Date post: | 07-Feb-2016 |
Category: |
Documents |
Upload: | alex-de-la-cruz |
View: | 8 times |
Download: | 0 times |
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE INGENIERÍA DE SISTEMAS E INFORMÁTICAESCUELA ACADEMICA PROFESIONAL DE INGENIERIA DE SISTEMAS E INFORMATICA
“Informe de Exposicion Seguridad Servidores”
Curso REDES
Alumno
Profesor
Nilo Carrasco Ore
Lima – Perú
2013
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
INTRODUCCION
LA SEGURIDAD EN LAS REDES DE COMUNICACIÓN
El campo de la seguridad es una disciplina muy extensa que abarca muchos ámbitos.
Estos ámbitos van desde la seguridad física de una instalación, en la que se tienen en
cuenta aspectos tan diversos como los accesos físicos a la misma, riesgo de fallos de
los sistemas por causas tales como inundaciones, altas temperaturas y demás, hasta
aspectos de la seguridad en cada uno de los componentes de dichas instalaciones.
En este sentido, las redes de comunicaciones son un componente esencial de las
instalaciones y tecnologías en el presente y también para el futuro y, por tanto,
garantizar su seguridad es vital para el desarrollo de la sociedad de la información.
Para ello, es preciso desarrollar ciertas políticas de seguridad, que no son más que
normas o criterios que, directa o indirectamente, permiten discernir los eventos y
acciones permitidos o prohibidos para un sistema, desde el punto de vista de su
seguridad.
Aunque no existe una terminología ampliamente aceptada y establecida, existen
ciertos términos cuya consideración es importante a la hora de evaluar o discutir
acerca de la seguridad de un sistema. En primer lugar, algunos autores definen el
concepto de amenaza a la seguridad como cualquier violación potencial de la política
de seguridad establecida. Partiendo de este concepto, se define también un ataque
como la instanciación de una amenaza, es decir, como el hecho de que una amenaza
se haya materializado. Mientras que la amenaza es una violación potencial de la
política de seguridad, el ataque es una violación cierta de dicha política. También es
necesario definir el concepto de vulnerabilidad, entendiéndose por tal una debilidad
inherente a un diseño, configuración o implementación de un sistema, que hace que
sea susceptible a sufrir una amenaza.
Hecho por PÁGINA 1
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Algunos autores han tratado de realizar una clasificación de los ataques que pueden
sufrir las comunicaciones entre una fuente y un destino a través de una red de
comunicación, obteniendo como grandes grupos los siguientes tipos.
• Ataques de intercepción: un elemento o parte no autorizada consigue el acceso a la
información a proteger.
• Ataques de modificación: en este caso, el atacante no sólo consigue el acceso a la
información proporcionada por la fuente sino que, además, la modifica.
• Ataques de fabricación: una parte no autorizada inserta cierta información en la
comunicación.
• Ataques de interrupción: en este caso, el objetivo del ataque es la fuente de
información, el canal de comunicación, o el destino. Como consecuencia, un activo del
sistema queda inutilizable.
Hecho por PÁGINA 2
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Definición y métodos,
de Ataques DoS
Definición
Un ataque de denegación de servicio, también llamado ataque DoS (Denial of Service)
es un ataque a un sistema de red que provoca que un servicio sea inaccesible a los
usuarios que hacen uso de él. El problema principal, y más importante, que causa este
tipo de ataques es la pérdida de conectividad de la red por el consumo del ancho de
banda de la red víctima, provocando así que ese servicio esté caído hasta que se
consigue controlar el ataque.
Cuando se realiza un ataque de este tipo, lo que se hace es hacer multitud de
peticiones simultáneas, que lo que hacen es saturar los puertos con muchos flujos de
información, haciendo que el servidor se sature y no pueda servir tal cantidad de
peticiones de información, de ahí su nombre de “denegación”, ya que no es capaz de
servir tal cantidad de petición de datos. Para poder lograr hacer un ataque de este
tipo, es necesario una gran cantidad de computadores activos en todo el mundo. Hay
ocasiones en que los usuarios de esos computadores participan de forma voluntaria en
el ataque, pero también se puede dar el caso de que los propios usuarios no sepan que
están formando parte del ataque que se está realizando, ya que ni siquiera sabrán que
están infectados. Al conjunto de equipos que participan en el ataque sin saber que
forman parte de él , se le denomina red de equipos zombies.
Hecho por PÁGINA 3
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Realizar un ataque de este tipo, se puede hacer de numerosas formas, aunque
básicamente siempre consiste en lo siguiente.
Consumo de los recursos de los que dispone el servicio atacado, como puede ser el
ancho de banda, el espacio en disco o consumir toda la capacidad de proceso del
procesador. Alteración de la información de configuración, como puede ser las rutas
de encaminamiento.
Alteración en la información del estado, como puede ser la interrupción de sesiones.
Interrupción de componentes físicos de red. Impedir la comunicación entre el usuario
y la víctima, de manera que ya no se podrán poner en contacto de forma adecuada.
Métodos de ataque
Como ya hemos descrito anteriormente, en un ataque de denegación de servicio se
impide el buen funcionamiento de la red que sufre ese ataque. Hay varios tipos de
ataques, pero todos estos tipos tienen una cosa en común: utilizan el protocolo TCP/IP
para conseguir dejar tumbada a la red.
Inundación SYN
Hecho por PÁGINA 4
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
El método “inundación SYN” es una forma de realizar un ataque de negación de
servicio, en el cual , un atacante envía una sucesión de peticiones SYN al sistema, es
decir, mandan un alto número de peticiones de información hasta que logran
saturarlo.
El funcionamiento normal de una conexión de una petición normal entre un cliente y
un servidor, se lleva por medio del intercambio de mensajes. El proceso de este
intercambio suele ser el siguiente:
El cliente que quiere realizar la conexión, manda un mensaje SYN al servidor.
El servidor de destino, recibe ese mensaje y responde enviando una respuesta SYN-
ACK al cliente que ha realizado la petición.
El cliente que ha recibido la respuesta del servidor, responde al mismo con el mensaje
ACK, iniciándose de esta manera la conexión.
A este proceso se le conoce como “Apretón de manos de tres vías del TCP”.
Conociendo ya los pasos para realizar la conexión, este tipo de ataques, lo que hace es
enviar un número elevado de peticiones de conexión al servidor, pero en la petición
SYN que se manda, el atacante lo que hace es cambiar la dirección de origen.
El servidor al recibir la petición de conexión responde, como hemos comentado
anteriormente, enviando la señal SYN-ACK, y se queda a la espera de recibir la
respuesta ACK del cliente. Al haber indicado direcciones falsas de origen, estas
respuestas no llegarán nunca al servidor, por lo que este se quedará a la espera de
estas respuestas consumiendo los recursos de la máquina y limitando el número de
conexiones que se pueden hacer, causando de esa forma el problema.
Para este tipo de ataques, existe un mecanismo de caducidad que posibilita rechazar
los paquetes una vez transcurrido un determinado período de tiempo. No obstante,
cuando la cantidad de paquetes SYN es bastante considerable, si el equipo de destino
utiliza todos los recursos para almacenar las solicitudes en cola, corre el riesgo de
volverse inestable, lo que puede provocar la caída o el reinicio del sistema.
Hecho por PÁGINA 5
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
Inundación ICMP
Inundación ICMP es otra de las técnicas utilizadas para provocar un ataque de
denegación de servicio. Este tipo de ataque, lo que busca es agotar el ancho de banda
de la víctima, y para este fin, el atacante lo que hace es enviar un número elevado de
paquetes ICMP echo request de gran tamaño hacia la víctima, haciendo que la víctima
tenga que responder a su vez con paquetes ICMP echo reply causando una sobrecarga
en la red y en el sistema de la víctima.
En este tipo de ataque, influye la relación entre la capacidad de procesamiento del
atacante y de la víctima, ya que si la capacidad del atacante es mucho mayor que el de
la víctima, esta no podrá manejar todo el tráfico generado, apareciendo de esa forma
el problema de denegación de servicio.
SMURF
El ataque por medio de Smurf, es una variante del ataque por inundación ICMP, pero
en este tipo de ataque intervienen tres elementos: el atacante, el intermediario y la
víctima.
Hecho por PÁGINA 6
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
En el ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" a una
dirección IP de broadcast, usando como dirección IP origen, la dirección de la víctima.
Se espera que los equipos conectados respondan a la petición, usando “Echo reply”, a
la máquina origen.
La gravedad del ataque vendrá dada por el número de intermediarios que pueda
formar parte del ataque. Esta forma de ataque puede incluso provocar el mismo mal
que el que se quiere hacer a la víctima.
A continuación, vamos a ver las etapas de este tipo de ataque.
El equipo atacante, envía una solicitud de ping a uno o varios servidores de difusión
mientra que falsifica las direcciones IP de origen (dirección a la que el servidor debe de
responder) y proporciona la dirección IP de un equipo de destino.
El servidor transmite la solicitud a toda la red.
Todos los equipos de la red, envían una respuesta al servidor de difusión.
El servidor redirecciona la respuesta al equipo de destino.
Hecho por PÁGINA 7
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
CONCLUSIONES
En resumen, el trabajo de investigación realizado:
• Presenta un estudio exhaustivo de las posibles técnicas de ataque DoS a baja tasa
contra servidores, considerando la problemática asociada a la ejecución de los
servidores en entornos con condiciones variables en los que se complica la ejecución
del ataque.
• Se ha propuesto un diseño para el ataque, que se ha contrastado ampliamente con
una base experimental mediante su implementación en entornos de simulación y
entornos reales (ver apartado de resultados).
• Se ha desarrollado un modelo matemático de gran complejidad que permite la
evaluación del rendimiento del ataque.
Los principales hallazgos son:
• Se ha detectado que numerosos sistemas actuales poseen vulnerabilidades que
permiten la ejecución de ataques DoS de baja tasa. Más concretamente, se ha
mostrado detalladamente cómo se pueden llevar a cabo contra servidores del tipo
HTTP1.1 con conexiones persistentes.
• Se ha encontrado que el conocimiento del tiempo entre salidas o respuesta en un
servidor iterativo permite la ejecución de los ataques DoS a baja tasa contra
servidores de tipo iterativo.
• Se ha evidenciado el peligro de exhibir comportamientos deterministas en los
diseños de las aplicaciones. Este tipo de comportamientos son una fuente de riesgo
ante este tipo de ataques.
• Se ha mostrado que es factible la ejecución de los ataques DoS a baja tasa, tanto
contra servidores iterativos como concurrentes. Además, se ha verificado la
versatilidad de estos ataques, en el sentido de que permiten al atacante adoptar una
amplia variedad de configuraciones y alternativas.
Hecho por PÁGINA 8
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
• Se ha modelado el comportamiento de este tipo de ataques, aportando un
conocimiento detallado de su operación y funcionamiento.
Este trabajo, en conclusión, precisamente por facilitar la comprensión de las
posibilidades que el ataque DoS a baja tasa posee, debe ser el punto de partida para
la generación de mecanismos de defensa frente a este tipo de ataques, ya sea en el
campo de la detección, como también en su prevención y respuesta.
Hecho por PÁGINA 9