SEGURIDAD INFORMÁTICA
INTRODUCCION
La seguridad informática es la disciplina que se
relaciona con diversas técnicas, aplicaciones y dispositivos que se encargan de
asegurar la integridad y la privacidad de la información de un sistema y
también de los usuarios. Se puede decir que la seguridad informática busca
proteger nuestros dispositivos y todos los datos que posee dicho equipo.
Dentro de una organización, la seguridad informática
consiste en asegurar que los recursos del sistema de información se utilizan de
la manera que se decidió y que el acceso a la información allí contenida así
como su modificación solo sea posible a las personas que se encuentren
acreditadas y dentro de los límites de su autorización.
Los datos y la información son los elementos que están expuestos
a un ataque, es por eso, que son los principales componentes que deber ser
protegido por las técnicas de seguridad.
La seguridad informática se dedica principalmente a
proteger:
Disponibilidad: Se
trata de la capacidad de un servicio, de unos datos o de un sistema a ser
accesible y utilizable por los usuarios o procesos autorizados cuando lo
requieran. También se refiere a la capacidad de que la información pueda ser
recuperada en el momento que se necesite.
Confidencialidad: Se
trata de la cualidad que debe poseer un documento o archivo para que éste solo
se entienda de manera comprensible o sea leído por la persona o sistema que
esté autorizado. Un ejemplo de control de la confidencialidad sería el uso
cifrado de clave simétrica en el intercambio de mensajes.
Integridad: Es
la cualidad que posee un documento o archivo que no ha sido alterado y que
además permite comprobar que no se ha producido manipulación alguna en el
documento original.
NIVELES
DE SEGURIDAD INFORMATICA
El estándar de niveles de seguridad más utilizado
internacionalmente es el TCSECOrange Book2, desarrollado en 1983 de acuerdo a
las normas de seguridad en computadoras del Departamento de Defensa de los
Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema
Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos
niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC).
Nivel D
Este nivel contiene sólo una división y está reservada
para sistemas que han sido evaluados y no cumplen con ninguna especificación de
seguridad. Son sistemas no confiables, no existe una protección para el
hardware, el sistema operativo es inestable y no hay autentificación con respecto
a los usuarios y sus derechos en el acceso a la información.
Nivel C1: PROTECCIÓN DISCRECIONAL
Se requiere
identificación de usuarios que permite el acceso a distinta información. Cada
usuario puede manejar su información privada y se hace la distinción entre los
usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas
por este usuario; quien tiene gran responsabilidad en la seguridad del mismo.
Con la actual descentralización de los sistemas de cómputos, no es raro que en
una organización encontremos dos o tres personas cumpliendo este rol. Esto es
un problema, pues no hay forma de distinguir entre los cambios que hizo cada
usuario. A continuación se enumeran los requerimientos mínimos que debe cumplir
la clase C1:
• Acceso de
control discrecional: distinción entre usuarios y recursos. Se podrán definir
grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos,
directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
•Identificación y
Autentificación: se requiere que un usuario se identifique antes de comenzar a
ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido
por un usuario sin autorización o identificación.
NIVEL C2: PROTECCIÓN DE ACCESO CONTROLADO
Este subnivel fue
diseñado para solucionar las debilidades del C1. Cuenta con características
adicionales que crean un ambiente de acceso controlado. Tiene la capacidad de
restringir aún más el que los usuarios ejecuten ciertos comandos o tengan
acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con
base no sólo en los permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar
registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.
Nivel B1:
SEGURIDAD ETIQUETADA
Este subnivel, es el primero de los tres con que cuenta
el nivel B. Soporta seguridad multinivel, como la secreta y ultra secreta. Se
establece que el dueño del archivo no puede modificar los permisos de un objeto
que está bajo control de acceso obligatorio. A cada objeto del sistema
(usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad
jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías
(contabilidad, nóminas, ventas, etc.). Cada usuario que accede a un objeto debe
poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario
tiene sus objetos asociados. También se establecen controles para limitar la
propagación de derecho de accesos a los distintos objetos.
Nivel B2: PROTECCIÓN ESTRUCTURADA
Requiere que se etiquete cada objeto de nivel superior
por ser padre de un objeto inferior. La Protección Estructurada es la primera
que empieza a referirse al problema de un objeto a un nivel más elevado de
seguridad en comunicación con otro objeto a un nivel inferior.
Nivel B3: DOMINIOS DE SEGURIDAD
Refuerza a los dominios con la instalación de hardware:
por ejemplo el hardware de administración de memoria se usa para proteger el
dominio de seguridad de acceso no autorizado a la modificación de objetos de
diferentes dominios de seguridad. Existe un monitor de referencia que recibe
las peticiones de acceso de cada usuario y las permite o las deniega según las
políticas de acceso que se hayan definido. Este nivel requiere que la terminal
del usuario se conecte al sistema por medio de una conexión segura. Además,
cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: PROTECCIÓN
Es el nivel más elevado el cual incluye un proceso de
diseño, control y verificación, mediante métodos formales (matemáticos) para
asegurar todos los procesos que realiza un usuario sobre el sistema. Para
llegar a este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse. El diseño requiere ser verificado de forma
matemática y también se deben realizar análisis de canales encubiertos y de
distribución confiable. El software y el hardware son protegidos para evitar
infiltraciones ante traslados o movimientos del equipamiento.
SEGURIDAD LOGICA
La seguridad lógica se refiere a la seguridad en el uso
de software y los sistemas, la protección de los datos, procesos y programas,
así como la del acceso ordenado y autorizado de los usuarios a la información.
La “seguridad lógica” involucra todas aquellas medidas establecidas por la
administración (usuarios y administradores de recursos de tecnología de
información) para minimizar los riesgos de seguridad asociados con sus
operaciones cotidianas llevadas a cabo utilizando la tecnología de información.
CONTROL
DE ACCESO
El control consiste en la autorización o autenticación a usuarios para acceder a los
datos. Los métodos de autenticación incluyen contraseñas, escaneados
biométricos, llaves físicas, llaves electrónicas y dispositivos, caminos
ocultos, barreras sociales y monitoreo por seres humanos y sistemas automatizados.
Estos controles pueden implementarse en el Sistema Operativo, sobre los
sistemas de aplicación, en bases de datos, en un paquete específico de
seguridad. Constituyen una importante ayuda para proteger al sistema operativo
de la red, al sistema de aplicación y demás software de la utilización o
modificaciones no autorizadas; para mantener la integridad de la información
(restringiendo la cantidad de usuarios y procesos con acceso permitido) y para
resguardar la información confidencial de accesos no autorizados.
MODALIDAD
DE ACCESO
Se refiere al modo
de acceso que se permite al usuario sobre los recursos y a la información. Esta
modalidad puede ser:
• Lectura:
el usuario puede únicamente leer o visualizar la información pero no puede
alterarla. Debe considerarse que la información puede ser copiada o impresa.
• Escritura:
este tipo de acceso permite agregar datos, modificar o borrar información.
• Ejecución:
este acceso otorga al usuario el privilegio de ejecutar programas.
• Borrado:
permite al usuario eliminar recursos del sistema (como programas, campos de
datos o archivos). El borrado es considerado una forma de modificación.
Además existen otras
modalidades de acceso especiales, que generalmente se incluyen en los sistemas
de aplicación:
• Creación:
permite al usuario crear nuevos archivos, registros o campos.
• Búsqueda:
permite listar los archivos de un directorio determinado.
PALABRAS
CLAVES (PASSWORDS)
Generalmente se utilizan para realizar la autenticación
del usuario y sirven para proteger los datos y aplicaciones. Los controles
implementados a través de la utilización de palabras clave resultan de muy bajo
costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias
palabras clave para acceder a diversos sistemas, este le resulta dificultoso recordarlas y probablemente las
escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la
utilidad de esta técnica.
• Sincronización de passwords: consiste en permitir que
un usuario acceda con la misma password a diferentes sistemas interrelacionados
y, su actualización automática en todos ellos en caso de ser modificada. Podría
pensarse que esta es una característica negativa para la seguridad de un
sistema, ya que una vez descubierta la clave de un usuario, se podría tener
acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin
embargo, estudios hechos muestran que las personas normalmente suelen manejar
una sola password para todos los sitios a los que tengan acceso, y que si se
los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no
olvidarlas, lo cual significa un riesgo aún mayor. Para implementar la
sincronización de passwords entre sistemas es necesario que todos ellos tengan
un alto nivel de seguridad.
• Caducidad y
control: este mecanismo controla cuándo pueden o deben cambiar sus passwords
los usuarios. Se define el período mínimo que debe pasar para que los usuarios
puedan cambiar sus passwords, y un período máximo que puede transcurrir para que
éstas caduquen.
ENCRIPTACIÓN
Encriptación es el proceso mediante el cual cierta
información o texto sin formato es cifrado de forma que el resultado sea
ilegible a menos que se conozcan los datos necesarios para su interpretación.
Es una medida de seguridad utilizada para que al momento de almacenar o
transmitir información sensible ésta no pueda ser obtenida con facilidad por
terceros. Opcionalmente puede existir además un proceso de desencriptación a
través del cual la información puede ser interpretada de nuevo a su estado
original, aunque existen métodos de encriptación que no pueden ser revertidos.
La encriptación como proceso forma parte de la
criptología, ciencia que estudia la transformación de un determinado mensaje en
un código de forma tal que a partir de dicho código solo algunas personas sean
capaces de recuperar el mensaje original.
La mayoría de los algoritmos modernos del cifrado se
basan en una de las siguientes dos categorías de procesos:
Ø Problemas
matemáticos que son simples pero que tienen una inversa que se cree (pero no se
prueba) que es complicada
Ø Secuencias
o permutaciones que son en parte definidos por los datos de entradas.
Algunos de los usos más comunes de la encriptación son el
almacenamiento y transmisión de información sensible como contraseñas, números
de identificación legal, números de tarjetas de crédito, reportes
administrativo-contables y conversaciones privadas, entre otros.
Métodos
de Encriptación
Para poder encriptar un dato, se pueden utilizar tres
procesos matemáticos diferentes: Los algoritmos HASH, los simétricos y los
asimétricos.
1. ALGORITMO
HASH:
Este algoritmo efectúa un cálculo matemático sobre los
datos que constituyen el documento y da como resultado un número único llamado
MAC. Un mismo documento dará siempre un mismo MAC.
2. CRIPTOGRAFÍA DE CLAVE SECRETA O SIMÉTRICA
Utilizan una clave con la cual se encripta y desencripta
el documento. Todo documento encriptado con una clave, deberá desencriptarse,
en el proceso inverso, con la misma clave. Es importante destacar que la clave
debería viajar con los datos, lo que hace arriesgada la operación, imposible de
utilizar en ambientes donde interactúan varios interlocutores.
Los criptosistemas de clave secreta se caracterizan
porque la clave de cifrado y la de descifrado es la misma, por tanto la robustez
del algoritmo recae en mantener el secreto de la misma.
Sus principales características son:
ü rápidos
y fáciles de implementar
ü clave
de cifrado y descifrado son la misma
ü cada
par de usuarios tiene que tener una clave secreta compartida
ü una
comunicación en la que intervengan múltiples usuarios requiere muchas claves
secretas distintas
Actualmente existen dos métodos de cifrado para
criptografía de clave secreta, el cifrado de flujo y el cifrado en bloques.
·
Cifrado
de flujo
El emisor A, con una clave secreta
y un algoritmo determinístico (RKG), genera una secuencia binaria (s) cuyos
elementos se suman módulo 2 con los correspondientes bits de texto claro m,
dando lugar a los bits de texto cifrado c, Esta secuencia (c) es la que se
envía a través del canal. En recepción, B, con la misma clave y el mismo
algoritmo determinístico, genera la misma secuencia cifrante (s), que se suma módulo
2 con la secuencia cifrada (c), dando lugar a los bits de texto claro m. Los
tamaños de las claves oscilan entre 120 y 250 bits
·
Cifrado
en bloque
Los cifrados en bloque se componen de
cuatro elementos:
- Transformación
inicial por permutación.
- Una
función criptográfica débil (no compleja) iterada veces o "vueltas".
- Transformación
final para que las operaciones de encriptación y desencriptación sean
simétricas.
- Uso
de un algoritmo de expansión de claves que tiene como objeto convertir la clave
de usuario, normalmente de longitud limitada entre 32 y 256 bits, en un
conjunto de subclaves que puedan estar constituidas por varios cientos de bits
en total.
3. ALGORITMOS ASIMÉTRICOS (RSA):
Requieren dos claves, una Privada (única y personal) y la
otra llamada Pública, ambas relacionadas por una fórmula matemática compleja.
El usuario, ingresando su PIN genera la clave Pública y Privada necesarias. La
clave Pública podrá ser distribuida sin ningún inconveniente entre todos los
interlocutores. La Privada deberá ser cuidadosamente guardada. Cuando se
requiera verificar la autenticidad de un documento enviado por una persona se
utiliza la Clave Pública porque el utilizó su Clave Privada.
Sistemas de cifrado por sustitución
En un sistema de cifrado por sustitución, cada letra o
grupo de letras se reemplazan por otra letra o grupo de letras para
disfrazarla. Uno de los sistemas de cifrado más viejos conocido es el sistema
de cifrado de César, atribuido a Julio César. En este método, a se vuelve D, b
se vuelve E, c se vuelve F, ... , y z se vuelve C.
El sistema general de sustitución de símbolo por símbolo
se llama sistema de cifrado por sustitución mono alfabética siendo la clave la
cadena de 26 letras correspondiente al alfabeto completo.
Sistemas de cifrado por transposición
Los sistemas de cifrado por sustitución conservan el
orden de los símbolos de texto plano, pero reordena las letras.
Por ejemplo: el texto plano Micaela se vuelve CAMEILA se
aplicamos cifrado por transposición.
IPsec
IPsec (Internet Protocol security) es un conjunto de
protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de
Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.
IPsec también incluye protocolos para el establecimiento de claves de cifrado.
Este
método protege a los datos en tránsito entre los sitios seguros.
Técnicamente, IPsec tiene dos partes principales. La
primera describe dos encabezados nuevos que se pueden agregar a los paquetes
para transportar el identificador de seguridad, los datos de control de integridad
y demás información. La otra parte, ISAKMP
(Asociación para Seguridad en Internet y Protocolo de Administración de
Claves, del inglés Internet Security Association and Key Management Protocol),
se encarga de establecer las claves. ISAKMP es un marco de trabajo. El
protocolo principal que realiza el trabajo es IKE (Intercambio de Claves de
Internet, del inglés Internet Key Exchange).
IPsec puede utilizarse en uno de dos modos. En el modo de
transporte, el encabezado IPsec se inserta justo después del encabezado IP. El
campo Protocolo del encabezado IP se modifica para indicar que sigue un
encabezado IPsec después del encabezado IP normal (antes del encabezado TCP).
El encabezado IPsec contiene información de seguridad, principalmente el identificador
SA, un nuevo número de secuencia y tal vez una verificación de integridad del
campo de carga.
En el modo de túnel, todo el paquete IP, con encabezado y
demás información, se encapsula en el cuerpo de un paquete IP nuevo con un
encabezado IP totalmente nuevo. El modo de túnel es útil cuando termina en una
ubicación que no sea el destino final. En algunos casos, el final del túnel es
una máquina de puerta de enlace de seguridad; por ejemplo, el firewall de una
empresa. Éste es el caso común para una VPN (Red Privada Virtual). En este
modo, la puerta de enlace de seguridad encapsula y desencapsula paquetes
conforme pasan a través de ella. Al terminar el túnel en esta máquina segura, las
máquinas en la LAN de la empresa no tienen que estar al tanto de IPsec. Sólo la
puerta de enlace de seguridad tiene que saber acerca de ello.
La desventaja del modo de túnel es que agrega un
encabezado IP adicional, por lo que se incrementa el tamaño del paquete en
forma considerable. En cambio, el modo de transporte no afecta tanto al tamaño
del paquete
PROTECCIÓN CONTRA VIRUS
Los virus son uno de los medios más tradicionales de
ataque a los sistemas y a la información que sostienen. Para poder evitar su
contagio se deben vigilar los equipos y los medios de acceso a ellos,
principalmente la red.
Antivirus
Un
antivirus es un programa que analiza las distintas unidades y dispositivos, así
como el flujo de datos entrantes y salientes, revisando el código de los archivos y buscando fragmentos de
caracteres. Utiliza una base de datos con cadenas de caracteres características
de distintos virus. El antivirus puede detectar virus y solo a veces
identificarlos. Aunque la creación de virus es rápida y siempre va a ir por
delante de la protección de los fabricantes de antivirus, se puede decir que si
un dispositivo contiene un antivirus actualizado va a estar parcialmente
asegurado. En realidad, los antivirus protegen contra virus, troyanos y
gusanos, y la mayor parte contienen también antispyware e incluso filtros
antispam.
Control del software instalado
Tener instalado en el equipo únicamente el software
necesario reduce riesgos. Así mismo tener controlado el software asegura la
calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin
garantías aumenta los riesgos). En todo caso un inventario de software
proporciona un método correcto de asegurar la reinstalación en caso de
desastre. El software con métodos de instalación rápidos facilita también la
reinstalación en caso de contingencia.
NMAP
Nmap está disponible
para sistemas Linux y Windows. Este es una herramienta que sirve para hacer una consulta de los puertos
abiertos de la máquina y saber qué servicios dispone. También puede intentar la
conexión a cada uno de ellos y analizar los mensajes que generan estos
servidores para identificar la versión concreta del sistema operativo y la
versión concreta del software de servidor (server fingerprint) que está
escuchando en cada puerto. Es decir, aunque intentemos despistar arrancando
servicios en puertos que no son los esperados (80 para HTTP y otros), la
herramienta reconoce el puerto como abierto y consigue identificar el servicio.
La información de versión es muy útil para un atacante porque puede consultar
en su base de datos las vulnerabilidades de cada versión de un servicio y así
elegir mejor el tipo de ataque que puede lanzar contra la máquina.
Para cada puerto, la herramienta ofrece cuatro posibles
estados:
·
open
(abierto): la máquina acepta paquetes dirigidos a ese puerto, donde
algún servidor está escuchando y los procesará adecuadamente.
·
closed
(cerrado): no hay ningún servidor escuchando.
·
filtered: Nmap
no puede decir si ese puerto está abierto o cerrado porque alguien está
bloqueando el intento de conexión (router, firewall).
·
unfiltered: el
puerto no está bloqueado, pero no se puede concluir si está abierto o cerrado.
NETSTAT
Netstat es una herramienta que permite identificar las
conexiones TCP que están activas en la máquina en la que se ejecuta el comando.
A su vez, esta herramienta crea una lista con todos los puertos TCP y UDP que
están abiertos en el ordenador. El comando “netstat” también permite a su vez
obtener estadísticas de numerosos protocolos.
Control de la red
Los puntos de entrada en la red son generalmente el
correo, las páginas web y la entrada de ficheros desde discos, o dispositivos.
Mantener al máximo el número de recursos de red solo en
modo lectura, impide que los equipos infectados propaguen los virus. En el
mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores
de virus en modo batch puedan trabajar durante el tiempo inactivo de las
máquinas.
Controlar y monitorizar el acceso a Internet puede
detectar, en fases de recuperación, cómo se ha introducido el virus.
Firewalls (Cortafuegos o servidores de seguridad)
Un cortafuego es una parte de un sistema o una red que
está diseñada para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos
configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Estos
pueden ser implementados en hardware o software, o en una combinación de ambos.
El firewall actúa como un filtro de paquetes. Inspecciona
todos y cada uno de los paquetes entrantes y salientes. Los paquetes que
cumplen cierto criterio descrito en reglas formuladas por el administrador de
la red se reenvían en forma normal. Los que fallan la prueba simplemente se
descartan.
Por lo general, los criterios de filtrado se proporcionan
como reglas o tablas que listan los orígenes y destinos aceptables, los
orígenes y destinos bloqueados y las reglas predeterminadas acerca de lo que se
debe hacer con los paquetes que entran y salen a otras máquinas. En el caso
común de una configuración TCP/IP, un origen o destino podría consistir en una
dirección IP y un puerto. Los puertos indican el servicio deseado. Por ejemplo el
puerto TCP 25 es para el correo y el puerto TCP 80 es para HTTP.
Los cortafuegos se utilizan con frecuencia para evitar
que los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente las redes LAN. Todos los mensajes que
entren o salgan de la LAN pasan a través de los cortafuegos, que examina cada
mensaje y bloquea aquellos que no cumplen los criterios de seguridad
especificados. También es frecuente conectar los cortafuegos a una tercera red,
llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la
organización que deben permanecer accesibles desde la red exterior. La
DMZ es la parte de la red de la empresa que se encuentra fuera del perímetro de
seguridad. Al colocar un equipo tal como un servidor web en la DMZ, las
computadoras en Internet se pueden comunicar con ella para navegar por el sitio
web de la empresa. Ahora el firewall se puede configurar para bloquear el
tráfico TCP entrante al puerto 80, de modo que las computadoras en Internet no
puedan usar este puerto para atacar a las computadoras en la red interna. Para
poder administrar el servidor web, el firewall puede tener una regla que
permita conexiones entre los equipos internas y el servidor web.
DMZ
Una zona desmilitarizada (DMZ) o red perimetral es una
zona segura que se ubica entre la red interna de una organización y una red
externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones
desde la red interna y la externa a la DMZ estén permitidas, mientras que en
general las conexiones desde la DMZ solo se permitan a la red externa (los
hosts en la DMZ no pueden conectar con la red interna). Esto permite que los
hosts de la DMZ puedan dar servicios a la red externa a la vez que protegen la
red interna en el caso de que intrusos comprometan la seguridad de los host
situados en la zona desmilitarizada.
Una DMZ se crea a través de las opciones de configuración
del cortafuegos, donde cada red se conecta a un puerto distinto de éste. Esta
configuración se llama cortafuegos en trípode (three-legged firewall).
Diagrama de una red típica que usa una DMZ con un
cortafuegos de tres patas (three-legged).
SEGURIDAD EN APLICACIONES WEB
Estándares
de seguridad
OWASP es el estándar emergente para la seguridad de
aplicaciones Web. Han publicado el OWASP Top 10 que describe a detalle las
principales amenazas de las aplicaciones web. El Consorcio de Seguridad de
Aplicaciones Web (WASC) ha creado la Base de Datos de Incidentes de Hackeo9 así
como mejores documentos de código abierto sobre seguridad de aplicaciones Web.
SEGURIDAD
Hace
referencia a todos aquellos mecanismos, generalmente de prevención y detección,
destinados a proteger físicamente cualquier recurso del sistema.
Medidas
·
Realizar una auditoría y mapeo
·
Mantener la red actualizada
·
Garantizar la seguridad física y mecánica de
la red
·
Filtro de direcciones MAC
·
Usar VLANs para dividir el trafico
·
Usar 802.1X para autentificación
·
Usar VPNs para cifrar dispositivos y servidores
·
Realizar la criptografía de toda la red
Protección física de acceso a las redes
Independientemente de las medidas que se adopten para
proteger los equipos de una red de área local y el software que reside en
ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan
acceder. Las medidas habituales dependen del medio físico a proteger.
Redes cableadas
Los puntos de conexión de los edificios deben estar
protegidos y vigilados. Una medida básica es evitar tener puntos de red
conectados a los switches. Aun así siempre puede ser sustituido un equipo por
otro no autorizado con lo que hacen falta medidas adicionales: norma de acceso
802.1x, listas de control de acceso por MAC addresses, servidores de DHCP por
asignación reservada, etc.
La
IEEE 802.1X es una norma del IEEE (El Instituto de Ingeniería Eléctrica y
Electrónica) para el control de acceso a red basada en
puertos. Es parte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la
autenticación de dispositivos conectados a un puerto LAN, estableciendo una
conexión punto a punto o previniendo el acceso por ese puerto si la
autenticación falla. Es utilizado en algunos puntos de acceso inalámbricos
cerrados y se basa en el protocolo de autenticación extensible (EAP– RFC 2284).
El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748.
El 802.1X está disponible en ciertos conmutadores de red
y puede configurarse para autenticar nodos que están equipados con software
suplicante. Esto elimina el acceso no autorizado a la red al nivel de la capa
de enlace de datos.
VLAN
Una VLAN (Red de área local virtual o LAN virtual) es una
red de área local que agrupa un conjunto de equipos de manera lógica y no
física. Los grupos de puertos que hacemos en un switch gestionable para aislar
un conjunto de máquinas forman una VLAN. Se la llama virtual porque parece que
está en una LAN propia y que la red es de ellos solos. Utilizar una VLAN hace
que la seguridad y el rendimiento sean mejores, porque si hay un ataque a una
de estas, las otras no se ven afectadas.
Una VLAN puede formarse también a partir de múltiples
segmentos de LAN. Esto permiten que estaciones de trabajo ubicadas físicamente
en lugares diferentes pueden trabajar en la misma red lógica (es decir, con el
mismo direccionamiento de red), como si estuvieran conectadas al mismo switch.
Una VLAN basada en grupos de puertos no tiene por qué
tener sólo un switch. Uno de los puertos puede estar conectado al puerto de
otro switch, y, a su vez, ese puerto
puede formar parte de otro grupo de puertos. Las VLAN no están completamente
aisladas, ya que necesitarán acceso a Internet y estar conectadas con otros
servidores internos. Para interconectar una VLAN se necesita un router.
En redes, los
switches funcionan en capa 2 o capa de
enlace y los routers lo hacen en capa 3 o capa de red.
La capa 2 intercambia paquetes de datos con los equipos
que están en su misma red. La comunicación es directa entre origen y destino. La
capa 3 tiene una visión global de la red y sabe como hacer llegar los datos
hasta equipos que no están en su misma red. La comunicación es indirecta y
necesita pasar por un router.
El Router necesita estar conectado con cada una de las
VLAN que interconecta. Esto se puede hacer de dos formas, principalmente:
a) Reservarle un puerto en cada una, lo que haría tener
que instalar muchas tarjetas en el Router.
b) Utilizar una VLAN etiquetada. Para ello, se mantiene
los grupos de puertos, pero el que los conectará con el router va a tener una configuración diferente. El
switch añadirá una etiqueta a los paquetes de datos que salen por ese puerto.
Para evitar el ataque contra las VLAN se realiza la
autenticación en el puerto, y de esa manera el switch solo podrá conectar a
aquel cuya MAC esté dentro de una lista definitiva en el propio switch o el que
sea autentificado mediante RADIUS en el
estándar 802.1X.
Por tanto, podemos decir que 802.1x es un mecanismo de
seguridad de acceso al medio. La dirección MAC (Medium Access Control) es
asignada por el fabricante de la tarjeta de red, por lo que no hay dos tarjetas
con la misma MAC.
RADIUS (Remote Authentication Dial-In User Service) es un
protocolo de autenticación y autorización para aplicaciones de acceso a la red
o movilidad IP el cual utiliza el puerto 1812 UDP para establecer sus
conexiones.
Cuando se realiza la conexión con un Proveedor de
Servicios de Internet (ISP) mediante un módem, DSL, cablemódem, Ethernet o
Wi-Fi, se envía una información que generalmente es un nombre de usuario y una
contraseña. Esta información se transfiere a un dispositivo Network Access Server
(NAS) sobre el protocolo punto a punto, quien redirige la petición a un
servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la
información es correcta utilizando esquemas de autenticación como PAP (Password
Authentication Protocol) o EAP (protocolo de autentificación extendible). Si es
aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los
recursos de red como una dirección IP.
Redes inalámbricas
En este caso el control físico se hace más difícil, si
bien se pueden tomar medidas de contención de la emisión electromagnética para
circunscribirla a aquellos lugares que consideremos apropiados y seguros.
Protección
·
Encriptación (WEP, WAP, WAP2)
·
Configurar el router (password)
·
Frecuencia de red inalámbrica 2.4 y 5 mhz
·
Utilizar Antivirus, firewall, Anti-spyware
·
Permitir acceso a equipos específicos
·
Desconectar la red inalámbrica
·
Bloquear acceso de administración vía wifi
Seguridad del 802.11
Una parte del estándar 802.11, que en un principio se
conocía como 802.11i, establece un protocolo de seguridad en el nivel de enlace
de datos para evitar que un nodo inalámbrico lea o interfiera con los mesajes
enviados entre otro par de nodos inalámbricos. También se le conoce mediante el
nombre comercial de WPA2 (Acceso
Protegido WiFi 2, del inglés WiFi Protected Access 2). El WPA simple es un
esquema interino que implementa un subconjunto del 802.11i.
Este esquema reemplazó al WEP (Privacidad Equivalente a cableado, del inglés Wired Eqivalent
Privacy), que se demostró que este es un código eficiente para detectar errores
de transmisión, pero no es un mecanismo criptográfico sólido para vencer a los
atacantes.
Protección
del hardware
Problemas que puede ocasionar desastres:
·
Acceso físico
·
Desastres naturales
·
Alteraciones del entorno
Acceso
Físico
Si
alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto
de medidas de seguridad implantadas se convierten en inútiles.
Para evitar todo este tipo de problemas deberemos
implantar mecanismos de prevención (control de acceso a los recursos) y de
detección (si un mecanismo de prevención falla o no existe debemos al menos
detectar los accesos no autorizados).
Para la prevención hay soluciones como:
·
Analizadores de retina.
·
Tarjetas RFID.
·
Videocámaras.
·
Vigilantes jurados.
En muchos casos es suficiente con controlar
el acceso a las salas y cerrar siempre con llave los despachos o salas donde
hay equipos informáticos y no tener cableadas las tomas de red que estén
accesibles.
Para la detección
de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito
cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas
que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene
acceso a las distintas salas y equipos, de modo que les resulte sencillo
detectar a personas desconocidas o a personas conocidas que se encuentran en
sitios no adecuados.
Desastres
naturales
Además de los posibles problemas causados por
ataques realizados por personas, es importante tener en cuenta que también los
desastres naturales pueden tener consecuencias graves.
Algunos desastres naturales pueden ser:
·
Terremotos y vibraciones
·
Tormentas eléctricas
·
Inundaciones y humedad
·
Incendios y humos
En el caso de los terremotos las medidas que
se deben tomar son:
·
No situar equipos en sitios altos
para evitar caídas
·
No colocar elementos móviles
sobre los equipos para evitar que caigan sobre ellos.
·
Separar los equipos de las
ventanas para evitar que caigan por ellas o qué objetos lanzados desde el
exterior los dañen.
·
Utilizar fijaciones para
elementos críticos.
·
Colocar los equipos sobre
plataformas de goma para que esta absorba las vibraciones.
En el caso de las tormentas eléctricas se debe tener
precaución en las subidas súbitas de tensión. Para ello se deben utilizar los protectores pararrayos los cuales son
dispositivos que eliminan las descargas sobre un conductor por tormentas
eléctricas. Ellos son usados para prevenir el daño a los equipos electrónicos
por los picos de sobretensión y alto voltaje. Otra
opción es desenchufar los equipos a las tomas corrientes.
En entornos normales es recomendable que haya un cierto
grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha
electricidad estática. No obstante, tampoco se debe tener un nivel de humedad
demasiado elevado, ya que puede producirse condensación en los circuitos
integrados que den origen a un cortocircuito. En general no es necesario
emplear ningún tipo de aparato para controlar la humedad, pero no está de más
disponer de alarmas que nos avisen cuando haya niveles anómalos.
En cuanto a las inundaciones, se puede implementar un sistema de detención que
apaguen los sistemas electrónicos si se detecta agua y corten la corriente en
cuanto estén apagados. Otra recomendación es que los equipos deben estar por
encima del sistema de detección de agua, sino cuando se intente parar ya estará
mojado. Además, estos no deben estar en lugares con una altitud baja como
sótanos o deposito en el subsuelo.
El fuego y los humos, que en algunos casos pueden
provenir de equipos por sobrecarga eléctrica se pueden implementar sistemas de
extinción, que aunque pueden dañar los equipos, evitarán daños mayores. Además
del fuego, también el humo es perjudicial para los equipos, al ser un abrasivo
que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más
alejado posible de los equipos.
Alteraciones del entorno
Quizás los problemas derivados del
entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico
que alimenta los equipos como cortocircuitos, picos de tensión, cortes de
flujo, entre otros.
Para corregir los problemas con las
subidas de tensión se puede instalar tomas de tierra o filtros reguladores de
tensión.
Para los cortes, se puede emplear Sistemas de
Alimentación Ininterrumpida (SAI), que además de proteger ante cortes
mantienen el flujo de corriente constante, evitando las subidas y bajadas de
tensión. Estos equipos disponen de baterías que permiten mantener varios
minutos los aparatos conectados a ellos, permitiendo que los sistemas se
apaguen de forma ordenada (generalmente disponen de algún mecanismo para
comunicarse con los servidores y avisarlos de que ha caído la línea o de que se
ha restaurado después de una caída).
Temperaturas extremas
En general es recomendable que los
equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura
emplearemos aparatos de aire acondicionado.
LAS AMENAZAS
Las amenazas se pueden clasificar por tanto en amenazas
provocadas por personas, lógicas y físicas.
Personas:
·
Hackers: Se define como personas con alto
nivel de conocimiento en informática que busca forzar un sistema hasta que este
falle. Además esta persona que intenta
tener acceso no autorizado a los recursos de la red con intención maliciosa
aunque no siempre tiende a ser esa su finalidad.
·
Crackers: Es un término más preciso para
describir una persona que intenta obtener acceso no autorizado a los recursos
de la red con intención maliciosa.
·
Intrusos remunerados: Se trata de personas
con gran experiencia en problemas de seguridad y un amplio conocimiento del
sistema que son pagados por una tercera parte generalmente para robar secretos
o simplemente para dañar la imagen de la organización.
Amenazas lógicas:
Virus: es una secuencia de código que se inserta en un
fichero ejecutable denominado huésped de forma que cuando el archivo se ejecuta
el virus también lo hace insertándose a sí mismo en otros programas.
Gusanos: es un programa capaz de ejecutarse y propagarse
por si mismo a través de redes en ocasiones portando virus o aprovechando bugs
de los sistemas a los que se conecta para dañarlos a ser difíciles de programar
su número no es muy elevado pero el daño que causa es muy grave.
Caballos de Troya: son instrucciones escondidas en un
programa de forma que este parezca realizar las tareas que un usuario pero que
realmente ejecuta funciones ocultas.
Sofware incorrecto (a los errores de programación se les
llama Bugs y a los programas para aprovechar uno de estos fallos se les llama
Exploits).
Spyware
El spyware o programa espía es un software que recopila
información de un dispositivo y después transmite esta información a una
entidad externa sin el conocimiento o el consentimiento del propietario. Estos
productos, realizan diferentes funciones, como mostrar anuncios no solicitados
(pop-up), recopilar información privada, redirigir solicitudes de páginas e
instalar marcadores de teléfono.
Un spyware típico se autoinstala en el sistema afectado
de forma que se ejecuta cada vez que se pone en marcha el equipo (utilizando
CPU y memoria RAM, reduciendo la estabilidad del dispositivo) y funciona todo
el tiempo, controlando el uso que se hace de Internet y mostrando anuncios
relacionados.
Sin embargo, a diferencia de los virus, no se intenta
replicar en otros equipos por lo que funciona como un parásito.
Las consecuencias de una infección de spyware moderada o
severa (aparte de las cuestiones de privacidad) generalmente incluyen una
pérdida considerable del rendimiento del sistema (hasta un 50 % en casos
extremos), y problemas de estabilidad graves. También causan dificultad a la
hora de conectar a Internet. Algunos ejemplos de programas espía conocidos son
Gator o Bonzi Buddy.
Spoofing
Spoofing es el uso de técnicas de suplantación de
identidad generalmente con usos maliciosos o de investigación, es decir, un
atacante falsea el origen de los paquetes haciendo que la víctima piense que
estos son de un host de confianza o autorizado para evitar la víctima lo
detecte. Por ejemplo, cuando nos comunicarnos con un determinado host, la
dirección de ese host ocupa un lugar determinado en la cadena de datos, al
igual que nuestra propia dirección también ocupa otra posición determinada, por
tanto si conseguimos “manipular” la información de ese lugar, podremos falsear
el origen de datos y hacer creer al host destino que somos quien realmente no
somos.
Tipos de Spoofing
Existen diferentes tipos
de spoofing dependiendo de la tecnología:
Ip Spoofing
Consiste en sustituir la
dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se
desea suplantar. Esto se consigue generalmente gracias a programas destinados a
ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP
o TCP. De esta manera, las
respuestas del host que reciba los paquetes irán dirigidas a la IP falsificada. Por ejemplo si enviamos
un ping (paquete ICMP “echo request”) spoofeado, la respuesta será recibida por
el host al que pertenece la IP legalmente. Este tipo de spoofing unido al uso
de peticiones broadcast a diferentes redes es usado en un tipo de ataque de
flood conocido como smurf ataque.
Algunos tipos de ataques:
Non‐Blind Spoofing: Este tipo de ataque ocurre
cuando el atacante está sobre la misma subred que la víctima. La secuencia y
números de reconocimiento pueden ser sniffado, eliminando la dificultad de
calcularlos con exactitud. La amenaza más grande de spoofing en este caso sería
el secuestro de sesión. Esto es logrado por corrompiendo el paso de datos de
una conexión establecida haciéndolo pasar por la máquina del atacante.
Blind Spoofing: Esto es
un ataque más sofisticado, porque la secuencia y números de reconocimiento son
inalcanzables. Para intentar esto se envían varios paquetes a la máquina objetivo
probando varios números de secuencia.
Man In the Middle
Attack: En este ataque una máquina atacante intercepta una comunicación entre
dos host. La máquina atacante controla ahora el flujo de la comunicación y
puede eliminar o cambiar la información enviada por uno de los participantes
originales sin el conocimiento del remitente original o del destinatario. De
este modo, el atacante puede engañar a la víctima haciendo que le revele
información confidencial debido a que confía en él, usando para ello “IP
spoofing”.
Ataque de Negación de
Servicio (DOS): IP spoofing casi siempre es usado en lo que es actualmente uno
de los ataques más difíciles de los que defenderse, este es, la negación de
servicio, o DOS. El atacante inunda a la víctima con tantos paquetes como sea
posible en una cantidad de corta de tiempo. Para prolongar la eficacia del
ataque, se suplanta la IP de origen (mediante IP spoofing) para hacer que el
trazado y posterior detención del DoS sea tan difícil como sea posible. Cuando
múltiples host comprometidos (en muchas ocasiones sin que estos lo sepan)
participan en el ataque, todos envían trafico spoofeado lo que provoca que el
ataque sea efectivo rápidamente.
ARP Spoofing
Es Suplantación de
identidad por falsificación de tabla ARP. Este Se trata de la construcción de
tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la
tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes
a un host atacante en lugar de hacerlo a su destino legítimo.
ARP es el protocolo encargado de traducir
direcciones IP a direcciones MAC para que la comunicación pueda establecerse;
para ello cuando un host quiere comunicarse con una IP emite una trama
ARP-Request a la dirección de Broadcast pidiendo la MAC del host poseedor de la
IP con la que desea comunicarse. El dispositivo con la IP solicitada responde
con un ARP-Reply indicando su MAC. Los enrutadores y los hosts guardan una tabla
local con la relación IP-MAC llamada tabla ARP. Dicha tabla ARP puede ser
falseada por un dispositivo atacante que imita tramas ARP-REPLY indicando su
MAC como destino válido para una IP específica, como por ejemplo la de un
enrutador, de esta manera la información dirigida al enrutador pasaría por el
dispositivo atacante quien podrá escanear dicha información y redirigirla si
así lo desea. El protocolo ARP trabaja a nivel de enlace de datos de OSI, por
lo que esta técnica sólo puede ser utilizada en redes LAN o en cualquier caso
en la parte de la red que queda antes del primer enrutador. Una manera de
protegerse de esta técnica es mediante tablas ARP estáticas (siempre que las IP
de red sean fijas), lo cual puede ser difícil en redes grandes.
Otras formas de
protegerse incluyen el usar programas de detección de cambios de las tablas ARP
(como Arpwatch) y el usar la seguridad de puerto de los switches para evitar
cambios en las direcciones MAC.
DNS Spoofing
Es la suplantación de identidad
por nombre de dominio el cual se trata del falseamiento de una relación
"Nombre de dominio-IP" ante una consulta de resolución de nombre, es
decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa.
Esto se consigue falseando las entradas de la relación Nombre de dominio-IP de
un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por
su confianza hacia servidores poco fiables. Las entradas falseadas de un
servidor DNS son susceptibles de infectar el cache DNS de otro servidor diferente
(DNS Poisoning).
Web Spoofing
Es la suplantación de
una página web real. En este se enruta la conexión de una víctima a través de
una página falsa hacia otras páginas web con el objetivo de obtener información
de dicha víctima (páginas web vistas, información de formularios, contraseñas
etc.). La página web falsa
actúa a modo de proxy, solicitando la información requerida por la víctima a
cada servidor original y saltándose incluso la protección SSL. El atacante
puede modificar cualquier información desde y hacia cualquier servidor que la
víctima visite. La víctima puede abrir la página web falsa mediante cualquier
tipo de engaño, incluso abriendo un simple enlace.
E-Mail Spoofing
Es la suplantación de la
dirección de correo electrónico de otras personas o entidades. Esta técnica es
usada con asiduidad para el envío de mensajes de correo electrónico hoax como
suplemento perfecto para el uso de suplantación de identidad y para SPAM, es tan
sencilla como el uso de un servidor SMTP configurado para tal fin. Para
protegerse se debería comprobar la IP del remitente (para averiguar si
realmente esa ip pertenece a la entidad que indica en el mensaje) y la
dirección del servidor SMTP utilizado. Las medidas recomendadas para prevenir
estos ataques son crear registros SPF y firmas digitales DKIM.
GPS Spoofing
Un ataque de GPS
spoofing intenta engañar a un receptor de GPS transmitiendo una señal
ligeramente más poderosa que la recibida desde los satélites del sistema GPS,
estructurada para parecerse a un conjunto normal de señales GPS. Sin embargo
estas señales están modificadas de tal forma de que causarán que el receptor
determine una posición diferente a la real, específicamente algún lugar determinado
por la señal atacante. Debido a que el sistema GPS trabaja midiendo el tiempo
que le toma a una señal el viajar entre el satélite y el receptor, un spooging
exitoso requiere que el atacante conozca con precisión donde se encuentra el
blanco de tal forma que la señal falsa pueda ser estructurada con el retraso
apropiado.
Un ataque de GPS
spoofing comienza con la transmisión de una señal ligeramente más poderosa que
la que entrega la posición correcta, y luego se comienza a desviar lentamente
hacia la posición deseada por el atacante, ya que si esto se hace demasiado
rápido el receptor atacado perderá la fijación en la señal, en cuyo momento el
ataque de spoofing sólo funcionaría como un ataque de perturbación.
BIBLIOGRAFIA
Libro: red de computadoras-5ta edición – Andrew
S.Tenenbaum
No hay comentarios:
Publicar un comentario