Técnicas de evasión de atacantes

Ya sea que recopile información o lance un ataque, generalmente se espera que el atacante evite la detección. Aunque algunos escaneos de direcciones IP y puertos son evidentes y fácilmente detectables, los atacantes más astutos utilizan una variedad de medios para ocultar su actividad. Técnicas como el uso de escaneos FIN en lugar de escaneos SYN, que los atacantes saben que la mayoría de los firewalls y programas de detección de intrusos detectan, indican una evolución de las técnicas de reconocimiento y explotación para evadir la detección y realizar con éxito sus tareas.

Un análisis FIN envía segmentos TCP con el indicador FIN establecido en un intento de provocar una respuesta (un segmento TCP con el indicador RST establecido) y, por lo tanto, descubrir un host activo o un puerto activo en un host. Los atacantes podrían usar este enfoque en lugar de realizar un barrido de direcciones con solicitudes de eco ICMP o un escaneo de direcciones con segmentos SYN, porque saben que muchos firewalls generalmente protegen contra los dos últimos enfoques, pero no necesariamente contra los segmentos FIN. El uso de segmentos TCP con el indicador FIN establecido podría evadir la detección y, por lo tanto, ayudar a los atacantes a tener éxito en sus esfuerzos de reconocimiento.

De forma predeterminada, Junos OS comprueba si hay indicadores SYN en el primer paquete de una sesión y rechaza cualquier segmento TCP con indicadores que no sean SYN que intenten iniciar una sesión. Puede dejar este flujo de paquetes como está o cambiarlo para que Junos OS no aplique la comprobación de indicadores SYN antes de crear una sesión. La figura 1 ilustra las secuencias de flujo de paquetes tanto cuando la comprobación de indicadores SYN está habilitada como cuando está deshabilitada.

Figura 1: Comprobación de indicadores SYN

Cuando Junos OS con la comprobación de indicadores SYN habilitada recibe un segmento TCP que no es SYN que no pertenece a una sesión existente, descarta el paquete. De forma predeterminada, Junos OS no envía un TCP RST al host de origen al recibir el segmento no SYN. Puede configurar el dispositivo para enviar TCP RST al host de origen mediante el set security zones security-zone trust tcp-rst comando. Si el bit de código del paquete TCP no SYN inicial es RST, el dispositivo no envía un TCP-RST.

No comprobar el indicador SYN en los primeros paquetes ofrece las siguientes ventajas:

• NSRP con enrutamiento asimétrico: en una configuración NSRP activa/activa en un entorno de enrutamiento dinámico, un host puede enviar el segmento TCP inicial con el indicador SYN establecido a un dispositivo (dispositivo A), pero el SYN/ACK puede enrutarse al otro dispositivo del clúster (dispositivo B). Si este enrutamiento asimétrico ocurre después de que el Dispositivo-A haya sincronizado su sesión con el Dispositivo-B, todo está bien. Por otro lado, si la respuesta SYN/ACK llega al dispositivo B antes de que el dispositivo A sincronice la sesión y se habilite la comprobación de SYN, el dispositivo B rechaza el SYN/ACK y no se puede establecer la sesión. Con la comprobación SYN deshabilitada, el dispositivo B acepta la respuesta SYN/ACK (aunque no haya ninguna sesión existente a la que pertenezca) y crea una nueva entrada de tabla de sesión para ella.

• Sesiones ininterrumpidas: si restablece el dispositivo o incluso cambia un componente en la sección principal de una política y la comprobación SYN está habilitada, todas las sesiones existentes o aquellas sesiones a las que se aplica el cambio de política se interrumpirán y deben reiniciarse. La desactivación de la comprobación SYN evita tales interrupciones en los flujos de tráfico de red.

  Nota:

  Una solución para este escenario es instalar el dispositivo con la comprobación SYN deshabilitada inicialmente. Luego, después de unas horas, cuando las sesiones establecidas se estén ejecutando a través del dispositivo, habilite la comprobación de SYN. La sección principal de una política contiene los siguientes componentes principales: zonas de origen y destino, direcciones de origen y destino, uno o más servicios y una acción.

Sin embargo, las ventajas anteriores exigen los siguientes sacrificios de seguridad:

• Orificios de reconocimiento: cuando un segmento TCP inicial con un indicador que no es SYN (como ACK, URG, RST, FIN) llega a un puerto cerrado, muchos sistemas operativos (Windows, por ejemplo) responden con un segmento TCP que tiene el indicador RST establecido. Si el puerto está abierto, el destinatario no genera ninguna respuesta.

  Al analizar estas respuestas o la falta de ellas, un recopilador de inteligencia puede realizar un reconocimiento en la red protegida y también en el conjunto de políticas de Junos OS. Si se envía un segmento TCP con un indicador que no es SYN establecido y la política lo permite, el host de destino que recibe dicho segmento podría eliminarlo y responder con un segmento TCP que tenga establecido el indicador RST. Dicha respuesta informa al autor de la presencia de un host activo en una dirección específica y de que el número de puerto de destino está cerrado. El recopilador de inteligencia también aprende que la política de firewall permite el acceso a ese número de puerto en ese host.

  Al habilitar la comprobación de indicadores SYN, Junos OS elimina segmentos TCP sin indicador SYN si no pertenecen a una sesión existente. No devuelve un segmento TCP RST. En consecuencia, el analizador no recibe respuestas, independientemente del conjunto de políticas o de si el puerto está abierto o cerrado en el host de destino.

• Inundaciones de la tabla de sesión: si la comprobación de SYN está desactivada, un atacante puede omitir la función de protección contra inundaciones SYN de Junos OS inundando una red protegida con un aluvión de segmentos TCP que tengan indicadores que no sean SYN establecidos. Aunque los hosts de destino dejan caer los paquetes (y posiblemente envíen segmentos TCP RST en respuesta), una inundación de este tipo puede llenar la tabla de sesiones del dispositivo de Juniper Networks. Cuando la tabla de sesiones está llena, el dispositivo no puede procesar nuevas sesiones para tráfico legítimo.

  Al habilitar la comprobación de SYN y la protección contra inundaciones de SYN, puede frustrar este tipo de ataque. La comprobación de que el indicador SYN está establecido en el paquete inicial de una sesión, todas las sesiones nuevas comenzarán con un segmento TCP que tenga establecido el indicador SYN. A continuación, la protección contra inundaciones SYN limita el número de segmentos TCP SYN por segundo para que la tabla de sesión no se vea abrumada.

Si no necesita desactivar la comprobación de SYN, Juniper Networks recomienda encarecidamente que esté activada (su estado predeterminado para una instalación inicial de Junos OS). Puede habilitarlo con el set flow tcp-syn-check comando. Con la comprobación SYN habilitada, el dispositivo rechaza los segmentos TCP con indicadores no SYN establecidos, a menos que pertenezcan a una sesión establecida.

Un método para intentar obtener acceso a un área restringida de la red es insertar una dirección de origen falsa en el encabezado del paquete para que parezca que el paquete proviene de una fuente de confianza. Esta técnica se denomina suplantación de IP. El mecanismo para detectar la suplantación de IP se basa en las entradas de la tabla de rutas. Por ejemplo, si un paquete con la dirección IP de origen 10.1.1.6 llega a ge-0/0/1, pero Junos OS tiene una ruta de 10.1.1.0/24 a ge-0/0/0, una comprobación de suplantación de IP descubre que esta dirección llegó a una interfaz no válida como se define en la tabla de rutas. Un paquete válido de 10.1.1.6 solo puede llegar a través de ge-0/0/0, no ge-0/0/1. Por lo tanto, Junos OS concluye que el paquete tiene una dirección IP de origen falsificada y la descarta. Junos OS detecta y descarta paquetes falsificados IPv4 e IPv6.

En este ejemplo se muestra cómo configurar una pantalla para bloquear ataques de suplantación de IP.

En un ataque de suplantación de IP, el atacante obtiene acceso a un área restringida de la red e inserta una dirección de origen falsa en el encabezado del paquete para que parezca que el paquete proviene de una fuente de confianza. La suplantación de IP se usa con mayor frecuencia en ataques de denegación de servicio (DoS). Cuando los firewalls de la serie SRX funcionan en modo transparente, el mecanismo de comprobación de suplantación de IP utiliza entradas de libreta de direcciones. Las libretas de direcciones solo existen en el motor de enrutamiento. La suplantación de IP en modo transparente de capa 2 se realiza en el motor de reenvío de paquetes. No se puede obtener información de la libreta de direcciones del motor de enrutamiento cada vez que el motor de reenvío de paquetes recibe un paquete. Por lo tanto, las libretas de direcciones conectadas a las zonas de capa 2 deben insertarse en el motor de reenvío de paquetes.

Cuando el motor de reenvío de paquetes recibe un paquete, se comprueba la dirección IP de origen del paquete para determinar si está en la libreta de direcciones de la zona de entrada. Si la dirección IP de origen del paquete está en la libreta de direcciones de la zona de entrada, esta dirección IP está permitida en la interfaz y se pasa el tráfico.

Si la dirección IP de origen no está presente en la libreta de direcciones de la zona de entrada, pero existe en la de otras zonas, la dirección IP se considera una IP falsificada. En consecuencia, se pueden realizar acciones como la caída y el registro dependiendo de la configuración de la pantalla (alarma-sin-caída).

Si la dirección IP de origen de un paquete no está presente en la libreta de direcciones de la zona entrante u otras zonas, no puede determinar si la IP está falsificada o no. En tales casos, se pasa el paquete.

Junos OS tiene en cuenta las siguientes condiciones de coincidencia mientras busca direcciones IP de origen en la libreta de direcciones:

• Host-match: la coincidencia de la dirección IP encontrada en la libreta de direcciones es una dirección sin prefijo.

• Prefix-match: la coincidencia de la dirección IP encontrada en la libreta de direcciones es una dirección con un prefijo.

• Any-match: la coincidencia de direcciones IP encontrada en la libreta de direcciones es "cualquiera", "cualquiera-IPv4" o "cualquiera-IPv6".

• No-match: no se encuentra ninguna coincidencia de dirección IP.

El enrutamiento de origen se diseñó para permitir a los usuarios en el origen de una transmisión de paquetes IP especificar las direcciones IP de los dispositivos (también denominados "saltos") a lo largo de la ruta que desean que tome un paquete IP en su camino hacia su destino. La intención original de las opciones de ruta de origen IP era proporcionar herramientas de control de enrutamiento para ayudar al análisis de diagnóstico. Si, por ejemplo, la transmisión de un paquete a un destino determinado tiene un éxito irregular, puede usar primero la opción Ruta de registro o IP de marca de tiempo para descubrir las direcciones de los dispositivos a lo largo de la ruta o rutas que toma el paquete. A continuación, puede usar la opción de ruta de origen flexible o estricta para dirigir el tráfico a lo largo de una ruta específica, utilizando las direcciones que aprendió de los resultados que produjeron las opciones de ruta de registro o marca de tiempo. Al cambiar las direcciones de los dispositivos para modificar la ruta y enviar varios paquetes a lo largo de diferentes rutas, puede observar cambios que mejoran o disminuyen la tasa de éxito. A través del análisis y el proceso de eliminación, es posible que pueda deducir dónde radica el problema. Consulte la figura 2.

Figura 2: Enrutamiento de origen IP

Aunque los usos de las opciones de ruta de origen IP eran originalmente benignos, los atacantes han aprendido a darles usos más tortuosos. Pueden usar las opciones de ruta de origen IP para ocultar su verdadera dirección y acceder a áreas restringidas de una red especificando una ruta diferente. Para ver un ejemplo que muestra cómo un atacante puede usar ambos engaños, considere el siguiente escenario, como se ilustra en la figura 3.

Figura 3: Opción de ruta de origen IP suelta para el engaño

Junos OS solo permite el tráfico 2.2.2.0/24 si viene a través de Ethernet1, una interfaz enlazada a zone_external. Los dispositivos 3 y 4 aplican controles de acceso, pero los dispositivos 1 y 2 no. Además, el dispositivo 2 no comprueba la suplantación de IP. El atacante suplanta la dirección de origen y, mediante la opción de ruta de origen flexible, dirige el paquete a través del dispositivo 2 a la red 2.2.2.0/24 y desde allí hacia el dispositivo 1. El dispositivo 1 lo reenvía al dispositivo 3, que lo reenvía al dispositivo de Juniper Networks. Debido a que el paquete proviene de la subred 2.2.2.0/24 y tiene una dirección de origen de esa subred, parece ser válido. Sin embargo, queda un remanente de las artimañas anteriores: la opción de ruta de fuente suelta. En este ejemplo, ha habilitado la opción de pantalla de enrutamiento de origen IP para zone_external. Cuando el paquete llega a Ethernet3, el dispositivo lo rechaza.

Puede habilitar el dispositivo para que bloquee cualquier paquete con opciones de ruta de origen flexibles o estrictas establecidas o detectar dichos paquetes y, a continuación, registrar el evento en la lista de contadores de la interfaz de entrada. Las opciones de pantalla son las siguientes:

• Denegar la opción de ruta de origen IP: habilite esta opción para bloquear todo el tráfico IP que emplee la opción de ruta de origen flexible o estricta. Las opciones de ruta de origen pueden permitir que un atacante entre en una red con una dirección IP falsa.

• Opción de ruta de origen flexible de IP: el dispositivo detecta paquetes en los que la opción IP es 3 (enrutamiento de origen suelto) y registra el evento en la lista de contadores de pantalla de la interfaz de entrada. Esta opción especifica una lista de rutas parciales para que un paquete realice su viaje desde el origen hasta el destino. El paquete debe proceder en el orden de direcciones especificado, pero se le permite pasar a través de otros dispositivos entre los especificados.

• Opción de ruta de origen estricta de IP: el dispositivo detecta paquetes en los que la opción IP es 9 (enrutamiento estricto de origen) y registra el evento en la lista de contadores de pantalla de la interfaz de entrada. Esta opción especifica la lista de rutas completa para que un paquete realice su viaje desde el origen hasta el destino. La última dirección de la lista sustituye a la dirección del campo de destino. Actualmente, esta opción de pantalla solo se aplica a IPv4.

En este ejemplo se muestra cómo bloquear paquetes con una opción de ruta de origen flexible o estricta establecida.

En este ejemplo se muestra cómo detectar paquetes con una opción de ruta de origen flexible o estricta establecida.