La implementación de seguridad en cómputo no sólo requiere recursos tecnológicos, se deben considerar procesos de entrenamiento y recursos humanos especializados, esta meta es difícil de alcanzar debido a los constantes cambios. Con el paso de los años se han desarrollado nuevos ataques cada vez más sofisticados para explotar vulnerabilidades tanto en el diseño de las redes TCP/IP, en la configuración, operación de los equipos y sistemas que conforman las redes conectadas a internet. Estos nuevos métodos de ataque se han automatizado, por lo que en muchos casos sólo se necesita un conocimiento técnico muy básico para realizarlos. Cualquier usuario con una conexión a internet tiene acceso hoy en día a numerosas aplicaciones para realizar estos ataques y las instrucciones necesarias para ejecutarlos.
Es importante tener en cuenta que para implementar un esquema de seguridad antes se debe contar con una administración bien definida, el siguiente paso de la administración es la planeación de un esquema de seguridad el cual es determinado con base en un análisis del sistema actual, los recursos económicos, las necesidades de la organización y la aprobación de la gerencia. Realizando un análisis de riesgos posterior contemplando la arquitectura de la red, políticas de seguridad actuales, mecanismos de detección de intrusos, robos, desastres naturales, concientización de usuarios, seguridad interna, confidencialidad, seguridad en redes inalámbricas y mantenimiento principalmente, dentro de este punto se debe contemplar tanto la seguridad física como la lógica para asegurar la red y cada host, generando lo que actualmente se conoce como seguridad convergente.
En seguridad informática, un ataque de denegación de
servicios, también llamado ataque DoS (de las
siglas en inglés Denial of Service) o DDoS (de Distributed Denial of Service),
es un ataque a un sistema de computadoras o red que causa
que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente
provoca la pérdida de la conectividad de la red por el consumo del ancho de
banda de la red
de la víctima o sobrecarga de los recursos computacionales del sistema de la
víctima. Un ejemplo notable de este tipo de ataque se produjo el 27 de
marzo de 2013, cuando
un ataque de una empresa a otra inundó la red de spam provocando
una ralentización generalizada de Internet e incluso llegó a afectar a puntos clave como el nodo
central de Londres.1
Se genera
mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando
servicios; por eso se le denomina "denegación", pues hace que el
servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por
los llamados crackers para dejar fuera de servicio servidores objetivo.
Una
ampliación del ataque DoS es el llamado ataque distribuido de
denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo
de información desde varios puntos de conexión. La forma más común de realizar
un DDoS es a través de una botnet, siendo esta
técnica el ciberataque más usual y eficaz por su sencillez tecnológica.
En
ocasiones, esta herramienta ha sido utilizada como un buen método para
comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse
inestable y afectar a los servicios que presta. Un administrador de redes puede
así conocer la capacidad real de cada máquina.
Métodos de ataque
Un ataque
de denegación de servicio impide el uso legítimo de los usuarios al usar un
servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen
algo en común: utilizan la familia de protocolos TCP/IP para conseguir su propósito.
Un ataque DoS puede ser perpetrado de varias formas. Aunque básicamente consisten en :
- Consumo de recursos computacionales, tales como ancho de banda, espacio de disco, o tiempo de procesador.
- Alteración de información de configuración, tales como información de rutas de encaminamiento.
- Alteración de información de estado, tales como interrupción de sesiones TCP (TCP reset).
- Interrupción de componentes físicos de red.
- Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima, de manera que ya no puedan comunicarse adecuadamente.
Inundación SYN (SYN Flood)
Principios de TCP/IP
Cuando
una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto a la
petición real. Estos datos forman la cabecera de la solicitud. Dentro de la
cabecera se encuentran unas señalizaciones llamadas Flags (banderas). Estas
señalizaciones (banderas) permiten iniciar una conexión, cerrarla, indicar que
una solicitud es urgente, reiniciar una conexión, etc. Las banderas se incluyen
tanto en la solicitud (cliente), como en la respuesta (servidor).
Para
aclararlo, veamos cómo es un intercambio estándar TCP/IP:
· 1
Establecer Conexión: El cliente envía una Flag SYN; si el servidor acepta la
conexión, éste debería responderle con un SYN/ACK; luego el cliente debería
responder con una Flag ACK.
1-Cliente --------SYN-----> 2 Servidor4-Cliente <-----SYN/ACK---- 3 Servidor5-Cliente --------ACK-----> 6 Servidor
· 2
Resetear Conexión: Al haber algún error o perdida de paquetes de envío se
establece envío de Flags RST:
1-Cliente -------Reset-----> 2-servidor4-Cliente <----Reset/ACK---- 3-Servidor5-Cliente --------ACK------> 6-Servidor
La
inundación SYN envía un flujo de paquetes TCP/SYN (varias peticiones con Flags
SYN en la cabecera), muchas veces con la dirección de origen falsificada. Cada
uno de los paquetes recibidos es tratado por el destino como una petición de
conexión, causando que el servidor intente establecer una conexión al responder
con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK (Parte
del proceso de establecimiento de conexión TCP de 3 vías). Sin embargo, debido
a que la dirección de origen es falsa o la dirección IP real no ha solicitado
la conexión, nunca llega la respuesta.
Estos
intentos de conexión consumen recursos en el servidor y copan el número de
conexiones que se pueden establecer, reduciendo la disponibilidad del servidor
para responder peticiones legítimas de conexión.
SYN
cookies provee un
mecanismo de protección contra Inundación SYN, eliminando la reserva de
recursos en el host destino, para una conexión en momento de su gestión
inicial.
Inundación ICMP (ICMP Flood)
Es una
técnica DoS que pretende agotar el ancho de banda de la víctima. Consiste en
enviar de forma continuada un número elevado de paquetes ICMP Echo request (ping) de
tamaño considerable a la víctima, de forma que esta ha de responder con
paquetes ICMP Echo reply (pong) lo que supone una
sobrecarga tanto en la red como en el sistema de la víctima.
Dependiendo
de la relación entre capacidad de procesamiento de la víctima y el atacante, el
grado de sobrecarga varía, es decir, si un atacante tiene una capacidad mucho
mayor, la víctima no puede manejar el tráfico generado.
SMURF
Existe una variante a ICMP Flood denominado Ataque Smurf que amplifica considerablemente los efectos de un ataque ICMP.
Existen
tres partes en un Ataque Smurf: El atacante, el intermediario y la víctima
(comprobaremos que el intermediario también puede ser víctima).
En el
ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping) a una
dirección IP de broadcast, usando como dirección IP origen, la dirección de la
víctima (Spoofing).
Se espera que los equipos conectados respondan a la petición, usando Echoreply, a la máquina origen
(víctima).
Se dice
que el efecto es amplificado, debido a que la cantidad de respuestas obtenidas,
corresponde a la cantidad de equipos en la red que puedan responder. Todas
estas respuestas son dirigidas a la víctima intentando colapsar sus recursos de
red.
Previa la realización a un ataque es necesario conocer el objetivo del ataque. Para realizar esta primera fase es necesario obtener la mayor información posible del equipo.
Existen técnicas mas avanzadas que permiten extraer información mas precisa del sistema o de una red en concreto. La utilización de estas técnicas se conoce con el nombre de fingerprinting, es decir obtención de la huella identificativa de un sistema o equipo conectado a la red.
- Identificaion de mecanismos de control TCP
- Identificacion de respuestas ICMP
- ICMP echo
- ICMP timestamp
- ICMP information
Ataques Contra Redes TCP/IP
Previamente a la planificación de un posible ataque contra uno o más equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar, para obtener toda la información posible, será necesario utilizar una serie de técnicas.
- Utilización de herramientas de administración. Que es la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un sistema como, por ejemplo: ping, traceroute, whois, finger, rusers, nslookup, rcpinfo, telnet, dig, etc.
- Búsqueda de huellas identificativas. La utilización de estas técnicas se conoce como el nombre de fingerprinting, es decir, obtención de la huella identificativa de un sistema o equipo conectado a la red.
- Explotación de puertos. Puede permitir el reconocimiento de los servicios ofrecidos por cada uno de los equipos encontrados en la red escogida. Con esta información, el atacante podría realizar posteriormente una búsqueda de exploits, que le permitieran un ataque de intrusión en el sistema analizado.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le denomina “denegación”, pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados crackers para dejar fuera de servicio servidores objetivo.
Una ampliación del ataque DoS es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el cibera taque más usual y eficaz por su sencillez tecnológica.
En ocasiones, esta herramienta ha sido utilizada como un buen método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y afectar a los servicios que presta. Un administrador de redes puede así conocer la capacidad real de cada máquina.
Métodos de ataque
Un ataque de denegación de servicio impide el uso legítimo de los usuarios al usar un servicio de red. El ataque se puede dar de muchas formas. Pero todas tienen algo en común: utilizan la familia de protocolos TCP/IP para conseguir su propósito.Un ataque DoS puede ser perpetrado de varias formas. Aunque básicamente consisten en :
- Consumo de recursos computacionales, tales como ancho de banda, espacio de disco, o tiempo de procesador.
- Alteración de información de configuración, tales como información de rutas de encaminamiento.
- Alteración de información de estado, tales como interrupción de sesiones TCP (TCP reset).
- Interrupción de componentes físicos de red.
- Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima, de manera que ya no puedan comunicarse adecuadamente.
Principios de TCP/IP
Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto a la petición real. Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas señalizaciones llamadas Flags . Estas señalizaciones (banderas) permiten iniciar una conexión, cerrarla, indicar que una solicitud es urgente, reiniciar una conexión, etc. Las banderas se incluyen tanto en la solicitud (cliente), como en la respuesta (servidor).
Para aclararlo, veamos cómo es un intercambio estándar TCP/IP:
Establecer Conexión: El cliente envía una Flag SYN; si el servidor acepta la conexión, éste debería responderle con un SYN/ACK; luego el cliente debería responder con una Flag ACK.
Fuentes de informacion: http://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio
http://es.wikipedia.org/wiki/Modelo_TCP/IP
No hay comentarios:
Publicar un comentario