Proyecto

General

Perfil

Amenazas » Histórico » Versión 18

Martin Andres Gomez Gimenez, 2010-10-21 19:52

1 1 Martin Andres Gomez Gimenez
h1. Amenazas
2
3 6 Martin Andres Gomez Gimenez
h2. Requisitos básicos de la seguridad de los sistemas de información
4
5
* *Confidencialidad:* requiere que la información de un sistema de información solo se encuentre accesible para lectura para aquellas partes que estén autorizadas.
6
7
* *Integridad:* requiere que los contenidos de un sistema de información solo puedan modificarse por las partes que se encuentran autorizadas.
8
9
* *Disponibilidad:* requiere que los componentes de un sistema informático estén disponibles para cada una de las partes autorizadas.
10
11
* *Autenticación:*  requiere que el sistema informático sea capaz de verificar la identidad de los usuarios.
12 1 Martin Andres Gomez Gimenez
13 9 Martin Andres Gomez Gimenez
14 17 Martin Andres Gomez Gimenez
15
h2. Tipos de peligro
16
17
Los tipos de peligros contra la seguridad de una red se clasifican mejor considerando las funciones de la misma como si fuera un flujo de información. 
18
19 18 Martin Andres Gomez Gimenez
!https://www.i-nis.com.ar/redmine/ipv6/images/flujo_normal.png!
20 17 Martin Andres Gomez Gimenez
21 18 Martin Andres Gomez Gimenez
En general existe un flujo de información que va desde una fuente hacia un destino, pero puede ocurrir que ese flujo de información sea alterado mediante alguna de las siguientes categorías generales de ataque:
22
23
24 17 Martin Andres Gomez Gimenez
h3. Interrupción 
25
26
Es un ataque centrado en la disponibilidad en el cual un componente del sistema o de la red se encuentra no disponible o inutilizable. La interrupción de un canal de comunicación o la denegación de servicios son ejemplos de este tipo de ataques.
27
28 18 Martin Andres Gomez Gimenez
!https://www.i-nis.com.ar/redmine/ipv6/images/interrupcion.png!
29 17 Martin Andres Gomez Gimenez
30 18 Martin Andres Gomez Gimenez
31 17 Martin Andres Gomez Gimenez
h3. Intercepción
32
33
Es un ataque dirigido a la confidencialidad en el cual una parte no autorizada consigue acceso a un componente. La parte no autorizada puede ser una persona, un programa o una computadora. Un ejemplo típico es la escucha en un canal de comunicación para obtener datos.
34
35 18 Martin Andres Gomez Gimenez
!https://www.i-nis.com.ar/redmine/ipv6/images/intercepcion.png!
36 17 Martin Andres Gomez Gimenez
37 18 Martin Andres Gomez Gimenez
38 17 Martin Andres Gomez Gimenez
h3. Modificación
39
40
Es un ataque dirigido hacia la integridad en el cual un elemento no autorizado no solo tiene acceso a un componente si no que es capaz de modificarlo. La modificación de mensajes que se transmiten por la red son un claro ejemplo de este ataque.
41
42 18 Martin Andres Gomez Gimenez
!https://www.i-nis.com.ar/redmine/ipv6/images/modificacion.png!
43 17 Martin Andres Gomez Gimenez
44 18 Martin Andres Gomez Gimenez
45 17 Martin Andres Gomez Gimenez
h3. Fabricación
46
47
Es un ataque dirigido contra la autenticación en el cual un elemento no autorizado inserta objetos extraños en el sistema como por ejemplo la inserción de mensajes externos a una red.
48 18 Martin Andres Gomez Gimenez
49
!https://www.i-nis.com.ar/redmine/ipv6/images/fabricacion.png!
50 17 Martin Andres Gomez Gimenez
51
52 9 Martin Andres Gomez Gimenez
 
53 3 Martin Andres Gomez Gimenez
h2. Agotamiento de las direcciones de IPv4
54 1 Martin Andres Gomez Gimenez
55 3 Martin Andres Gomez Gimenez
Desde hace años la Internet está experimentado un crecimiento exponencial, lo cual está llevando hacia el agotamiento de las direcciones de IPv4. Este problema pronto afectará directamente sobre la disponibilidad de los futuros servicios.
56 1 Martin Andres Gomez Gimenez
57
58 3 Martin Andres Gomez Gimenez
h3. Causas
59
60 8 Martin Andres Gomez Gimenez
* *Uso masivo de dispositivos de telefonía móvil:* el bajo costo de la telefonía celular y el aumento de funcionalidad de dichos dispositivos ha ocasionado que la demanda de direcciones IPv4 aumente drásticamente y pudiendo llegar al extremo de una dirección IPv4 por persona del planeta.
61 3 Martin Andres Gomez Gimenez
62 7 Martin Andres Gomez Gimenez
* *Uso de conexiones permanentes:* el creciente número de conexiones permanentes por enlaces denominados de _banda ancha_ incrementó la demanda de las direcciones IP, dado que este tipo de conexiones permanecen activas en todo momento, incluso cuando esta es recibida en forma dinámica.
63 3 Martin Andres Gomez Gimenez
64 1 Martin Andres Gomez Gimenez
* *Uso ineficiente de las direcciones de red:* durante la década de 1980 muchas empresas grandes y universidades recibieron bloques completos de clase A (los cuales cuentan con 16 millones de direcciones IPv4 cada uno), que muchas veces son malgastadas en dispositivos que no están accesibles desde fuera de sus redes locales.
65 8 Martin Andres Gomez Gimenez
66 1 Martin Andres Gomez Gimenez
67 9 Martin Andres Gomez Gimenez
68 15 Martin Andres Gomez Gimenez
h2. Fragmentación en IPv4
69 8 Martin Andres Gomez Gimenez
70 14 Martin Andres Gomez Gimenez
Por definición la unidad de datos del protocolo IPv4 es el datagrama, cuyo tamaño máximo es de 65535 bytes. Por otro lado, cada red permite transmitir un tamaño máximo de paquete denominado _Unidad Máxima de Transferencia_ (MTU), el cual es siempre menor a 65535 bytes. Debido a esto, el máximo tamaño de los datagramas IPv4 queda en función de la tecnología de red por el cual es enviado el datagrama. 
71 12 Martin Andres Gomez Gimenez
72 13 Martin Andres Gomez Gimenez
La fragmentación IP ocurre cuando el tamaño de un datagrama IPv4 excede la _Unidad Máxima de Transferencia_ (MTU). Esta puede tener lugar en el emisor inicial o en alguno de los routers que están entre el emisor y el receptor. El receptor es el responsable de reensamblar todos los fragmentos en el orden correcto para obtener el datagrama original.
73 10 Martin Andres Gomez Gimenez
74 9 Martin Andres Gomez Gimenez
75
h3. Peligros potenciales
76
77
* *DoS:* a causa de una mala implementación de la pila TCP/IP es posible utilizar fragmentación de paquetes para causar una denegación de servicios (DoS).
78
79
* *Ofuscación:* es posible puede utilizar fragmentación de paquetes para ocultar y ofuscar técnicas de recolección de información, como puede ser la exploración de puertos.
80
81
* *Filtrado:* la fragmentación puede ser utilizada para pasar por alto algunos tipos de filtrados de paquetes, como las _listas de control de acceso_ (ACL) de los routers.
82 16 Martin Andres Gomez Gimenez
83
84
h3. Ejemplo de ataque utilizando fragmentación en IPv4
85
86
!https://www.i-nis.com.ar/redmine/ipv6/images/fragmentation.png!