INSTITUTO TECNOLOGICO SUPERIOR DE PUERTO VALLARTA

Ataques de Pila TCP/IP

Seguridad en Redes
Nstor Daniel Vargas Urea 21/06/2012

Introduccin
Durante los primeros aos de internet, los ataques a sistemas informticos requeran pocos conocimientos tcnicos. Por un lado, los ataques realizados desde el interior de la red se basaban en la alteracin de permisos para modificar la informacin del sistema. Por el contrario, los ataques externos se producan gracias al conocimiento de las contraseas necesarias para acceder a los equipos de la red. Con el paso de los aos se han ido desarrollando nuevos ataques cada vez ms sofisticados para explotar vulnerabilidades tanto en el diseo de las redes TCP/IP como en la configuracin y operacin de los sistemas informticos que conforman las redes conectadas a internet. Estos nuevos mtodos de ataque se han ido automatizando, por lo que en muchos casos solo se necesita un conocimiento tcnico muy bsico para realizarlos. Cualquier usuario con una conexin a internet tiene acceso hoy en da a numerosas aplicaciones para realizar estos ataques y las instrucciones necesarias para ejecutarlos.

Vulnerabilidad en redes TCP/IP

En cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas. Cada da se descubren nuevas deficiencias, la mayora de las cuales se hacen pblicas por organismos internacionales, tratando de documentar, si es posible, la forma de solucionar y contrarrestar los problemas. A continuacin se enlistan algunos: 1) Vulnerabilidades de la capa de red Las vulnerabilidades de la capa de red estn estrechamente ligadas al medio sobre el que se realiza la conexin. Esta capa presenta problemas de control de acceso y de confidencialidad. Son ejemplos de vulnerabilidades a este nivel los ataques a las lneas punto a punto: desvo de los cables de conexin hacia otros sistemas, interceptacin intrusiva de las comunicaciones, escuchas no intrusivas en medios de transmisin sin cables, etc. 2) Vulnerabilidades de la capa internet En esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las tcnicas de sniffing, la suplantacin de mensajes, la modificacin de datos, los retrasos de mensajes y la denegacin de mensajes. Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La suplantacin de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el suplantado. 3) Vulnerabilidades de la capa de transporte.

La capa de transporte transmite informacion TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticacin, de integridad y de confidencialidad. Algunos de los ataques ms conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte. En cuanto a los mecanismos de seguridad incorporados en el diseo del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesin TCP), existe una serie de ataques que aprovechan ciertas deficiencias en su diseo. Una de las vulnerabilidades ms graves contra estos mecanismos de control puede comportar la posibilidad de interceptacin de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de inter- cambio de TCP respecto a la autenticacin de los equipos involucrados en una sesin. As, si un usuario hostil puede observar los intercambios de informacin utilizados durante el inicio de la sesin y es capaz de interceptar con xito una conexin en marcha con todos los parmetros de autenticacin configurados adecuadamente, podr secuestrar la sesin. 4) Vulnerabilidades de la capa de aplicacin. Como en el resto de niveles, la capa de aplicacin presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran nmero de protocolos definidos en esta capa, la cantidad de deficiencias presentes tambin ser superior al resto de capas. Algunos ejemplos de deficiencias de seguridad a este nivel podran ser los siguientes: Servicio de nombres de dominio o Normalmente, cuando un sistema solicita conexin a un servicio, pide la direccin IP de un nombre de dominio y enva un paquete UDP a un servidor DNS; entonces, este responde con la direccin IP del dominio so- licitado o una referencia que apunta a otro DNS que pueda suministrar la direccin IP solicitada. o Un servidor DNS debe entregar la direccin IP correcta pero, adems, tambin puede entregar un nombre de dominio dado una direccin IP u otro tipo de informacin. o En el fondo, un servidor de DNS es una base de datos accesible desde internet. Por lo tanto, un atacante puede modificar la informacin que suministra esta base de datos o acceder a informacin sensible almacenada en la base de datos por error, pudiendo obtener informacin relativa a la topologa de la red de una organizacin concreta (por ejemplo, la lista de los sistemas que tiene la organizacin).

Telnet.

Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contrasea, que se transmiten en claro por la red. As, al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de proteccin, el protocolo de aplicacin Telnet hace posible la captura de aplicacin sensible mediante el uso de tcnicas de sniffing. Actualmente existen otros protocolos a nivel de aplicacin (como, por ejemplo, SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticacin fuerte). Aun as, el hecho de cifrar el identificador del usuario y la contrasea no impide que un atacante que las conozca acceda al servicio.

File Transfer Protocol. o Al igual que Telnet, FTP es un protocolo que enva la informacin en claro (tanto por el canal de datos como por el canal de comandos). As pues, al envar el identificador de usuario y la contrasea en claro por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que veamos anteriormente con el protocolo Telnet. o Aparte de pensar en mecanismos de proteccin de informacin para solucionar el problema, FTP permite la conexin annima a una zona restringida en la cual so lo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseas, sin limitar una de las funcionalidades ms interesantes del servicio. Hypertext Transfer Protocol. o El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades ms conocidas procede de la posibilidad de entrega de informacin por parte de los usuarios del servicio. Esta entrega de informacin desde el cliente de HTTP es posible mediante la ejecucin remota de cdigo en la parte del servidor. o La ejecucin de este cdigo por parte del servidor suele utilizarse para dar el formato adecuado tanto a la informacin entregada por el usuario como a los resultados de- vueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este cdigo que se ejecuta presenta deficiencias de programacin, la seguridad del equipo en el que est funcionando el servidor se podr poner en peligro

Tipos de ataques IP Flooding

El ataque de IP Flooding se basa en una inundacin masiva de la red mediante datagramas IP.

Este ataque se realiza habitualmente en redes locales o en conexiones con un gran ancho de banda. Consiste en la generacin de trafico basura con el objetivo de conseguir la degradacin del servicio. De esta forma, se resume el ancho de banda disponible, ralentizando las comunicaciones existentes de toda la red. Los datagramas IP utilizados podran corresponder a: UDP. Con el objetivo de generar peticiones sin conexin a ninguno de los puertos disponibles. Segn la implementacin de la pila TCP/IP de las maquinas involucradas, las peticiones masivas a puertos especficos UDP pueden llegar a causar el colapso del sistema. ICMP. Generando mensajes de error o de control de flujo. TCP. Para generar peticiones de conexin con el objetivo de saturar los recursos de red de la maquina atacada. Como prevenirlo Data ONTAP (Netapp) permite configurar el nmero mximo de paquetes ICMP que se aceptan por segundo. En el momento que se supere este lmite los paquetes sern descartados para evitar ping flood y ataques de denegacin de servicio. La opcin es la siguiente, por defecto acepta 150 paquetes como mximo por segundo: options ip.ping_throttle.drop_level 150

Para modificar este valor, simplemente cambiamos el n de paquetes, si quisiramos cambiarlo a 1000: filer> options ip.ping_throttle.drop_level 1000

Smurf
Este tipo de ataque de denegacin de servicio es una variante del ataque anterior (IP Flooding), pero realizando una suplantacin de las direcciones de origen y destino de una peticin ICMP del tipo echo-request. Como direccin de origen se pone la direccin IP de la mquina que debe ser atacada. En el campo de la direccin IP de destino se pone la direccin de difusin de la red local o red que se utilizara como trampoln para colapsar a la vctima. Como prevenirlo Para evitar un ataque Smurf basta con que deshabilitar el ICMP en el router, no responder al ping ni al resto de protocolos ICMP y por lo tanto tampoco al Broadcast smurf.

TCP/SYN Flooding

Algunos de los ataques y tcnicas de exploracin que se utilizan en la actualidad se basan en no complementar intencionadamente el protocolo de intercambio del TCP. Esta debilidad del protocolo TCP proviene de las primeras implementaciones de las pilas TCP. Cada vez que se procesa una conexin, deben crearse datagramas IP para almacenar la informacin necesaria para el funcionamiento del protocolo. Esto puede llegar a ocupar mucha memoria. Como la memoria del equipo es finita, es necesario imponer restricciones sobre el nmero de conexiones que un equipo podr aceptar antes de quedarse sin recursos. Cuando un atacante configura una inundacin de paquetes SYN de TCP, no tiene ninguna intencin de complementar el protocolo de intercambio, ni de establecer la conexin. Su objetivo es exceder los lmites establecidos para el nmero de conexiones que estn a la espera de establecerse para un servicio dado. Esto puede hacer que el sistema que es vctima del ataque sea incapaz de establecer cualquier conexin adicional para este servicio hasta que las conexiones que estn a la espera bajen el umbral. Como prevenirlo Para prevenir este tipo de ataques es necesario cambiar algunos valores en el registro de Windows: 1. EnableICMPRedirect = 0(Se deshabilitan las redirecciones ICMP, impidiendo que un ataque se redirija a un tercero). 2. SynAttackProtect = 2 (Establece el lmite SYN, para que no se cree una situacin en la que la conexin TCP se bloquee en un estado semi abierto. La configuracin predeterminada es 0. Un valor de 2 controla la caducidad de las conexiones abiertas y medio abiertas). 3. TCPMaxConnectResponseRetransmissions = 2 (Determina las veces que TCP transmite un mensaje SYN/ACK que no es respondido. TCP retransmite confirmaciones hasta alcanzar el nmero de este valor). 4. TCPMaxHalfOpen = 500 (Nmero de conexiones que el servidor puede mantener en estado semi abierto antes de que TCP/IP inicie la proteccin contra ataques SYN). 5. TCPMaxHalfOpenRetired = 400 (Nmero de conexiones que el servidor puede mantener en estado semi abierto, incluso despus de retransmitir una conexin. Si se sobrepasa esta entrada, TCP/IP inicia la proteccin contra ataques SYN). 6. TCPMaxPortsExhausted = 5 (Nmero de solicitudes de conexin que el sistema rechazar antes de que TCP/IP inicie la proteccin contra ataques SYN). 7. TCPMaxDataRetransmissions = 3 (Nmero de veces que TCP retransmite un segmento de datos desconocido en una conexin existente).

Teardrop

El protocolo IP especifica unos campos en la cabecera encargados de sealar si el datagrama IP est fragmentado (forma parte de un paquete mayor) y la posicin que ocupa dentro del datagrama original. En el campo de indicadores de TCP encontramos el indicador de ms fragmentos que indica si el paquete recibido es un fragmento de un datagrama mayor. Por otra parte, el campo de identificacin del datagrama especifica la posicin del fragmento en el datagrama original. El objetivo de Teardrop ser realizar las modificaciones necesarias en los campos de posicin y longitud para introducir incoherencias cuando se produzca la reconstruccin del datagrama original Como prevenirlo En Windows NT, se actualiza a SP3 e instala el hotfix "simply-TCP". Para que este parche funcione correctamente debe tener instalada la versin 2 de las libreras Winsock. Microsoft recomienda tambin instalar el parche para OOB descrito ms arriba en este mismo documento.

Snork
El ataque Snork se basa en una utilizacin malintencionada de dos servicios tpicos en sistemas Unix: el servicio CHARGEN (CHARacter GENerator, generador de caracteres) y el servicio ECHO. El primer servicio se limita a responder con una secuencia aleatoria de caracteres a las peticiones que recibe. El segundo servicio, ECHO, se utiliza como sistema de pruebas para verificar el funcionamiento del protocolo IP. As, esta denegacin de servicio se basa en el envo de un datagrama especial al ordenador de destino, que una vez reconocido, enviara una respuesta al equipo de origen.

Ping of death
El ataque de denegacin de servicio ping de la muerte(ping of death) es uno de los ataques ms conocidos y que ms artculos de prensa ha generado. Al igual que otros ataques de denegacin existentes, utiliza una definicin de longitud mxima de datagrama IP fraudulenta. La longitud mxima de un datagrama IP es de 65535 bytes, incluyendo la cabecera del paquete (20 bytes) y partiendo de la base de que no hay opciones especiales especificadas. Debido a la posibilidad de fragmentacin de IP, si es necesario enviar ms de 65535 bytes, el datagrama IP se fragmentara y se reensamblara en el destino con los mecanismos que comentados anteriormente. El ataque ping de la muerte se basa en la posibilidad de construir, mediante el comando ping, un datagrama IP superior a los 65535 bytes, fragmentado en N trozos, con el objetivo de provocar incoherencias en el proceso de reensamblado.

Como prevenirlo Mantener el sistema operativo actualizado.

Ataques distribuidos
Un ataque de denegacin de servicio distribuido es aquel en el que una multitud de sistemas (que previamente han sido comprometidos) cooperan entre ellos para atacar a un equipo objetivo, causndole una denegacin de servicio. El flujo de mensajes de entrada que padece el equipo atacado le dejara sin recursos y ser incapaz de ofrecer sus servicios a usuarios legtimos. Como prevenirlo Implementar equipo y/o protocolos que pueda soportar un trfico muchas veces mayor al que normalmente est capacitado un equipo normal

Conclusiones
Los ataques hacia la pila TCP/IP tienen objetivo los protocolos asociados a las distintas vulnerabilidades encontradas en las redes TCP/IP, tales como: Vulnerabilidades en la capa de red, vinculadas al medio. Vulnerabilidades de la capa de internet, orientadas a los datagramas IP. Vulnerabilidades en la capa de transporte, orientadas a la obtencin de autenticacin, integridad y confidencialidad. Vulnerabilidades de la capa de aplicacin, orientadas a las aplicaciones finales y los datos que estas almacenan.

En cada una de la vulnerabilidades existen distintas modalidades de ataque que siempre forma de ser prevenidas, siendo ms fcil esta paso que cuando ya se ha sido afectado.