SEGURIDAD: Metodología de intrusión de red
El objetivo de este artículo es explicar la metodología que generalmente utilizan los piratas para infiltrarse en un sistema informático. Su propósito no es explicar cómo poner en riesgo un sistema sino ayudar a comprender cómo funciona el proceso para que pueda protegerse mejor. La mejor manera de proteger su sistema es usando el mismo enfoque que el pirata para identificar las vulnerabilidades del sistema.
Como tal, este artículo no proporciona información específica acerca de cómo sacar provecho de las vulnerabilidades, sino cómo detectarlas y corregirlas.
Metodología general
Un hacker que pretenda hackear un sistema informático, primero busca fallas, es decir vulnerabilidades que puedan afectar la seguridad del sistema en protocolos, sistemas operativos, aplicaciones e incluso a los empleados de una organización. Los términos vulnerabilidad, infracción y el más informal carencia de seguridad también se usan para referirse a las fallas de seguridad.
Para poder sacar provecho de un punto vulnerable (el término técnico para aprovechar una falla), el hacker primero debe recuperar una cantidad máxima de información acerca de la arquitectura de red y acerca de los sistemas operativos y aplicaciones que se ejecutan en esta red. La mayoría de los ataques son producto de hackers inexpertos que intentan usar los puntos vulnerables que encuentran en Internet, sin conocimiento del sistema ni de los riesgos relacionados.
Una vez que el hacker asigna el sistema, podrá aplicar estas formas de explotación de los puntos vulnerables a las versiones de las aplicaciones que ha catalogado. El acceso inicial a un equipo le permitirá expandir su acción para recuperar otra información y posiblemente elevar sus privilegios en el equipo.
Cuando se obtiene acceso de administrador (generalmente se usa el término acceso de raíz) decimos que el equipo está en peligro (o, más precisamente, que se ha producido un peligro de raíz) ya que los archivos del sistema se han modificado. En este punto, el hacker tiene todos los derechos del equipo.
Si el intruso es un pirata, al finalizar eliminará sus huellas para evitar sospechas por parte del administrador de la red en peligro y para retener el control sobre los equipos en peligro durante el mayor período de tiempo posible.
La siguiente estructura resume toda la metodología:
Recuperación de información del sistema La información acerca de la dirección de red de destino, a la que generalmente se llama huella digital, debe obtenerse antes de realizar un ataque. Esto incluye recabar la máxima cantidad posible de información acerca de las infraestructuras de comunicación de red:
•Direcciones IP,
•Nombres de dominio,
•Protocolos de red,
•Servicios activados,
•Arquitectura del servidor,
•etc.
Consulta de las bases públicas Al obtener la dirección IP pública de un equipo de red o simplemente el nombre de dominio de la organización, un pirata puede conocer potencialmente las direcciones de toda la red, es decir, el rango de las direcciones IP públicas que pertenecen a la organización de destino y su división en subredes. Para ello, todo lo que necesita es consultar las bases públicas que atribuyen las direcciones IP y los nombres de dominio:
•http://www.iana.net
•http://www.ripe.net para Europa
•http://www.arin.net para los Estados Unidos
Consulta de los motores de búsqueda La consulta simple de los motores de búsqueda a veces posibilita recabar información acerca de la estructura de una compañía, los nombres de sus productos principales e incluso los nombres de algunos de los empleados.
Análisis de red Cuando un pirata conoce la topología de una red, puede analizarla, es decir, usar un software como herramienta (llamado analizador) para determinar las direcciones IP activas en la red, los puertos abiertos que corresponden a los servicios accesibles y al sistema operativo utilizado por sus servidores.
Una de las herramientas de análisis de red más conocidas es Nmap, que muchos administradores reconocen como una herramienta esencial para la seguridad de las redes. Esta herramienta actúa mediante el envío de paquetes TCP y/o UDP a un grupo de equipos en una red (determinada por una dirección de red y una máscara) y su posterior análisis de las respuestas. Según la velocidad de los paquetes TCP recibidos, puede determinar el sistema operativo remoto para cada equipo analizado.
Existe otro tipo de analizador, llamado asignador pasivo (uno de los más conocidos es Siphon), que permite encontrar la topología de red del proceso físico a través del cual el asignador analiza los paquetes. A diferencia de los analizadores anteriores, esta herramienta no envía paquetes por la red y por lo tanto los sistemas de detección de intrusiones no pueden detectarla.
Además, algunas herramientas permiten recibir conexiones X (un servidor X es un servidor que administra las pantallas en los equipos tipo UNIX). Este sistema está diseñado para usar la pantalla de las estaciones presentes en la red para estudiar qué está publicado en las pantallas y posiblemente interceptar las claves ingresadas por los usuarios de equipos vulnerables