SEGURIDAD EN LA RED

Instituto Tecnológico de Tehuacán

Administración de Redes

Sergio Magdiel Lechuga Carrera

INTRODUCCIÓN

¿Por qué de la seguridad?

Ya no se puede decir que Internet sea un fenómeno en expansión, porque Internet es una realidad en las comunicaciones actuales. La “red de redes” interconecta hoy día a prácticamente la totalidad de la población mundial, permitiendo la compartición de información a nivel global.

Esto no es todo, porque las posibilidades de Internet se extienden mas allá de la simple difusión de información. Internet permite la interactividad entre usuarios, y ahí es donde radica el principal problema de seguridad.

Internet no creció con la seguridad en mente, y por tanto no incorpora ningún mecanismo de seguridad en su estructura básica, por lo que todos los servicios que se integran en Internet sufren de esas debilidades básicas, a menos de otras “proporcionadas” por los propios servicios, que normalmente hacen poco o ningún hincapié en los posibles fallos y “agujeros” que pueda tener. Por tanto, cuanta más gente se une a la Red y más servicios se hacen disponibles, más necesario es añadirle mecanismos de seguridad a Internet, pero para clarificar esta necesidad.

Tipos de Ataques

Ataques a IPLos ataques basados en IP utilizan las direcciones y la fragmentación/reensamblado como arma ofensiva. Las practicas mas comunes consisten en el “Spoofing”, el “Strict and Loose Service Routing” y los ataques de “TearDrop”.

Spoofing y Strict Routing se basan en las direcciones, el primero suplantando la dirección de origen, y aparentando ser quien no es. El Strict Routing consigue forzar el encaminamiento a través de un determinado camino, para conseguir distintos efectos, desde que el trafico viaje por la vía mas insegura, hasta que el trafico pase por algún equipo bajo control del hacker, lo que le permitirá extraer trafico de la red.

Los ataques de TearDrop se basan en el mecanismo de reensamblado/solapamiento de fragmentos. Se recibe un fragmento que se superpone que es mas pequeño que el superpuesto, y al hacer el algoritmo de reensamblado se produce un error que provoca que el final del fragmento este al principio, y el principio al final. Esto provoca un “Kernel Panic” y bloquea la maquina. Este ataque no funciona en todas las implementaciones de IP, y para prevenirlo en aquellas implementaciones débiles se deben bloquear en el Firewall todos los fragmentos.

Ataques a TCPEntre los ataques mas conocidos de TCP están el “Land Attack”, el “HiJacking” y los “Denial of Service” basados en Checksums.

El Land Attack crea un paquete con la dirección de origen y destino iguales a la de la maquina a ataque. Esto crea un bucle infinito en la conexión, que acaba por colgar la maquina. Puede ser fácilmente detenido con un Firewall que no permita las conexiones externas que tengan como origen una maquina interna (ya que esto seria un ataque).

El HiJacking es el secuestro de una conexión, filtrando la comunicación entre dos usuarios a través del atacante. Esto se consigue a través del HandShake, procedimiento que se usa al iniciar una conexión TCP para negociar parámetros y establecer una conexión.

El atacante se pone entre ambos comunicantes y captura los paquetes que se intercambian, sustituyéndolos por los suyos. De esta forma, ambos comunicantes creen hablar con el otro, pero en realidad ambos hablan con el hacker, que permite la comunicación para que no se detecte ninguna anomalía.

Por ultimo, existe un ataque muy simple de Denial of Service, que consiste en bombardear a la victima con paquetes TCP con un Checksum incorrecto, hasta que se cuelga. Se puede detener con un IDS capaz de detectar esta situación anómala.

Ataques a UDP Los ataques UDP mas habituales son el TearDrop (del que ya

hablamos en IP) y el ataque de fraggle, una variante del tipo Denial of Service. La manera mas normal de llevar a cabo este ataque es mandar un paquete de UDP hacia la dirección Broadcast, haciendo spoofing de la dirección de origen y colocando la de la maquina a ser atacada. además, los mensajes se dirigen al puerto de echo, con lo que se produce un bucle de inundación, ya que el primer paquete llega a todas las maquinas de la subred, las cuales lo rebotan hacia el origen (la maquina atacada). A esta le llegan tantos paquetes como maquinas en la subred, y rebota cada paquete a la dirección Broadcast, con lo que eleva al cuadrado el numero de paquetes en el bucle. Esta operación se repite (todo rebota y le llega al origen, que vuelve a elevar al cuadrado el numero de paquetes...) hasta que la maquina “de origen” se colapsa.

Ataques a ARP El principal problema del ARP (Address Resolution Protocol) es que no tiene estado, por lo que si se recibe un Reply, no se sabe si hubo un request, lo cual se puede utilizar para fines maliciosos.

 Se utilizan falsos paquetes de ARP Reply para conseguir un “cache poisoning”, una corrupción de la cache de ARP, haciendo un mapeo de una dirección IP con una dirección física falsa, con lo que se puede utilizar en una red local para hacerse pasar por otras maquinas (incluido el router, lo cual es lo mas útil). Este problema se puede paliar usando Switches en lugar de Hubs.

Ataques a IGMP(Internet Group Management Protocol)Se usa para crear Grupos Multicast, donde una serie de maquinas están adscritas a una dirección Multicast, de forma que se pueden comunicar entre si de una forma mas eficiente. Se puede usar de forma maliciosa, para convertir Multicast en Broadcast (añadiendo toda la subred al grupo), y así poder hacer ataques de Denial of Service de forma mas eficiente.

También se suelen utilizar ataques de Buffer Overflow (sobrepasar el buffer de la aplicación y escribir en el área de instrucciones, para así conseguir ejecutar programas de forma inadvertida) en sesiones Multicast (ataque múltiple).

Como recomendación, lo mejor es desactivarlo a menos que sea imprescindible para la red, en cuyo caso será necesario añadir seguridad a nivel Multicast, principalmente para evitar la modificación no autorizada de los grupos.

Ataques a ICMP (Internet Control Message Protocol)Este protocolo se usa, como su nombre indica, para tareas de control y administración de la red. Entre los ataques mas conocidos, están el “Ping of Death”, los Denial of Service y una variante del “cache poisoning” que hemos visto en ARP.

El Ping of Death usa paquetes ICMP excesivamente grandes, de forma que la maquina de destino no puede procesar adecuadamente las peticiones, produciendo esto el colapso de la maquina. Muchas implementaciones de Ping modernas no permiten el envió de paquetes mas grandes que el máximo, pero no es difícil conseguir una versión que si deje, y simplemente poniendo ‘ping –l 65600 <destino>’ puedes bloquear el destino. La mejor manera de detener este ataque es bloqueando los fragmentos de ICMP en el Firewall, ya que estos solo se generan en situaciones anómalas de funcionamiento o en ataques (deben bloquearse TODOS los fragmentos, no solo el primero).

La variante del “cache poisoning” se usa para suplantar o redirigir el trafico a conveniencia, pero de una forma mas peligrosa, ya que la cache no expira (como la de ARP), y la brecha es indefinida. Aparte de la suplantación, se usa para falsear los traceroute, y cubrir el origen de un determinado ataque.

 Los Denial of Service se pueden conseguir con un “echo request” con origen en la maquina atacada y destino en Broadcast, con lo que se inunda a la maquina con “echo reply”.

 Se recomienda que no se permita el trafico ICMP desde Internet a la subred, pero que si se permita el trafico saliente, puesto que es útil para determinadas tareas administrativas. En cualquier caso, y aunque no se use, no se puede desactivar, puesto que es un servicio a nivel del núcleo del sistema operativo, por lo que aunque no se use, hay que tenerlo muy en cuenta y bloquearlo explícitamente.

Ataques a RIP (Routing Information Protocol)Este protocolo, por naturaleza, esta construido para llevar cambios en el Routing, con lo que se puede utilizar para hacer redirecciones maliciosas de trafico y conseguir un efecto similar al de la suplantación (te llega el trafico de otra persona).

Se recomienda utilizar encaminamiento estático en redes pequeñas y OSPF (Open Shortest Path First) en lugar de RIP.

INTRUSIONES EN LA RED

Las organizaciones dependen cada vez más de sistemas informáticos para su funcionamiento diario. La existencia de atacantes, tanto internos como externos, que pretenden acceder ilegítimamente a sistemas informáticos, sea para sustraer información confidencial, o para modificar o eliminar nformación, sea con un interés concreto o por simple entretenimiento, hace que la seguridad sea algo que ha de evolucionar a la par que la tecnología se desarrolla.

Los cortafuegos son una herramienta indispensable para hacer ejecutar las políticas de empresa, pero el hecho de que suelen realizar un análisis muy superficial de la información que circula por la red generalmente, se quedan a nivel de red), hace que muchos ataques sean simplemente invisibles para ellos.

Los sistemas de detección de intrusiones (IDS) están constantemente vigilando, e incorporan mecanismos de análisis de tráfico y de análisis de sucesos en sistemas operativos y aplicaciones que les permiten detectar intrusiones en tiempo real. Un IDS puede ser un dispositivo hardware autocontenido con una o varias interfaces, que se conecta a una o varias redes; o bien una aplicación que se ejecuta en una o varias máquinas y analiza el tráfico de red que sus interfaces ven y/o los eventos generados por el sistema operativo y las aplicaciones locales.

Tipos de Detección Los usos indebidos son ataques bien definidos contra

debilidades conocidas de los sistemas. Se los puede detectar buscando la ocurrencia de determinadas acciones concretas.

Las anomalías se basan en la observación de desviaciones de los patrones de uso normales en el sistema. Se las detecta construyendo previamente un perfil del sistema a monitorizar y posteriormente estudiando las desviaciones que se produzcan con respecto a este perfil. Las intrusiones por uso indebido siguen patrones bien definidos, por lo que se pueden detectar realizando búsqueda de patrones en el tráfico de red y en los ficheros de registro.

Las intrusiones por anomalía se detectan observando desviaciones significativas del comportamiento habitual.

Para ello se mide una serie de parámetros. Considerando que una intrusión involucrará un uso anormal del sistema, se pueden detectar las violaciones de seguridad a partir de patrones anormales de uso.

Los detectores de anomalías conocen, bien porque han sido programados por un experto, bien porque han pasado por una fase previa de aprendizaje, la actividad que resulta “normal” en el seno de un sistema. Mediante métodos estadísticos se intentará posteriormente comparar la información recibida en cada instante con el modelo de actividad válida, y aquello que se aparte excesivamente será etiquetado como intrusión.

Es difícil detectar intrusiones por anomalías. No hay patrones fijos que se puedan monitorizar, por lo que se usan aproximaciones “borrosas” que suelen producir altas tasas de error.

NIDS HIDSSistemas de detección

de intrusos por redEstos sistemas disponen de una o varias interfaces de red conectadas a determinados puntos estratégicos de la red. Monitorizan el tráfico que pasa por dichos puntos en busca de tráfico malicioso. Aunque estos sistemas en principio son dispositivos absolutamente pasivos, con frecuencia se colocan los NIDS en cortafuegos y enrutadores, de manera que el propio sistema puede forzar el cierre de conexiones y modificar reglas de filtrado de una manera más directa.

Mediante uno solo de estos sistemas se puede monitorizar el tráfico tanto interno como externo de una red para muchas máquinas. Los NIDS no suelen controlar toda la red sino determinados puntos estratégicos.

Sistemas de detección de intrusos de máquina

se instalan en las máquinas que componen la red: tanto servidores como estaciones de trabajo. Un sensor, instalado directamente como un módulo sobre una máquina, dispone de información de mayor nivel semántico que los NIDS: llamadas al sistema, eventos complejos dentro de aplicaciones de alto nivel, etc. Un sistema basado únicamente en red tendría que ser mucho más complejo para “entender” la gran diversidad de protocolos que existen, y los que se implementan por encima de éstos. Por otra parte, la tendencia actual al uso de conexiones encriptadas, de indiscutible interés para mejorar la seguridad de los sistemas, hace que un sistema que solo escuche la red disponga de muy poca información para distinguir el tráfico malicioso del aceptable.

CERTIFICADOS DE SEGURIDAD

SSL (Secure Sockets Layer) Son una medida de confianza adicional para las personas que

visitan y hacen transacciones en su página web, le permite cifrar los datos entre el ordenador del cliente y el servidor que representa a la página. El significado más preciso de un certificado de seguridad es que con él logramos que los datos personales sean encriptados y así imposibilitar que sean interceptados por otro usuario. Ahora es muy común ver en nuestros exploradores el protocolo de seguridad https; mediante éste, básicamente nos dice que la información que se envía a través de internet, entre el navegador del cliente y el servidor donde está alojada la página, se encripta de forma que es casi imposible que otra persona reciba, vea o modifique los datos confidenciales del cliente. 

Los certificados de seguridad brindan confianza en línea, al obtener un certificado, su cliente podrá conocer la información sobre su empresa. Al ofrecer seguridad, aumentará el número de clientes y usuarios, realizando más compras en su sitio web y así tener una experiencia en internet más rentable.

Los sitios web que cuentan con certificados de seguridad nos permiten saber quién es el dueño del mismo, saber a qué dominio pertenece, la procedencia real del dueño del sitio, la validez del certificado, así como su fecha de caducidad, y sobre todo, la empresa que ha emitido el certificado. Podemos decir que los sitios web que consideran necesario un certificado de seguridad logran garantizar mayor seguridad a los usuarios.

PFSENSE

Es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración.

El proyecto es sostenido comercialmente por BSD Perimeter LLC.

URL: http://www.pfsense.org/

CARACTERÍSTICASLa siguiente lista muestra algunas funcionalidades que se incluyen por defecto en el sistema. Firewall

State Table

Network Address Translation (NAT)

Balance de carga

VPN que puede ser desarrollado en IPsec, OpenVPN y en PPTP

Servidor PPPoE

Servidor DNS

Portal Cautivo

Servidor DHCP

PfSense cuenta con un gestor de paquetes para ampliar sus funcionalidades, al elegir el paquete deseado el sistema automáticamente lo descarga e instala. Existen alrededor de setenta módulos disponibles, entre los que se encuentran el proxy Squid, IMSpector, Snort, ClamAV, entre otros.

INSTALACIÓN PfSense puede instalarse en cualquier ordenador o servidor que

cuente con un mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD. Una vez copiados los archivos del sistema al disco duro, se procede a configurar las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede acceder al sistema desde un explorador web. El portal de administración está basado en PHP y teóricamente todas las configuraciones y administración se pueden realizar desde allí, por lo tanto no es indispensable contar con conocimientos avanzados sobre la línea de comandos UNIX para su manejo.

UNTANGLE

Es una empresa privada con sede en Sunnyvale, California , que produce y apoya el software y hardware de las versiones del Untangle firewall UTM de red de la aplicación. Untangle es utilizado por más de 30.000 organizaciones de todo el mundo.

Untangle ofrece software en dos paquetes diferentes, Standard y Premium. Premium ofrece la gestión de rendimiento de la red y filtrado de contenido más robusta. Ambos se venden como suscripciones.

URL:

http://www.untangle.com/

Untangle aplicaciones incluyen:

Anti-spam

Filtrado de contenidos

Antivirus , Anti-phishing

Anti-spyware

Prevención de intrusiones

Firewall

OpenVPN

Enrutador

Caché web de software.

Aplicaciones libres de Untangle se agrupan en el paquete Lite, publicado bajo la versión 2 de la Licencia Pública General de GNU (GPL), muchos componentes con la excepción Classpath GNU. Ciertos componentes de terceros distribuidos con el Software Untangle están licenciados bajo otros términos de licencia gratuita. Los paquetes estándar y Premium están bajo una EULA de propiedad.

FORTINET Es una compañía americana que se especializa en dispositivos de seguridad de red . Línea de producto principal de Fortinet se vende bajo el nombre comercial de FortiGate. Fortinet fue fundada en 2000 por Ken Xie , fundador y ex presidente y director general de NetScreen y es una compañía que cotiza en bolsa (en el NASDAQ bajo el símbolo FTNT, al 18 de noviembre de 2009). La posición de Fortinet como el líder en ingresos en gestión unificada de amenazas (UTM), ha sido validado por IDC varias veces.

Fortinet es una compañía internacional, con sede en Sunnyvale, California. Fortinet distribuye sus sistemas y servicios basados en suscripción utilizando el partner de canal método de venta, con más de 1.500 en todo el mundo.

URL:http://www.fortinet.com/

CARACTERÍSTICAS Fortinet ofrece gateways de seguridad y productos que son una combinación de rendimiento ASIC-acelerado, protección multi-amenaza integrada y constante actualización, en profundidad de inteligencia de amenaza. Esto ofrece la red, el contenido y la seguridad de aplicaciones para las empresas, proveedores de servicios gestionados, y operadores de telecomunicaciones, al tiempo que reduce el coste total de la propiedad y proporcionar una ruta de acceso flexible y escalable para la expansión. La compañía ofrece las siguientes líneas de productos:

FortiGate - dispositivos de seguridad multi-amenaza

FortiMail - dispositivos de seguridad de mensajería

FortiWeb - firewall de aplicaciones web

FortiDB - aparato de seguridad de base de datos

FortiClient - suite de seguridad de punto final

FortiWifi - dispositivos de seguridad inalámbricos

FortiAP - punto de acceso inalámbrico delgada

FortiAnalyzer - informes centralizados

FortiManager - Gestión centralizada

FortiScan - gestión de vulnerabilidades

FortiPlanner - herramienta de planificación de punto de acceso inalámbrico

FortiToken - solución de autenticación de dos factores

FortiCarrier - proveedor de servicios de seguridad

Algunos productos FortiGate solicitar a los usuarios que acepten un nuevo nivel de la raíz Fortigate certificado SSL luego actuar como intermediario en lugar de conectar al usuario directamente a su servidor SSL final previsto. Esto es necesario en un contexto de gestión unificada de amenazas donde el control total sobre el malware y los virus entrante es un atributo clave. 

Firewalls corporativos mayores ni bloquearon el puerto HTTPS completa o permitir HTTPS, pero no pudieron realizar un filtrado del flujo de datos encriptados en busca de amenazas de seguridad como virus, o infracciones de la política de TI.