UD 2: Implantación de mecanismos de seguridad activa · PDF fileUD 2:...
-
Upload
vuongkhanh -
Category
Documents
-
view
217 -
download
0
Transcript of UD 2: Implantación de mecanismos de seguridad activa · PDF fileUD 2:...
2011 2º ASIR
Edu
[UD 2: IMPLANTACIÓN DE MECANISMOS DE SEGURIDAD ACTIVA]
Todo sobre el mundo de la seguridad
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 2
Tabla de contenido Ataques y contramedidas en sistemas personales ............................................................... 4
Clasificación de los ataques en sistemas personales: ..................................................... 4
Ataques pasivos ...................................................................................................................... 5
Ataques activos ...................................................................................................................... 5
Sistemas de Detección de intrusos (IDS). ........................................................................ 6
Anatomía de un ataque informático ...................................................................................... 7
Análisis del software malicioso o malware: ........................................................................ 8
- Historia del malware. ......................................................................................................... 8
- Clasificación del malware ................................................................................................ 10
- Métodos de infección: Explotación de vunerabilidades, Ingeniería social, ...... 11
Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc. ................ 11
- Herramientas paliativas. Instalación y configuración. ............................................... 12
- Software antimalware: Antivirus (escritorio, on line, portables, Live),
Antispyware, .......................................................................................................................... 12
Herramientas de bloqueo web. ......................................................................................... 13
Herramientas preventivas. Instalación y configuración. ............................................. 13
Control de acceso lógico .................................................................................................... 13
Seguridad en la conexión con redes públicas....................................................................... 15
Técnicas de Cifrado: ............................................................................................................... 15
-Criptografía simétrica. ..................................................................................................... 15
-Criptografía asimétrica. ................................................................................................... 16
Identificación Digital: ............................................................................................................ 17
-Firma Electrónica y Firma Digital. ................................................................................ 17
-Certificado Digital, Autoridad certificadora (CA). ................................................. 17
- Documento Nacional de Identidad Electrónico (DNIe) ........................................ 19
- Buenas prácticas en el uso del certificado digital y DNIe. .................................20
Seguridad en la red corporativa: ............................................................................................. 21
- Amenazas y ataques en redes corporativas: ................................................................. 21
Amenaza interna o corporativa y Amenaza externa o de acceso remoto........... 21
Amenazas: Interrupción, Intercepción, Modificación y Fabricación. ..................22
Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming. .........................22
Riesgos potenciales en los servicios de red. ....................................................................23
Seguridad en los dispositivos de red : terminales, switch y router. ....................23
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 3
Seguridad en los servicios de red por niveles: ...........................................................25
Monitorización del tráfico en redes: Herramientas. ....................................................27
Técnicas de Detección de intrusos. ....................................................................................28
Tipos de IDS: (Host IDS, Net IDS)..................................................................................28
Software libre y commercial ................................................................................................29
Seguridad en las comunicaciones inalámbricas. .............................................................. 31
Sistemas de seguridad en WLAN. .................................................................................. 31
Recomendaciones de seguridad en WLAN. ..................................................................32
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 4
Ataques y contramedidas en sistemas personales
Clasificación de los ataques en sistemas personales: Digamos que se entiende por amenaza una condición del entorno del sistema de
información (persona, máquina, suceso o idea) que, dada una oportunidad, podría
dar lugar a que se produjese una violación de la seguridad (confidencialidad,
integridad, disponibilidad o uso legítimo).
Las amenazas a la seguridad en una red pueden caracterizarse modelando el
sistema como un flujo de información desde una fuente, como por ejemplo un
fichero o una región de la memoria principal, a un destino, como por ejemplo otro
fichero o un usuario.
Un ataque no es más que la realización de una amenaza. Las cuatro categorías
generales de amenazas o ataques son las siguientes:
1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible.
Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la
destrucción de un elemento hardware, como un disco duro, cortar una línea
de comunicación o deshabilitar el sistema de gestión de ficheros.
2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este
es un ataque contra la confidencialidad. La entidad no autorizada podría ser
una persona, un programa o un ordenador. Ejemplos de este ataque son
pinchar una línea para hacerse con datos que circulen por la red y la copia
ilícita de ficheros o programas (intercepción de datos), o bien la lectura de
las cabeceras de paquetes para desvelar la identidad de uno o más de los
usuarios implicados en la comunicación observada ilegalmente (intercepción
de identidad).
3. Modificación: una entidad no autorizada no sólo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad. Ejemplos de este ataque son el cambio de valores en un archivo
de datos, alterar un programa para que funcione de forma diferente y
modificar el contenido de mensajes que están siendo transferidos por la
red.
4. Fabricación: una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque
son la inserción de mensajes espurios en una red o añadir registros a un
archivo. Estos ataques se pueden asimismo clasificar de forma útil en
términos de ataques pasivos y ataques activos.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 5
Ataques pasivos
En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza, para obtener información que está siendo transmitida.
Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más
sutil para obtener información de la comunicación, que puede consistir en:
- Obtención del origen y destinatario de la comunicación, leyendo las
cabeceras de los paquetes monitorizados.
- Control del volumen de tráfico intercambiado entre las entidades
monitorizadas, obteniendo así información acerca de actividad o inactividad
inusuales.
- Control de las horas habituales de intercambio de datos entre las entidades
de la comunicación, para extraer información acerca de los períodos de
actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna
alteración de los datos. Sin embargo, es posible evitar su éxito mediante el
cifrado de la información y otros mecanismos que se verán más adelante.
Ataques activos
Estos ataques implican algún tipo de modificación del flujo de datos transmitido o
la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías:
a. Suplantación de identidad: el intruso se hace pasar por una entidad
diferente. Normalmente incluye alguna de las otras formas de ataque
activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y
repetidas, permitiendo a una entidad no autorizada acceder a una serie de
recursos privilegiados suplantando a la entidad que posee esos privilegios,
como al robar la contraseña de acceso a una cuenta.
b. Repetición: uno o varios mensajes legítimos son capturados y repetidos para
producir un efecto no deseado, como por ejemplo ingresar dinero repetidas
veces en una cuenta dada.
c. Modificación de mensajes: una porción del mensaje legítimo es alterada, o
los mensajes son retardados o reordenados, para producir un efecto no
autorizado. Por ejemplo, el mensaje "Ingresa un millón de pesos en la cuenta
A" podría ser modificado para decir "Ingresa un millón de pesos en la
cuenta B".
d. Interrupción: o degradación fraudulenta del servicio, impide o inhibe el uso
normal o la gestión de recursos informáticos y de comunicaciones. Por
ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una
determinada entidad o se podría interrumpir el servicio de una red
inundándola con mensajes espurios. Entre estos ataques se encuentran los
de denegación de servicio, consistentes en paralizar temporalmente el
servicio de un servidor de correo, Web, FTP, etc.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 6
Sistemas de Detección de intrusos (IDS). Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion
Detection System) es un programa usado para detectar accesos no autorizados a
un computador o a una red. Estos accesos pueden ser ataques de
habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El término IDS (Sistema de detección de intrusiones) hace referencia a un
mecanismo que, sigilosamente, escucha el tráfico en la red para detectar
actividades anormales o sospechosas, y de este modo, reducir el riesgo de
intrusión.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la
seguridad dentro de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la
seguridad en el host.
Un N-IDS necesita un hardware exclusivo. Éste
forma un sistema que puede verificar paquetes de
información que viajan por una o más líneas de la
red para descubrir si se ha producido alguna
actividad maliciosa o anormal. El N-IDS pone uno o
más de los adaptadores de red exclusivos del
sistema en modo promiscuo.. Por lo general, se
colocan sondas fuera de la red para estudiar los
posibles ataques, así como también se colocan
sondas internas para analizar solicitudes que
hayan pasado a través del firewall o que se han
realizado desde dentro.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una
amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix,
etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la información particular almacenada en
registros (como registros de sistema, mensajes, lastlogs y wtmp) y también
captura paquetes de la red que se introducen/salen del host para poder verificar
las señales de intrusión (como ataques por denegación de servicio, puertas
traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos
malignos o ataques de desbordamiento de búfer).
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 7
Anatomía de un ataque informático Conocer las diferentes etapas que conforman un ataque informático brinda la
ventaja de aprender a pensar como los atacantes y a jamás subestimar su
mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar
esas habilidades para comprender y analizar la forma en que los atacantes llevan a
cabo un ataque.
La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque
informático al momento de ser ejecutado:
Básicamente se compone de cinco etapas bien diferenciadas que permiten acceder
a un sistema de forma metódica y sistemática.
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que
puede ser una persona u organización, utilizando diferentes recursos.
. Algunas de las técnicas utilizadas en este primer paso son: diferentes estrategias
de Ingeniería social como el Dumpster diving (buscar información del objetivo en
la basura), el sniffing (interceptar información).
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información
obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre
el sistema víctima como direcciones IP, nombres de host, datos de autenticación,
entre otros.
Entre las herramientas que un atacante puede emplear durante esta fase se
encuentran:
- Network mappers
- Port mappers
- Network scanners
- Port scanners
- Vulnerability scanners
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 8
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a
materializarse el ataque a través de la explotación de las vulnerabilidades y
defectos del sistema (Flaw exploitation) descubiertos durante las fases de
reconocimiento y exploración.
Algunas de las técnicas que el atacante puede utilizar son:
- Buffer Overflow
- Denial of Service (DoS)
- Distributed Denial of Service (DDos)
- Password filtering
- Session hijacking
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha
conseguido acceder al sistema, buscará implantar herramientas que le permitan
volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet.
Para ello, suelen recurrir a recursos como:
o Backdoors
o Rootkits
o Troyanos
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener
y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando
durante la intrusión para evitar ser detectado por el profesional de seguridad o los
administradores de la red. En consecuencia, buscará eliminar los archivos de
registro (log) o alarmas del Sistema de Detección de Intrusos (IDS).
Análisis del software malicioso o malware:
- Historia del malware.
1949
Los trabajos preliminares a los virus de ordenador se
remontan al año 1949. John von Neumann (1903-1957)
desarrolló la teoría de los autómatas autorreplicantes.
Pero entonces era impensable aún la materialización
técnica.
La década de los 70
En CoreWars batallan entre sí programas escritos en
"Código rojo". Luchan por sobrevivir en la memoria. Los
llamados "imps" trajinan por la memoria y borran
direcciones sin orden ni concierto. También había
algunas versiones capaces de autocopiarse. Aquí
tenemos las raíces de los virus informáticos.
1981
El profesor Leonard M. Adleman utiliza por primera vez
el concepto de "virus informático" en una conversación
con Fred Cohen.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 9
1982
Los primeros virus para el ordenador Apple II pasan en
disquete de mano en mano en un círculo muy restringido.
Por un error, el virus causaba el bloqueo del programa.
Este error se solucionó en las versiones posteriores.
El virus "Elk Cloner" es el primer virus "en libertad" (“in
the wild”) que enfada a los usuarios de Apple / DOS 3.3
con rimas con metátesis, indicaciones invertidas o falsas
y ruidos de clic. Se propagaba por disquetes que se
hicieron inservibles (probablemente por equivocación)
con otros sistemas operativos.
En el Xerox Alto Research Center, Jon Hepps y John
Shock programaron los primeros gusanos. Se utilizaban
para cálculos repartidos y se propagaban en la red de
modo autónomo. Por un fallo de programación, esta
difusión tuvo lugar sin control, lo que dejó los
ordenadores fuera de combate al poco tiempo.
1983
En noviembre, Fred Cohen presentó por primera vez el
concepto de virus en un seminario. Sólo necesitó 8 horas
para implementar el primer virus funcional en UNIX. A
los pocos minutos tenía derechos de acceso sin
restricciones en todos los ordenadores.
1984
Fred Cohen publica los primeros artículos acerca de
"Experimentos con virus informáticos", que se
incorporan a su tesis doctoral "ComputerViruses -
Theory and Experiments", publicada en 1986. Su
definición de virus, de orientación más bien matemática,
aún sigue siendo reconocida y no posee el matiz negativo
que se asocia en la actualidad al concepto de virus.
1985
No tardan mucho en aparecer otros virus dejados a su
libre albedrío. A menudo, sólo se trata de programas
bromistas para molestar al usuario del ordenador.
Verdaderamente maligno es el troyano Gotcha. Tras el
inicio del programa EGABTR, que aparentemente
permite una representación gráfica, se borran los datos
del disco duro y en la pantalla aparece "Arf, arf,
Gotcha" (“te pillé”).
El programa escrito en BASIC "Surprise" borraba todos
los datos accesibles con la línea de comando "kill *.*" .
Entonces aparecía
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 10
- Clasificación del malware
Virus Informático
Es un programa informático diseñado para infectar archivos. Además, algunos
podrían ocasionar efectos molestos, destructivos e incluso irreparables en los
sistemas sin el consentimiento y/o conocimiento del usuario.
Cuando se introduce en un sistema normalmente se alojará dentro del código de
otros programas. El virus no actúa hasta que no se ejecuta el programa infectado.
Algunos de ellos, además están preparados para activarse cuando se cumple una
determinada condición (una fecha concreta, una acción que realiza el usuario, etc.).
Los efectos de los virus pueden ser muy molestos para los usuarios ya que la
infección de un fichero puede provocar la ralentización del ordenador o la
modificación en su comportamiento y funcionamiento, entre otras cosas.
Gusanos Informáticos
Los "Gusanos Informáticos" son programas que realizan copias de sí mismos,
alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware
suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el
trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.
El principal objetivo de los gusanos es propagarse y afectar al mayor número de
ordenadores posible. Para ello, crean copias de sí mismos en el ordenador afectado,
que distribuyen posteriormente a través de diferentes medios, como el correo
electrónico, programas P2P o de mensajería instantánea, entre otros.
Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor
efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre
atractivo con el que camuflar el archivo malicioso. Los temas más recurrentes son
los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o
software pirata.
Troyanos
El principal objetivo de este tipo de malware es introducir e instalar otras
aplicaciones en el equipo infectado, para permitir su control remoto desde otros
equipos.
Los troyanos no se propagan por sí mismos, y su nombre deriva del parecido en su
forma de actuar con los astutos griegos de la mitología, ya que los troyanos llegan
al equipo del usuario como un programa aparentemente inofensivo, pero, en
determinados casos, al ejecutarlo instalará en el equipo infectado un segundo
programa; el troyano en sí. Este es un claro ejemplo de la familia de troyanos de
tipo downloader.
Actualmente y a nivel mundial, el porcentaje del tráfico de Malware que
representan los troyanos es: Virus: 10.56%
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 11
Stealer
En español "ladrón de información" es el nombre genérico de programas
informáticos maliciosos del tipo troyano, que se introducen a través de internet en
un ordenador con el propósito de obtener de forma fraudulenta información
confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña
o número de tarjeta de crédito.
Crimeware
Es un tipo de software que ha sido específicamente diseñado para la ejecución de
delitos financieros en entornos en línea. El término fue creado por Peter Cassidy,
Secretario General del Anti-PhishingWorking para diferenciarlo de otros tipos de
software malicioso.
Grayware
Es un nuevo término que comienza a aparecer en las pantallas de radar de los
profesionales de informática y de seguridad. Muchos usuarios finales solo conocen
vagamente acerca del "Grayware" y su impacto potencial en sus computadoras. Sin
embargo la probabilidad de sus sistemas estén infectados es extremadamente alta
y muchos usuarios han sufrido los síntomas producidos por estos programas.
Es un término abarcador aplicado a un amplio rango de programas que son
instalados en la computadora de un usuario para dar seguimiento o reportar cierta
información a un tercero. Estas aplicaciones son usualmente instaladas y “corren”
sin el permiso del usuario.
- Métodos de infección: Explotación de vunerabilidades, Ingeniería social,
Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc.
Las formas en que un programa puede llegar al ordenador son las siguientes:
Explotando una vulnerabilidad: cualquier programa del ordenador puede tener una
vulnerabilidad que puede ser aprovechada para introducir programas maliciosos en
el ordenador. Es posible que tengan alguna vulnerabilidad que sea aprovechada por
un atacante para introducir programas maliciosos. Para prevenir quedarse
infectado de esta forma, recomendamos tener siempre actualizado el software el
equipo.
Ingeniería social: apoyado en técnicas de ingeniería social para apremiar al usuario
a que realice determinada acción. La ingeniería social se utiliza sobre todo en
correos de phishing, pero puede ser utilizada de más formas, por ejemplo,
informando de una falsa noticia de gran impacto, un ejemplo puede ser alertar del
comienzo de una falsa guerra incluyendo un enlace en que se puede ver más
detalles de la noticia; a donde realmente dirige el enlace es a una página Web con
contenido malicioso. Tanto para los correos de phishing como para el resto de
mensajes con contenido generado con ingeniería social, lo más importante es no
hacer caso de correos recibidos de remitentes desconocidos y tener en cuenta que
su banco nunca le va a pedir sus datos bancarios por correo.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 12
Por un archivo malicioso: esta es la forma que tienen gran cantidad de troyanos de
llegar al equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por
redes P2P, como enlace a un fichero que se encuentre en Internet, a través de
carpetas compartidas en las que el gusano haya dejado una copia de sí mismo…La
mejor forma de prevenir la infección es analizar con un antivirus actualizado todos
los archivos antes de ejecutarlos, a parte de no descargar archivos de fuentes que
no sean fiables.
Dispositivos extraíbles: muchos gusanos suelen dejar copias de sí mismos en
dispositivos extraíbles para que automáticamente, cuando el dispositivo se conecte
a un ordenador, ejecutarse e infectar el nuevo equipo. La mejor forma de evitar
quedarse infectados de esta manera, es deshabilitar el autoarranque de los
dispositivos que se conecten al ordenador.
Cookies maliciosas: Existe un tipo de ficheros que según el uso que tengan, pueden
o no ser peligrosos, son las cookies. Las cookies son pequeños ficheros de texto
que se crean en el navegador al visitar páginas Web; almacenan diversa información
que, por lo general, facilitan la navegación del usuario por la página Web que se
está visitando y lo más importante no tienen capacidad para consultar información
del ordenador en el que están almacenadas. Sin embargo existen un tipo de cookies
llamadas cookies maliciosas que su cometido no es facilitar la navegación por
determinadas páginas, sino monitorizar las actividades del usuario en Internet con
fines maliciosos, por ejemplo capturar los datos de usuario y contraseña de acceso
a determinadas páginas Web o vender los hábitos de navegación a empresas de
publicidad.
- Herramientas paliativas. Instalación y configuración.
- Software antimalware: Antivirus (escritorio, on line, portables, Live), Antispyware,
Antivirus
En informática los antivirus son programas cuyo objetivo es detectar y/o eliminar
virus informáticos. Nacieron durante la década de 1980.
Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e
Internet, ha hecho que los antivirus hayan evolucionado hacia programas más
avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos,
desinfectarlos y prevenir una infección de los mismos, y actualmente ya son
capaces de reconocer otros tipos de malware, como spyware, rootkits, etc. Estos
son los diferentes tipos.
Escritorio Es un software que se encuentra instalado en el pc controlado
en todo momento la actividad de los ficheros en busca de amenazas. En cualquier
momento se puede analizar el equipo a fondo.
Online Es un software que a través del navegador analiza tu equipo sin
necesidad de instalar nada. No suelen ser fiables.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 13
Portables Es un software que se encuentra normalmente en una unidad
portátil y que se puede ejecutar en cualquier equipo sin necesidad de instalación
solamente enchufando o introduciendo la unidad portatil
Live Es software normalme intalado en un cd que nos sirve para analizar el
equipo sin necesidad de cargar el SO evitando asi el camuflamiento de algunos
virus.
Herramientas de bloqueo web.
Mediante un archivo robots.txt
Restringen el acceso de los robots de motores de búsqueda que rastrean la Web a
un sitio. Estos robots están automatizados y, antes de acceder a las páginas de un
sitio, verifican si existe un archivo robots.txt que les impida el acceso a
determinadas páginas.
Editando el archivo host
Para ello hay que editar el archivo hosts, que en Windows98 está en el directorio
c:\Windows y en XP está en el directorio c:\Windows\system32\drivers\etc.
Añadimos la pagina que no que remos que se cargue y al lado la ip 127.0.0.1 y nunca
llegara a abrirse esa dirección.
Ejemplo:
www.xxx.com (Pulsación de tabulación) 127.0.0.1
En el propio navegador
Todos los navegadores tienen una opcion en la pestaña de seguridad que podemos
agregar sitios de los cuales no confiamos o no queremos que sean vistos.
Con el antivirus.
Todos los navegadores tienen una opcion para bloquear sitios web de echo cuando
los antivirus detectan alguna amenaza en un sitio concreto lo bloquean para siempre
y no podras acceder a ese sitio web nunca
Herramientas preventivas. Instalación y configuración.
Control de acceso lógico
Seguridad del BIOS y del gestor de arranque
La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor
de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan
acceso físico a sus sistemas, arranquen desde medios removibles u obtengan
acceso como root a través del modo monousuario. Pero las medidas de seguridad
que uno debería tomar para protegerse contra tales ataques dependen tanto de la
confidencialidad de la información que las estaciones tengan como de la ubicación
de la máquina.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 14
CONTROL DE ACCESO AL SISTEMA OPERATIVO
Objetivo: evitar el acceso no autorizado a los sistemas operativos. Se recomienda
utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a
los sistemas operativos. Tales medios deberían tener la capacidad para:
a) autenticar usuarios autorizados, de acuerdo con una política definida de control
de acceso;
b) registrar intentos exitosos y fallidos de autenticación del sistema;
c) registrar el uso de privilegios especiales del sistema;
d) emitir alarmas cuando se violan las políticas de seguridad del sistema;
e) suministrar medios adecuados para la autenticación;
f) cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
Configurar la seguridad de usuarios y grupos
Para proteger un equipo y sus recursos, debe decidir qué tareas y acciones pueden
realizar los usuarios o grupos de usuarios. Las tareas y acciones que un usuario o un
grupo de usuarios pueden realizar dependen de los derechos de usuario que les
asigne. Por ejemplo, si un miembro de confianza del grupo Usuarios necesita
supervisar el registro de seguridad, puede concederle el derecho "Administrar
auditoría y registro de seguridad" en lugar de agregar el usuario a un grupo con
más privilegios, como el grupo Administradores. De la misma forma, puede proteger
un objeto, como un archivo o una carpeta, si asigna permisos.
Algunas de las tareas más comunes son asignar derechos de usuario en el equipo
local, asignar derechos de usuario en toda la organización y establecer permisos de
archivos y carpetas. Para obtener más información acerca de otras tareas para
configurar la seguridad de usuarios y grupos, vea Procedimientos de control de
acceso.
ACTUALIZACIONES DE SW Y SO
Necesidad de las actualizaciones
Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma
análoga a como haría un ladrón al intentar entrar a robar a una casa– desarrollan
software malicioso para aprovechar cualquier vulnerabilidad en el sistema a través
del cual infectarlo. Suelen aprovechar las vulnerabilidades más recientes que
tienen tanto el sistema operativo como los demás programas, y que requieren una
actualización inmediata de los sistemas.
Hay que tener en cuenta que cuanto más tiempo tardemos en actualizar nuestros
equipos más tiempo estaremos expuestos a que cualquier tipo de malware pueda
explotar alguna vulnerabilidad y nuestro equipo quede bajo el control del atacante.
Para facilitar esta tarea, la mayoría de aplicaciones y sistemas operativos tienen la
opción de actualizar el sistema automáticamente, lo que permite tener los
programas actualizados sin la necesidad de comprobar manual y periódicamente si
la versión utilizada es la última disponible, y por tanto la más segura.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 15
Estas actualizaciones de software vienen justificadas por diferentes motivos:
Corregir las vulnerabilidades detectadas.
Proporcionar nuevas funcionalidades o mejoras respecto a las versiones
anteriores.
Aunque es posible hacer la actualización de forma manual, lo más sencillo es
hacerlo de forma automática. De esta forma el propio sistema busca las
actualizaciones, las descarga e instala sin que nosotros tengamos que intervenir en
el proceso.
-ACTUALIZACIONES EN LOS SO
Generalmente los sistemas operativos vienen configurados de forma
predeterminada con la opción de “Actualizaciones Automáticas” por lo que no es
necesario habilitarla manualmente
Seguridad en la conexión con redes públicas
Técnicas de Cifrado:
-Criptografía simétrica.
La criptografía simétrica se refiere al conjunto de métodos que permiten tener
comunicación segura entre las partes siempre y cuando anteriormente se hayan
intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría
se refiere a que las partes tienen la misma llave tanto para cifrar como para
descifrar.
Este tipo de criptografía se conoce también como criptografía de clave privada
o criptografía de llave privada.
Existe una clasificación de este tipo de criptografía en tres familias, la
criptografía simétrica de bloques (block cipher), la criptografía simétrica de
lluvia (stream cipher) y la criptografia simétrica de resumen (hash functions).
Aunque con ligeras modificaciones un sistema de criptografía simétrica de bloques
puede modificarse para convertirse en alguna de las otras dos formas, sin embargo
es importante verlas por separado dado que se usan en diferentes aplicaciones.
Aunque no existe un tipo de diseño estándar, quizá el más popular es el de
Fiestel, que consiste esencialmente en aplicar un número finito de interacciones de
cierta forma, que finalmente da como resultado el mensaje cifrado. Este es el caso
del sistema criptográfico simétrico más conocido, DES.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 16
-Criptografía asimétrica.
La criptografía de clave asimétrica o pública fue inventada en 1976 por los
matemáticos Whit Diffie y Martin Hellman y es la base de la moderna criptografía.
La criptografía asimétrica utiliza dos claves complementarias llamadas clave
privada y clave pública. Lo que está codificado con una clave privada necesita su
correspondiente clave pública para ser descodificado. Y viceversa, lo codificado
con una clave pública sólo puede ser descodificado con su clave privada.
Las claves privadas deben ser conocidas únicamente por su propietario, mientra
que la correspondiente clave pública puede ser dada a conocer abiertamente.
Si Ana quiere enviar a Benito un mensaje de forma que sólo él pueda entenderlo, lo
codificará con la clave pública de Benito. Benito utilizará su clave privada, que solo
él tiene, para poder leerlo
La criptografía asimétrica está basada en la utilización de números primos muy
grandes. Si multiplicamos entre sí dos números primos muy grandes, el resultado
obtenido no puede descomponerse eficazmente, es decir, utilizando los métodos
aritméticos más avanzados en los ordenadores más avanzados sería necesario
utilizar durante miles de millones de años tantos ordenadores como átomos existen
en el universo. El proceso será más seguro cuanto mayor sea el tamaño de los
números primos utilizados. Los protocolos modernos de encriptación tales como
SET y PGP utilizan claves generadas con números primos de un tamaño tal que los
hace completamente inexpugnables.
-Criptografía híbrida.
La criptografía híbrida emplea el cifrado de clave pública para compartir una clave
para el cifrado simétrico. El mensaje que se esté enviando en el momento, se cifra
usando la clave y enviándolo al destinatario. Ya que compartir una clave simétrica
no es seguro, la clave usada es diferente para cada sesión.
Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el
de cifrado simétrico de los que hace uso, independientemente de cuál sea más
débil. En PGP y GnuPG el sistema de clave pública es probablemente la parte más
débil de la combinación. Sin embargo, si un atacante pudiera descifrar una clave de
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 17
sesión, sólo sería útil para poder leer un mensaje, el cifrado con esa clave de
sesión. El atacante tendría que volver a empezar y descifrar otra clave de sesión
para poder leer cualquier otro mensaje.
Identificación Digital:
-Firma Electrónica y Firma Digital.
Una firma electrónica es una firma digital que se ha almacenado en un soporte de
hardware; mientras que la firma digital se puede almacenar tanto en soportes de
hardware como de software. La firma electrónica reconocida tiene el mismo valor
legal que la firma manuscrita.
De hecho se podría decir que una firma electrónica es una firma digital contenida o
almacenada en un contenedor electrónico, normalmente un chip de ROM. Su
principal característica diferenciadora con la firma digital es su cualidad de ser
inmodificable (que no inviolable). No se debe confundir el almacenamiento en
hardware, como por ejemplo, en un chip, con el almacenamiento de la firma digital
en soportes físicos; es posible almacenar una firma digital en una memoria flash,
pero al ser esta del tipo RAM y no ROM, no se consideraría una firma electrónica
si no una firma digital contenida en un soporte físico.
Las características y usos de la Firma electrónica son exactamente los mismos que
los de la Firma digital con la única diferenciación del tipo de soporte en el que se
almacenan. Su condición de inmodificable aporta un grado superior de seguridad, si
bien la ausencia habitual de contraseñas de seguridad que protejan su uso
permitiría que un portador ilegítimo pudiese suplantar al propietario con facilidad.
-Certificado Digital, Autoridad certificadora (CA).
Un certificado digital (también conocido como certificado de clave pública o
certificado de identidad) es un documento digital mediante el cual un tercero
confiable (una autoridad de certificación) garantiza la vinculación entre la
identidad de un sujeto o entidad (por ejemplo: nombre, dirección y otros aspectos
de identificación) y una clave pública.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 18
Este tipo de certificados se emplea para comprobar que una clave pública
pertenece a un individuo o entidad. La existencia de firmas en los certificados
aseguran por parte del firmante del certificado (una autoridad de certificación,
por ejemplo) que la información de identidad y la clave pública perteneciente al
usuario o entidad referida en el certificado digital están vinculadas.
Un aspecto fundamental que hay que entender es que el certificado para cumplir la
función de identificación y autenticación necesita del uso de la clave privada (que
sólo el titular conoce). El certificado y la clave pública se consideran información
no sensible que puede distribuirse perfectamente a terceros.
Por tanto el certificado sin más no puede ser utilizado como medio de
identificación, pero es pieza imprescindible en los protocolos usados para
autenticar a las partes de una
Si bien existen variados formatos para certificados digitales, los más comúnmente
empleados se rigen por el estándar UIT-T X.509. El certificado debe contener al
menos lo siguiente:
- La identidad del propietario del certificado (identidad a certificar),
- La clave pública asociada a esa identidad,
- La identidad de la entidad que expide y firma el certificado,
- El algoritmo criptográfico usado para firmar el certificado.
Autoridad certificadora (CA). Es una entidad de confianza, responsable de emitir
y revocar los certificados digitales o certificados, utilizados en la firma
electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente
es un caso particular de Prestador de Servicios de Certificación.
por sí misma o mediante la intervención de una Autoridad de Registro, verifica la
identidad del solicitante de un certificado antes de su expedición o, en caso de
certificados expedidos con la condición de revocados, elimina la revocación de los
certificados al comprobar dicha identidad. Los certificados son documentos que recogen
ciertos datos de su titular y su clave pública y están firmados electrónicamente por la
Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es
un tipo particular de Prestador de Servicios de Certificación que legitima ante los
terceros que confían en sus certificados la relación entre la identidad de un usuario y su
clave pública. La confianza de los usuarios en la CA es importante para el
funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un
procedimiento normalizado para demostrar que una CA merece dicha confianza.
Un certificado revocado es un certificado que no es válido aunque se emplee dentro de
su período de vigencia. Un certificado revocado tiene la condición de suspendido si su
vigencia puede restablecerse en determinadas condiciones.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 19
- Documento Nacional de Identidad Electrónico (DNIe)
El Documento Nacional de Identidad (DNI), emitido por la Dirección General de la
Policía (Ministerio del Interior), es el documento que acredita, desde hace más de
50 años, la identidad, los datos personales que en él aparecen y la nacionalidad
española de su titular.
A lo largo de su vida, el Documento Nacional de Identidad ha ido evolucionado e
incorporando las innovaciones tecnológicas disponibles en cada momento, con el fin
de aumentar tanto la seguridad del documento como su ámbito de aplicación.
Con la llegada de la Sociedad de la Información y la generalización del uso de
Internet se hace necesario adecuar los mecanismos de acreditación de la
personalidad a la nueva realidad y disponer de un instrumento eficaz que traslade
al mundo digital las mismas certezas con las que operamos cada día en el mundo
físico y que, esencialmente, son:
- Acreditar electrónicamente y de forma indubitada la identidad de la
persona
- Firmar digitalmente documentos electrónicos, otorgándoles una validez
jurídica equivalente a la que les proporciona la firma manuscrita
Para responder a estas nuevas necesidades nace el Documento Nacional de
Identidad electrónico (DNIe), similar al tradicional y cuya principal novedad es que
incorpora un pequeño circuito integrado (chip), capaz de guardar de forma segura
información y de procesarla internamente.
Para poder incorporar este chip, el Documento Nacional de Identidad cambia su
soporte tradicional (cartulina plastificada) por una tarjeta de material plástico,
dotada de nuevas y mayores medidas de seguridad. A esta nueva versión del
Documento Nacional de Identidad nos referimos como DNI electrónico nos
permitirá, además de su uso tradicional, acceder a los nuevos servicios de la
Sociedad de la Información, que ampliarán nuestras capacidades de actuar a
distancia con las Administraciones Públicas, con las empresas y con otros
ciudadanos.
En la medida que el DNI electrónico vaya sustituyendo al DNI tradicional y se
implanten las nuevas aplicaciones, podremos utilizarlo para:
- Realizar compras firmadas a través de Internet
- Hacer trámites completos con las Administraciones Públicas a cualquier
hora y sin tener que desplazarse ni hacer colas
- Realizar transacciones seguras con entidades bancarias
- Acceder al edificio donde trabajamos
- Utilizar de forma segura nuestro ordenador personal
- Participar en un conversación por Internet con la certeza de que nuestro
interlocutor es quien dice ser
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 20
- Buenas prácticas en el uso del certificado digital y DNIe.
Tal y como recoge la Declaración de Prácticas de Certificación del DNI
electrónico, los certificados electrónicos podrán utilizarse:
• Como medio de Autenticación de la Identidad.
El Certificado de Autenticación (Digital Signature) asegura que la comunicación
electrónica se realiza con la persona que dice que es. El titular podrá, a través de
su certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en
posesión del certificado de identidad y de la clave privada asociada al mismo.
• Como medio de firma electrónica de documentos.
Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un
mensaje firmado electrónicamente puede verificar la autenticidad de esa firma,
pudiendo de esta forma demostrar la identidad del firmante sin que éste pueda
repudiarlo.
• Como medio de certificación de Integridad de un documento.
Permite comprobar que el documento no ha sido modificado por ningún agente
externo a la comunicación. La garantía de la integridad del documento se lleva a
cabo mediante la utilización de funciones resumen (hash), utilizadas en combinación
con la firma electrónica. Esto esquema permite comprobar si un mensaje firmado
ha sido alterado posteriormente a su envío.
Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del
documento ,de forma tal que cualquier alteración posterior del documento dará
lugar a una alteración del resumen.
El Certificado de Identidad Pública español (DNI electrónico) contribuirá,
necesariamente a la existencia de empresas prestadoras de servicios de valor
añadido ya que el DNI electrónico no facilitara en ningún caso los denominados
"sobres" (sistemas de cifrado, sellos de tiempo, etc.)
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 21
Seguridad en la red corporativa:
- Amenazas y ataques en redes corporativas:
Amenaza interna o corporativa y Amenaza externa o de acceso remoto.
- Amenaza interna o corporativa
Cualquier empleado puede convertirse en un punto de fuga de información. Lo único
que necesita es acceso a la misma, ya que para extraerla hoy en dia en muy fácil a
través de dispositivos portatitles (pendrives, discos duros, USB, etc) o incluso
directamente a un servidor via internet.
Lo mas lógico es aplicar una una política de gestión de usuarios, cada uno con sus
permisos correspondientes para acceder a determinadas aplicaciones. También es
preciso definir en los procesos de baja de personal algún procedimiento que impida,
o al menos dificulte, que una persona pueda sacar información fuera de las
fronteras de la empresa.
Otra via interna son los despistes. Instalar una aplicación que deje abierta una
puerta trasera o enviar un correo electrónico a multiples destinatarios incluyendo
las direcciones en un campo diferente al de “copia oculta”, es decir, dejándolas al
descubierto para cualquiera que lo reciba. Esta practica ha sido recientemente
sancionada por la AEPD . se trata errores que pueden salir caros, y no solo por la
sanción administrativa. La solución pasa por controlar lo que instala cada usuario en
su equipo y, en el caso del correo, usar una herramienta profesional de marketing
via email, en lugar del cásico cliente de correo electrónico.
Amenza externa o remota
Con la llegada de internet, las amenazas pueden venir desde el exterior. No se
necesita poner un pie en las instalaciones de la empresa para que alguien pueda
acceder a información propiedad de esta. Se necesita una protección del
perímetro de la red informática, asi como un control de los accesos de sus
usuarios ¿Quién hace esto? Un experto en sistemas. Se le contrata para que
monte la red y su posterior mantenimiento periódico.
Las amenazas en el exterior también aparecen cuando alguien no autorizado se
hace con un equipo informatico de la empresa. Situaciones de extravio o robo de
un ordenador portátil, un teléfono móvil o un disco duro usb o un uso indebido de
los mismos en el domicilio de algún empleado, pueden poner a disposición de gente
no deseada información protegida. La solución pasa por la encriptación de los
datos en equipos portátiles y la educación de los usuarios a la hora de usarlos
fuera de la red corporativa.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 22
Amenazas: Interrupción, Intercepción, Modificación y Fabricación.
1. Interrupción: un recurso del sistema es destruido o se vuelve no disponible.
Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la
destrucción de un elemento hardware, como un disco duro, cortar una línea
de comunicación o deshabilitar el sistema de gestión de ficheros.
2. Intercepción: una entidad no autorizada consigue acceso a un recurso. Este
es un ataque contra la confidencialidad. La entidad no autorizada podría ser
una persona, un programa o un ordenador. Ejemplos de este ataque son
pinchar una línea para hacerse con datos que circulen por la red y la copia
ilícita de ficheros o programas (intercepción de datos), o bien la lectura de
las cabeceras de paquetes para desvelar la identidad de uno o más de los
usuarios implicados en la comunicación observada ilegalmente (intercepción
de identidad).
3. Modificación: una entidad no autorizada no sólo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la
integridad. Ejemplos de este ataque son el cambio de valores en un archivo
de datos, alterar un programa para que funcione de forma diferente y
modificar el contenido de mensajes que están siendo transferidos por la
red.
4. Fabricación: una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque
son la inserción de mensajes espurios en una red o añadir registros a un
archivo. Estos ataques se pueden asimismo clasificar de forma útil en
términos de ataques pasivos y ataques activos.
Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.
DoS: (negacion de servicios) el atacante utiliza un ordenador para quitar de
operación un servicio u ordenador conectado a internet. Ejemplos de este tipo de
ataque: generar sobrecarga en el procesamiento de datos de un ordenador,
generar trafico de datos en la red ocupando todo el ancho de banda disponible,
eliminar servicios importantes de un ISP (proveedor de servicios de internet)
imposibilitando el acceso de los usuarios al correo electrónico a una pagina web.
Sniffing: conseguir capturar las tramas enviadas a través de la red no enviadas a
el. Para conseguirlo pone la tarjeta de red en modo promiscuo en el cual en la capa
de enlace de datos no son descartadas las tramas no destinadas a la MAC address
dela tarjeta. De este modo podemos ver todo tipo de información de cualquier
aparato conectado a la red como contraseñas, e-mail, etc.
Man in the middle: es un atacante en el que el enemigo adquiere la capacidad de
leer, inserter y modificar a vuoluntad, los mensajes entre dos partes sin que
ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe
ser capaz de observar e interceptar mensajes entre las dos victimas.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 23
Spoofing: hace referencia al uso de técnicas de suplantación de identidad
generalmente con usos maliciosos o de investigación. Se clasifican en función de la
tecnología utilizada, entre ellos tenemos el IP soofing (posiblemente el mas
conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en
general se puede englobar dentro de spoofing cualquier tecnología de red
susceptible de sufrir suplantaciones de identidad.
Pharming: consiste en la explotación de una vulnerabilidad en el software de los
servidores DNS o en los equipos de los propios usuarios, que permite a un atacante
redirigir en nombre de dominio a otra maquina distinta.
Riesgos potenciales en los servicios de red.
Seguridad en los dispositivos de red : terminales, switch y router.
Seguridad en los terminales: instalaciones por defecto no pensadas para la
seguridad o la facilitación a los usuarios son algunos de los motivos por los que
nuestros quipos no son seguros. algunas medidas que se pueden tomar son:
- Conocimientos del sistema
- Verificación de la integridad
- Protocolos cifrados
- Revisión de los registros
- Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)
- Eliminación de servicios innecesarios
- Reglas de acceso (cotafuegos)
Protección de los switch: los puertos de entrada pueden ser un punto de entrada a
la red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una
función que se conoce como seguridad de puertos. La seguridad de puertos limita la
cantidad de direcciones MAC validas que se permiten por puerto. El puerto no
reenvia paquetes con direcciones MAC de origen que se encuentran fuera del grupo
de direcciones definidas. Existen tres maneras de configurar la seguridad de
puertos:
Estatica: las direcciones MAC se configuran manualmente con el comando de
configuración de interfaz switchport port-security mac-address. Las direcciones
MAC estaticas se almacenan en la tabla de direcciones y se agregan a la
configuración.
Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en
la tabla de direcciones. Se puede controlar la cantidad de direcciones que se
aprenden. La cantidad máxima predeterminada de direcciones MAC que se
aprenden por puerto es una. Las direcciones que se aprenden se borran de la tabla
si el puerto se desconecta o si el switch se reinicia.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 24
Sin modificación: similar a la dinámica excepto que las direcciones también se
guardan en la configuración en ejecución.
Routers debemos tomar las siguientes políticas de seguridad:
- Seguridad física
o Designar al personal para actividades de instalación y desinstalación
o Designar la persona para realizar actividades de mantenimiento
o Designar al personal para realizar la conexión física
o Definir controles de colocación y usos de la consola y los puertos de
acceso
o Definir procedimientos de resuperacion ante eventualidades físicas
- Seguridad de configuración física
o Designar las personas que acceden al router via consola o en forma
remota
o Designar la persona con privilegios de administración.
o Definir procedimientos para realizar cambios a la configuración.
o Definir políticas de contraseñas de usuario y administración.
o Definir protocolos, procedimientos y redes para acceso remoto.
o Definir plan de recuperación que incluya responsabilidades
individuales ante incidentes.
o Definir políticas de revisión de bitácoras.
o Definir procedimientos y limitaciones del monitoreo remoto (SNMP)
- Seguridad deconfiguracionestatica
o Definir directrices para la detección de ataques directos
o Definir políticas de administración en intercambio de información
(Protocolos de ruteo, RADIUS, SNMP, TACAS+, NTP).
o Definir políticas de intercambio de llaves de encriptación.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 25
- Seguridad de configuración dinámica
o Identificar los servicios de configuración dinámica del router, y las
redes permitidas para accesar dichos servicios.
o Identificar los protocolos de routeo a utilizar, y sus esquemos de
seguridad que proveen.
o Designar mecanismos y políticas de actualización del reloj (manual o
por NTP)
o Identificar los algoritmos criptográficos autorizados para levantar
vpn´s.
- Seguridad en servicios de red
o Enumerar protocolos, pùertos y servicios a ser permitidos o
filtrados en cada interface, asi como los procedimientos para su
autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
Seguridad en los servicios de red por niveles:
Seguridad en el nivel de enlace:
- Ataques basados en MAC y ARP
o CAM Table Overlow:consiste en el inundar la tabla de
direcciones MAC de un switch haciendo que el switch envie
todas las tramas de las direcciones MAC que no tiene en la
tabla a todos los equipos, haciendo que actue como HUB.
o ARP Spoofing:es una técnica usada para infiltrarse en una red
Ethernet conmutada que puede permitir al atacante husmear
paquetes de datos en la LAN, modificar trafico, o incluso
detenerlo.
o Ataques que emplean ARP Spoofing:
Switch Port Stealing: el atacante consigue que todas
las tramas dirigidas hacia otro puerto del switch
lleguen a puertos del atacante para luego re-enviarlos
hacia su destinatario y de esta manera poder ver el
trafico que viaja desde el remitente hacia el
destinatiario
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 26
Man in the middle: utilizando ARP Spoofing el
atacacnte logra que todas las tramas que intercambian
las victimas pasen priemro por su equipo
Hijacking: el atacante puede lograr redirigir el flujo
de tramas entre dos dispositivos hacia su equipo. Asi
puede lograr colocarse en cualquera de los dos
extremos de la comunicación
Denial of service (DoS): el atacante puede hacer que
un equipo critico de la red tenga una dirección MAC
inaccesible. Con esto se logra que las tramas dirigidas
a la IP de este dispositivo se pierdan
- Ataques basados en VLAN
o Dinamic trunking protocol: automatiza la configuración de los
trunk 802.1Q. sincroniza el modo de trunking en los extremos
haciendo innecesaria la intervención administrativa en ambos
extremos.
o Vlan hopping attack: un equipo puede hacerse para coo un
switch con 80.2.1Q y DTP , o bien se puede emplear como un
Switch volviendo al equipo miembro de todas las VLAN.
Requiere que el puerto este configurado con trunking
automatico.
o Doublé encapsulated VLAN Hopping Attack: una trama
802.1Q lleva otra trama 802.1Q, solo permiten trafico en una
sola dirección y solo funciona entre VLAN.
o VLAN trunking Protocol:se emplea para distribuir
configuración de VLAN a través de multiples dispositivos.
Solo se emplea en puertos trunk y puede causar muchos
inconvenientes. Utiliza autentificación MD5.
- Ataques basados en STP: l atacante puede ver tramas que no
debería(esto permite ataques DoS,MIM, etc )
Seguridad a nivel de red:
- Filtrado de paquetes: permitir a los usuarios de la red local acceder
a los servicios, limitando asi el acceso a los del exterior. Esto se
hace en los filtros del router.
- Monitorización de routers y equipos de acceso:controlar los accesos
mediante ficheros LOG
- Separa las redes y filtros anti-sniffing: con esto conseguimos evitar
que una atacante pueda obtener calves de acceso mediante sniffers.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 27
Seguridad en la capa de alicacion:
- Cifrado: nos da integridad, autenticidad, garantía de recepción, y un
comprobante del envio
- Certificados digitales:son contenedores de información que se
intercambian en trasacciones digitales. Un certificado puede
contener datos del emisor y su clave publica.estan firmados con
claves privadasde uno o mas entes certificadores.
- SSL: es un protocolo de seguridad que provee privacia en las
comunicaciones a través de internet. Sus objetivos son: dar
seguridad criptográfica, interoperabilidad, extensibilidad y eficienca
relativa
- TLS: este protocolo se basa en SSL 3.0 y presenta diferencias
menores
- SET: propuesta de Visa y Mastercard àra permitir transacciones
elctronicas seguras. Utiliza certificados digitales para verificar la
identidad de las partes involucradas en la transacción. La
verificación se realiza mediante cifrado asimétrica
Monitorización del tráfico en redes: Herramientas. Network Manager agregado es una red de clase empresarial / aplicación /
plataforma de supervisión del rendimiento. Se integra perfectamente con otros
sistemas inteligentes de gestión de edificios, tales como control de acceso físico,
HVAC, iluminación, y el tiempo / control de asistencia.
Airwave Gestión PlatformT (AMP) de red inalámbrica de software de gestión
permite un control centralizado para redes Wi-Fi. Las características incluyen:
punto de acceso de gestión de configuración, presentación de informes,
seguimiento de los usuarios, ayudar a puntos de vista escritorio, y rogue AP
descubrimiento.
akk @ da es un sistema de monitoreo de red simple diseñado para redes de
ordenadores pequeños y medianos. Su objetivo es detectar rápido fallo del sistema
o de red y para mostrar información acerca de los problemas detectados por los
administradores. akk @ da está diseñado como un monitor de red pro-activa
Andrisoft WANGuard plataforma ofrece soluciones para la monitorización de
enlaces WAN, detección y mitigación de DDoS, lo que representa el tráfico y la
representación gráfica.
Axence nVision supervisa la infraestructura de red: Windows, servicios TCP /
IP, servidores web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.)
También supervisa routers y conmutadores: tráfico de red, estado de la interfaz,
los ordenadores conectados. nVision recoge el inventario de la red y el uso de
licencias de auditoría - puede alertar en caso de una instalación de programas o
cualquier cambio de configuración en un nodo remoto. Con el agente usted puede
supervisar la actividad del usuario y acceso remoto a los ordenadores.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 28
Cymphonix Red Compositor supervisa el tráfico de Internet por usuario,
aplicación, y la amenaza. Incluye controles de forma de acceso a recursos de
Internet por usuario, grupo y / u hora del día. También con el bloqueo de proxy
anónimos, la gestión de políticas y la supervisión en tiempo real.
dopplerVUe proporciona la detección de redes, la cartografía y el sistema de
reglas permite el monitoreo de Ping, SNMP, syslog, y las métricas de rendimiento
de WMI. Se puede utilizar para controlar los dispositivos IPv6. Monitores de
servicios tales como DNS, HTTP y correo electrónico.
Técnicas de Detección de intrusos. El tráfico en la red (en todo caso, en Internet) generalmente está compuesto
por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a
través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una
lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede
aplicar las siguientes técnicas para detectar intrusiones:
Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de
la muerte" y "escaneo silencioso TCP" utilizan violaciones de los
protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del
protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente
utilizada.
Verificación de los protocolos de la capa de aplicación: Algunas formas de
intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que
utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para
detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una
amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP,
etc.
Tipos de IDS: (Host IDS, Net IDS). Existen dos tipos de sistemas de detección de intrusos:
HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito
de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo
atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras
actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado,
y hacer un reporte de sus conclusiones.
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así
todo el tráfico de la red.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 29
Software libre y commercial Software Libre se refiere a la libertad de los usuarios para ejecutar, copiar,
distribuir, estudiar, cambiar y mejorar el software. De modo más preciso, se
refiere a cuatro libertades de los usuarios del software:
- La libertad de usar el programa, con cualquier propósito (libertad 0).
- La libertad de estudiar cómo funciona el programa, y adaptarlo a tus
necesidades (libertad 1). El acceso al código fuente es una condición previa
para esto.
- La libertad de distribuir copias, con lo que puedes ayudar a tu
vecino (libertad 2).
- La libertad de mejorar el programa y hacer públicas las mejoras a los
demás, de modo que toda la comunidad se beneficie. (libertad 3). El acceso
al código fuente es un requisito previo para esto.
Software libre no significa no comercial. Un programa libre debe estar disponible
para uso comercial, desarrollo comercial y distribución comercial. El desarrollo
comercial del software libre ha dejado de ser inusual; el software comercial libre
es muy importante.
Cuando se habla de software libre, es mejor evitar términos como: `regalar' o
`gratis', porque esos téminos implican que lo importante es el precio, y no la
libertad.
El software comercial es el software, libre o no, que es comercializado, es decir,
que existen sectores de la economía que lo sostiene a través de su producción, su
distribución o soporte.
El software comercial cuenta con las siguientes características:
- Tienen licencias, las cuales están limitadas por usuarios y son pagadas. Estas
licencias restringen las libertades de los usuarios a usar, modificar, copiar y
distribuir el software.
- El desarrollo, programación y actualización de este software sólo lo hace la
empresa que tiene los derechos. Como sucede con los productos Microsoft
(Windows, Office, etc).
- En el software comercial se suele esconder y mezquinar los avances y
descubrimientos tecnológicos entre las empresas que lo desarrollan.
- Muchas veces con estrategias comerciales se suele hacer que los usuarios
actualicen su software comercial, sin que exista una necesidad verdadera de
ello, consiguiendo de esta forma hacer que el usuario invierta en nuevas
licencias, la mayoría de las veces innecesarias.
Ventajas
- Las compañías productoras de software propietario, por lo general, tienen
departamentos de control de calidad que llevan a cabo muchas pruebas
sobre el software que producen.
- Se destina una parte importante de los recursos a la investigación sobre la
usabilidad del producto.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 30
- Se tienen contratados algunos programadores muy capaces y con mucha
experiencia.
- El software propietario de marca conocida ha sido usado por muchas
personas y es relativamente fácil encontrar a alguien que lo sepa usar.
- Existe software propietario diseñado para aplicaciones muy específicas que
no existe en ningún otro lado más que con la compañía que lo produce.
- Los planes de estudios de la mayoría de las universidades del país tienen
tradicionalmente un marcado enfoque al uso de herramientas propietarias y
las compañías fabricantes ofrecen a las universidades planes educativos de
descuento muy atractivos.
- Existen gran cantidad de publicaciones, ampliamente difundidas, que
documentan y facilitan el uso de las tecnologías proveídas por compañías de
software propietario, aunque el número de publicaciones orientadas al
software libre va en aumento.
Desventajas
- Es difícil aprender a utilizar eficientemente el software propietario sin
haber asistido a costosos cursos de capacitación.
- El funcionamiento del software propietario es un secreto que guarda
celosamente la compañía que lo produce.
- En la mayoría de los casos el soporte técnico es insuficiente o tarda
demasiado tiempo en ofrecer una respuesta satisfactoria.
- Es ilegal extender una pieza de software propietario para adaptarla a las
necesidades particulares de un problema específico.
- La innovación es derecho exclusivo de la compañía fabricante.
- Es ilegal hacer copias del software propietario sin antes haber contratado
las licencias necesarias.
- Si una dependencia de gobierno tiene funcionando exitosamente un sistema
dependiente de tecnología propietaria no lo puede compartir con otras
dependencias a menos que cada una de éstas contrate todas las licencias
necesarias.
- Si la compañía fabricante del software propietario se va a la banca rota el
soporte técnico desaparece, la posibilidad de en un futuro tener versiones
mejoradas de dicho software desaparece y la posibilidad de corregir las
erratas de dicho software también desaparece
- Si una compañía fabricante de software es comprada por otra más
poderosa, es probable que esa línea de software quede descontinuada y
nunca más en la vida vuelva a tener una modificación.
- En la mayoría de los casos el gobierno se hace dependiente de un solo
proveedor.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 31
Seguridad en las comunicaciones inalámbricas.
Sistemas de seguridad en WLAN.
- Sistema Abierto.
Si nuestra instalación está abierta, una persona con el equipo adecuado y
conocimientos básicos podría no sólo utilizar nuestra conexión a Internet,
sino también acceder a nuestra red interna o a nuestro equipo -donde
podríamos tener carpetas compartidas- o analizar toda la información que
viaja por nuestra red -mediante sniffers- y obtener así contraseñas de
nuestras cuentas de correo, el contenido de nuestras conversaciones por
MSN, etc.
Si la infiltración no autorizada en redes inalámbricas de por sí ya es grave
en una instalación residencial (en casa), mucho más peligroso es en una
instalación corporativa. Y desgraciadamente, cuando analizamos el entorno
corporativo nos damos cuenta de que las redes cerradas son más bien
escasas.
- WEP.
Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para
redes Wireless que permite cifrar la información que se transmite. Proporciona un
cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64
bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más
24 bits del IV). Los mensajes de difusión de las redes inalámbricas se transmiten
por ondas de radio, lo que los hace más susceptibles, frente a las redes cableadas,
de ser captados con relativa facilidad.
- WPA.
Es un sistema para proteger las redes inalámbricas creado para corregir las
deficiencias del sistema previo WEP. Los investigadores han encontrado varias
debilidades en el algoritmo WEP (tales como la reutilización del vector de
inicialización (IV), del cual se derivan ataques estadísticos que permiten recuperar
la clave WEP, entre otros). WPA implementa la mayoría del estándar IEEE 802.11i,
y fue creado como una medida intermedia para ocupar el lugar de WEP mientras
802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La Alianza Wi-
Fi).
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se
almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar
al uso de tal servidor para el despliegue de redes, WPA permite la autenticación
mediante clave compartida ([PSK], Pre-Shared Key), que de un modo similar al
WEP, requiere introducir la misma clave en todos los equipos de la red.
UD 2: Implantación de mecanismos de seguridad activa
Juan Eduardo Toledo Página 32
Recomendaciones de seguridad en WLAN.
- Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos
routers permiten controlar la intensidad de la señal, por esto, disminuya la
intensidad para restringir la propagación fuera del edificio.
- Cambie la contraseña por default del router inalámbrico: en general, el nombre de
usuario es admin y la contraseña también es admin.
- Cambie el SSID por default del router inalámbrico y deshabilite el broadcast del
SSID. Si es posible, no hay que permitir acceder a la red local a través de la red
inalámbrica sino solamente a través de la red cableada conectada a uno de los
puertos LAN del router.
- Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña
de 128 bits, si es posible.
- Instale actualizaciones de firmware cuando estén disponibles por el fabricante.
- Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.
- Tenga siempre en mente la seguridad de todo el sistema instalando un firewall,
actualizando el antivirus, el sistema operativo y los programas.