Seguridad en la red

635 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
635
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad en la red

  1. 1. SEGURIDAD EN LA REDInstituto Tecnológico de TehuacánAdministración de RedesSergio Magdiel Lechuga Carrera
  2. 2. INTRODUCCIÓN¿Por qué de la seguridad? Ya no se puede decir que Internet sea un fenómeno enexpansión, porque Internet es una realidad en las comunicacionesactuales. La “red de redes” interconecta hoy día a prácticamente latotalidad de la población mundial, permitiendo la compartición deinformación a nivel global. Esto no es todo, porque las posibilidades de Internet se extienden masallá de la simple difusión de información. Internet permite lainteractividad entre usuarios, y ahí es donde radica el principalproblema de seguridad.
  3. 3.  Internet no creció con la seguridad en mente, y por tanto no incorporaningún mecanismo de seguridad en su estructura básica, por lo quetodos los servicios que se integran en Internet sufren de esasdebilidades básicas, a menos de otras “proporcionadas” por lospropios servicios, que normalmente hacen poco o ningún hincapié enlos posibles fallos y “agujeros” que pueda tener. Por tanto, cuantamás gente se une a la Red y más servicios se hacen disponibles, másnecesario es añadirle mecanismos de seguridad a Internet, pero paraclarificar esta necesidad.
  4. 4. Tipos de AtaquesAtaques a IPLos ataques basados en IP utilizan las direcciones y lafragmentación/reensamblado como arma ofensiva. Las practicas mascomunes consisten en el “Spoofing”, el “Strict and Loose ServiceRouting” y los ataques de “TearDrop”. Spoofing y Strict Routing se basan en las direcciones, el primerosuplantando la dirección de origen, y aparentando ser quien no es. ElStrict Routing consigue forzar el encaminamiento a través de undeterminado camino, para conseguir distintos efectos, desde que eltrafico viaje por la vía mas insegura, hasta que el trafico pase poralgún equipo bajo control del hacker, lo que le permitirá extraertrafico de la red.
  5. 5.  Los ataques de TearDrop se basan en el mecanismo dereensamblado/solapamiento de fragmentos. Se recibe un fragmentoque se superpone que es mas pequeño que el superpuesto, y al hacerel algoritmo de reensamblado se produce un error que provoca que elfinal del fragmento este al principio, y el principio al final. Estoprovoca un “Kernel Panic” y bloquea la maquina. Este ataque nofunciona en todas las implementaciones de IP, y para prevenirlo enaquellas implementaciones débiles se deben bloquear en el Firewalltodos los fragmentos.
  6. 6. Ataques a TCPEntre los ataques mas conocidos de TCP están el “Land Attack”, el“HiJacking” y los “Denial of Service” basados en Checksums. El Land Attack crea un paquete con la dirección de origen y destinoiguales a la de la maquina a ataque. Esto crea un bucle infinito en laconexión, que acaba por colgar la maquina. Puede ser fácilmentedetenido con un Firewall que no permita las conexiones externas quetengan como origen una maquina interna (ya que esto seria unataque). El HiJacking es el secuestro de una conexión, filtrando lacomunicación entre dos usuarios a través del atacante. Esto seconsigue a través del HandShake, procedimiento que se usa al iniciaruna conexión TCP para negociar parámetros y establecer unaconexión.
  7. 7.  El atacante se pone entre ambos comunicantes y captura los paquetesque se intercambian, sustituyéndolos por los suyos. De estaforma, ambos comunicantes creen hablar con el otro, pero enrealidad ambos hablan con el hacker, que permite la comunicaciónpara que no se detecte ninguna anomalía. Por ultimo, existe un ataque muy simple de Denial of Service, queconsiste en bombardear a la victima con paquetes TCP con unChecksum incorrecto, hasta que se cuelga. Se puede detener con unIDS capaz de detectar esta situación anómala.
  8. 8. Ataques a UDP Los ataques UDP mas habituales son el TearDrop (del que ya hablamosen IP) y el ataque de fraggle, una variante del tipo Denial of Service.La manera mas normal de llevar a cabo este ataque es mandar unpaquete de UDP hacia la dirección Broadcast, haciendo spoofing de ladirección de origen y colocando la de la maquina a ser atacada.además, los mensajes se dirigen al puerto de echo, con lo que seproduce un bucle de inundación, ya que el primer paquete llega atodas las maquinas de la subred, las cuales lo rebotan hacia el origen(la maquina atacada). A esta le llegan tantos paquetes como maquinasen la subred, y rebota cada paquete a la dirección Broadcast, con loque eleva al cuadrado el numero de paquetes en el bucle. Estaoperación se repite (todo rebota y le llega al origen, que vuelve aelevar al cuadrado el numero de paquetes...) hasta que la maquina“de origen” se colapsa.
  9. 9. Ataques a ARPEl principal problema del ARP (Address Resolution Protocol) es que notiene estado, por lo que si se recibe un Reply, no se sabe si hubo unrequest, lo cual se puede utilizar para fines maliciosos. Se utilizan falsos paquetes de ARP Reply para conseguir un “cachepoisoning”, una corrupción de la cache de ARP, haciendo un mapeo deuna dirección IP con una dirección física falsa, con lo que se puedeutilizar en una red local para hacerse pasar por otras maquinas(incluido el router, lo cual es lo mas útil). Este problema se puedepaliar usando Switches en lugar de Hubs.
  10. 10. Ataques a IGMP(Internet Group ManagementProtocol)Se usa para crear Grupos Multicast, donde una serie de maquinas estánadscritas a una dirección Multicast, de forma que se pueden comunicarentre si de una forma mas eficiente. Se puede usar de formamaliciosa, para convertir Multicast en Broadcast (añadiendo toda la subredal grupo), y así poder hacer ataques de Denial of Service de forma maseficiente. También se suelen utilizar ataques de Buffer Overflow (sobrepasar elbuffer de la aplicación y escribir en el área de instrucciones, para asíconseguir ejecutar programas de forma inadvertida) en sesionesMulticast (ataque múltiple). Como recomendación, lo mejor es desactivarlo a menos que seaimprescindible para la red, en cuyo caso será necesario añadir seguridada nivel Multicast, principalmente para evitar la modificación noautorizada de los grupos.
  11. 11. Ataques a ICMP (Internet Control MessageProtocol)Este protocolo se usa, como su nombre indica, para tareas de control yadministración de la red. Entre los ataques mas conocidos, están el“Ping of Death”, los Denial of Service y una variante del “cachepoisoning” que hemos visto en ARP. El Ping of Death usa paquetes ICMP excesivamente grandes, de formaque la maquina de destino no puede procesar adecuadamente laspeticiones, produciendo esto el colapso de la maquina. Muchasimplementaciones de Ping modernas no permiten el envió de paquetesmas grandes que el máximo, pero no es difícil conseguir una versiónque si deje, y simplemente poniendo „ping –l 65600 <destino>‟ puedesbloquear el destino. La mejor manera de detener este ataque esbloqueando los fragmentos de ICMP en el Firewall, ya que estos solose generan en situaciones anómalas de funcionamiento o en ataques(deben bloquearse TODOS los fragmentos, no solo el primero).
  12. 12.  La variante del “cache poisoning” se usa para suplantar o redirigir eltrafico a conveniencia, pero de una forma mas peligrosa, ya que lacache no expira (como la de ARP), y la brecha es indefinida. Aparte dela suplantación, se usa para falsear los traceroute, y cubrir el origende un determinado ataque. Los Denial of Service se pueden conseguir con un “echo request” conorigen en la maquina atacada y destino en Broadcast, con lo que seinunda a la maquina con “echo reply”. Se recomienda que no se permita el trafico ICMP desde Internet a lasubred, pero que si se permita el trafico saliente, puesto que es útilpara determinadas tareas administrativas. En cualquier caso, yaunque no se use, no se puede desactivar, puesto que es un servicio anivel del núcleo del sistema operativo, por lo que aunque no seuse, hay que tenerlo muy en cuenta y bloquearlo explícitamente.
  13. 13. Ataques a RIP (Routing Information Protocol)Este protocolo, por naturaleza, esta construido para llevar cambios en elRouting, con lo que se puede utilizar para hacer redirecciones maliciosasde trafico y conseguir un efecto similar al de la suplantación (te llega eltrafico de otra persona). Se recomienda utilizar encaminamiento estático en redes pequeñas yOSPF (Open Shortest Path First) en lugar de RIP.
  14. 14. INTRUSIONES EN LA RED Las organizaciones dependen cada vez más de sistemas informáticospara su funcionamiento diario. La existencia de atacantes, tantointernos como externos, que pretenden acceder ilegítimamente asistemas informáticos, sea para sustraer información confidencial, opara modificar o eliminar nformación, sea con un interés concreto opor simple entretenimiento, hace que la seguridad sea algo que ha deevolucionar a la par que la tecnología se desarrolla. Los cortafuegos son una herramienta indispensable para hacerejecutar las políticas de empresa, pero el hecho de que suelenrealizar un análisis muy superficial de la información que circula porla red generalmente, se quedan a nivel de red), hace que muchosataques sean simplemente invisibles para ellos.
  15. 15.  Los sistemas de detección de intrusiones (IDS) están constantementevigilando, e incorporan mecanismos de análisis de tráfico y de análisisde sucesos en sistemas operativos y aplicaciones que les permitendetectar intrusiones en tiempo real. Un IDS puede ser un dispositivohardware autocontenido con una o varias interfaces, que se conecta auna o varias redes; o bien una aplicación que se ejecuta en una ovarias máquinas y analiza el tráfico de red que sus interfaces ven y/olos eventos generados por el sistema operativo y las aplicacioneslocales.
  16. 16. Tipos de Detección Los usos indebidos son ataques bien definidos contra debilidadesconocidas de los sistemas. Se los puede detectar buscando laocurrencia de determinadas acciones concretas. Las anomalías se basan en la observación de desviaciones de lospatrones de uso normales en el sistema. Se las detecta construyendopreviamente un perfil del sistema a monitorizar y posteriormenteestudiando las desviaciones que se produzcan con respecto a esteperfil. Las intrusiones por uso indebido siguen patrones biendefinidos, por lo que se pueden detectar realizando búsqueda depatrones en el tráfico de red y en los ficheros de registro. Las intrusiones por anomalía se detectan observando desviacionessignificativas del comportamiento habitual.
  17. 17.  Para ello se mide una serie de parámetros. Considerando que unaintrusión involucrará un uso anormal del sistema, se pueden detectarlas violaciones de seguridad a partir de patrones anormales de uso. Los detectores de anomalías conocen, bien porque han sidoprogramados por un experto, bien porque han pasado por una faseprevia de aprendizaje, la actividad que resulta “normal” en el seno deun sistema. Mediante métodos estadísticos se intentaráposteriormente comparar la información recibida en cada instante conel modelo de actividad válida, y aquello que se aparte excesivamenteserá etiquetado como intrusión. Es difícil detectar intrusiones por anomalías. No hay patrones fijos quese puedan monitorizar, por lo que se usan aproximaciones “borrosas”que suelen producir altas tasas de error.
  18. 18. NIDS HIDSSistemas de detección deintrusos por redEstos sistemas disponen de una o variasinterfaces de red conectadas adeterminados puntos estratégicos de lared. Monitorizan el tráfico que pasa pordichos puntos en busca de tráficomalicioso. Aunque estos sistemas enprincipio son dispositivos absolutamentepasivos, con frecuencia se colocan los NIDSen cortafuegos y enrutadores, de maneraque el propio sistema puede forzar elcierre de conexiones y modificar reglas defiltrado de una manera más directa.Mediante uno solo de estos sistemas sepuede monitorizar el tráfico tanto internocomo externo de una red para muchasmáquinas. Los NIDS no suelen controlartoda la red sino determinados puntosestratégicos.Sistemas de detección deintrusos de máquinase instalan en las máquinas que componenla red: tanto servidores como estaciones detrabajo. Un sensor, instalado directamentecomo un módulo sobre unamáquina, dispone de información demayor nivel semántico que los NIDS:llamadas al sistema, eventos complejosdentro de aplicaciones de alto nivel, etc.Un sistema basado únicamente en redtendría que ser mucho más complejo para“entender” la gran diversidad deprotocolos que existen, y los que seimplementan por encima de éstos. Por otraparte, la tendencia actual al uso deconexiones encriptadas, de indiscutibleinterés para mejorar la seguridad de lossistemas, hace que un sistema que soloescuche la red disponga de muy pocainformación para distinguir el tráficomalicioso del aceptable.
  19. 19. CERTIFICADOS DE SEGURIDADSSL (Secure Sockets Layer) Son una medida de confianza adicional para las personas que visitan yhacen transacciones en su página web, le permite cifrar los datosentre el ordenador del cliente y el servidor que representa a lapágina. El significado más preciso de un certificado de seguridad esque con él logramos que los datos personales sean encriptados y asíimposibilitar que sean interceptados por otro usuario. Ahora es muycomún ver en nuestros exploradores el protocolo de seguridad https;mediante éste, básicamente nos dice que la información que se envíaa través de internet, entre el navegador del cliente y el servidordonde está alojada la página, se encripta de forma que es casiimposible que otra persona reciba, vea o modifique los datosconfidenciales del cliente.
  20. 20.  Los certificados de seguridad brindan confianza en línea, al obtenerun certificado, su cliente podrá conocer la información sobre suempresa. Al ofrecer seguridad, aumentará el número de clientes yusuarios, realizando más compras en su sitio web y así tener unaexperiencia en internet más rentable. Los sitios web que cuentan con certificados de seguridad nos permitensaber quién es el dueño del mismo, saber a qué dominio pertenece, laprocedencia real del dueño del sitio, la validez del certificado, asícomo su fecha de caducidad, y sobre todo, la empresa que ha emitidoel certificado. Podemos decir que los sitios web que considerannecesario un certificado de seguridad logran garantizar mayorseguridad a los usuarios.
  21. 21. PFSENSEEs una distribución personalizada de FreeBSD adaptado para su uso comoFirewall y Router. Se caracteriza por ser de código abierto, puede serinstalado en una gran variedad de ordenadores, y además cuenta con unainterfaz web sencilla para su configuración.El proyecto es sostenido comercialmente por BSD Perimeter LLC.URL:http://www.pfsense.org/
  22. 22. CARACTERÍSTICASLa siguiente lista muestra algunas funcionalidades que se incluyen pordefecto en el sistema. Firewall State Table Network Address Translation (NAT) Balance de carga VPN que puede ser desarrollado en IPsec, OpenVPN y en PPTP Servidor PPPoE Servidor DNS Portal Cautivo Servidor DHCPPfSense cuenta con un gestor de paquetes para ampliar susfuncionalidades, al elegir el paquete deseado el sistemaautomáticamente lo descarga e instala. Existen alrededor de setentamódulos disponibles, entre los que se encuentran el proxySquid, IMSpector, Snort, ClamAV, entre otros.
  23. 23. INSTALACIÓN PfSense puede instalarse en cualquier ordenador o servidor que cuente con unmínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD.Una vez copiados los archivos del sistema al disco duro, se procede aconfigurar las direcciones IP de las tarjetas de red. Una vez concluido loanterior, se puede acceder al sistema desde un explorador web. El portal deadministración está basado en PHP y teóricamente todas las configuraciones yadministración se pueden realizar desde allí, por lo tanto no es indispensablecontar con conocimientos avanzados sobre la línea de comandos UNIX para sumanejo.
  24. 24. UNTANGLEEs una empresa privada con sede en Sunnyvale, California , que producey apoya el software y hardware de las versiones del Untangle firewallUTM de red de la aplicación. Untangle es utilizado por más de 30.000organizaciones de todo el mundo.Untangle ofrece software en dos paquetes diferentes, Standard yPremium. Premium ofrece la gestión de rendimiento de la red y filtradode contenido más robusta. Ambos se venden como suscripciones.URL:http://www.untangle.com/
  25. 25. Untangle aplicaciones incluyen: Anti-spam Filtrado de contenidos Antivirus , Anti-phishing Anti-spyware Prevención de intrusiones Firewall OpenVPN Enrutador Caché web de software.Aplicaciones libres de Untangle se agrupan en el paquete Lite, publicado bajo laversión 2 de la Licencia Pública General de GNU (GPL), muchos componentes conla excepción Classpath GNU. Ciertos componentes de terceros distribuidos con elSoftware Untangle están licenciados bajo otros términos de licencia gratuita. Lospaquetes estándar y Premium están bajo una EULA de propiedad.
  26. 26. FORTINETEs una compañía americana que se especializa en dispositivos de seguridadde red . Línea de producto principal de Fortinet se vende bajo el nombrecomercial de FortiGate. Fortinet fue fundada en 2000 por Ken Xie , fundadory ex presidente y director general de NetScreen y es una compañía quecotiza en bolsa (en el NASDAQ bajo el símbolo FTNT, al 18 de noviembre de2009). La posición de Fortinet como el líder en ingresos en gestión unificadade amenazas (UTM), ha sido validado por IDC varias veces.Fortinet es una compañía internacional, con sede en Sunnyvale, California.Fortinet distribuye sus sistemas y servicios basados ​​en suscripción utilizandoel partner de canal método de venta, con más de 1.500 en todo el mundo.URL:http://www.fortinet.com/
  27. 27. CARACTERÍSTICASFortinet ofrece gateways de seguridad y productos que son unacombinación de rendimiento ASIC-acelerado, protección multi-amenazaintegrada y constante actualización, en profundidad de inteligencia deamenaza. Esto ofrece la red, el contenido y la seguridad de aplicacionespara las empresas, proveedores de servicios gestionados, y operadores detelecomunicaciones, al tiempo que reduce el coste total de la propiedady proporcionar una ruta de acceso flexible y escalable para la expansión.La compañía ofrece las siguientes líneas de productos: FortiGate - dispositivos de seguridad multi-amenaza FortiMail - dispositivos de seguridad de mensajería FortiWeb - firewall de aplicaciones web FortiDB - aparato de seguridad de base de datos FortiClient - suite de seguridad de punto final FortiWifi - dispositivos de seguridad inalámbricos
  28. 28.  FortiAP - punto de acceso inalámbrico delgada FortiAnalyzer - informes centralizados FortiManager - Gestión centralizada FortiScan - gestión de vulnerabilidades FortiPlanner - herramienta de planificación de punto de acceso inalámbrico FortiToken - solución de autenticación de dos factores FortiCarrier - proveedor de servicios de seguridadAlgunos productos FortiGate solicitar a los usuarios que acepten un nuevonivel de la raíz Fortigate certificado SSL luego actuar como intermediarioen lugar de conectar al usuario directamente a su servidor SSL finalprevisto. Esto es necesario en un contexto de gestión unificada deamenazas donde el control total sobre el malware y los virus entrante esun atributo clave.Firewalls corporativos mayores ni bloquearon el puerto HTTPS completao permitir HTTPS, pero no pudieron realizar un filtrado del flujo de datosencriptados en busca de amenazas de seguridad como virus, oinfracciones de la política de TI.

×