Los riesgos de la Economía en Red
Inseguridad IP
Las capacidades y características que hacen que Internet funcione son también las que en ocasiones permiten a los hackers dejar inutilizables partes de ella. Y aunque la mayoría de las redes están protegidas frente a ataques de alto nivel realizados por hackers, carecen de las fáciles contramedidas que permitirían detener ataques básicos y devastadores llevados a cabo utilizando los puntos débiles del protocolo IP.
Números de tarjeta de crédito sustraídos, sistemas gubernamentales atacados y otros asaltos online de alto perfil han situado a muchos usuarios a la defensiva y han atraído la atención de los directores de seguridad hacia los sistemas de detección de intrusiones de alto nivel, paredes cortafuego (firewalls) y otras defensas sofisticadas. Sin embargo, muchos olvidan que, por más que intenten securizar un sitio Web, los puntos vulnerables integrados en la estructura misma de Internet continúan dejándoles expuestos al riesgo, aunque están fácilmente disponibles medios que permiten eliminar los puntos de vulnerabilidad más corrientes.
Funciones sencillas como la capacidad de solicitar una conexión entre dos ordenadores pueden dar lugar a aberturas que son culpables de aproximadamente un 15% de los ataques que se registran cada año, según la organización IETF (Internet Engineering Task Force). Esto se debe a que el protocolo TCP/IP no ha cambiado mucho desde los días en que fue aceptado como el protocolo de transporte de la red Arpanet. El protocolo IP (Internet Protocol) fue creado originalmente por una comunidad de personas muy unidas entre sí, con un grado importante de confianza interna entre ellos. Las aplicaciones IP asumen implícitamente que deben confiar en las personas.
Los ataques de denegación de servicio y el robo de datos utilizando funciones del protocolo TCP/IP pueden impedirse utilizando funciones de seguridad que es posible establecer en la mayoría de los sistemas operativos de servidores, filtros incorporados en routers o una nueva versión de IP (IPV6) que es un estándar para el protocolo IPSec de infraestructura de clave pública (PKI).
Sin embargo, con frecuencia no se utilizan estas medidas de seguridad.
Ataques
Los ataques tradicionales contra TCP/IP son de dos clases: denegación de servicio y robo de datos, pero existen docenas de tipos de ataques contra TCP/IP que pueden resultar tremendamente devastadores.
Ataques Smurf: Este tipo de ataque de denegación-de-servicio aprovecha la capacidad de la mayoría de los servidores para transmitir peticiones a muchas otras máquinas al mismo tiempo. El atacante crea un dirección IP legítima y después transmite peticiones de respuesta a la dirección de la víctima a todos los servidores de la red. Como los paquetes parecen direcciones legítimas procedentes de una dirección conocida, todos los sistemas en la red de amplificación responden a esa dirección, desbordando a la máquina legítima y causando una denegación de servicio.
Desbordamientos SYN: Son ataques de denegación de servicio en los que el atacante utiliza direcciones IP falsificadas para enviar múltiples peticiones de conexión (SYN) al objetivo de destino. El sistema objetivo envía entonces confirmaciones y espera respuestas. Como las direcciones IP falsificadas no pertenecen a ninguna máquina verdadera, no hay respuesta, dejando la conexión abierta y bloqueando el tráfico legítimo.
Manipulación de ruta de origen: Un ataque de denegación de servicio y robo de datos en el que un atacante manipula entradas de tabla de routing (generalmente en el router del borde de la red) para redirigir tráfico destinado a un sitio Web a otro sitio diferente, donde la información puede ser interceptada, o a ninguna parte.
Bloqueo y filtrado
Desactivar la “transmisión” en el router puede permitir bloquear los ataques Smurf. Poner fin a peticiones SYN incompletas a intervalos de tres segundos o menos permite generalmente impedir desbordamientos SYN. Y el filtrado de paquetes IP puede detectar intentos de sustracción de datos. En realidad, la protección TCP/IP es una cuestión de filtrado, según los expertos. Muchas víctimas de ataques de denegación-de-servicio distribuidos están ahora filtrando el tráfico en sus proveedores de servicios Internet en lugar de esperar a que el desbordamiento afecte a sus propias máquinas. Algunos han configurado también sus sistemas operativos para poner fin a las peticiones SYN con mayor rapidez, y están cambiando la dirección IP de un servidor que está bajo un ataque de denegación de servicio con el fin de ponerlo fuera de peligro. Aunque estas tecnologías existen de forma casi generalizada, sorprende que las empresas no las utilicen como habría de esperarse.
Parte de estos problemas podrían solucionarse migrando al protocolo IPV6, pero no se trata de un movimiento sencillo: el upgrade a IPV6 presenta el clásico problema del huevo y la gallina, ya que todo el mundo tendría que realizar el upgrade a IPV6 al mismo tiempo. Los que migren primero perderán el acceso a partes de Internet a causa de problemas de compatibilidad.
Sin embargo, en algún momento no muy lejano, habrá un motivo comercial ineludible para realizar un upgrade a IPV6: la necesidad de más direcciones IP. Aunque IPV4 puede soportar 4.300 millones de direcciones, IPV6 puede soportar una cantidad casi infinita de ellas. Y con la llegada masiva de dispositivos Internet inalámbricos, pronto hará explosión la necesidad de un mayor espacio para direcciones. Con las direcciones IP de mayor tamaño en el estándar V6, habría suficientes direcciones IP para cada una de las moléculas del planeta.
Paralelamente harán explosión la necesidad de un filtrado más profundo y la seguridad IP. De lo contrario, cualquier dispositivo conectado a Internet, incluyendo la nevera de la abuela, podría realizar ataques de hacking con éxito al mundo entero.
Números de tarjeta de crédito sustraídos, sistemas gubernamentales atacados y otros asaltos online de alto perfil han situado a muchos usuarios a la defensiva y han atraído la atención de los directores de seguridad hacia los sistemas de detección de intrusiones de alto nivel, paredes cortafuego (firewalls) y otras defensas sofisticadas. Sin embargo, muchos olvidan que, por más que intenten securizar un sitio Web, los puntos vulnerables integrados en la estructura misma de Internet continúan dejándoles expuestos al riesgo, aunque están fácilmente disponibles medios que permiten eliminar los puntos de vulnerabilidad más corrientes.
Funciones sencillas como la capacidad de solicitar una conexión entre dos ordenadores pueden dar lugar a aberturas que son culpables de aproximadamente un 15% de los ataques que se registran cada año, según la organización IETF (Internet Engineering Task Force). Esto se debe a que el protocolo TCP/IP no ha cambiado mucho desde los días en que fue aceptado como el protocolo de transporte de la red Arpanet. El protocolo IP (Internet Protocol) fue creado originalmente por una comunidad de personas muy unidas entre sí, con un grado importante de confianza interna entre ellos. Las aplicaciones IP asumen implícitamente que deben confiar en las personas.
Los ataques de denegación de servicio y el robo de datos utilizando funciones del protocolo TCP/IP pueden impedirse utilizando funciones de seguridad que es posible establecer en la mayoría de los sistemas operativos de servidores, filtros incorporados en routers o una nueva versión de IP (IPV6) que es un estándar para el protocolo IPSec de infraestructura de clave pública (PKI).
Sin embargo, con frecuencia no se utilizan estas medidas de seguridad.
Ataques
Los ataques tradicionales contra TCP/IP son de dos clases: denegación de servicio y robo de datos, pero existen docenas de tipos de ataques contra TCP/IP que pueden resultar tremendamente devastadores.
Ataques Smurf: Este tipo de ataque de denegación-de-servicio aprovecha la capacidad de la mayoría de los servidores para transmitir peticiones a muchas otras máquinas al mismo tiempo. El atacante crea un dirección IP legítima y después transmite peticiones de respuesta a la dirección de la víctima a todos los servidores de la red. Como los paquetes parecen direcciones legítimas procedentes de una dirección conocida, todos los sistemas en la red de amplificación responden a esa dirección, desbordando a la máquina legítima y causando una denegación de servicio.
Desbordamientos SYN: Son ataques de denegación de servicio en los que el atacante utiliza direcciones IP falsificadas para enviar múltiples peticiones de conexión (SYN) al objetivo de destino. El sistema objetivo envía entonces confirmaciones y espera respuestas. Como las direcciones IP falsificadas no pertenecen a ninguna máquina verdadera, no hay respuesta, dejando la conexión abierta y bloqueando el tráfico legítimo.
Manipulación de ruta de origen: Un ataque de denegación de servicio y robo de datos en el que un atacante manipula entradas de tabla de routing (generalmente en el router del borde de la red) para redirigir tráfico destinado a un sitio Web a otro sitio diferente, donde la información puede ser interceptada, o a ninguna parte.
Bloqueo y filtrado
Desactivar la “transmisión” en el router puede permitir bloquear los ataques Smurf. Poner fin a peticiones SYN incompletas a intervalos de tres segundos o menos permite generalmente impedir desbordamientos SYN. Y el filtrado de paquetes IP puede detectar intentos de sustracción de datos. En realidad, la protección TCP/IP es una cuestión de filtrado, según los expertos. Muchas víctimas de ataques de denegación-de-servicio distribuidos están ahora filtrando el tráfico en sus proveedores de servicios Internet en lugar de esperar a que el desbordamiento afecte a sus propias máquinas. Algunos han configurado también sus sistemas operativos para poner fin a las peticiones SYN con mayor rapidez, y están cambiando la dirección IP de un servidor que está bajo un ataque de denegación de servicio con el fin de ponerlo fuera de peligro. Aunque estas tecnologías existen de forma casi generalizada, sorprende que las empresas no las utilicen como habría de esperarse.
Parte de estos problemas podrían solucionarse migrando al protocolo IPV6, pero no se trata de un movimiento sencillo: el upgrade a IPV6 presenta el clásico problema del huevo y la gallina, ya que todo el mundo tendría que realizar el upgrade a IPV6 al mismo tiempo. Los que migren primero perderán el acceso a partes de Internet a causa de problemas de compatibilidad.
Sin embargo, en algún momento no muy lejano, habrá un motivo comercial ineludible para realizar un upgrade a IPV6: la necesidad de más direcciones IP. Aunque IPV4 puede soportar 4.300 millones de direcciones, IPV6 puede soportar una cantidad casi infinita de ellas. Y con la llegada masiva de dispositivos Internet inalámbricos, pronto hará explosión la necesidad de un mayor espacio para direcciones. Con las direcciones IP de mayor tamaño en el estándar V6, habría suficientes direcciones IP para cada una de las moléculas del planeta.
Paralelamente harán explosión la necesidad de un filtrado más profundo y la seguridad IP. De lo contrario, cualquier dispositivo conectado a Internet, incluyendo la nevera de la abuela, podría realizar ataques de hacking con éxito al mundo entero.
