1. Amenazas yataques
Las redes de ordenadores cada vez son más esenciales parala vida diaria
Los ataques e intrusiones a través de las redes públicas y privadas son cada vez más
frecuentes,
y pueden causar interrupciones costosas de servicios críticos, pérdidas de trabajo,
información ydinero.
Amenazas en comunicaciones.
Divisiónen4grandes grupos:
1. interrupción
2. interceptación:
3. modificación
4. fabricación:
Ejemplosrealesdedichasamenazas.
Técnicasdeataquesinformáticosenredes:
Ataque dedenegacióndeservicio
SNIFFING
MAN INTHEMIDDLE
SPOOFING
PHARMING
aquededenegacióndeservicio
Tambiénllamadoataque DoS(Denyof Service)
Caso específico de interrupción de servicio.
Causa que un recurso o servicio sea inaccesible, provocando la pérdida de
conectividad de red por el consumo del ancho de banda o sobrecarga de los recursos.
Ampliación: ataque distribuido de deneg. de servicio (DDoS), a través de una botnet.
Sniffing
Técnica de interceptación.
Consiste en rastrear e interceptar, monitorizando el tráfico de una red, para hacerse
con información confidencial.
Man in the middle (MitM)
Caso específico de interceptación y modificación de identidad.Un atacante
supervisa una comunicación entre dos partes, falsificando las
identidades de los extremos, y por tanto recibiendo el tráfico en los dos sentidos.
Spoofing
Técnica de fabricación, suplantando la identidad o realizando una copia o falsificación.
Ejemplo: falsificaciones de IP, MAC, web o mail.
Pharming
2. Técnica de modificación.
Explotación de una vulnerabilidaden elSWdelosservidores DNSoenel de los equipos de
los propios usuarios, permite modificar las tablas DNS redirigiendo un nombre de dominio
(domainname)conocido,a otra máquina (IP) distinta, falsificada y probablemente
fraudulenta.
Paratomarprecaucionesymedidasdeseguridadenunared Monitorizareltráfico
Softwarede auditoría deseguridad en redes:
RECOMENDACIONES
UsodetablasARPestáticasoentradasestáticas.Comando:arp–s IPMAC
(Windows)
Monitorizar los intentos de modificacióndetablas ARP.
Herramientassoftware:SNORT,Aarpwatch(Linux) oDecaffeinatID(Win),
Wireshark.
EncasodeDNSSpoofing: precauciónconlosfakewebsites,comprobarelusode HTTPS,
certificadodigital, veracidaddela URL…
Amenazas externas e internas
Lasamenazasdeseguridadcausadasporintrusosenredescorporativas puedenser:
Amenazaexterna(ode accesoremoto)
Los atacantessonexternosalaredprivadaylogranintroducirsedesderedespúblicas.
Objetivosdeataques:servidores yrouters accesiblesdesdeelexterior,yquesirvende
pasarela deaccesoala red corporativa.
Amenazainterna(ocorporativa)
Los atacantes acceden sin autorización o pertenecen a la red privadadela
organización.
Comprometen la seguridad, y sobre todo, la información y serviciosdela
organización.
3. Propuestas paralaprotecciónanteposibles amenazas internas:
Realizarunbuendiseñodesubredesdentrodelaredcorporativa.Paraello:
Subnetting
Redes locales virtuales o VLAN
Creación dezonas
desmilitarizadas o DMZ
Políticas de administración de direccionamientoestáticopara servidores yrouters.
Monitorización deltráficoderedy de las asignaciones de direccionamiento dinámico
ydesus tablas ARP.
Modificacióndeconfiguraciones deseguridad, enespecial,contraseñaspordefectode la
administración deservicios.
Máximoniveldeseguridadenredes inalámbricas.
SISTEMAS DE DETECCIÓN DE INTRUSOS
¿QuéesunIDS(IntrusionDetectionSystem)?
Herramientasoftwaredeseguridadusadaparadetectaraccesosnoautorizadosa un
computadoro a una red.
¿Cómofunciona?
Suelendisponerdeunabasededatosde“firmas”deataquesconocidos.
Analizan el tráficodered,comparando confirmas de ataques conocidos o
comportamientossospechosos(escaneodepuertos,paquetesmalformados…)
No estándiseñados paradetenerunataque. Normalmenteseintegran conun
firewall(encargado debloquear lospaquetes sidetecta que sonpeligrosos).
Aportan capacidaddeprevención yde alertaanticipada.
Tipos deIDS
HIDS (HostIDS):protegenunúnicoservidor,PCohost.
NIDS (Net IDS): protegen un sistema basado en red.
Capturan y analizan
paquetes de red, es decir, son sniffers del tráfico de red.
LaarquitecturadeunIDS,agrandesrasgos,estáformapor:
Lafuentederecogidadedatos(unlog,dispositivodered,oelpropiosistemaen el casode los
HIDS).
Reglasyfiltrossobrelosdatosypatronesparadetectaranomalíasdeseguridad.
Dispositivo generador de informes y alarmas (algunos pueden enviar alertas vía mail oSMS).
4. UbicaciónrecomendadadelIDS
Uno delante yotrodetrás delcortafuegos perimetraldenuestrared.
Práctica 2. IDS - SNORT
SNORT
Sistemadedeteccióndeintrusiones basadoen red (NIDS)
Puede funcionar como sniffer (viendo en consola en tiempo real qué ocurre en nuestra red,
todo nuestro tráfico), registrodepaquetes (permite guardar enun archivo los logs parasu
posterior análisis offline)ocomounNIDSnormal.
Está disponible bajo licencia GPL, gratuito y funciona bajoWindows yGNU/Linux.
Descarga e información:www.snort.org
RIESGOS POTENCIALES EN LOS SERVICIOS DE RED
Riesgos potenciales en los servicios
TCP/IP
TCP/IPes laarquitecturadeprotocolos queusanlos ordenadores paracomunicarse
en red.
Emplean puertos de comunicacioneso numeración lógica que se
asigna para identificarcadaunadelasconexionesdered,tantoenelorigencomoenel
destino.
Servicios deredmás habituales (puertosbienconocidos):
Puerto Servicio
20 y 21 FTP
22 SSHcomunicación cifrada
23 Telnet no cifrado
25 SMTP
110 POP3
53 DNS
80 HTTP
443 HTTPS cifrado
Análisis ycontroldepuertos
Lossistemasysusaplicacionesderedofrecenyrecibenserviciosatravésdedichos puertos
de comunicaciones análisis exhaustivo a nivelde puertos paraproteger nuestras
conexiones.
Elanálisis ycontrol de los puertos sepueden realizar:
En una máquina local, observando qué conexiones y puertos se encuentran abiertos y
5. qué aplicaciones controlan.
Comandonetstat,permiteverelestadodenuestrasconexionesentiemporeal.
Cortafuegos (firewall) personales, como medida de protección frenteataques externos.
En la administración de lared, para ver quépuertosy enquéestadoseencuentran los deun
conjunto de equipos.
Aplicación nmap, permite escaneo de puertos, aplicaciones y SSOO en un rango
de direcciones.
Cortafuegos y proxys perimetrales, ofrecen protección mediante filtrado de puertosy
conexiones haciaydesdeelexterior deunaredprivada.
netstat
Comandoparaanalizarelestadodenuestrasconexiones ypuertos.
Windows: netstat -anob
Linux: netstat -atup
nmap
Análisis de puertos y aplicaciones de red, en192.168.1.0/24
Aplicación gráficaZENMAP
Recomendaciones
Controlar el estado de conexiones
Evitarprotocolos inseguros comoTelnet
Evitarconfiguraciones y contraseñas pordefecto.
COMUNICACIONES SEGURAS
Comunicaciones sincifrado
Protocolos HTTP,FTPoSMTP/POP.
“Cain & Abel” tiene la capacidad de recuperar tráfico y contraseñas de dichos
protocolos.
Comunicaciones cifradas
SSH (Secure Shell, Intérpretede órdenessegura):permite accederamáquinasremotas y
ejecutar comandos através deunared.Puerto 22.
SSL (Secure Sockets Layer, Protocolo de Capa de Conexión Segura) y TLS (Transport Layer
Security, SeguridaddelaCapadeTransporte),susucesor.Entreotros,seemplea atravésde
puertos específicos con:HTTPS,FTPS,SMTP,POP3,etc.
IPSEC (Internet Protocol Security): conjuntodeprotocoloscuyafunciónesasegurarlas
comunicacionessobreelProtocolodeInternet(IP)autenticandoy/ocifrandocada
paquete IP en unflujo dedatos.Se utilizaparacrearVPNs.
SSH
InstalacióndeunservidorSSH alqueaccederemosdesdeunintérpretede comandos desde
GNU/LinuxydesdeWindows.
6. Instalación del servidor SSHenGNU/Linux
Buscamos todos los paquetes quetenganrelacióncon ssh:
$ aptitude search ssh
Enlalistadepaquetes encontradosestará“openssh-server”.Loinstalamos:
$ sudo aptitude install openssh-server
Para arrancar|parar|reiniciar: $sudo service ssh start|stop|restart
Conexiónalservidorsshdesde una
máquina clienteGNU/Linux
Conexión connuestronombre de usuario:
$ ssh direcIPserver
Conexión como usuarioremoto:
$ ssh usuario@direcIPserver
Conexión al servidor ssh desdeuna
MÁQUINACLIENTEWINDOWS
Conexión mediantePuTTY
RedesPrivadas Virtuales(VPN)
VPN (Virtual PrivateNetwork)
Es una tecnología de red que permite una extensión de una redlocaldeforma
segura sobre una red pública, como Internet.
Algunas aplicaciones:
Conectardos omás sucursales deunaempresaatravés deInternet.
Conexión desdecasaalcentrodetrabajo (teletrabajo).
Accesodesdeunsitioremoto(hotel,biblioteca…)deunusuarioalPCdecasa.
Parahacerloposibledemanerasegura,lasVPN garantizan:
Autenticaciónyautorización:mediantelagestióndeusuariosypermisos.
Integridad: los datos enviados no han sido alterados, con eluso de funciones hash (MD5 o
SHA).
Confidencialidad: la información que viaja a través de lared pública es cifrada conDES,3DES,
AES… ysólopuedeserinterpretadaporlosdestinatariosdela misma.
Norepudio:los datos setransmitenfirmados.
7. ExistentresarquitecturasdeconexiónVPN:
VPN de acceso remoto: usuarios o proveedores se conectan con la empresa desde sitios
remotos (oficinas públicas, domicilios, hoteles…) utilizando Internet comovínculo de
acceso.Es elmás usado.
VPN punto a punto: conecta oficinas remotas con la sede central de la organización. El
servidor VPN (que posee un vínculo permanente a Internet) aceptalas conexiones vía
Internet provenientes de los sitios yestablece el túnel VPN.Tunneling.
VPNoverLAN: parautilizar dentrode laempresa.Emplealamismaredde árealocal
(LAN) delaempresa,aislandozonasyserviciosdelaredinterna, pudiendo añadircifradoy
autenticaciónadicional medianteVPN.
Protocoloestándar queutiliza VPN: IPSEC
Ejemplo deconexionesremotas:LogmeInHamachi.Crearedprivadaentre hostremotos.
REDES INALÁMBRICAS
INTRODUCCIÓN A LA SEGURIDAD EN REDES
RedesinalámbricasoredesWi-Fi,basadasenlosestándaresIEEE802.11
Envíodeinformaciónatravésdeseñalesderadiofrecuenciaporelaire.
Alcance teórico: 100m.
Alcancereal:varioskilómetros(dependedelaexistenciadeobstáculos,potencia de
transmisión,sensibilidadderecepción,utilizacióndeantenas,etc…)
Ventajas frente alcable:
Conectividadencualquiermomentoylugar (mayor disponibilidad y acceso a redes).
Instalación simple yeconómica.
Fácilmenteescalable(permite que las redes se amplíen fácilmente)
Riesgos ylimitaciones:
Rangosderadiofrecuenciasaturados,interferenciasentreseñales.
Poca seguridad (un equipo con tarjeta de red inalámbrica puede interceptar una
comunicación de su entorno)
CLASIFICACIÓN DE LOS ATAQUES EN REDES
Ataques de negaciónde servicio(DoS)
Difícilmente evitable al afectaralfuncionamientodelatecnología.
Afecta a ladisponibilidad.
Interceptación de lascomunicaciones
Accesoalos datos sinoestáncifrados.Indetectable.
Afecta a laconfidencialidad.
Inyección de tráficoenla redWi-Fi
Accesoalos datos sinoestáncifrados.Indetectable.
8. Afecta a laintegridad.
Accesoala red Wi-Fi
Conexión no autorizadaa laredWi-Fi.Accesocompleto.
Afecta a laintegridad.
SISTEMAS DE SEGURIDAD EN REDESWI-FI
WEP(WiredEquivalentPrivacy)
Mecanismode autentificación ycifradoantiguo einseguro.
Requierecontraseña falsasensacióndeseguridad.
Un atacantepuedeobtenerlacontraseñaenmenos deunminuto.
Se desaconseja suutilización.
WPA(Wireless ProtectedAccess)
Mecanismo de autentificación y cifrado temporal, empleado
durante la migracióndeWEPaWPA2enredes Wi-Fi.
Inicialmente basadoenTKIP(TemporaryKeyIntegrityProtocol).
Se desaconseja suutilización
WPA2 (WirelessProtected Access2) Personal o
PSK
Mecanismo de autentificación y cifrado:
Cifrado:AES (AdvancedEncryptionStandard)
Autentificación: PSK (Pre-SharedKey)
Contraseña compartida entre el punto de acceso y los clientes Wi-Fi. La contraseña
debesersuficientementelarga(másde20caracteresydifícilmente adivinable)
OpciónrecomendadapararedesWi-Fipersonalesodepequeñasempresas
WPA2 (WirelessProtected Access 2) Enterprise
Mecanismo de autentificación y cifrado:
Cifrado:AES (AdvancedEncryptionStandard)
Autentificación: 802.1X/EAP
Contraseñasaleatorias(servidorRADIUS).Múltiples tiposdeprotocolosEAP.
OpciónrecomendadapararedesWi-Fiempresarialesocorporativas.
RECOMENDACIONES DE SEGURIDAD EN REDES
Redes Wi-Fi
Reducirel alcancede laseñal.
No configurar lared Wi-Ficomooculta.