HCIP Seguridad H12 722 Tecnologías de Defensa Contra Ataques a la Red II

64 0 1 0


Buenos días a todos.


Este esta es la publicación 2 de 7, donde se abordan los tipos de ataques a la red y la defensa que se puede emplear para contrarrestrarlos.

En el siguiente link podrás visitar la parte 1


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-722-tecnolog%C3%ADas-de-defensa-contra-ataques-a-la-red-i/thread/581574-100233


PRINCIPIOS DE DEFENSA CONTRA ATAQUES DEL TIPO PAQUETE SIMPLE (SINGLE-PACKET) PARTE II

 

Ataques con Paquetes Malformados (Malformed Packet Attacks).

 

Ataques Pitufo (Smurf)


·        Descripción: en este tipo de ataques, el atacante envía una petición con un paquete tipo ICMP y lleva por destino una dirección IP del tipo broadcast y la dirección origen es de un servidor. Todos los hosts en la red responden a la petición. Como resultado, la víctima no puede operar de manera correcta (generalmente, un ser después de recibir una gran número de respuestas.

 

Ø  Veamos la imagen a continuación, y posteriormente una explicación sobre ello:

pitufo


·        Los dispositivos que operan en la capa 3, como lo son los routers, no responden los paquetes cuya IP de destino es una broadcast. Por consiguiente, el ataque Smurf no  causa consecuencias catastróficas en la red. Para usar el firewall para detectar los paquetes del tipo Smurf, la red objetivo del atacante debe estar directamente conectada a este.

 

·        Solución: el dispositivo verifica si la dirección de destino de un paquete a una dirección ICPM. Si es así, lo cataloga como un ataque. El dispositivo entonces rechaza la petición y genera un log del ataque.


·        La configuración para habilitar la defensa ante estos ataques es muy simple:

defensa pitufo



Ataque LAND (Denegación de Servicio de la Red de Área Local)

 

·        Descripción: el atacante configura la dirección IP de origen y la dirección IP de destino de un paquete del tipo TCP hacia la IP de la víctima. Como resultado, la víctima envía paquetes del tipo SYNC-ACK hacia su propia dirección IP, regresando nuevamente el paquete del tipo ACK, y crea entonces una conexión vacía. En este caso, los recursos del host afectado son consumidos en el proceso, hasta llevarlo a pique.

 

·        Cada conexión del tipo TCP se reserva hasta que se agota el tiempo de espera. El impacto de los ataques LAND varía dependiendo del host. Por ejemplo, después de ser atacados, la mayoría de los equipos UNIX sucumben, mientras que aquellos con WINDOWS NT solo se vuelven lentos.

 

·        Solución: el dispositivo detecta cada paquete del tipo IP. Si la Ip origen es la  misma que la IP destino o es una dirección loopback (127.0.0.1), el dispositivo descarta el paquete directamente y genera un log del ataque.

 

·        La configuración para la defensa de estos ataques es la siguiente:

land defense



Ataque Fraggle


·        Descripción: este ataque es similar  al ataque Smurf, pero usa pauqtes del tipo UDP en lugar de paquetes ICMP.  Después de que los puertos 7 (echo) y 19 (chargen) recibe los paquetes UDP, el gran número de paquetes UDP que están sin respuesta congestionan el ancho de banda.

 

·        Solución: el dispositivo verifica los paquetes UDP que accede al FIREWALL. Si el puerto el 7 o el 19, los paquetes son denegados directamente y se genera un log del ataque. De otro modo, el paquete pasa a través del firewall.

 

·        La configuración para defensa este tipo de ataques es la siguiente:

fraggle defense


Ø  Un vistazo respecto a la descripción de estos ataques:

·         Cuando el puerto 7 recibe un paquete, regresa el contenido recibido. Cuando el puerto 19 recibe un paquete, genera un flujo de caracteres. De manera similar a ICMP, estos dos puertos UDP generan un  gran número de mensajes que no obtienen respuesta. En una subred, cada sistema que tiene habilitado los puertos UDP 7 y 19 envía mensajes de respuesta hacia un host objetivo, por consiguiente, se genera un alto volumen de tráfico. Aquellos sistemas que no tienen habilitados los puertos ya mencionados, responde con la leyenda “inalcanzable” (unreachable), lo cual también ocupa ancho de banda. De manera alternativa, el ataque puede cambiar el puerto origen por el puerto 19 y el puerto 7 como destino. Se presenta mucho daño porque los paquetes de respuesta son generados automáticamente y de manera continua.

 

 

Ataque Por Paquetes IP Fragmentados (IP Fragment)


·        Descripción: los campos relacionados con la fragmentación de un paquete IP son DF bit, MF bit, Fragment Offset y Length. Si estos campos conflictúan no se manejan de manera adecuada, el dispositivo se deteriora e incluso es inducido a una falla total.

 

·        Solución: el dispositivo verifica los campos relacionados a la fragmentación dentro de un paquete IP para detectar si se presenta alguno de los conflictos mencionados. De encontrar algún conflicto, el paquete es directamente descartado y se registra un log del ataque.

 

§  En ambos casos los bits DF y MF  son 1. De manera alternativa, el bit en DF es 1 pero el fragmento compensado no es 0.

§  El bit en DF es 0 y la longitud total del Fragmento de Compensación y el campo Longitud excede los 65535 bytes.

 

·        La configuración para la defensa contra este tipo de ataque es:

fra defense



Ataques Del Tipo Suplantación de IP ( IP Spoofing)

 

·        Descripción:  para obtener permisos de acceso u ocultar la identidad, el intruso genera paquetes con direcciones IP origen forzadas y las usa para acceder, escanear y sondear objetivos.

 

·        Solución: verificar la dirección IP de origen y destino de los paquetes entrantes en todas las interfaces. Verificar las IP de origen consultando la tabla de ruteo. Los paquetes de la interface de entrada que sean diferentes de la interface de salida óptima, son paquetes que forman parte de un ataque. Los paquetes son descartados, y se genera un log.

 

·        La configuración para la defensa contra este tipo de ataques es:

sp defense



Ataque Ping de la Muerte (Ping of The Death)

 

·        Descripción: el campo longitud dentro de un paquete IP tiene un tamaño de 16 bits, indicando que la longitud máxima de un paquete IP es de  65535 bytes. El ping de la muerte envía paquetes tipo ICMP con que exceden el tamaño máximo.

podd at

·        Solución: El dispositivo verifica si la longitud del paquete ICMP excede los 65535 bytes. Si esto es así, el dispositivo descarta el paquete y registra un log.

 

·        La configuración para la defensa contra este tipo de ataques es:

podd



Ataque “Bandera” (Flag Attack)


·        Un paquete TCP contiene “seis banderas” de un bit cada uno, que equivale a los campos URG, ACK, PSH, RST, SYNC y FIN. Los sistemas operativos responden de manera diferente a las combinaciones de estos campos/banderas.

 

·        Solución: el dispositivo verifica cada bandera dentro del paquete TCP, descarta los paquetes, y registra un log si alguna de las siguientes situaciones ocurre:

 

§  Si todos los campos (6) son 1 o 0.

§  Si ambos campos SYN y FIN son 1 o si ambos campos SYN y RST son 1

§  Si ambos campos FIN y URG son 1 o si ambos campos RST y FIN son 1

 

·        La configuración para la defensa contra este tipo de ataques es:

tear defense



Ataque “Lágrima” (Teardrop).


·        Descripción: un ataque del tipo teardrop se lleva a cabo explotando la información contenida en el encabezado del paquete un fragmento IP confiable dentro de algún protocolo de la suite TCP/IP. Los campos MF bit, Offset y Length dentro de un paquete IP indican el segmento del paquete original contenido en este fragmento. Algunos sistemas pueden fallar  cuando reciben un segmento forzado que contenga  segmentos sobrepuestos o sobrecompensados.

ter


·        Solución: el dispositivo almacena en un búfer la información del fragmento y clasifica los fragmentos cuya IP origen, IP destino e identificador son idénticos dentro del mismo grupo. Se soporta un máximo de 10,000 grupos de fragmentos.

 

·        La configuración para la defensa contra este tipo de ataques es:

ter enable



Ataque Tipo Arma Nuclear (WinNuke)


·        Descripción: este ataque envía un paquete de datos del tipo out-of-band (OOB) hacia el puerto 139, del  NetBIOS hacia algún host objetivo que corra el sistema operativo WINDOWS. El fragmento de NetBIOS entonces se sobrecompensa o se sobrepone y el host que se conecta a otros host falla. De manera alternativa, el atacante envía un fragmento de IGMP hacia el objetivo. Generalmente, los paquetes IGMP no están fragmentados. Por  consiguiente, la mayoría de los sistemas no pueden procesar los paquetes del tipo IGMP de manera adecuada.

 

·        Solución: contra el tipo de ataque 1; se verifica si el puerto destino en el paquete es el 139 y si el bit TCP-URG está colocado. Para el tipo de ataque 2; verifica si el paquete IGMP recibido está fragmentado, si es así, descarta el paquete.

 

·        La configuración para la defensa contra este tipo de ataques es:

windef



Configuración WEB Para la Defensa de los Ataques del Tipo Paquetes Malformados.

Esta configuración está por demás sencilla:

mpad


1.   Una vez dentro del menú, vamos a habilitar las casillas de aquellos ataques contra los cuales queremos que el firewall defienda la red.

2.   Posteriormente damos click en aplicar


Termina la parte 2 de 7 de este tema, recuerda comentar y compartir así como dejar tu ♥ si te ha sido de utilidad la información.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión