Los cambios en la configuración del Cortafuegos sólo se aplicarán después reiniciar el componente Anti-Hacker.
12.8. Configuración del sistema
detector de intrusiones
Todos los ataques de red actualmente conocidos que puedan poner en peligro su equipo aparecen en las firmas de amenazas y se actualizan al mismo tiempo (ver Capítulo 15 pág. 215). El módulo Detector de intrusiones del componente Anti-Hacker utiliza esta lista de ataques posibles.
El detector de intrusiones rastrea señales de actividad típicas de ataques de red y si detecta algún intento contra su equipo, bloquea toda la actividad de red entre el equipo atacante y el suyo durante una hora. Una advertencia aparece en pantalla informando del intento de ataque de red, con información específica acerca del equipo atacante.
Es posible configurar el sistema detector de intrusiones. Para ello:
1. Abra la ventana de configuración del componente Anti-Hacker. 2. Haga clic en Configuración en la sección Detector de intrusiones. 3. En la ventana abierta (ver fig. 52), decida si necesita bloquear un
equipo atacante y, en su caso, por cuánto tiempo. El tiempo de bloqueo predeterminado es de 60 minutos. Para aumentar o disminuir el tiempo de bloqueo, modifique el valor en el campo asociado Bloquear el
intruso durante ... min. Si desea cancelar el bloqueo del tráfico de red
originado por el equipo atacante contra su equipo, desactive esta casilla.
Error! Reference source not found. 169
12.9. Lista de ataques de red
detectados
Existe una multitud de ataques de red diferentes que aprovechan las vulnerabilidades del sistema operativo o de cualquier software, tanto del sistema como de otro tipo, que tenga instalado en su equipo. Los malhechores perfeccionan constantemente sus métodos de ataque, aprenden cómo robar información confidencial, hacer que el sistema deje de funcionar o tomar el control de un equipo para incluirlo dentro de una red fantasma desde la que llevar a cabo nuevos ataques.
Para garantizar la seguridad de su equipo, conviene conocer los tipos de ataques de red con los que puede encontrarse. Los ataques de red conocidos pueden dividirse en tres grupos principales:
• Rastreo de puertos: esta amenaza no constituye un ataque propiamente dicho, pero suele anticiparlo, ya que es una de las formas más comunes de obtener información acerca de un equipo remoto. Los puertos UDP/TCP utilizados por programas de red son analizados para determinar su estado (cerrados o abiertos).
Los rastreos de puertos permiten a los piratas conocer los tipos de ataques a los que un sistema es vulnerable, o no. Por otra parte, la información recuperada por el rastreo servirá al malhechor para conocer el sistema operativo utilizado por el equipo remoto. Esto a su vez restringe el número de ataques potenciales y, en proporción, el tiempo necesario para ejecutarlos. También ayuda al pirata en sus intentos de aprovechar ciertas vulnerabilidades particulares del sistema operativo. • Ataques DoS (Denial of Service, denegación de servicio): son
ataques que causan inestabilidad o el bloqueo completo del equipo atacado. Estos ataques pueden dañar o alterar los recursos de información atacados y dejarlos inaprovechables.
Existen dos tipos básicos de ataques DoS:
• El envío de paquetes especialmente diseñados que no están previstos por el equipo objetivo, por lo que el sistema se reinicia o bloquea
• El envío hacia el equipo objetivo de numerosos paquetes dentro un mismo intervalo de tiempo, de forma que al no poder procesarlos, el sistema agota sus recursos.
Los ataques siguientes son ejemplos comunes dentro de este tipo de ataques:
• Ping de la muerte: consiste en el envío de un paquete ICMP con un tamaño superior al máximo de 64 Kb. Este ataque consigue bloquear algunos sistemas operativos.
• Land: envía una petición de apertura de puerto, con el fin de establecer la autoconexión de su equipo consigo mismo. Se trata de provocar un bucle en el equipo, que sobrecarga el procesado y termina bloqueando ciertos sistemas operativos. • ICMP Flood: envía un gran número de paquetes ICMP a su
equipo. El ataque obliga al equipo a responder a cada paquete entrante, con lo que el procesador queda seriamente sobrecargado.
• SYN Flood: envía una gran cantidad de peticiones al equipo, con el fin de establecer una falsa conexión. El sistema reserva un cierto número de recursos para cada una de estas conexiones y, cuando los recursos del sistema quedan completamente agotados, el equipo deja de atender a los siguientes intentos de conexión.
• Ataques por intrusión, que pretenden tomar el control de su equipo. Es el tipo de ataque más peligroso, ya que de tener éxito, el agresor toma el control completo de su equipo.
Los piratas suelen utilizar este ataque para obtener información confidencial desde un equipo remoto (por ejemplo, números de tarjeta de crédito, contraseñas) o para utilizar el sistema con fines malintencionados (por ejemplo, incluir el sistema dentro de una red fantasma o convertirlo en plataforma para nuevos ataques).
Este grupo de ataques es también el que contiene más variantes en comparación con los demás. Pueden dividirse en tres subgrupos, en función del sistema operativo: Ataques contra sistemas Microsoft Windows, Unix y un grupo de servicios de red que se ejecutan en cualquier sistema operativo.
Los tipos de ataques más comunes que utilizan las herramientas de red del sistema operativo son:
• Ataques por desbordamiento de búfer: tipo de vulnerabilidad del software que se manifiesta cuando no éste no controla suficientemente datos en cantidades masivas. Es uno de los tipos de vulnerabilidad más antiguos y el que se presta con más facilidad a los abusos de los piratas.
• Ataques por cadenas de formato: esta vulnerabilidad se manifiesta cuando no existe control suficiente de los valores de entrada en funciones de E/S como printf(), fprintf(), scanf() y otras existentes de la biblioteca C estándar. Cuando un
Error! Reference source not found. 171
programa tiene esta vulnerabilidad, un pirata consigue tomar el control completo de un sistema, mediante el envío de peticiones creadas con técnicas especiales.
El Sistema detector de intrusiones analiza y bloquea automáticamente los intentos de aprovechar las vulnerabilidades de las herramientas de red más comunes (FTP, POP3, IMAP) cuando se ejecutan en el equipo del usuario (sección 12.7 en la página 167).
Ataques de Microsoft Windows: aprovechan las vulnerabilidades del
software instalado en el equipo (por ejemplo, programas como Microsoft SQL Server, Microsoft Internet Explorer, Messenger y otros componentes del sistema, a los que es posible tener acceso a través de la red, por ejemplo, DCom, SMB, Wins, LSASS, IIS5).
El componente Anti-Hacker protege su equipo contra ataques que utilizan las siguientes vulnerabilidades software conocidas (utilizamos para esta lista el sistema de numeración de Microsoft Knowledge Base ):
(MS03-026) DCOM RPC Vulnerability(Lovesan worm) (MS03-043) Microsoft Messenger Servicio Buffer Overrun
(MS03-051) Microsoft Frontpage 2000 Server Extensions Buffer Overflow (MS04-007) Microsoft Windows ASN.1 Vulnerability
(MS04-031) Microsoft NetDDE Servicio Unauthenticated Remote Buffer Overflow
(MS04-032) Microsoft Windows XP Metafile (.emf) Heap Overflow
(MS05-011) Microsoft Windows SMB Client Transaction Response Handling
(MS05-017) Microsoft Windows Message Queuing Buffer Overflow Vulnerability
(MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow (MS04-045) Microsoft Windows Internet Naming Service (WINS) Remote
Heap Overflow
(MS05-051) Microsoft Windows Distributed Transaction Coordinator Memory Modification
Existen, además, ataques por intrusión aislados que utilizan secuencias de comandos malintencionadas, procesadas por Microsoft Internet Explorer y gusanos del tipo Helkern. Básicamente, este tipo de ataques procede enviando un tipo especial de paquetes UDP a un equipo remoto, con el fin de que ejecute código nocivo.
Recuerde que a diario, cuando se conecta a la red, su equipo corre el riesgo de ser atacado por un pirata. Para garantizar la seguridad de su equipo, habilite el componente Anti-Hacker cuando utiliza Internet y actualice regularmente las firmas de ataques utilizadas por los piratas (ver 15.3.2 pág. 221).
12.10. Bloqueo y autorización de la
actividad de red
Si el nivel de protección del cortafuegos está definido a Modo aprendizaje, cada vez que se produce una conexión de red y no ha sido creada una regla, aparece una notificación especial en pantalla.
Por ejemplo, cuando abre Microsoft Outlook, éste descarga el correo desde un servidor Exchange remoto. Para mostrar la bandeja de entrada, el programa se conecta al servidor de correo. El componente Anti-Hacker rastrea siempre este tipo de actividad de red. Se mostrará un mensaje en pantalla (ver fig. 53) que contiene:
• Descripción de la actividad: nombre de la aplicación y características abreviadas de la conexión iniciada incluyendo, generalmente, el tipo de conexión, el puerto local desde el cual se inicia y la dirección de conexión. Haga clic en cualquier punto de las explicaciones para obtener información detallada acerca de actividad de red. La ventana abierta contiene información sobre la conexión, el proceso que la inició y el desarrollador de la aplicación.
• Acción: serie de operaciones que el componente Anti-Hacker realizará acerca de la actividad de red detectada. Sobre estas acciones debe tomar una decisión.
Error! Reference source not found. 173
Figura 53. Notificación de actividad de red
Examine con atención la información acerca de la actividad de red y sólo entonces seleccione las acciones que deba tomar el componente Anti-Hacker. Le recomendamos aplicar estos consejos antes de tomar una decisión:
1. Antes de hacer nada, decida si autoriza o bloquea la actividad de red. Es posible que en esta situación pueda aprovechar el conjunto de reglas ya creadas para esta aplicación o paquete (suponiendo que existan). Para ello, utilice el vínculo Modificar las reglas. A continuación, se abre una ventana con la lista completa de reglas creadas para la aplicación o el paquete de datos.
2. Decida si la acción debe aplicarse sólo esta vez o automáticamente cada vez que se detecta esta actividad.
Para realizar la acción sólo esta vez:
desactive Crear una regla y haga clic en la acción, por ejemplo
Autorizar.
Para realizar la acción seleccionada automáticamente cada vez que se produce esta actividad en su equipo,