| Artículos | 01 ABR 2005

Ataques de red (network hacking)

Tags: Histórico
Seguridad III
Jaime Sánchez.
Esta vez trataremos de mostrar cuáles son los ataques más comunes y que afectan de una forma más directa a la mayoría de los sistemas operativos del gigante del software Microsoft.

Nivel de dificultad: Alto
Objetivo del artículo: Ataques comunes en sistemas operativos Windows.
Herramientas necesarias: Ethereal, nbname.

Veamos cómo puede funcionar la red de nuestra empresa o domicilio y qué ataques puede recibir. Esto es bastante importante, ya que dependiendo del medio en el que nos encontremos, un posible atacante podría comprometer nuestros servicios de formas muy diferentes. Tanto las redes Ethernet como las Token Ring han sido utilizadas tradicionalmente para la transmisión de datos entre ordenadores en las ultimas décadas, aunque Ethernet es la más común. Básicamente, se trata de enviar todos los paquetes de información a cada uno de los equipos que se encuentren conectados a la red. El equipo que es realmente el destino final del paquete recibe la información, pero cada uno de los equipos conectados a la red también lo hará, aunque no podrá verla sin el software adecuado.
Esta tecnología Ethernet, basada en CSMA/CD (Carrier Sense Multiple Access/Collision Detection), es bastante comprometedora desde el punto de vista de la seguridad informática, ya que un atacante podría interceptar nuestra información sensible (como contraseñas, números de cuenta, etc.) y utilizarlas para sus propios fines.
El uso de switches es sólo similar en funcionamiento. Se crea una tabla basada en las direcciones MAC (Media Access Control) de cada equipo y cada paquete de información llega sólo hasta la dirección MAC deseada. De esta forma, es menos probable que la información sea interceptada, ya que sólo el emisor y el destinatario pueden verla.

Conocer nuestra propia red
Conocer el tipo de red en la que estamos es bastante sencillo, tan sólo necesitaremos un capturador de paquetes (Sniffer, husmeador), como puede ser Ethereal, que posiblemente sea el mejor sniffer disponible en la Red. Tiene gran cantidad de opciones, está disponible para múltiples plataformas y además es gratuito. Veremos la diferencia en que si estamos en una red Ethernet, nuestro software mostrará todos los paquetes, sea nuestro equipo el destinatario, o no. De lo contrario, sólo veremos paquetes para nuestra máquina, y los del tipo broadcast. Este tipo de software nos va a permitir vigilar todas las actividades que realicen las máquinas de nuestra red: podremos ver las páginas web por las que se navega, los nombres y contraseñas de las conexiones no seguras a otras máquinas, etc.
También existe software para saber si algún equipo tiene instalado algún tipo de sniffer para conocer la actividad de la red.

Ataques DoS (Denial of Service)
Los ataques DoS o de denegación de servicio se han incrementado de forma bastante importante en los últimos años. Este tipo de ataques no tienen como fin conseguir una cuenta en nuestro sistema o tratar de obtener información sensible de nuestra red o comprometerla. Se trata de algo más sencillo: denegar el acceso a un determinado equipo o servicio. Puede presentarse de muchas formas, desde agotar los recursos de nuestro servidor hasta provocar su mal funcionamiento o incluso bloquearlo. Este tipo de ataques puede combinarse con otro, por ejemplo un atacante podría necesitar reiniciar nuestra máquina para que su ataque llegue a completarse.
Quizá el ataque más importante que se puede recordar sea el de febrero de 2000, cuando se creó una variante de DoS distribuido a través de varias máquinas por Internet: DDoS. Se utilizaron miles de máquinas a través de la Red para inundar de peticiones un servidor y lograr saturar su servicio, evitando que cualquier usuario pueda acceder de forma correcta. Muchos servidores y servicios de empresas tan importantes como Amazon o eBay quedaron completamente inutilizados durante varios días. Además, al no tratarse de un problema de seguridad específico que se pueda solucionar, los encargados tenían pocas posibilidades de resolverlo de forma eficaz.
A continuación veremos ciertos tipos de ataques que podrían utilizarse contra nuestras máquinas, y algunas soluciones para que no nos afecten.

SYN Flooding
Este tipo de ataque es bastante sencillo. Se trata de inundar una determinada máquina con tantas conexiones TCP como sean posibles, hasta que la víctima no pueda devolver más respuestas a estas peticiones y agote todos sus recursos. De esta forma podríamos llegar a inutilizar, por ejemplo, el servicio de IMAP de un servidor, y dejar sin correo a todos los usuarios que dependan de esta máquina.
Para ello necesitamos saber cómo funciona una conexión TCP. Bajo circunstancias normales, si deseamos iniciar una conexión con una máquina, nuestro equipo enviará un paquete SYN a un puerto específico de la máquina remota. Si el servicio está activo, la máquina remota devolverá un paquete SYN/ACK a nuestro equipo, y éste devolverá otro ACK, con lo que la conexión estará ya completada.
Esta forma de conexión funciona correctamente para la mayoría de los casos, pero existen formas de utilizarla para otros fines, como crear un ataque DoS. La mayoría de los sistemas operativos tienen un número finito de recursos, luego puede llegar un punto en el que no puedan soportar más conexiones.
Cuando se provoca este tipo de denegación de servicio, el atacante envía un paquete SYN a la máquina, como si quisiera establecer una conexión normal y corriente, sólo que cambiando la dirección desde la cual se envía para que sea la de un equipo inexistente. Entonces la máquina atacada tratará de devolver el paquete SYN/ACK correspondiente a la supuesta dirección. Como esta dirección no existe, no le informará de que no ha tratado de iniciar ninguna conexión. Por lo tanto, la máquina atacada quedará esperando esta respuesta y ya habrá consumido una conexión más. Esta espera puede variar en tiempo, desde los 20 segundos hasta más de 15 minutos en algunas implementaciones. Este tipo de ataque, realizado múltiples veces, acabará con un servicio que esté corriendo en un puerto determinado.
Como hemos visto, este ataque es completamente devastador, ya que requiere muy poco ancho de banda y falsea la dirección desde donde supuestamente se emite el ataque.
Para conocer si se está provocando este tipo de ataque en nuestro sistema operativo Windows utilizaremos la herramienta netstat. Si vemos muchas conexiones en espera, el ataque estará realizándose. Otro tipo de medidas podían ser el reducir el tiempo en el que se agota la petición de espera, o aumentar las conexiones máximas soportadas.

Desbordamiento DoS en el servidor FTP de IIS
Otro ejemplo de ataque DoS, combinado con otra técnica, la del buffer overflow o desbordamiento de búfer, es posible. Si este tipo de problema existe, quizás no nos permita el acceso como administrador, pero sí provocar el mal funcionamiento del software, o llegar a detenerlo completamente.
Éste es el caso del servidor FTP que implementa Internet Information Server (IIS 3.0 y 4.0). Se puede provocar este desbordamiento utilizando el comando list, y además no es necesario tener una cuenta legítima en el sistema. Si podemos acceder a este servicio como usuario anónimo, podremos llegar a tener acceso al comando y podremos detener completam

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información