La Seguridad de Información tratada en capas

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+4Share on Facebook0Share on LinkedIn2

Hablar de Seguridad Informática o Seguridad de Información es abarcar un muy amplio espectro de tópicos, que en muchos casos pueden llegar a ser complejos y “oscuros”. Incluso hablar de Seguridad Informática y Seguridad de Información tiene mucha relación, pero también tiene diferencias, y erróneamente se considera lo mismo.

El termino Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información; Sin embargo entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologías utilizadas, y las zonas de concentración.

Basado en lecturas que he hecho recientemente, y en mi humilde experiencia, he decidido iniciar este artículo dándole el título de La Seguridad de Información tratada en capas, ya que considero, como muchos otros autores mucho más experimentados, que a la seguridad hay que tratarla por niveles, así como se trata un problema muy grande por partes, dividiéndolo en pequeños problemas que luego serán resueltos de manera más precisa; de la misma forma hay que abordar el tema de la seguridad, ya que este pasa por diferentes “capas” para establecer la comunicación entre dos equipos Terminales de Datos (ETD).

El Arte de la Guerra nos enseña que no debemos depender de la posibilidad de que el enemigo no venga, sino que debemos estar siempre listos a recibirlo. No debemos depender de la posibilidad de que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posición sea inatacable” El Arte de la Guerra, Sun Tzu

Gran parte de lo resumido aquí se basa en el libro Seguridad por Niveles de Alejandro Corletti Estrada

Introducción

Seguridad Informática: La Seguridad Informática suele ser la forma más habitual con la que nos referimos a todo aquello que tiene que ver con la seguridad de los ordenadores y los sistemas. Es un concepto muy conocido pero que está obsoleto. Hace hincapié en la seguridad de los sistemas, teniendo en cuenta las amenazas de carácter fundamentalmente tecnológico. La Seguridad Informática es un concepto de Seguridad que nació en la época en la que no existían las redes de banda ancha, los teléfonos móviles o los servicios de internet como las redes sociales o las tiendas virtuales. Es por ello que la Seguridad Informática suele hacer un especial énfasis en proteger los sistemas, es decir, los ordenadores, las redes y el resto de infraestructuras de nuestra organización. La Seguridad Informática es un concepto undamentalmente técnico. El problema del enfoque de la Seguridad Informática es que suele perder de vista otros aspectos importantes para una organización y, en la mayoría de las ocasiones, cuando nos hablan de Seguridad Informática nos parece algo completamente alejado de nuestra actividad diaria.

Seguridad TIC (Seguridad de las Tecnologías de la Información y las Comunicaciones) Se trata de un enfoque más moderno, que incorpora el concepto de redes o infraestructura de comunicaciones. Hoy en día no concebimos el ordenador como un elemento aislado sino como un elemento conectado, y por otro lado, el ordenador ya no es el único elemento o dispositivo a proteger, sino que también hay que proteger las infraestructuras de comunicaciones, así como diversos dispositivos, como son los teléfonos móviles, PDA’s, etc. La Seguridad TIC es un término mucho más amplio que la Seguridad Informática, pero sigue siendo de carácter fundamentalmente tecnológico.

Seguridad de la Información: Estamos ante el término más amplio y conceptual de los tres. Se basa en que lo fundamental es proteger la información y en base a esta premisa se desarrollan todas los demás aspectos relativos a la seguridad y a las medidas que necesitamos aplicar, así como el lugar donde hay que aplicarla. Es un concepto que tiene en cuenta, no solamente la seguridad tecnológica, sino también otras facetas de la seguridad, como son, la seguridad desde el punto de vista jurídico, desde el punto de vista normativo y desde el punto de vista organizativo. De los tres conceptos el que más nos interesa es el de la Seguridad de la Información, puesto que es aquel que nos permitirá sacar el máximo provecho a la aplicación de la seguridad en nuestra organización. Además, es el más actual y el más amplio. Como veremos más adelante, abarca todos los aspectos relativos a la protección de la información. Por tanto, a partir de ahora y para todo lo que resta del artículo, hablaremos de seguridad desde el punto de vista de la Seguridad de la Información o SI. La Seguridad de la Información no tiene que ver únicamente con cuestiones tecnológicas, sino también legales u organizativas, es decir, puede ser aplicada desde tres puntos de vista: legal, técnico y organizativo.

La información y los sistemas de procesamiento, por un lado, y los sistemas de comunicaciones y las redes que le brindan apoyo son importantes recursos de toda empresa moderna. Hoy en día son esenciales para el normal desenvolvimiento de las tareas, es decir, si una empresa no tiene información…se paraliza.

La seguridad de la información es un proceso que puede estudiarse e incluso implementarse por niveles, tomando como punto de partida los 7 niveles del modelo OSI: nivel 1 Físico, nivel 2 Enlace, nivel 3 Red, nivel 4 Transporte, nivel 5 Sesión, nivel 6 Presentación y nivel 7 Aplicación, aunque se puede resumir de acuerdo a los niveles del modelo TCP/IP.

El estudio de las vulnerabilidades y seguridad en redes informáticas, exige la comprensión de los fundamentos de las redes, sus principales tecnologías y las recomendaciones de seguridad más apropiadas

Presentación del modelo de capas

Son varios los protocolos que cooperan para gestionar las comunicaciones, cada uno de ellos cubre una o varias capas del modelo OSI (Open System interconnection); la realidad, es que para establecer la comunicación entre dos ETD se emplea más de un protocolo, es por esta razón que se suele hablar no de protocolos aislados, sino que al hacer mención de alguno de ellos, se sobreentiende que se está hablando de una PILA de protocolos.

Una forma de agruparlos es como se encuentran cotidianamente los siete niveles del modelo OSI en tres grupos que tienen cierta semejanza en sus funciones y/o servicios:

Aplicación
Aplicación
Presentación
Sesión
Transporte
Transporte
Red
Red
Enlace
Físico

La ISO (International Standard Organization), estableció hace 15 años este modelo OSI que hoy lleva la denominación ISO 7498 o más conocida como X.200 de ITU.

El modelo OSI es, sin lugar a dudas, el estándar mundial por excelencia, pero como todo esquema tan amplio presenta una gran desventaja: el enorme aparato burocrático que lo sustenta. Toda determinación, protocolo, definición o referencia que éste proponga debe pasar por una serie de pasos, en algunos casos reuniendo personal de muchos países, que demoran excesivo tiempo para la alta exigencia que hoy impone Internet.

Para dar respuesta a esta nueva revolución tecnológica, aparecen una serie de recomendaciones ágiles, con diferentes estados de madurez, que inicialmente no son un estándar, pero rápidamente ofrecen una guía o recomendación de cómo se cree que es la forma más conveniente de llevar a cabo cualquier novedad de la red. Se trata de las RFC (Request For Commentaries), que proponen una mecánica veloz para que el usuario final no sufra de los inconvenientes anteriormente planteados, dando respuesta a las necesidades del mercado eficientemente.

Se produce aquí un punto de inflexión importante entre el estándar mundial y lo que se va proponiendo poco a poco a través de estas RFC, las cuales en muchos casos hacen referencia al modelo OSI y en muchos otros no, apareciendo un nuevo modelo de referencia que no ajusta exactamente con lo propuesto por OSI. Este modelo se conoce como Pila, stack o familia TCP/IP o también como modelo DARPA, por la Agencia de Investigación de proyectos avanzados del DoD (Departamento de Defensa) de EEUU, que es quien inicialmente promueve este proyecto. Este modelo que trata de simplificar el trabajo de las capas, y por no ser un estándar, se ve reflejado en la interpretación de los distintos autores como un modelo de cuatro o cinco capas.

Cada capa regula, o es encargada de una serie de funciones que deberían ser “autónomas” (cosa que a veces no se cumple), es decir no tendría por qué depender de lo que se haga en otro nivel. Dentro de este conjunto de tareas, es necesario destacar la razón de ser de cada una de ellas, su objetivo principal, el cual lo podríamos resumir de la siguiente forma:

  • Aplicación: Usuario
  • Transporte: Es el primer nivel que ve la conexión de un extremo a otro
  • Red: Las rutas
  • Enlace: Nodo inmediatamente adyacente
  • Físico: Aspectos mecánicos, físicos, eléctricos y ópticos

Hagamos un corto resumen de cada capa de acuerdo al modelo OSI:

  • Nivel Físico: Esta capa recibe las tramas de nivel 2, las convierte en señales eléctricas u ópticas y las envía por el canal de comunicaciones. Define aspectos mecánicos, eléctricos u ópticos y procedimentales. Algunas de las especificaciones más comunes son: RS 232, V.24/V.28, X.21, X.25, SONET, etc.
    • Funciones y servicios:
      • Activar/desactivar la conexión física.
      • Transmitir las unidades de datos.
      • Gestión de la capa física.
      • Identificación de puntos extremos (Punto a punto y multipunto).
      • Secuenciamiento de bit (Entregar los bits en el mismo orden que los recibe).
      • Control de fallos físicos del canal.
  • Nivel Enlace: Establece la conexión con el nodo inmediatamente adyacente. Básicamente efectúa el control de flujo de la información.
    • Funciones o servicios:
      • División de la conexión del enlace de datos (Divide un enlace de datos en varias conexiones físicas).
      • Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinámicamente).
      • Proporciona parámetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio entre fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el tránsito, etc.
      • Detección de errores (CRC {Control de Redundancia Cíclica} – Checksum).
      • Corrección de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error Control}), sin eximir a capas superiores de hacerlo.
      • La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link Control), si bien esto no es contemplado por OSI.
  • Nivel de Red: La tarea fundamental de esta capa es la de enrutado y conmutación de paquetes. Es por esta razón que su trabajo acorde al tipo de conexión es muy variable. En una red de conmutación de paquetes puede ser implementado en detalle, en cambio al conmutar circuitos prácticamente no tiene sentido.
    • Sus funciones y servicios son:
      • Encaminamiento y retransmisión (Define las rutas a seguir).
      • Conmutación de paquetes.
      • Multiplexación de conexiones de red.
      • Establecimiento de circuitos virtuales.
      • Direccionamiento de red.
  • Nivel de Transporte: Su tarea fundamental es la conexión de extremo a extremo (end to end).
    • Funciones y servicios:
      • Correspondencia entre direcciones de transporte y de red.
      • Supervisión de red.
      • Facturación de extremo a extremo.
  • Nivel de Sesión: Permite el diálogo entre usuarios, entre dos ETD
    • Funciones y servicios:
      • Establecimiento del diálogo Half Dúplex o Full Dúplex.
      • Reseteado de sesión a un punto preestablecido.
      • Establecimiento de puntos de control en el flujo de datos para comprobaciones intermedias y recuperación durante la transferencia de archivos.
      • Abortos y re-arranques.
  • Nivel de Presentación: Asigna una sintaxis a los datos (Cómo se unen las palabras).
    • Funciones y servicios:
      • Aceptación de datos de nivel siete (Enteros, caracteres, etc), negociando la sintaxis elegida (Ej: ASCII, EBCDIC,etc.).
      • Transformación de datos para fines especiales (Ej: Compresión).
      • Codificación de caracteres gráficos y funciones de control gráfico.
      • Selección del tipo de terminal.
      • Formatos de presentación.
      • Cifrado.
  • Nivel de Aplicación: Sirve de ventana a los procesos de aplicación. Tiene en cuenta la semántica (significado) de los datos.
    • Funciones y servicios:
      • Servicios de directorio (Transferencia de archivos).
      • Manejo de correo electrónico.
      • Terminal virtual.
      • Procesamiento de transacciones.

Como ya se mencionó, el modelo OSI es sumamente amplio, si se quiere profundizar en este tema, existen mucha información disponible para hacerlo.

Presentación de protocolos TCP, UDP e IP

Dentro de esta pila de protocolos, como el modelo de referencia lo trata de mostrar, existen dos niveles bien marcados. Hasta el nivel cuatro (transporte) “miran” hacia la red, por lo tanto todas las actividades que aquí se desarrollan tienen relación con el canal de comunicaciones y los nodos por los que pasa la información. Dentro de esta división, se encuentra el corazón de esta familia, se trata del protocolo IP de nivel 3 (red) y de los dos protocolos de nivel 4 (transporte) UDP y TCP. Sobre estos tres cae toda la responsabilidad de hacer llegar la información a través de la red.

Presentación de protocolos: FTP, Telnet, ARP y R_ARP, SMTP, POP3, IMAP, MIME, SNMP, HTTP, ICMP, IGMP, DNS, NetBIOS, SSL y TLS.

El resto de esta familia “miran” hacia el usuario. Se debe contemplar aquí las dos excepciones que son “ARP, R_ARP e ICMP-IGMP”, que en realidad participan también en las tareas de red, pero como un complemento de la misma. Con estas excepciones salvadas, todo lo demás que se verá tiene como función principal cierta interacción con el usuario final para ofrecer servicios y/o funciones.

Introducción a la Seguridad en Redes

Principios del Análisis de la Información

El análisis de la información puede definirse como la aplicación de técnicas de procesamiento automático del lenguaje natural, de clasificación automática y de representación gráfica (cartografía) del contenido cognitivo (conocimientos) y factual (fecha, lengua, tipo de publicación) de los datos bibliográficos (o textuales). Esta definición corresponde al análisis asistido por computador.

Por análisis de la información se entiende la fase de interpretación que el usuario realiza de una manera directa y manual.

En principio, independientemente del nivel que estemos analizando o evaluando, toda secuencia de unos y ceros se interpreta como “información”; la misma puede estar relacionada a datos, encabezados, control, etc… pero siempre la consideraremos “información”. Este flujo de información que se está intercambiando entre dos ETD se denomina “Tráfico” (Broadcast, multicast y dirigido).

El análisis de tráfico consiste en “desarmar” cada trama, paquete, segmento, bloque de información y analizarlos “bit” a “bit”, aquí se esconde la razón de ser de la seguridad.

Cuando un dispositivo de red comienza a recibir información cada uno de los niveles de la pila TCP/IP comienza su tarea identificando “bit” a “bit” a qué módulo le corresponde trabajar. Un módulo no es más que un código, script o programa que tiene todas las órdenes que debe realizar en ese nivel y con esa secuencia de bits. Una vez que reúne suficiente información para identificar unívocamente a qué módulo llamar, automáticamente le pasa el control a éste y a partir de allí comienza su tarea.

Para el análisis de tráfico existen una gran cantidad de herramientas disponibles, tanto Open Source como propietarias. Podríamos mencionar a libpcap que es una conocida librería encargada de capturar tráfico. Existen para diferentes plataformas como Linux y Windows. Esta librería tiene una característica muy importante si nuestra conexión a la red lo permite, que es la de poder escuchar en modo “promiscuo”. Cuando una información circula por la red e ingresa a un ETD, a medida que cada nivel la va evaluando, decide si se dirige hacia él o no (en cada nivel), cuando no es para él entonces debe descartar esa información y/o en algunos casos reenviarla. Cuando se logra operar en modo “promiscuo” esto implica que no descarte información, sino que procese todo, sea para este ETD o para cualquier otro. Por esta razón la idea de analizar tráfico de una red, está particularmente dirigida a poder escuchar TODO el tráfico que circula por ella.

Al hablar de análisis de tráfico en una red, generalmente lo relacionamos con los conocidos “Sniffers”, que básicamente lo que hacen es “husmear” dentro de una red y capturar todo lo que se pueda, para posteriormente analizarlo (por lo general en ASCCI o hexadecimal). En relación a libpcap podemos mencionar a tcpdump y ethereal

Existe una remarcada diferencia aquí, un sniffer sólo captura tráfico y lo presenta de manera más o menos amigable (y nada más). Un analizador de protocolos, realiza esta tarea y a su vez procesa esta información para obtener todas las posibles necesidades de usuario con la misma.

Un analizador de protocolos captura conversaciones entre dos o más sistemas o dispositivos. No solamente captura el tráfico, sino que también lo analiza, decodifica e interpreta, brindando una representación de su escucha en lenguaje entendible por medio de la cual, se obtiene la información necesaria para el análisis de una red y las estadísticas que el analizador nos proporciona. Esencialmente, un analizador de protocolos es una herramienta que provee información acerca del flujo de datos sobre una LAN, mostrando exactamente qué es lo que está sucediendo en ella, detectando anomalías, problemas o simplemente tráfico innecesario. Una vez que un problema es aislado, se pueden analizar las causas que lo producen y tomar las medidas para evitarlo.

En resumen, un analizador de protocolos debería proporcionarnos: estadísticas, captura de paquetes y decodificación y representación de información histórica.

Como analizadores de protocolos podemos mencionar a Wireshark y Ethereal

Las técnicas de detección de sniffers que se emplean son varias y todas se basan en poder determinar si la interfaz de red se encuentra en modo promiscuo, lo cual es un claro síntoma de que desea recibir todo el tráfico que pasa por ella.

Seguridad en la Capa Física

Desde el punto de vista de la seguridad física, nos interesa tener en cuenta, los aspectos relacionados a:

  • Edificios, instalaciones, locales.
  • Autenticación y control de acceso físico.
  • Medios empleados para la transmisión de la información.
  • Conductos y gabinetes de comunicaciones.
  • Medios físicos empleados para el almacenamiento (incluido backup) y procesamiento de la información.
  • Documentación, listados, plantillas, planos, etc.

Toda señal de comunicaciones para propagarse necesita de un medio físico, sin éste sería imposible establecer una comunicación

Si bien es necesario un nivel de seguridad mínima en cualquier medio físico, esto no debe llevarnos a gastos o medidas de seguridad excesivas, es mucho más importante identificar los “sectores clave” y centrar allí nuestra atención. Una vez identificados, hay que volcar toda la información lo más detalladamente posible, y posteriormente que que esto pase a formar parte de un “Sistema de Gestión de la Seguridad de la Información” (SGSI).

Por ahora este concepto de SGSI, tiene que dejarnos la idea de que una documentación que se confecciona, si simplemente se guarda, tarde o temprano se pierde, se desactualiza o pierde valor. Por lo tanto, desde ya debemos ir concienciándonos en al menos crear una sencilla infraestructura para integrar todos los documentos, acciones, medidas y decisiones que se adopten de forma tal que todo ello esté siempre “VIVO”, con ello queremos decir, que se controle, actualice, se firme, se pueda acceder siempre a la última versión, se sepa cómo y quién puede leer, modificar o eliminar y por último se integre al conjunto.

En el modelo TCP/IP tenemos la Capa de acceso de red que corresponden a la Capa 1 y 2 del modelo OSI . Esta capa, también llamada host a red, se ocupa de todos los aspectos que involucren convertir un paquete en una trama y transmitirlo en el medio físico. Esta capa se encarga de las funciones de las capas física y de enlace de datos del modelo OSI.

Las vulnerabilidades de la capa de red están estrechamente ligadas al medio sobre el que se realiza la conexión. Esta capa presenta problemas de control de acceso y de confidencialidad. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas, interceptación intrusiva de las comunicaciones (pinchar la línea), escuchas no intrusivas en medios de transmisión sin cables, etc.

Aspectos mecánicos:

Aquí revista especial importancia para auditar el canal de comunicaciones que se emplee, este puede ser:

  • Propio o arrendado: Un vínculo propio si pasa exclusivamente por caminos de acceso no público, incrementa la seguridad de interceptación. Por el contrario si es arrendado, se debe ser consciente que puede ser interceptado; para este caso existen estrategias de canal seguro, túneles o criptografía que incrementa la seguridad.
  • Cable de cobre: Este medio presenta la característica que es difícil detectar su interceptación física “Pinchado de línea”.
  • Fibra óptica: La fibra óptica se la puede considerar imposible de interceptar, pues si bien existen divisores ópticos, la colocación de los mismos implica un corte del canal y una fácil detección por pérdida de potencia óptica.
  • Láser: Este medio genera un haz de luz prácticamente lineal, apuntado a un receptor, el cual es el único punto en el que impacta la señal. Si bien es interceptable, en forma similar a la fibra óptica se detecta con facilidad, y a su vez por encontrarse visualmente unidos, con una inspección óptica se reconoce su trayectoria.
  • Infrarrojo: Este se implementa de dos formas, de alcance directo y por reflexión. El primero se lo emplea en distancias extremadamente cortas, y el segundo se refleja en las paredes de los ambientes, llegando parte de esta señal al receptor, por lo tanto es altamente vulnerable si se encuentra dentro de los locales de alcance (que es muy reducido).
  • Radiofrecuencia: Las distintas ondas de radio cubren una amplia gama de posibilidades, desde la HF hasta las microondas y hoy las LMDS (Local Multipoint Distributed Signal). En general cualquiera de ellas son interceptables y su análisis de detalle implica el tipo de señal (digital o analógica), el ancho de banda disponible, el tipo de modulación, y la frecuencia empleada.
  • Satélite: Si bien se trata de radiofrecuencia, su implementación difiere en el hecho de poseer una antena reflectora llamada satélite a 36.000 km de altura en el caso de los geoestacionarios. Este recibe la señal proveniente de tierra si se encuentra dentro de su cono de aceptación (área de cobertura), le cambia de frecuencia y la reenvía dentro de su cono de aceptación. La conclusión cae de maduro, cualquiera que se encuentre dentro de este cono, está en capacidad de escuchar la señal.

Cada uno de ellos implica una característica diferente en su auditoría de seguridad. Para poder iniciar su auditoría el punto de partida excluyente son los planos de la red. En
los mismos se deberá auditar los siguientes detalles:

  • Identificación de los canales: Aquí debe estar claramente marcada su numeración, extremos, puestos de trabajo conectados y bocas vacantes.
  • ¿Cuáles son los tramos críticos?: Se debe analizar las áreas de la Empresa donde físicamente residen las cuentas que tramitarán la información de mayor importancia. Sobre estos canales incrementar las medidas de seguridad, en lo posible emplear fibra óptica.
  • Gabinetes de comunicaciones: Ubicación, llaves, seguridad de acceso al mismo, componentes que posee, identificación de las bocas.
  • Caminos que siguen: Planos de los locales y perfectamente identificados los conductos que siguen, es eficiente su ubicación por colores (Zócalos, bajo pisos, falso techos, cable canal, etc.).
  • Dispositivos de Hardware de red (teniendo en cuenta solo los aspectos físicos): Qué dispositivos existen, su ubicación, claves de acceso, configuración de los mismos, resguardo de configuraciones, permisos de accesos, habilitación o deshabilitación de puertos.
  • Dispositivos mecánicos u ópticos de control de acceso: Hoy en día es común encontrarse con dispositivos de control de acceso por tarjetas, biométricos, dactilares, etc. A cualquiera de estos se le debe aplicar los mismos controles que al hardware de red.
  • Certificación de los medios: Mediciones realizadas acorde a lo establecido en la norma TSB–67 TIA/EIA (Telecommunications Industy Association/Electronics Industry Association) que especifica los parámetros de certificación que se deben realizar en los distintos medios de comunicaciones.
  • Control de cambios: Toda modificación que frecuentemente se realiza en una red debe quedar documentada y controlada luego de su implementación. El abandono de esta documentación es el primer paso hacia una red insegura a nivel físico, pues en muy pocos años existirá un total descontrol del conectorizado de la red.
  • Plan de Inspecciones periódicas: Es importante contar con un cronograma de trabajo que contemple la inspección (recorridas, controles, verificación remota de configuraciones, control de cambios, roturas, etc.) de los detalles anteriormente mencionados, para evitar justamente alteraciones intencionales o no.
  • Inventarios de equipamiento: El control de inventarios es una buena medida. En particular haciendo hincapié en cambios y repotenciaciones, pues involucra dispositivos que pueden haber almacenado información.
  • Control de actas de destrucción: Toda documentación de importancia o dispositivos de almacenamiento que dejan de prestar servicio o vigencia, debe ser destruido físicamente para imposibilitar un futuro acceso a esa información, dejando una constancia de esta operación, en lo posible controlada por más de una persona.
  • Seguridad física en la guarda de documentación y archivos: Se debe respetar un plan de resguardo de estos elementos acorde a distintos niveles de seguridad.
  • Seguridad física de los locales: Todo local que posea elementos que permitan físicamente conectarse a la red debe poseer las medidas de seguridad de acceso correspondiente, y estar claramente identificado quien está autorizado a ingresar al mismo.
  • Medidas de resguardo de información: La pérdida de datos es un error grave en un servidor, el responsable de una base de datos, no es el usuario que tiene derecho a no conocer los mecanismos de seguridad en el Backup, sino directamente el Administrador de ese servidor. Las medidas de Backup nunca deben ser únicas, se deben implementar todas las existentes y con más de un nivel de redundancia acorde a la importancia de la información a respaldar (cintas, discos extraíbles, Jazz, etc.).
  • Coordinaciones con el personal de seguridad: Los responsables de la seguridad física de la empresa deben contar con una carpeta que regule claramente las medidas de seguridad a tener en cuenta para las instalaciones de red y como proceder ante cualquier tipo de anomalía.
  • Se puede auditar también planes y medidas contra incendio, evacuación y contingencias: Todos estos se relacionan en forma directa con la seguridad, pues se debe tener en cuenta que la pérdida de información es una de las responsabilidades más importantes de la seguridad.
  • Control de módem, hub y repeater: Los elementos de Hardware que operan estrictamente a nivel 1 son estos tres, pues sólo entienden de aspectos eléctricos u ópticos (Regeneran las señales), mecánicos (Hacen de interfaz entre conectores BNC, RJ-45, Ópticos, DB-25, DB-15, Winchester, etc.) y lógicos (Interpretan los niveles de tensión como unos o ceros). Por lo tanto la configuración de los mismos debe ser auditada aquí. Los aspectos fundamentales a controlar son: direcciones, claves de acceso, programación de puertos, protocolos autorizados, y un especial interés en los que poseen acceso por consola.
  • Auditoría de otros componentes de acceso: En esta categoría se debe contemplar módem ADSL, DTU/CSU, PAD en X.25, Placas ISDN, ATM, centrales telefónicas, etc. Se debe prestar especial atención a los Host que tienen conectados módem, llevando un registro de estos, y monitoreándolos con frecuencia, pues aquí existe una peligrosa puerta trasera de la red. No se debe permitir conectar módem que no estén autorizados.
  • Un Apartado muy especial debe ser considerado hoy para los dispositivos de almacenamiento móvil: Memorias de todo tipo, discos externos, mp3, móviles, ipod, ipad, etc… prestando especial atención a la metodología de conexión: USB, firewire, bluetooth.

Aspectos lógicos:

  • Análisis de la topología de la red: Este detalle impondrá una lógica de transmisión de la información.
  • Estrategias de expansión: El crecimiento de una red es uno de los primeros parámetros de diseño, una red bien diseñada responderá a un crecimiento lógico adecuado, por el contrario, si se parte mal desde el inicio, llevará inexorablemente a un crecimiento irregular que ocasionará la pérdida del control de la misma.
  • Asignación de prioridades y reservas para el acceso a la red: Esta medida se lleva a cabo en redes 802.4, 802.5 y 802.11 (mucho cuidado), y permite regular los accesos al canal, es una medida importante a modificar por alguien que desea incrementar su “poder en la red”.
  • Lógica empleada para VPN (Redes privadas Virtuales): Una capacidad que ofrecen hoy los dispositivos de red, es de configurar puertos formando grupos independientes como si fueran distintos Hub, switch o router. La lógica que se emplea en estos casos es de sumo interés pues en realidad se trata de “redes aisladas lógicamente”, las cuales se integrarán o no en un dispositivo de nivel jerárquico superior. Si se encuentra este tipo de empleo, se debe replantear la distribución física de la red, pues a través de estos grupos, la topología lógica de esta red, diferirá de lo que los planos indican
  • Análisis de circuitos, canales o caminos lógicos: En las redes WAN orientadas a la conexión se programan generalmente en forma previa la conformación de estos medios. Se debe controlar especialmente que no se encuentre nada fuera de lo permitido.
  • Puntos de acceso a la red: Auditar que esté perfectamente documentado y que cada una de las puertas de acceso a la red sea estrictamente necesaria pues lo ideal es que exista una sola. Especial interés hoy respecto a las tecnologías inalámbricas.

Aspectos eléctricos u ópticos:

  • Potencia eléctrica u óptica: La irradiación de toda señal electromagnética implica el hecho de ser escuchado (en esto se basa la guerra electrónica). Cuanto menor sea la potencia, más se reduce el radio de propagación. Este detalle es especialmente significativo en antenas o fibras ópticas.
  • Rango de frecuencias empleadas: Se debe especificar la totalidad de los canales que se emplean y su tipo (Símplex, semidúplex, dúplex, analógico, digital, PCM, E1, etc.).
  • Planos de distribución de emisores y receptores: Se deberá aclarar su ubicación, características técnicas, alcance, radio y medidas de protección.
  • Ruido y distorsión en líneas: Este factor causa pérdida de información y facilita la posibilidad de ataques y detección de los mismos.

Seguridad en la Capa de Enlace

Existen varios protocolos de comunicaciones que operan a nivel de enlace, nos centraremos exclusivamente en los dos más relevantes que son 802.3 (CSMA/CD – Ethernet) y 802.11 (Redes inalámbricas WLAN).

La familia 802.X, tiene este nombre justamente porque se crea un comité de IEEE en el año 80 durante el mes de febrero (2), cuando el concepto de redes LAN comienza a imponerse como algo digno de ser analizado. Dentro de este comité se conforman diferentes grupos de trabajo, los cuales en la actualidad son denominados de la siguiente forma:

  • IEEE 802.1 – Normalización de interfaz.
  • IEEE 802.2 – Control de enlace lógico.
  • IEEE 802.3 – CSMA / CD (ETHERNET)
  • IEEE 802.4 – Token bus.
  • IEEE 802.5 – Token ring.
  • IEEE 802.6 – MAN (ciudad) (fibra óptica)
  • IEEE 802.7 – Grupo Asesor en Banda ancha.
  • IEEE 802.8 – Grupo Asesor en Fibras Ópticas.
  • IEEE 802.9 – Voz y datos en LAN.
  • IEEE 802.10 – Seguridad.
  • IEEE 802.11 – Redes inalámbricas WLAN.
  • IEEE 802.12 – Prioridad por demanda
  • IEEE 802.13 – Se ha evitado su uso por superstición
  • IEEE 802.14 – Modems de cable.
  • IEEE 802.15 – WPAN (Bluetooth)
  • IEEE 802.16 – Redes de acceso metropolitanas sin hilos de banda ancha (WIMAX)
  • IEEE 802.17 – Anillo de paquete elástico.
  • IEEE 802.18 – Grupo de Asesoría Técnica sobre Normativas de Radio.
  • IEEE 802.19 – Grupo de Asesoría Técnica sobre Coexistencia.
  • IEEE 802.20 – Mobile Broadband Wireless Access.
  • IEEE 802.21 – Media Independent Handoff.
  • IEEE 802.22 – Wireless Regional Area Network.

Al igual que con la Capa Física, las vulnerabilidades de esta capa están ligadas al medio sobre el que se realiza la conexión y/o transmisión de datos.

Este nivel comprende la conexión con el nodo inmediatamente adyacente, lo cual en una red punto a punto es sumamente claro, pero en una red LAN, es difícil de interpretar cual es el nodo adyacente. Por esta razón como mencionamos en la teoría IEEE los separa en 2 subniveles: LLC y MAC (LLC: Logical Link Control, MAC: Medium Access Control), en realidad como una de las características de una LAN es el empleo de un único canal por todos los Host, el nodo adyacente son todos los Host.

La importancia de este nivel, es que es el último que encapsula todos los anteriores, por lo tanto si se escucha y se sabe desencapsular se tiene acceso a absolutamente toda la información que circula en una red. Bajo este concepto se trata del que revista mayor importancia para el análisis de una red.

Las herramientas que operan a este nivel son las que hemos visto como Analizadores de protocolos y existen diferentes tipos. A nivel de Hardware podemos mencionar Internet Advisor de Hewlett Packard o el Dominó de Vandell & Goltermann, poseen la gran ventaja de operar naturalmente en modo promiscuo.

Qué debemos auditar:

  • Control de direcciones de Hardware: El objetivo de máxima en este nivel (Pocas veces realizado) es poseer el control de la totalidad de las direcciones de Hardware de la red. Esto implica poseer la lista completa del direccionamiento MAC o también llamado NIC (Network Interface Card), es decir de las tarjetas de red.
  • Auditoría de configuración de Bridge o Switch: Estos son los dispositivos que operan a nivel 2 (En realidad el concepto puro de Switch es el de un Bridge multipuerto), su trabajo consta de ir aprendiendo por qué puerto se hace presente cada dirección MAC, y a medida que va aprendiendo, conmuta el tráfico por la puerta adecuada, segmentando la red en distintos “Dominios de colisión”. La totalidad de estos dispositivos es administrable en forma remota o por consola, las medidas que se pueden tomar en su configuración son variadas y de suma importancia en el tráfico de una red.
  • Análisis de tráfico: En este nivel la transmisión puede ser Unicast (de uno a uno), Multicast (de uno a muchos) o Broadcast (de uno a todos). La performance (rendimiento) de una red se ve seriamente resentida con la presencia de Broadcast, de hecho esta es una de las medidas de mayor interés para optimizar redes y también es motivo de un conocido ataque a la disponibilidad llamado “Bombardeo de Broadcast”. Otro tipo de medidas es el análisis de los multicast, pues son estos los mensajes que intercambian los Router, y es de sumo provecho para un interesado en una red ajena ser partícipe de estos grupos, pues en ellos encontrará servida toda la información de ruteo de la red.
  • Análisis de colisiones: Una colisión se produce cuando un host transmite y otro en un intervalo de tiempo menor a 512 microsegundos (que es el tamaño mínimo de una trama Ethernet) si se encuentra a una distancia tal que la señal del primero no llegó, se le ocurre transmitir también. Ante este hecho, los dos host hacen silencio y esperan una cantidad aleatoria de “tiempos de ranura” (512 microsegundos), e intentan transmitir nuevamente. Si se tiene acceso físico a la red, un ataque de negación de servicio, es justamente generar colisiones, pues obliga a hacer silencio a todos los Host de ese segmento.
  • Detección de Sniffers o analizadores de protocolos: Esta es una de las tareas más difíciles pues estos elementos solamente escuchan, solo se hacen presentes cuando emplean agentes remotos que colectan información de un determinado segmento o subred, y en intervalos de sondeo, la transmiten al colector de datos.
  • Evaluación de puntos de acceso WiFi: Esta tecnología sólo es segura si se configura adecuadamente, por lo tanto en este aspecto es de especial interés verificar qué tipo de protocolos de autenticación se han configurado, los permisos de acceso a estos dispositivos, su potencia de emisión, la emisión de beacons, etc.
  • Evaluación de dispositivos bluetooth: Aunque no es un tema aún explotado de forma  frecuente, no debemos dejar de lado la existencia de este tipo de dispositivos y sobre todo que en muchas aplicaciones y hardware viene activado por defecto, con lo que estando a una distancia adecuada, es posible su explotación.

Seguridad en la Capa de Red

La función principal de esta capa es el manejo de rutas. Se basa principalmente en el protocolo IP. Se trata de un protocolo de nivel 3 no orientado a la conexión, permitiendo el intercambio de datos sin el establecimiento previo de la llamada. Una característica fundamental es que soporta las operaciones de fragmentación y defragmentación, por medio de las cuales un datagrama se subdivide y segmenta en paquetes más pequeños para ser introducidos a la red, y luego en destino se reconstruyen en su formato original para entregarlos al nivel superior. La otra operación que revista importancia es el ruteo, el cual implementa por medio de un esquema de direccionamiento.

A nivel del modelo TCP/IP tenemos a la Capa de Internet, en esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las técnicas de sniffing, la suplantación de mensajes, la modificación de datos, los retrasos de mensajes y la denegación de mensajes.

Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La suplantación de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el suplantado. En esta capa, la autenticación de los paquetes se realiza a nivel de máquina (por dirección IP) y no a nivel de usuario. Si un sistema suministra una dirección de máquina errónea, el receptor no detectará la suplantación. Para conseguir su objetivo, este tipo de ataques suele utilizar otras técnicas, como la predicción de números de secuencia TCP, el envenenamiento de tablas caché, etc. Por otro lado, los paquetes se pueden manipular si se modifican sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. Si esto es posible, el receptor será incapaz de detectar el cambio.

El centro de atención de la auditoría en este nivel, deberá estar puestos en los mensajes de ruta y direcciones:

  • Auditorías en Router: (Este es el dispositivo por excelencia en este nivel)
    • Control de contraseñas: Los router permiten la configuración de distintos tipos de contraseñas, para acceder al modo usuario es la primera que solicita si se accede vía Telnet, luego también para el ingreso a modo privilegiado, también se permite el acceso a una contraseña cifrada, la de acceso vía consola y por último por medio de interfaz gráfica por http.
    • Configuración del router: Dentro de este aspecto se contemplan los detalles de configuración que muchas veces en forma innecesaria quedan habilitados y no se emplean (Broadcast Subnetting, local loop, puertos, rutas, etc.)
    • Resguardo de las configuraciones: Un detalle de suma importancia es guardar la startupconfig en forma consistente con la running-config, y esta a su vez en un servidor t_ftp, como así también en forma impresa.
    • Protocolos de ruteo: El empleo de los protocolos de ruteo es crítico pues la mayor flexibilidad está dada por el uso de los dinámicos (RIP, IGRP, EIGRP, OSPF), pero se debe tener en cuenta que con esta medida se facilita información para ser aprovechada por intrusos, los cuales a su vez pueden emplearla para hacerse partícipe de las tablas de ruteo (En especial con RIP pues no se puede verificar el origen de los costos de las rutas, en OSPF, es más fácil pues se envía una tabla completa que pertenece a un router específico y a su vez a este se lo puede verificar con dos niveles de contraseña: normal y Message Digest). Las tablas de ruteo estáticas, por el contrario, incrementan sensiblemente las medidas de seguridad, pues toda ruta que no esté contemplada, no podrá ser alcanzada.
    • Listas de control de acceso: Son la medida primaria de acceso a una red
    • Listas de acceso extendidas: Amplían las funciones de las anteriores, generalmente con parámetros de nivel de transporte
    • Archivos .Log: Permiten generar las alarmas necesarias.
    • Seguridad en el acceso por consola: Se debe prestar especial atención pues por defecto viene habilitada sin restricciones, y si se tiene acceso físico al router, se obtiene el control total del mismo. Siempre hay que tener presente que un usuario experto, si tiene acceso físico puede iniciar la secuencia de recuperación de contraseña e iniciar el router con una contraseña nueva.
  • Auditorías de tráfico ICMP:
    • Mejor ruta: Este se trata del Tipo Nro 5 de mensaje ICMP, y su mal empleo permite triangular la ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la información deseada.
    • Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con una solicitud y respuesta de eco (Tipo 0 y 8, conocido como ping). Un conocido ataque es enviarlo con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe como tratarlo y se bloquea. Cabe aclarar que hoy la masa de los sistemas ya no lo permiten. También se puede negar el servicio, por medio de una inundación de estos.
    • Destino no alcanzable: Es el tipo 3 de ICMP, lo importante pasa por los códigos en que se subdivide, pues por medio de estos, se obtiene información que es de sumo interés. Al recibir respuestas de destino no alcanzable, desde ya no es lo mismo esta situación si se trata de prohibición de acceso, de puertos negados, de Servidores que administrativamente niegan acceso a sus aplicaciones, etc.
  • Auditoría ARP: El ataque ARP es uno de los más difíciles de detectar pues se refiere a una asociación incorrecta de direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la red y comparar permanentemente las mismas con un patrón de referencia válido. Existen programas que realizan esta tarea, como Arpwatch, siendo de los más conocidos.
  • Auditoría de direccionamiento IP: Existen dos formas de asignación de direcciones IP (antiguamente existía también una asignación automática que hoy prácticamente no se emplea más):
    • Estático: Se implementa en cada host manualmente, y se hace presente en la red siempre con la misma dirección IP.
    • Dinámico: Se asigna a través del empleo del protocolo DHCP dentro del rango que se desee. Se debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar varios parámetros, uno de ellos también es la máscara de subred.

Seguridad en la Capa de Transporte

La capa de transporte se encarga de la calidad de servicio, garantizando, cuando la aplicación lo requiera, confiabilidad, control de flujo, segmentación y control de errores en la comunicación. Se basa en dos protocolos, TCP (orientado a la conexión) y UDP (no orientado a la conexión). La capa de transporte transmite información TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticación, de integridad y de confidencialidad. Algunos de los ataques más conocidos en esta capa son las denegaciones de servicio debidas a protocolos de transporte.

En cuanto a los mecanismos de seguridad incorporados en el diseño del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesión TCP), existe una serie de ataques que aprovechan ciertas deficiencias en su diseño. Una de las vulnerabilidades más graves contra estos mecanismos de control puede comportar la posibilidad de interceptación de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticación de los equipos involucrados en una sesión. Así, si un usuario hostil puede observar los intercambios de información utilizados durante el inicio de la sesión y es capaz de interceptar con éxito una conexión en marcha con todos los parámetros de autenticación configurados adecuadamente, podrá secuestrar la sesión.

En este nivel dentro de la pila TCP/IP como se mencionó con anterioridad, existirán dos posibilidades, operar en modo orientado a la conexión para lo cual se emplea TCP o sin conexión cuyo protocolo es UDP, el responsable de decidir a qué protocolo le entregará su mensaje es el que se emplee en el nivel superior, para lo cual existe el concepto de Puerto que es el SAP (Service Acces Point) entre el nivel de transporte y el de aplicación. En este nivel los dos elementos importantes a auditar son el establecimiento de sesiones y los puertos, los cuales se pueden determinar con las siguientes actividades:

  • Auditorías de establecimientos y cierres de sesión:
    • Ataques LAND.
    • Inundación de SYN.
  • Auditorías en UDP: Este protocolo por no ser orientado a la conexión, no implementa ninguno de los bit de TCP, por lo tanto, es sumamente difícil regular su ingreso o egreso seguro en una red. Mientras que un Proxy, solo puede regular las sesiones TCP, una de las grandes diferencias con un Firewall es que el último puede “Recordar” las asociaciones entre los segmentos UDP y el datagrama correspondiente, de manera tal de poder filtrar toda asociación inconsistente. Este tipo de Firewall son los que permiten el filtrado dinámico de paquetes. Como medida precautoria cierre todos los puertos UDP que no necesite.
  • Auditoría en Puertos UDP y TCP: Dentro del encabezado de TCP o UDP se encuentran los campos Puerto Origen y Puerto Destino, los cuales son uno de los detalles más importantes a auditar dentro de una red pues a través de ellos, se puede ingresar a un Host y operar dentro de este. Por lo tanto se deberá considerar las medidas a adoptar acorde a los puertos detallados en el capítulo del nivel de transporte referido en lo referente al análisis de puertos.
  • Auditoría de puertos de Ataque Back Oriffice 2K y Netbus: Se deberá prestar especial atención a este tipo de ataques. La metodología de operación de estas herramientas implica inexorablemente la infección de la máquina destino y luego desde esta misma iniciar las conexiones hacia el exterior, por lo tanto en una red bien asegurada es muy sencillo de identificar.
  • Auditoría de Troyanos: Se deberá prestar especial atención a este tipo de actividades, lo cual como se acaba de mencionar en el punto anterior, implica procesos muy similares.

Seguridad en la Capa de Aplicación

Una vez superado el nivel cuatro (transporte), todas las funciones y/o servicios se orientan “de cara al usuario”. Es decir, a partir de este nivel es poco probable que encontremos aspectos relacionados a la red, en cambio entraremos a lo que en el modelo TCP/IP engloba como “Aplicación”, que recordamos que aquí es donde existe la mayor diferencia con el modelo OSI que lo trata como tres capas diferentes (5: Sesión, 6: Presentación, 7: Aplicación).

La capa de aplicación tal vez sea el nivel donde mayor cantidad de protocolos existen

El modelo TCP/IP combina todos los aspectos relacionados con las aplicaciones en esta capa, aquí se definen los protocolos de alto nivel, aspectos de representación y codificación de los datos y control de diálogo entre procesos. La capa de aplicación presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran número de protocolos definidos en esta capa, la cantidad de deficiencias presentes también será superior al resto de capas.

  • Auditoría de servidores de correo, Web, TFP y TFP, Proxy:
    • Limitar el acceso a áreas específicas de esos servidores.
    • Especificar las listas o grupos de usuarios con sus permisos correspondientes. Prestar especial  atención a la cuenta “Anónimos” y a toda aquella que presente nombres de fácil aprovechamiento.
    • Requerir contraseñas seguras.
    • Siempre controlar los archivos. Log
    • Deshabilitar índices de directorios.
    • Deshabilitar todos los servicios de red que no sean empleados por el servidor
  • Auditorías de accesos remotos: En la actualidad es común el trabajo fuera de la Empresa, para lo cual es una buena medida permitir el acceso por medio de líneas telefónicas tanto fijas, móviles como ADSL. Al implementar esta medida, el primer concepto a tener en cuenta es Centralizarla, es decir implementar un pool de módem o un Access Server (Router con puertos asincrónicos) como única puerta de ingreso. La segunda actividad es Auditarla permanentemente. Todo sistema que posibilite el ingreso telefónico, posee algún tipo de registros, estos deben ser implementados en forma detallada y su seguimiento es una de las actividades de mayor interés. Una medida importante es incrementar las medidas de autenticación y autorización sobre estos accesos.
  • Auditorías en Firewall: Un Firewall, es un sistema de defensa ubicado entre la red que se desea asegurar y el exterior, por lo tanto todo el tráfico de entrada o salida debe pasar obligatoriamente por esta barrera de seguridad que debe ser capaz de autorizar, denegar, y tomar nota de aquello que ocurre en la red. Aunque hay programas que se vendan bajo la denominación de Firewall, un Firewall NO es un programa. Un Firewall consiste en un conjunto de medidas de Hardware y Software destinadas a asegurar una instalación de red. Un Firewall recordemos que actúa en los niveles 3 (red) a 7 (aplicación) de OSI.
  • Bombardeos de mail: Se puede llenar el espacio en disco de un servidor de correo, enviándole una cantidad suficiente de mails. Se debe tener en cuenta que hasta que el usuario buscado no se conecte, los mensajes permanecerán en el servidor. Si esto se produce, no se poseerá capacidad de almacenamiento para ningún otro mensaje entrante, por lo tanto se inhibirá el servicio de correo electrónico. Se puede también generar reportes si el tráfico de correo crece repentinamente. La solución: Auditar espacio en disco rígido enviando las alarmas correspondientes una vez alcanzado el porcentaje establecido. Dedicar grandes áreas de disco al almacenamiento de mensajes, y separar esta área del resto del sistema.
  • Bombardeos de SYSLOG y SNMP: Semejante al de mail, pero llenará el sistema de .Log y de administración de red. Misma solución que el caso anterior
  • FTP (Puerto TCP 20 y 21): Dos de los puertos sobre los que se debe prestar atención son los de Comando (21) y de datos (20) que están reservados para ftp. El acceso a una red a través de los mismos es bastante común. La principal ventaja que ofrecen es que se puede regular con bastante precisión su flujo de establecimiento de sesiones: Siempre es el cliente el que inicia el establecimiento de la sesión y en primer orden sobre el puerto 21 (comando), una vez establecido este triple Handshake, se inicia el establecimiento de sesión sobre el puerto 20 (datos). En este segundo proceso recordemos que pueden existir dos posibilidades: activa y pasiva.
  • Servidores DNS: Recordemos prestar especial atención a la configuración de los mismos, en especial al tráfico TCO sobre el puerto 53
  • Servidores de correo: Una de las principales herramientas que emplean los spammers para ocultar sus rastros son la infección de servidores de correo que tienen activada la opción de replay (o relé), la infección de un servidor de este tipo es muy difícil de localizar, pero no lo es así en cuanto al análisis de tráfico, pues se incrementa de forma muy voluminosa, por lo tanto es una buena práctica evaluar el tráfico entrante y saliente (no su contenido) periódicamente.

Seguridad Perimetral

Seguridad en Protocolos

DNS

En la capa de aplicación nos encontramos con protocolos como el DNS. Las vulnerabilidades de este protocolo las podemos clasificar en cuatro:

  • UDP: Entre los servidores se transfieren grandes volúmenes de información a través del puerto UDP 53, el cual por ser no orientado a la conexión lo hace especialmente difícil de controlar y filtrar, aprovechándose esta debilidad.
  • Obtención de Información: Los servidores DNS almacenan información importante, la cual es muy buscada y fácilmente obtenible por un intruso.
  • Texto plano: Toda la infromación viaja en texto plano.
  • Falta de autenticación: El protocolo no ofrece ninguna técnica de autenticación.

Los DNS también pueden ser vulnerables a la técnica de spoof, que se puede implementar en muchos protocolos y niveles, en este caso consiste en falsificar una respuesta DNS, ofreciendo una dirección IP que no es la que verdaderamente está relacionada con ese nombre. Lo natural sería infectar o envenenar las tablas de un servidor DNS maestro, y con ello se propagaría y cualquier consulta hacia el nombre infectado, lo repsondería con la dirección IP falsa. La realidad es que es relativamente difícil esta tarea, pues los DNS maestros de Internet suelen estar bastante asegurados y monitorizados como para que esta actividad, inclusive en el caso de lograrla, no sea detectada de forma bastante rápida y solucionada.

Seguridad en DNS

Telnet

Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contraseña, que se transmiten en claro por la red. Así, al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de protección, el protocolo de aplicación Telnet hace posible la captura de aplicación sensible mediante el uso de técnicas de sniffing.

Actualmente existen otros protocolos a nivel de aplicación (como, por ejemplo, SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticación fuerte). Aun así, el hecho de cifrar el identificador del usuario y la contraseña no impide que un atacante que las conozca acceda al servicio.

File Transfer Protocol

Al igual que Telnet, FTP es un protocolo que envía la información en claro (tanto por el canal de datos como por el canal de comandos). Así pues, al enviar el identificador de usuario y la contraseña en claro por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que veíamos anteriormente con el protocolo Telnet. Aparte de pensar en mecanismos de protección de información para solucionar el problema, FTP permite la conexión anónima a una zona restringida en la cual sólo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseñas, sin limitar una de las funcionalidades más interesantes del servicio.

Hypertext Transfer Protocol (HTTP y HTTPS)

El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades más conocidas procede de la posibilidad de entrega de información por parte de los usuarios del servicio. Esta entrega de información desde el cliente de HTTP es posible mediante la ejecución remota de código en la parte del servidor. La ejecución de este código por parte del servidor suele utilizarse para dar el formato adecuado tanto a la información entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este código que se ejecuta presenta deficiencias de programación, la seguridad del equipo en el que esté funcionando el servidor se podrá poner en peligro.

Se trata del protocolo principal que regula todo el sistema de navegación a través de páginas Web. Este es el protocolo empleado entre clientes y servidores Web. La diferencia con los demás protocolos de nivel de aplicación es que este establece una sesión por cada información requerida (texto, sonido, gráficos, etc), esta finaliza al completarse la solicitud. Es normal la apertura de varias sesiones para bajar una sola página. Desde la versión 1.0 en adelante incorpora MIME (Multimedia Internet Mail Extensions) para soportar la negociación de distintos tipos de datos.

El acceso a este protocolo es por medio del puerto TCP 80 por defecto, pero es común en redes privadas el empleo de otro para incrementar las medidas de seguridad.

Todo lo que viaja a través de HTTP lo hace en texto plano, en otras palabras: puede ser leído si se interceptan los datos. Por tal motivo surgió HTTPS.

Hypertext Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto), más conocido por sus siglas HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP.

El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no puede ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible (en teoría y dependiendo del cifrado) de descifrar.

Seguridad en SSL

Ataques al Protocolo SSL

Correo electrónico: SMTP, POP y MIME

Una pasarela SMTP es un host con dos conexiones a redes distintas. Las pasarelas SMTP se pueden implementar de forma que conecten distintos tipos de redes. Se puede prohibir el acceso a la pasarela a determinados nodos de la red, empleando la sentencia de configuración RESTRICT. Alternativamente, la seguridad se puede implementar con un fichero de autorización de accesos, que es una tabla en la que se especifican de quién y a quién se puede enviar correo por la pasarela.

POP es un protocolo permite a un usuario conectarse a un sistema y entregar su correo usando su nombre de usuario y contraseña (muy usado en UNIX) a través del puerto TCP 110. La metodología a seguir para descargar correo es la misma que en SMTP, lo cual implica que cuando un servidor recibe un mail, establece la sesión SMTP con este destino y entrega su mensaje.

Una mejora que aparece a POP son las extensiones MIME, (Multimedia Internet Mail Extension), las cuales están estandarizadas por las RFC-2045 a 2049 y su tarea principal es extender el contenido de los mensajes de correo para poder adjuntar datos de tipo genéricos.

Las dos grandes vulnerabilidades que sufre el correo electrónico son referidas a su privacidad y su seguridad, dentro de ellas existen debilidades concretas.

La privacidad es fácilmente vulnerable pues el correo viaja como texto plano, es decir, que si no se emplea algún algoritmo criptográfico, cualquiera puede tener acceso al mismo. En este tema, la mejor analogía es la del correo postal, en el cual a nadie se le ocurre enviar una carta sin el sobre.

La seguridad es atacada con dos técnicas puntuales: las bombas de correo (varias copias de un mismo mail a un solo destino) y el Spam (Correo no autorizado).

Las herramientas con que se cuenta para defenderse de estas vulnerabilidades son:

  • S/MIME: Desarrollado por RSA el cual es una especificación para obtener autenticación por medio de firmas digitales. Se lo considera uno de los más seguros
  • PGP: Pretty Good Privacy, el cual es un producto completo desarrollado por Phillip Zimmerman que ofrece que dentro de sus muchas funciones ofrece también autenticación, no repudio y criptografía siendo soportado por la mayoría de los clientes de correo.
  • PEM: Privacy Enhanced Mail, el cual es una norma para permitir la transferencia de correo seguro. Con cualidades similares a PGP, siendo el estándar más reciente de los tres.

SNMP (Single Network Monitor Protocol)

Este es el protocolo que habilita las funciones que permiten administrar redes no uniformes. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento.

SNMP es un protocolo de requerimiento-respuesta. El sistema de administración genera un requerimiento, y los dispositivos administrados devuelven una respuesta. El acceso de las NMS (Network Management Stations) a los dispositivos administrados está controlado por un nombre de “comunidad”. Cada dispositivo tiene configurado una comunidad (o más) con un nombre que deben conocer las NMS para poder accederlo y obtener sus datos.

Existen 3 versiones hasta el momento: SNMPv1, SNPv2 y SNMPv3

Se debe tener en cuenta que SNMPv1 y SNMPv2 no poseen encriptación de los datos que transmiten. En redes con medios compartidos, esto podría permitir que una persona no autorizada pueda estar “escuchando” y así recabar información (como modelos de dispositivos, direccionamiento, nombres de comunidades, etc.) que revele datos de la red . Otro punto a tener en cuenta, es la falta de autenticación de SNMPv1 y SNMPv2, es decir, la única verificación que realizan los agentes SNMP antes de responder las solicitudes realizadas por la NMS es que concuerde el nombre de comunidad.

A diferencia de sus predecesores SNMPv3 soporta autenticación, a través de MD5, y encriptación de datos, lo que permite crear un ambiente seguro ante los tipos de ataques antes mencionados.

NetBIOS

NetBIOS es el protocolo nativo de Microsoft y sobre el cual se basan gran parte de las aplicaciones que operan sobre los niveles de red para las arquitecturas de este fabricante. Inicialmente funcionaba sin la necesidad del empleo de TCP/IP, pero justamente por prescindir de esta pila, se trataba de un protocolo que generaba una gran cantidad de Broadcast innecesario. Con la inevitable conexión a Internet de toda red de área local, se hizo obligatorio el empleo de este modelo de capas, y aparece así esta nueva metodología de empleo de NetBIOS sobre TCP/IP, pero manteniendo su estructura particular de nombres, dominios y puertos.

NetBIOS siempre se ha considerado inseguro.

WINS (Windows Internet Name Services)

Es un servidor de nombres de Microsoft para NetBIOS, que mantiene una tabla con la correspondencia entre direcciones IP y nombres NetBIOS de ordenadores. Esta lista permite localizar rápidamente a otro ordenador de la red.

Es muy frecuente cuando capturamos tráfico en redes Microsoft, ver pasar en el nivel de aplicación “protocolo SMB” (Server Message Block: Servidor de Bloques de Mensajes). A este servicio (o servidor) se puede acceder justamente mediante dos puertos “NetBIOS”: 139 (Para versiones anteriores a Windows 2000) y 445 (Para versiones posteriores), mediante el comando “net use” es que se permite establecer una “sesión nula” por medio de la cual los servidores Microsoft ofrecen la opción de “compartir archivo e impresoras”, la integración con Linux es la denominada SAMBA, este comando en particular si no está debidamente asegurado ese servidor es tal vez una de las mayores debilidades de Microsoft, opera sobre el recurso conocido como IPC$.

Este protocolo no tiene sentido en Internet, pues la resolución de nombres en este ámbito se realiza por medio del protocolo DNS, los puertos de este protocolo (137, 138, 139 y 445) siempre van a estar abiertos en las redes Microsoft, por lo tanto si se logra acceder a una red LAN de estos productos, se sabe cómo poder acceder a cualquier host. Las cuentas de usuario y contraseña de cualquier cliente de una red, no suelen responder a un alto nivel de seguridad, por lo tanto suelen ser altamente violables. Si un intruso logra conectarse desde el exterior con cualquier host de la LAN, rápidamente podría obtener las listas de usuarios de la red, sus servicios, grupos y recursos compartidos, lo cual no es deseado por ningún administrador.

JAMAS SE DEBE DEJAR PASAR POR UN ROUTER NI FIREWALL, los puertos de este protocolo, se deben bloquear siempre en la frontera de toda LAN con Internet, pues no tiene sentido ninguna comunicación desde adentro hacia fuera o viceversa bajo este protocolo.

Detección de Vulnerabilidades

Hasta ahora podemos ver que la capa de Aplicación es la más concurrida en lo que a protocolos se refiere, aquí solo hemos nombrado algunos, pero no todos.

En esta capa (Capa presentación del modelo OSI – Capa Aplicación del modelo TCP/IP) podemos hacer uso de algunas herramientas como los detectores de vulnerabilidades.

Son herramientas (generalmente de software) que básicamente van a lanzar diferentes tipos de ataques hacia uno o varios host, y luego informarán cuáles de ellos presentan debilidades. Como su uso habitual es justamente este, independientemente que se emplee para “el lado del mal”, también es una muy buena estrategia emplearlo para detectar lo mismo en nuestros propios sistemas y luego de ello analizar las causas para minimizar o evitar su explotación por personas no deseadas.

En el mundo de código abierto, existe desde hace muchos años una herramienta que es considerada como una de las mejores para detectar vulnerabilidades: Nessus. Su historia lleva ya varias décadas y nació a través de línea de comandos (que aún hoy puede seguir empleándose) y tal vez el mayor hito lo haya sufrido hace poco con su bifurcación (fork en inglés) a “OpenVAS” (Open Vulnerability Assessment System). Este Fork, se produjo cuando “Nessus” fue adquirido por la empresa Tenable Network Security y si bien sigue siendo gratuito para su descarga y empleo, oferta versiones de pago con algunas pocas diferencias y lo más importante es que ya no se tiene acceso a su código.

Cuando se emplea este tipo de software, no nos podemos quedar simplemente con “saber” que somos vulnerables a cierta cantidad de ataques, sino que lo que en realidad nos interesa es poder llegar al fondo de cada uno de ellos para poder ofrecer la mejor solución a nuestros sistemas.

Sistema de detección de Intrusos (IDS)

Al igual que el punto anterior, este tema está ligado al nivel de aplicación, pues si bien hoy existe Hardware que ya posee preinstalado este tipo de herramientas (se los suele llamar “appliance”), en realidad lo que está haciendo es ejecutar módulos de software que de una u otra forma interactúan a nivel de aplicación con el usuario que los administra.

Un IDS es básicamente un sniffer de red, que se fue optimizando, para poder seleccionar el tráfico deseado, y de esta forma, poder analizar exclusivamente lo que se configura, sin perder rendimiento, y que luego de ese análisis en base a los resultados que obtiene, permite generar las alarmas correspondientes.

La primera clasificación que se debe tener en cuenta es que los hay de red (Network IDSs o NIDS) y los hay de host (Host IDSs o HIDS). Otro concepto es el de DIDS (Distributed IDSs), que es la evolución natural del trabajo con NIDS en redes complejas, donde es necesario armar toda una infraestructura de sensores, con la correspondiente arquitectura de administración, comunicaciones y seguridad entre ellos

Uno de los productos líderes en esta categoría es Snort

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

Esta herramienta fue creada por Marty Roesch (Actual Director de Sourcefire que es la versión comercial de Snort) en 1998. Nace simplemente como un Sniffer (o analizador de protocolos) al que luego se le fueron incorporando muchas otras opciones y en la actualidad cuenta con preprocesadores, plugins para bases de datos, varias opciones de envío de alarmas, diferentes esquemas de evaluar paquetes, conectores con Windows, consolas de administración gráficas, etc. En concreto, Snort consiste de cuatro componentes básicos:

  • El Sniffer.
  • Los preprocesadores.
  • El motor de detección.
  • Las salidas.

El paso inicial del funcionamiento de Snort, se relaciona directamente con la tarjeta de red, a la que coloca en modo “promiscuo”, es decir, captura la totalidad del tráfico que circula por el cable, independientemente que vaya dirigido a su tarjeta de red o no. Con este primer paso se logra “escuchar” la totalidad de la información del sistema (se debe tener en cuenta el segmento en el que es colocado el dispositivo, pues si hubiere un switch de por medio, este dividiría los dominios de colisión y por lo tanto sólo se capturaría el tráfico correspondiente al segmento en el que se encuentre).

——

Por los momentos llegamos hasta aquí. Hay que recordar que este artículo es sólo una “rápida mirada” a todo lo que involucra un proyecto de seguridad de información y todo lo que conlleva.

Licencia de Creative CommonsLa Seguridad de Información tratada en capas by Expresión Binaria is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 3.0 Unported License


Fuentes consultadas: Seguridad por Niveles (Alejandro Corletti Estrada) | Programa de estudio: Seguridad de Información | Wikipedia | Intypedia

La Seguridad de Información tratada en capas
5 (100%) 5 votos

Etiquetas: , ,


Comentarios (1)

  • Sam

    |

    Gracias por la información, muy bien detallada.

    Responder

Deja un comentario

Cuanto es 15 + 19 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos