PDF de programación - Técnicas de Detección Avanzada de interconectividad - Detección de equipos conectados a la red

Técnicas de Detección Avanzada

de interconectividad

Detección de equipos conectados a la

red

Víctor Escudero Rubio

de Detección Avanzada de interconectividad: Detección de equipos conec-

Técnicas
tados a la red
por Víctor Escudero Rubio

Publicado v1.0, 23 de Octubre del 2001

Este documento pretende dar a conocer entre la comunidad las técnicas más avanzadas de
detección de equipos fuertemente filtrados o protegidos por cortafuegos. Se presupone que el
lector deberá tener buenos conocimientos en cuanto a los protocolos subyacentes de Internet (IP,
ICMP, UDP, TCP) y las tecnicas de detección simple de equipos conectados a la red.

Copyright © Víctor Escudero Rubio


Tabla de contenidos

1. Introducción ...............................................................................................................1
2. Objetivo.......................................................................................................................2
3. Obtención de éste documento ...................................................................................3
4. Métodos de detección de máquinas ..........................................................................4
4.1. Tipos de peticiones válidas para obtener respuesta de un servidor...................4
4.2. Tipos de peticiones inválidas para obtener respuesta de un servidor................5
5. Obtención de respuesta del servidor ante una petición válida ..............................6
5.1. Escaneos al puerto de eco .................................................................................6
5.1.1. Conexiones tcp al puerto de eco ............................................................7
5.1.2. Conexiones udp al puerto de eco ...........................................................7
5.2. Método UDP hacia puertos cerrados ................................................................8
5.3. Escaneo mediante flags de TCP........................................................................9
5.3.1. Aproximación mediante el flag SYN activo ........................................10
5.3.2. Aproximación mediante el flag ACK activo ........................................11
5.3.3. Aproximación mediante los flags SYN y ACK activos .......................12
5.3.4. Aproximación mediante el flag FIN activo..........................................13
5.3.5. Aproximación mediante paquetes TCP sin ningún flag.......................13
5.3.6. Aproximación mediante la activación de todos los flags TCP.............14
5.3.7. Comentario a los rastreos con flags TCP .............................................15
5.4. Métodos ICMP................................................................................................15
5.4.1. Peticiones ICMP de eco (tipo 8) ..........................................................16
5.4.2. Peticiones ICMP broadcast .................................................................16
5.4.3. Peticiones ICMP de solicitud de router (tipo 10) ................................17
5.4.4. Peticiones ICMP de marcas de tiempo (tipo 13) .................................18
5.4.5. Peticiones ICMP de información (Descubrimiento de IP’s) (tipo 15).19
5.4.6. Peticiones ICMP de máscara de red (tipo 17)......................................20
5.4.7. Comentario a los análisis ICMP ..........................................................20
6. Obtención de respuesta del servidor ante una petición inválida .........................22
6.1. Generación de respuestas por timeout en la recepción de fragmentos IP.......23
6.2. Obtención de respuesta provocada por una longitud no válida de cabecera IP

24

6.3. Obtención de respuesta provocada por contenido no válido en los campos de

cabecera IP.....................................................................................................25
7. Agradecimientos.......................................................................................................28
8. Licencia GNU de documentación libre y Copyrights ...........................................29

iii

Capítulo 1. Introducción

A menudo nuestros equipos mas preciados sufren ataques del exterior de la más diversa
índole y los costes asociados pueden llegar a ser verdaderamente importantes y es
entonces en ese momento en el que las empresas afectadas empiezan a tomar
consciencia del grave riesgo que corren por el simple hecho de formar parte de Internet.

Muchas instituciones, empresas y universidades han recurrido a la instalación masiva
de cortafuegos que salvaguarden su información más preciada y su propia integridad,
pero a menudo esta labor no ha sido realizada con toda la laboriosidad necesaria y ha
dado lugar a una falsa idea de seguridad que es si cabe más peligrosa aún que una
exposición consciente a internet.

Para evitar muchos de los ataques a nuestros cortafuegos tan sólo deberíamos ser
conscientes de los peligros a los que están expuestos y tratar de minimizar los riesgos
aplicando las medidas de seguridad necesarias.

Es ampliamente reconocido por los administradores de sistemas, que la mayoría de los
ataques realizados desde internet vienen precedidos por largos y en general ruidosos
escaneos de puertos realizados mediante potentes herramientas.

Generalmente los buenos administradores no tienen gran dificultad en seguir la pista de
muchos de los escaneos realizados desde el otro lado por gamberros con potentes
herramientas pero con escasa capacidad técnica. Recientemente los sistemas conocidos
como NIDS (Network Intrusion Detection System) han venido ha paliar la necesidad
de los administradores de sistemas de detectar a su vez los escaneadores de puertos mas
conocidos y algunas de sus técnicas más avanzadas. Sin embargo un administrador
sigue requeriendo una buena formación para entender los diversos tipos de escaneos
existentes para protegerse de ellos y poder estar alerta en caso de intrusión.

1

Capítulo 2. Objetivo

El autor pretende dar a conocer las técnicas de detección más avanzadas de máquinas e
interconectividad empleadas por algunos atacantes de la élite hacker. No se trata de
describir las técnicas de escaneos de puertos empleadas por los hackers sino más bien
el paso previo de determinar el objetivo a atacar. Frecuentemente, antes de realizar un
escaneo de puertos se debe hacer un análisis de la red a la que se va a atacar así como la
posición de determinados elementos clave, como IP’s del firewall. Con frecuencia el
conocimiento de la posición del servidor de correo o del firwall es determinante para
que un ataque tenga éxito.

2

Capítulo 3. Obtención de éste
documento

Éste Cómo puede obtenerse a través del proyecto de Documentación de Linux en
Español en INSFLUG (http://www.insflug.org) o a través de las páginas oficiales de
ésta documentación:

• Mi propia página personal en PLucent.com (http://www.plucent.com)

• Un sitio web denominado Cortafuegos.org

(http://www.cortafuegos.org/documentacion) en el que colaboramos una serie de
gente con inquietudes por la seguridad informática.

3

Capítulo 4. Métodos de detección de
máquinas

Para poder determinar con certeza la existencia de protecciones y filtrados dentro de
una red a la que se va a atacar se pueden emplear cualquiera de estos dos métodos de
mapeo de equipos:

• Forzar una respuesta del servidor ante una solicitud válida

• Generar una respuesta del servidor ante una solicitud inválida

4.1. Tipos de peticiones válidas para obtener
respuesta de un servidor

La inmensa mayoría de las peticiones de un cliente a un servidor son perfectamente
válidas, como por ejemplo un echo-request (tipo 8 de icmp= ping) es una petición
habitual de un cliente frecuentemente respondida con un echo-reply (tipo 0 de
icmp=pong), pero dado que nosotros estamos tratando de delatar la presencia de un
sistema de filtrado, como puede ser un router protegido con ACL’s o un firewall o
grupo de ellos damos por sentado que no nos responderán a simples pings. Los tipos de
consultas que realizaremos son:

• UDP Eco

• TCP Eco

• UDP hacia puertos cerrados

• TCP ACK

• TCP SYN

• TCP SYN | ACK

• TCP FIN

• TCP NULL FLAGS

• TCP XMAS

4

Capítulo 4. Métodos de detección de máquinas

•

•

•

•

•

•

ICMP Petición de eco (Tipo 8)

ICMP Peticion de broadcast

ICMP Petición de router (Tipo 10)

ICMP Petición de marca de tiempo (Tipo 13)

ICMP Petición de información (Tipo 15)

ICMP Petición de máscara de red (Tipo 17)

4.2. Tipos de peticiones inválidas para obtener
respuesta de un servidor

La mayoría de las implementaciones de los diseñadores de sistemas operativos y
software de filtrado cumplen las RFC’s si no en su totalidad si más del noventa y nueve
por ciento, pero hay algunas recomendaciones que no siguen y lo que es aún peor, hay
comportamientos no previstos en las RFC’s que cada fabricante ha decidido seguir con
cierta libertad, por lo que no se comportarán igual ante una misma solicitud. Este hecho
es grandemente utilizado por las herramientas de detección de sistemas operativos y
versiones enfrentando una serie predeterminada de consultas y analizando los datos
devueltos con respecto a unas tablas prefabricadas de firmas de pilas conocidas
(TCP/IP fingerprinting).

El uso que lo daremos aquí no será determinar el tipo de máquina que habrá al otro
lado pues tan sólo querremos saber que al menos ahi algo al otro lado que está filtrando
determinado tipo de tráfico o no lo hay.

Los métodos que emplearemos serán:

• Provocar la respuesta de timeout ante falta de fragmentos para recomponer un

paquete

• Enviar paquetes con cabeceras IP de tamaños no válidos

• Enviar paquetes con valores en ciertos campos IP.

5

Capítulo 5. Obtención de respuesta del
servidor ante una petición válida

Un buen firewall debería estar correctamente protegido y tener unas reglas lo
suficientemente auditadas como para evitar los principales escaneos, los cuales pueden
resumirse en los siguientes:

• Acceso al puerto de eco

• Método UDP

• Escaneo mediante flags de TCP

• Peticiones ICMP

La idea p