Servicio de Due Diligence

Páginas

sábado, 3 de abril de 2010

Seguridad en Redes TCP/IP.

Durante la década de los 60, dentro del marco de la guerra fría, la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteo la posibilidad de que un ataque afectara a su red de comunicaciones y financio equipos de investigación en distintas universidades con el objetivo de desarrollar una red de ordenadores con una administración totalmente distribuida.

Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes, se creó la denominada red ARPANET, de carácter experimental y altamente tolerable a fallos.

Más adelante, a mediados de los 70, la agencia empezó a investigar en la interconexión de distintas redes, y en 1974 estableció las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en día como redes TCP/IP.

La familia de protocolos TCP/IP se divide en las cuatro capas siguientes:



1) Capa de red. Normalmente esta´ formada por una red LAN o WAN (de conexión
punto a punto) homogénea. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red física o, simplemente, capa de red.

2) Capa de internet (o capa de internetworking) . Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientemente de si se conectan mediante línea telefónica o mediante una red local Ethernet. La dirección y el encaminamiento son sus principales funciones. Todos los equipos conectados a internet implementan esta capa.

3) Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que solo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento (encaminadores) no la necesitan.

4) Capa de aplicación. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electrónico, FTP, etc. Solo es implementada por los equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.
Como ya hemos comentado, solo los equipos terminales implementan todas las capas. Los equipos intermedios únicamente implementan el nivel de red y el nivel IP.
En cada una de las capas expuestas encontramos protocolos distintos.
Como ya se ha adelantado, en cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas.
Cada día se descubren nuevas deficiencias, la mayoría de las cuales se hacen publicas por organismos internacionales, tratando de documentar, si es posible, la forma de solucionar y contrarrestar los problemas.

A continuación presentamos algunas de las vulnerabilidades más comunes de las distintas Capas:

1) Vulnerabilidades de la capa de red. Las vulnerabilidades de la capa de red están
estrechamente ligadas al medio sobre el que se realiza la conexión. Esta capa presenta problemas de control de acceso y de confidencialidad.
Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas, interceptación intrusiva de las comunicaciones (pinchar la línea), escuchas no intrusivas en medios de transmisión sin cables, etc.

2) Vulnerabilidades de la capa internet. En esta capa se puede realizar cualquier
ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las técnicas de sniffing, la suplantación de mensajes, la modificación de datos, los retrasos de mensajes y la denegación de mensajes.
Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La suplantación de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el suplantado.
En esta capa, la autenticación de los paquetes se realiza a nivel de máquina (por dirección IP) y no a nivel de usuario. Si un sistema suministra una dirección de máquina errónea, el receptor no detectara la suplantación. Para conseguir su objetivo, este tipo de ataques suele utilizar otras técnicas, como la predicción de números de secuencia TCP, el envenenamiento de tablas caché, etc.
Por otro lado, los paquetes se pueden manipular si se modifican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. Si esto es posible, el receptor será incapaz de detectar el cambio.

3) Vulnerabilidades de la capa de transporte. La capa de transporte transmite información TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticación, de integridad y de confidencialidad. Algunos de los ataques más conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte.
En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesión TCP), existe una serie de ataques que aprovechan ciertas deficiencias en su diseño. Una de las vulnerabilidades más graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos.
Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticación de los equipos involucrados en una sesión. Así, si un usuario hostil puede observar los intercambios de información utilizados durante el inicio de la sesión y es capaz de interceptar con éxito una conexión en marcha con todos los parámetros de autenticación configurados adecuadamente, podrá secuestrar la sesión.

4) Vulnerabilidades de la capa de aplicación. Como en el resto de niveles, la capa de
aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran número de protocolos definidos en esta capa, la cantidad de deficiencias presentes también será superior al resto de capas. Algunos ejemplos de deficiencias de seguridad a este nivel podrían ser los siguientes:
- Servicio de nombres de dominio. Normalmente, cuando un sistema solicita conexión
a un servicio, pide la dirección IP de un nombre de dominio y envía un paquete UDP a un servidor DNS; entonces, éste responde con la dirección IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la dirección IP solicitada.
Un servidor DNS debe entregar la dirección IP correcta pero, además, también puede entregar un nombre de dominio dada una dirección IP u otro tipo de información.
En el fondo, un servidor de DNS es una base de datos accesible desde internet. Por lo tanto, un atacante puede modificar la información que suministra esta base de datos o acceder a Información sensible almacenada en la base de datos por error, pudiendo obtener información relativa a la topología de la red de una organización concreta (por ejemplo, la lista de los sistemas que tiene la organización).
- Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña, que se transmiten en claro por la red.
Así, al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección, el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing.
Actualmente existen otros protocolos a nivel de aplicación (como, por ejemplo, SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticación fuerte). Aun así, el hecho de cifrar el identificador del usuario y la contraseña no impide que un atacante que las conozca acceda al servicio.
- File Transfer Protocol. Al igual que Telnet, FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos). Así pues, al enviar el identificador de usuario y la contraseña en claro por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que veíamos anteriormente con el protocolo Telnet.
Aparte de pensar en mecanismos de protección de información para solucionar el problema, FTP permite la conexión anónima a una zona restringida en la cual solo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas, sin limitar una de las funcionalidades más interesantes del servicio.
-Hypertext Transfer Protocol. El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor.
La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este código que se ejecuta presenta deficiencias de programación, la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro.

Fuente: "Aspectos Avanzados de Seguridad en Redes". (© Autores: Jordi Herrera Joancomartí, Joaquín García Alfaro, Xavier Perramón Tornil)

viernes, 2 de abril de 2010

Microsoft prepara un parche de seguridad (981374) para solucionar una vulnerabilidad "Zero Day" en su navegador web.

Microsoft prepara un parche de seguridad para solucionar una vulnerabilidad "Zero Day" en su navegador web.
30/03/2010 - Microsoft público una actualización de emergencia para Internet Explorer para solucionar una nueva vulnerabilidad.
Esta vulnerabilidad ha sido utilizada en ataques a Internet Explorer 6 e Internet Explorer 7. La misma permite a un atacante hacerse el control de un equipo al visitar una web maliciosa.
Los que les interese conocer más detalladamente esta vulnerabilidad pueden acceder al siguiente link http://www.microsoft.com/latam/technet/seguridad/alerta/981374.mspx.
Internet Explorer 8 y Windows 7 no son vulnerables a estos de ataques, igualmente es recomendable que todos los usuarios de las diferentes versiones de IE actualicen sus PCs con el parche acumulativo para soluciona vulnerabilidades de distinta índole.
Mas detalles:
Una vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código
Publicado: Marzo 30, 2010 | Actualizado: Marzo 30, 2010
Microsoft ha terminado la investigación de un informe público de esta vulnerabilidad donde ha publicado el boletín MS10-018 para tratar este problema.
Boletín de seguridad de Microsoft MS10-018 – Crítico
Actualización de seguridad acumulativa para Internet Explorer (980182)
Publicado: Marzo 30, 2010
Esta actualización de seguridad resuelve nueve vulnerabilidades de las que se ha informado de forma privada y una vulnerabilidad de la que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Por tanto, los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos.
Esta actualización de seguridad se considera crítica para todas las versiones compatibles de Internet Explorer: Internet Explorer 5.01, Internet Explorer 6 Service Pack 1, Internet Explorer 6 en clientes de Windows, Internet Explorer 7 e Internet Explorer 8 en clientes Windows. Para Internet Explorer 6 en Windows Server, esta actualización se considera importante. Y para Internet Explorer 8 en Windows Server, esta actualización se considera moderada. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.
La actualización de seguridad corrige estas vulnerabilidades al modificar la forma en que Internet Explorer comprueba el origen de las secuencias de comandos y trata los objetos en memoria, el contenido que usa cadenas de codificación y las direcciones URL largas. Para obtener más información acerca de las vulnerabilidades, consulte la subsección Preguntas más frecuentes (P+F) en la sección siguiente, Información sobre la vulnerabilidad.
Esta actualización de seguridad también corrige la vulnerabilidad que se describió por primera vez en el documento informativo sobre seguridad de Microsoft 981374. La vulnerabilidad, CVE-2010-0806, no afecta a Windows 7, Windows Server 2008 R2 o Internet Explorer 8.
Recomendación. La mayoría de los clientes tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los clientes que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el artículo 294871 de Microsoft Knowledge Base.
Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update.
Software afectado y no afectado
El software que se enumera aquí se ha probado para determinar las versiones o ediciones que están afectadas. Otras versiones o ediciones han llegado al final de su ciclo de vida o no están afectadas. Para determinar el ciclo de vida del soporte técnico de su versión o edición de software, visite Ciclo de vida del soporte técnico de Microsoft.


Software afectado
Sistema operativo
Componente
Repercusión de seguridad máxima
Clasificación de gravedad acumulada
Boletines reemplazados por esta actualización
Internet Explorer 5.01 e Internet Explorer 6 Service Pack 1




Microsoft Windows 2000 Service Pack 4
Ejecución remota de código
Crítica
Microsoft Windows 2000 Service Pack 4
Ejecución remota de código
Crítica
Internet Explorer 6




Windows XP Service Pack 2 y Windows XP Service Pack 3
Ejecución remota de código
Crítica
Windows XP Professional x64 Edition Service Pack 2
Ejecución remota de código
Crítica
Windows Server 2003 Service Pack 2
Divulgación de información
Importante
Windows Server 2003 x64 Edition Service Pack 2
Divulgación de información
Importante
Windows Server 2003 con SP2 para sistemas con Itanium
Divulgación de información
Importante
Internet Explorer 7




Windows XP Service Pack 2 y Windows XP Service Pack 3
Ejecución remota de código
Crítica
Windows XP Professional x64 Edition Service Pack 2
Ejecución remota de código
Crítica
Windows Server 2003 Service Pack 2
Ejecución remota de código
Crítica
Windows Server 2003 x64 Edition Service Pack 2
Ejecución remota de código
Crítica
Windows Server 2003 con SP2 para sistemas con Itanium
Ejecución remota de código
Crítica
Windows Vista, Windows Vista Service Pack 1 y Windows Vista Service Pack 2
Ejecución remota de código
Crítica
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2
Ejecución remota de código
Crítica
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2**
Ejecución remota de código
Crítica
Windows Server 2008 para sistemas x64 y Windows Server 2008 para sistemas x64 Service Pack 2**
Ejecución remota de código
Crítica
Windows Server 2008 para sistemas con Itanium y Windows Server 2008 para sistemas con Itanium Service Pack 2
Ejecución remota de código
Crítica
Internet Explorer 8




Windows XP Service Pack 2 y Windows XP Service Pack 3
Ejecución remota de código
Crítica
Windows XP Professional x64 Edition Service Pack 2
Ejecución remota de código
Crítica
Windows Server 2003 Service Pack 2
Ejecución remota de código
Moderada
Windows Server 2003 x64 Edition Service Pack 2
Ejecución remota de código
Moderada
Windows Vista, Windows Vista Service Pack 1 y Windows Vista Service Pack 2
Ejecución remota de código
Crítica
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 y Windows Vista x64 Edition Service Pack 2
Ejecución remota de código
Crítica
Windows Server 2008 para sistemas de 32 bits y Windows Server 2008 para sistemas de 32 bits Service Pack 2**
Ejecución remota de código
Moderada
Windows Server 2008 para sistemas x64 y Windows Server 2008 para sistemas x64 Service Pack 2**
Ejecución remota de código
Moderada
Windows 7 para sistemas de 32 bits
Ejecución remota de código
Crítica
Windows 7 para sistemas x64
Ejecución remota de código
Crítica
Windows Server 2008 R2 para sistemas x64**
Ejecución remota de código
Moderada
Windows Server 2008 R2 para sistemas con Itanium
Ejecución remota de código
Moderada


**La instalación de Server Core no está afectada. Las vulnerabilidades corregidas por esta actualización no afectan a las ediciones compatibles de Windows Server 2008 o Windows Server 2008 R2 tal como se indica, si se ha instalado con la opción de instalación Server Core. Para obtener más información acerca de esta opción de instalación, vea los artículos de MSDNServer Core y Server Core para Windows Server 2008 R2. Tenga en cuenta que la opción de instalación Server Core no se aplica a determinadas ediciones de Windows Server 2008 y Windows Server 2008 R2; vea Comparación de las opciones de instalación Server Core.

Fuente: http://www.microsoft.com/latam/technet/seguridad/alerta/981374.mspx
©2010 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad

Related Posts Plugin for WordPress, Blogger...