Scribd Logo
Upload

Welcome to Scribd!

  • 0096 Ataques Contra Redes Tcpip

    Uploaded by

    Ghetto Shop
    8 views62 pages

    Original Title

    0096-ataques-contra-redes-tcpip

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    8 views62 pages

    0096 Ataques Contra Redes Tcpip

    Uploaded by

    Ghetto Shop

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 62
    Ataques contra redes TCP/IP Joaquin Alte © HVOC + Pus/Mar07/01769 indice Tntroduceién Objectives 11. Seguridad en redes TCP/IP 1.2. Actividades previas a la realizacién de un ataque 1.2.1. Uuilizacién de herramientas de admainistacién 1.2.2, Basqueda de buellas identifieativas 1.2.3. Exploracion de puerto 1.3. Escuchas de red 13.1. Desactivacién de filtro MAC 15.2. Suplantacién de ARP 13.3. Heeramientas disponibles para realizar sniffing 1.4, Fragmentacién TP 1.4.1. Fragmentacién en reées Ethernet 1.4.2. Fragmentacisn para emmascaramiento de datagramas IP 15. Ataques de denegacién de servicio 15.1. IP Flooding 15.2. Smurf 1.53. TCP/SYN Flooding 154. Teandiop 155. Snork 156. Ping of death 15.7. Ataques distibuidos Deficiencias de programacién, 1.6.1. Desbordamiento de buffer 1.6.2. Cadenas de formato Resumen Glosario Bibliografia 10 10 14 16 a 3B 25 6 2 32 4 35 37 3 40 39 60 a © HOC + Pus/Man07/01769 2 tue soared TEPAP Introduccién Durante los primetos afos de intemet, los alaques a sistemas informaticos cequerfan pocos conocimientos ‘éenicos, Por un lado, los ataques realizados desde el interior de la red ee basaban en la alteracion de permisos para modificar la informacion del sistema. Por el contrario, Jos ataques extemos se producian gracias al conocimiento de las contrasefias necesatias para acceder a los equipos de la red Con el paso de los aos se hun ido desarrollande nuevos ataques cada ver mis sofisticados para explotar vulnerabitidades tanto en el disefo de las redes TCP/IP como en la confi- guracién y operaciéa ée los sistemas informstiens que conforman las redes conectadas = lntemet, Estos nuevos métodos de ataque se han ido attomatizando, por lo que en muchos casos silo se necesita un conocimiento senico muy bisico pera realizarlos, Cuslquier ‘usuario con usta conexién a internet tiene acceso hoy en dia a numerosas aplicaciones para realizar estos ataques y las insteucciones necesarias para cjecutetlos En Ia mayor parte de la bibliogzafia zelacionada con la seguridad en redes informéticas podemos encontrar clasiicadas las tres generaciones de staques siguientes Primera generacién: ataques fisicos. Encontramos agus alaques que se coniren en come porentes elecirénicos, como podtian ser los propios ordenadores, los cables o los disposi- tivos de red. Actualmente se conocen soluciones para estos aaques, uilizando protocolos Aistibuidos y de zedundancia para conseguir una tolerancia a fallos aceptable Segunda generacién: taques sinticticos.Se tate de ataques contra la Igica operative de lox ordenadores y las zedes, que quieren explotar vulncrabilidades existentes ea el software, algoritinos de eifrado y en protocolos. Aunque no existen soluciones globax les para conirarrestar de forma eficiente estos ataques, podernos encontrar soluciones cada ver mis eficaces. Tercera generacién: ataques seménticos-Finalmente, pocemos hablar de aquellos atae ques que se aprovectan de Ia confianza de los usuarios en la informacién, Este tipo de ataques pueden i desde Ia colocacién de informaciéa falsa en boletines informativos y coroos electrGnicos hasta la modificaciéa del contenido de los datos en servicios de eon- fiarza, como, por ejemplo, la manipulacion de bases de datos con informacién piblics, sistemas de informacién burséti, sistemas de control de witico séteo, ete. ‘Antes de pasar a hablar detalledamente de como evitar estos ataques desde un punto de vista mis Wenico, introduciremos en este médulo algunas de las deficiencias tipicas de los protocolos TCPAP y analizaremos algunos de los ataques mas conocidos contra este arquitectura, BVOC + Pos/Mai07/01769 ‘ Alagus eo redes TCPAP Objectives En esie médulo didscti el estudiante ensontraté Jos gecuts0s necesatios paca aleanzat los siguientes objetivos: 1) Exponer los problemas de seguridad en las xedes TCPP a patir de algunos ejemplos de vulnetabilidades en sus protocolos bisicos. 2) Analizar algunas de las actividades previas realizadas por los atacantes de redes TCPAP para conseguir sus objetivos. 3) Aprender cémo funcionan las téenicas de sniffing en redes TCP:IP para comprender of peligeo que comportan en Ia seguridad de une red local 4) Hstudiar con mis delle algunos staques concteios contra redes TCP/IP, como puedes sorlos alaques de denegacidn de servicio y las defisiencias de programacién © VOC + ros/Man07/01769 s Alagus era rdes TCPAP 1.1, Seguridad en redes TCP/AP ‘Durante la década de los 60, deniro del marco de la guerra fa, la Agencia de Proyectos de Investigacién Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) s¢ plante6 la posibilidad de que un ataque afectara a su red de comunicaciones ¥ financié ‘equipos de investigacién en distintas universidades con el objetivo de desarrollar una ed ‘de ordenadores con una sdministracion totalmente distribuida, ‘Como resultado de 12 aplicacion de sus estuios en redes de conmutacién de paquetes, se ‘reé In denominada red ARPANET, de cardcter experimental y altamente tolerable a falas. Mis adelante, a mediados de los 70, la agencis empens a investigar en la interconexién de distintas redes, y en 1974 estableci6 las hases de desstzollo de la familia de protocolos que ss utilizan en las zedes que conocemos hey en dia como redes TCP/IP Aplicacion Aplicaci6n Transporte Transporte La familia de protocolos TCP/IP se divide en las euatro capas siguientes: = En inglés, Local Area Notwork. ** En inglés, Wide Area 1) Capa de xed. Normalmente esti formada por una zed LAN* 0 WAN** (de conexién | Network ‘Purio a punto} homogénea, Todas los equipos conectados a internet implementan este ‘capa. Tod lo que se encuentra por debajo de la IP es la capa de ted fisica o, simplemente, capa de red. © HLOC + rus/Mar07/01769 ‘ 2) Capa de internet (o capa de internetworking) . Da unidadl a tudos los miembros de ls red y, por fo tanto, es la capa que permite que todos se puedan interconectar, independien« {emente de si se conectan mediante linea telef6nica 0 mediante una red local Fusemet. Ls ditecci6n y el encamsinamiexto son sus principales funciones. Todos los equipos conecta- ‘dos a intemet implementan esta capa, 3) Capa de transporte, Da fiabilidad ala red. Fl control de fujo y de errores se lleva 2 ‘cabo principalmente dentro esta capa, que sélo es implementada por equipos usuarios de internet 0 por terminales de internet. Los dispositivos de encaminamiento* (encaminado- es) no Lz necesican. 4) Capa de aplicacién. Engloba todo lo que hay por encitaa de Ia eapa de transposte. Bs la capa en Ta que encontramos las aplicaciones que uiilizan internet: clientes y servidores de web, corteo electténico, FTP, etc. Sélo es implementada por los equipos usuarios de intemet o por terminales de internet. Los cispositivas de encerminamiento no ta wilizan, ‘Como ya hemos comentado, sélo los equipos terminales implementan todas las capas. Los ‘equipos intermedios Unicamente implementan el nivel de red y el nivel IP: [ert fel om ef ma] [Rea | En cada una de las capas expuestas encontramos protocolos distintos. La situacion relative ‘de cada protocolo en las diferentes capas se muestra en la siguiente figura Alagus era rdes TCPAP Para protuncizar on los protecolos TCPIIP. mrad les ‘apwiagss 1.4, 1.10 29.3 de In ob: DEE. Comer (1995). Internetworkang "wth TCPAP (Volumen I Principies, Protocolos ane Arch tecture) Prentice Fall. © HOC + Pes/Ma107/01769 1 agus evades TOPAP [ae] Cove) [aur] [om] ‘Como ya se ha adelantado, en cada capa del modelo TCPAP pueden exist distintas vule erabilidades y un atacante puede explotar los protocolos asocizdos a cada una de ellas, (Cada dia se descubren nuevas deficiencias, la mayoria de las cuales se hacen publicas por ‘organismos internacionales, tratando de documenta, sies posible, 1a forma de solucionar y contearestar los problemas. ‘Accontinuacién presentamos algunas de las vulnerabilidades és comunes de las distintas ‘capas que veremos con mis detalle a lo largo de este médulo: 1) Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de ted estén ‘strochameate Ligadas al medio sobre cl que se realiza la conexién. Esta capa presenta problemas de vontrol de acceso y de confidencislicad, ‘Son ejemplos de vulnerabildades & este nivel los slayues las lineas punto a punto: desvio {de los cables de conexisn hacia otros sistemas, interceptacion intrusiva de las cormumicaci ‘ones (pinchar la linea), escuchas no intrusivas en medios de transmnisién sin cables, et. En esta caps se puede realizar cualquier atague que aleete un datagram IP, Se inluyen como alaques vonea esta capt las tenis de sniffing, a suplantacién de mensajes, la modificacién de datos, los retrasos de mensajes la denegaeién de mensajes. ‘Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema, La suplantacién de un mensaje se puede realizar, por ejemplo, dando una respuesta a otto mensaje antes de que lo hags el suplantado, Ataquestsios Esto tpo de ataquos pueden logar a sor muy ciel do realzar, ya que generakrente roquloren un acceso lico a los equpos que se quieren sacar De ahi que a0 los ‘rataremes en este meso didactic. scuchas dered {en inglés, sniting) Puoden reakzarse mediante aplicaciones que se conocen ‘con elnombre ee sniters. Ved of apartado Escuchas do rod do esto mistro méculo para mas informacion BLOC + rus/Mar07/01769 ‘ Alagus ena reer TCPAP En esta capa, a aulenticacién de los paquets se realiva a nivel de maquina (por direceién TP) y no a nivel de usuario, Si un sistema suministra una direceién de maquina errénea, l receptor no detectaré la suplantecién, Para conseguir su objeiva, este tipo de ataques suele utlizar otras tenicas, como la prediccién de nimeros de secuencia TCP, el envene- namiento de tablas caché, ete Por ot lado, los paquetes se pueden manipula si se modifican sus datos y se reconstruyen dde forma adecusda Jos controles de las eabcceras. Si esto es posible, el receptor se inc paz de detectar el cambio. 3) Vulnerabilidades de la capa de transporte, La capa de transporte transmite infor- macién TCP o UDP sobre datagramas IP. En ests caps podamos enc ntear problemas de autenticacin, de integridad y de conficencialidad, Algunos de los ategues més conocidos en esta capa son las denogaciones de servicio debidas a protocolos de tanspotte En cuanto a los mecanisinos de seguridad incorporados en el disco del protocolo de TCP (como lac negociaciones involucradas en el establecimniento de una sesién TCP), existe una serie de ataques que aprovechan ciertas deficiencias en su diseio, Una de las vulnerabili- dades mas graves contca estos mecanismos de control puede comportar la pocibilidad de interceptacién de sesiones TCP establecidas, con el objetivo de secuestrarlas y diigiflas « ‘tr0s equipos von fines deshonestos. Estos ataques de secuestro se aprovechan de Ta poca exigencia en el protocolo de inter+ cambio de TCP respecto a la autenticaci6n de los equipo sium usuario hostil puede observar los intercambioe de informacién utlizados durente el conexién en marcha con todos inicio de Ia sesion y es eapay. de interceptar con éxito un los parimetros de awtenticacion configurados adecuadamente, podra secuestrar la sesién 4) Vulnerabilidades de Ia capa de aplicacidn. Como en el resto de niveles, Ia capa de aplicacién presenta varias deficiencias de seguridad asociadas a sus protocolos. Debio al gran niimero de protocols definidos en esta capa, la cantidad de deticiencias precentes también seré superior al resto de capas. Algunns ejemplos de deficiencias de seguridad = este nivel podrian ser Ios siguientes: 1+ Servicio de nombres de dominio. Normalmente, cuando un sistema solicita cone- xiona servicio, pide la diteccién IP de un nombre de dominio y envia un paquete UDP « un servidor DNS; entonces, éste responde con Ia dirccciém IP del dominio so- licitado o una referencia que apunta a otra DNS que pueda suministrar la diseccién IP solicitada, ‘Un servidor DNS debe entregar la direccién IP correcta pero, adems, también puede entregar un nombre de dominin dada una direccifn TP u otro tipo de informacién, Ataques de suplantacién (on inglbe Spoeting attacks), Mira la see'én Suplantacién de ARP oe! ‘apaviago Escuchas oe red de ‘slo mismo médule para vor Lun ejemplo co staaue do suplariacion Ataques de denegacén de (on inglés Denial of Service attacks 0 DeS), Mar | apartade sobre Alaques de ‘enagacion de servicio de este mismo médle para més Estos aiaques do suplantacisn do ONS se ‘conacen con el nombre de spoofing de DNS, © HVOC + Pus/Mar07/01769 . Alagus ena sdes TCPAP Ei el fondo, un servidor de DNS es una base de datos accesible desde internet. Por Jo tanto, un atacante puede modifiear Ia informacién que suministra ésta hase de datas 1 acceder a informacin sensible almacenala en la base de datos por ersor, pudiendo obte + informacién celativa a la topologia de fared de una orgenizacin concreta (por ejemplo, la lista de los sistemas que tiene la organizacién). ‘© Telnet, Normalmente, el servicio Telnet autentica al usuario medisnte la solicitud el identificador de usuario y su contasea, que se wansmite claro por la red. Asi, al ignal que el resto de servicios de internet que no protegen los datos mediante mecanismios de protecciGa**, el protocclo de aplicacidn Telnet hace posible la eapnura cluso de téenicas de snifing {be aplicacién sensible medi Actualimente existen otros proiocolos a nivel de aplicaciéa (come, por ejemplo, SSI) para acceder aun servicio equivalente a Telnet pero ce maners segura (mediante auten- Uicacién fuerte). Aun as, el hecho de cifrar el identficador del usuario y la contaseda 20 impide que un atacante que las conozea acceda al servicio, ‘+ File Transfer Protocol, Al igual que Telnet, FTP es un protocolo que envi la infor- ‘maci6n en claro (tanto por el canal de datos como por cl canal de comandos). Asi pucs, alenviar el identificador de usuario y a contraseia en claro por una red potencialimente hhostl, presenta las mismas deficiencias de seguridad que vefamos anteriormente con el protocolo Telne Aparte de pensar en mecanismos de proteccién ée informacién para solucionar el pro- ‘biema, FTP permite la ct -xidn endnims & une zona restringida en Ia cual s6lo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados eon la eaptura de contraseias, si Lini- lar una de las funcionalidades mas interesantes del servicio, ‘+ Hypertext Transfer Protocol, Elproiocolo HTTP es el responsable del serv Wide Weh. Unade sus World erabilidades més conocidas procede de la posibilidad de en- ‘sega de informacién por parte de los usuarios del servicio, Esta enteega de informs {desde cl elionte de HTTP es posible mediante la ejecucin remota de cédigo en Ta parte el servidor. [a ejecucién de este eédigo por parte del servidor euele utilizarse para dar el formato adecuado tanto a la informacién entregada por el usuario como a los resultados de- ‘weeltos (para que el navegador del cliente Ia pueda visualizar correctamente). Si este cédigo que se ejecuta presenta deficiencias de programacién, la segutidad del equipo cen el que esté funcionando el servidor se podré poner en peligro. + Mires el méulo Mecarismos de proteccion este mismo material para * mired el capitulo Dotcienctas de programacién ost mismo méaulo dlidactco para mas formacion. BLOC + rus/Mar07/01769 a Alagus ena reer TCPAP 1.2. Actividades previas a la realizacién de un ataque Previamente 2 la planificacién de un posible atague contra uno o mds equipos de una red TCPA, es necesario conocer el objetivo que hay que atacar, Para realizar esta primera fase, ¢ decir, para obtener toca la informacién posible ée la vietima, seré necesario uilizar una setie de tdenicas de obtencién v rec ‘én de informacién, ‘A continuacién veremos, con algunos ejemplos sencillos,slgumas de las Genicas existentes que taro los administradores de una ted como los posibles atacantes, pueden wilizar para realizar la fase de recogida y obtencién de informaeién previa aun ataque. 1.2.1. Utilizaci6n de herramientas de administracién La lave de recogida de informacién podria empezar con la utlizaci6n de todas aquellas aplicaciones de administracién que permitan la oblencién de informacién de un sistema, como, por ejemplo, ping, iraceroute, whois, finger. rusers, nslookup, repinjo, telnet, dig, La simple cjccucién del comando ping contra la diteceién IP asosiada a ua nombre de dominio podria ofrecer al atacante inforenacién de gran ullidad, Para empezar, eta infore rmacién le permitiré determinar la existencia de uno o mas equipos coneciadas a la red de cate ‘Una vez descabierta la existencia de, como minimo, uno de los equipos del dominio, et aiacante pod légica de la red, mediamce alguna aplicacién de administracion como, por ejemplo, srace= ‘obtener informacién relacionada con la topologfa ola distibucién Ssica y Aunque traceroute ¢8 una het -amienta de administaciGn pensada pare solucionar problé mas de red, también se puede utilizar con objetivos deshonestos. Por ejemplo, raceroute se puode emplear paca Watar de averiguar oué sistemas existen ene distinios equipos (en este caso, enlre e! ordenador de! alacant el equipo que se quiere atacar). El funcionamiento de traceroute se basa ex la manipulacién del campo T=. dela eabecera EP de un paquete, de forma que es capaz de determinar uno 2 wno los saltos por las que tun determinado paguete avanza por I ced TCPAP, El campo TTL aetiha como un conta: dor de saltos, viéndose zeducido en una wnidad al ser seenvindo por cada dispositive de a extraceisn de Informa Una pesible solucén para proveger las sistemas de ruesta red cortra esta fexraceién de informacion mediante herramentas de ‘admisivacon es la Uslzacion de sistemas cortatuegos. Consuliad ol siguiente médulo didéetico para mas informacion sb ‘itrado de paguetes y sistemas cor © VOC + ros/Man07/01769 a ages era rdes TCPAP Asi, mediante traceroute se puede llegar a odiener una lista de Ios elementos de la red recomtidos desde una ubicacién de origen hasta el sistema de destino, como muestra el siguiente ejemplo: Existon horramiontae grticns Con une funcionalidad «ilar 2 tracerouie, que permiten visualza’ las correspondents ‘seciaciones de cada lerrenta P y con su bieacién geogrsien. ‘Como veremos més adelante, el uso del protocolo ICMP (que ulilizan tanto ping como traceroute) también puede permitir obtener informacién adicionl, como la franja horaria. ‘del sistema de destino o la méscara de red empleada, Descubrimiente de usuarios ‘Otra informacién relevante de un sistema es el nombre de los usuarios que tienen acceso | estos equipos. Una ulilidad que puede ayudar al atacante a obtener estos datos es Ia Ihertamienta finger: Bl servicio finger Dada Iainformacion que proparciona este servicio, muchos sistemas ra le ienen selivado, “Mediante finger, el alacante pods realizar varias pruebas para tratar de descubri la exis- tencia de usuarios validos. Mas adelante, y con la informacién obtenida, podria probar distinlas contrasefias de usuario con la finalidad de obtener un acceso remoto al sistema uulizando, por ejemplo, un cliente de Telnet o de SSH. © HLOC + rus/Mar07/01769 2 Informacién de dominio ‘Durante esta primera ctapa de revogida de informacién, el atacante tarabign trataré de ob ‘tence toda aquella informaciéa gencxal xclacionada con la organizacién que hay detrés de Iared que se quiere atacar. La recogida de esta informecién puede empezar exteayendo Ia {nformacién relativa alos dominios asociados ala organivacin, asi como las subreées cor espondientes, Fsto puede obtenerse ficilmente mediante consultas al servicio de nombre de dominios (DNS). Sil servidor que oftece Ia informacién de este dominie no se ha configurado adecuads- ‘mente, es posible realizar una consulta de trensferencia de zona completa, lo cual permiiré ‘obtener toda la informacién de traduccién de direeciones IP a nombres de maquina. Este tipo de consulta puede realizase con las utlidades host, dig y nslookup, entre otras: [nite la informacién enconirada, el atacante podria encontrar informacién sensible como, ppor ejemplo, relaciones ensre sistemas de la ted o subredes, el objetivo para el que se utilizan los mismos, el sistema operative instalado en cada equipo. et. Cadenas identificativas |A medida que vaya encontrando nuevos sistemas, el atacante ité complensentando la ine {formacién recogida con toda aquella informacién que pueda serle de wiidad para explotar posibles deficiencias en la seguridad de la red, Usa primera fuente de informacién pouksia st, por ejemplo, la informacidn que oftecen las cadenas de texto que genctalmente apare~ ‘co al conectarse a un deverminado servicio. Estas cadenas, aparte de identificar cuda uno de Los servicios ofrecidos por estos equipos. podsian indicar el nombre y la versién de la aplicacign que se estéejecutando detris de dicho servicio: ages era rdes TCPAP © HLOC + Pus/Mar07/01769 2 Alagus ena redes TCPAP [roo-@atacaste /]$ Lelnet wew.victiza.com 80 ‘eying 218.73.40.217, Connected te www.victima.con. Escepe charactor is '*] Get / aTTPL.1 HTP/1.1 200 OK Dale: Wed, 22 Mar 2003 25:07:53 Gur Server: Apache/1.3.23 (Unix) mod_ssi/2.8.6 CpenSSL/0.9.6c (Como vemos en estos dos ejemplos. ullizando inicamente un cliente de FIP y un cliente de Telnet, el alacante puede hacerse una idea de las aplicaciones (y de sus respectivas ver- siones) que 1a reé éel dominio vict ima. ccm esti utlizando para oftecer sus servicios. Ln el cjemplo mostrado, el atucante habria descubierto que detrés de los servicios FTP y HTTP que oftece la sed existe un servidor de FIP amado ProPTPD Server (en 24 versién 1.2.4) y un servidor de HITT llamado Apache (en su versi6n 1.3.23) compilado para funcionar en un sistema Unix, La informacién del servidor de HTTP también le muestra que el servidor Apache esté utlizando la libreria criptogréfica OpenSSL. (en # versién 0.9.6¢) para poder ofrecer la versi6n segura de HTTP por medio del protocolo togritico SSL (HTTPS) mediante Is wtilizacién del médulo mocse1 (en sa versic 28.6), Grupos de noticias y buscadores de internet Finalmente, esta primera fase de recogida de informaci6n mediante herramientas de admi- nisteacin suele finalizar realizando una serie de consultas en grupos de noticias, buscado- res de paginas web o meta buscadores. Mediante esta consulta | alacente puede obtener ‘nformaciéa emitida por los usuarios de la organizaciOn asociada a la red que desea atae car Una simple bisqueds de la cadena Qvict‘ra.con en h=tp://aroups.goo gle.com 0 at=p://www.geogle.com puede oftecer al atacante decals de interés, canto podrian ser los sistemas operativos existentes en la red, tecnologias y servidores wie lisados, el conocimiento en cuanto a temas de seguridad por parte de los adi stradores, Perfil usvane deta organizacisn Muchas veces ls propios ‘admin stradores oo la red pueden divulge sin darse fe aus sistemas cuando Uslzan stax oe careo © ‘grupos de noticias pices. Abhacer preguntas, oa! ‘contesiar olas, pueden poner en peligro los equipos (ie sured aldar pibliearenie ejemplos 8 aarti dela ormacién de sus satemas. BLOC + Pos/mai07/01769 "7 1.2.2, Buisqueda de hucllas identificativas Apaste de la utlizacién de hetramientas de administracion y servicios de interne, existen 6 nicas més avanzadas que permiten extacr informacién mis precise de un sistema o de una red en conereto La utilizacin de estas tSenicas se conoce con el nombre de fingerprinting, cs decir, ‘obtencién de la aucllaidentificativa de un sisemaa o exuipo eonectado a lated dentificacién de mecanismos de control TCP 1La bulla ideotificaive que un atacante queria obtener de Los sistemas de una red hace referencia a oda aquella informacién de la implementacién de pila TCP de los mismos. En primer lugar, esta informacién le permitiré descubrir de forma muy fable el sistema operative que se ejecuta en la maquina analizada, Por oxo lado, estos datos, junto con la ersién del servicio y del servidor obtenides anteriormente, facilitarén al atacante lz Disqueda de hetramientas necesariss para realizar, por ejemplo, una explotaci6n de un servieio contra algunos de estos sistemas, La mayor parte de Ias técnicas paca obtener esta huella identilicativa se basan en la infor- macién de la pils TCP/IP que puede obtenerse a partir de los mecanismos de control det ‘axercambio de tret patos propio del protocolo TCPAP. El protocolo TCP es un protocolo de la capa de transporte que asegura que los datos seen cenviados correctamente, Esto significa que se garsntiza que la informacién recibida so corresponde con la informacién enviada y que los paquetes sean ensamblados en el misnzo orden ex cue fueron enviados. Generalmente, las caracterfsticas de implementacién de los mecanismos de control in- corporedos en el disedo de TCP en pila TCP/IP de un sistema operativo se basa on la intespretacién que lor desazrolladores realizan de los REC. La interpretacién de los RFC (y por 1o tanto, las caractefsticas propias de imple ‘meataci6n) puede ser muy distinta cn cada sistem operativo (incluso en diferentes versiones de un mismo sistema operativo). Asf pues, I probabilidad de acierto del sistema operativo remoto mediante esta informacién es ruy elevada, tance soi ees TCPAP 916s, TCP troo-way handshake, Loe REC (eninglés, Requests for Comments) sen un conjanto e documentos técnicas y notas orgarizativas sobre invernet (oiginalmerte sobre ARPANET), Mica para mas informacién, BLOC + Pos/mai07/01769 s tance soi ees TCPAP Tdentificacién de respuestas ICMP Aunque el objetivo original del protocolo ICMP es cl de notificar errores y condiciones lusuales (que sequicten una especial atenciGn zespecto al protocol IP), es posible pod realizar un uso incbide de este protocolo para obtener huelas identificaivas de un sistema remoto Comentaremos a contintacién algunos ejemplos de eémo obtener estas huellas a partir de las distinas respuestas oftecidas mediante el wafico ICMP: + ICMP echo, Como hemos visto antetiormente, el uso de (rico ICMP de tipo ecac ‘permite a exploracion de sistemas activos. Asi, con esta exploracién se pre‘ende iden- tificar los equipos existentes dentro de Ia red que se quiere explorar, normalmente accesibles deed El comando ping puede informar, mediante paguetes ICMP de tipos eche-request y ccie-repty, sobre si una determinada direccién IP esté 0 BI campo TTL, utilizado en este intercambio de paquetes echo de ICMP, suele ser inicializado de forma distinta segGn el sis -ma pperativo que haya de del equipo. Por otra parte, cuando se envia un paquete ICMP echo-cequest hacie la di ‘in de difusidn (broadcast, se vonsigue que con un Gnico paquete cnviado todos los cquipos respondan con un paquete ICMP de tipo eco rep-y. Esta caracterfstica no es propia de todos los sistenxas operatives. Asf, por ejemplo, puede estar presente en algunas variantes de sistemas operatives Unix, micntras ‘que los sistemas operatives de Miceosoft no responden a este tipo de paguetes. [Estas dos informaciones, el asimero de TTL. iniialy la respuesta a un ping enviado por ‘fusion, podifa scr de utilizado como una primera huella identficativa de los sistemas gelaced, ‘+ ICMP timestamp. Mediante Ia transmision de un paquete ICMP de tipo t nes: amp- +. siun sistema est activo, ee reciird un paquete de ipo indicando si es posible conocer la referencia de tiempo en el sistema de destino. lem I protocole ICMP es el fncargaco de roatzar ot control de fo doles datagramas P que ciculan por una red TCPIIP Este protecolo consia de varias ‘urcionaldades que parmten realzar desce la comunicacion de sivaciones, ‘con anomalias (por ejomoks, pars indiear que no s@ ha odio realizar el entrega de ‘un datagrama IP) hasia fa comprobacién dol estado do tuna maquina en fe 9c, BLOC + Pos/mai07/01769 1a decisin de responder o no a estos paquetes depende de Ia implementacién, Al _Bunos sistemas operativos Windows sf responden, mientras que otros no lo hacen. No obstante, Ia mayora de Ios sistemas operativos Unix s{ que suelen implemen- tatlo. Sept silos sistemas de la red responden o no ante esta petiién, sa huellaidentiicativa puntaré aun posible sistema o a oto. © ICMP information, La finalidad de los paquetes ICMP d recquest y su zespucsta asociad tipo informarion- formasion-rep1y, consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuracién, au- oconfigurarse en el momento de inicio, obtener su direccién IP ete ‘Aunque las secomendaciones de seguridad indican que los sistemas operatives no deberfan generas este ipo de paqueles ni responder 2 ellos, la realidad de las im- plementaciones existentes es otra. La respuesta, en lugar de indicar la dzeccién IP de In red en el campo de origen. indica la direcci6n IP del equipo. Algunos sistemas operativos responderin tnicamente ‘cuando la direccién IP de destino del paquete tenga el valor de una direccién IP de ‘confianza, Otros sistemas, asi como muchos dispositives de red, implerentan distintos métodos de respuest stilizaren el momento de i ante este tipo de paquetes. Todas estas diferencias se pueden feccionar la huella identificativa, 1.2.3. Exploracién de puertos La exploracién de puertost es u séenica ampliamente utilizada para identificar los 1s que oftecen los sistemas de destino, Suele ser la ttima de las actividades previas ala ealizacién de un ataque La exploracién de puerts puode permitis el reconocimieato de los secvicios of cidos por cada uno de los equipos encontrados en la red escogida, Con esta infor- -macién, el alacante podtia realizar posteriormente una basqueda de exploite que le permitiera un ataque de intrusin en el sistema analizada* tance soi ees TCPAP ~ Mies el capitulo Doticioncias de programacién do oste mismo méaulo dldéctico para mas invormacion BLOC + Pos/Mar07/01769 Aone seid TOPAP Exploracién de pucrtos TCP Apacte de ser de utilidad para cbtencr la huella identficative de un sistema conectado a la red, a exploracién de pucttos TCP se puede utilizar para descubsirsi dicho sistema ofrece ‘ono un determinad servicio. Existe-un grande nGmero de técnicas para realizar esta exploraei6n de puestos TCP. Batre las mas conocidas, podemos destacar las siguientes + TCP conncet scan, Modiante ol establecitaicato de una conenisn TCP completa (com- plelando los tres pasos del establecimiento de la conexi6n) la exploracién puede ir anae lizando todos los puertos posibles, Sila eonexi6n se realiza comrectamente, £¢ anotard cl puerto como abierto (realiranda una supasicién de su servicio asociado segtin el mero de puesto). + TCP SYN sean, Enviando Gace de inicio de conexién (81) por cada aquet uno de los puertos que se quicten analizar se puede detesminar si éstos estén abiertos ono, Recibir como respuesta un paquete RS~ significa que no existe ningsn servicio que escuche por este puerto. Pot el cor ibe wn paquete SYN-ACK, podemos aflrmar la existencia de an servicio asociado a dicho puerto TCP En este caso, se enviard un paquete RST-ACK para no establecer conexin y no ser registrados por el sistema objetivo, a diferencia el easo amletior (TCP connect scan) + TCP FIN scan.A\ enviar un paguete = 111 a un puerto, deberiames recibir un paquete Ge reget (25°) sf dicho puerto esté cerrado. Esta técnica se aplica prineipalmente sabre inplementactones de pilas TCPAP ée sisternas Unix. © TCP Xmar Tree scan, Esta técnica et muy similar ala terior, y también se obtiene como resultado un paquete de reset si el puetto esté cemado. Hn este caso se envian ‘paqueles FTN, URC y PUSH. + TCP Null can. Bn el caso de poner a cero todas los indicadores de la cabecera TCP, la exploraciéa deberia recibir como resultado un paquete de reset en los puertos no La mayor parte de aplicaciones para realizar exploracidn de puertos TCP suelen ser ruidosas, es decit, no intentan esconder lo que te esté analizande la red. Esto suele sor asf porque se presume que o bien nadie esta revisundo Ie actividad de exploracién 0 que, ulilizando un equipo comprometide, nadie pods descubrir el ‘equipo desde el que realmente se realiza la exploracién de puertos. BLOC + Pos/mai07/01769 * tance soi ees TCPAP Exploracién de pucrtos UDP. Mediate Ia exploracién de puertos UDP es posible determinar si un sistema esta ‘ono disponible, asi como encontrar los servicios asociadas a los puertos UDP que encontramos abiertos. Para realizar esta exploraciGa se envien datagramas UDP sin singuna informacién al cam- po de datus. Bn el caso de que ol puesto esté vettado, se xecibish un mensaje ICMP de puerto no alcanzable (port unreachable), Si el puerto estA abierto, no se recibira ninguna respuesta Dado que UDP es un protoeclo no orientado 4 conexiGn, Ja fabilidad de este método dopende de aumerosor fuctores (ins todavia ea interne!) como son la uilizacién de fared y sus recursos, la carga existent, la exisiencia de filtros de paquetes en sistemas finales o en sistemas cortatuegos, ee Asimismo, y a diferencis de les exploraciones TCP, se trata de un proceso mucho més lene to, puesto que la recepeisn de los paquetes enviadus se consigue mediante el vencimiento de temporizadores (vimecuts) En el cato de detectar un elevado siimero de puertos UDP abiertor, el atacante podsta conetuir que existe un sistema cortafvegos entre su equipo y el objetivo, Para confirma cata Slkima posibilidad, se puede enviar un datagrama UDP al puerto cero, Esto tendria que oncrar una respuesta ICMP de pucito no aleanaable, No recibir esta respuesta sigeifics que existe un dispositive que fila el tréico, Herramientas para realizar Ia exploracién de puertos La aplicaciéa por execlencia para realizar exploracién de pueztos es Nmap (Network Map- ‘per), Esa herramicnta implementa la gran mayoria de \Gcnicas conocidas para exploresién de puertos y permite descubrisinforrnacién de los servicios y sistemas enconteados. Nmap también implementa un gran nimero de técnicas de reconocimiento de huellas identifica- tivas, como las que hemos visto anteriormente, Medisnte Nmap pueden realizar, por cjemplo, las siguientes acciones de exploracion: ‘© Descubrimiento de direcciones IP activas mesiiante wna exploracién de la red: nmap ~sP IP_ADDRESS/NETMASK © VOC + pos/mano7/ui769 Alagus eta rdes TCPAP ‘+ Exploracisn de puertos TCP activos: A tener en cuenta La mayor parte de hherramientas de exsloracién DDRESS/NETMASX de puerios pueden ser muy *ruidesas"y no son bien Vistas por bs aominisvacores nmap -sT TPA! Sore tostarene inde pustos UDP astivos: coronbieo uar © Expl festas herramertas sin el conseniimento explcto de bbs responsables dela red nmap ~sU IP_ADD3ESS/1 ‘© Exploracién de tipo de sistema operativo de un equipo en red: nmap -0 TP_ADDR=SS/NRTVASK La siguicnte imagen muestra un n de pucrtos mediante Is herramien- te Nmap: Generalmente, Nmap es utilizado internamente por otras aplicaciones como, por ejemplo, cceiners de vuluerabilidades, herramientas de detecciéa de sistemas activos, servicios web ue ofrecen exploracién de puertos, ete. © FLOC + pos/Mzi07/01769 Este os el easo de Ia uilidad Nessus. Se wala de una uilidad gue pesmite comprobac si wn sistema es vulnerable a un conjunto muy amplio de problemas de seguridad clmacenados en su base de datos. Si encuenita alguna de estas debilidades en el sistema analivado, te cencargard de informar sobre su existencia y sabre posibles soluciones. Nmap, junto con Nessus, son dos de las herramientas mas frecuentemente wilt sadas tanto por administradozes de redes como por posibles atacantes, puesto que ‘oftecen la mayor parte de los datos necesavios para estudiar el comportamiento de un sistema o red que se quiere atacer ages eon reder TCPAP * Mirad el captule Escéners ‘2e wherabildades del médub dictico ‘Mecarismos de detscciin do ataques @inircsiones para mas intormacion, © WVOC + pos/ano7/ni769 tae soi ees FCP 1.3. Escuchas de red. Uno de los primeros ateques contra les dos primeras capas del modelo TCPAP son las smite la obterci cseuchas de red. Se trata de un ataque realmente efective, puesto que de una gran cantidad de informacisn sensible. Mediante aplicaciones que se encargan de capturar e interpretar tramas y datagramas en Redes Ftheraet centornos de red basads en dftsion, conceides como eseuchas de red o sniffers, es posible [Tas yodos Ethernet son un realizar el enilisis de la informacién contenida en los paquetes TCPIP que intercepten | plo do tades basadas en diusisn, para poder extract todo tipo de informacis. Un sniffer no es mis que un sencillo programa que intercepta toda Ia informacién {que pase por la interfaz de red a la que esté asociado. Una vex cepturads, se pod almaconar para su anilisis posterior. De esta forma, necesidad de acceso a ningin sistema de la red, un alacant podra obtener informacién sobre cuentas de usuario, claves ce acceso 0 inclaso mensajes de comeo eleetrénico en el que se envian estas claves. Este tipo de téeniea se conoce como sniffing Las téenicas de nifing también se conocen como téenicas de eavesdropping y ‘6enicas de snooping. La primera, eavesdropping. es una variante del sniffing, caracierizada por realizar la adquis decir, sin modificar el eontenido de Ia informacién, ‘o intercepcién del télico que eircula por la red de forma pasiva, e& Por otc parte las (Senicas de snooping se caracterizan por el almacenamiento dela infor- Sniffing hardvare snacidn capturada cn l ordenador del alacant, mediante una conexion emota esablocida [ET copa enctven durante (oda la sesi6n de eaplura, Bn este caso, tzmpoco se modifica la informacién ine | i un red pincnando on un ible do tod don dspostivo porelque crcuk ido a {rSiea, Tambien ve pussen Utlzarrecoptres siusdos de realizar téenicas de srifing en una red, probablemente porgue | Symes do eomunicaciones sin cables, cluiga en la transis, La forma més habit std al eleance de todo el mundy, ¢ la que podsfamos denomninar snifing software, wii- zando las aplicaciones que ya mencionadas. BLOC + Pos/mai07/01769 tae soi ees FCP 1.3.1, Desactivacién de filtro MAC Una d rnicas més utilizadas por Ia mayoria de los sniffers de redes Ethemet se basa en Ia posiblidad de configurar le intesfaz de red para que desactive su filto MAC (poniendo Ia tarjeta de red en modo promiscuo), Las redes basadas en dispasitivos E:heret fueron concebidas en torso a una idea principal todas las méquinas de una misma red local comparten el mismo medio, ée manera que todos los equipos son capaces de ver el téfico de la zed de forma globel, Cuando se envian datos es necesario especificar claramente a quién van dirigidos, indican= 4o Ia direccién MAC, De los 46 bits que compazen la ditecei6n MAC, los 24 primeros bits identifican al fabricante del hardware, y los 24 bits restantes corresponden al némero de serie asignado por el fabricante. Esto diceocién MAC. rantiza que dos tarjetas no pueds Para evilar que cualquier miquina se pueda apropiar de informacién fraudulents, las tarje- tas Rthernet incorporan un filtro que ignera todo el tifien que no les pertenece, deseartando aquellos paquetes con sna dizecci MAC que no coincide con la suya, La detactivacin de este flto se conoce con el nonabee de modo promiscuo, Con el uso adecuado de expresiones regulares y otros firos de text, se podré visualizar almacenar Gnicamente la informacién que mis interese; en especial, aquella informacién sensible, como nombres de usuario y contrasefias, El entorno en el gxe suele ser mas efectivo este tipo de escuchas son las redes de deca local configuradas con una topologia en bus, En ests tipo de redes, todos los equipos estén, concctulo a un misino cable, Ksto implica que todo el tlio transinitido y recibide por las equipos de la red pasa por este medio comin. Una solucign para evita esa tonica comsste en Ia segmentacion de Ia zed y de Jos equipos mediante el wo de conmutadores (switches). Al segmentar lated y los equipos, el nico fica que tendian que ver la maquinas sera el que les pertene- ce, pesto que el conmutador se excarga de encaminar hacia el equipo tnicamente aquellos paquetesdestinados a su dicecciGu MAC. Aun as, eniten tenicas para pode continua realzando sn if ng aungue se haya segmentado la red median- (e switches. Una de estas anivas es la suplantacie de ARP, que deseribiremos a continwssi6a, ‘Ses postole poner la taeta de rod on medo promiscuo, la ‘apleacion poora emoezar a ccapturartarta los paquetes estinados a esta méquina come ol resto do wate do la misma red, BLOC + res/mar07/01769 » 1.32. Suplantacién de ARP El protocolo ARP es el encargado de traducir dizecciones IP de 32 bits, alas correspon dicntes dixcccioacs hardware, goncralmente de 48 bits en dispositivos Etheract. Cuando tun ordenador necesita resolver una direccién IP en una direceiém MAC, lo que hace es ‘efeciuar una peticién ARP (ar> request) ala direccién de difusién de dicho segmento dered, FP:PP:PP :FF:PP:PP, solicitando que el equipo que tiene esta IP responda con su dizeccién MAC. La figura anterior rfleja e6mo una méguina A, con IP 192.168.0.1 y MAC CA: 08 108; 0A; 08; CA solicita por difusiGn qué direccién MAC esta asociada a la IP 192, ~ 168.0.2. La méquina B, con IP 182.168.0.2 y MAC 08:08:08: 08:08:92 de~ beria ser la nica que respondiera ala petiién. Con el objetivo de reducic el srifico en la red, cada respuesta de ARP (arp-reply) que ga a la teriota de red es almacenada cn una tabla caché, aunque la méquina no haya realizado la correspondicnte poticiéa. Ast pues, toda respuesta de ARP que llega a la ‘miquina es almacenada on la tabla de ARV de esta méquiza, Este factor es el que se lizard para realizar el ataque de suplantacién de ARP*, ages eo edes TCPAP “Este exgato se conece con ol nombre de “erwenenamento de ARP" (ARP poisoning) ©VOC + Pos/Marer/o1769 x» ages erases TCPAP En Ia siguiente figura se puede ver c6mo la méquina C se coloca entre dos maquinas (A y B)y les envia paquetes de tipo a=p-re>ly: ‘De esia forma, toda comunicacién entre las maquinas A y B pasaré por la maquina C (ya {que tanto A como B dirigen sus paquetes a la direceién MAC 0C-0C:0C-0C:0C:0C). FL flujo de azp-=aply seré constante, para evitar que la tabla de ARP de las maquinas Ay B se retresque con la informacién correcta, Este proceso corresponde al envenenamiento, ‘de ARP comentado, A pattir del momento ca gue el envenenamiento se haga efective, los paquetes enviados enire A y B inin encaminados aC. ‘Como vemos en la siguiente figura, al intentar realizar el envenenamiento de ARP podsia (roducitse una condicién de carrera (race condition). © WVOC + pos/ano7/ni769 Angus ssn ser TCPAP Si la maquina C responde al arp-recucss antes que el servidor principal, su arp~ Lay sera sobreeserito por el de Ia maquina verdadera, Por otra paste, si fuera al contrario (figura b), seria el arp-veply verdadero el que seria eliminado por el de le xd € (produciéndose en este caso el envenenamicnto de ARP) Una posible solucién para evitar ata es de suplantacién de ARP es Ia tilizacion ie dirceciones MAC estiticas, de manera que no puedan ser actudlizadas, En es te caso, los aro-reply caviados por el atacante serdn ignorados. [1 principal inconveniente de esta solucién es la necesidad de slmacenar en la tabla ARP la asociacién entze Ia direccién IP (con sus correspondientes direcciones MAC) de ‘cada equipo de la red y la necesidad de actualizacin manual en el caso de cambios de tarjetas Ethernet en los equipos involueradas 1.3.3. Herramientas disponibles para realizar sniffing Una de Las aplicaciones més conocidas, en especial en sistemas Unix, e* Tepdump. Este programa, una veu ejecutado, capturs todos los paquetes que Logan & nuestra mnéquina y smuesira por concola toda la informacién relativa alot mistnos, Se tala de una herramienta que se ejecuta desde Ia lines de comandos y que cuenta con wm gran cantidad de opciones para mostrar Ia informacién eapturada de formas muy diversas. Tepdump es una herrami- cata muy potente ¥es la base para muchos otras sniffers que han aparecido posteriormente, (Otca herramienta muy conocida es Bitercap. lista aplicacién, que también funciona desde consola, oftece un mode de ejecucién inceractivo en el que se muestran las conexiones 7 aquiera de ellas para la capturs de paquetes. Eiercap es una aplicacién navy’ potente que accecibles desde Ia miquina donde se encuentra instalado y que permite seleccionar c permite utilizar Ja mayor parte de las séenicas existentes para realizar tanto snifing coms eavesdropping y snooping. La siguiente imagen mucstra una sesi de Telnet capturada mediante Ertercap: BLOC + Pos/mai07/01769 14, Fragmentacién IP Fl protocolo IP es el encargado dle seleccionar la trayectoria que deben seguir los datagra- el control mas IP, No es un protocolo fable ni orientado a canexin, es decir, no garan de fo, la recuperacisn de erroree ni que los datos lleguen au destino, ‘Allahora de pasar ala capa inferior los dalagramas IP se encapsulan en tramas que, depen diendo de la red fisica wlilzada, tienen wna longitud deierminada, Cuando los datagramas IP viajan de unos equipos a otzos, pueden pasar por distintos tipos de redes. El tamazo exacio de estos paquetes, denominade MTU*, puede variar de una red a oxra dependiendo del medio fisico empleado para su tansmisién, Asi, el protocolo IP debe tener en cucata que ning in dispositive puede transmit paquetes de une longitu superior al MIU eslablecido por Ia zed por la que hay que pasar. A causa, de este problema, es necesatia la reconversin de dalagramas IP al formato adecuado, La fragmeniaci6n divide los datagramas IP en fragmenios de menor longitud y se realiza en el nivel inferior de la argulectura para que sea posible recomponer los datagramas IP de forma transparence en el esto de niveles. El reensamiblado realiza la operecién contraria. El proceso de fragmentacién y reensamblado se irézepitiendo a medi que los cdalagraonas vayan viajando por diferentes redes. Aunque la fragmentacion es, por lo gen ‘una conseeuencia natural del téfico que visja a través de redes con MIU de distintos tamatios, es posible que un atacante pueda realir tun mal uso de esta propiedad del protocolo IP para provacar ataquet de denegacién de servicio (a causa de una misla implemeataciéa dela pila TCPAP), asf como pare esconder y fact Ia fase de rocogia de informacién (bisqueda de huellas identifiativas, explo- rocién de puestos, ...) 0 incluso para hacer pasar desapercibides ¢ introducir en la red paquetes pars Ia explolacién de servicios. Esto titimo es posible porque muchos de los mecanismos de prevencién y de deieccién que veremos en médulos posteriores no imple- mentan el reensamiblado de paquetes, y por ello no detectarén ni prevendrin este tipo de actividad a casa del enmascaramiento que la fragmentacién les ofrece. Asi pues, es importante eomprender como funciona esta faceta del protocole IP para cae lender este mal uso del tafico fragmeniado que postia realizar un posible alacante para conseguir su objetivo, tae soi ees FCP Fragmentacin y ataques de denegactén ddo servicio. Vod a informacion sodre los ataques teardrop y ping dela ‘muorto on [a soceién sobre donegaciones de servicio do ‘sto mismo médile sidacteo ara mas informacion © HLOC + es/Mar07/01769 2 1.4.1. Fragmentacién en redes Fthernet [La MTU por defecto de un datagram TP pare una red de tipo Ethernet es de 1500 bts, ‘Asi pus, sit datagrama IP es mayor acstetamao y noceit cuculr por este tivo dered, ‘sera necesario fragmentarlo por medio del encaminador que ditige la red. Los fregmentos pueden incluso Iagmentatse mis si pasan por una red con una MTU: més pequefia que tamafo Para que el equipo de destino pueda revonstruir Ios fragmentos, éstos debden contenet la siguiente informacién: ‘© Cada fragmento tiene que estar asociado a otro utilizando un identificador de fragmento convin, ste se clonaré desde un campo de Ia cahecera IP, conncido como identiticador IP (también Uamado ID de fragmento), ‘+ Informacién sobre su posicién en el paquete inicie! (paquete 20 fragmentado) ‘* Informacién sobre la longitud de los datos transportados al fragmento, ‘+ Cada fragmento tiene que saber si existen més fragmentos 2 continuacién. Esto se indica en la cabecera, dejando 0 no activado el indicador de més fragmentos (mare fragments, MF) del datagrama TP ‘Toda esta informacién ira en Is eabecera IP, colocada en el datagrama TP, Esto afeciaré a todo el tifico TCPAP puesto que IP es et protocolo responsable de la entrega de los paguetes En Ia siguicnte figura vemos la configuraciéa de un dalagrama IP no feagmeatado: En la cabecera IP, que normalmente seré de 20 bytes, estaré contenida la informacién necesaria para poder dirigir el dstagrama IP hacis st destino (Jitecci6n IP de origen y destino, dtcecién del enceminamiento de origen, ...) ages erases TCPAP BVOC + Pe«/Ma107/01769 x» “eas la eecora IP, se encepsulan los dats. Bstos pueden sr tanto de wn protocolo IP como TCP, UDP 0 ICMP, Por ejemplo, # estos datos fueran TCP, inchitéan sa eabecera ‘TCP y datoe TCP, LJ 1 [En Ja Bigura antetior podemos observar una petici: ICMP de tipo echo que pasa por une ‘ed Ethernet (MTU de 1500), Esta peticiGn ICMP es anormalmente grande, no representa tiva del triico normal, pero sri uilizada para mostrar c6mo se produce Ia fragmentaciéa. Por lo tanto, el detagrama de 4028 byles debera dividirse en ftagmentos de 1500 bytes 0 ‘menos. Estos paquetes fragmentados de 1500 bytes tendén una cebecera IP de 20 bytes como fragmento iniial, quedando un maximo de 1480 bytes pare Ios datos en cada fragmene lo. Las siguientes secciones examinan el contenido de cada uno de los tes feagmentos individuales. Fragmento inicial LLacabocers IP original se clonard para que conienga un ideatficador de fragmentos idéatico tanto para el primer como para el resto de fragments El primer fragmento es ico que coutendré la cabecera del mensaje ICMP. sta no seré clonaa en los frazmentosposttiores. Como veremes més adelan:, este echo identi le naturaleza del fragmento orginal, ages era redes TCPAP © HLOC + es/Mar07/01769 » Observando la siguiente figura podemos ver con atencién el Iragmento inicial: Datos ICMP ‘Ademés, este primer fragmento tiens un valor de desplazamiento igual a 0, una longitud de 1480 bytes, 1472 bytes de datos, 8 bytes de cabecera ICMP y un indicador de mas fragmentos. A continvacién podemos observar con mas detalle Ia configuracién de este primer fragraento: [fa] tere ae conta Los primesos 20 bytes de los 1500 son In cabeccra IP. y los 8 bytes siguientes son Ia ‘cabecera ICMP. Recordemos que este paquete fragmentado es una peticién ICMP de tipo ‘eee que tiene una cabecera de 8 bytes en su paquete original. [Los 1472 bytes restantes son para los datos de ICMP. Ademds de los campos normales de la cabecera IP, como origen, destino y protocolo (en este caso ICMP), hay campos ‘espectlicos para la fragmentaciGn, ages erases TCPAP © HLOC + es/Mar07/01769 » EL identficador de fragmento con un valor de 21223 es el enlace comin para el resto de las fragmentos, El indicador de més fragmentos avisara de que el otro fragmento signe al actual. Asi pues, en este primer fragmento el indicador se establece en 1 para indicar ‘que hay avis fragmentos a continuaciéa, Vemios también que se almacens el valor de los datos de este fragmento en relaci6n con los datos del datagrama completo, Para el primer registro, el valor de desplazamiento es 0 Finalmente, se almacena la longitud de los datos contenidos en este fragmento como Ia ongitud del mismo; en este caso, la longitud es 1480, es decis, la cabecera ICMP de 8 bytes seguida por los primeros 1472 bytes de los datos ICMP ‘Fragmento siguiente Povdemos ver en la siguiente figura cémo en el fragmento siguiente la cahecera IP de la ‘cabcesra original es clonada con un identiticador de fragmento idéntico: Vemos también emo se reproduce la mayor parte del resto de datos de la cabecera IP (como el origen y destins) en la nueva cabecera. Detrds de ésta van los 1480 bytes de daios ICME, Este segundo fragmento tiene un valor de 1480 y une longitud de 1480 bytes. ‘Ademés, como todavia le sigue un fragmento mis, se activa nuevamente el indicador de mas fragmentes, = ages erases TCPAP © HLOC + es/Mar07/01769 ” ages erases TCPAP La figura anterior muestra el datagrama IP que lleva el segundo fragmento que, como el resto de fragmentos, necesita una eabecers IP de 20 bytes. De nuevo, el protocolo de Is ‘cabecera indica ICMP. EL nimero de identificaci6n de {zagmenio continia siendo 21223. ¥ tiene el indicadar de nds fragmentos activado, porque kay oro fragiento a continuacién, Es importance tener presente que la cebecera ICMP del primer ragmento n0 i sido cow nada jantamente con los detos ICMP. Esto significa que si se exeminaa tan solo este {ingmenta, no se paki saber el tipo de mensaje ICMP que bay ainacenado. Este hecho puede suponer problemas importantes ala hora de ulzar dspostivos de fad, Ultimo fragmento En Ia figura anterior podemos ver como, una ver mas, hs sido elonada la cahecera IP de xcabecera original (con wn identificador de fragmento idéntica). Los Gltimos 1048 bytes {de datos ICMP se insertan en este nuevo datagrama IP. Este fragmento tiene un despla- ‘zamiento de 2960 y una longitud de L048 bytes; y como no le siguen més fragmentos, el indicador de més fragmentos es'é desietivado. En la siguiente Gguia podemos observar ‘con mis deienimiento este imo fragmento: |» | -ot8 yes de tos MP BLOC + Pus/Mar07/01769 2 Alagus ena reer TCPAP Deitas de los 20 by (ee de la cabecera IP encontramos en el fragmento el resto de bytes de las datos ICMP originales. BI identiticador de fragmento es 21223, y no se establece et indicador de més fragmentos porque éste es el dtm. El valor de desplazamiento es 2960 (la suma de los dos feagmentos anteriores de 1480 byes), Sélo hay 1048 bytes de datos, es decir, el resto de bytes del mensaje ICMP, Tanto este fragmento como el segundo no tiene cabecera ICMP ni, por lo tao, tipo de mensaje ICMP que nos indique que nos encontramos ante una peticién ecto de ICMP. 1.42. Fragmentacién para emmascaramiento de datagramas IP Como ya hemos introducido al principio de esia seccin, la Ieagmentacion IP puede plan- tear tna serie de probslemsticas relacionadas con la seguridad de estra red, Aparte de Tos problemas de denegacién que veremos con més detenimiento en la siguiente soveién, una de las problemiticas mis destacadas es la ulilizacin de Sragmentacion IP malintencionads para burlar las téericas basicas de inspeceié de datagramas TP Eneste caso, un atacante tratard de provoc: x Inteneionadamiente una fragmentacién en los ddatayramas que envia a nuestra red con el objetivo de que pasen desapercibides por dife- roates dispositivos de prevencida ¥ de detecciéa de ataques que no tienes implementado el proceso de itagmentacién y reensamblado de datagreanss IP En el caso de los dispositivos de prevencién més bisicos (como, por ejemplo, encaminado- res con filtrada de paquetes), las decisiones para bloquear paquetes se hasan generalmiente ent informacién de eabecera de los paquetes (como, por ejemplo, puertos TCP 0 UDP de destino, banderas de TCP, ...), Esto signifies que los paguetes TCP y UDP fragmen- tados son susceptibles de buslar aquellos mecanisios de prevencién que no implementen cl proceso de seensamblado paca poder tener una visién global del paquele que hay que bloquest, Por ott lado, en el caso de dispositives Je prevencisn mis avanaados (como, por ejem- plo, pasarclas a nivel de aplicacién), asf como en la meyor parte de los mecanismos de ddoweceién, las decisiones pare detectar paguctes potencialmente peligrosos acostumbran & basarse nuevamente en Ia inspeccion de la cabecera del detagrama IP, asi como en la parte de datos cel paquete, Esto significa que la lragmentacién se puede ullizar nuevamente [para butlar este proceso de deteccién y conseguir que estos paquetes entren o salgan de Is, red de forma desapercibida Con el objetivo de descubrir Ix MIU de la red ¢ intentar asf realizar Gagmentaciéa, of siacante puede uilizar el indicador de no fragmentaci6n de! datagrarsa TP, Cuando el indi- cador de no Iragmentacion esta activado, como indica su nombre, no ¢2realizard zinguna, ragmentacién en el datagrama. Por lo tanto, si un datagrama cna este indicador erza luna red en la que se exija la fragmentacién, el encaminador lo descubrird, descartaré el

    You might also like