Seguridad enredes TCP/IP


Durante la d茅cada de los 60, dentro del marco de la guerra fr铆a, la Agencia de Proyectos de Investigaci贸n Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se plante贸 la posibilidad de que un ataque afectara a su red de comunicaciones y financi贸 equipos de investigaci贸n en distintas universidades con el objetivo de desarrollar una red de ordenadores con una administraci贸n totalmente distribuida.

Como resultado de la aplicaci贸n de sus estudios en redes de conmutaci贸n de paquetes, se cre贸 la denominada red ARPANET, de car谩cter experimental y altamente tolerable a fallos. M谩s adelante, a mediados de los 70, la agencia empez贸 a investigar en la interconexi贸n de distintas redes, y en 1974 estableci贸 las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en d铆a como redes TCP/IP.

La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:

1) Capa de red. Normalmente est谩 formada por una red LAN* o WAN** (de conexi贸n punto a punto) homog茅nea. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red f麓?sica o, simplemente, capa de red.

2) Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante l铆nea telef贸nica o mediante una red local Ethernet. La direcci贸n y el encaminamiento son sus principales funciones. Todos los equipos conectados a internet implementan esta capa.

3) Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que s贸lo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento* (encaminado-res) no la necesitan.

Capa de aplicaci贸n. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electr贸nico, FTP, etc. S贸lo es implementada por los equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.

Como ya hemos comentado, s贸lo los equipos terminales implementan todas las capas. Los equipos intermedios 煤nicamente implementan el nivel de red y el nivel IP:
En cada una de las capas expuestas encontramos protocolos distintos. La situaci贸n relativa de cada protocolo en las diferentes capas se muestra en la siguiente figura.

Como ya se ha adelantado, en cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas. Cada d铆a se descubren nuevas deficiencias, la mayor铆a de las cuales se hacen p煤blicas por organismos internacionales, tratando de documentar, si es posible, la forma de solucionar y contrarestar los problemas.
A continuaci贸n presentamos algunas de las vulnerabilidades m谩s comunes de las distintas capas que veremos con m谩s detalle a lo largo de este m贸dulo:
1) Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de red est谩n estrechamente ligadas al medio sobre el que se realiza la conexi贸n. Esta capa presenta problemas de control de acceso y de confidencialidad. Son ejemplos de vulnerabilidades a este nivel los ataques a las l铆neas punto a punto: desv铆o de los cables de conexi贸n hacia otros sistemas, interceptaci贸n intrusiva de las comunicaciones (pinchar la l铆nea), escuchas no intrusivas en medios de transmisi贸n sin cables, etc.

2) Vulnerabilidades de la capa internet. En esta capa se puede realizar cualquier ataque que afecte un datagrama M Se incluyen como ataques contra esta capa las t茅cnicas de sniffzng, la suplantaci贸n de mensajes, la modificaci贸n de datos, los retrasos de mensajes y la denegaci贸n de mensajes.

Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La suplantaci贸n de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el suplantado.
En esta capa, la autenticaci贸n de los paquetes se realiza a nivel de m谩quina (por direcci贸n IP) y no a nivel de usuario. Si un sistema suministra una direcci贸n de m谩quina err贸nea, el receptor no detectar谩 la suplantaci贸n. Para conseguir su objetivo, este tipo de ataques suele utilizar otras t茅cnicas, como la predicci贸n de n煤meros de secuencia TCP, el envenenamiento de tablas cach茅, etc.
Por otro lado, los paquetes se pueden manipular si se modifican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. Si esto es posible, el receptor ser谩 incapaz de detectar el cambio.

3) Vulnerabilidades de la capa de transporte. La capa de transporte transmite infor- Ataques de denegaci贸n de maci贸n TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticaci贸n, de integridad y de confidencialidad. Algunos de los ataques m谩s conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte.
En cuanto a los mecanismos de seguridad incorporados en el dise帽o del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesi贸n TCP), existe una serie de ataques que aprovechan ciertas deficiencias en su dise帽o. Una de las vulnerabilidades m谩s graves contra estos mecanismos de control puede comportar la posibilidad de interceptaci贸n de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos.

Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticaci贸n de los equipos involucrados en una sesi贸n. As铆, si un usuario hostil puede observar los intercambios de informaci贸n utilizados durante el inicio de la sesi贸n y es capaz de interceptar con 茅xito una conexi贸n en marcha con todos los par谩metros de autenticaci贸n configurados adecuadamente, podr谩 secuestrar la sesi贸n.

3) Vulnerabilidades de la capa de aplicaci贸n. Como en el resto de niveles, la capa de aplicaci贸n presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran n煤mero de protocolos definidos en esta capa, la cantidad de deficiencias presentes tambi茅n ser谩 superior al resto de capas. Algunos ejemplos de deficiencias de seguridad a este nivel podr铆an ser los siguientes:
Servicio de nombres de dominio. Normalmente, cuando un sistema solicita conexi贸n a un servicio, pide la direcci贸n IP de un nombre de dominio y env铆a un paquete UDP a un servidor DNS; entonces, 茅ste responde con la direcci贸n IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la direcci贸n IP solicitada.

Un servidor DNS debe entregar la direcci贸n IP correcta pero, adem谩s, tambi茅n puede entregar un nombre de dominio dada una direcci贸n IP u otro tipo de informaci贸n.
En el fondo, un servidor de DNS es una base de datos accesible desde internet. Por lo tanto, un atacante puede modificar la informaci贸n que suministra 茅sta base de datos o acceder a informaci贸n sensible almacenada en la base de datos por error, pudiendo obtener informaci贸n relativa a la topolog铆a de la red de una organizaci贸n concreta (por ejemplo, la lista de los sistemas que tiene la organizaci贸n).

鈥 Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contrase帽a, que se transmiten en claro por la red. As铆, al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protecci贸n**, el protocolo de aplicaci贸n Telnet hace posible la captura de aplicaci贸n sensible mediante el uso de t茅cnicas de sniffing.
Actualmente existen otros protocolos a nivel de aplicaci贸n (como, por ejemplo, SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante auten-ticaci贸n fuerte). Aun as铆, el hecho de cifrar el identificador del usuario y la contrase帽a no impide que un atacante que las conozca acceda al servicio.
** Mirad el m贸dulo
Mecanismos de protecci贸n de este mismo material para m谩s informaci贸n.

鈥 File Transfer Protocol. Al igual que Telnet, FTP es un protocolo que env铆a la informaci贸n en claro (tanto por el canal de datos como por el canal de comandos). As铆 pues, al env铆ar el identificador de usuario y la contrase帽a en claro por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que ve铆amos anteriormente con el protocolo Telnet.
Aparte de pensar en mecanismos de protecci贸n de informaci贸n para solucionar el problema, FTP permite la conexi贸n an贸nima a una zona restringida en la cual s贸lo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contrase帽as, sin limitar una de las funcionalidades m谩s interesantes del servicio.

鈥 Hypertext Transfer Protocol. El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades m谩s conocidas procede de la posibilidad de entrega de informaci贸n por parte de los usuarios del servicio. Esta entrega de informaci贸n desde el cliente de HTTP es posible mediante la ejecuci贸n remota de c贸digo en la parte del servidor.
La ejecuci贸n de este c贸digo por parte del servidor suele utilizarse para dar el formato adecuado tanto a la informaci贸n entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este c贸digo que se ejecuta presenta deficiencias de programaci贸n, la seguridad del equipo en el que est茅 funcionando el servidor se podr谩 poner en peligro*.

Califica este Artículo
0 / 5 (0 votos)

Categoría: Conectividad y Redes.




Deja un comentario