Tema 5. Inspección “Stateful”

Nombre: Matrícula:

Nombre del curso:

Seguridad en redes Nombre del profesor: Roberto Javier Rodríguez González

Módulo 1: Ataques cibernéticos Actividad: Evidencia 1

Tema 5. Inspección “Stateful”

Fecha: 11 de noviembre de 2014

Bibliografía:

Universidad TecMilenio CEL.TI09308V.351.14330 Seguridad en Redes Módulo 1 Ataques cibernéticos.

http://www.sans.org/ consultado el 11 de noviembre de 2014

http://www.cert.org/ consultado el 11 de noviembre de 2014

Teniendo como definición de denegación de servicio un ataque caracterizado por un intento explícito de evitar la disponibilidad de un servicio y mostrando los tres tipos básicos de ello:

1. Consumo de los recursos limitados o no renovables. Muy importante en el diseño de protocolos de autentificación (crypto)

2. Destrucción o alteración de la configuración de un servicio. Eg: SMTP Relay, Routing Loops

3. Destrucción Física de los Componentes. Eg:HD y sistemas de ficheros, Overclocking

En la siguiente tabla se muestran 5 diferentes tipos de ataques Dos así como características de su funcionamiento y las contramedidas para evitarlo.

Ataque Como se hizo contramedidas Como lo previene Recursos

TCP SYN FLOOD Se basan de una debilidad en el diseño del protocolo TCP para consumir los recursos de un servidor. Filtrado, reducir el tiempo syn-received, permitir sobrescribir las conexiones half-open, habilitar syn cache, habilitar syn cookies Combinar las técnicas SYN Cache y SYN Cookies Tecnológico y humano.

UDP FLOOD A través de software recibe los datos que contienen el paquete UDP y lo des encapsula hasta llegar a la capa de transporte, Obtiene el puerto destino del paquete UDP y comprueba si existe una aplicación escuchando en dicho puerto Limitar la visibilidad de los equipos mediante un firewall impidiendo que les lleguen paquetes UDP a excepción de los que vayan destinados a un servicio voluntariamente publicado. Deshabilitar la respuesta de paquetes ICMP Destination Unreachable

uso de servidores caché Tecnológico (software) y humano.

SOCKSTRESS Marco de trabajo compuesto por una serie de ataques orientados a agotar los recursos de los sistemas que aceptan conexiones TCP Debido a las similitudes con el ataque de TCP SYN FLOOD las medidas para mitigar este ataque también son aplicables a los ataques Sockstress Se puede mitigar este ataque limitando el número de conexiones aceptadas desde un mismo host. Tecnológico y humano.

DNS AMPLIFICATION Una petición DNS puede ocupar 64 bytes y generar una respuesta de tamaño hasta cincuenta veces superior. Esto, junto al falseo de la dirección IP de origen, es en lo que se basa el ataque DNS Amplification. Debido a que este ataque consume el ancho de banda de la conexión de la víctima no existe una contramedida con una efectividad absoluta, sólo es posible mitigarlo aumentando el ancho de banda o distribuyendo el contenido de la víctima a través de conexiones con distintas direcciones IP Es recomendable bloquear las respuestas no deseadas hacia los servidores de DNS. Para ello es necesario implantar soluciones que permitan el tracking de las peticiones y respuestas de los servidores DNS.

Usar herramienta DNSCheck

Tecnológico y humano.

GUSANO CONTRA

UN DOMINIO .ORG Un gusano se propaga en la red• Tiene un código básico que descarga un kit de ataque de una lista de servidores anteriormente comprometidos El gusano usa un dominio en lugar de una IP. Filtros que memoricen el estado de las conexiones (State filters)

Uso de Proxies entre los servidores y la DMZ Filtros de ingreso, salida Detectores de Intrusiones (Reaccionar Rápido) Tecnológico y humano.

Los ataques TCP SYN Flood se basan de una debilidad en el diseño del protocolo TCP para consumir los recursos de un servidor.

Para comprender este tipo de ataque se debe conocer cómo es el proceso de inicio de conexión del protocolo TCP: cuando se crea una conexión TCP, el cliente envía al servidor la solicitud de conexión (paquete SYN). En este momento el servidor reserva recursos para almacenar el estado de la conexión y responde al cliente con un paquete SYN+ACK.

El ataque TCP SYN Flood se basa en inundar al servidor de peticiones de inicio de conexión, no enviando los ACK correspondientes a los SYN+ACK enviados por el servidor, con el fin de agotar sus recursos.

La habilitación de cookies SYN es una forma muy fácil de protegerse contra ataques flood SYN y sólo usa un poco más de tiempo de CPU para

...