CH1 - P5

Enviado por hannah_em el Mié, 15/03/2017 - 16:45
CH1 - P5

Otros diversos métodos de ataque

No existen grupos de normas para los atacantes, por lo que no todos los ataques encajan clara o claramente en una categoría. De hecho, algunos ataques encajan en dos o más categorías al mismo tiempo. La Tabla 1 6 describe algunos métodos adicionales que los atacantes podrían usar.

Tabla 1-6 Métodos de ataque adicionales

Métodos

Descripción

Covert Channel

 

Canal Encubierto

Este método utiliza programas o comunicaciones de manera no deseada. Por ejemplo, si política de seguridad indica que se permite el tráfico web, pero no la mensajería peer-to-peer, los usuarios pueden intentar crear un túnel de tráfico peer-to-peer dentro del tráfico HTTP. Un atacante puede usar una técnica similar para ocultar el tráfico dentro  del túnel mediante algún otro protocolo permitido para evitar la detección. Un ejemplo de esto es una aplicación backdoor que recolecta información de pulsaciones de teclas de la estación de trabajo y luego la envía lentamente disfrazada como ICMP (Internet Control Message Protocol). Este es un canal encubierto.

Un canal encubierto es el uso legítimo de un protocolo, tal como un usuario con un navegador web usando HTTP para acceder a un servidor web, con fines ilegítimos, incluyendo la ocultación del tráfico de la red de la inspección.

Trust Exploitation

 

Explotación de la Confianza

Si el firewall tiene tres interfaces, y la interfaz externa permite todo el tráfico a la zona desmilitarizada (DMZ) pero no a la red interna, y la DMZ permite el acceso a la red interna, un atacante podría aprovechar eso accediendo a la DMZ y desde esa ubicación lanzar sus ataques desde a la red interior. Otros modelos de confianza, si están configurados incorrectamente, pueden permitir el acceso no intencional a un atacante incluyendo el directorio activo y NFS (Network File System en UNIX).

Brute-force (password guessing) attacks

 

Fuerza Bruta (adivinación por contraseña)

Los tipos de ataques de fuerza bruta (detección de contraseñas) se realizan cuando el sistema de un atacante intenta miles de posibles  contraseñas buscando la adecuada. Esto se previene especificando límites en cuántos intentos fallidos de autenticación pueden ocurrir dentro de un marco de tiempo especificado.

Los ataques de adivinación de contraseñas también se pueden hacer a través de programas maliciosos, ataques de "man-in-the-middle" utilizando detector de paquetes, o mediante el uso de registradores de claves.

Botnet

Un botnet es una colección de equipos infectados que están listos para recibir instrucciones del atacante. Por ejemplo, si el atacante tiene el software malicioso instalado en 10.000 computadoras, desde su ubicación central, podría ordenar a esas computadoras que envíen peticiones TCP SYN o peticiones de ICMP repetidamente al mismo destino. También podría falsificar la dirección IP de origen de la solicitud para que el tráfico de respuesta se envíe a otra víctima. El atacante generalmente usa un canal encubierto para administrar los dispositivos individuales que conforman la botnet.

DoS y DDoS

 Ataque de denegación de servicio (DoS) y ataque distribuido de denegación de servicio (DDoS). Un ejemplo es usar una botnet para atacar un sistema de destino. Si un ataque se inicia desde un solo dispositivo con la intención de causar daño a un activo, el ataque podría considerarse un intento de DoS, en contraposición a un DDoS. Ambos tipos de ataques desean el mismo resultado, y si se llama un ataque DoS o DDoS sólo dependiendo de cuántas máquinas se utilizan como fuente en el ataque. Un tipo más avanzado y cada vez más popular de ataque DDoS se llama un ataque DDoS Reflejado (RDDoS). Un RDDoS tiene lugar cuando la fuente de los paquetes iniciales (consulta) es realmente falsificada por el atacante. Los paquetes de respuesta son entonces "reflejados" desde el participante desconocido hasta la víctima del ataque; Es decir, la fuente (falsificada) original de los paquetes iniciales

 

Aplicación de principios fundamentales de seguridad al diseño de redes

Esta sección examina el enfoque holístico para mejorar la postura de seguridad de su red antes, durante y después de la implementación de la red.

Directrices

Se requiere algunos principios básicos y directrices en las primeras etapas de diseño e implementación de una red. La Tabla 1-7 describe estas directrices clave.

 

Directrices

Explicación

Rule of least privilege

 

Regla del mínimo privilegio

Esta regla establece que el acceso mínimo sólo se proporciona a los recursos de red necesarios, y no más que eso. Un ejemplo de esto es una lista de acceso aplicada a una interfaz para filtrar la cual dice "negar todo". Antes de esto, se podrían agregar entradas específicas permitiendo sólo el mínimo necesario de protocolos requeridos.

Defense in depth

 

Defensa en profundidad

Este concepto sugiere que se tiene seguridad implementada en casi todos los puntos de su red. Un ejemplo es el filtrado en un Router perimetral, el filtrado de nuevo en un firewall, el uso de IPS para analizar el tráfico antes de que llegue a sus servidores, y el uso de host-based en los servidores, también. Los métodos adicionales que se pueden utilizar para implementar un enfoque de defensa en profundidad incluyen el uso de mecanismos de autenticación y autorización, seguridad de correo electrónico y web, seguridad de contenido, , supervisión de tráfico y protección contra malware.

El concepto detrás de la defensa en profundidad es que si una sola tecnología de seguridad falla, se mantienen niveles adicionales o mecanismos de seguridad para proteger los datos, las aplicaciones y los dispositivos de la red.

Separation of duties

 

Separación de Deberes

Cuando coloca a individuos específicos en roles específicos, puede haber controles y equilibrios en su lugar con respecto a la implementación de la política de seguridad. La rotación de individuos en diferentes roles periódicamente también ayudará a verificar que las vulnerabilidades están siendo atendidas, porque una persona que se mueve a un nuevo rol será requerida para revisar las políticas en su lugar.

Auditing

 

 

Esto se refiere a contabilidad y mantenimiento de registros sobre lo que está ocurriendo en la red. La mayor parte de esto se puede automatizar a través de las características de autenticación, autorización y contabilidad (AAA) (que se tratan más adelante en este libro). Cuando se producen eventos en la red, los registros de esos eventos se pueden enviar a un servidor de contabilidad. Cuando se utiliza el enfoque de separación de funciones, aquellos que están haciendo cambios en la red no deben tener acceso directo para modificar o eliminar los registros contables que se mantienen en el servidor de contabilidad.