Seguridad en TCP/IP e IPSec

1er Cuatrimestre 2004 Profesor: Jorge Sznek Alumnos: Nicolas Passadore Vicente Ramos Garca

ndice
1 Introduccin 2 Footprinting 3 Fingerprintin 3.1 Identificacin Activa 3.2 Identificacin Pasiva 4 Escaneo de puertos 5 ICMP 5.1 Escaneo basado en protocolo ICMP 5.2 Ataque ICMP redirect 5.3 Ping de la muerte 6 Protocolos de ruteo 7 SNMP 8 DNS 8.1 Ataque DNS 9 NetBios 9.1 Ataque WinNuke 10 UDP 10.1 Net Flood 10.2 Loki 11 TCP 11.1 TCP SYN Flood 11.2 Connection Flood 11.3 Land 11.4 Ataque TCP Initial Sequence Numbers 12 IP 12.1 Sniffing 12.2 IP Spoofing 12.3 Smurf 13 Dos 13.1 Ddos 14 IPSec 14.1 Introduccin 14.2 Arquitectura y estructura IPSec 14.3 El protocolo AH 14.4 El protocolo ESP 14.5 Modo de funcionamiento de IPSec 14.6 IKE 14.7 Confidencialidad 14.8 Vulnerabilidades 14.9 Concluciones 15 Proteccin y Contramedidas 15.1 El Principio del menor servicio 15.2 Parches 4 5 5 5 5 5 6 6 7 7 8 8 9 9 9 9 9 9 9 10 10 10 10 10 11 11 11 11 12 12 12 12 13 13 14 15 15 16 17 17 18 18 18

15.3 Estar suscriptos a listas de correo de seguridad 15.4 Footprinting 15.5 Fingerprinting 15.6 Escaneo 15.7 Sniffing 15.8 ICMP 15.9 TCP 15.10 SNMP 15.11 IP 15.12 RIP 15.13 Dos y DDos 16 Recomendaciones y Contramedidas 16.1 Listado de chequeo 16.2 Por Host 16.3 Por Red 17 Un Caso Historico

19 19 19 19 20 20 20 21 21 21 21 22 22 22 22 23

1 Introduccin
El presente trabajo trata sobre la seguridad en la pila de protocolos TCP/IP junto con la propuesta de mejora en su seguridad que dio como resultado el IPSec. El conjunto de protocolos abarcados son: IP, TCP, UDP, ICMP. Pero tambin se trataron protocolos a nivel aplicacin como son: SNMP, RIP y DNS. No se busca analizar ni exponer la fallas de seguridad del protocolo en gran detalle, sino mas bien establecer su existencia, e indicar la vulnerabilidades explotadas, ya que se desea que tras la lectura del este documento se tenga una imagen general sobre los problemas de seguridad que pueden haber en una red que utilice este protocolo, y como sera un adecuado proceder para asegurar, en un grado de confianza aceptable, la informacin de nuestra organizacin. Si las vulnerabilidades de una red no son conocidas, la red es insegura? La vulnerabilidad del protocolo TCP se debe a dos puntos El formato de los paquetes El modo de funcionamiento de los protocolos Tres tipos de ataques Ataque fsico Ataque sintctico Ataque semntico Las vulnerabilidades pueden clasificarse segn dos criterios: - Nmero de paquetes a emplear en el ataque: Atomic: se requiere un nico paquete para llevarla a cabo. Composite: son necesarios mltiples paquetes.

Informacin necesaria para llevar a cabo el ataque: Context: se requiere nicamente informacin de la cabecera del protocolo. Content: es necesario tambin el campo de datos o payload. Ping of death Land attack WinNuke DNS attack Atomic Port scan SYN Flood TCP hijacking Sniffing Composite

Context Content

2 Footprinting
Es extraer toda informacin posible de la RED objetivo del ataque. Esto incluye, ver que dispositivos se encuentran funcionando, como es la estructura de la red, para esto se pueden usar caractersticas de los protocolos cuyo objetivo era proveer herramientas en la administracin, ejemplos de comandos tiles para este tipo de ataques que utilizan las caractersticas mencionadas son: ping, traceroute, nslookup, etc

3 Fingerprinting
Consiste en obtener informacin de un sistema concreto. Esto se hace obteniendo su huella identificativa respecto de la pila TCP/IP. Una vez que se conoce el Sistema Operativo de la mquina objetivo y su versin se puede explotar sus vulnerabilidades.

3.1 Identificacin Activa

Se basa en enviar paquetes al sistema objetivo, ejemplos pueden ser: 1. FIN probe: Se enva un paquete FIN al host remoto, si bien no debera haber respuesta, los Windows NT responden con un FIN-ACK 2. Bogus flag probe: Se activa un flag TCP aleatorio en un paquete SYN. La respuesta de implementaciones como Linux devuelven un SYN-ACK con el mismo flag activo. 3. Tamao de ventana TCP inicial: El tamao de ventan empleado por defecto en cada implementacin es muy particular y ayuda a descubrir de cual puede tratarse. 4. ICMP message quoting: Los comentarios aadidos a los mensajes de error ICMP varan en funcin del sistema operativo. 5. Mensajes de error ICMP-integridad: Las cabeceras IP pueden ser alteradas por las diferentes implementaciones al devolver mensajes de error ICMP. Un anlisis exhaustivo de los cambios en las cabeceras puede permitir determinar el S.O. 6. Opciones TCP: Los RFCs 793 y 1323 definen las opciones TCP posibles. Mediante el envo de paquetes con muchas opciones avanzadas activas (no operation, MSS, Window scale factor, timestamps...) puede descubrirse el comportamiento de cada S.O

3.2 Identificacin Pasiva

Se basan en monitorear el trfico asociado al sistema objetivo y en funcin de las distintas caractersticas de los paquete TCP/IP identificar el Sistema Operativo.

4 Escaneo de puertos
El escaneo es la determinacin de las caractersticas de una red o sistema remotos, con el objetivo de identificar los equipos disponibles y alcanzables desde Internet, as como los servicios que ofrece cada uno. Permite saber los sistemas existentes, los servicios ofrecidos por ellos, cmo estn organizados los equipos, que sistemas operativos ejecutan,

cual es el propsito de cada uno. De forma general, entre los mtodos de escaneo se incluyen tcnicas como: La herramienta tpica para esto es el nmap. Dos maneras de explotar las vulnerabilidades del TCP/IP sera TCP connection scan: se establece una conexin con el sistema remoto en determinado puerto, si la conexin es exitosa entonces el servicio est activo. TCP SYN scan: A diferencia del anterior no termina la conexin, solo enva un SYN inicial al host remoto en el puerto deseado y si recibe un RST-ACK el servicio no est implementado. SYN-ACK como respuesta entonces el servicio est activo. Existen otras vulnerabilidades que se pueden explotar pero que son dependientes de la implementacin de la pila TCP/IP. Por Ejemplo: TCP window scan: Mediante una anomala en ciertas implementaciones en como se muestra el tamao de la ventana TCP, puede saberse si un puerto est abierto o si es filtrado (firewall) o no. Otro ejemplo sera mandar paquetes UDP con 0 bytes en el campo datos, si el puerto est cerrado se debe recibir un ICMP Port Unreachable. Si el puerto est abierto, no se recibe ninguna respuesta. Si se detectan muchas puertas abiertas, puede haber un dispositivo de filtrado (firewall) en el medio. Para verificar esto, enviamos un paquete UDP al puerto cero, si no se recibe una respuesta ICMP Port Unreachable, entonces hay un dispositivo de filtrado de trfico. Este tipo de cosas las detectan los IDS.

5 ICMP
5.1 Escaneo basado en protocolo ICMP.
Una vez conocido el propsito original del protocolo ICMP, notificar errores y condiciones inusuales que requieren atencin respecto del protocolo IP, y el formato de sus paquetes, es necesario analizar los usos indebidos que se le pueden dar, todos asociados al escaneo de un sistema remoto Ping: Se lo utiliza para saber cuales son los dispositivos que se encuentran activos en una subred. Esto se hace de forma masiva para detectar todos los host. Respuesta: Escanear el log del DNS asociado al dominio. Los IDS tambin detectan este tipo de cosas. ICMP broadcast: Se hace un nico ping a la direccin de broadcast y se logra que todos los equipos contesten, depende del sistema operativo la reaccin a este tipo de cosas, los MS-Windows, no responden. ICMP Timestamp: Se enva un paquete ICMP Timestamp y si el sistema objetivo est activo, responde, nuevamente depende la implementacin del sistema operativo si se responde o no a estos paquetes.

ICMP Information: Su propsito era ayudar en la configuracin de equipos que no tenan disco y se deban configurar al inicializarse. No se debera responder a estos paquetes, pero algunas implementaciones de UNIX y equipos CISCO si lo implementan. ICMP Addres Mask: Su propsito era igual al anterior. Devuelve la submascara de la red. Este tipo de informacin permite al atacante identificar los routers existentes entre el atacante y la red objetivo.

Otros mtodos tienen que ver con el uso indirecto de ICMP haciendo que un equipo conteste con paquetes de este tipo cuando introducimos errores en los paquetes IP: IP bad header field: Se introducen errores en los campos de la cabecera IP, esto hace que si un equipo descarta el paquete debido a estos errores entonces notifica con un ICMP parameter problem. No todas las implementanciones responden a los mismos errores. Esto sirve, por ejemplo, para identificar los fabricantes de los routers. Los firewall y los IDS deberan tener en cuenta este tipo de trfico, y manejarlo con cuidado, ya que si un firewall simplemente no deja volver paquete ICMP parameter problem, entonces un atacante puede detectar la existencia del mismo. IP non-valid field values: Se ingresan valores incorrectos en los campos, en respuesta a esto se debera recibir un ICMP Destination Unreacheable. Por ejemplo, se podra indicar que en el campo datos hay un paquete de un protocolo no existente. Si un firewall filtra los paquetes ICMP de este tipo, entonces parecer que existen una serie de protocolos abiertos que no existen. IP Fragmentation: Cuando un sistema recibe solo una porcin del datagrama IP y pasa un tiempo determinado sin recibir el resto, genera un mensaje ICMP Fragment Reassembly Time Exceded. Es importante decidir si el firewall permitir la salida al exterior de estos paquetes ICMP, sera recomendable que suceda de este modo pero por otro lado, el atacante puede determinar la existencia del firewall debido a la falta de estos paquetes ICMP.

5.2 Ataque ICMP redirects:

Hay paquetes ICMP que son usados por los dispositivos de enrutamiento para informar de las alternativas de rutas por las que debe dirigir el trafico un sistema ejecutando el protocolo IP. A veces estos mensajes aconsejan a un sistema que camino seguir. La vulnerabilidad que presenta esta, se basa en generar paquetes de redireccin hacia un sistema objetivo. Si un sistema acepta la recepcin de este tipo de paquetes, lo que hace es actualizar su tabla de rutas con una entrada de tipo dinmica, que le indica la nueva ruta a seguir.

5.3 Ping de la muerte

Este ataque se basa en enviar un ICMP echo request a un sistema objetivo cuyo paquete sea mayor que el permitido por la pila TCP (64Kbytes), en muchos sistemas esto produce una especie de buffer-overflow y puede hacer que el sistema se reinicie o hasta se

apague. Esto se logra por medio de fragmentacin en los nodos intermedio, pero el paquete se va reensamblando en el sistema objetivo, hasta que se produce el desbordamiento.

6 Protocolos de Ruteo (RIP)

Los protocolos de ruteo pueden ser vulnerables principalmente mediante la introduccin de paquetes de actualizacin de rutas, de forma que es posible adecuar y condicionar los caminos que seguir el trafico segn un criterio especifico. Uno de los protocolos a vulnerar es el RIP. Es un protocolo UDP (port 520). La versin 1 no dispone de autenticacin, la versin 2 presenta un mtodo basado en el envo de claves en texto plano. Para vulnerar RIP debemos identificar un router que cuente con este protocolo (a travs del puerto 520). Si estamos en el mismo espacio de red solo tenemos que escuchar las actualizaciones RIP (o sea la actualizaciones de las tablas) o simplemente pedrsela alguno de los router que estn en la red. Si no estamos en el mismo espacio de red, podemos usar herramientas como rprobe para realizar una peticin RIP remota: el resultado se obtendr con un sniffer en el sistema desde el que se ataca. Luego de obtener la informacin que contienen las tablas, se puede colocar en esta la informacin que se pretende, como por ejemplo la nueva ruta que tendr el trafico redireccionando este a un sistema especifico para luego analizar desde ah la informacin que llegara. Utilidades como srip permiten colocar la informacin en las tablas. Para no alterar el sistema normal se debe redirrecionar los paquetes para que sigan su destino final correcto ( IP forwarding).

7 SNMP (Seguridad No es Mi Problema)

La primera versin de este protocolo basaba su seguridad en claves conocidas como community names. A grandes rasgos existen dos tipos de comunidades: lectura y lecturaescritura. Cada clave asociada permite realizar la operacin referida. Una vulnerabilidad habitual son los ataques de fuerza bruta sobre el public/private community string. Para explotar las vulnerabilidades de este protocolo debemos obtener la informacin almacenadas en las MIB de un sistema conectado a la red de forma remota. En el caso de que las comunidades de lectura y escritura del sistema no se hayan modificado, dispondr de las establecidas en el estandar (public y private) .

8 DNS
DNS attack
DIG es una utilidad para obtener informacin del servicio de nombres DNS. El DNS es una fuente de informacin de red muy valiosa. Esto permite copiar una base de datos entera de nombres (dominios) desde un servidor DNS, para su posterior analisis.

9 NetBios
WinNuke Attack
Afecta a sistemas que usan NetBIOS sobre TCP/IP (generalmente en windows). Este protocolo emplea los puertos UDP 137,138,139. El envo de un paquete urgente (bit URG=1), conocido como paquete Out of Band da lugar al envo de datagramas UDP a estos puertos, que al intentar ser enviados a las capas superiores, pueden provocar que el sistema destino se cuelgue o disminuya su rendimiento.

10 UDP
10.1 Net Flood
El objetivo de estos ataques es degradar la capacidad de conexin a la red de un sistema. Por ejemplo, si una red dispone de un ancho de banda de 34MB y el atacante uno de 155MB, este puede enviar mucho ms trfico al objetivo de lo que el mismo puede procesar, dejando de lado el trfico vlido. Estos ataques se pueden perpetrar utilizando otros sistemas y haciendo que estos sistemas, con buen ancho de banda hagan el ataque. Se suele utilizar paquetes ICMP y UDP debido a que estos no requieren una conexin establecida para enviar paquetes.

10.2 Loki
Se busca encubrir trfico en tneles ICMP y UDP, lo que se denomina canales encubiertos. Si un firewall permite el trafico de ciertos paquetes ICMP o UDP, entonces se puede establecer un canal encubierto desde el exterior. Para esto se necesitan dos aplicaciones, una que es la encargada de montar en el canal encubierto la trafico que se desea trasmitir, mientras la otra aplicacin es la encargada de desmontar la informacin encubierta. Esto se podra hacer a travs de la instalacin de un troyano.

11 TCP
11.1 TCP Syn Flood
Este tipo de ataque consiste en el envo masivo de paquetes de establecimiento de conexin (SYN) contra un sistema. Esto hace que por cada solicitud, el sistema objetivo reserve recursos para la conexin. Cuando el sistema objetivo contesta, el atacante no realiza el paso final del establecimiento de conexin de tres vias que caracteriza al TCP. De este modo se van copando cada vez ms recursos de la mquina objetivo hasta que la misma no es capas de atender ningn requerimiento ms. Normalmente estas pseudoconexiones expiran luego de un tiempo; pero un ataque constante sobrepasa esta medida. Este tipo de ataque puede ser camuflado utilizando algn medio de spoofing, esto hace que su deteccin sea muy difcil.

11.2 Connection Flood

Los servidores TCP orientados a conexin (telnet, ftp, http, smtp...) tienen un mximo de conexiones simultaneas soportadas, una vez alcanzado este lmite, cualquier nueva conexin es rechazada. De manera similar al SYN Flood, el atacante busca copar todas las conexiones, una vez que establece cada una de ellas no hace ninguna trasmisin pero no permite que clientes vlidos las establezcan. Al igual que las Syn Flood, estas conexines expiran luego de un tiempo sin uso. Una diferencia es que la identidad del atacantes es conocida una vez establecida la conexin y el mismo debe tener una gran capacidad para mantener tantas conexiones abiertas. Una vez ms se pueden usar sistemas intermedios desde los cuales realizar el ataque. Una variante es utilizar clientes que se conecten al sistema objetivo y que no cierren adecuadamente la conexin dejndola en el estado de TIME_WAIT

11.3 Land
Este ataque, desarrollado por "m3lt" , consiste en un nuevo bug en la implementacin de la pila TCP/IP de las plataformas Windows. El ataque consiste en mandar a algn puerto abierto de un servidor (generalmente al 113 o al 139), un paquete maliciosamente construido, con el bit SYN a 1, y con la direccin y puerto origen IGUAL que la direccin y puerto destino. (ej: 10.0.0.1:139 a 10.0.0.1:139). Resultado: la mquina comenzar ha mandarse mensajes a s misma y acabar por colgarse.

11.4 Ataque TCP Initial Squense Numbers

El protocolo TCP genera un ISN (numero de secuencia inicial), para poder realizar el control de flujo de la conexin. Este ataque se basa en la utilizacin de pseudo-random

number generators (PRNGs) para generar los ISNs. Si los nmeros de secuencia pueden ser predichos, puede llegar a ser posible el modificar la informacin de la conexin, apoderndose de ella mediante hijaking o realizar blind spoofing sobre futuras conexiones. La modificacin de los datos en la conexin puede realizarse colocando paquetes validos, al conocerse el ISN inicial y el numero de bytes intercambiado, y por tanto, el numero de secuencia actual. Si no se conoce exactamente este valor, pero si de forma aproximada, puede enviarse tambin un grupo de paquetes en un rango de secuencia concreto (limitado por el tamao de la ventana TCP), con el objetivo de que alguno coincida con el numero de secuencia actual.

12 IP
12.1 Sniffing
Los snifers trabajan configurando el dispositivo de red en modo promiscuo en redes basadas por difusin (p.ej: ethernet). Se mantiene un log con todos los paquetes enviados en la red que sern analizados para obtener informacin de utilidad. Dos caractersticas de este tipo de ataques es que son internos (no se pueden realizar desde el exterior) y que se necesitan troyanos de comandos como netstat para que no sean detectados. Existen algunos autores que diferencian entre el sniffing que modifica los datos capturados y los que no, estos ltimos se dicen que son pasivos y se lo suele llamar eavedropping.

12.2 IP Spoofing
Se basa en la generacin de paquetes IP con una direccin origen falsa. Lo que puede motivar a esto es que un firewall u otro dispositivo solo permita comunicaciones desde cierto punto, lo que se hace es hacerse pasar por dicho punto. Tambin se da cuando existen relaciones de confianza entre ciertos dominios.

12.3 Smurf
Se desprende del Net Flood y es una tcnica que aprovecha el broadcast de las redes. Se basa en el echo de que al enviar un paquete a esta direccin todas las mquinas de esa subred responderan provocando un efecto expansivo en N, donde N es la cantidad de mquinas de la red. Si se mezcla con spoofing, esto es, se pone como direccin origen la IP de la mquina a atacar, y como direccin destino la del broadcast, entonces todas las respuestas irn a la mquina objetivo, causando un DoS, a esto se lo denomina Smurf.

13 DoS: Denial of Service

La denegacin de servicio se analiza como un ataque externo a travs de la red. No se considera el caso en que el atacante gana los derechos de administrador porque sera tan simple como hacer un rm rf / & (Unix) para denegar todos los servicios. Un ataque de denegacin de servicio se centra en sobrepasar los lmites de recursos establecidos para un servicio determinado, obteniendo como resultado la eliminacin temporal del servicio Este tipo de ataques no supone ningn peligro para las maquinas ni la informacin sensible de las mismas; pero han sido utilizados para camuflar otro tipo de ataques.

13.1 DDoS
Es una variantes del DoS; pero a diferencia de este, el ataque se realiza desde ms de un punto distinto, DDoS proviene de ataques de denegacin de servicio distribuidos.

14 IPSec
14.1 Introduccin
IPSec es un estndar que proporciona servicios de seguridad a la capa IP y a todos los protocolos superiores basados en IP (TCP y UDP, entre otros). Entre las ventajas de IPSec destacan que est apoyado en estndares del IETF y que proporciona un nivel de seguridad comn y homogneo para todas las aplicaciones, adems de ser independiente de la tecnologa fsica empleada. IPSec se integra en la versin actual de IP (IP versin 4) y se incluye por defecto en IPv6. Otra caracterstica destacable de IPSec es su carcter de estndar abierto. Se complementa perfectamente con la tecnologa PKI y, aunque establece ciertos algoritmos comunes, por razones de interoperabilidad, permite integrar algoritmos criptogrficos ms robustos que pueden ser diseados en un futuro. IPSec es un conjunto de estndares para integrar en IP funciones de seguridad basadas en criptografa. Proporciona confidencialidad, integridad y autenticidad de datagramas IP, combinando tecnologas de clave pblica (RSA), algoritmos de cifrado (DES, 3DES, IDEA, Blowfish), algoritmos de hash (MD5, SHA-1) y certificados digitales X509v3. El protocolo IPSec ha sido diseado de forma modular, de modo que se pueda seleccionar el conjunto de algoritmos deseados sin afectar a otras partes de la implementacin. Han sido definidos, sin embargo, ciertos algoritmos estndar que debern soportar todas las implementaciones para asegurar la interoperabilidad en el mundo global de Internet. Dichos algoritmos de referencia son DES y 3DES, para cifrado, as como MD5 y SHA-1, como funciones de hash. Adems es perfectamente posible usar otros algoritmos que se consideren ms seguros o ms adecuados para un entorno especfico: por ejemplo, como algoritmo de cifrado de clave simtrica IDEA, Blowfish o el ms reciente AES.

Dentro de IPSec se distinguen los siguientes componentes: Dos protocolos de seguridad: IP Authentication Header (AH) e IP Encapsulating Security Payload (ESP) que proporcionan mecanismos de seguridad para proteger trfico IP. Un protocolo de gestin de claves Internet Key Exchange (IKE) que permite a dos nodos negociar las claves y todos los parmetros necesarios para establecer una conexin AH o ESP.

14.2 Arquitectura y estructuras del IPSec

Aplicacin: SNMP, TELNET, FTP, HTTP,POP, SMTP TCP IPSec IP UDP ICMP

Protocolo AH: Cabecera IP Cabecera AH SegmentoTCP/UDP/ICMP

Protocolo = 51 Protocolo ESP: Cabecera IP Cabecera ESP Segmento TCP/UDP/ICMP ESP Trailer ESP A t

Protocolo = 50 Encriptado Autenticado

14.3 El protocolo AH:

El protocolo AH es el procedimiento dado dentro de IPSec para garantizar la integridad y autenticacin de los datagramas IP. Esto es proporciona un medio al receptor de los paquetes IP para autenticar el origen de los datos y para verificar que dichos datos no

han sido alterados en el camino. Sin embargo no garantiza ninguna garanta de de confidencialidad, es decir, los datos transmitidos pueden ser vistos por terceros. Tal como indica su nombre, AH es una cabecera de autenticacin que se inserta entre la cabecera IP estndar (tanto IPv4 como IPv6) y los datos transportados, que pueden ser un mensaje TCP, UDP o ICMP, o incluso un datagrama IP completo. Es dentro de la cabecera AH donde se indica la naturaleza de los datos de la capa superior. Es importante destacar que AH asegura la integridad y autenticidad de los datos transportados y de la cabecera IP, excepto los campos variables: TOS, TTL, flags, offset y checksum. Dentro del campo protocolo de IP va el valor 51 que hace referencia a AH. El funcionamiento de AH se basa en un algoritmo HMAC, esto es, un cdigo de autenticacin de mensajes. Este algoritmo consiste en aplicar una funcin hash a la combinacin de unos datos de entrada y una clave, siendo la salida una pequea cadena de caracteres que denominamos extracto. Dicho extracto tiene la propiedad de que es como una huella personal asociada a los datos y a la persona que lo ha generado, puesto que es la nica que conoce la clave. El funcionamiento de AH: El emisor calcula un extracto del mensaje original, el cual lo copia en uno de los campos de la cabecera AH. El paquete as construido se enva a travs de la red, repitindose en el extremo receptor el calculo del extracto y comparandolo con el recibido en el paquete. Si son iguales, el receptor tiene la seguridad de que el paquete IP no ha sido modificado y que viene del origen esperado. La seguridad de AH esta en el calculo del extracto que se realiza con la clave que es conocida por el emisor y el receptor.

14.4 El protocolo ESP:

El objetivo principal del protocolo ESP (Encapsula-ting Security Payload) es proporcionar confidencialidad, para ello especifica el modo de cifrar los datos que se desean enviar y cmo este contenido cifrado se incluye en un datagrama IP. Adicionalmente, puede ofrecer los servicios de integridad y autenticacin del origen de los datos incorporando un mecanismo similar al de AH. Dado que ESP proporciona ms funciones que AH, el formato de la cabecera es ms complejo; este formato consta de una cabecera y una cola que rodean los datos transportados. Dichos datos pueden ser cualquier protocolo IP (por ejemplo, TCP, UDP o ICMP, o incluso un paquete IP completo). El campo Protocolo de la cabecera IP contendr el valor que indicara que esta viajando el protocolo ESP, mientras que dentro del mensaje ESP se indica la naturaleza de los datos. Este campo, al igual que la carga til, est cifrado, un hipottico atacante que intercepte el paquete no podr saber si el contenido es TCP o UDP; esto es completamente normal ya que el objetivo que se persigue es, precisamente, ocultar la informacin. La funcin de cifrado dentro del protocolo ESP es desempeada por un algoritmo de cifrado de clave simtrica. Funcionamiento de ESP: El emisor toma el mensaje original, lo cifra, utilizando una clave

determinada, y lo incluye en un paquete IP, a continuacin de la cabecera ESP. Durante el trnsito hasta su destino, si el paquete es interceptado por un tercero slo obtendr un conjunto de bit inentendibles. En el destino, el receptor aplica de nuevo el algoritmo de cifrado con la misma clave, recuperando los datos originales. Est claro que la seguridad de este protocolo reside en la robustez del algoritmo de cifrado, es decir, que un atacante no puede descifrar los datos sin conocer la clave, as como en que la clave ESP nicamente la conocen el emisor y el receptor. La distribucin de claves de forma segura es, por con siguiente, un requisito esencial para el funcionamiento de ESP y tambin de AH, como hemos visto anteriormente. Asimismo, es fundamental que el emisor y el receptor estn de acuerdo tanto en el algoritmo de cifrado o de hash y como en el resto de parmetros comunes que utilizan. Esta labor de puesta en contacto y negociacin es realizada por un protocolo de control, denominado IKE.

14.5 Modos de funcionamiento de IPSec:

Tanto ESP como AH proporcionan dos modos de uso: 1. El modo transporte. En este modo el contenido transportado dentro del datagrama AH o ESP son datos de la capa de transporte (por ejemplo, datos TCP o UDP). Por tanto, la cabecera IPSec se inserta inmediatamente a continuacin de la cabecera IP y antes de los datos de los niveles superiores que se desean proteger. El modo transporte tiene la ventaja de que asegura la comunicacin extremo a extremo, pero requiere que ambos extremos entiendan el protocolo IPSec. 2. El modo tnel. En ste el contenido del datagrama AH o ESP es un datagrama IP completo, incluida la cabecera IP original. As, se toma un datagrama IP al cual se aade inicialmente una cabecera AH o ESP, posteriormente se aade una nueva cabecera IP que es la que se utiliza para encaminar los paquetes a travs de la red. El modo tnel se usa normalmente cuando el destino final de los datos no coincide con el dispositivo que realiza las funciones IPSec. IPSec puede ser implementado bien en un host o bien en un equipo dedicado, tal como un router o un firewall, que cuando realiza estas funciones se denomina gateway IPSec.

14.6 IKE: El protocolo de control

Un concepto esencial en IPSec es el de asociacin de seguridad (SA): es un canal de comunicacin unidireccional que conecta dos nodos, a travs del cual fluyen los datagramas protegidos mediante mecanismos criptogrficos acordados previamente. Al identificar nicamente un canal unidireccional, una conexin IPSec se compone de dos SAs, una por cada sentido de la comunicacin. Hasta el momento se ha supuesto que ambos extremos de una asociacin de seguridad deben tener conocimiento de las claves, as como del resto de la informacin que necesitan para enviar y recibir datagramas AH o ESP. Tal como se ha indicado anteriormente, es necesario que ambos nodos estn de acuerdo tanto en los algoritmos criptogrficos a emplear como en los parmetros de control. Esta operacin puede realizar se mediante una configuracin manual, o mediante algn

protocolo de control que se encargue de la negociacin automtica de los parmetros necesarios; a esta operacin se le llama negociacin de SAs. El IETF ha definido el protocolo IKE para realizar tanto esta funcin de gestin automtica de claves como el establecimiento de las SAs correspondientes. Una caracterstica importante de IKE es que su utilidad no se limita a IPSec, sino que es un protocolo estndar de gestin de claves que podra ser til en otros protocolos. IKE es un protocolo hbrido que ha resultado de la integracin de dos protocolos complementarios: ISAKMP y Oakley. ISAKMP define de forma genrica el protocolo de comunicacin y la sintaxis de los mensajes que se utilizan en IKE, mientras que Oakley especifica la lgica de cmo se realiza de forma segura el intercambio de una clave entre dos partes que no se conocen previamente. El objetivo principal de IKE consiste en establecer una conexin cifrada y autenticada entre dos entidades, a travs de la cual se negocian los parmetros necesarios para establecer una asociacin de seguridad IPSec. Caractersticas de los servicios de seguridad que ofrece IPSec. Dichos servicios son: Integridad y autenticacin del origen de los datos El protocolo AH es el ms adecuado si no se requiere cifrado. La opcin de autenticacin del protocolo ESP ofrece una funcionalidad similar, aunque esta proteccin, a diferencia de AH, no incluye la cabecera IP. Como se coment anteriormente, esta opcin es de gran importancia para aquellas aplicaciones en las cuales es importante garantizar la invariabilidad del contenido de los paquetes IP. RVICIOS DE SEGURIDAD OFRECIDOS POR

14.7 Confidencialidad
El servicio de confidencialidad se obtiene mediante la funcin de cifrado incluida en el protocolo ESP. En este caso es recomendable activar la opcin de autenticacin, ya que si no se garantiza la integridad de los datos el cifrado es intil. Esto es debido a que aunque los datos no pudiesen ser interpretados por nadie en trnsito, stos podran ser alterados haciendo llegar al receptor del mensaje trfico sin sentido que sera aceptado como trfico vlido. Adems de ofrecer el cifrado del trfico, el protocolo ESP tambin tiene herramientas para ocultar el tipo de comunicacin que se est realizando; para ello permite introducir caracteres de relleno en el contenido de los datos del paquete, de modo que se oculta la verdadera longitud del mismo. sta es una proteccin til contra las tcnicas de anlisis de trfico, que permiten a un atacante deducir informacin til a partir del estudio de las caractersticas del trfico cifrado. Deteccin de repeticiones La autenticacin protege contra la suplantacin de la identidad IP, sin embargo un atacante podra capturar paquetes vlidos y reenviarlos al destino. Para evitar este ataque, tanto ESP como AH incorporan un procedimiento para detectar paquetes repetidos. Dicho procedimiento est basado en un nmero de secuencia incluido en la cabecera ESP o AH, el emisor incrementa dicho nmero por cada datagrama que enva y el receptor lo comprueba, de forma que los paquetes repetidos sern ignorados. Esta secuencia no podr ser modificada por el atacante, debido a que se encuentra protegida por medio de la opcin de

integridad para cualquiera de los dos protocolos (AH y ESP) y cualquier modificacin en este nmero provocara un error en la comprobacin de la integridad del paquete. Control de acceso: autenticacin y autorizacin Dado que el uso de ESP y AH requiere el conocimiento de claves, y dichas claves son distribuidas de modo seguro mediante una sesin IKE en la que ambos nodos se autentican mutuamente, existe la garanta de que slo los equipos deseados participan en la comunicacin. Durante la negociacin IKE se especifica el flujo de trfico IP que circular a travs de la conexin IPSec. Esta especificacin es similar a un filtro de paquetes, considerndose el protocolo, las direcciones IP de los puertos origen y destino, el byte "TOS" y otros campos. No repudio El servicio de no repudio es tcnicamente posible en IPSec, si se usa IKE con autenticacin mediante certificados digitales. En este caso, el procedimiento de autenticacin se basa en la firma digital de un mensaje que contiene, entre otros datos, la identidad del participante. Dicha firma, gracias al vnculo entre la clave pblica y la identidad que garantiza el certificado digital, es una prueba inequvoca de que se ha establecido una conexin IPSec con un equipo determinado, de modo que ste no podr negarlo. En la prctica, sin embargo, esta prueba es ms compleja, ya que requerira almacenar los mensajes de negociacin IKE y, adems, no est definido un procedimiento para referenciar este evento a una fecha concreta. La tecnologa IPSec permite construir soluciones de comunicaciones que ofrecen confidencialidad y autenticacin en la capa IP, independientemente de cual sea el medio de transporte. Adems, la inclusin de seguridad en la capa IP tiene la ventaja de que se extiende universalmente, ofreciendo un nivel de seguridad homogneo de manera independiente del tipo que sean las aplicaciones, siempre que estn basadas en IP.

14.8 Vulnerabilidades
Vulnerabilidad de los algoritmos de encriptacin ya que se conoce la estructura de un paquete IP y puede ser utilizado como texto claro junto con tcnicas estadsticas para descifrar los paquetes. La encriptacin requiere recursos de CPU y esto posibilita que se produzcan ataques de DoS.

14.9 Concluciones
IPSec es un estndar de seguridad extraordinariamente potente y flexible. Su importancia reside en que aborda una carencia tradicional en el protocolo IP: la seguridad. Gracias a IPSec ya es posible el uso de redes IP para aplicaciones crticas, como las transacciones comerciales entre empresas. Al mismo tiempo, es la solucin ideal para aquellos escenarios en que se requiera seguridad, independientemente de la aplicacin, de modo que es una pieza esencial en la seguridad de las redes IP.

15 Proteccin y contramedidas
La siguiente seccin del trabajo pretende establecer cuales deberan ser los pasos y puntos a tener en cuenta al momento de confeccionar la seguridad de la red. Lo que aqu se dice no es una receta mgica de cmo hacer para que nadie viole la seguridad, pues no existe un sistema 100% seguro. Por otro lado, una exposicin para lograr un alto grado de confianza en la seguridad de la red nos llevara de uno a muchos libros, lo que ciertamente escapa al presente documento. Los 3 Puntos de la proteccin 1. Aplicar el principio del menor servicio. 2. Mantener actualizado los productos. 3. Estar suscriptos a listas de correo de seguridad. Adems podemos agregar: Encriptar todo lo que se pueda encriptar.

15.1 El principo del menor servicio:

Cuando un S.O. o un router ha sido configurado de forma restrictiva para imposibilitar la explotacin de la mayora de las vulnerabilidades, se dice que es un Bastion Host o Bastion Router. Debemos configurar todos los sistemas de manera que solo ofrezcan los servicios que son estrictamente necesarios. Cualquier servicio que no sea indispensable es un punto de vulnerabilidad en potencia, ya sea porque el servicio mismo tenga vulnerabilidad, como tambin por el hecho de que el software posee bugs. De esta manera podemos decir que mientras menos servicios funciones menor ser el riesgo de que se aprovechen dichas vulnerabilidades.

15.2 Parches:
Los fabricantes de Sistemas Operativos y de dispositivos de red suelen ir solucionando los problemas de seguridad de sus productos a medida que se los van detectando. Es fundamental que se actualicen los productos con las soluciones provistas por los fabricantes: Con el correr del tiempo las vulnerabilidades se van volviendo ms famosas, y por ello existen ms herramientas que las explotan y son ms fciles de usar. Si no actualizamos nuestros productos, mayor cantidad de personas son las que nos pueden atacar. Hubieron casos en que el fabricante anunci la existencia de una vulnerabilidad y en el mismo acto ofreca la solucin (paquete de actualizacin del producto). Con la informacin provista por el mismo fabricante se desarrollaron virus que explotaban

las fallas. Como muchos usuarios no actualizaron sus productos, fueron victimas de los virus.

15.3 Estar suscriptos a listas de correo de seguridad

De esta manera estamos al tanto de lo que est ocurriendo en termino de seguridad. Tambin nos vamos enterando de vulnerabilidades que puedan tener nuestros sistemas y que aun no fueron anunciadas por los fabricantes, ni que tienen una solucin implementada.

15.4 Footprinting (Obtencin de informacin de la organizacin):

Buscamos informacin de nosotros en el exterior, vemos cual es la que existe y la tratamos de limitar o anular. Deshabilitar los servicios que proporcionan informacin, por ejemplo fingerd Filtrar paquetes que puedan dar informacin sobre la topologa de la red como por ejemplo ICMP y UDP (ping a broadcast, traceroute, etc). De igual manera se debe configurar cuidadosamente los DNS. Tal ves la defensa ms efectiva no sea filtrar los paquetes, sino que cuando se detecta un comando peligroso (por ejemplo traceroute) proveniente del exterior, se generen respuestas falsas.

15.5 Fingerprinting (Obtencin de informacin de un sistema)

El objetivo de esta defensa es ocultar los rasgos especficos de una implementancin TCP/IP. El mejor ejemplo es el IP personality implementado en Linux (kernel 2.4) permite que el TCP/IP modifique las caractersticas de su trfico de red. Esto es una defensa excelente para el Fingerprinting Pasivo. De todas maneras nunca debemos fiarnos en la Seguridad a travs de la Oscuridad, no debemos permitir que una vez conocido el S.O. las cosas sean fciles para el atacante.

15.6 Escaneo de puertos

Existen para este caso dos estrategias: La primera tiene que ver con detectar a nivel host el escaneo, para esto existen aplicaciones y muchos IDS ayudan en la deteccin de este tipo de ataques. La utilizacin de Firewalls y el anlisis de sus registros (de manera automtica preferentemente) para la deteccin de paquetes que estn realizando este tipo de ataque. De todas maneras estos ataques son muy difciles de detectar, ms si estn bien hechos, la mejor manera de protegerse de ellos se tener habilitados solo los servicios que son necesarios, ni uno ms: Principio del menor servicio. Regularmente escanear nuestros puertos en busca de: Servicios que no deberan estar habilitados. Servicios necesarios que deben actualizarse a versiones que parchan las vulnerabilidades.

15.7 Sniffing
Tenemos tres medidas para protegernos del sniffing: La primera y ms paranoica es encriptar todo nuestro trfico: SSL, SSH, IPSEC, etc La segunda tiene que ver con la deteccin de redes que se encuentran configuradas en modo promiscuo, seal de que posiblemente desde all se est esnifeando. Segmentar la red, de modo que en lugar de usar hubs, se utilizan switcher, de este modo un sistema solo puede esnifear el trafico que est destinado a l o la VLAN a la que pertenezca, esta es una solucin costosa, pero que combate la naturaleza de las redes por difusin.

15.8 ICMP
Las recomendaciones seran: 1. filtrar todos aquellos tipos de servicios ICMP que no son necesarios: Principio del menor servicio. 2. No permitir fragmentacin de paquetes ICMP para evitar el ping de la muerte. Las implementaciones de TCP proveen medidas para controlar y deshabilitar la gestin de los ataques de tipo ICMP redirect.

15.9 TCP
TCP SYN Flood: Los S.O. y los dispositivos de redes actuales vienen con parmetros configurables para evitar este tipo de ataques Los equipos CISCO permiten configurar un mximo de paquetes SYN, y esto se hace en funcin del ancho de banda. Ademas tienen dos mecanismo para la proteccin contra estos ataques: watch y intercept. Normalmente la proteccin ofrecida por los S.O. es establecer un nmero mximo de conexiones TCP incompletas. Pero esto no evita un DoS si estn todas las conexiones TCP incompletas ocupas por un ataque y un cliente legtimo quiere conectarse. Connection Flood No se puede evitar que se acaparen todas las conexiones. Solo podemos revisar los logs o utilizar IDS que detecten este tipo de situaciones. Para evitar la existencia de un ataque basado en el cierre incorrecto de las conexiones, el sistema servidor puede controlar el tiempo que un socket TCP puede permanecer en el estado TIME_WAIT, evitando as un consumo de recursos excesivo. TCP Initial Sequence Number Una medida de proteccin sera con la utilizacin de encriptacin del protocolo, con IPSec.

15.10 SNMP
La utilizacin de las ltimas versiones, preferentemente la 3, son un poco ms seguras. Y en la medida de lo posible hacerlo en su propia VPN (por ej. Utilizando SSH) Cambiar las contraseas que vienen por defecto. Filtrar las fuentes desde las que se permiten estas conexiones.

15.11 IP
IP spoofing Mediante la configuracin de filtros de conexiones permitidas, especificando a travs de qu interfaces, en los dispositivos de interconexin de varias redes (firewalls y screening routers), se pueden controlar las direcciones IP fuente permitidas, y por tanto evitar la tcnica de IP spoofing. Ademas cada sistema tiene protecciones propias, por ejemplo, en Linux se puede activar el rp_filter que sirve para habilitar la verificacin de la direccin fuente. Smurf (utilizacin de broadcast) Se debe restringir el trfico de broadcast desde afuera hacia adentro. Es decir, los routers y firewalls deben ser configurados para que no permitan el ingreso de paquetes con destino a direcciones broadcast. Otra medida sera configurar los sistemas internos para que no respondan a este tipo de paquetes. Tiny Fragment Attack Este ataque puede prevenirse restringiendo los lmites de los fragmentos que atraviesan un filtro, de forma que contengan informacin suficiente.

15.12 RIP
Como RIP no es seguro se recomienda que se lo deshabilite y se utilicen otros protocolos que realizan encriptacin u autenticacin al momento de actualizar los datos de ruteo. Ejemplos de estos protocolos: BGP, IS-IS y OSPF.

15.13 Dos y DDos

NetFlood: Este tipo de ataque es muy difcil de prevenir o contrarrestar. Lo nico que se puede atinar a hacer es contactarse con el ISP durante el ataque para que identifique el origen del trfico y lo filtre desde el punto ms extremo. En equipos CISCO existe un mecanismo que permite controlar la cantidad de paquetes ICMP por unidad de tiempo.

16 Recomendacin al momento de chequear la seguridad

La conclusin tras el anlisis de las vulnerabilidades desde un punto de vista operacional es que para evitarlas pueden definirse las tareas a realizar dentro de un sistema de seguridad en tres etapas: 1. Prevencin: implementada por dispositivos como los firewalls. 2. Deteccin: a travs de sistemas como los IDS. 3. Respuesta: las acciones a tomar deben ser dirigidas por la parte humana, tpicamente los administradores de la red.

16.1 Listado de chequeo

Buscar toda informacin sobre nosotros en el exterior que delate nuestra estructura y minimizarla. Deshabilitar servicio que provean informacin de nuestra red.

16.2 Por Host:

Servicios que se encuentran activos: Aplicar el principio del menor servicio. Puertos conocidos: Chequear que los puertos tpicos utilizados por herramientas de ataque no estn activos (37337 para control remoto) Estn los S.O. Actualizados? Estn bien configurados los S.O. (TCP SYN Flood, Connection Flood) Como podemos camuflar las caractersticas del host?.

16.3 Por Red:

Sniffing: Hay dispositivos en modo promiscuo, Si los hay, es correcto que estn en este modo?. Sniffing: Se puede segmentar ms la red? Firewalls: o La comunicacin con la consola de firewall debe hacerse en forma encriptada. o Se estn filtrando los paquetes ICMP, el tamao mnimo de paquete. o Se permite el ingreso de paquetes con destino broadcast. Proxy: o Se encuentran habilitados solo las aplicaciones necesarias. o Verificar que el proxy solo est ofreciendo los servicios de proxy a los usuario de la red interna. Routers: o Estn configurados para solo aceptar los paquetes de origen vlido.

o Que los routers tantos del ISP como el nuestro hagan filtrado preeliminar. o Es especialmente importante en redes que tienen un solo punto de acceso a Internet que se protejan y se configuren adecuadamente los routers en sus extremos. SNMP: o Se est utilizando la ltima versin. o Se estn encriptando. o Se filtra los puntos desde los que se pueden establecer este tipo de conexiones. RIP o Utilizacin de protocolos seguros.

17 Un Caso Histrico: Las limitaciones de los FireWalls

En Febrero de 2000, un gran nmero de sitios comerciales en Internet fueron puestos de rodillas por un ataque de denegacin de servicio distribuido. Los atacantes primero golpearon a Yahoo!, y luego desparramaron su ofensiva a otros sitios importantes, como ser Amazon.com. eBay, CNN.com, y Buy.com. En el caso de Yahoo!, en el peor momento , menos del 10% de los clientes de Yahoo! Pudieron acceder a la pgina. Este ataque se perpetr enviando un nmero masivo de requerimientos http, usando el puerto 80 como destino. Los Firewall pueden dar una proteccin limitada a un ataque de denegacin de servicio: identificando la direccin IP origen del perpetrador y filtrando todos los paquetes de esa direccin. Pero los atacantes de Febrero de 2000 usaron un truco simple para romper la superficial defensa del Firewall. Primero, plantaron programas llamados zombis en al menos 50 host inocentes, muchos de los cuales estaban residiendo en Universidades e Instituciones de Desarrollo. En un momento dado, los atacantes indicaron a los zombis que ataquen a Yahoo!, como consecuencia los zombis echaron a pique con conexiones TCP a Yahoo! y luego a los otros sitios. Quien haya estado detrs del ataque no obtuvo los derechos del root, ni rob informacin; pero si fueron exitosos en poner de rodillas a varios sitios importantes. Qu es lo que puede prevenir esos ataques de denegacin distribuida de servicio?. Parece no haber una respuesta sencilla y clara a esta pregunta. Una aproximacin es encontrar a los responsables y procesarlos, de esta manera desalentar a otros atacantes. Pero parece que los atacantes han dejado muy pocas pistas electrnicas para poder determinar sus identidades. Los investigadores estn tomando un enfoque ms tradicional, usando informantes en el underground digital y tratando de ganar informacin de quien puede estar detrs de estos ataques.