T IP OS DE ATA QUE INT RUSIONES EN LA RED

* INYECCION SQL* SNNIF FER

A LGUN A S SOLUCIONES * UNTA NGLE* P FSENSE

ADMINISTRACION DE REDES

CATEDRATICO:

FRANCISCO VAZQUEZ GUZMAN

UNIDAD V

ALUMNO:Elias Jacob Reyes Guerrero

INSTITUTO TECNOLOGICO DE TEHUACAN

Tipos de ataques a servidores

ATA Q U E A N I V E L S I S T E M A

Ataques Pasivo

Ataques Activos

Spoofing

Ataques a Nivel Aplicacion

Ataques pasivos

Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación.

Las cuales se dividen en 4 categorias:

Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados.

Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales.

Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad.

Estos ataques son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embargo, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos

Ataques a Nivel de Sistema

Es el nivel de acceso que representa más riesgo. Es lo que todo intruso desea lograr en una máquina: tener el control total de los recursos... adueñarse completamente de la máquina con los mismos privilegios que el propio administrador.

El acceso a nivel de sistema implica el acceso al mismo sistema operativo, en última instancia mediante un terminal remoto.

Estos accesos se logran a través de algún servicio mal configurado, o de aplicaciones vulnerables que permitan la ejecución de código arbitrario en el server.

Ataques Activos

En un ataque activo, el intruso interfiere con el tráfico legítimo que fluye a través de la red, interactuando de manera engañosa con el protocolo de comunicación.

Implementación Ataque ARP Ataque ICMP

ARP

IMCP

Permite a ruteadores y servidores reportar errores o información de control sobre la red.

Reporta errores como: Expiración del TTL (Time To Live - Parámetro del protocolo TCP/IP

que va en el encabezado de un paquete de datos. Especifica por cuántos nodos intermedios puede pasar el paquete de datos, antes de llegar a su destino).

Congestión Dirección IP, destino no alcanzable, etc. Viaja encapsulado en el área de datos de un datagrama IP (Paquete de

información definido por el software IP. Cada paquete enviado a través de Internet debe seguir el formato estándar especificado por el protocolo IP. Cada mensaje decodificado en datagramas, sólo lo leerá el computador de destino, siempre que esté cargado con el software de TCP/IP).

Mensaje ICMP Cambio de Ruta

Utilizado por un ruteador para indicarle a una máquina en su segmento utilice una mejor ruta para determinados destinos.

Ataques ARP e ICMP

El ataque ARP es considerado como un ataque trivial porque sólo requiere de la modificación de 1 línea de código del programa ARP.c

En el ataque ICMP la máquina intrusa K no necesariamente debe de estar en el mismo segmento de red.

El requisito observado: la dirección IP fuente del datagrama sobre el cual viaja el mensaje ICMP, debe ser igual a la dirección IP de cualquier ruteador en la tabla de ruteo de la máquina víctima.

Spoofing Attack

Es cuando un atacante se hace pasar por otra persona en el acceso a los recursos de un sistema para obtener información restringida o robarla.

Otro tipo de suplantación de identidad consiste en la creación de un falso punto de acceso inalámbrico y engañar a las víctimas en la conexión a través de la conexión ilegítima.

Un sitio de phishing puede ser igual al sitio web real, con los esquemas de color, diseño y logotipos. Una víctima que intenta utilizar el sitio sin saberlo, puede ofrecer así sus datos personales a los “criminales”.

Ataques a Nivel Aplicacion

son aquellos que se realizan explotando vulnerabilidades de aplicaciones que permitan modificar los datos que la propia aplicación manipula, pero sin la posibilidad de ejecución de comandos sobre el sistema operativo

En este tipo de ataques el intruso puede cambiar lo que desee en nuestro sitio web, o en nuestras bases de datos. Pero no se puede considerar que el servidor esté comprometido, ni que el intruso haya entrado efectivamente en el sistema.

De modo que el servidor -a pesar de estos ataques- permanece intacto. La seriedad y la gravedad de estos ataques depende de la importancia de la aplicación web atacada: no es lo mismo un ataque de este tipo en una galería de fotos online, que en una aplicación de procesamiento de pagos y transferencias financieras.

Intrusiones en la red

Inyeccion sql

es un ataque en el cual se inserta código malicioso en las cadenas que posteriormente se pasan a una instancia de SQL Server para su análisis y ejecución.

Existe un ataque menos directo que inyecta código dañino en cadenas que están destinadas a almacenarse en una tabla o como metadatos. Cuando las cadenas almacenadas se concatenan posteriormente en un comando SQL dinámico, se ejecuta el código dañino.

El proceso de inyección consiste en finalizar prematuramente una cadena de texto y anexar un nuevo comando. Como el comando insertado puede contener cadenas adicionales que se hayan anexado al mismo antes de su ejecución, el atacante pone fin a la cadena inyectada con una marca de comentario "--".

Sniffer

Es algo común que, el medio de transmisión sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él.

Los principales usos que se le pueden dar son:

Captura de contraseñas enviadas sin cifrar y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por atacantes(malmente conocidos como hackers, pero de eso hablare otro día) para atacar sistemas.

Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué el ordenador A no puede establecer una comunicación con el ordenador B?

Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.

Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la información real que se transmite por la red.

Algunos los más utilizados tenemos los siguientes:

WireshEttercaparkEttercapKismetTCPDUMP

Algunas soluciones

una recopilación de programas de seguridad unificados bajo una interfaz común que nos permite configurar y manejar la suite de forma sencilla.

En Untangle categorizan las funciones de su solución en tres apartados:

Productividad: filtrado web para bloquear el acceso a las páginas que queramos, bloqueo de spam antes de que llegue al usuario y control de protocolos, para impedir el uso de aplicaciones tipo eMule o aquellas que hacen uso de determinados puertos que no queremos dejar al descubierto.

Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta los equipos y puedan infectarlos. No elimina ningun virus, simplemente impide su entrada en la red de la empresa.

Acceso remoto: acceso remoto a la red de la empresa mediante red privada virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro de la red local y una alternativa de acceso vía web a servicios internos de la red.

es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo principal es tener un Firewall fácil de configurar, a través de un interfaz amigable con el usuario y que se pudiera instalar en cualquier PC, incluyendo PCS de una sola tarjeta.

OpenBsd considerado el sistema operativo más seguro del mundo tiene presente packet filter (PF) (filtro de paquetes sistema de OpenBsd para filtrar el trafico tcp/ip proporciona además control de ancho de banda y priorización de paquetes.) como estándar desde noviembre de 2004.