Protocolos
Descargar como PPTX, PDF0 recomendaciones792 vistas
El documento describe los protocolos SMTP, POP e IMAP que se utilizan para el correo electrónico. SMTP se usa para transferir correo entre servidores, POP permite recoger correo de un servidor remoto, e IMAP ofrece más funcionalidades como administrar varias bandejas de entrada de manera simultánea. Estos protocolos son vulnerables a ataques pasivos que pueden robar credenciales de usuario. Se han implementado medidas de seguridad, pero todavía es posible falsificar remitentes.
Protocolos
- 1. SMTP – POP - IMAP
- 2. (Protocolo simple de transferencia de correo) Es el protocolo estándar que permite la transferencia de correo de un servidor a otro mediante una conexión punto a punto. Éste es un protocolo que funciona en línea, encapsulado en una trama TCP/IP. El correo se envía directamente al servidor de correo del destinatario.
- 3. El protocolo POP (Protocolo de oficina de correos), como su nombre lo indica, permite recoger el correo electrónico en un servidor remoto (servidor POP). Es necesario para las personas que no están permanentemente conectadas a Internet, ya que así pueden consultar sus correos electrónicos recibidos sin que ellos estén conectados.
- 4. El protocolo SMTP funciona con comandos de textos enviados al servidor SMTP (al puerto 25 de manera predeterminada). A cada comando enviado por el cliente (validado por la cadena de caracteres ASCII CR/LF, que equivale a presionar la tecla Enter) le sigue una respuesta del servidor SMTP compuesta por un número y un mensaje descriptivo.
- 5. Existen dos versiones principales de este protocolo, POP2 y POP3, a los que se le asignan los puertos 109 y 110 respectivamente, y que funcionan utilizando comandos de texto radicalmente diferentes. Al igual que con el protocolo SMTP, el protocolo POP (POP2 y POP3) funciona con comandos de texto enviados al servidor POP. Cada uno de estos comandos enviados por el cliente (validados por la cadena CR/LF) está compuesto por una palabra clave, posiblemente acompañada por uno o varios argumentos, y está seguido por una respuesta del servidor POP compuesta por un número y un mensaje descriptivo.
- 6. El protocolo IMAP (Protocolo de acceso a mensajes de Internet) Es un protocolo alternativo al de POP3, pero que ofrece más posibilidades: IMAP permite administrar diversos accesos de manera simultánea IMAP permite administrar diversas bandejas de entrada IMAP brinda más criterios que pueden utilizarse para ordenar los correos electrónicos
- 7. Las especificaciones originales de estos protocolos (POP, IMAP y SMTP ) los hacen vulnerables a los ataques pasivos que se producen cuando una aplicación escucha el tráfico de la red y accede al contenido de los mensajes, así como a la identificación del usuario: su nombre y password de acceso. Estos ataques pueden actuar sobre las aplicaciones de usuario más extendidas como: Netscape, Outlook, Eudora y las de tipo Web-Mail. Por otro lado, el protocolo SMTP, en su versión original, no dispone de mecanismos de autenticación del usuario que envía un mensaje. Esto permite el uso fraudulento de servidores SMTP por parte de personas ajenas a la organización, así como el envío de mensajes con remitente falso.
- 8. Para paliar estas "deficiencias", se han generalizado mecanismos de control de acceso a los servidores SMTP basados en la confianza respecto a clientes locales o en la desconfianza respecto a determinadas organizaciones "fichadas" como origen de correo basura. Si bien es cierto que estas medidas han conseguido limitar el uso fraudulento de los servidores SMTP de las organizaciones por parte de terceros, no han conseguido evitar el envío de mensajes falsificados desde el interior de la organización y han dificultado la utilización del servicio a personas de la organización con necesidad de desplazarse.
- 9. En los distintos tipos de ataques informáticos, podríamos diferenciar: - ATAQUES ACTIVOS : Producen cambios en la información y en la situación de los recursos del sistema. - ATAQUES PASIVOS: Se limitan a registrar el uso de los recursos y/o a acceder a la información guardada o transmitida por el sistema.
- 11. El envío de mensajes con remitentes falsos(“masquerading”) para tratar de engañar al destinatario o causar un daño en la reputación del supuesto remitente es otra técnica frecuente de ataque basado en la suplantación de la identidad de un usuario. De hecho, muchos virus emplean esta técnica para facilitar su propagación, al ofrecer información falsa sobre el posible origen de la infección. Asimismo, este tipo de ataque es muy utilizado por los “spammers”, que envían gran cantidad de mensajes de “correo basura” bajo una identidad falsa.
- 12. En la actualidad, falsificar mensajes de correo resulta bastante sencillo porque el protocolo SMTP carece totalmente de autenticación. Así, un servidor configurado para aceptar conexiones SMTP en el puerto 25 podría ser utilizado por un usuario externo a la organización, empleando los comandos propios del protocolo, para que envíe mensajes que aparenten tener un origen seleccionado por el atacante cuando realmente tienen otro distinto. La dirección de origen puede ser una dirección existente o una inexistente con el formato adecuado.
- 13. Permite acceso y explotación de servidores de correo “ocultos”. Consiste en una inyección arbitraria de comandos IMAP/POP3/SMTP a través de aplicaciones de webmail.
- 14. La técnica MX Injection Los pasos 1,2y3 representan el camino habitual de una petición del usuario. Los pasos 1y2' representan el camino “virtual” que sigue con MXInjection
- 15. Los comandos inyectados siguen el protocolo IMAP IMAP es utilizado en la mayoría de operaciones Funcionalidades afectadas Autenticación Operaciones con buzones (listar, consultar, crear, eliminar, renombrar) Operaciones con mensajes (consultar, copiar, mover, eliminar) Desconexión
- 16. Los comandos inyectados siguen el protocolo SMTP La única funcionalidad afectada es el envió de e-mails Parámetros a analizar e-mail del emisor e-mail del destinatario asunto Cuerpo del mensaje Ficheros anexados etc.
- 17. HERRAMIENTAS Captura de cuentas de usuario y contraseñas También es posible suplantar la identidad de los usuarios mediante herramientas que permitan capturar sus contraseñas, como los programas de software espía o los dispositivos hardware especializados que permitan registrar todas las pulsaciones en el teclado de un ordenador (“keyloggers”). De hecho, es posible localizar soluciones disponibles en el mercado Como KeyGhost (www.keyghost.com) o Key- Logg(www.keylogger.com).
- 18. REQUISITOS 1. Identificar Parámetros Probar casos de uso - Parámetros con valor nulo (p.e.:mailbox=) - Nombre de buzón inexistente (p.e.:mailbox=noexiste) - Añadir otros valores (p.e.:mailbox=INBOX valor añadido) - Incluir caracteres inusuales (p.e.:,’@,#) 2. Entender el ámbito de la operación Donde se hace? Necesitamos los parámetros adecuados En parámetros susceptibles de ser utilizadas como parte de comandos - Si los casos de abuso GENERAN errores no IMAP/SMTP controlados entonces: - resulta fácil identificar el comando a atacar (visualizar el mensaje de error) - Si los casos de abuso NO generan errores «reveladores» entonces: - Inyecciones «a ciegas» - Requiere analizar la operación
- 19. http://es.kioskea.net/contents/internet/smtp.php3 http://blog.jmacoe.com/miscelanea/seguridad/seguridad- servidores-smtp/ http://fmc.axarnet.es/serv_internet/iis_5/tema-03/tema_03- 3a.htm http://insecure.org/tools/tools-es.html Artículo: La seguridad en el transporte del correo. Borja Pérez Oñate Pascual Pérez Sánchez TIPOS DE ATAQUES E INTRUSOS EN LAS REDES INFORMÁTICAS Álvaro Gómez Vieites agomez@simce.com Profesor de la Escuela de Negocios Caixanova