Autor Tema: Métodos y tipos de ataque Parte II [Historia]  (Leído 438 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Rock Lee

  • Administrador
  • *
  • Mensajes: 1121
    Ingreso: Enero de 2014
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Métodos y tipos de ataque Parte II [Historia]
« on: 03 Noviembre de 2016, 12:52 pm »
OTRA FORMA DE "COLGAR" UN EQUIPO
Otro método para colgar un equipo es el denominado Land attack, en el que se genera un paquete con direcciones IP y puertos de fuente y destino idénticos. Existen diferentes variantes para este ataque. Una de ellas usa idénticas direcciones IP de fuente y destino, pero no números de puertos.
Fue esta variación la que utilizó NSTL contra el primer par de productos testeados y los dos identificaron el tráfico como un land attack. El tercer producto que se probó, el Netranger, de Cisco, identificó a un land attack solamente (y correctamente) cuando ambas direcciones y números de puerto eran idénticos. El ingeniero de Cisco agregó enseguida una nueva regla, que detectaba a los paquetes con direcciones idénticas nada más. Una vez más, esto pone de manifiesto la importancia de saber qué es lo que se debe buscar.
Un ataque característico de los equipos con Windows es el Supernuke (llamado también a veces Winnuke), que hace que los equipos que escuchan por el puerto UDP 139 se cuelguen. Netbios es un protocolo integral para todas las versiones en red de Windows. Para transportar Netbios por IP, Microsoft ideó el Windows Networking (Wins), un esquema que enlaza el tráfico Netbios a puertos TCP y UDP 137, 138 y 139. Al enviar a estos puertos fragmentos UDP, se pueden arruinar equipos Windows que no estén arreglados o disminuir la velocidad del equipo durante un largo tiempo.
El ataque Teardrop 2 al igual que el Supernuke, los ataques Teardrop 1 y Teardrop 2 afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Windows NT 4.0 de Microsoft era especialmente vulnerable a este ataque, aun cuando se ha aplicado el Service Pack 3. La empresa hizo un parche del Teardrop 1, pero se mostró vulnerable al Teardrop 2, que supuso colocar una bandera de "urgente" en la cabecera de un fragmento TCP. Hasta el lanzamiento de un hot fix en enero de 1998. En cuanto al ataque Dig, el actual lanzamiento del Realsecure, de ISS no vio el ataque del Teardrop 2.

CARACTERÍSTICAS DE LOS IDS
Varias cualidades importantes de los IDS los ubican bastante más allá de los "network management systems", los "routers", los "firewalls" y otros medios de protección de redes. Todos los productos, con excepción del Sessionwall-3, de Abirnet Inc. (Dallas), constan de un monitor y una "management station" (estación de administración) que recoge información de monitores (Sessionwall-3 es manejado de forma local).
A diferencia de los productos de monitoreo remoto (RMON), los IDS no usan SNMP -que en estos momentos carece de rasgos de seguridad claves- para transmitir información del monitor al gerente. En lugar de ello, los IDS utilizan diversos medios de autenticación y codificado. Todas las interfases de monitoreo de los productos, con excepción de ID-Trak, de Internet Tools Inc. (Fremont, California) son pasivas, de forma tal de que los agresores no estarán en condiciones de detectar nada si hay un IDS escuchando. Los productos IDS que se probaron incluyen también rutinas predefinidas para detectar ataques específicos, y permiten a vendedores y usuarios agregar rutinas que detectan ataques nuevos apenas se los descubre. De todas maneras, existen grandes diferencias en cuanto a qué tipo de definiciones están disponibles para los usuarios.

LAS REDES NECESITAN CENTINELAS CADA VEZ MÁS ATENTOS
Atender de manera eficiente la seguridad de una red se hace cada vez más difícil. A pesar de que las herramientas se mejoran día a día, los hackers también aumentan su nivel de conocimientos técnicos y de sofisticación. En general, las empresas y las organizaciones son cada vez más conscientes de los riesgos y permanentemente tratan de aumentar los niveles de protección. Pero la lucha, como dice el tango, "es cruel y es mucha".

VULNERAR PARA PROTEGER
Los hackers utilizan diversas técnicas para quebrar los sistemas de seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder colarse en ella. El trabajo de los testers no difiere mucho de esto. En lo que sí se diferencia, y por completo, es en los objetivos.
Mientras que los hackers penetran en las redes para dañar o robar información, un testers lo hace para poder mejorar los sistemas de seguridad. Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos más poderosos con los que se cuenta hoy para generar barreras cada vez más eficaces. En cuanto a las barreras de seguridad, un testers explica: "Están totalmente relacionadas con el tipo de información que se maneja en cada organización. Por consiguiente, según la información que deba ser protegida, se determinan la estructura y las herramientas de seguridad. No a la inversa".
Pero las herramientas no son sólo técnicas. El soft y el hard utilizados son una parte importante, pero no la única. A ella se agrega lo que se denomina "políticas de seguridad internas", que cada empresa u organización debe generar. La explicación del porqué viene de un dato de la realidad. Según un reciente informe de la publicación estadounidense InformationWeek, un porcentaje sustancial de intrusiones en las redes de las empresas (ya sean chicas, medianas o grandes) proviene de ataques internos. Es decir, los mismos empleados hackean a su propia organización. Y aquí es donde cobran especial importancia las políticas de seguridad que se establezcan, además del aspecto técnico.

LOS MALOS TAMBIÉN SABEN MUCHO
El nivel de importancia que se le da a la cuestión de la seguridad, esto significa que las empresas son cada vez más conscientes del tema y no escatiman esfuerzos para evitar ser vulneradas. Esta conclusión lleva a pensar que la seguridad creció, pero esto no es así, porque simultáneamente aumentó y se difundieron la tecnología y los conocimientos.

LA INVERSIÓN
Los costos de las diferentes herramientas de protección se están haciendo accesibles, en general, incluso para las organizaciones más pequeñas. Esto hace que la implementación de mecanismos de seguridad se dé prácticamente en todos los niveles. Empresas grandes, medianas, chicas y las multinacionales más grandes. Todas pueden acceder a las herramientas que necesitan y los costos (la inversión que cada empresa debe realizar) van de acuerdo con la empresa.
"Pero no es sólo una cuestión de costos, Los constantes cambios de la tecnología hacen que para mantener un nivel parejo de seguridad cada empresa deba actualizar permanentemente las herramientas con las que cuenta. Como los hackers mejoran sus armas y metodologías de penetración de forma incesante, el recambio y la revisión constantes en los mecanismos de seguridad se convierten en imprescindibles. Y éste es un verdadero punto crítico".
Según testers, "esto es tan importante como el tipo de elementos que se usen". Sin duda, éstos deben ser las que mejor se adapten al tipo de organización. Pero tan importante como eso es el hecho de conocer exactamente cómo funcionan y qué se puede hacer con ellos. "Es prioritario saber los riesgos que una nueva tecnología trae aparejados".

FIREWALLS
¿Se debe elegir entre accesibilidad sobre seguridad?. Muchas companias piensan que ellos deben dejar que la informacion fluya libremente en su red. pero no piensan lo mismo sobre su dinero cuando lo depositan en el banco. El Firewall logra el balance optimo entre seguridad y accesibilidad, de esta manera la empresa puede obtener todas las ventajas que ofrece el libre manejo de su informacion sabiendo que esta se encuentra completamente protegida.
El firewall mantiene separada la red interna (de la cual se tiene control) de diferentes tipos de redes externas (de las cual NO tienes control). El firewall controla la entrada y salida de trafico protegiendo la red de intromisiones indeseadas. La función del firewall es ser una solida barrera entre la red y el mundo exterior. Este permite habilitar el acceso a usuarios y servicios aprobados, algunos de las prestaciones que le brindan son son:
  • Previene que usuarios no autorizados obtengan acceso a su red
  • Provee acceso transparente hacia Internet a los usuarios habilitados
  • Asegura que los datos privados sean transferidos en forma segura por la red publica
  • Ayuda a sus administradores a buscar y reparar problemas de seguridad
  • Provee un amplio sistema de alarmas advirtiendo intentos de intromisión a su red
Entre otras cosas algunas características técnicas son:
  • Dos tipos de configuración, local y remota
  • Configuración remota por medio de una interfaces gráfica que corre sobre sistema operativo Windows
  • Configuracion local por medio de una interface "ncurses" la cual se utiliza desde la consola del firewall
  • Permite el uso de aplicaciones basados en servicios tales como RADIUS y TACACS+ los cuales se utilizan en tasación de tiempos de conexión y uso de servicios
  • Soporta el uso de proxy-server para la configuración de su red interna
  • Conexiones de todos los servicios comunes de TCP/IP a través del firewall de manera totalmente transparente
  • Soporta servicios multimedia, incluyendo Real Audio, CuSeeMe, Internet Relay Chat, etc...
  • Amplio sistema de logeo de conexiones entrantes/salientes totalmente configurable
  • Auto configuración de servidores que proveen servicios hacia el exterior de la red interna por medio de normas de seguridad
  • Múltiples alarmas de intentos de ingreso fallidos hacia la red
  • Sistema de alarmas configurable que permite el envió de avisos por medio de FAX, Pager, Mail, Voice Mail y advertencia visuales
  • Filtro de acceso de conexiones permitidas por interfaces no permitidas, este filtro es importante para contra restar técnicas IP-SPOOFING
  • La configuración del firewall se puede hacer mediante el mismo server o desde un servidor remoto corriendo un sistema de administración especifico que utiliza para esta tarea una interface dedicada o TUNNELING (comunicación encriptada)
  • Soporte de comunicaciones encriptadas entre dos FIREWALL (tunneling) en forma totalmente transparente usando algoritmo IDEA/3DES, no es necesario que entre las dos puntas de la comunicacion se encuentren dos FIREWALL tambien se puede efectuar la conexion con cualquier servidor corriendo sistema operativo de tipo BSD, SunOS, Solaris, etc por medio de un daemon que el Firewall provee para cada sistema operativo
  • Los módulos de alarmas corren tanto dentro del FIREWALL (centralizador de alarmas) como también en los servidores de su red para poder brindar detalles mas específicos. El sistema de configuración permite agregar servicios no estándar a su red y usar estos con el modulo de TUNNELING (comunicación encriptada) para aumentar su seguridad

ES LA SEGURIDAD EN LA RED PROBLEMA CULTURAL MÁS QUE TECNOLÓGICO
Panelistas participantes de una reunión mensual, coinciden en que el 80 por ciento de las violaciones a la información se da dentro de las organizaciones. A medida que el comercio de las empresas vía Internet se hace más generalizado, la inseguridad en las transacciones comerciales se vuelve un problema crucial y en constante crecimiento que debe ser contemplado por la alta gerencia en la toma de decisiones y en la complementación de soluciones.
Al hablar sobre la "Seguridad en Internet" nos referimos al gran índice de inseguridad interna de la infraestructura informática de las empresas, así como la falta de una cultura informática necesaria para contemplar estos problemas. El alto grado de vulnerabilidad de la información transferida por la Internet y la facilidad de ataques externos e internos que se traducen en pérdidas que ascienden hasta miles de dólares en términos de información alterada, robada o perdida.
Según una investigación realizada en 1700 empresas por la empresa, el 75 por ciento de estas han tenido algún problema de seguridad. De éstas el 40 por ciento ha enfrentado problemas de seguridad debido a la falta de apoyo de la alta dirección para invertir en medidas y herramientas de seguridad y sólo el 38 por ciento se debió a la falta de herramientas adecuadas.
Una alternativa es el uso de una llave pública y una privada mediante el protocolo de seguridad Securet Socket Layer (SSL) que autentifica tanto al usuario que envía como al que recibe la información, porque es durante este proceso de transmisión que ocurren la mayor parte de las violaciones en la seguridad.
Más que un problema de tecnología, la seguridad en la transmisión de la información por la Red se debe a la falta de cultura de las organizaciones y de las personas que la integran. El eslabón más débil de esta cadena en la seguridad la constituye el humano y no el tecnológico, lo cual destaca la importancia de tener una cultura de seguridad, porque no existe en muchas empresas un responsable de la seguridad.
A todos los usuarios se les debe divulgar las políticas de seguridad, además de hacer constantes auditorias para controlar que sean las adecuadas al momento que vive la empresa. Lo que se necesita no es solamente prevenir un ataque en la seguridad, sino ser capaces de detectar y responder a esta agresión mientras ocurre y reaccionar ante la misma. Es importante destacar que no existe un control de seguridad único, sino que las empresas deben contar con diversas capas de seguridad en todos los niveles de su información para poder así detectar el problema en algunos de estos puntos antes de que llegue a la información crucial.

La seguridad en las redes: hackers, crackers y piratas
Junto a los avances de la informática y las comunicaciones, ha surgido una hueste de apasionados de estas tecnologías, que armados con sus ordenadores y conexiones a redes como Internet, ha logrado humillar a instituciones tan potencialmente seguras como el Pentágono y la NASA. La notoriedad de sus hazañas, su juventud y la capacidad de dejar en evidencia a instituciones muy poderosas, les hace aparecer ante la opinión pública rodeados de un halo de romanticismo. Pero, ¿quiénes son?, ¿son peligrosos para la sociedad?, ¿deben ser perseguidos?.
Podemos encontrarnos con diferentes términos para definir a estos personajes: hackers, crackers, piratas, etc..., estando normalmente condicionado el calificativo a los objetivos y a los efectos de sus ataques a los sistemas. El término hacker, por ejemplo, se utiliza normalmente para identificar a los que únicamente acceden a un sistema protegido como si se tratara de un reto personal, sin intentar causar daños. Los crackers, en cambio, tienen como principal objetivo producir daños que en muchos casos suponen un problema de extrema gravedad para el administrador del sistema. En cuanto a los piratas, su actividad se centra en la obtención de información confidencial y software de manera ilícita.
Es muy difícil establecer perfiles de estas personas, porque salvo en los casos en que han saltado a la luz pública como resultado de sus actividades, en su conjunto forman un círculo cerrado e impenetrable. Una aproximación podría ser la de un joven, bastante inteligente, con necesidad de notoriedad, inclinaciones sectarias, y en muchos casos, algo de inadaptación social. Su principal motivación es la de acceder a sistemas protegidos de forma fraudulenta, en una escala que va desde la mera constancia de su éxito, hasta la destrucción de datos, obtención de información confidencial, colapso del sistema, etc. Normalmente los objetivos más apetecibles son los sistemas relacionados con la seguridad nacional, defensa e instituciones financieras, pero ante las posibles consecuencias legales de estos actos optan por otros organismos públicos, las universidades y las empresas.
Existe una serie de grupos que tienen un carácter supranacional, y que se extiende a través de su hábitat natural: Internet. A través de este medio intercambian información y experiencias, al mismo tiempo que logran un cierto grado de organización. Esto ha disparado la alarma en algunos ámbitos gubernamentales, dado que una acción coordinada que afectara a varios sistemas estratégicos de un país puede ser igual de desestabilizadora que las actividades terroristas. En España tenemos ejemplos recientes, como es el caso de Hispahack, que realizó ataques a varios sistemas, incluidos los de algunas universidades. También se ha creado en la Guardia Civil un grupo especializado en todo tipo de delitos informáticos para identificar e investigar a estos modernos delincuentes.
En la ULL, en cambio, hasta este momento no ha existido un riesgo importante ya que, por una parte, había un gran retraso tecnológico en nuestras infraestructuras y, por otro, los sistemas formaban parte de redes que por sus características eran impermeables a dichos ataques. Pero la situación ha cambiado: la ejecución del Plan Integral de Comunicaciones ha elevado tanto nuestras posibilidades que nos permite la integración en una única red de todos nuestros sistemas informáticos, con lo que conlleva a la hora de prestar servicios a los usuarios. Esto tiene su contrapartida, y es que el número de servicios que se ofrecen es directamente proporcional a los riesgos que se asumen, y sobre todo porque el primer enemigo al que habría que considerar podrían ser los propios usuarios.
De todas formas, el exceso de prudencia es contrario a la innovación y, por tanto, se están adoptando medidas que garanticen una cobertura suficiente: la adquisición de herramientas de software para la gestión de red, firewalls (cortafuegos, programas especializados en la protección de redes y sistemas), y software de auditoria; la elaboración de planes de seguridad tanto física como lógica y de las políticas correspondientes; y, por último, la mentalización de los usuarios para el correcto uso de los servicios que se prestan. De todas formas, la total seguridad nunca se podrá alcanzar, a menos que coloquemos los sistemas detrás de un muro infranqueable. Pero entonces nos encontraríamos con una red que es una auténtica autopista, pero por la que sólo circularían el correo electrónico y las páginas web. Además, esto significa un incentivo para que los administradores de los sistemas y responsables de seguridad seamos mejores en nuestro trabajo, ya que cada ataque con éxito pone en evidencia nuestras deficiencias.

Anterior primera parte » Métodos y tipos de ataque Parte I [Historia]
Sigue en la ultima parte » Métodos y tipos de ataque Parte III [Historia]
« Última Modificación: 03 Noviembre de 2016, 01:02 pm por Rock Lee »