Blog

Mikrotik

Tipos de ataques de red y como protegerse con Mikrotik.

hackers-formaciones

Tipos de ataques de red y como protegerse con Mikrotik.

La seguridad en estos días es algo cambiante, por lo cual es posible siempre existan nuevos tipos de ataques, desde esta entrada expondremos las más conocidas o generalizadas.

Al comenzar con la administración de seguridad en redes, lo principal es entender cómo pueden atacarnos, analizar esos ataques y tomar acciones con el fin de poder mitigarlo lo antes posible, para minimizar caídas o costos asociados.

En los últimos años, los ataques de seguridad han cambiado demasiado, los hackers buscan explotar vulnerabilidades dentro de las organizaciones y las infraestructuras, algo conocido como ingeniería social.

Conocer ciertos tipos de ataques nos dan una ventaja para estar mejor preparados, incluso capacitando al personal interno de la empresa, para que no caigan en ataques de hackers, muchas veces tratando de engañar a una persona para conseguir accesos a la infraestructura.

Principales ataques de red

Ping Flood

Ping flood se basa en enviar a la víctima una cantidad excesiva de paquetes ping, usualmente usando el comando «ping».

Es muy simple de lanzar, el requisito principal es tener acceso a un ancho de banda mayor que la víctima.

Malware

El término «malware» abarca varios tipos de ataques, incluyendo spyware, virus y gusanos.

El malware utiliza una vulnerabilidad para romper una red cuando un usuario hace clic en un enlace o archivo adjunto de correo electrónico peligroso «plantado», que se utiliza para instalar software malintencionado en el sistema.

Algunos de los daños que podría generar este tipo de ataques son los siguientes:

  • Denegar el acceso a los componentes de la red.
  • Obtener información recuperando datos del disco duro.
  • Interrumpir el sistema o incluso inutilizarlo.

La forma en que se propaga este tipo de ataques sigue la siguiente secuencia:

Infectan aplicaciones cargando un código de secuencia en la inicialización de la aplicación.

El virus se replica a sí mismo, infectando otro código en el sistema informático.

Los virus también pueden adjuntarse al código ejecutable o asociarse a un archivo creando un archivo de virus con el mismo nombre.

Phishing

Los ataques de phishing son extremadamente comunes e implican el envío masivo de correos electrónicos fraudulentos a usuarios desprevenidos, disfrazados de proceder de una fuente fiable, también hay casos donde se replique una página por completo, logrando que sean idénticas la falsa y la original.

En este último caso, siempre hay que tener en cuenta el dominio que se accede. Muchos pueden tener variantes por ejemplo gmaiil.com en vez de gmail.com

Los correos electrónicos fraudulentos a menudo tienen la apariencia de ser legítimos, incluso pueden llegar desde un contacto, familiar, etc. que hayan sido previamente infectados.

Siempre llevan una accion, como descargar un archivo o ir a una web con código malicioso, con el objetivo de tener acceso a tu dispositivo para controlarlo o recopilar información, instalar archivos o extraer datos como información de usuario, información financiera y más.

Los ataques de phishing no solo llegan por correo, también pueden usar las redes sociales, por medio de un mensaje privado en Instagram, Twitter, Facebook, etc.

Los phishers a menudo aprovechan la ingeniería social y otras fuentes de información pública para recopilar información sobre su trabajo, intereses y actividades, lo que les da a los atacantes una ventaja para convencerte de que son una persona en la que confiar.

Man in the middle

Esto ocurre cuando un atacante intercepta la comunicación entre dos partes, insertándose en el medio.

A partir de ahí, pueden robar y manipular datos interrumpiendo el tráfico.

Este tipo de ataque suele explotar las vulnerabilidades de seguridad de una red, como una red WiFi pública no segura, para insertarse entre el dispositivo de un visitante y la red.

El problema con este tipo de ataque es que es muy difícil de detectar, ya que la víctima piensa que la información es segura y el destino es valido.

Ataques DOS

En un ataque de denegación de servicio (DoS), un atacante intenta evitar la legitimidad de que los usuarios accedan a información o a los servicios.

El tipo más común y obvio de ataque DoS ocurre cuando un atacante «inunda» una red con información.

Cuando escribimos por ejemplo la dirección IP de nuestro router o mismo queremos acceder a una web, el servidor como el router tienen un límite de conexiones a procesar de una vez, por lo que si un atacante sobrecarga el servidor con solicitudes, no puede procesarse dicha solicitud.

Esto es una «denegación de servicio», ya que no se puede acceder al servicio.

Además de los ataques de denegación de servicio (DoS), también hay ataques de denegación de servicio distribuidos (DDoS).

Los ataques DoS saturan los recursos del sistema con el objetivo de impedir la respuesta a las solicitudes de servicio.

Por otro lado, se lanza un ataque DDoS desde varios equipos host infectados con el objetivo de lograr la denegación de servicio y desconectar un sistema, allanando así el camino para que otro ataque entre en la red o en el entorno. 

Los tipos más comunes de ataques DoS y DDoS son el ataque de inundación TCP SYN, el ataque Smurf, el ataque de ping-of-death y las botnets.

Ataques de capa 2

Desbordamiento de la tabla de direcciones MAC

La tabla de direcciones MAC de un switch contiene las direcciones MAC relacionadas con cada puerto físico y la VLAN asociada para cada puerto.

Cuando un switch recibe una trama, el switch busca en la tabla de direcciones MAC la dirección MAC de destino.

Si la dirección MAC tiene una entrada en la tabla, el switch reenvía la trama al puerto correspondiente.

Si la dirección MAC no existe en la tabla de direcciones MAC, el switch satura todos los puertos con la trama, excepto el puerto en el cual se la recibió.

He aquí el problema, las tablas de direcciones MAC poseen límite de tamaño y los ataques de saturación MAC usan esta limitación para sobrecargar al switch con direcciones MAC de origen falsas.

Snooping DHCP

El snooping DHCP es una serie de técnicas aplicadas para asegurar la seguridad de una infraestructura DHCP existente.

Nos permite determinar que puertos de switch pueden responder a solicitudes de DHCP identificando los puertos como confiables o no confiables, determinando que puertos de switch pueden responder a solicitudes de DHCP. 

El DHCP Snooping es necesario para prevenir los ataques de tipo “man-in-the-middle”. 

Todos los puertos son “no confiables” por defecto cuando se habilita el DHCP Snooping. Cuando la PC del cliente envía un mensaje DHCPDISCOVER y el DHCP Snooping está habilitado, el Switch solamente va a enviar el mensaje de broadcast DHCP a los puertos “confiables” (trusted).

Un puerto “confiable” es el único puerto que tiene permitido enviar mensajes de repuesta DHCP como el DHCPOFFER. 

Ataques STP

STP (Spanning Tree Protocol) es un protocolo usado en la red para evitar bucles a nivel 2 en nuestra topología cuando se conectan distintos segmentos de red. Cada uno de los paquetes STP se llaman BPDU (Bridge Protocol Data Unit).

Los switches mandan BPDUs usando una única dirección MAC de su puerto como mac de origen y una dirección de multicast como MAC de destino Existen dos tipos de BPDU: 

Configuration y Topology Change Notification (TCN).

El primero se envía periódicamente indicando la configuración de la red, mientras que el segundo se envía cada vez que se detecta un cambio en la red (activación/desactivación de un puerto).

¿Como utilizar el Firewall en Mikrotik para protegernos de ataques en la red?

Primero comencemos analizando como funciona el Firewall en Mikrotik.

El firewall por defecto lee las reglas de arriba hacia abajo y sale de ese ciclo cuando se produce la primera coincidencia.

Se usa la orden passthrough para obligar a que, luego de cumplirse una regla, se siga con las demás. Si eres usuario de Unix o Linux, veras que las reglas y su funcionamiento son parecidos a IPtables.

Connection tracking : permite visualizar las conexiones actuales con nuestro routers.

Address List en Mikrotik

Las listas contienen direcciones IP para las que podemos tomar determinadas acciones. De esta manera, mantenemos una única lista de direcciones y la invocamos en el firewall.

Crear una lista especificando desde dónde permitimos conexiones SSH Agregar IPs a una address-list de forma dinámica.

También podremos crear nuestras propias cadenas de Firewall en Mikrotik, Las cadenas creadas por el usuario sirven para ordenar el firewall. Por ejemplo, creo una cadena que se llame SPAM donde cargo direcciones IP que considero son SPAM, luego realizaría la acción JUMP para ir a esa regla.

¿Qué es la Tabla RAW en Mikrotik?

¿Como mitigar un ataque DoS de manera eficiente con Mikrotik?

Como hemos comentado antes este tipo de ataques, lo que busca es agotar los recursos de nuestro equipo para que este se vuelva inaccesible, tanto para los que acceden a esos recursos, como a nosotros.

La plataforma RouterOS de MikroTik, posee un cortafuegos de estado completo (stateful firewall) que, entendiendo su funcionamiento en profundidad, nos permite mitigar este tipo de ataques.

Dentro de la Wiki de MikroTik describe el funcionamiento de la tabla RAW como la que permite omitir o eliminar paquetes de forma selectiva antes de que se produzca el seguimiento de la conexión por medio del connection tracking, de manera que reduce la carga de la CPU, ya que de esta manera filtra las peticiones y deja que ingresan al conection tracking solo las que aceptemos en base a nuestras reglas.

Esta herramienta es la más útil para ataques de DDoS.

A diferencia de las cadenas convencionales que existen en el Firewall, RAW solo tiene dos cadenas disponibles:

Prerouting y output.

Solo tenemos estas reglas, porque como hemos comentado, estas reglas actúan antes de que se produzca una marca de conexión por medio del connection tracking.

¿Deseas saber como proteger tu red con routers Mikrotik?

Aquí te dejamos varios recursos para que apliques tus propias reglas en tu router y protejas tu red de los principales ataques.

1) Reglas universales y básicas en Mikrotik

2) Tips para principiantes y expertos con Mikrotik.

3) Asegurando nuestro router.

4) Más reglas de firewall con Mikrotik.

Formaciones Mikrotik

Si deseas convertirte en un profesional de seguridad en redes con Mikrotik, puedes participar del curso de ingeniería MTCSE y obtener tu certificado oficial como experto en seguridad de redes con Mikrotik.