domingo, 20 junio , 2021
Objetivos
Introducción
La red constituye el punto de contacto con el exterior, la frontera con el resto del mundo. En una casa necesitamos colocar puertas y ventanas para poder entrar y salir pero también se deben instalar rejas y cerraduras para impedir el acceso a intrusos.
En un mundo ideal no habría nada que temer pero por desgracia este mundo dista mucho de ese modelo por lo que se deben levantar barreras para salvaguardar nuestra intimidad y propiedad como verjas, cerraduras de seguridad e instalación de alarmas que detectan la presencia de intrusos.
En las redes informáticas, al igual que sucede con la protección de estructuras físicas, se utilizan recursos de control de intrusos de tipo perimetral basados en el empleo de cor- tafuegos y routers. Estos dispositivos actúan como las rejas de los pinchos y las puertas con diez cerrojos. Sirven para mantener fuera a los intrusos, es decir, sirven al propósito de prevenir ataques o intrusiones en la red interna por ellos protegida.
Pero, como sabemos, una puerta blindada no impide que un ladrón se cuele por otro lado más vulnerable, como por ejemplo por una ventana o por un conducto de ventila- ción o que la propia puerta se use de forma negligente, por ejemplo guardando las llaves debajo del felpudo o dejando la puerta entreabierta para no tener que andar abriendo y cerrando a todo el que llega a casa o se las deja al fontanero o a la empleada de hogar que obtiene copia para poder robar después.
En este apartado se efectuará un estudio sobre la seguridad de las redes. La seguridad en la red se construye como una cadena que se rompe por el eslabón más débil. A menudo se comete el error de fortalecer el mismo eslabón descuidándose los demás.
La defensa perimetral es muy importante pero no la única barrera de seguridad. Nun- ca debemos olvidar que la protección del perímetro resulta indispensable para mantener a los atacantes fuera, pero resulta inútil una vez están dentro.
La seguridad de los sistemas informáticos depende en gran medida de las conexiones con el exterior que este posee. Por ello las redes son uno de los puntos críticos a la hora de securizar un sistema.
La protección de un sistema aislado requiere la instalación de controles físicos de acceso para garantizar que solo el personal autorizado lo hace correctamente.
Pero en la actualidad, los sistemas informáticos están interconectados a redes de ordenadores mediante las cuales los administradores pueden acceder a sus servicios, pero también los intrusos tienen en teoría la posibilidad de realizar atacarlos a miles de kiló- metros de distancia.
La conexión a la red abre un abanico de amenazas que se van incrementado si las redes son públicas, inalámbricas…
En definitiva, se podrían resumir diciendo que a igual de contramedidas, cuanta ma- yor exposición, mayor riesgo.
1. Seguridad en redes, control de acceso y dispositivos de seguridad
Antes de entrar en materia debemos introducir una serie de conceptos básicos que nos situarán en la problemática de seguridad en Internet.
La red. Conceptos previos de arquitectura de seguridad. Protocolo TCP/IP
El protocolo más extendido en comunicaciones en la actualidad es la familia TCP/IP. Dicho conjunto de protocolos fue desarrollado por el informático estadounidense Vinton Cerf dentro de un proyecto del Gobierno, patrocinado por la Agencia de Programas Avan- zados de Investigación (ARPA), perteneciente al Departamento de Defensa de Estados Unidos.
En un primer momento fue utilizado en una red pequeña de ordenadores llamada ARPANET, en la cual tenían presencia agencias de seguridad del estado, universidades y varios laboratorios de investigación. La gran evolución de las redes de ordenadores con- dujo a la apertura de dicha red y se desarrolló hasta lo que se conoce actualmente como Internet.
Si hacemos un símil con el mundo real y tangible, los paquetes de datos en TCP/IP son como cartas en las cuales hay un remitente y un destinatario. Los carteros las recogen y clasifican, enviándolas al final a su destino correspondiente porque saben dónde deben ir en función de la dirección que la propia carta posee. Ellos actúan como encaminado- res hasta hacer llegar la información al destino. En TCP/IP todo sucede igual: un emisor manda un mensaje que, en caso de necesidad de saltar a otra red, es recogido por un enca- minador (router), el cual lo reenvía por el camino más apropiado hasta llegar a su destino.
En la actualidad TCP/IP es utilizado como protocolo en Internet, Intranets y Extra- nets: Internet es una red de redes con cobertura mundial; Intranet es una red interna de una organización que utiliza protocolos de Internet, en definitiva TCP/IP; mientras que una Extranet se define como una red de interconexión privada con el exterior para prestar servicios o establecer algún tipo de relación con trabajadores, clientes o empresas cola- boradoras, en la cual evidentemente se usa TCP/IP como conjunto de protocolos para el intercambio de información.
La principal ventaja de TCP/IP por tanto es su confianza ante fallos: si un enlace se pierde, la información puede fluir por otro camino incluso sin que el origen y el destino lleguen a darse cuenta.
TCP/IP se compone de una pila de protocolos que está estratificada en cuatro capas, siguiendo el modelo OSI1. Presenta una primera capa de acceso físico a la red en contac- to directo con los elementos de la red, implantada en los controladores (drivers) de los elementos de las comunicaciones, así como en el propio hardware. La siguiente capa de Internet tiene como propósito seleccionar la mejor ruta para enviar paquetes por la red. El propósito principal que funciona en esta capa es el protocolo IP que proporciona un enrutamiento de paquetes no orientado a conexión de máximo esfuerzo. El IP no se ve afectado por el contenido de los paquetes sino que busca una ruta hacia su destino.
En la siguiente capa, denominada de transporte, la información se une con cada ser- vicio y es responsable del flujo de datos entre los equipos que forman la comunicación. Por último, se encuentra la capa de aplicación, la que ve el usuario final. En ella coexisten multitud de protocolos orientados a diferentes servicios: Telnet, HTTP, FTP, SMTP, etc.
Redes inalámbricas
Las redes inalámbricas se han constituido como una de las estructuras de red más utilizadas en las redes informáticas ya sea en hogares, oficinas e industrias que permiten interconectar sin cables los diferentes equipos informáticos.
Las redes de área local inalámbricas (Wireless Local Networks o WLAN) permiten que varios dispositivos puedan transmitirse información entre ellos a través de ondas de radio sin necesidad de cables. Las ventajas saltan a la vista por la mayor libertad que pro- porcionan a los usuarios de red que no dependen de la existencia en las proximidades de un punto de red y pueden llevar su equipo, especialmente si es portátil, a cualquier sitio sin perder la conexión a Internet. Las rede WLAN solucionan algunos problemas asocia- dos a las redes con cables, en especial los derivados de la instalación de los mismos, que a menudo requieren pequeñas obras para la acometida. Facilitan sobremanera y reducen costes de instalación, ya que no requieren obra y se ahorra en cable y permiten alcanzar altas velocidades de transmisión.
Pero estas estructuras inalámbricas se han constituido como una de las vías de ataque a la red a través de diferentes mecanismos de intrusión lo que preocupa seriamente a la seguridad de las redes informáticas.
Amenazas y ataques en una red
Para poder implantar contramedidas de seguridad adecuadas, en primer lugar se de- ben comprender cuáles son las amenazas a que una red está expuesta y cuáles son las vul- nerabilidades de red explotadas por los ataques. A continuación se describen los riesgos más comunes, compartidos por la práctica totalidad de redes existentes, sin importar su dimensión.
Las principales amenazas a las que se enfrenta una red son, entre otras:
Recopilación de información (harvesting). El intruso busca obtener información acerca de la topología de la red, tipos de dispositivos presentes y su configuración. Gracias a esta información puede descubrir vulnerabilidades y puntos de entrada.
Interceptación de tráfico (sniffing). El intruso intercepta el tráfico de forma pasiva, es de- cir, no lo modifica, en busca de contraseñas e información sensible que circula por la red.
Falsificación (spoofing). El intruso oculta su identidad real, haciéndose pasar por otro usuario o equipo. Suele utilizarse para enmascarar la dirección real de procedencia de un ataque o para burlar un sistema de control de acceso en función de la dirección IP de origen. Es considerado un ataque por spoofing tanto la modificación de paquetes exis- tentes en la red como la creación de nuevos cuyo objeto es falsear la identidad de algún componente de la transmisión de un mensaje.
Secuestro de sesión (hijacking). El intruso utiliza una aplicación para simular el compor- tamiento del cliente o del servidor, o bien intercepta los paquetes de información por la red pudiendo visionarlos y modificarlos a su antojo. Como consecuencia, el servidor o el cliente creen estar comunicándose con el equipo legítimo, cuando en realidad se trata el equipo del atacante, que aparece a todos los efectos como el destino auténtico. Se uti- liza típicamente para obtener información de autenticación y datos sensibles. A este tipo de ataques se les conoce como ataques de hombre en el medio (Man-In-The-Middle o MITM).
Denegación de servicio (DDoS). El intruso busca denegar a los usuarios legítimos el ac- ceso a los servidores o servicios de la red inundándola con tráfico espurio que consuma todo su ancho de banda y recursos. Cabe destacar un gran grupo dentro de este tipo de ataques conocido bajo el nombre de denegación de servicio distribuida (Distributed De- nial of Service o DDoS) en el cual se coordinan varios sistemas para realizar un ataque simultáneo contra un objetivo definido.
Para evitar este tipo de ataques existen multitud de herramientas de análisis de se- guridad que deben emplearse si se desea evitar estos. De hecho, tanto el intruso como el auditor de sistemas suelen emplear las mismas herramientas para realizar el escaneo de puertos, escaneo de vulnerabilidades, análisis de tráfico (sniffing), cracking de contrase- ñas, detección de módems, enumeración de recursos, detección de redes inalámbricas, etc. como por ejemplo, ping, tracert, SNMP (Simple Network Management Protocol), Fingerprinting, etc.2.
Ataques de sistemas inalámbricos
Las redes inalámbricas pueden ser accedidas desde fuera de la organización. Una técnica ampliamente extendida consiste en ir en coche rastreando la señal en busca de redes inalámbricas, en especial para localizar las que están desprotegidas en vehículo y que denominan como Wardriving (War=guerra y Driving= conducir).
Otra técnica, conocida como Warchalking (Chalk=marcar con tiza) y que consiste en el marcado de edificios o lugares donde se albergan redes inalámbricas de interés con símbolos especiales. Este tipo de marcas secretas se han utilizado durante muchos años por mendigos, delincuentes y malhechores para marcar puertas de viviendas y poder identificar “vivienda con poli”, “dueño agresivo”, “perro peligroso”, etc. En el caso de las redes inalámbricas disponibles, la creación de las marcas de tiza se atribuye al escri- tor Ben Hammersley, publicadas por Matt Jones. Pero actualmente, se marcan mediante la ubicación en planos digitales por las coordenadas de los lugares donde existen redes inalámbricas disponibles.
Existen multitud de aplicaciones informáticas que permiten rastrear las redes dispo- nibles y a su vez crackrear las claves de acceso mediante técnicas de fuerza bruta.
Las principales amenazas que pueden afectar a las redes inalámbricas son las siguientes:
Access Point Spoofing conocido como “Asociación Maliciosa”. El atacante simula ser un punto de acceso (Access point) y el usuario se conecta con su dispositivo pensando que es una red WLAN auténtica.
X (hombre en medio).
MAC spoofing o enmascaramiento del MAC. Este ataque se produce cuando se roba la dirección MAC de un dispositivo en una red y el invasor usurpa la identidad de un usuario de la misma accediendo a la red y sus contenidos.
WLAN escáners conocido como “Ataque de Vigilancia”. Se efectúa al recorrer un deter- minado establecimiento o local a fin de descubrir las redes WLAN activas y sus equipa- mientos informáticos para efectuar después el ataque o robo.
Wardriving y warchalking. Se llama de “Wardriving” a la actividad de encontrar puntos de acceso a redes inalámbricas, mientras uno se desplaza por la ciudad en un automóvil y haciendo uso de una notebook con una placa de red Wireless para detectar señales. Des- pués de localizar un punto de acceso a una determinada red inalámbrica, algunos indivi- duos marcan el área con un símbolo hecho con tiza en la veredera o la pared, e informan a otros invasores -actividad que se denomina “warchalkin.
Control de acceso y dispositivos de seguridad
En su acepción común, un cortafuegos es una vereda ancha que se abre en los sem- brados y montes para que no se propaguen los incendios. Su análogo informático per- sigue el mismo objetivo: aislar su red interna del resto del mundo, como si del foso de una fortaleza medieval se tratara, proporcionando un único punto de entrada y salida. El cortafuegos “firewall”, restringe el acceso de usuarios externos a la red interna y de usua- rios internos al exterior, de forma que todo acceso tiene lugar exclusivamente a través de un punto cuidadosamente controlado, algo así como el puente levadizo. De esta forma se evita que los atacantes alcancen otras defensas interiores y que se produzcan filtraciones de información desde dentro, como las causadas por troyanos. Por este motivo, el corta- fuegos se instala en el punto en el que su red interna se conecta con Internet.
Dado que todo el tráfico que entra desde Internet o sale desde la red interna lo hace a través del cortafuegos, éste puede examinarlo y, en función de sus reglas, posee la po- testad de decidir si es aceptable o no y si lo retransmitirá a su destinatario. Ahora bien, es fundamental definir correctamente lo que significa “aceptable”. Para ello se confecciona una política de seguridad en la que se establece claramente qué tipo de tráfico está permi- tido, entre qué origen y qué destino, qué servicios se habilitan, qué contenidos se admiten, etc. Dependiendo del caso concreto, existirán políticas altamente restrictivas, en las que prácticamente nada está permitido, y otras muy permisivas, en las que no se habilitan apenas prohibiciones. La clave reside en alcanzar un compromiso entre sus necesidades de seguridad y su comodidad.
El cortafuegos, por estas características, se ha convertido en uno de los productos indispensables de todo sistema de seguridad. Entre los muchos servicios que ofrecen, destacan los siguientes:
Aislamiento de Internet. La misión de un cortafuegos es aislar su red privada de Internet, restringiendo el acceso hacia/desde su red solo a ciertos servicios, a la vez que analiza todo el tráfico que pasa a través de él. Si cualquiera de los ordenadores de la Intranet su- cumbe ante un atacante, el resto de la red local queda amenazada.
El cortafuegos actúa de pantalla, permitiendo sólo aquellos servicios que se consi- deren como seguros: por ejemplo sólo correo electrónico y navegación, o cualquier otra elección definida en la política de seguridad de la organización.
Cuello de botella. El cortafuegos se constituye en un cuello de botella, que mantiene a los atacantes y peligros alejados de la red a proteger, prohíbe en los dos sentidos servicios susceptibles a ataques y proporciona protección ante algunos tipos de ataques basados en el enrutamiento de paquetes. El cortafuegos representa el enfoque de seguridad conocido como defensa perimetral que debe combinarse con la protección a fondo de cada uno de los equipos conectados a la red, lo que se conoce como defensa en profundidad.
Detección de intrusos. Dado que todo intento de conexión debe pasar por él, un cortafue- gos adecuadamente configurado puede alertarle cuando detecta actividades sospechosas que pueden corresponder a intentos de penetración en su red, conatos de denegación de servicio o tentativas de enviar información desde ella, como los que realizarían troyanos que se hubieran colado dentro.
Auditoría y registro de uso. El cortafuegos constituye un buen lugar donde recopilar in- formación sobre el uso de la red. En su calidad de punto único de acceso, el cortafuegos puede registrar toda la actividad entre la red exterior y la interior.
Con todos estos datos, el administrador puede posteriormente estudiar estadística- mente el tipo de tráfico, las horas de mayor carga de trabajo, el ancho de banda consu- mido y, por supuesto, todos los intentos de intrusión o las pistas dejadas por un atacante.
Seguridad de contenidos. Existen otras amenazas como los virus y el contenido activo malicioso, frente a las cuales los mejores cortafuegos ofrecen una protección limitada. La inspección antivirus del material transmitido a través de los servicios como el correo electrónico, la Web o FTP es una característica incorporada por un número cada vez ma- yor de cortafuegos.
Autenticación. La determinación de la identidad de las personas o entidades que acceden a la red protegida, a través de servicios como HTTP, FTP o Telnet, etc., resulta crítica en la mayoría de los entornos. Esta autenticación se logra tradicionalmente mediante nom- bres de usuario y contraseñas. Sin embargo, no pueden considerarse una técnica fiable cuando los requisitos de seguridad son severos. En su lugar, algunos cortafuegos permiten autenticarse utilizando métodos más sofisticados, basados en tarjetas inteligentes, contra- señas de un solo uso, etc.
Traducción de direcciones de red (NAT). Otras funciones adicionales que puede realizar el cortafuegos es la de ocultar el rango de direccionamientos internos de la organización, realizando una traducción de direcciones (Network Address Translation o NAT). De esta manera, resulta posible contar con sólo una dirección válida o un rango reducido de di- recciones válidas en Internet y disponer de un gran número de direcciones privadas para las máquinas internas no enrutables desde Internet. Gracias a NAT, las direcciones de las máquinas internas quedan ocultas al exterior.
VPN. Los cortafuegos también pueden actuar como servidores de redes privadas virtua- les. Se tratan en la siguiente sección de este capítulo, por lo que no se dirá aquí nada más sobre ellas.
A pesar de todas estas virtudes, los cortafuegos no suponen la solución definitiva a todos los problemas de seguridad ya que existen amenazas que quedan fuera del alcance de los cortafuegos contra las cuales deben buscarse otros caminos de protección como los ataques desde el interior, ataques que no pasan por el cortafuegos, infección de virus sofisticados, ataques basados en fallos de los programas informáticos y otros ataques completamente novedosos3.
Pasarela proxy de aplicaciones
La idea básica de un servidor proxy es actuar de pasarela (Gateway) entre el cliente y el servidor, trabajando a nivel de aplicación. El proxy espera a una petición del cliente y la reexpide al servidor, lee la respuesta generada por el servidor y la reenvía de vuelta al cliente. Estos cortafuegos funcionan tanto para retransmitir el tráfico para clientes en el exterior que quisieran conectarse con un servidor en el interior de la red protegida, como de clientes internos que se conectan a servicios en el exterior de la red protegida. De esta forma, el cliente y el servidor no se ven uno a otro cara a cara, sino que solamente ven al proxy, que actúa de intermediario entre ambos, de forma más o menos transparente, gestionando toda su comunicación y creando la ilusión de que el cliente está hablando con el servidor. El proxy, además, puede evaluar las peticiones del cliente o las respuestas del servidor y decidir cuáles acepto o ignora, basándose en la política de seguridad de la organización.
En lugar de disponer de un cortafuegos proxy para todas las aplicaciones, se suelen utilizar proxies dedicados, especializados en un protocolo determinado, como correo o Web.
Redes privadas virtuales
Una red privada virtual (Virtual Private Network o VPN) es un túnel o canal seguro a través de Internet u otras redes públicas. El contenido de la conexión a través de Internet se realiza mediante encriptación, de manera que sus datos quedan inaccesibles para el público, pero no para la red privada a la que se conecta. Las VPN se suelen utilizar para conectar dos redes locales a través de una red insegura como Internet. Gracias a la VPN, el ordenador remoto se conecta a la otra LAN como si estuviera directamente conectado a ella en red local.
Resumen