Seguridad en La Red

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 3

¿Por qué es importante la seguridad de la red? � En muy poco tiempo, las redes informáticas crecieron en

tamaño y en importancia.

� Si la seguridad de la red se encuentra afectada, podría tener consecuencias graves, como la pérdida de privacidad, el robo de información e, incluso, responsabilidad legal.

� Para que esta situación constituya un desafío aun mayor, los tipos de amenazas potenciales a la seguridad de la red se encuentran siempre en evolución.

� A medida que el comercio electrónico y las aplicaciones de Internet siguen creciendo, es muy difícil encontrar el equilibrio entre estar aislado y abierto.

� Además, el aumento del comercio móvil y de las redes inalámbricas exige soluciones de seguridad perfectamente integradas, más transparentes y más flexibles.


¿Por qué es importante la seguridad de la red?


La creciente amenaza a la seguridad Hacker de sombrero blanco: � una persona que busca vulnerabilidades en los sistemas o en

las redes y, a continuación, informa estas vulnerabilidades a los propietarios del sistema para que las arreglen.

� Por lo general, un hacker de sombrero blanco se concentra en proporcionar seguridad a los sistemas informáticos.

Hacker: � Es una persona que intenta obtener acceso no autorizado a los

recursos de la red con intención maliciosa.

Hacker de sombrero negro: � Son personas que utilizan su conocimiento de las redes o los

sistemas informáticos que no están autorizados a utilizar, generalmente para beneficio personal o económico.

� Un cracker es un ejemplo de hacker de sombrero negro.


La creciente amenaza a la seguridad Cracker: � Es una persona que intenta obtener acceso no autorizado a los recursos de

la red con intención maliciosa.

Phreaker: � Persona que manipula la red telefónica para que realice una función que no

está permitida como para realizar llamadas de larga distancia gratuitas.

Spammer: � Persona que envía grandes cantidades de mensajes de correo electrónico

no solicitado, usa virus para tomar control de computadoras y usalas para enviar sus mensajes masivos.

Estafador: � Usa el correo electrónico u otro medio para engañar a otras personas para

que brinden información confidencial, como números de tarjetas de crédito o contraseñas.

� Un estafador se hace pasar por una persona de confianza que tendría una necesidad legítima de obtener información confidencial.


Pensar como un agresor Muchos agresores usan el siguiente proceso de siete pasos para obtener información y plantear un ataque.

� Paso 1. Realizar un análisis del perfil (reconocimiento). La página Web de una empresa puede conducir a información, como las direcciones IP de los servidores. Desde allí, un agresor puede crear una imagen del perfil de seguridad o de la "huella" de la empresa.

� Paso 2. Enumerar los datos. Un agresor puede ampliar el perfil controlando el tráfico de la red con un programa detector de paquetes, como Wireshark, buscando información como los números de versión de los servidores FTP y de los servidores de correo. Una referencia cruzada con bases de datos de vulnerabilidades expone las aplicaciones de la empresa a explotaciones potenciales.

� Paso 3. Manipular a los usuarios para obtener acceso. Algunas veces, los empleados eligen contraseñas que se pueden descifrar fácilmente. En otros casos, los empleados pueden ser engañados por agresores talentosos para revelar información confidencial relacionada con el acceso.


Pensar como un agresor � Paso 4. Aumentar los privilegios. Una vez que los

agresores obtienen acceso básico, utilizan sus habilidades para aumentar los privilegios de la red.

� Paso 5. Recopilar más contraseñas y secretos. Con privilegios de acceso mejorados, los agresores utilizan su talento para obtener acceso a información confidencial bien protegida.

� Paso 6. Instalar virus de puerta trasera. Las puertas traseras proporcionan a los agresores una forma de ingresar al sistema sin ser detectados. La puerta trasera más común es un puerto de escucha TCP o UDP abierto.

� Paso 7. Potenciar el sistema comprometido. Una vez que un sistema está comprometido, los agresores lo utilizan para llevar a cabo ataques en otros hosts de la red.


Tipos de delitos informáticos � Con la mejora de las medidas de seguridad en el transcurso

de los años, algunos de los tipos de ataques más comunes disminuyeron en frecuencia, y surgieron nuevos tipos.

� La concepción de soluciones de seguridad de red comienza con una evaluación del alcance completo de los delitos informáticos.

� Estos son los actos de delitos informáticos denunciados con más frecuencia que tienen implicancias en la seguridad de la red:


Redes abiertas versus redes cerradas


Amenazas comunes a la seguridad � En el análisis de la seguridad de la red, los tres factores comunes son

vulnerabilidad, amenaza y ataque.

� La vulnerabilidad es el grado de debilidad inherente a cada red y cada dispositivo. Esto incluye routers, switches, equipos de escritorio, servidores e, incluso, dispositivos de seguridad.

� Las amenazas son las personas interesadas y calificadas para aprovechar cada una de las debilidades en materia de seguridad. De dichas personas se puede esperar que busquen continuamente nuevas explotaciones y debilidades.

� Los ataques contra redes y dispositivos de red. Por lo general, los dispositivos atacados son los extremos, como servidores y equipos de escritorio.

� Hay tres vulnerabilidades o debilidades principales:

� Debilidades tecnológicas

� Debilidades en la configuración

� Debilidades en la política de seguridad


Vulnerabilidad de Tecnológica


Vulnerabilidad de Configuración


Vulnerabilidad de Políticas


Amenazas a la infraestructura física � Un agresor puede denegar el uso de los recursos de la red si

dichos recursos pueden ser comprometidos físicamente.

� Las cuatro clases de amenazas físicas son:

� Amenazas al hardware: daño físico a los servidores, routers, switches, planta de cableado y estaciones de trabajo

� Amenazas ambientales: temperaturas extremas (calor o frío extremos) o condiciones extremas de humedad (humedad o sequedad extremas)

� Amenazas eléctricas: picos de voltaje, voltaje suministrado insuficiente (apagones), alimentación ilimitada (ruido) y pérdida total de alimentación

� Amenazas al mantenimiento: manejo deficiente de los componentes eléctricos clave (descarga electrostática), falta de repuestos fundamentales, cableado insuficiente y rotulado incorrecto


Mitigación de las amenazas al hardware


Mitigación de las amenazas Ambientales � Cree un entorno operativo propicio, a través del control de la

temperatura, de la humedad, el flujo de aire positivo, las alarmas ambientales remotas, y la grabación y vigilancia.


Mitigación de las amenazas Eléctricas � Disminuya los problemas de alimentación eléctrica instalando

sistemas UPS y conjuntos de generadores, mediante un plan de mantenimiento preventivo, la instalación de suministros de energía redundante y alarmas y vigilancia remotas.


Mitigación de las amenazas al Mantenimiento � Use tendidos de cables limpios, rotule los cables y componentes

críticos, use procedimientos de descarga electrostática, tenga una provisión de repuestos fundamentales y controle el acceso a los puertos de la consola.


Amenazas a las Redes � Se enumeraron los delitos informáticos comunes que repercuten

sobre la seguridad de la red.

� Estos delitos se pueden agrupar en cuatro clases principales de amenazas a las redes:


Tipos de ataques a Redes


Ataques de Reconocimiento


Usos comunes de infiltración Recopilación de información: � Los intrusos de la red pueden identificar nombres de

usuarios, contraseñas o información que se transportan en un paquete.

Robo de información: � Puede concretarse mientras los datos se transmiten a través

de la red interna o externa.

� El intruso de la red también puede robar datos de computadoras en red obteniendo acceso no autorizado.

� Entre los ejemplos, se encuentran ingresar o infiltrarse en instituciones financieras y obtener números de tarjetas de crédito.


Métodos más eficaces de contrarrestar la infiltración � Uso de redes conmutadas en lugar de hubs para que el

tráfico no se transmita a todos los extremos o hosts de la red.

� Uso de encriptación que cumpla las necesidades de seguridad de los datos de la organización, sin imponer una carga excesiva en los usuarios o los recursos del sistema.

� Implementación y aplicación de una directiva de política que prohíba el uso de protocolos con conocida susceptibilidad a la infiltración. Por ejemplo, el SNMP versión 3 puede encriptar cadenas comunitarias, de manera que una empresa podría prohibir el uso de SNMP versión 1, pero permitir SNMP versión 3.


Ataques a las contraseñas � Por lo general, los ataques a las contraseñas hacen referencia a intentos

repetidos de conectarse a un recurso compartido, como un servidor o un router, para identificar una cuenta de usuario, una contraseña o ambas.

� Estos intentos repetidos se denominan ataques de diccionario o ataques de fuerza bruta.

� Para llevar a cabo un ataque de diccionario, los agresores pueden utilizar herramientas, como L0phtCrack o Cain.

� Estos programas intentan conectarse reiteradamente como usuario mediante el uso de palabras incluidas en un diccionario.

� Los ataques de diccionario suelen ser exitosos, porque los usuarios tienden a elegir contraseñas sencillas que son palabras cortas, únicas y fáciles de predecir, como el agregado del número 1 a una palabra.


Ataque de explotación de confianza � El objetivo es comprometer un host de confianza, mediante su uso, con el fin de

llevar a cabo ataques en otros hosts de una red.

� Si un host de una red de una empresa está protegido por un firewall (host interno), pero un host de confianza que se encuentra afuera del firewall (host externo) puede obtener acceso a él, el host interno puede ser atacado a través del host externo de confianza.

� Los ataques basados en la explotación de confianza pueden ser mitigados a través de restricciones estrictas en los niveles de confianza dentro de una red.

� Los sistemas que se encuentran dentro de un firewall no pueden confiar en absoluto en los sistemas que se encuentran afuera.

� Dicha confianza debe limitarse a protocolos específicos y debe ser autenticada por algo más que una dirección IP, siempre que sea posible.


Ataques de DoS � Son la forma más promocionada de ataques y también están entre

los más difíciles de eliminar.

� Incluso dentro de la comunidad de agresores, los ataques de DoS son clasificados como triviales y se consideran de mal gusto, porque requieren muy poco esfuerzo para su ejecución.

� No obstante, debido a su fácil implementación y al daño potencialmente significativo, los ataques de DoS merecen especial atención de los administradores de seguridad.

� Los ataques de DoS adoptan muchas formas.

� En definitiva, impiden que las personas autorizadas utilicen un servicio consumiendo recursos del sistema.


Ataques de DoS distribuida (DDoS) � Están diseñados para saturar los enlaces de la red con datos

legítimos.

� Estos datos pueden sobrecargar un enlace de Internet y hacer que el tráfico legítimo sea descartado.

� DDoS utiliza métodos de ataque similares a los ataques DoS estándar, pero opera a una escala mucho mayor. Generalmente, cientos o miles de puntos de ataque intentan saturar un objetivo.

� Por lo general, un ataque DDoS tiene tres componentes.

� Un Cliente que habitualmente es una persona que lanza el ataque.

� Un Manipulador es un host comprometido que está ejecutando el programa del agresor y cada Manipulador es capaz de controlar varios Agentes

� Un Agente es un host comprometido que ejecuta el programa del agresor y es responsable de generar un flujo de paquetes que se dirige hacia la víctima deseada.


Ataques de DoS distribuida (DDoS)


Ataques de código malicioso � Las principales vulnerabilidades de las estaciones de

trabajo de los usuarios finales son los ataques de gusanos, virus y caballos de Troya.

� Un gusano ejecuta un código e instala copias de sí mismo en la memoria de la computadora infectada, lo que, a su vez, puede infectar a otros hosts.

� Un virus es software malicioso asociado a otro programa, con el propósito de ejecutar una función particular no deseada en una estación de trabajo.

� Un caballo de Troya es distinto de un gusano o de un virus sólo en el sentido de que toda la aplicación fue escrita para que tenga la apariencia de otra cosa, cuando en realidad es una herramienta de ataque.


Técnicas Generales de Mitigación Seguridad basada en hosts y en servidores Aseguramiento de dispositivos � Cuando se instala un nuevo sistema operativo en una computadora,

la configuración de seguridad se establece en los valores predeterminados.

� En la mayoría de los casos, este nivel de seguridad no es apropiado.

� Se deben adoptar algunos pasos sencillos, que se aplican a todos los sistemas operativos:

� Los nombres de usuario y las contraseñas predeterminados deben cambiarse de inmediato.

� Se debe restringir el acceso a los recursos del sistema exclusivamente a las personas autorizadas para utilizar esos recursos.

� Se deben desconectar y desinstalar los servicios y las aplicaciones innecesarios, siempre que sea posible.


Técnicas Generales de Mitigación


Técnicas Generales de Mitigación Detección y prevención de intrusiones � Los sistemas de detección de intrusión (IDS) detectan

ataques contra una red y envían registros a una consola de administración.

� Los sistemas de prevención de intrusión (IPS) impiden ataques contra la red y deben proporcionar los siguientes mecanismos activos de defensa además de la detección:

�Prevención: impide la ejecución del ataque detectado.

�Reacción: inmuniza el sistema contra ataques futuros de origen malicioso.

� Cada tecnología puede ser implementada a nivel de la red o a nivel del host, o a ambos niveles para brindar máxima protección.


Rueda de seguridad de la Red


¿Qué es una política de seguridad? � Una política de seguridad es un conjunto de pautas establecidas

para proteger a la red de los ataques, ya sean desde el interior o desde el exterior de una empresa.

� Para elaborar una política se debe comenzar por formular preguntas.

� ¿De qué manera la red ayuda a la organización a lograr su visión, su misión y su plan estratégico?

� ¿Cuáles son las implicaciones que tienen los requisitos de la empresa en la seguridad de la red y de qué manera esos requisitos se traducen en la compra de equipos especializados y en las configuraciones que se cargan en los dispositivos?


Funciones de una política de seguridad Una política de seguridad integral cumple las siguientes funciones esenciales:


Componentes de una política de seguridad

Seguridad en La Red

Documents

Transcript of Seguridad en La Red