Ing. En Sistemas Computacionales
Páginas: 7 (1665 palabras)
Publicado: 6 de diciembre de 2012
Orientados a Conexión
Autenticación por IP
Confía en la dirección/es IP para comprobar si un paquete coincide con nuestras reglas. Se puede falsear (spoofing) pero hay que tener en cuenta algunas consideraciones.
- No se puede realizar si el sistema operativo tiene implementado correctamente la generación del ISN (Initial Sequence Number). Generadores de ISN vulnerables a ataque son W95, W98,WMe, SpeedStream, 3Com Office Connect, Zyxell.
- El spoofing se realiza normalmente a ciegas, por lo que es costoso si se tiene que implementar un protocolo orientado a conexión (TCP). No se puede realizar un ataque orientado a conexión si el sistema operativo o cortafuegos perimetral no tiene abierto algún puerto.
- Es sencillo utilizar spoofing para realizar ataques de denegación de serviciono orientados a conexión (UDP, ICMP , TCP Syn).
Ejemplo:
La conocida vulnerabilidad del Sygate y Sygate Pro 5.0
Si se utiliza como dirección origen 127.0.0.1 se puede acceder a todos los puertos protegidos por el cortafuegos. Esto hace posible ataques orientados a conexión y lo hace vulnerable a TODOS los ataques de denegación de servicio no orientados a conexión. En contra de lo quepone en el aviso, Sygate Pro sí los detecta, pero no los para a no ser que se ponga una regla expresa para denegar esa IP. Puede que algún programa que use la interfaz localhost (127.0.0.0 - 127.0.0.255) no funcione correctamente pero no son comunes.
Autenticación por puerto
Se basa en los puertos origen y destino para comprobar si un paquete coincide con una de nuestras reglas. Se puede falsearteniendo en cuenta estas consideraciones:
- El puerto origen de un ataque solo puede ser mayor que 1024 en una máquina Linux/Unix atacante.
- El puerto origen de un ataque puede ser cualquier puerto en una máquina Windows atacante.
Ejemplo:
Fallo de los cortafuegos Kerio y Sygate Pro al permitir el paso si el puerto origen es un puerto determinado.
Si intentamos acceder a los puertos UDPde un PC protegido por Sygate Pro con y sin reglas por defecto con un puerto origen 137 o 138 tendremos pleno acceso a todos los puertos UDP abiertos en el cortafuego.
Autenticación por aplicación
Confía en la identificación correcta de aplicaciones que producen el tráfico para hacer coincidir una regla o no. A pesar de que puede llegar a ser muy segura también se puede eludir. En NT, W2000y XP, simplemente añadiendo las claves correspondientes en el registro para que la aplicación que quiere comunicarse sea cargada por "svchost.exe", el cuál suele estar permitido en el cortafuego. Esto último, en combinación con las anteriores formas de saltarse las autenticaciones puede permitir a un programa comunicarse a través de un cortafuegos. Esto afectaría a todos.
Ataque ICMP
El ICMP(Protocolo de mensajes de control de Internet) es un protocolo de Internet muy conocido y utilizado. Lo usan fundamentalmente equipos en red para enviar distintos mensajes de error. Los ataques remotos intentan aprovecharse de los puntos débiles del protocolo ICMP. El protocolo ICMP está diseñado para una comunicación unidireccional que no requiera autentificación. De esta forma, los ataques remotospueden activar los ataques denominados DoS (por denegación de servicio), o los ataques que proporcionan a individuos no autorizados acceso a paquetes entrantes y salientes. Entre los ejemplos más habituales de ataques ICMP se encuentran los ataques “flood” mediante Ping, “flood” de ICMP_ECHO y los ataques Smurf (denegación de servicios). Los equipos expuestos al ataque de ICMP sonsignificativamente más lentos (afecta a todas las aplicaciones que usen Internet) y tienen problemas para conectarse a Internet.
Ataque TCP y UDP
Una técnica específica que permite extraer información de un sistema concreto es el Fingerprinting es decir, la obtención de su huella identificativa respecto a la pila TCP/IP.
El objetivo primordial suele ser obtener el sistema operativo que se ejecuta en la...
Autenticación por IP
Confía en la dirección/es IP para comprobar si un paquete coincide con nuestras reglas. Se puede falsear (spoofing) pero hay que tener en cuenta algunas consideraciones.
- No se puede realizar si el sistema operativo tiene implementado correctamente la generación del ISN (Initial Sequence Number). Generadores de ISN vulnerables a ataque son W95, W98,WMe, SpeedStream, 3Com Office Connect, Zyxell.
- El spoofing se realiza normalmente a ciegas, por lo que es costoso si se tiene que implementar un protocolo orientado a conexión (TCP). No se puede realizar un ataque orientado a conexión si el sistema operativo o cortafuegos perimetral no tiene abierto algún puerto.
- Es sencillo utilizar spoofing para realizar ataques de denegación de serviciono orientados a conexión (UDP, ICMP , TCP Syn).
Ejemplo:
La conocida vulnerabilidad del Sygate y Sygate Pro 5.0
Si se utiliza como dirección origen 127.0.0.1 se puede acceder a todos los puertos protegidos por el cortafuegos. Esto hace posible ataques orientados a conexión y lo hace vulnerable a TODOS los ataques de denegación de servicio no orientados a conexión. En contra de lo quepone en el aviso, Sygate Pro sí los detecta, pero no los para a no ser que se ponga una regla expresa para denegar esa IP. Puede que algún programa que use la interfaz localhost (127.0.0.0 - 127.0.0.255) no funcione correctamente pero no son comunes.
Autenticación por puerto
Se basa en los puertos origen y destino para comprobar si un paquete coincide con una de nuestras reglas. Se puede falsearteniendo en cuenta estas consideraciones:
- El puerto origen de un ataque solo puede ser mayor que 1024 en una máquina Linux/Unix atacante.
- El puerto origen de un ataque puede ser cualquier puerto en una máquina Windows atacante.
Ejemplo:
Fallo de los cortafuegos Kerio y Sygate Pro al permitir el paso si el puerto origen es un puerto determinado.
Si intentamos acceder a los puertos UDPde un PC protegido por Sygate Pro con y sin reglas por defecto con un puerto origen 137 o 138 tendremos pleno acceso a todos los puertos UDP abiertos en el cortafuego.
Autenticación por aplicación
Confía en la identificación correcta de aplicaciones que producen el tráfico para hacer coincidir una regla o no. A pesar de que puede llegar a ser muy segura también se puede eludir. En NT, W2000y XP, simplemente añadiendo las claves correspondientes en el registro para que la aplicación que quiere comunicarse sea cargada por "svchost.exe", el cuál suele estar permitido en el cortafuego. Esto último, en combinación con las anteriores formas de saltarse las autenticaciones puede permitir a un programa comunicarse a través de un cortafuegos. Esto afectaría a todos.
Ataque ICMP
El ICMP(Protocolo de mensajes de control de Internet) es un protocolo de Internet muy conocido y utilizado. Lo usan fundamentalmente equipos en red para enviar distintos mensajes de error. Los ataques remotos intentan aprovecharse de los puntos débiles del protocolo ICMP. El protocolo ICMP está diseñado para una comunicación unidireccional que no requiera autentificación. De esta forma, los ataques remotospueden activar los ataques denominados DoS (por denegación de servicio), o los ataques que proporcionan a individuos no autorizados acceso a paquetes entrantes y salientes. Entre los ejemplos más habituales de ataques ICMP se encuentran los ataques “flood” mediante Ping, “flood” de ICMP_ECHO y los ataques Smurf (denegación de servicios). Los equipos expuestos al ataque de ICMP sonsignificativamente más lentos (afecta a todas las aplicaciones que usen Internet) y tienen problemas para conectarse a Internet.
Ataque TCP y UDP
Una técnica específica que permite extraer información de un sistema concreto es el Fingerprinting es decir, la obtención de su huella identificativa respecto a la pila TCP/IP.
El objetivo primordial suele ser obtener el sistema operativo que se ejecuta en la...
Leer documento completo
Regístrate para leer el documento completo.