Apéndice B. Ataques y agresiones comunes

La Tabla B-1 detalla algunas de las agresionesy puntos de entrada más comunes usados por los intrusos para accesar los recursos de red de la organización. La clave para estas agresiones comunes son las explicaciones de como son realizadas y cómo los administradores puedes adecuadamente proteger sus redes en contra de tales ataques.

AgresionesDescripciónNotas
Contraseñas nulas o por defectoDejar las contraseñas administrativas en blanco o usar la contraseña por defecto proporcionada por el fabricante. Esto sucede más a menudo en hardware tales como enrutadores y cortafuegos, aunque algunos servicios que corren en Linux pueden contener contraseñas administrativas por defecto (aunque Red Hat Enterprise Linux no se despacha con ellas).

Comúnmente asociado con hardware de red tales como enrutadores, cortafuegos, VPNs y aparatos de almacenamiento conectados a la red (NAS).
Común en muchos sistemas operativos hereditarios, especialmente aquellos que vinculan servicios (tales como UNIX y Windows.)
Los administradores algunas veces crean cuentas de usuarios con privilegios apresuradamente y dejan la contraseña en blanco, un punto perfecto de entrada para un usuario malicioso que descubre la cuenta.

Contraseñas compartidas por defectoHay servicios seguros que a veces empaquetan llaves de seguridad por defecto para propósitos de desarrollo o de prueba. Si estas llaves se dejan sin modificar y se colocan en un ambiente de producción en la Internet, cualquier usuario con la misma llave por defecto tiene acceso a ese recurso y toda la información confidencial que pueda contener.

Más común en puntos de acceso inalámbricos y en aparatos de servidor seguro preconfigurado
CIPE (refiérase a Capítulo 6) contiene una llave estática de ejemplo que debe ser modificada antes de moverse a un ambiente de producción.

IP Spoofing (Engaño de IPs)Una máquina remota actúa como un nodo en su red local, encuentra vulnerabilidades con sus servidores e instala un programa en el fondo o un caballo de troya para ganar control sobre los recursos de su red.

El spoofing es bastante difícil pues implica que la predicción de números TCP/IP SYN-ACK del atacante coordinen una conexión al sistema objetivo, pero hay disponibles una gran cantidad de herramientas que pueden asistir a un pirata en llevar a cabo tales acciones.
Depende de los servicios ejecutándose en el sistema objetivo (tales como rsh, telnet, FTP y otros) que usan tecnicas de autenticación basada en fuente, que no son realmente recomendadas comparadas con PKI u otras formas de autenticación encriptada como las usadas por ssh o SSL/TLS.

Eavesdropping (Bajar los aleros)Reunir datos que pasan entre dos nodos activos en una red mediante el rastreo de la conexión entre los dos nodos.

Este tipo de ataque funciona principalmente con protocolos de transmisión de texto plano tales como Telnet, FTP y HTTP.
El atacante remoto debe tener acceso a un sistema comprometido en una LAN para poder llevar a cabo tal ataque; usualmente el atacante ha usado una agresión activa (tal como IP spoofing o Hombre-en-el-medio) para comprometer un sistema en una LAN.
Las medidas preventivas incluyen colocar los servicios con intercambio de llaves encriptadas, contraseñas de una sola ocasión, o autenticación encriptada para prevenir el huzmeo de contraseñas; también se recomienda una encriptación robusta durante las transmisiones.

Vulnerabilidades de serviciosUna atacante encuentra una falla o un hueco en un servicio que se ejecuta en la Internet; a través de esa vulnerabilidad, el atacante puede comprometer el sistema completo y cualquier dato que contenga y también podría posiblemente comprometer otros sistemas en la red.

Los servicios basados en HTTP tales como CGI son vulnerables a la ejecución remota de comandos e inclusive hasta el acceso interactivo desde la shell. Aún si el servicio HTTP se ejecuta como un servicio sin privilegios tal como "nobody", se puede leer información tal como archivos de configuración y mapas de la red, o el atacante puede comenzar un ataque de rechazo de servicios lo que drena los recursos del sistema o se declara como no disponible a otros usuarios.
Los servicios pueden tener vulnerabilidades que pasan desapercibidos durante el desarrollo y pruebas; estas vulnerabilidades (tales como desbordamiento del buffer, donde los atacantes pueden hacer fallar un servicio usando valores arbitrarios que llenen el buffer de la memoria de una aplicación, otorgando al atacante un intérprete de comandos interactivo desde el cual este puede ejecutar comandos arbitrarios) pueden otorgar control administrativo completo al atacante.
Los administradores deberían asegurarse de que lo servicios no se ejecuten como el usuario root y deberían mantenerse al día con los remiendos y las actualizaciones de errores para sus aplicaciones desde sus fabricantes u organizaciones de seguridad tales como CERT y CVE.

Vulnerabilidades de las aplicacionesLos atacantes encuentran fallas en aplicaciones de escritorio y de estaciones de trabajo (tales como clientes de correo electrónico) y ejecutan código arbitrario, implantan caballos de troya para comprometer los sistemas en un futuro o dañan los sistemas. Pueden ocurrir otras agresiones si la estación de trabajo tiene privilegios administrativos sobre el resto de la red.

Las estaciones de trabajo y los escritorios son más susceptibles de ataques porque los trabajadores no tienen la suficiente experiencia para prevenir o detectar una máquina comprometida, al contrario de un servidor manejado por un administrador. Es imperativo informar a las personas sobre los riesgos de instalar software no autorizado o de abrir correo no solicitado.
Se pueden implementar medidas de seguridad tales como que el cliente de correo no abra automáticamente o ejecute los anexos. Adicionalmente, las actualizaciones automáticas del software de las estaciones de trabajo a través de Red Hat Network u otros servicios de administración de sistemas, pueden aliviar la carga de las distribuciones de seguridad en múltiples puestos.

Ataques de rechazo de servicio (DoS, Denial of Service)Un atacante o grupo de atacantes pueden coordinar un ataque a la red o a los recursos de un servidor de una organización, mediante el envío de paquetes a la máquina objetivo (bien sea un servidor, enrutador o estación de trabajo). Esto obliga al recurso a no estar disponible para validar a los usuarios.

El caso más señalado de DoS ocurrió en los Estados Unidos en el año 2000. Varios sitios web de gran tráfico se presentaron indisponibles debido a un ataque coordinado de flujo de ping usando varios sistemas comprometidos con conexiones de gran ancho de banda actuando como zombies o nodos de difusión redirigidos.
Los paquetes fuentes son usualmente falsificados (así como también redifundidos), haciendo la investigación a la fuente verdadera del ataque muy difícil.
Los avances en el filtrado de ingreso (IETF rfc2267) usando iptables y la tecnología de Network IDS, tal como snort, asisten a los administradores en seguir la trayectoria y en prevenir ataques distribuidos de DoS.

Tabla B-1. Agresiones comunes