Resultados de una evaluación de la seguridad del Transmission Control Protocol (TCP) Fernando Gont proyecto realizado para UK Centre for the Protection.

Slides:



Advertisements
Presentaciones similares
BizAgi - Business Agility
Advertisements

Resultados de un análisis de seguridad de los protocolos TCP e IP Fernando Gont ekoparty 2008 Octubre 2, 2008 Somewhere only we know (*), Argentina © 2004.
Resultados de un análisis de seguridad de los protocolos TCP e IP
Resultados de un análisis de seguridad de los protocolos TCP e IP Fernando Gont (proyecto de investigación realizado para UK CPNI) 4ta Jornada de Seguridad.
Desarrollo de Sitios Web
1 LACNIC V – 18 / 20 de noviembre - La Habana, Cuba Proceso de Desarrollo de Políticas Germán Valdez Director Políticas LACNIC.
Cuarto Foro Latinoamericano de IPv6 – FLIP-6 Monitoreo en IPv6 LACNIC IX – FLIP6 Ciudad de Guatemala 24 de Mayo de 2006.
Tercer Seminario de Bosques y Cambio Climático CONCLUSIONES Valladolid, 25 de septiembre de 2008.
Vamos a trabajar en la construcción de un proyecto…
Evaluaciones de Sistemas de Administración de la Seguridad SMSA
Resultados de un análisis de seguridad de las especificaciones de la IETF de los protocolos TCP e IP Fernando Gont UTN/FRH, Argentina proyecto realizado.
METODO DE ANALISIS DE FALLAS
Capítulo 20: TCP Servicio de transporte confiable
Servicios Web.
Para qué necesitabais esa información y concretar qué es lo que sabíais sobre el tema Vamos a aprender a buscar información útil en Internet.
Resultados de un análisis de seguridad de IPv6
DECISIONES DE MERCADOTECNIA “Proceso de la toma de decisiones”
DIRECCIÓN DE EDUCACIÓN SUPERIOR PEDAGÓGICA
Oscar Navarrete J. Jorge Gutiérrez A.
m.ar DESAFIANDO CERTEZAS Prof. De Educación Primaria y de Educación Especial.
Evaluación de Productos
Resultados de una evaluación de seguridad del Protocolo de Internet (IP) Fernando Gont proyecto realizado para UK Centre for the Protection of National.
Seguridad del protocolo HTTP
Denisse Cayetano – Christian Rivadeneira
Entrada de bloque Primera sesión (ver dosificación)
Seminario-Taller Como escribir, presentar y publicar resultados científicos 07, 08 y 09 de Febrero, 2011.
Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid
Aspectos básicos de networking: Clase 5
WEBQuest OBJETOS VIRTUALES DE APRENDIZAJE
MAIRA LUCIA ORTIZ CAMILO ORTEGON DIAZ CRISTIAN CAMILO VARGAS
Información general del proyecto Nombre del proyecto Nombre de la organización Nombre del moderador.
PROTOCOLOS SNMP «VICTOR RAUL HAYA DE LA TORRE »
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
Documento de proyecto. Tema Enuncia de manera clara y precisa el objetivo del proyecto o la propuesta que contendrá la producción de materiales educativos.
Correo electrónico Internet
CMMI Medición & Análisis GRUPO 1 Larissa Hererra Miguel Ortiz Isabel Blank Junio 2005.
(Organización y Manejo de Archivos)
Implementación, Control y Cierre Lecciones Aprendidas
Juan Antonio del Valle Flores
Regular process for global reporting and assessment of the state of the marine environment, including socio-economic aspects Criterios para el manejo de.
POR: SANTIAGO TORO RENDON LUIS ANGEL NEGRETE HERNANDEZ.
Tercer evento de seguridad en redes para América Latina y el Caribe LACNIC XI Salvador/Bahia - Brasil.
El Proceso de Toma deDecisiones. El Proceso de Toma deDecisiones.
Seguridad DNS. Javier Rodríguez Granados.
S EGURIDAD DNS - V ULNERABILIDADES, AMENAZAS Y ATAQUES. - M ECANISMOS DE SEGURIDAD. Luis Villalta Márquez.
HERRAMIENTAS DE SEGURIDAD
CIGRAS 2012 Incidentes de Seguridad Informática en las Empresas CSIRT: un modelo de respuesta Dr. Ing. Gustavo Betarte
Protocolo DHCP.. DHCP es un protocolo estándar propuesto. Su estado es electivo. Las especificaciones actuales de DHCP se pueden encontrar en el RFC 1541.
Maestría en Informática Aplicada a la Educación
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
Ciclo de vida de un sistema
File Transfer Protocol.
Jorge De Nova Segundo. SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo del nivel de aplicación.
Introducción al proceso de verificación y validación.
Manejo de requerimientos.
GENERACION DE WINDOWS PROFESOR: Fernando Mejía. ALUMNO: Luis Eduardo Valenzuela Hidalgo.
TEMA: RESPONSABILIDAD DE ERRORES
Asesoría Relacionada a la Seguridad. Balance de Seguridad.
Proceso de desarrollo de Software
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
Los proyectos de Ingeniería
ANALISIS SEGURO DE TRABAJO (AST)
Marco de Trabajo para Indexación, Clasificación y Recopilación Automática de Documentos Digitales Javier Caicedo Espinoza Gonzalo Parra Chico.
TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico de Morelia Departamento de Sistemas y Computación HTTP/2.0 Febrero, 2016 M.C. Juan Carlos Olivares.
Conalep 150 Tehuacán inmi 309 soma
Roles de los diferentes análisis de sistemas de información Fonseca Nava Angélica.
Evaluación como disciplina Fundamento de la evaluación Profesora : Gladys Contreras S. Integrantes : Saray Cisternas Carol Saavedra
Internet Infranet Protocolo World Wide Web Hipertexto Página web Sitio web Protocolo http Código HTML Editores HTML Portal Url Navegadores: A. Internet.
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II E.I. L.E. Prof. Ramón Castro Liceaga XI. SEGURIDAD EN SERVIDORES DE NOMBRE (DNS).
1 Estudios Sectoriales Accesibilidad web. 2 Á mbito de los estudios Las webs objeto del an á lisis de estos estudios pertenecen a los siguientes Sectores:
Transcripción de la presentación:

Resultados de una evaluación de la seguridad del Transmission Control Protocol (TCP) Fernando Gont proyecto realizado para UK Centre for the Protection of National Infrastructure 4to Evento de Seguridad en Redes de América Latina y el Caribe, LACNIC XII Ciudad de Panamá, Panamá. Mayo 24-29, 2009

Enunciado del problema Durante los últimos veinte años, el descubrimiento de vulnerabilidades en implementaciones de los protocolos TCP/IP, y en los propios protocolos, han llevado a la publicación de un gran número de reportes de vulnerabilidad por parte de fabricantes y CSIRTs. Si bien hubo bastante trabajo en el área de seguridad de TCP, el mismo siempre estuvo esparcido en un sinnúmero de documentos y sitios web, muchos de los cuales proponen contramedidas a las mencionadas vulnerabilidades, sin realizar un análisis minucioso de las implicancia de las mismas sobre la interoperabilidad de los protocolos. Asimismo, el trabajo de la comunidad en esta área no ha reflejado cambios en las especificaciones correspondientes de la IETF. Es conocido en al comunidad que no puede realizarse una implementación segura del protocolo TCP a partir de las especificaciones de la IETF. Sin embargo, nunca se había hecho un esfuerzo en cambiar esta situación.

Descripción del proyecto En los últimos años, UK CPNI (Centre for the Protection of National Infrastructure) – antes UK NISCC (National Infrastructure Security Co- ordination Centre) – se propuso llenar este vacío. El objetivo fue producir documentos que sirvieran de complemento a las especificaciones de la IETF, con el fin de que, mínimamente, nuevas implementaciones no posean vulnerabilidades ya conocidas, y que las implementaciones existentes puedan mitigar estas vulnerabilidades. Finalmente, se esperaba llevar este material al ámbito de la Internet Engineering Task Force (IETF), para promover cambios en los estándares correspondientes.

Algunos resultados En febrero de 2009 CPNI publicó el documento “Security Assessment of the Transmission Control Protocol (TCP)” – consistente en 130 paginas, que incluyen los resultados del análisis de seguridad del protocolo TCP. El mismo se encuentra disponible en: assessment-TCP.aspx assessment-TCP.aspx Seguidamente, publicamos el mismo material como IETF I-D (draft-gont- tcp-security-00.txt). El mismo se encuentra disponible en: Hemos involucrado a distintos fabricantes para que revisen el documento en cuestión, lo analicen, y apliquen cambios en sus implementaciones de los protocolos en caso de considerarlo necesario.

Algunas áreas de trabajo

Obfuscación de puertos efímeros Propusimos la “obfuscación” de los puertos efímeros en base al esquema propuesto por “Port randomization” (Larsen & Gont), basado en el esquema definido para la generación de ISNs por RFC 1948). Asimismo, hemos propuesto la ampliación del rango de puertos utilizados para dichos puertos. Estas recomendaciones ya han sido implementadas en algunos sistemas (Linux implementó el esquema de obfuscación propuesto, y FreeBSD amplió el rango de los puertos efímeros).

Opciones TCP Existen más de 30 números de opción de TCP asignados por IANA. Resultó bastante complicado identificar la relevancia de las distintas opciones TCP en la actualidad  Algunas de ellas son popularmente conocidas, y estandarizadas por la IETF (por ej., MSS)  Algunos números de opción habían sido asignados hace muchos años atrás, pero las opciones correspondientes nunca fueron utilizadas en ambientes de producción (por ej., Skeeter, Bubba, etc.)  Algunas opciones TCP han sido estandarizadas fuera de la IETF, y son utilizadas actualmente en ambientes de producción (por ej., SCPS Capabilities, Record boundaries, etc.) En todos los casos hemos propuesto “chequeos de sanidad” para los contenidos de las distintas opciones.

TCP timestamps option Las opciones TCP timestamps se utilizan para la medición del Round-Trip Time (RTT) de una conexión, y Protection Against Wrapped Sequence Numbers (PAWS) Si los valores utilizados para los timestamps son predecibles, se hace más simple la realizaciónde ataques contra conexiones TCP, y potencialmente se puede averiguar el “system uptime” del sistema en cuestión. Propusimos un esquema de obfuscación de los timestamps que mitiga dichas vulnerabilidades, y asimismo permite evitar problemas de interoperabilidad en TCP (fallos en el establecimiento de conexiones cuando ocurren colisiones de connection-id’s). La propuesta realizada será adoptada en la revisión actual del estandar correspondiente (RFC 1323). Asimismo, ha sido incorporada en Linux.

Remote OS detection via TCP/IP fingerprinting La técnica consiste en identificar el sistema operativo utilizado en un sistema remoto analizando la respuesta del mismo a distintos paquetes de prueba. ¿No es demasiada la precisión de nmap? ¿Realmente necesita cada versión de un sistema operativo de cada fabricante hacer algo distinto? ¿No se pueden unificar criterios? Unificamos criterios para la respuesta a tecncas de fingerprinting tales como:  FIN probe  Bogus flag test  RST sampling  Port-0 probe Todavía pendiente:  Unificar el uso y framing the opciones TCP

Urgent mechanism El “urgent mechanism” provee un medio para que una aplicación pueda marcar un “punto interesante” en el flujo de datos (sualmente un punto al cual el receptor de la información debería “saltar”. Hemos encontrado una variedad de inconsistencias en la implementación de este mecanismo, con el potencial de:  Evasión de NIDS (por ambigüedades ene l flujo de datos resultante)  Denegación de Servicio (DoS) Asimismo hemos generado recomendaciones en estos aspectos, para mitigar las implicancias de seguridad mencionadas. La IETF ya ha adoptado estas propuestas para su publicación en Std. Track (draft-ietf-tcpm-urgent-data)

“The new TCP bug” Probablemente hayan escuchado del “nuevo bug de TCP” (Slashdot, The Register, y otros). E líneas generales, son el conocido Naphta o Netkill, o variantes de lo mismo UK CPNI, proveyó asesoramiento a fabricantes sobre las distintas alternativas para mitigar las mismas. Nuestro documento incluye una discusión de dichas vulnerabilidades, y de posibles maneras de mitigarlas

Siguientes pasos Se encuentra en discusión en la IETF el I-D draft-gont-tcp-security. Posibles caminos:  Ser adoptado en el opsec wg para el track Informational  Ser adoptado en el tcpm wg para el track Std. Track  No hacer absolutamente nada. Sería interesante que se involucren en el proceso de decisión en la IETF (listas de correo del opsec wg, tcpm wg, y lista general de la IETF). Asimismo, serán bien recibidas sugerencias y revisiones del documento en cuestión.

Algunas conclusiones Usualmente se asume que, debido a la antigüedad de los protocolos “core” de la suite TCP/IP, todas las implicancias negativas de seguridad del diseño de los mismos han sido resueltas, o solo pueden resolverse mediante uso de IPsec. Las vulnerabilidades publicadas incluso en los últimos cinco años parecen indicar lo contrario. Curiosamente, este es el primer proyecto que, en 25 años de utilización de los protocolos TCP e IP, intenta hacer un análisis completo de las implicancias de seguridad de los mismos. La respuesta de la comunidad a este proyecto ha sido variada. Estamos en conocimiento de una variedad de esfuerzos en la comunidad de fabricantes para mejorar la seguridad de las implementaciones de TCP. Salvo en el caso de proyectos “open source”, a la fecha no ha habido resultados concretos.

Shameless plugin (version 3.0) (I) Ha habido un incremento del 100% en la cantidad de autores de I-Ds de la IETF con respecto al Ok, eramos 3, ahora somos 6.  Todavía no hay una solución concreta a la problemática de participación en las reuniones presenciales. Cantidad de autores de IETF I-Ds de Sudamérica

Shameless plugin (version 3.0) (II) Sudamérica tiene 6 Internet-Drafts En los ultimos meses ha publicado 2 RFCs. Cantidad de IETF I-Ds con autores de Sudamérica

Preguntas?

Agradecimientos UK CPNI, por su soporte en este proyecto. Carlos M. Martínez, por todo su trabajo para este evento de seguridad, y en la lista de seguridad de LACNIC. LACNIC, por su soporte para la presentación de los resultados de este proyecto en este evento. Fernando Gont

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.