Full Transcript

Seguridad: Ataques Contra Redes TCP/IP Introducción Los ataques contra sistemas informáticos han evolucionado significativamente desde los primeros días de internet. Inicialmente, solo requerían conocimientos técnicos básicos, per- mitiendo a atacantes menos experimentados alterar permisos internos...

Seguridad: Ataques Contra Redes TCP/IP Introducción Los ataques contra sistemas informáticos han evolucionado significativamente desde los primeros días de internet. Inicialmente, solo requerían conocimientos técnicos básicos, per- mitiendo a atacantes menos experimentados alterar permisos internos o acceder a sistemas externos utilizando contraseñas comunes. Con el tiempo, se han desarrollado técnicas de ataque más complejas que explotan vulnerabilidades en la arquitectura y operación de las redes TCP/IP. Hoy en día, muchos usuarios con acceso a internet pueden fácilmente encontrar herramientas y guías para ejecutar ataques. La literatura sobre seguridad informática clasifica estos ataques en tres generaciones: 1. Primera Generación: Ataques físicos, que afectan componentes electrónicos como ordenadores y dispositivos de red. 2. Segunda Generación: Ataques sintácticos, que explotan fallas en la lógica de operación del software. 3. Tercera Generación: Ataques semánticos, los cuales utilizan la confianza de los usuarios en la información para comprometer datos sensibles. Este capítulo analizará la seguridad de las redes TCP/IP, comenzando con las debilidades típicas de sus protocolos y los métodos de ataque más conocidos. Seguridad en Redes TCP/IP Orígenes de TCP/IP En los años 60, durante la Guerra Fría, la DARPA (Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de EE. UU.) investigó cómo asegurar su red de comunicaciones ante posibles ataques. Esto llevó al desarrollo de ARPANET, un sistema de red experimental conocido por su tolerancia a fallos. A mediados de los 70, se establecieron las bases para los protocolos TCP/IP. Arquitectura de TCP/IP La familia de protocolos TCP/IP se estructura en cuatro capas: 1. Capa de red: Comprende las conexiones físicas, como redes LAN y WAN. Es la fundación sobre la cual se construye el resto de la red. 2. Capa de internet: Facilita la interconexión de dispositivos a través de direcciones IP y el encaminamiento de datos. 3. Capa de transporte: Asegura la fiabilidad de la transmisión de datos, gestionando el control de flujo y errores. 4. Capa de aplicación: Es la más cercana al usuario y contiene protocolos como HTTP, FTP y SMTP. Solo los dispositivos terminales implementan todas las capas, mientras que los equipos intermedios se limitan a las capas de red y de internet. Vulnerabilidades en las Capas de TCP/IP Cada capa del modelo TCP/IP tiene sus propias vulnerabilidades que pueden ser explotadas por atacantes. Algunas de las más comunes son: 1. Capa de Red: Problemas de control de acceso. Vulnerabilidades relacionadas con interceptaciones de comunicaciones, como el "sniffing". 2. Capa de Internet: Los ataques incluyen suplantación de mensajes y manipulación de datos. La autenticación basada solo en direcciones IP facilita la suplantación. 3. Capa de Transporte: Problemas de autenticación, integridad y confidencialidad. Vul- nerabilidades del protocolo TCP pueden ser explotadas para interrumpir sesiones. 4. Capa de Aplicación: Vulnerabilidades en protocolos como DNS y Telnet. La falta de cifrado de datos sensibles permite su captura durante la transmisión. Actividades Previas a un Ataque Antes de un ataque, es crucial obtener información sobre el objetivo. Los atacantes pueden usar herramientas de administración como ping, traceroute, whois, entre otras, para recoger datos sobre el sistema objetivo y su topología. Por ejemplo: Ping: Se utiliza para determinar si un objetivo está activo. Traceroute: Ayuda a identificar los dispositivos intermedios entre la máquina del atacante y el objetivo. Escuchas de Red Los atacantes utilizan "sniffers" para capturar datos que circulan a través de la red. Estas herramientas pueden interceptar paquetes TCP/IP para extraer información sensible, incluidos contraseñas y datos personales. Las técnicas de sniffing pueden ser pasivas (eavesdropping) o activas (snooping), dependiendo de si se modifica la comunicación o no. Desactivación de Filtro MAC Los "sniffers" pueden operar en modo promiscuo, permitiendo la captura de tráfico de red no dirigido a sus interfaces. Esta técnica es más efectiva en redes basadas en Ethernet y Wi-Fi, donde el tráfico generalmente se transmite en un medio compartido. Suplantación de ARP El Protocolo ARP traduce direcciones IP en direcciones MAC. En un ataque de suplantación de ARP, un atacante envía falsas respuestas ARP para redirigir el tráfico a su máquina, interceptando comunicaciones sin entrar en modo promiscuo. Herramientas de Sniffing Entre las herramientas más comunes se destacan: Tcpdump: Captura y analiza paquetes de red en sistemas Unix. Wireshark: Proporciona una interfaz gráfica más accesible y funcional para el análisis de tráfico en la red. Fragmentación IP La fragmentación puede utilizarse malintencionadamente para eludir sistemas de detección de intrusos, ya que los dispositivos de filtrado a menudo utilizan la información de cabecera del paquete para tomar decisiones. Ataques de Denegación de Servicio (DoS) Un ataque de denegación de servicio busca privar a un usuario o sistema de su acceso a un recurso o servicio. Los DoS pueden ser provocados tanto por usuarios internos como externos. Ejemplos de Ataques DoS 1. IP Flooding: Inundación de una red con datagramas IP. 2. Smurf: Usa la suplantación de dirección para amplificar las respuestas de las máquinas en una red, atacando a un objetivo específico. 3. TCP/SYN Flooding: Inunda los recursos de conexión por medio de solicitudes incomple- tas. 4. Ping of Death: Envía paquetes ICMP con longitudes que exceden los límites para provocar fallos en el destinatario. Ataques Distribuidos DoS (DDoS) Los ataques DDoS utilizan múltiples sistemas comprometidos para causar una denegación de servicio coordinada. Herramientas como TRIN00, Tribe Flood Network (TFN) y Shaft permiten la sincronización y ejecución de ataques distribuidos a gran escala. Deficiencias de Programación Errores en el código pueden dar lugar a vulnerabilidades severas en servicios de red, como: Desbordamiento de buffer: Permite a un atacante sobrescribir la memoria y tomar el control del flujo de ejecución. Cadenas de formato: Un mal uso de funciones de impresión puede exponer la memoria a ataque. Conclusión La comprensión de los ataques contra redes TCP/IP es crucial para la implementación de medidas de seguridad adecuadas. A medida que las técnicas de ataque se vuelven más sofisticadas, es imperativo que las organizaciones mantengan la vigilancia y actualicen sus defensas para protegerse contra estos riesgos.

Use Quizgecko on...
Browser
Browser