AUDITORIA Y SEGURIDAD DE SISTEMAS Sergio Vallecillo
SEGURIDAD DE REDES DE COMPUTADORA
Mecanismos de Protección
Protección del Nivel de Red
La protección a nivel de red garantiza que los datos que se envíen a los protocolos de nivel superior, como TCP o UDP, se transmitirán protegidos.
Redes Privadas Virtuales
Una red privada virtual (VPN) es una configuración que combina el uso de dos tipos de tecnologías:
Las tecnologías de encapsulamiento de protocolos que permiten que, en lugar de una conexión física dedicada para la red privada
Las tecnologías de seguridad que permiten la definición de una red privada, es decir, un medio de comunicación confidencial
Protección del Nivel de Transporte
Un método alternativo que no necesita modificaciones en los equipos de interconexión es introducir la seguridad en los protocolos de transporte. Este grupo de protocolos comprende:
La especificación Transport Layer Security (TLS), elaborada por la IETF (Internet Engineering Task Force). La versión 1.0 del protocolo TLS está publicada en el documento RFC 2246.
El protocolo de transporte Secure Sockets Layer (SSL), desarrollado por Netscape Communications a principios de los años 90.
Criptografía
La criptografía estudia, desde un punto de vista matemático, los métodos de protección de la información. Por otro lado, el criptoanálisis estudia las posibles técnicas utilizadas para contrarrestar los métodos criptográficos
Sistemas de Autenticación
Uno de los servicios de seguridad que se requiere en muchas aplicaciones es el de la autenticación. Este servicio permite garantizar que nadie ha falsificado la comunicación.
Podemos distinguir dos tipos de autenticación:
Autenticación de Entidad
La autenticación de entidad permite confirmar la identidad de un participante A en una comunicación, es decir, que no se trata de un tercero Z que dice ser A.
Autenticación de Mensaje
La autenticación de mensaje o autenticación de origen de datos permite confirmar que el originador A de un mensaje es auténtico, es decir, que el mensaje no ha sido generado por un tercero Z que quiere hacer creer que lo ha generado A.
Aplicaciones Seguras
Protocolo SSH
es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente.
Características de SSH
Todos los datos enviados y recibidos durante la sesión se transfieren por medio de encriptación de 128 bits, lo cual los hacen extremamente difícil de descifrar y leer.
El cliente transmite su información de autenticación al servidor usando una encriptación robusta de 128 bits.
Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor al que se conectó anteriormente.
Mecanismos para la Detección de Ataques e Intrusos
Detección de Ataques Distribuidos
Un caso de interés especial dentro de los mecanismos de detección es el de la identificación de ataques distribuidos o coordinados.
Análisis descentralizado
La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durísimas restricciones de tiempo real.
Esquemas tradicionales
Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados.
Prevención de Intrusos
Los sistemas de prevención de intrusos son el resultado de unir las capacidades de bloqueo de los mecanismos de prevención A continuación, los modelos existentes más relevantes para construir un sistema de prevención tal como acabamos de definir.
Conmutadores híbridos
Sistemas cortafuegos a nivel de aplicación
Conmutadores de nivel siete
Sistemas de detección en línea
Sistemas de Decepción
Los sistemas de decepción tratan de cambiar las reglas del juego, ofreciendo al administrador de la red la posibilidad de tomar la iniciativa. Los sistemas de decepción, en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.
Arquitectura General de un Sistema de Detección de Intrusos
En todos los Sistemas de Detección de Intrusos se tiene que cumplir con los siguientes requisitos:
Tolerancia en fallos.
Escalabilidad.
Rendimiento.
Eficiencia.
Precisión.
Sistemas de Detección de Intrusos
Los primeros sistemas aparecieron en la década de los cincuenta, cuando la empresa norteamericana Bell Telephone System creo un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en empresas de telefonía.
Necesidad de Mecanismos Adicionales en la Prevención y Protección
A veces lo que catalogamos como una Seguridad Estandar para nuestro Sistema no es suficiente, es por ellos de debemos tomar acciones adicionales para mantener la seguridad en nuestro equipo.Sin embargo, esta acción pueda que no sea suficiente para proteger los datos del Sistema, ya que un intruso (hacker) puede acceder a ella a través de las siguientes fases:
Fase de ocultación de huellas.
Fase de explotación de servicio.
Fase de vigilancia.
Mecanismos de Prevención
Zonas desmilitarizadas
Es una zona insegura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la red externa
Sistemas Cortafuegos
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Características Adicionales de Sistemas Cortafuegos
La parte más importante de las tareas que realizan los Sistemas Cortafuegos, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación
Los Sistemas Cortafuegos manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estarían expuestos a ataques desde el exterior.
El Sistemas Cortafuegos es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.
Ataque Contra las Redes TCP/IP
Deficiencias En Programación
Analizaremos dos de los errores de programación más graves que podemos encontrar en aplicaciones de red como ejemplo del ultimo tipo de deficiencias asociadas al modelo de comunicaciones TCP/IP.
Cadenas de formato
Los ataques que explotan deficiencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.
Desbordamiento de buffer
Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir información más allá de los límites de una tupla almacenada en la pila de ejecución.
Ataques de denegación de servicio
Un ataque de denegación de servicio es un incidente en el cual un usuario o una organización es privada de los servicios de un recurso que esperaba obtener. Normalmente, la perdida de servicio se corresponde con la imposibilidad de obtener un determinado servicio de red
Actividades Previas a la Realización del Ataque
Previamente a la planificación de un posible ataque contra uno o más equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase, es decir, para obtener toda la información posible de la víctima, será necesario utilizar una serie de técnicas de obtención y recolección de información.
Exploración de puertos TCP
Aparte de ser de utilidad para obtener la huella identificativa de un sistema conectado a la red, la exploración de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece o no un determinado servicio.
Exploración de puertos
La exploración de puertos es una técnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino.
Busqueda de Huellas Identificadoras
Aparte de la utilización de herramientas de administración y servicios de internet, existen técnicas más avanzadas que permiten extraer información más precisa de un sistema o de una red en concreto.
Utilización de herramientas de administración
La fase de recogida de información podría empezar con la utilización de todas aquellas aplicaciones de administración que permitan la obtención de información de un sistema
Seguridad en Redes TCP/IP
Durante la década de los 60, dentro del marco de la guerra fría, la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financio equipos de investigación en distintas universidades con el objetivo de desarrollar una red de ordenadores con una administración totalmente distribuida.
