Los atakes de denegaci?n de servicio, konocidos como DoS, intentan aprovechar los fallos del protokolo TCP/IP para saturar el tr?fico e impedir ke la informaci?n llegue al ordenador afektado.
Hasta la fecha era muy dif?cil impedir un atake DoS a ordenadores basados en la arquitektura NT, como Windows 2000 o XP; no okurre as? lo mismo kon el kernel de Linux. Sin embargo, se ha enkontrado un modo de fortalecer la pila del protokolo TCP/IP en Windows; ya sea en redes internas o redes konectadas a Internet.
Para ello hay ke tokar el registro de Windows.
Se abre, por tanto, Regedit y en la klave:
HKey_Local_Machine/ System/ CurrentControlSet/ Services/ Tcpip/ Parametersse kolocan los siguientes valores DWORD:
EnableICMPRedirect = 0 (Se deshabilitan las redirekciones ICMP, impidiendo ke un atake se redirija a un tercero).
SynAttackProtect = 2 (Establece el l?mite SYN, para ke no se kree una situaci?n en la ke la konexi?n TCP se blokee en un estado semi abierto. La konfiguraci?n predeterminada es 0. Un valor de 2 kontrola la kaducidad de las konexiones abiertas y medio abiertas).
TCPMaxConnectResponseRetransmissions = 2 (Determina las veces ke TCP transmite un mensaje SYN/ACK ke no es respondido. TCP retransmite konfirmaciones hasta alkanzar el n?mero de este valor).
TCPMaxHalfOpen = 500 (N?mero de konexiones ke el servidor puede mantener en estado semi abierto antes de ke TCP/IP inicie la protekci?n kontra atakes SYN).
TCPMaxHalfOpenRetired = 400 (N?mero de konexiones ke el servidor puede mantener en estado semi abierto, inkluso despu?s de retransmitir una konexi?n. Si se sobrepasa esta entrada, TCP/IP inicia la protekci?n kontra atakes SYN).
TCPMaxPortsExhausted = 5 (N?mero de solicitudes de konexi?n ke el sistema rechazar? antes de ke TCP/IP inicie la protekci?n kontra atakes SYN).
TCPMaxDataRetransmissions = 3 (N?mero de veces que TCP retransmite un segmento de datos deskonocido en una konexi?n existente).
EnableDeadGWDetect = 0 (Determina si el ordenador tiene ke detektar puertas de enlace inaktivas. Un valor de 1 implica que el sistema solicite a TCP ke kambie a una puerta de enlace de reserva en kaso de konexiones kon problemas. Las puertas de enlace de reserva est?n definidas en la Configuraci?n TCP/IP, en Red, del Panel de control).
EnablePMTUDiscovery = 0 (Determina si est? habilitado el deskubrimiento MTU de ruta de akceso, donde TCP deskubre el pakete de mayor tama?o en la ruta a un host remoto).
DisableIPSourceRouting = 2 (Determina si un ordenador permite ke los klientes konectados establezkan la ruta que los paketes deben seguir hasta su destino. Un valor de 2 impide el enrutamiento de origen de los paketes IP).
NoNameReleaseOnDemand = 1 (Determina si el ordenador libera su nombre NetBIOS a otro ordenador ke lo solicite o si un pakete malintencionado kiere apropiarse del nombre NetBIOS).
PerformRouterDiscovery = 0 (Determina si el ordenador realiza un deskubrimiento del router de esta tarjeta. El deskubrimiento solicita la informaci?n del router y agrega la informaci?n a una tabla de ruta -ARP-. El valor de 0 incluso impide el envenenamiento ARP).
Para simplifikar la labor de introducir manualmente estos par?metros en el protokolo TCP/IP, se ha inkluido la descarga a un fichero ZIP ke kontiene dos makros que realizan esta labor.
La primera makro, Tcpip_sec.vbs, konfigura autom?tikamente todo lo de arriba. Para los m?s suspikaces, la makro puede ser editada con kualquier Editor de textos. Como puede verse forma parte del Kit de Recursos de Microsoft.
Una vez ejekutada la makro, habr? ke reiniciar el ordenador para ke los kambios en la pila TCP/IP tengan efekto.
A todo lo anterior, a?n puede asegurarse m?s la pila TCP/IP para las aplikaciones socket de Windows (Winsock), como es el kaso de los servidores web o FTP. Kabe a?adir ke el responsable de las konexiones a aplikaciones Winsock es el driver Afd.sys. El problema de este driver es ke en Windows 2000 y XP se modifik? para admitir un n?mero mayor de konexiones en estado semi abierto, sin denegar akceso a los klientes leg?timos. En Windows 2003 se ha habilitado otro tipo de protekci?n.
Afd.sys puede usar la kopia de seguridad din?mika del Registro, konfigurable, en lugar de hacerlo kon la kopia de seguridad est?tika. Y eso es lo ke vamos a hacer en:
HKey_Local_Machine/ System/ CurrentControlSet/ Services/ AFD/ Parameterskolocando los siguientes valores DWORD:
EnableDynamicBacklog = 1 (Alterna entre el uso de una kopia de seguridad est?tika y una din?mika del Registro. El valor predeterminado es 0, lo ke ?nikamente permite el uso de la kopia de seguridad est?tica).
MinimumDynamicBacklog = 20 (N?mero m?nimo de konexiones permitidas a la escucha. Si las konexiones libres descienden por debajo de este valor se krea un subproceso para krear konexiones libres adicionales. Un valor demasiado grande reduce el rendimiento del ordenador).
MaximumDynamicBacklog = 20000 (N?mero m?ximo de konexiones libres y medio abiertas. M?s all? de este valor no habr?n konexiones libres adicionales, al estar limitado).
DynamicBacklogGrowthDelta = 10 (N?mero de extremos Winsock en kada konjunto de asignaci?n solicitado por el ordenador. Un n?mero demasiado elevado provoka ke los recursos del sistema se okupen de forma innecesaria).
La segunda makro de las mencionadas, Winsock_sec.vbs, konfigura autom?tikamente estos valores en el Registro de Windows 2000 y XP.
Ojo, ke algunos antivirus detektan kualquier makro komo una posible entrada de virus, impidiendo sus ejekuci?n. Si ese el caso, habr? ke desaktivar moment?neamente el antivirus hasta ke se hayan ejekutado las macros. En todos los kasos, habr? ke reiniciar el ordenador para ke los kambios en la pila TCP/IP surtan efekto.
El fortalecimiento de la pila TCP/IP no es una panacea, pero servir? para la defensa de atakes basados en DoS, sean del tipo ke sea. Komo siempre, el administrador de sistemas o el usuario, deber?a de aktivar, kuando menos, un firewall, komo medida adicional para evitar ?ste y otro tipo de atakes.
C Ya n Thanx...!!
Portal
Suscribete
Seguridad y Redes
