430 likes | 624 Views
Tema 2 – Implantación de mecanismos de seguridad activa. Punto 3 – Seguridad en la Red Corporativa. Juan Luis Cano . Amenazas y ataques en Redes Corporativas.
E N D
Tema 2 – Implantación de mecanismos de seguridad activa Punto 3 – Seguridad en la Red Corporativa Juan Luis Cano
Amenazas y ataques en Redes Corporativas El objetivo de estas amenazas es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización. En cuanto a tipos de amenazas hay dos claros tipos:
Amenazas internas Generalmente estas amenazas son más serias que las externas y pueden dañar seriamente al sistema, algunas amenazas pueden ser la paralización del sistema por daños físicos o la intrusión en la red internamente. Estas amenazas son potencialmente peligrosas por estos motivos: • Los usuarios conocen la red y saben cómo es su funcionamiento. • Pueden tener algún nivel de acceso a la red por las mismas necesidades de su trabajo. • Los Firewalls son mecanismos no efectivos en amenazas internas.
Amenazas externas Son aquellas amenazas que se originan desde el exterior de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla, como son la localización, violación de la seguridad y evadir las pruebas. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.
Amenazas a un sistema informático Hay varios tipos de amenazas a los sistemas informáticos, que se pueden catalogar en:
Interrupción En una interrupción un activo del sistema se pierde, este queda no disponible o inoperable. A consecuencia de una destrucción maliciosa de un dispositivo de equipo, haber borrado un programa o archivo de datos u ocasionado el malfuncionamiento de un administrador de archivos del sistema operativo.
Intercepción Una intercepción significa que un tercero no autorizado ha ganado acceso a un activo. Este tercero puede ser una persona, un programa o un sistema de cómputo. Ejemplos de este tipo de ataque son: la copia ilícita de programas o archivos de datos, o la intrusión en la red de comunicaciones para obtener datos.
Intercepción por ingeniería social La intercepción puede basarse en Ingeniería Social donde el intruso obtiene información privada proporcionada en forma voluntaria. Este método es conocido bajo el término "phishing".
Modificación La modificación consiste en que alguien cambie los datos de una base de datos, altere el código de programa para ejecutar algún código adicional, o modifique los datos que se transmiten electrónicamente.
Fabricación En este tipo de ataque, una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo.
Ataques informáticos Los ataques informáticos al sistema pueden ser muy variados y cada uno afecta a una parte del sistema. A continuación se van a describir algunos de ellos.
Ataque de Denegación de servicio Comúnmente llamado DoS (Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios.
Ataque DDoS Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (DistributedDenial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.
Sniffing Se trata de una técnica por la cual se puede "escuchar" todo lo que circula por una red. Esto que en principio es propio de una red interna o Intranet, también se puede dar en la red de redes: Internet. Esto se realiza mediante aplicaciones que actúan sobre todos los sistemas que componen el tráfico de una red. Capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior análisis (contraseñas, mensajes de correo electrónico, datos bancarios, …)
Man in theMiddle Un ataque man-in-the-middle o JANUS es un ataque en el que una persona adquiere la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes cifradas sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.
Spoofing Es el conjunto de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing, ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.
Pharming Es la explotación de una vulnerabilidad en el software de los servidores DNS o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador a la página web que el atacante haya especificado para ese nombre de dominio.
Riesgos potenciales en los servicios de red Los servicios de red ofrecen múltiples funciones a la empresa, por lo que han de estar protegidos continuamente. Uno de los grandes preblemas de estos servicios es que hay que protegerlos uno a uno con distintas herramientas.
Seguridad en los terminales Algunas medidas que se pueden en los termianles para garantizar su seguridad son: • Eliminar los servicios que no sean necesarios, evitando así posibles entradas. • Utilizar cortafuegos • Revisar los registros a menudo • Mantener el sistema actualizado • Utilizar políticas de seguridad • Poder trampas para los intentos de entrada (como son los Honeypots) • Cifrar las comunicaciones
Seguridad en los switches Los puertos de entrada puedan son un punto de entrada a la red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una función que se conoce como seguridad de puertos, evitando así que las direcciones MAC que no están en su registro no reciban peticiones.
Configuración de los puertos Existen tres maneras de configurar la seguridad de puertos: • Estática: las direcciones MAC se configuran manualmente. Las direcciones MAC estáticas se almacenan en la tabla de direcciones y se agregan a la configuración. • Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en la tabla de direcciones. Se puede controlar la cantidad de direcciones que se aprenden, siendo la cantidad máxima predeterminada de direcciones MAC que se aprenden por puerto es una. • Sin modificación: similar a la dinámica excepto que las direcciones también se guardan en la configuración en ejecución.
Seguridad en los routers En cuanto a los routers, hay que establecer una política de seguridad amplia ya que hay una alta probabilidad de sufrir un ataque. Ya que son una de las fuentes de información de la red hay que mirar la seguridad física y lógica de los mismos.
Seguridad física En cuanto a la seguridad física, se pueden tomar varias medidas para que las personas que accedan al router estén controladas: • Designar al personal para actividades de instalación y desinstalación o mantenimiento • Definir controles de colocación y usos de la consola y los puertos de acceso • Definir procedimientos de recuperación ante eventualidades físicas
Seguridad lógica En cuanto a la seguridad lógica, se pueden atender muchos aspectos, como el control de los usuarios y el método de conexión: • Designar las personas que acceden al routervia consola o en forma remota • Designar la persona con privilegios de administración. • Definir políticas de administración en intercambio de información (Protocolos de ruteo, RADIUS, SNMP, TACACS+, NTP). • Definir políticas de intercambio de llaves de encriptación. • Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada interfaz, así como los procedimientos para su autorización. • Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada interfaz, así como los procedimientos para su autorización.
Seguridad de red por niveles Si se va a estudiar la seguridad en los servicios de red por niveles, hay que observar las diferentes capas: Enlace de datos, Red, Transporte y Aplicación.
Enlace de datos Hay que evitar los ataques basados en MAC y ARP. • CAM TableOverlow: consiste en el inundar la tabla de direcciones MAC de un switch haciendo que el switch envíe todas las tramas de las direcciones MAC que no tiene en la tabla a todos los equipos. • ARP Spoofing: es una técnica usada para infiltrarse en una red Ethernet conmutada que puede permitir al atacante husmear paquetes de datos en la LAN, modificar tráfico, o detenerlo.
Nivel de Red Hay que evitar los ataques basados en MAC y ARP. • Filtrado de paquetes: permitir a los usuarios de la red local acceder a los servicios, limitando así el acceso a los del exterior. • Monitorización de routers y equipos de acceso
Capa de aplicación Hay que evitar los ataques basados en MAC y ARP. • Cifrarlos paquetes enviados. • Utilizar certificados digitales. • Emplear el protocolo SSL.
Herramientas de monitorización de tráfico de redes Aquí se pondrá una lista de herramientas para monitorizar la red, es decir, ver lo que está sucediendo en todo momento a través de ella (paquetes de entrada y salida, TTL, …) • Wireshark • Red de Monitoreo GEM • ipMonitor • Host IP Network Monitor
Intentos de penetración Un intento de penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su alcance se extiende a equipos cliente, servidores, bases de datos, portales de Internet,…
Realizar un intento de penetración Para realizar un Intento de Penetración es necesario realizar las siguientes tareas: • Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas. • Identificación de las vulnerabilidades existentes mediante herramientas automáticas. • Explotación manual y automática de las vulnerabilidades para determinar su alcance. • Análisis de los resultados.
Sistemas de detección de intrusos El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.
Técnicas de detección de intrusos El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Puede aplicar las siguientes técnicas para detectar intrusiones:
Algunas técnicas • Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada. • Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc.
Tipos de IDS Existen dos tipos de sistemas de detección de intrusos: • HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado cuando intentan adueñarse del mismo. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. • NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
Software libre y comercial Existen multitud de programas de sistemas de detección de intrusos, y ya que está muy extendido hay mucho más software libre que comercial • Algunos programas de IDS libres son: • Snort • Prelude • FoundStone • AIDE • Software comercial de IDS: • El software que propone iDirect
Seguridad en comunicaciones inalámbricas Wi-Fi es un mecanismo de conexión de dispositivos electrónicos de forma inalámbrica. Los dispositivos habilitados con Wi-Fi, tales como: un ordenador personal, una consola de videojuegos, un smartphone o un reproductor de audio digital, pueden conectarse a Internet a través de un punto de acceso de red inalámbrica.
Sistemas de seguridad en WLAN Existen varias alternativas para garantizar la seguridad de estas redes. Las más comunes son la utilización de protocolos de cifrado de datos para los estándares Wi-Fi como el WEP, el WPA, o el WPA2 que se encargan de codificar la información transmitida para proteger su confidencialidad, proporcionados por los propios dispositivos inalámbricos. La mayoría de las formas son las siguientes:
Tipos de claves WLAN Hay muchos tipos de claves de seguridad WLAN, como pueden ser: • WEP, cifra los datos en su red de forma que sólo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. Este tipo de cifrado no está muy recomendado, debido a las grandes vulnerabilidades que presenta, ya que cualquier cracker puede conseguir sacar la clave. • WPA: presenta mejoras como generación dinámica de la clave de acceso. Las claves se insertan como de dígitos alfanuméricos, sin restricción de longitud • Abierta: No existe clave alguna y cualquiera puede entrar.
Seguridad en la WLAN Las WLAN pueden protegerse de varias maneras, como son: • IPSEC (túneles IP) en el caso de las VPN y el conjunto de estándares IEEE 802.1X, que permite la autenticación y autorización de usuarios. • Filtrado de MAC, de manera que sólo se permite acceso a la red a aquellos dispositivos autorizados. Es lo más recomendable si solo se va a usar con los mismos equipos, y si son pocos. • Ocultación del punto de acceso: se puede ocultar el punto de acceso (Router) de manera que sea invisible a otros usuarios. Sin embargo, no existe ninguna alternativa totalmente fiable, ya que todas ellas son susceptibles de ser vulneradas.
Recomendaciones de Seguridad Algunas de las recomendaciones de la seguridad WLAN son las siguientes: • Instalar el router en un entorno alejado de la calle para atenuar la señal y, si es posible, configurarlo para atenuar la señal. • Ocultar la red, esto se emplea para que solo accedan a ella si se sabe que la red está ahí y su nombre. • Cambiar la contraseña y el nombre de usuario para acceder a él. Utilizar el tipo de clave WPA y con una contraseña estricta. • Cambiar el SSID y deshabilitar el broadcast. • Utilizar herramientas para la seguridad como son los cortafuegos. • Actualizar el router continuamente evitando fallos en la seguridad.