Escolar Documentos
Profissional Documentos
Cultura Documentos
DNS Spoofing
Inyectan informacin falsa en el servidor de nombres, procedimiento conocido como envenenamiento de
la cach del servidor DNS, ocasionando con ello:
Redireccin de los usuarios del servidor DNS atacado a sitios web de Internet que simulan ser los
Websites reales.
La manipulacin de los servidores DNS tambin podra estar detrs de algunos casos de phishing,
on la intencin de obtener datos confidenciales, como sus claves de acceso.
Ataques de Denegacin de Servicio (DoS), al provocar la redireccin permanente hacia otros
servidores en lugar de hacia el verdadero, lo que impide que funcione el servicio DNS y con ello el
funcionamiento de la red atacada.
Los mensajes de correo podran ser redirigidos hacia servidores de correo no autorizados, donde
podran ser ledos, modificados o eliminados. Para ello, basta con modificar el registro MX (Mail
Exchanger) de la tabla de datos del servidor DNS atacado.
SMTP Spoofing.
El envo de mensajes con remitentes falsos para tratar de
engaar al destinatario o causar un dao en la reputacin
del supuesto remitente es otra tcnica frecuente de ataque
basado en la suplantacin de la identidad de un usuario. De
hecho, muchos virus emplean esta tcnica para facilitar su
propagacin, haciendo creer que el remitente es alguien
conocido. Asimismo, este tipo de ataque es muy utilizado
por los spammers.
En la actualidad, falsificar mensajes de correo resulta
bastante sencillo por las deficiencias de autenticacin del
protocolo SMTP As, un servidor configurado para aceptar
conexiones SMTP en el puerto 25 podra ser utilizado por
un usuario externo a la organizacin, empleando los comandos propios del protocolo, para que enve
mensajes que aparenten tener un origen seleccionado por el atacante cuando realmente tienen otro
distinto. No obstante, los servidores de correo tambin podran ser
configurados para no aceptar envos de mensajes desde equipos externos a
la red local.
Captura de cuentas de usuario y contraseas.
Tambin es posible suplantar la identidad de los usuarios mediante
herramientas que permitan capturar sus contraseas, como los
programas de software o los dispositivos hardware que permitan
registrar todas las pulsaciones en el teclado de un ordenador (keyloggers).
Por otra parte, mediante las tcnicas de Ingeniera Social un usuario podra ser engaado,
manipulado o chantajeado por una persona ajena a la organizacin para que le facilite sus contraseas
y claves de acceso.
1.7. Modificaciones del trfico y de las tablas de enrutamiento.
Al modificar las rutas, el trfico atravesar otros equipos facilitando de este modo el sniffing.
1.8. Ataques de Cross-Site Scripting (XSS).
Consisten en la ejecucin de cdigo Script (como Visual
Basic Script o Java Script). El atacante suplanta la identidad de
otro usuario en una navegacin contra un servidor web y enva
cadenas de texto al servidor formadas por cdigo en lenguaje
Script, que a su vez podra ser reenviado a la vctima dentro
de una pgina Web generada por el servidor como respuesta a
una determinada peticin, con la intencin de que este cdigo
se ejecutase en el navegador del usuario. No afectara por lo
tanto al servidor Web, pero s a algunos de los usuarios que
confan en l. Entre las posibilidades de ataque a travs de
Cross-Site Scripting podramos destacar las siguientes:
Obtencin de cookies e identificadores de usuarios, que permiten capturar sesiones y suplantar la
identidad de los afectados.
atacar. En una red muy grande, todos responden a la vez al equipo vctima, saturndolo.
el programa CAIN tiene ahora que enrutar el paquete que acaba de interceptar y
envirselo al equipo destinatario, que lo recibir creyendo a su vez que viene del
emisor y no ha sido interceptado.
El proceso se repite para cada uno de los
mensajes que intercambian los ordenadores
atacados.
Lgicamente, al trabajar con direcciones MAC,
CAIN solo podr utilizarse en el mbito de una
red local, pero s que puede captar todos los
accesos a Internet de un ordenador realizando el
spoofing entre este y su puerta de enlace
predeterminada.
CAIN funciona con hubs o switches que no
posean caractersticas especficas para detectar
este tipo de ataques y estn activadas.
Procedimiento.
1.
Instalar CAIN.
2.
Para trabajar con CAIN, el equipo atacante debera desactivar su cortafuegos.
3.
Configurar las ventanas de la figura. En una activamos el sniffer y el APR
cada vez que se arranca el programa y en la otra establecemos la IP y MAC del
equipo que hace el envenenamiento de MAC. Existen 2 modos: el marcado, en
el que utilizamos la IP y MAC reales del atacante, y la inferior, en el que
empleamos una IP diferente, que no debe existir lgicamente en la red, y una
MAC que tampoco existe. Por defecto viene establecida la MAC de la imagen,
pero
es
posible
cambiarla
accediendo
a
HKEY_CURRENT_USER\Software\Cain\Settings.
SPOOFING de DNS.
Podemos realizarlo pulsando la opcin APR-DNS y registrando una entrada que hace
que el equipo atacante intercepte las peticiones dns del atacado y sustituya la IP que el
servidor DNS ha suministrado a una peticin por otra que nosotros queramos.
El resultado ser que el atacado pide una pgina web y recibe otra pgina situada en un
servidor cuya IP hemos suministrado nosotros.
============================================
=== Cain's Telnet sniffer generated file ===
============================================
' Welcome to Microsoft Telnet Service
' P ' '
SFUTLNTVER SFUTLNTMODE'
login: '
password: pepitogrillo
ANSI [1;1H*===============================================================
[2;1HBienvenido a Telnet Server de Microsoft.
[3;1H*===============================================================
[4;1HD:\Documents and Settings\Administrador>
[5;1H [K [6;1H [K [7;1H [K [8;1H [K [9;1H [K [10;1H [K [11;1H [K [12;1H [K [
13;1H [K [14;1H [K [15;1H [K [16;1H [K [17;1H [K [18;1H [K [19;1H [K [20;1H [K
[21;1H [K [22;1H [K [23;1H [K [24;1H [K [25;1H [K [4;41Hddiirr
[5;2HEl volumen de la unidad D no tiene etiqueta. [6;2HEl nmero de serie del volumen es: C0F60D01 [8;2HDirectorio de D:\Documents and Settings\Administrador [10;1H10/10/2010 15:35
<DIR>
. [11;1H10/10/2010 15:35 <DIR>
.. [12;1H03/10/2010 19:31 <DIR>
Escritorio [13;1H19/05/2010 18:46 <DIR>
Favoritos [14;1H10/10/2007 22:11 <DIR>
Men Inicio [15;1H15/10/2010 10:09 <DIR>
Mis documentos [16;16H0 archivos
0
bytes [17;16H6 dirs 151.367.680 bytes libres [19;1HD:\Documents and
Settings\Administrador>ccdd [19;44H
[19;43H
[19;42H [19;42H
[19;41H [19;41H ccdd
[19;44Heessccrriittoorriioo
[21;1HD:\Documents and Settings\Administrador\Escritorio>ddiirr
[1;1H Directorio de D:\Documents and Settings\Administrador
[2;1H [K [3;1H10/10/2010
15:35 <DIR>
.
[4;1H10/10/2010 15:35 <DIR>
..
[5;1H03/10/2010
19:31 <DIR>
Escritorio [6;1H19/05/2010 18:46 <DIR>
Favoritos [7;1H10/10/2007
22:11 <DIR>
Men Inicio [8;1H15/10/2010 10:09 <DIR>
Mis documentos
[9;16H0
archivos
0 bytes [10;1H
6 dirs 151.367.680 bytes
libres [11;1H [K [12;1HD:\Documents and Settings\Administrador>cd
escritorio [13;1H [K [14;1HD:\Documents and Settings\Administrador\Escritorio>dir [15;1H El
volumen de la unidad D no tiene etiqueta.
[16;2HEl nmero de serie del volumen es: C0F6-0D01
[17;1H [K [18;2HDirectorio de D:\Documents and
QoS, Bandwith control o control del ancho de banda. Nos permite asignar anchos de
banda a cada puerto con el fin de evitar el abuso por parte alguien y favorecer las
necesidades especiales de los equipos conectados a un puerto.
OPCIONES SECURITY
Safeguard engine solucin de DLINK para controlar el packet flooding as como
ataques de virus y gusanos.
Trusted host: establece cul es el equipo del administrador, para que desde ningn otro
pueda manipularse el swtich.
Port security establece un nmero mximo de MAC que puede aprender el switch en
cualquiera de sus puertos.
Dos attack prevention.
Contempla un conjunto
de tpicos ataques de
denegacin de servicio
que el switch puede
detectar si le prevenimos
para ellos.
ARP spoofing prevention.
Establece las parejas MAC-IP
permitidas para cada uno de los
puertos con el fin de evitar el
mac spoofing.
DHCP Server screening. Se asegura de slo puedan suministrar direcciones IP los
servidores DHCP cuyas IP se describan aqu.
Smart binding settings. Para los puertos especificados, controla que las parejas IPMAC hayan sufrido alguna alteracin en la red.
Smart binding. Establece automticamente las parejas MAC-IP para que las pasemos
directamente a su lista blanca y tener un binding automtico.
Lista blanca y negra: los anteriores pasarn a formar parte de una lista blanca, que
puede modificarse y los que no cumplan estarn en la negra.
SWITCH PORT
STEALING
MAN IN THE
MIDDLE
SECUESTRO O
HIJACKING
DENIAL OF
SERVICE o
DENEGACIN
DE SERVICIO
Ataques a VLAN
Ataques a
spanning tree
protocol
ATAQUES BASADOS EN CAPAS 3 Y 4
ATAQUE
DESCRIPCIN
DHCP
Un equipo en la red se presenta como un servidor
SPOOFING/
DHCP alternativo al real, ofreciendo IP falsas del
FLOODING/
router, del servidor DNS, puerta de enlace, etc, y
POISONING
secuestrar as las sesiones con la tcnica man-in-themiddle.
Tambin puede saturar la lista de IP del servidor
correcto envindole peticiones falsas.
Igualmente puede envenenar las tablas ARP de los
clientes para que no se dirijan a l sino al servidor
falso.
DNS
SPOOFING
DENEGACI SYN FLOOD: inundar al servidor con peticiones de
N DE
conexin TCP no respondidas
SERVICIO
ICMP FLOOD Y SMURF: inundar al servidor con
peticiones ping
UDP FLOOD: dem con peticiones UDP
SOLUCIONES
Algunos switches pueden dar servicio DHCP
y establecer por qu puertos puede o no
llegar servicio DHCP.
Restringir las tramas broadcast a segmentos
de la red bien controlados utilizando puentes
o routers
Asignar una MAC a cada puerto
Utilizar un IDS como SNORT o PATRIOT
Utilizar software especfico como ANTIARP
Restringir las tramas broadcast a segmentos
de la red bien controlados utilizando puentes
o routers
Configurar cortafuegos del router o switch
Configurar el servidor para que deje de
aceptar peticiones cuando esto sucede
Utilizar un IDS
Configurar el cortafuegos para que no
responda a peticiones ping
Configurar cortafuegos del router o switch
Configurar el servidor para que deje de
aceptar peticiones cuando esto sucede
Utilizar un IDS
En la primera, el
router
mantiene
el
enlace (binding) entre
las IP y MAC de la red,
de forma que detectar e
impedir
cualquier
intento de alterarlas.
En la segunda,
podemos activar la
defensa contra 3 formas
de ataques DoS.
A travs de ssh podemos utilizar el servicio ftp, como hicimos con telnet, pero con mayor
seguridad, para ello existe un cliente especial llamado winscp.
Una VPN es un tnel establecido a travs de una red WAN, normalmente Internet,
que comunica de forma exclusiva y cifrada ante accesos indebidos, a dos extremos.
Aunque no es habitual, se pueden utilizar VPN dentro de una red local, lo que
garantiza una comunicacin cifrada y segura entre los equipos implicados.
Estructura de una trama PPTP capturada con un sniffer. Podemos ver cmo, detrs de las cabeceras de
la capa de red se incluye una cabecera PPP y a continuacin, en azul, el contenido de la trama cifrado.
red local, bastara con configurar una nueva conexin en el ordenador cliente.
Conexiones de red -> nueva conexin ->conectarse a mi lugar de trabajo ->
conexin de red privada virtual -> suministrar la IP o nombre DNS del servidor
y conectarse con el usuario creado anteriormente.
4. Si el servidor VPN va a dar servicio a travs de un router, ser necesario adems
configurar ste abriendo el puerto correspondiente y vinculando este puerto con
la IP privada del servidor.
convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y
el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los
paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso
fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de
un ataque o intento del mismo.
Existen dos tipos de sistemas de deteccin de intrusos:
HIDS (HostIDS): el principio de
funcionamiento de un HIDS, depende del
xito de los intrusos, que generalmente
dejaran rastros de sus actividades en el
equipo atacado, cuando intentan aduearse
del mismo, con propsito de llevar a cabo
otras actividades. El HIDS intenta detectar
tales modificaciones en el equipo afectado,
y hacer un reporte de sus conclusiones.
NIDS (NetworkIDS): un IDS basado en
red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en
modo promiscuo capturando as todo el trfico de la red.
EL IDS PATRIOT
Se trata de un IDS para Windows de uso gratuito, proporcionado por Microsoft. Tiene
el completo conjunto de controles que puede verse en la imagen adjunta, obtenida del
panel de control del programa. Eso no impide que sea un software muy sencillo y
limitado en cuanto a sus prestaciones.
Cada vez que se produce una conexin o un intento de sta, Patriot nos informa del
suceso dndonos la oportunidad de eliminarla.
Pulsando en el botn derecho del icono de Patriot en la barra de tareas podemos
actualizar la lista de reglas del servidor que suministra el programa.
Las reglas se encuentran en el fichero badtraffic.ini. Si el usuario quiere aadir reglas
propias, debe hacerlo en el fichero ownrules.ini ubicado en la misma carpeta. Existe un
tercer fichero llamado desrports.ini en el que figuran los puertos que deben ser
monitorizados cuando se recibe un intento de conexin.
En la figura de abajo, el contenido del fichero badftraffic.ini con las reglas del IDS
802.11b
2.4 Ghz
100 m.
802.11g
802.11n
2.4 Ghz
100 m.
5Ghz y 2.4 100 m.
Ghz
VELOCIDAD OTROS
54 Mbs
Sensible a obstculos
Pocas interferencias por la
banda
11Mbs
Interferencias por la banda
Menos sensible a obstculos
54 Mbs
Semejantes al anterior
600 Mbps
Mejora sobre los anteriores
Hay productos pre-n
WPA PERSONAL
o WPA-PSK
DESCRIPCIN
Utiliza una clave que las estaciones deben
conocer para autenticarse ante el punto de
acceso.
La comunicacin se cifra con la clave y una
secuencia aleatoria llamada vector de
inicializacin, utilizando una algoritmo de
cifrado llamado RCA
Creada antes de la aparicin del estndar
IEEE802.11i
Las estaciones deben conocer una clave comn
con la que se autentican ante el AP.
Esta clave no vuelve a utilizarse.
Las estaciones negocian con el AP claves
diferentes que adems cambian cada cierto
tiempo.
Utiliza cifrado TKIP
WPA
PROFESIONAL
WPA 2
PERSONAL
(WPA2-PSK) y
PROFESIONAL
VENTAJAS
INCONVENIENTES
Al utilizar una clave
comn para todos los
puestos, presente en todas
las comunicaciones, se
descifra fcilmente
SOLUCIONES
Utilizar una clave lo ms larga
posible
Cambiar la clave con la mayor
frecuencia posible
Mantener una lista de direcciones
MAC de los equipos
Los anteriores ms la
posibilidad de utilizar AES,
mucho ms robusto.