SEGURIDAD DE REDES DE COMPUTADORA

Ataque Contra las Redes TCP/IP

Seguridad en Redes TCP/IP

Durante la década de los 60, dentro del marco de la guerra fría, la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financio equipos de investigación en distintas universidades con el objetivo de desarrollar una red de ordenadores con una administración totalmente distribuida.

Actividades Previas a la Realización del Ataque

Previamente a la planificación de un posible ataque contra uno o más equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase, es decir, para obtener toda la información posible de la víctima, será necesario utilizar una serie de técnicas de obtención y recolección de información.

Utilización de herramientas de administración

La fase de recogida de información podría empezar con la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un sistema

Busqueda de Huellas Identificadoras

Aparte de la utilización de herramientas de administración y servicios de internet, existen técnicas más avanzadas que permiten extraer información más precisa de un sistema o de una red en concreto.

Exploración de puertos

La exploración de puertos es una técnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino.

Exploración de puertos TCP

Aparte de ser de utilidad para obtener la huella identificativa de un sistema conectado a la red, la exploración de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece o no un determinado servicio.

Ataques de denegación de servicio

Un ataque de denegación de servicio es un incidente en el cual un usuario o una organización es privada de los servicios de un recurso que esperaba obtener. Normalmente, la perdida de servicio se corresponde con la imposibilidad de obtener un determinado servicio de red

Deficiencias En Programación

Analizaremos dos de los errores de programación más graves que podemos encontrar en aplicaciones de red como ejemplo del ultimo tipo de deficiencias asociadas al modelo de comunicaciones TCP/IP.

Desbordamiento de buffer

Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir información más allá de los límites de una tupla almacenada en la pila de ejecución.

Cadenas de formato

Los ataques que explotan deficiencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.

Mecanismos de Prevención

Sistemas Cortafuegos

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Características Adicionales de Sistemas Cortafuegos

El Sistemas Cortafuegos es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.

Los Sistemas Cortafuegos manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estarían expuestos a ataques desde el exterior.

La parte más importante de las tareas que realizan los Sistemas Cortafuegos, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación

Zonas desmilitarizadas

Es una zona insegura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la red externa

Mecanismos para la Detección de Ataques e Intrusos

Necesidad de Mecanismos Adicionales en la Prevención y Protección

A veces lo que catalogamos como una Seguridad Estandar para nuestro Sistema no es suficiente, es por ellos de debemos tomar acciones adicionales para mantener la seguridad en nuestro equipo.Sin embargo, esta acción pueda que no sea suficiente para proteger los datos del Sistema, ya que un intruso (hacker) puede acceder a ella a través de las siguientes fases:

Fase de vigilancia.

Fase de explotación de servicio.

Fase de ocultación de huellas.

Sistemas de Detección de Intrusos

Los primeros sistemas aparecieron en la década de los cincuenta, cuando la empresa norteamericana Bell Telephone System creo un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en empresas de telefonía.

Arquitectura General de un Sistema de Detección de Intrusos

En todos los Sistemas de Detección de Intrusos se tiene que cumplir con los siguientes requisitos:

Precisión.

Eficiencia.

Rendimiento.

Escalabilidad.

Tolerancia en fallos.

Sistemas de Decepción

Los sistemas de decepción tratan de cambiar las reglas del juego, ofreciendo al administrador de la red la posibilidad de tomar la iniciativa. Los sistemas de decepción, en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.

Prevención de Intrusos

Los sistemas de prevención de intrusos son el resultado de unir las capacidades de bloqueo de los mecanismos de prevención A continuación, los modelos existentes más relevantes para construir un sistema de prevención tal como acabamos de definir.

Sistemas de detección en línea

Conmutadores de nivel siete

Sistemas cortafuegos a nivel de aplicación

Conmutadores híbridos

Detección de Ataques Distribuidos

Un caso de interés especial dentro de los mecanismos de detección es el de la identificación de ataques distribuidos o coordinados.

Esquemas tradicionales

Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados.

Análisis descentralizado

La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durísimas restricciones de tiempo real.

Aplicaciones Seguras

Protocolo SSH

es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente.

Características de SSH

Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor al que se conectó anteriormente.

El cliente transmite su información de autenticación al servidor usando una encriptación robusta de 128 bits.

Todos los datos enviados y recibidos durante la sesión se transfieren por medio de encriptación de 128 bits, lo cual los hacen extremamente difícil de descifrar y leer.

Mecanismos de Protección

Sistemas de Autenticación

Uno de los servicios de seguridad que se requiere en muchas aplicaciones es el de la autenticación. Este servicio permite garantizar que nadie ha falsificado la comunicación.
Podemos distinguir dos tipos de autenticación:

Autenticación de Mensaje

La autenticación de mensaje o autenticación de origen de datos permite confirmar que el originador A de un mensaje es auténtico, es decir, que el mensaje no ha sido generado por un tercero Z que quiere hacer creer que lo ha generado A.

Autenticación de Entidad

La autenticación de entidad permite confirmar la identidad de un participante A en una comunicación, es decir, que no se trata de un tercero Z que dice ser A.

Criptografía

La criptografía estudia, desde un punto de vista matemático, los métodos de protección de la información. Por otro lado, el criptoanálisis estudia las posibles técnicas utilizadas para contrarrestar los métodos criptográficos

Protección del Nivel de Transporte

Un método alternativo que no necesita modificaciones en los equipos de interconexión es introducir la seguridad en los protocolos de transporte. Este grupo de protocolos comprende:

El protocolo de transporte Secure Sockets Layer (SSL), desarrollado por Netscape Communications a principios de los años 90.

La especificación Transport Layer Security (TLS), elaborada por la IETF (Internet Engineering Task Force). La versión 1.0 del protocolo TLS está publicada en el documento RFC 2246.

Redes Privadas Virtuales

Una red privada virtual (VPN) es una configuración que combina el uso de dos tipos de tecnologías:

Las tecnologías de seguridad que permiten la definición de una red privada, es decir, un medio de comunicación confidencial

Las tecnologías de encapsulamiento de protocolos que permiten que, en lugar de una conexión física dedicada para la red privada

Protección del Nivel de Red

La protección a nivel de red garantiza que los datos que se envíen a los protocolos de nivel superior, como TCP o UDP, se transmitirán protegidos.

AUDITORIA Y SEGURIDAD DE SISTEMAS Sergio Vallecillo