AntecedentesA lo largo del tiempo, el avance de los medios tecnológicos y de comunicación ha provocado el surgimiento de nuevos vectores de ataques y de nuevas modalidades delictivas que han transformado a Internet y las tecnologías informáticas en aspectos sumamente hostiles para cualquier tipo de organización, y persona, que tenga equipos conectados a la World Wide Web.

A diferencia de lo que sucedía años atrás, donde personas con amplias habilidades en el campo informático disfrutaban investigando estos aspectos con el ánimo de incorporar mayor conocimiento; en la actualidad se ha desvirtuado completamente dando origen a nuevos personajes que utilizan los medios informáticos y el conocimiento sobre su funcionamiento como herramientas para delinquir y obtener algún beneficio económico.

¿De qué estamos hablando?

Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización.

Ataques comunes a FWIP SpoofingFragmented TrafficTeardrop attackPortscan

IP Spoofing• Los ataques de suplantación de la identidad presentan varias

posibilidades, siendo una de las más conocidas la denominada “IP Spoofing”(“enmascaramiento de la dirección IP”), mediante la cual un atacante consigue modificar la cabecera de los paquetes enviados a un determinado sistema informático para simular que proceden de un equipo distinto al que verdaderamente los ha originado. Así, por ejemplo, el atacante trataría de seleccionar una dirección IP correspondiente a la de un equipo legítimamente autorizado para acceder al sistema que pretende ser engañado.

Fragmented Traffic

Los ataques de disponibilidad y de denegación de servicio utilizan tráfico altamente fragmentado para agotar los recursos del sistema. Se debe analizar el tráfico fragmentado y descubrir si es una fragmentación normal o se trata de algún tipo de ataque por fragmentación.

Teardrop attack

El ataque por fragmentación más conocido es Teardrop, Este método se basa en introducir información de compensación falsa en los paquetes fragmentados. En consecuencia, durante el re ensamblado, quedan fragmentos vacíos o superpuestos que pueden desestabilizar el sistema.Los sistemas más modernos ya no son vulnerables a este tipo de ataque.

Portscan

El término escáner de puertos o escaneo de puertos se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de una máquina conectada a una red de comunicaciones. Detecta si un puerto está abierto, cerrado, o protegido por un cortafuegos.

«Un "escaneo" o "barrido" de puertos, es similar a llegar a una casa y empezar a buscar un hueco por donde entrar, primero revisas la puerta delantera, luego la trasera, luego las ventanas del primer piso, luego las del segundo y así hasta que encuentras un sitio por donde entrar o lo dejas por imposible y te vas a la casa de al lado.

Los escaneos de puertos, usualmente son realizados por virus que tratan de localir una puerta por la que poder entrar al equipo de manera que puedan "mudarse" o "propagarse" a un nuevo sitio y desde allí a más. Haciendo su labor, sea cual sea en cada caso.»

Ataques a Routers

• Los Routers suelen ser punto de ataque central de una red, ya que son el eje de transmisión de datos. Metafóricamente, que son el equivalente de un semáforo en un cruce muy concurrido, el control del tráfico y procesamiento que fluya de un punto a otro sin accidentes. Un ataque malicioso se puede utilizar para interrumpir el servicio o acceder a una red. • Sin embargo, los routers son explotados generalmente

para capturar información confidencial o contraseñas. Packet Sniffing

Ataques Comunes RoutersPacket sniffingWEPDDoS

Ataques de fuerza brutaProtocolo TELNET

Packet sniffing

• Captura de datos mediante un programa malicioso que se escucha el tráfico de red. En los primeros días de la Internet, la detección de paquetes se restringió el acceso físico en un entorno Ethernet cableada. Sin embargo, con enrutadores inalámbricos, la detección de paquetes es una amenaza común, como el acceso no autorizado puede ocurrir sin acceso directo a la red física. Habilitar WPA (Wi-Fi Protected Access) para el cifrado de seguridad de su router es una medida preventiva superior.

WEP Cracking 

Es una forma de seguridad inalámbrica habilitada en muchos routers basados en el hogar. El algoritmo de WEP está agrietada fácilmente por la mayoría de programas de sniffing, ya que sólo se utiliza una clave secreta, que a continuación, se cifra a través de un algoritmo complejo binario. La clave es capturado a través de la aplicación sniffing de paquetes durante una serie de meses, que analiza los datos y extrae la llave del secreto, así, puedan acceder a su router. Como resultado, la seguridad WEP tiene por en grande sido sustituido por el más seguro WPA (Wi-Fi Protected Access).

DDoSUna denegación de servicio ocurre cuando un elemento de nuestra red, deja de prestar los servicios que tiene configurados y que en teoría debería prestar siempre.Las denegaciones de servicios son temas polémicos, algunos fabricantes las consideran problemas de seguridad otros en cambio apuntan a estas situaciones como problemas de “mejoramiento” o estabilidad y eso significa que no le dan el tratamiento exhaustivo como cuando un problema es catalogado como un problema real de seguridad

Ataques de Fuerza bruta

En la configuración de un router común vamos a encontrar una forma de acceder al CLI de forma remota. Generalmente se usará el protocolo TELNET y el protocolo SSH. Los dos son protocolos de conexión remota que requieren validación de usuarios para entrar y usar el sistema

Protocolo TELNET:

Telnet es un protocolo que nos permite conectar por medio de una red a un equipo remoto y administrarlo en modo consola (CLI). Uno de los principales problemas de telnet es que el protocolo envía en texto plano usuarios y contraseñas por la red, permitiéndole a un intruso conocerlas a través de técnicas de sniffing.

Protocolo SSH:SSH (Secure Shell), es un protocolo que permite administrar dispositivos activos de forma remota, pero a diferencia del protocolo telnet, ssh usa cifrado de llaves públicas en las comunicaciones, logrando de esta forma superar el problema del envío en texto plano de usuarios y contraseñas.Estos protocolos de comunicación serán objeto de ataques de fuerza bruta, puesto que se consideran servicios comunes para la administración de dispositivos en red. Un intruso intentará “adivinar” las claves de acceso con software automatizado que probará una tras otra las posibles palabras definidas en un diccionario.

Ataques comunes Switchs• VLAN Hopping• ARP Spoofing• DHCP Spoofing

VLAN hopping

• Es un exploit de seguridad informática , un método de atacar a los recursos en red en una LAN virtual (VLAN).• El concepto básico detrás de todos los ataques de salto

de VLAN es para un host atacante en una VLAN para obtener acceso al tráfico en otras VLAN que normalmente no serían accesibles. Hay dos métodos principales de VLAN hopping: spoofing interruptor y doble etiquetado .Tanto los vectores de ataque pueden ser fácilmente mitigados con la configuración switchport adecuada.

ARP Spoofing

El ARP Spoofing, también conocido como ARP Poisoning o ARP Poison Routing, es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en switches y no en hubs), que puede permitir al atacante leer paquetes de datos en la LAN (red de área local), modificar el tráfico, o incluso detenerlo.El principio es enviar mensajes ARP falsos (falsificados, o spoofed) a la Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace predeterminada (gateway).

DHCP Spoofing

• En palabras simples un servidor DHCP que suplanta o interfiere con el verdadero DHCP corporativo. Si nuestra red local no cuenta con la protección adecuada es bastante difícil contener este tipo de ataques, donde tendremos constantes caídas de la red local.