PDF de programación - Técnicas de Scanning

Técnicas de Scanning

El Scaneo, como método de descubrir canales de comunicación susceptibles de ser
explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos
de escucha como sea posible, y guardar información de aquellos que sean receptivos
o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría
también se basan en este paradigma.

El Scaneo de puertos pertenece a la Seguridad Informática desde que era utilizado en
los sistemas de telefonía. Dado que actualmente existen millones de números de
teléfono a los que se pueden acceder con una simple llamada, la solución lógica (para
encontrar números que puedan interesar) es intentar conectarlos a todos.

La idea básica es simple: llamar a un número y si el módem devuelve un mensaje de
conectado, grabar el número. En otro caso, la computadora cuelga el teléfono y llama
al siguiente número. Scanear puertos implica las mismas técnicas de fuerza bruta. Se
envía una serie de paquetes para varios protocolos y se deduce que servicios están
"escuchando" por las respuestas recibidas o no recibidas.

Existen diversos tipos de Scanning según las técnicas, puertos y protocolos
explotados:

TCP Connect() Scanning

Esta es la forma básica del scaneo de puertos TCP. Si el puerto está escuchando,
devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está
abierto o que no se puede establecer conexión con a él.

Las ventajas que caracterizan esta técnica es que no necesita de privilegios especiales
y su gran velocidad.

Su principal desventaja es que este método es fácilmente detectable por el
Administrador del sistema. Se verá un gran número de conexiones y mensajes de
error para los servicios en los que se ha conseguido conectar la máquina que lanza el
scanner e inmediatamente se ha desconectado.

TCP SYN Scanning

Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor
para establecer la conexión. La aplicación del Servidor "escucha" todo lo que ingresa
por los puertos. La identificación del Servidor se efectúa a través de la dirección IP
del sistema en el que se ejecuta y del número de puerto del que depende para la
conexión. El Cliente establece la conexión con el Servidor a través del puerto
disponible para luego intercambiar datos.

La información de control llamada HandShake (saludo) se intercambia entre el
Cliente y el Servidor para establecer un dialogo antes de transmitir datos.

Los "paquetes" o segmentos TCP tienen banderas que indican el estado del mismo.

El protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios
(incluyendo el correo electrónico, el web y el IRC) implica esta conexión entre dos
máquinas. El establecimiento de dicha conexión se realiza mediante lo que se llama
Three-Way Handshake ("conexión en tres pasos") ya intercambian tres segmentos. En
forma esquemática se tiene:

1. El programa Cliente (C) pide conexión al Servidor (S) enviandole un segmento
SYN (Synchronize Sequence Number). Este segmento le dice a S que C desea
establecer una conexión.

2. S (si está abierto y escuchando) al recibir este segmento SYN (activa su indicador
SYN) y envía una autentificación ACK de manera de acuse de recibo a C. Si S está
cerrado envía un indicador RST.

3. C entonces ACKea (autentifica) a S. Ahora ya puede tener lugar la transferencia de
datos.

Cuando las aplicaciones conectadas terminan la transferencia, realizaran otra
negociación a tres bandas con segmentos FIN en vez SYN.

La técnica TCP SYN Scanning, se implementa un scaneo de "media-apertura", dado
que nunca se abre una sesión TCP completa.

Se envía un paquete SYN (como si se fuera a usar una conexión real) y se espera por
la respuesta. Al recibir un SYN/ACK se envía, inmediatamente, un RST para
terminar la conexión y se registra este puerto como abierto.

La principal ventaja de esta técnica de escaneo es que pocos sitios están preparados
para registrarlos. La desventaja es que en algunos sistemas Unix, se necesitan
privilegios de Administrador para construir estos paquetes SYN.

TCP FIN Scanning- Stealth Port Scanning

Hay veces en que incluso el scaneo SYN no es lo suficientemente "clandestino" o
limpio. Algunos sistemas (Firewalls y filtros de paquetes) monitorizan la red en busca
de paquetes SYN a puertos restringidos.

Para subsanar este inconveniente los paquetes FIN, en cambio, podrían ser capaces de
pasar sin ser advertidos. Este tipo de Scaneo está basado en la idea de que los puertos
cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los
puertos abiertos, en cambio, suelen ignorar el paquete en cuestión.

Este es un comportamiento correcto del protocolo TCP, aunque algunos sistemas
(entre los que se hallan los de Microsoft(r)) no cumplen con este requerimiento,
enviando paquetes RST siempre, independientemente de si el puerto está abierto o
cerrado. Como resultado, no son vulnerables a este tipo de scaneo. Sin embargo, es
posible realizarlo en otros sistemas Unix.

Este último es un ejemplo en el que se puede apreciar que algunas vulnerabilidades se
presentan en las aplicación de tecnologías (en este caso el protocolo TCP nacido en
los años ´70) y no sobre sus implementaciones. Es más, se observa que una
implementación incorrecta (la de Microsoft(r)) soluciona el problema. "Muchos de
los problemas globales de vulnerabilidades son inherentes al disño original de

algunos protocolos".

Fragmentation Scanning

Esta no es una nueva técnica de scaneo como tal, sino una modificación de las
anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se
particionan en un par de pequeños fragmentos IP. Así, se logra partir una cabecera IP
en distintos paquetes para hacerlo más difícil de monitorizar por los filtros que
pudieran estar ejecutándose en la máquina objetivo.

Sin embargo, algunas implementaciones de estas técnicas tienen problemas con la
gestión de este tipo de paquetes tan pequeños, causando una caída de rendimiento en
el sistema del intruso o en el de la víctima. Problemas de esta índole convierte en
detectables a este tipo de ataque.

Eavesdropping-Packet Sniffing

Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin
modificación) del tráfico de red.

Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los
paquetes que circulan por la red. Los Sniffers pueden ser colocado tanto en una
estación de trabajo conectada a la red, como a un equipo Router o a un Gateway de
Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un
intruso que ha ingresado por otras vías.

En la cabecera de los paquetes enviados a través de una red, entre otros datos, se
tiene, la dirección del emisor y la del destinatario. De esta forma, independientemente
de protocolo usado, las tramas llegan a su destino.

Cada maquina conectada a la red (mediante una placa con una dirección única)
verifica la dirección destino del paquete. Si estas direcciones son iguales asume que
el paquete enviado es para ella, caso contrario libera el paquete para que otras placas
lo analicen.

Un Sniffers consiste en colocar a la placa de red en un modo llamado promiscuo, el
cual desactiva el filtro de verificación de direcciones y por lo tanto todos los paquetes
enviados a la red llegan a esta placa (computadora donde está instalado el Sniffer).

Inicialmente este tipo de software, era únicamente utilizado por los Administradores
de redes locales, aunque con el tiempo llegó a convertirse en una herramienta muy
usada por los intrusos.

Actualmente existen Sniffers para capturar cualquier tipo de información específica.
Por ejemplo passwords de un recurso compartido o de acceso a una cuenta, que
generalmente viajan sin encriptar al ingresar a sistemas de acceso remoto. También
son utilizados para capturar números de tarjetas de crédito y direcciones de e-mails
entrantes y salientes. El análisis de tráfico puede ser utilizado también para
determinar relaciones entre organizaciones e individuos.

Para realizar estas funciones se analizan las tramas de un segmento de red, y
presentan al usuario sólo las que interesan.

Normalmente, los buenos Sniffers, no se pueden detectar, aunque la inmensa

mayoría, y debido a que están demasiado relacionados con el protocolo TCP/IP, si
pueden ser detectados con algunos trucos.

Snooping-Downloading

Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la
información sin modificarla.

Sin embargo los métodos son diferentes. Aquí, además de interceptar el tráfico de
red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra
información guardada, realizando en la mayoría de los casos un downloading (copia
de documentos) de esa información a su propia computadora, para luego hacer un
análisis exhaustivo de la misma.

El Snooping puede ser realizado por simple curiosidad, pero también es realizado con
fines de espionaje y robo de información o software. Los casos mas resonantes de
este tipo de ataques fueron: el robo de un archivo con mas de 1700 números de
tarjetas de crédito desde una compañía de música mundialmente famosa, y la
difusión ilegal de reportes oficiales reservados de las Naciones Unidas, acerca de la
violación de derechos humanos en algunos países europeos en estado de guerra.

ATAQUES DE AUTENTIFICACIÓN

Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar
al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas
por la víctima u obteniendo su nombre de usuario y password.

Spoofing-Looping

Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica,
justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de
Snooping o Tampering (ver a continuación Ataques de Mod