Seguridad de redes

  • 1,435 views
Uploaded on

 

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,435
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
49
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. SEGURIDAD DE REDES
  • 2. ÍNDICE SEGURIDAD DE REDES 1. Buenas prácticas en Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 2. Analizador de Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 3. Puntos de acceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 4. Riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 5. Servidor de Internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 6. Ataques y contramedidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 7. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
  • 3. Seguridad de redes 1. Buenas prácticas en Internet Objetivos - Conocer los aspectos importantes de las buenas prácticas en Internet. - Reconocer los distintos tipos de virus y software dañinos en la red. - Saber la función de un analizador de redes e identificar los tipos de analizadores de redes. - Determinar qué es un punto de acceso y sus funciones. - Conocer los aspectos fundamentales de la conexión a redes inalámbricas. - Evaluar la seguridad para un servidor Web. - Identificar los principales factores que generan problemas de seguridad. - Analizar las actividades que se realizan para agredir un sistema. - Clasificar los diferentes tipos de ataques. i 3
  • 4. Seguridad de redes Buenas prácticas en Internet Las buenas prácticas en Internet exigen que sean respetadas por parte de todos los usuarios. Existen muchos elementos que pueden atentar contra ellas, debemos tener en cuenta algunos aspectos como: - Informar y formar a los menores - La descarga de contenidos ilícitos - La descarga de contenidos legales Informar y formar a los menores sobre el respeto a los derechos de Propiedad Intelectual en Internet y sobre la utilización de las redes P2P para la descarga de contenidos sin autorización de los titulares de derechos. Interactuar con ellos haciéndoles comprender que Internet es una forma de comunicación que puede enriquecer sus vidas si se le da un uso adecuado. Comunicar y educar sobre los contenidos Web inadecuados y las razones. Conocer y supervisar los sitios Web por los que navegan, los chats y los programas instalados en los equipos. Formación básica de los padres sobre Internet para conocer el medio, las aplicaciones y sistemas informáticos existentes para el filtrado de correos electrónicos. No acceder a contenidos indeseados y a programas cuyos contenidos sean ilegales. Establecer unas reglas escritas y visibles de navegación por Internet. i 4
  • 5. Seguridad de redes La descarga de contenidos ilícitos conlleva riesgos de: - Introducir programas espía y virus. - Dejar sin trabajo a multitud de trabajadores. - Paralizar la industria y la no inversión en nuevos talentos. - Consecuencias judiciales para los usuarios de estas redes cuyos contenidos son ilegales. La descarga de contenidos legales supone: - Garantía en los sitios de pago de calidad del producto, y posibilidad de reclamar. - No hablar nunca con extraños cuando estén conectados a las salas de chat. - No contestar a correos electrónicos de desconocidos sea cual fuere el contenido de los mismos o cuando naveguen por Internet. - No entrar en páginas de dudoso contenido moral y ético (sexual, violento, etc). Tipos de virus y softwares dañinos i 5
  • 6. Seguridad de redes Adware. Es un software que muestra anuncios publicitarios que aparecen inesperadamente en el equipo sin el control del usuario. Suele venir con otro tipo de programas que son gratis a cambio de que se permita instalar adware y que muestre mensajes publicitarios. El adware no necesariamente es un código malicioso, si lo metemos en esta clasificación es porque en muchas ocasiones el adware es instalado sin conocimiento del usuario. Backdoor: Los backdoor o puertas traseras son programas que permiten el acceso al sistema operativo y a los datos almacenados de un usuario sin su permiso o conocimiento, de forma que quedan expuestos a terceras personas. Dialers: Los dialers son programas que llaman a un número telefónico de larga distancia o de tarificación especial, para, a través del módem, entrar sin el consentimiento del usuario a páginas con servicios de pago (juegos, videntes, porno...). Exploit: Un exploit (o xploit) es un software que ataca específicamente una vulnerabilidad particular del sistema operativo. Los exploits suelen ser códigos realizados por los investigadores para demostrar que existe una vulnerabilidad, pero desgraciadamente son incorporados en otro tipo de software dañino. Gusanos: Los gusanos son un tipo de virus que se auto-copia a sí mismo aprovechando las vulnerabilidades de los sistemas operativos. Los gusanos, una vez penetran en el equipo, buscan direcciones de red de otros equipos y envían copias de sí mismos a todas las direcciones. Hijacker: El hijacker es un programa que realiza cambios en la configuración del navegador, de forma que redirige al usuario a páginas publicitarias, pornográficas y fraudulentas. Keylogger: Un keylogger (o keystroker) es un programa que registra todas las pulsaciones del teclado, normalmente para robar claves y passwords y obtener información confidencial como emails y conversaciones de chat. i 6
  • 7. Seguridad de redes Malware: El malware (proveniente del término malicious software) es un tipo de software que tiene como objetivo dañar o infiltrarse en un ordenador sin el conocimiento o consentimiento del usuario y con finalidades diversas. Los troyanos y spyware son malwares. Spyware: Los programas espías o spywares son aplicaciones que recopilan información en un ordenador sobre una persona u organización sin su conocimiento. Generalmente, su objetivo es el de recopilar información como datos personales, software instalado y hábitos en Internet de un usuario y distribuirlo a empresas publicitarias y otras organizaciones interesadas. Troyanos: Los troyanos son programas que actúan en equipos sin autorización, eliminan información de los discos, cuelgan el sistema, roban datos personales, etc. Este tipo de malware es propagado por piratas, bajo el nombre de sofware corriente que aparentemente es inofensivo. Virus: Un virus informático es un programa que tiene por objeto alterar el normal funcionamiento de un ordenador sin el permiso o el conocimiento del usuario. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador. i 7
  • 8. Seguridad de redes 2. Analizador de Redes Un analizador de redes es un instrumento capaz de analizar las propiedades de las redes eléctricas, especialmente aquellas propiedades asociadas con la reflexión y la transmisión de señales eléctricas, conocidas como parámetros de dispersión (Parámetros-S). Los analizadores de redes son más usados en altas frecuencias, que operan entre los rangos de 9 kHz hasta 110 GHz. Existen también algunos tipos de analizadores de redes especiales que cubren rangos más bajos de frecuencias, hasta 1 Hz. Éstos pueden ser usados, por ejemplo, en el análisis de estabilidad de lazos abiertos o para la medición de audio y componentes ultrasónicos. Tipos de analizadores Hay dos tipos principales de analizadores de redes: - SNA (Scalar Network Analyzer) – analizador de redes escalar, mide propiedades de amplitud solamente. - VNA (Vector Network Analyzer) – analizador de redes vectoriales, mide propiedades de amplitud y fase. i 8
  • 9. Seguridad de redes Un analizador del tipo VNA también puede ser llamado Medidor de Ganancia y Fase o Analizador de Redes Automático. Un analizador del tipo SNA es funcionalmente idéntico a un analizador de espectro combinado con un generador de barrido. Hasta el año 2007, los analizadores VNA son los más comunes y frecuentemente calificados como los de menor calidad. Los tres más grandes fabricantes de analizadores de redes son Agilent, Anritsu, y Rhode & Schwarz. i 9
  • 10. Seguridad de redes Arquitectura básica de un analizador de redes Los modelos que se pueden encontrar más frecuentemente son los de dos puertos, pero también existen modelos de cuatro puertos en el mercado, y algunos cuentan con algunas mejoras para su fácil operación, como pantalla sensible al tacto y la posibilidad de conectar un ratón o teclado por medio de puertos PS/2 o USB. Inclusive los modelos más modernos cuentan con una plataforma en base Windows por lo que su operación se simplifica considerablemente. MTA y LSNA Una nueva categoría de analizadores de redes es la MTA (Microwave Transition Analyzer), que significa analizador de transición de microondas, o LSNA (Large Signal Network Analyzer), que significa analizador de redes de señales largas, los cuales miden amplitud y fase de las armónicas fundamentales. El MTA fue comercializado antes que el LSNA, pero en el primero faltaban algunas opciones para una fácil calibración que sí están disponibles en la versión LSNA. i 10
  • 11. Seguridad de redes Calibración La calibración de un analizador de redes es un proceso de alta precisión en el cual, se deben tener en cuenta tanto la impedancia en la que se está operando, como las condiciones en las que está operando el equipo. Por este motivo, y dependiendo de la cantidad de Parámetros-S que se requiera medir el proceso puede resultar largo y tedioso por la cantidad de veces que se puede repetir. Dispositivos de prueba El estándar de calibración usa tres dispositivos de prueba llamados OPEN (red abierta), SHORT (red en cortocircuito), y THRU (red conectada), los cuales deben ser conectados a los puertos del analizador para que éste pueda comparar y establecer la diferencia entre estos tres modos. Estos datos son guardados en un registro y cada registro debe ser calibrado independientemente y en el momento en que se le haga una modificación a la red en estudio. i 11
  • 12. Seguridad de redes E-Cal Otro tipo de instrumento para la calibración de analizadores de redes es el módulo de calibración eléctrico (E-Cal), el cual se conecta a éste y es automáticamente reconocido poseyendo una mayor precisión. La única desventaja aparente de este dispositivo es que hay que esperar a que alcance su temperatura de operación antes de usarlo. Conclusiones Los analizadores de LAN cubren el ámbito de la instalación y control de redes. Se pueden utilizar estos analizadores de LAN in situ y de un modo rápido, por ello son ideales para profesionales de servicio técnico y administradores de red. Estos aparatos facilitan la determinación de direcciones IP, la identificación de la polaridad, la medición a doble carga, la detección de un cable concreto... , además se puede encontrar un aparato para el control de conductores de ondas de luz. Estos analizadores LAN láser muestran los puntos de rotura o los empalmes realizados incorrectamente en líneas de fibra óptica. Y sólo tienen el tamaño de un bolígrafo grueso. Con estos analizadores de LAN se puede comprobar el estado de las redes LAN, tanto el cableado, como Hubs y Switches ya que el modelo más avanzado permite analizar el tráfico de la red y la dirección IP que lo genera. i 12
  • 13. Seguridad de redes 3. Puntos de acceso Punto de acceso inalámbrico Un punto de acceso inalámbrico WAP o AP (Wireless Access Point) en redes de computadoras es, un instrumento que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. Normalmente un WAP también puede conectarse a una red cableada, y puede transmitir datos entre los dispositivos conectados a la red cable y los dispositivos inalámbricos. Muchos WAPs pueden conectarse entre sí para formar una red aún mayor, permitiendo realizar "roaming". Funcionamiento de los WAP Los puntos de acceso inalámbricos tienen direcciones IP asignadas, para poder ser configurados. Son los encargados de crear la red, están siempre a la espera de nuevos clientes a los que dar servicios. El punto de acceso recibe la información, la almacena y la transmite entre la WLAN (Wireless LAN) y la LAN cableada. Un único punto de acceso puede soportar un pequeño grupo de usuarios y puede funcionar en un rango entre treinta metros y hasta varios cientos. El usuario final accede a la red WLAN a través de adaptadores. Éstos proporcionan una interfaz entre el sistema de operación de red del cliente (NOS: Network Operating System) y las ondas, mediante una antena inalámbrica. i 13
  • 14. Seguridad de redes Redes ad-hoc Existen redes Wireless pequeñas que pueden funcionar sin puntos de acceso, llamadas redes “ad-hoc” o modo peer-to-peer, las cuales sólo utilizan las tarjetas de red para comunicarse. Las redes más usuales son en modo estructurado, es decir, los puntos de acceso harán de intermediario o puente entre los equipos Wifi y una red Ethernet cableada. Los puntos de acceso normalmente van conectados físicamente por medio de un cable de pares a otro elemento de red, en caso de una oficina o directamente a la línea telefónica si es una conexión doméstica. Celda Cuando se crea una red de puntos de acceso, el alcance de este equipo para usuarios que se quieren conectar a él se llama “celda”. Normalmente se hace un estudio para que dichas celdas estén lo más cerca posible, incluso solapándose un poco. De este modo, un usuario con un portátil, podría moverse de un AP a otro sin perder su conexión de red. Los puntos de acceso antiguos, solían soportar solo a 15 a 20 usuarios. Hoy en día los modernos APs pueden tener más de 250 usuarios con sus respectivos ordenadores conectándose a ellos. Cuidado Si conectamos muchos Access Point juntos, podemos llegar a crear una enorme red con miles de usuarios conectados, sin apenas cableado y moviéndose libremente de un lugar a otro con total comodidad. Cualquier persona con una tarjeta de red inalámbrica y un portátil puede conectarse a nuestra red Wifi y aprovecharse gratuitamente de nuestro ancho de banda. i 14
  • 15. Seguridad de redes 4. Riesgos Red inalámbrica Si una red inalámbrica no está bien configurada, todas las computadoras que se conecten a ella son tomadas como miembros de una misma red, lo cual permite que los archivos y la información de cada máquina puedan ser "vistos" por los usuarios de las demás. El problema no es la tecnología Wifi sino la desinformación y la confianza desmedida que se ha ganado ante la poca difusión de los riesgos que supone conectarse a la Web en lugares cuyas redes están abiertas. Si bien el mayor impacto de esta situación se percibe en grandes organizaciones (por ser las usuarias más frecuentes de portátiles) los individuos también son susceptibles de correr estos riesgos pues no cuentan con los conocimientos necesarios para darles seguridad a sus equipos. Principales riesgos Al no tener suficientes sistemas de seguridad, los usuarios que aprovechan estos servicios corren riesgos serios: acceso de terceros a información confidencial, usurpación de identidades digitales, alteración y destrucción de datos sensibles y uso de recursos como punto de lanzamiento de otros ataques. A eso se suma que se incumplen ciertos requerimientos de la Ley Orgánica de Protección de Datos y el robo de ancho de banda. i 15
  • 16. Seguridad de redes Tecnología inalámbrica Las redes inalámbricas son prácticas, rápidas y relativamente sencillas de implementar. Además, solucionan toda clase de problemas a aquellas personas que necesitan crear redes específicas para conferencias, eventos y en lugares en los que no se puede tirar cable. Por estas razones, los consumidores han adoptado rápidamente las diversas formas de tecnología inalámbrica y, en la actualidad, las más comunes son el Bluetooth y las redes 802.11x. Bluetooth La tecnología Bluetooth suele describirse como una “red de área personal”, debido a su alcance limitado en condiciones normales, y está adoptada por determinados teléfonos móviles y asistentes personales digitales (PDA) a fin de establecer comunicación con periféricos o sincronizarlos con aplicaciones de PC. 802.11x La tecnología 802.11a, b, b+, h y g (normalmente como 802.11b o, raras veces, como 802.11a o 802.11h) se ha convertido, desde la aprobación de la IEEE como estándar en 1997, en tecnologías ampliamente aceptadas en hogares, empresas y hoteles. i 16
  • 17. Seguridad de redes Problemas de la tecnología inalámbrica El problema con la tecnología inalámbrica es la dificultad de limitar los medios de transmisión sólo a las áreas que controlamos o a los ordenadores centrales que queremos que estén en nuestra red. El estándar 802.11b tiene un alcance de unos 100 metros en interiores, las ondas de radio no se pierden a esa distancia. Tan solo se van debilitando hasta un punto en el que no se puede garantizar una buena recepción con las antenas internas normales. Encriptación Los diseñadores del estándar 802.11b decidieron posibilitar (pero no hacer obligatoria) la encriptación de los paquetes de datos entre dispositivos inalámbricos y limitar el acceso sólo a los dispositivos que conozcan la clave correcta. Con ello, podían asegurar que los “mirones” no leerían información confidencial, y que esas redes inalámbricas no podrían usarlas personas que no tuvieran un permiso explícito para ello. i 17
  • 18. Seguridad de redes WEP El único mecanismo permitido para la conexión directa en la especificación 802.11x se llama WEP (Wired Equivalent Privacy, o privacidad equivalente a la cableada). WEP utiliza dos longitudes de clave diferentes, 40 o 128 bits, y utiliza un cifrador continuo, el algoritmo de encriptación de datos RC4. Puesto que se conocen ataques realizados con éxito contra estos cifradores, WEP usa dos métodos para proporcionar una mayor protección del contenido y la integridad de los datos. Funcionamiento de WEP La comparación de dos textos cualesquiera, encriptados con la misma clave, hace posible conseguir el XOR de los dos textos, lo que daría como resultado los textos originales mediante una serie de análisis estadísticos. Para evitarlo, WEP utiliza también un vector de iniciación de 24 bits (IV) para cambiar de forma efectiva la clave de cada paquete. El IV se envía en abierto, ya que debe usarse al otro lado del canal de comunicación para desencriptar el paquete. Por lo tanto, un posible cracker debería esperar a que pasaran 224 paquetes antes de obtener uno encriptado con el mismo IV. i 18
  • 19. Seguridad de redes Puntos débiles Puesto que WEP tiene unos defectos tan graves, que generan problemas con el control de accesos y la visibilidad e integridad de la información, no es la tecnología adecuada para las instalaciones con información sensible. Si observamos que la mayoría de los esquemas de encriptación son adecuados, contando con la protección y generación adecuada de las claves, podemos observar que el elemento crítico de estudio es la negociación de dichas claves. Mientras que hay una gran cantidad de instrucciones para la AAA (autenticación, acceso y contabilidad), para establecer la red inalámbrica, existen algunas que llevan la delantera con varios niveles de respaldo por parte de los líderes del sector. EAP-TLS Extensible Authentication Protocol - Transport Layer Security tiene la ventaja de ser compatible con WEP, además de tener una buena, robusta y probada capacidad de encriptación y de estar basado en sesiones. TLS se ha usado con éxito durante muchos años para autenticar las transacciones de Internet sin problemas significativos de seguridad, en conexiones con autenticación mutua. El problema de la autenticación mutua para TLS es, en realidad, la necesidad de distribuir certificados de cliente para cada uno de ellos. Sin una buena implementación de PKI no es sencillo revocar tampoco el acceso a ningún certificado individual. i 19
  • 20. Seguridad de redes EAP-TTLS La tecnología TLS de túnel tiene todas las ventajas de la TLS y, además elimina la necesidad de certificados de cliente para la autenticación mutua. TTLS establece la identidad del lado del servidor (normalmente, el punto de acceso), utilizando para ello una TLS normal, de modo similar a cuando un navegador Web establece la identidad de un servidor Web para transacciones seguras. Una vez establecida de esta forma una conexión segura, el cliente puede usar otros mecanismos de autenticación existentes, como RADIUS. Esto hace que la instalación sea una tarea sencilla. LEAP LEAP ligero no es fácil de describir ya que es un protocolo exclusivo de Cisco poco documentado. Es compatible con WEP, y se basa en sesiones vinculadas a los esquemas de autenticación RADIUS existentes. Ejemplo Con un comprobador inalámbrico, se recogieron unos 200 puntos de acceso inalámbricos durante un día normal en las instalaciones de varios clientes en la zona de Seattle. Lo sorprendente es que de todos esos puntos de acceso, sólo el 34% estaban encriptados mediante WEP. Aunque puede ser que otros usasen esquemas de encriptación de cliente a ordenador central, el hecho de NO tener control de acceso en los propios puntos de acceso permite a cualquiera convertirse en una parte de la red inalámbrica y, potencialmente, atacar a otros recursos conectados a ella (otras estaciones de trabajo clientes inalámbricas, por ejemplo). i 20
  • 21. Seguridad de redes 5. Servidor de Internet Servidor de Internet El servidor puede estar situado en las instalaciones del cliente o en cualquier otra ubicación (como un datacenter), principalmente orientado a realizar las funciones de un servidor de Internet, un servidor web y/o de aplicaciones, servidor de base de datos, servidor de correo entrante y saliente, etc. Servidor Web En instalaciones avanzadas, es necesaria la instalación de servicios adaptados a las necesidades del cliente, en este caso, se hace necesaria la instalación de paquetes de software como los siguientes: - Servidor de Aplicaciones. - Servidor de base de datos. Aplicación de servicios mínimos Este principio indica que el sistema operativo y los protocolos de red disponibles en cualquier dispositivo en red deben ejecutar únicamente los servicios y protocolos justos que sean necesarios para cumplir el objetivo i 21
  • 22. Seguridad de redes empresarial. Por ejemplo, si no se necesita que un servidor aloje ninguna aplicación Web, se debe eliminar o deshabilitar el servicio World Wide Web. La mayoría de los sistemas operativos y programas instalan muchos más servicios y protocolos en su configuración predeterminada de los que realmente son necesarios para situaciones de uso normal. El mejor modo de configurar un nuevo servidor es incluir un paso en el que el administrador del sistema cierre todas las necesidades del sistema operativo menos las imprescindibles. Por ejemplo, en los sistemas operativos Windows antes de Windows Server 2003, era una práctica habitual cerrar el servicio de alerta y mensajero. Asimismo, comprobar la correcta situación de los servicios en la red. Por ejemplo, el servicio enrutamiento y acceso remoto o los servicios de Internet Information Server (IIS) no se deben situar en un controlador de dominio, ya que ejecutan servicios en segundo plano que pueden aumentar la vulnerabilidad del controlador. Microsoft recomienda que no se ejecute ningún servicio adicional en el controlador de dominio, excepto los necesarios para que opere correctamente como tal. i 22
  • 23. Seguridad de redes 6. Ataques y contramedidas Un ataque ocurre cuando una persona o un grupo de personas intentan acceder, modificar o dañar un sistema o entorno. Estos ataques generalmente intentan lograr algunos de estos objetivos: - Un ataque de acceso: ataca la privacidad. - Un ataque de modificación: ataca la integridad. - Un ataque de denegación de servicio: ataca la disponibilidad. - Un ataque de fabricación: ataca la autenticidad. Un ataque Las personas que ataquen los sistemas, se ven motivadas por diferentes razones: - Por diversión o desafío. - Por venganza. - Por terrorismo. - Rédito económico. - Ventaja competitiva. - Poder. Es importante conocer la forma en que proceden los intrusos para conocer la manera de detenerlos. i 23
  • 24. Seguridad de redes Posibles peligros al sistema Las amenazas representan el posible peligro del sistema. Pueden provenir de personas (hackers, crackers), de programas o de desastres naturales. Entre las amenazas más comunes podemos encontrar: - Eavesdropping - Acceso no autorizado - Denegación de Servicio - Denegación de Servicio Distribuída Eavesdropping: termino inglés que significa escuchar secretamente, se ha utilizado tradicionalmente en ámbitos relacionados con la seguridad, como escuchas telefónicas. Se ha convertido en parte de la jerga habitual en criptografía y se refiere a ataques de escuchas, tanto sobre medios con información cifrada, como no cifrada. Problemas de seguridad Los problemas de seguridad actuales no se encuentran favorecidos únicamente por usuarios maliciosos, sino que muchas veces se encuentran ayudados por malas implementaciones de las aplicaciones, desconocimiento, negligencia, etc. i 24
  • 25. Seguridad de redes Factores que generan problemas de seguridad Los principales factores que pueden generar problemas de seguridad son: - Falta de políticas y/o normativas - Protocolos - Ambiente multilenguaje y multiproveedor - Dispersión geográfica - Falta de actualización de software de base - Uso incorrecto de las aplicaciones - Errores en los programas - Errores de configuración - Passwords - Falta de supervisión y/o control. Pasos de un ataque En general los intrusos realizan las mismas actividades cuando desean atacar a un sistema, por lo que podemos generalizar los pasos en: - Investigación - Penetración - Persistencia - Expansión - Logro del objetivo Siempre antes de realizar un ataque, los intrusos realizan un estudio del objetivo. i 25
  • 26. Seguridad de redes Investigación En general los intrusos realizan las mismas actividades cuando desean ingresar o atacar a un sistema, por lo que podemos generalizar los pasos en: En este paso se identifica la plataforma y los servicios con que se trabaja. Es necesario restringir la información que se difundirá a través de los servicios de DNS y WHOIS. También se puede incluir filtrado de paquetes, para evitar la detección de la plataforma y los servicios y un Sistema de Detección de Intrusos (IDS) para detectar cuándo se está produciendo un escaneo de puertos. En esta situación el atacante intentará acceder al objetivo. Técnicas Para realizar este paso, se utilizan diferentes técnicas: - Explotación de vulnerabilidades - Debilidad de contraseñas - Servicios mal configurados Penetración La penetración puede ocurrir por: - Explotación de vulnerabilidades - Debilidad de contraseñas o servicios mal configurados: revisar periódicamente la configuración de los servicios. i 26
  • 27. Seguridad de redes Una vez dentro del sistema, el atacante realiza actividades para no ser detectado, como buscar archivos de auditoria o log del sistema para borrarlos o modificarlos ocultando sus actividades. En Windows NT/2000, se puede realizar borrando el contenido del Visor de Sucesos. Para evitar la eliminación de los archivos de log, se puede optar por mantenerlos guardados fuera del lugar donde se generan. Es complicado evitar la copia de archivos, pero puede detectarse la modificación de ellos. Existen herramientas que crean un hash de los archivos de sistema, y avisan al administrador en caso de detectar una modificación. Persistencia Muchas veces, el objetivo final de un ataque no es el primer sistema atacado, sino que se utilizan varios saltos intermedios para lograr realizar un ataque sin ser rastreados. Esto puede generar que nuestro sistema sea víctima y a la vez sea atacante. Nuevamente, las contramedidas son el filtrado de paquetes, los sistemas IDS, y el control periódico de los archivos de log. Expansión En este punto podríamos decir que la tarea del intruso ha llegado a su objetivo. A partir de aquí, podemos esperar diferentes acciones por parte del intruso: - Desaparecer sin dejar rastro - Avisar al administrador que se ha ingresado al sistema - Comentar los fallos de seguridad encontrados a sus colegas - Etc... i 27
  • 28. Seguridad de redes Logro de objetivos Un ataque puede tener diferentes efectos. Nos referimos a interceptación cuando un usuario no autorizado obtiene acceso a la información. Estos se clasifican en: de intercepción, de modificación, de interrupción, y de falsificación. No debemos permitir la existencia de segmentos de red de fácil acceso. Utilizar cifrado para realizar las comunicaciones o el almacenamiento de la información. No permitir tomas de red libres habilitados. Realizar autenticación a nivel de la capa de enlace, por ejemplo, en wireless la utilización de 802.11i. Estudio de objetivo El estudio de objetivo consiste en: - Información de la empresa objetivo. - Información del dominio objetivo: conociendo el nombre de la empresa se puede obtener su información de dominio a través de consultas tipo WHOIS. - Información de los servidores: una vez que el intruso obtuvo el dominio, puede realizar consultas NSLOOKUP para conocer cuáles son los servidores que tiene la empresa. Ataques DoS Los ataques de DoS están apuntados exclusivamente a afectar el funcionamiento de un servicio ofrecido por algún sistema o dispositivo de red. i 28
  • 29. Seguridad de redes Generación del ataque Este tipo de ataques no involucran un acceso al sistema, sino que buscan la degradación del servicio. Los ataques DoS pueden generarse de diferentes maneras: - Por explotación de errores de aplicaciones: se envían paquetes malformados que generan una caída de la aplicación. - Por mensajes de control: se envían paquetes con mensajes de control para que los dispositivos interrumpan la operación de la red. - Por inundación (flooding): consumen los recursos con una gran cantidad de paquetes. Algunos de los ataques más conocidos son: - Ping de la muerte - Syn flood - Land attack - Teardrop Defensa Para defendernos de los ataques DoS: 1 - Por explotación de vulnerabilidades: es imperioso mantener los sistemas libres de estas vulnerabilidades mediante las últimas actualizaciones. 2 - Para defendernos de los ataques de DoS por mensajes de control: necesitaremos crear filtros de paquetes apropiados. 3 - Para defendernos de los ataques de DoS por inundación: existen dispositivos llamados IDS (Intrution Detection Systems) que ayudan a detectar a un ataque de este tipo en proceso. Otra alternativa es restringir la cantidad de conexiones simultáneas que atenderá un servidor. 29
  • 30. Seguridad de redes Ataque DDoS Básicamente el DDoS es un ataque similar al DoS, donde se intenta consumir todos los recursos de una víctima hasta agotar su capacidad de procesamiento o llegar a un desborde. A diferencia del DoS en este caso nos enfrentamos a múltiples atacantes, ocasionando así una avalancha mucho mayor de paquetes sobre el destino del ataque. El atacante se suele aprovechar los hosts de usuarios hogareños que están conectados de forma permanente. Este tipo de hosts, generalmente, no están lo suficientemente protegidos, entonces un usuario malicioso podría cargar en docenas o miles de estos hosts un software de ataque. Denegación de servicios El programa de ataque permanece latente en las computadoras hasta que reciben una señal del usuario malicioso. Esta señal, le indica a todos los hosts (comúnmente llamados zombis) en forma simultánea que deben comenzar el ataque hacia un destino determinado. Un ataque muy común de DDoS es el ataque SMURF. Este sistema de ataque se basa en transmitir a la red una trama ICMP correspondiente a una petición de ping. Esta trama lleva como dirección de origen la dirección IP de la víctima, y como dirección de destino la dirección broadcast de la red atacada. Otro ataque DDoS muy conocido es el TFN (Tribe Flood Network). En este ataque, un usuario malicioso obtiene acceso privilegiado a múltiples hosts e instala un software que realice Syn Flood sobre un destino en particular al momento de recibir la orden del atacante. i 30
  • 31. Seguridad de redes 7. Resumen Seguridad de redes Internet e intranet - Las buenas prácticas en Internet exigen que los usuarios debamos tener en cuenta aspectos como: informar y formar a los menores, interactuar con los menores, la descarga de contenidos ilícitos, descarga de contenidos legales, etc... - Existen diversos tipos de virus y softwares dañinos, entre ellos adware, Backdoor, Dialers, Exploit, Gusanos, Hijacker, Keylogger, Malware, Spyware, Troyanos y virus. Analizador de redes - Un Analizador de Redes es un instrumento capaz de analizar las propiedades de las redes eléctricas, especialmente aquellas propiedades asociadas con la reflexión y la transmisión de señales eléctricas, conocidas como parámetros de dispersión (Parámetros-S). - Existen dos tipos principales de analizadores de redes el SNA y el VNA. Puntos de acceso - Un punto de acceso inalámbrico en redes de computadoras, es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar una red inalámbrica. - Existen redes Wireless pequeñas que pueden funcionar sin puntos de acceso, llamadas redes “ad-hoc” o modo peer-to-peer, las cuales sólo utilizan las tarjetas de red para comunicarse. i 31
  • 32. Seguridad de redes - Los puntos de acceso, también llamados APs o wireless access point, son equipos hardware configurados en redes Wifi y que hacen de intermediarios entre el ordenador y la red externa (local o Internet). El access point o punto de acceso, hace de transmisor central y receptor de las señales de radio en una red Wireless. Redes inalámbricas - Si una red inalámbrica no está bien configurada, todas las computadoras que se conecten a ella son tomadas como miembros de una misma red, lo cual permite que los archivos y la información de cada máquina puedan ser "vistos" por los usuarios de las demás. - Las redes inalámbricas son prácticas, rápidas y relativamente sencillas de implementar. Además, solucionan toda clase de problemas a aquellas personas que necesitan crear redes específicas para conferencias, eventos y en lugares en los que no se puede tirar cable. Seguridad de redes - Entre las amenazas más comunes podemos encontrar: eavesdropping, acceso no autorizado, denegación de Servicio, denegación de Servicio Distribuída. - Los principales factores que pueden generar problemas de seguridad se clasifican en: falta de políticas y/o normativas, protocolos, ambiente multilenguaje y multiproveedor,dispersión geográfica, falta de actualización de software de base, uso incorrecto de las aplicaciones, errores en los programas, errores de configuración, passwords y falta de supervisión y/o control. - Los intrusos realizan los siguientes pasos: Investigación, Penetración, Persistencia, Expansión y Logro del objetivo. i 32
  • 33. Seguridad de redes - Los ataques DoS pueden generarse de diferentes maneras: * Por error de aplicaciones: se envían paquetes malformados que generan una caída de la aplicación * Por mensajes de control: se envían paquetes con mensajes de control para que los dispositivos interrumpan la operación de la red * Por inundación (flooding): consumen los recursos con una gran cantidad de paquetes. - Algunos de los ataques más conocidos son: Ping de la muerte, Syn flood, Land attack y Teardrop. Un ataque muy común de DDoS es el ataque SMURF. i 33