos para redes
Cables
Fibra óptica
Microondas
Inalámbricos
Comunicaciones satelitales
IDEI | 2019-1c | 4 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Medios de transmisión de datos para redes
Copyright NASA
IDEI | 2019-1c | 5 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Medios de transmisión de datos para redes: microondas
Representación simplificada
de un enlace de
microondas.
Sistema de comunicaciones
que utiliza un haz de ondas
de radio en el rango de
frecuencia de microondas
para transmitir información
entre dos ubicaciones fijas
en la tierra.
IDEI | 2019-1c | 6 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Medios de transmisión de datos para redes: inalámbricas
Fuente: Amped wireless
2
IDEI | 2019-1c | 7 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Vulnerabilidad de los medios de comunicación
Sender
Wiretap
Satellite, microwave interception,
wired interception
LAN
WANRogue receiver:
sniffer, wiretap
Imposter
LAN
Receiver
IDEI | 2019-1c | 8 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Posibilidades de ataque sobre medios de comunicación
Escuchas telefónicas,
Rastreadores (sniffers)
Receptores deshonestos (rogue receivers)
Intercepción
Suplantación
IDEI | 2019-1c | 9 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Medios de comunicación: fortalezas y debilidades
IDEI | 2019-1c | 10 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Modelo de capas OSI: correlación con protocolos actuales
IDEI | 2019-1c | 11 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Modelo de capas OSI vs. TCP/IP
IDEI | 2019-1c | 12 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenazas a las comunicaciones de red
Intercepción:
visualización no autorizada.
Modificación:
cambio no autorizado.
Fabricación:
creación no autorizada.
Interrupción:
impedir acceso autorizado.
3
IDEI | 2019-1c | 13 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenaza: intercepción. Perímetros de seguridad
Security
perimeter
IDEI | 2019-1c | 14 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenaza: intercepción
Cada sitio es un perímetro de seguridad en sí mismo.
Dentro de cada perímetro:
se posee control (en gran medida) de cables, dispositivos y
computadoras debido a los controles físicos, por lo que no hay
que preocuparse tanto por la protección.
Necesidad de interconexión:
para hacer algo útil los sitios se deberán conectar entre sí, lo cual
expone cada sitio a todo tipo de cables, dispositivos y
computadoras que no se pueden controlar. El cifrado es el control
más común y útil para abordar esta amenaza.
IDEI | 2019-1c | 15 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
¿Qué hace que una red sea vulnerable a la interceptación?
Anonimato
El atacante puede intentar muchos ataques, de forma anónima,
desde miles de kilómetros de distancia.
Muchos puntos de ataque
Redes grandes significan muchos puntos de entrada potencial.
Sharing
Los sistemas en red abren el acceso potencial a más usuarios que
las computadoras individuales.
IDEI | 2019-1c | 16 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
¿Qué hace que una red sea vulnerable a la interceptación?
Complejidad del sistema
Un sistema es muy complejo y difícil de proteger. Las redes con
sistemas diferentes, es decir con gran variedad de: sistemas
operativos, vulnerabilidades y propósitos son mucho más complejas.
Perímetro desconocido
Las redes (especialmente las grandes) cambian todo el tiempo, por
lo que puede ser difícil saber qué sistemas pertenecen y cómo se
están comportando, es imposible saber qué sistemas interconectan
las redes.
IDEI | 2019-1c | 17 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Concepto: perímetro desconocido
Network E
Network D
Network A Network BNetwork C
IDEI | 2019-1c | 18 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
¿Qué hace que una red sea vulnerable a la interceptación?
Camino desconocido
Puede haber muchos caminos, incluidos los no confiables, de un
host a otro.
Medidas de protección:
Utilizar cifrado en las comunicaciones es la herramienta más común
y útil para abordar esta amenaza.
4
IDEI | 2019-1c | 19 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenazas: modificación y fabricación
Corrupción de datos
Puede ser intencional o no intencional, malintencionado o no
malintencionado, dirigido o aleatorio.
Secuenciación
Permutar el orden de los datos, como los paquetes que llegan en
secuencia
Sustitución
Reemplazo de una parte de un flujo de datos con otro
IDEI | 2019-1c | 20 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Fuentes de corrupción de datos
Typing
errorMalicious
code
Hardware
failure
Noise,
accident
Program
error
Human
mistake
Hacker
activity
Transmission
problem
Software
flaw
La corrupción de los
datos ocurre
naturalmente debido a
fallas menores de
medios de transmisión.
La corrupción también
puede ser inducida con
fines maliciosos.
IDEI | 2019-1c | 21 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenazas: modificación y fabricación
Inserción
Una forma de sustitución en la que los valores de datos se insertan
en un flujo de datos.
Repetición (Replay)
Datos legítimos son interceptados y luego reutilizados durante el
ataque. Pueden también consistir en actuar para retrasar la llegada
de datos.
IDEI | 2019-1c | 22 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque de repetición
Interception
Encryption
IDID
ID
PWPassword (encrypted)
Password (encrypted)
Replay
Server
Establer números de secuencia/marcado (tags) es una contramedida
útil contra los ataques de repetición.
IDEI | 2019-1c | 23 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenazas: modificación y fabricación
Todos estos ataques implican afectar algún aspecto de integridad.
El concepto de integridad incluye las siguientes propiedades:
Exactitud.
Preciso.
Sin modificar.
Modificado solo de manera aceptable.
Modificado solo por personas autorizadas
Modificado solo por procesos autorizados.
Consistente.
Internamente consistente.
Significativo y utilizable.
Proteger las propiedades referentes a integridad requiere diferentes
contramedidas, incluyendo: herramientas, protocolos y criptografía.
IDEI | 2019-1c | 24 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenazas: interrupción
Enrutamiento
Los protocolos de enrutamiento de Internet son complicados y malas
configuraciones pueden “envenenar” los datos de muchos
enrutadores.
Demanda excesiva
La capacidad de la red es finita y puede agotarse.
Un atacante puede generar suficiente demanda para saturar una
parte crítica de la red.
5
IDEI | 2019-1c | 25 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Amenazas: interrupción
Falla de componente
Las fallas de los componentes tienden a ser esporádicas e
impredecibles.
Causarán pérdida del servicio si no se planifican o tienen en cuenta.
IDEI | 2019-1c | 26 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Reconocimiento: escaneo de puertos
Port scanning
No puede catalogarse como un ataque en sí mismo, como una
amenaza o vulnerabilidad.
Primer paso común en muchos tipos de ataques para poder
reconocer servicios y protocolos a explotar.
IDEI | 2019-1c | 27 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Reconocimiento: escaneo de puertos
IDEI | 2019-1c | 28 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Seguridad en redes inalámbricas
Características y utilidad
Red de tipo ethernet instrumentada utilizando ondas de radio en
lugar de cables.
Herramienta para la conveniencia, idealmente cuando se requiere
movilidad.
Es una solución cuando se necesitan conexiones por cortos
períodos de tiempo.
IDEI | 2019-1c | 29 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Seguridad en redes inalámbricas
Las tecnologías inalámbricas pueden resolver problemas que por
distintas razones no pueden resolverse mediante tecnologías
cableadas.
Ejemplos:
Lugares donde es imposible o poco conveniente seguir
agregando cables.
Áreas demasiado amplias donde los cables son imprácticos.
IDEI | 2019-1c | 30 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Seguridad en redes inalámbricas
Las tecnologías inalámbricas no son un reemplazo de las conexiones
cableadas. No siempre son seguras, rápidas o confiables.
Posibles formas de despliegue
1) Los datos viajan en una conexión se envían mediante broadcast a
través de un canal abierto de radio.
2) Los datos viajan “protegidos” mediante un estándar inseguro de
protección WEP, basado en secreto compartido y que no asegura
confidencialidad en las comunicaciones.
6
IDEI | 2019-1c | 31 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Vulnerabilidades en redes inalámbricas
Confidencialidad
Cada mensaje en las comunicaciones por WiFi es una transmisión,
los mensajes no cifrados pueden ser leídos por cualquiera que esté
escuchando y dentro de su alcance.
Integridad
Cuando los AP en redes WiFi reciben dos flujos de comunicación que
dicen ser la misma computadora, necesariamente aceptan la que
tiene mayor intensidad de señal. Esto permite a los atacantes tomar
el control y forjar sesiones falsificando computadoras legítimas y
aumentando la potencia de la señal.
IDEI | 2019-1c | 32 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Vulnerabilidades en redes inalámbricas
Disponibilidad
Además de los problemas obvios de disponibilidad en redes WiFi
surgen nuevos inconvenientes como: secuestro de sesiones,
desasociación forzada e interferencia sobre transmisiones.
Gestión del acceso no autorizado
Se hace necesario contar con algún tipo de control criptográfico para
solucionarlo.
IDEI | 2019-1c | 33 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocol WiFi
Retirar la baliza (Picking up
the beacon)
Los SSID ocultos se pueden
descubrir fácilmente al
monitorear las solicitudes de
los SSID del cliente en ausencia
de balizas SSID desde el punto
de acceso (AP).
IDEI | 2019-1c | 34 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocol WiFi
Retirar la baliza (Picking up the beacon)
Open mode: el cliente monitorea las balizas, hasta que encuentra
una a la que desea conectarse. Así el cliente no está
constantemente visible.
Stealth mode (close): el cliente se convierte efectivamente en un
faro, enviando una serie continua de mensajes: “I am MAC address
mmm, looking for SSID sss. Are you sss?”
De estos mensajes un equipo no autorizado puede aprender los
valores esperados necesarios para hacerse pasar por un AP al cual el
cliente espera conectarse.
IDEI | 2019-1c | 35 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocolo WiFi
SSID en todos los frames
Similar a la captura de la baliza, una vez que el cliente se conecta a
un punto de acceso, el SSID se almacena en todos los marcos de
comunicación y puede ser detectado de esa manera.
Un mejor diseño de protocolo hubiera sido que el AP y el dispositivo
asociado establecieran un valor de datos compartido que se usaría
solo durante esta asociación. Entonces la intercepción de la solicitud
de autenticación inicial revelaría el SSID, pero la interceptación de
cualquier marco posterior no lo haría.
IDEI | 2019-1c | 36 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocolo WiFi
Problemas de asociación
Los clientes WiFi generalmente tienen asociaciones preferidas, redes
que conocen y en las que confían para conectarse, y pueden incluir
nombres de SSID muy comunes. Sin medidas de seguridad
adicionales, los atacantes pueden falsificar estos SSID confiables y
engañar a los dispositivos para que se conecten a puntos de acceso
no autorizados.
7
IDEI | 2019-1c | 37 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Contramedida fallida: WEP
Wired Equivalent Protection (WEP)
Se diseñó al mismo tiempo que los estándares WiFi 802.11
originales como mecanismo para asegurar esas comunicaciones.
Las debilidades en WEP se identificaron por primera vez en 2001,
cuatro años después del lanzamiento.
Se descubrieron más puntos débiles a lo largo de los años, hasta
que cualquier comunicación cifrada WEP se pudo descifrar en
cuestión de minutos.
IDEI | 2019-1c | 38 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Contramedida fallida: WEP
Funcionamiento
El cliente y el AP poseen una clave pre-compartida.
El AP envía un número aleatorio al cliente, que luego el cliente cifra
usando la clave y regresa al AP.
El AP descifra el número usando la clave y verifica que sea el mismo
número para autenticar al cliente.
Una vez que el cliente se autentica el AP y el cliente se comunican
mediante mensajes cifrados con la clave común.
IDEI | 2019-1c | 39 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocolo WEP
Clave de cifrado débil
Permite trabajar con 64 o 128 bits, pero 24 de esos bits se reservan
para los vectores de inicialización, lo que reduce el tamaño de clave
efectivo a 40 o 140 bits. Las claves admitidas son alfanuméricas (o
frases en hexadecimales), por lo tanto, vulnerables a los ataques de
diccionario.
Clave estática
Dado que la clave es solo un valor que el usuario escribió en el
cliente y en el AP, y como los usuarios rara vez cambian esas claves,
la clave se usa durante muchos meses operación.
IDEI | 2019-1c | 40 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocolo WEP
Proceso de encriptación débil
Una clave de 40 bits puede ser hallada a través de ataques de
fuerza bruta.
Los defectos descubierto en el algoritmo de cifrado RC4 que usa
WEP hicieron que las claves de 104 bits también sean fáciles de
descifrar.
IDEI | 2019-1c | 41 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocolo WEP
Algoritmo de cifrado débil
Utiliza el algoritmo de cifrado RC4 de una manera extraña. Lo que
generó una falla que permite a los atacantes descifrar grandes
porciones de cualquier comunicación.
Inicialización inapropiada del vector de colisiones
Consiste de los primeros 24bits de la clave de cifrado. Sólo hay 16 millones de valores posibles utilizables. Insuficientes para evitar que un atacante genere todas las combinaciones posibles en pocas horas. Además los valores no fueron seleccionados al azar como deberían, por lo que algunos valores son mucho más comunes que otros.
IDEI | 2019-1c | 42 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Debilidades del protocolo WEP
Verificación de integridad defectuosa
Los mensajes incluyen una suma de comprobación para identificar
errores de transmisión, pero no utilizan uno que pudiera abordar la
modificación forzada (maliciosa).
Sin autenticación
Supone que cualquier cliente que conozca el SSID y la dirección
MAC del AP es legítimo.
8
IDEI | 2019-1c | 43 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
WiFI Protected Access (WPA)
WPA diseñado en 2003 como reemplazo de WEP.
En 2004 se define WPA2, algoritmo adoptado como estándar de
protección en redes WiFi al día de hoy.
IDEI | 2019-1c | 44 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
WiFI Protected Access (WPA)
Clave de cifrado no estática
Utiliza jerarquía de claves: las nuevas claves se generan para la
confidencialidad e integridad de cada sesión.
Utiliza Temporal Key Integrity Program (TKIP), es decir, la clave de
cifrado se cambia automáticamente en cada paquete.
Las claves más importantes se utilizan en muy pocos lugares y en
forma indirecta, protegiéndolas de la divulgación.
IDEI | 2019-1c | 45 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
WiFI Protected Access (WPA)
Autenticación
Permite autenticación por contraseña, token o certificado.
Cifrado fuerte
Agrega soporte para AES: algoritmo de cifrado más confiable.
Protección de la integridad
Incluye verificación de integridad criptográfica de 64bits.
IDEI | 2019-1c | 46 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
WiFI Protected Access (WPA)
Inicio de sesión
Con WPA y WPA2 las sesiones comienzan con la autenticación y un
saludo de cuatro vías que da como resultado claves separadas para
el cifrado y la integridad en ambos extremos de la conexión.
WPA corrige muchas deficiencias de WEP mediante:
uso de un cifrado más fuerte;
claves más largas y cambiantes;
controles de integridad mejorados.
IDEI | 2019-1c | 47 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
WiFI Protected Access (WPA)
WPA2 es seguro si está bien configurado.
Se debe elegir un algoritmo de cifrado sólido: AES, no es
recomendable usar TKIP
Usar contraseña larga y aleatoria.
Debilidades
Existen algunos ataques contra WPA, pero de efectividad muy
limitada o requieren que se usen contraseñas débiles.
IDEI | 2019-1c | 48 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Modos de autenticación en WPA
9
IDEI | 2019-1c | 49 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Negación de servicio
Los ataques de tipo DoS (Denial of service) son intentos de impedir
que el sistema esté disponible brindando servicio.
El origen de un ataque suele ser difícil o imposible de determinar
con certeza.
Puede ocurrir por:
volumen excesivo,
fallas en una aplicación,
un enlace cortado o
un error de hardware o software.
IDEI | 2019-1c | 50 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Negación de servicio
Ataques volumétricos
Debilidad potencial � capacidad del sistema.
Si la demanda es mayor de la que el sistema puede manejar,
algunos datos no se entregarán correctamente a través de la red.
Ataques basados en aplicaciones
Un ataque puede saturar la aplicación que brinda servicios en la red.
IDEI | 2019-1c | 51 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Negación de servicio
Comunicaciones inhabilitadas
Cortar o deshabilitar el enlace entre dos puntos. Muchos usuarios no
podrán recibir el servicio, especialmente si ese enlace es un punto
único a través del cual debe pasar mucho tráfico.
Fallo de hardware o software
Similar a fallas en un enlace de comunicaciones, en estos casos los
problemas se relacionan con el equipamiento subyacente.
La protección debería involucrar conceptos como la tolerancia a
fallas.
IDEI | 2019-1c | 52 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Negación de servicio: protocolos de red
ICMP (Internet Control Message Protocol)
Utilizado para el diagnóstico del sistema, no tiene aplicaciones de
usuario asociadas. El protocolo incluye diferentes tipos de mensajes.
Echo request/echo replay: solicitar a un destino que devuelva una
respuesta.
Destino inalcanzable: indica que no se puede acceder a una
dirección de destino.
Apagado de la fuente (quench): el destino está saturando y la
fuente debe suspender el envío de paquetes por un tiempo.
IDEI | 2019-1c | 53 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Negación de servicio: protocolos de red
ICMP (Internet Control Message Protocol)
Cumple una función muy importante para la gestión de la red.
También puede usarse para atacar sistemas.
La inundación se logra porque el ancho de banda entrante es
insuficiente o los recursos (dispositivos de hardware, potencia de
cómputo, aplicaciones (software) o capacidad en tablas de datos)
son inadecuados.
Los ataques pueden ser difíciles de detectar o bloquear en el equipo
receptor.
IDEI | 2019-1c | 54 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS casos para: ping flood
Attacker
Attacker
Ping Ping
PingPingPing
Ping Ping Ping
(a) Attacker has greater bandwidth
(b) Victim has greater bandwidth
Reply
V
Victim
Victim
V
Ping Ping PingReply Reply
Reply Reply ReplyPing Ping Ping Ping
Ping
10
IDEI | 2019-1c | 55 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: ping of death
IDEI | 2019-1c | 56 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: smurf
Victim
Attacker
All network hosts
reply to victim
Victim is saturated
with ECHO replies
from entire network
Attacker sends
broadcast ECHO
request to network,
with victim’s return address
IDEI | 2019-1c | 57 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: echo-chargen
Victim A Victim B
Chargen packet with echo bit on
Echoing what you just sent me
Chargen another packet with echo bit on
Echoing that again
Chargen another packet with echo bit on
IDEI | 2019-1c | 58 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: SYN flood
IDEI | 2019-1c | 59 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: teardrop
Ataque basado en la capacidad de
fragmentación de paquetes del
protocolo TCP.
El atacante envía paquetes que no
pueden ser reensamblados (por
conflictos en la instrucciones de
reensamablado).
En situaciones extremas esto puede
hacer que el sistema operativo se
bloquee.
Fragment start = 10 len = 500
10
20
30
40
50
60
70
80
90
100
...
Fragment start = 20 len = 60
Packet Fragments
Fragment start = 40 len = 30
Reassembly Buffer
IDEI | 2019-1c | 60 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: suplantación de DNS
MMA: Cualquier servidor puede responder a una solicitud de búsqueda de DNS. Ser el primero en responder permite a un atacante redirigir el tráfico.
11
IDEI | 2019-1c | 61 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: suplantación de DNS
Otras tipos: cache poisoning o modificación del servidor de DNS.
IDEI | 2019-1c | 62 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: reenrutamiento de enrutamiento
Rerouting routing
Ejemplo de ataque de tipo Man-in-the-middle.
Implica que un nodo redirecciona una red para que todo el tráfico
fluya a través del nodo atacante, lo que permitiría una caso
potencial intercepción de datos.
Los enrutadores de red son un conjunto de componentes
considerados entre sí confiables.
Organizan y permiten la entrega de datos a través de diferentes
redes, incluida Internet.
IDEI | 2019-1c | 63 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque DoS: secuestro de sesión
Un atacante puede
sincronizarse con un nodo
receptor mientras rompe
la sincronización con el
nodo remitente y
restablece la conexión de
ese remitente.
El atacante continúa la
sesión TCP mientras el
remitente cree que la
conexión se interrumpió.
ReceiverAttackerSender
Data (len 5)
Seq = 10
Data (len 20)
Seq = 15
Data (len 100)
Seq = 35
Data (len 30)
Seq = 35
Data (len 25)
Seq = 135
Ack = 35
Ack = 135
Ack = 15
Hijack
Reset
IDEI | 2019-1c | 64 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Ataque de negación de servicio distribuido
1. Attacker plants Trojan horse in zombies 2. Zombies attack
victim simultaneously on command
Victim
IDEI | 2019-1c | 65 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Botnets
Son redes de máquinas que ejecutan código malicioso bajo control
remoto.
Suelen pasar desapercibidas porque causan poco daño a los equipos
infectados.
El atacante está separado de los robots por varias capas, lo que
hace que el atacante sea difícil de rastrear.
Se incorporan múltiples sistemas redundantes, de modo que si se
elimina un nodo maestro (comando y control), los robots pueden
continuar conectándose a la red restante.
IDEI | 2019-1c | 66 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Botnets
Attacker Attacker
Master Master Master
C&C C&C C&C
Bot Bot Bot Bot Bot Bot
Victim
12
IDEI | 2019-1c | 67 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaRedes de computadoras
Botnets
Permitan confeccionar ataques implementados desde muchos sitios
separados que trabajan en paralelo contra una víctima.
Ejemplos:
Se utilizan para ejecutar ataques DDoS.
Se utilizan para enviar spam o bien para ataques masivos de
correo electrónico.