PDF de programación - Análisis Activo y Pasivo de Redes

Análisis Activo y Pasivo de Redes

Alejandro Castán Salinas

[email protected]

2

Análisis activo y pasivo de redes - revisión 3.2 - 15/8/2007

Copyleft © Alejandro Castán Salinas
Se otorga el permiso para copiar, distribuir y/o modificar este documento
bajo los términos de la licencia de documentación libre GNU, versión 1.2 o
cualquier otra versión posterior publicada por la Free Software Foundation.
Puedes consultar dicha licencia en http://www.gnu.org/copyleft/fdl.html.

El contenido de este documento puede cambiar debido a ampliaciones y
correcciones enviadas por los lectores. Encontrarás siempre la última versión
del documento en http://www.xtec.net/~acastan/textos/.

3

4

Análisis activo y pasivo de redes

Introducción
En la preparación de un ataque remoto a un sistema informático, el atacante no sólo necesita
conocer la dirección en la red de la víctima, sino también obtener la máxima información sobre
ella.
En Internet, no basta con conocer su dirección IP o su URL. Si el atacante logra conocer el
sistema operativo (por ej.: Linux, FreeBSD, Solaris, Windows NT, etc.) y los servicios (por ej.:
ftp, telnet, http, smtp, etc.) de la víctima, este podrá precisar más su ataque. Si además conoce la
versión del sistema operativo (por ej.: Linux 2.0.35 o Linux 2.2.17) y de los servicios (por ej.
wuftpd 2.6.0 o wuftpd 2.6.1) todavía podrá afinar mucho más su ataque, ya que muchos
agujeros de seguridad dependen en gran manera de una determinada versión de sistema
operativo o de los servicios que sobre él corren.
En las siguientes líneas realizaré una breve introducción al concepto de puerto y al proceso de
establecimiento de una conexión TCP, necesarios para comprender puntos posteriores.
Dos protocolos separados son los encargados de manejar los mensajes TCP/IP (en el anexo D de
este documento se entra un poco más en detalle sobre estos protocolos). TCP (“Transmission
Control Protocol”) es el responsable de romper el mensaje en datagramas, ensamblar los
datagramas en el otro extremo, reenviar toda la información extraviada y poner la información
de nuevo en el orden correcto. IP (“Internet Protocol”) es el responsable de encaminar los
datagramas individualmente.
Para el seguimiento de conversaciones individuales entre un cliente y un servicio, TCP utiliza
un número de puerto asociado a dicho servicio (la lista con los números de puerto más
utilizados y su servicio asociado se encuentran en el anexo E de este documento). Así, la
conexión queda descrita por la dirección de Internet y el número de puerto de cada extremo.
Los números de puertos están divididos en tres rangos: los puertos bien conocidos (del 0 al
1023), los puertos registrados (del 1024 al 49151) y los puertos dinámicos y/o privados (del
49152 hasta el 65535). Los puertos bien conocidos son asignados y controlados por un
organismo llamado IANA. En la mayoría de sistemas estos puertos tan sólo pueden ser usados
por los procesos del sistema y por programas ejecutados por usuarios privilegiados. Los puertos
registrados no son controlados por IANA. Estos puertos pueden ser utilizados por procesos de
usuarios ordinarios y por programas ejecutados por usuarios sin privilegios de sistema.
Por ejemplo, pensemos en el caso de querer enviar un fichero a través de Internet. En dicho
proceso quedan involucrados dos programas: en nuestro extremo el programa cliente de FTP,
que acepta comandos desde el terminal y los envía al otro extremo, donde reside el programa
servidor de FTP, que interpreta y ejecuta los comandos recibidos. El programa cliente de FTP
abrirá una conexión utilizando en nuestro extremo un número aleatorio de puerto, por ej. 1234,
y en el otro extremo el puerto 21, que es el número de puerto oficial para el programa servidor
de FTP. El cliente de FTP no necesita utilizar para él un número de puerto bien conocido, ya
que nadie trata de localizarlo. Sin embargo, el servidor de FTP si necesita un número de puerto
bien conocido para que los clientes puedan iniciar una conexión y enviarle comandos. Así, cada
datagrama llevará las direcciones de Internet de cada extremo en la cabecera IP, y los números
de puerto de cada extremo en la cabecera TCP. Dos conexiones simultno pueden tener los
mismos números, pero basta que un número de puerto sea diferente para que esto sea posible.
En nuestro ejemplo, dos usuarios en nuestra máquina pueden enviar simultáneamente dos
ficheros a otra máquina utilizando los siguientes parámetros:

conexión 1
conexión 2

dirección origen
147.83.170.210
147.83.170.210

puerto origen

1234
1235

dirección destino

147.83.2.11
147.83.2.11

puerto destino

21
21

5

IP origen

147.83.170.210

puerto origen

...
1234
1235
...

puerto destino

...
21
...

IP destino

147.83.2.11

En el inicio de una conexión TCP entre dos ordenadores se produce un proceso previo al envío
de información, que consiste en un saludo en tres pasos que garantiza que ambos lados estén
preparados para transferir datos, tengan conocimiento de que el otro también lo está y acuerden
un número de secuencia inicial. Escuetamente explicado, (1) el ordenador que desea iniciar la
conexión envía al ordenador del otro extremo un segmento con el bit SYN activado en el campo
de código y un número de secuencia inicial. El ordenador en el otro extremo recibe el segmento
y, si puede iniciar la conexión (puerto de destino abierto = servicio disponible), (2) responde a
su vez con un segmento con los bits SYN y ACK activados, un acuse de recibo que es el
número de secuencia inicial del cliente más uno, y su propio número de secuencia inicial. A este
segmento de respuesta, (3) el ordenador origen responde con un segmento con el bit ACK
activado y se inicia el envío de información. Si el ordenador destino no puede iniciar la
conexión (puerto de destino cerrado = servicio no disponible), al segmento SYN inicial
responde con un segmento con el bit de RST activado. A este segmento de respuesta, el
ordenador origen no responde nada y se cierra la conexión.

puerto abierto
(1) SYNfi

(2) ‹ SYN|ACK

(3) ACKfi

e
t
n
e
i
l

C

r
o
d
i
v
r
e
S

puerto cerrado
(1) SYNfi

(2) ‹ RST|ACK

e
t
n
e
i
l

C

r
o
d
i
v
r
e
S

Análisis activo de puertos
El análisis activo de puertos consiste en conocer qué servicios tiene disponibles un ordenador en
la red, enviando determinados paquetes TCP y UDP a sus puertos para comprobar cuáles están
abiertos (es decir, esperando una conexión) y cuáles cerrados. Un resumen de las diferentes
técnicas de análisis activo de puertos se encuentra en el anexo A de este documento.
Su principal desventaja reside en que el envío de estos paquetes “sospechosos” o con
características especiales es fácilmente detectable por un sistema de detección de intrusos (IDS),
pudiendo el ordenador que sufre el análisis de puertos registrar dicho análisis y obtener la
dirección IP del ordenador que la realiza.

Análisis activo del sistema operativo
Existen numerosas técnicas para el reconocimiento del sistema operativo de un ordenador en la
red. Técnicas tradicionales, como comprobar los mensajes iniciales en las conexiones vía
TELNET o FTP, se pueden prevenir fácilmente y son de una efectividad limitada. Las técnicas
de mayor auge hoy en día están basadas en que cada sistema operativo implementa de una
manera diferente su pila TCP/IP, es decir, que procesan y responden de manera diferente ante
un mismo mensaje TCP/IP, especialmente si se trata de un mensaje incorrecto. Así, para
identificar un sistema operativo basta con enviar una serie de mensajes y comprobar los valores
de respuesta en una tabla. Un resumen de las diferentes técnicas de análisis activo de sistemas
operativos se encuentra en el anexo B de este documento.
De manera similar al análisis activo de puertos, en el análisis activo de sistemas operativos el
envío de paquetes “especiales” TCP es fácilmente detectable por un sistema de detección de
intrusos, que obtendrá la dirección IP del ordenador que realizó el análisis.

6

‹

fi
‹

fi
Mejoras al análisis activo
Existen algunas técnicas de mejora del análisis activo que intentan subsanar el problema de la
fácil detección de éste por sistemas de detección de intrusos. Entre estas técnicas destacan el
análisis al azar de puertos, el análisis lento, el análisis distribuido, la fragmentación de paquetes,
el análisis a través de proxy y el análisis con señuelos.
El análisis al azar de puertos intenta burlar algunos sistemas de detección de intrusos que sólo
buscan intentos de conexión secuenciales, realizando el análisis de puertos en orden aleatorio o
pseudo-aleatorio. También se puede aleatoriezar el orden de las direcciones IP analizadas, el
intervalo de tiempo entre las pruebas, y los valores de algunos campos no esenciales de los
paquetes enviados para realizar el análisis, como el número de secuencia, el número de acuse de
recibo, el identificador IP y el puerto de origen.
En el análisis lento se intenta hacer la espera entre el análisis de un puerto y el siguiente lo
suficientemente larga como para no ser detectada como análisis, ya que los sistemas de
detección de intrusos determinan si un ordenador intenta realizar un análisis de puertos de un
sistema detectando todo el tráfico de red generado por la dirección IP de origen en un intervalo
fijo de tiempo.
En el análisis distribuido se utilizan simultáneamente varios ordenadores para realizar el análisis
de manera coordinada. Este método de análisis, combinado con el análisis lento y el análisis al
azar de puertos, es muy efectivo y prácticamente indetectable. Imaginemos, por ejemplo, una
docena de ordenadores situados en diferentes puntos de Internet analizando los ordenadores de
una gran red, a razón de dos puertos al día por ordenador víctima. En pocos días obtendrían el
mapa de dicha red. Otras ventajas del análisis distribuido es la adquisición de un modelo más
completo de la víctima, que incluiría información sobre múltiples rutas