ADMINISTRACION DE REDES

UNIDAD I
El protocolo de enrutamiento OSPF
Unidad 01
El protocolo de enrutamiento OSPF (s1-2)

Logro específico de aprendizaje:

Al finalizar la unidad el estudiante, diseña una red WAN haciendo uso del
protocolo OSPF de área única.

Temario:
• Características y funciones de OSPFv2. Paquetes OSPF.
Funcionamiento de OSPF. Configuración de OSPF de área única.
• Redes punto a punto OSPF. Redes OSPF de acceso múltiple.
Propagación de rutas predeterminadas.
• Verificación de OSPF de área única.
Estado Actual de la Ciberseguridad
Estado actual de los casos

• Los cibercriminales ahora tienen la experiencia y las

herramientas necesarias para derribar la infraestructura y Términos de seguridad
los sistemas críticos. Sus herramientas y técnicas
continúan evolucionando. Activos
• Mantener una red segura garantiza la seguridad de los
usuarios de la red y protege los intereses comerciales. Vulnerabilidad
Todos los usuarios deben conocer los términos de
seguridad en la tabla. Amenaza

Exploit

Mitigación

Riesgo
Estado actual de la ciberseguridad
Vectores de ataques de red
• Un vector de ataque es una ruta por la cual un atacante puede obtener acceso a un servidor, host o
red. Los vectores de ataque se originan dentro o fuera de la red corporativa, como se muestra en la
figura.
• Las amenazas internas tienen el potencial de causar mayores daños que las amenazas externas
porque los usuarios internos tienen acceso directo al edificio y a sus dispositivos de infraestructura.
Estado actual de la ciberseguridad
Pérdida de datos
Pérdida o filtración de datos son los términos utilizados para describir cuándo los datos se
pierden con o sin intención, son robados o se filtran fuera de la organización. La pérdida
de datos puede generar:
• Daño de la marca/pérdida de la reputación
• Pérdida de la ventaja competitiva
• Pérdida de clientes
• Pérdida de ingresos
• Acciones legales que generen multas y sanciones civiles
• Costo y esfuerzo significativos para notificar a las partes afectadas y recuperarse de la
transgresión
Los profesionales de seguridad de red deben proteger los datos de la organización. Se
deben implementar varios controles de prevención de pérdida de datos (DLP) que
combinen medidas estratégicas, operativas y tácticas.
Estado actual de la ciberseguridad
Pérdida de datos

Vectores de pérdida
Descripción
de datos
Correo electrónico / El correo electrónico o los mensajes de mensajería instantánea interceptados podrían
Redes sociales capturarse y descifrar el contenido.
Dispositivos no Si los datos no se almacenan utilizando un algoritmo de cifrado, entonces el ladrón puede
encriptados extraer datos confidenciales de valor.
Dispositivos de
Los datos confidenciales se pueden perder si el acceso a la nube se ve comprometido
almacenamiento en la
debido a ajustes débiles en la seguridad.
nube
Un riesgo es que un empleado pueda realizar una transferencia no autorizada de datos a un
Medios extraíbles dispositivo USB. Otro riesgo es que el dispositivo USB que contiene datos corporativos de
valor se puede extraviar.
Respaldo físico Los datos confidenciales deben triturarse cuando ya no sean necesarios.
Control de Acceso Las contraseñas o contraseñas débiles que se hayan visto comprometidas pueden
Incorrecto proporcionar al atacante un acceso fácil a los datos corporativos.
atacantes
El Hacker
Un hacker es un término común usado para describir a un atacante.

Tipo de Hacker Descripción

Son hackers éticos que utilizan sus habilidades de programación para fines buenos,
Hackers de Sombrero éticos y legales. Las vulnerabilidades en la seguridad se informan a los
Blanco desarrolladores para que las corrijan antes de que las vulnerabilidades puedan
aprovecharse.
Son personas que cometen delitos y hacen cosas probablemente poco éticas, pero
Hackers de Sombrero no para beneficio personal o ni para causar daños. Un hacker de sombrero gris
Gris puede divulgar una vulnerabilidad de la organización afectada después de haber
puesto en peligro la red.
Hackers de sombrero Son delincuentes poco éticos que violan la seguridad de una computadora y una
negro red para beneficio personal o por motivos maliciosos, como ataques a la red.
Atacantes
La evolución de los Hackers
La tabla muestra los términos de piratería moderna y una breve descripción de cada una.

Término de
Descripción
Piratería
Estos son adolescentes o hackers inexpertos que corren scripts, ejecutan herramientas y
Script kiddies
exploits existentes para ocasionar daño, pero generalmente no para obtener ganancias.
Agentes de Son generalmente hackers de sombrero gris que intentan descubrir los exploits e informarlos
Vulnerabilidad a los proveedores, a veces a cambio de premios o recompensas.
Estos son hackers de sombrero gris que protestan en público contra las organizaciones o
Hacktivistas gobiernos mediante la publicación de artículos, videos, la filtración de información confidencial
y la ejecución de ataques a la red.
Delincuentes Son hackers de sombrero negro que independientes o que trabajan para grandes
cibernéticos organizaciones de delito cibernético.
Son hackers de sombrero blanco o sombrero negro que roban secretos de gobierno,
Patrocinados por recopilan inteligencia y sabotean las redes. Sus objetivos son los gobiernos, los grupos
el estado terroristas y las corporaciones extranjeras. La mayoría de los países del mundo participan en
algún tipo de hacking patrocinado por el estado.
Atacantes
Cibercriminales

Hackers
Cibercriminales Hacktivistas patrocinados
por el Estado
Herramientas del Atacante
Introducción a las herramientas de Ataque
Para explotar una vulnerabilidad, un atacante debe tener una técnica o
herramienta. Con los años, las herramientas de ataque se han vuelto
más sofisticadas y altamente automatizadas. Estas nuevas
herramientas requieren menos conocimiento técnico para su
implementación.
Herramientas de los atacantes
Evolución de las herramientas de seguridad
Herramientas de pruebas de penetración
Herramientas de pruebas de
penetración
Detectores de rootkits

Fuzzers para buscar vulnerabilidades

Decodificadores de contraseñas
Herramientas de Informática Forense

Herramientas de Hacking Inalámbrico Depuradores

Escaneo de redes y herramientas de Sistemas operativos para hacking

hacking
Herramientas de Cifrado
Herramientas para elaborar paquetes
de prueba
Herramientas para atacar vulnerabilidades
Analizadores de protocolos de
paquetes
Escáneres de vulnerabilidades
Herramientas de los agentes de ataques
Tipos de ataques
Tipo de Ataque
Ataque de intercepción pasiva (eavesdropping)

Ataque de Modificación de Datos

Ataque de suplantación de dirección IP

Ataques basados en contraseñas

Ataque de Denegación de Servicio

Ataque man-in-the-middle

Ataque de Claves Comprometidas

Ataque de analizador de protocolos

Malware
Descripción General del Malware
• Ahora que conoce las herramientas que usan los hackers, este tema le presenta los
diferentes tipos de malware que utilizan los hackers para obtener acceso a
dispositivos finales.
• Los terminales son especialmente propensos a ataques de malware. Es importante
saber acerca del malware porque los atacantes confían en que los usuarios instalen
malware para explotar las brechas de seguridad.
Malware
Virus y Caballos de Troya
• El primer y el tipo más común de malware informático es un virus. Los virus requieren
una acción humana para propagarse e infectar otras computadoras.
• Se ocultan mediante su unión a código informático, al software o a los documentos del
equipo. Cuando se abre, el virus se ejecuta e infecta el equipo.
• Los virus pueden:
• Modificar, dañar, eliminar archivos o borrar discos duros completos.
• Causar problemas de arranque del equipo y dañar aplicaciones.
• Capturar y enviar información confidencial a los atacantes.
• Acceder a cuentas de correo electrónico y utilizarlas para propagarse.
• Permanecer inactivo hasta que el atacante lo requiera.
Malware
Virus y Caballos de Troya (Cont.)
Los virus modernos se desarrollan con intenciones muy específicas, como las indicadas
en la tabla.

Tipos de virus Descripción

Virus en el sector El virus ataca el sector de arranque, la tabla de particiones de archivos o el

de arranque sistema de archivos.

Virus de firmware El virus ataca el firmware del dispositivo.

Virus de macros El virus utiliza la función de macros de MS Office con fines maliciosos.

Virus del
El virus se introduce en otro programa ejecutable.
programa

Virus de script El virus ataca al intérprete del SO que se utiliza para ejecutar los scripts.
Malware
Virus y Caballos de Troya (Cont.)
Los atacantes usan caballos de Troya para comprometer a los hosts. Un caballo de Troya es un
programa que parece útil pero también transporta código malicioso. Los caballos de Troya a menudo
se proporcionan con programas gratuitos en línea, como los juegos de computadora. Existen varios
tipos de caballos de Troya como se describen en la tabla.
Tipo de troyano Descripción

Acceso remoto El Troyano activa el acceso remoto no autorizado.

Envío de datos El Troyano le proporciona al atacante datos confidenciales, como contraseñas.

Destructivo El Troyano daña o elimina archivos.

El Troyano usará el equipo de la víctima como dispositivo de origen para lanzar ataques y realizar
Proxy
otras actividades ilegales.
FTP El Troyano habilita servicios no autorizados de transferencia de archivos en dispositivos finales.
Desactivador de software
El caballo de Troya detiene el funcionamiento de los programas antivirus o contrafuego.
de seguridad
Denegación de Servicio
El caballo de Troya retarda o detiene la actividad de red.
(DoS)
El Troyano intenta activamente robar información confidencial, como números de tarjetas de
Keylogger
crédito, registrando las pulsaciones de teclas efectuadas en un formulario web.
Malware
Otros Tipos de Malware

Malware

Adware

Ransomware

Rootkit

Spyware

Gusano
Ataques de Red Habituales
Ataques de Sondeo
• El reconocimiento es la recopilación de información.
• Los atacantes utilizan ataques de reconocimiento para realizar la detección no
autorizada y el mapeo de sistemas, servicios o vulnerabilidades. Los ataques de
sondeo preceden los ataques de acceso o ataques DoS.
Ataques de Red Habituales
Ataques de Sondeo (Cont.)
En la tabla se describen algunas de las técnicas utilizadas por los atacantes para realizar ataques de
sondeo.

Técnica Descripción

El atacante está buscando información inicial sobre un objetivo. Se pueden usar varias
Recopilar información
herramientas, incluida la búsqueda de Google, páginas web de organizaciones, Whois
de un objetivo
y más.
La recopilación de información generalmente revela la dirección de red del objetivo. El
Iniciar un barrido de
atacante ahora puede iniciar un barrido de ping para determinar cuáles direcciónes IP
ping de la red objetivo
están activas.
Iniciar un análisis de Esto se utiliza para determinar qué puertos o servicios están disponibles. Algunos
puertos de las ejemplos de escáneres de puertos incluyen Nmap, SuperScan, Angry IP Scanner y
direcciones IP activas NetScanTools.
Útil para buscar los puertos identificados para determinar el tipo y la versión de la
Ejecutar escáneres de
aplicación y el sistema operativo que el host está ejecutando. Algunos ejemplos de
vulnerabilidades
herramientas son Nipper, Core Impact, Nessus, SAINT y OpenVAS.
Ejecutar herramientas El atacante ahora intenta descubrir servicios vulnerables que pueden ser explotados.
de explotación de Una variedad de herramientas de explotación de vulnerabilidades existen, incluyendo:
vulnerabilidades Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit y Netsparker.
Ataques de Red Habituales
Ataques de acceso
• Los ataques de acceso aprovechan vulnerabilidades conocidas en servicios de autenticación,
servicios FTP y servicios web. El propósito de este tipo de ataques es obtener acceso a cuentas
web, bases de datos confidenciales y otra información confidencial.
• Los atacantes usan ataques de acceso en dispositivos de red y computadoras para recuperar
datos, obtener acceso o escalar privilegios de acceso al rol de administrador.
• Ataques de contraseña: En un ataque de contraseña, el atacante intenta descubrir contraseñas
críticas del sistema utilizando varios métodos. Los ataques de contraseña son muy comunes y
pueden iniciarse utilizando una variedad de herramientas para descifrar contraseñas.
• Ataque Spoofing o de falsificación: En los ataques de falsificación, el dispositivo del atacante
intenta hacerse pasar por otro dispositivo falsificando datos. Los ataques comunes de suplantación
de identidad incluyen Suplantación de dirección IP, Suplantación de MAC y Suplantación de DHCP.
Estos ataques de suplantación se analizarán con más detalle más adelante en este módulo.
• Otros tipos de ataques de acceso son:
• Explotaciones de confianzas
• Redireccionamiento de puertos
• Ataques Man-in-the-middle
• Ataques de desbordamiento de búfer (buffer overflow)
Ataques de Red Habituales
Ataques de Ingeniería Social
• La Ingeniería social es un ataque de acceso que intenta manipular a las personas
para que realicen acciones o divulguen información confidencial. Algunas técnicas de
ingeniería social son presenciales, mientras que otras pueden ser por teléfono o
Internet.
• Los ingenieros sociales, a menudo, confían en la predisposición a ayudar que tienen
las personas. También se aprovechan de las debilidades de los demás.
Ataques de Red Habituales
Ataques de Ingeniería Social
Ataques de ingeniería social
Pretexto
Phishing
Spear phishing
Correo electrónico no deseado

Algo por algo

Baiting (carnada)

Suplantación de identidad (Impersonation)

Tailgating (infiltración)

Shoulder surfing

Inspección de basura (Dumpster diving)

Ataques de Red Habituales
Ataques de Ingeniería Social
• El Kit de herramientas de ingeniería social
(SET, Social Engineering Toolkit) fue
diseñado por TrustedSec para ayudar a los
hackers de sombrero blanco y a otros
profesionales de seguridad de la red a crear
ataques de ingeniería social para poner a
prueba sus propias redes.
• Las empresas deben capacitar y educar a
sus usuarios sobre los riesgos de la
ingeniería social, y desarrollar estrategias
para validar las identidades por teléfono, por
correo electrónico o en persona.
• En la figura, se presentan las prácticas
recomendadas que deben seguir todos los
usuarios.
Ataques de Red Habituales
Ataques de DoS y DDoS
• Un ataque de Denegación de Servicios (DoS, siglas en inglés) crea algún tipo de
interrupción de los servicios de red para usuarios, dispositivos o aplicaciones. Existen
dos tipos principales de ataques DoS:
• Cantidad abrumadora de tráfico- el atacante envía una gran cantidad de datos a una
velocidad que la red, el host o la aplicación no puede manejar. Esto hace que los tiempos de
transmisión y respuesta disminuyan. También puede bloquear un dispositivo o servicio.
• Paquetes Mal Formateados- El atacante envía un paquete malicioso formateado a un host o
una aplicación y el receptor no puede manejarlo. Esto hace que el dispositivo receptor
funcione muy lentamente o se detenga.
• Los ataques DoS son un riesgo importante, porque pueden interrumpir fácilmente la
comunicación y causar una pérdida significativa de tiempo y dinero. Estos ataques
son relativamente simples de ejecutar, incluso si lo hace un atacante inexperto.
• Un ataque de Denegación de Servicios Distribuida (DDoS, siglas en inglés) es similar
a un ataque de DoS, pero proviene de múltiples fuentes coordinadas.
Vulnerabilidades y Amenazas de IP
IPv4 e IPv6
• El protocolo IP no valida si la dirección IP de origen contenida en un paquete realmente provino de
esa fuente. Por eso, los atacantes pueden enviar paquetes con una dirección IP de origen falsa.
Los analistas de seguridad deben entender los diferentes campos en los encabezados IPv4 e
IPv6.
• Algunos de los ataques relacionados con IP más comunes se muestran en la tabla.

Técnicas de Ataque IP Descripción

Los atacantes utilizan paquetes de echo (pings) del Protocolo de Mensajes de Control de Internet
Ataques de ICMP (ICMP) para detectar subredes y hosts en una red protegida, y luego generar ataques DoS de
saturación y modificar las tablas de enrutamiento de los hosts.
Ataques de Amplificación y Los agentes de amenaza intentan impedir que usuarios legítimos tengan acceso a información o
reflexión servicios.
Ataques de suplantación de Los agentes de amenaza suplantan la dirección IP de origen en un paquete de IP para realizar
direcciones suplantación blind o non-blind.
Los atacantes se posicionan entre un origen y un destino para monitorear, capturar y controlar la
Ataques man-in-the-middle
comunicación en forma transparente. Simplemente pueden escuchar en silencio mediante la
(MITM)
inspección de paquetes capturados o modificar paquetes y reenviarlos a su destino original.
Los atacantes obtienen acceso a la red física y, luego, usan un ataque de MITM para secuestrar una
Secuestros de sesiones
sesión.
Vulnerabilidades y Amenazas de IP
Ataques ICMP
• Los agentes de amenaza utilizan el ICMP para los ataques de reconocimiento y
análisis. Esto les permite iniciar ataques de recopilación de información para conocer
la disposición de una topología de red, detectar qué hosts están activos (dentro del
alcance), identificar el sistema operativo del host (identificación del SO) y determinar
el estado de un firewall. Los atacantes también usan ICMP para ataques DoS.
• Nota: ICMP para IPv4 (ICMPv4) e ICMP para IPv6 (ICMPv6) son susceptibles a
ataques similares.
• Las redes deben tener filtros estrictos de lista de control de acceso (ACL) en el
perímetro de la red para evitar sondeos de ICMP desde Internet. En el caso de redes
grandes, los dispositivos de seguridad (como firewalls y sistemas de detección de
intrusiones o IDS) deben detectar este tipo de ataques y generar alertas para los
analistas de seguridad.
Vulnerabilidades y Amenazas de IP
Ataques ICMP (Cont.)

Los mensajes comunes de ICMP de interés para los atacantes se enumeran en la tabla.
Mensajes ICMP utilizados por los Hackers Descripción

"Echo request" y "echo reply" de ICMP Esto se utiliza para realizar la verificación del host y los ataques DoS.

Esto se utiliza para realizar ataques de reconocimiento y escaneo de la

"Unreachable" de ICMP
red.

"Mask reply" de ICMP Se utiliza para mapear una red IP interna.

Se utiliza para lograr que un host de destino envíe todo el tráfico a través
"Redirects" de ICMP
de un dispositivo comprometido y crear un ataque de MITM.
Esto se utiliza para inyectar entradas de rutas falsas en la tabla de routing
"Router discovery" de ICMP
de un host objetivo.
Vulnerabilidades y amenazas de IP
Ataques de reflejo y amplificación

• Los agentes de amenaza suelen usar

técnicas de amplificación y reflejo para
crear ataques de DoS. En la figura se
ilustra cómo se usa un ataque "Smurf”
para abrumar un host objetivo.
• Nota: Ahora se utilizan nuevas formas de
ataques de amplificación y reflejo, como ataques
de amplificación y reflejo con base en DNS y
ataques de amplificación de NTP.
• Los atacantes también utilizan ataques
de agotamiento de recursos de un host
objetivo a fin de que deje de funcionar
o para consumir los recursos de una
red.
Vulnerabilidades y Amenazas de IP
Ataques de Suplantación de Direcciones
• Los ataques de suplantación de dirección IP se producen cuando un atacante crea paquetes con
información falsa de la dirección IP de origen para ocultar la identidad del remitente o hacerse
pasar por otro usuario legítimo. La Suplantación de dirección IP suele formar parte de otro ataque
denominado ataque Smurf.
• Los ataques de Spoofing (suplantación) pueden ser "blind" (a ciegas) o "non-blind" (con
visibilidad):
• Suplantación no ciega (Non-blind spoofing): El atacante puede ver el tráfico que se
envía entre el host y el destino. Esta técnica determina el estado de un Firewall y la
predicción del número de secuencia. También puede secuestrar una sesión
autorizada.
• Blind spoofing: El atacante no puede ver el tráfico que se envía entre el host y el
objetivo. Este tipo de ataque se utiliza en ataques DoS.
• Los ataques de suplantación de dirección MAC se utilizan cuando los agentes de amenaza tienen
acceso a la red interna. Los atacantes cambian la dirección MAC de su host para que coincida con
otra dirección MAC conocida de un host de destino.
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP
• La información de segmento de TCP aparece
inmediatamente después del encabezado de
IP. En la figura se muestran los campos del
segmento TCP y los Flags para el campo de
bits de control.
• Los siguientes son los seis bits de control del
segmento TCP:
• URG: Campo indicador urgente significativo
• ACK - campo de reconocimiento significativo
• PSH: Función de pulsación
• RST: Restablecer la conexión
• SYN: Sincronizar números de secuencia
• FIN: No hay más datos del emisor
Vulnerabilidades de TCP y UDP
Servicios TCP
El TCP ofrece los siguientes servicios:
• Entrega confiable- TCP incorpora reconocimientos para garantizar la entrega. Si no
se recibe un acuse de recibo oportuno, el emisor retransmite los datos. Requerir
acuses de recibo de los datos recibidos puede causar retardos sustanciales. Algunos
ejemplos de los protocolos de capa de aplicación que hacen uso de la confiabilidad de
TCP incluyen HTTP, SSL/TLS, FTP y transferencias de zona DNS.
• Control de flujo: El TCP implementa el control de flujo para abordar este problema.
En lugar de confirmar la recepción de un segmento a la vez, varios segmentos se
pueden confirmar con un único acuse de recibo.
• Comunicación con estado- la comunicación con estado del TCP entre dos partes
ocurre gracias a la comunicación tridireccional de TCP.
Vulnerabilidades de TCP y UDP
Servicios TCP (Cont.)
Una conexión TCP se establece en tres pasos:
1. El cliente de origen solicita una sesión de comunicación de cliente a servidor con el servidor.
2. El servidor acusa recibo de la sesión de comunicación de cliente a servidor y solicita una sesión de
comunicación de servidor a cliente.
3. El cliente de origen acusa recibo de la sesión de comunicación de servidor a cliente.
Vulnerabilidades de TCP y UDP
Ataques de TCP
Ataque de Inundación SYN a
TCP
1. El atacante envía múltiples
solicitudes SYN a un servidor
web.
2. El servidor web responde con
SYN-ACK para cada solicitud
SYN y espera para completar
el intercambio de señales de
tres vías. El atacante no
responde a los SYN-ACK.
3. Un usuario válido no puede
acceder al servidor web
porque el servidor web tiene
demasiadas conexiones TCP
a medio abrir.
Vulnerabilidades de TCP y UDP
Ataques de TCP (Cont.)
La finalización de una sesión TCP utiliza el
siguiente proceso de intercambio de cuatro vías:
1. Cuando el cliente no tiene más datos para
enviar en la transmisión, envía un segmento
con el Flag "FIN" establecido.
2. El servidor envía un ACK para acusar recibo
del FIN para terminar la sesión de cliente a
servidor.
3. El servidor envía un FIN al cliente para
terminar la sesión de servidor a cliente.
4. El cliente responde con un ACK para dar
acuse de recibo del FIN desde el servidor.
Un atacante podría efectuar un ataque de
restablecimiento de TCP y enviar un paquete
falso con un RST de TCP a uno o ambos
terminales.
Vulnerabilidades de TCP y UDP
Ataques de TCP (Cont.)
Otra vulnerabilidad es el secuestro de sesiones de TCP. Aunque es difícil de realizar,
permite que un atacante tome el control de un host autenticado mientras este se
comunica con el objetivo El atacante tendría que suplantar la dirección IP de un host,
predecir el siguiente número de secuencia y enviar un ACK al otro host. Si tiene éxito, el
atacante puede enviar, pero no recibir, datos desde el dispositivo objetivo.
Vulnerabilidades de TCP y UDP
Encabezado de segmento TCP y Funcionamiento
• DNS, TFTP, NFS y SNMP utilizan comúnmente UDP. También lo utilizan aplicaciones en tiempo
real, como la transmisión multimedia o VoIP. UDP es un protocolo de capa de transporte sin
conexión Tiene una sobrecarga mucho menor que TCP ya que no está orientado a la conexión y
no proporciona los mecanismos sofisticados de retransmisión, secuenciación y control del flujo que
ofrecen confiabilidad.
• Significa que estas funciones no las proporciona el protocolo de la capa de transporte, y se deben
implementar aparte si es necesario.
• La baja sobrecarga del UDP es muy deseable para los protocolos que realizan transacciones
simples de solicitud y respuesta.
Vulnerabilidades de TCP y UDP
Ataques de UDP
• UDP no está protegido por ningún tipo de encriptación. Podemos agregar encriptación a UDP, pero
no está disponible de forma predeterminada. La falta de encriptación permite que cualquiera vea el
tráfico, lo modifique y lo envíe a su destino.
• Ataques de UDP Flood: El atacante debe usar una herramienta como UDP Unicorn o Low Orbit
Ion Cannon. Estas herramientas envían una avalancha de paquetes UDP, a menudo desde un
dispositivo suplantado, hacia un servidor en la subred. El programa analiza todos los puertos
conocidos intentando encontrar puertos cerrados. Esto hace que el servidor responda con un
mensaje de "puerto ICMP inaccesible". Debido a que hay muchos puertos cerrados en el servidor,
esto crea mucho tráfico en el segmento, el cual utiliza la mayor parte del ancho de banda. El
resultado es muy similar al de un ataque de DoS.
Servicios IP
Vulnerabilidades de ARP
• Los hosts transmiten una solicitud de ARP a otros hosts del segmento para determinar
la dirección MAC de un host con una dirección IP específica. El host con la dirección
IP que coincide con la de la solicitud de ARP envía una respuesta de ARP.
• Cualquier cliente puede enviar una respuesta de ARP no solicitada llamada “ARP
gratuito”. Cuando un host envía un ARP gratuito, otros hosts en la subred almacenan
en sus tablas de ARP la dirección MAC y la dirección IP que contiene dicho ARP.
• Esta característica de ARP también significa que cualquier host puede reclamar ser el
propietario de cualquier IP o MAC. Un atacante puede envenenar la caché de ARP de
los dispositivos en la red local y crear un ataque de MITM para redireccionar el tráfico.
Servicios IP
Envenenamiento de caché de ARP
El envenenamiento de caché ARP se puede usar para lanzar varios ataques de MITM.
1. La PC-A necesita la dirección MAC de su gateway predeterminado (R1) y, por lo tanto,
envía ARP request para obtener la MAC de 192.168.10.1.
2. El R1 actualiza su caché de ARP con la IP y MAC de la PC-A y envía una respuesta
ARP, la cual, a su vez, actualiza su caché de ARP con la IP y MAC del R1.
3. El atacante envía dos gratuitous ARP falsos usando su propia dirección MAC para la
IP de destino indicada. La PC-A actualiza su caché ARP con su Puerta de enlace por
defecto, la cual ahora apunta hacia la MAC del host del atacante. El R1 también
actualiza su caché ARP con la dirección IP de la PC-A y comienza a apuntar a la
dirección MAC del atacante.
El envenenamiento ARP puede ser pasivo o activo: Pasivo: Los atacantes roban
información confidencial. Activo cuando los atacantes modifican datos en tránsito o
inyectan datos maliciosos.
Servicios IP
Ataques de DNS
• El protocolo de Sistema de Nombres de Dominio (DNS) define un servicio
automatizado que empareja los nombres de recursos, como www.cisco.com, con su
respectiva dirección de red numérica, ya sea dirección IPv4 o IPv6. Incluye el formato
para las consultas, respuestas y datos, y usa registros de recursos (RR) para
identificar el tipo de respuesta de DNS.
• La protección de DNS suele pasarse por alto. Sin embargo, es fundamental para el
funcionamiento de una red y debe protegerse correctamente.
• Los ataques DNS incluyen los siguientes:
• Ataques de resolución abierta de DNS
• Ataques sigilosos de DNS
• Ataques de domain shadowing de DNS
• Ataques de tunelización de DNS
Servicios IP
Ataques de DNS (Cont.)
Ataques de resolución abierta de DNS: Responde las consultas de clientes fuera de su
dominio administrativo. Son vulnerables a múltiples actividades maliciosas descritas en la
tabla.
Vulnerabilidades de
Descripción
resolución DNS
Los atacantes envían registros de recursos (RR) falsificados a una "DNS
resolver" para redirigir a los usuarios de sitios legítimos a sitios maliciosos. Estos
Ataque de envenenamiento
ataques se pueden utilizar para informar a la resolución de DNS que utilice un
de caché DNS
servidor de nombre malicioso que proporciona información del RR para
actividades maliciosas.
Los atacantes usan ataque DoS o DDoS para aumentar el volumen de ataques y
para ocultar la verdadera fuente de un ataque. Los atacantes envían mensajes
Ataque de amplificación y
de DNS a las resoluciones abiertas utilizando la dirección IP de un host de
reflexión de DNS
destino. Estos ataques son posibles porque la resolución abierta responde las
consultas de cualquiera que pregunte.
Un ataque DoS consume los servidores de resolución abierta de DNS. Este
ataque de DoS consume todos los recursos disponibles para afectar
Ataques de recursos
negativamente las operaciones de la resolución de DNS abierta. El impacto de
disponibles de DNS
este ataque de DoS puede requerir el reinicio de la resolución de DNS abierta o
la interrupción y el reinicio de los servicios.
Servicios IP
Ataques de DNS (Cont.)
Ataques de DNS Sigilosas: Para ocultar su identidad, los atacantes también utilizan las
técnicas de DNS sigilosas descritas en la siguiente tabla.
Técnicas sigilosas de
Descripción
DNS

Los atacantes utilizan esta técnica para ocultar sus sitios de entrega de phishing y
malware en una red de hosts DNS atacados que cambia rápidamente. Las
Fast Flux direcciones IP de DNS cambian constantemente en apenas minutos. A menudo, los
botnets emplean técnicas de flujo rápido para ocultar con eficacia servidores
maliciosos y evitar su detección.

Los atacantes utilizan esta técnica para cambiar rápidamente el hostname para las
Double IP Flux asignaciones de dirección IP y también cambiar el servidor de nombres autorizados.
Esto aumenta la dificultad para identificar el origen del ataque.

Los atacantes utilizan esta técnica en malware para generar aleatoriamente nombres
Algoritmos de
de dominio que puedan utilizarse como puntos de encuentro de sus servidores de
generación de dominio
Mando y control (C&C, siglas en inglés).
Servicios IP
Ataques de DNS (Cont.)
Ataques de Domain Shadowing de DNS: El domain shadowing implica
que el atacante reúna credenciales de la cuenta de dominio para crear
silenciosamente múltiples subdominios para usar durante los ataques.
Estos subdominios generalmente apuntan a servidores maliciosos sin
alertar al propietario real del dominio principal.
Servicios IP
Túnel de DNS
• Los agentes de amenaza que utilizan la tunelización de DNS colocan tráfico que no es DNS en
tráfico DNS. Este método a menudo evita las soluciones de seguridad cuando un atacantes desea
comunicarse con bots dentro de una red protegida, o extraer datos de la organización. Así es
como funciona el túnel DNS para los comandos CnC enviados a una botnet:
1. Los datos se dividen en varias partes codificadas.
2. Cada parte se coloca en una etiqueta de nombre de dominio de nivel inferior de la consulta de
DNS.
3. Dado que no hay ninguna respuesta del DNS local o en red para la consulta, la solicitud se envía a
los servidores DNS recursivos del ISP.
4. El servicio de DNS recursivo reenvía la consulta al servidor de nombres autorizado del atacante.
5. El proceso se repite hasta que se envían todas las consultas que contienen las partes.
6. Cuando el servidor de nombre autorizado del atacante recibe las consultas de DNS de los
dispositivos infectados, envía las respuestas para cada consulta de DNS, las cuales contienen los
comandos CnC encapsulados y codificados.
7. El malware en el host atacado vuelve a combinar las partes y ejecuta los comandos ocultos dentro.
• Para detener el túnel DNS, el administrador de la red debe usar un filtro que inspeccione el tráfico
DNS. Preste especial atención a las consultas de DNS que son más largas de lo normal, o las que
tienen un nombre de dominio sospechoso.
Servicios IP
DHCP
• Los servidores DHCP proporcionan de
manera dinámica información de
configuración IP a los clientes.
• En la figura, un cliente transmite un
mensaje de descubrimiento de DHCP.
El servidor DHCP le responde
directamente con una oferta que
incluye información de
direccionamiento que el cliente puede
usar. El cliente transmite una solicitud
DHCP para decirle al servidor que
acepta la oferta. El servidor le
responde mediante unicast con un
acuse de recibo, aceptando la
solicitud.
Servicios IP
Ataques de DHCP
• Un ataque de suplantación de DHCP se produce cuando un servidor DHCP
malicioso se conecta a la red y brinda parámetros de configuración IP falsos a los
clientes legítimos. Un servidor dudoso puede proporcionar una variedad de
información engañosa:
• Gateway predeterminado incorrecto: El atacante proporciona un gateway no válido o la
dirección IP de su host para crear un ataque de MITM. Esto puede pasar totalmente
inadvertido, ya que el intruso intercepta el flujo de datos por la red.
• Servidor DNS incorrecto: El atacante proporciona una dirección del servidor DNS incorrecta
que dirige al usuario a un sitio web malicioso.
• Dirección IP incorrecta: El atacante proporciona una dirección IP no válida, una dirección IP
de puerta de enlace por defecto no válida o ambas. Luego, el atacante crea un ataque DoS en
el cliente DHCP.
Servicios IP
Ataques de DHCP (Cont.)
Supongamos que un agente de amenaza conecta con éxito un servidor DHCP dudoso a
un puerto de switch en la misma subred que los clientes de destino. El objetivo del
servidor dudoso es proporcionarles a los clientes información de configuración de IP falsa.
1. Por lo tanto, el cliente transmite una solicitud de DHCP Discover en busca de una
respuesta de un servidor DHCP. Ambos servidores recibirán el mensaje.
2. El servidor DHCP malicioso y el legítimo responden ambos con parámetros de
configuración de IP válidos. El cliente responde a la primera oferta recibida.
3. El cliente recibió primero la oferta del servidor malicioso y emite una solicitud de
DHCP aceptando los parámetros. El servidor legítimo y el dudoso recibirán la
solicitud.
4. Solamente el servidor malicioso emite una respuesta individual al cliente para acusar
recibo de su solicitud. El servidor legítimo deja de comunicarse con el cliente porque
la solicitud ya ha sido reconocida.