Seguridad Informatica para empresas en Routers ADSL, DDoS y otras vulnerabilidades
Seguridad Informatica para empresas en Routers ADSL, DDoS y otras vulnerabilidades
Routers ADSL:
Si un router está mal configurado se pueden ocasionar intrusiones, tanto a la maquina donde esta conectado el router como al propio router, con lo cual se podría reconfigurar con diferentes fines. Si se consigue acceso total a la configuración del router se puede usar el mismo como bouncer y así los intrusos pueden realizar mas intrusiones o ataques a otras maquinas bajo la ip el router reconfigurado, apareciendo como culpable el propietario del mismo en caso de alguna acción ilegal.
Un alto porcentaje de vulnerabilidades no ofrecen acceso a la configuración del router, son pequeños bugs, fallos en la programación del router, en las que se puede tener acceso a ciertos menús, o ser vulnerable a diferentes tipos de ataques, la mayoría ataques DoS (Denial of Service) , ataques de denegación de servicio, los cuales su único fin es dejar fuera de servicio el router y por lo cual, se deja de tener conexión tanto a Internet, como en toda la red local si este actúa también como hub.
A continuación se exponen los routers mas usados actualmente en España por ser los que proporcionan los ISP o por ser de una compañía con prestigio en el sector.
Existen mas modelos ya que según el mercado evoluciona se cambian unos modelos por otros mejores o mas nuevos. Los expuestos son los actualmente mas extendidos en España.
• Empresa 3Com , modelo proporcionado por Telefónica : 3Com812
• Empresa CISCO , empresa de gran calidad y prestigio, routers normalmente adquiridos por el sector profesional
• Empresa SpeedStream , modelos proporcionados por Telefónica : SpeedStream 5600 series , SpeedStream 5800 series
• Empresa Zyxel , modelo proporcionado por Telefónica : Zyxel 642r , Zyxel Prestige 643
Se muestran a continuación las vulnerabilidades que se han hecho publicas sobre estos routers., dicha información se puede encontrar fácilmente en Internet, dando lugar a dejar al descubierto ante posibles ataques cualquier router con la vulnerabilidad que se indique.
Si un router está mal configurado se pueden ocasionar intrusiones, tanto a la maquina donde esta conectado el router como al propio router, con lo cual se podría reconfigurar con diferentes fines. Si se consigue acceso total a la configuración del router se puede usar el mismo como bouncer y así los intrusos pueden realizar mas intrusiones o ataques a otras maquinas bajo la ip el router reconfigurado, apareciendo como culpable el propietario del mismo en caso de alguna acción ilegal.
Un alto porcentaje de vulnerabilidades no ofrecen acceso a la configuración del router, son pequeños bugs, fallos en la programación del router, en las que se puede tener acceso a ciertos menús, o ser vulnerable a diferentes tipos de ataques, la mayoría ataques DoS (Denial of Service) , ataques de denegación de servicio, los cuales su único fin es dejar fuera de servicio el router y por lo cual, se deja de tener conexión tanto a Internet, como en toda la red local si este actúa también como hub.
A continuación se exponen los routers mas usados actualmente en España por ser los que proporcionan los ISP o por ser de una compañía con prestigio en el sector.
Existen mas modelos ya que según el mercado evoluciona se cambian unos modelos por otros mejores o mas nuevos. Los expuestos son los actualmente mas extendidos en España.
• Empresa 3Com , modelo proporcionado por Telefónica : 3Com812
• Empresa CISCO , empresa de gran calidad y prestigio, routers normalmente adquiridos por el sector profesional
• Empresa SpeedStream , modelos proporcionados por Telefónica : SpeedStream 5600 series , SpeedStream 5800 series
• Empresa Zyxel , modelo proporcionado por Telefónica : Zyxel 642r , Zyxel Prestige 643
3Com812
Fallo de seguridad en el router OfficeConnect 812
Concretamente, la vulnerabilidad se encuentra al acceder desde HTTP, mediante el puerto 80. Cuando el usuario es preguntado por su identidad/contraseña, puede no responder ninguna de estas opciones. Acto seguido, se muestra una página que informa que la dirección -la IP del router- es un objeto restringido.
Sin embargo, si la dirección fuera, por ejemplo, la siguiente: http://192.168.1.254, al añadir esta siguiente combinación:
http://192.168.1.254/graphics/sml3com%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s% s%s%s%s%s%s%s%s%s%%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s %s%s%s%s%s%s%s
se provoca un fallo general en el router, que causa que los leds no cesen de parpadear y que se quede fuera de línea.
Por otra parte, el más grave error de seguridad se encuentra en direcciones como: http://192.168.1.254/adsl_pair_select y http://192.168.1.254/adsl_reset, que, sin credenciales previas (user id/password), permiten resetear el router desde la propia Internet.
La solución para que el problema consiste en instalar filtros de seguridad en los puertos 23 y 80 dentro del router. Además, en el caso de España, se debe comprobar que la dirección IP sea semifija y no fija. También es conveniente instalar la última versión del firmware proporcionado por la propia 3Com.
Vulnerabilidad en routers 3Com OfficeConnect Remote 812 ADSL
Se ha detectado la existencia de un problema de seguridad en los routers 3Com OfficeConnect Remote 812 ADSL Router, los instalados por Telefónica en su servicio ADSL, que puede permitir a un atacante remoto realizar escaneos de puertos de los ordenadores instalador tras el router.
El problema reside en PAT(Port Address Translation), que puede permitir el acceso a los puertos del ordenador situado tras el router. Al intentar conectar a un puerto que no está redirigido al ordenador tras el router, este se comporta de forma correcta y no hay ningún problema, el dispositivo impide la conexión.
Pero si antes de realizar la conexión al puerto redirigido con PAT y de forma inmediata se intenta la conexión con otro puerto no redireccionado el router permite las conexiones sucesivas a cualquier puerto.
El problema se puede reproducir tanto con puertos UDP como con TCP y ha sido probado con las versiones del firmaware V1.1.9 y V1.1.7. Al permitir el acceso de a los puertos del ordenador tras el router, abre nuevas posibilidades de ataque a un posible usuario malicioso. Para evitar este problema se recomienda el uso de firewalls personales.
Cisco
Los routers Cisco vulnerables ante exploraciones de seguridad
Cisco avisa a todos los usuarios de sus routers que estos productos se pueden ver afectados por ataques de denegación de servicios si se ven expuestos a chequeos por programas de exploración de vulnerabilidades.
Un gran número de versiones del software IOS (Internetworking Operating System) de Cisco se ven afectadas por un defecto que puede provocar el reinicio del router cuando este se ve chequeado por algún programa de comprobación de vulnerabilidades. De tal forma, que si un usuario malicioso explota el problema de forma repetida puede provocar un ataque de denegación de servicios.
Esta vulnerabilidad ya fue descubierta y anunciado por Cisco hace dos meses, pero ante el gran número de usuarios que aun no han actualizado sus sistemas, con el consiguiente peligro que ello representa, la popular firma recuerda a sus clientes la necesidad de actualizar a las últimas versiones del software.
El software de chequeo de vulnerabilidades provoca el fallo cuando analiza la existencia de dos vulnerabilidades específicas de sistemas Unix. Estos problemas no tienen ninguna relación con el software Cisco IOS, sin embargo debido a un efecto secundario en los análisis se produce el defecto anteriormente descrito, con el consiguiente reinicio del dispositivo.
Ejecución de comandos sin autorización sobre Cisco Catalyst 3500
La serie de switches de Cisco Catalyst 3500 XL se emplean con gran frecuencia en entornos de redes locales o intranets. Una vulnerabilidad existente en la interfaz web de administración hace
posible la ejecución de comandos sin ningún tipo de autentificación. Aunque el problema se ha encontrado en la serie Catalyst 3500 XL es muy posible que todos los conmutadores Catalyst sean vulnerables a este problema, por el empleo del mismo software (o muy similar). Los dispositivos afectados disponen de una interfaz de administración por web. El problema radica en que dicha interfaz permite a los usuarios web anónimos la ejecución de comandos sin necesidad de realizar ningún tipo de autentificación.
De esta forma, el ataque queda a la mano de cualquier usuario de la red. Un usuario malicioso simplemente deberá introducir la ruta /exec tras el nombre del servidor web.
Por ejemplo: http://siwtch_catalyst/exec/show/config/cr
Con esta URL el usuario obtendrá el archivo de configuración, en el que se muestran todas las contraseñas de los usuarios. Tras lo cual ya podrá acceder al conmutador de forma directa. Hasta que Cisco publique un parche que solucione esta vulnerabilidad, la única forma de evitar los posibles ataques pasa por desactivar completamente la interfaz de configuración web.
Denegación de servicios en la familia de routers Cisco 600
Existe una vulnerabilidad en la familia de routers DSL 600 de Cisco con sistema operativo CBOS anteriores a la versión 2.3.8, por la cual un usuario malicioso podrá provocar un ataque de denegación de servicios contra el router. Para hacer posible este tipo de ataque será necesario tener habilitada la posibilidad de administración del router a través del interfaz de administración web. El atacante realizará una llamada HTTP construida de forma maliciosa mediante Telnet al router. Una vez conectado con el interfaz de administración web, el atacante realizará una llamada tipo "GET ? \n \n" esto producirá el cierre de la sesión Telnet y la caída del router.
Para recuperar el correcto funcionamiento del dispositivo será necesario realizar un nuevo ciclo de apagado y encendido. Actualmente, la única solución disponible es desactivar el Interfaz de Administración Web del Router.
Existen otras vulnerabilidades de denegación de servicios que afectan a toda la familia 600 de enrutadores de Cisco. El router se verá afectado de forma similar a la descrita anteriormente cuando reciba una cadena de paquetes TCP SYN o con el envío de paquetes ICMP ECHO (ping) de gran tamaño. En general Cisco recomienda proceder a la actualización del sistema operativo del router para evitar todos estos problemas.
Múltiples vulnerabilidades en Cisco 600
Han sido detectadas una serie de vulnerabilidades en Cisco Broadband Operating System (CBOS), que trabaja sobre los routers de la serie 600 de Cisco. Una gran cantidad de peticiones de acceso mediante Telnet o http (puertos 21 y 80), conseguirá parar el servicio, lo que hará necesario reiniciar el dispositivo con el fin de recuperar el normal funcionamiento del router.
La utilidad de administración mediante web de Cisco Broadband Operating System (CBOS) en los Cisco de la serie 600 viene habilitada por defecto.
Los conmutadores afectados por el mal funcionamiento de Cisco Broadband Operating System (CBOS), son:
Cisco Routers 627, 633, 673, 675, 675E, 677, 677i y 678.
CBOS: 2.0.1, 2.1.0, 2.1.0a, 2.2.0, 2.2.1, 2.2.1a, 2.3, 2.3.2, 2.3.5, 2.3.7, 2.3.8, 2.3.9, 2.4.1, 2.4.2 y 2.4.2ap.
Estos problemas están resueltos con las versiones 2.4.2b y 2.4.3.
Vulnerabilidad DoS en el IOS de Cisco
Diversas versiones del IOS de Cisco son vulnerables a un ataque de denegación de servicio cuando está habilitado el protocolo propietario EIGRP. Cuando se inunda un router Cisco con anuncios EIGRP falsificados, el router originará una tormenta ARP contra el segmento de red al tratar de descubrir la dirección MAC del supuesto nuevo dispositivo. Esto puede llegar a consumir todo el ancho de banda, provocando la denegación de servicio en toda la red.
El protocolo EIGRP es utilizado por los routers Cisco para anunciar su existencia a todos los routers vecinos. Para ello se envía vía multicast, en el interfaz habilitado para EIGRP, un mensaje de anuncio. Cuando dos routers se descubren el uno al otro, intentan intercambiar
información sobre la topología de la red. En las redes Ethernet es preciso que cada router obtenga la dirección MAC de su interlocutor.
Si un atacante envía una gran cantidad de mensajes de anuncio EIGRP, con direcciones IP aleatorias, todos los routers Cisco que reciban estos paquetes intentarán contactar con el dispositivo emisor. Debido a la existencia de un problema en el sistema operativo IOS, cada router obtiene la dirección MAC del emisor de forma continua hasta que no expire el periodo de tiempo indicado dentro el mensaje EIGRP. Como este valor está establecido por el emisor del mensaje, en el caso de un ataque hemos de considerar que se utilizará el valor máximo de 18 horas.
En el supuesto de que un router reciba diversos mensajes de anuncio EIGRP con direcciones IP de origen falsas, se utilizará toda la CPU y ancho de banda del segmento de red para enviar las peticiones ARP, lo que provoca la denegación del servicio.
SpeedStream
Vulnerabilidad en routers Efficient SpeedStream 5660
Los usuarios de ADSL de Telefónica con routers Efficient SpeedStream 5660 instalados por Telefónica y Terra pueden ver su configuración gravemente afectada, de forma que pueden perder conectividad a la Red o incluso que sus máquinas queden accesibles para todo Internet. Según nos ha informado directamente el Instituto para la Seguridad en Internet el software 2.2.1 (9R1) de los routers Efficient SpeedStream 5660 de ADSL instalados por Telefónica y Terra posee una grave
vulnerabilidad de seguridad que permite a un atacante remoto tomar control total del mismo.
La versión del software afectada tiene fecha de 6 de junio, por lo que todos los usuarios cuya instalación sea posterior a dicha fecha se verán afectados por este problema. Como en muchas otras ocasiones el problema se agrava por la facilidad con que puede explotarse esta vulnerabilidad.
El firmware de estos routers incluye un sistema de protección que impide a un atacante externo acceder a su configuración interna. Sin embargo, la vulnerabilidad descubierta por el Instituto para la Seguridad en Internet permite a cualquier persona tomar control total del dispositivo. Entre las acciones que un intruso podría llevar a cabo, se incluirían, pero no se limitarían a, la desconfiguración total y permanente del router, la inhabilitación permanente del acceso a Internet mediante este router o la redirección de puertos a máquinas internas, que haría visibles a éstas desde Internet.
Denegación de servicio en routers Speedstream serie 5800
Se ha descubierto una vulnerabilidad de denegación de servicio en los routers ADSL Speedstream serie 5800 de la firma Efficient Networks.
Cuando se hace uso del filtro IP integrado para bloquear paquetes TCP SYN un simple escaneo de puertos al interface WAN del router provocará su bloqueo y finalmente su reinicio.
Para evitar el problema se recomienda configurar el router para reenviar todo el tráfico (no filtrarlo en el router) a otro sistema de la red, preferiblemente un firewall que pueda efectuar el filtrado adecuadamente.
Zyxel
Vulnerabilidad DoS en router Zyxel Prestige 642R
El Router Zyxel Prestige 642R con la versión de ZyNOS 2.50(FA.1) es vulnerable a un ataque DoS que mediante un paquete "jolt" deja incomunicado el router durante 30 segundos.
El ataque Jolt consiste en enviar un paquete ICMP con un tamaño muy grande y fragmentado de manera que la maquina objetivo es incapaz de volverlo a unir y en sistemas como Windows 95 y NT 4.0 sin los parches correspondientes es capaz de bloquear la maquina siendo necesario reiniciarla.
Es posible que otros modelos e incluso otras versiones del sistema operativo ZyNOS se vean afectadas.
Problemas de seguridad en routers Zyxel
Por defecto, en su configuración los modelos Prestige 642R y ZyXEL Prestige 642R-I de los routers de ZyXEL tienen los servicios de Telnet y FTP -a nivel administrativo- abiertos a todos los usuarios desde Internet. En la práctica, sino se ha modificado dicha configuración cualquier persona podrá acceder al dispositivo, entrar en él -como si del propio administrador se tratara-, y realizar todo tipo de modificaciones en la configuración del router
Intrusión en routers ADSL
El principal motivo de una intrusión en un router es el usarlo en beneficio propio para que actúe como bouncer, que el intruso sea alguien que conoce ya la existencia del mismo y quiera perjudicarlo por diferentes motivos (cese de su puesto de trabajo, disconformidad con la empresa, venganza, enemistad..) y por ultimo puede ser que sean usuarios que van a la búsqueda captura de routers desconfigurados para hacer sus pruebas de hacking siendo estos los mas peligrosos ya que si tienen éxito podrán usar esta línea como puente para hacer otro tipo de actividades en otros ordenadores quedando totalmente impune, y si en algún caso no consigue el acceso completo al router se suele llegar a atacarlo al mismo solamente por el hecho de hacer algún daño a este dispositivo vulnerable.
Generalmente el acceso al router se produce por el puerto 23 , 80 u 8080. Estos puertos son telnet, web y proxy web, aunque esta ultima se suele usar cuando se redirecciona el puerto 80 a un servidor web y para la configuración del router se asigna el 8080. El acceso mas común es por web (80) ya que viene una interfaz grafica y se puede configurar el router sin introducir ningún comando, todo a través de links y con el ratón, esto provoca desconocimiento por parte del propietario/administrador del router sobre su propio aparato ya que tiene el trabajo cada vez mas fácil y mas ocultos los comandos que se envían para configurarlo.
Debido a una mala política de seguridad se instalan masivamente routers con el mismo login y password, lo cual posibilita el acceso a los mismos a cualquier usuario, incluyendo el posibilitar el acceso a la configuración desde una ip externa (desde internet) multiplica el numero de usuarios que puedan entrar valiéndose de alguna vulnerabilidad del router, o usando el login y password asignado por defecto. Dentro de una red local, el acceso por telnet o web sigue siendo igual de vulnerable ya que estos protocolos no disponen de seguridad criptográfica por lo que se pueden capturar las contraseñas que van en texto plano instalando en cualquier maquina de la red un sniffer. A continuación se muestran algunas de las contraseñas por defecto:
|
Modelo |
Usuario |
Password |
|
3Com812 |
adminttd |
adminttd |
|
SpeedStream 5660 |
adminttd |
adminttd |
|
Zyxel |
admin |
1234 |
|
Comtrend |
root |
root |
|
3Com812 (ya.com) |
adminya |
yacomadm |
Si nos encontramos en el caso de tener los puertos abiertos, se puede realizar una intrusión usando los métodos anteriormente citados, o a través de brute force (fuerza bruta) que se basa en prueba y error hasta encontrar el login y password correcto usando una lista de palabras o generando en el mismo momento las posibles combinaciones.
En caso de encontrarnos con todos los puertos cerrados, el router está a salvo, pero no por eso exento de posibles intrusiones si la red o el ordenador no tiene la seguridad adecuada, se pueden instalar sniffers para capturar la contraseña, o keyloggers. El envío de emails con algun exploit para la ejecución de un troyano al leerlo, o cualquier codigo activex, vb scripting, etc puede posibilitar el control del pc y con ello acceder a cualquier tipo de información.
Posibles ataques o intrusiones
Las 10 principales vulnerabilidades en Windows
1. Servicios de IIS (Internet Information Server)
IIS tiene un gran número de vulnerabilidades que básicamente son de tres tipos: error al tratar peticiones inesperadas, desbordamientos de memoria intermedia y las aplicaciones de ejemplo incluidas en IIS.
2. Microsoft Data Access Components (MDAC) – Remote Data Services (RDS)
Las versiones antiguas de los servicios de datos remotos (RDS) permiten a un usuario remoto ejecutar órdenes en el sistema infectado con privilegios de administrador.
3. Microsoft SQL Server
SQL Server tiene un buen número de importantes agujeros de seguridad que pueden ser utilizados para revelar información sensible, alterar el contenido de las bases de datos y comprometer los servidores de bases de datos.
4. NetBIOS – Recursos compartidos de redes Windows sin protección
Una configuración errónea de los recursos de la red de Windows pueden permitir el acceso a los archivos críticos de un sistema o bien ofrecer un mecanismo para que un atacante pueda controlar el ordenador de la víctima.
5. Conexiones anónimas y nulas
A través de conexiones de usuario anónimo o sin usuario, un atacante puede obtener información sobre la configuración de la máquina, los usuarios definidos y los recursos compartidos. Es el primer paso de un ataque contra una máquina Windows.
6. Autenticación LAN Manager
Debido a la necesidad de ofrecer compatibilidad descendente, Windows continua utilizando un mecanismo de cifrado de las contraseñas muy ineficiente. Una vez capturada la contraseña, utilizando la fuerza bruta (probar todas las combinaciones posibles) es factible descifrarla en periodos de tiempo muy cortos.
7. Autenticación de Windows : cuentas sin contraseña o con contraseña débil.
Una de las vulnerabilidades más frecuente es la existencia de cuentas de usuario sin contraseñas (que pueden ser identificadas fácilmente si se permite conexiones nulas al sistema) o con contraseñas débiles.
8. Internet Explorer
Internet Explorer es el navegador por defecto incluido en todas las versiones de Windows. Todas las versiones publicadas hasta la fecha, sin los últimos parches publicados, tienen importantes vulnerabilidades de seguridad.
9. Acceso remoto al registro
Una configuración errónea del sistema puede permitir el acceso remoto al registro del sistema, una base de datos jerárquica donde están definidos todos los parámetros del sistema: configuración de programas, dispositivos y usuarios.
10. Windows Scripting Host
Este es un componente presente en Windows 98, ME, 2000 y XP (así como en 95 y NT si se ha instalado Internet Explorer 5 o posterior) que permite la ejecución de scripts en Visual Basic.
Algunos de los últimos gusanos (como el "I Love You") utilizan este componente para su ejecución.
Esta es la lista de las vulnerabilidades más comunes que se suelen encontrar en internet, a través de las cuales se frecuenta la intrusión al ordenador o red local. A continuación se detallan algunos de los puntos expuestos anteriormente.
Internet Information Server , esta aplicación, un servidor web, viene incluido por defecto cuando se instala Windows 2000 Server , gran parte de empresas y instaladores de redes, insertan el CD , instalan el sistema operativo tal cual como vienen las opciones y se procede a hacer la instalación del resto de red usando DCHP , con lo que el gasto de tiempo y esfuerzos es mínimo, lo cual también conlleva a problemas de seguridad. Podemos intentar conectarnos a esta red mediante cualquier tipo de spoofing y pedirle al server que nos asigne una ip , ya que está por DCHP , sin tener porque preocuparnos del rango de ip en el cual esta la red o la submascara de red, pudiendo asi formar parte del resto de equipos y tener acceso a no solo un pc, sino a toda la red.
Este servidor web tiene varios bugs , la mayoría permiten que se realice un ataque DoS , dejando inservible el server y por lo mismo la red sin conexión entre los equipos, lo cual puede ser perjudicial para la empresa , aun así puede ser de poca relevancia cuando nos encontramos ante un error que posee el IIS , llamado comúnmente como el bug del unicode , con el cual se puede mandar comandos al sistema como si de una shell se tratara, con lo cual se puede acceder al sistema, subir archivos desde otros ordenadores, copiar, borrar, renombrar archivos, o formatear unidades, incluyendo poder instalar cualquier herramienta de administración remota como winvnc , radmin o webmin posibilitando así el manejo del pc desde el mismo escritorio y con el ratón. Se puede acceder a cualquier otro pc de la red local desde el mismo server que se ha conseguido el acceso , pudiendo así tomar el control y llegar a extraer cualquier tipo de información confidencial, leer emails, acceder a las cuentas de email de otros usuarios, archivos guardados en los discos duros, modificación de la pagina web si se posee de alguna, instalación de troyanos o programas para capturar contraseñas, instalación de servidores ftp para usar el pc como sitio de alojamiento de películas, programas ilegales, musica, etc, acceso a directorios restingidos, visualización de nominas, facturas, información de clientes, borrar todos los datos de todos los ordenadores, infectarlos por algún virus o usarlos para realizar ataques DDoS a otras empresas o dominios. Se muestra a continuación un ejemplo del bug de unicode y lo que mostraria :
Los recursos compartidos y accesos por netbios, los cuales suelen ser ampliamente usados en empresas y en la red local para acceder de unos ordenadores a otros, suelen tener el mayor índice de vulnerabilidades y por donde se cometen más intrusiones. Cualquier Windows basado en tecnología NT (NT 3,NT 4,2000,XP) , poseen un bug mediante una petición de conexión incorrecta se provoca un ataque DoS , dejando el pc colgado y teniendo que reiniciarlo para que vuelva a funcionar, por lo que si este ordenador es el servidor, deja la red y el dominio fuera de servicio hasta que vuelva a estar online el pc.
Si nos encontramos bajo Windows 9x/me, el problema de netbios es de otro tipo, por una parte, si es un Windows 95 , aunque ya obsoleto en algunos casos se usa, se puede realizar el ataque conocido como OOB (out of band) , el cual provoca el reiniciado automático del pc o el cuelgue total del sistema. Tanto en Windows 95,98 y 98se , aunque los recursos compartidos estén protegidos por contraseña, por un error de programación en la autentificación, si se introduce una contraseña con tamaño de 1 sola letra, comparará la contraseña introducida con la correcta solo la primera letra, por lo cual se reduce el acceso a este recurso en probar todos los caracteres ascii que hay en nuestro teclado y podremos entrar sin conocimiento de la contraseña real.
Accediendo por netbios a cualquier otro pc de nuestra red local, podemos abrir cualquier programa en nuestro Windows, como pueda ser notepad, wordpad, word, windows media placer .. etc, podemos usar cualquier de estos programas para explotar una vulnerabilidad de los Windows 9x que provoca una denegación de servicio al intentar acceder a rutas reservadas por ms-dos , conocido este bug como el bug del con/con , un ejemplo de este ataque puede ser:
Inicio – ejecutar – command
-una vez en ms-dos
notepad \\192.168.0.100\c\windows\con\con\clock$.txt
-se abriría el notepad e intentaría entrar en esta ruta la cual haría que el ordenador remoto quedara fuera de servicio.
Exit
Otra vulnerabilidad, la cual es la que actualmente menos se tiene en cuenta por su desconocimiento, es establecer una sesión nula por netbios, entrando como si fuéramos un servidor, se crea una conexión como usuario anónimo , solamente consiguiendo esta conexión se pueden usar muchos programas y diversas utilidades, mediante los cuales, se puede obtener una lista de todos los recursos compartidos, y todos los usuarios, incluyendo sus privilegios, por lo cual un ataque por brute force se hace mucho mas simple y orientado. Se suele tener tendencia a crear contraseñas con el nombre y primer apellido del empleado, el login a la inversa o palabras o combinaciones o juegos de teclas, los cuales suelen estar en listas de palabras que en poco tiempo se pueden comprobar cientos de ellas, haciendo que el acceso al pc se consiga solo con probar contraseñas utilizando una lista de palabras.
Las contraseñas en Windows 9x/se me guardan en archivos pwl los cuales tienen una seguridad criptográfica muy baja y se puede desencriptar el archivo consiguiendo por lo cual las contraseñas, aun siendo mas fácil pudiendo borrar o reemplazar estos archivos pwl.
En Windows NT encontramos que las contraseñas están en un único archivo, el archivo sam , el cual no se puede acceder a el, aun así , se puede conseguir el archivo, en el directorio repair que se crea como respaldo por si hay que restaurar el sistema, aunque como no se suele hacer actualizaciones de dicho archivo, estaria obsoleto , y se consigue por otros medios, entre los cuales, pueden ser introduciendo en el archivo autoexec.bat que se copie el archivo sam una vez reinicie el pc. Si se tiene acceso físico al ordenador, por poder estar empleados usándolo con privilegios de usuario normal, debido a falta de seguridad , el usuario puede introducir un diskete y copiar el archivo sam y crackearlo con tiempo en su casa sin que nadie se diera cuenta de ello. La seguridad en el archivo sam es mayor y se necesita de mas tiempo para encontrar cuales son las claves que tiene el archivo ya que no son reversibles, aun así , normalmente en 48 horas se crackean todas las claves que hay en el archivo.
Todo este tipo de ataques, se hacen espontáneamente por todo tipo de personas, pueden ser empleados con tiempo y conocimientos para ello, o cualquier usuario de internet que deja programas en búsqueda de ips vulnerables haciendo escaneos de amplios rangos, siendo este tipo de usuarios cada vez mas numeroso –cada día pueden haber un par de centenares de usuarios en búsqueda de algún pc vulnerable- y mas peligroso por la información que circula por la red sobre este tipo de actividades.
Ciertos servicios poco documentados y por falta de información de los administradores también hace vulnerable los servidores, los Windows NT , usan además de la conexión por netbios y el puerto 139 , el puerto 445, el cual sirve prácticamente para lo mismo y se pueden realizar intrusiones por éste, normalmente el cual se deja desconfigurado o con la contraseña por defecto. No siendo suficiente invitación esto para entrar en la maquina ajena, si no se pudiera acceder, Windows XP posee una vulnerabilidad, que cuando se realiza un syn flood a este puerto, en 20 segundos aproximadamente, se viene abajo el sistema.
Una vez en el entorno de trabajo, sea usando el correo electrónico o navegando por internet si se hace necesario, encontramos que los productos de los que dispone Microsoft , son de escasa seguridad, y por lo cual , somos vulnerables solamente leyendo un email o navegando.
Se reportan continuamente vulnerabilidades del navegador internet explorer , el cual es vulnerable a ejecutar programas y código sin aviso previo , por lo que se pueden instalar troyanos y marcadores telefónicos a líneas 906 sin que se pueda notar prácticamente nada.
Al igual que en internet explorer, Outlook exprés es vulnerable a todo tipo de ataques, y uniéndose al soporte que tiene para mostrar código html , y windows scripting host, nada mas entrar el email y pulsar sobre el, nos genera la vista previa y ya se ejecutan los comandos maliciosos que posee , siendo la liberación oculta de troyanos, keyloggers , virus, gusanos, o por ejemplo la lectura de archivos locales del pc, con lo que abriendo un email o mientras navegamos, pueden estar accediendo a nuestro pc y leyendo archivos confidenciales los cuales pueden ser sobre la configuración de nuestro pc , nuestra pagina web o nuestra empresa.
Aparte de este tipo de ataques orientados a la intrusión en el sistema podemos encontrar ataques con el único fin de dejar fuera de servicio el sistema o la red, imposibilitando así trabajar y las perdidas que pueda conllevar quedarse sin conexión desde unos minutos a varias semanas. El atacante puede ser un antiguo empleado , alguna empresa de la competencia o cualquier usuario de internet que quiera comprobar su material de guerraâ€.
Estos son los ya citados ataques DoS , los cuales se basan en consumir todos los recursos de la máquina a la cual se ataca haciendo múltiples conexiones a un determinado puerto , solicitando repetidamente un servicio o enviando información continuamente para saturar la conexión. Un ataque ya conocido , y que puede dejar colgado los windows NT 4 , es el llamado ping de la muerte, que enviando un ping excesivamente grande, no es capaz de devolverlo y tira la conexión.
Se pueden realizar diferentes tipos de ataques, por ejemplo realizando desde varias ip cientos de conexiones al puerto 19 (que genera continuamente caracteres sin parar) y así consumir todo el ancho de banda; un envío repetido y continuo de ping a la ip, la cual una y otra vez responderá a dicha llamada también puede consumir un ancho de banda considerable, para esto se utilizan diferentes técnicas para que sea mas potente el ataque, se puede hacer un ataque conjunto con cientos de maquinas infectadas con troyanos y se les indique atacar una misma ip, por lo que al recibir ping de cientos de maquinas y de manera continuada, no puede responder, esto se conoce como ataque distribuido de denegación de servicio (DDoS).
Para simular un ataque DDoS o realizando un mismo ataque DDoS y multiplicar su potencia, se usa el ip spoofing, enviando peticiones de ping con la cabecera modificada donde indica ser una ip falsa, por lo cual, una misma ip, usando spoofing puede hacer creer a la victima estar recibiendo ping de cientos de maquinas diferentes.
En el puerto 5000 , el cual se usa para el servicio upnp , el cual se encarga de autodetectar nuevos dispositivos en la red, es vulnerable en todas las versiones de Windows , siendo Windows XP el mayor afectado ya que viene con este servicio activado por defecto. A traves de un buffer overflow , se puede sobrescribir la memoria y hacer que se ejecuten instrucciones, llegando a conseguir una shell , siendo mas factible realizar un ataque DoS de diferentes maneras.
Tipos de ataques DoS:
Net Flood:
Este ataque simplemente aspira a degradar la conectividad Internet de una red mediante la saturación de sus enlaces de comunicación.
Si, por ejemplo, la organización atacada tiene un enlace Internet de 2Mbps (Megabits por segundo) y el atacante suma 34Mbps, está claro que la línea de menor capacidad prácticamente estará monopolizada por
"tramas" atacantes, dejando muy poco sitio para que se curse tráfico útil.
¿Cómo consigue el atacante contar con grandes anchos de banda?
Una posibilidad es coordinar ataques simultaneos desde varias localizaciones, utilizando las herramientas descritas más arriba.
Por otra parte, existen multitud de redes de gran capacidad con máquinas mal administradas y completamente inseguras, como la mayoría de las universidades.
Al igual que ocurre con los ataques DoS, "net flood" es también un concepto genérico, que engloba diversos tipos de ataques. Uno de los más interesantes es el "smurf".
El ataque "smurf" utiliza una característica de Internet: broadcast.
Toda red tiene lo que se denomina una dirección de "broadcast". Los datagramas enviados a esa dirección son recibidos por todas las máquinas en la red local. Ello permite, por ejemplo, que una máquina localice un servidor proporcionando un servicio haciendo una pregunta a la red, no preguntando máquina por máquina.
El problema de la dirección "broadcast" es que suele estar disponible también para usuarios de fuera de la red local, en particular para todo Internet. Ello permite, por ejemplo, que un atacante envíe un pequeño datagrama a toda una red remota, y que las máquinas de dicha red respondan todas a la vez, posiblemente con un datagrama de mayor tamaño. Si la red sondeada tiene 150 máquinas activas, la
respuesta es 150 veces más intensa. Es decir, se consigue un efecto "multiplicador".
¿Qué ocurre ahora si el atacante utiliza la dirección IP de otro sistema? (lo que se denomina "IP Spoofing"). ¡¡Que las respuestas de la red a la que se hace "broadcast" serán enviadas a la dirección IP del tercer sistema!!. Es decir, el atacante está atacando una red empleando otra red intermedia para multiplicar sus recursos.
Si, por ejemplo, el atacante dispone de una RDSI, y utiliza como multiplicadores cinco redes con 10 máquinas en cada una de ellas, por poner un ejemplo, la red final recibirá datagramas a una tasa de 3.2Mbps, al menos. El atacante ha multiplicado sus recursos por 50, como mínimo.
Lo peor de todo es que este ataque ni siquiera implica controlar las redes que se emplean como multiplicadoras.
Syn Flood:
El protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios (incluyendo el correo electrónico, el web y el IRC) implica una conexión entre dos máquinas. El establecimiento de dicha conexión se realiza mediante lo que se llama "conexión en tres pasos", precisamente porque requiere la realización de tres pasos iniciales antes de que la conexión se pueda considerar establecida. Si el paso
final no llega a establecerse, la conexión permanece en un estado denominado "semiabierto".
El problema es que muchos sistemas operativos tienen un límite muy bajo en el número de conexiones "semiabiertas" que pueden manejar en un momento determinado. Si se supera ese límite, el servidor sencillamente dejará de responder a las nuevas peticiones de conexión que le vayan llegando. Las conexiones "semiabiertas" van caducando tras un tiempo, liberando "huecos" para nuevas conexiones, pero mientras el atacante mantenga el "syn flood", la probabilidad de que una conexión recién liberada sea capturada por un nuevo "syn" malicioso es muy alta.
Para hacernos una idea de la potencia de este ataque baste decir que muchos sistemas operativos fijan un límite del orden de 5-30 conexiones "semiabiertas", y que éstas caducan al cabo de un par de minutos. Para mantener el servidor fuera de servicio, un atacante sólo necesita enviar un paquete "syn" cada 4 segundos. Algo al alcance de, incluso, un módem de 300 baudios.
Este ataque suele combiarse también con "ip spoofing" (enviar los paquetes con la dirección de una tercera red) de forma que la red atacada "ve" un ataque proveniente de esa tercera red, no proveniente del atacante real.
En la actualidad, la mayoría de los sistemas operativos son inmunes a este ataque, siempre y cuando el administrador de las máquinas se haya preocupado de instalar la última versión del sistema o haya aplicado a las versiones antiguas el parche correspondiente.
Connection Flood:
Todo servicio de Internet orientado a conexión (la mayoría) tiene un límite máximo en el número de conexiones simultaneas que puede tolerar. Una vez que se alcanza ese límite, no se admitirán conexiones nuevas.
Así, por ejemplo, un servidor Web puede tener capacidad para atender a mil usuarios simultaneos. Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar conexiones nuevas constantemente, como ocurre con el caso del "syn flood".
Afortunadamente este ataque implica que la conexión tiene lugar o, lo que es lo mismo, que se completa la negociación en tres pasos que comentábamos en la sección anterior. Debido a ello la máquina atacada tiene constancia de la identidad real del atacante. Al menos, si sus administradores merecen su sueldo y saben qué comandos utilizar…
¿Cómo defenderse de este tipo de ataques?
La respuesta sencilla es "no puedes". Muchos de estos ataques de denegación de servicio se basan en fallos de diseño inherentes a Internet, por lo que no son "solucionables" en un plazo breve de tiempo.
Los ataques de "syn flood" ya no son un problema, si se instala un sistema operativo actualizado.
Los ataques de "connection flood" pueden ser detectados por un administrador de sistemas eficiente, y se pueden filtrar en el cortafuegos corporativo, siempre que los sitios atacantes sean pocos.
Por último, tenemos el caballo de batalla real: "net flood".
En estos casos, la red víctima no puede hacer nada. Aunque filtre el tráfico en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas para cursar tráfico útil. Un ejemplo habitual es el de un teléfono: si alguien nos quiere incordiar, sólo tiene que llamarnos por teléfono, de forma continua. Y si descolgamos el teléfono para que deje de molestar, nos encontramos con que tampoco podemos recibir llamadas de otras personas. Este problema es habitual, por ejemplo, cuando alguien intenta mandarnos un fax empleando nuestro número de voz, y el fax insiste durante horas y horas… sin que el usuario llamado pueda hacer nada al respecto.
En el caso de "net flooding" ocurre algo similar. Aunque filtremos el ataque en nuestro cortafuegos, nos encontramos con que nuestras líneas estarán tan saturadas de tráfico que las conexiones auténticas simplemente no pueden competir. En casos así el primer paso a realizar es el ponerse en contacto con nuestro "carrier" (el operador de "backbone") para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su extremo de la línea (normalmente de bastante mayor capacidad que nuestro extremo).
El siguiente paso consiste en localizar las fuentes del ataque e informar a sus administradores, ya que seguramente se estarán usando sus recursos sin su conocimiento y consentimiento. Si el atacante emplea "ip spoofing", esto puede ser casi imposible.
En muchos casos, la fuente del ataque es, a su vez, víctima. El origen último puede ser prácticamente imposible de determinar.
Este paso puede ser bastante lento y requerir la ayuda del personal técnico del "carrier" o "backbone". Si el ataque dura poco tiempo, un par de horas, puede resultar imposible movilizar los recursos necesarios para localizar su fuente.
Posibles soluciones:
Ante la situación del router ADSL , el administrador debería ser el único con acceso al router, el cual una vez instalado y configurado, no debería accederse a el salvo que fuera de gran necesidad, por ejemplo para actualizar el firmware por si tiene alguna vulnerabilidad. Mientras tanto, si se instala en una empresa, lo recomendable seria desactivar tanto el acceso por telnet, como web , tanto por internet como en red local, ya que ningún empleado debe tener acceso a la configuración ni tan siquiera menú de login del router, por lo que solo se accedería a través de hiperterminal y usando el cable de serie que solamente tendría el administrador.
Cuando se realice la instalación de la red en la empresa, se mirará cuidadosamente que programas se usarán y serán los que se instalarán, tanto en el servidor como cliente, teniendo especial cuidado en el servidor de no habilitar recursos que no se vayan a usar, incluyendo puertos o programas.
El router tendrá solamente los puertos abiertos que sean necesarios para la empresa, y si fuera posible, usar en el servidor un proxy para que sólo a través de este se pueda acceder a internet y no directamente desde el router como puerta de enlace predeterminada.
Mantener los ordenadores con la información más importante sin conexión a la red, o tener un ordenador de backup sin conexión. La creación de contraseñas no deben de ser predecibles, con un mínimo de caracteres y sin ser palabras comunes de diccionario. No tener el mismo login y password, o password vacio.
El administrador debe revisar y guardar logs de los intentos de accesos a la red y asegurarse de que el trafico que entra y sale va por las vías indicadas, cada estación de trabajo y el propio servidor deben tener antivirus actualizado que pueda detectar cualquier tipo de virus, gusano, keylogger, etc. Se debe monitorizar el tráfico y hacer revisiones por si alguna tarjeta se encuentra en modo promiscuo lo cual indicaría la presencia de un sniffer.
Los usuarios deben logearse con privilegios de usuario, nunca de administrador ya que si reciben algún email infectado o navegando se instala algún gusano o troyano, no pueda avanzar. Se instarían en las estaciones de trabajo Windows NT 4 o Windows XP Home , con las únicas opciones de abrir los programas que se usan para el ámbito de trabajo, ya que por ejemplo Windows 9x ofrece programas de conexión como puedan ser telnet , tracert , nbtstat , etc.
Se debe deshabilitar la posibilidad de realizar una conexión nula por netbios, lo cual se haría siguiendo los siguientes pasos:
Se abre el regedit ,
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
RestrictAnonymous -> valor 1.
O de otro modo:
Herramientas administrativas/configuración de seguridad local/directivas locales/opciones de seguridad , acceso a redes: no permitir enumeraciones anonimas de cuentas y recursos compartidos SAM -> Habilitado.
Contra posibles ataques DoS , Syn Flood , etc , se instalará un firewall en el servidor, el cual también bloqueará los puertos que están abiertos por defecto en el s.o. y no puedan desactivarse, por ejemplo upnp. Se debe estar informado de todas las vulnerabilidades y actualizaciones de software las cuales, se aplicarán al momento en caso de ser de gran riesgo, y si es una actualización a una versión superior, se esperará aproximadamente de 3 a 5 meses antes de instalarlo para dar tiempo a que surjan las primeras vulnerabilidades típicas de un software nuevo y entonces actualizar si es necesario y a la vez parchear si han sido anunciadas vulnerabilidades.
Muchas gracias, por esta informacion tan completa sobre vulnerabilidad en los routers.
Muy buen articulo,.. gracias,…