Tema 2 Teoria SIAD

Comentarios

Transcripción

Tema 2 Teoria SIAD
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
UD 2: Implantación de
mecanismos de seguridad
activa
1
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
INDICE
2.1-Ataques y contramedidas en sistemas personales:
2.1.1-Clasificación de los ataques en sistemas personales.
2.1.2-Anatomía de ataques.
2.1.3-Análisis del software malicioso o malware:
2.1.3.1-Historia del malware.
2.1.3.2-Clasificación del malware: Virus,Gusanos,Troyanos, infostealers,
crimeware,grayware,…)
2.1.3.3-Métodos de infección: Explotación de vunerabilidades, Ingeniería social,
Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas, etc.
2.1.4-Herramientas paliativas. Instalación y configuración.
2.1.4.1-Software antimalware: Antivirus (escritorio, on line, portables, Live),
Antispyware, Herramientas de bloqueo web.
2.1.5-Herramientas preventivas. Instalación y configuración.
2.1.5.1-Control de acceso lógico (política de contraseñas seguras, control de
acceso en la BIOS y gestor de arranque, control de acceso en el sistema
operativo, política de usuarios y grupos, actualización de sistemas y
aplicaciones)
2.2-Seguridad en la conexión con redes públicas:
2.2.1-Pautas y prácticas seguras:
2.2.1.1Técnicas de Cifrado:
2.2.1.1.1-Criptografía simétrica.
2.2.1.1.2-Criptografía asimétrica.
2.2.1.1.3-Criptografía híbrida.
2.2.1.2-Identificación Digital:
2.2.1.2.1-Firma Electrónica y Firma Digital.
2.2.1.2.2-Certificado Digital, Autoridad certificadora (CA).
2.2.1.2.3- Documento Nacional de Identidad Electrónico (DNIe)
2.2.1.2.4- Buenas prácticas en el uso del certificado digital y DNIe.
2.3-Seguridad en la red corporativa:
2.3.1-Amenazas y ataques en redes corporativas:
2.3.1.1-Amenaza interna o corporativa y Amenaza externa o de acceso remoto.
2.3.1.2Amenazas: Interrupción, Intercepción, Modificación y Fabricación.
2
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
2.3.1.3Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.
2.3.2-Riesgos potenciales en los servicios de red.
2.3.2.1Seguridad en los dispositivos de red : terminales, switch y router.
2.3.2.2Seguridad en los servicios de red por niveles:
Enlace, Red (IP), Transporte(TCP-UDP) y Aplicación.
2.3.3- Monitorización del tráfico en redes: Herramientas.
2.3.4-Intentos de penetración.
2.3.4.1-Sistemas de Detección de Intrusos (IDS).
2.3.4.2-Técnicas de Detección de Intrusos.
2.3.4.3-Tipos de IDS: (Host IDS, Net IDS).
2.3.4.4-Software libre y comercial.
2.4-Seguridad en la red corporativa:
2.4.1-Seguridad en las comunicaciones inalámbricas.
2.4.1.1-Sistemas de seguridad en WLAN.
2.4.1.1.1-Sistema Abierto.
2.4.1.1.2-WEP.
2.4.1.1.3-WPA.
2.4.1.2Recomendaciones de seguridad en WLAN.
3
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
2.1-Ataques y contramedidas en sistemas personales:
2.1.1-Clasificación de los ataques en sistemas personales.
Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema
operativo, programa de software o sistema del usuario) con propósitos desconocidos por el
operador del sistema y que, por lo general, causan un daño.
Los ataques pueden ejecutarse por diversos motivos:
•
para obtener acceso al sistema;
•
para robar información, como secretos industriales o propiedad intelectual;
•
para recopilar información personal acerca de un usuario;
•
para obtener información de cuentas bancarias;
•
para obtener información acerca de una organización (la compañía del usuario, etc.);
•
para afectar el funcionamiento normal de un servicio;
•
para utilizar el sistema de un usuario como un "rebote" para un ataque;
•
para usar los recursos del sistema del usuario, en particular cuando la red en la que
está ubicado tiene un ancho de banda considerable.
Tipos de ataque
Los sistemas informáticos usan
diversidad de componentes,
electricidad para suministrar
alimentación a los equipos hasta
programa de software
mediante el sistema operativo
red.
una
desde
Los riesgos se pueden
de la siguiente manera:
clasificar
4
el
ejecutado
que usa la
TÍTULO ACTIVIDAD
AUTOR
•
•
•
•
Servicios de Red e
Internet
Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso a
los equipos:
o
Interrupción del suministro eléctrico.
o
Apagado manual del equipo.
o
Vandalismo.
o
Apertura de la carcasa del equipo y robo del disco duro.
o
Monitoreo del tráfico de red.
Intercepción de comunicaciones:
o
Secuestro de sesión.
o
Falsificación de identidad.
o
Redireccionamiento o alteración de mensajes.
Denegaciones de servicio:
o
Explotación de las debilidades del protocolo TCP/IP.
o
Explotación de las vulnerabilidades del software del servidor.
Intrusiones:
o
Análisis de puertos.
o
Elevación de privilegios:
o
Ataques malintencionados (virus, gusanos, troyanos).
•
Ingeniería social
•
Puertas trampa
Es por ello que los errores de programación de los programas son corregidos con bastante
rapidez por su diseñador apenas se publica la vulnerabilidad. En consecuencia, queda en
manos de los administradores (o usuarios privados con un buen conocimiento) mantenerse
5
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
informados acerca de las actualizaciones de los programas que usan a fin de limitar los
riesgos de ataques.
2.1.2-Anatomía de ataques.
Un ataque se divide en 5 fases:
Fase 1 – Reconocimiento
El reconocimiento se refiere a la fase preparatoria donde el atacante obtiene toda la
información necesaria de su objetivo o victima antes de lanzar el ataque. Esta fase también
puede incluir el escaneo de la red que el Hacker quiere atacar no importa si el ataque va a
ser interno o externo. Esta fase le permite al atacante crear una estrategia para su ataque.
Esta fase le puede tomar bastante tiempo al Hacker ya que tiene que analizar toda la
información que ha obtenido para lanzar el ataque con mayor precisión.
Fase 2 – Escaneo (Scanning)
Esta es la fase que el atacante realiza antes de la lanzar un ataque a la red (network). En el
escaneo el atacante utiliza toda la información que obtuvo en la Fase del Reconocimiento
(Fase 1) para identificar vulnerabilidades específicas. Por ejemplo, si en la Fase 1 el
atacante descubrió que su objetivo o su víctima usa el sistema operativo Windows XP
6
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
entonces el buscara vulnerabilidades especificas que tenga ese sistema operativo para
saber por dónde atacarlo.
También hace un escaneo de puertos para ver cuáles son los puertos abiertos para saber
por cual puerto va entrar y usa herramientas automatizadas para escanear la red y los host
en busca de mas vulnerabilidades que le permitan el acceso al sistema.
Fase 3 – Ganar Acceso (Gaining Access)
Esta es una de las fases más importantes para el Hacker porque es la fase de penetración al
sistema, en esta fase el Hacker explota las vulnerabilidades que encontró en la fase 2.Los
factores que ayudan al Hacker en esta fase a tener una penetración exitosa al sistema
dependen de cómo es la arquitectura del sistema y de cómo está configurado el sistema
objetivo o víctima, una configuración de seguridad simple significa un acceso más fácil al
sistema, otro factor a tener en cuenta es el nivel de destrezas, habilidades y conocimientos
sobre seguridad informática y redes que tenga el Hacker y el nivel de acceso que obtuvo al
principio de la penetración (Fase 3).
Fase 4 – Mantener el Acceso (Maintaining Access)
Una vez el Hacker gana acceso al sistema objetivo (Fase3) su prioridad es mantener el
acceso que gano en el sistema. En esta fase el Hacker usa sus recursos y recursos del
sistema y usa el sistema objetivo como plataforma de lanzamiento de ataques para escanear
y explotar a otros sistemas que quiere atacar, también usa programas llamados sniffers
para capturar todo el trafico de la red, incluyendo sesiones de telnet y FTP (File Transfer
Protocol).
En esta fase el Hacker puede tener la habilidad de subir, bajar y alterar programas y data.
Fase 5 – Cubrir las huellas
En esta fase es donde el Hacker trata de destruir toda la evidencia de sus actividades
ilícitas y lo hace por varias razones entre ellas seguir manteniendo el acceso al sistema
comprometido ya que si borra sus huellas los administradores de redes no tendrán pistas
claras del atacante y el Hacker podrá seguir penetrando el sistema cuando quiera, además
borrando sus huellas evita ser detectado y ser atrapado por la policía o los Federales.
7
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Las herramientas y técnicas que usa para esto son caballos de Troya, Steganography,
Tunneling, Rootkits y la alteración de los “log files” (Archivos donde se almacenan todos los
eventos ocurridos en un sistema informático y permite obtener información detallada sobre
los hábitos de los usuarios), una vez que el Hacker logra plantar caballos de Troya en el
sistema este asume que tiene control total del sistema.
2.1.3-Análisis del software malicioso o malware:
2.1.3.1-Historia del malware.
El malware, desde su creación hasta el día de hoy ha sufrido una evolución que en esta
sección tratamos de analizar a modo de retrospectiva.
Un poco de Historia: el Malware
Fue en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La
Teoría y Organización de Autómatas Complejos, donde presentaba por primera vez la
posibilidad de desarrollar pequeños programas replicantes y capaces de tomar el control de
otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la
ciencia, es fácil apreciar una aplicación negativa de la teoría expuesta por Von Neumann: los
virus informáticos, programas que se reproducen a sí mismos el mayor número de veces
posible y aumentan su población de forma exponencial.
En 1959, en los laboratorios de Bell Computer, tres jóvenes programadores: Robert Thomas
Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar basado en
la teoría de Von Neumann y en el que el objetivo es que programas combatan entre sí
tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes. Este juego
es considerado el precursor de los virus informáticos.
Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer virus
propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET
(la precedente de Internet) y emitía un mensaje en pantalla que decía “Soy una enredadera
(creeper), atrápame si puedes”. Para eliminarlo, se creó otro virus llamado Reaper
(segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los
actuales antivirus.
En la década de los 80 los PC ganaban popularidad y cada vez más gente entendía la
informática y experimentaba con sus propios programas. Esto dio lugar a los primeros
8
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
desarrolladores de programas dañinos y en 1981, Richard Skrenta escribe el primer virus
de amplia reproducción: Elk Cloner, que contaba el número de veces que arrancaba el equipo
y al llegar a 50 mostraba un poema.
En 1984, Frederick B. Cohen acuña por primera vez el término virus informático en uno de
sus estudios definiéndolo como “Programa que puede infectar a otros programas
incluyendo una copia posiblemente evolucionada de sí mismo”.
En 1987 hace su aparición el virus Jerusalem o Viernes 13, que era capaz de infectar
archivos .EXE y .COM. Su primera aparición fue reportada desde la Universidad Hebrea de
Jerusalem y ha llegado a ser uno de los virus más famosos de la historia.
En 1999 surge el gusano Happy desarrollado por el francés Spanska que crea una nueva
corriente en cuanto al desarrollo de malware que persiste hasta el día de hoy: el envío de
gusanos por correo electrónico. Este gusano estaba encaminado y programado para
propagarse a través del correo electrónico.
En el año 2000 hubo una infección que tuvo muchísima repercusión mediática debido a los
daños ocasionados por la infección tan masiva que produjo. Fuel el gusano I Love You o
LoveLetter, que, basándose en técnicas de ingeniería social infectaba a los usuarios a
través del correo electrónico. Comenzaba aquí la época de grandes epidemias masivas que
tuvieron su punto álgido en el 2004.
Fue en ese año cuando aparecieron gusanos como el Mydoom, el Netsky, el Sasser, o el
Bagle, que alarmaron a toda la sociedad y lo que buscaban era tener la mayor repercusión y
reconocimiento posible. Ese fue el año más duro de este tipo epidemias y curiosamente el
último. Los creadores de malware se dieron cuenta de que sus conocimientos servirían para
algo más que para tener repercusión mediática… para ganar dinero.
El Gran Cambio
Fue en 2005 cuando, tras 5 años de tendencia sostenida en la que los virus tal y como los
conocíamos fueron dejando su lugar a gusanos y troyanos encargados de formar redes de
bots para obtener dinero, cuando vieron que el entretenimiento que podía suponer la
creación de malware se podía convertir en un negocio muy rentable.
9
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Quizá la mejor prueba de ello sean los denominados Troyanos Bancarios de los que existen
miles de variantes dado que los creadores, para dificultar su detección modificaban
permanente el código de los mismos.
Este tipo de malware actualmente se distribuye mediante exploits, spam o a través de otro
malware que descarga el troyano bancario. Este último tipo de troyano es el encargado de
robar información relacionada con las transacciones comerciales y/o datos bancarios del
usuario infectado.
Otra amenaza latente relacionada con la obtención de beneficios económicos a través del
malware es el spyware y adware, donde algunas empresas de software permiten al usuario
utilizar sus aplicaciones a cambio de que los creadores puedan realizar un monitoreo de las
actividades del usuario sin su consentimiento.
En cuanto a las amenazas para móviles, no cabe duda de que la llegada de las tecnologías,
móviles e inalámbricas, y su constante evolución han revolucionado en los últimos años la
forma en la que nos comunicamos y trabajamos. Sin embargo, la expansión del uso de esta
tecnología ha hecho que también se convierta en un vector de ataque importante para la
industria del malware.
Fue durante el año 2004 cuando se informó de la existencia del primer código malicioso
para plataformas móviles: Cabir.A siendo, junto al ComWar.A, los más conocidos, este
último no solo por su capacidad de replicarse a través de Bluetooth sino también a través de
mensajes de texto con imágenes y sonido (MMS), enviándose a las direcciones y números de
la agenda de sus víctimas. Actualmente existe malware para las plataformas más comunes,
como pueden ser Symbian, PocketPC, Palm, etc, siendo el método de propagación tan diverso
como las posibilidades que nos ofrecen estos avances tecnológicos: SMS, MMS, IrDA,
Bluetooth, etc.
A día de hoy la plataforma más atacada es Windows sobre procesadores de 32 bits. Como
hemos mencionado anteriormente, los creadores de malware han visto en esta actividad un
método de enriquecimiento y pensando en términos económicos y estableciendo el target
más amplio posible, los usuarios de plataforma Windows representan el 90% del mercado.
Quizás otro obstáculo con el que chocan los creadores de malware para Linux y Macintosh
tiene que ver con la capacitación media/alta de los usuarios de este tipo de plataformas,
por lo que la Ingeniería Social, principal método de propagación en la actualidad, no resulta
tan eficiente con estos usuarios.
10
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
2.1.3.2-Clasificación del malware: Virus,Gusanos,Troyanos, infostealers,
crimeware,grayware,…)
Los virus son programas maliciosos creados para manipular el normal funcionamiento de los
sistemas, sin el conocimiento ni consentimiento de los usuarios.
TIPOS DE VIRUS
Los distintos códigos maliciosos que existen pueden clasificarse en función de diferentes
criterios, los más comunes son:
•
por su capacidad de propagación
•
por las acciones que realizan en el equipo infectado.
Algunos de los programas maliciosos tienen alguna característica particular por la que se les
suele asociar a un tipo concreto mientras que a otros se les suele incluir dentro de varios
grupos a la vez. También cabe mencionar que muchas de las acciones que realizan los códigos
maliciosos, en algunas circunstancias se pueden considerar legítimas, por lo tanto, como
dijimos anteriormente, sólo se considera que un programa es malicioso cuando actúa sin el
conocimiento ni consentimiento del usuario.
Según su capacidad de propagación
Atendiendo a su capacidad de propagación, o mejor dicho de auto propagación, existen tres
tipos de códigos maliciosos:
•
Virus: Su nombre es una analogía a los virus reales ya que infectan otros archivos, es
decir, sólo pueden existir en un equipo dentro de otro fichero. Los ficheros
infectados generalmente son ejecutables: .exe, .src, o en versiones antiguas .com,
.bat; pero también pueden infectar otros archivos, por ejemplo, un virus de Macro
infectará programas que utilicen macros, como los productos Office.
•
Gusanos: Son programas cuya característica principal es realizar el máximo número
de copias de sí mismos posible para facilitar su propagación. A diferencia de los virus
no infectan otros ficheros. Los gusanos se suelen propagar por los siguientes
métodos:
11
TÍTULO ACTIVIDAD
AUTOR
•
o
Correo electrónico
o
Redes de compartición de ficheros (P2P)
o
Explotando alguna vulnerabilidad
o
Mensajería instantánea
o
Canales de chat
Servicios de Red e
Internet
Troyanos: Carecen de rutina propia de propagación, pueden llegar al sistema de
diferentes formas, las más comunes son:
o
Descargado por otro programa malicioso.
o
Descargado sin el conocimiento del usuario al visitar una página Web
maliciosa.
o
Dentro de otro programa que simula ser inofensivo.
2.1.3.3-Métodos de infección: Explotación de vulnerabilidades, Ingeniería
social, Archivos maliciosos, Dispositivos extraibles, Cookies maliciosas,
etc.
Los virus informáticos se difunden cuando el código ejecutable que hace funcionar los
programas pasan de una computadora a otro. Una vez que un virus está activado, puede
reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos
legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en
PC que en sistemas profesionales de grandes computadoras, porque los programas de los PC
se intercambian fundamentalmente a través de discos flexibles o de redes sin ningun medio
de protección.
Como usuarios hay muchas maneras de ejecutar un virus, podría ser un doble click a un
archivo infectado, viendo una pagina web con applets de Java o código Avtivex dañino o emails con archivos adjuntos infectados, existen archivos que tienen doble extension y asi
porder infectar a la computadora.
Estos son algunos medios de entrada que los virus utilizan para infectar a nuestra
computadora:
12
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Correo Electrónico
El E-mail es un servicio muy usado actualmente, y los virus aprovechan eso, la mayor parte
de la transferencia de virus, se hacen por medio de e-mails que vienen con archivos
adjuntos infectados. El usuario puede muy fácilmente ejecutar un archivo adjunto, y se
expande el virus rápidamente. La mayoría de los archivos adjuntos infectados tienen doble
extensión una que hace creer al usuario que se trata de un archivo de texto totalmente
inofensivo, pero no es asi.
Medios de almacenamiento
El uso de medios de almacenamiento ha disminuido con la implantación de redes, por ejemplo
el disquete solo se utiliza para el transporte de pequeños textos o archivos de otro tipo, en
un ambiente mas bien escolar y universitario, transportando información tan
frecuentemente podemos contraer virus, también es muy frecuente el uso de disquete para
arrancar una máquina. Los CD-ROM que vienen en las revistas con software de prueba,
pueden contener virus.
WWW
En nuestros días el acceso a internet para navegar en la web es algo con la que la mayoría de
negocios y organizaciones cuenta, ya que es una herramienta muy útil, pero a la vez se
traduce en un alto riesgo para descargar archivos potencialmente infectados.
2.1.4-Herramientas paliativas. Instalación y configuración.
2.1.4.1-Software antimalware: Antivirus (escritorio, on line, portables,
Live), Antispyware, Herramientas de bloqueo web.
Un antivirus es un programa que se encarga de detectar y eliminar virus o otros programas
maliciosos de nuestros equipos.
Existen de distintos tipos:
-Antivirus de escritorio
13
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Los antivirus de escritorio se suelen utilizar en modo residente para proteger al ordenador en todo momento
de cualquier posible infección, ya sea al navegar por Internet, recibir algún correo infectado o introducir en el
equipo algún dispositivo extraíble que esté infectado.
No necesitan que el ordenador esté conectado a Internet para poder funcionar, pero sí que es necesario
actualizarlos frecuentemente para que sean capaces de detectar las últimas amenazas de virus.
Recomendamos tener sólo un antivirus de escritorio en el ordenador, ya que tener varios antivirus puede
ocasionar problemas de incompatibilidad entre ellos.
-antivirus en línea
(Antivirus en línea). Programa antivirus que, en lugar de estar instalado y ejecutándose de
forma permanente en el sistema, funciona a través de un navegador web. Contrasta con los
antivirus offline o antivirus tradicionales que se instalan.
Ventajas de los antivirus online
* Constante actualización: ya que la actualización de los antivirus depende directamente de
la empresa desarrolladora del mismo.
* Alta disponibilidad y rapidez: no requieren una instalación completa en el sistema y pueden
ser ejecutados rápidamente en cualquier momento usando el navegador. Muy buena
alternativa para cuando el antivirus offline no detecta o no puede eliminar un programa
maligno.
* Escaneo del sistema con múltiples antivirus: posibilidad de utilizar varios antivirus online
sin afectarse entre sí. Porque, en general, no pueden instalarse dos o más antivirus offline
en un mismo sistema.
* Suelen ser gratuitos.
Desventajas de los antivirus online
* Falta de eficacia y eficiencia: por el momento no son tan completos como los antivirus que
se instalan en la computadora.
* Sin protección permanente: carecen de la función de protección permanente, suelen
terminar cuando se cierra el navegador.
* Sólo escanean: solamente escanean la computadora en búsqueda de virus. No protegen
áreas sensibles del sistema, ni tienen módulos especiales para control del tráfico de emails, mensajería o similares.
-Antivirus portables
14
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
VENTAJAS O BENEFICIOS
NO USA ESPACIO EN EL DISCO.- Asi es, este tipo de programas no es necesario
instalarlo en el disco duro para su función, ya que al momento de usarlo solo se da clic sobre
el instalador (mejor dicho el icono que lo abre) para usarlo desde la unidad portable (USB) o
desde el mismo disco duro de la computadora.
NO ES NECESARIO TENER EL CÓDIGO DE ACTIVACIÓN (SERIAL).- Para un
programa portable de gran tamaño (unos ejemplos Photoshop, Flash, Dreamweaver, etc.
Etc.) estos programas son inmensos en su instalación y para poder utilizarlos en su
instalación es necesario poner su numero de serial para que funcione correctamente y pueda
instalarse en la computadora, para un programa portable, esto ya no es necesario, ya que el
programa al hacerlo portables ya debe de traer la clave ya capturada para que no haya
ningún problema en el uso del programa.
ES PORTABLE.- Por eso se llama programa portable, ya que en cualquier computadora y en
cualquier lugar, mientras la computadora tenga entradas para un dispositivo USB puedes
utilizar este programa y esa es la mejor de las ventajas que trae este tipo de software.
NO CONSUME RECURSOS EN EL REGISTRO.- Así es no consume muchos recursos en el
registro de tu sistema para su uso, solo que en eso no estoy muy de acuerdo, que esto fuera
como una ventaja, ya que en realidad si consume recursos (no muchos como los que están
instalados) pero la ventaja es que el registro del sistemas operativo no se modifica y si el
registro de tu sistema operativo no es modificado es mas rápido la lectura, en vez de estar
buscando una por una de las entradas del registro, para que funcione correctamente.
Desventajas:
-No se puede actualizar el software al momento y su soporte técnico es inferior a otro tipo
de antivirus.
-Para poder actualizar el software tienes que volverlo a descargar o utilizar una
herramienta especializada.
Herramientas de bloqueo web
En la informática, un bloqueo o ban es una restricción (total, parcial, permanente o
15
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
temporal) que se impone a un usuario dentro de un sistema informático. Lo habitual es que
el usuario sea bloqueado (o baneado) cuando viola las normas de uso de un servicio como un
foro o un chat.
Estas herramientas pueden ser automatizadas o no. Las herramientas automátizadas son
aplicaciones para la computadora que permiten trabajar en dos niveles de seguridad: la
prevención y el control. Ninguna de estas herramientas es 100% efectiva por lo que
debemos ser conscientes de la importancia de las herramientas no automátizadas: la
educación y la concientización. El diálogo con los menores es la mejor herramienta de
prevención para los riesgos que existen en la web.
Todas las herramientas indicadas en la presente sección deben ser aplicadas con el
compromiso de la familia, siendo conscientes de cuáles son las configuraciones que se
realizan y tomando la responsabilidadsobre cuáles son los contenidos a los que se podrá
acceder y a cuáles no.
2.1.5-Herramientas preventivas. Instalación y configuración.
Gran parte de los problemas que se presentan en los sistemas de nuestros equipos se
pueden evitar o prevenir si se realiza un mantenimiento periódico de cada uno de sus
componentes. Se explicará como realizar paso a paso el mantenimiento preventivo a cada
uno de los componentes del sistema de cómputo incluyendo periféricos comunes. Se
explicarán también las prevenciones y cuidados que se deben tener con cada tipo. En las
computadoras nos referiremos a las genéricas (clones).
Algunos ejemplos de herramientas
administrativas a nivel software son:
SpywareBlaster bloquea la entrada de
spyware en tu
sistema previeniendo que se instalen en
el mismo
elementos de spyware al deshabilitar los
controles
Active X de los mismo sin interferir en
aquellos
controles Active X inofensivos y de esa
forma es
posible navegar sin interrupciones de
ningún tipo. El
programa actualiza períodicamente la
lista de
spyware y también permite deshacer los cambios llevados a efecto por los programas
spyware en tu sistema. Se trata de un programa gratuíto en inglés.
16
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Spyware Guard proporciona protección contra el denominado spyware, pequeños programas
que se instalan sin tu conocimiento en tu sistema envíando información sobre tus
preferencias a la hora de navegar. Funciona de manera similar a un antivirus, analizando los
ficheros EXE y CAB cuando accedes a los mismos y te advierte si detecta algún tipo de
spyware bloqueando el acceso al
fichero y
ofreciéndote la opción de tomar las
acciones que
consideres oportunas. Es sencillo de
manejar siendo
eficaz contra un gran número de
spyware, de lo
que se descatan CommonName,
Brilliant Digital,
HotBar y otros que a continuación
ennumero:
AdBreak, AdultLinks/LinkZZ,
CommonName,
Cytron, DV, FriendGreetings, Gator,
HaczYK Dialer,
HighTraffic, HotBar IE Installer,
HotBar
Netscape Installer, IEAccess2,
IEDisco,
MasterDialer, MoneyTree Dialer, MS7531 Browser Hijacker Trojan, NetZany,
NewtonKnows, SubSearch, TGDC Plugin, UCmore, UKVideo2, VLoading, WinAD,
WorkPlaceCrush, Xupiter, etc.
2.1.5.1-Control de acceso lógico (política de contraseñas seguras, control
de acceso en la BIOS y gestor de arranque, control de acceso en el
sistema operativo, política de usuarios y grupos, actualización de
sistemas y aplicaciones)
El control de acceso lógico es la aplicación de barreras y procedimientos que resguarden el
acceso a los datos y solo se permita acceder a ellos a personas autorizadas.
El principio más elemental de seguridad lógica es: Todo lo que no está permitido debe
estar prohibido
Un control de acceso lógico conlleva a 2 procesos:
-Identificación: usuario se da a conocer en el sistema
-Autentificación: verificación que realiza el sistema sobre esta identificación
17
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Existen varios niveles de seguridad lógica dependiendo de la complejidad:
1º Nivel: arranque (bios y gestor de arranque)
2ºNivel: Sistema operativo y servidor de autentificación
3º Nivel: Datos, aplicaciones y comunicaciones
Política de contraseñas seguras
Para realizar un correcta política de contraseñas seguras, debemos de seguir los siguientes
pasos:
-No incluir secuencias, palabras o nombres de usuario conocidos
-No dejar en blanco
-Variar entre servicios
-No revelarla, ni usarla en entornos poco seguros o públicos
-Modificarla con periodicidad
A nivel del administrador además de las anteriores, debemos añadir otras variables:
-No dejar la seguridad en manos de usuarios.
Disponer configuraciones que controle la configuración de contraseñas seguras.
Por otro lado existen configuraciones a nivel SO:
Windows
-Directivas de seguridad local/Directivas de cuenta
Visor de sucesos. Activar previamente auditorias
Gnu/Linux
Modulo PAM_cracklib
-Control de intentos de login: /var/login/auth.log
Control de acceso en la BIOS y gestor de arranque
El control de acceso a través de la BIOS nos supone un peligro ya que si esa contraseña es
descubierta, tendrán acceso total a nuestro equipo.
En caso de la contraseña sea olvidada o este dañada, se utiliza un arranque con distribución
live o un gestor de arranque vulnerable.
La configuración básica de una bios sera:
-Proteccion de acceso físico a la placa base
18
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
-Añadir una contraseña
-Poner como 1º dispositivio de arranque del disco duro al sistema de ficheros del SO
principal
Control de acceso en el sistema operativo
Su objetivo es evitar el acceso no autorizado a los sistemas operativos. Se recomienda
utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los
sistemas operativos. Tales medios deberían tener la capacidad para:
-Autentificar usuarios autorizados, de acuerdo con una política definida de control de
acceso.
-Registrar intentso exitosos y fallidos de auttentificacion del sistema
-Registrar el uso de privilegios especiales del sistema.
-Emitir alarmas cuando se violan las políticas de seguridad del sistema
-Suministrar medios adecuados para la autenticación
-Cuando sea apropiado, restringir el tiempo de conexión de los usuarios
Política de usuarios y grupos
Las políticas de usuarios y grupos de un administrador de sistemas sera la siguiente:
-Determinar el nivel de seguridad de los datos y aplicaciones (clasificar la información,
determinar el riesgo)
-Diversos niveles de la información requerirán diferentes medidas y niveles de seguridad.
-Definicion de cuentas y su asignación a perfiles determinados, grupos o roles, así como
asignación de privilegios sobre los objetos del sistema.
-Permisos de acceso a cada objeto del sistema. Gestion en red LDAP/ Active Directory,
dependerá del sistema operativo:
Windows: Directivas de seguridad local, Directivas de auditoria, Asignacion de derechos de
usuario y opciones de seguridad
GNU/LINUX: chmod (modificar), chown(propietario), chgrp (grupo) permisos sobre
archivos.
-Listas de control de acceso (ACL): permite asignar permisos a un usuario, sin tener en
cuenta el grupo al que pertenece
Actualización de sistemas y aplicaciones
Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma análoga
a como haría un ladrón al intentar entrar a robar a una casa– desarrollan software malicioso
19
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
para aprovechar cualquier vulnerabilidad en el sistema a través del cual infectarlo. Suelen
aprovechar las vulnerabilidades más recientes que tienen tanto el sistema operativo como
los demás programas, y que requieren una actualización inmediata de los sistemas.
Hay que tener en cuenta que cuanto más tiempo tardemos en actualizar nuestros equipos
más tiempo estaremos expuestos a que cualquier tipo de malware pueda explotar alguna
vulnerabilidad y nuestro equipo quede bajo el control del atacante.
Para facilitar esta tarea, la mayoría de aplicaciones y sistemas operativos tienen la opción
de actualizar el sistema automáticamente, lo que permite tener los programas actualizados
sin la necesidad de comprobar manual y periódicamente si la versión utilizada es la última
disponible, y por tanto la más segura.
Estas actualizaciones de software vienen justificadas por diferentes motivos:
•
Corregir las vulnerabilidades detectadas.
•
Proporcionar nuevas funcionalidades o mejoras respecto a las versiones anteriores.
Aunque es posible hacer la actualización de forma manual, lo más sencillo es hacerlo de
forma automática. De esta forma el propio sistema busca las actualizaciones, las descarga e
instala sin que nosotros tengamos que intervenir en el proceso.
2.2-Seguridad en la conexión con redes públicas:
2.2.1-Pautas y prácticas seguras:
2.2.1.1Técnicas de Cifrado:
El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo
mediante la codificación del contenido, de manera que sólo pueda leerlo la persona que
cuente con la clave de cifrado adecuada para descodificarlo. Por ejemplo, si realiza una
compra a través de Internet, la información de la transacción (como su dirección, número
de teléfono y número de tarjeta de crédito) suele cifrarse a fin de mantenerla a salvo.
A continuación algunas de las técnicas de cifrado más utilizadas.
2.2.1.1.1-Criptografía simétrica.
La criptografía simétrica es un método criptográfico en el cual se usa una misma clave para
cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de
antemano sobre la clave a usar. Una vez ambas tienen acceso a esta clave, el remitente
20
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
cifra un mensaje usándola, lo envía al
destinatario, y
éste lo descifra con la misma.
Un buen sistema de cifrado pone toda la
seguridad en la
clave y ninguna en el algoritmo. En otras
palabras, no
debería ser de ninguna ayuda para un
atacante
conocer el algoritmo que se está usando.
Sólo si el
atacante obtuviera la clave, le serviría
conocer el
algoritmo.
Actualmente, los ordenadores pueden
descifrar
claves con extrema rapidez, y ésta es la razón por la cual el tamaño de la clave es
importante en los criptosistemas modernos.
El principal problema con los sistemas de cifrado simétrico no está ligado a su seguridad,
sino al intercambio de claves. Una vez que el remitente y el destinatario hayan
intercambiado las claves pueden usarlas para comunicarse con seguridad, pero ¿qué canal de
comunicación que sea seguro han usado para transmitirse las claves? Sería mucho más fácil
para un atacante intentar interceptar una clave que probar las posibles combinaciones
del espacio de claves.
Otro problema es el número de claves que se necesitan. Si tenemos un número “n” de
personas que necesitan comunicarse entre sí, se necesitan n/2 claves para cada pareja de
personas que tengan que comunicarse de modo privado. Esto puede funcionar con un grupo
reducido de personas, pero sería imposible llevarlo a cabo con grupos más grandes.
2.2.1.1.2-Criptografía asimétrica.
La criptografía asimétrica es el método criptográfico que usa un par de claves para el envío
de mensajes. Las dos claves pertenecen a la misma persona que ha enviado el mensaje. Una
clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el
propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos
criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo
que se puede asumir que no es posible que dos personas hayan obtenido casualmente la
misma pareja de claves.
Si el remitente usa la clave pública
destinatario para cifrar el mensaje,
vez cifrado, sólo la clave privada del
21
del
una
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Por tanto se
logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede
descifrarlo.
Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera
puede descifrarlo utilizando su clave pública. En este caso se consigue por tanto la
identificación y autentificación del remitente, ya que se sabe que sólo pudo haber sido él
quien empleó su clave privada (salvo que alguien se la hubiese podido robar). Esta idea es el
fundamento de la firma electrónica.
Los sistemas de cifrado de clave pública o sistemas de cifrado asimétricos se inventaron
con el fin de evitar por completo el problema del intercambio de claves de los sistemas de
cifrado simétricos. Con las claves públicas no es necesario que el remitente y el destinatario
se pongan de acuerdo en la clave a emplear. Todo lo que se requiere es que, antes de iniciar
la comunicación secreta, el remitente consiga una copia de la clave pública del destinatario.
Es más, esa misma clave pública puede ser usada por cualquiera que desee comunicarse con
su propietario. Por tanto, se necesitarán sólo n pares de claves por cada n personas que
deseen comunicarse entre sí.
Como con los sistemas de cifrado simétricos buenos, con un buen sistema de cifrado de
clave pública toda la seguridad descansa en la clave y no en el algoritmo. Por lo tanto, el
tamaño de la clave es una medida de la seguridad del sistema, pero no se puede comparar el
tamaño de la clave del cifrado simétrico con el del cifrado de clave pública para medir la
seguridad
La mayor ventaja de la criptografía asimétrica es que se puede cifrar con una clave y
descifrar con la otra, pero este sistema tiene bastantes desventajas:
Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso.
Las claves deben ser de mayor tamaño que las simétricas.
El mensaje cifrado ocupa más espacio que el original.
2.2.1.1.3-Criptografía
híbrida.
La criptografía híbrida es un
método
criptográfico que usa tanto un
cifrado
simétrico como un asimétrico.
Emplea el
cifrado de clave pública para
compartir una
clave para el cifrado simétrico.
El mensaje que
se esté enviando en el momento,
se cifra usando
22
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
la clave y enviándolo al destinatario. Ya que compartir una clave simétrica no es seguro, la
clave usada es diferente para cada sesión.
Tanto PGP como GnuPG usan sistemas de cifrado híbridos. La clave de sesión es cifrada con
la clave pública, y el mensaje saliente es cifrado con la clave simétrica, todo combinado
automáticamente en un sólo paquete. El destinatario usa su clave privada para descifrar la
clave de sesión y acto seguido usa la clave de sesión para descifrar el mensaje.
Un sistema de cifrado híbrido no es más fuerte que el de cifrado asimétrico o el de cifrado
simétrico de los que hace uso, independientemente de cuál sea más débil. En PGP y GnuPG el
sistema de clave pública es probablemente la parte más débil de la combinación. Sin
embargo, si un atacante pudiera descifrar una clave de sesión, sólo sería útil para poder
leer un mensaje, el cifrado con esa clave de sesión. El atacante tendría que volver a
empezar y descifrar otra clave de sesión para poder leer cualquier otro mensaje.
2.2.1.2-Identificación Digital:
Es la verificación de la identidad en línea. Se encuentra dentro de la teoría de la Web 2.0 y
se trata de ofrecer la autenticación y la confidencialidad,
protegiendo
documentos de falsificaciones y manipulaciones.
Este sistema ya está operativo con diversas aplicaciones en
funcionamiento y numerosos organismos en fase de
incorporación
al sistema.
2.2.1.2.1-Firma Electrónica y Firma Digital.
Una firma digital es un esquema matemático que sirve para demostrar la autenticidad de un
mensaje digital o de un documento electrónico. Las firmas digitales se utilizan comúnmente para la
distribución de software, transacciones financieras y en otras áreas donde es importante detectar
la falsificación y la manipulación.
Mientras que la firma electrónica es una firma digital que se
ha almacenado
en un soporte de hardware; mientras que la firma digital se
puede
almacenar tanto en soportes de hardware como de software. La
firma
electrónica reconocida tiene el mismo valor legal que la firma manuscrita.
De hecho se podría decir que una firma electrónica es una firma digital contenida o almacenada en
un contenedor electrónico, normalmente un chip de ROM. Su principal característica diferenciadora
con la firma digital es su cualidad de ser inmodificable.
23
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
2.2.1.2.1-Firma Electrónica y Firma Digital.
Un certificado digital (también conocido como certificado de
un documento digital mediante el cual un tercero confiable
de certificación) garantiza la vinculación entre la identidad de un
entidad y una clave pública.
identidad) es
(una autoridad
sujeto o
Este tipo de certificados se emplea para comprobar que una clave pública pertenece a un individuo o
entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado
(una autoridad de certificación, por ejemplo) que la información de identidad y la clave pública
perteneciente al usuario o entidad referida en el certificado digital están vinculadas.
Una Autoridad Certificadora (AC, en inglés CA) es una entidad de confianza del emisor y del
receptor de una comunicación. Esta confianza de ambos en una 'tercera parte confiable' (trusted
third party) permite que cualquiera de los dos confíe a su vez en los documentos firmados por la
Autoridad Certificadora, en particular, en los certificados que identifican ambos extremos.
2.2.1.2.2-Certificado Digital, Autoridad certificadora (CA).
Un Usuario que tenga su certificado electrónico puede realizar todo tipo de trámites de
forma que queda garantizada su verdadera identidad. Por lo tanto, se pueden firmar
electrónicamente formularios y documentos electrónicos con la misma validez jurídica que
si firmara el mismo documento en papel. De esta forma se puede realizar todo tipo de
gestiones a través de la red, tal como compras, transacciones bancarias, pagos, etc.
2.2.1.2.3- Documento Nacional de Identidad Electrónico (DNIe)
El desarrollo de la Sociedad de la Información y la difusión de los efectos positivos que de
ella se derivan exigen la generalización de la confianza de los ciudadanos en las
comunicaciones telemáticas.
Como respuesta a esta necesidad, y en el marco de las directivas de la Unión Europea, el
Estado español ha aprobado un conjunto de medidas legislativas, como la Ley de Firma
24
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Electrónica y el RD sobre el Documento Nacional de Identidad electrónico, para la creación
de instrumentos capaces de acreditar la identidad de los intervinientes en las
comunicaciones electrónicas y asegurar la procedencia y la integridad de los mensajes
intercambiados.
El nacimiento del Documento Nacional de Identidad electrónico (DNIe) responde, por
tanto, a la necesidad de otorgar identidad personal a los ciudadanos para su uso en la
nueva Sociedad de la Información, además de servir de impulsor de la misma. Así, el DNIe
es la adaptación del tradicional documento de identidad a la nueva realidad de una sociedad
interconectada por redes de comunicaciones.
De este modo, cada ciudadano podrá hacer realizar múltiples gestiones de forma segura a
través de medios telemáticos y asegurando la identidad de los participantes en la
comunicación.
2.2.1.2.4- Buenas prácticas en el uso del certificado digital y DNIe.
Tal y como recoge la Declaración de Prácticas de Certificación del DNI electrónico, los
certificados electrónicos podrán utilizarse:
• Como medio de Autenticación de la Identidad.
El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica
se realiza con la persona que dice que es. El titular podrá, a través de su certificado,
acreditar su identidad frente a cualquiera, ya que se encuentra en posesión del certificado
de identidad y de la clave privada asociada al mismo.
• Como medio de firma electrónica de documentos.
Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un mensaje
firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo de esta
forma demostrar la identidad del firmante sin que éste pueda repudiarlo.
• Como medio de certificación de Integridad de un documento.
Permite comprobar que el documento no ha sido modificado por ningún agente externo a la
comunicación. La garantía de la integridad del documento se lleva a cabo mediante la
utilización de funciones resumen (hash), utilizadas en combinación con la firma electrónica.
Este esquema permite comprobar si un mensaje firmado ha sido alterado posteriormente a
su envío.
25
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
2.3-Seguridad en la red corporativa:
2.3.1-Amenazas y ataques en redes corporativas:
2.3.1.1-Amenaza interna o corporativa y Amenaza externa o de acceso
remoto.
El objetivo de estas amenazas es la violación de los sistemas, provocando la pérdida o
modificación de los datos sensibles de la organización.
En cuanto a tipos de amenazas hay dos claros tipos:
Amenaza externa o de acceso
remoto.
Son aquellas amenazas que se originan
desde el
exterior de la red. Al no tener
información
certera de la red, un atacante tiene
que realizar
ciertos pasos para poder conocer qué
es lo que hay
en ella y buscar la manera de atacarla,
como son la
localización, violación de la seguridad y
evadir las
pruebas. La ventaja que se tiene en
este caso es
que el administrador de la red puede
prevenir una
buena parte de los ataques externos.
Amenaza interna o corporativa
Generalmente estas amenazas son más serias que las externas y pueden dañar seriamente al
sistema, algunas amenazas pueden ser la paralización del sistema por daños físicos o la
intrusión en la red internamente. Estas amenazas son potencialmente peligrosas por estos
motivos:
Los usuarios conocen la red y saben cómo es su funcionamiento.
Pueden tener algún nivel de acceso a la red por las mismas necesidades de su trabajo.
Los Firewalls son mecanismos no efectivos en amenazas internas.
Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que
cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento
relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos
informáticos de las actuales amenazas combinadas.
2.3.1.2Amenazas: Interrupción, Intercepción, Modificación y Fabricación.
Hay varios tipos de amenazas a los sistemas informáticos, que se pueden catalogar en:
26
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Interrupción
En una interrupción un activo del sistema se pierde, este queda no disponible o inoperable, como
consecuencia de una destrucción maliciosa de un dispositivo de equipo, haber borrado un programa o
archivo de datos u ocasionado el malfuncionamiento de un administrador de archivos del sistema
operativo, para que el sistema no pueda encontrar un archivo particular en disco.
Intercepción
Una intercepción significa que un
no autorizado ha ganado acceso a un
Este tercero puede ser una persona, un
o un sistema de cómputo. Ejemplos de
de ataque son: la copia ilícita de
programas o archivos de datos, o la
en la red de comunicaciones para
datos.
intercepción puede basarse en
Ingeniería Social donde el intruso
información privada proporcionada en
voluntaria. Este método es conocido bajo el término "phishing".
tercero
activo.
programa
este tipo
intrusión
obtener
La
obtiene
forma
Modificación
La modificación consiste en que alguien
cambie los
datos de una base de datos, altere el
código de
programa para ejecutar algún código
adicional, o
modifique los datos que se transmiten
electrónicamente.
Terceros pueden fabricar objetos
plagiados en
un sistema de cómputo. Un intruso puede insertar en una red de comunicación transacciones fingidas
o puede agregar nuevos registros a una base de datos.
Fabricación
En este tipo de ataque, una entidad no autorizada inserta objetos falsificados en el sistema. Este es
un ataque contra la autenticidad. Ejemplos de este ataque son la inserción de mensajes espurios en
una red o añadir registros a un archivo.
2.3.1.3Ataques: DoS, Sniffing, Man in the middle, Spoofing, Pharming.
27
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
DENEGACIÓN DE SERVICIO (DOS)
Su objetivo es degradar considerablemente o
detener el funcionamiento de un servicio
ofrecido por un sistema o dispositivo de red.
Existen
diferentes
técnicas
para
la
explotación de este tipo de ataques:
Envío de paquetes de información mal
conformados de manera de que la aplicación
debe interpretarlo no puede hacerlo y colapsa.
Inundación de la red con paquetes (como ser
ping, TCP – SYN, IP origen igual a IP destino,
que no permiten que circulen los paquetes de
información de usuarios.
Bloqueo de cuentas por excesivos intentos de login fallidos.
que
ICMP etc.)
Impedimento de logueo del administrador.
MAN-IN-THE-MIDDLE
El atacante se interpone entre el origen y el
una comunicación pudiendo conocer y/o modificar
contenido de los paquetes de información, sin esto
advertido por las víctimas. Esto puede ocurrir en
ambientes, como por ejemplo, en comunicaciones
navegación en Internet, dentro de una red LAN,
destino en
el
ser
diversos
por e-mail,
etc.
IP SPOOFING - MAC ADDRESS SPOOFING
El atacante modifica la dirección IP o la dirección MAC de origen de los paquetes de información
que envía a la red, falsificando su identificación para hacerse pasar por otro usuario. De esta
manera, el atacante puede asumir la identificación de un usuario válido de la red, obteniendo sus
privilegios.
PHARMING
Es la manipulación del mecanismo de resolución de nombres de dominio en Internet, llevada a cabo
mediante la introducción de código malicioso en los servidores conectados a la red. Cuando un
usuario ingresa una dirección en su navegador, ésta debe ser convertida a una dirección de IP
numérica. Este proceso, que se denomina resolución de nombres, es llevado a cabo por servidores
28
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
DNS (Domain Name Servers). En ellos se almacenan tablas con las direcciones de IP de cada nombre
de dominio. El pharming consiste en adulterar este sistema, de manera que cuando el usuario cree
que está accediendo a su entidad financiera en Internet, en realidad esta ingresado a una página
Web falsa.
AIRsniffing
Consiste en capturar paquetes de información que circulan por redes inalámbricas. Para ello
es necesario contar con una placa de red "wireless" configurada en modo promiscuo y una
antena.
War Driving y Netstumbling
estas técnicas se valen del AIRsniffing, ya que consisten en circular (generalmente en un vehículo)
por un vecindario o zona urbana, con el objeto de capturar información transmitida a través de
redes inalámbricas. Esto es posible debido a que generalmente las ondas de transmisión de
información en redes inalámbricas se expanden fuera del área donde se ubican los usuarios legítimos
de la red, pudiendo ser alcanzadas por atacantes. Lo que en ocasiones las hace más vulnerables es la
falta de seguridad con que se encuentran implementadas.
Para más información mirar el tema 1 de Seguridad y Alta Disponibilidad
2.3.2-Riesgos potenciales en los servicios de red.
2.3.2.1-Seguridad en los dispositivos de red: terminales, switch y router.
Seguridad en los terminales: instalaciones por defecto no pensadas para la seguridad
o la facilitación a los usuarios son algunos de los motivos por los que nuestros quipos
no son seguros.algunas medidas que se pueden tomar son:
a) Conocimientos del sistema
b) Verificación de la integridad
c) Protocolos cifrados
d) Revisión de los registros
e) Paranoia (evitar ejecución de código externo. Aplicaciones “seguras”)
f) Eliminación de servicios innecesarios
g) Reglas de acceso (cotafuegos)
29
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Ventajas
a) Control de acceso
b) Limita el alcance de los problemas de seguridad en redes locales
c) Limita la posibilidad de utilizar sistemas comprometidos para atacar a
terceros
d) Limita la posibilidad de extraer información
Inconvenientes
a) Dificultad a la hora de configurarlos
b) Dificultad a la hora de instalar nuevos servicios
c) Dificultad con protocolos que usan puertos aleatorios
d) Ralentización
e) Importancia relativa en maquinas sin servicios y con accesos controlados
f) Mantener el sistema actualizado
g) A nivel de administración
o Políticas de seguridad
o Diseño estricto de la red
o Barreras de acceso
o Copias de seguridad (recuperación ante desastres)
o Cifrado de las comunicaciones
o Protoclos de autentificación seguros
o Medidas preventivas
o Trampas (Honeypots)
Protección de los switch:
30
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
los puertos de entrada pueden ser un punto de entrada a la red por parte de usuarios no
autorizados. Para evitarlo, los switches ofrecen una función que se conoce como seguridad
de puertos. La seguridad de puertos limita la cantidad de direcciones MAC validas que se
permiten por puerto. El puerto no reenvía paquetes con direcciones MAC de origen que se
encuentran fuera del grupo de direcciones definidas. Existen tres maneras de configurar la
seguridad de puertos:
Estática: las direcciones MAC se configuran manualmente con el comando de configuración
de interfaz switchport port-security mac-address. Las direcciones MAC estáticas se
almacenan en la tabla de direcciones y se agregan a la configuración.
Dinámica: las direcciones MAC se aprenden de manera dinámica y se almacenan en la tabla
de direcciones. Se puede controlar la cantidad de direcciones que se aprenden. La cantidad
máxima predeterminada de direcciones MAC que se aprenden por puerto es una. Las
direcciones que se aprenden se borran de la tabla si el puerto se desconecta o si el switch
se reinicia.
Sin modificación: similar a la dinámica excepto que las direcciones también se guardan en la
configuración en ejecución.
Routers:
Debemos tomar las siguientes políticas de seguridad:
Seguridad física
o Designar al personal para actividades de instalación y desinstalación
o Designar la persona para realizar actividades de mantenimiento
o Designar al personal para realizar la conexión física
o Definir controles de colocación y usos de la consola y los puertos de acceso
o Definir procedimientos de recuperación ante eventualidades físicas
Seguridad de configuración estática
o Definir directrices para la detección de ataques directos
o Definir políticas de administración en intercambio de información (Protocolos
de ruteo, RADIUS, SNMP, TACAS+, NTP).
o Definir políticas de intercambio de llaves de encriptación.
31
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Seguridad de configuración dinámica
o Identificar los servicios de configuración dinámica del router, y las redes
permitidas para acceder dichos servicios.
o Identificar los protocolos de router a utilizar, y sus esquemas de seguridad
que proveen.
o Designar mecanismos y políticas de actualización del reloj (manual o por NTP)
o Identificar los algoritmos criptográficos autorizados para levantar vpn´s.
Seguridad en servicios de red
o Enumerar protocolos, pùertos y servicios a ser permitidos o filtrados en cada
interface, asi como los procedimientos para su autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
Para conseguir seguridad en el router debemos:
Loopback
o Enumerar a las personas u organizaciones y ser notificadas en caso de una red
comprometida
o Identificar la información relevante a ser capturada y retenida
o Definir procedimientos de respuesta, autoridades y los objetivos de la
respuesta después de un ataque exitoso, incluir esquemas de preservación de
la evidencia (cadena de custodia)
Seguridad en servicios de red
o Enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada
interface, asi como los procedimientos para su autorización.
o Describir procedimientos de seguridad y roles para interactuar con
proveedores externos.
32
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
2.3.2.2-Seguridad en los servicios de red por niveles:
Enlace, Red (IP), Transporte (TCP-UDP) y Aplicación.
Seguridad en el nivel de enlace:
a) Ataques basados en MAC y ARP
b) CAM Table Overlow: consiste en el inundar la tabla de direcciones MAC de un
switch haciendo que el switch envie todas las tramas de las direcciones MAC que no
tiene en la tabla a todos los equipos, haciendo que actue como HUB.
c) ARP Spoofing: es una técnica usada para infiltrarse en una red Ethernet conmutada
que puede permitir al atacante husmear paquetes de datos en la LAN, modificar
trafico, o incluso detenerlo.
d) Ataques que emplean ARP Spoofing:
-Switch Port Stealing: el atacante consigue que todas las tramas dirigidas hacia otro
puerto del switch lleguen a puertos del atacante para luego re-enviarlos hacia su
destinatario y de esta manera poder ver el trafico que viaja desde el remitente hacia el
destinatiario
-Man in the middle: utilizando ARP Spoofing el atacante logra que todas las tramas que
intercambian las victimas pasen primero por su equipo
-Hijacking: el atacante puede lograr redirigir el flujo de tramas entre dos dispositivos
hacia su equipo. Así puede lograr colocarse en cualquiera de los dos extremos de la
comunicación
-Denial of service (DoS): el atacante puede hacer que un equipo crítico de la red tenga una
dirección MAC inaccesible. Con esto se logra que las tramas dirigidas a la IP de este
dispositivo se pierdan
e) Ataques basados en VLAN
-Dinamic trunking protocol: automatiza la configuración de los trunk 802.1Q. Sincroniza el
modo de trunking en los extremos haciendo innecesaria la intervención administrativa en
ambos extremos.
-Vlan hopping attack: un equipo puede hacerse para que un switch con 80.2.1Q y DTP, o
bien se puede emplear como un Switch volviendo al equipo miembro de todas las VLAN.
Requiere que el puerto este configurado con trunking automatico.
-Doublé encapsulated VLAN Hopping Attack: una trama 802.1Q lleva otra trama 802.1Q,
solo permiten tráfico en una sola dirección y solo funciona entre VLAN.
-VLAN trunking Protocol: se emplea para distribuir configuración de VLAN a través de
33
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
múltiples dispositivos. Solo se emplea en puertos trunk y puede causar muchos
inconvenientes. Utiliza autentificación MD5.
f) Ataques basados en STP: l atacante puede ver tramas que no debería(esto permite
ataques DoS,MIM, etc )
Seguridad a nivel de red:
a) Filtrado de paquetes: permitir a los usuarios de la red local acceder a los
servicios, limitando así el acceso a los del exterior. Esto se hace en los filtros del
router.
b) Monitorización de routers y equipos de acceso: controlar los accesos mediante
ficheros LOG
c) Separa las redes y filtros anti-sniffing: con esto conseguimos evitar que una
atacante pueda obtener calves de acceso mediante sniffers.
Capa de aplicación:
a) Cifrado: nos da integridad, autenticidad, garantía de recepción, y un
comprobante del envió
b) Certificados digitales: son contenedores de información que se intercambian
en transacciones digitales. Un certificado puede contener datos del emisor y
su clave pública. están firmados con claves privadas de uno o más entes
certificadores.
c) SSL: es un protocolo de seguridad que provee privacidad en las comunicaciones
a través de internet. Sus objetivos son: dar seguridad criptográfica,
interoperabilidad, extensibilidad y eficienca relativa
d) TLS: este protocolo se basa en SSL 3.0 y presenta diferencias menores
e) SET: propuesta de Visa y Mastercard àra permitir transacciones elctronicas
seguras. Utiliza certificados digitales para verificar la identidad de las partes
involucradas en la transacción. La verificación se realiza mediante cifrado
asimetrica
Capa Transporte
Secure Sockets Layer (SSL; protocolo de capa de conexión segura) y su sucesor Transport
Layer Security (TLS; seguridad de la capa de transporte) son protocolos criptográficos
que proporcionan comunicaciones seguras por una red, comúnmente Internet.
34
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
SSL proporciona autenticación y privacidad de la información entre extremos sobre
Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado
(es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar.
SSL implica una serie de fases básicas:
•
Negociar entre las partes el algoritmo que se usará en la comunicación
•
Intercambio de claves públicas y autenticación basada en certificados digitales
•
Cifrado del tráfico basado en cifrado simétrico
Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos se
van a usar. Las implementaciones actuales proporcionan las siguientes opciones:
•
Para criptografía de clave pública: RSA, Diffie-Hellman, DSA (Digital Signature
Algorithm) o Fortezza;
•
Para cifrado simétrico: RC2, RC4, IDEA (International Data Encryption
Algorithm), DES (Data Encryption Standard), Triple DES y AES (Advanced
Encryption Standard);
•
Con funciones hash: MD5 o de la familia SHA.
TLS/SSL poseen una variedad de medidas de seguridad:
•
Numerando todos los registros y usando el número de secuencia en el MAC.
•
Usando un resumen de mensaje mejorado con una clave (de forma que solo con dicha
clave se pueda comprobar el MAC). Esto se especifica en el RFC 2104).
•
Protección contra varios ataques conocidos (incluyendo ataques man-in-the-middle),
como los que implican un degradado del protocolo a versiones previas (por tanto,
menos seguras), o conjuntos de cifrados más débiles.
•
El mensaje que finaliza el protocolo handshake (Finished) envía un hash de todos los
datos intercambiados y vistos por ambas partes.
•
La función pseudo aleatoria divide los datos de entrada en 2 mitades y las procesa
con algoritmos hash diferentes (MD5 y SHA), después realiza sobre ellos una
35
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
operación XOR. De esta forma se protege a sí mismo de la eventualidad de que alguno
de estos algoritmos se revelen vulnerables en el futuro.
2.3.3- Monitorización del tráfico en redes: Herramientas.
a)
Network Manager agregado es una red de clase empresarial / aplicación / plataforma de
supervisión del rendimiento. Se integra perfectamente con otros sistemas inteligentes de
gestión de edificios, tales como control de acceso físico, HVAC, iluminación, y el tiempo /
control de asistencia.
b)
Airwave Gestión PlatformT (AMP) de red inalámbrica de software de gestión permite un
control centralizado para redes Wi-Fi. Las características incluyen: punto de acceso de
gestión de configuración, presentación de informes, seguimiento de los usuarios, ayudar a
puntos de vista escritorio, y rogue AP descubrimiento.
c)
akk @ da es un sistema de monitoreo de red simple diseñado para redes de ordenadores
pequeños y medianos. Su objetivo es detectar rápido fallo del sistema o de red y para
mostrar información acerca de los problemas detectados por los administradores. akk @ da
está diseñado como un monitor de red pro-activa. No esperar a que la información de todos
los agentes, sistemas, etc recoge la información que cada minuto (puede reducir este período
de 1 segundo). Casi todos los servicios de los anfitriones control se descubren de forma
automática.
d)
Andrisoft WANGuard plataforma ofrece soluciones para la monitorización de enlaces
WAN, detección y mitigación de DDoS, lo que representa el tráfico y la representación
gráfica.
e)
Axence nVision supervisa la infraestructura de red: Windows, servicios TCP / IP,
servidores web y de correo, URLs, aplicaciones (MS Exchange, SQL, etc.) También supervisa
routers y conmutadores: tráfico de red, estado de la interfaz, los ordenadores conectados.
nVision recoge el inventario de la red y el uso de licencias de auditoría - puede alertar en
caso de una instalación de programas o cualquier cambio de configuración en un nodo remoto.
Con el agente usted puede supervisar la actividad del usuario y acceso remoto a los
ordenadores.
f)
Cymphonix Red Compositor supervisa el tráfico de Internet por usuario, aplicación, y la
amenaza. Incluye controles de forma de acceso a recursos de Internet por usuario, grupo y /
36
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
u hora del día. También con el bloqueo de proxy anónimos, la gestión de políticas y la
supervisión en tiempo real.
2.3.4-Intentos de penetración.
Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un
entorno informatizado mediante la búsqueda, la identificación y explotación de
vulnerabilidades. Su alcance se extiende a:
Equipos de comunicaciones;
Servidores;
Estaciones de trabajo;
Aplicaciones;
Bases de Datos;
Servicios Informáticos;
Casillas de Correo Electrónico;
Portales de Internet;
Intranet corporativa;
Acceso físico a recursos y documentación
Ingeniería social (La ingeniería social es la técnica por la cual se obtiene información
convenciendo al usuario que otorgue información confidencial, haciéndose pasar por usuarios
con altos privilegios como administradores y técnicos).
Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:
a) Reconocimiento de los recursos disponibles mediante el empleo de herramientas
automáticas.
b) Identificación de las vulnerabilidades existentes mediante herramientas automáticas.
c) Explotación manual y automática de las vulnerabilidades para determinar su alcance.
d) Análisis de los resultados.
2.3.4.1-Sistemas de Detección de Intrusos (IDS).
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automáticas.
37
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que,
sigilosamente, escucha el tráfico en la red para detectar actividades anormales o
sospechosas, y de este modo, reducir el riesgo de intrusión.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad
dentro de la red.
El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la
seguridad en el host.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar
paquetes de información que viajan por una o más líneas de la red para descubrir si se ha
producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores
de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en
el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común
encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas
fuera de la red para estudiar los posibles ataques, así como también se colocan sondas
internas para analizar solicitudes que hayan pasado a través del firewall o que se han
realizado desde dentro.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia
gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.El H-IDS actúa
como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS
analiza la información particular almacenada en registros (como registros de sistema,
mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen
del host para poder verificar las señales de intrusión (como ataques por denegación de
servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos
malignos o ataques de desbordamiento de búfer).
2.3.4.2-Técnicas de Detección de Intrusos.
El tráfico en la red (en todo caso, en Internet) generalmente está compuesto
por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través
de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se
asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas
para detectar intrusiones:
Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la
muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e
38
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes
no válidos e indicar esta táctica comúnmente utilizada.
Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión
emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos
NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas
intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la
capa de aplicación, como NetBIOS, TCP/IP, etc.
Esta técnica es rápida (el N-IDS no necesita examinar la base de datos de firmas en su
totalidad para secuencias de bytes particulares) y es también más eficiente, ya que elimina
algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un
"Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro).
2.3.4.3-Tipos de IDS: (Host IDS, Net IDS).
Existen dos tipos de sistemas de detección de intrusos:
HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los
intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando
intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS
intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus
conclusiones.
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la
red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
2.3.4.4-Software libre y comercial.
El software libre (en inglés free software, aunque esta denominación también se confunde a
veces con "gratis" por la ambigüedad del término "free" en el idioma inglés, por lo que
también se usa "libre software") es la denominación del software que respeta la libertad de
los usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado,
copiado, estudiado, modificado y redistribuido libremente. Según la Free Software
Foundation, el software libre se refiere a la libertad de los usuarios para ejecutar, copiar,
distribuir, estudiar, modificar el software y distribuirlo modificado.
El software libre suele estar disponible gratuitamente, o al precio de costo de la
distribución a través de otros medios; sin embargo no es obligatorio que sea así, por lo
tanto no hay que asociar software libre a "software gratuito" (denominado usualmente
freeware), ya que, conservando su carácter de libre, puede ser
distribuido comercialmente ("software comercial"). Análogamente, el "software gratis" o
39
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
"gratuito" incluye en ocasiones el código fuente; no obstante, este tipo de software no es
libre en el mismo sentido que el software libre, a menos que se garanticen los derechos de
modificación y redistribución de dichas versiones modificadas del programa.
SOFTWARE COMERCIAL.
VENTAJAS
a) Las compañías productoras de software propietario, por lo general, tienen
departamentos de control de calidad que llevan a cabo muchas pruebas sobre el
software que producen.
b) Se destina una parte importante de los recursos a la investigación sobre la usabilidad
del producto.
c) Se tienen contratados algunos programadores muy capaces y con mucha experiencia.
d) El software propietario de marca conocida ha sido usado por muchas personas y es
relativamente fácil encontrar a alguien que lo sepa usar.
DESVENTAJAS
a) Es difícil aprender a utilizar eficientemente el software propietario sin haber
asistido a costosos cursos de capacitación.
b) El funcionamiento del software propietario es un secreto que guarda celosamente la
compañía que lo produce. En muchos casos resulta riesgosa la utilización de un
componente que es como una caja negra, cuyo funcionamiento se desconoce y cuyos
resultados son impredecibles. En otros casos es imposible encontrar la causa de un
resultado erróneo, producido por un componente cuyo funcionamiento se desconoce.
c) En la mayoría de los casos el soporte técnico es insuficiente o tarda demasiado
tiempo en ofrecer una respuesta satisfactoria.
d) Es ilegal extender una pieza de software propietario para adaptarla a las
necesidades particulares de un problema específico. En caso de que sea vitalmente
necesaria tal modificación, es necesario pagar una elevada suma de dinero a la
compañía fabricante, para que sea ésta quien lleve a cabo la modificación a su propio
ritmo de trabajo y sujeto a su calendario de proyectos.
40
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
e) La innovación es derecho exclusivo de la compañía fabricante. Si alguien tiene una
idea innovadora con respecto a una aplicación propietaria, tiene que elegir entre
venderle la idea a la compañía dueña de la aplicación o escribir desde cero su propia
versión de una aplicación equivalente, para una vez logrado esto poder aplicar su idea
innovadora.
SOFTWARE LIBRE
VENTAJAS
a) Ahorros multimillonarios en la adquisición de licencias.
b) Combate efectivo a la copia ilícita de software.
c) Eliminación de barreras presupuestales.
d) Beneficio social para el país.
e) Beneficio tecnológico para el país.
DESVENTAJAS
a) La curva de aprendizaje es mayor.
b) El software libre no tiene garantía proveniente del autor.
c) Se necesita dedicar recursos a la reparación de erratas.
d) No existiría una compañía única que respaldará toda la tecnología.
e) Las interfaces amigables con el usuario (GUI) y la multimedia apenas se están
estabilizando.
2.4-Seguridad en la red corporativa:
2.4.1-Seguridad en las comunicaciones inalámbricas.
2.4.1.1-Sistemas de seguridad en WLAN.
Los paquetes de información en las redes inalámbricas viajan en forma de ondas de radio.
Las ondas de radio -en principio- pueden viajar más allá de las paredes y filtrarse en
habitaciones/casas/oficinas contiguas o llegar hasta la calle.
Si nuestra instalación está abierta, una persona con el equipo adecuado y
conocimientos básicos podría no sólo utilizar nuestra conexión a Internet, sino
41
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
también acceder a nuestra red interna o a nuestro equipo -donde podríamos tener carpetas
compartidas- o analizar toda la información que viaja por nuestra red -mediante sniffers- y
obtener así contraseñas de nuestras cuentas de correo, el contenido de nuestras
conversaciones por MSN, etc.
Si la infiltración no autorizada en redes inalámbricas de por sí ya es grave en una
instalación residencial (en casa), mucho más peligroso es en una instalación corporativa. Y
desgraciadamente, cuando analizamos el entorno corporativo nos damos cuenta de que las
redes cerradas son más bien escasas.
Sin pretender invitaros a hacer nada ilegal, podéis comprobar la cantidad de redes abiertas
que podéis encontrar sin más que utilizar el programa Network Stumbler o la función Site
Survey o escaneo de redes de vuestro PDA con Wi-Fi o de vuestro portátil mientras dáis un
paseo por vuestro barrio o por vuestra zona de trabajo.
Para que una red inalámbrica sea segura ahí que tener en cuenta:
•
Cambiar la contraseña que trae por defecto. Un fabricante usa la misma contraseña
para todos sus equipos.
•
Usar encriptación WEP/WPA. Activar en el Punto de Acceso la encriptación WEP,
mejor 128 bits que de 64 bits… cuanto mayor sea el número de bits mejor. Cuidar la
frase para generar las claves, que no sean palabras del diccionario, mezclar
mayúsculas, números, que no sean letras seguidas de las teclas del ordenador etc.
•
Cambiar el SSID por defecto. No usar palabras atractivas sino más bien "Broken",
"Down" o "Desconectado". El SSID (Service Set IDentifier) es un código incluido en
todos los paquetes de una red inalámbrica (Wi-Fi) para identificarlos como parte de
esa red. El código consiste en un máximo de 32 caracteres alfanuméricos. Todos los
dispositivos inalámbricos que intentan comunicarse entre sí deben compartir el mismo
SSID.
•
Desactivar el broadcasting SSID. Es uno de los métodos más básicos de proteger una
red inalámbrica, desactivar el broadcast del SSID, ya que para el usuario medio no
aparecerá como una red en uso.
42
TÍTULO ACTIVIDAD
AUTOR
•
Servicios de Red e
Internet
Activar el filtrado de direcciones MAC. Activa en el AP el filtrado de direcciones
MAC de los dispositivos Wi-Fi que actualmente tengas funcionando. Al activar el
filtrado MAC dejarás que sólo los dispositivos con las direcciones MAC especificadas
se conecten a tu red Wi-Fi.
* Sistemas de seguridad en WLAN.
Las redes WiFi pueden ser abiertas o cerradas. En una red abierta, cualquier
ordenador cercano al punto de acceso puede conectarse a Internet a través de él, siempre
que tenga una tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará
una red inalámbrica cercana disponible, pero para acceder habrá que introducir la
contraseña. Es lo que suele ocurrir en los aeropuertos y algunos hoteles, donde la
contraseña se obtiene previo pago.
2.4.1.1.1-Sistema Abierto.
La mayoría de los puntos de acceso o routers sin cable funcionan nada más conectarlos, o
vienen configurados por el operador. Pero si se quiere modificar algo, como la seguridad,
conviene conocer algunos de los parámetros de la conexión:
•
El identificador SSID: es el nombre de la red WiFi que crea el punto de acceso. Por
defecto suele ser el nombre del fabricante ("3Com" o "Linksys"), pero se puede
cambiar y poner "PerezWiFi", por ejemplo.
•
El canal: por lo general se usa el canal 6, pero si el vecino también tiene un punto de
acceso en este canal habrá que cambiarlo para evitar interferencias. Puede ser un
número entre 1 y 11.
•
La clave WEP: si se utiliza WEP para cerrar la red WiFi, hay que indicar la
contraseña que tendrá que introducirse en los ordenadores que se quieran conectar.
•
La clave compartida WPA: Como en el caso anterior, si se emplea seguridad WPA
hay que seleccionar una clave de acceso para poder conectarse a la red WiFi.
•
Cifrado de 128 bits: En WEP y WPA las comunicaciones se transmiten cifradas para
protegerlas. Esto quiere decir que los números y letras se cambian por otros
mediante un factor. Sólo con la clave adecuada se puede recuperar la información.
43
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
Cuanto más grande sea el factor de cifrado (más bits), tanto más difícil resulta
romper la clave.
2.4.1.1.2-WEP.
Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes
Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel
2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits
del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV). Los mensajes de
difusión de las redes inalámbricas se transmiten por ondas de radio, lo que los hace más
susceptibles, frente a las redes cableadas, de ser captados con relativa facilidad.
2.4.1.1.3-WPA.
Es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las
deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a
Cableado). Los investigadores han encontrado varias debilidades en el algoritmo WEP (tales
como la reutilización del vector de inicialización (IV), del cual se derivan ataques
estadísticos que permiten recuperar la clave WEP, entre otros). WPA implementa la
mayoría del estándar IEEE 802.11i, y fue creado como una medida intermedia para ocupar el
lugar de WEP mientras 802.11i era finalizado. WPA fue creado por "The Wi-Fi Alliance" (La
Alianza Wi-Fi).
WPA adopta la autenticación de usuarios mediante el uso de un servidor, donde se
almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de
tal servidor para el despliegue de redes, WPA permite la autenticación mediante clave
compartida ([PSK], Pre-Shared Key), que de un modo similar al WEP, requiere introducir la
misma clave en todos los equipos de la red.
2.4.1.2Recomendaciones de seguridad en WLAN.
Consejos generales:
44
TÍTULO ACTIVIDAD
AUTOR
Servicios de Red e
Internet
a) Instale el router en el ambiente más alejado de la calle y las ventanas. Muchos
routers permiten controlar la intensidad de la señal, por esto, disminuya la intensidad
para restringir la propagación fuera del edificio.
b) Cambie la contraseña por default del router inalámbrico: en general, el nombre de
usuario es admin y la contraseña también es admin.
c) Cambie el SSID por default del router inalámbrico y deshabilite el broadcast del
SSID. Si es posible, no hay que permitir acceder a la red local a través de la red
inalámbrica sino solamente a través de la red cableada conectada a uno de los
puertos LAN del router.
d) ) Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de
128 bits, si es posible.
e) Instale actualizaciones de firmware cuando estén disponibles por el fabricante.
f) Desconecte el router o deshabilite la red inalámbrica cuando no la utilice.
g) Tenga siempre en mente la seguridad de todo el sistema instalando un firewall,
actualizando el antivirus, el sistema operativo y los programas.
45

Documentos relacionados