Documente Academic
Documente Profesional
Documente Cultură
1er Cuatrimestre 2004 Profesor: Jorge Sznek Alumnos: Nicolas Passadore Vicente Ramos Garca
ndice
1 Introduccin 2 Footprinting 3 Fingerprintin 3.1 Identificacin Activa 3.2 Identificacin Pasiva 4 Escaneo de puertos 5 ICMP 5.1 Escaneo basado en protocolo ICMP 5.2 Ataque ICMP redirect 5.3 Ping de la muerte 6 Protocolos de ruteo 7 SNMP 8 DNS 8.1 Ataque DNS 9 NetBios 9.1 Ataque WinNuke 10 UDP 10.1 Net Flood 10.2 Loki 11 TCP 11.1 TCP SYN Flood 11.2 Connection Flood 11.3 Land 11.4 Ataque TCP Initial Sequence Numbers 12 IP 12.1 Sniffing 12.2 IP Spoofing 12.3 Smurf 13 Dos 13.1 Ddos 14 IPSec 14.1 Introduccin 14.2 Arquitectura y estructura IPSec 14.3 El protocolo AH 14.4 El protocolo ESP 14.5 Modo de funcionamiento de IPSec 14.6 IKE 14.7 Confidencialidad 14.8 Vulnerabilidades 14.9 Concluciones 15 Proteccin y Contramedidas 15.1 El Principio del menor servicio 15.2 Parches 4 5 5 5 5 5 6 6 7 7 8 8 9 9 9 9 9 9 9 10 10 10 10 10 11 11 11 11 12 12 12 12 13 13 14 15 15 16 17 17 18 18 18
15.3 Estar suscriptos a listas de correo de seguridad 15.4 Footprinting 15.5 Fingerprinting 15.6 Escaneo 15.7 Sniffing 15.8 ICMP 15.9 TCP 15.10 SNMP 15.11 IP 15.12 RIP 15.13 Dos y DDos 16 Recomendaciones y Contramedidas 16.1 Listado de chequeo 16.2 Por Host 16.3 Por Red 17 Un Caso Historico
19 19 19 19 20 20 20 21 21 21 21 22 22 22 22 23
1 Introduccin
El presente trabajo trata sobre la seguridad en la pila de protocolos TCP/IP junto con la propuesta de mejora en su seguridad que dio como resultado el IPSec. El conjunto de protocolos abarcados son: IP, TCP, UDP, ICMP. Pero tambin se trataron protocolos a nivel aplicacin como son: SNMP, RIP y DNS. No se busca analizar ni exponer la fallas de seguridad del protocolo en gran detalle, sino mas bien establecer su existencia, e indicar la vulnerabilidades explotadas, ya que se desea que tras la lectura del este documento se tenga una imagen general sobre los problemas de seguridad que pueden haber en una red que utilice este protocolo, y como sera un adecuado proceder para asegurar, en un grado de confianza aceptable, la informacin de nuestra organizacin. Si las vulnerabilidades de una red no son conocidas, la red es insegura? La vulnerabilidad del protocolo TCP se debe a dos puntos El formato de los paquetes El modo de funcionamiento de los protocolos Tres tipos de ataques Ataque fsico Ataque sintctico Ataque semntico Las vulnerabilidades pueden clasificarse segn dos criterios: - Nmero de paquetes a emplear en el ataque: Atomic: se requiere un nico paquete para llevarla a cabo. Composite: son necesarios mltiples paquetes.
Informacin necesaria para llevar a cabo el ataque: Context: se requiere nicamente informacin de la cabecera del protocolo. Content: es necesario tambin el campo de datos o payload. Ping of death Land attack WinNuke DNS attack Atomic Port scan SYN Flood TCP hijacking Sniffing Composite
Context Content
2 Footprinting
Es extraer toda informacin posible de la RED objetivo del ataque. Esto incluye, ver que dispositivos se encuentran funcionando, como es la estructura de la red, para esto se pueden usar caractersticas de los protocolos cuyo objetivo era proveer herramientas en la administracin, ejemplos de comandos tiles para este tipo de ataques que utilizan las caractersticas mencionadas son: ping, traceroute, nslookup, etc
3 Fingerprinting
Consiste en obtener informacin de un sistema concreto. Esto se hace obteniendo su huella identificativa respecto de la pila TCP/IP. Una vez que se conoce el Sistema Operativo de la mquina objetivo y su versin se puede explotar sus vulnerabilidades.
4 Escaneo de puertos
El escaneo es la determinacin de las caractersticas de una red o sistema remotos, con el objetivo de identificar los equipos disponibles y alcanzables desde Internet, as como los servicios que ofrece cada uno. Permite saber los sistemas existentes, los servicios ofrecidos por ellos, cmo estn organizados los equipos, que sistemas operativos ejecutan,
cual es el propsito de cada uno. De forma general, entre los mtodos de escaneo se incluyen tcnicas como: La herramienta tpica para esto es el nmap. Dos maneras de explotar las vulnerabilidades del TCP/IP sera TCP connection scan: se establece una conexin con el sistema remoto en determinado puerto, si la conexin es exitosa entonces el servicio est activo. TCP SYN scan: A diferencia del anterior no termina la conexin, solo enva un SYN inicial al host remoto en el puerto deseado y si recibe un RST-ACK el servicio no est implementado. SYN-ACK como respuesta entonces el servicio est activo. Existen otras vulnerabilidades que se pueden explotar pero que son dependientes de la implementacin de la pila TCP/IP. Por Ejemplo: TCP window scan: Mediante una anomala en ciertas implementaciones en como se muestra el tamao de la ventana TCP, puede saberse si un puerto est abierto o si es filtrado (firewall) o no. Otro ejemplo sera mandar paquetes UDP con 0 bytes en el campo datos, si el puerto est cerrado se debe recibir un ICMP Port Unreachable. Si el puerto est abierto, no se recibe ninguna respuesta. Si se detectan muchas puertas abiertas, puede haber un dispositivo de filtrado (firewall) en el medio. Para verificar esto, enviamos un paquete UDP al puerto cero, si no se recibe una respuesta ICMP Port Unreachable, entonces hay un dispositivo de filtrado de trfico. Este tipo de cosas las detectan los IDS.
5 ICMP
5.1 Escaneo basado en protocolo ICMP.
Una vez conocido el propsito original del protocolo ICMP, notificar errores y condiciones inusuales que requieren atencin respecto del protocolo IP, y el formato de sus paquetes, es necesario analizar los usos indebidos que se le pueden dar, todos asociados al escaneo de un sistema remoto Ping: Se lo utiliza para saber cuales son los dispositivos que se encuentran activos en una subred. Esto se hace de forma masiva para detectar todos los host. Respuesta: Escanear el log del DNS asociado al dominio. Los IDS tambin detectan este tipo de cosas. ICMP broadcast: Se hace un nico ping a la direccin de broadcast y se logra que todos los equipos contesten, depende del sistema operativo la reaccin a este tipo de cosas, los MS-Windows, no responden. ICMP Timestamp: Se enva un paquete ICMP Timestamp y si el sistema objetivo est activo, responde, nuevamente depende la implementacin del sistema operativo si se responde o no a estos paquetes.
ICMP Information: Su propsito era ayudar en la configuracin de equipos que no tenan disco y se deban configurar al inicializarse. No se debera responder a estos paquetes, pero algunas implementaciones de UNIX y equipos CISCO si lo implementan. ICMP Addres Mask: Su propsito era igual al anterior. Devuelve la submascara de la red. Este tipo de informacin permite al atacante identificar los routers existentes entre el atacante y la red objetivo.
Otros mtodos tienen que ver con el uso indirecto de ICMP haciendo que un equipo conteste con paquetes de este tipo cuando introducimos errores en los paquetes IP: IP bad header field: Se introducen errores en los campos de la cabecera IP, esto hace que si un equipo descarta el paquete debido a estos errores entonces notifica con un ICMP parameter problem. No todas las implementanciones responden a los mismos errores. Esto sirve, por ejemplo, para identificar los fabricantes de los routers. Los firewall y los IDS deberan tener en cuenta este tipo de trfico, y manejarlo con cuidado, ya que si un firewall simplemente no deja volver paquete ICMP parameter problem, entonces un atacante puede detectar la existencia del mismo. IP non-valid field values: Se ingresan valores incorrectos en los campos, en respuesta a esto se debera recibir un ICMP Destination Unreacheable. Por ejemplo, se podra indicar que en el campo datos hay un paquete de un protocolo no existente. Si un firewall filtra los paquetes ICMP de este tipo, entonces parecer que existen una serie de protocolos abiertos que no existen. IP Fragmentation: Cuando un sistema recibe solo una porcin del datagrama IP y pasa un tiempo determinado sin recibir el resto, genera un mensaje ICMP Fragment Reassembly Time Exceded. Es importante decidir si el firewall permitir la salida al exterior de estos paquetes ICMP, sera recomendable que suceda de este modo pero por otro lado, el atacante puede determinar la existencia del firewall debido a la falta de estos paquetes ICMP.
apague. Esto se logra por medio de fragmentacin en los nodos intermedio, pero el paquete se va reensamblando en el sistema objetivo, hasta que se produce el desbordamiento.
8 DNS
DNS attack
DIG es una utilidad para obtener informacin del servicio de nombres DNS. El DNS es una fuente de informacin de red muy valiosa. Esto permite copiar una base de datos entera de nombres (dominios) desde un servidor DNS, para su posterior analisis.
9 NetBios
WinNuke Attack
Afecta a sistemas que usan NetBIOS sobre TCP/IP (generalmente en windows). Este protocolo emplea los puertos UDP 137,138,139. El envo de un paquete urgente (bit URG=1), conocido como paquete Out of Band da lugar al envo de datagramas UDP a estos puertos, que al intentar ser enviados a las capas superiores, pueden provocar que el sistema destino se cuelgue o disminuya su rendimiento.
10 UDP
10.1 Net Flood
El objetivo de estos ataques es degradar la capacidad de conexin a la red de un sistema. Por ejemplo, si una red dispone de un ancho de banda de 34MB y el atacante uno de 155MB, este puede enviar mucho ms trfico al objetivo de lo que el mismo puede procesar, dejando de lado el trfico vlido. Estos ataques se pueden perpetrar utilizando otros sistemas y haciendo que estos sistemas, con buen ancho de banda hagan el ataque. Se suele utilizar paquetes ICMP y UDP debido a que estos no requieren una conexin establecida para enviar paquetes.
10.2 Loki
Se busca encubrir trfico en tneles ICMP y UDP, lo que se denomina canales encubiertos. Si un firewall permite el trafico de ciertos paquetes ICMP o UDP, entonces se puede establecer un canal encubierto desde el exterior. Para esto se necesitan dos aplicaciones, una que es la encargada de montar en el canal encubierto la trafico que se desea trasmitir, mientras la otra aplicacin es la encargada de desmontar la informacin encubierta. Esto se podra hacer a travs de la instalacin de un troyano.
11 TCP
11.1 TCP Syn Flood
Este tipo de ataque consiste en el envo masivo de paquetes de establecimiento de conexin (SYN) contra un sistema. Esto hace que por cada solicitud, el sistema objetivo reserve recursos para la conexin. Cuando el sistema objetivo contesta, el atacante no realiza el paso final del establecimiento de conexin de tres vias que caracteriza al TCP. De este modo se van copando cada vez ms recursos de la mquina objetivo hasta que la misma no es capas de atender ningn requerimiento ms. Normalmente estas pseudoconexiones expiran luego de un tiempo; pero un ataque constante sobrepasa esta medida. Este tipo de ataque puede ser camuflado utilizando algn medio de spoofing, esto hace que su deteccin sea muy difcil.
11.3 Land
Este ataque, desarrollado por "m3lt" , consiste en un nuevo bug en la implementacin de la pila TCP/IP de las plataformas Windows. El ataque consiste en mandar a algn puerto abierto de un servidor (generalmente al 113 o al 139), un paquete maliciosamente construido, con el bit SYN a 1, y con la direccin y puerto origen IGUAL que la direccin y puerto destino. (ej: 10.0.0.1:139 a 10.0.0.1:139). Resultado: la mquina comenzar ha mandarse mensajes a s misma y acabar por colgarse.
number generators (PRNGs) para generar los ISNs. Si los nmeros de secuencia pueden ser predichos, puede llegar a ser posible el modificar la informacin de la conexin, apoderndose de ella mediante hijaking o realizar blind spoofing sobre futuras conexiones. La modificacin de los datos en la conexin puede realizarse colocando paquetes validos, al conocerse el ISN inicial y el numero de bytes intercambiado, y por tanto, el numero de secuencia actual. Si no se conoce exactamente este valor, pero si de forma aproximada, puede enviarse tambin un grupo de paquetes en un rango de secuencia concreto (limitado por el tamao de la ventana TCP), con el objetivo de que alguno coincida con el numero de secuencia actual.
12 IP
12.1 Sniffing
Los snifers trabajan configurando el dispositivo de red en modo promiscuo en redes basadas por difusin (p.ej: ethernet). Se mantiene un log con todos los paquetes enviados en la red que sern analizados para obtener informacin de utilidad. Dos caractersticas de este tipo de ataques es que son internos (no se pueden realizar desde el exterior) y que se necesitan troyanos de comandos como netstat para que no sean detectados. Existen algunos autores que diferencian entre el sniffing que modifica los datos capturados y los que no, estos ltimos se dicen que son pasivos y se lo suele llamar eavedropping.
12.2 IP Spoofing
Se basa en la generacin de paquetes IP con una direccin origen falsa. Lo que puede motivar a esto es que un firewall u otro dispositivo solo permita comunicaciones desde cierto punto, lo que se hace es hacerse pasar por dicho punto. Tambin se da cuando existen relaciones de confianza entre ciertos dominios.
12.3 Smurf
Se desprende del Net Flood y es una tcnica que aprovecha el broadcast de las redes. Se basa en el echo de que al enviar un paquete a esta direccin todas las mquinas de esa subred responderan provocando un efecto expansivo en N, donde N es la cantidad de mquinas de la red. Si se mezcla con spoofing, esto es, se pone como direccin origen la IP de la mquina a atacar, y como direccin destino la del broadcast, entonces todas las respuestas irn a la mquina objetivo, causando un DoS, a esto se lo denomina Smurf.
13.1 DDoS
Es una variantes del DoS; pero a diferencia de este, el ataque se realiza desde ms de un punto distinto, DDoS proviene de ataques de denegacin de servicio distribuidos.
14 IPSec
14.1 Introduccin
IPSec es un estndar que proporciona servicios de seguridad a la capa IP y a todos los protocolos superiores basados en IP (TCP y UDP, entre otros). Entre las ventajas de IPSec destacan que est apoyado en estndares del IETF y que proporciona un nivel de seguridad comn y homogneo para todas las aplicaciones, adems de ser independiente de la tecnologa fsica empleada. IPSec se integra en la versin actual de IP (IP versin 4) y se incluye por defecto en IPv6. Otra caracterstica destacable de IPSec es su carcter de estndar abierto. Se complementa perfectamente con la tecnologa PKI y, aunque establece ciertos algoritmos comunes, por razones de interoperabilidad, permite integrar algoritmos criptogrficos ms robustos que pueden ser diseados en un futuro. IPSec es un conjunto de estndares para integrar en IP funciones de seguridad basadas en criptografa. Proporciona confidencialidad, integridad y autenticidad de datagramas IP, combinando tecnologas de clave pblica (RSA), algoritmos de cifrado (DES, 3DES, IDEA, Blowfish), algoritmos de hash (MD5, SHA-1) y certificados digitales X509v3. El protocolo IPSec ha sido diseado de forma modular, de modo que se pueda seleccionar el conjunto de algoritmos deseados sin afectar a otras partes de la implementacin. Han sido definidos, sin embargo, ciertos algoritmos estndar que debern soportar todas las implementaciones para asegurar la interoperabilidad en el mundo global de Internet. Dichos algoritmos de referencia son DES y 3DES, para cifrado, as como MD5 y SHA-1, como funciones de hash. Adems es perfectamente posible usar otros algoritmos que se consideren ms seguros o ms adecuados para un entorno especfico: por ejemplo, como algoritmo de cifrado de clave simtrica IDEA, Blowfish o el ms reciente AES.
Dentro de IPSec se distinguen los siguientes componentes: Dos protocolos de seguridad: IP Authentication Header (AH) e IP Encapsulating Security Payload (ESP) que proporcionan mecanismos de seguridad para proteger trfico IP. Un protocolo de gestin de claves Internet Key Exchange (IKE) que permite a dos nodos negociar las claves y todos los parmetros necesarios para establecer una conexin AH o ESP.
Protocolo = 51 Protocolo ESP: Cabecera IP Cabecera ESP Segmento TCP/UDP/ICMP ESP Trailer ESP A t
han sido alterados en el camino. Sin embargo no garantiza ninguna garanta de de confidencialidad, es decir, los datos transmitidos pueden ser vistos por terceros. Tal como indica su nombre, AH es una cabecera de autenticacin que se inserta entre la cabecera IP estndar (tanto IPv4 como IPv6) y los datos transportados, que pueden ser un mensaje TCP, UDP o ICMP, o incluso un datagrama IP completo. Es dentro de la cabecera AH donde se indica la naturaleza de los datos de la capa superior. Es importante destacar que AH asegura la integridad y autenticidad de los datos transportados y de la cabecera IP, excepto los campos variables: TOS, TTL, flags, offset y checksum. Dentro del campo protocolo de IP va el valor 51 que hace referencia a AH. El funcionamiento de AH se basa en un algoritmo HMAC, esto es, un cdigo de autenticacin de mensajes. Este algoritmo consiste en aplicar una funcin hash a la combinacin de unos datos de entrada y una clave, siendo la salida una pequea cadena de caracteres que denominamos extracto. Dicho extracto tiene la propiedad de que es como una huella personal asociada a los datos y a la persona que lo ha generado, puesto que es la nica que conoce la clave. El funcionamiento de AH: El emisor calcula un extracto del mensaje original, el cual lo copia en uno de los campos de la cabecera AH. El paquete as construido se enva a travs de la red, repitindose en el extremo receptor el calculo del extracto y comparandolo con el recibido en el paquete. Si son iguales, el receptor tiene la seguridad de que el paquete IP no ha sido modificado y que viene del origen esperado. La seguridad de AH esta en el calculo del extracto que se realiza con la clave que es conocida por el emisor y el receptor.
determinada, y lo incluye en un paquete IP, a continuacin de la cabecera ESP. Durante el trnsito hasta su destino, si el paquete es interceptado por un tercero slo obtendr un conjunto de bit inentendibles. En el destino, el receptor aplica de nuevo el algoritmo de cifrado con la misma clave, recuperando los datos originales. Est claro que la seguridad de este protocolo reside en la robustez del algoritmo de cifrado, es decir, que un atacante no puede descifrar los datos sin conocer la clave, as como en que la clave ESP nicamente la conocen el emisor y el receptor. La distribucin de claves de forma segura es, por con siguiente, un requisito esencial para el funcionamiento de ESP y tambin de AH, como hemos visto anteriormente. Asimismo, es fundamental que el emisor y el receptor estn de acuerdo tanto en el algoritmo de cifrado o de hash y como en el resto de parmetros comunes que utilizan. Esta labor de puesta en contacto y negociacin es realizada por un protocolo de control, denominado IKE.
protocolo de control que se encargue de la negociacin automtica de los parmetros necesarios; a esta operacin se le llama negociacin de SAs. El IETF ha definido el protocolo IKE para realizar tanto esta funcin de gestin automtica de claves como el establecimiento de las SAs correspondientes. Una caracterstica importante de IKE es que su utilidad no se limita a IPSec, sino que es un protocolo estndar de gestin de claves que podra ser til en otros protocolos. IKE es un protocolo hbrido que ha resultado de la integracin de dos protocolos complementarios: ISAKMP y Oakley. ISAKMP define de forma genrica el protocolo de comunicacin y la sintaxis de los mensajes que se utilizan en IKE, mientras que Oakley especifica la lgica de cmo se realiza de forma segura el intercambio de una clave entre dos partes que no se conocen previamente. El objetivo principal de IKE consiste en establecer una conexin cifrada y autenticada entre dos entidades, a travs de la cual se negocian los parmetros necesarios para establecer una asociacin de seguridad IPSec. Caractersticas de los servicios de seguridad que ofrece IPSec. Dichos servicios son: Integridad y autenticacin del origen de los datos El protocolo AH es el ms adecuado si no se requiere cifrado. La opcin de autenticacin del protocolo ESP ofrece una funcionalidad similar, aunque esta proteccin, a diferencia de AH, no incluye la cabecera IP. Como se coment anteriormente, esta opcin es de gran importancia para aquellas aplicaciones en las cuales es importante garantizar la invariabilidad del contenido de los paquetes IP. RVICIOS DE SEGURIDAD OFRECIDOS POR
14.7 Confidencialidad
El servicio de confidencialidad se obtiene mediante la funcin de cifrado incluida en el protocolo ESP. En este caso es recomendable activar la opcin de autenticacin, ya que si no se garantiza la integridad de los datos el cifrado es intil. Esto es debido a que aunque los datos no pudiesen ser interpretados por nadie en trnsito, stos podran ser alterados haciendo llegar al receptor del mensaje trfico sin sentido que sera aceptado como trfico vlido. Adems de ofrecer el cifrado del trfico, el protocolo ESP tambin tiene herramientas para ocultar el tipo de comunicacin que se est realizando; para ello permite introducir caracteres de relleno en el contenido de los datos del paquete, de modo que se oculta la verdadera longitud del mismo. sta es una proteccin til contra las tcnicas de anlisis de trfico, que permiten a un atacante deducir informacin til a partir del estudio de las caractersticas del trfico cifrado. Deteccin de repeticiones La autenticacin protege contra la suplantacin de la identidad IP, sin embargo un atacante podra capturar paquetes vlidos y reenviarlos al destino. Para evitar este ataque, tanto ESP como AH incorporan un procedimiento para detectar paquetes repetidos. Dicho procedimiento est basado en un nmero de secuencia incluido en la cabecera ESP o AH, el emisor incrementa dicho nmero por cada datagrama que enva y el receptor lo comprueba, de forma que los paquetes repetidos sern ignorados. Esta secuencia no podr ser modificada por el atacante, debido a que se encuentra protegida por medio de la opcin de
integridad para cualquiera de los dos protocolos (AH y ESP) y cualquier modificacin en este nmero provocara un error en la comprobacin de la integridad del paquete. Control de acceso: autenticacin y autorizacin Dado que el uso de ESP y AH requiere el conocimiento de claves, y dichas claves son distribuidas de modo seguro mediante una sesin IKE en la que ambos nodos se autentican mutuamente, existe la garanta de que slo los equipos deseados participan en la comunicacin. Durante la negociacin IKE se especifica el flujo de trfico IP que circular a travs de la conexin IPSec. Esta especificacin es similar a un filtro de paquetes, considerndose el protocolo, las direcciones IP de los puertos origen y destino, el byte "TOS" y otros campos. No repudio El servicio de no repudio es tcnicamente posible en IPSec, si se usa IKE con autenticacin mediante certificados digitales. En este caso, el procedimiento de autenticacin se basa en la firma digital de un mensaje que contiene, entre otros datos, la identidad del participante. Dicha firma, gracias al vnculo entre la clave pblica y la identidad que garantiza el certificado digital, es una prueba inequvoca de que se ha establecido una conexin IPSec con un equipo determinado, de modo que ste no podr negarlo. En la prctica, sin embargo, esta prueba es ms compleja, ya que requerira almacenar los mensajes de negociacin IKE y, adems, no est definido un procedimiento para referenciar este evento a una fecha concreta. La tecnologa IPSec permite construir soluciones de comunicaciones que ofrecen confidencialidad y autenticacin en la capa IP, independientemente de cual sea el medio de transporte. Adems, la inclusin de seguridad en la capa IP tiene la ventaja de que se extiende universalmente, ofreciendo un nivel de seguridad homogneo de manera independiente del tipo que sean las aplicaciones, siempre que estn basadas en IP.
14.8 Vulnerabilidades
Vulnerabilidad de los algoritmos de encriptacin ya que se conoce la estructura de un paquete IP y puede ser utilizado como texto claro junto con tcnicas estadsticas para descifrar los paquetes. La encriptacin requiere recursos de CPU y esto posibilita que se produzcan ataques de DoS.
14.9 Concluciones
IPSec es un estndar de seguridad extraordinariamente potente y flexible. Su importancia reside en que aborda una carencia tradicional en el protocolo IP: la seguridad. Gracias a IPSec ya es posible el uso de redes IP para aplicaciones crticas, como las transacciones comerciales entre empresas. Al mismo tiempo, es la solucin ideal para aquellos escenarios en que se requiera seguridad, independientemente de la aplicacin, de modo que es una pieza esencial en la seguridad de las redes IP.
15 Proteccin y contramedidas
La siguiente seccin del trabajo pretende establecer cuales deberan ser los pasos y puntos a tener en cuenta al momento de confeccionar la seguridad de la red. Lo que aqu se dice no es una receta mgica de cmo hacer para que nadie viole la seguridad, pues no existe un sistema 100% seguro. Por otro lado, una exposicin para lograr un alto grado de confianza en la seguridad de la red nos llevara de uno a muchos libros, lo que ciertamente escapa al presente documento. Los 3 Puntos de la proteccin 1. Aplicar el principio del menor servicio. 2. Mantener actualizado los productos. 3. Estar suscriptos a listas de correo de seguridad. Adems podemos agregar: Encriptar todo lo que se pueda encriptar.
15.2 Parches:
Los fabricantes de Sistemas Operativos y de dispositivos de red suelen ir solucionando los problemas de seguridad de sus productos a medida que se los van detectando. Es fundamental que se actualicen los productos con las soluciones provistas por los fabricantes: Con el correr del tiempo las vulnerabilidades se van volviendo ms famosas, y por ello existen ms herramientas que las explotan y son ms fciles de usar. Si no actualizamos nuestros productos, mayor cantidad de personas son las que nos pueden atacar. Hubieron casos en que el fabricante anunci la existencia de una vulnerabilidad y en el mismo acto ofreca la solucin (paquete de actualizacin del producto). Con la informacin provista por el mismo fabricante se desarrollaron virus que explotaban
las fallas. Como muchos usuarios no actualizaron sus productos, fueron victimas de los virus.
15.7 Sniffing
Tenemos tres medidas para protegernos del sniffing: La primera y ms paranoica es encriptar todo nuestro trfico: SSL, SSH, IPSEC, etc La segunda tiene que ver con la deteccin de redes que se encuentran configuradas en modo promiscuo, seal de que posiblemente desde all se est esnifeando. Segmentar la red, de modo que en lugar de usar hubs, se utilizan switcher, de este modo un sistema solo puede esnifear el trafico que est destinado a l o la VLAN a la que pertenezca, esta es una solucin costosa, pero que combate la naturaleza de las redes por difusin.
15.8 ICMP
Las recomendaciones seran: 1. filtrar todos aquellos tipos de servicios ICMP que no son necesarios: Principio del menor servicio. 2. No permitir fragmentacin de paquetes ICMP para evitar el ping de la muerte. Las implementaciones de TCP proveen medidas para controlar y deshabilitar la gestin de los ataques de tipo ICMP redirect.
15.9 TCP
TCP SYN Flood: Los S.O. y los dispositivos de redes actuales vienen con parmetros configurables para evitar este tipo de ataques Los equipos CISCO permiten configurar un mximo de paquetes SYN, y esto se hace en funcin del ancho de banda. Ademas tienen dos mecanismo para la proteccin contra estos ataques: watch y intercept. Normalmente la proteccin ofrecida por los S.O. es establecer un nmero mximo de conexiones TCP incompletas. Pero esto no evita un DoS si estn todas las conexiones TCP incompletas ocupas por un ataque y un cliente legtimo quiere conectarse. Connection Flood No se puede evitar que se acaparen todas las conexiones. Solo podemos revisar los logs o utilizar IDS que detecten este tipo de situaciones. Para evitar la existencia de un ataque basado en el cierre incorrecto de las conexiones, el sistema servidor puede controlar el tiempo que un socket TCP puede permanecer en el estado TIME_WAIT, evitando as un consumo de recursos excesivo. TCP Initial Sequence Number Una medida de proteccin sera con la utilizacin de encriptacin del protocolo, con IPSec.
15.10 SNMP
La utilizacin de las ltimas versiones, preferentemente la 3, son un poco ms seguras. Y en la medida de lo posible hacerlo en su propia VPN (por ej. Utilizando SSH) Cambiar las contraseas que vienen por defecto. Filtrar las fuentes desde las que se permiten estas conexiones.
15.11 IP
IP spoofing Mediante la configuracin de filtros de conexiones permitidas, especificando a travs de qu interfaces, en los dispositivos de interconexin de varias redes (firewalls y screening routers), se pueden controlar las direcciones IP fuente permitidas, y por tanto evitar la tcnica de IP spoofing. Ademas cada sistema tiene protecciones propias, por ejemplo, en Linux se puede activar el rp_filter que sirve para habilitar la verificacin de la direccin fuente. Smurf (utilizacin de broadcast) Se debe restringir el trfico de broadcast desde afuera hacia adentro. Es decir, los routers y firewalls deben ser configurados para que no permitan el ingreso de paquetes con destino a direcciones broadcast. Otra medida sera configurar los sistemas internos para que no respondan a este tipo de paquetes. Tiny Fragment Attack Este ataque puede prevenirse restringiendo los lmites de los fragmentos que atraviesan un filtro, de forma que contengan informacin suficiente.
15.12 RIP
Como RIP no es seguro se recomienda que se lo deshabilite y se utilicen otros protocolos que realizan encriptacin u autenticacin al momento de actualizar los datos de ruteo. Ejemplos de estos protocolos: BGP, IS-IS y OSPF.
o Que los routers tantos del ISP como el nuestro hagan filtrado preeliminar. o Es especialmente importante en redes que tienen un solo punto de acceso a Internet que se protejan y se configuren adecuadamente los routers en sus extremos. SNMP: o Se est utilizando la ltima versin. o Se estn encriptando. o Se filtra los puntos desde los que se pueden establecer este tipo de conexiones. RIP o Utilizacin de protocolos seguros.