viernes, 22 de julio de 2011
lunes, 18 de julio de 2011
Vulnerabilidades de la red "NAT"
Gracias a la invención de NAT, se detuvo el agotamiento de las direcciones IP válidas, porque permite que varios hosts dentro de una red privada, tengan acceso a Internet con sólo usar unas pocas direcciones IP válidas.
Esta es una gran ventaja porque le dio un respiro a IPv4 para que no colapse rápido y dio tiempo para la creación de una nueva versión de IP (IPv6) que soluciones el problema de agotamiento de direcciones.
Aunque un router que utiliza NAT no es un cortafuegos (firewall), provee de cierta seguridad, porque los hosts externos a la red no conocen las direcciones verdaderas de los hosts que se encuentran dentro de la red privada, haciendo que sea difícil poder realizar un ataque desde hosts externos.
Una desventaja de NAPT es cuando se debe traducir paquetes fragmentados TCP/UDP, sólo el primer fragmento contiene el encabezado TCP/UDP que sería necesario para asociar el paquete a una sesión para la traducción. Los fragmentos siguientes no contienen información del puerto TU, simplemente llevan el mismo identificador de fragmentación especificado en el primer fragmento.
El problema se presenta cuando dos hosts de la red privada originan paquetes TCP/UDP fragmentados al mismo host destino, si por coincidencia usaron el mismo identificador de fragmentación, cuando el host destino recibe los datagramas de ambas fuentes (que no tienen relación entre si) con el mismo identificador de fragmentación y desde la misma dirección de host asignada, es incapaz de determinar a cual de las dos sesiones pertenece cada datagrama y las dos sesiones se corrompen.
martes, 12 de julio de 2011
Vulnerabilidades de TCP/IP
La gravedad es que cualquier atacante podría interrumpir a su antojo todas las conexiones realizadas entre servidores y routers, causando un gran caos en Internet.
Uno de los protocolos más afectados por esta vulnerabilidad en TCP, es el llamado BGP (Border Gateway Protocol), que se emplea para el intercambio de información de enrutamiento y el mantenimiento de las tablas de direcciones IP, y que hace uso intensivo de las conexiones TCP, sin utilizar ningún tipo de autenticación.
Casi todos coinciden en que el problema podría ser muy grande, ya que involucra a casi cualquier comunicación realizada vía Internet. No es un problema de software mal construido o con errores, sino que afecta directamente a toda tecnología que cumpla con los estándares de TCP/IP.
Básicamente, en toda conexión vía TCP, las dos partes involucradas negocian el tamaño de la llamada "ventana TCP", que indica la cantidad de paquetes enviados por vez, antes de pedirse y enviarse una autenticación. Esta ventana permite calcular a un atacante el número de paquetes falsos que podría enviar para que sean aceptados, antes de ser validados. Esta facilidad aumenta con más ancho de banda, ya que generalmente, mientras más rápidas sean las conexiones, más grande es la ventana (y se reduce el tiempo de necesidad de autenticación, o sea, se envían más paquetes en menos tiempo). Mientras más paquetes se permitan por ventana, más paquetes falsos pueden insertarse.
Al insertar un paquete falso con determinadas características, por ejemplo un paquete RST (Reset), un atacante terminaría la sesión TCP entre los dos extremos, sin permitir la posterior comunicación. Además, podrían usarse grandes cantidades de máquinas comprometidas por un gusano o un troyano (máquinas "zombies"), para generar cientos o miles de paquetes dirigidos a determinados sitios, ocasionando la misma cantidad de ataques de denegación de servicio (DoS).
Uno de los protocolos más afectados por esta vulnerabilidad en TCP, es el llamado BGP (Border Gateway Protocol), que se emplea para el intercambio de información de enrutamiento y el mantenimiento de las tablas de direcciones IP, y que hace uso intensivo de las conexiones TCP, sin utilizar ningún tipo de autenticación.
Casi todos coinciden en que el problema podría ser muy grande, ya que involucra a casi cualquier comunicación realizada vía Internet. No es un problema de software mal construido o con errores, sino que afecta directamente a toda tecnología que cumpla con los estándares de TCP/IP.
Básicamente, en toda conexión vía TCP, las dos partes involucradas negocian el tamaño de la llamada "ventana TCP", que indica la cantidad de paquetes enviados por vez, antes de pedirse y enviarse una autenticación. Esta ventana permite calcular a un atacante el número de paquetes falsos que podría enviar para que sean aceptados, antes de ser validados. Esta facilidad aumenta con más ancho de banda, ya que generalmente, mientras más rápidas sean las conexiones, más grande es la ventana (y se reduce el tiempo de necesidad de autenticación, o sea, se envían más paquetes en menos tiempo). Mientras más paquetes se permitan por ventana, más paquetes falsos pueden insertarse.
Al insertar un paquete falso con determinadas características, por ejemplo un paquete RST (Reset), un atacante terminaría la sesión TCP entre los dos extremos, sin permitir la posterior comunicación. Además, podrían usarse grandes cantidades de máquinas comprometidas por un gusano o un troyano (máquinas "zombies"), para generar cientos o miles de paquetes dirigidos a determinados sitios, ocasionando la misma cantidad de ataques de denegación de servicio (DoS).
Suscribirse a:
Entradas (Atom)