Pptamenazas 2016

 1. Ataques TCP/IP.
MITM
Son especialmente peligrosos los ataques MITM (Man-In-The-Middle, intermediario): en una comunicación entre dos
equipos aparece un tercero que consigue que los paquetes intercambiados pasen por él. Desde ese momento puede leer
todo el tráfico o alterar los datos para su beneficio. El atacante puede interponerse dos maneras (Fig. 8.1):
•Por hardware. El atacante tiene acceso directo a un elemento de red que forma parte del camino entre el origen y el
destino. Por ejemplo, el cable que conectaba el origen con su switch de planta ahora pasa por la máquina del atacante.
•Por software (engaño). El atacante consigue que el origen crea que él es el destino, y también consigue que el destino
crea que él es el origen. Es mucho más simple que el anterior porque no hace falta tener acceso físico a los equipos.
El ejemplo más típico de ataque de engaño es el

envenenamiento ARP (ARP poisoning). El protocolo
ARP (Address Resolution Protocol) se utiliza para
obtener la dirección MAC asociada a una IP, es decir,
cuando una máquina (llamémosle María) quiere
comunicarse con otra máquina (sea José) de la que
sabe su dirección IP (nivel 3 de TCP/IP), obtiene la
dirección MAC (nivel 2) mediante ARP.
El ataque consiste en que una máquina Juan,
conectada al mismo tramo de red que María y José, en
un momento dado empieza a generar paquetes de
respuesta ARP. Sin que nadie le pregunte, envía un
paquete a María diciendo que la MAC de IP-José es
MAC-Juan (la MAC de la máquina Juan), y envía otro
paquete a José diciendo que la MAC de IP-María
también es MAC-Juan. Es decir, intenta convencer a
María de que Juan es José, e intenta convencer a José
de que Juan es María.
0
 1.1. Contramedidas
Los ataques MITM son difíciles de evitar. Una primera idea es utilizar en todas las máquinas tablas ARP
estáticas, renunciando al protocolo dinámico, vista su debilidad. Parece sencillo, pero supone mucho
trabajo de mantenimiento: cada vez que llega una nueva máquina, o introducimos una nueva tarjeta de
red en una máquina ya existente, hay que actualizar una a una todas las máquinas de la empresa (y
pueden ser cientos).
Es más razonable controlar el acceso a nuestra red: si el atacante no puede conectar su equipo, no
podrá lanzar paquetes maliciosos. Se debería utilizar, siempre que sea posible, protocolos seguros con
infraestructura de clave pública (PKI),.
Con suficiente presupuesto, la solución definitiva es introducir un NIPS en la red, que nos alerte de la
presencia de respuestas ARP no solicitadas.
Realmente, no necesitamos un NIPS muy potente: el ataque es tan sencillo que un simple sniffer lo
detecta durante la captura. Es normal que una dirección MAC pueda servir a varias direcciones IP, pero
no es normal que una IP no aparezca asociada a dos MAC distintas.
Hay una excepción: en algunas soluciones de arquitecturas de alta disponibilidad, la IP de una máquina
puede estar en una tarjeta principal o en una tarjeta de respaldo, pero nunca funcionarán las dos a la
vez, y cuando se efectúa la conmutación de tarjetas, generalmente el software de red falsea la MAC de
la segunda tarjeta para que el resto de los sistemas no se vean afectados por el cambio.
Salvo este caso, la inmensa mayoría de las direcciones IP de los paquetes que circulan por la red de
una empresa deben estar asociadas a una única MAC. Encontrar asignaciones duplicadas debe
hacernos sospechar.
1
 2. Ataques wifi. Aircrack-ng
Las redes inalámbricas son particularmente
interesantes de atacar porque están muy extendidas
(tanto en el ámbito personal como en el empresarial)
y porque el atacante no necesita entrar en las
instalaciones de la víctima: basta con situarse lo
suficientemente cerca para entrar en la cobertura del
access point.
Los estándares modernos WPA2 lo han puesto más
difícil, pero lo siguen intentando. En este apartado
veremos el ataque contra WEP mediante la
herramienta aircrack-ng, para ilustrar lo fácil que
resulta y por qué este cifrado está completamente
abandonado.
2.1. Contramedidas
La primera solución es evitar utilizar cifrado WEP. Si lo tenemos porque algún dispositivo es incapaz de trabajar con
otros protocolos, debemos plantearnos sustituir ese equipo o, si no es técnica o económicamente posible, dejarle un AP
WEP para él solo y poner un nuevo AP WPA2 para el resto.
La segunda medida es reducir la potencia de nuestro AP. Así evitaremos que cualquiera de la calle pueda intentar
atacarnos: simplemente no le llega la señal.
También se puede intentar activar en el AP la lista de MAC permitidas. Aunque es relativamente fácil para un atacante
conocer alguna MAC permitida, ya que puede descifrar el tráfico porque tiene la clave WEP. Después, tranquilamente
modifica la MAC de su máquina y ya puede conectar.
2
 3. Ataques web. WebGoat
Las aplicaciones web aplican la arquitectura cliente-
servidor; por tanto, adolecen de los mismos problemas
que los protocolos de red. En especial, el ataque MITM
que vimos al principio de esta misma unidad.
La herramienta WebGoat permite ilustrar estos
problemas. Al descargarla tenemos un entorno de
aplicaciones web (Tomcat) configurado con unas
lecciones para enseñar qué peligros corremos.
3.1. Contramedidas
En este punto quienes deben tomar medidas son los programadores de aplicaciones, más que los técnicos de
sistemas. Los ejemplos que hemos visto son suficientemente claros para que los responsables del software que corre
en el servidor nunca confíen en que los datos de una petición son válidos solo porque han superado los controles que
se han puesto en el navegador. La principal misión de esos controles es ahorrar peticiones fallidas, de manera que los
servidores no pierden tiempo y el usuario puede corregir sus erratas inmediatamente.
Es conveniente, además, que el equipo de pruebas de sistemas (responsables de probar una aplicación antes de
entregarla al cliente) conozca estas herramientas de interceptación de peticiones, porque pueden ser utilizadas
también por cualquier usuario.
También hay que tener en cuenta que los atacantes pueden combinar distintas técnicas para conseguir sus objetivos.
Por ejemplo, hay un ataque conocido como SSLStrip donde primero activan un MITM mediante ARP spoofing, y
después procesan las peticiones HTTPS que reciben de las máquinas engañadas. El procesamiento consiste en
convertirlas en peticiones HTTP para así no utilizar el cifrado, de manera que los paquetes viajen en texto claro (el
objetivo son los paquetes de autenticación: usuario y contraseña).
3
 4. Ataques proxy. Ultrasurf
La utilización de un servidor proxy, tanto para
censurar páginas como para mejorar el
rendimiento de la conexión a Internet al
funcionar como caché.
Sin embargo, algunos usuarios se niegan a
que su navegación sea controlada por nadie.
Para combatirlo, en Windows instalan algunos
programas, como Ultrasurf. Este software se
comporta como un proxy en nuestra propia
máquina y modifica la configuración de
Windows para que todas las conexiones web
pasen por él (esto afecta a Internet Explorer y a
Chrome, que utiliza la configuración del
sistema).
Este proxy interno recibe las conexiones y las encamina fuera de la máquina conectando con otras
máquinas en Internet. Estas máquinas utilizan el puerto 443 (el habitual del tráfico SSL). Como en un
proxy normal, obtienen las páginas que el usuario pedía y se las mandan al proxy interno, el cual las
entrega al navegador. Por tanto, el tráfico del usuario pasa por dos proxy: uno local y otro en Internet.
4
4.1. Contramedidas
La primera medida es formar a los usuarios para que entiendan que introducir software no controlado es una fuente
de problemas:
•No sabemos si ese software realmente oculta un troyano que puede tomar el control de nuestra máquina. En un
ordenador personal podemos hacer lo que queramos, pero no en el ordenador del puesto de trabajo.
•Todo nuestro tráfico web está pasando por máquinas que no conocemos. Pueden utilizarlo para robarnos
contraseñas, documentación personal o profesional, realizar ataques MITM, etc.
•Se pone un proxy en una empresa para conseguir unos objetivos y, al evitar utilizarlo, estamos obstaculizando su
cumplimiento.
Como aun así algunos lo intentarán, debemos espiar nuestra red, . Primero con medidas estadísticas que evalúen el
porcentaje de paquetes que pasan por el proxy comparado con aquellos que utilizan el puerto 443. Si tienden a
equilibrarse, tenemos que entrar en detalle.
Para ello utilizaremos un NIDS que busque máquinas con alto porcentaje de tráfico 443. No podemos directamente
bloquear en el firewall el tráfico 443 porque ese puerto es habitual en la navegación segura SSL.
Tampoco tiene mucho sentido utilizar el firewall de red para bloquear todos los paquetes que quieran salir a Internet
con destino la IP del proxy externo de Ultrasuft. Este tipo de software es muy listo y suele tener disponibles muchos
servidores en distintos puntos de Internet: simplemente prueba esas direcciones una a una hasta que encuentra
alguna que todavía no hemos bloqueado.
Aunque circulan muchas listas de estas IP de máquinas proxy (las llamadas listas blacklist), siempre estarán
desactualizadas, y mientras tanto nuestro firewall de red está aplicando continuamente múltiples filtros a cada paquete,
lo que ralentiza nuestra preciada conexión a la web.
Podemos encontrar algunos programas que dicen que son capaces de bloquear Ultrasurf. Debemos desconfiar,
porque pueden ser directamente malware, o consumir recursos sin control (suelen ser NIPS especializados), o
efectivamente llegar a bloquear Ultrasurf, pero no cualquiera de sus sucesores, como Freegate.

Pptamenazas 2016

Cargado por

Copyright:

Formatos disponibles

Pptamenazas 2016

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Pptamenazas 2016

Cargado por

Copyright:

Formatos disponibles

 1. Ataques TCP/IP.

El ejemplo más típico de ataque de engaño es el

También podría gustarte