Un ataque de red remota es un efecto de destrucción de información en un sistema informático distribuido (CS), llevado a cabo mediante programación a través de canales de comunicación.
Para organizar las comunicaciones en un entorno de red heterogéneo , se utilizan un conjunto de protocolos TCP/IP , lo que garantiza la compatibilidad entre ordenadores de distintos tipos. Este conjunto de protocolos ha ganado popularidad debido a la interoperabilidad y el acceso a los recursos de Internet global y se ha convertido en un estándar para la interconexión de redes. Sin embargo, la ubicuidad de la pila de protocolos TCP/IP también ha expuesto sus debilidades. En particular, debido a esto, los sistemas distribuidos son susceptibles a ataques remotos, ya que sus componentes suelen utilizar canales de transmisión de datos abiertos , y el intruso no solo puede escuchar pasivamente la información transmitida, sino también modificar el tráfico transmitido .
La dificultad de detectar un ataque remoto y la relativa facilidad para llevarlo a cabo (debido a la excesiva funcionalidad de los sistemas modernos) coloca a este tipo de acciones ilegales en el primer lugar en cuanto al grado de peligrosidad e impide una respuesta oportuna a un ataque implementado. amenaza, como resultado de lo cual el atacante tiene una mayor probabilidad de un ataque exitoso.
Un impacto pasivo en un sistema de computación distribuida (DCS) es un tipo de impacto que no afecta directamente el funcionamiento del sistema, pero que al mismo tiempo es capaz de violar su política de seguridad . La ausencia de una influencia directa en el funcionamiento del RCS conduce precisamente a que el impacto remoto pasivo (PUV) sea difícil de detectar. Un posible ejemplo de PUV típico en una WAN es escuchar un canal de comunicación en una red.
El impacto activo en el RCS es un impacto que repercute directamente en el funcionamiento del propio sistema (interrupción del rendimiento, cambios en la configuración del RCS , etc.), que vulnera la política de seguridad adoptada en el mismo. Las influencias activas son casi todos los tipos de ataques remotos. Esto se debe al hecho de que la naturaleza misma del impacto dañino incluye un principio activo. La diferencia obvia entre la influencia activa y pasiva es la posibilidad fundamental de su detección, ya que como resultado de su implementación, se producen algunos cambios en el sistema. Con un impacto pasivo, no quedan rastros en absoluto (debido al hecho de que el atacante ve el mensaje de otra persona en el sistema, en realidad nada cambia en el mismo momento).
Esta característica, según la cual se hace la clasificación, es, de hecho, una proyección directa de las tres variedades básicas de amenazas: denegación de servicio , divulgación y violaciones de integridad.
El objetivo principal que se persigue en casi cualquier ataque es obtener acceso no autorizado a la información. Existen dos opciones fundamentales para obtener información: la distorsión y la interceptación. La opción de interceptar la información significa acceder a ella sin posibilidad de modificarla. La interceptación de la información conduce, por tanto, a una violación de su confidencialidad . Escuchar un canal en la red es un ejemplo de interceptación de información. En este caso, se trata de un acceso ilegítimo a la información sin opciones posibles para su sustitución. Obviamente, la violación de la confidencialidad de la información se refiere a influencias pasivas.
La posibilidad de sustitución de información debe entenderse como un control completo sobre el flujo de información entre los objetos del sistema o como la posibilidad de transmitir varios mensajes en nombre de otra persona. Por lo tanto, es claro que la sustitución de información conduce a una violación de su integridad . Tal información que destruye la influencia es un ejemplo característico de influencia activa. Un ejemplo de un ataque remoto diseñado para violar la integridad de la información puede servir como un "objeto RCS falso" de ataque remoto (UA).
El atacante envía unas solicitudes al objeto atacado, a las que espera recibir una respuesta. En consecuencia, aparece una retroalimentación entre el atacante y el atacado, lo que permite que el primero responda adecuadamente a todo tipo de cambios en el objeto atacado. Esta es la esencia de un ataque remoto llevado a cabo en presencia de retroalimentación del objeto atacante. Estos ataques son más típicos de RVS.
Los ataques de bucle abierto se caracterizan por el hecho de que no necesitan responder a cambios en el objeto atacado. Dichos ataques generalmente se llevan a cabo mediante el envío de solicitudes individuales al objeto atacado. El atacante no necesita respuestas a estas solicitudes. Tal UA también puede denominarse UA unidireccional. Un ejemplo de ataques unidireccionales es el típico " ataque DoS " de UA .
La influencia remota, así como cualquier otra, puede comenzar a realizarse solo bajo ciertas condiciones. Hay tres tipos de tales ataques condicionales en RCS:
El impacto del atacante comenzará con la condición de que el objetivo potencial del ataque transmita una solicitud de cierto tipo. Este tipo de ataque se puede denominar ataque a petición del objeto atacado . Este tipo de UA es más típico para RVS. Un ejemplo de este tipo de consultas en Internet son las consultas DNS y ARP , y en Novell NetWare - consulta SAP .
Ataque a la ocurrencia de un evento esperado en el objeto atacado . El atacante monitorea continuamente el estado del sistema operativo del objetivo del ataque remoto e inicia el impacto cuando ocurre un evento específico en este sistema. El propio objeto atacado es el iniciador del ataque. Un ejemplo de tal evento sería la finalización de la sesión de un usuario con el servidor sin emitir un comando LOGOUT en Novell NetWare.
Un ataque incondicional se lleva a cabo de forma inmediata e independientemente del estado del sistema operativo y del objeto atacado. Por lo tanto, el atacante es el iniciador del ataque en este caso.
En caso de violación del funcionamiento normal del sistema, se persiguen otros objetivos y no se espera que el atacante obtenga acceso ilegal a los datos. Su finalidad es la inhabilitación del sistema operativo sobre el objeto atacado y la imposibilidad de acceso de otros objetos del sistema a los recursos de este objeto. Un ejemplo de un ataque de este tipo es el UA " DoS attack ".
Algunas definiciones:
La fuente del ataque (el sujeto del ataque) es un programa (posiblemente un operador) que realiza el ataque y tiene un impacto directo.
Host (host): una computadora que forma parte de la red.
Un enrutador es un dispositivo que enruta paquetes en una red.
Subnet (subred) es un grupo de hosts que forman parte de la red global , diferenciándose en que el enrutador les asignó el mismo número de subred. También puede decir que una subred es una agrupación lógica de hosts a través de un enrutador. Los hosts dentro de la misma subred pueden comunicarse directamente entre sí sin usar un enrutador .
Un segmento de red es una asociación de hosts en la capa física.
Desde el punto de vista de un ataque remoto, la posición relativa del sujeto y el objeto del ataque, es decir, si están en diferentes o en los mismos segmentos, es extremadamente importante. Durante un ataque intrasegmento, el sujeto y el objeto del ataque se encuentran en el mismo segmento. En el caso de un ataque entre segmentos, el sujeto y el objeto del ataque se encuentran en diferentes segmentos de la red. Esta característica de clasificación permite juzgar el llamado "grado de lejanía" del ataque.
Además, se demostrará que, en la práctica, un ataque dentro de un segmento es mucho más fácil de implementar que uno entre segmentos. También notamos que un ataque remoto entre segmentos es mucho más peligroso que uno dentro de un segmento. Esto se debe al hecho de que, en el caso de un ataque entre segmentos, su objeto y el que ataca directamente pueden estar a una distancia de muchos miles de kilómetros entre sí, lo que puede dificultar significativamente las medidas para repeler el ataque.
La Organización Internacional de Normalización ( ISO ) ha adoptado la norma ISO 7498, que describe la Interconexión de Sistemas Abiertos (OSI), a la que también pertenece el RCS. Cada protocolo de intercambio de red , así como cada programa de red, puede proyectarse de alguna manera en el modelo OSI de 7 capas de referencia . Tal proyección multinivel hace posible describir en términos del modelo OSI las funciones utilizadas en un protocolo o programa de red. UA es un programa de red, y es lógico considerarlo desde el punto de vista de la proyección sobre el modelo de referencia ISO/OSI [2].
Al transmitir un paquete de datos IP a través de una red, este paquete puede dividirse en varios fragmentos. Posteriormente, al llegar al destino, el paquete se restaura a partir de estos fragmentos. Un atacante puede iniciar el envío de una gran cantidad de fragmentos, lo que conduce a un desbordamiento de los búferes del programa en el lado receptor y, en algunos casos, a un bloqueo del sistema.
Este ataque requiere que el atacante acceda a canales rápidos de Internet .
El programa ping envía un paquete ICMP ECHO REQUEST con la hora y su identificador. El kernel de la máquina receptora responde a dicha solicitud con un paquete ICMP ECHO REPLY. Habiéndolo recibido, ping da la velocidad del paquete.
En el modo de funcionamiento estándar, los paquetes se envían a intervalos determinados, prácticamente sin cargar la red . Pero en el modo "agresivo", un flujo de paquetes de solicitud/respuesta de eco ICMP puede causar congestión en una línea pequeña, privándola de su capacidad para transmitir información útil .
Un paquete IP contiene un campo que especifica el protocolo del paquete encapsulado ( TCP , UDP , ICMP ). Los atacantes pueden usar un valor no estándar de este campo para transferir datos que no serán registrados por las herramientas de control de flujo de información estándar.
El ataque smurf consiste en enviar solicitudes de transmisión ICMP a la red en nombre de la computadora víctima. Como resultado, las computadoras que han recibido dichos paquetes de transmisión responden a la computadora víctima, lo que conduce a una disminución significativa en el ancho de banda del canal de comunicación y, en algunos casos, al aislamiento completo de la red atacada. El ataque pitufo es excepcionalmente efectivo y generalizado.
Contramedidas: para reconocer este ataque, es necesario analizar la carga del canal y determinar las razones de la disminución del rendimiento.
El resultado de este ataque es la introducción de una correspondencia impuesta entre la dirección IP y el nombre de dominio en la caché del servidor DNS. Como resultado de la implementación exitosa de dicho ataque, todos los usuarios del servidor DNS recibirán información incorrecta sobre nombres de dominio y direcciones IP. Este ataque se caracteriza por una gran cantidad de paquetes DNS con el mismo nombre de dominio. Esto se debe a la necesidad de seleccionar algunos parámetros de intercambio de DNS.
Counteraction: para detectar un ataque de este tipo, es necesario analizar el contenido del tráfico DNS o utilizar DNSSEC .
Un gran número de ataques en Internet están asociados a la sustitución de la dirección IP original . Dichos ataques incluyen la suplantación de identidad de syslog, que consiste en enviar un mensaje a la computadora de la víctima en nombre de otra computadora en la red interna. Dado que el protocolo syslog se usa para mantener registros del sistema, al enviar mensajes falsos a la computadora de la víctima, puede imponer información o encubrir rastros de acceso no autorizado.
Contramedidas: los ataques de suplantación de direcciones IP se pueden detectar monitoreando la recepción en una de las interfaces de un paquete con la dirección de origen de la misma interfaz o monitoreando la recepción de paquetes con direcciones IP de la red interna en una interfaz externa.
Un atacante envía paquetes a la red con una dirección de retorno falsa. Usando este ataque, un atacante puede cambiar a su computadora las conexiones establecidas entre otras computadoras. En este caso, los derechos de acceso del atacante se vuelven iguales a los derechos del usuario cuya conexión al servidor se cambió a la computadora del atacante.
Sólo es posible en el segmento de la red local .
Casi todas las tarjetas de red admiten la capacidad de interceptar paquetes transmitidos a través de un canal LAN común . En este caso, la estación de trabajo puede recibir paquetes dirigidos a otras computadoras en el mismo segmento de red. Por lo tanto, todo el intercambio de información en el segmento de la red queda disponible para el atacante. Para implementar con éxito este ataque, la computadora del atacante debe estar ubicada en el mismo segmento de red local que la computadora atacada .
El software de red del enrutador tiene acceso a todos los paquetes de red transmitidos a través de este enrutador, lo que permite la detección de paquetes. Para implementar este ataque, un atacante debe tener acceso privilegiado a al menos un enrutador de red. Dado que generalmente se transmiten muchos paquetes a través del enrutador, su interceptación total es casi imposible. Sin embargo, los paquetes individuales pueden ser interceptados y almacenados para su posterior análisis por parte de un atacante. La intercepción más efectiva de paquetes FTP que contienen contraseñas de usuario, así como correo electrónico .
En Internet, existe un protocolo especial ICMP (Protocolo de mensajes de control de Internet), una de cuyas funciones es informar a los hosts sobre el cambio del enrutador actual. Este mensaje de control se denomina redirección. Es posible que cualquier host en un segmento de red envíe un mensaje de redirección falso en nombre del enrutador al host atacado. Como resultado, la tabla de enrutamiento actual del host cambia y, en el futuro, todo el tráfico de red de este host pasará, por ejemplo, a través del host que envió el mensaje de redireccionamiento falso. Por lo tanto, es posible imponer activamente una ruta falsa dentro de un segmento de Internet.
Junto con los datos habituales enviados a través de una conexión TCP , el estándar también prevé la transferencia de datos urgentes (fuera de banda). A nivel de formatos de paquetes TCP, esto se expresa en un puntero urgente distinto de cero. La mayoría de las PC con Windows instalado tienen un protocolo de red NetBIOS que usa tres puertos IP para sus necesidades : 137, 138, 139. Si se conecta a una máquina con Windows en el puerto 139 y envía algunos bytes de datos fuera de banda allí, entonces la implementación de NetBIOS sin saber qué hacer con estos datos, simplemente cuelga o reinicia la máquina. Para Windows 95, esto generalmente se ve como una pantalla de texto azul, informando un error en el controlador TCP/IP y la incapacidad de trabajar con la red hasta que se reinicie el sistema operativo. NT 4.0 sin service packs se reinicia, NT 4.0 con ServicePack 2 se bloquea en una pantalla azul. A juzgar por la información de la red, tanto Windows NT 3.51 como Windows 3.11 for Workgroups son susceptibles a este tipo de ataques.
El envío de datos al puerto 139 reinicia NT 4.0 o provoca una pantalla azul de muerte con el Service Pack 2 instalado. El envío de datos al puerto 135 y algunos otros puertos provoca una carga significativa en el proceso RPCSS.EXE. En Windows NT WorkStation, esto conduce a una ralentización significativa, Windows NT Server está prácticamente congelado.
La implementación exitosa de ataques remotos de este tipo permitirá que un atacante realice una sesión con el servidor en nombre de un host confiable. (Un host de confianza es una estación que se ha conectado legalmente al servidor). La implementación de este tipo de ataque suele consistir en el envío de paquetes de intercambio desde la estación del atacante en nombre de una estación de confianza bajo su control.
Las tecnologías de red e información están cambiando tan rápidamente que los mecanismos de seguridad estáticos, que incluyen sistemas de control de acceso, ME, sistemas de autenticación, en muchos casos no pueden brindar una protección efectiva. Por lo tanto, se requieren métodos dinámicos para detectar y prevenir rápidamente las infracciones de seguridad. Una tecnología que puede detectar infracciones que no se pueden identificar con los modelos tradicionales de control de acceso es la tecnología de detección de intrusos.
Esencialmente, el proceso de detección de intrusos es el proceso de evaluación de actividades sospechosas que ocurren en una red corporativa. En otras palabras, la detección de intrusiones es el proceso de identificar y responder a actividades sospechosas dirigidas a recursos informáticos o de red.
La eficacia de un sistema de detección de intrusos depende en gran medida de los métodos utilizados para analizar la información recibida. Los primeros sistemas de detección de intrusos desarrollados a principios de la década de 1980 utilizaron métodos estadísticos de detección de intrusos. Actualmente, se han agregado una serie de nuevos métodos al análisis estadístico, comenzando con sistemas expertos y lógica difusa y terminando con el uso de redes neuronales.
Las principales ventajas del enfoque estadístico son el uso del aparato ya desarrollado y probado de estadística matemática y la adaptación al comportamiento del sujeto.
En primer lugar, se determinan perfiles para todos los sujetos del sistema analizado. Cualquier desviación del perfil utilizado de la referencia se considera actividad no autorizada. Los métodos estadísticos son universales, ya que el análisis no requiere conocimiento sobre los posibles ataques y las vulnerabilidades que explotan. Sin embargo, surgen problemas al utilizar estos métodos:
También debe tenerse en cuenta que los métodos estadísticos no son aplicables en los casos en que no existe un patrón de comportamiento típico del usuario o cuando las acciones no autorizadas son típicas del usuario.
Los sistemas expertos consisten en un conjunto de reglas que capturan el conocimiento de un experto humano. El uso de sistemas expertos es un método común para detectar ataques, en el que la información sobre los ataques se formula en forma de reglas. Estas reglas se pueden escribir, por ejemplo, como una secuencia de acciones o como una firma. Cuando se cumple alguna de estas reglas, se toma una decisión sobre la presencia de actividad no autorizada. Una ventaja importante de este enfoque es la ausencia casi total de falsas alarmas.
La base de datos del sistema experto debe contener escenarios para la mayoría de los ataques conocidos actualmente. Para estar constantemente actualizados, los sistemas expertos requieren una actualización constante de la base de datos. Si bien los sistemas expertos ofrecen una buena oportunidad para revisar los datos en los registros, el administrador puede ignorar o realizar manualmente las actualizaciones requeridas. Como mínimo, esto conduce a un sistema experto con capacidades reducidas. En el peor de los casos, la falta de un mantenimiento adecuado reduce la seguridad de toda la red, engañando a sus usuarios sobre el nivel real de seguridad.
La principal desventaja es la incapacidad de repeler ataques desconocidos. Al mismo tiempo, incluso un pequeño cambio en un ataque ya conocido puede convertirse en un serio obstáculo para el funcionamiento de un sistema de detección de intrusos.
La mayoría de los métodos modernos de detección de intrusos utilizan alguna forma de análisis basado en reglas del espacio controlado o un enfoque estadístico. El espacio controlado puede ser registros o tráfico de red. El análisis se basa en un conjunto de reglas predefinidas creadas por el administrador o por el propio sistema de detección de intrusos.
Cualquier división de un ataque a lo largo del tiempo o entre múltiples atacantes es difícil de detectar para los sistemas expertos. Debido a la gran variedad de ataques y piratas informáticos, ni siquiera las constantes actualizaciones especiales de la base de datos de reglas del sistema experto garantizarán una identificación precisa de toda la gama de ataques.
El uso de redes neuronales es una de las formas de superar estos problemas de los sistemas expertos. A diferencia de los sistemas expertos, que pueden dar al usuario una respuesta definitiva sobre el cumplimiento de las características bajo consideración con las reglas establecidas en la base de datos, una red neuronal analiza la información y brinda la oportunidad de evaluar si los datos son consistentes con las características que tiene. ha aprendido a reconocer. Si bien el grado de coincidencia de la representación de la red neuronal puede llegar al 100%, la confiabilidad de la elección depende completamente de la calidad del sistema en el análisis de ejemplos de la tarea.
Primero, la red neuronal se entrena para identificarse correctamente en una muestra preseleccionada de ejemplos de dominio. Se analiza la reacción de la red neuronal y se ajusta el sistema de forma que se obtengan resultados satisfactorios. Además del período de entrenamiento inicial, la red neuronal gana experiencia con el tiempo a medida que analiza datos relacionados con el dominio.
Una ventaja importante de las redes neuronales en la detección de abusos es su capacidad para "aprender" las características de los ataques deliberados e identificar elementos que no son similares a los vistos antes en la red.
Cada uno de los métodos descritos tiene una serie de ventajas y desventajas, por lo que ahora es prácticamente difícil encontrar un sistema que implemente solo uno de los métodos descritos. Por lo general, estos métodos se utilizan en combinación.