Nova: ofuscamiento y ocultamiento de nodos de red

El término ofuscación es habitualmente relacionado a fines ilegítimos, pero puede ser igualmente utilizado como una herramienta para mejorar la seguridad de sistemas, aplicando las técnicas asociadas, por ejemplo, a la protección frente ataques en entornos de redes.

De manera generalizada, podemos decir que existen tres etapas en todo ataque de red:

• Obtención de acceso a la red, usualmente de la manera más práctica posible
• Exploración de la red e identificación de hosts vulnerables, recolectando toda la información posible mediante técnicas de escaneos masivos
• Explotación de las vulnerabilidades encontradas para tomar control de un host
• Post explotación, expandiendo el ataque a otros hosts y redes internas

De todas estas fases, la defensa frente a exploraciones de red es tal vez aquella que menos atención ha recibido, debido en parte a que muchas veces se asume que cualquier atacante que haya logrado penetrar las defensas de frontera, ha logrado ya realizar un análisis exploratorio. Sin embargo, esto no tiene por qué ser así.

En este contexto, la ofuscación de la red nos permite disfrazar las características genuinas del tráfico y los dispositivos en su dominio, dificultando la tarea del atacante al momento de realizar el footprinting y fingerprinting de la red, los equipos que a ella pertenecen, y los servicios que ellos prestan.

Ofuscando la red

Es en este punto donde la ofuscación de la red –también llamada esteganografía de red- entra en juego. Consiste en la aplicación de diversas metodologías para lograr encubrir las verdaderas comunicaciones que tienen lugar en la red, permitiéndonos engañar al atacante durante la etapa de exploración.

Algunas técnicas se sustentan en la modificación de las funciones de los protocolos de red, como aquellas sobre el manejo de errores o la definición del tipo de datos a enviarse, basándose mayormente en la imperfección de los canales de comunicación como medio para el encubrimiento de los efectos introducidos por las alteraciones realizadas.

Otro enfoque se cimenta en la inclusión de nodos falsos con el objeto de impedir al atacante distinguir entre éstos y los equipos de red reales. De la mano de herramientas como Network Obfuscation and Virtualized Anti-Reconnaissance (Nova), podemos generar incontable cantidad de hilos de ejecución capaces de responder como verdaderos equipos informáticos, simulando peticiones y respuestas a servicios en base a un script que define su operatoria desde el punto de vista de la capa de red.

Contenido completo en fuente original We Live Security