1.4. Vulnerabilidades y ataques comunes

Tabla 1.1, “Vulnerabilidades comunes” describe algunas de las vulnerabilidades más comunes y puntos de entrada utilizados por intrusos para acceder a los recursos de redes empresariales. Lo clave para estas vulnerabilidades comunes son las explicaciones de cómo se realizan y cómo los administradores pueden proteger su red contra dichos ataques.

Tabla 1.1. Vulnerabilidades comunes

Vulnerabilidades Descripción Notas
Contraseñas predeterminadas o ninguna El hecho de dejar las contraseñas en blanco o de usar una contraseña predeterminada por el fabricante. Es lo más común en hardware tales como enrutadores y cortafuegos, aunque algunos servicios que se ejecutan en Linux pueden contener contraseñas de administrador predeterminadas (aunque Red Hat Enterprise Linux no se distribuye con ellas).
Comúnmente asociadas con hardware de redes tales como enrutadores, cortafuegos, VPN y dispositivos de almacenamiento conectados a redes (NAS).
Comunes en muchos sistemas operativos existentes, especialmente aquellos que empaquetan servicios (tales como UNIX y Windows).
Algunas veces los administradores crean cuentas de usuario privilegiadas de afán y dejan la contraseña en blanco, creando el punto perfecto para que usuarios maliciosos descubran la cuenta.
Llaves compartidas predeterminadas Los servicios seguros algunas veces empaquetan las llaves de seguridad predeterminadas para propósitos de desarrollo o de evaluación. Si estas llaves no se cambian y se sitúan en un entorno de producción en la Internet, todos los usuarios con las mismas llaves predeterminadas tendrán acceso a ese recurso de llave compartida y a cualquier información confidencial que la contenga.
Los puntos de acceso inalámbricos y dispositivos de servidor seguro preconfigurados más comunes.
Suplantación de IP Una máquina remota actúa como un nodo en su red local, encuentra vulnerabilidades con sus servidores e instala un programa trasero o Caballo de Troya para obtener control sobre los recursos de la red.
La suplantación es bastante difícil ya que el agresor debe predecir los números de secuencia TCP/IP para coordinar la conexión a sistemas de destino, aunque hay varias herramientas disponibles para que los atacantes realicen dicha agresión.
Depende de los servicios que se ejecuten en el sistema de destino (tales como rsh, telnet, FTP y otros) que usan técnicas de autenticación source-based, las cuales no se recomiendan cuando se comparan a PKI u otras formas de autenticación de cifrado utilizadas en ssh o SSL/TLS.
Interceptación pasiva Recolectar los datos que pasan entre dos nodos activos en la red mediante interceptación pasiva en la conexión entre los dos nodos.
El tipo de ataque funciona principalmente con protocolos de transmisión de texto plano tales como transferencias de Telnet, FTP y HTTP.
El agresor remoto debe tener acceso al sistema comprometidos en un LAN para poder realizar dicho ataque. Por lo general, el ciberpirata ha empleado un ataque activo (tal como suplantación de IP o tercero interpuesto) para comprometer un sistema en el LAN.
Medidas preventivas incluyen servicios con intercambio de llave criptográfica, contraseñas de una sola vez o autenticación cifrada para evitar suplantación de contraseñas; también se recomienda el cifrado fuerte durante la transmisión.
Vulnerabilidades de servicios El atacante busca una falla o debilidad en un servicio en la red; a través de esta vulnerabilidad, el agresor compromete todo el sistema y los datos que pueda contener y posiblemente comprometa otros sistemas en la red.
Los servicios basados en HTTP tales como CGI son vulnerables a la ejecución de comandos remotos e incluso al acceso de shell interactivo. Incluso el servicio HTTP se ejecuta como usuario sin privilegios tales como información de "nadie", información tal como archivos de configuración y mapas de redes que pueden leer o el atacante puede iniciar o negar el ataque del servicio que drena los servicios del sistema o los convierte en no disponibles para otros usuarios.
Algunas veces los servicios pueden tener vulnerabilidades que no se notan durante el desarrollo y evaluación: estas vulnerabilidades (tales como sobreflujos de buffer, donde los agresores atacan un servicio con valores arbitrarios que llenan el buffer de la memoria de una aplicación, dando a los agresores un indicador de comandos interactivo desde el cual pueden ejecutar comandos arbitrarios) pueden dar control administrativo total a un agresor.
Los administradores deben asegurarse de no operar como usuarios de root, y deben estar alertas a los parches y actualizaciones de erratas para aplicaciones de los proveedores u organizaciones de seguridad tales como CERT y CVE.
Vulnerabilidades de aplicaciones Los atacantes buscan fallas en el escritorio y aplicaciones de trabajo (tales como clientes de correo-e) y ejecutan código arbitrario, implantan caballos de Troya para compromiso futuro o para dañar sistemas. Otras vulnerabilidades se pueden presentar si la estación de trabajo tiene privilegios administrativos en la parte restante de la red.
Las estaciones de trabajo y escritorios son más propensas a vulnerabilidades ya que los trabajadores no tienen la experiencia para evitar o detectar un compromiso; es imperativo informar a los individuos de los riesgos que corren cuando instalan software no autorizado o abren anexos de correo no solicitado.
La protección puede implementarse para que ese software de clientes de correo-e no se abra automáticamente o ejecute archivos adjuntos. Además, la actualización automática del software de estación de trabajo vía Red Hat Network u otros servicios administrativos de sistemas pueden aliviar las cargas de seguridad de implementaciones de seguridad de varios puestos.
Ataques de denegación de servicio (DoS) El atacante o grupo de atacantes coordina contra una red de organización o recursos de servidor al enviar paquetes no autorizados al host de destino (ya sea servidor, enrutador o estación de trabajo). De esta manera se fuerza al recurso a convertirse en disponible para usuarios legítimos.
El caso de DoS más reportado en los Estados Unidos ocurrió en 2000. Varios sitios comerciales y gubernamentales quedaron no disponibles por un ataque coordinado de ping mediante varios sistemas comprometidos con conexiones de ancho de banda actuando como zombies, o nodos de transmisión redirigidos .
Los paquetes de fuente generalmente se falsifican (como también se retransmiten), lo que dificulta la investigación de la fuente verdadera del ataque.
Avances en filtrado de ingreso (IETF rfc2267) mediante iptables y Sistemas de detección de Intrusos de Redes tales como snort ayudan a los administradores a rastrear y a evitar ataques DoS distribuidos.