Estimacin de los niveles de riesgo en una red

Departamento de Electrnica

Principales Problemas de Seguridad en Redes Corporativas

e InstitucionalesNombre alumno: Juan Pablo Escobar Zorn

Rol: 2721063-5

Nombre Profesor: Agustn Gonzlez V.Fecha: 04/08/08

Resumen

Seguridad Corporativa: Seguridad en redes es mantener bajo proteccin los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de seguridad tales que permitan el control de lo actuadoRiesgos en una Red Corporativa: Las personas son el recurso de mayor importancia al evaluar los riesgos en una red, puesto que la seguridad en una red comienza y termina con las personas.Estimacin de los niveles de riesgo en una red: El anlisis de riesgos debe incluir lo siguiente:

Qu se necesita proteger

De quin protegerlo

Cmo protegerlo

La evaluacin total del riesgo estimativo de un recurso, resulta del producto del riesgo de prdida del recurso y la importancia del recurso.Procedimientos de seguridad a nivel de usuarioLos datos del usuario deben llenar los siguientes campos: nombre y apellido, puesto que ocupa en la corporacin, nombre del superior directo que confirme la posicin del individuo, etc. Procedimientos de seguridad a nivel global

Entre los procedimientos a nivel global se encuentran: Verificacin de accesos, Chequeo del trfico de red, Monitoreo de los volmenes de correo, Monitoreo de conexiones activas, Monitoreo de modificacin de archivos, etc.

Tipos de Ataques y VulnerabilidadesEntre los ataques a los terminales y a la red se encuentran: La negacin de servicios, obtencin o uso ilcito de claves de acceso, Ataques mediante abuso de bugs o debilidades de los servicios y protocolos de conexin, etc.Herramientas de control y seguimiento de accesosEntre las herramientas se encuentran: tcp-wrappers, Netlog, Courtney, tcpdump, SATAN, ISS, Argus.Introduccin

Toda red presenta problemas. Los problemas, se quiera o no, siempre tendrn que ver con un individuo. Sea cual sea la causa del problema, los parmetros a considerar son normalmente los mismos. Las causales de dichos problemas pueden ser analizados, expuestos y resueltos por medio de protocolos de prevencin y seguridad que los permitan evitar, ahorrando tiempo, recursos y por sobre todo, protegiendo a los miembros de la organizacin. Las redes corporativas presentan problemticas que pueden ser resueltas a travs de estudios y herramientas de organizacin, control y seguimiento que permiten que la funcionalidad de la corporacin permanezca lo ms estable posible dentro de los parmetros que su seguridad lo permitan. El objetivo de este estudio es observar cules son los principales riesgos en una red corporativa, su evaluacin y las herramientas que permitirn la prevencin de los problemas que podran generar, tanto por los miembros de la corporacin como agentes externos a la misma.

Seguridad Corporativa

Para comenzar, se debe tener en cuenta qu es lo que consideramos como una corporacin. Corporacin no es ms que una (o cualquier) organizacin de personas regulada por un conjunto de normas en funcin de determinados fines. Bajo este concepto pueden ser tratadas como corporaciones cualquier empresa, institucin, grupo, departamento, subdepartamento, etctera, que cumpla con la condicin de estar conformado por personas con funciones en comn. Y el desarrollo de este estudio se ver enfocado de acuerdo a esta realidad, especficamente en el rea de seguridad de una red computacional de tipo corporativo. De acuerdo con el estudio de seguridad en el cual se encuentra basado este trabajo, seguridad en redes es mantener bajo proteccin los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de seguridad tales que permitan el control de lo actuado. Bajo esta premisa, debemos hacernos la pregunta: Qu es lo importante en una corporacin, las personas o los datos? Si lo vemos de una perspectiva de mando, ambos resultan recursos de gran valor para cualquier corporacin. Visto desde fuera, la respuesta sera siempre las personas, pero visto desde el punto de vista de este estudio se considerar que el valor del recurso humano tendr siempre mayor valor en la medida que el recurso informtico le entregue dicho valor. Dicho de otra manera, la informacin de la cual es responsable una persona determinar su importancia en una corporacin. Y dicho esto, la informacin manejada por esta persona poseer cierto nivel de importancia, y el hecho de mantener y cuidar de esta informacin (y el trfico de la misma por la red) permitir cuidar de su integridad (la de las personas), al resguardar su privacidad y capacidad productiva dentro de la corporacin.

Riesgos en una Red Corporativa

En concordancia con lo anteriormente expuesto, podemos por lo tanto concluir que las personas son el recurso de mayor importancia al evaluar los riesgos en una red, puesto que la seguridad en una red comienza y termina con las personas. Para empezar, lo mejor siempre es organizar la red (y por supuesto las personas que la incluyen) en grupos de trabajo. Por ejemplo, en un edificio de oficinas lo correcto sera dividir la red por pisos y por departamentos; luego individualizar los sujetos para finalmente establecer los niveles de responsabilidad de cada piso, departamento e individuo, de acuerdo a su funcin y ocupacin. Hago especial hincapi en este punto debido a que las cifras avalan esta posicin: el 80 % de los problemas generados en una red son bsicamente responsabilidad de sus integrantes, y slo el 20 % se debe a factores externos de una corporacin. Los tres factores que alimentan esta estadstica son: Ignorancia, haraganera y malicia. La ignorancia como factor puede ser fcilmente solucionado mediante cursos (seminarios de seguridad internos), publicidad (pop-ups en las ventanas de inicio de sesin, folletos, publicaciones en murales, etc.) y mediante exmenes peridicos de las habilidades de cada miembro. La haraganera, o flojera, es un factor muy comn en las grandes corporaciones, en las cuales las principales brechas de seguridad se deben a la incompetencia de sus miembros, al no apagar su equipo cuando se retira de su lugar de trabajo, olvidan cerrar su sesin, o simplemente, dejan encendido su terminal, sin proteccin alguna de otros individuos que buscan daar su posicin. Y en este ltimo punto saltamos al tercer factor: la malicia. En ningn lado nos encontramos libres de las emociones de nuestros pares, especialmente cuado tratamos con personas que trabajan par a par con nosotros, que buscan o anhelan ascender de cualquier manera en los niveles de una organizacin. Basta decir que evitar ambientes de rivalidad y competencia desleal, e incentivar la lealtad entre los pares de una organizacin logran solucionar este tipo de problemas. La participacin condicionada tambin ayuda a incrementar la seguridad de una organizacin, al preguntar y escuchar los diversos problemas que las personas tienen con los equipos conectados a red. Esto permite ver las cosas desde el enfoque de aquellos que participan en la red (usuarios).

El punto que quizs ms problemticas genera al poner en marcha un plan de seguridad es, por supuesto, la puesta en marcha del plan. La mayora de los usuarios tienen problemas para aclimatarse con las nuevas disposiciones de seguridad, y tienden a desconfiar, cometer errores, y obviamente, reclamar por los problemas que tienen. La solucin es dar por lo general un cierto perodo de marcha blanca, en el cual la red debe ser monitoreada de manera frecuente para ir solucionando los diferentes problemas imprevistos en el plan de seguridad, y adems para evitar posibles ataques externos que se aprovechen de la vulnerabilidad del sistema. Estimacin de los niveles de riesgo en una red

No todos los recursos en una red poseen el mismo nivel de riesgo. As mismo, si consideramos que el factor humano tiende a ser el nivel de mayor riesgo, la manipulacin de un determinado recurso entrega un nivel diferente de riesgo que otro. As, el dao fsico a un recurso no siempre generar una consecuencia mayor que el que puede hacerse mediante un software o un determinado recurso de la red. Por ejemplo, no podramos decir que el dao provocado por un desperfecto en un cable puede ser mayor a la filtracin de cierta informacin confidencial. De esta manera, el anlisis de riesgos debe incluir lo siguiente: Qu se necesita proteger

De quin protegerlo

Cmo protegerlo

Del anlisis de estos puntos, es posible realizar estimaciones del riesgo de la prdida de un determinado recurso (R) (a todo nivel) versus su importancia (I). Si les asignamos un valor numrico, digamos de cero a diez, tendremos entonces que para R, cero indica que no existe riesgo y diez como el nivel de riesgo ms alto, y para I, cero indicara un recurso sin importancia, mientras que un valor de diez indicara al recurso ms importante de la red. Estos valores tienden a ser subjetivos a nivel global, pero si se consideran dentro del marco de funcionalidad de una red, podemos ver, por ejemplo, que ser muy difcil encontrar un recurso sin importancia, o que simplemente no exista riesgo de prdida. As tambin probablemente tan slo uno o dos recursos alcanzarn los valores mximos en ambas escalas, o quizs la funcionalidad de la red dependa de la funcionalidad total de todos los recursos (vase, por ejemplo, el caso de una red privada que requiera que todos sus elementos funcionen en sincrona). Como sea, la evaluacin total del riesgo (W) estar determinada por el producto de ambos factores, dando as:

Wi=Ri * EiSiendo W la importancia del riesgo de prdida de un determinado recurso, R el riesgo de prdida del recurso, E la importancia del recurso, y el subndice i el nmero del recurso evaluado.Ejemplificando, supongamos una red simple con un servidor, un MODEM y un router. Los valores fueron entregados luego un anlisis previo que entregaba estas cifras como las mejores para estimar esta red (en este caso, por ejemplo, puede ser el laboratorio de una escuela).A cada componente se le ha asignado un cierto riesgo y una cierta importancia, de acuerdo a la funcionalidad que cumpla esta red. Tenemos entonces

Servidor: R1=10 E1=10

MODEM: R3=3 E3= 3

Router: R2=6 E2=7

El clculo del riesgo evaluado ser, por lo tanto:

Servidor: 10 x 10 = 100 (mximo valor de riesgo!!)

MODEM: 3 x 3 = 9 (nivel de seguridad bajo)Router: 6 x 7 =42 (nivel de seguridad medio)

Mediante este mtodo, podemos evaluar cules son los principales puntos de riesgo en una red. En este caso, vemos que el servidor muestra un valor mximo ponderado de riesgo; la seguridad de este recurso debe ser, por tanto, prioridad por sobre la de los dems. Al realizar cualquier anlisis de riesgo, deben ser considerados todos los recursos (an por triviales que parezcan) cuya seguridad est en riesgo de ser quebrantada.

Los recursos que deben ser considerados en cualquier anlisis son:

Hardware: procesadores, tarjetas, teclados, terminales, estaciones de trabajo, computadoras personales, impresoras, unidades de disco, lneas de comunicacin, cableado de la red, servidores de terminal, routers, Bridges, etc. Software: programas fuente, programas objeto, utileras, programas de diagnstico, sistemas operativos, programas de comunicaciones.

Datos: durante la ejecucin, almacenados en lnea, archivados fuera de lnea, back-up, bases de datos, en trnsito sobre medios de comunicacin.

Gente: usuarios, operadores, tcnicos.

Documentacin: sobre programas, hardware, sistemas, procedimientos administrativos locales.

Accesorios: papel, formularios, cintas, informacin grabada.Ahora bien, de todos estos recursos, el que siempre lleva estadsticamente la delantera en cuanto a riesgo es el recurso humano, en lo que respecta al universo de personas que pueden afectar una corporacin. Como ya habamos dicho, un 80 % corresponde a problemas generados por los mismos integrantes de la organizacin o corporacin, y solo el 20 % restante a elementos externos.Luego de notar esta estimacin, se podrn realizar los diagramas correspondientes, considerando el nmero del recurso y su grado de responsabilidad en cuanto a nivel de acceso a los recursos no humanos de la red. Por ejemplo:Recurso n: 52

Nombre del recurso: Router inalmbrico (5 piso)

Identificacin del Usuario o Grupo: Oficinas de Gerencia COXXXX

Tipo de acceso: Local y remoto

Permiso(s) otorgado(s): Lectura (con seguridad habilitada), acceso a Internet.

Solucionado el problema interno, es importante abocarse a la seguridad contra elementos externos, estimando las posibles falencias que posee nuestra red en cuanto a accesos clandestinos y posibles ataques. Para ello se deben planificar las acciones a seguir mediante un procedimiento de supervisin, con herramientas de control y seguimiento de accesos que permitan verificar peridicamente los eventos que ocurren en la corporacin. Por ejemplo, verificar diariamente el nmero de correos recibidos y/o enviados, el nmero de conexiones de red levantadas en las ltimas 24 hrs., etctera. Tambin es posible extraer semanalmente un estado sobre los ingresos desde el exterior a la intranet (si es que los hay), obtener un informe de los archivos descargados y quin los realiz, informes de trfico en la red, etctera.

Procedimientos de seguridad a nivel de usuario

Todos lo que es recurso humano (persona) en una corporacin en general debera al menos tener un acceso mnimo, con las limitaciones correspondientes, a la red. En caso de que un individuo no posea acceso, ste an debera ser considerado dentro de un informe de autorizacin. Esto para maximizar las posibilidades de supervisin al interior de la red corporativa. Los datos del usuario deben al menos llenar los siguientes campos:

Nombre y Apellido

Puesto que ocupa en la corporacin

Nombre del superior directo que confirme la posicin del individuo

Descripcin de los recursos a los cuales desea tener acceso y su motivo

Consentimiento de que sus actividades son susceptibles de ser supervisadas en cualquier momento y de que conoce las normas de buen uso de los recursos (para lo cual, se le debe dar una copia de tales normas).

Explicaciones breves, pero claras de cmo elegir su contrasea.

Tipo de cuenta

Fecha de caducidad y/o expiracin

Datos referentes a los tipos de acceso (slo lectura, lectura y escritura, sin acceso, acceso limitado, etc.)

Horario de uso (en general).

Con respecto a las contraseas, es importante revisar si la contrasea entregada es segura, haciendo correr por ejemplo, un programa (crack) para determinar cunto se demora en descifrarla. La baja del usuario se realiza cuando un elemento de la organizacin se aleja o cuando cesa en el cumplimiento de sus actividades por un tiempo determinado (vacaciones, viticos prolongados, cambio de departamento, etc.). Esta debe ser informada por el o los departamentos correspondientes a la administracin de redes, que determina la inhabilitacin o eliminacin de la cuenta, con las consecuencias que ello significa (respaldo o eliminacin de la informacin, directorios y archivos de la cuenta).Procedimientos de seguridad a nivel global

Entre los procedimientos a nivel global se encuentran:

Verificacin de accesos: Mediante aplicaciones que informen anomalas, incluyendo fecha, hora, recurso y detalles tcnicos.

Chequeo del trfico de red: tambin mediante aplicaciones que entreguen informes peridicos de los programas que se ejecutan, quin es el encargado de monitorear los datos generados, los intervalos de monitoreo, etc.

Monitoreo de los volmenes de correo: Permite entregar detalles como el ingreso de spam a la red, posibles invasiones o mal uso de los recursos de la red. Monitoreo de conexiones activas: Este procedimiento se efecta con el fin de prevenir que algn usuario deje su terminal abierta y sea posible que alguien use su cuenta. Tambin se usan aplicaciones para monitorear la actividad de las conexiones de los usuarios. Si la cuenta tiene cierto tiempo inactiva, cierra la sesin y genera un informe (log) con el acontecimiento. Monitoreo de modificacin de archivos: Permite determinar la modificacin no autorizada de los recursos de software y/o de la integridad de los mismos. Este es quizs el procedimiento ms importante dentro de lo que es seguridad global, pues permite saber si, por ejemplo, un archivo es eliminado o la presencia de algn tipo de virus en el sistema.

Respaldos de seguridad: No slo es importante respaldar la informacin que se encuentra en la red, sino adems la configuracin de todos los recursos de la red, incluyendo la labor que desempea cada elemento de la red, a fin de crear una respuesta rpida en el momento de que se suscite un problema.

Verificacin de terminales: Esto se hace mediante la revisin de los programas instalados en los equipos terminales de la red, lo que permite monitorear qu aplicaciones sin licencia, archivos bajados potencialmente peligrosos (virus, programas satlite).

Monitoreo de puertos: Permite saber qu puertos estn habilitados en la red, en los enrutadores y en el servidor. Esto se puede hacer incluso con los mismos enrutadores, los cuales poseen aplicaciones integradas que permiten administrar los puertos en forma ms eficiente. Informacin de los procedimientos: Esto es la clave para cualquier sistema que desee evitar el mayor nmero de problemas en una red. Informando apropiadamente, mediante seminarios internos de seguridad, va e-mail y publicaciones peridicas, se llega a ms gente de manera ms eficiente.

Determinacin de los niveles de responsabilidad y acceso: Es importante adems identificar a cada usuario en un grupo determinado (por ejemplo, equipo tcnico, oficina gerencial, oficina zonal, alumnos, profesor, etc.) para determinar el nivel de acceso a los recursos de la red.

Recuperacin del sistema: En caso de un ataque o un colapso eventual del sistema (Se quem el servidor, necesidad de actualizar todos o algunos recursos de la red) es necesario preparar un procedimiento que regule la forma de recuperarlo a travs de los respaldos de seguridad realizados. Para ello se debe estimar la forma y los costos (en materiales y en tiempo) para llevar a cabo la restauracin. Listas de elementos a verificar (check-list): Es importante enlistar todos los procedimientos, con el fin de asegurar la realizacin de cada uno en su totalidad.Tipos de Ataques y Vulnerabilidades

1. Negacin de servicio (denial of service)

Tipo de ataque cuyo propsito es negar el acceso de un determinado recurso o de varios recursos de la red. Esto puede traer como consecuencia la prdida de tiempo valioso para realizar una determinada operacin, incomunicacin o finalmente, la inoperancia de uno o de varios recursos de la red. Existen 3 tipos de ataques bsicos para negar un servicio: Consumo de recursos escasos, limitados, o no renovables: Los recursos propios de los terminales (datos, ancho de banda de subida y/o bajada, acceso a otros terminales) son utilizados por el atacante para su propio beneficio, o en su defecto, para simplemente interrumpir la labor/funcin/actividad de la vctima. Las maneras son, por ejemplo, negar la conexin a la red de los terminales mediante SYN Flood; aprovechar la conectividad de la vctima contra s misma creando una congestin mediante el servicio UDP; consumiendo el ancho de banda tambin mediante el envo masivo de paquetes, etc. Destruccin o alteracin de informacin de configuracin: Simplemente, acceder a su terminal ingresando ilcitamente al recurso (Hack) y eliminar o desconfigurar el sistema operativo y/o datos existentes; o en forma presencial, ingresando a su terminal directamente, obtener su contrasea o realizar un crack de la misma, y luego realizar una operacin similar. Tambin es posible ingresar ilcitamente a la configuracin del router, cambiar la informacin, lo que deshabilitara a la red. Destruccin o alteracin fsica de los componentes de la red: Es muy importante mantener aislados los componentes fsicos de una red, limitar los accesos a los mismos y lo ms importante, mantener un control peridico de la integridad fsica de routers, servidores y terminales.

Prevencin: Entre las medidas a tomar, se encuentra el uso de listas de acceso en los routers (Muchos routers poseen filtros de MAC, los cuales permiten el acceso de slo aquellas terminales que coincidan con el nmero de MAC correspondiente); instalar parches contra flooding de TCP SYN (Muchos equipos vienen ya con esta ventaja incluida); invalidar cualquier servicio de red innecesario o sin utilizar; realizar controles regulares y establezca una lnea base de actividad de la red, lo cual permitira detectar un aprovechamiento de ancho de banda ilcito. Instalar boot disks (tarjetas de booteo) en los terminales importantes y servidores, esto permite que una vez se reinicie el equipo este mantenga la configuracin original.

2. Obtencin o uso ilcito de claves de acceso.

Existen 3 maneras de obtener una clave de acceso: Poseer una clave de acceso: Por lo general, la poseen elementos alejados de la corporacin, por uno u otro motivo. Dicha clave puede ser usada por el mismo o por otro usuario, lo que generara una eventual brecha de seguridad.

Crear una clave de acceso: Esto se logra mediante el ingreso ilcito (Hack) a los servidores y/o terminales, mediante la creacin de un nuevo usuario y contrasea. Cracking de clave de acceso: Mediante un programa especfico, se obtiene la clave de acceso del terminal y/o servidor (cracking). Adems es posible obtener las listas de claves mediante ingreso ilcito a los servidores/terminales (incluyendo las listas encriptadas las cuales pueden ser descifradas mediante un programa especfico (crack)).

3. E-mail bombing y spamming (ataque SMTP)

E-mail bombing: Consiste en enviar muchas veces un mensaje idntico a una misma direccin, saturando el correo (Inbox) del destinatario.

Spamming: Se refiere a enviar el email a centenares o millares de usuarios e, inclusive, a listas de inters. El Spamming puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que todos reciban la respuesta. Esto, combinado con e-mail poofing (que altera la identidad de la cuenta que enva el e-mail, y por consiguiente, oculta la identidad del emisor real) hacen del spamming una de las herramientas favoritas para iniciar ataques hacia redes desprotegidas.

En la actualidad, los servicios de mensajera (como Gmail, Yahoo o MSN) poseen filtros de mensajes spam, los cuales deben estar bien configurados y actualizados para evitar situaciones que puedan generar un problema mayor a la red.

La manera en que afectan este tipo de ataques a la red es principalmente en lo que respecta a la conectividad en s, sobrecargando las conexiones, maximizando la utilizacin de recursos y saturando la memoria del disco. Es muy importante procurar mantener la bandeja de entrada de los servicios de mensajera (Inbox), limpias y vacas, y mantener un respaldo de los mensajes importantes recibidos en otra unidad de memoria. En redes privadas, que poseen su propio cdigo de mensajera (elnick@miempresa.com) se deben crear o mantener en los terminales filtros anti-spam, herramientas de deteccin de correos iterativos, y especialmente incrementar la capacidad del log de los terminales para recibir correo, lo que evitara inicialmente los problemas que generan este tipo de ataques. Otra manera es configurar las listas de acceso de los enrutadores (port 25 para SMTP) para la direccin IP del atacante (slo luego de haber identificado al atacante y siempre despus de un ataque).4. Ataques por FTP

Los ataques por FTP son quizs uno de los favoritos de los hackers y crackers en la actualidad, puesto que el enlace generado ocupa un puerto de preferencia (el 21) en los servidores y adems entrega las facilidades obvias de transferencia de archivos, condicin muy ventajosa para un ataque. El ftp Bounce, por ejemplo, es un recurso de ataque usado para ingresar a la terminal de un tercero, utilizando un servidor como escudo y medio de ocultacin a la vez. Consiste bsicamente en realizar una conexin FTP regular con un servidor, pero con la diferencia que la eleccin del puerto cliente no es arbitraria. La idea de usar la conexin arbitraria del puerto cliente permite al atacante elegir un puerto que no sea el de su propio equipo, sino que otro diferente (el puerto del terminal de la vctima). Esto permite, entre otras cosas, realizar una conexin ilcita con el puerto de la vctima, el servidor y el atacante ocultando la identidad de este ltimo con la del servidor.

Entre los medios para ingresar ilcitamente a otro terminal mediante ftp se encuentran el ftp Bounce (ya mencionado), el escaneo de puertos (ports), que utiliza el mismo recurso de escaneo arbitrario para ubicar un puerto abierto del servidor (o bajo el radar del firewall) que luego se utiliza para invadir el terminal.Para neutralizar estas medidas, es muy importante tener en cuenta que de acuerdo a su funcionalidad hay servidores que pueden trabajar sin conexiones arbitrarias, mientras que otros dependen de stas para cumplir su funcin. Un caso de los primeros sera el servidor de una empresa, y un caso de los segundos, un servidor de uso pblico. Para los segundos, existen algunos convenios que entregan mayor seguridad a la hora de iniciar una conexin. Por ejemplo, el comando PORT incluye parmetros que indican al servidor cul direccin IP conectar y qu puerto abrir en aquella direccin. Este es el medio en el cual se manejan los atacantes para organizar toda su estrategia. Pero trabajando en exclusiva conformidad con las funciones del RFC, se puede lograr que la mquina slo trabaje para un solo terminal por vez, y slo con este terminal. En lneas generales, esto evita que un terminal realice una conexin con el servidor con la intencin de crear otra conexin alterna con diferente direccin. La otra alternativa es realizando un proceso de condicionamiento selectivo de los terminales conectados al servidor, suprimiendo directamente aquellos que no han realizado una conexin inicial. En particular, el servicio ftp es un servicio de gran utilidad, puesto que es rpido y confiable a nivel de usuario, pero sus brechas como se puede ver son muchas, y en lo posible es importante procurar evadir su uso como servicio pblico.5. Ataques por WWW

En lneas generales, los ataques va web Server son variados, y los ms aprovechan los Bugs de los scripts de las pginas para que el servidor entregue informacin que no desea entregar. Un ejemplo muy sencillo es ingresar al directorio raz del web Server, omitiendo la extensin index.htm. Otra manera es cambiando los scripts de la pgina; por ejemplo, crear un clon web con el cdigo fuente de la pgina, luego bajar los scripts y finalmente adulterarlos para que entreguen la informacin que se solicita.6. Existen otras formas de ataque, como lo es el uso de TFTP (trivial file transport protocol), que a diferencia de FTP, usa el protocolo UDP; realizar un pin-log directo usando el protocolo TELNET, el abuso de los comandos r, y el ms comn es el uso y abuso de keyloggers, que registran los caracteres ingresados en los terminales. 7. Seguridad en NetBIOSEl sistema operativo ms usado actualmente es Windows. La mayora de las redes corporativas ocupan este sistema operativo por una razn muy sencilla: es amigable y fcil de usar. Pero es un sistema cerrado. No admite modificaciones, ni libertad de accin en sus subrutinas. Esto quizs por un lado es positivo, ya que tambin entrega un sistema muy difcil de romper, desde el punto de vista de un atacante. Como sea, los sistemas operativos de Microsoft usan el protocolo NetBIOS para comunicarse entre s. Esto significa una gran desventaja desde el punto de vista comunicacional, debido a que otros sistemas operativos no requieren de NetBIOS para comunicarse entre s, pero s para comunicarse con terminales que usan sistemas operativos Microsoft (como todo en Microsoft, es exclusivo de su sistema operativo, pero con un buen parche quien sabe). Este protocolo a su vez debe ir sobre otro de inferior nivel que puede ser uno de los siguientes: NetBEUI, IPX/SPX o TCP/IP. Desde la implementacin de Windows Vista, el protocolo NetBEUI (Interfaz de usuario extendida de NetBIOS) ya no se usa, pero tambin debido a la falta de inters en este ltimo sistema operativo, lo incluiremos en el estudio. A la implementacin de NetBIOS sobre TCP/IP se la conoce como NBT. La ventaja en una red Microsoft es que esta implementacin nos permite compartir archivos e impresoras en una red Microsoft. Por lo general, en redes en las que se encuentran presentes equipos Microsoft la mejor combinacin es usar NBT, aunque a veces es mejor usar otras combinaciones, como es en el caso de una red LAN con conexin a Internet. En este caso, quizs la mejor combinacin es NetBIOS sobre IPX/SPX, que adems tiene la ventaja de compatibilidad con otros sistemas operativos. Dentro del tema, quizs uno de los mayores problemas a los que nos enfrentamos cuando se habla de redes Microsoft, son las carpetas compartidas. Grave error. La mayora considera trivial incluir una contrasea para acceder a una carpeta compartida de slo lectura. Y lo que es peor, ignora absolutamente que esta carpeta puede ser vista por todos los usuarios de Internet. En efecto, si tiene montado el protocolo NetBIOS sobre TCP/IP, la carpeta ser considerada como compartida no slo por todos los usuarios de la red local, sino por todos los usuarios de Internet. Esto se evita de manera relativamente sencilla: se configura el enrutador filtrando los puertos que usan NBT para uso exclusivo de la red local. Esto tambin obviamente aplica a redes WAN. Otras maneras de incrementar la seguridad de las redes son: uso de tarjetas de booteo (boot disks) en los terminales de la red, trabajar con enrutadores confiables (Cisco Systems para redes WAN, no menos de D-Link para redes LAN) y por supuesto, informar a los usuarios acerca de las normas y regulaciones de uso de la red.Herramientas de control y seguimiento de accesosFinalmente, para cualquier administrador de redes le es indispensable poseer herramientas que permitan diagnosticar, supervisar, realizar estimaciones, obtener datos y por sobre todo, defenderse de posibles ataques y resolver los problemas que se generan a nivel interno y externo de una red corporativa. Estas herramientas nos permitirn mantener un control sobre todos los paquetes que entran por la capa de red y de aplicacin de la mquina. Est dems decir que su uso tambin puede ser usado de manera perjudicial, por lo que la instalacin de estos programas debe ser de manera aislada, preferentemente de uso particular del administrador y en un terminal que no sea de tipo servidor. Naturalmente, esto(s) terminal(es) administrativo(s) deben permanecer tambin aislados del uso de otros usuarios de la red.1. tcp-wrappers: Software de dominio pblico cuya funcin es proteger a los sistemas de operaciones no deseadas a determinados servicios de red, permitiendo a su vez ejecutar determinados comandos ante determinadas acciones de manera automtica. Con este programa es posible monitorear y filtrar peticiones entrantes de distintos servicios TCP/IP. Se pueden controlar los accesos mediante el uso de reglas y dejar una traza de todos los intentos de conexin tanto admitidos como rechazados (por servicios, e indicando la mquina que hace el intento de conexin).2. Netlog: Es una herramienta que genera trazas referentes a servicios basados en IP (TCP, UDP) e ICMP, as como trfico en la red que pudiera ser sospechoso y que indicara un posible ataque a la mquina. Est constituido por 3 subprogramas independientes para cada servicio (TCP, UDP, ICMP), y generan estados de todas las conexiones realizadas, indicando hora, mquina de origen y puerto de esta conexin; 1 subprograma que monitorea la red buscando ciertos protocolos con actividad inusual (como una conexin TFTP), y 1 subprograma que nos entrega las estadsticas de uso de varios protocolos, que nos puede ensear cambios sospechosos en los patrones de uso de la red. 3. Argus: Esta herramienta nos permite realizar supervisiones del trfico IP de la red, mostrndonos todas las conexiones del tipo indicado que descubre. 4. tcpdump: Herramienta que imprime las cabeceras de los paquetes que pasan por una interfaz de red. Tanto en la captura como en la visualizacin de la informacin, es posible aplicar filtros por protocolo, puerto, direcciones fuente, direcciones destino y direcciones de red. Los filtros pueden ser realizados por operadores lgicos, y adems ver el tamao de los paquetes de datos.5. SATAN (Security Administrator Tool for Analyzing Network): Esta herramienta es mi favorita. Permite entre otras cosas, chequear mquinas conectadas en red y genera informacin sobre el tipo de mquina, qu servicios da cada mquina, y avisa de varios tipos de fallos de seguridad de cada mquina. La gracia de SATAN es que ocupa una interfaz de pgina web, similar a las que usan los enrutadores para su configuracin. Crea una base de datos de todos los terminales y los va relacionando entre ellos. Por ejemplo, si determina un terminal inseguro, y nota que este terminal est relacionado con otro, el segundo terminal tambin lo considera como inseguro. Sin embargo, as como puede entregar datos valiosos de potenciales ataques y/o problemas de la red, tambin puede ser usado como herramienta para detectar todas las caractersticas de todos los terminales de una red y as preparar un ataque estratgico. El sucesor natural (actual) de esta herramienta es Nessus.6. ISS (Internet Security Scanner): Esta aplicacin chequea una serie de servicios para comprobar el nivel de seguridad que tiene esa mquina. Es capaz de chequear una direccin IP o un rango de direcciones IP, con una IP inicial y una final. Ej: Quiero revisar el nivel de seguridad en el que trabajan los terminales del grupo 8 (4 piso, departamento de administracin tcnica). Los terminales son 15, pero adems s que la IP del primer terminal es 215.1.4.1, y la IP del terminal de la oficina del jefe del departamento es 215.1.4.15. Lo nico que debo hacer entonces es escribir ambas IP como rango para escanear todos los terminales del piso. 7. Courtney (o anti SATAN): Como se dijo anteriormente, SATAN puede ser usado de manera maliciosa para recaudar informacin de las mquinas de una red. Pues bueno, Courtney conjuntamente con tcpdump para determinar si se est realizando un chequeo de puertos en un determinado intervalo de tiempo. Si detecta este chequeo de puertos, Courtney da un aviso, entregando un log con la informacin del terminal que est realizando el chequeo. ConclusionesEl principal factor de riesgo en una corporacin es el factor humano. Como recurso siempre resultar indispensable, y la seguridad de una red depender siempre de cmo evaluar correctamente su grado de responsabilidad en el uso de la red. Dentro de todo procedimiento, los niveles de responsabilidad de cada miembro deben ser considerados a la hora de emitir un juicio de quin debe usar un determinado recurso de la red y de qu manera. Y por sobre todo, siempre mantener un control constante del uso de los recursos de la red, para as evitar su colapso o la prdida de su funcionalidad. Tener conocimiento de cules son las caractersticas de cada recurso (ya sea humano o mquina), controlar sus limitaciones, estar preparado para eventuales ataques y problemas internos, contar con las herramientas adecuadas y mantener supervisin constante de los recursos de la red son la clave de todo buen estudio de seguridad en una red corporativa. Referencias Manual de Seguridad en Redes (ArCERT)Coordinacin de Emergencia en Redes Teleinformticas de la Administracin Pblica Argentina http://www.arcert.gov.ar/webs/manual/manual_de_seguridad.pdf Libro Gua: James F. Kurose and Keith W. Ross, \"Computer Networking: A top-Down Approach Featuring the Internet\", Addison Wesley, Third Edition 2005.

Cliente (hacker) entrega puerto de acceso de otro cliente (vctima).

Host (servidor) solicita conexin de datos en puerto aleatorio.

Cliente (hacker) solicita conexin de control mediante ftp (puerto 21).

Ahora el servidor acta ocultando (lavando) la identidad del atacante

Cliente (hacker) mantiene abierto el canal de control

Terminal atacado ignora la conexin ilcita, pues el puerto abierto se encuentra bajo el radar del firewall

MODEM

R3=3 E3=3

Router

R2=6 E2=7

Servidor

R1=10 E1=10