Seguridad de redes
33
SEGURIDAD DE REDES
Transcript of Seguridad de redes
SEGURIDAD DE REDES
ÍNDICE
SEGURIDAD DE REDES
1. Buenas prácticas en Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
2. Analizador de Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
3. Puntos de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
4. Riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
5. Servidor de Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
6. Ataques y contramedidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
7. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
1. Buenas prácticas en Internet
Objetivos
- Conocer los aspectos importantes de las buenas prácticas en Internet.
- Reconocer los distintos tipos de virus y software dañinos en la red.
- Saber la función de un analizador de redes e identificar los tipos de analizadores de redes.
- Determinar qué es un punto de acceso y sus funciones.
- Conocer los aspectos fundamentales de la conexión a redes inalámbricas.
- Evaluar la seguridad para un servidor Web.
- Identificar los principales factores que generan problemas de seguridad.
- Analizar las actividades que se realizan para agredir un sistema.
- Clasificar los diferentes tipos de ataques.
3
Seguridad de redes
i
Buenas prácticas en Internet
Las buenas prácticas en Internet exigen que seanrespetadas por parte de todos los usuarios. Existenmuchos elementos que pueden atentar contraellas, debemos tener en cuenta algunos aspectoscomo:
- Informar y formar a los menores
- La descarga de contenidos ilícitos
- La descarga de contenidos legales
Informar y formar a los menores sobre el respeto a los derechos de Propiedad Intelectual en Internet y sobrela utilización de las redes P2P para la descarga de contenidos sin autorización de los titulares de derechos.
Interactuar con ellos haciéndoles comprender que Internet es una forma de comunicación que puedeenriquecer sus vidas si se le da un uso adecuado.
Comunicar y educar sobre los contenidos Web inadecuados y las razones.
Conocer y supervisar los sitios Web por los que navegan, los chats y los programas instalados en los equipos.
Formación básica de los padres sobre Internet para conocer el medio, las aplicaciones y sistemas informáticosexistentes para el filtrado de correos electrónicos. No acceder a contenidos indeseados y a programas cuyoscontenidos sean ilegales.
Establecer unas reglas escritas y visibles de navegación por Internet.
4
Seguridad de redes
i
La descarga de contenidos ilícitos conlleva riesgos de:
- Introducir programas espía y virus.
- Dejar sin trabajo a multitud de trabajadores.
- Paralizar la industria y la no inversión en nuevos talentos.
- Consecuencias judiciales para los usuarios de estas redes cuyos contenidos son ilegales.
La descarga de contenidos legales supone:
- Garantía en los sitios de pago de calidad del producto, y posibilidad de reclamar.
- No hablar nunca con extraños cuando estén conectados a las salas de chat.
- No contestar a correos electrónicos de desconocidos sea cual fuere el contenido de los mismos ocuando naveguen por Internet.
- No entrar en páginas de dudoso contenido moral y ético (sexual, violento, etc).
Tipos de virus y softwares dañinos
5
Seguridad de redes
i
Adware. Es un software que muestra anuncios publicitarios que aparecen inesperadamente en el equipo sinel control del usuario. Suele venir con otro tipo de programas que son gratis a cambio de que se permitainstalar adware y que muestre mensajes publicitarios.
El adware no necesariamente es un código malicioso, si lo metemos en esta clasificación es porque en muchasocasiones el adware es instalado sin conocimiento del usuario.
Backdoor: Los backdoor o puertas traseras son programas que permiten el acceso al sistema operativo y alos datos almacenados de un usuario sin su permiso o conocimiento, de forma que quedan expuestos aterceras personas.
Dialers: Los dialers son programas que llaman a un número telefónico de larga distancia o de tarificaciónespecial, para, a través del módem, entrar sin el consentimiento del usuario a páginas con servicios de pago(juegos, videntes, porno...).
Exploit: Un exploit (o xploit) es un software que ataca específicamente una vulnerabilidad particular delsistema operativo. Los exploits suelen ser códigos realizados por los investigadores para demostrar que existeuna vulnerabilidad, pero desgraciadamente son incorporados en otro tipo de software dañino.
Gusanos: Los gusanos son un tipo de virus que se auto-copia a sí mismo aprovechando las vulnerabilidadesde los sistemas operativos. Los gusanos, una vez penetran en el equipo, buscan direcciones de red de otrosequipos y envían copias de sí mismos a todas las direcciones.
Hijacker: El hijacker es un programa que realiza cambios en la configuración del navegador, de forma queredirige al usuario a páginas publicitarias, pornográficas y fraudulentas.
Keylogger: Un keylogger (o keystroker) es un programa que registra todas las pulsaciones del teclado,normalmente para robar claves y passwords y obtener información confidencial como emails y conversacionesde chat.
6
Seguridad de redes
i
Malware: El malware (proveniente del término malicious software) es un tipo de software que tiene comoobjetivo dañar o infiltrarse en un ordenador sin el conocimiento o consentimiento del usuario y confinalidades diversas. Los troyanos y spyware son malwares.
Spyware: Los programas espías o spywares son aplicaciones que recopilan información en un ordenador sobreuna persona u organización sin su conocimiento. Generalmente, su objetivo es el de recopilar informacióncomo datos personales, software instalado y hábitos en Internet de un usuario y distribuirlo a empresaspublicitarias y otras organizaciones interesadas.
Troyanos: Los troyanos son programas que actúan en equipos sin autorización, eliminan información de losdiscos, cuelgan el sistema, roban datos personales, etc.
Este tipo de malware es propagado por piratas, bajo el nombre de sofware corriente que aparentemente esinofensivo.
Virus: Un virus informático es un programa que tiene por objeto alterar el normal funcionamiento de unordenador sin el permiso o el conocimiento del usuario. Los virus pueden destruir, de manera intencionada,los datos almacenados en un ordenador.
7
Seguridad de redes
i
2. Analizador de Redes
Un analizador de redes es un instrumento capaz de analizar las propiedades de las redes eléctricas,especialmente aquellas propiedades asociadas con la reflexión y la transmisión de señales eléctricas,conocidas como parámetros de dispersión (Parámetros-S).
Los analizadores de redes son más usados en altas frecuencias, que operan entre los rangos de 9 kHz hasta110 GHz.
Existen también algunos tipos de analizadores de redes especiales que cubren rangos más bajos defrecuencias, hasta 1 Hz. Éstos pueden ser usados, por ejemplo, en el análisis de estabilidad de lazos abiertoso para la medición de audio y componentes ultrasónicos.
Tipos de analizadores
Hay dos tipos principales de analizadores de redes:
- SNA (Scalar Network Analyzer) – analizador de redes escalar,mide propiedades de amplitud solamente.
- VNA (Vector Network Analyzer) – analizador de redesvectoriales, mide propiedades de amplitud y fase.
8
Seguridad de redes
i
Un analizador del tipo VNA también puede ser llamado Medidor de Ganancia y Fase o Analizador de RedesAutomático.
Un analizador del tipo SNA es funcionalmente idéntico a un analizador de espectro combinado con ungenerador de barrido.
Hasta el año 2007, los analizadores VNA son los más comunes y frecuentemente calificados como los demenor calidad.
Los tres más grandes fabricantes de analizadores de redes son Agilent, Anritsu, y Rhode & Schwarz.
9
Seguridad de redes
i
Arquitectura básica de un analizador de redes
Los modelos que se pueden encontrar más frecuentemente son los de dos puertos, pero también existenmodelos de cuatro puertos en el mercado, y algunos cuentan con algunas mejoras para su fácil operación,como pantalla sensible al tacto y la posibilidad de conectar un ratón o teclado por medio de puertos PS/2 oUSB.
Inclusive los modelos más modernos cuentan con una plataforma en base Windows por lo que su operaciónse simplifica considerablemente.
MTA y LSNA
Una nueva categoría de analizadores de redes es la MTA (Microwave Transition Analyzer), que significaanalizador de transición de microondas, o LSNA (Large Signal Network Analyzer), que significa analizador deredes de señales largas, los cuales miden amplitud y fase de las armónicas fundamentales.
El MTA fue comercializado antes que el LSNA, pero en el primero faltaban algunas opciones para una fácilcalibración que sí están disponibles en la versión LSNA.
10
Seguridad de redes
i
Calibración
La calibración de un analizador de redes es un proceso de alta precisión en el cual, se deben tener en cuentatanto la impedancia en la que se está operando, como las condiciones en las que está operando el equipo.Por este motivo, y dependiendo de la cantidad de Parámetros-S que se requiera medir el proceso puederesultar largo y tedioso por la cantidad de veces que se puede repetir.
Dispositivos de prueba
El estándar de calibración usa tres dispositivos de prueba llamadosOPEN (red abierta), SHORT (red en cortocircuito), y THRU (redconectada), los cuales deben ser conectados a los puertos delanalizador para que éste pueda comparar y establecer la diferenciaentre estos tres modos.
Estos datos son guardados en un registro y cada registro debe sercalibrado independientemente y en el momento en que se le haga unamodificación a la red en estudio.
11
Seguridad de redes
i
E-Cal
Otro tipo de instrumento para la calibración de analizadores de redes es el módulo de calibración eléctrico(E-Cal), el cual se conecta a éste y es automáticamente reconocido poseyendo una mayor precisión.
La única desventaja aparente de este dispositivo es que hay que esperar a que alcance su temperatura deoperación antes de usarlo.
Conclusiones
Los analizadores de LAN cubren el ámbito de la instalación y control de redes. Se pueden utilizar estosanalizadores de LAN in situ y de un modo rápido, por ello son ideales para profesionales de servicio técnicoy administradores de red. Estos aparatos facilitan la determinación de direcciones IP, la identificación de lapolaridad, la medición a doble carga, la detección de un cable concreto... , además se puede encontrar unaparato para el control de conductores de ondas de luz.
Estos analizadores LAN láser muestran los puntos de rotura o los empalmes realizados incorrectamente enlíneas de fibra óptica. Y sólo tienen el tamaño de un bolígrafo grueso. Con estos analizadores de LAN sepuede comprobar el estado de las redes LAN, tanto el cableado, como Hubs y Switches ya que el modelo másavanzado permite analizar el tráfico de la red y la dirección IP que lo genera.
12
Seguridad de redes
i
i
3. Puntos de acceso
Punto de acceso inalámbrico
Un punto de acceso inalámbrico WAP o AP (Wireless Access Point) enredes de computadoras es, un instrumento que interconectadispositivos de comunicación inalámbrica para formar una redinalámbrica. Normalmente un WAP también puede conectarse a unared cableada, y puede transmitir datos entre los dispositivosconectados a la red cable y los dispositivos inalámbricos.
Muchos WAPs pueden conectarse entre sí para formar una red aúnmayor, permitiendo realizar "roaming".
Funcionamiento de los WAP
Los puntos de acceso inalámbricos tienen direcciones IP asignadas, para poder ser configurados. Son losencargados de crear la red, están siempre a la espera de nuevos clientes a los que dar servicios.
El punto de acceso recibe la información, la almacena y la transmite entre la WLAN (Wireless LAN) y la LANcableada. Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar en unrango entre treinta metros y hasta varios cientos.
El usuario final accede a la red WLAN a través de adaptadores. Éstos proporcionan una interfaz entre elsistema de operación de red del cliente (NOS: Network Operating System) y las ondas, mediante una antenainalámbrica.
13
Seguridad de redes
i
Redes ad-hoc
Existen redes Wireless pequeñas que pueden funcionar sin puntos deacceso, llamadas redes “ad-hoc” o modo peer-to-peer, las cuales sóloutilizan las tarjetas de red para comunicarse.
Las redes más usuales son en modo estructurado, es decir, los puntosde acceso harán de intermediario o puente entre los equipos Wifi yuna red Ethernet cableada. Los puntos de acceso normalmente vanconectados físicamente por medio de un cable de pares a otroelemento de red, en caso de una oficina o directamente a la líneatelefónica si es una conexión doméstica.
Celda
Cuando se crea una red de puntos de acceso, el alcance de este equipopara usuarios que se quieren conectar a él se llama “celda”.
Normalmente se hace un estudio para que dichas celdas estén lo máscerca posible, incluso solapándose un poco. De este modo, un usuariocon un portátil, podría moverse de un AP a otro sin perder su conexiónde red.
Los puntos de acceso antiguos, solían soportar solo a 15 a 20 usuarios. Hoy en día los modernos APs puedentener más de 250 usuarios con sus respectivos ordenadores conectándose a ellos.
Cuidado
Si conectamos muchos Access Point juntos, podemos llegar a crear unaenorme red con miles de usuarios conectados, sin apenas cableado ymoviéndose libremente de un lugar a otro con total comodidad.
Cualquier persona con una tarjeta de red inalámbrica y un portátilpuede conectarse a nuestra red Wifi y aprovecharse gratuitamente denuestro ancho de banda.
14
Seguridad de redes
i
4. Riesgos
Red inalámbrica
Si una red inalámbrica no está bien configurada, todas las computadoras que se conecten a ella son tomadascomo miembros de una misma red, lo cual permite que los archivos y la información de cada máquina puedanser "vistos" por los usuarios de las demás.
El problema no es la tecnología Wifi sino la desinformación y laconfianza desmedida que se ha ganado ante la poca difusión de losriesgos que supone conectarse a la Web en lugares cuyas redes estánabiertas.
Si bien el mayor impacto de esta situación se percibe en grandesorganizaciones (por ser las usuarias más frecuentes de portátiles) losindividuos también son susceptibles de correr estos riesgos pues nocuentan con los conocimientos necesarios para darles seguridad a susequipos.
Principales riesgos
Al no tener suficientes sistemas de seguridad, los usuarios queaprovechan estos servicios corren riesgos serios: acceso de terceros ainformación confidencial, usurpación de identidades digitales,alteración y destrucción de datos sensibles y uso de recursos comopunto de lanzamiento de otros ataques.
A eso se suma que se incumplen ciertos requerimientos de la LeyOrgánica de Protección de Datos y el robo de ancho de banda.
15
Seguridad de redes
i
Tecnología inalámbrica
Las redes inalámbricas son prácticas, rápidas y relativamente sencillas de implementar. Además, solucionantoda clase de problemas a aquellas personas que necesitan crear redes específicas para conferencias, eventosy en lugares en los que no se puede tirar cable.
Por estas razones, los consumidores han adoptado rápidamente las diversas formas de tecnología inalámbricay, en la actualidad, las más comunes son el Bluetooth y las redes 802.11x.
Bluetooth
La tecnología Bluetooth suele describirse como una “red de área personal”, debido a su alcance limitado encondiciones normales, y está adoptada por determinados teléfonos móviles y asistentes personales digitales(PDA) a fin de establecer comunicación con periféricos o sincronizarlos con aplicaciones de PC.
802.11x
La tecnología 802.11a, b, b+, h y g (normalmente como 802.11b o, raras veces, como 802.11a o 802.11h) seha convertido, desde la aprobación de la IEEE como estándar en 1997, en tecnologías ampliamente aceptadasen hogares, empresas y hoteles.
16
Seguridad de redes
i
Problemas de la tecnología inalámbrica
El problema con la tecnología inalámbrica es la dificultad de limitar los medios de transmisión sólo a lasáreas que controlamos o a los ordenadores centrales que queremos que estén en nuestra red.
El estándar 802.11b tiene un alcance de unos 100 metros en interiores, las ondas de radio no se pierden aesa distancia. Tan solo se van debilitando hasta un punto en el que no se puede garantizar una buenarecepción con las antenas internas normales.
Encriptación
Los diseñadores del estándar 802.11b decidieron posibilitar(pero no hacer obligatoria) la encriptación de los paquetes dedatos entre dispositivos inalámbricos y limitar el acceso sólo alos dispositivos que conozcan la clave correcta.
Con ello, podían asegurar que los “mirones” no leeríaninformación confidencial, y que esas redes inalámbricas nopodrían usarlas personas que no tuvieran un permiso explícitopara ello.
17
Seguridad de redes
i
WEP
El único mecanismo permitido para la conexión directa en la especificación 802.11x se llama WEP (WiredEquivalent Privacy, o privacidad equivalente a la cableada).
WEP utiliza dos longitudes de clave diferentes, 40 o 128 bits, y utiliza un cifrador continuo, el algoritmo deencriptación de datos RC4.
Puesto que se conocen ataques realizados con éxito contra estos cifradores, WEP usa dos métodos paraproporcionar una mayor protección del contenido y la integridad de los datos.
Funcionamiento de WEP
La comparación de dos textos cualesquiera, encriptados con la misma clave, hace posible conseguir el XORde los dos textos, lo que daría como resultado los textos originales mediante una serie de análisis estadísticos.
Para evitarlo, WEP utiliza también un vector de iniciación de 24 bits (IV) para cambiar de forma efectiva laclave de cada paquete. El IV se envía en abierto, ya que debe usarse al otro lado del canal de comunicaciónpara desencriptar el paquete. Por lo tanto, un posible cracker debería esperar a que pasaran 224 paquetesantes de obtener uno encriptado con el mismo IV.
18
Seguridad de redes
i
Puntos débiles
Puesto que WEP tiene unos defectos tan graves, que generan problemas con el control de accesos y lavisibilidad e integridad de la información, no es la tecnología adecuada para las instalaciones con informaciónsensible. Si observamos que la mayoría de los esquemas de encriptación son adecuados, contando con laprotección y generación adecuada de las claves, podemos observar que el elemento crítico de estudio es lanegociación de dichas claves.
Mientras que hay una gran cantidad de instrucciones para la AAA (autenticación, acceso y contabilidad), paraestablecer la red inalámbrica, existen algunas que llevan la delantera con varios niveles de respaldo porparte de los líderes del sector.
EAP-TLS
Extensible Authentication Protocol - Transport Layer Security tiene la ventaja de ser compatible con WEP,además de tener una buena, robusta y probada capacidad de encriptación y de estar basado en sesiones. TLSse ha usado con éxito durante muchos años para autenticar las transacciones de Internet sin problemassignificativos de seguridad, en conexiones con autenticación mutua.
El problema de la autenticación mutua para TLS es, en realidad, la necesidad de distribuir certificados decliente para cada uno de ellos. Sin una buena implementación de PKI no es sencillo revocar tampoco elacceso a ningún certificado individual.
19
Seguridad de redes
i
EAP-TTLS
La tecnología TLS de túnel tiene todas las ventajas de la TLS y, además elimina la necesidad de certificadosde cliente para la autenticación mutua. TTLS establece la identidad del lado del servidor (normalmente, elpunto de acceso), utilizando para ello una TLS normal, de modo similar a cuando un navegador Web establecela identidad de un servidor Web para transacciones seguras.
Una vez establecida de esta forma una conexión segura, el cliente puede usar otros mecanismos deautenticación existentes, como RADIUS. Esto hace que la instalación sea una tarea sencilla.
LEAP
LEAP ligero no es fácil de describir ya que es un protocolo exclusivo de Cisco poco documentado.
Es compatible con WEP, y se basa en sesiones vinculadas a los esquemas de autenticación RADIUS existentes.
Ejemplo
Con un comprobador inalámbrico, se recogieron unos 200 puntos de acceso inalámbricos durante un díanormal en las instalaciones de varios clientes en la zona de Seattle. Lo sorprendente es que de todos esospuntos de acceso, sólo el 34% estaban encriptados mediante WEP.
Aunque puede ser que otros usasen esquemas de encriptación de cliente a ordenador central, el hecho deNO tener control de acceso en los propios puntos de acceso permite a cualquiera convertirse en una partede la red inalámbrica y, potencialmente, atacar a otros recursos conectados a ella (otras estaciones detrabajo clientes inalámbricas, por ejemplo).
i20
Seguridad de redes
i
5. Servidor de Internet
Servidor de Internet
El servidor puede estar situado en las instalaciones del cliente o en cualquier otra ubicación (como undatacenter), principalmente orientado a realizar las funciones de un servidor de Internet, un servidor weby/o de aplicaciones, servidor de base de datos, servidor de correo entrante y saliente, etc.
Servidor Web
En instalaciones avanzadas, es necesaria la instalación de servicios adaptados a las necesidades del cliente,en este caso, se hace necesaria la instalación de paquetes de software como los siguientes:
- Servidor de Aplicaciones.
- Servidor de base de datos.
Aplicación de servicios mínimos
Este principio indica que el sistema operativo y los protocolos de red disponibles en cualquier dispositivo enred deben ejecutar únicamente los servicios y protocolos justos que sean necesarios para cumplir el objetivo
21
Seguridad de redes
i
empresarial. Por ejemplo, si no se necesita que un servidor aloje ninguna aplicación Web, se debe eliminaro deshabilitar el servicio World Wide Web.
La mayoría de los sistemas operativos y programas instalan muchos más servicios y protocolos en suconfiguración predeterminada de los que realmente son necesarios para situaciones de uso normal.
El mejor modo de configurar un nuevo servidor es incluir un paso en el que el administrador del sistemacierre todas las necesidades del sistema operativo menos las imprescindibles. Por ejemplo, en los sistemasoperativos Windows antes de Windows Server 2003, era una práctica habitual cerrar el servicio de alerta ymensajero.
Asimismo, comprobar la correcta situación de los servicios en la red. Por ejemplo, el servicio enrutamientoy acceso remoto o los servicios de Internet Information Server (IIS) no se deben situar en un controlador dedominio, ya que ejecutan servicios en segundo plano que pueden aumentar la vulnerabilidad del controlador.Microsoft recomienda que no se ejecute ningún servicio adicional en el controlador de dominio, excepto losnecesarios para que opere correctamente como tal.
22
Seguridad de redes
i
6. Ataques y contramedidas
Un ataque ocurre cuando una persona o un grupo de personas intentan acceder, modificar o dañar un sistemao entorno.
Estos ataques generalmente intentan lograr algunos de estos objetivos:
- Un ataque de acceso: ataca la privacidad.
- Un ataque de modificación: ataca la integridad.
- Un ataque de denegación de servicio: ataca la disponibilidad.
- Un ataque de fabricación: ataca la autenticidad.
Un ataque
Las personas que ataquen los sistemas, se ven motivadas por diferentesrazones:
- Por diversión o desafío.
- Por venganza.
- Por terrorismo.
- Rédito económico.
- Ventaja competitiva.
- Poder.
Es importante conocer la forma en que proceden los intrusos paraconocer la manera de detenerlos.
23
Seguridad de redes
i
Posibles peligros al sistema
Las amenazas representan el posible peligro del sistema. Pueden provenir de personas (hackers, crackers),de programas o de desastres naturales. Entre las amenazas más comunes podemos encontrar:
- Eavesdropping
- Acceso no autorizado
- Denegación de Servicio
- Denegación de Servicio Distribuída
Eavesdropping: termino inglés que significa escuchar secretamente, se ha utilizado tradicionalmente enámbitos relacionados con la seguridad, como escuchas telefónicas.
Se ha convertido en parte de la jerga habitual en criptografía y se refiere a ataques de escuchas, tanto sobremedios con información cifrada, como no cifrada.
Problemas de seguridad
Los problemas de seguridad actuales no se encuentran favorecidos únicamente por usuarios maliciosos, sinoque muchas veces se encuentran ayudados por malas implementaciones de las aplicaciones, desconocimiento,negligencia, etc.
24
Seguridad de redes
i
Factores que generan problemas de seguridad
Los principales factores que pueden generar problemas de seguridad son:
- Falta de políticas y/o normativas
- Protocolos
- Ambiente multilenguaje y multiproveedor
- Dispersión geográfica
- Falta de actualización de software de base
- Uso incorrecto de las aplicaciones
- Errores en los programas
- Errores de configuración
- Passwords
- Falta de supervisión y/o control.
Pasos de un ataque
En general los intrusos realizan las mismas actividades cuando desean atacar a un sistema, por lo quepodemos generalizar los pasos en:
- Investigación
- Penetración
- Persistencia
- Expansión
- Logro del objetivo
Siempre antes de realizar un ataque, los intrusos realizan un estudio del objetivo.
25
Seguridad de redes
i
Investigación
En general los intrusos realizan las mismas actividades cuando desean ingresar o atacar a un sistema, por loque podemos generalizar los pasos en:
En este paso se identifica la plataforma y los servicios con que se trabaja.
Es necesario restringir la información que se difundirá a través de los servicios de DNS y WHOIS. También sepuede incluir filtrado de paquetes, para evitar la detección de la plataforma y los servicios y un Sistema deDetección de Intrusos (IDS) para detectar cuándo se está produciendo un escaneo de puertos. En estasituación el atacante intentará acceder al objetivo.
Técnicas
Para realizar este paso, se utilizan diferentes técnicas:
- Explotación de vulnerabilidades- Debilidad de contraseñas- Servicios mal configurados
Penetración
La penetración puede ocurrir por:
- Explotación de vulnerabilidades- Debilidad de contraseñas o servicios mal configurados: revisar periódicamente la configuración de los
servicios.
26
Seguridad de redes
i
Una vez dentro del sistema, el atacante realiza actividades para no ser detectado, como buscar archivos deauditoria o log del sistema para borrarlos o modificarlos ocultando sus actividades. En Windows NT/2000, sepuede realizar borrando el contenido del Visor de Sucesos.
Para evitar la eliminación de los archivos de log, se puede optar por mantenerlos guardados fuera del lugardonde se generan. Es complicado evitar la copia de archivos, pero puede detectarse la modificación deellos. Existen herramientas que crean un hash de los archivos de sistema, y avisan al administrador en casode detectar una modificación.
Persistencia
Muchas veces, el objetivo final de un ataque no es el primer sistema atacado, sino que se utilizan varios saltosintermedios para lograr realizar un ataque sin ser rastreados.
Esto puede generar que nuestro sistema sea víctima y a la vez sea atacante.
Nuevamente, las contramedidas son el filtrado de paquetes, los sistemas IDS, y el control periódico de losarchivos de log.
Expansión
En este punto podríamos decir que la tarea del intruso ha llegado a su objetivo. A partir de aquí, podemosesperar diferentes acciones por parte del intruso:
- Desaparecer sin dejar rastro
- Avisar al administrador que se ha ingresado al sistema
- Comentar los fallos de seguridad encontrados a sus colegas
- Etc...
27
Seguridad de redes
i
i
Logro de objetivos
Un ataque puede tener diferentes efectos.
Nos referimos a interceptación cuando un usuario no autorizado obtiene acceso a la información. Estos seclasifican en: de intercepción, de modificación, de interrupción, y de falsificación.
No debemos permitir la existencia de segmentos de red de fácil acceso. Utilizar cifrado para realizar las comunicaciones o el almacenamiento de la información. No permitir tomas de red libres habilitados.Realizar autenticación a nivel de la capa de enlace, por ejemplo, en wireless la utilización de 802.11i.
Estudio de objetivo
El estudio de objetivo consiste en:
- Información de la empresa objetivo.
- Información del dominio objetivo: conociendo el nombre de la empresa se puede obtener suinformación de dominio a través de consultas tipo WHOIS.
- Información de los servidores: una vez que el intruso obtuvo el dominio, puede realizar consultasNSLOOKUP para conocer cuáles son los servidores que tiene la empresa.
Ataques DoS
Los ataques de DoS están apuntados exclusivamente a afectar elfuncionamiento de un servicio ofrecido por algún sistema o dispositivode red.
28
Seguridad de redes
i
Generación del ataque
Este tipo de ataques no involucran un acceso al sistema, sino que buscan la degradación del servicio.
Los ataques DoS pueden generarse de diferentes maneras:
- Por explotación de errores de aplicaciones: se envían paquetes malformados que generan una caídade la aplicación.
- Por mensajes de control: se envían paquetes con mensajes de control para que los dispositivosinterrumpan la operación de la red.
- Por inundación (flooding): consumen los recursos con una gran cantidad de paquetes.
Algunos de los ataques más conocidos son:
- Ping de la muerte
- Syn flood
- Land attack
- Teardrop
Defensa
Para defendernos de los ataques DoS:
1 - Por explotación de vulnerabilidades: es imperioso mantener los sistemas libres de estasvulnerabilidades mediante las últimas actualizaciones.
2 - Para defendernos de los ataques de DoS por mensajes de control: necesitaremos crear filtrosde paquetes apropiados.
3 - Para defendernos de los ataques de DoS por inundación: existen dispositivos llamados IDS(Intrution Detection Systems) que ayudan a detectar a un ataque de este tipo en proceso. Otraalternativa es restringir la cantidad de conexiones simultáneas que atenderá un servidor.
29
Seguridad de redes
Ataque DDoS
Básicamente el DDoS es un ataque similar al DoS, donde se intentaconsumir todos los recursos de una víctima hasta agotar su capacidadde procesamiento o llegar a un desborde.
A diferencia del DoS en este caso nos enfrentamos a múltiplesatacantes, ocasionando así una avalancha mucho mayor de paquetessobre el destino del ataque.
El atacante se suele aprovechar los hosts de usuarios hogareños que están conectados de forma permanente.Este tipo de hosts, generalmente, no están lo suficientemente protegidos, entonces un usuario maliciosopodría cargar en docenas o miles de estos hosts un software de ataque.
Denegación de servicios
El programa de ataque permanece latente en las computadoras hasta que reciben una señal del usuariomalicioso. Esta señal, le indica a todos los hosts (comúnmente llamados zombis) en forma simultánea quedeben comenzar el ataque hacia un destino determinado.
Un ataque muy común de DDoS es el ataque SMURF. Este sistema de ataque se basa en transmitir a la reduna trama ICMP correspondiente a una petición de ping. Esta trama lleva como dirección de origen ladirección IP de la víctima, y como dirección de destino la dirección broadcast de la red atacada.
Otro ataque DDoS muy conocido es el TFN (Tribe Flood Network). En este ataque, un usuario malicioso obtieneacceso privilegiado a múltiples hosts e instala un software que realice Syn Flood sobre un destino en particularal momento de recibir la orden del atacante.
30
Seguridad de redes
i
7. Resumen
Seguridad de redes
Internet e intranet
- Las buenas prácticas en Internet exigen que los usuarios debamos tener en cuenta aspectos como:informar y formar a los menores, interactuar con los menores, la descarga de contenidos ilícitos,descarga de contenidos legales, etc...
- Existen diversos tipos de virus y softwares dañinos, entre ellos adware, Backdoor, Dialers, Exploit,Gusanos, Hijacker, Keylogger, Malware, Spyware, Troyanos y virus.
Analizador de redes
- Un Analizador de Redes es un instrumento capaz de analizar las propiedades de las redes eléctricas,especialmente aquellas propiedades asociadas con la reflexión y la transmisión de señales eléctricas,conocidas como parámetros de dispersión (Parámetros-S).
- Existen dos tipos principales de analizadores de redes el SNA y el VNA.
Puntos de acceso
- Un punto de acceso inalámbrico en redes de computadoras, es un dispositivo que interconectadispositivos de comunicación inalámbrica para formar una red inalámbrica.
- Existen redes Wireless pequeñas que pueden funcionar sin puntos de acceso, llamadas redes “ad-hoc”o modo peer-to-peer, las cuales sólo utilizan las tarjetas de red para comunicarse.
31
Seguridad de redes
i
- Los puntos de acceso, también llamados APs o wireless access point, son equipos hardwareconfigurados en redes Wifi y que hacen de intermediarios entre el ordenador y la red externa (localo Internet). El access point o punto de acceso, hace de transmisor central y receptor de las señalesde radio en una red Wireless.
Redes inalámbricas
- Si una red inalámbrica no está bien configurada, todas las computadoras que se conecten a ella sontomadas como miembros de una misma red, lo cual permite que los archivos y la información decada máquina puedan ser "vistos" por los usuarios de las demás.
- Las redes inalámbricas son prácticas, rápidas y relativamente sencillas de implementar. Además,solucionan toda clase de problemas a aquellas personas que necesitan crear redes específicas paraconferencias, eventos y en lugares en los que no se puede tirar cable.
Seguridad de redes
- Entre las amenazas más comunes podemos encontrar: eavesdropping, acceso no autorizado,denegación de Servicio, denegación de Servicio Distribuída.
- Los principales factores que pueden generar problemas de seguridad se clasifican en: falta depolíticas y/o normativas, protocolos, ambiente multilenguaje y multiproveedor,dispersión geográfica,falta de actualización de software de base, uso incorrecto de las aplicaciones, errores en losprogramas, errores de configuración, passwords y falta de supervisión y/o control.
- Los intrusos realizan los siguientes pasos: Investigación, Penetración, Persistencia, Expansión y Logrodel objetivo.
32
Seguridad de redes
i
- Los ataques DoS pueden generarse de diferentes maneras:
* Por error de aplicaciones: se envían paquetes malformados que generan una caída de laaplicación
* Por mensajes de control: se envían paquetes con mensajes de control para que los dispositivosinterrumpan la operación de la red
* Por inundación (flooding): consumen los recursos con una gran cantidad de paquetes.
- Algunos de los ataques más conocidos son: Ping de la muerte, Syn flood, Land attack y Teardrop. Unataque muy común de DDoS es el ataque SMURF.
33
Seguridad de redes
i
