1. Seguridad en la Red
Revisión
La infraestructura de red, los servicios y los datos que son contenidos en una red de
computadoras son importantes para las personas y los negocios. Que ven comprometida su
integridad trayendo como consecuencia serias repercusiones financieras y en los negocios. La
seguridad en la infraestructura de red incluye la protección física de los dispositivos que dan
conectividad a la red y previene los accesos no autorizados a la administración del software
que residen en ella.
Cuán importante es tener políticas de seguridad de red fuertes? En el año 2009, el <Instituto
de Seguridad de la Computación (CSI) elaboró un reporte para el año 2009 acerca del impacto
del crimen computarizado en los EE.UU. este reporte basado en la respuestas de 443
responsables de seguridad de la información y profesionales IT en US corporaciones, agencias
de gobierno, instituciones financieras, instituciones educativas, instituciones médicas y otras
organizaciones. Las compañías tienen pérdidas debido a que el crimen por computadora se ha
duplicado en los últimos años, de tal modo que el costo de la seguridad se ha visto
incrementado. El estudio confirma que las amenazas del crimen por computadora y la ruptura
de la seguridad de la información así como las pérdidas financieras van en aumento.
La aplicación de una efectiva política de seguridad es el paso mas importante que una
organización puede dar para protegerse a si misma. Una efectiva política de seguridad es el
aspecto fundamental de la seguridad de todos los recursos de red.
Objetivos:
Completada esta lección, usted estará en condiciones de explicar las necesidades de una
política de seguridad de red comprensiva. Esta capacidad incluye el logro de los siguientes
objetivos:
2. • Explicar la manera en que las sofisticadas herramientas de ataque y las redes abiertas han
generado un incremento en la necesidad de seguridad de red y políticas de seguridad
dinámicas.
• Describe los desafíos o equilibrios de la seguridad de red contra los procesos de negocio,
problemas legales y políticas de gobierno.
• Describe los adversarios de la red, las motivaciones hackers y las clases de ataque.
• Describe como los Routers y Switches Cisco mitigan las amenazas mas comunes.
3. Necesidad de una Red Segura
Esta sección explica cómo las herramientas sofisticadas de ataque y las redes abiertas han
generado un incremento en la necesidad de seguridad de red y políticas de seguridad
dinámicas.
Las redes de computadoras han crecido en tamaño e importancia en muy corto tiempo. Como
la seguridad de las redes se ha visto comprometida, aparecen serias consecuencias como
pérdida de la privacidad, robo de información e incluso responsabilidad legal. Para hacer
todavía la situación más crítica, las diferentes tipos de amenazas potenciales a la seguridad de
red están evolucionando rápidamente. Como los negocios electrónicos y la Internet continuan
creciendo, la situación se pone más crítica.
La implementación de una efectiva política de seguridad es el paso mas importante que una
organización puede hacer para proteger su red. Esta proporciona directrices acerca de las
actividades a ejecutar y los recursos a utilizar para dar seguridad a una red organizada.
4. El desafío existente en la seguridad es encontrar un balance entre dos importantes necesidades:
las redes abiertas para soportar entornos de requerimientos de negocios e iniciativas de libertad
de información; y protección de información privada, personal y de negocios estratégicos.
La manera más fácil de proteger una red a los ataques externos es cerrarla completamente al
mundo exterios. Una red cerrada provee conectividad solamente con sitios de confianza conocida,
una redcerrada no permite la conexión a redes públicas.
Porque estas redes no se conectan al exterior, pueden ser consideradas como seguras de ataques
externos; sin embargo las amenazas externas si existen. El CSI en San Francisco, California, estima
que entre el 60% y 80% de redes son atacadas desde dentro de la empresa.
5. Hoy en día, las redes corporativas requieren del acceso a la Internet y a otras redes públicas. Esto
es común pararedes corporativas que tienen varios puntos de acceso a las redes públicas y
privadas. La seguridad en redes abiertas es extremadamente importantes.
6. Las medidas de seguridad han mejorado con los años, algunos de los mas comunes tipos de
ataques han disminuido en frecuencia, pero nuevas formas de ataque han aparecido. Esta figura
muestra cómo el incremento de las herramientas de hacking sofisticadas y el decremento en la
facilidad de uso de estas herramientas han ocasionado el incremento de las amenazas a las redes
abiertas. Con el desarrollo de las redes abiertas grandes, las amenazas a la seguridad se ha
incrementado significativamente en los últimos 20 años. Los Hacker han descubierto mas
vulnerabilidades de la red así como han aparecido herramientas de hacking mas facil de usar.
Usted puede ahora descargar aplicaciones de hacking que requieren poco conocimiento y son fácil
de utilizar. Aplicaciones que son utilizadas para inquietar, dar mantenimiento y optimizar redes,
pero que en manos incorrectas, puede ser utilizado maliciosamente y convertirse en una severa
amenaza.
7. Requerimientos de Seguridad Equilibrada de Red
La seguridad ha tomado la delantera a la implementación y administración de las redes. Para la
supervivencia de muchos negocios esto es necesario para permitir el acceso a los recursos de las
redes abiertas y asegurar que los datos y los recursos estén tan seguros como sea posible. El
importante incremento del comercio electrónico y la necesidad de que la información privada se
transporte a través de redes públicas, ha incrementado la necesidad de desarrollar e implementar
políticas de seguridad para redes corporativas. Estableciendo una política de seguridad se habrá
dado el primer paso en la protección de red sobre una infraestructura segura.
La Internet ha creado expectativas para que una compañía construya relaciones fuertes con
clientes, proveedores, socios y empleados. Retos que hacen a las compañías de negocio
electrónico más ágiles y competitivas. Los beneficios de estos retos es que las nuevas aplicaciones
para comercio electrónico, administración de cadena de proveedores, clientes de cuidado,
optimización de fuerza de trabajo, y educación a distancia; han sido creados. Estas aplicaciones
simplifican procesos. Eelo también disminuye los costos incrementando tiempos y la satisfacción
de los usuarios.
Como las redes empresariales administran redes abiertas con mas usuarios y aplicaciones, se
expone la red a mayores riesgos. El resultado ha sido el requerimiento de la seguridad en los
negocios. Seguridad que incluye como componente fundamental una estrategia de negocio
electrónico.
8. Adversarios, sus Motivaciones y Clases de Ataques
Esta sección describe los adversarios, las motivaciones de los adversarios y clases de ataques que
afectan a una red.
Para definir las amenazas a la información y a los sistemas de información, las organizaciones
definen estas amenazas en estos tres términos:
• Adversaries: Desde los años 80, muchas personas aprovechando el gran desarrollo de los
conocimientos en computación han desarrollado habilidades de hackers. Hay que
distinguir entre las personas que usan este conocimiento en forma responsable y las
personas que usan este conocimiento en forma maliciosa y criminal. Las personas de este
primer y segundo grupo se denominan “crackers” y hackers respectivamente.
• Adversary motivations: Las motivaciones de los adversarios pueden incluir inteligencia
recolectada, robo de propiedad intelectual o información sensible, rechazo de servicio
(DoS), apuros de una compañía o clientes, o el reto de explotar tarjetas de crédito.
• Classes de Attack: las clases de ataques pueden incluir monitoreo pasivo de las
comunicaciones, ataques activos a la red, ataques en redes cerradas, explotación interna,
y distribución de ataques desde lugares remotos.
9. Los sistemas de información y las redes ofrecen atractivos tarjetas por lo que deberá ser
resistente a los ataques de un rango completo de agentes de amenazas desde hackers
individuales para naciones o estados. Un sistema requerirá de límites y respuestas prontas
ante un ataque.
Clases de Ataque
Hay cinco clases de ataques:
• Passive: incluye análisis de tráfico, monitoreo de comunicaciones desprotegidas,
desencriptación de tráfico encriptado y captura de información de autenticación como
passwords. La interceptación pasiva de los ataques a las operaciones de red permite a los
adversarios ver las acciones que van y vienen. Los ataques pasivos resultan en la revisión
de la información o archivos de datos por parte del atacador con el consentimiento o
reconocimiento del usuario. Ejemplos incluyen la revisión de la información personal como
números de tarjetas de crédito y archivos médicos.
• Active: ataques activos incluyen intentos de burlar o violentar protecciones
características, introduce códigos maliciosos y robar o modificar información. Estos
ataques son realizados a redes backbone, explorando la información que transita,
penetrando electrónicamente en la zona, o atacando remotamente a un usuario
autorizado durante una conexión o transmisión. Los ataques activos resultan en la
diseminación o revisión de archivos de datos, DoS o modificación de los datos.
• Close-in: Close-in ataque consiste de ataques individuales ordinadrios a redes próximas
cerradas, sistemas fácil de mofificar o denegar acceso a la información. Un cierre físico
próximo es realizado a través de furtivos entrantes a la red, accesos abiertos o ambos.
• Insider: pueden ser maliciosos o no maliciosos. Los insider maliciosos intencionalmente
ven de cerca, roban o estropean la información; usan la información de una manera
fraudulenta o denegan el acceso a otros usuarios autorizados. Los ataques no maliciosos
típicos resultan del descuido, carencia de conocimiento o burla intencional de la seguridad
por razones de perfeccionamiento de un trabajo.
• Distributed: Distributed ataques se enfoca en la modificación maliciosa del hardware o
software desde la misma fábrica o durante su distribución. Estos ataques introducen
códigos maliciosos clandestinos a un producto de acceso no autorizado para información o
ir al sistema a través de datos falsos.
10. Mitigando los Ataques Comunes
La instalación de dispositivos de red inadecuados e incompletos son a menudo supervisados por
los que amenzan la seguridad de la red y si no le prestamos atención, puede tener resultados
directos. La seguridad basada en software no puede prevenir esto debido a una pobre instalación.
Este topico describe como se mitigan las amenazas comunes a los switches y routers cisco.
Instalaciones Físicas
Imperceptibles, pero no poco importantes son las amenazas a la infraestructura física de la red. Un
atacante puede comprometer el uso de los recursos de red. Las siguientes son amenazas físicas y
su manera de mitigarlas:
• Hardware threats : una amenaza física es la amenaza al estropeo del router o switch. La
avería crítica de un equipamiento de redCisco deberá ser localizada en cable cerrado o en
computador o en cuarto de telecomunicaciones que necesitan estos mínimos
requerimientos:
o Al cuarto deberá ingresar solamente personal autorizado.
o El cuarto no debe ser accesible via sobretecho, piso raso, ventana, ductos o puntos
de ingreso que se conviertan en puntos de acceso.
11. o De ser posible se debe usar control de acceso electrónico con todas las entradas
chequeadas por un sistema de seguridad y monitoreado por seguridad personal.
o De ser posible, personal de seguridad deberá estar monitoreando la actividad de
las cámaras de seguridad automáticas con grabado automático.
• Enviroment threats: estas amenazas incluyen amenazas como la temperatura extrema, o
humedad extrema. Estas acciones evitan el estropeo de dispositivos de red Cisco:
o Aplicar al cuarto, sistemas de control de temperatura y humedad, que cumplan
con las especificaciones técnicas para los equipos proporcionada por los
fabricantes.
o Retirar algunas fuentes de interferencia electrostática y magnética del cuarto.
o De ser posible, monitorear los parámetros de alarmas y otros remotamente al
cuarto.
• Electrical threats: Las amenazas eléctricas incluyen picos de voltaje, caídas de voltaje,
ruido y pérdidas de potencia. Estas pueden evitarse siguiendo las siguientes directrices:
o Instalar sistemas de fuentes de energía ininterrumpidles o UPS para los
dispositivos Cisco.
o Instalar un sistema generador de backup para fuentes con misión crítica.
o Plan para inicio regular de UPS o prueba de generador y procedimientos de
mantenimiento que están basados en el mantenimiento preventivo sugerido por
el fabricante.
o Instalar Fuentes de poder redundantes sobre dispositivos críticos.
o Monitor y alarmas como parámetros aplicados a las fuentes y niveles de
dispositivos.
• Maintenance threats: Amenazas de mantenimiento incluyen pobre manipulación de
componentes con clave electrónica, ESD, carencias de ahorro crítico, cableado pobre,
etiquetado pobre, etc. Amenazas relativas al mantenimiento están divididas en categorías
que incluyen muchos ítems. A continuación se muestran algunas reglas para prevenirlas:
o Limpieza de todo el cableado de los equipos y seguridad del cableado en equipos
Racks para prevenir accidentes de estropeo, desconexión o terminación
incorrecta.
o Use cables cortos, rutas cortas o ambos para conexiones rack a rack y rack a
límite.
12. o Siempre muestre procedimientos ESD cuando reemplace o trabaje con
componentes de router interno y dispositivo switch.
o Mantenga un stock de repuestos para casos de emergencia.
o No deje un puerto de consola logeado y conectado. Siempre apague
administrativamente las interfaces cuando abandone una estación.
o No se confíe en cuartos cerrados solamente para proteger dispositivos. Siempre
recuerde que un cuarto cerrado no es totalmente seguro. Los intrusos incluso
están dentro de un cuarto seguro.
Ataques de Reconocimiento
El reconocimiento es la exploración y manipulación no autorizada de sistemas, servicios o
vulnerabilidades. Reconocimiento es también conocer cómo la información es recogida y, en
muchos casos, se anticipa a un ataque DoS. Primero, el intruso malicioso típico hace un ping a
la tarjeta de red para determinar con que dirección IP esta configurada. Luego el intruso
determina los puertos de servicio activos para esa dirección IP. Desde esta información, el
intruso pregunta por el puerto para determinar el tipo de aplicación que se está utilizando.
Mas comúnmente utiliza protocolos analizadores que son usados para capturar y decodificar
datos de la red.
Reconocimiento es algunas veces similar a la investigación del vecindario antes de entrar a una
casa como saber si una residencia esta desocupada o si una casa tiene puertas o ventanas
rotas. En muchos casos los intrusos observan para vulnerar los servicios que ellos pueden
explorar cuando existe la posibilidad de que nadie los este viendo.
Para mitigar los ataques de reconocimiento, el uso de la encriptación es recomendada y
protocolos con debilidades conocidas no deberán ser utilizados en la red.
Ataques de Acceso
Los ataques de acceso utilizan vulnerabilidades conocidas en servicios de autenticación y
servicios web. Los atacantes logran ingresar a las cuentas de Internet, revisando desde bases
de datos confidenciales, escalas de accesos privilegiados y otra información importante.
Ataques de Password
Usualmente está referido a intentos repetidos para identificar una cuenta de usuario,
password o ambos. Estas repeticiones son llamados ataques de fuerza bruta o ataques
diccionario . estos ataques son también implementados usando otros métodos incluyendo
programas de caballos de Troya, suplantador IP y paquetes Sniffers.
13. Un riesgo de seguridad existe cuando los password son almacenados como texto o no son del
todo complejos. Encriptación y password complejos son necesarios para superar estos riesgos.
En muchos sistemas los password son procesados a través de un algoritmo de encriptación
que genera un nuevo valor único en el password. No se puede revertir el valor único del
password a formato de texto. Casi todos los sistemas no desencriptan el password
almacenado durante la autenticación, ellos almacenan la únicaclave. Durante el proceso de
logeo usted proporciona una cuenta y un password y el algoritmo de encriptación del
password genera una única clave. Este algoritmo compara esta clave almacenada en el
sistema.
Pasando el password a través del algoritmo resulta un password cambiado.
14. Los métodos para mitigar los ataques al password incluyen las siguientes directrices:
• Los nombres de usuarios y password por defecto deberán ser cambiados inmediatamente.
• No utilice usuarios con el mismo password en sistemas múltiples. Casi todos los usuarios
deben tener un password para cada sistema que tenga que accesar como su sistema
personal.
• Desactive cuentas después de un numero determinado de conexiones erróneas. Esta
práctica ayuda a prevenir continuos revisiones de password.
• No use password de texto legible. Tampoco use un OTP password de un tiempo o
password encriptado.
• Use cadenas de password complejas. Cadenas que contengan letras mayúsculas, letras
minúsculas, números y caracteres especiales. Muchos sistemas nuevos proporcionan
cadenas de password y pueden restringirlo a ello solamente.
• Sobre dispositivos Cisco, la mínima longitud de un password puede también ser
especificado.