UT2-2 ATAQUES Y CONTRAMEDIDAS … · • Es un ataque contra la disponibilidad. • Ejemplos de...

Seguridad y Alta Disponibilidad 1

UT2-2

ATAQUES

Y

CONTRAMEDIDAS

CORPORATIVAS

1. AMENAZAS Y ATAQUES

Las redes de ordenadores cada vez son más esencialespara las actividades diarias.

Los ataques e intrusiones a través de las redes públicas yprivadas son cada vez más frecuentes, y pueden causarinterrupciones costosas de servicios críticos y pérdidasde información.



Las amenazas en comunicaciones se pueden dividiren cuatro grandes grupos:

a) Interrupción: un objeto, servicio del sistema o datos

en una comunicación se pierden, quedan inutilizables

o no disponibles.

• Es un ataque contra la disponibilidad.

• Ejemplos de este ataque son la destrucción de un

elemento hardware, como un disco duro, cortar una línea

de comunicación o deshabilitar el sistema de gestión de

ficheros.



b) Interceptación: un elemento no autorizado consigue

un acceso a un determinado objeto.

• Es un ataque contra la confidencialidad.

• Ejemplos de este ataque son la copia ilícita de ficheros o

programas (intercepción de datos), o bien la lectura de las

cabeceras de paquetes para desvelar la identidad de uno

o más de los usuarios implicados en la comunicación

observada ilegalmente (intercepción de identidad).



c) Modificación: además del acceso no autorizado

consigue modificar el objeto; es posible, incluso, la

destrucción.

• Es un ataque contra la integridad.

• Ejemplos de este ataque son el cambio de valores en un

archivo de datos, alterar un programa para que funcione

de forma diferente y modificar el contenido de mensajes

que están siendo transferidos por la red.



d) Fabricación: modificación destinada a conseguir un

objeto similar al atacado de forma que sea difícil

distinguir entre el original y el “fabricado”.

• Este es un ataque contra la autenticidad.

• Ejemplos de este ataque son la inserción de mensajes

espurios en una red o añadir registros a un archivo.



Ejemplos reales de dichas amenazas, técnicas de ataquesinformáticos en redes:

◦ Ataques de denegación de servicio

◦ Sniffing

◦ Man in the middle

◦ Suplantación (spoofing)

◦ Pharming.



◦ Ataque de denegación de servicio,

también llamado ataque DoS (Deny of

Service), causando la interrupción del

servicio. El servicio o recurso se hace

inaccesible a los usuarios legítimos,

normalmente provocado por:

La pérdida de conectividad de la red por el

consumo de ancho de banda de la red de la

víctima

O por sobrecarga de los recursos

computacionales del sistema de la víctima.

Mediante botnet o redes zombi es posible

controlar máquinas al realizar ataques

distribuidos de saturación de servidores o

DDoS.



◦ Sniffing, técnica de interceptación, consistente en rastrear einterceptar, monitorizando el tráfico de una red.


◦ Man in the Middle (MitM), consistente en la interceptación ymodificación de identidad. Un atacante supervisa unacomunicación entre dos partes, falsificando las identidades delos extremos y, por tanto, recibiendo el tráfico en los dossentidos.


◦ Spoofing: es una técnica de fabricación, suplantando laidentidad o realizando una copia o falsificación de IP, MAC, DNS,web o mail. Falsificación de web bancaria: phishing.



◦ Pharming: es una técnica de modificación Mediante la explotación de una vulnerabilidad en el software de los

servidores DNS o en el de los equipos de los propios usuarios, permitemodificar las tablas DNS redirigiendo un nombre de dominio conocido,a otra máquina (IP) distinta, falsificada y probablemente fraudulenta.



La monitorización del trafico de red es un aspectofundamental para analizar lo que está sucediendo en lamisma, y poder tomar precauciones y medidas deseguridad en la misma.

Software de auditoría de seguridad en redes:

◦ Sniffer: Wireshark, Cain & Abel.

◦ Spoofing, MitM, Pharming: Cain & Abel.

◦ Protección contra MitM: Tablas ARP estáticas, no

modificables. Comando: arp –s IP MAC.

◦ Monitorizar modificaciones en tablas ARP: Wireshark, o

sistema de detección de intrusos (IDS) como SNORT.


1.2. Amenazas externas e internas

Las amenazas de seguridad en redes corporativas oprivadas de una organización pueden originarse:

◦ Amenaza externa o de acceso remoto: los atacantes son

externos a la red privada o interna de una organización, y

logran introducirse desde redes públicas. Los objetivos de

ataques son servidores y routers accesibles desde el exterior,

y pasarela de acceso a la redes corporativas.

◦ Amenaza interna o corporativa: los atacantes acceden sin

autorización o pertenecen a la red privada de la organización,

comprometiendo la información y los servicios de la misma.


1.2. Amenazas externas e internas


Internet

Ataque

InternoAtaque

Acceso

Remoto

Contra dichas amenazas:◦ Defender la seguridad en la red corporativa de forma

interna.◦ Medidas de protección perimetral en equipos expuestos a

redes públicas.

15

Firewalls (cortafuegos)

Control de Acceso

Cifrado (protocolos seguros)

Proxies (o pasarelas)

Seguridad del edificio

Hosts, Servidores

Routers/Switches

Intrusión

Interna

Intrusión

Externa

• Detección de Intrusiones (siempre)

1.3. Protección contra amenazas externas e internas

1.3. Protección contra amenazas internas

Para protegernos de las posibles amenazas internasalgunas propuestas son:

◦ Diseño de direccionamiento, parcelación y servicios desubredes dentro de nuestra red corporativa: subnetting,VLAN y DMZ, aislando y evitando que los usuarios puedanacceder en red local con los sistemas críticos.

◦ Políticas de administración de direccionamiento estáticopara servidores y routers.

◦ Monitorización del tráfico de red y de las asignaciones dedireccionamiento dinámico y de sus tablas ARP.


1.3. Protección contra amenazas internas

◦ Modificación de configuraciones de seguridad y, en especial,contraseñas por defecto de la administración de servicios.

◦ En redes inalámbricas emplear el máximo nivel de seguridad,fundamentalmente en la encriptación.

◦ Servicios de proxy para evitar accesos no autorizados alexterior.

◦ Capacitación y concienciación del personal.


2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)

Un IDS es una herramienta de seguridad que se utiliza paradetectar o monitorizar los eventos ocurridos en undeterminado sistema informático en busca de intentos quepueden comprometer la seguridad de dicho sistema.



Los IDS buscan patrones previamente definidos (disponende una base de datos de “firmas de ataques conocidos)que impliquen cualquier tipo de actividad sospechosa omaliciosa sobre nuestra red o host, aportan capacidad deprevención y de alerta anticipada.

Los tipos de IDS que encontramos son:

◦ HIDS (Host IDS): protegen un único servidor, PC o host.

◦ NIDS (Net IDS): protege un sistema basado en red,

capturando y analizando paquetes de red, es decir, son

sniffers del tráfico de red.



La arquitectura de un IDS, a grandes rasgos, está formadapor:

◦ La fuente de recogida de datos. Estas fuentes pueden ser unarchivo de log, dispositivo de red, IDS host, el propio sistema.

◦ Reglas y filtros sobre los datos y patrones para detectaranomalías de seguridad en el sistema.

◦ Dispositivo generador de informes y alarmas. En algunoscasos con la sofisticación suficiente como para enviar alertasvía mail o SMS.

Ubicación del IDS: uno delante y otro detrás del cortafuegosperimetral de nuestra red.



Ejemplos: Windows y GNU/Linux:

◦ SNORT: sniffer, registro de paquetes, logs para su posterioranálisis, o NIDS.

Ej: snort -dev -l ./log -h 192.168.1.0/24 -c /etc/snort/snort.conf snort.conf: configuración de las reglas, preprocesadores y otros

funcionamientos en modo NIDS.

◦ ISA Server (sólo Windows Server).

◦ TMG (sólo Windows Server R2).

◦ AlienVault (código abierto).



Los sistemas de detección de intrusos permiten detectar

actividad inadecuada, incorrecta o anómala dentro de la

red.

Por lo tanto, en su sentido más amplio, un buen IDS será

capaz de:

◦ detectar las acciones de atacantes externos (intrusiones

propiamente dichas),

◦ así como la actividad de los atacantes internos dentro de la

red.



Ahora bien:

◦ ¿qué se entiende por actividad anómala? ó

◦ ¿qué se considera como intrusión?

Aunque la definición puede variar en función del IDS

utilizado, en general se consideran intrusiones las

siguientes actividades:

◦ Reconocimiento

◦ Explotación

◦ Denegación de Servicio.



Reconocimiento. Los intrusos suelen explotar una red

antes de intentar atacarla utilizando técnicas como:

◦ barridos de ping

◦ explotación de puertos TCP y UDP

◦ identificación del SO

◦ intentos de inicio de sesión

◦ etc.


Mientras que un cortafuegos

puede limitarse a bloquear esos

sondeos, el IDS hará saltar la

alarma.


Explotación. Una vez que en la fase de reconocimiento se

ha identificado el objetivo a atacar, el intruso intentará

utilizar agujeros del sistema. Por ejemplo:

◦ fallos en los servidores Web

◦ en los navegadores de los usuarios

◦ enmascaramiento de IP

◦ desbordamiento de buffer

◦ ataques DNS.

Muchos de estos ataques pasarán completamente

desapercibidos en el cortafuegos, mientras que un buen

IDS alertará de ellos.



Denegación de servicio. Se trata de un ataque capaz de

dejar sin servicio a una determinada máquina.

◦ Normalmente, se utilizan técnicas como el ping de la muerte,

inundación SYN, Land, WinNuke, smurtf, ataques distribuidos,

etc.

Algunos IDS podrán detectarlos antes de que los

servidores bajo ataque dejen de funcionar.


3. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED

TCP/IP es la arquitectura de protocolos que usan los

ordenadores para comunicarse en red.

◦ Emplea puertos de comunicaciones o numeración lógica

que se asignan para identificar cada una de las

conexiones de red, tanto en el origen como en el destino.

◦ Algunos de los servicios de red más habituales utilizan los

denominados puertos bien conocidos

80 HTTP o web

20-21 para transferencia de ficheros FTP

22 para administración remota vía SSH

53 para el servicio DNS.

…



◦ Los distintos sistemas y sus aplicaciones de red, también

ofrecen y reciben servicios a través de dichos puertos.

Solamente a través de un conocimiento y análisis exhaustivo de

los puertos y las aplicaciones y equipos que los soportan podemos

asegurar nuestras redes.

3306 para el SGBD MySQL

1521 para el SGBD Oracle

8080 para el contenedor de aplicaciones Tomcat

…



El análisis y control de los puertos se pueden realizar

desde distintos frentes:

1.- En una máquina local, observando qué conexiones y

puertos se encuentran abiertos y qué aplicaciones los

controlan.

El comando netstat y todas las aplicaciones basadas en éste

permiten ver el estado en tiempo real de nuestras conexiones.

La aplicación nmap también permite ver si los puertos están o no

abiertos.

Los cortafuegos o firewall personales ofrecen protección frente aataques externos.



2.- En la administración de red, para ver qué puertos y en qué

estado se encuentran los de un conjunto de equipos.

La aplicación nmap permite un escaneo de puertos, aplicaciones y

sistemas operativos, en un rango de direcciones.

Aplicaciones tanto gratuitas como de uso comercial tales como GFI

Languard, Angry IP Scan, OpenNMS, Nagios, …

Los cortafuegos y proxys perimetrales ofrecen protección

mediante un filtrado de puertos y conexiones hacia y desde el

exterior de una red privada.


4. COMUNICACIONES SEGURAS

Todavía hoy en día muchas de las comunicaciones que

empleamos en la red como HTTP, FTP o SMTP/POP no

emplean cifrado en las comunicaciones.

◦ Wireshark o Cain & Abel tienen la capacidad de ver y/orecuperar tráfico y contraseñas de dichos protocolos.



En cambio, existen protocolos que empleancomunicaciones cifradas:

◦ SSH (puerto 22) empleado como túnel o con el envío/copia

segura de archivos mediante SFTP y/o SCP.



◦ SSL y TLS: Secure Sockets Layer -Protocolo de Capa de

Conexión Segura- (SSL) y Transport Layer Security -

Seguridad de la Capa de Transporte- (TLS), su sucesor.

Se ejecutan en una capa entre los protocolos de aplicación y

sobre el protocolo de transporte TCP. Ello permite encapsular de

forma cifrada los datos del usuario antes de ser envueltos en un

segmento de la capa de transporte.

Entre otros, se emplea a través de puertos específicos con

HTTPS, FTPS, SMTP/TLS, POPS, etc.


La capa SSL envuelve a HTTP

antes de pasar a capas inferiores.


◦ IPSEC o Internet Protocol SECurity, conjunto de protocolos

cuya función es asegurar las comunicaciones sobre el

Protocolo de Internet (IP) autenticando y/o cifrando cada

paquete IP en un flujo de datos.

Actúan en la capa 3 con lo que pueden ser utilizados por

protocolos de la capa 4, TCP y UDP.

Una ventaja importante es que para que una aplicación puedautilizar IPSEC no hay que hacer ningún cambio.


4.1. TÚNELES

Un túnel se utiliza para encriptar tráfico de aplicaciones

individuales.

◦ Encripta el tráfico para un protocolo y puerto determinado.

◦ Algunas implementaciones permiten comprimir el tráfico. Si

bien esto depende de la relación entre la velocidad de la red y

de la CPU.

◦ No es útil para aplicaciones que pueden generar conexiones

dinámicamente.


4.1. TÚNELES

Túnel SSH

◦ Tuneliza de forma nativa y transparente conexiones X11.

◦ Comprime con gzip.

◦ Tuneliza solamente sobre TCP. No soporta UDP.

◦ No es útil para aplicaciones que pueden generar conexiones

dinámicamente.

◦ No dar privilegios al usuario que crea el túnel.


4.1. TÚNELES

Túnel Stunnel

◦ Permite dar soporte SSL a servicios que no lo tienen

nativamente (https, imaps, etc.).

◦ Una sola instancia en ejecución del proceso Stunnel puede

atender varios túneles.

◦ Tuneliza solamente sobre TCP. No soporta UDP.


4.2. VPN

Una aplicación esencial hoy día en el ámbito de las

conexiones seguras es el empleo de las VPN.

Una red privada virtual o VPN (Virtual Private

Network) es la interconexión de un conjunto de

ordenadores haciendo uso de una infraestructura

pública, normalmente compartida, para simular una infraestructura dedicada o privada.


◦ Las VPNs tienen la característica

de utilizar direccionamiento no

integrado en la red del ISP.

◦ Se cifra la información a través

de la infraestructura pública.

4.2. VPN

Se basa en la creación de túneles. Los túneles pueden

conectar usuarios u oficinas remotas.


Red SNA

Red TCP/IP

Túnel SNA transportando datagramas IP

Los datagramas IP viajan ‘encapsulados’ en paquetes SNA

Encapsulador Encapsulador

Datagrama IPPaquete

SNA

Red TCP/IP

4.2. VPN

Ejemplos de uso:

◦ Conectar utilizando Internet, dos o más sucursales de una

empresa.

◦ Permitir a los miembros del equipo de soporte técnico la

conexión desde su casa al centro de trabajo (acceso remoto).


4.2. VPN

Para hacerlo de manera segura es necesario garantizar:

◦ Autenticación y autorización: se controlan los usuarios y/o

equipos y qué nivel de acceso deben tener.

◦ Integridad: los datos enviados no han sido alterados; para

ello, se utilizan funciones resumen o hash, como MD5

(Message Digest) o SHA (Secure Hash Algorithm).

◦ Confidencialidad: la información que viaja a través de la red

pública solo puede ser interpretada por los destinatarios de la

misma. Para ello, se hace uso de algoritmos de cifrado como

DES (Data Encryption Standard), 3DES (Triple DES) y AES

(Advanced Encryption Standard).

◦ No repudio: los mensajes tienen que ir firmados.


4.2. VPN

Los componentes de una VPN son:

• Servidor VPN.

• Cliente VPN.

• Túnel, protocolos de túnel y Red de Tránsito.

• Conexión VPN.


4.2. VPN

• Servidor VPN: Generalmente, los servidores VPN son

hardware dedicado ejecutando software de servidores.

Dependiendo de los requerimientos de la organización,

puede haber uno o más servidores VPN.

Escucha las peticiones de conexión VPN.

Negocia parámetros y requerimientos de conexión, tales como los

mecanismos de cifrado y autenticación.

Autenticación y autorización de clientes VPN.

Acepta información del cliente o la petición de reenvío de

información del cliente.

Actúa como el punto final del túnel VPN y la conexión. El otro

punto de conexión se provee por las peticiones del usuario a la

conexión VPN.


4.2. VPN

• Cliente VPN: son máquinas locales o remotas que inicializan

la conexión VPN a un servidor VPN y se introducen a la red

remota después de haberse autenticado en el extremo de la

misma. Después de un acceso exitoso pueden comunicarse

mutuamente el servidor VPN y el cliente.

• Túnel, protocolos de túnel y Red de Tránsito: parte de la

conexión de la red exterior en la que los datos van

encapsulados.

• Conexión VPN: enlace sobre un medio compartido en el cuallos datos son cifrados y encapsulados.


4.2. VPN

Ventajas:

◦ Reducción de costes de implementación: las VPNs son

considerablemente menos costosas que las soluciones

tradicionales, las cuales están basadas en líneas alquiladas,

Frame Relay, ATM o ISDN.

◦ Reducción de costes por administración y manejo: al

reducir los costes de comunicaciones a larga distancia, las

VPNs también bajan los costes de las redes WAN

considerablemente.


4.2. VPN

Ventajas (cont.):

◦ Seguridad en las transacciones: usan las tecnologías de

túneles para transmitir datos a través de las redes públicas

'inseguras'. Esto conlleva cifrado, autenticación y autorización

para garantizar la seguridad, confiabilidad e integridad de los

datos transmitidos.

◦ Uso eficiente del ancho de banda: las VPNs crean túneles

lógicos cuando son requeridas. En el caso de las conexiones

a Internet basadas en líneas alquiladas, el ancho de banda es

desperdiciado enteramente cuando no existe una conexión

activa.


4.2. VPN

Ventajas (cont.):

◦ Alta escalabilidad: como las VPNs están basadas en las

conexiones a Internet, permiten a la red interna (Intranet)

corporativa evolucionar y crecer, cuando y como el negocio

cambie, con el mínimo de equipo extra o expansiones.


4.2. VPN

Existen tres arquitecturas de conexión VPN:

◦ VPN de acceso remoto

◦ VPN punto a punto

◦ VPN over LAN o interna


4.2. VPN

◦ VPN de acceso remoto: es el más usado. Usuarios o

proveedores se conectan con la empresa desde sitios

remotos utilizando Internet como vínculo de acceso. Una vez

autenticados tienen un nivel de acceso muy similar al que

tienen en la red local de la empresa.

◦ VPN punto a punto: conecta ubicaciones remotas como

oficinas, con una sede central de la organización. El servidor

VPN posee un vínculo permanente a Internet y acepta las

conexiones vía Internet provenientes de los sitios y establece

el túnel VPN. Mediante la técnica de Tunneling se

encapsulará un protocolo de red sobre otro creando un túnel

dentro de una red.


4.2. VPN

◦ VPN over LAN o interna: es el menos difundido pero uno de

los más poderosos para utilizar dentro de la empresa. Sobre

la propia LAN de la empresa, aísla zonas y servicios de la red

interna, a los que se puede añadir cifrado y autenticación

mediante VPN.

Esta capacidad lo hace muy conveniente para mejorar las

prestaciones de seguridad de las redes inalámbricas (WiFi).

Un ejemplo clásico es un servidor con información sensible, como

las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual

provee autenticación adicional más el agregado del cifrado,

haciendo posible que sólo el personal de RRHH habilitado pueda

acceder a la información.


4.2. VPN


Puede ir encriptado

(si se usa IPSec ESP)

200.1.1.20

ISP 1

ISP 2

199.1.1.69

199.1.1.10

Servidor de Túneles

Rango 199.1.1.245-254199.1.1.245

Origen: 200.1.1.20

Destino: 199.1.1.10

Origen: 199.1.1.245

Destino: 199.1.1.69

Datos

POP (Point Of Presence)

Red 200.1.1.0/24Ping 199.1.1.69

Origen: 199.1.1.245

Destino: 199.1.1.69

Datos

Servidor con acceso

restringido a usuarios

de la red 199.1.1.0/24

Red 199.1.1.0/24

VPN para un usuario remoto

4.2. VPN


VPN para una oficina remota

199.1.1.69

Túnel VPN

Internet

Red oficina

remota

Red oficina

principal

200.1.1.20

199.1.1.245

199.1.1.246

199.1.1.1

A 199.1.1.192/26 por 200.1.1.20

Subred 199.1.1.192/26 Subred 199.1.1.0/25

199.1.1.193

Origen: 199.1.1.245

Destino: 199.1.1.69

DatosPing 199.1.1.69

199.1.1.50

Puede ir encriptado

(si se usa IPSec ESP)

Origen: 200.1.1.20

Destino: 199.1.1.1

Origen: 199.1.1.245

Destino: 199.1.1.69

Datos

4.2. VPN

Implementaciones.

◦ Las distintas opciones disponibles en la actualidad caen en

tres categorías básicas:

Soluciones de hardware

Soluciones basadas en firewall

Aplicaciones VPN por software.

◦ Cada tipo de implementación utiliza diversas combinaciones

de protocolos para garantizar las tres características

fundamentales de la Seguridad Informática: Autenticación,

Integridad y Confidencialidad.


4.2. VPN

1.Las soluciones de hardware casi siempre ofrecen:

◦ Mayor rendimiento

◦ Mayor facilidad de configuración

◦ Menos flexibilidad que las versiones por software.

◦ Dentro de esta familia tenemos a los productos de Cisco, Linksys,

Nortel, Netscreen, Symantec, Lucent, Nokia, US Robotics, D-Link.

etc.

2.En el caso basado en firewalls, se obtiene un nivel de

seguridad alto por la protección que proporciona el firewall, pero

se pierde en rendimiento. Muchas veces se ofrece hardware

adicional para procesar la carga vpn. Ejemplo Checkpoint NG,

Cisco Pix.


4.2. VPN

3.Las aplicaciones VPN por software son las más configurables,

obviamente el rendimiento es menor y la configuración más

delicada, porque se suma el sistema operativo y la seguridad del

equipo en general.

Estas VPNs son ideales en casos donde ambos extremos de la

VPN no están controlados por la misma organización o cuando

diferentes firewalls y enrutadores se implementan dentro de la

misma.

◦ Hay soluciones nativas de Windows como ISA Server / TMG

Forefront

◦ También hay soluciones para Linux y los Unix en general.

Por ejemplo productos de código abierto (Open Source) como OpenSSH,

OpenVPN y FreeS/Wan.


4.2. VPN

El protocolo estándar que utiliza VPN es IPSEC.

También trabaja con PPTP, L2TP, SSL/TLS, SSH, etc.

Dos de las tecnologías más utilizadas:

◦ PPTP o Point to Point Tunneling Protocol: protocolo Microsoft.

Sencillo y fácil de implementar pero de menor seguridad que

L2TP.

◦ L2TP o Layer Two Tunneling Protocol: estándar abierto y

disponible en la mayoría de plataformas Windows, Linux, Mac,

etc. Se implementa sobre IPSec y proporciona altos niveles

de seguridad.


4.2. VPN

Modos de funcionamiento IPSec:

◦ Modo transporte: comunicación segura extremo a extremo.

Requiere implementación de IPSec en ambos hosts. No se

cifra la cabecera IP.

◦ Modo túnel: comunicación segura entre routers únicamente

que ejecutan pasarelas de seguridad. Encripta el paquete IP

por completo. Permite incorporar IPSec sin tener que

modificar los hosts. A los paquetes se añade otra cabecera.Se integra cómodamente con VPNs.


4.2. VPN


Internet

Túnel IPSec

Internet

Router o cortafuego

con IPSec

IPSec modo túnel Router o cortafuego

con IPSec

Host con IPSec Host con IPSecIPSec modo transporte

5. REDES INALÁMBRICAS

Ventajas sobre el cable:

◦ Conectividad en cualquier momento y lugar, es decir mayor

disponibilidad y acceso a redes.

◦ Instalación simple y económica.

◦ No hay limitaciones físicas de cableado por los que es fácilmente

escalable.

Riesgos y limitaciones.

◦ Rangos del espectro de radiofrecuencia (RF) sin costes de licencia

por su transmisión y uso. Rangos saturados (al ser de uso público) e

interferencias entre señales de diferentes dispositivos.

◦ Poca seguridad. Permite a cualquier equipo con tarjeta de red

inalámbrica interceptar cualquier comunicación de su entorno.


5. REDES INALÁMBRICAS

Se han desarrollado técnicas para ayudar a proteger las

transmisiones inalámbricas: mejoras continuas en

encriptación y la autenticación.

Comunicaciones cableadas (fibra, cable de pares, coaxial)

son aún los medios de acceso físico más seguros queexisten en la actualidad.

http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-wifi


http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-wifi

5.1. SISTEMAS DE SEGURIDAD EN WLAN

Los sistemas de cifrado empleados tanto para autenticación

como para encriptación en redes inalámbricas son:

◦ Sistema abierto u Open System: sin autenticación en el

control de acceso a la red, realizado por el punto de acceso, ni

cifrado en las comunicaciones.



WEP o Wired Equivalent Privacy o Privacidad Equivalente a

Cableado: sistema estándar en la norma 802.11. Encriptación de

los mensajes claves de 13 (104 bits) o 5 (40 bits) caracteres,

también denominadas WEP 128 o WEP 64 respectivamente.

Autenticación existen dos métodos:

Sistema abierto u Open system, el cliente no se tiene que

identificar en el Punto de Acceso durante la autenticación. Después

de la autenticación y la asociación a la red, el cliente tendrá que

tener la clave WEP correcta para descifrar mensajes enviados y

recibidos.

Claves precompartida, Pre-Shared Keys o PSK. Se envía la

misma clave de cifrado WEP para la autenticación, verificado por el

punto de acceso.



No es aconsejable usar la autenticación de sistema abierto para

la autenticación WEP, ya que es posible averiguar la clave WEP

interceptando los paquetes de la fase de autenticación.

◦ WPA o Wi-Fi Protected Access o Acceso Protegido Wi-Fi: creado

para corregir las deficiencias del sistema previo WEP. Actualmente

se emplea WPA2 como estándar 802.11i.

◦ Se proponen dos soluciones según el ámbito de aplicación:

WPA2 Empresarial o WPA2-Enterprise (grandes empresas): la

autenticación es mediante el uso de un servidor RADIUS donde se

almacenan las credenciales y contraseñas de los usuarios de la red.

WPA2 Personal (pequeñas empresas y hogar): la autenticación se realiza

mediante clave precompartida, similar al WEP.



Una de las mejoras de WPA sobre WEP es la

implementación del protocolo de integridad de clave

temporal (TKIP - Temporal Key Integrity Protocol), que

cambia claves dinámicamente a medida que el sistema

es utilizado.

Aporta un mayor nivel de seguridad en el cifrado con el

algoritmo de cifrado simétrico AES. Es más robusto y

complejo que TKIP pero su implementación requiere

hardware más potente por lo que no se encuentra

disponible en todos los dispositivos.



WPA2-Personal utiliza◦ Autentificación: PSK (PreShared Key).Contraseña compartida entre el

punto de acceso y los clientes Wi‐Fi

◦ La contraseña debe ser suficientemente larga (más de 20 caracteres)

y difícilmente adivinable.

◦ Opción recomendada para redes Wi-Fi personales o para pequeñas

empresas.

WPA2-Enterprise utiliza◦ Autentificación:802.1X/EAP.

Contraseñas aleatorias (servidor RADIUS).

◦ Múltiples tipos de protocolos EAP: Usuario y contraseña, certificados

digitales, tarjetas inteligentes (smartcards)…

◦ Opción recomendada para redes Wi-Fi empresariales o corporativas.



WPA2 Enterprise o empresarial:1. Configurar Servidor Radius (ej:Freeradius)

2. Asociar punto de acceso a servidor de autenticación RADIUS

3. Configurar cliente o tarjeta de red inalámbrica.


5.2. RECOMENDACIONES DE SEGURIDAD EN WLAN

Acceso a redes inalámbricas, punto muy débil de seguridaden redes corporativas:

1. Asegurar la administración del punto de acceso (AP), puntode control de las comunicaciones de todos los usuarios,crítico en la red, cambiar la contraseña por defecto.

2. Actualizar el firmware disponible mejorar sus prestaciones deseguridad.

3. Aumentar la seguridad de los datos transmitidos: encriptaciónWPA/WPA2 o servidor Radius, y cambiando las clavesregularmente.

4. Sistema de detección de intrusos inalámbrico (WIDS).



5. Reducir la intensidad del alcance de la señal.

6. Realizar una administración y monitorización minuciosa,administración más compleja de clientes, pero más segura:

1. Cambiar el SSID por defecto y no desactivar el broadcastingSSID. Los clientes deberán conocer el nombre del SSID.

2. Desactivar el servidor DHCP, y asignar manualmente lasdirecciones IP en clientes.

3. Cambiar las direcciones IP del punto de acceso y el rango de lared por defecto.

4. Filtrado de conexiones permitidas mediante direcciones MAC.5. Número máximo de dispositivos que pueden conectarse.6. Analizar periódicamente los usuarios conectados verificando si

son autorizados o no.

7. Desconectar el Punto de Acceso cuando no se use.



8. En los clientes Wi-Fi:

Actualización del sistema operativo y controlador Wi‐Fi

Deshabilitar el interfaz Wi‐Fi cuando no se está utilizando

Evitar conectarse a redes Wi‐Fi inseguras, como por ejemploredes públicas abiertas o basadas en WEP

Mantener actualizada la lista de redes preferidas (PNL).


DIRECCIONES DE INTERÉS

Curso abierto con materiales y ejercicios sobre Seguridad Avanzada en Redes◦ http://ocw.uoc.edu/informatica-tecnologia-y-

multimedia/aspectos-avanzados-de-seguridad-en-redes/materiales/view?set_language=es

Sitio web sobre seguridad informática en materia de redes:◦ http://www.virusprot.com/

Noticias sobre seguridad en redes. Asociación de internautas:◦ http://seguridad.internautas.org/

Conexiones inalámbricas seguras y auditorías wireless en:◦ http://www.seguridadwireless.net/

Blog especializado en seguridad y redes◦ http://seguridadyredes.nireblog.com/


http://ocw.uoc.edu/informatica-tecnologia-y-multimedia/aspectos-avanzados-de-seguridad-en-redes/materiales/view?set_language=es

http://www.virusprot.com/

http://seguridad.internautas.org/

http://www.seguridadwireless.net/

http://seguridadyredes.nireblog.com/

DIRECCIONES DE INTERÉS

Escaneo de puertos on-line◦ http://www.internautas.org/w-scanonline.php◦ http://www.kvron.com/utils/portscanner/index.php

Test de velocidad de tu conexión a Internet◦ http://www.adsl4ever.com/test/◦ http://www.testdevelocidad.es/◦ http://www.internautas.org/testvelocidad/◦ http://www.adslayuda.com/test-de-velocidad/

Test sobre phishing de Verisign disponible en ◦ https://www.phish-no-phish.com/es


http://www.internautas.org/w-scanonline.php

http://www.kvron.com/utils/portscanner/index.php

http://www.adsl4ever.com/test/

http://www.testdevelocidad.es/

http://www.internautas.org/testvelocidad/

http://www.adslayuda.com/test-de-velocidad/

https://www.phish-no-phish.com/es

SOFTWARE-SIMULADORES

Simuladores de configuración de dispositivos como router-punto de acceso inalámbrico TP-LINK. ◦ http://www.tp-link.com/support/simulator.asp

◦ http://www.tp-link.com/simulator/TL-WA501G/userRpm/index.htm

Simulador del router inalámbrico Linksys WRT54GL:◦ http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm

Simuladores de routers inalámbricos D-Link:◦ http://support.dlink.com/emulators/dwlg820/HomeWizard.html

◦ http://support.dlink.com/emulators/dsl2640b/306041/vpivci.html

◦ http://support.dlink.com/emulators/dwl2100ap

◦ http://support.dlink.com/emulators/di604_reve


http://www.tp-link.com/support/simulator.asp

http://www.tp-link.com/simulator/TL-WA501G/userRpm/index.htm

http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm

http://support.dlink.com/emulators/dwlg820/HomeWizard.html

http://support.dlink.com/emulators/dsl2640b/306041/vpivci.html

http://support.dlink.com/emulators/dwl2100ap

http://support.dlink.com/emulators/di604_reve

SOFTWARE

Angry IP Scanner : software escaneador de IP. ◦ http://www.angryip.org/w/Download

Wireshark: Packet sniffer: ◦ http://www.wireshark.org/download.html

Cain & Abel: sniffer, generador de ataques MitM, spoofing, etc.◦ http://www.oxid.it/cain.html

SNORT: software de detección de intrusos (IDS).◦ http://www.snort.org/

Alarmas de intentos de duplicados ARP: bajo GNU/Linux Arpwatch o en Windows DecaffeinatID◦ Arpwatch: http://freequaos.host.sk/arpwatch/◦ DecaffeinatID: http://www.irongeek.com/i.php?page=security/decaffeinatid-

simple-ids-arpwatch-for-windows

Openssh-server: servidor de SSH.◦ http://www.openssh.com/

Putty: cliente SSH bajo sistemas Windows.◦ http://www.putty.org/


http://www.angryip.org/w/Download

http://www.wireshark.org/download.html

http://www.oxid.it/cain.html

http://www.snort.org/

http://freequaos.host.sk/arpwatch/

http://ocw.uoc.edu/informatica-tecnologia-y-multimedia/aspectos-avanzados-de-seguridad-en-redes/Course_listing

http://www.irongeek.com/i.php?page=security/decaffeinatid-simple-ids-arpwatch-for-windows

http://www.openssh.com/

http://www.putty.org/

SOFTWARE

Logmein Hamachi: software de conectividad P2P y VPN entre equipos remotos.◦ www.logmein.com

Backtrack: distribución específica con un conjunto de herramientas de auditoríasde seguridad, entre otras algunas que permiten escalada de privilegios ensistemas Windows (ophcrack) y GNU/Linux (John the ripper).◦ http://www.backtrack-linux.org/

Wifiway y Wifislax: distribuciones orientadas a realizar auditorías wireless, comorecuperación de contraseñas. En las últimas versiones incluyen Minidwep-gtk.◦ www.wifiway.org/◦ http://www.wifislax.com/

Openwrt: distribución de actualización del firmware para routers y puntos deacceso inalámbricos. Se recomienda siempre realizar previamente una copia deseguridad del firmware actual.◦ http://openwrt.org/

AlienVault: software libre de administración y monitorización de redes.◦ http://alienvault.com/

FreeRadius: servidor Radius, de software libre.◦ http://freeradius.org/


http://www.logmein.com/

http://www.backtrack-linux.org/

http://www.wifiway.org/

http://www.wifislax.com/

http://openwrt.org/

http://alienvault.com/

http://freeradius.org/

NOTICIAS

Tabnabbing; phishing a través de las pestañas delnavegador◦ Fuente: http://www.hispasec.com/unaaldia/4231

Artículo de pintura antiwifi de EM-SEC Technologies.Puede leer sobre dicha pintura en:◦ http://www.publico.es/ciencias/273942/una-pintura-

protege-a-los-navegantes-de-los-intrusos/version-imprimible


http://www.hispasec.com/unaaldia/4231

http://www.publico.es/ciencias/273942/una-pintura-protege-a-los-navegantes-de-los-intrusos/version-imprimible

UT2-2 ATAQUES Y CONTRAMEDIDAS … · • Es un ataque contra la disponibilidad. • Ejemplos de...

Documents

Transcript of UT2-2 ATAQUES Y CONTRAMEDIDAS … · • Es un ataque contra la disponibilidad. • Ejemplos de...