El documento habla sobre la seguridad en redes. Explica que Internet no fue diseñado con seguridad en mente y por lo tanto es vulnerable a ataques. Describe varios tipos de ataques como ataques a IP, TCP, UDP, ARP, ICMP y RIP. También discute sobre intrusiones en redes e introduce los sistemas de detección de intrusiones como una herramienta para detectar ataques.

1. SEGURIDAD EN LA RED
Instituto Tecnológico de Tehuacán
Administración de Redes
Sergio Magdiel Lechuga Carrera

2. INTRODUCCIÓN
¿Por qué de la seguridad?
 Ya no se puede decir que Internet sea un fenómeno en
expansión, porque Internet es una realidad en las comunicaciones
actuales. La “red de redes” interconecta hoy día a prácticamente la
totalidad de la población mundial, permitiendo la compartición de
información a nivel global.
 Esto no es todo, porque las posibilidades de Internet se extienden mas
allá de la simple difusión de información. Internet permite la
interactividad entre usuarios, y ahí es donde radica el principal
problema de seguridad.

3.  Internet no creció con la seguridad en mente, y por tanto no incorpora
ningún mecanismo de seguridad en su estructura básica, por lo que
todos los servicios que se integran en Internet sufren de esas
debilidades básicas, a menos de otras “proporcionadas” por los
propios servicios, que normalmente hacen poco o ningún hincapié en
los posibles fallos y “agujeros” que pueda tener. Por tanto, cuanta
más gente se une a la Red y más servicios se hacen disponibles, más
necesario es añadirle mecanismos de seguridad a Internet, pero para
clarificar esta necesidad.

4. Tipos de Ataques
Ataques a IP
Los ataques basados en IP utilizan las direcciones y la
fragmentación/reensamblado como arma ofensiva. Las practicas mas
comunes consisten en el “Spoofing”, el “Strict and Loose Service
Routing” y los ataques de “TearDrop”.
 Spoofing y Strict Routing se basan en las direcciones, el primero
suplantando la dirección de origen, y aparentando ser quien no es. El
Strict Routing consigue forzar el encaminamiento a través de un
determinado camino, para conseguir distintos efectos, desde que el
trafico viaje por la vía mas insegura, hasta que el trafico pase por
algún equipo bajo control del hacker, lo que le permitirá extraer
trafico de la red.

5.  Los ataques de TearDrop se basan en el mecanismo de
reensamblado/solapamiento de fragmentos. Se recibe un fragmento
que se superpone que es mas pequeño que el superpuesto, y al hacer
el algoritmo de reensamblado se produce un error que provoca que el
final del fragmento este al principio, y el principio al final. Esto
provoca un “Kernel Panic” y bloquea la maquina. Este ataque no
funciona en todas las implementaciones de IP, y para prevenirlo en
aquellas implementaciones débiles se deben bloquear en el Firewall
todos los fragmentos.

6. Ataques a TCP
Entre los ataques mas conocidos de TCP están el “Land Attack”, el
“HiJacking” y los “Denial of Service” basados en Checksums.
 El Land Attack crea un paquete con la dirección de origen y destino
iguales a la de la maquina a ataque. Esto crea un bucle infinito en la
conexión, que acaba por colgar la maquina. Puede ser fácilmente
detenido con un Firewall que no permita las conexiones externas que
tengan como origen una maquina interna (ya que esto seria un
ataque).
 El HiJacking es el secuestro de una conexión, filtrando la
comunicación entre dos usuarios a través del atacante. Esto se
consigue a través del HandShake, procedimiento que se usa al iniciar
una conexión TCP para negociar parámetros y establecer una
conexión.

7.  El atacante se pone entre ambos comunicantes y captura los paquetes
que se intercambian, sustituyéndolos por los suyos. De esta
forma, ambos comunicantes creen hablar con el otro, pero en
realidad ambos hablan con el hacker, que permite la comunicación
para que no se detecte ninguna anomalía.
 Por ultimo, existe un ataque muy simple de Denial of Service, que
consiste en bombardear a la victima con paquetes TCP con un
Checksum incorrecto, hasta que se cuelga. Se puede detener con un
IDS capaz de detectar esta situación anómala.

8. Ataques a UDP
 Los ataques UDP mas habituales son el TearDrop (del que ya hablamos
en IP) y el ataque de fraggle, una variante del tipo Denial of Service.
La manera mas normal de llevar a cabo este ataque es mandar un
paquete de UDP hacia la dirección Broadcast, haciendo spoofing de la
dirección de origen y colocando la de la maquina a ser atacada.
además, los mensajes se dirigen al puerto de echo, con lo que se
produce un bucle de inundación, ya que el primer paquete llega a
todas las maquinas de la subred, las cuales lo rebotan hacia el origen
(la maquina atacada). A esta le llegan tantos paquetes como maquinas
en la subred, y rebota cada paquete a la dirección Broadcast, con lo
que eleva al cuadrado el numero de paquetes en el bucle. Esta
operación se repite (todo rebota y le llega al origen, que vuelve a
elevar al cuadrado el numero de paquetes...) hasta que la maquina
“de origen” se colapsa.

9. Ataques a ARP
El principal problema del ARP (Address Resolution Protocol) es que no
tiene estado, por lo que si se recibe un Reply, no se sabe si hubo un
request, lo cual se puede utilizar para fines maliciosos.
 Se utilizan falsos paquetes de ARP Reply para conseguir un “cache
poisoning”, una corrupción de la cache de ARP, haciendo un mapeo de
una dirección IP con una dirección física falsa, con lo que se puede
utilizar en una red local para hacerse pasar por otras maquinas
(incluido el router, lo cual es lo mas útil). Este problema se puede
paliar usando Switches en lugar de Hubs.

10. Ataques a IGMP(Internet Group Management
Protocol)
Se usa para crear Grupos Multicast, donde una serie de maquinas están
adscritas a una dirección Multicast, de forma que se pueden comunicar
entre si de una forma mas eficiente. Se puede usar de forma
maliciosa, para convertir Multicast en Broadcast (añadiendo toda la subred
al grupo), y así poder hacer ataques de Denial of Service de forma mas
eficiente.
 También se suelen utilizar ataques de Buffer Overflow (sobrepasar el
buffer de la aplicación y escribir en el área de instrucciones, para así
conseguir ejecutar programas de forma inadvertida) en sesiones
Multicast (ataque múltiple).
 Como recomendación, lo mejor es desactivarlo a menos que sea
imprescindible para la red, en cuyo caso será necesario añadir seguridad
a nivel Multicast, principalmente para evitar la modificación no
autorizada de los grupos.

11. Ataques a ICMP (Internet Control Message
Protocol)
Este protocolo se usa, como su nombre indica, para tareas de control y
administración de la red. Entre los ataques mas conocidos, están el
“Ping of Death”, los Denial of Service y una variante del “cache
poisoning” que hemos visto en ARP.
 El Ping of Death usa paquetes ICMP excesivamente grandes, de forma
que la maquina de destino no puede procesar adecuadamente las
peticiones, produciendo esto el colapso de la maquina. Muchas
implementaciones de Ping modernas no permiten el envió de paquetes
mas grandes que el máximo, pero no es difícil conseguir una versión
que si deje, y simplemente poniendo „ping –l 65600 <destino>‟ puedes
bloquear el destino. La mejor manera de detener este ataque es
bloqueando los fragmentos de ICMP en el Firewall, ya que estos solo
se generan en situaciones anómalas de funcionamiento o en ataques
(deben bloquearse TODOS los fragmentos, no solo el primero).

12.  La variante del “cache poisoning” se usa para suplantar o redirigir el
trafico a conveniencia, pero de una forma mas peligrosa, ya que la
cache no expira (como la de ARP), y la brecha es indefinida. Aparte de
la suplantación, se usa para falsear los traceroute, y cubrir el origen
de un determinado ataque.
 Los Denial of Service se pueden conseguir con un “echo request” con
origen en la maquina atacada y destino en Broadcast, con lo que se
inunda a la maquina con “echo reply”.
 Se recomienda que no se permita el trafico ICMP desde Internet a la
subred, pero que si se permita el trafico saliente, puesto que es útil
para determinadas tareas administrativas. En cualquier caso, y
aunque no se use, no se puede desactivar, puesto que es un servicio a
nivel del núcleo del sistema operativo, por lo que aunque no se
use, hay que tenerlo muy en cuenta y bloquearlo explícitamente.

13. Ataques a RIP (Routing Information Protocol)
Este protocolo, por naturaleza, esta construido para llevar cambios en el
Routing, con lo que se puede utilizar para hacer redirecciones maliciosas
de trafico y conseguir un efecto similar al de la suplantación (te llega el
trafico de otra persona).
 Se recomienda utilizar encaminamiento estático en redes pequeñas y
OSPF (Open Shortest Path First) en lugar de RIP.

14. INTRUSIONES EN LA RED
 Las organizaciones dependen cada vez más de sistemas informáticos
para su funcionamiento diario. La existencia de atacantes, tanto
internos como externos, que pretenden acceder ilegítimamente a
sistemas informáticos, sea para sustraer información confidencial, o
para modificar o eliminar nformación, sea con un interés concreto o
por simple entretenimiento, hace que la seguridad sea algo que ha de
evolucionar a la par que la tecnología se desarrolla.
 Los cortafuegos son una herramienta indispensable para hacer
ejecutar las políticas de empresa, pero el hecho de que suelen
realizar un análisis muy superficial de la información que circula por
la red generalmente, se quedan a nivel de red), hace que muchos
ataques sean simplemente invisibles para ellos.

15.  Los sistemas de detección de intrusiones (IDS) están constantemente
vigilando, e incorporan mecanismos de análisis de tráfico y de análisis
de sucesos en sistemas operativos y aplicaciones que les permiten
detectar intrusiones en tiempo real. Un IDS puede ser un dispositivo
hardware autocontenido con una o varias interfaces, que se conecta a
una o varias redes; o bien una aplicación que se ejecuta en una o
varias máquinas y analiza el tráfico de red que sus interfaces ven y/o
los eventos generados por el sistema operativo y las aplicaciones
locales.

16. Tipos de Detección
 Los usos indebidos son ataques bien definidos contra debilidades
conocidas de los sistemas. Se los puede detectar buscando la
ocurrencia de determinadas acciones concretas.
 Las anomalías se basan en la observación de desviaciones de los
patrones de uso normales en el sistema. Se las detecta construyendo
previamente un perfil del sistema a monitorizar y posteriormente
estudiando las desviaciones que se produzcan con respecto a este
perfil. Las intrusiones por uso indebido siguen patrones bien
definidos, por lo que se pueden detectar realizando búsqueda de
patrones en el tráfico de red y en los ficheros de registro.
 Las intrusiones por anomalía se detectan observando desviaciones
significativas del comportamiento habitual.

17.  Para ello se mide una serie de parámetros. Considerando que una
intrusión involucrará un uso anormal del sistema, se pueden detectar
las violaciones de seguridad a partir de patrones anormales de uso.
 Los detectores de anomalías conocen, bien porque han sido
programados por un experto, bien porque han pasado por una fase
previa de aprendizaje, la actividad que resulta “normal” en el seno de
un sistema. Mediante métodos estadísticos se intentará
posteriormente comparar la información recibida en cada instante con
el modelo de actividad válida, y aquello que se aparte excesivamente
será etiquetado como intrusión.
 Es difícil detectar intrusiones por anomalías. No hay patrones fijos que
se puedan monitorizar, por lo que se usan aproximaciones “borrosas”
que suelen producir altas tasas de error.

18. NIDS HIDS
Sistemas de detección de
intrusos por red
Estos sistemas disponen de una o varias
interfaces de red conectadas a
determinados puntos estratégicos de la
red. Monitorizan el tráfico que pasa por
dichos puntos en busca de tráfico
malicioso. Aunque estos sistemas en
principio son dispositivos absolutamente
pasivos, con frecuencia se colocan los NIDS
en cortafuegos y enrutadores, de manera
que el propio sistema puede forzar el
cierre de conexiones y modificar reglas de
filtrado de una manera más directa.
Mediante uno solo de estos sistemas se
puede monitorizar el tráfico tanto interno
como externo de una red para muchas
máquinas. Los NIDS no suelen controlar
toda la red sino determinados puntos
estratégicos.
Sistemas de detección de
intrusos de máquina
se instalan en las máquinas que componen
la red: tanto servidores como estaciones de
trabajo. Un sensor, instalado directamente
como un módulo sobre una
máquina, dispone de información de
mayor nivel semántico que los NIDS:
llamadas al sistema, eventos complejos
dentro de aplicaciones de alto nivel, etc.
Un sistema basado únicamente en red
tendría que ser mucho más complejo para
“entender” la gran diversidad de
protocolos que existen, y los que se
implementan por encima de éstos. Por otra
parte, la tendencia actual al uso de
conexiones encriptadas, de indiscutible
interés para mejorar la seguridad de los
sistemas, hace que un sistema que solo
escuche la red disponga de muy poca
información para distinguir el tráfico
malicioso del aceptable.

19. CERTIFICADOS DE SEGURIDAD
SSL (Secure Sockets Layer)
 Son una medida de confianza adicional para las personas que visitan y
hacen transacciones en su página web, le permite cifrar los datos
entre el ordenador del cliente y el servidor que representa a la
página. El significado más preciso de un certificado de seguridad es
que con él logramos que los datos personales sean encriptados y así
imposibilitar que sean interceptados por otro usuario. Ahora es muy
común ver en nuestros exploradores el protocolo de seguridad https;
mediante éste, básicamente nos dice que la información que se envía
a través de internet, entre el navegador del cliente y el servidor
donde está alojada la página, se encripta de forma que es casi
imposible que otra persona reciba, vea o modifique los datos
confidenciales del cliente.

20.  Los certificados de seguridad brindan confianza en línea, al obtener
un certificado, su cliente podrá conocer la información sobre su
empresa. Al ofrecer seguridad, aumentará el número de clientes y
usuarios, realizando más compras en su sitio web y así tener una
experiencia en internet más rentable.
 Los sitios web que cuentan con certificados de seguridad nos permiten
saber quién es el dueño del mismo, saber a qué dominio pertenece, la
procedencia real del dueño del sitio, la validez del certificado, así
como su fecha de caducidad, y sobre todo, la empresa que ha emitido
el certificado. Podemos decir que los sitios web que consideran
necesario un certificado de seguridad logran garantizar mayor
seguridad a los usuarios.

22. PFSENSE
Es una distribución personalizada de FreeBSD adaptado para su uso como
Firewall y Router. Se caracteriza por ser de código abierto, puede ser
instalado en una gran variedad de ordenadores, y además cuenta con una
interfaz web sencilla para su configuración.
El proyecto es sostenido comercialmente por BSD Perimeter LLC.
URL:
http://www.pfsense.org/

23. CARACTERÍSTICAS
La siguiente lista muestra algunas funcionalidades que se incluyen por
defecto en el sistema.
 Firewall
 State Table
 Network Address Translation (NAT)
 Balance de carga
 VPN que puede ser desarrollado en IPsec, OpenVPN y en PPTP
 Servidor PPPoE
 Servidor DNS
 Portal Cautivo
 Servidor DHCP
PfSense cuenta con un gestor de paquetes para ampliar sus
funcionalidades, al elegir el paquete deseado el sistema
automáticamente lo descarga e instala. Existen alrededor de setenta
módulos disponibles, entre los que se encuentran el proxy
Squid, IMSpector, Snort, ClamAV, entre otros.

24. INSTALACIÓN
 PfSense puede instalarse en cualquier ordenador o servidor que cuente con un
mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD.
Una vez copiados los archivos del sistema al disco duro, se procede a
configurar las direcciones IP de las tarjetas de red. Una vez concluido lo
anterior, se puede acceder al sistema desde un explorador web. El portal de
administración está basado en PHP y teóricamente todas las configuraciones y
administración se pueden realizar desde allí, por lo tanto no es indispensable
contar con conocimientos avanzados sobre la línea de comandos UNIX para su
manejo.

25. UNTANGLE
Es una empresa privada con sede en Sunnyvale, California , que produce
y apoya el software y hardware de las versiones del Untangle firewall
UTM de red de la aplicación. Untangle es utilizado por más de 30.000
organizaciones de todo el mundo.
Untangle ofrece software en dos paquetes diferentes, Standard y
Premium. Premium ofrece la gestión de rendimiento de la red y filtrado
de contenido más robusta. Ambos se venden como suscripciones.
URL:
http://www.untangle.com/

26. Untangle aplicaciones incluyen:
 Anti-spam
 Filtrado de contenidos
 Antivirus , Anti-phishing
 Anti-spyware
 Prevención de intrusiones
 Firewall
 OpenVPN
 Enrutador
 Caché web de software.
Aplicaciones libres de Untangle se agrupan en el paquete Lite, publicado bajo la
versión 2 de la Licencia Pública General de GNU (GPL), muchos componentes con
la excepción Classpath GNU. Ciertos componentes de terceros distribuidos con el
Software Untangle están licenciados bajo otros términos de licencia gratuita. Los
paquetes estándar y Premium están bajo una EULA de propiedad.

27. FORTINET
Es una compañía americana que se especializa en dispositivos de seguridad
de red . Línea de producto principal de Fortinet se vende bajo el nombre
comercial de FortiGate. Fortinet fue fundada en 2000 por Ken Xie , fundador
y ex presidente y director general de NetScreen y es una compañía que
cotiza en bolsa (en el NASDAQ bajo el símbolo FTNT, al 18 de noviembre de
2009). La posición de Fortinet como el líder en ingresos en gestión unificada
de amenazas (UTM), ha sido validado por IDC varias veces.
Fortinet es una compañía internacional, con sede en Sunnyvale, California.
Fortinet distribuye sus sistemas y servicios basados ​​en suscripción utilizando
el partner de canal método de venta, con más de 1.500 en todo el mundo.
URL:
http://www.fortinet.com/

28. CARACTERÍSTICAS
Fortinet ofrece gateways de seguridad y productos que son una
combinación de rendimiento ASIC-acelerado, protección multi-amenaza
integrada y constante actualización, en profundidad de inteligencia de
amenaza. Esto ofrece la red, el contenido y la seguridad de aplicaciones
para las empresas, proveedores de servicios gestionados, y operadores de
telecomunicaciones, al tiempo que reduce el coste total de la propiedad
y proporcionar una ruta de acceso flexible y escalable para la expansión.
La compañía ofrece las siguientes líneas de productos:
 FortiGate - dispositivos de seguridad multi-amenaza
 FortiMail - dispositivos de seguridad de mensajería
 FortiWeb - firewall de aplicaciones web
 FortiDB - aparato de seguridad de base de datos
 FortiClient - suite de seguridad de punto final
 FortiWifi - dispositivos de seguridad inalámbricos

29.  FortiAP - punto de acceso inalámbrico delgada
 FortiAnalyzer - informes centralizados
 FortiManager - Gestión centralizada
 FortiScan - gestión de vulnerabilidades
 FortiPlanner - herramienta de planificación de punto de acceso inalámbrico
 FortiToken - solución de autenticación de dos factores
 FortiCarrier - proveedor de servicios de seguridad
Algunos productos FortiGate solicitar a los usuarios que acepten un nuevo
nivel de la raíz Fortigate certificado SSL luego actuar como intermediario
en lugar de conectar al usuario directamente a su servidor SSL final
previsto. Esto es necesario en un contexto de gestión unificada de
amenazas donde el control total sobre el malware y los virus entrante es
un atributo clave.
Firewalls corporativos mayores ni bloquearon el puerto HTTPS completa
o permitir HTTPS, pero no pudieron realizar un filtrado del flujo de datos
encriptados en busca de amenazas de seguridad como virus, o
infracciones de la política de TI.