1. AMENAZAS Y ATAQUES
Las redes de ordenadores cada vez son más esencialespara las actividades diarias.
Los ataques e intrusiones a través de las redes públicas yprivadas son cada vez más frecuentes, y pueden causarinterrupciones costosas de servicios críticos y pérdidasde información.
Seguridad y Alta Disponibilidad 2
1. AMENAZAS Y ATAQUES
Las amenazas en comunicaciones se pueden dividiren cuatro grandes grupos:
a) Interrupción: un objeto, servicio del sistema o datos
en una comunicación se pierden, quedan inutilizables
o no disponibles.
• Es un ataque contra la disponibilidad.
• Ejemplos de este ataque son la destrucción de un
elemento hardware, como un disco duro, cortar una línea
de comunicación o deshabilitar el sistema de gestión de
ficheros.
Seguridad y Alta Disponibilidad 3
1. AMENAZAS Y ATAQUES
b) Interceptación: un elemento no autorizado consigue
un acceso a un determinado objeto.
• Es un ataque contra la confidencialidad.
• Ejemplos de este ataque son la copia ilícita de ficheros o
programas (intercepción de datos), o bien la lectura de las
cabeceras de paquetes para desvelar la identidad de uno
o más de los usuarios implicados en la comunicación
observada ilegalmente (intercepción de identidad).
Seguridad y Alta Disponibilidad 4
1. AMENAZAS Y ATAQUES
c) Modificación: además del acceso no autorizado
consigue modificar el objeto; es posible, incluso, la
destrucción.
• Es un ataque contra la integridad.
• Ejemplos de este ataque son el cambio de valores en un
archivo de datos, alterar un programa para que funcione
de forma diferente y modificar el contenido de mensajes
que están siendo transferidos por la red.
Seguridad y Alta Disponibilidad 5
1. AMENAZAS Y ATAQUES
d) Fabricación: modificación destinada a conseguir un
objeto similar al atacado de forma que sea difícil
distinguir entre el original y el “fabricado”.
• Este es un ataque contra la autenticidad.
• Ejemplos de este ataque son la inserción de mensajes
espurios en una red o añadir registros a un archivo.
Seguridad y Alta Disponibilidad 6
1. AMENAZAS Y ATAQUES
Ejemplos reales de dichas amenazas, técnicas de ataquesinformáticos en redes:
◦ Ataques de denegación de servicio
◦ Sniffing
◦ Man in the middle
◦ Suplantación (spoofing)
◦ Pharming.
Seguridad y Alta Disponibilidad 7
1. AMENAZAS Y ATAQUES
◦ Ataque de denegación de servicio,
también llamado ataque DoS (Deny of
Service), causando la interrupción del
servicio. El servicio o recurso se hace
inaccesible a los usuarios legítimos,
normalmente provocado por:
La pérdida de conectividad de la red por el
consumo de ancho de banda de la red de la
víctima
O por sobrecarga de los recursos
computacionales del sistema de la víctima.
Mediante botnet o redes zombi es posible
controlar máquinas al realizar ataques
distribuidos de saturación de servidores o
DDoS.
Seguridad y Alta Disponibilidad 8
1. AMENAZAS Y ATAQUES
◦ Sniffing, técnica de interceptación, consistente en rastrear einterceptar, monitorizando el tráfico de una red.
Seguridad y Alta Disponibilidad 9
◦ Man in the Middle (MitM), consistente en la interceptación ymodificación de identidad. Un atacante supervisa unacomunicación entre dos partes, falsificando las identidades delos extremos y, por tanto, recibiendo el tráfico en los dossentidos.
1. AMENAZAS Y ATAQUES
◦ Spoofing: es una técnica de fabricación, suplantando laidentidad o realizando una copia o falsificación de IP, MAC, DNS,web o mail. Falsificación de web bancaria: phishing.
Seguridad y Alta Disponibilidad 10
1. AMENAZAS Y ATAQUES
◦ Pharming: es una técnica de modificación Mediante la explotación de una vulnerabilidad en el software de los
servidores DNS o en el de los equipos de los propios usuarios, permitemodificar las tablas DNS redirigiendo un nombre de dominio conocido,a otra máquina (IP) distinta, falsificada y probablemente fraudulenta.
Seguridad y Alta Disponibilidad 11
1. AMENAZAS Y ATAQUES
La monitorización del trafico de red es un aspectofundamental para analizar lo que está sucediendo en lamisma, y poder tomar precauciones y medidas deseguridad en la misma.
Software de auditoría de seguridad en redes:
◦ Sniffer: Wireshark, Cain & Abel.
◦ Spoofing, MitM, Pharming: Cain & Abel.
◦ Protección contra MitM: Tablas ARP estáticas, no
modificables. Comando: arp –s IP MAC.
◦ Monitorizar modificaciones en tablas ARP: Wireshark, o
sistema de detección de intrusos (IDS) como SNORT.
Seguridad y Alta Disponibilidad 12
1.2. Amenazas externas e internas
Las amenazas de seguridad en redes corporativas oprivadas de una organización pueden originarse:
◦ Amenaza externa o de acceso remoto: los atacantes son
externos a la red privada o interna de una organización, y
logran introducirse desde redes públicas. Los objetivos de
ataques son servidores y routers accesibles desde el exterior,
y pasarela de acceso a la redes corporativas.
◦ Amenaza interna o corporativa: los atacantes acceden sin
autorización o pertenecen a la red privada de la organización,
comprometiendo la información y los servicios de la misma.
Seguridad y Alta Disponibilidad 13
1.2. Amenazas externas e internas
Seguridad y Alta Disponibilidad 14
Internet
Ataque
InternoAtaque
Acceso
Remoto
Contra dichas amenazas:◦ Defender la seguridad en la red corporativa de forma
interna.◦ Medidas de protección perimetral en equipos expuestos a
redes públicas.
15
Firewalls (cortafuegos)
Control de Acceso
Cifrado (protocolos seguros)
Proxies (o pasarelas)
Seguridad del edificio
Hosts, Servidores
Routers/Switches
Intrusión
Interna
Intrusión
Externa
• Detección de Intrusiones (siempre)
1.3. Protección contra amenazas externas e internas
1.3. Protección contra amenazas internas
Para protegernos de las posibles amenazas internasalgunas propuestas son:
◦ Diseño de direccionamiento, parcelación y servicios desubredes dentro de nuestra red corporativa: subnetting,VLAN y DMZ, aislando y evitando que los usuarios puedanacceder en red local con los sistemas críticos.
◦ Políticas de administración de direccionamiento estáticopara servidores y routers.
◦ Monitorización del tráfico de red y de las asignaciones dedireccionamiento dinámico y de sus tablas ARP.
Seguridad y Alta Disponibilidad 16
1.3. Protección contra amenazas internas
◦ Modificación de configuraciones de seguridad y, en especial,contraseñas por defecto de la administración de servicios.
◦ En redes inalámbricas emplear el máximo nivel de seguridad,fundamentalmente en la encriptación.
◦ Servicios de proxy para evitar accesos no autorizados alexterior.
◦ Capacitación y concienciación del personal.
Seguridad y Alta Disponibilidad 17
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Un IDS es una herramienta de seguridad que se utiliza paradetectar o monitorizar los eventos ocurridos en undeterminado sistema informático en busca de intentos quepueden comprometer la seguridad de dicho sistema.
Seguridad y Alta Disponibilidad 18
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Los IDS buscan patrones previamente definidos (disponende una base de datos de “firmas de ataques conocidos)que impliquen cualquier tipo de actividad sospechosa omaliciosa sobre nuestra red o host, aportan capacidad deprevención y de alerta anticipada.
Los tipos de IDS que encontramos son:
◦ HIDS (Host IDS): protegen un único servidor, PC o host.
◦ NIDS (Net IDS): protege un sistema basado en red,
capturando y analizando paquetes de red, es decir, son
sniffers del tráfico de red.
Seguridad y Alta Disponibilidad 19
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
La arquitectura de un IDS, a grandes rasgos, está formadapor:
◦ La fuente de recogida de datos. Estas fuentes pueden ser unarchivo de log, dispositivo de red, IDS host, el propio sistema.
◦ Reglas y filtros sobre los datos y patrones para detectaranomalías de seguridad en el sistema.
◦ Dispositivo generador de informes y alarmas. En algunoscasos con la sofisticación suficiente como para enviar alertasvía mail o SMS.
Ubicación del IDS: uno delante y otro detrás del cortafuegosperimetral de nuestra red.
Seguridad y Alta Disponibilidad 20
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Ejemplos: Windows y GNU/Linux:
◦ SNORT: sniffer, registro de paquetes, logs para su posterioranálisis, o NIDS.
Ej: snort -dev -l ./log -h 192.168.1.0/24 -c /etc/snort/snort.conf snort.conf: configuración de las reglas, preprocesadores y otros
funcionamientos en modo NIDS.
◦ ISA Server (sólo Windows Server).
◦ TMG (sólo Windows Server R2).
◦ AlienVault (código abierto).
Seguridad y Alta Disponibilidad 21
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Los sistemas de detección de intrusos permiten detectar
actividad inadecuada, incorrecta o anómala dentro de la
red.
Por lo tanto, en su sentido más amplio, un buen IDS será
capaz de:
◦ detectar las acciones de atacantes externos (intrusiones
propiamente dichas),
◦ así como la actividad de los atacantes internos dentro de la
red.
Seguridad y Alta Disponibilidad 22
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Ahora bien:
◦ ¿qué se entiende por actividad anómala? ó
◦ ¿qué se considera como intrusión?
Aunque la definición puede variar en función del IDS
utilizado, en general se consideran intrusiones las
siguientes actividades:
◦ Reconocimiento
◦ Explotación
◦ Denegación de Servicio.
Seguridad y Alta Disponibilidad 23
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Reconocimiento. Los intrusos suelen explotar una red
antes de intentar atacarla utilizando técnicas como:
◦ barridos de ping
◦ explotación de puertos TCP y UDP
◦ identificación del SO
◦ intentos de inicio de sesión
◦ etc.
Seguridad y Alta Disponibilidad 24
Mientras que un cortafuegos
puede limitarse a bloquear esos
sondeos, el IDS hará saltar la
alarma.
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Explotación. Una vez que en la fase de reconocimiento se
ha identificado el objetivo a atacar, el intruso intentará
utilizar agujeros del sistema. Por ejemplo:
◦ fallos en los servidores Web
◦ en los navegadores de los usuarios
◦ enmascaramiento de IP
◦ desbordamiento de buffer
◦ ataques DNS.
Muchos de estos ataques pasarán completamente
desapercibidos en el cortafuegos, mientras que un buen
IDS alertará de ellos.
Seguridad y Alta Disponibilidad 25
2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Denegación de servicio. Se trata de un ataque capaz de
dejar sin servicio a una determinada máquina.
◦ Normalmente, se utilizan técnicas como el ping de la muerte,
inundación SYN, Land, WinNuke, smurtf, ataques distribuidos,
etc.
Algunos IDS podrán detectarlos antes de que los
servidores bajo ataque dejen de funcionar.
Seguridad y Alta Disponibilidad 26
3. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED
TCP/IP es la arquitectura de protocolos que usan los
ordenadores para comunicarse en red.
◦ Emplea puertos de comunicaciones o numeración lógica
que se asignan para identificar cada una de las
conexiones de red, tanto en el origen como en el destino.
◦ Algunos de los servicios de red más habituales utilizan los
denominados puertos bien conocidos
80 HTTP o web
20-21 para transferencia de ficheros FTP
22 para administración remota vía SSH
53 para el servicio DNS.
…
Seguridad y Alta Disponibilidad 27
3. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED
◦ Los distintos sistemas y sus aplicaciones de red, también
ofrecen y reciben servicios a través de dichos puertos.
Solamente a través de un conocimiento y análisis exhaustivo de
los puertos y las aplicaciones y equipos que los soportan podemos
asegurar nuestras redes.
3306 para el SGBD MySQL
1521 para el SGBD Oracle
8080 para el contenedor de aplicaciones Tomcat
…
Seguridad y Alta Disponibilidad 28
3. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED
El análisis y control de los puertos se pueden realizar
desde distintos frentes:
1.- En una máquina local, observando qué conexiones y
puertos se encuentran abiertos y qué aplicaciones los
controlan.
El comando netstat y todas las aplicaciones basadas en éste
permiten ver el estado en tiempo real de nuestras conexiones.
La aplicación nmap también permite ver si los puertos están o no
abiertos.
Los cortafuegos o firewall personales ofrecen protección frente aataques externos.
Seguridad y Alta Disponibilidad 29
3. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED
2.- En la administración de red, para ver qué puertos y en qué
estado se encuentran los de un conjunto de equipos.
La aplicación nmap permite un escaneo de puertos, aplicaciones y
sistemas operativos, en un rango de direcciones.
Aplicaciones tanto gratuitas como de uso comercial tales como GFI
Languard, Angry IP Scan, OpenNMS, Nagios, …
Los cortafuegos y proxys perimetrales ofrecen protección
mediante un filtrado de puertos y conexiones hacia y desde el
exterior de una red privada.
Seguridad y Alta Disponibilidad 30
4. COMUNICACIONES SEGURAS
Todavía hoy en día muchas de las comunicaciones que
empleamos en la red como HTTP, FTP o SMTP/POP no
emplean cifrado en las comunicaciones.
◦ Wireshark o Cain & Abel tienen la capacidad de ver y/orecuperar tráfico y contraseñas de dichos protocolos.
Seguridad y Alta Disponibilidad 31
4. COMUNICACIONES SEGURAS
En cambio, existen protocolos que empleancomunicaciones cifradas:
◦ SSH (puerto 22) empleado como túnel o con el envío/copia
segura de archivos mediante SFTP y/o SCP.
Seguridad y Alta Disponibilidad 32
4. COMUNICACIONES SEGURAS
◦ SSL y TLS: Secure Sockets Layer -Protocolo de Capa de
Conexión Segura- (SSL) y Transport Layer Security -
Seguridad de la Capa de Transporte- (TLS), su sucesor.
Se ejecutan en una capa entre los protocolos de aplicación y
sobre el protocolo de transporte TCP. Ello permite encapsular de
forma cifrada los datos del usuario antes de ser envueltos en un
segmento de la capa de transporte.
Entre otros, se emplea a través de puertos específicos con
HTTPS, FTPS, SMTP/TLS, POPS, etc.
Seguridad y Alta Disponibilidad 33
La capa SSL envuelve a HTTP
antes de pasar a capas inferiores.
4. COMUNICACIONES SEGURAS
◦ IPSEC o Internet Protocol SECurity, conjunto de protocolos
cuya función es asegurar las comunicaciones sobre el
Protocolo de Internet (IP) autenticando y/o cifrando cada
paquete IP en un flujo de datos.
Actúan en la capa 3 con lo que pueden ser utilizados por
protocolos de la capa 4, TCP y UDP.
Una ventaja importante es que para que una aplicación puedautilizar IPSEC no hay que hacer ningún cambio.
Seguridad y Alta Disponibilidad 34
4.1. TÚNELES
Un túnel se utiliza para encriptar tráfico de aplicaciones
individuales.
◦ Encripta el tráfico para un protocolo y puerto determinado.
◦ Algunas implementaciones permiten comprimir el tráfico. Si
bien esto depende de la relación entre la velocidad de la red y
de la CPU.
◦ No es útil para aplicaciones que pueden generar conexiones
dinámicamente.
Seguridad y Alta Disponibilidad 35
4.1. TÚNELES
Túnel SSH
◦ Tuneliza de forma nativa y transparente conexiones X11.
◦ Comprime con gzip.
◦ Tuneliza solamente sobre TCP. No soporta UDP.
◦ No es útil para aplicaciones que pueden generar conexiones
dinámicamente.
◦ No dar privilegios al usuario que crea el túnel.
Seguridad y Alta Disponibilidad 36
4.1. TÚNELES
Túnel Stunnel
◦ Permite dar soporte SSL a servicios que no lo tienen
nativamente (https, imaps, etc.).
◦ Una sola instancia en ejecución del proceso Stunnel puede
atender varios túneles.
◦ Tuneliza solamente sobre TCP. No soporta UDP.
Seguridad y Alta Disponibilidad 37
4.2. VPN
Una aplicación esencial hoy día en el ámbito de las
conexiones seguras es el empleo de las VPN.
Una red privada virtual o VPN (Virtual Private
Network) es la interconexión de un conjunto de
ordenadores haciendo uso de una infraestructura
pública, normalmente compartida, para simular una infraestructura dedicada o privada.
Seguridad y Alta Disponibilidad 38
◦ Las VPNs tienen la característica
de utilizar direccionamiento no
integrado en la red del ISP.
◦ Se cifra la información a través
de la infraestructura pública.
4.2. VPN
Se basa en la creación de túneles. Los túneles pueden
conectar usuarios u oficinas remotas.
Seguridad y Alta Disponibilidad 39
Red SNA
Red TCP/IP
Túnel SNA transportando datagramas IP
Los datagramas IP viajan ‘encapsulados’ en paquetes SNA
Encapsulador Encapsulador
Datagrama IPPaquete
SNA
Red TCP/IP
4.2. VPN
Ejemplos de uso:
◦ Conectar utilizando Internet, dos o más sucursales de una
empresa.
◦ Permitir a los miembros del equipo de soporte técnico la
conexión desde su casa al centro de trabajo (acceso remoto).
Seguridad y Alta Disponibilidad 40
4.2. VPN
Para hacerlo de manera segura es necesario garantizar:
◦ Autenticación y autorización: se controlan los usuarios y/o
equipos y qué nivel de acceso deben tener.
◦ Integridad: los datos enviados no han sido alterados; para
ello, se utilizan funciones resumen o hash, como MD5
(Message Digest) o SHA (Secure Hash Algorithm).
◦ Confidencialidad: la información que viaja a través de la red
pública solo puede ser interpretada por los destinatarios de la
misma. Para ello, se hace uso de algoritmos de cifrado como
DES (Data Encryption Standard), 3DES (Triple DES) y AES
(Advanced Encryption Standard).
◦ No repudio: los mensajes tienen que ir firmados.
Seguridad y Alta Disponibilidad 41
4.2. VPN
Los componentes de una VPN son:
• Servidor VPN.
• Cliente VPN.
• Túnel, protocolos de túnel y Red de Tránsito.
• Conexión VPN.
Seguridad y Alta Disponibilidad 42
4.2. VPN
• Servidor VPN: Generalmente, los servidores VPN son
hardware dedicado ejecutando software de servidores.
Dependiendo de los requerimientos de la organización,
puede haber uno o más servidores VPN.
Escucha las peticiones de conexión VPN.
Negocia parámetros y requerimientos de conexión, tales como los
mecanismos de cifrado y autenticación.
Autenticación y autorización de clientes VPN.
Acepta información del cliente o la petición de reenvío de
información del cliente.
Actúa como el punto final del túnel VPN y la conexión. El otro
punto de conexión se provee por las peticiones del usuario a la
conexión VPN.
Seguridad y Alta Disponibilidad 43
4.2. VPN
• Cliente VPN: son máquinas locales o remotas que inicializan
la conexión VPN a un servidor VPN y se introducen a la red
remota después de haberse autenticado en el extremo de la
misma. Después de un acceso exitoso pueden comunicarse
mutuamente el servidor VPN y el cliente.
• Túnel, protocolos de túnel y Red de Tránsito: parte de la
conexión de la red exterior en la que los datos van
encapsulados.
• Conexión VPN: enlace sobre un medio compartido en el cuallos datos son cifrados y encapsulados.
Seguridad y Alta Disponibilidad 44
4.2. VPN
Ventajas:
◦ Reducción de costes de implementación: las VPNs son
considerablemente menos costosas que las soluciones
tradicionales, las cuales están basadas en líneas alquiladas,
Frame Relay, ATM o ISDN.
◦ Reducción de costes por administración y manejo: al
reducir los costes de comunicaciones a larga distancia, las
VPNs también bajan los costes de las redes WAN
considerablemente.
Seguridad y Alta Disponibilidad 45
4.2. VPN
Ventajas (cont.):
◦ Seguridad en las transacciones: usan las tecnologías de
túneles para transmitir datos a través de las redes públicas
'inseguras'. Esto conlleva cifrado, autenticación y autorización
para garantizar la seguridad, confiabilidad e integridad de los
datos transmitidos.
◦ Uso eficiente del ancho de banda: las VPNs crean túneles
lógicos cuando son requeridas. En el caso de las conexiones
a Internet basadas en líneas alquiladas, el ancho de banda es
desperdiciado enteramente cuando no existe una conexión
activa.
Seguridad y Alta Disponibilidad 46
4.2. VPN
Ventajas (cont.):
◦ Alta escalabilidad: como las VPNs están basadas en las
conexiones a Internet, permiten a la red interna (Intranet)
corporativa evolucionar y crecer, cuando y como el negocio
cambie, con el mínimo de equipo extra o expansiones.
Seguridad y Alta Disponibilidad 47
4.2. VPN
Existen tres arquitecturas de conexión VPN:
◦ VPN de acceso remoto
◦ VPN punto a punto
◦ VPN over LAN o interna
Seguridad y Alta Disponibilidad 48
4.2. VPN
◦ VPN de acceso remoto: es el más usado. Usuarios o
proveedores se conectan con la empresa desde sitios
remotos utilizando Internet como vínculo de acceso. Una vez
autenticados tienen un nivel de acceso muy similar al que
tienen en la red local de la empresa.
◦ VPN punto a punto: conecta ubicaciones remotas como
oficinas, con una sede central de la organización. El servidor
VPN posee un vínculo permanente a Internet y acepta las
conexiones vía Internet provenientes de los sitios y establece
el túnel VPN. Mediante la técnica de Tunneling se
encapsulará un protocolo de red sobre otro creando un túnel
dentro de una red.
Seguridad y Alta Disponibilidad 49
4.2. VPN
◦ VPN over LAN o interna: es el menos difundido pero uno de
los más poderosos para utilizar dentro de la empresa. Sobre
la propia LAN de la empresa, aísla zonas y servicios de la red
interna, a los que se puede añadir cifrado y autenticación
mediante VPN.
Esta capacidad lo hace muy conveniente para mejorar las
prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo clásico es un servidor con información sensible, como
las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual
provee autenticación adicional más el agregado del cifrado,
haciendo posible que sólo el personal de RRHH habilitado pueda
acceder a la información.
Seguridad y Alta Disponibilidad 50
4.2. VPN
Seguridad y Alta Disponibilidad 51
Puede ir encriptado
(si se usa IPSec ESP)
200.1.1.20
ISP 1
ISP 2
199.1.1.69
199.1.1.10
Servidor de Túneles
Rango 199.1.1.245-254199.1.1.245
Origen: 200.1.1.20
Destino: 199.1.1.10
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
POP (Point Of Presence)
Red 200.1.1.0/24Ping 199.1.1.69
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
Servidor con acceso
restringido a usuarios
de la red 199.1.1.0/24
Red 199.1.1.0/24
VPN para un usuario remoto
4.2. VPN
Seguridad y Alta Disponibilidad 52
VPN para una oficina remota
199.1.1.69
Túnel VPN
Internet
Red oficina
remota
Red oficina
principal
200.1.1.20
199.1.1.245
199.1.1.246
199.1.1.1
A 199.1.1.192/26 por 200.1.1.20
Subred 199.1.1.192/26 Subred 199.1.1.0/25
199.1.1.193
Origen: 199.1.1.245
Destino: 199.1.1.69
DatosPing 199.1.1.69
199.1.1.50
Puede ir encriptado
(si se usa IPSec ESP)
Origen: 200.1.1.20
Destino: 199.1.1.1
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos
4.2. VPN
Implementaciones.
◦ Las distintas opciones disponibles en la actualidad caen en
tres categorías básicas:
Soluciones de hardware
Soluciones basadas en firewall
Aplicaciones VPN por software.
◦ Cada tipo de implementación utiliza diversas combinaciones
de protocolos para garantizar las tres características
fundamentales de la Seguridad Informática: Autenticación,
Integridad y Confidencialidad.
Seguridad y Alta Disponibilidad 53
4.2. VPN
1.Las soluciones de hardware casi siempre ofrecen:
◦ Mayor rendimiento
◦ Mayor facilidad de configuración
◦ Menos flexibilidad que las versiones por software.
◦ Dentro de esta familia tenemos a los productos de Cisco, Linksys,
Nortel, Netscreen, Symantec, Lucent, Nokia, US Robotics, D-Link.
etc.
2.En el caso basado en firewalls, se obtiene un nivel de
seguridad alto por la protección que proporciona el firewall, pero
se pierde en rendimiento. Muchas veces se ofrece hardware
adicional para procesar la carga vpn. Ejemplo Checkpoint NG,
Cisco Pix.
Seguridad y Alta Disponibilidad 54
4.2. VPN
3.Las aplicaciones VPN por software son las más configurables,
obviamente el rendimiento es menor y la configuración más
delicada, porque se suma el sistema operativo y la seguridad del
equipo en general.
Estas VPNs son ideales en casos donde ambos extremos de la
VPN no están controlados por la misma organización o cuando
diferentes firewalls y enrutadores se implementan dentro de la
misma.
◦ Hay soluciones nativas de Windows como ISA Server / TMG
Forefront
◦ También hay soluciones para Linux y los Unix en general.
Por ejemplo productos de código abierto (Open Source) como OpenSSH,
OpenVPN y FreeS/Wan.
Seguridad y Alta Disponibilidad 55
4.2. VPN
El protocolo estándar que utiliza VPN es IPSEC.
También trabaja con PPTP, L2TP, SSL/TLS, SSH, etc.
Dos de las tecnologías más utilizadas:
◦ PPTP o Point to Point Tunneling Protocol: protocolo Microsoft.
Sencillo y fácil de implementar pero de menor seguridad que
L2TP.
◦ L2TP o Layer Two Tunneling Protocol: estándar abierto y
disponible en la mayoría de plataformas Windows, Linux, Mac,
etc. Se implementa sobre IPSec y proporciona altos niveles
de seguridad.
Seguridad y Alta Disponibilidad 56
4.2. VPN
Modos de funcionamiento IPSec:
◦ Modo transporte: comunicación segura extremo a extremo.
Requiere implementación de IPSec en ambos hosts. No se
cifra la cabecera IP.
◦ Modo túnel: comunicación segura entre routers únicamente
que ejecutan pasarelas de seguridad. Encripta el paquete IP
por completo. Permite incorporar IPSec sin tener que
modificar los hosts. A los paquetes se añade otra cabecera.Se integra cómodamente con VPNs.
Seguridad y Alta Disponibilidad 57
4.2. VPN
Seguridad y Alta Disponibilidad 58
Internet
Túnel IPSec
Internet
Router o cortafuego
con IPSec
IPSec modo túnel Router o cortafuego
con IPSec
Host con IPSec Host con IPSecIPSec modo transporte
5. REDES INALÁMBRICAS
Ventajas sobre el cable:
◦ Conectividad en cualquier momento y lugar, es decir mayor
disponibilidad y acceso a redes.
◦ Instalación simple y económica.
◦ No hay limitaciones físicas de cableado por los que es fácilmente
escalable.
Riesgos y limitaciones.
◦ Rangos del espectro de radiofrecuencia (RF) sin costes de licencia
por su transmisión y uso. Rangos saturados (al ser de uso público) e
interferencias entre señales de diferentes dispositivos.
◦ Poca seguridad. Permite a cualquier equipo con tarjeta de red
inalámbrica interceptar cualquier comunicación de su entorno.
Seguridad y Alta Disponibilidad 59
5. REDES INALÁMBRICAS
Se han desarrollado técnicas para ayudar a proteger las
transmisiones inalámbricas: mejoras continuas en
encriptación y la autenticación.
Comunicaciones cableadas (fibra, cable de pares, coaxial)
son aún los medios de acceso físico más seguros queexisten en la actualidad.
http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-wifi
Seguridad y Alta Disponibilidad 60
5.1. SISTEMAS DE SEGURIDAD EN WLAN
Los sistemas de cifrado empleados tanto para autenticación
como para encriptación en redes inalámbricas son:
◦ Sistema abierto u Open System: sin autenticación en el
control de acceso a la red, realizado por el punto de acceso, ni
cifrado en las comunicaciones.
Seguridad y Alta Disponibilidad 61
5.1. SISTEMAS DE SEGURIDAD EN WLAN
WEP o Wired Equivalent Privacy o Privacidad Equivalente a
Cableado: sistema estándar en la norma 802.11. Encriptación de
los mensajes claves de 13 (104 bits) o 5 (40 bits) caracteres,
también denominadas WEP 128 o WEP 64 respectivamente.
Autenticación existen dos métodos:
Sistema abierto u Open system, el cliente no se tiene que
identificar en el Punto de Acceso durante la autenticación. Después
de la autenticación y la asociación a la red, el cliente tendrá que
tener la clave WEP correcta para descifrar mensajes enviados y
recibidos.
Claves precompartida, Pre-Shared Keys o PSK. Se envía la
misma clave de cifrado WEP para la autenticación, verificado por el
punto de acceso.
Seguridad y Alta Disponibilidad 62
5.1. SISTEMAS DE SEGURIDAD EN WLAN
No es aconsejable usar la autenticación de sistema abierto para
la autenticación WEP, ya que es posible averiguar la clave WEP
interceptando los paquetes de la fase de autenticación.
◦ WPA o Wi-Fi Protected Access o Acceso Protegido Wi-Fi: creado
para corregir las deficiencias del sistema previo WEP. Actualmente
se emplea WPA2 como estándar 802.11i.
◦ Se proponen dos soluciones según el ámbito de aplicación:
WPA2 Empresarial o WPA2-Enterprise (grandes empresas): la
autenticación es mediante el uso de un servidor RADIUS donde se
almacenan las credenciales y contraseñas de los usuarios de la red.
WPA2 Personal (pequeñas empresas y hogar): la autenticación se realiza
mediante clave precompartida, similar al WEP.
Seguridad y Alta Disponibilidad 63
5.1. SISTEMAS DE SEGURIDAD EN WLAN
Una de las mejoras de WPA sobre WEP es la
implementación del protocolo de integridad de clave
temporal (TKIP - Temporal Key Integrity Protocol), que
cambia claves dinámicamente a medida que el sistema
es utilizado.
Aporta un mayor nivel de seguridad en el cifrado con el
algoritmo de cifrado simétrico AES. Es más robusto y
complejo que TKIP pero su implementación requiere
hardware más potente por lo que no se encuentra
disponible en todos los dispositivos.
Seguridad y Alta Disponibilidad 64
5.1. SISTEMAS DE SEGURIDAD EN WLAN
WPA2-Personal utiliza◦ Autentificación: PSK (PreShared Key).Contraseña compartida entre el
punto de acceso y los clientes Wi‐Fi
◦ La contraseña debe ser suficientemente larga (más de 20 caracteres)
y difícilmente adivinable.
◦ Opción recomendada para redes Wi-Fi personales o para pequeñas
empresas.
WPA2-Enterprise utiliza◦ Autentificación:802.1X/EAP.
Contraseñas aleatorias (servidor RADIUS).
◦ Múltiples tipos de protocolos EAP: Usuario y contraseña, certificados
digitales, tarjetas inteligentes (smartcards)…
◦ Opción recomendada para redes Wi-Fi empresariales o corporativas.
Seguridad y Alta Disponibilidad 65
5.1. SISTEMAS DE SEGURIDAD EN WLAN
WPA2 Enterprise o empresarial:1. Configurar Servidor Radius (ej:Freeradius)
2. Asociar punto de acceso a servidor de autenticación RADIUS
3. Configurar cliente o tarjeta de red inalámbrica.
Seguridad y Alta Disponibilidad 66
5.2. RECOMENDACIONES DE SEGURIDAD EN WLAN
Acceso a redes inalámbricas, punto muy débil de seguridaden redes corporativas:
1. Asegurar la administración del punto de acceso (AP), puntode control de las comunicaciones de todos los usuarios,crítico en la red, cambiar la contraseña por defecto.
2. Actualizar el firmware disponible mejorar sus prestaciones deseguridad.
3. Aumentar la seguridad de los datos transmitidos: encriptaciónWPA/WPA2 o servidor Radius, y cambiando las clavesregularmente.
4. Sistema de detección de intrusos inalámbrico (WIDS).
Seguridad y Alta Disponibilidad 67
5.2. RECOMENDACIONES DE SEGURIDAD EN WLAN
5. Reducir la intensidad del alcance de la señal.
6. Realizar una administración y monitorización minuciosa,administración más compleja de clientes, pero más segura:
1. Cambiar el SSID por defecto y no desactivar el broadcastingSSID. Los clientes deberán conocer el nombre del SSID.
2. Desactivar el servidor DHCP, y asignar manualmente lasdirecciones IP en clientes.
3. Cambiar las direcciones IP del punto de acceso y el rango de lared por defecto.
4. Filtrado de conexiones permitidas mediante direcciones MAC.5. Número máximo de dispositivos que pueden conectarse.6. Analizar periódicamente los usuarios conectados verificando si
son autorizados o no.
7. Desconectar el Punto de Acceso cuando no se use.
Seguridad y Alta Disponibilidad 68
5.2. RECOMENDACIONES DE SEGURIDAD EN WLAN
8. En los clientes Wi-Fi:
Actualización del sistema operativo y controlador Wi‐Fi
Deshabilitar el interfaz Wi‐Fi cuando no se está utilizando
Evitar conectarse a redes Wi‐Fi inseguras, como por ejemploredes públicas abiertas o basadas en WEP
Mantener actualizada la lista de redes preferidas (PNL).
Seguridad y Alta Disponibilidad 69
DIRECCIONES DE INTERÉS
Curso abierto con materiales y ejercicios sobre Seguridad Avanzada en Redes◦ http://ocw.uoc.edu/informatica-tecnologia-y-
multimedia/aspectos-avanzados-de-seguridad-en-redes/materiales/view?set_language=es
Sitio web sobre seguridad informática en materia de redes:◦ http://www.virusprot.com/
Noticias sobre seguridad en redes. Asociación de internautas:◦ http://seguridad.internautas.org/
Conexiones inalámbricas seguras y auditorías wireless en:◦ http://www.seguridadwireless.net/
Blog especializado en seguridad y redes◦ http://seguridadyredes.nireblog.com/
Seguridad y Alta Disponibilidad 72
DIRECCIONES DE INTERÉS
Escaneo de puertos on-line◦ http://www.internautas.org/w-scanonline.php◦ http://www.kvron.com/utils/portscanner/index.php
Test de velocidad de tu conexión a Internet◦ http://www.adsl4ever.com/test/◦ http://www.testdevelocidad.es/◦ http://www.internautas.org/testvelocidad/◦ http://www.adslayuda.com/test-de-velocidad/
Test sobre phishing de Verisign disponible en ◦ https://www.phish-no-phish.com/es
Seguridad y Alta Disponibilidad 73
SOFTWARE-SIMULADORES
Simuladores de configuración de dispositivos como router-punto de acceso inalámbrico TP-LINK. ◦ http://www.tp-link.com/support/simulator.asp
◦ http://www.tp-link.com/simulator/TL-WA501G/userRpm/index.htm
Simulador del router inalámbrico Linksys WRT54GL:◦ http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm
Simuladores de routers inalámbricos D-Link:◦ http://support.dlink.com/emulators/dwlg820/HomeWizard.html
◦ http://support.dlink.com/emulators/dsl2640b/306041/vpivci.html
◦ http://support.dlink.com/emulators/dwl2100ap
◦ http://support.dlink.com/emulators/di604_reve
Seguridad y Alta Disponibilidad 74
SOFTWARE
Angry IP Scanner : software escaneador de IP. ◦ http://www.angryip.org/w/Download
Wireshark: Packet sniffer: ◦ http://www.wireshark.org/download.html
Cain & Abel: sniffer, generador de ataques MitM, spoofing, etc.◦ http://www.oxid.it/cain.html
SNORT: software de detección de intrusos (IDS).◦ http://www.snort.org/
Alarmas de intentos de duplicados ARP: bajo GNU/Linux Arpwatch o en Windows DecaffeinatID◦ Arpwatch: http://freequaos.host.sk/arpwatch/◦ DecaffeinatID: http://www.irongeek.com/i.php?page=security/decaffeinatid-
simple-ids-arpwatch-for-windows
Openssh-server: servidor de SSH.◦ http://www.openssh.com/
Putty: cliente SSH bajo sistemas Windows.◦ http://www.putty.org/
Seguridad y Alta Disponibilidad 75
SOFTWARE
Logmein Hamachi: software de conectividad P2P y VPN entre equipos remotos.◦ www.logmein.com
Backtrack: distribución específica con un conjunto de herramientas de auditoríasde seguridad, entre otras algunas que permiten escalada de privilegios ensistemas Windows (ophcrack) y GNU/Linux (John the ripper).◦ http://www.backtrack-linux.org/
Wifiway y Wifislax: distribuciones orientadas a realizar auditorías wireless, comorecuperación de contraseñas. En las últimas versiones incluyen Minidwep-gtk.◦ www.wifiway.org/◦ http://www.wifislax.com/
Openwrt: distribución de actualización del firmware para routers y puntos deacceso inalámbricos. Se recomienda siempre realizar previamente una copia deseguridad del firmware actual.◦ http://openwrt.org/
AlienVault: software libre de administración y monitorización de redes.◦ http://alienvault.com/
FreeRadius: servidor Radius, de software libre.◦ http://freeradius.org/
Seguridad y Alta Disponibilidad 76
NOTICIAS
Tabnabbing; phishing a través de las pestañas delnavegador◦ Fuente: http://www.hispasec.com/unaaldia/4231
Artículo de pintura antiwifi de EM-SEC Technologies.Puede leer sobre dicha pintura en:◦ http://www.publico.es/ciencias/273942/una-pintura-
protege-a-los-navegantes-de-los-intrusos/version-imprimible
Seguridad y Alta Disponibilidad 77