« t - La Coctelera

TEMA 1.

La tecnología de Internet es vieja.

Seguridad: conjunto de técnicas destinadas a asegurar
- la integridad de los contenidos que se transmiten - MEDIO
- la confidencialidad del REMITENTE Y DEL RECEPTOR

1. Mentalización 2. Conocimiento de los tipos de ataques y “fauna” 3. Defensa: técnicas

HARD SO SOFT
Actualizar disco de arranque del SO versiones actualizadas del navegador
Apagar CD de instalación Navegar por sitios web conocidos
cuidado con sistemas con IP fija versiones originales pa sp2, etc no autodownload
instala av, firew, IDS parches cto d hoaxes
no warez Mantener el anonimato
HD: scan, defrag, partición backuo datos financieros sólo en sitios web seguros
eliminar files antiguas tarjeta de coordenadas: desconfíe siempre que se las soliciten todas en un mismo formulario
no p2p ni impresoras No proporcionar datos personales
pass dif y no logicas alias email

MALWARE
Objetivo es dañar claramente a cuantos + El medio es Internet Obtener beneficios (spoofing, phising, troyanos y spyware)

NOMBRE ¿QUÉ ES? EFECTOS FORMA DE INFECCIÓN
Virus rutina capaz d replicarse en parte o en segmentos destruye datos, ralentiza soft, destruye stma d archivos, etc FD, CD’s, freeware, mensajes de correo, archivos FTP, visita de páginas infectadas.
Gusano rutina capaz d replicarse en parte o en segmentos similar a virus, satura actividad PC, infecta libreta d direcciones mail adjunto, sms
Web-bug imagen trasparente capaz d compilar datos d visitante viola confidencialidad webs trucadas, html
Troyano código malicioso con objeto d admin externa d unidad obtención d datos Archivos JPEG, scan de puertos
Spyware monitoreo d navegación para vender datos obtención d datos, spam freeware
Spam mails no solicitados pérdida d tiempo, sat d servers varios
Dialers redirigen d modo automático la conexión al 906 factura d tfno webs trucadas
Hacking Tools idem DoS, troyaniza, obtención d datos privados d user webs trucadas, freeware, warez, p2p
Hoax cadena d falsedades pérdida d tiempo, sat d servers, crean alarma mails no solicitados
NUKES code pa expulsar user d canal DoS. Sat d IRC IRC (chat)
FLOODS masivo d inputs pa tirar server DoS. Sat d IRC IRC (chat)
Jokes emulador d virus pérdida d tiempo y d datos por apagado repentino d PC mails no solicitados
Pop-ups emergentes pérdida d tiempo webs trucadas
FINGERS scan d SO víctima viola privacidad obteniendo datos scan de puertos
DROPPERS bloque scan antivirus facilitan infección webs trucadas, freeware, mails no solicitados
SPOOFING RS d origen d datos (IP, DNS...) para asaltar firewall obtención d datos privados d user con objeto de robo/stafa webs trucadas
Fake-mail e-mail con remitente falso pérdida d tiempo mails no solicitados
Exploits rutinas q aprovechan los bugs d hard y soft – distintos ataques
– desbordamiento d buffers browser, SO y soft
RABBITS genera procesos inútiles q se reproducen saturan un stma hasta el colapso – masivo mails no solicitados
– ping
Phishing bombardeo d mails falsos con suplantación d origen obtención d datos privados d user con objeto de robo/stafa – mails no solicitados
– pop-ups
Mail Bombing saturación del mailbox d un user por iteración d un envío saturación de mail entrante masivo mails no solicitados
Sniffer monitoriza info q pasa por la red obtener info confidencial – scan de puertos
– conexión en red.
Keyloggers soft d registro d tipeo Captura de pass y nicks scan de puertos
DoS iteración en peticiones de un servicio con objeto d saturarlo o interrumpirlo Saturación d servicios scan de puertos
HIJACKING hacer entrar víctima en red, captar pass/nick y echarla d la red obtener datos confidenciales webs trucadas
Diccionario programa con base de datos ara romper nick/pass obtención d datos scan de puertos
Data miner a partir d tráfico en web-site estudia conductas d navegación Hábitos de comportamiento del user Visita de páginas web.

SERVICIOS DE SEGURIDAD

Sistema Informático: conjunto formado x hard y soft, recursos a los cuales llegan las peticiones de los usuarios para ser atendidas. Hard + soft (SO y programs)

Servicios de Seguridad Qué es Ataque Malware
CONFIDENCIAL
(SECRETO O PRIVACIDAD información disponible para personas y procesos autorizados.
-- control de acceso a los sistemas.
-- Cifrado interceptar
-- troyanos
-- spoofing
INTEGRO. no debe permitir ningún tipo de modificación o corrupción de la información (bancos) modificar
(files, programs o packs trasmitidos) spoofing, looping, phising, virus y troyanos.
DISPONIBLE mantener a toda costa todos sus datos y recursos disponibles interrupción de recurso (destruido, no disponible o inestable). nukes, sabotaje d hard, troyanos, gusanos
AUTENTICO -- asegurar el origen de la información,
-- imposibilidad de rechazo (no-repudio): fabricación
(entidad no autorizada inserta objetos falsificados en el sistema) ACTIVOS: spoofing / phising
PASIVOS: troyanos

En un sistema real estos cuatro servicios de seguridad corresponden a una serie de técnicas y dispositivos como los siguientes:
1. OCULTAR DIRECCIONES IP LAN y canalizarlas de forma que hacia el exterior sólo aparezca una única dirección IP.
2. CONTROLAR EL ACCESO de los usuarios internos
3. FILTRADO de paquetes entre la red interna y externa mediante un cortafuegos (firewall).
4. Implementación de una serie de ALARMAS que informen de intromisión en el sistema.

MEDIOS PARA EVITAR LOS ENGAÑOS DE INGENIERÍA SOCIAL
email > ANTIVIRUS NO INFORMAR a través de TFNO de la CONFIG. RED DSTRUIR info (no basura)
No WAREZ (troyano/sniffer que reenvíe nuestra clave de acceso). VERIFICAR fuente de solicitud de CONFIG RED ACTUALIZAR
BLOQUEO de inputs ".exe",".vbs", etc. ACCESO FÍSICO CONTROLADO Ser SISTEMÁTICO

A2 GUARD AD-AWARE EASY CLEANER MINDSOFT UTILITIES WINZIP
detecta malware antispyware libera espacio Defrag encripta clave
NERO MBSA TRUST SETTER ANONYMITY 4 PROXY
test d vulnerabilidad zonas seguridad IE anonimizador

ACTUALIZA hard & soft.
BIOS => CONTROL DEL ACCESO POR FIRMWARE instalar una clave de entrada desde la BIOS (AMI y AWARD) -> F2, Supr, ESC FLASHEAR: desconectar la batería de la placa base para borrar el contenido de la CMOS por olvido de pass

MANTENIMIENTO Y OPTIMIZACIÓN
LIBERACIÓN DE ESPACIO EN DISCO
EasyCleaner: -- Busca/elimina accesos directos d archivos inexistentes, duplicados o innecesarios: .tmp .bak, .old y .chk.
-- Realiza un mantenimiento de los programas que se inician automáticamente al comenzar Windows
-- Realiza un mantenimiento de los programas instalados en el equipo
-- para cualquier versión de Windows y existe un parche de traducción al castellano.
Inicio > Todos los programas > Accesorios > Herramientas del sistema > Liberación de espacio en disco. (15 días)
DEFRAG DE DISCO Archivo fragmentado se encuentra dividido en varios clusters en pistas distintas (acceso + lento de las cabezas de lectura/escritura del HD). MINDSOFT UTILITIES
Todas estas operaciones de mantenimiento y optimización pueden realizarse con un único conjunto de utilidades como MindSoft Utilities. share 14 days
Inicio > Todos los programas > Accesorios > Herramientas del sistema > Desfragmentador de disco.
COPIAS DE SEGURIDAD
backup

ser sistemático seleccionar un par de cosas:
-- backup de la carpeta (Mis documentos) se sobrescribirán
-- acceso sólo admin. -- base.- CD, FD o cintas que pueden estar dañados.
-- soporte baratos que con el tiempo pierden la información.
-- copias de seguridad parciales
-- intervalos de tiempo excesivamente dilatados
-- seguridad.- Guardar en un lugar tan seguro que se nos olvide.
FD.- para discos de arranque, datos de particiones y archivos importantes.
DAT.- DC2000 y las DC600. slow y degrada ( amplio intervalo de tiempo).
MAGNETO.- 90s v de grabación y facilidad de instalación y portabilidad.
CD/DVD.- CD-R, CDRW y DVD
HD.- Las empresas - Intranets - discos duros de gran capacidad ubicados en el interior del host de la Intranet. backups: en CD o DVD regrabables.

El almacenamiento de las copias debe realizarse
-- en locales diferentes de donde reside la información primaria.
-- verificar periódicamente la integridad de los respaldos
-- procedimiento para garantizar la integridad física de los respaldos
-- encriptar antes (privacidad)
-- borrar físicamente la información
-- disponer de hardware de características similares a los utilizados
-- garantizar que la reproducción de toda la información necesaria
Inicio > Todos los programas > Accesorios > Herramientas del sistema >Copia de seguridad
PASS -- “difíciles” de adivinar.
-- No apuntar (archivo encriptado).
-- No teléfono (mail encriptado).
-- No compartir
-- No utilizar la misma / Cambiar
-- indep del user o palabra con sentido (no diccionario, no fecha, alfanumerica palabra_nº)
-- usar “niveles” de contraseña
-- encripta claves con winzip GOOD PASS
-- 6 ó + letras /números.
-- No diccionario,
-- Contiene mayúsculas, minúsculas, números y caracteres especiales que no deben ir ni al principio ni al final.

NIVELES -- mismo nick
-- 1 (más seguro) cuentas bancarias
-- 2 se aplicará a contraseñas de uso cotidiano
-- El tercer nivel información no es importante

SEGURIDAD EN EL SISTEMA OPERATIVO

XP > 5 nilveles
1. Particiones del HD: NTFS.
2. Las carpetas con programas: sólo permisos de lectura, permitir escritura en subcarpetas o archivos necesarios para su funcionamiento.
3. Si hay carpetas compartidas, deben de tener asignados los permisos correspondientes. debemos DESMARCAR
Herramientas > Opciones de carpeta > Ver > Utilizar uso compartido simple de archivos.
4. Instalar un FIREWALL o cortafuegos para proteger los puertos.
5. Habilitar CAMBIO RÁPIDO DE USER.
Panel de Control > Cuentas de Usuario > Cambiar la manera en que los usuarios inician sesión > Usar la pantalla de Bienvenida y Usar cambio rápido de usuario. 6. CUENTAS y ponerle PASS a todas.
7. sólo una cuenta como ADMIN
8. SLVAPANTALLAS con pas y 3 minutos de tiempo o bloquear el equipo cuando no estemos delante. 9. ANTIVIRUS
10. Instalar los SERVICE PACKS..
11. Hay que comprobar la versión instalada de Windows XP:
Inicio > Ejecutar > Winver
12. Desactivar servicios innecesarios.
Inicio > Ejecutar > services.msc.
se deshabilitarán los siguientes servicios:
-- Host de dispositivo Plug and Play universal.
-- Escritorio remoto compartido de NetMeeting.
-- Registro remoto.
-- Enrutamiento y acceso remoto.
-- Servicio de descubrimientos SSDP.
13. Configurar POLITICAS DE GRUPO y hacer que se apliquen a todos los usuarios menos al Administrador.
Inicio > Ejecutar > gpedit.msc.
Directiva Equipo Local > Configuración del equipo > Configuración de Windows > Configuración de Seguridad > Directivas de cuenta.
En este bloque de directivas se encuentran las directivas de contraseña y las de bloqueo.
MBSA MICROSOFT BASELINE SECURITY ANALIZER -- free
-- test de sus productos
-- Scan a computer
--cinco tipos de chequeo que va a realizar MBSA: 1-- Chequeo de vulnerabilidades de Windows.
2-- Chequeo de contraseñas.
3-- Chequeo de vulnerabilidades IIS.
4-- Chequeo de vulnerabilidades SQL.
5-- Chequeo de actualizaciones de seguridad.
BROWSER -- actualiza
-- fire + antivirus
-- config (zonas de seg, bloqueo d cookies y emergentes):
-- no hay opciones por defecto para actuar en la crítica zona reservada para la ejecución local de nuestro equipo (Zona 0). ZONAS DE SEGURIDAD:
-- Zona 0 > Mi PC.
-- Zona 1 > Intranet local.
-- Zona 2 > Sitios de confianza ( navegación segura).
-- Zona 3 > zona Internet (por defecto)
-- Zona 4 > Sitios restringidos ( navegación peligrosa).
Inicio > Panel de control > Opciones de Internet > Seguridad
-- Zona Sitios restringidos
desactivados todos los controles ActiveX
no ofrezca garantías de seguridad como, por ejemplo, páginas de clientes P2P de descarga de archivos, etc

Por defecto, el nivel predeterminado de esta zona es Media. Para desactivar las secuencias de comandos ActiveX, proceder de la siguiente forma:
Nivel Predeterminado > Automatización> Desactivar en Secuencias de comandos ActiveX Para cambiar esta configuración, de modo que aparezca el icono de Mi PC hay que utilizar el editor del registro de Windows.
Cada zona (excepto la de Mi PC) tiene asignado un nivel de seguridad que puede ser de dos tipos: predeterminado y personalizado.
Los niveles predeterminados son 4: alto, medio, medio-bajo y bajo.
-- Internet es el nivel medio
-- la zona Intranet presenta un nivel predeterminado Medio-bajo,
-- la zona Sitios de confianza un nivel bajo y la zona Sitios restringidos un nivel alto.

Service Pack 2 (SP2) de Windows XP bloqueará ocasionalmente la instalación de archivos solicitados por el usuario o recibidos a través en Internet. cuando el archivo contenga un control ActiveX o un complemento del explorador Web que no tenga una firma digital válida.
Un control ActiveX es un programa ejecutable que se inserta en una página web y que suele ejecutarse de forma automática cuando se abre dicha página.

Una firma digital es un sistema de control que confirma el fabricante de un archivo (controla posibles falsificaciones) y q no ha sido modificado desde que se firmó
Inicio > Ejecutar> regedit
en el panel izquierdo abrir la siguiente rama, pulsando en el símbolo + hasta abrir la última carpeta de la rama, la llamada ‘0’.
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Internet Settings
\Zones
\0 -- Zona 0. Mi PC desactivar la Secuencia de comandos ActiveX
zona 0: Mi PC > Nivel Personalizado > Automatización - Secuencias de comando ActiveX > Desactivar.
-- Zona Sitios de confianza
-- Asignar el nivel medio.
-- Añadir los sitios que utilizamos a diario de plena confianza.

Para asignar el nivel medio:

- Panel de control > Opciones de Internet.
- Seguridad > Sitios de confianza.
- Restablecer > Media
valor Flags: cambiar 21 por un 1 y seleccionar Aceptar. La columna Datos debe mostrar 0x00000001

Para que Mi PC quede oculto, repetir lo anterior RS 21 en vez de 1 en Flags. Utilidad TRUST SETTER v2.01 de Jason Levine agrega tres iconos a la barra del IE:
-- El primero (Add To Trusted Sites), agrega o quita un sitio de la lista Sitios de confianza. [V: Verde]
-- El segundo (Add To Restricted Sites) hace lo mismo pero con la lista de Sitios restringidos. [Botón -, Rojo]
-- El tercero (Trust Setter), permite editar, mover de zona y hacer copias de seguridad de la configuración. [Botón T Azul]
BLOQUEO DE COOKIES Y popups GOOGLE BAR
NAVEGACIÓN ANÓNIMA -- unicidad dirección IP
-- ADSL: IP estática
-- IP fijas tb en dominios propios.

Eludir registro
1-- SPOOFING
2-- borrar todos los rastros (logs): inseguro (no certificado 100%)
3-- ordenadores intermedios entre el PC atacante y el PC victima Anonimizadores
a. program tipo ANONYMIZER
La forma de actuar es la siguiente:
-- Hay muchos sitios que no se abren y tampoco funciona con las páginas alojadas en servidores seguros (https://).
-- No permite la recepción de cookies.
-- Desactiva las secuencias JavaScript y ActiveX.
-- Ralentiza la navegación.
-- Para un servicio óptimo hay que pagar.
-- Añade banners con publicidad de sus patrocinadores.
-- JAP (logea)
b. servidor proxy
-- El uso más normal como pasarelas (gateway)
-- prestar servicios como caché de documentos solicitados por muchos clientes.
-- Los servidores proxy presentan las siguientes limitaciones frente a los anonimizadores:
+ no permiten configuración de bloqueo de cookies.
+ logea (registro en el proxy)
+ IP del servidor proxy refleja IP dominio del cliente o se acerca.
+ restringir el acceso según políticas particulares.
+ pueden ser transparentes en mayor o menor grado .
+ caducidad hay que estar pendiente de actualizarlos o sustituirlos.

Hay un listado Multiproxy. (Proxys-4-All Anonymity 4 Proxy (A4 Proxy) es una utilidad que incluye una larga lista de servidores proxy anónimos de todo el mundo, SamAir

estándar OSI > 7 niveles: 2 son d tpte y red.

Nivel de transporte TCP Nivel de red IP
protocolo nivel de tpte original NCP (Network Control Protocol) para la red ARPANET
por crecimiento degradación fiabilidad extremo a extremo de la red,
protocolo TCP: PARA TOLERAR SUBREDES NO FIABLES.
orientado a la conexión entre 2 nodos. ruta única y fija durante TODO el tiempo da conexión IP en los 80s.
direccionamiento de los paquetes suministrados por la capa de transporte.
TCP/IP (Transmission Control Protocol/Internet Protocol). Está formado por más de 100 protocolos de comunicaciones
de bajo nivel (TCP, IP, ICP, UDP, ICMP, PPP, SLIP, RARP, SMTP, SNMP...
-- UDP (Universal Data Packet). Protocolo de tpte de datagramas
-- ICMP (Protocolo de mensajes de control de Internet). extensión d IP
permite generar mensajes de error, paquetes de prueba y mensajes informativos relacionados con IP.
comprueba q 1 máquina consultada existe.

DIRECCIONES IP
– identifican de manera única cada máquina o nodo a través de un formato (datagrama) que reparte los 32 bits de longitud de cada dirección en 2 bloques de campos: cabecera y datos.
– cabecera.- donde se especifica las IPs de fuente destino – IP = números de 32 bits (rango entre 0 y 2^32)
– cuatro números (8 bits) separados por puntos
– rango es de 0 a 255.
– IP entre 0.0.0.0 y 255.255.255.255.

A B C D E

clase grandes redes red tamaño medio redes pequeñas redes de multitransmisión o multicasting* para el futuro
rango IP 127.(255)^3 191.(255)^3 223 .(255)^3 239 .(255)^3 247 .(255)^3
longitud campo RED 7 bits 14 21
longitud campo HOST 24 16 8
Posición 1er 0 1 2 3 4 5
nº max de redes 128 16384 2097152
nº max d PCs 16777216 65536 256

Intranet:
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
192.168.0.0 192.168.255.255

5 existen cinco clases de redes. - Las tres primeras tienen en cuenta la longitud del campo red y del PC.
La clase a la que pertenece una IP se determina por la posición del primer 0 en los cuatro primeros bits.

Clase D: en las cuales el paquete IP SE ENVÍA DE FORMA SIMULTÁNEA A UN CONJUNTO DE MÁQUINAS que por ejemplo pueden estar cooperando de alguna manera mediante la utilización de una dirección de grupo.

MÁSCARA SOCKET DHCP
- bajo TCP/IP indica cómo y por dónde enviar un mensaje
- serie de 4 números, que ejecutado bit a bit con una dirección IP
- indica al sistema si esta dirección IP pertenece a la subred local (es alcanzable mediante broadcast) o no pertenece a la subred local, y por tanto (el mensaje TCP, hay que enviarlo al gateway o puerta de enlace de nuestra red.) - canal de comunicaciones entre dos host que se comunican mediante TCP.

- queda definido por 4 números: IP y puerto d PC origen + IP y puerto d PC destino. - mecanismo estándar que permite a un servidor DHCP suministrar automáticamente direcciones IP a las máquinas que se conectan sin dirección IP.

DOMINIOS Y SISTEMA DE NOMBRES DE DOMINIO DNS (Domain Name Server)
- IP única para cada PC
- sintaxis general IDENTIFICADOR_USUARIO@DOMINIO.
2 tipos de dominios de nivel más alto:
– organización - antiguo
– geográfico actual - son grandes PC q comprueban el nombre de dominio y lo convierten a una dirección IP.
- el usuario solo debe recordar nombres y no números.
- IP dinámica, nuestra dirección Internet no se ve alterada pq el servidor DNS de nuestro proveedor se preocupará de traducir en cada ocasión la parte de dominio de nuestra dirección Internet a la dirección IP asignada en cada momento. - Para visualizar todos estos parámetros hay que ejecutar el comando IPCONFIG/all

PUERTOS DE COMUNICACIÓN para cada servicio elegido (web, e-mail, FTP, etc.) se abre un puerto [LÓGICO] de comunicación (http: 80; ftp :21)
CLASIFICACIÓN (+ de 65000) ESTADOS
IANA REGISTRADOS DINÁMICOS O PRIVADOS NO ASIGNADOS ABIERTO > aplicación escuchando, posible conexión. - (Vulnerable)
CERRADO> no apl., no acceso, lo normal del SO - (conex rechazada)
BLOQUEADO O SIGILOSO> sin respuesta (firewall o apagado) - (timeout)
1024
+ conocido 1025-49151 49151-65535 a los 3 anteriores (trojans)
RECOMENDACIONES acceso sólo a los servicios que sean imprescindibles aplicaciones de tipo cliente (browser, IRC, cliente mail) no precisan puerto abierto

DETENCIÓN DEL ESTADO DE LOS PUERTOS
1 SO netstat

cmd.exe + PROTOCOLO. Indica el protocolo utilizado para la comunicación por cada una de las conexiones activas (TCP/UDP).
+ DIRECCIÓN LOCAL (Local Address). Indica la dirección origen de la conexión y el puerto. + DIRECCIÓN REMOTA: (Foreign Address). Indica la dirección de destino y el puerto. + ESTADO (State).
— Listening (Listen): en espera d conexión
— Established: conexión ha sido establecida
— Close_Wait: conexión sigue abierta, pero el otro extremo nos comunica que no va a enviar nada más
— Time_Wait: conexión ha sido cerrada, pero no se elimina por si hay algo pendiente de recibir. — Last_ACK. La conexión se está cerrando
— Closed. La conexión ha sido cerrada definitivamente.
dirección IP interna, loopback = 127.0.0.1, localhost.
2 SCAN ON-LINE
3. TOOLS PCSUPER SCANNER: scaneo automático d 65535 puertos detectando abiertos.
ADVANCED PORT SCANNER:
dsd scan IANA hasta scan x rangos de direcciones IP o rangos de puertos. (Casilla “Use range”)
SUPERSCAN
(1) SCAN los puertos del ordenador, (2) realizar PINGS, (3) efectuar traceroutes, (4) whois > nombre de host de una determinada dirección IP
– Soporta ilimitados rangos de direcciones IP
– Detecta el host usando múltiples métodos ICMP
– Presenta los resultados en un sencillo formato HTML
– Muestra, funciones de cada puerto TCP yUDP

ATAQUES A LA CONEXIÓN Y PUERTOS DE COMUNICACIÓN
peligro: CONEXIÓN A LA RED
IP TIPO DINÁMICO < peligro DIRECCIÓN IP: dato sensible
PUERTOS ABIERTOS,LISTEN A < puertos, mejor
Poner pass en to2 recursos

tipos de ataques: 1. SCAN DE PUERTOS; 2. INTERCEPTACIÓN DE PAQUETES Y SOBRE PROTOCOLOS 3. DOS

ESCANEO DE PUERTOS portscan
– consiste en efectuar repetidos intentos de conexión a máquinas remotas para ver si existen puertos abiertos
– se realizará seleccionando rango de IPs y los puertos
– se puede hacer dsd línea de comandos usando telnet
– si se conoce la IP de la máquina, prob d éxito enorme CLIENTE > SERVER (spoofing)
Paso I. Handshake o saludo:
SYN > servidor > ACK (abierto)
SYN > servidor > RST (cerrado).
Si ACK, Paso II: Lo mismo, con FYN
TIPOS:
– HORIZONTAL. Scan puertos de una red (busca exploits) LAN
– VERTICAL scan puertos de 1 máquina PC
– VANILLA todos los puertos del sistema, (TO2)
– STROBE sólo lo hace contra determinados puertos o rangos

TIPO por TÉCNICAS:
1. OPEN
+ establece conexión TCP completa 3-way handshake,
+ rápida, sencilla y fiable que no necesita de ningún privilegio
+ resulta muy fácil de detectar y detener. TIPO por TÉCNICAS:

2. HALF-OPEN
+ finaliza la conexión antes del fin de 3-way-handshake
+ dificulta la detección del ataque por parte d IDs
+ escaneos SYN, bloqueados por fireW
+ variante DUMB SCANNING con tercera máquina d camuflaje
+ conjunto de técnicas capaces de eludir fireW. + No pueden ser registradas por IDs, ni orientados a red ni en el propio host escaneado.
+ simulan tráfico normal
TIPOS POR PROTOCOLO
TCP CONNECT
+ tipo OPEN
+ fácilmente detectable NETSTAT: cantidad de conexiones y sms de error por máquina que se conecta y desconecta continuamente.
+ no precisa privilegios de admin TCP SYN.
+ tipo HALF-OPEN: Si se recibe un SYN|ACK, envía un RST.
+ difícil d detectar
+ En UNIX se necesitan privilegios de admin para construir estos paquetes SYN
TCP FIN.
+ tipo stealth: envia un paquete FIN: si el puerto está cerrado nos va a devolver un RST y si está abierto nos va a ignorar.
+ se debe a un error en las implementaciones TCP que, por suerte, no funciona al 100%.
+ Microsoft es inmune TCP REVERSE IDENT o REVERSE DNS.
+ conexión TCP completa
+ Usa el protocolo IDENT que permite averiguar el nombre de usuario y el dueño de cualquier servicio que se esté ejecutando dentro de una conexión TCP.
A. POR FRAGMENTACIÓN.
escaneo tipo SYN o FIN procurando que los paquetes que se envían estén fragmentados. van quedando en la cola y no son detectados por los cortafuegos ni por los filtradores de paquetes.
B. DE PROTECCIÓN.
+ paquetes de sondeo q se parten en un par de fragmentos IP.
+ detectable: puede producir caídas de rendimiento tanto en el sistema del cliente como en el del servidor
FTP BOUNCE ATTACK.
+ FTP permite conexión Proxy FTP: consiste en conectarse a FTP dsd proxy, establecer conexión y enviar un archivo a cualquier parte de Internet.
+ escaneos de tipo sigiloso,
+ difíciles de rastrear.
+ son lentos y poco usados. UDP ICMP PORT UNREACHEBLE.
+ Usa UDP, más simple que el TCP, pero al escanear se vuelve sumamente complejo (si un puerto está abierto no tiene porqué enviar un paquete de respuesta y si UDP está cerrado puede enviar un paquete de error ICMP_PORT_UNREACH.
+ Esta técnica suele resultar desesperadamente lenta.
PORT BOUNCING. rebote de puertos
+ usa 1 o más sistemas intermedios para ocultar la IP + queda registrado en logs
+ abre un puerto en un sistema, que hace de puente entre el atacante y la víctima. FINGER PRINTING.
+ averigua el SO del PC atacado para ver nivel d seguridad
+ no es un scan en sí y es poco efectivo, pero se usa para llevarlos a cabo.
+ Usa programas específicos

TCP CONNECT open, no necesita privilegios de root
SYN half-open, necesita privilegios de root
FIN stealth (inmune Msoft) < por error en TCP devuelve RST port closed
REVERSE IDENT open (SYN/FIN) POR FRAGMENTACIÓN. o PROTECCIÓN.
FTP proxy > FTP > scan (lento y sigiloso)
UDP ICMP puede devolver si estás cerrado ICMP PORT UNREACHEBLE. (lento)
PORT BOUNCING usa sistemas intermedios
FINGER PRINTING tipo de SO

ATAQUES POR INTERCEPCIÓN DE PAQUETES Y SOBRE PROTOCOLOS
EAVESDROPPING. ataque de intercepción pasivo
SNIFFING. Configurar la tarjeta de red en modo promiscuo (sumidero)
SNOOPING-DOWNLOADING intercepta el tráfico d red y accede a info en HD
SPOOFING.
creación de tramas TCP/IP utilizando una dirección IP falsa. DNS SPOOFING resolver con una dirección IP falsa un cierto nombre DNS
ARP SPOOFING tramas ARP que en LAN fuerza a máquina a enviar paquetes a un host atacante.
WEB SPOOFING PHIXING (enruta y registra) – ventanita
LOOPING. usa sistema para obtener información e ingresar en otro, etc
IP SPLICING – HIJACKING. Intercepción de una sesión de comunicación ya establecida y suplanta

ATAQUES POR INTERCEPCIÓN DE PAQUETES Y SOBRE PROTOCOLOS
conseguir info:
– monitorizando de forma silenciosa los paquetes y tramas que le llegan (ataques de fabricación activos y pasivos),
– suplantando su dirección IP (ataques de autentificación).
se necesita un conocimiento exhaustivo de los diversos protocolos que intervienen durante la comunicación.
5. SPOOFING.
+ creación de tramas TCP/IP utilizando una dirección IP falsa.
+ atenta contra la autenticidad del sistema.
+ simula la identidad de otra máquina de la red con el objetivo de conseguir acceso a recursos de una 3ª que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado
+tres máquinas: un atacante, un atacado, y un sistema suplantado que tiene cierta relación con el atacado para
a. establecer una COMUNICACIÓN FALSEADA con su objetivo
b. evitar que el equipo suplantado interfiera en el ataque DDoS
+ no es una técnica de acción inmediata + ataque ciego pues no se ve R de la víctima + Se evita:
1. reforzar la secuencia de predicción de números de secuencia TCP, bien mediante un esquema de generación robusto (plataforma Unix), bien evitando que esta numeración sea correlativa (plataforma Windows). 2. Eliminar las relaciones de confianza basadas en la dirección IP o el nombre, RS por relaciones basadas en claves criptográficas. 3. Cifrado y filtrar las conexiones que pueden aceptar nuestras máquinas.

Tipo DNS SPOOFING : resolver con una dirección IP falsa un cierto nombre DNS o viceversa,
Tipo ARP SPOOFING: tramas de solicitud y respuesta ARP falseadas que en LAN fuerza a máquina a enviar paquetes a un host atacante.
efectos:: desde DoS hasta interceptación de datos.
WEB SPOOFING
versión simplificada del PHIXING: permite al intruso visualizar y modificar cualquier página web que su víctima solicite a través de un navegador, incluyendo las conexiones seguras vía SSL.
Inserta código malicioso (ventanita en el navegador) q enruta todas las páginas dirigidas al equipo atacado donde se modifican y registrado ETHEREAL (Sniffer)
+ utilidad de monitorización del estado de la red Ethernet.
+ posibilita lista de las conexiones, estadísticas vitales de IP y examinar los paquetes individuales.
+ paquetes de transmisión se decodifican al máximo con un completo análisis de los principales protocolos de IP: TCP, UDP, e ICMP.
+ GUARDA LOGS de los paquetes analizados para su posterior análisis y FILTROS para seleccionar que paquetes que interesa capturar y cuáles no.

3. SNOOPING-DOWNLOADING.
+ obtener información sin modificarla,
+ intercepta el tráfico de red y accede a información contenida en el HD de la víctima 2. SNIFFING.
+ monitorizan la información que circula por la red,
+ situación: en cualquier máquina de una LAN, en un ROUTER o en GATEWAY pudiendo ser controlados tanto por usuarios legítimos como por atacantes
+ SNIFFING: CONFIGURAR LA TARJETA DE RED EN MODO PROMISCUO, desactivando el filtro de verificación de direcciones para q to2 los paquetes que circulan por la red entran por la tarjeta del ordenador donde está instalado el software del sniffer.
+ Este software era utilizado por admin en análisis d tramas
1. EAVESDROPPING.
+ ataque de INTERCEPCIÓN PASIVO
+ intercepción de paquetes sin modificación.
+ difícil detección ya que el intruso es capaz de capturar información confidencial de forma sigilosa y utilizarla en cualquier momento, con lo cual el ataque se vuelve activo (sniffing).
4. LOOPING.
usa sistema para obtener información e ingresar en otro, y así para imposibilitar localizar atacante 6. IP SPLICING – HIJACKING.
INTERCEPCIÓN DE UNA SESIÓN DE COMUNICACIÓN YA ESTABLECIDA en la que el atacante espera a que la víctima se identifique para poder SUPLANTARLA como user autorizado.

IP FLOODING LAN trafico espúreo ip origen/destino falsa
ip origen/destino PC atacado
BROADCAST LAN/remoto IP promiscua (broadcast) router ping > Spong
SMURF ICMP todo PC resp a 1 PC ip origen/destino falsa
TEARDROP SO confunde reconstrucción posicion/longitud
ECHO-CHARGEN / SNORK
DOOM / QUAKE 2 servicios los cruza ping pong infinito
LAND ip origen = destino viola protocolos soft mala calidad
PING OF DEATH long max d IP/UDP/TCP/ICMP cabecera pack overflow/coredump

DENEGACIÓN DEL SERVICIO [DOS] :
imposibilidad de acceso a un recurso o servicio por parte de un usuario legítimo por apropiación externa o destrucción.
1. IP FLOODING
– en LAN o en conexiones con un gran ancho de banda.
– generación de TRÁFICO ESPURIO (inundación de packs IP)
– LANs dnd el control de acceso al medio es nulo y cualquier máquina puede enviar/recibir sin ningún tipo de limitación

TRÁFICO GENERADO:
– ALEATORIO: DIRECCIÓN de origen o destino del paquete IP es ficticia o FALSA.
degrada el servicio de comunicación del segmento de red dónde el ordenador responsable del ataque está conectado. – DEFINIDO O DIRIGIDO: dirección de origen, destino o ambas es la de LA MÁQUINA QUE RECIBE EL ATAQUE.
objetivo 2ble: colapsa red + colapsa server

TIPOS DE DATAGRAMAS
– UDP. Generan peticiones sin conexión a cualquiera de los 65535 puertos disponibles.
– ICMP. Generan mensajes de error o de control de flujo malicioso. – TCP. Generan peticiones de conexión > saturación
consume recursos de memoria y CPU por cada conexión. 2. BROADCAST – en LAN pero tb en forma remota. – El protocolo IP dispone de un sistema de radiodifusión (BROADCAST) que permite la comunicación simultánea con todos los ordenadores de la misma red (bits de la máscara en 1)
– utiliza la dirección de identificación de la red IP (broadcast address) como dirección de destino del paquete IP.
– el router se ve obligado a enviar el paquete a todos los ordenadores pertenecientes a la red
– variante PING falseando la dirección IP de origen y substituyéndola por la dirección de broadcast de la red a atacar.
los pong se ven amplificadas y propagadas a todos los ordenadores pertenecientes a la LAN.
3. SMURF – ICMP realiza control de flujo de los datagramas IP: permite desde la comunicación de situaciones anómalas (no se ha podido realizar la entrega del paquete IP) hasta la comprobación del estado de una máquina en Internet (ping - pong o ECHO - ECHO REPLY).
– falsea las direcciones de origen y destino de una petición ICMP de ECHO
– dirección de origen:IP de la máquina que va a ser atacada.
– campo de la dirección de destino: dirección broadcast de la red local o red que utilizaremos como “lanzadera” para colapsar al sistema elegido.
– todas las máquinas de la red contestan a la vez a una misma máquina
6. DOOM / QUAKE – generalización d ECHO-CHARGEN
– buscar algún servicio activo (los servidores de juegos en red del DOOM y el QUAKE por ejemplo) que responda a cualquier datagrama recibido. – consumir recursos e bloquear sever del juego, el juego en cuestión queda también afectado 7. LAND – falsear la IP y puerto origen para q sean = q la del destino.
– peticiones de conexión desde él mismo hasta él mismo acompañadas de violaciones expresas de los campos de opciones de los protocolos
– causa: mala calidad del software encargado de gestionar las comunicaciones
4. TEARDROP – paquete IP tiene un tamaño máximo de 64K (65.535 bytes), – para enviar una cantidad de datos mayor hay que enviar
– necesario fragmentar los paquetes IP en varios trozos que serán reconstruidos al llegar al destino. – se controla esta fragmentación, con campos del protocolo IP en la cabecera del datagrama, cuya función consiste en señalar si lo está y qué posición ocupa dentro del datagrama (con el bit MORE en el campo flags
– teardrop confunde al SO en la reconstrucción del datagrama falseando los datos de posición y/o longitud de forma que el datagrama se sobreescriba (overlapping) y produzca un error de sobreescritura del buffer (buffer-overrun) al tratar con desplazamientos negativos.
– el SO detecta el intento de acceso a una zona de memoria que no corresponde al proceso ejecutado y aborta el servicio.
– variante enviar cientos de fragmentos “modificados” de forma que se solapen para saturar la pila de protocolo IP de la máquina. 8. PING OF DEATH (Ping de la muerte)
base: (teardrop)
– La definición de la longitud máxima de paquetes de los protocolos IP/UDP/TCP/ICMP:
+ la longitud máxima de un datagrama IP es de 64K (65535 Bytes) incluyendo la cabecera del paquete (20 Bytes)
+ ICMP es el proto que se utiliza para la comunicación de sms d control de flujo en las comunicaciones y tiene una cabecera de 8 bytes.
+ pa enviar un mensaje ICMP quedan disponibles: 65535 - 20 - 8 = 65507 bytes
– La capacidad de fragmentación de los datagramas IP.
+ Para poder enviar un paquete de más de 65535 bytes, se fragmenta

Supóngase que se desea ordenar al SO que envíe un datagrama de 65510 bytes (correcto, < 65535 bytes).
órdenes correspondientes en Windows y Unix son las siguientes:
ping - l 65510 dirección_ip (Windows).
ping - s 65510 dirección_ip (Unix).
< 65535 bytes, luego los datos a enviar pueden almacenarse en un único paquete IP fragmentado en n trozos, cada uno perteneciente al mismo datagrama IP.
Sumando el tamaño de las cabeceras se obtiene:
20 bytes (cabecera IP)+8 bytes (cabecera ICMP)+65510 bytes (datos) = 65538 bytes
al ser reensamblado, overflow/coredump, capaces de provocar el colapso del servicio o del sistema atacado.
5. ECHO-CHARGEN / SNORK – IP define un stma de pruebas simple para verificar el funcionamiento del protocolo de comunicación. (ECHO : REPLY).
– IP define un servicio para la recepción de un datagrama UDP al puerto 7 (ECHO).
– existe un servicio UNIX denominado CHARGEN (CHARacter GENerator, generador de caracteres) que dada una petición responde con una secuencia aleatoria de caracteres y se encuentra disponible escuchando constantemente datagramas UDP en el puerto 19
– SNORK cruza ambos servicios: falsa al servicio CHARGEN (que retorna una secuencia de caracteres pseudoaleatoria) falseando la dirección de origen dando como puerto de respuesta el puerto ECHO (que responde a cualquier petición) de la máquina a atacar.
– juego de ping-pong infinito entre el PC atacado y la máquina lanzadera entre varios ordenadores o desde un mismo ordenador

TRINOO master/slave privilegios de admin Solaris
TFN cliente/daemons = q ant. Usa DoS: SYN Flood, UDP Flood y SMURF
STACHELDRAHT handlers/agents no shell d root en maquinas infectadas ICMP Flood, UDP Flood, SYN Flood y SMURF.
SHAFT shaftmasters/shaftnodes UDP
TFN2K TFN (DoS contra cualq PC) max segmentación

DENEGACIÓN DE SERVICIO DISTRIBUIDO (DDOS)
ataque de denegación de servicio (DOS) cn múltiples focos distribuidos y sincronizados con 1 solo destino
TRINOO – implementa un ataque DoS mediante un modelo jerárquico maestro/esclavo (master/slave). – se encontró en sistemas Solaris aprovechando bugs conocidos del sistema operativo (buffer overflow...).
– precisa privilegios de administrador para instalar los programas y demonios (daemons) necesarios. TRIBE FLOOD NETWORK (TFN)
– parecida a la del TRINOO, diferenciando entre la parte cliente/daemons
– uso de técnicas DOS como SYN Flood, UDP Flood y SMURF. – se encontró en sistemas Solaris
– con “shell de root” instala daemon q escucha en el puerto TCP requerido
– se le creía sólo (back door) para insertar “sniffers” de red.
STACHELDRAHT (alambre de espinas) – basada en TFN + características más sofisticadas como el cifrado en el intercambio de mensajes
– jerarquía “handlers” y “agents” – permite ICMP Flood, UDP Flood, SYN Flood y SMURF.
– no contiene la posibilidad de proporcionar un “shell de root” en las máquinas infectadas. SHAFT
– paradigma jerárquico“shaftmasters”/“shaftnodes”. – El atacante se conecta mediante cliente a los shaftmasters desde dónde con UDP inicia, controla y finaliza los ataques DDOS.
– El atacante se conecta vía TELNET a un shaftmaster utilizando una conexión fiable, una vez conectado se le pide un password para autorizar su acceso al sistema.
– como UDP no es fiable, SHAFT utiliza la técnica de los “tickets” para mantener el orden de la comunicación y poder asignar a cada paquete un orden de secuencia.
– La combinación del password y el ticket son utilizadas para el envío de órdenes a los shafnodes, que verifican que sean correctos antes de aceptarlos.
TRIBE FLOOD NETWORK 2000 (TFN2K) – revisión de TFN que permite DoS contra cualquier máquina conectada a Internet. – máximo número de ordenadores segmentados. Así si un cliente (o master en TRINOO) es neutralizado el resto de la red continua bajo control delatacante.

DOS/DDOS. sistemas anti-DOS/DDOS.
1. SISTEMAS DE ORIGEN. Los múltiples puntos dónde se origina la generación masiva de datagramas IP. 2. SISTEMAS INTERMEDIOS. Sistemas pasivos por dónde circulan los paquetes IP hasta llegar a su destino. 3. SISTEMA FINAL. Destino final del ataque. 1. cortafuegos (firewalls) y detección de Intrusos (IDS).
2. se encuentran instalados al final de la cadena de ataque (sistema atacado)
3. eficacia es mínima: el consumo de ancho de banda se realiza igualmente, con lo que la respuesta a usuarios legítimos se ve interrumpida.

SOLUCIÓN:
1. Debe ser una solución DISTRIBUIDA ya que se trata de resolver un problema distribuido. Las soluciones locales carecen de sentido 2. No debería, en ningún caso, penalizar el tráfico de los usuarios legítimos: FILTRO = degrada el stma
3. Debe ser una solución robusta y UNIVERSAL, válida TANTO PARA AMENAZAS EXTERNAS COMO INTERNAS.
El sistema debe ser capaz de identificar los nodos y usuarios legítimos así como detectar y aislar, maliciosos 4. Debe de ser VIABLE en su aplicación y universalmente adoptada por toda la comunidad Internet, SENCILLA Y REALIZABLE con un coste razonable de recursos.
5. Debe de ser una solución INCREMENTAL que tenga muy en cuenta la idiosincrasia de Internet. L.la red es un sistema tan heterogéneo que prácticamente resulta imposible la implantación de un nuevo protocolo. APLICACIÓN GRADUAL Y SER COMPATIBLE con el resto de los sistemas donde aún no esté implementada.
– soluciones agregadas o distribuidas como el ACC (Aggregated-based Congestion Control), SOS (Secure Overlay Service) o DefCOM (Defensive Cooperative Overlay Mash).
– requieren de comunicación directa con el resto de sistemas intermedios, limita su eficacia y expansión únicamente a las redes de investigación,

FIREWALLS: soft, hard o ambos capaces de analizar y filtrar el tráfico entre hosts, segmentos de red o redes.
control bidireccional:
– CERRAR LOS PUERTOS / Evitar elSCAN IP – Abortar los intentos de robo de datos confidenciales mediante la utilización de SPYWARE / TROJAN
– por HARDWARE: dispositivo entornosprofesional donde el admin de red es quien los configura de acuerdo a un conjunto de reglas capaces de permitir el acceso o de detener los intentos de conexión no permitidos
– PERSONALES: programas que filtran el tráfico. el propio usuario quien debe efinir el nivel de seguridad, permitiendo o denegando el acceso de determinados programas a Internet (de forma temporal o definitiva) y autorizando o no los accesos desde el exterior.
– mixtos. Nivel del filter – FILTRADO DE PAQUETES O PFF (Paquet Filtering Firewalls) según las cabeceras de los mismos.
+ No contemplan el concepto de sesión/autenticación: analiza la natura de cada paquete
+ vulnerable a ataques DoS y spoofing.
+ complicados de administrar en redes complejas
+ a + v, entorpece trafico > colisiones de paquetes.
+ lo realizan los routers

– DE INSPECCIÓN DE ESTADO DE APLICACIÓN O SAIF (Stateful Application Inspection firewalls).
+ a nivel de red, en multitud de capas del modelo TCP/IP (enlace de datos, red, transporte y parte de la capa de aplicación, concretamente la capa de sesión)
+ reconocen el tipo de tráfico y filtran en R a cada protocolo, mediante un módulo de control de sesiones, conexiones y su contexto que trabaja en las capas de red y enlace a datos.
+ Controlan el inicio de sesiones, filtrando el tráfico por protocolo y puerto y reconocen el fin de las mismas.
+ alto rendimiento y bajo consumo de ancho de banda
+ no revisa la trama del paquete una vez establecida la conexión

– CORTAFUEGOS DE PUERTA DE ENLACE DE APLICACIÓN O AGF (Application Gateway Firewall).
+ a nivel de aplicación, aunq pueden hacerlo en las capas de transporte, de red y de enlace a datos.
+ reconocer y filtrar el tráfico que es solicitado por aplicaciones (como un navegador web) o protocolos (FTP, HTTP...), + reconocer las sesiones y la autenticación de usuarios
+ lentos en cuanto a consumo de recursos del sistema
+ pueden provocar problemas de incompatibilidad con ciertos protocolos con los que tengan imposibilidad de trabajar.
– CORTAFUEGOS HÍBRIDOS.
mezcla SAIF + AGF se comercializan.
Windows ICF (XP SP2)
– no bloquea OUTs (spyware, trojans, worms). (Leak Test)
– no detecta DoS
– no bloquea intruso por IP
– no bloquea contenidos no deseados
– difícil del configurar

Agnitum Outpost, Kerio, ZAP, Sygate, McAfee
puede crear una falsa sensación de seguridad

– PERMISIVIDAD MÁXIMA (allow everything)
+ uso d filtros es mínimo o inexistente: Intranets/LAN, campus universitarios y organizaciones donde la libertad de uso
+ muy vulnerable
+ se recomienda segmentar la red en dominios y acotarlos pues raramente todos los ordenadores tienen que acceder a todos los recursos disponibles de la red.

– PERMISIVIDAD MÍNIMA (deny everything)
+ se van permitiendo accesos a estos a medida que se necesiten.
+ requiere un gran esfuerzo
+ es poco flexible

SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS): antivirus d red SNORT, CIDS (Cerberus) y MIDAS (Monitoring)
– SISTEMA DE ALERTA EN TIEMPO REAL que recolecta y analiza información procedente de distintas áreas de un ordenador o red con el objetivo de busca intrusiones externas/internas a partir de BASE DE DATOS capaz de identificar y reconocer algún patrón definido como potencialmente peligroso. La supervisión realizada por un IDS se realiza de forma diferente: – PCs: a nivel de sistema operativo (accesos de los usuarios, modificación de ficheros del sistema, uso de recursos...) – REDES: pueden monitorizarse usos de anchos d banda, accesos a/dsd direcciones no permitidas, uso de direcciones falsas, etc.
CONCEPTOS BÁSICOS de un IDS: – FIRMA (SIGNATURE): lo que define un patrón – FILTRO (FILTER): trascripción de una firma (signature) a un lenguaje compresible por los sensores que monitorizan la red
– EVENTOS DE INTERÉS (Events Of Interest, EOI) subconjunto de genuinos no-falsos verdaderos, mínimo de muestras que debe analizarse para considerar una red “segura” SNORT, CIDS (Cerberus Intrusión Detection System) y MIDAS
Config: Snort + mySQL + PHP + ACID + Apache
ACID: consola

FIREWALL: filtra y genera registros (logs),
IDS vigila constantemente generando alertas en tiempo real por pantalla, o por mail
COMPONENTES:
– SENSORES (SENSORS) elementos pasivos que examinan todo el tráfico de su segmento de red
+ Push: evento de interés > paquete de datos > consola.
> protocolo usado: SNMP que permite la definición de traps para el envío de información a un receptor (la consola en este caso).
> inconveniente: pueden ser observados por el atacante para rastrear patrones
+ Pull. logea hasta que la consola pregunta.
> Si establece un protocolo de intercambio de mensajes cifrado y pregunta regularmente
> si el sensor no detecte eventos: cadena de caracteres aleatoria para evitar enviar siempre paquete =
– CONSOLA (CONSOLE)
recibe toda la información la presenta de forma inteligible TIPOS 1.
– en R al stma:
+ HIDS, orientados a 1 host
consumen muy pocos recursos
+ NIDS monitorización de redes completas y VPNs q se instala en una máquina pero actúa en un grupo de ellas., consumo de recursos de sistema bastante importante
+ DIDS NIDS estructurados de forma distribuida con control centralizado., no cae en caso de ataque a una máquinas y consumo de recursos de sistema bastante importante
2. Según el TIPO DE RESPUESTA,
Pasivos: notifican a la autoridad cuando se produce un ataque
Activos.. generan algún tipo de respuesta ante cualquier ataque
COLOCACIÓN DE LOS IDS – en un dispositivo dnd pase todo el tráfico de red q interese. – problemas: su implementación en redes conmutadas
redes con velocidades de tráfico muy altas
+ ANTES DEL FIREWALL:
interferencias de filtros del firewall
posibilidad de falsas alarmas es grande. +EN EL FIREWALL O ADYACENTE. (La + normal):
evita ataques de intrusos a los sensores externos
se eliminan muchos falsos positivos
en paralelo: firewall detecta los paquetes y el IDS los analiza.
+ DESPUÉS DEL FIREWALL
costosa pero mayor seguridad,
permite obtener lecturas del tráfico total y del tráfico ya filtrado por firewall
Permite examinar la config del firewall y comprobar si filtra correctamente o no. SNORT (IDS no heurístico): sniffer o NIDS con motor de detección de ataques y barrido de puertos de registrar, alertar y responder ante cualquier anomalía previamente definida en tiempo real.
– FlexResp: Permite, dada una conexión que emita tráfico malicioso, darla de baja, hacerle un DROP mediante el envío de un paquete con el flag RST activa (actúa cm FireW)
GFI LANguard S.E.L.M.
– monitoriza los registros de sucesos de seguridad de todos sus servidores y estaciones de trabajo Windows NT/2000/XP/2003 y alerta de posibles intrusiones/ataques en tiempo real.
– IDS basada en registros de sucesos y gestión de los registros de sucesos de toda la red.
– archiva y analiza los registros de sucesos de todos los equipos de la red
– alerta en tiempo real de problemas de seguridad, ataques y otros sucesos críticos
– vigila users tratando d acceder a recursos compartidos seguros y archivos confidenciales
– vigila accesos a servidores críticos y crear alertas para sucesos y sucesos específicos que están ocurriendo en la red.
– back ups y borrado de registros de sucesos en equipos remotos

4
VIRUS (DAS dañino, capaz de autoreproducirse, subrepticio u oculto)
– fin crtd: PROPAGARSE.- DESTRUIR: daño dep d entorno
– no es BUG, ni un problem d hard, ni falsa alarm
FASES:
Creación.
Reproducción.
Activación.
Descubrimiento.
Asimilación.
Erradicación.ningún virus ha desaparecido por completo MOTIVOS: (economía y sat personal)
-- interés científico
-- sensación de poder en el programador que le incita a saltarse sin más cualquier regla
-- para hacer notoria la falta de protección que sufren la mayoría de los usuarios
-- espionaje industrial /las propias empresas fabricantes de avirus
CARACTERÍSTICAS DE LOS VIRUS
-- Latencia. Cuándo
-- Tipo de residencia. Dónde
-- Forma de infección. Cómó
-- Composición. Qué
+ módulo de reproducción
+ módulo de ataque es de carácter optativo
+ módulo de defensa - proteger al virus (deteción y eliminación) HISTORIA DE LOS VIRUS
– DOUGLAS MCILORY, VÍCTOR VYSOTTSKY Y ROBERT MORIS juego Core War laboratorios Bell de AT&T.
cada programa intentaba forzar al otro a efectuar una instrucción inválida. Al término del juego, se borraba de la memoria
descubiertos
– 12.O 1985, NY Times virus dsd un BBS: pequeña aplicación para optimizar los sistemas IBM basados en tarjeta gráfica EGA - borraba todos los archivos del disco duro, con un sms "Caíste"
– 1983 cuando Digital Equipement Corporation (DEC) empleó una subrutina para proteger procesador de textos DECMATE II y que, en caso de tratarse de una copia ilegal, borraba todos los archivos de la unidad de disco.
– 1987 uni Delaware "© Brain" como etiqueta de los disquetes. La causa de ello era Brain Computer 1986, vendía copias ilegales de software comercial infectadas. el sector de arranque de un disquete contenía código ejecutable y que se autoejecutaba cada boot dsd un disquete.
– 1986, RALF BURGER se percató de que un archivo podía ser creado para copiarse a sí mismo, adosando copy de él a otros: creó VIRDEM q infectaba todo *.COM.
ÍNDICE DE PELIGROSIDAD DE UN VIRUS
-- ¡propagación /daño
+ baja: dañino pero poco extendido
+ media: extendido y daños importantes. + alta: muy extendido o grandes perjuicios.
+ muy alta: muy extendido y su infección causa mucho daño

Epidemia: PCs infecta2 => 10%.
Muy extendido: [7.5%, 10%]
Medianamente extendido: [1.0%, 7.5%]
Poco extendido: [< 1,0%]
TIPOS DE VIRUS

– DE BIOS

– DE SECTOR DE ARRANQUE MAESTRO (MBR).
+ ej: Polyboot.B, AntiEXE.

– DE ARCHIVOS (Files virus).
+ ejecutables del DOS Estándar (Archivos BAT, SYS, EXE, COM)
+ de otros SO Windows, OS2, Macintosh y Unix.
+ drivers, archivos que contienen código fuente, librerías o módulos de objetos, e incluso archivos de datos. + variante: MIXTOS, BIMODALES O MULTIPARTE. Son una combinación de los anteriores
+ ej: Ywinz.

– DE MACRO.
+ ej: Relax, Melissa.A, Bablas, O97M/Y2K

– DE BAT. los más antiguos,
+ desarrollados en WinScript (evolución del .BAT para Windows).

– DE SCRIPT para mIRC, HTML, VBS, ftp, JavaScript o JScript.

– DE JAVA Y ACTIVEX.

– RETROVIRUS. para infectar programas antivirus,

– OBJ, LIB Y CÓDIGO FUENTE.
+ infectan compiladores
+ no pueden ejecutarse per se: precisan EXE y COM + GENERADORES DE VIRUS. al mutar generan nuevos virus.
+ ej.: VCL, IVP, Vice y Mutator.

– QUE CREAN DEPENDENCIA. afectan a determinados archivos vitales del ordenador,
+ ej. Monkey que afecta a la FAT y si el virus no está residente en memoria, se pierde la información.

– BOMBAS DE TIEMPO. espera de una fecha o una hora determinadas para activarse. – DE COMPAÑÍA
+ crean un clon del archivo infectado que al ejecutarse le da el control al virus.
+ renombrando el archivo original sin cambiarlo y adoptando su nombre el virus. + Stator, Asimov.1539, Terrax.1069.
– DE SOBREESCRITURA. Sobrescriben el contenido de los ejecutables con su propio código fuente,
+ los archivos infectados no aumentan de tamaño, a no ser
+ ej: Way, Trj.Reboot y Trivial.88.D.

– PARÁSITOS. Cambian el contenido de archivos y permiten que los archivos sean parcial o completamente utilizables.
+ virus al inicio o final del archivo afectado o en el medio.
– MUTANTES (Companion Virus). modificaciones en el código para evitar ser detectados o eliminados.
+ ej: NATAS o SATÁN y Miguel Angel.

– SIN PUNTO DE ENTRADA O EPO VIRUS (Entry Point Obscuring).
+ punto del medio del archivo infectado
+ no toman el control inmediatamente al ejecutarse el archivo,
+ dormido" o "latente" por tiempo
+ ej: Lucretia, Zhengxi, CNTV, MidInfector, NexivDer, Avatar.Positron y Markiz.

– DE ENLACE O ENGANCHE (Link Virus).
+ al inicializarse el fichero infectado fuerzan al SO a ejecutar su código viral.
+ ej: Dirll que se instala en el último cluster del disco duro.
+ el tamaño del archivo infectado pero apuntará al cluster donde está el virus.

– EN ESTADO SALVAJE (in the Wild). en circulación,
– DE ZOOLÓGICO (In the Zoo). no se encuentran en circulación.
+ Ejemplo: virus de la "pelotita".
DAÑOS PRODUCIDOS POR LOS VIRUS
– TRIVIALES.
+ ej: FORM puede generar fallos en disquetes, se activa el 18 de cada mes cada vez que se presiona una tecla hace sonar el beep.
– MENORES.
+ Jerusalem. viernes 13, borra todos los programas – MODERADOS. formatea HD, mezcla los componentes de la FAT o sobreescribe los datos d HD.
+ implica reinstalar el sistema operativo y backup.
– MAYORES. pasar desapercibidos,
+ ej: Dark Avenger, bacup infectado backup
– SEVEROS. virus no detectado realiza cambios mínimos, graduales, progresivos y silenciosos
– ILIMITADOS. troyanos: pass bancos, ataques DDOS, etc 3.1.10. SÍNTOMAS TÍPICOS DE UNA INFECCIÓN -- TARDA EN ARRANCAR
-- TAMAÑO del programa alterado
-- HD se queda SIN ESPACIO o se informa sin q sea cierto -- piloto indicador de HD PARPADEA sin actividad alguna
-- imposible BOOT
-- files con EXTENSIONES EXTRAÑAS.
-- Suena "clicks" en el teclado
-- Cambios en la FECHA y / u hora de los archivos.
-- Sectores defectuosos en los disquetes.
-- Errores continuos e inesperados en programas.
-- Escrituras fuera de tiempo en el disco.
Daños producidos EN EL SOFTWARE.
-- Modificación de las aplicaciones instaladas: error o bloqueo -- Modificación de los datos.
-- Eliminación de aplicaciones y/o datos.
-- Agotamiento paulatino del espacio libre existente en el disco duro.
-- Ralentización del sistema. -- Obtención fraudulenta de información confidencial. TÉCNICAS DE OCULTAMIENTO
el virus debe estar residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo.
-- OCULTAMIENTO o stealth, esconde los posibles signos de infección del sistema.
ej: cambio de tamaño de los ficheros, fecha en que se crearon y de sus atributos, y disminución de memoria disponible. -- AUTOENCRIPTACIÓN o self-encryption es
polimorfismo. varía la rutina empleada cada vez que infecta un archivo.
-- INTERCEPCIÓN de mensajes de error
Daños producidos EN EL HARDWARE.
-- Borrado de la información de la BIOS.
- Destrucción del microprocesador por exceso el de temperatura por falsa información del sensor de temperatura.
-- Rotura del HD al provocar que las cabezas lectoras lean repetidamente sectores específicos
-- Malfuncionamiento de tarjetas como la de red, sonido y vídeo.
-- Bloqueos del ordenador que provocan continuos reinicios.
-- Reinicios aleatorios sin causa aparente.

p. ej:
+ Happy99. Programa enviado por e-mail, abre una ventana con fuegos artificiales. Manipula la conectividad con Internet.
+ Melissa. Famoso macrovirus. Se envía a sí mismo por e-mail dañando todos los archivos de extensión .doc .
+ Chernobyl. Borra el primer Mb del disco duro donde se encuentra la FAT, obligando a formatearlo.
Además intenta rescribir la BIOS del ordenador lo que puede obligar a cambiar la placa madre. Se activaba el 26 de abril.
+ Michelangelo. Virus del sector de arranque. Se activaba el 6 de marzo. Sobreescribe la FAT, dejando el disco inutilizable. ESTRATEGIAS DE INFECCIÓN USADAS POR LOS VIRUS -- MEDIO DE PROPAGACIÓN.
+ Disquetes u otro medio de almacenamiento removible. + Software pirata en disquetes o CD/DVD. + Redes de ordenadores. + Mensajes de correo electrónico. + Software descargado de Internet. + Discos de demostración y prueba gratuitos. + Visita de páginas web de temática dudosa.
-- AÑADIDURA o empalme.
-- INSERCIÓN. El código del virus se aloja en zonas de código no utilizadas

Algún error encontrado en la Templati

t

tema 1 tecnologia internet es vieja seguridad

1 comentario

Escribe un comentario

Sobre t

Últimos comentarios

Fotos

Mis tags

Secciones