Tema 2 – Implantación de mecanismos de seguridad activa

Punto 3 – Seguridad en la Red Corporativa

Juan Luis Cano

El objetivo de estas amenazas es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización.

En cuanto a tipos de amenazas hay dos claros tipos:

Amenazas y ataques en Redes Corporativas

Generalmente estas amenazas son más serias que las externas y pueden dañar seriamente al sistema, algunas amenazas pueden ser la paralización del sistema por daños físicos o la intrusión en la red internamente. Estas amenazas son potencialmente peligrosas por estos motivos:

1. Los usuarios conocen la red y saben cómo es su funcionamiento.

2. Pueden tener algún nivel de acceso a la red por las mismas necesidades de su trabajo.

3. Los Firewalls son mecanismos no efectivos en amenazas internas.

Amenazas internas

Son aquellas amenazas que se originan desde el exterior de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla, como son la localización, violación de la seguridad y evadir las pruebas. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.

Amenazas externas

Hay varios tipos de amenazas a los sistemas informáticos, que se pueden catalogar en:

Amenazas a un sistema informático

En una interrupción un activo del sistema se pierde, este queda no disponible o inoperable.

A consecuencia de una destrucción maliciosa de un dispositivo de equipo, haber borrado un programa o archivo de datos u ocasionado el malfuncionamiento de un administrador de archivos del sistema operativo.

Interrupción

Una intercepción significa que un tercero no autorizado ha ganado acceso a un activo. Este tercero puede ser una persona, un programa o un sistema de cómputo. Ejemplos de este tipo de ataque son: la copia ilícita de programas o archivos de datos, o la intrusión en la red de comunicaciones para obtener datos. 

Intercepción

La intercepción puede basarse en Ingeniería Social donde el intruso obtiene información privada proporcionada en forma voluntaria. Este método es conocido bajo el término "phishing". 

Intercepción por ingeniería social

La modificación consiste en que alguien cambie los datos de una base de datos, altere el código de programa para ejecutar algún código adicional, o modifique los datos que se transmiten electrónicamente.

Modificación

En este tipo de ataque, una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo.

Fabricación

Los ataques informáticos al sistema pueden ser muy variados y cada uno afecta a una parte del sistema. A continuación se van a describir algunos de ellos.

Ataques informáticos

Comúnmente llamado DoS (Denial of Service),  es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios.

Ataque de Denegación de servicio

Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.

Ataque DDoS

Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet.

Esto se realiza mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, …)  

Sniffing

Un ataque man-in-the-middle o JANUS es un ataque en el que una persona adquiere la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes cifradas sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.  

Man in the Middle

Es el conjunto de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.

Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing, ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

Spoofing

Es la explotación de una vulnerabilidad en el software de los servidores DNS o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio a otra máquina distinta.

De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador a la página web que el atacante haya especificado para ese nombre de dominio.

Pharming

Los servicios de red ofrecen múltiples funciones a la empresa, por lo que han de estar protegidos continuamente. Uno de los grandes preblemas de estos servicios es que hay que protegerlos uno a uno con distintas herramientas.

Riesgos potenciales en los servicios de red

Algunas medidas que se pueden en los termianles para garantizar su seguridad son:

Eliminar los servicios que no sean necesarios, evitando así posibles entradas.

Utilizar cortafuegos Revisar los registros a menudo Mantener el sistema actualizado Utilizar políticas de seguridad Poder trampas para los intentos de entrada (como son

los Honeypots) Cifrar las comunicaciones

Seguridad en los terminales

Los puertos de entrada puedan son un punto de entrada a la red por parte de usuarios no autorizados.

Para evitarlo, los switches ofrecen una función que se conoce como seguridad de puertos, evitando así que las direcciones MAC que no están en su registro no reciban peticiones.

Seguridad en los switches

Existen tres maneras de configurar la seguridad de puertos:

Estática: las direcciones MAC se configuran manualmente. Las direcciones MAC estáticas se almacenan en la tabla de direcciones y se agregan a la configuración.

Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en la tabla de direcciones. Se puede controlar la cantidad de direcciones que se aprenden, siendo la cantidad máxima predeterminada de direcciones MAC que se aprenden por puerto es una.

Sin modificación: similar a la dinámica excepto que las direcciones también se guardan en la configuración en ejecución.

Configuración de los puertos

En cuanto a los routers, hay que establecer una política de seguridad amplia ya que hay una alta probabilidad de sufrir un ataque. Ya que son una de las fuentes de información de la red hay que mirar la seguridad física y lógica de los mismos.

Seguridad en los routers

En cuanto a la seguridad física, se pueden tomar varias medidas para que las personas que accedan al router estén controladas:

Designar al personal para actividades de instalación y desinstalación o mantenimiento

Definir controles de colocación y usos de la consola y los puertos de acceso

Definir procedimientos de recuperación ante eventualidades físicas

Seguridad física

En cuanto a la seguridad lógica, se pueden atender muchos aspectos, como el control de los usuarios y el método de conexión: Designar las personas que acceden al router via consola o en

forma remota Designar la persona con privilegios de administración. Definir políticas de administración en intercambio de

información (Protocolos de ruteo, RADIUS, SNMP, TACACS+, NTP).

Definir políticas de intercambio de llaves de encriptación. Enumerar protocolos, puertos y servicios a ser permitidos o

filtrados en cada interfaz, así como los procedimientos para su autorización.

Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada interfaz, así como los procedimientos para su autorización.

Seguridad lógica

Si se va a estudiar la seguridad en los servicios de red por niveles, hay que observar las diferentes capas: Enlace de datos, Red, Transporte y Aplicación.

Seguridad de red por niveles

Hay que evitar los ataques basados en MAC y ARP.

CAM Table Overlow: consiste en el inundar la tabla de direcciones MAC de un switch haciendo que el switch envíe todas las tramas de las direcciones MAC que no tiene en la tabla a todos los equipos.

ARP Spoofing: es una técnica usada para infiltrarse en una red Ethernet conmutada que puede permitir al atacante husmear paquetes de datos en la LAN, modificar tráfico, o detenerlo.

Enlace de datos

Hay que evitar los ataques basados en MAC y ARP.

Filtrado de paquetes: permitir a los usuarios de la red local acceder a los servicios, limitando así el acceso a los del exterior.

Monitorización de routers y equipos de acceso

Nivel de Red

Hay que evitar los ataques basados en MAC y ARP.

Cifrar los paquetes enviados. Utilizar certificados digitales. Emplear el protocolo SSL.

Capa de aplicación

Aquí se pondrá una lista de herramientas para monitorizar la red, es decir, ver lo que está sucediendo en todo momento a través de ella (paquetes de entrada y salida, TTL, …)

Wireshark Red de Monitoreo GEM ipMonitor Host IP Network Monitor

Herramientas de monitorización de tráfico de redes

Un intento de penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su alcance se extiende a equipos cliente, servidores, bases de datos, portales de Internet,…

Intentos de penetración

Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:

Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas.

Identificación de las vulnerabilidades existentes mediante herramientas automáticas.

Explotación manual y automática de las vulnerabilidades para determinar su alcance.

Análisis de los resultados.

Realizar un intento de penetración

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

Sistemas de detección de intrusos

El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Puede aplicar las siguientes técnicas para detectar intrusiones:

Técnicas de detección de intrusos

Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada.

Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc.

Algunas técnicas

Existen dos tipos de sistemas de detección de intrusos: HIDS (HostIDS): el principio de funcionamiento de un

HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado cuando intentan adueñarse del mismo. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Tipos de IDS

Existen multitud de programas de sistemas de detección de intrusos, y ya que está muy extendido hay mucho más software libre que comercial

Algunos programas de IDS libres son: ◦ Snort◦ Prelude◦ FoundStone◦ AIDE

Software comercial de IDS: ◦ El software que propone iDirect

Software libre y comercial

Wi-Fi es un mecanismo de conexión de dispositivos electrónicos de forma inalámbrica. Los dispositivos habilitados con Wi-Fi, tales como: un ordenador personal, una consola de videojuegos, un smartphone o un reproductor de audio digital, pueden conectarse a Internet a través de un punto de acceso de red inalámbrica.

Seguridad en comunicaciones

inalámbricas

Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP, el WPA, o el WPA2 que se encargan de codificar la información transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalámbricos. La mayoría de las formas son las siguientes:

Sistemas de seguridad en WLAN

Hay muchos tipos de claves de seguridad WLAN, como pueden ser:

WEP, cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. Este tipo de cifrado no está muy recomendado, debido a las grandes vulnerabilidades que presenta, ya que cualquier cracker puede conseguir sacar la clave.

WPA: presenta mejoras como generación dinámica de la clave de acceso. Las claves se insertan como de dígitos alfanuméricos, sin restricción de longitud

Abierta: No existe clave alguna y cualquiera puede entrar.

Tipos de claves WLAN

Las WLAN pueden protegerse de varias maneras, como son:

IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de usuarios.

Filtrado de MAC, de manera que sólo se permite acceso a la red a aquellos dispositivos autorizados. Es lo más recomendable si solo se va a usar con los mismos equipos, y si son pocos.

Ocultación del punto de acceso: se puede ocultar el punto de acceso (Router) de manera que sea invisible a otros usuarios.

Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son susceptibles de ser vulneradas.

Seguridad en la WLAN

Algunas de las recomendaciones de la seguridad WLAN son las siguientes:

Instalar el router en un entorno alejado de la calle para atenuar la señal y, si es posible, configurarlo para atenuar la señal.

Ocultar la red, esto se emplea para que solo accedan a ella si se sabe que la red está ahí y su nombre.

Cambiar la contraseña y el nombre de usuario para acceder a él. Utilizar el tipo de clave WPA y con una contraseña estricta.

Cambiar el SSID y deshabilitar el broadcast.   Utilizar herramientas para la seguridad como son los

cortafuegos. Actualizar el router continuamente evitando fallos en la

seguridad.

Recomendaciones de Seguridad

Tema 3