pec2 vulnerabilidades de seguridad

Mster Interuniversitario en Seguridad de las TIC(MISTIC)

Vulnerabilidades de Seguridad

(PEC) 2

DANIEL ALEJANDRO BERNAL YHAM

Ejercicio 1 (3 puntos) Pregunta 1 CAPURA 1

A) Se est produciendo un ataque de SYN flooding basado en IP spoofing, al servicio HTTP, esto se puede observar teniendo en cuenta que el atacante continuamente enva el SYN al servidor para solicitar el SYN_ACK pero cambia la direccin IP continuamente, as que el servidor nunca logra enviar la respuesta pero alcanza a reservar los recursos necesarios para realizar la conexin la cual nunca se realiza, lo que ocasiona una posible denegacin del servicio. Fuente: http://www.cert.org/advisories/CA-1996-21.html B) La vctima es un servidor HTTP con la IP privada 192.168.0.1, el atacante son mltiples IP publicas que provienen de un mismo equipo de red CISCO, los ms seguro es que todas estas IP sean suplantaciones y solo sean generadas por un nico atacante. CAPTURA 2 A) Se est realizando un escaneo de puertos al IP 64.13.134.52. B) La maquina con IP 172.16.0.8 tiene la capacidad de saber que puertos tiene abiertos el equipo IP 64.13.134.53 al recibir la respuesta SYN-ACK, los puertos reportados son: nombre,port,protocol domain, 53, TCP ident, 113, TCP http, 80, TCP ssh, 22, TCP smtp, 25, TCP 31337, 31337, TCP gopher, 70, TCP A) Literalmente no es posible, pues en IPV6 no existe ARP sin embargo este este servicio fue reemplazado por Neighbor Discovery(ND) en IPV6 una actualizacin que incluye muchos principios funciones y procesos que ARP de IPV4 usaba por lo cual es posible hacer ataques equivalentes al ARP Spoofing de IPV4 en las referencias se explica el procedimiento: Referencias: http://www.elladodelmal.com/2012/11/hacking-en-redes-de-datos-ipv6-neighbor.html http://www.infosec.gov.hk/english/technical/files/ipv6s.pdf http://packetlife.net/blog/2009/feb/02/ipv6-neighbor-spoofing/ B) Port Security es una tcnica de los switches Marca Cisco que les permite guardar las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de ese puerto del switch. Si un dispositivo con otra direccin MAC intenta comunicarse a travs de ese puerto, Port Security deshabilitar el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin



(PEC) 2


correspondiente al bloqueo del puerto. Fuente: http://librosnetworking.blogspot.com/2006/10/implementacin-de-port-security-en.html http://infodocs.net/articulo/networking/port-security-en-switches-cisco C) Evita que una maquina conectada a un puerto Ethernet de un switch cambie su direccin MAC ocasionando que cuando la maquina haga este cambio, el puerto se bloquea e incluso se tiene la posibilidad de programar el envo de una alerta para ser revisado inmediatamente.

Ejercicio 2 (2 puntos) 1.) Es un ataque de IP hijacking o conocido como BGP hijacking en el cual se ataca el protocolo BGP para secuestrar la IP de Spamhaus, este ataque aprovecha la confianza que el protocolo BGP deposita entre los enrutadores para compartir las rutas de red y agrega una ruta de red falsa la cual se distribuye y esta ruta apunta a un servidor falso instalado por el atacante el cual se hace pasar por el original y da resultados totalmente errneos frente a las consutas, afectando la reputacin y el servicio que Spamhaus presta. 2.) Si, en la documentacin (Vulnerabilidades de redes P17) se menciona el caso de Pakistan Telecom. 3.) En el artculo se habla de un ruta con mascara 255.255.255.255 o 32 que hace referencia a una subred de una sola IP (un solo host) esto se considera muy sospechoso pues generalmente las mascaras en internet son mucho ms grandes al menos 255.255.255.0 dado que si tenemos mascaras muy pequeas el desperdicio de IP es muy grande por cada IP publica asignada, adicionalmente generalmente una compaa como Spamhaus contratar un rango de IP publicas completo y no un unico host por lo cual una ruta con esa mascara en internet se considera muy sospechosa. 4.) El ataque de DNS que se realiz a Spamhaus se conoce como ataque smurf de amplificacin DNS, y consiste en redirigir los paquetes de respuesta de los servidores DNS un servidor vctima, para esto se valen de algunas fallas de seguridad del protocolo UDP sobre el cual DNS funciona, el cual no tiene la capacidad de validar si el IP identificado como origen de la consulta DNS es en realidad el verdadero origen o es una falsificacin, sin embargo sin confirmar esto el servidor DNS enva una respuesta. Para el caso del ataque DNS se busc adems que las respuestas ante consultas bastante pequeas fueran muy grandes con objeto de multiplicar el trafico generado hacia la vctima, esto quiere decir que se realizaba una consulta por ejemplo de 38 bytes a un servidor DNS y se esperaba una respuesta lo ms grande posible por ejemplo 1233 bytes trafico que se enviara a la vctima. 5.) La principal diferencia entre este ataque y el que se realiz a Spamhaus es que no se uso amplificacin de DNS para realizar el ataque sino un ataque basado en SYN flooding en el cual se enviaron millones de paquetes SYN desde servidores con gran capacidad y ancho de banda con el objeto de generar una DoS.



(PEC) 2


Ejercicio 3 (2 puntos) 1.) No es posible reproducirlo debido que el ataque de Teardrop se basa en el envo de un fragmento con valor de offset invalido lo que provoca un desbordamiento de memoria para sistemas con la vulnerabilidad en IPV4, en IPV6 este campo es eliminado teniendo en cuenta que ya no es necesario pues la fragmentacin y el re ensamblado se realiza de extremo a extremo por lo cual este ataque ya no es posible realizarlo de esta misma forma, sin embargo teniendo muy claro el concepto es posible continuar realizando ataques del mismo tipo de paquetes superpuestos en la fragmentacin es por esto que se cre el RFC5722 el cual menciona las polticas de implementacin para tratar con este tipo de fragmentacin. 2.) Si es posible, dado que en IPV6 es el origen quien realiza la fragmentacin, teniendo en cuenta el camino que el paquete va a realizar y cumpliendo con la condicin que todos los equipos que va a atravesar este paquete deben tener la capacidad de reenviarlo o de transportarlo, si esto no se cumple los equipos (routers entre otros) tienen la capacidad de indicarle al origen (a quien lo envo) que no es posible recibir un paquete de cierto tamao y obligarlo a retransmitirlo de forma fragmentada, esto se hizo pensando en que es mucho ms eficiente que la estacin de origen enve los paquetes fragmentados con un tamao correcto que hacer que todos los routers en su camino fragmenten los paquetes segn las necesidades individuales. 3.) Esta vulnerabilidad desaparece pues se hace demasiado difcil predecir el campo "Identification", pues adems de que el campo es mucho ms grande de 32 Bits en IPV6 la fragmentacin funciona de forma muy diferente. REFERENCIAS

1. Hacking: The Art of Exploitation -Google Books (http://books.google.com.co/books?id=0FW3DMNhl1EC&pg=PA256&lpg=PA256&dq=teardrop+ipv6&source=bl&ots=tt6xBSFU-r&sig=dQBjOFJPL6r5NfAE_x8goJU_MEA&hl=es-419&sa=X&ei=T4GNUvK4D8zhsAT_tgI&ved=0CCwQ6AEwADgK#v=onepage&q=teardrop%20ipv6&f=false)

2. http://www.sixscape.com/joomla/sixscape/index.php/ipv6-training-certification/ipv6-forum-official-certification/ipv6-forum-network-engineer-silver/network-engineer-silver-introduction/differences-between-ipv4-and-ipv6

3. http://tools.ietf.org/html/rfc2460 4. http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-3/ipv6_internals.html 5. http://html.rincondelvago.com/transmision-de-datos_redes-ipv6.html 6. http://www.euskalnet.net/apetxebari/nu_tecs/ipv6.htm#FRAGMENTACI%C3%93N%20EN%20I

Pv6 7. http://cyberseguridad.net/index.php/197-ataques-de-denegacion-de-servicio-dos-ataques-

informaticos-iii 8. http://www.segu-info.com.ar/ataques/ataques_dos.htm 9. http://www.euskalnet.net/apetxebari/nu_tecs/ipv6.htm 10. http://media.blackhat.com/bh-eu-12/Atlasis/bh-eu-12-Atlasis-Attacking_IPv6-WP.pdf 11. http://www.nephos6.com/blog/?p=44 12. http://www.nephos6.com/blog/?tag=ipv6 13. http://www.ramonmillan.com/tutoriales/ipv6_parte1.php 14. http://en.wikipedia.org/wiki/MAC_flooding 15. https://www.tlm.unavarra.es/~daniel/docencia/arss/arss11_12/slides/22bis2-



(PEC) 2


FragmentacionIP.pdf 16. http://www.euskalnet.net/apetxebari/nu_tecs/ipv6.htm#FRAGMENTACI%C3%93N%20EN%20I

Pv6

pec2 vulnerabilidades de seguridad

Documents