TD 2 Seguridad Redes LANd

7/22/2019 TD 2 Seguridad Redes LANd

1/19

edes y Telecomunicaciones - Seguridad en Redes

Trabajo Dirigido N 2

Seguridad en Redes LAN

1. Cmo est compuesta una trama Ethernet? Explicar cada campo.

Una trama Ethernet est compuesta por los siguientes campos:

Prembulo Delimitador de inicio de trama (SFDStart Frame Delimiter) Direccin de destino Direccin de origen Longitud/Tipo Encabezado y datos 802.2 Secuencia de verificacin de trama

Trama Ethernet

Campos Prembulo y Delimitador de inicio de trama

Los campos Prembulo (7 bytes) y Delimitador de inicio de trama (SFD) (1 byte)se utilizan para la sincronizacin entre los dispositivos de envo y de recepcin.Estos ocho primeros bytes de la trama se utilizan para captar la atencin de losnodos receptores. Bsicamente, los primeros bytes le indican al receptor que se

prepare para recibir una trama nueva.

Campo Direccin MAC de destino

El campo Direccin MAC de destino (6 bytes) es el identificador del receptordeseado. Como recordar, la Capa 2 utiliza esta direccin para ayudar a losdispositivos a determinar si la trama viene dirigida a ellos. La direccin de la trama


2/19

se compara con la direccin MAC del dispositivo. Si coinciden, el dispositivoacepta la trama.

Campo Direccin MAC de origen

El campo Direccin MAC de origen (6 bytes) identifica la NIC o interfaz que originala trama. Los switches tambin utilizan esta direccin para ampliar sus tablas debsqueda.

Campo Longitud/Tipo

El campo Longitud/Tipo (2 bytes) define la longitud exacta del campo Datos de latrama. Esto se utiliza posteriormente como parte de la FCSpara garantizar que elmensaje se reciba adecuadamente. En este campo debe ingresarse una longitud oun tipo. Sin embargo, slo uno u otro podr utilizarse en una determinadaimplementacin. Si el objetivo del campo es designar un tipo, el campo Tipodescribe qu protocolo se implementa.

El campo denominado Longitud/Tipo slo apareca como Longitud en lasversiones anteriores del IEEE y slo como Tipo en la versin DIX. Estos dos usosdel campo se combinaron oficialmente en una versin posterior del IEEE, ya queambos usos eran comunes. El campo Tipo de la Ethernet II se incorpor a laactual definicin de trama del 802.3. La Ethernet II es el formato de trama deEthernet que se utiliza en redes TCP/IP. Cuando un nodo recibe una trama, debeanalizar el campo Longitud/Tipo para determinar qu protocolo de capa superiorest presente. Si el valor de los dos octetos es equivalente a 0x0600 hexadecimalo 1536 decimal o mayor que stos, los contenidos del campo Datos se codificansegn el protocolo indicado.

Campos Datos y Relleno

Los campos Datos y Relleno (de 46 a 1500 bytes) contienen los datosencapsulados de una capa superior, que es una PDU de Capa 3 genrica o, conmayor frecuencia, un paquete IPv4. Todas las tramas deben tener al menos 64bytes de longitud. Si se encapsula un paquete pequeo, el Pad se utiliza paraaumentar el tamao de la trama hasta alcanzar este tamao mnimo.

Campo Secuencia de verificacin de trama

El campo Secuencia de verificacin de trama (FCS) (4 bytes) se utiliza paradetectar errores en la trama. Utiliza una comprobacin cclica de redundancia(CRC- Cyclical Redundancy Control). El dispositivo emisor incluye losresultados de una CRC en el campo FCS de la trama.

El dispositivo receptor recibe la trama y genera una CRC para detectar errores. Silos clculos coinciden, significa que no se produjo ningn error. Los clculos queno coinciden indican que los datos cambiaron y, por consiguiente, se descarta la


3/19

trama. Un cambio en los datos podra ser resultado de una interrupcin de lasseales elctricas que representan los bits.

2. Cmo est compuesto una direccin MAC? Explique cada campo.

Direccin MAC: (media access control; "control de acceso al medio") es unidentificador de 48 bits (3 bloques hexadecimales) que corresponde de formanica a una tarjeta o dispositivo de red. Se conoce tambin como direccin fsica,y es nica para cada dispositivo. Las direcciones MAC son nicas a nivel mundial,puesto que son escritas directamente, en forma binaria, en el hardware en sumomento de fabricacin.

ESTRUCTURA DE UNA DIRECCION MAC

1 1 22 bits 24 bits

I/G G/L Asignado al fabricante

I/G: Individual (0) o de grupo (1) G/L: Global (0), Local (1). 24 primero bits asignados por IEEE al fabricante de la placa de red. Los otros son asignados en forma consecutiva por el fabricante. No hay dos direcciones iguales en el mundo.

El valor de la direccin MACes el resultado directo de las normas implementadas

por el IEEE para proveedores con el objetivo de garantizar direcciones nicas paracada dispositivo Ethernet. Las normas establecidas por el IEEE obligan a losproveedores de dispositivos Ethernet a registrarse en el IEEE. El IEEE le asigna acada proveedor un cdigo de 3 bytes, denominado Identi f icador nicoorg anizacional (OUI).

El IEEE obliga a los proveedores a respetar dos normas simples:Todas las direcciones MAC asignadas a una NIC u otro dispositivo Ethernet debenutilizar el OUI que se le asign a dicho proveedor como los 3 primeros bytes.Se les debe asignar un valor exclusivo a todas las direcciones MAC con el mismoOUI (Identificador exclusivo de organizacin) (cdigo del fabricante o nmero de

serie) en los ltimos 3 bytes.


4/19

3. Qu tipo de direcciones MAC existen? Explicar cada una.

Hay tres tipos de direcciones MAC:

Unicast, es nica para cada mquina dentro de la red, y la identificaunvocamente.

Broadcast (de grupo, todos) 0xff ff ff ff ff ff, es una direccin que va solo en elcampo DA, y permite enviar un mensaje a TODAS las computadoras activas de lared.

Multicast(de grupo), es un caso intermedio entre las anteriores. Permite definir enforma dinmica grupos de mquinas que pueden responder a un mensaje emitido,l numero del grupo es variable ente 2 y todas las de la red.

4. Cmo est compuesto un paquete IP? Explique cada campo


5/19

Formato de la cabecera IP (versin 4)

Versin: 4 bits. Siempre vale lo mismo (0100). Este campo describe el formato dela cabecera utilizada.

Tamao Cabecera (IHL): 4 bits. Longitud de la cabecera, en palabras de 32 bits.

Su valor mnimo es de 5 bits (5x32 = 160 bits, 20 bytes) para una cabeceracorrecta, y el mximo de 15 bits (15x32 = 480 bits, 60 bytes).Tipo de Servicio: 8 bits. Indica una serie de parmetros sobre la calidad deservicio deseada durante el trnsito por una red. Algunas redes ofrecenprioridades de servicios, considerando determinado tipo de paquetes "msimportantes" que otros (en particular estas redes solo admiten los paquetes conprioridad alta en momentos de sobrecarga)

Longitud Total: 16 bits. Es el tamao total, en octetos, del datagrama, incluyendoel tamao de la cabecera y el de los datos. El tamao mnimo de los datagramasusados normalmente es de 576 octetos (64 de cabeceras y 512 de datos). Una

mquina no debera enviar datagramas menores o mayores de ese tamao a noser que tenga la certeza de que van a ser aceptados por la mquina destino.En caso de fragmentacin este campo contendr el tamao del fragmento, no eldel datagrama original.

Identificador: 16 bits. Identificador nico del datagrama. Se utilizar, en caso deque el datagrama deba ser fragmentado, para poder distinguir los fragmentos deun datagrama de los de otro. El originador del datagrama debe asegurar un valornico para la pareja origen-destino y el tipo de protocolo durante el tiempo que eldatagrama pueda estar activo en la red. El valor asignado en este campo debe iren formato de red.

Flags: 3 bits. Actualmente utilizado slo para especificar valores relativos a lafragmentacin de paquetes:- bit 0: Reservado; debe ser 0- bit 1: 0 = Divisible, 1 = No Divisible (DF)- bit 2: 0 = ltimo Fragmento, 1 = Fragmento Intermedio (le siguen msfragmentos) (MF)


6/19

La indicacin de que un paquete es indivisible debe ser tenida en cuenta bajocualquier circunstancia. Si el paquete necesitara ser fragmentado, no se enviar.

Posicin de Fragmento: 13 bits. En paquetes fragmentados indica la posicin, enunidades de 64 bits, que ocupa el paquete actual dentro del datagrama original. El

primer paquete de una serie de fragmentos contendr en este campo el valor 0.Tiempo de Vida (TTL): 8 bits. Indica el mximo nmero de enrutadores que unpaquete puede atravesar. Cada vez que algn nodo procesa este paquetedisminuye su valor en 1 como mnimo, una unidad. Cuando llegue a ser 0, elpaquete ser descartado.

Protocolo: 8 bits. Indica el protocolo de las capas superiores al que debeentregarse el paquete Vea Nmeros de protocolo IP para comprender comointerpretar este campo.

Suma de Control de Cabecera: 16 bits. Se recalcula cada vez que algn nodocambia alguno de sus campos (por ejemplo, el Tiempo de Vida). El mtodo declculo consiste en sumar en complemento a 1 cada palabra de 16 bits de lacabecera (considerando valor 0 para el campo de suma de control de cabecera) yhacer el complemento a 1 del valor resultante.

Direccin IP de origen: 32 bits. Ver Direcciones IP. Debe ser dada en formato dered.

Direccin IP de destino: 32 bits. Ver Direcciones IP. Debe ser dada en formatode red.

Opciones: Variable. Se rellena para completar mltiplos de cuatro bytes.Actualmente hay cinco opciones definidas, aunque no todos los encaminadoreslas reconocen: Seguridad, Enrutamiento estricto desde el origen, Enrutamientolibre desde el origen,Registrar ruta y Marca de tiempo.

Relleno: Variable. Utilizado para asegurar que el tamao, en bits, de la cabeceraes un mltiplo de 32. El valor usado es el 0.

5. Defina dominio de colisin y de difusin

Dominio de colisin: Segmento de la red en el que si un dispositivo particularenva un frame en un segmento de la red, todos los otros dispositivos de esemismo segmento procesan ese frame. Esto tambin significa que si dos o msdispositivos en ese mismo segmento transmiten un frame al mismo tiempo, seproducir una colisin.

Dominio de difusin: es una rea lgica en una red de ordenadores en la quecualquier ordenador conectado a la red puede transmitir directamente a cualquierotro en el dominio sin precisar ningn dispositi vo de encaminamiento, dado que


7/19

comparten la misma subred, direccin de puerta de enlace y estn en la mismaVLAN (VLAN por defecto o instalada).

De forma ms especfica es un rea de una red de pc formada por todos losordenadores y dispositivos de red que se pueden alcanzar enviando una trama a

la direccin de difusin de la capa de enlace de datos.Un dominio de difusin o de broadcast funciona con la ltima ip de una subred.

6. Para qu se utilizan las VLAN?

VLAN (red de rea local virtual: es un mtodo de crear redes lgicas eindependientes dentro de una misma red fsica. Varias VLANs pueden coexistir enun nico switch o en una nica red fsica.

Se utilizan para reducir el tamao del dominio de difusin y ayudan en la

administracin de la red separando segmentos lgicos de una LAN que nodeberan intercambiar datos usando la red local.

Una VLAN consiste en una red de pcs que se comportan como si estuviesenconectados al mismo switch, aunque pueden estar en realidad conectadosfsicamente a diferentes segmentos de una LAN. Los administradores de redconfiguran las VLANs mediante software en lugar de hardware, lo que las haceextremadamente flexibles. Una de las mayores ventajas de las VLANs surgecuando se traslada fsicamente algn ordenador a otra ubicacin: puedepermanecer en la misma VLAN sin necesidad de cambiar la configuracin IP de lamquina.

7. Cmo est compuesta la cabecera 802.1q? Explique cada uno de loscampos

Esta cabecera es de 4 bytes o 32 bits de longitud, y dentro de ella est toda lainformacin requerida para la identificacin satisfactoria de las tramas a suscorrespondientes VLANs y asegurar que estas lleguen al destino correcto.

TPID (Tag Protocol Identifier): El TPID de 16 bits de longitud con un valor de08100 es usado para identificar la trama como una trama etiquetada con IEEE802.1Q / IEEE 802.1p.


8/19

Los siguientes tres campos son conocidos como la Tag Control Information (TCI),y a menudo es representado como un solo campo el cual se compone de:

Prioridad: es usado para indicar la prioridad de los datos que est llevando latrama. La priorizacin de datos permite dar una especial prioridad al tiempo de

latencia de servicios sensitivos, como la voz sobre IP (VoIP), sobre los datosnormales. Esto significa que el ancho de banda especificado es asignado paraestos servicios crticos al igual que pasar a travs del enlace sin ningn retardo.

Debido a que este campo consta de 3 bits, quiere decir que nos permite utilizar 8diferentes prioridades para cada trama, desde el 0 al 7.

CFI (Canonical Format Indicator): tiene una tamao de 1 bit de longitud, si estecampo tiene asignado el valor 1 quiere decir que la direccin MAC est en unformato no cannico, y si tiene asignado el valor de 0significa lo contrario. Paraswitches Ethernet este campo siempre es cero.

Este campo se usado principalmente por razones de compatibilidad entre redesToken Ring y Ethernet. En el caso de que una trama llegue a un puerto Ethernetcon la bandera CFI a 1, entonces la trama no ser enviada a ningn puerto sinetiqueta (enlace de acceso) como este fue recibido.

Identificador VLAN: El campo VLAN ID al igual que en ISL, es posiblemente elcampo ms importante porque permite identificar a que VLAN pertenece la trama,permitiendo al switch receptor decidir porque puertos puede salir la tramadependiendo de la configuracin del switch.

8. Qu es ARP? para qu sirve y como funciona en las redes IP sobre

Ethernet?

ARP (Address Resolution Protocol - Protocolo de resolucin de direcciones): es unprotocolo de la capa de enlace de datos responsable de encontrar la direccinMAC que corresponde a una determinada direccin IP. Para ello se enva unpaquete (ARP request) a la direccin de broadcast que contiene la direccin IP porla que se pregunta, y se espera a que ese equipo responda (ARP reply) con ladireccin IP correspondiente. Cada equipo mantiene una cach con lasdirecciones traducidas para reducir el retardo y la carga (Tabla ARP). ARP permitea la direccin de Internet ser independiente de la direccin Ethernet, pero esto slofunciona si todos los equipos lo soportan.

9. Explique el proceso de comunicacin entre dos puestos de trabajo dentro delmismo dominio de difusin

En un dominio de difusin cualquier host conectado a la red puede transmitirdirectamente a cualquier otro en el dominio sin precisar ningn dispositivo de ruteo,ya que comparten la misma subred, el mismo Gateway y estn en la misma VLAN.


9/19

10. Explique el proceso de comunicacin entre dos puestos de trabajo separadospor un router

Si un host desea enviar un paquete a otro que se encuentra en una red distinta, loprimero que har ser comprobar si el host de destino aparece en su tabla de

resoluciones ARP, si no es as, realiza la correspondiente peticin ARP usandobroadcast. Como el host destino, no puede responder a la misma, el host origendecide enviar los paquetes al router para que ste se encargue de sudireccionamiento. Los paquetes que le pasa contienen la direccin IP de destino yla MAC del router.

Los routers poseen tablas de enrutamiento en las que almacenan informacinsobre el mejor camino que pueden seguir los paquetes para llegar a su destino.

Cuando le llegan los paquetes, el router debe extraer de ellos la direccin de la reda la que pertenece el host destino, para saber a qu red debe mandar lospaquetes. Para ello, realiza una operacin AND lgica entre la direccin ip destinoy la mscara de red de cada una de las redes.

11. Describir los dispositivos de capa 2 y de capa del modelo OSI.

Switch: es un dispositivo digital de lgica de interconexin de redes que opera enla capa 2 (Enlace de datos) del modelo OSI. Su funcin es interconectar dos oms segmentos de red, de manera similar a los puentes (bridges), pasando datosde un segmento a otro de acuerdo con la direccin MAC de destino de las tramasen la red.

Los switchs se utilizan cuando se desea conectar mltiples redes, fusionndolasen una sola. Funcionan como un filtro en la red, mejoran el rendimiento y laseguridad de las LANs.

Poseen la capacidad de aprender y almacenar las direcciones MAC de losdispositivos alcanzables a travs de cada uno de sus puertos. Esto permite que, adiferencia de los hubs, la informacin dirigida a un dispositivo vaya desde el puertoorigen al puerto de destino. En el caso de conectar dos switch o un switch y unhub, cada conmutador aprender las direcciones MAC de los dispositivosaccesibles por sus puertos, por lo tanto en el puerto de interconexin sealmacenan las MAC de los dispositivos del otro conmutador.

Puente (bridge): es un dispositivo de interconexin de redes que opera en la capa2 (Enlace de datos) del modelo OSI. Este interconecta dos segmentos de red (odivide una red en segmentos) haciendo el pasaje de datos de una red hacia otra,con base en la direccin fsica de destino de cada paquete. Un bridge conecta dossegmentos de red como una sola red usando el mismo protocolo deestablecimiento de red.


10/19

Funciona a travs de una tabla de direcciones MAC detectadas en cada segmentoa que est conectado. Cuando detecta que un nodo de uno de los segmentos estintentando transmitir datos a un nodo del otro, el bridge copia la trama para la otrasubred. Por utilizar este mecanismo de aprendizaje automtico, los bridges nonecesitan configuracin manual.

La principal diferencia entre un bridge y un hub es que el segundo pasa cualquiertrama con cualquier destino para todos los otros nodos conectados, en cambio elprimero slo pasa las tramas pertenecientes a cada segmento.

Esta caracterstica mejora el rendimiento de las redes al disminuir el trfico intil.

Placa de red: es un dispositivo de conexin de equipos que opera en la capa 2(Enlace de datos) del modelo OSI. Permite la comunicacin con aparatosconectados entre s y tambin permite compartir recursos entre dos o ms equipos.Tambin se les llama NIC (por network interface card). Hay diversos tipos deadaptadores en funcin del tipo de cableado o arquitectura que se utilice en la red(coaxial fino, coaxial grueso, Token Ring, etc.), pero actualmente el ms comn esdel tipo Ethernet utilizando una interfaz o conector RJ-45.

12. Describir los problemas de seguridad que presentan los dispositivos de Capa1, 2 y 3 del modelo OSI.

Capa 1: Repetidores, Hubs y MAU.

Todos estos dispositivos son muy sencillos, y su funcin es diseminar lainformacin que reciben por una interfaz y distribuirla por las dems sin hacerningn tipo de filtrado, por lo tanto no es posible utilizarlos en general paradefenderse de los ataques de seguridad.

En una red donde exista un hub con una boca vacante es un punto dbil para unafalla del tipo Acceso no autorizado. Usando una pc con un programa analizador deprotocolos es posible tener acceso a toda la informacin que va y viene por la red.

Adems es posible inyectar trfico con gran cantidad de paquetes para producircolisiones y provocar un ataque del tipo Denial of Service. En este sentido lapresencia de un hub coloca a la red en las mismas condiciones que la de una reddel tipo bus que puede ser atacada en cualquier parte del cable.

Capa 2 y 3: Bridges en general, switches nivel 2 y 3

En la actualidad solo se ven bridges inteligentes, que administran tablas dedirecciones asociadas a cada interfaz. El comportamiento de un switch es similaral del bridge.

Como estos dispositivos recuerdan que direcciones MAC tiene los dispositivos


11/19

que estn vinculadas a una determinada interfaz entonces la informacin que pasaentre una y otra boca es solo la que corresponde a la de un dispositivo destino, olos paquetes de datos con direcciones del Tipo Broadcast.

En definitiva si colocara un sniffer en una boca vacante de un switch solo vera

paquetes broadcast, o los correspondientes a la direccin MAC de la propiamquina. En este sentido un dispositivo de este tipo provee una proteccin parcialcontra el sniffing.

Decimos que parcial porque los paquetes broadcast proveen informacin valiosasobre lo que hay en una red, se utilizan normalmente para:

- Anunciar servicios disponibles, en redes Novell por ejemplo losservidores de archivos anuncian sus servicios usando un protocolodenominado SAP (Service Advertising Protocol) que enva paquetesbroadcast peridicamente.

- Solicitar informacin sobre la direccin de un servicio o mquina, talcomo el protocolo ARP (Address Resolution Protocol).

En un bridge o switch es posible producir un ataque del tipo de Denial of Servicede esta manera: Cada interfaz en un switch posee una tabla con las direccionesMAC correspondientes a los dispositivos que estn asociados a la misma, esatabla generalmente tiene una capacidad finita de almacenar direcciones.

Si se corre un programa que inyecta una gran cantidad de paquetes de datosfalsos con distintas direcciones MAC Origen, cada paquete que llega al switch conuna direccin distinta produce una entrada en la tabla correspondiente a la interfazque la recibi. Si la cantidad de direcciones por segundo que recibe la tabla esmuy grande pronto se llena y queda imposibilitada de recibir ms direcciones, estoincluye por supuesto a los paquetes vlidos.

A partir de ese momento el comportamiento del switch es totalmente distinto,puede transformares en un hub, es decir enviar los paquetes de interfaz a todaslas bocas como si fueran broadcasts, o puede en algunos caso inutilizarse.

13. Qu funcin cumple un sniffer?

Un sniffer un programa de captura de las tramas de una red.

Es algo comn que, por topologa de red y necesidad material, el medio detransmisin (cable coaxial, cable de par trenzado, fibra ptica, etc.) sea compartidopor varios dispositivos de red, lo que hace posible que una pc capture las tramasde informacin no destinadas a l. Para conseguir esto el sniffer pone la placa dered en un estado conocido como "modo promiscuo" en el cual en la capa deenlace de datos no son descartadas las tramas no destinadas a la direccin MAC;de esta manera se puede capturar (sniff, "olfatear") todo el trfico que viaja por lared.


12/19

Los sniffer tienen diversos usos, como monitorear redes para detectar y analizarfallos, o para realizar ingeniera inversa en protocolos de red. Tambin es habitualsu uso para fines maliciosos, como robar contraseas, interceptar correoselectrnicos, espiar conversaciones de chat, etc.

14. Explicar el funcionamiento de los dos tipos de sniffers en entornos Ethernet.

Un sniffer de Ethernet es un programa que trabaja en conjunto con la placa de red(NIC), para absorber indiscriminadamente todo el trfico que est dentro delumbral de audicin del sistema de escucha. Y no slo el trfico que vaya dirigido auna placa de red, sino a la direccin de brodcast.

El sniffer tiene que conseguir que la placa entre en modo "promiscuo", en el que -como indica la propia palabra- recibir todos los paquetes que se desplazan por lared. Lo primero que hay que hacer es colocar el hardware de la red en modopromiscuo; a continuacin el software puede capturar y analizar cualquier trficoque pase por ese segmento.

15. Explicar las amenazas que se producen en las redes locales.

Existen numerosas amenazas a nivel de redes LANEntre los ms comunes estn

.Sniffing Escaneo de recursos Spoofing

- Spoofing ARP e IP

Secuestro de sesiones (Session Hijacking) Denegacion de Servicio (DoS)

- Servicio DHCP Estas sin contar las amenazas de la capa aplicaciones ni de sistemas

operativos.

Sniffing y escaneo de servicios.Aunque no es un ataque en si

_ va en contra la confidencialidad (triangulo CIA)_ Suele ser el primer paso antes de un ataque (reconocimiento)

Spoofing o suplantacion de identidadEs una tecnica por la cual el atacante se hace pasar por otra persona_ Falseando su direccion fisica MAC_ Falseando su direccion logica IP

Generalmente utilizado para saltar filtros (de MAC o por IP) o en ataquesde .hombre en el medio. (men in the midle MitM. Es un problema cuando el IP o MAC verdadero estan presentes en la misma red


13/19

16. Nombre algunas medidas generales que se pueden tomar para prevenirataques.

Para evitar el sniffing en el cableado de la red es necesario tener controlado elespacio donde se instalan los hubs o switches, para evitar que se utilice una bocalibre para insertar un analizador de protocolo.Es conveniente que los enlaces entre edificios estn protegidos, y sean en loposibles de fibra ptica, ms difcil de pinchar.

En cuanto a las pcs, para evitar que sean transformadas en analizadores deprotocolo, es importante que los usuarios comunes no posean el control y losderechos de instalar programas y producir cambios en la configuracin de lasmquinas.

17. Define los ataques del tipo "men in the middle"

Un ataque man in the middle (MitM o intermediario) es un ataque en el que elenemigo adquiere la capacidad de leer, insertar y modificar a voluntad, losmensajes entre dos partes sin que ninguna de ellas conozca que el enlace entreellos ha sido violado. El atacante debe ser capaz de observar e interceptarmensajes entre las dos vctimas.

El ataque MitM puede incluir algunos de los siguientes subataques:

- Intercepcin de la comunicacin (eavesdropping), incluyendo anlisisdel trfico y posiblemente un ataque a partir de textos planos (plaintext)conocidos.

- Ataques a partir de textos cifrados escogidos, en funcin de lo que elreceptor haga con el mensaje descifrado.

- Ataques de sustitucin.- Ataques de repeticin.- Ataque por denegacin de servicio (denial of service).-

MitM se emplea tpicamente para referirse a manipulaciones activas de losmensajes, ms que para denotar intercepcin pasiva de la comunicacin.

18. Explicar los dos mtodos para sniffear una red con switch.

En redes con un switch, la tcnica de ARP poisoning o envenenamiento ARP es lams efectiva. Esta tcnica consiste, en envenenar la tabla ARP de los hostinvolucrados en el ataque para que stos enven a la red tramas Ethernet condestino la MAC del atacante.


14/19

Esto significa que el switch entregar los datos de la comunicacin a dicho host.Para evitar el refresco de la cach ARP es necesario l envi constante de arp-reply.

19. Por qu es muy difcil detectar a los sniffers?

- Un sniffer no se diferencia demasiado de una herramienta demonitorizacin de trfico de red utilizado por el administrador de la red.

- Dispositivos como routers y hub, suelen producir falsos positivos que hayque tener en cuenta sobre ataques de sniffer.

- Si el sniffer ha sido diseado exclusivamente para esta tarea (generalmentedispositivos hardware), entonces no devolver jams un paquete, noestablecer nunca una comunicacin, sino que permanecer siempre ensilencio y su deteccin remota ser, simplemente, imposible.La deteccin de este tipo de sniffers slo puede hacerse por inspeccindirecta de los dispositivos conectados a la red.

20. Explicar los mtodos de deteccin de sniffers. Mencionar programas paradeteccin de sniffers

Los mtodos de deteccin de sniffers se basan en la bsqueda del problema quevara segn se tenga acceso local al equipo o haya que descubrirlo de algnequipo remoto, esta ltima es la variante ms usual aunque la ms compleja. Elobjetivo es conseguir que el equipo que tiene la placa de red en modo promiscuose traicione a s misma, revelando que ha tenido acceso a informacin que no ibadirigida a l. Lamentablemente es un objetivo que puede llegar a ser imposible porsu complejidad.

En el caso de que no podamos acceder y consultar el estado de las interfaces dered, utilizaramos algn defecto en la implementacin concreta del protocoloTCP/IP por algn programa/comando, las tcnicas de bsqueda de sniffer en estecaso se dividen en dos: las dependientes del sistema operativo y las que no lo son.La ventaja de las tcnicas que dependen del sistema operativo es su rendimientocuando explora mquinas que tienen el mismo sistema operativo, la desventaja esel gran nmero de falsos negativos que ocasiona debido a que en muchos casoslas implementaciones de la pila TCP/IP varan entre versiones del mismo sistemaoperativo.

Test DNS: En este mtodo, la herramienta de deteccin en s misma est enmodo promiscuo. Creamos numerosas conexiones TCP/IP falsas en nuestrosegmento de red, esperando un sniffer humildemente escrito para atrapar esasconexiones y resolver la direccin IP de los inexistentes host. Algunos sniffersrealizan bsquedas inversas DNS en los paquetes que capturan. Cuando serealiza una bsqueda inversa DNS, una utilidad de deteccin de sniffers huele lapeticin de las operaciones de bsqueda para ver si el objetivo es aquel querealiza la peticin del host inexistente.


15/19

Test del Ping: Este mtodo confa en un problema en el ncleo de la mquinareceptora. Podemos construir una peticin tipo "ICMP echo" con la direccin IP dela mquina sospechosa de hospedar un sniffer, pero con una direccin MACdeliberadamente errnea. Enviamos un paquete "ICMP echo" al objetivo con ladireccin IP correcta, pero con una direccin MAC de destino distinta. La mayora

de los sistemas desatendern este paquete ya que su direccin MAC es incorrecta.Pero en algunos sistemas Linux, NetBSD y NT, puesto que el NIC est en modopromiscuo, el sniffer analizar este paquete de la red como paquete legtimo yresponder por consiguiente. Si el blanco en cuestin responde a nuestra peticin,sabremos que est en modo promiscuo. Un atacante avanzado puede poner al dasus sniffers para filtrar tales paquetes para que parezca que el NIC no hubieraestado en modo promiscuo.

Test ICMP: Ping de Latencia. En ste mtodo, hacemos ping al blanco yanotamos el Round Trip Time (RTT, retardo de ida y vuelta o tiempo de latencia)Creamos centenares de falsas conexiones TCP en nuestro segmento de red en unperodo muy corto. Esperamos que el sniffer est procesando estos paquetes arazn de que el tiempo de latencia incremente. Entonces hacemos ping otra vez, ycomparamos el RTT esta vez con el de la primera vez. Despus de una serie detests y medias, podemos concluir o no si un sniffer est realmente funcionando enel objetivo o no.

Test ARP: Podemos enviar una peticin ARP a nuestro objetivo con toda lainformacin rpida excepto con una direccin hardware de destino errnea.Una mquina que no est en modo promiscuo nunca ver este paquete, puestoque no era destinado a ellos, por lo tanto no contestar. Si una mquina est enmodo promiscuo, la peticin ARP sera considerada y el ncleo la procesara ycontestara. Por la mquina que contesta, sabremos que la mquina est en modopromiscuo.

Test Etherping: Enviamos un ping echo al host a testear con una IP de destinocorrecta y direccin MAC falseada. Si el host responde, es que su interfaz est enmodo promiscuo, es decir, existe un sniffer a la escucha y activo.

21. Cul es el mejor mtodo para evitar el sniffing?

Para evitar el Sniffing se puede segmentar la red mediante el uso de Switches.Mediante la segmentacin de la red el nico trfico que ser capaz de ver unequipo ser el que tenga a ese equipo por destino, ya que el Switch se encarga de

enrutar hacia el segmento correspondiente nicamente los paquetes destinados alequipo en cuestin.

Utilizacin de fibra ptica en las lneas de comunicacin. Aunque no es imposible"pinchar" una fibra ptica, esto es ms difcil que en otros soportes y normalmentese puede detectar la intervencin.

Encapsulacin de la lnea de comunicacin en una tubera con gas a presin.


16/19

De este modo al "pinchar" la tubera se produce un cambio de presin que podraser detectado mediante un sensor de presin.

22. Qu funcin cumplen los escaneadores de puertos?

El escaneo de puertos se emplea para designar la accin de analizar por medio deun programa el estado de los puertos de una mquina conectada a una red.Detecta si un puerto est abierto, cerrado, o protegido por un firewall.

Se utiliza para detectar qu servicios comunes est ofreciendo la mquina yposibles vulnerabilidades de seguridad segn los puertos abiertos. Tambin puedellegar a detectar el sistema operativo que est ejecutando la mquina segn lospuertos que tiene abiertos. Es usado por administradores de sistemas paraanalizar posibles problemas de seguridad, pero tambin es utilizado por usuariosmalintencionados que intentan comprometer la seguridad de la mquina o la red.

23. Mencione tres software para poder hacer escaneos de puertos

- Nmap- Sygate- Grc

24. Clasificar y explicar las amenazas que pueden producirse en una red.

25. Qu son los ataques de spoofing? qu tipos de spoofing existen?

Es uso de tcnicas de suplantacin de identidad generalmente con usosmaliciosos o de investigacin.Se pueden clasificar los ataques de spoofing, en funcin de la tecnologa utilizada.Entre ellos tenemos el IP spoofing, ARP spoofing, DNS spoofing, Web spoofing oemail spoofing, aunque en general se puede englobar dentro de spoofing cualquiertecnologa de red susceptible de sufrir suplantaciones de identidad.

IP Spoofing: Suplantacin de IP. Consiste bsicamente en sustituir la direccin IPorigen de un paquete TCP/IP por otra direccin IP a la cual se desea suplantar.Esto se consigue generalmente gracias a programas destinados a ello y puede serusado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hayque tener en cuenta que las respuestas del host que reciba los paquetes alteradosirn dirigidas a la IP falsificada. Por ejemplo si enviamos un ping suplantado, la

respuesta ser recibida por el host al que pertenece la IP legalmente. Este tipo despoofing unido al uso de peticiones broadcast a diferentes redes es usado en untipo de ataque de flood conocido como ataque Smurf. Para poder realizarSuplantacin de IP en sesiones TCP, se debe tener en cuenta el comportamientode dicho protocolo con el envo de paquetes SYN y ACK con su SYN especfico yteniendo en cuenta que el propietario real de la IP podra (si no se le impide dealguna manera) cortar la conexin en cualquier momento al recibir paquetes sinhaberlos solicitado. Tambin hay que tener en cuenta que los routers actuales no


17/19

admiten el envo de paquetes con IP origen no perteneciente a una de las redesque administra.

ARP Spoofing: Suplantacin de identidad por falsificacin de tabla ARP. Se tratade la construccin de tramas de solicitud y respuesta ARP modificadas con elobjetivo de falsear la tabla ARP de una vctima y forzarla a que enve los paquetesa un host atacante en lugar de hacerlo a su destino legtimo.

Los routers y hosts guardan una tabla local con la relacin IP-MAC llamada tablaARP. Dicha tabla ARP puede ser falseada por un ordenador atacante que emitatramas ARP-REPLY indicando su MAC como destino vlido para una IP especfica,como por ejemplo la de un router, de esta manera la informacin dirigida al routerpasara por el host atacante quien podr escanear dicha informacin y redirigirla sias lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por loque esta tcnica slo puede ser utilizada en redes LAN o en cualquier caso en laparte de la red que queda antes del primer router. Una manera de protegerse deesta tcnica es mediante tablas ARP estticas (siempre que las IP de red seanfijas), lo cual puede ser difcil en redes grandes. Otras formas de protegerseincluyen el usar programas de deteccin de cambios de las tablas ARP y el usar laseguridad de puerto de los switches para evitar cambios en las direcciones MAC.

DNS Spoofing: Suplantacin de identidad por nombre de dominio. Se trata delfalseamiento de una relacin "Nombre de dominio-IP" ante una consulta deresolucin de nombre, es decir, resolver con una direccin IP falsa un ciertonombre DNS o viceversa. Esto se consigue falseando las entradas de la relacinNombre de dominio-IP de un servidor DNS, mediante alguna vulnerabilidad delservidor en concreto o por su confianza hacia servidores poco fiables. Lasentradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) el

cache DNS de otro servidor diferente (DNS Poisoning).

Web Spoofing: Suplantacin de una pgina web real. Enruta la conexin de unavctima a travs de una pgina falsa hacia otras pginas WEB con el objetivo deobtener informacin de dicha vctima (pginas web vistas, informacin deformularios, contraseas etc.). La pgina web falsa acta a modo de proxy,solicitando la informacin requerida por la vctima a cada servidor original ysaltndose incluso la proteccin SSL. El atacante puede modificar cualquierinformacin desde y hacia cualquier servidor que la vctima visite. La vctimapuede abrir la pgina web falsa mediante cualquier tipo de engao, inclusoabriendo un simple enlace. El web spoofing es difcilmente detectable; quiz la

mejor medida es algn plugin del navegador que muestre en todo momento la IPdel servidor visitado: si la IP nunca cambia al visitar diferentes pginas WEBsignificar que probablemente estemos sufriendo este tipo de ataque. Este ataquese realiza mediante una implantacin de cdigo el cual nos robar la informacin.Usualmente se realizan pginas fantasmas en las cuales se inyectan estoscdigos para poder sacar informacin de las vctimas.


18/19

Mail Spoofing: Suplantacin en correo electrnico de la direccin de correoelectrnico de otras personas o entidades. Esta tcnica es usada con frecuenciapara el envo de mensajes de correo electrnico hoax como suplemento perfectopara el uso de suplantacin de identidad y para SPAM, es tan sencilla como el usode un servidor SMTP configurado para tal fin. Para protegerse se debera

comprobar la IP del remitente y la direccin del servidor SMTP utilizado.GPS Spoofing: Un ataque de GPS spoofing intenta engaar a un receptor deGPS transmitiendo una seal ligeramente ms poderosa que la recibida desde lossatlites del sistema GPS, estructurada para parecerse a un conjunto normal deseales GPS. Sin embargo estas seales estn modificadas de tal forma de quecausarn que el receptor determine una posicin diferente a la real,especficamente algn lugar determinado por la seal atacante. Debido a que elsistema GPS trabaja midiendo el tiempo que le toma a una seal el viajar entre elsatlite y el receptor, un spooging exitoso requiere que el atacante conozca conprecisin donde se encuentra el blanco de tal forma que la seal falsa pueda serestructurada con el retraso apropiado.

Un ataque de GPS spoofing comienza con la transmisin de una sealligeramente ms poderosa que la que entrega la posicin correcta, y luego secomienza a desviar lentamente hacia la posicin deseada por el atacante, ya quesi esto se hace demasiado rpido el receptor atacado perder la fijacin en laseal, en cuyo momento el ataque de spoofing slo funcionara como un ataquede perturbacin. Se ha sugerido que la captura de un Lockheed RQ-170 en elnoreste de Irn en diciembre de 2011, fue el resultado de un ataque de este tipo.1Previamente los ataques de GPS spoofing haban sido predichos y discutidos enla comunidad GPS, pero an no han sido confirmado un ejemplo conocido de unataque de spoofing malicioso.

26. Cmo funciona el protocolo DHCP?

DHCP permite asignacin de direccin IP manual y automtica.Se basa en la idea de un servidor especial que asigna direcciones IP a hosts quelas requieren. Este servidor no necesita estar en la misma LAN que el hostsolicitante. Puesto que el servidor DHCP no se puede alcanzar por difusin, senecesita un agente de retransmisin DHCP en cada LAN. Para encontrar sudireccin IP, una mquina inicializada recientemente difunde un paquete DHCPDISCOVER. El agente de retransmisin DHCP de su LAN intercepta todas lasdifusiones DHCP. Cuando encuentra un paquete DHCP DISCOVER, enva el

paquete mediante unidifusin al servidor DHCP, posiblemente en una red distante.La nica pieza de informacin que el agente de retransmisin necesita es ladireccin IP del servidor DHCP.

Para impedir la perdidas de direcciones IP no devueltas por desuso, la asignacinde direccin IP puede ser por un periodo fijo, una tcnica llamada arrendamiento.Simplemente, antes de que expire el arriendo, el host debe pedirle una renovacin


19/19

al DHCP. Si no hace una solicitud o sta se le niega, el host ya no puede usar ladireccin IP que se le dio antes.

27. Qu es el DHCP Snooping DHCP ? para qu sirve?

DHCP snooping es una serie de tcnicas que se aplican para garantizar laseguridad de una infraestructura DHCP existente.El snooping DHCP es una caracterstica cisco catalyst que determina que puertosdel switch pueden responder a las peticiones DHCP. Los puertos son identificadoscomo confiables y no confiables. Los puertos confiables pueden enviar todos losmensajes DHCP, mientras que los puertos no confiables pueden enviar peticionessolamente. Los puertos confiables albergan un servidor DHCP o pueden ser unenlace a travs del servidor DHCP. Si un dispositivo malicioso o un puerto noconfiable intenta enviar una respuesta DHCP dentro de la red, el puerto esapagado.

TD 2 Seguridad Redes LANd

Documents

Transcript of TD 2 Seguridad Redes LANd