IIC 2512
DCC-PUC
IIC2512 – Redes de Computadores
Seguridad enRedes
Fernando G. - Alvaro R.
1
Redes de Computadores
IIC 2512
DCC-PUC
Introducción
• Hoy en día la red provee servicios, comercio electrónico,
aplicaciones, etc.
• Conectarse a estos servicios, ¿qué tan seguro es?
• Además conectarse a otras redes implica que otros pueden
conectarse a mi red.
• El 80% de los ataques a una red provienen de personas
internas a la organización.
• ¿Cuan valiosos son mis datos?
• ¿Cuánto gastar para poder tener una red segura? ¿Cuánto
cuesta?
Fernando G. - Alvaro R.
2
Redes de Computadores
IIC 2512
DCC-PUC
Miles de casos
• Agosto – 1996: Llenan el sitio web del departamento de
•
•
•
•
•
•
defensa de EEUU con fotografías obscenas.
Octubre – 2000: Logran acceder a código fuente de Microsoft.
Junio – 2005: Vulnerabilidad en Outlook Express permite tener
el control total del sistema.
Noviembre – 2006: Jóvenes chilenos hackean sitio web de la
NASA.
Noviembre – 2007: Hackean sitio oficial del gobierno de Chile.
Mayo – 2008: Filtración de datos personales de 6 millones de
chilenos.
Últimos 5 años: Se conocen los puntajes de la PSU antes que se
muestren oficialmente.
Fernando G. - Alvaro R.
3
Redes de Computadores
IIC 2512
DCC-PUC
¿Por qué protegernos?
• Para asegurar la confidencialidad, integridad y disponibilidad
en la red.
• Confidencialidad: No queremos que externos puedan ver
nuestra información privada.
• Integridad: No queremos que externos puedan modificar
nuestra información, tanto privada como pública.
• Disponibilidad: Si entregamos un servicio, queremos tener la
certeza de que estará disponible en cualquier momento. Si
estamos conectado a una red, queremos siempre poder
conectarnos.
Fernando G. - Alvaro R.
4
Redes de Computadores
IIC 2512
DCC-PUC
Consideraciones en el diseño de la red
• Se debe tener especial cuidado en el diseño de red, ya que
esto es lo más importante a la hora de proteger la red y de
que ésta funcione en buen estado.
• Si usamos un HUB en vez de SWITCH, éste genera un
broadcast para cada transacción, lo que hace que la red
funcione más lenta y que cualquiera pueda “escuchar” mis
paquetes.
• Se deben separar las redes seguras de las no seguras.
• Se debe proteger físicamente la red, ya que no me vale de
nada instalar un Firewall, por ejemplo, si alguien viene y roba
un pc con información confidencial.
Fernando G. - Alvaro R.
5
Redes de Computadores
IIC 2512
DCC-PUC
Ataques en las Redes
• Una gran cantidad de ataques que realizan los Hackers, son
hechas usando vulnerabilidades en las redes, las cuales
muchas ya se han solucionado por nuevos protocolos, y por
ello muchos ataques han desaparecido o han evolucionado.
• Existen muchas herramientas usadas para la seguridad de las
redes, que debieran ser usadas por los administradores de
éstas, pero son aprovechadas por Hackers para cometer sus
ataques.
• A continuación se mostrarán una serie de ataques que se
realizan en las distintas capas del modelo OSI.
Fernando G. - Alvaro R.
6
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 1: Capa física
• Recordemos que en esta capa los bits se transforman en
señales, y éstas se transmiten, de forma guiada (cable coaxial,
cable de par trenzado, fibra óptica) como no guiada
(microondas, wifi, bluetooth).
• “Pinchasos” al cable
• Algunos cables pueden ser “pinchados”, de modo que se
puede sniffear toda la información. Un ejemplo antiguo es el
cable telefónico, que al pincharlo se puede escuchar toda la
conversación que viaja en forma de onda por éste, sin que los
emisores se enteren.
• Radio Jamming
• Es un ataque de denegación de servicio a las redes
inalámbricas, en donde se emiten frecuencias en un rango
similar provocando interferencias en ésta.
Fernando G. - Alvaro R.
7
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 1: Capa física
• Eavesdropping
• Técnica usada para colectar señales eléctricas o
electromagnéticas y así poder sniffear la información a nivel
físico.
• Típicamente usada para sniffear las señales
electromagnéticas que viajan por el cable telefónico.
• EL gobierno de EEUU desde los años 50 desarrolla TEMPEST,
el cual es una serie de estándares para limitar las radiaciones
electromagnéticas del equipamiento electrónico como
estaciones de trabajo, cables de red o monitores, con la
finalidad de evitar el sniffing a través de las radiaciones que el
hardware emite. En 1995 el estándar fue desclasificado, por
su elevado coste de implementación, haciendo su uso sólo a
nivel militar.
Fernando G. - Alvaro R.
8
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 1: Capa física
• Main-in-the-Middle en celulares
• La telefonía móvil es susceptible a éste tipo de ataques, ya
que no hay autenticación entre las redes y el dispositivo.
• Otras técnicas para espiar conversaciones telefónicas.
• U$S 3000
• http://www.gsmespia.com/telefono_espia_gsm.htm
Fernando G. - Alvaro R.
9
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 2: Capa de Enlace
• ARP Spoofing
• Se suplanta la identidad falseando la tabla ARP (relación IPMAC), haciendo que se envíen los paquetes a un host
atacante, en vez de su destino legítimo. Como Ethernet
trabaja con direcciones MAC, en la tabla ARP, se falsea esta
dirección.
• Envenamiento ARP
• Llamado también envenenamiento de caché o Poisoning, es
un poco más avanzado que el ataque ARP Spoofing, donde se
envenena la caché ARP de dos nodos, cuya información
queremos interceptar, y así usando técnicas de man-in-themiddle ninguno de los interlocutores se percata de esto.
• Se usan herramientas como Cain & Abel.
Fernando G. - Alvaro R.
10
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 2: Capa de Enlace
• Man-in-the-Middle
Fernando G. - Alvaro R.
11
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 3: Capa de Red
• IP Spoofing
• Envío de paquetes con una dirección IP falsa, ya que el
problema del protocolo IP es la falta de autenticación.
Típicamente usado para ataques de denegación de servicio.
• Ataque de fragmentación
• Teardrop: Se envían paquetes inválidos, lo que confunde a la
víctima y puede llegar a colgar la máquina.
• Fragmentos sobrepuestos: son usados para “saltarse” los
filtros de paquetes que sólo inspeccionan el primer paquete
de la transmisión.
Fernando G. - Alvaro R.
12
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 3: Capa de Red
• Ataques enviando paquetes ICMP
• Ataque Smurf: Es un ataque de denegación de servicio donde
se envían grandes cantidades de tráfico ICMP (ping) a la
dirección broadcast para inundar un objetivo, usando una
dirección de origen spoofed.
• Ping de la muerte: consiste en enviar muchos paquetes ICMP
muy pesados, mayor que 65.536 bytes, con el fin de colapsar
el sistema atacado. Esta técnica ya no se utiliza, ya que el bug
fue reparado de los SO, pero se usa una evolución de esta
técnica, llamada Ping Floading.
Fernando G. - Alvaro R.
13
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 4: Capa de Transporte
• Recordemos:
• Los protocolos usados para transporte son TCP y UDP.
• TCP usa el concepto “número de puerto” para identificar a las
aplicaciones emisoras y receptoras.
• Puertos conocidos: 0 – 1023
• Puertos registrados: 1024 – 49151
• Puertos dinámicos y/o privados: 19152 – 65535
Fernando G. - Alvaro R.
14
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 4: Capa de Transporte
• Escáner de puertos:
• Analiza los puertos de una máquina conectada a la red, y
detecta si un puerto está abierto, cerrado o protegido por un
cortafuego.
• SSS (Shadow Security Scanner): Es el escáner más famoso
para el ambiente Windows, que permite escanear un equipo
o un rango de IP, además localiza las vulnerabilidades y los
posibles bugs y da soluciones en un informe que se genera.
• Nessus: Es el escáner más utilizado, ya que existe para la
mayoría de los SO existentes. Realiza las mismas operaciones
que SSS.
• Las 100 herramientas más usadas en seguridad de redes:
• http://sectools.org/
Fernando G. - Alvaro R.
15
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 5: Capa de Sesión
• Esta capa nos permite la conexión logica entre dos equipos.
• Los Servicios que entrega esta capa son los siguientes:
–
–
–
–
DNS: Domain Name Server
LDAP: Lightweight directory Acces Protocol
NetBios: Network Basic Input Output
NIS/NIS+: Network Information Service
Fernando G. - Alvaro R.
16
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 5: Capa de Sesión
• Principales ataques:
– DNS Spoofing: Se interviene el caché del Servidor DNS con el fin de
agregar registros falsos y que así se produzcan respuestas falsas a las
peticiones de los clientes.
– Divulgación de información confidencial de Archivos o Registros del
DNS
– Ingeniería Social: Se crean direcciones web de bancos u otras
instituciones importantes, muy parecidas a las reales, con el fin de
engañar a los usuarios distraídos.
– LDPA: problema de débil autenticación de equipo (Resolución de
nombres).
– NetBios: Ataques de diccionario, etc.
– NIS: Conexión cliente- servidor susceptible a ataques.
Fernando G. - Alvaro R.
17
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 6: Capa de Presentación
• Se encarga de definir la presentación de la información,
codificación, etc.
• Ataques:
– Principalmente ataques criptográficos, ya que en esta capa
se definen los datos criptográficos de la información
enviada. Algunos de estos ataques se efectúan por fuerza
bruta.
– Ataques mas comunes
•
•
•
•
Ataque diccionario
Ataque cumpleaños
Crackeo de password por fuerza bruta
Ataque Man-in-the-Midle.
Fernando G. - Alvaro R.
18
Redes de Computadores
IIC 2512
DCC-PUC
Nivel 7: Capa de Aplicación
• Esta capa permite la comunicación entre las distintas
aplicaciones, no es la aplicación en si.
• Ataques aplicaciones con contenido pasivo o activo:
– HTML
– ActiveX
– JavaScript
• Ataques P2P:
– Aplicaciones y protocolos
• La mensajería instantánea es una de las mas atacadas
–
–
–
–
E-mail spoofing:
Spam: correo no deseado.
SPIM: Spam de mensajería instantánea
Redes Zombies.
Fernando G. - Alvaro R.
19
Redes de Computadores
IIC 2512
DCC-PUC
Otros Ataques
Fernando G. - Alvaro R.
20
Redes de Computadores
IIC 2512
DCC-PUC
Botnet
• Es una colección de software robots o bots, que se ejecutan
de forma autónoma, con la capacidad de infectar a otros
equipos.
• Todos los bots pueden ser controlados por el creador de la
botnet, para que estas reciban algunas señales y así cometer
su finalidad.
• Una botnet puede ser usada para el envío de Spam o para
realizar ataques DDoS.
• StormWorm, la botnet más grande, 600 millones de equipos
infectados, con una tasa de infección de 200 mil equipos
diario.
• DDoS más famoso: Ataque a Estonia en mayo del 2007.
Fernando G. - Alvaro R.
21
Redes de Computadores
IIC 2512
DCC-PUC
DDoS usando Botnet
Fernando G. - Alvaro R.
22
Redes de Computadores
IIC 2512
DCC-PUC
IIC2512 – Redes de Computadores
Seguridad en Redes
Fernando G. - Alvaro R.
23
Redes de Computadores
Descargar

Capa de Red