Orange
Páginas: 21 (5095 palabras)
Publicado: 26 de junio de 2012
071-076_TCP_HijLinux11
07.10.2005
16:35
Uhr
Página
71
TCP HIjacking • A DMINISTRACIÓN
Entendiendo y Evitando los Ataques TCP
PROTECCIÓN
Es bastante sencillo cortar una conexión TCP con un ataque RST y este riesgo aumenta con aplicaciones que
requieren conexiones largas, como las VPNs, las transferencias de zonas DNS y BGP. Vamos a describir cómo
puede ocurrir unataque TCP y mostraremos algunas técnicas simples para proteger nuestra red.
POR CHRISTOPH WEGENER Y WILHELM DOLLE
D
esde 1985, los expertos saben
que
el
protocolo
TCP
(Transmission Control Protocol)
no es seguro. Los atacantes pueden cortar las conexiones, corromperlas o incluso secuestrar una de ellas solamente
conociendo algunos detalles básicos: la
dirección IP origen, la direcciónde destino y un número de secuencia válido. Si
un atacante es capaz de fisgar la conexión, entonces la batalla está perdida
antes de que comience. Si por el contrario, no puede hacerlo, porque no controle
una máquina en la ruta entre el cliente y
el servidor, la cosa empieza a complicarse. Sin embargo, se ha sobreestimado el
esfuerzo requerido para controlar la
conexión y a veces, trucos como“TCP
windowing” hacen que la manipulación
remota sea incluso más sencilla.
Uno de los problemas más complicados es el de averiguar la secuencia
correcta de números. Esta es la única vía
para convencer a la máquina destino de
que los datagramas IP que se han inyectado pertenecen realmente a la conexión
TCP actual. Si un atacante tiene los valores correctos, no hay nada que le impidainyectar datos en la conexión existente,
ganando de este modo acceso no autorizado a la información, o cortando una
conexión existente mediante la transmisión de un paquete con el flag Reset
(RST) activado.
En la mayoría de los casos un reset no
es más que una molestia menor; esto es
cierto si lo que se está haciendo es navegar por la web. En otras situaciones
puede ocasionar problemas mayores.Por
ejemplo, interrupciones repetidas a una
conexión BGP (Border Gateway Protocol)
entre dos routers principales de Internet.
Pero un ataque de tipo DoS podría potencialmente ser una amenaza mayor para las
redes de pequeñas empresas. Imagínese a
un hacker cortando compras online durante un período largo de tiempo; las pérdidas
podrían ser considerables [1].
Antecedentes
Necesitamostener algo de información
previa sobre TCP para poder entender las
WWW.LINUX-MAGAZINE.ES
vulnerabilidades. El protocolo fue especificado en el RFC 793 [2], que se publicó
en 1981. Cada segmento TCP empieza
con una cabecera, que contiene los puertos origen y destino (ambos de 16 bits
con valores entre 0 y 65535), junto con
otros parámetros importantes como los
números de secuencia y dereconocimiento, ambos de 32 bits. Además contiene una serie de flags de control (SYN,
ACK, PSH, URG, RST y FIN) y el tamaño
de la ventana de recepción. Este último
es crítico para el tema que estamos tratando (Figura 1).
Una conexión establecida es identificada de forma unívoca por una cuádrupla
(grupo de cuatro) consistente en la IP y el
puerto de origen y la IP y el puerto de destino. Elnúmero de secuencia identifica la
posición del segmento dentro del flujo de
datos perteneciente a la conexión para
cada byte. Cualquiera que tenga los valores de la cuádrupla y pueda averiguar el
número de secuencia válido posee toda la
información necesaria para hacerse con la
conexión. No importa donde esté el ata-
Número 11
71
071-076_TCP_HijLinux11
07.10.2005
16:35
UhrPágina
72
ADMINISTRACIÓN • TCP Hijacking
cante, simplemente tiene que generar un
paquete y enviarlo al destino.
Números Aleatorios
En principio, un número de secuencia
puede tener uno de los 232 valores posibles. Averiguar el número correcto, para
capturar un paquete e inyectarlo en la
conexión en el momento adecuado, apenas supone un problema. Sin embargo,
estos se pueden...
07.10.2005
16:35
Uhr
Página
71
TCP HIjacking • A DMINISTRACIÓN
Entendiendo y Evitando los Ataques TCP
PROTECCIÓN
Es bastante sencillo cortar una conexión TCP con un ataque RST y este riesgo aumenta con aplicaciones que
requieren conexiones largas, como las VPNs, las transferencias de zonas DNS y BGP. Vamos a describir cómo
puede ocurrir unataque TCP y mostraremos algunas técnicas simples para proteger nuestra red.
POR CHRISTOPH WEGENER Y WILHELM DOLLE
D
esde 1985, los expertos saben
que
el
protocolo
TCP
(Transmission Control Protocol)
no es seguro. Los atacantes pueden cortar las conexiones, corromperlas o incluso secuestrar una de ellas solamente
conociendo algunos detalles básicos: la
dirección IP origen, la direcciónde destino y un número de secuencia válido. Si
un atacante es capaz de fisgar la conexión, entonces la batalla está perdida
antes de que comience. Si por el contrario, no puede hacerlo, porque no controle
una máquina en la ruta entre el cliente y
el servidor, la cosa empieza a complicarse. Sin embargo, se ha sobreestimado el
esfuerzo requerido para controlar la
conexión y a veces, trucos como“TCP
windowing” hacen que la manipulación
remota sea incluso más sencilla.
Uno de los problemas más complicados es el de averiguar la secuencia
correcta de números. Esta es la única vía
para convencer a la máquina destino de
que los datagramas IP que se han inyectado pertenecen realmente a la conexión
TCP actual. Si un atacante tiene los valores correctos, no hay nada que le impidainyectar datos en la conexión existente,
ganando de este modo acceso no autorizado a la información, o cortando una
conexión existente mediante la transmisión de un paquete con el flag Reset
(RST) activado.
En la mayoría de los casos un reset no
es más que una molestia menor; esto es
cierto si lo que se está haciendo es navegar por la web. En otras situaciones
puede ocasionar problemas mayores.Por
ejemplo, interrupciones repetidas a una
conexión BGP (Border Gateway Protocol)
entre dos routers principales de Internet.
Pero un ataque de tipo DoS podría potencialmente ser una amenaza mayor para las
redes de pequeñas empresas. Imagínese a
un hacker cortando compras online durante un período largo de tiempo; las pérdidas
podrían ser considerables [1].
Antecedentes
Necesitamostener algo de información
previa sobre TCP para poder entender las
WWW.LINUX-MAGAZINE.ES
vulnerabilidades. El protocolo fue especificado en el RFC 793 [2], que se publicó
en 1981. Cada segmento TCP empieza
con una cabecera, que contiene los puertos origen y destino (ambos de 16 bits
con valores entre 0 y 65535), junto con
otros parámetros importantes como los
números de secuencia y dereconocimiento, ambos de 32 bits. Además contiene una serie de flags de control (SYN,
ACK, PSH, URG, RST y FIN) y el tamaño
de la ventana de recepción. Este último
es crítico para el tema que estamos tratando (Figura 1).
Una conexión establecida es identificada de forma unívoca por una cuádrupla
(grupo de cuatro) consistente en la IP y el
puerto de origen y la IP y el puerto de destino. Elnúmero de secuencia identifica la
posición del segmento dentro del flujo de
datos perteneciente a la conexión para
cada byte. Cualquiera que tenga los valores de la cuádrupla y pueda averiguar el
número de secuencia válido posee toda la
información necesaria para hacerse con la
conexión. No importa donde esté el ata-
Número 11
71
071-076_TCP_HijLinux11
07.10.2005
16:35
UhrPágina
72
ADMINISTRACIÓN • TCP Hijacking
cante, simplemente tiene que generar un
paquete y enviarlo al destino.
Números Aleatorios
En principio, un número de secuencia
puede tener uno de los 232 valores posibles. Averiguar el número correcto, para
capturar un paquete e inyectarlo en la
conexión en el momento adecuado, apenas supone un problema. Sin embargo,
estos se pueden...
Leer documento completo
Regístrate para leer el documento completo.