!!..OrBi..!!
BLoG De SeGuRiD@D

Supuesta vulnerabilidad en el protocolo IP pone en riesgo la web

By OrBi
Parece que el problema surgió durante el escaneo de varios millones de sitios en Internet.
Alguno de estos tests (realizados con la herramienta Unicornscan) hacía
que los sistemas dejaran de responder, y tras una investigación se
concluyó que existía un problema en todas las implementaciones de la
pila TCP/IP. Aunque afecta de distinta manera, se supone que todas son
vulnerables y que todavía no han encontrado ningún dispositivo que no
puedan bloquear.

Los investigadores han conocido este problema desde 2005. Según dicen,
no han podido encontrar por el momento una solución válida, pero tampoco
quieren difundir los detalles por el peligro que supondría el
conocimiento público. Advierten que, incluso con IPv6 el problema podría
ser incluso más grave.

Darán más detalles sobre el problema el 17 de octubre, durante una
conferencia en Helsinki. Afirman tener una herramienta llamada
sockstress capaz de "tumbar" cualquier dispositivo. Aunque la
información es confusa (y habría que tomarla con cautela mientras no se
tengan detalles), parece que el problema está directamente relacionado
con la técnica de las "SYN cookies". Se utilizan precisamente para
evitar que un atacante pueda realizar una inundación de paquetes SYN.
Básicamente se "recuerda" con esta cookie a quien ha realizado la
conexión y se evita que se falsee la dirección y se perpetre el conocido
ataque (abriendo conexiones a medio realizar que consumen memoria y
agotando los recursos del dispositivo).

Es la tercera gran vulnerabilidad del año que pone en peligro a toda la
Red. En primer lugar fue Kaminsky con su problema DNS. El 8 de julio
todos los grandes y pequeños fabricantes parcheaban sus sistemas DNS.
Kaminsky había descubierto meses antes un fallo que permitía falsificar
cualquier IP asociada a un dominio. Poco después en agosto, durante la
Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet,
cuando Tony Kapela y Alex Pilosov demostraron una nueva técnica que
permite interceptar el tráfico de Internet a una escala global.
Cualquiera con un router BGP podría interceptar el tráfico de cualquier
gran nodo y devolverlo (modificado o no) de forma transparente.





Y vuelve a ocurrir, repitiendo prácticamente el mismo escenario. En los
tres casos se trata de un problema de diseño de un protocolo creado
muchos años antes. En los tres casos parece haber una demostración
empírica de un problema conocido pero cuyas posibilidades o puesta en
práctica se suponía imposible hasta la fecha... Incluso el hecho de
revelar detalles en una conferencia posterior con la que se crea una
gran expectación. Como le ocurrió a Kamisky, es posible que todos los
detalles del problema salgan a la luz antes de lo esperado si algún
investigador decide juntar todas las pistas ofrecidas por Outpost 24.

Es más que posible que aunque los detalles fueran conocidos desde hace 3
años, haya sido precisamente lo ocurrido con el fallo DNS y con BGP lo
que haya animado a los investigadores a darle publicidad precisamente
ahora. Kaminsky demostró que se puede realizar una actualización masiva
y coordinada entre todos los grandes fabricantes y mantener en secreto
los detalles de un grave problema (siempre que no se divulgue su
existencia).

Nos encontramos posiblemente también ante una nueva era en la Red en la
que, a través de estos graves errores puestos sobre la mesa, estamos
cuestionando su sostenibilidad tal y como la conocemos. Usamos
protocolos diseñados, cuando menos, hace 20 y 30 años. Los ingenieros
estaban mucho más sorprendidos por el hecho de que la Red simplemente
funcionase que preocupados por la seguridad. Hacer que un trozo concreto
de información digital concreta llegase de un punto a otro del planeta
era algo demasiado fantástico como para complicarlo previniendo si
alguien la iba a podía modificar, alterar u obtener de forma ilegítima.


Posteriormente, sobre estos débiles pilares, se ha construido algo
muchísimo más complejo y unido millones de personas y dispositivos con
muy distintas motivaciones. Para abarcar toda esta explosión, se ha ido
parcheando sobre la marcha un monstruo gigante con pies de barro que, a
la vista de estos tres recientes acontecimientos (y de otras
preocupaciones de largo recorrido, como el malware ganando la batalla a
los antivirus), necesita una clara revisión y puesta a punto.

 

Creen que en 2011 se agotarán las direcciones web

By OrBi
La OCDE avisó en varias ocasiones el peligro de extinción que corren los dominios de internet por la progresiva masificación del mercado. De continuar la tendencia actual, en 2011 no habrá más direcciones libres
Así, los internautas o los sistemas recientes como los móviles no podrían conectarse a internet. La organización ha alertado a los Gobiernos para que emigren al iPv6.

Según un informe de la Organización para la Cooperación y Desarrollo Económico hay que abandonar el protocolo iPv4 para emigrar al iPv6.

El IPv4 usa direcciones de 32 bits y tiene capacidad para generar unos 4.294 millones de direcciones únicas. Y es que según publicaba, en 2008 apenas el 85% de las mismas ya ha sido reservado. El salto al iPv6, cuyas direcciones tienen una longitud de 128 bits.

Por este motivo la OCDE anima a los gobiernos a impulsar la emigración al nuevo protocolo y animen a las empresas a que se decidan por éste, poco utilizado hasta ahora.

Actualmente, en la red conviven los dos protocolos, que son incompatibles.

Pero una gran parte de los servicios y proveedores de internet no están disponibles para iPv6 por lo que quien quiere emplearlo ha de recurrir a sistemas de traducción que permiten a las máquinas seguir hablándose al margen del protocolo empleado

Muchas empresas registran varios dominios, al final terminan usando simplemente uno, y el resto permanece inactivo.

Muchos empresarios utilizan esta estrategia para evitar que la competencia les arrebate sus identidades corporativas. La OCDE, asegura que el futuro de internet no se podrá sostener, y sólo podría sustentarse con un sistema que ofrezca un catálogo enorme de nuevas direcciones.
 

IPSEC... (Internet Protocol security)

By OrBi
Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.

Las redes se diseñan normalmente para impedir el acceso no autorizado a datos confidenciales desde fuera de la intranet de la empresa mediante el cifrado de la información que viaja a través de líneas de comunicación públicas. Sin embargo, la mayor parte de las redes manejan las comunicaciones entre los hosts de la red interna como texto sin formato. Con acceso físico a la red y un analizador de protocolos, un usuario no autorizado puede obtener fácilmente datos privados.

IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro.

 

Security Association (SA)

By OrBi

una Asociacion De Seguridad (SA) es una clase de conexion que permite establecer los servicios de seguridad del trafico. En cada SA los servicios de seguridad pueden hacer uso de (AH o ESP) pero no de ambos, para utilizar los dos se debera establecer dos SA.

una SA es unìvocamente identificada por tres valores:

  • SPI (Index parameter security)

  • direccion IP destino

  • identificador de protocolo de seguridad (AH o ESP)

se puede definir dos tips de SA:

  • MODO TRASPORTE: se trata de una SA entre dos host

  • MODO TUNEL: se trata de una SA aplicada a un tunel IP; en este modo existen dos encabezados IP, uno es el externo que especifica los datos para llegar al destino del tunel, y otro interno a este es el que detalla el destino final.

un host debe soportar ambos modos;un gateway digital solo soporta modo tunel.

 

Authentication Header (AH)

By OrBi

Es el protocolo que proporciona integridad, autenticación y no repudio si se eligen los algoritmos criptográficos apropiados; AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger opcionalmente contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el tránsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificación de la cabecera. AH opera directamente por encima de IP, utilizando el protocolo IP número 51. Un cabecera AH mide 32 bits.

 

Encapsulating Security Payload (ESP)

By OrBi

Es el protocolo que proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad; El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP también soporta configuraciones de sólo cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está altamente desaconsejado porque es inseguro Al contrario que con AH, la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger). ESP opera directamente sobre IP, utilizando el protocolo IP número 50.

 

Internet Key Exchange (IKE)

By OrBi
Es un protocolo usado para establecer una Asociacion de seguridad (SA) en el protocolo IPsec; Supone una alternativa al intercambio manual de claves. Su objetivo es la negociación de una Asociación de Seguridad para IPSEC. Permite, además, especificar el tiempo de vida de la sesión IPSEC, autenticación dinámica de otras máquinas, etc.

 

OpenSSL

By OrBi
OpenSSL es un proyecto de software desarrollado por los miembros de la comunidad Open Source para libre descarga y está basado en SSLeay desarrollado por Eric Young y Tim Hudson. Consiste en un robusto paquete de herramientas de administración y librerías relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad , como el Transport Layer Security (TLS). Este paquete de software es importante para cualquiera que esté planeando usar cierto nivel de seguridad en su máquina con un sistema operativo Libre basado en GNU/Linux. OpenSSL también nos permite crear certificados digitales que podremos aplicar a nuestro servidor, por ejemplo Apache.
 

Secure HyperText Transfer Protocol (S-HTTP)

By OrBi
El protocolo S-HTTP fue desarrollado por Enterprise Integration Technologies (EIT). Al igual que SSL, permite tanto el cifrado como la autenticación digital. Sin embargo, a diferencia de SSL, S-HTTP es un protocolo de nivel de aplicación, es decir, que extiende el protocolo HTTP por debajo.

La propuesta de S-HTTP sugiere una nueva extensión para los documentos, .shttp, y el siguiente nuevo protocolo: Secure * Secure-HTTP/1.1

Usando GET, un cliente solicita un documento, le dice al servidor qué tipo de cifrado puede manejar y le dice también dónde puede encontrar su clave pública. Si el usuario con esa clave está autorizado a acceder al documento, el servidor responde cifrando el documento y enviándoselo al cliente, que usará su clave secreta para descifrarlo y mostrárselo al usuario.

Las negociaciones entre el cliente y el servidor tienen lugar intercambiando datos formateados. Estos datos incluyen una variedad de opciones de seguridad y algoritmos a utilizar. Las líneas usadas en las cabeceras incluyen:

* Dominios privados S-HTTP, que especifica la clase de algoritmos de cifrado así como la forma de encapsulamiento de los datos (PEM o PKCS-7).

* Tipos de certificado S-HTTP, que especifica el formato de certificado aceptable, actualmente X.509.

* Algoritmos de intercambio de clave S-HTTP, que indica los algoritmos que se usarán para el intercambio de claves (RSA, fuera de bando, dentro de banda y Krb).

* Algoritmos de firmas S-HTTP, que especifica el algoritmo para la firma digital (RSA o NIST-DSS).

* Algoritmos de resumen de mensaje S-HTTP, que identifica el algoritmo para proporcionar la integridad de los datos usando funciones de hash (RSA-MD2, RSA-MD5 o NIST-SHS).

* Algoritmos de contenido simétrico S-HTTP, que especifica el algoritmo simétrico de cifrado en bloque usado para cifrar los datos:

o DES-CBC
o DES-EDE-CBC
o DES-EDE3-CBC
o DESX-CBC
o IDEA-CFB
o RC2-CBC
o RC4
o CDMF

* Algoritmos de cabecera simétrica de S-HTTP, que proporciona una lista del cifrado de clave simétrica utilizada para cifrar las cabeceras.

o DES-ECB
o DES-EDE-ECB
o DES-EDE3-ECB
o DESX-ECB
o IDEA-ECB
o RC2-ECB
o CDMF-ECB

* Mejoras de la intimidad de S-HTTP, que especifica las mejoras en la intimidad asociadas con los mensajes, como firmar, cifrar o autenticar.

Uno de los métodos de cifrado disponible en S-HTTP es el popular PGP.