Ataques a redes y NMAP (Network Mapper)

Mauro Di VitoEmanuel Sajama

Temas a tratar

Ataque a redes:• Root – kit

• Botnets

• Spoofing

• Denegación de Servicio (DoS)

• Man in the middle

• Sniffer

• Snooping

• Flooding

• Tampering

• Port scanning

Temas a tratar

NMAP:

• Técnicas de descubrimiento de equipos

• Técnicas de descubrimiento de puertos

Rootkit

Rootkit son aplicaciones informáticas que ocultan su existencia y la de otro software malicioso, permitiendo a un intruso tomar el control de un ordenador sin que el usuario lo advierta.

Se trata de un conjunto de programas que suplantan a las herramientas originales del sistema destinadas a su administración, y provocan pérdida de fiabilidad del sistema. El rootkit también falsea la información que se obtiene en un análisis regular del sistema, provocando que se necesiten herramientas específicas para su detección. Estas herramientas, conocidas como detectores de rootkit, han de ser capaces de analizar el comportamiento de ejecución de los programas y de comprobar cuál ejecuta código malicioso.

El verdadero peligro de un rootkit es la posibilidad de incluir una “puerta trasera” que permita al intruso acceder fácilmente al sistema, pudiendo así realizar cualquier tarea en el mismo, como la instalación de un ‘bot’ o el robo de datos sensibles de los usuarios (bancarios, correspondencia, contraseñas, etc.), sin que este tenga constancia de ello.

Rootkit

BotNet

Las botnets, comúnmente conocidas como redes de “ordenadores zombis”, son códigos maliciosos que se instalan en el sistema normalmente a través de una vulnerabilidad del equipo o usando técnicas de ingeniería social (por ejemplo, una identidad falsa). Un equipo infectado por un bot pasa a estar dentro de la botnet o red de zombis, que no es otra cosa que una red de ordenadores controlados de modo remoto por un hacker, normalmente a través de canales de Chat IRC (Internet Relay Chat), sin que el usuario se percate de este hecho. Cada uno de los ordenadores de esta red funciona con aparente normalidad para cada uno de sus usuarios.

Dicho control permite al intruso utilizar los recursos del ordenador huésped, para ocupar parte de su ancho de banda para la descarga de contenidos o bien para almacenar archivos en su memoria.

BotNet

Así, el objetivo final de esta “red de ordenadores zombis” es su utilización para el envío masivo de correo basura (spam), el ataque a otros sistemas, las estafas por Internet (phishing), la captura de datos confidenciales, o la realización de un ataque mediante el envío masivo y coordinado de un volumen de información tal que se sobrecarguen y colapsen los sistemas informáticos o las páginas web de organismos y empresas (técnicamente conocido como un DDoS o ataque de denegación de servicio distribuido).

Spoofing

¿Qué es Spoofing?Spoofing, en términos de seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Un atacante falsea el origen de los paquetes haciendo que la víctima piense que estos son de un host de confianza o autorizado para evitar que la víctima lo detecte.

En el spoofing entran en juego tres máquinas: un atacante, un atacado, y un sistema suplantado que tiene cierta relación con el atacado. Para que se pueda conseguir la meta necesita por un lado establecer una comunicación falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el ataque.

Tipos de Spoofing

Existen diferentes tipos de spoofing dependiendo de la tecnología a la que nos refiramos, como :

• IP spoofing (quizás el más conocido)

• ARP spoofing

• DNS spoofing

• Web spoofing (phishing)

• E‐mail spoofing

IP Spoofing

Consiste básicamente en sustituir la dirección IP de origen en un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. 

Puede ser usado para cualquier protocolo dentro de TCP/IP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP falsificada. 

ARP Spoofing

El ARP Spoofing es la suplantación de identidad por falsificación de tabla ARP. Se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP‐MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo. Dicha tabla ARP puede ser falseada por un ordenador atacante que emita tramas ARP-REPLY indicando su MAC como destino válido para una IP.

Denegación de Servicios(DoS)

Un ataque de denegación de servicio se centra en sobrepasar los limites de recursos establecidos para un servicio determinado, obteniendo como resultado la eliminación temporal del servicio. Por ejemplo, si un servidor es capaz de procesar 10 peticiones por segundo, y se le envían 30, parte del tráfico legítimo no recibirá servicio, o incluso, puede que la saturación del tráfico provoque que el servidor deje de responder a ninguna petición. Los destinos de estos ataques suelen ser objetivos visibles, como Web, DNS o elementos básicos de la red, routers o enlaces de red.

Denegación de Servicios(DoS)

Este tipo de ataques no supone peligro para la seguridad de las maquinas, ya que no modifica los contenidos de la información sensible. Normalmente, una vez que el ataque finalice, se vuelve a la situación normal. Sin embargo, al ser usado para que el servidor deje de responder, se lo utiliza para el Spoofing, es decir, anular este servidor y poder robar su identidad.

Man in the middle

Man in the middle, mas conocido como MITM, es un ataque que consiste en ubicarse en medio de la conexión sin interrumpirla (en forma transparente), de manera que no pueda ser detectado por el origen ni el destino.

Una vez que esta en medio de la conexión adquiere la capacidad de leer, insertar y modificar a voluntad los mensajes entre los hosts.

Sniffer

Un sniffer es un programa para monitorear y analizar el tráfico en una red de computadoras, detectando los problemas que existan. Un sniffer puede ser utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red.  Un ruteador lee cada paquete de datos que pasa por el, determina de manera intencional el destino del paquete dentro de la red. Un ruteador y un sniffer, pueden leer los datos dentro del paquete así como la dirección de destino.

Sniffer

Para el uso adecuado de un sniffer es primordial dejar a la NIC (Network interface card ) en un estado promiscuo ; es decir, que la NIC va a capturar todo el trafico que existe en la red sin importar los que contenga la cabecera, sea este deseado o no deseado.

UtilidadesSon muchas las utilidades que se dan a los sniffers, los más importantes son:

Captura de contraseñas.Análisis de fallos.Medición de tráfico.Análisis de información.

Snooping

Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla.Sin embargo los métodos son diferentes, en este caso, además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esta información a su propia computadora, para luego hacer una análisis exhaustivo de la misma.

Flooding

Jamming, Flooding o “ping de la muerte” (una versión-trampa del comando ping) son ataques que desactivan o saturan los recursos del sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco disponible, así como enviar tanto tráfico a la red que nadie más pueda utilizarla. Aquí el atacante satura el sistema con mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (usando Spoofing y Looping). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas. Muchos ISP (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP.

Flooding

Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los sistemas destinos.

Tampering

Tampering o Data Diddling, se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante; el Administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada. Como siempre, esto puede ser realizado por Insiders u Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un competidor.

Tampering

Son innumerables los casos de este tipo: empleados (o externos) bancarios que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule una deuda impositiva.

Port Scanning

Una vez que se tienen acceso a los dispositivos a nivel IP activos en una red, Port Scaninnig se basa en una técnica centrada en la búsqueda de vulnerabilidades, la cual explora los puertos abiertos, tanto en UDP como en TCP.Con el escaneo se determinan las características de una red, con el objetivo identificar los equipos disponibles y alcanzables desde Internet,

así como los servicios que ofrecen, como están organizados, que sistemas operativos ejecutan y cual es el propósito de cada uno de ellos.

Port Scanning

Al escanear los puertos de los sistemas se descubren puntos de entrada, que las puertas a nuevas vulnerabilidades potenciales. La herramienta por excelencia para realizar un escaneo de puertos es NMAP. Las técnicas existentes en el proceso de escaneo emplean diferentes procedimientos para descubrir la información del servicio, entre ellas están las siguientes: TCP connect scan, TCP SYN scan. Estas 2 primeras funcionaran en todos los sistemas con implementaciones TCP/IP, mientras que las siguientes variarán según la implementación: TCP FIN scan, TCP Xmas Tree scan, TCP Null Scan, TCP ACK scan, TCP window scan, TCP RPC scan y UDP scan.

NMap

Es una herramienta que por línea de comandos permite realizar el mapeo de redes.

•Identifica hosts alcanzables y puede deducir la topología de una red.•También identifica los puertos y servicios abiertos en un dispositivo.

Nomenclatura del comandoNmap [Opciones] [Tipo(s) de análisis] [Objetivos]

Técnicas de descubrimiento de equipos

• List Scan (-sL): Utiliza resolución DNS inversa de forma no intrusiva.

• Ping ARP(-PR): Sirve para escanear redes locales Ethernet.

Técnicas de descubrimiento de equipos

Técnicas de descubrimiento de equipos

• Ping TCP SYN/ACK(-PS/-OA): Envía un paquete TCP SYN vacío y espera una respuesta. También puede llevar el ACK. El comando permite especificar qué puertos probar.

Ping TCP SYN/ACK(-PS/-OA): Ejemplo

Técnicas de descubrimiento de equipos• Ping UDP (-PU): Identifica puertos cerrados,

indicando un destino alcanzable.

• PINGS ICMP (-PE, -PP, -PM): Utilidad ping del sistema operativo. Envía EchoRequest, Timestamp, y Addressmask.

Técnicas de descubrimiento de equipos

• IP PROTOCOL PING (-PO<listado protocolos>): Se envías varios paquetes con distintos protocolos y sus respectivas cabeceras (ICMP, IGMP, IP, TCP, etc).

• Si se obtiene respuesta del mismo protocolo, o un paquete ICMP de protocolo inalcanzable, es indicación de que el objetivo está vivo.

Técnicas de descubrimiento de equipos

• TCP SYN Scan (-sS): Envía un SYN a cada puerto, sin finalizar la conexión. Permite identificarlos como abiertos, cerrados o filtrados, según la respuesta obtenida.

• Existe la alternativa TCP CONNECT SCAN (-sT), que termina de realizar el three-way handshake.

Técnicas de escaneode puertos

TCP SYN Scan (-sS):

• UDP SCAN (-sU): Envía paquetes UDP a determinados puertos. Pretende identificar servicios que corren sobre UDP, como por ejemplo los protocolos DNS (puerto 53), SNMP (puertos 161 y 162) y DHCP (puertos 67 y 68).

• Estos puertos suelen ser ignorados en los análisis debido a que el escaneo UDP es en general más complejo y lento. Esto es un error, debido a que los servicios UDP pueden ser explotados por atacantes del mismo modo que los servicios TCP.

• El protocolo UDP no es orientado a la conexión, por lo que se dificulta obtener una respuesta válida del objetivo.

Técnicas de escaneode puertos

Técnicas de escaneode puertos

• IDLE SCAN (-sI): Utiliza a un tercero como zombie, identificándole su IP ID por medio de SYN+ACK. Al mismo tiempo se envía SYN al objetivo con la ip del zombie como origen. El resto del intercambio se realizará entre el zombie y el objetivo. La variación de los IP ID del zombie dará indicación del estado de los puertos.

• TCP ACK SCAN (-sA): Permite identificar de forma sencilla si un puerto está siendo filtrado. Envía un TCP ACK al objetivo. Si no se recibe el correspondiente RST, el puerto está filtrado o inalcanzable.

Técnicas de escaneo de puertos

• TCP Null, FIN, Xmas scans (-sN, -sF, -sX): Aprovechan una indefinición del estándar que indica que si se reciben paquetes sin los flags SYN, RST o ACK, si el puerto está cerrado deben enviar RST, mientras que si está abierto no tienen que enviar nada.

• Enviar sondas con estos flags en bajo es una manera eficaz de traspasar firewalls sin capacidad de seguir el estado de las conexiones.

Técnicas de escaneode puertos

TCP Null, FIN, Xmas scans (-sN, -sF, -sX)

GRACIASPreguntas:•¿Qué es Spoofing?•¿En que consiste un ataque de DoS?•¿Como se produce Flooding?•Explique al menos dos técnicas que realiza NMap para llevar a cabo el descubrimiento de equipos.•Explique al menos dos técnicas que realiza NMap para llevar a cabo el escaneo de puertos.