Seguridad en redes de computadores

Get Started. It's Free
or sign up with your email address
Seguridad en redes de computadores by Mind Map: Seguridad en redes de computadores

1. Seguridad en redes TCP/IP.

1.1. Fue en 1974 que se estableció las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en día como redes TCP/IP.

1.2. Capas de la familia de protocolos TCP/IP

1.2.1. Capa de red: Normalmente está formada por una red LAN o WAN (de conexión Network. punto a punto) homogénea.

1.2.2. Capa de internet: Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante línea telefónica o mediante una red local Ethernet.

1.2.3. Capa de transporte: Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que sólo es implementada por equipos usuarios de internet o por terminales de internet.

1.2.4. Capa de aplicación: Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet.

1.3. Vulnerabilidades de las distintas capas de la familia de protocolos TCP/IP

1.3.1. Vulnerabilidades de la capa de red: Las vulnerabilidades de la capa de red están estrechamente ligadas al medio sobre el que se realiza la conexión.

1.3.2. Vulnerabilidades de la capa internet: En esta capa se puede realizar cualquier ataque que afecte un datagrama IP.

1.3.3. Vulnerabilidades de la capa de transporte: La capa de transporte transmite información TCP o UDP sobre datagramas IP.

1.3.4. Vulnerabilidades de la capa de aplicación: Como en el resto de niveles, la capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos.

2. Actividades previas a la realización de un ataque.

2.1. Previamente a la planificación de un posible ataque contra uno o más equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase, es decir, para obtener toda la información posible de la víctima, será necesario utilizar una serie de técnicas de obtención y recolección de información.

2.2. Técnicas usadas para realizar la fase de recogida y obtención de información previa a un ataque.

2.2.1. Utilización de herramientas de administración.

2.2.1.1. Son todas aquellas aplicaciones de administración que permitan la obtención de información de un sistema como, por ejemplo, ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc.

2.2.2. Búsqueda de huellas identificativas.

2.2.2.1. La utilización de estas técnicas se conoce con el nombre de fingerprinting, es decir, obtención de la huella identificativa de un sistema o equipo conectado a la red.

2.2.3. Exploración de puertos.

2.2.3.1. La exploración de puertos es una técnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino. Suele ser la última de las actividades previas a la realización de un ataque. La exploración de puertos puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida.

2.3. Tipos de exploración de puertos.

2.3.1. Exploración de puertos TCP: La exploración de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece o no un determinado servicio.

2.3.2. Exploración de puertos UDP: Mediante la exploración de puertos UDP es posible determinar si un sistema está o no disponible, así como encontrar los servicios asociados a los puertos UDP que encontramos abiertos.

2.4. Herramientas para realizar la exploración de puertos

2.4.1. Nmap (Network Mapper). Esta herramienta implementa la gran mayoría de técnicas conocidas para exploración de puertos y permite descubrir información de los servicios y sistemas encontrados.

3. Escuchas de red.

3.1. Son uno de los primeros ataques contra las dos primeras capas del modelo TCP/IP. Se trata de un ataque realmente efectivo, puesto que permite la obtención de una gran cantidad de información sensible.

3.2. Un escuche de red o sniffer no es más que un sencillo programa que intercepta toda la información que pase por la interfaz de red a la que esté asociado. Una vez capturada, se podrá almacenar para su análisis posterior.

3.3. Desactivación de filtro MAC.

3.3.1. Es una de las técnicas más utilizadas por la mayoría de los sniffers de redes Ethernet se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC, poniendo la tarjeta de red en modo promiscuo.

3.4. Suplantación de ARP.

3.4.1. El protocolo ARP es el encargado de traducir direcciones IP de 32 bits, a las correspondientes direcciones hardware, generalmente de 48 bits en dispositivos Ethernet. Cuando un ordenador necesita resolver una dirección IP en una dirección MAC, lo que hace es efectuar una petición ARP a la dirección de difusión de dicho segmento de red.

3.5. Herramientas disponibles para realizar sniffing.

3.5.1. Tcpdump: Este programa, una vez ejecutado, captura todos los paquetes que llegan a nuestra máquina y muestra por consola toda la información relativa a los mismos.

3.5.2. Ettercap: Esta aplicación, que también funciona desde consola, ofrece un modo de ejecución interactivo en el que se muestran las conexiones accesibles desde la máquina donde se encuentra instalado y que permite seleccionar cualquiera de ellas para la captura de paquetes.

4. Fragmentación IP.

4.1. El protocolo IP es el encargado de seleccionar la trayectoria que deben seguir los datagramas IP. No es un protocolo fiable ni orientado a conexión, es decir, no garantiza el control de flujo, la recuperación de errores ni que los datos lleguen a su destino.

4.2. La fragmentación divide los datagramas IP en fragmentos de menor longitud y se realiza en el nivel inferior de la arquitectura para que sea posible recomponer los datagramas IP de forma transparente en el resto de niveles.

4.3. Fragmentación en redes Ethernet.

4.3.1. La MTU por defecto de un datagrama IP para una red de tipo Ethernet es de 1500 bytes. Así pues, si un datagrama IP es mayor a este tamaño y necesita circular por este tipo de red, será necesario fragmentarlo por medio del en caminador que dirige la red.

4.4. Información que deben contener los fragmentos para poder ser reconstruidos.

4.4.1. Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento común. Este se clonara desde un campo de la cabecera IP.

4.4.2. Información sobre su posición en el paquete inicial (paquete no fragmentado).

4.4.3. Información sobre la longitud de los datos transportados al fragmento.

4.4.4. Cada fragmento tiene que saber si existen más fragmentos a continuación.

4.5. Secciones que examinan el contenido de cada uno de los tres fragmentos individuales.

4.5.1. Fragmento inicial: La cabecera IP original se clonara para que contenga un identificador de fragmentos idéntico tanto para el primer como para el resto de fragmentos.

4.5.2. Fragmento siguiente: en el fragmento siguiente la cabecera IP de la cabecera original es clonada con un identificador de fragmento idéntico.

4.5.3. Ultimo fragmento.

5. Ataques de denegación de servicio.

5.1. Un ataque de denegación de servicio es un incidente en el cual un usuario o una organización son privadas de los servicios de un recurso que esperaba obtener. También definimos denegación de servicio como la imposibilidad de acceder a un recurso o servicio por parte de un usuario legítimo.

5.2. Ataques de denegación de servicio más representativos.

5.2.1. IP Flooding: se basa en una inundación masiva de la red mediante datagramas IP.

5.2.2. Smurf: este tipo de ataque de denegación de servicio es una variante del ataque anterior (IP Flooding), pero realizando una suplantación de las direcciones de origen y destino de una petición ICMP del tipo echo-request.

5.2.3. TCP/SYN Flooding: se aprovecha del número de conexiones que están esperando para establecer un servicio en particular para conseguir la denegación del servicio.

5.2.4. Teardrop: intentara realizar una utilización fraudulenta de la fragmentación IP para poder confundir al sistema operativo en la reconstrucción del datagrama original y colapsar así el sistema.

5.2.5. Snork: se basa en una utilización malintencionada de dos servicios típicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO.

5.2.6. Ping of death: es uno de los ataques más conocidos y que más artículos de prensa ha generado.

5.2.7. Ataques distribuidos: un ataque de denegación de servicio en el que existen múltiples equipos sincronizados de forma distribuida que se unen para atacar un mismo objetivo.

5.3. Tipos de ataques distribuidos

5.3.1. TRIN00

5.3.2. Tribe Flood Network

5.3.3. Shaft

5.3.4. Tribe Flood Network 2000

6. Deficiencias de programación.

6.1. Desbordamiento de buffer.

6.1.1. Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir información más allá de los límites de una tupla almacenada en la pila de ejecución.

6.1.2. El éxito de este ataque será posible en aquellos programas que utilizan funciones de manipulación de buffers que no comprueban los límites de las estructuras de los datos.

6.1.3. El objetivo de un ataque basado en desbordamiento de buffer en sistemas Unix suele ser la ejecución de una consola de sistema con los permisos asociados al usuario con el que se está ejecutando el servicio atacado.

6.2. Cadenas de formato.

6.2.1. Los ataques que explotan deficiencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.