Identificación de ataques. Técnicas de intrusión

Anuncio
IDENTIFICACIÓN DE ATAQUES TÉCNICAS DE
INTRUSIÓN
Los atacantes de red suelen utilizar para realizar sus intrusiones un método
formado por las siguientes fases:
 Recoger información. De sitios Web, de BDs de nombres registrados, de
BDs de direcciones IP (RIPE en Europa e Internic en EEUU).
 Explorar los puertos de direcciones IP. El scanner intenta conectarse a
todos los servicios deseados en todas las máquinas que pertenecen a un
intervalo de direcciones concreto, el resultado es un listado de máquinas
accesibles y puertos abiertos en estas máquinas. La tecnología firewall es
una buena contramedida contra esta fase de los ataques.
 Enumeración de los servicios encontrados. Se trata de encontrar
información acerca de los sistemas operativos, fabricantes del software y
versión del software.
 Intrusión Se buscan vulnerabilidades conocidas que no están parcheadas.
Vulnerabilidades conocidas se pueden encontrar en sitios Web como
securityfocus. com, secunia.com, etc. Las más recientes vulnerabilidades
se publican en listas de correo como bugtraq y ntbugtraq. Los scanners de
seguridad y analizadores de vulnerabilidades pueden ayudarnos en dicha
tarea.
 Escalada de privilegios. Por ejemplo instalar un script que el
administrador ejecute inadvertidamente, por ejemplo regedit.cmd.
 Saqueo. Robar los hashes de contraseñas, SAM bajo Windows y
/etc/shadow bajo Unix. Buscar información interesante, documentos o
correos electrónicos que contienen contraseñas.
 Eliminar posibles trazas. Modificar los logs con herramientas
automatizadas. Disimular la intrusión con ayuda de rootkits (un rootkit
es un paquete software que sustituye programas del sistema de modo
que enmascara la presencia del atacante,
 similar a virus sigilosos).
 Creación e instalación de puertas traseras.
El keylogger
Es un diagnóstico utilizado en el desarrollo de software que se encarga de
registrar las pulsaciones que se realizan sobre el teclado, para
memorizarlas en un fichero y/o enviarlas a través de Internet.
El registro de lo que se teclea puede hacerse tanto con medios de
hardware como de software. Los sistemas comerciales disponibles
incluyen dispositivos que pueden conectarse al cable del teclado (lo
que los hace inmediatamente disponibles pero visibles si un usuario lo
revisa) y al teclado mismo (que no se ven pero que se necesita algún
conocimiento de como soldarlos).
IDENTIFICACIÓN DE VULNERABILIDADES
Barrido de puertos
Con esta técnica, el intruso pretende obtener una lista de equipos
activos dentro de un rango de direcciones y conocer los puertos
abiertos que cada máquina tiene.
Los barridos de puertos son una señal inconfundible de que algo esta
mal en una red. La detección temprana de que esta sucediendo
uno de estos puede ayudar a los administradores a vigilar más de
cerca algún punto en particular de la red. Existen varias técnicas
de barrido de puertos, pero todas comparten un mismo grupo de
información con el cual se puede crear un pequeño y simple
algoritmo que rastree los patrones de actividad asociadas al
barrido de puertos.
Identificación de Firewall
Los atacantes utilizan diversos métodos para reconocer la existencia
de firewalls en una red:
1 Traceroute. Lista los routers en el camino hasta el destino con lo cual
se pueden monitorizar las posibles direcciones IP de algunos
firewalls. El campo TTL se decrementa al pasar por cada
dispositivo L3, cuando llega a cero se devuelve un mensaje ICMP
de TTL expirado. Se puede enviar a un firewall petición de eco
ICMP, paquetes UDP o TCP.
2 Análisis del paquete de respuesta. Se trata de comparar las
respuestas de puertos abiertos y cerrados. El paquete IP a un
puerto cerrado, si da prohibido pone de manifiesto la existencia de
un firewall.
3 Exploración de puertos del firewall para intentar identificar el tipo de
firewall, versión del sistema operativo, fabricante, etc.
EXPLOTACIÓN Y OBTENCIÓN DE ACCESO A
SISTEMAS Y REDES
Robo de identidad
El robo de identidad ocurre cuando alguien usa, sin su autorización,
su nombre, número de Seguro Social, número de tarjeta de crédito u
otra información personal para cometer fraude u otros delitos. Por
todo esto, es muy importante proteger su información personal.
Para minimizar la posibilidad de que le roben su identidad Coloque
una “alerta de fraude” en sus informes crediticios y revíselos
atentamente. Una alerta de fraude le informa a los otorgantes de
crédito que sigan ciertos procedimientos antes de abrir cuentas
nuevas a su nombre o antes de efectuar cambios en sus cuentas
existentes.
Vulnerabilidades en el Software
Una vulnerabilidad de software se trata de un fallo de diseño de alguno de
los programas que pueda haber instalados en el ordenador, que
permite que un virus pueda realizar alguna acción maliciosa sin
necesidad de que el usuario tenga abrir e-mails infectados, ejecutar
archivos sospechosos…, o que abre las puertas de par en par a
usuarios maliciosos que quieran introducirse en nuestro equipo.
La mejor defensa ante una vulnerabilidad de software es la información.
Ésta puede conseguirse visitando periódicamente las webs de los
fabricantes de los programas instalados en nuestro equipo y
descargando las últimas actualizaciones, o a través de una suscripción
a algún boletín sobre seguridad informática.
Ataques a Contraseñas
Son las diversas técnicas que incluyen cualquier acción dirigida a romper,
descifrar o borrar contraseñas o cualquier mecanismo de seguridad de
las mismas. En cuanto a seguridad el ataque a contraseña son lo
primero porque pone en peligro a todo el sistema.
Exige un enfoque a dos niveles:
 Aplicar herramientas avanzadas para reforzar las contraseñas.
 Educar a los usuarios en políticas de contraseña básicas.
Ataques a redes inalámbricas
Ataques pasivos
Sniffing
 El tráfico de redes inalámbricas puede espiarse con mucha más
facilidad que en una LAN
 Basta con disponer de un portátil con una tarjeta inalámbrica
 El tráfico que no haya sido cifrado, será accesible para el atacante y
el cifrado con WEP también
Análisis de tráfico
 El atacante obtiene información por el mero hecho de examinar el
tráfico y sus patrones: a qué hora se encienden ciertos equipos,
cuánto tráfico envían, durante cuánto tiempo, etc.
Ataques activos
Suplantación
Mediante un sniffer para hacerse con varias direcciones MAC válidas
 El análisis de tráfico le ayudará a saber a qué horas debe
conectarse suplantando a un usuario u otro
 Otra forma consiste en instalar puntos de acceso ilegítimos (rogue)
para engañar a usuarios legítimos para que se conecten a este AP
en lugar del autorizado
Modificación
 El atacante borra, manipula, añade o reordena los mensajes
transmitidos
Reactuación
 Inyectar en la red paquetes interceptados utilizando un sniffer para
repetir operaciones que habían sido realizadas por el usuario
legítimo
Denegación de servicio
 El atacante puede generar interferencias hasta que se produzcan
tantos errores en la transmisión que la velocidad caiga a extremos
inaceptables o la red deje de operar en absoluto.
 Otros ataques: inundar con solicitudes de autenticación, solicitudes de
deautenticación de usuarios legítimos, tramas RTS/CTS para silenciar
la red, etc.
Descargar