• Author / Uploaded
• Cotizaciones Proformas

• Categories
• Cortafuegos (informática)
• Protocolos de comunicaciones
• Internet
• Transmisión de datos
• Red de arquitectura

Citation preview

TAREA: TECNICAS DE EVASION DE FIREWALL

1. NOMBRE: Bravo Daniel 2. FECHA: 2018-JUN-30 3. NOMBRES DE LAS TECNICAS DE EVASION DE FIREWALL  

Técnica de Fragmentación de Paquetes Puerto de origen número de especificación

4. DESCRIPCIÓN DE LAS TECNICAS a) Fragmentación de Paquetes

El atacante utiliza la técnica de fragmentación IP para crear fragmentos pequeños, es decir los datagramas viajan de un lugar a otro atravesando diferentes tipos de redes para ello lo que puede variar es el tamaño máximo MTU dependiendo del medio físico para la transmisión y forzar a la información del encabezado TCP, ir en el próximo fragmento. Esto puede resultar en el caso de que el campo de flags de TCP sean forzados en un segundo fragmento, los filtros no podrán revisar estos flags en el primer octeto, por lo que ignorará los fragmentos subsecuentes. El atacante espera que solo el primer fragmento sea examinado por el firewall y los restantes son pasados. Ese ataque es utilizado para impedir las reglas de filtrado definidas por el usuario. Uno de los ataques por fragmentación más conocido es Teardrop. b) MAC Spoofing Direction (Suplantación de Dirección MAC) Este es otro de los métodos para evadir restricciones del cortafuegos mientras realiza un escaneo de puertos. Es muy eficaz, especialmente si hay una regla de filtrado de direcciones MAC para permitir sólo el tráfico de determinadas direcciones MAC por lo que tendrá que descubrir qué dirección MAC es necesario configurar para obtener resultados. En concreto la opción-spoof-mac da la posibilidad de elegir una dirección MAC de un proveedor específico, para elegir una dirección MAC aleatoria o para establecer una dirección MAC específica. La

prioridad de esta técnica, es realizar un análisis más sigiloso porque su verdadera dirección MAC no aparecerá en los archivos de registro del firewall. 5. VULNERABILIDADES ASOCIADAS El atacante aprovechó la vulnerabilidad en el caso de Teardrop que explotaba una vulnerabilidad CVE2009-3103 en la implementación de SMBv2 de Windows. Esta vulnerabilidad se basa en un error de índice de array en la implementación del protocolo SMB2 en srv2.sys de Microsoft Windows 7, Server 2008 y Vista Gold, SP1 y SP2; permite a atacantes remotos provocar una denegación de servicio (caída del sistema) a través del carácter & (ampersand) en un campo cabecera. La vulnerabilidad es relativamente popular a causa de su poca complejidad. El ataque se puede efectuar a través de la red. La explotación no necesita ninguna autentificación específica. El Score Base es de 7.3 en la versión CVSSv3. Una actualización elimina esta vulnerabilidad, descargado de microsoft.com.

concretamente el parche

MS09-050 puede ser

6. METODOS DE MITIGACION     

Mantener los parches actualizados. Mantener los sistemas actualizados. Generar paquetes TCP RST para quitar las sesiones TCP maliciosas. Implementar un normalizador de tráfico, una red de reenvió de elementos que intentan eliminar tráfico de red ambiguo. Asegurarse de normalizar los paquetes fragmentados.

7. REFERENCIAS [1] Herrera, J. Navarro, G. Vulnerabilidades en Redes. Universitat Oberta de Catalunya. [2] CERTSI. Vulnerabilidad en srv2.sys en Microsoft Windows 7, Server 2008 y Vista Gold (CVE-20093103). Recuperado de: https://www.certsi.es/alerta-temprana/vulnerabilidades/cve-2009-3103 [3] VULDB. Microsoft Windows Vista/Server 2008 SMB Processor EducatedScholar desbordamiento de búfer. Recueprado de: https://vuldb.com/es/?id.4031