2. Se entiende por seguridad al conjunto
de normas, procedimientos y herramientas, que tienen
como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la información que reside en
un sistema de información en red.
Las redes, a nivel de seguridad, se han convertido en un arma de
doble filo para sus usuarios. Por una parte la conectividad y la cantidad
ingente de información disponible en la red, proporciona una
herramienta muy poderosa a la hora de adquirir conocimientos y poder
reforzar la seguridad de los sistemas. Por otra parte la zona que se
debe asegurar en un equipo conectado a Internet crece casi
infinitamente ya que se amplían los puntos de acceso al sistema,
quedando expuesto a posibles ataques que violen la seguridad. El
número de atacantes potenciales también aumenta, apareciendo
nuevas vulnerabilidades a las que se deben de hacer frente.
3. Los antivirus:
Son programas que exploran periódicamente el contenido del ordenador
donde está instalado, detecta si hay virus y los elimina. Están compuestos por
un motor y un conjunto de vacunas que se actualizan de manera automática
en el servidor.
Cortafuegos:
Es un sistema que previene el uso y el acceso desautorizados a tu
ordenador o a las redes privadas conectadas con Internet, especialmente
intranets.
Es importante recordar que un cortafuego no elimina problemas de virus
del ordenador, sino que cuando se utiliza conjuntamente con
actualizaciones regulares del sistema operativo y un buen software
antivirus, añadirá cierta seguridad y protección adicionales para tu
ordenador o red.
Cifrado de la información:
Es una técnica muy usada para aumentar la seguridad de las redes
informáticas. Esta técnica convierte el texto normal en algo ilegible, por
medio de algún esquema reversible de codificación desarrollado en torno
a un clave privada que sólo conocen el emisor y el receptor.
4. Sistema de detección de intrusos (IDS):
Los IDS se encuentran integrados por módulos que trabajan de forma
conjunta y con funciones específicas para monitorear el tráfico de una red y
los sistemas de una organización en busca de señales de intrusión,
actividades de usuarios no autorizados y la ocurrencia de malas prácticas,
como en el caso de los usuarios autorizados que intentan sobrepasar sus
límites de restricción de acceso a la información.
Clasificación por situación: Clasificación según los
modelos de detecciones:
Según la función del software IDS, estos
pueden ser: Los dos tipos de detecciones que pueden
• NIDS (Network Intrusion Detection realizar los IDS son:
System) • Detección del mal uso: La detección del
• HIDS (Host Intrusion Detection System) mal uso involucra la verificación sobre
Los NIDS analizan el tráfico de la red tipos ilegales de tráfico de red. Este tipo
completa, examinando los paquetes de detección puede incluir los intentos de
individualmente, comprendiendo todas las un usuario por ejecutar programas sin
diferentes opciones que pueden coexistir permiso.
dentro de un paquete de red y detectando • Detección del uso anómalo: se apoya
paquetes armados maliciosamente y en estadísticas tras comprender cual es
diseñados para no ser detectados por los el tráfico “normal” en la red del que no lo
cortafuegos. es.
5.
6. Tipos de Ataques a Servidores
Ataques Pasivos
El pirata informático no modifica ningún tipo de información sino
que escucha o ve la información que se encuentra en el servidor. La mayor
ventaja de este ataque es casi no deja huella, ya que al no provocar ninguna
alteración de información es difícil de detectar.
Ataques Activos
Se dedican a modificar de alguna manera la información o
a los paquetes enviados.
7. Ataques a Nivel de Sistema
Consiste en atacar directamente el sistema operativo del
servidor intentando obtener privilegios de administrador mediante
una terminal remota.
Spoofing
Ataques a Nivel Aplicacion Consiste en suplantar la
identidad de otra maquina de la
Se basa en intentar red para tener acceso a los
modificar los datos que nos recursos de un tercer sistema de
permita la aplicación atacada manera maliciosa, basándose en
sin ejecutar código en el algún tipo de confianza ya sea el
sistema operativo. nombre o la dirección IP. Una de
las técnicas más típicas del
spoofing es el phising.
8. Tipos de amenazas a la seguridad.
Interrupción (Afecta a la Intercepción (Afecta a la
disponibilidad). confidencialidad).
Se corta el flujo desde emisor al Una tercera entidad se entera de
receptor. Se destruye el la comunicación. Una parte no
elemento del sistema o se hace autorizada, que puede ser una
inaccesible o inútil. persona, programa o computador,
consigue acceder a un elemento.
9. Modificación (Amenaza la Invención (También
integridad). amenaza la integridad).
Una tercera entidad cambia Una tercera entidad inventa
datos. Una parte no autorizada datos no emitidos. Una parte
no solo consigue acceder, sino no autorizada inserta objetos
que falsifica un elemento. falsos en el sistema.
10. · Concepto de Intruso
Un intruso es cualquiera que intente irrumpir o hacer mal uso de un
sistema, se asume que para cada caso la palabra intruso tiene diferentes
niveles de importancia.
Tipos de Intrusos.
Intrusos de Fuera.
La mayoría de las personas piensan que el mundo exterior es la amenaza
más grande a su seguridad; debido a que ha sido difundido por los medios
de comunicación un miedo hacia los “hackers” que entran a través de
Internet. La realidad, es que los hackers representan una pequeña parte de
las amenazas reales a las que se enfrenta una compañía.
11. Intrusos de Adentro.
Estudios realizados por el FBI han revelado que el 80% de las
intrusiones y de los ataques provienen de dentro de las organizaciones.
Es muy lógico si se piensa que una persona de adentro conoce el
esquema del sistema, donde se encuentran la información valiosa y la
localización de puntos y sistemas de seguridad.
Por lo anterior hay que desechar la idea de que la mayoría de las
medidas de seguridad deben estar puestas para proteger al interior de
un “malévolo” exterior, ya que realmente gran parte de las intrusiones
ocurren desde adentro de las organizaciones. Es necesario un mecanismo
que detecte ambos tipos de Intrusos, los externos y los internos. Un
sistema detector de intrusos efectivo detecta ambos tipos de ataques en
un alto grado.
12. Perfil del Atacante o Intruso.
A menudo cuando
alguien irrumpe en un sistema
informático se dice que ha sido
un hacker, el cual se asocia a
la palabra pirata informático,
este es una persona que
cuenta con grandes
conocimientos informáticos y
de telecomunicaciones que los
usa con un fin que puede
malicioso o no.
13. Hackers de sombrero blanco
Suelen trabajar en organizaciones dedicadas a la seguridad
informática o son administradores de red, se preocupan por mejorar la
tecnología. Suelen trabajar en organizaciones dedicadas a la seguridad
informática o son administradores de red, se preocupan por mejorar la
tecnología.
Hackers de sombrero negro
Son los que conocemos como piratas informáticos, usan
conocimientos informáticos con un objetivo malicioso.
Crackers
Es un pirata informático que se
encarga de atacar los sistemas operativos.
14. La inyección SQL consiste en la modificación del
La inyección SQL consiste en la modificación del
comportamiento de nuestras consultas mediante la
comportamiento de nuestras consultas mediante la
introducción de parámetros no deseados en los campos a los
introducción de parámetros no deseados en los campos a los
que tiene acceso el usuario.
que tiene acceso el usuario.
Este tipo de errores puede permitir a usuarios
Este tipo de errores puede permitir a usuarios
malintencionados acceder a datos a los que de otro modo no
malintencionados acceder a datos a los que de otro modo no
tendrían acceso y, en el peor de los casos, modificar el
tendrían acceso y, en el peor de los casos, modificar el
comportamiento de nuestras aplicaciones.
comportamiento de nuestras aplicaciones.
15. Supongamos que tenemos una aplicación Web (realizada en ASP por sencillez) en
la que el acceso a ciertas secciones está restringido.
Para restringir ese acceso creamos una tabla de usuarios y contraseñas y sólo los
usuarios que se validen contra esa tabla podrán acceder a esos contenidos. Una
manera de que los usuarios se validen será colocar un par de cuadros de texto en
nuestra página Web:
• txtUsuario
• txtPassword
donde puedan introducir su nombre y su contraseña y enviar ese par
usuario/contraseña a la base de datos para comprobar si es válido.
Si el usuario escribe Admin y 1234 la sentencia creada será:
SELECT Count(*) FROM Usuarios WHERE Usuario= ‘Admin’ AND Password= ‘1234’
Y como esta sentencia nos devuelve un registro, dejaremos que el usuario entre
en la Web. Si el usuario escribe por ejemplo ‘Admin’ y de contraseña cualquier
otra cosa, la sentencia no nos devolverá registros y no permitiremos entrar a esa
persona.
16. Existen varias soluciones por ejemplo podemos filtrar las entradas de
los usuarios reemplazando la aparición de ’ por ’’ (dos comillas simples)
e incluso evitando que los usuarios puedan pasar caracteres como / ’’
’ o cualquier otro que se nos ocurra que puede causar problemas.
Estos filtros pueden ser tan sencillos como utilizar la sentencia
«replace» de Visual Basic:
SSQL= "SELECT count(*) FROM Usuarios WHERE Usuario = '" & Replace
txtUsuario.Text, "'", "''") & "' AND password='" & Replace
(txtPassword.Text, "'", "''") & "'"
Otro factor importante en cuanto a la seguridad es limitar al máximo
los permisos del usuario que ejecuta estas sentencias para evitar
posibles problemas. Por ejemplo utilizando un usuario distinto para
las sentencias SELECT, DELETE, UPDATE y asegurándonos que cada
ejecución de una sentencia ejecute una sentencia del tipo permitido.
Por supuesto utilizar el usuario ‘sa’ o uno que pertenezca al rol
‘db_owner’ para ejecutar las sentencias de uso habitual de la base de
datos debería quedar descartado.
17. Una solución definitiva sería trabajar con procedimientos almacenados.
El modo en el que se pasan los parámetros a los procedimientos almacenados
evita que la inyección SQL pueda ser usada. Por ejemplo utilizando el siguiente
procedimiento almacenado:
CREATE Procedure Validar @usuario varchar(50), @password
varchar(50) AS
If (SELECT Count(*) FROM Usuarios WHERE Usuario=@Usuario and
Password=@password)>0
Return 1
Return 0
También deberíamos validar los datos que introduce el usuario teniendo en cuenta
por ejemplo la longitud de los campos y el tipo de datos aceptados. Esto lo
podemos hacer en el cliente con los «RegularExpressionValidator» o con los
«CustomValidators» del VB.NET. De todos modos si la seguridad es importante
todas estas validaciones hay que repetirlas en el servidor.
Por ultimo, y ya que estamos pensando en entornos Web, podemos programar en
ASP.NET y utilizar siempre que sea posible las clases
«System.Web.Security.FormsAuthentication» para que los usuarios entren en
nuestras aplicaciones Web.
18. Los Sniffers son dispositivos de monitorización que
recogen información de una red. Al hecho de capturar
información de la red se denomina Sniffing. Este tipo de
ataques son los llamados ataques pasivos, ya no realizan
ninguna modificación sobre la información.
La forma más habitual de sniffing es la que podríamos
llamar sniffing por software, utilizando un programa que
captura la información de la red.
19. Utilización.
Los usos típicos de un sniffer incluyen los siguientes:
· Captura automática de contraseñas enviadas en claro y nombres de
usuario de la red. Esta capacidad es utilizada en muchas ocasiones para
atacar sistemas a posteriori.
· Conversión del tráfico de red en un formato entendible por los
humanos.
· Análisis de fallos para descubrir problemas en la red, tales como: ¿por
qué el ordenador A no puede establecer una comunicación con el
ordenador B?
· Medición del tráfico, mediante el cual es posible descubrir cuellos de
botella en algún lugar de la red.
· Detección de intrusos. Aunque para ello existen programas específicos
llamados IDS (Sistema de Detección de intrusos), que son
prácticamente sniffers con funcionalidades específicas.
· Creación de registros de red, de modo que los intrusos no puedan
detectar que están siendo investigados.
20. Sniffing en una red local de difusión.
Una red de difusión es aquella en la que la información se envía
a todos los equipos (red en bus). Éste es el caso de una red Ethernet.
En una red Ethernet la cabecera de cada paquete de datos contiene la
dirección del equipo destino. Cuando un paquete llega a un equipo la
tarjeta de red comprueba si el paquete va dirigido a este ordenador. Si
el paquete contiene la dirección del equipo, la tarjeta lo acepta,
rechazándolo en caso contrario.
Para realizar el Sniffing en este caso, previamente se debe haber
obtenido acceso al sistema como Root. Posteriormente se configura la
tarjeta de red en estado promiscuo. En este estado la tarjeta recogerá
todos los paquetes que circulen por la red.
Sniffing a nivel global. Carnivore
En este modo de sniffing se captura la información que pasa por
un determinado equipo. De este modo se puede "espiar", por ejemplo, el
tráfico de Internet de una determinada empresa o usuario. El proyecto
Carnivore realiza un sniffing de este tipo.
21. Sniffit es una herramienta de línea de
Tcpdump es uno de los sniffers más comandos que ofrece un modo de
conocido y probablemente uno de los ejecución interactivo en el que se
primeros disponibles para los sistemas muestran las conexiones accesibles
UNIX. Este programa, una vez lanzado, desde la máquina en la que se
captura todos los paquetes que llegan a encuentra instalado y permite
nuestra máquina y muestra por seleccionar cualquiera de ellas para la
pantalla información relativa a los captura de paquetes, a través de una
mismos. interfaz muy sencilla.
Algunos SNIFFERS
Network Monitor es una
aplicación incorporada en el
sistema operativo Microsoft BlackICE es un sistema de
Windows NT Server que detección de intrusos que permite
proporciona características escribir un registro del tráfico de
limitadas de sniffing. red para su posterior análisis.
Analyzer es un programa que captura
paquetes utilizando la librería WinPCAP.
Pero la principal utilidad de esta
aplicación es que permite analizar la
información monitorizada.
22. Más que un programa, Untangle es en realidad una recopilación de programas
Más que un programa, Untangle es en realidad una recopilación de programas
de Seguridad unificados bajo una interfaz común que nos permite configurar
de Seguridad unificados bajo una interfaz común que nos permite configurar
y manejar la suite de forma sencilla. Podemos instalarlo en un equipo que actúe
y manejar la suite de forma sencilla. Podemos instalarlo en un equipo que actúe
como servidor independiente que únicamente ejecuta esta solución o utilizarlo
como servidor independiente que únicamente ejecuta esta solución o utilizarlo
como un programa en un ordenador de escritorio con Windows XP.
como un programa en un ordenador de escritorio con Windows XP.
En Untangle categorizan las funciones de su solución en tres apartados:
En Untangle categorizan las funciones de su solución en tres apartados:
productividad, seguridad y acceso remoto.
productividad, seguridad y acceso remoto.
Productividad: filtrado web para bloquear el acceso a las páginas que queramos,
Productividad: filtrado web para bloquear el acceso a las páginas que queramos,
bloqueo de spam antes de que llegue al usuario y control de protocolos, para
bloqueo de spam antes de que llegue al usuario y control de protocolos, para
impedir el uso de aplicaciones tipo eMule o aquellas que hacen uso de
impedir el uso de aplicaciones tipo eMule o aquellas que hacen uso de
determinados puertos que no queremos dejar al descubierto.
determinados puertos que no queremos dejar al descubierto.
Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta
Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta
los equipos y puedan infectarlos. No elimina ningun virus, simplemente impide su
los equipos y puedan infectarlos. No elimina ningun virus, simplemente impide su
entrada en la red de la empresa.
entrada en la red de la empresa.
Acceso remoto: acceso remoto a la red de la empresa mediante red privada
Acceso remoto: acceso remoto a la red de la empresa mediante red privada
virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro
virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro
de la red local y una alternativa de acceso vía web a servicios internos de la red.
de la red local y una alternativa de acceso vía web a servicios internos de la red.
23. Es una solución bastante completa
que podemos bien descargar
gratuitamente, en cuyo caso sólo
se incluyen las aplicaciones de
código abierto (todas menos el
portal de acceso web) o
suscribirnos por una cuota
mensual o anual que añade
soporte técnico y funciones de
gestión avanzadas para políticas
de acceso, integración con Active
Directory y copias de seguridad
remotas de la configuración.
Lo mejor sin duda es la sencillez a la hora de instalar y configurar el
sistema. Hay que tener algún conocimiento, evidentemente, pero es
mucho más fácil que ir programa a programa instalando la solución.
Lo ideal bajo mi punto de vista es instalarlo como servidor,
dedicando una máquina exclusivamente a esta función, en cuyo caso
podemos utilizarlo para sustituir nuestro router ADSL actual o
colocarlo entre éste y nuestra red.
24. Es una distribución personalizada de FreeBSD adaptado para su uso
como Firewall y Router. Se caracteriza por ser de código abierto,
puede ser instalado en una gran variedad de ordenadores, y además
cuenta con una interfaz web sencilla para su configuración.
El proyecto es sostenido comercialmente por BSD Perimeter LLC
Características
Pantalla principal de PfSense (versión 1.2.3)
La siguiente lista muestra algunas funcionalidades que se incluyen
por defecto en el sistema.
Firewall
State Table
Network Address Translation (NAT)
Balance de carga
VPN que puede ser desarrollado en IPsec, OpenVPN y en PPTP
Servidor PPPoE
Servidor DNS
Portal Cautivo
Servidor DHCP
25. PfSense puede instalarse en cualquier ordenador o servidor que cuente con un
mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD.
Una vez copiados los archivos del sistema al disco duro, se procede a
configurar las direcciones IP de las tarjetas de red. Una vez concluido lo
anterior, se puede acceder al sistema desde un explorador web. El portal de
administración está basado en PHP y teóricamente todas las configuraciones y
administración se pueden realizar desde allí, por lo tanto no es indispensable
contar con conocimientos avanzados sobre la línea de comandos UNIX para su
manejo. Soporte y Desarrollo
Al poseer software de código
abierto, la comunidad de
desarrolladores y usuarios
puede dar soporte y asistencia.
BSD Perimeter ofrece soporte y
capacitación a cambio de un
costo3 . Cualquier persona es
libre de modificar el sistema a
sus necesidades, e incluso
vender sus derivaciones de
pfSense (bajo ciertas
condiciones).