ATAQUES INFORMATICOS

EN ESTA SECCIÓN VAMOS A HABLAR DE LOS
ATAQUES INFORMÁTICOS MÁS USADOS

********************************************************************************


Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (ordenador, red privada, etcétera).

Hay diversos tipos de ataques informáticos. Los más usados son:
(Hay muchos más, pero aquí trataré los más usados por los)"Hackercillos"...


1.-Denegación de servicio, también llamado ataque DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

2.-Man in the middle, a veces abreviado MitM, es una situación donde un atacante supervisa (generalmente mediante un rastreador de puertos) una comunicación entre dos partes y falsifica los intercambios para hacerse pasar por una de ellas.

3.-Ataques de REPLAY ó ARP, una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida o retardada. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.

4.-Ataque de día cero, ataque realizado contra un ordenador, a partir del cual se explotan ciertas vulnerabilidades, o agujeros de seguridad de algún programa o programas antes de que se conozcan las mismas, o que, una vez publicada la existencia de la vulnerabilidad, se realice el ataque antes de la publicación del parche que la solvente.

5.-Ataque por fuerza bruta. No es necesariamente un procedimiento que se deba realizar por procesos informáticos, aunque este sistema ahorraría tiempos, energías y esfuerzos. El sistema de ataque por fuerza bruta, trata de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que se busca, y que permite el acceso al sistema, programa o archivo en estudio.


*******************************************


Yá que sabemos los distintos tipos de ataques informáticos y cuales són, como nos podemos proteger.?

Quiero dejar claro las protecciones usadas,són las que yó uso diariamente y són las más confiables bajo mi punto de vista y uso.


Contra el punto primero.:

La Denegación de Servicio. Para los que tenemos servidores,es necesario esta herramienta.

HPing es una herramienta en linea de comandos que nos permite crear y analizar paquetes TCP/IP, y como tal tiene un muchas utilidades: hacer testing de firewalls, escaneo de puertos, redes y como no… también tiene la capacidad de provocar un SYN Flood Attack (DD0S).

Hping3.- DESCARGAR

*******************************************


Contra el punto segundo.:

Man in the Middle. El supuesto ataque "Man in the Middle" suele estar ocasionado por un cambio en las preferencias del navegador y del archivo Host.

La solución es un buén Antivirus y un buén Antimalware.


ANTIVIRUS

Avg.- DESCARGAR

Manual.- DESCARGAR

ANTIMALWARE

Malwarebytes.- DESCARGAR

*******************************************


Contra el punto tercero.:

Ataques de REPLAY. Los sistemas de detección de intrusos (IDS) permiten detectar ataques que pasan inadvertidos a un cortafuegos y avisar antes o justo después de que se produzcan.  Con un buén Antivirus listo. Usemos el Avira Security Suite.


Avira Security Suite.- DESCARGAR

*******************************************


Contra el punto cuarto.:

Ataque de Día Cero. ¿Cómo defenderse de todas estas nuevas amenazas en el menor tiempo posible? Si tomamos como ejemplo los motores antivirus tradicionales basados en firmas, cabe decir que la mejor base de datos de firmas detecta menos del 50% de las nuevas amenazas. Por tanto, estas técnicas no resultan efectivas a la hora de luchar contra las amenazas denominadas de “Día Cero”. Usemos como arriba un buén AntiMalware y Antivirus.

Usar el software del punto segundo

*******************************************


Y por último,Contra el punto quinto.:

Ataque de Fuerza Bruta. Estos ataques están dirijidos el 90% a servidores y lo mejor es proteger a dichos servidores,que normalmente son del tipo de lenguaje Linux ú Oracles.

Con tres herramientas: APF, BFD y DDoS Deflate es posible mitigar ataques de fuerza bruta y denegación de servicios en servidores Linux.

APF

Es un cortafuegos basado en iptables (netfilter) fácil de instalar y configurar, pero lo que lo hace indispensable es que es compatible con BFD y DDoS Deflate.


Configuración básica:

Una vez instalado su fichero de configuración se ubica en “/etc/apf/conf.apf”. En primer lugar se modifica la línea que le indica en que interface de red actuar en este caso eth0:


# Untrusted Network interface(s); all traffic on defined interface will be
# subject to all firewall rules. This should be your internet exposed
# interfaces. Only one interface is accepted for each value.
# NOTE: The interfacing structure is being worked towards support of MASQ/NAT
IFACE_IN="eth0"
IFACE_OUT="eth0"

Después es posible configurar los interfaces de red para que los ignore.

# Trusted Network interface(s); all traffic on defined interface(s) will by-pass
# ALL firewall rules, format is white space or comma seperated list.
IFACE_TRUSTED="eth1"

Luego puertos TCP de entrada permitidos.

# Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80, 110,443"

Puertos UDP de entrada permitidos.

# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=" 110"

Luego puertos TCP de salida permitidos.

# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80, 110,443"

Puertos UDP de salida permitidos.

# Common egress (outbound) UDP ports
EG_UDP_CPORTS=" 110"

Entradas ICMP permitidas:

# Common ICMP (inbound) types
# 'internals/icmp.types' for type definition; 'all' is wildcard for any
IG_ICMP_TYPES="3,5,11"

Existen dos ficheros importantes para denegar el acceso “/etc/apf/deny_host.rules” y permitir acceso “/etc/apf/allow_host.rules” en ellos se pueden especificar IP, rangos, hosts…

Más información y descarga de APF:
http://www.rfxn.com/projects/advanced-policy-firewall/


BDF

Es un script diseñado para monitorizar los logs de servicios que corren en el servidor: ssh, apache, ftp… en busca de fallos continuos de autentificación o excesos de conexión por parte de una IP. Una vez detectado una anomalía BFD activa APF para bloquear la IP atacante.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/bfd/conf.bfd”. Lo primero que se configura es el TRIGGER, que es el número de intentos de conexión fallidos que permite BFD antes de actuar.

TRIG=10

Después configurar el envió de notificaciones por email para cada evento de BFD. Poniendo el valor 1 para activar y 0 para desactivar.

EMAIL_ALERTS=1
EMAIL_ADDRESS=administrador@servidor.es

Si queremos que BFD ignore alguna IP a la hora de bloquer intentos de conexión podemos indicar la IP en el archivo “/usr/local/bfd/ignore.hosts”.

Más información y descarga de BFD:
http://www.rfxn.com/projects/brute-force-detection/


DDoS Deflate

DDoS Deflate.

Se trata de un script que monitoriza las conexiones al servidor a través de Netstat y bloquea con APF aquellas que realizan un ataque de negación de servicios.

Configuración básica:

Una vez instalado su fichero de configuración se encuentra en “/usr/local/ddos/ddos.conf”. La primera configuración es la frecuencia de ejecución en minutos.

FREQ=1

Después número de conexiones máximas permitidas antes de proceder a bloquear IP:

NO_OF_CONNECTIONS=160

Luego configuración para uso de APF para bloquear IP. Si se pone 0 usaría iptables.

APF_BAN=1

Tiempo en minutos, en el que la IP atacante será bloqueada:


BAN_PERIOD=500

Dirección de email a la que notificar cuando actúa DDoS Deflate.


EMAIL_TO=” administrador@servidor.es”

Más información y descarga de DDoS Deflate:
http://deflate.medialayer.com/

Auditar el impacto de ataques de denegación de servicios y fuerza bruta:
http://vtroger.blogspot.com/2009/02/auditar-el-impacto-de-ataques-de.html