jueves, 12 de marzo de 2015

Resumen de seguridad Activa en redes

  


Resumen de los encales al tema 6: Seguridad Activa en redes

39.Spam
38. Proxy  
37.Firewall 
36.Espiar nuestra red  
35.Servicios de red. Nmap y netstat  
33.Redes inalámbricas
32.Seguridad en Redes Privadas
Seguridad Activa en Redes

 

Publicado por en No hay comentarios:
Etiquetas:

39.Spam

En las empresas, el correo electrónico es tan importante o más que el teléfono. Los empleados necesitan estar en contacto con otros empleados de la misma empresa, con los proveedores y con los clientes. Como responsables de la infraestructura informática, debemos garantizar que los mensajes se envían y reciben con normalidad, pero también que no hacemos perder el tiempo a nuestros usuarios entregando correos no deseados (spam). Estos correos, como mínimo, llevan publicidad, pero también son una fuente de infección de virus y troyanos que pueden venir en un fichero adjunto o que aprovechan una vulnerabilidad del programa de correo.


Qué hace

El software antispam colabora con el servidor de correo para detectar mensajes indeseables. Para determinar si un mensaje entra en esa categoría, el antispam utiliza:
  • La cabecera del mensaje, buscando si el servidor de correo origen está en alguna lista negra de spammers reconocidos, si la fecha de envío utiliza un formato incorrecto (sugiere que el correo ha sido generado por un software de spam, no por un cliente de correo normal), etc.
  • El contenido del mensaje, buscando palabras poco relacionadas con la actividad de la empresa (medicinas, etc.), mensajes cuya versión de texto plano es muy diferente de la versión HTML (sugiere de nuevo que ha sido generado con un programa de spam), etc.
  • La propia experiencia del programa (auto aprendizaje), según el tipo de mensajes que maneja el servidor de correo de nuestra empresa en concreto.
Cuando se detecta un correo spam, tenemos varias opciones:
  • Bloquearlo aquí e impedir que llegue hasta el usuario; así le ahorramos molestias (leerlo, borrarlo) y evitamos potenciales infecciones. No se suele usar porque nunca tendremos la certeza de que no hemos eliminado algún correo importante.
  • Dejarlo pasar, pero avisando al usuario de que es un correo sospechoso. Es la opción por defecto. El aviso al usuario consiste en añadir texto en el título del correo (por ejemplo, *** SPAM ***); esto le servirá al usuario para crear sus propios filtros en su programa de correo.
  • Dejarlo pasar, pero convirtiendo el texto del correo en un fichero adjunto, para que sea más difícil engañar al usuario y solo lo abra si está seguro de que el correo le interesa.
Publicado por en No hay comentarios:
Etiquetas:

38.Proxy

Hemos visto que los firewall normales permiten controlar las conexiones a nivel de red (filtrado de paquetes mirando direcciones y puertos). Si necesitamos algo más, hay que recurrir a un firewall de aplicación o directamente a un IPS.
Pero hay otra forma de enfrentarse al problema de controlar qué están hablando dos máquinas entre sí. Podemos introducir un nuevo interlocutor en medio de la conversación: donde antes A hablaba con B, ahora hay un C, de manera que A habla con C y C se lo cuenta a B, y viceversa. Ese nuevo intermediario es un proxy, y como tiene acceso a todos los paquetes intercambiados, puede aplicar medidas de seguridad.

Un proxy es un servicio de red que hace de intermediario en un determinado protocolo. El proxy más habitual es el proxy HTTP: un navegador en una máquina cliente que quiere descargarse una página web de un servidor no lo hace directamente, sino que le pide a un proxy que lo haga por él. El servidor no se ve afectado porque le da igual quién consulta sus páginas.

No hay que ver siempre la seguridad como algo negativo porque nos impide navegar por algunas webs; también puede impedir que entremos en determinados sitios peligrosos donde podemos recibir un ataque. Además, en las empresas hay otros motivos para instalar un proxy:

  • Seguridad para el software del cliente. Puede ocurrir que el software del ordenador cliente esté hecho para una versión antigua del protocolo o tenga vulnerabilidades.Pasando por un proxy actualizado evitamos estos problemas.
  • Rendimiento. Si en una LAN varios equipos acceden a la misma página, haciendo que pasen por el proxy podemos conseguir que la conexión al servidor se haga solo la primera vez, y el resto recibe una copia de la página que ha sido almacenada por el proxy.
  • Anonimato. En determinados países hay censura a las comunicaciones, por lo que utilizar un proxy del extranjero les permite navegar con libertad.
  • Acceso restringido. Si en nuestra LAN no está activado el routing a Internet, sino que solo puede salir un equipo, podemos dar navegación al resto instalando un proxy en ese equipo.

Qué hace

El proxy recibe de una máquina origen A un mensaje formateado para el servidor B según un protocolo determinado (petición 1 de la Figura 7.68). Lo procesa y genera un nuevo mensaje para el mismo destino B, pero ahora el origen es P, la máquina del proxy (petición 2). Cuando el servidor B genera la respuesta, la envía a P (respuesta 3). La máquina P procesa ese mensaje y genera su propio mensaje de respuesta con destino A (respuesta 4).
Los usuarios no aprecian la diferencia porque las páginas (en el caso de un servidor web) llegan a su navegador con normalidad; pero realmente el servidor sí puede saber que el origen de la petición no es un ordenador interesado en su servicio, sino un intermediario del ordenador original. Por ejemplo, numerosos servicios de Internet que permiten consultar la IP pública que utiliza nuestro router para conectar a Internet también nos informan de si nuestra conexión está pasando por un proxy.

El procesamiento del proxy puede llevar a decidir no generar ningún mensaje. Es decir, cortar la comunicación. Este comportamiento se decide mediante reglas. En estas reglas podemos filtrar determinadas direcciones de origen o destino, algunas directivas del protocolo (por ejemplo, palabras dentro de la URL de una página web), incluso contenidos (por ejemplo, imágenes). Como podemos suponer, cuanto más compleja sea la regla, más tardará el proxy en aplicarla a las peticiones que le llegan, lo que puede ralentizar en exceso la comunicación.

Además de controlar las conexiones web, el proxy mejora el rendimiento global de la navegación porque guarda en disco las páginas que envía a los clientes. En nuestro ejemplo sería la respuesta 4 de la Figura 7.68. Es el llamado proxy caché. De esta manera, si esa misma máquina o cualquier otra solicita al proxy la misma página (le envía la misma petición 1), no hace falta generar la petición 2 ni esperar la respuesta 3: directamente, el proxy le devuelve la respuesta 4. Hemos ahorrado los dos mensajesque van sobre la red más lenta.

Dónde situarlo

Si el volumen de tráfico que pasará por el proxy es reducido y las reglas definidas son sencillas, el servidor proxy necesitará pocos recursos (CPU, RAM, disco para la caché), por lo cual puede estar incluido en una máquina que ya ofrezca otros servicios (DHCP, DNS, disco en red, correo).
Si el volumen es elevado o las reglas que hemos definido son complejas, no podemos permitirnos afectar a otros servicios: necesitaremos una máquina en exclusividad (incluso más de una, formando un clúster). Aunque habrá que dimensionar adecuadamente el ancho de banda en esas máquinas dedicadas, porque van a recibir mucho tráfico.
En cualquier caso, el servidor proxy debe tener la mejor conectividad posible con los servidores para los que hace de intermediario (generalmente, servidores web en Internet).

Tipos de proxy

Si instalamos un proxy para un determinado protocolo (por ejemplo, HTTP), el siguiente paso es conseguir que el tráfico de nuestros usuarios pase por ese proxy. Tenemos dos opciones:
  • Proxy explícito. Configuramos los navegadores de los usuarios para que utilicen el proxy de la empresa.
  •  Proxy transparente. En algún punto de la red un router filtrará ese tipo de tráfico (por ejemplo, comprobando que el destino es el puerto 80 de TCP) y lo enviará al proxy, sin que el usuario tenga que hacer nada. Si estamos utilizando un router Linux, la solución óptima es instalarlo ahí, porque ahorramos sacar el tráfico hasta otra máquina.
Una tercera opción de navegación proxy al alcance de los usuarios es utilizar un proxy web. Esto es, una página web donde entramos para introducir la URL de la página web que realmente queremos visitar. El servidor del proxy web conecta con esa página y nos muestra el resultado. Este mecanismo es el más utilizado para evitar la censura en algunos países.

En el caso del proxy explícito podemos incluir un mecanismo de autenticación, de manera que solo algunos usuarios puedan acceder a Internet y solo a algunas web. En un proxy transparente no tiene sentido porque el usuario no tiene ninguna opción de introducir usuario y contraseña.
Publicado por en No hay comentarios:
Etiquetas: ,

37.Firewall

Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Si efectivamente conocemos las características del ataque (puerto donde intenta conectar, tipo de dirección IP origen inválida, tamaño del paquete utilizado), otra forma de defensa es tomar medidas en las máquinas que tengamos bajo nuestro control para que reaccionen adecuadamente ante la presencia de estos paquetes sospechosos. Es decir, los paquetes que consigan entrar en nuestra red, engañar al NIPS (si lo tenemos) y llegar a nuestros equipos, o que intentan salir procedentes de una aplicación no autorizada (por ejemplo, un troyano nos
puede convertir en generadores de correo spam), todavía tienen que superar un control más en cada equipo: el firewall o cortafuegos.
Por ejemplo, si tenemos un servidor web en nuestra LAN y no queremos que sea atacado desde la wifi pública que ofrecemos a los clientes en la sala de espera, podemos configurar en el firewall de la máquina del servidor web que no acepte conexiones de las máquinas conectadas a esa wifi (generalmente, las identificaremos porque pertenecen una subred distinta).

Qué hace

El firewall es un software especializado que se interpone entre las aplicaciones y el software de red para hacer un filtrado de paquetes:
  • En el tráfico entrante, la tarjeta de red recibe el paquete y lo identifica, pero antes de entregarlo a la aplicación correspondiente, pasa por el firewall para que decida si prospera o no. En el ejemplo del servidor web, la máquina recibe un paquete destinado al puerto 80, pero antes de entregarlo al proceso que tiene abierto ese puerto (un apache.exe), el firewall decide.
  • En el tráfico saliente, las aplicaciones elaboran sus paquetes de datos, pero antes de entregarlo al software de red para que lo envíe, pasa por el firewall. Por ejemplo, si sospechamos que una máquina hace spam, podemos bloquear todas las conexiones salientes al puerto 25.
La inteligencia del firewall se expresa mediante reglas de configuración. El administrador de la máquina puede individualmente activarlas, desactivarlas, modificarlas o añadir nuevas. Este proceso puede ser automático: algunos programas que instalan un servidor en la máquina son capaces de configurar algunos programas de firewall, sin necesitar la intervención del administrador.
Las reglas del firewall son mucho más sencillas que las reglas de un IPS y generalmente se aplican solo a las cabeceras TCP/IP de las capas 3 (red) y 4 (transporte): el firewall básicamente mira direcciones IP y puertos, aunque también puede reconocer conversaciones entre dos equipos y controlarlas.

No nos podemos permitir aumentar la complejidad de las reglas o mirar el contenido de cada paquete (DPI [Deep Packet Inspection]) porque los recursos de los equipos son limitados. Pero si nuestras necesidades de seguridad son superiores, existe un tipo de firewall más sofisticado, llamado firewall de nivel de aplicación, donde sí se entra a mirar en los datos de usuario que hay más allá de las cabeceras. Se utiliza sobre todo en protocolos web (HTTP). Por tanto, es más potente (y más lento) que el firewall normal, pero menos complejo (y más rápido) que todo un IPS.


Dónde situarlo

Todas las máquinas de la empresa conectadas a la red necesitan activar un firewall (elementos 4, 5, 6, 7 y 8 de la Figura 7.36). Incluso aunque no ejecuten ningún servidor: puede que el software de red del sistema operativo tenga una vulnerabilidad. Igual que el malware hay que bloquearlo con el antivirus porque es software no solicitado, el firewall nos ayuda a bloquear paquetes de red no solicitados.


Esta medida sería suficiente; pero, para evitar que se inunde la red con paquetes que no llegarán a su destino, o para ayudar a máquinas que no tienen firewall (por ejemplo, una impresora en red, como el elemento 9 de la Figura 7.36), en los puntos críticos de la red se suelen colocar máquinas independientes ejecutando tareas de firewall (firewall de red).
Por ejemplo, siempre suele estar en la conexión a Internet porque por ahí llegarán muchos ataques.
Los routers domésticos proporcionados por los ISP (Internet Service Provider) hacen funciones de firewall (elemento 1 de la Figura 7.36), porque por defecto se comportan como equipos de usuario y no permiten conexiones entrantes; pero una empresa suele necesitar más configuraciones, por lo que instalará su propio firewall de red.

En las empresas grandes hay máquinas distintas para cada servicio, todas situadas en una subred especial llamada DMZ (Demilitarized Zone, zona desmilitarizada). El firewall de esta zona (elemento 2 de la Figura 7.36) es menos exigente que el que protege nuestra LAN (elemento 3 de la Figura 7.36), porque tenemos que permitir conexiones a esos servicios; pero, como está expuesto a más ataques, se suele acompañar de un IDS/IPS.

Firewall en Linux. Iptables

Cuando llega un paquete a la tarjeta de red, el sistema operativo (más concretamente, el software de red) decide qué hacer con él. El resultado de esa decisión puede ser:
  • Descartarlo. Si el destinatario del paquete no es nuestra máquina o, aunque lo sea, ningún proceso actual lo espera, el paquete termina aquí. Por ejemplo, llega una petición http a una máquina que no tiene un servidor web arrancado: la máquina lo ignora.
  • Aceptarlo, porque es para nosotros y hay un proceso que sabe qué hacer con ese paquete. Sería el ejemplo anterior, pero ahora sí tenemos un servidor web funcionando.
  • Aceptarlo, aunque no sea para nosotros, porque somos un router y vamos a enviarlo por otra interfaz. En algunos casos llegaremos a modificar las cabeceras del paquete, como veremos más adelante.
  • Aceptarlo, aunque no es para nosotros y tampoco somos un router: pero estamos escuchando todos los paquetes porque somos un sniffer de red.
En el caso de Linux, la utilidad iptables permite introducir reglas en cada una de estas fases:
  • Cuando llega el paquete para un proceso nuestro pero todavía no se lo hemos entregado, en iptables hablamos de input.
  • Cuando somos un router y estamos a punto de traspasar el paquete de una interfaz a otra, en iptables hablamos de forward.
  • Cuando un paquete está listo para salir por una interfaz, en iptables hablamos de output.
Hay un par de etapas más:
  • Prerouting. Se ejecuta antes de input. Sirve para obviar el enrutamiento porque sabemos exactamente qué tratamiento dar a esos paquetes. Veremos un ejemplo en el caso práctico de proxy de esta misma unidad.
  • Postrouting (después de output y después de forward). Se utiliza para aplicar alguna modificación a los paquetes que están a punto de abandonar la máquina. Veremos un ejemplo, el NAT, en el mismo caso práctico de proxy.
Las reglas de iptables tienen una lista de condiciones y una acción, de manera que, cuando un paquete cumple todas las condiciones de una regla, se ejecuta la acción. En las condiciones podemos utilizar la interfaz por la que entró, la interfaz por la que va a salir, la dirección IP o la subred del paquete, el tipo de protocolo, el puerto origen o destino, etc. Las acciones pueden ser simplemente aceptar o rechazar el paquete, o también modificarlo.
Pero no todas las acciones están disponibles en todas las situaciones. Por esto las reglas se agrupan en tres tablas principales:

  •  filter. Es la tabla principal. Su misión es aceptar o rechazar paquetes. Es el firewall propiamente dicho.
  •  nat. Las reglas de esta tabla permiten cambiar la dirección de origen o destino de los paquetes.
  •  mangle. En esta tabla podemos alterar varios campos de la cabecera IP, como el ToS (Type of Service). Se suele usar para aplicar QoS (Quality of Service), marcando los paquetes de determinados servicios para luego priorizarlos.
Dentro de cada tabla, las reglas se agrupan a su vez por la etapa del procesamiento de paquetes donde se aplican (prerouting, input, etc.), aunque no todas las tablas tienen todas las etapas (Figura 7.37). Para cada etapa (también llamada chain, porque encadena una regla con otra) hay una lista de reglas que se recorre secuencialmente hasta que el paquete cumple una regla. En ese momento se ejecuta la acción asociada a la regla y se deja de aplicar el resto de las reglas de esa etapa (salvo la acción LOG, como veremos más adelante). Si el paquete no cumple ninguna regla de esa etapa, se aplica la acción por defecto de la etapa.

NAT (Network Address Translation). Mecanismo que aplican los routers para cambiar la dirección IP de los paquetes que transitan por ellos. El router pone su propia dirección, ocultando al destinatario que realmente el paquete no
es suyo, sino que está haciendo de intermediario. Gracias al NAT, el agotamiento de direcciones IPv4 no ha bloqueado Internet.

QoS (Quality of Service). Es un tratamiento diferenciado que los equipos de la red aplican a los paquetes de datos que procesan, buscando favorecer unos servicios concretos, aunque otros servicios se vean perjudicados. Por ejemplo, VoIP (Voz IP) frente a navegación web.

Firewall en Windows 7

Los sistemas operativos Windows siempre han tenido mala fama en cuanto a seguridad ante malware; sin embargo, la versión XP introdujo un firewall muy robusto y sencillo.
Las versiones posteriores (Vista, Windows 7) han mantenido la robustez, aunque han sacrificado la sencillez para elaborar reglas complejas que permitan cubrir todas las necesidades del usuario.
Comparado con iptables, el firewall de Windows 7 es más sencillo (no hay tantas tablas ni etapas) y más agradable de usar (interfaz de ventanas en lugar de comandos). A  diferencia de Linux, la configuración por defecto para las conexiones entrantes esrechazarlas, no aceptarlas.

Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

36.Espiar nuestra red

Vamos a procesar el tráfico de nuestra red mediante dos tipos de técnicas:

  • La monitorización del tráfico. Trabaja a alto nivel: se limita a tomar medidas agregadas, los llamados contadores. Por ejemplo, total de bytes enviados o recibidos en un interfaz, agrupados por puerto de origen o destino. La monitorización es habitual en las empresas porque:
  1. Resulta fácil de activar en toda la red dado que son los propios equipos los que facilitan esta información sobre sus interfaces.
  2. Genera relativamente poca información para transmitir y procesar.
  3. Es suficiente para conocer la disponibilidad de la red o el tipo de tráfico que transita. Por ejemplo, conocer el porcentaje de tráfico HTTP de nuestra red nos puede llevar a instalar un proxy .
  • El análisis del tráfico. Trabaja a bajo nivel: captura todos los paquetes que transitan por una interfaz (los conocidos sniffer de red). Los paquetes solo son leídos, no interceptados: el paquete continúa su camino. El procesamiento de estos paquetes leídos permite generar medidas agregadas, pero sobre todo interesa analizar las conversaciones entre los equipos, comprobando que se ajustan al comportamiento esperado en el protocolo estándar (analizador de protocolos). Aunque esta información es mucho más rica que los simples contadores, la captura es muy costosa de activar en toda la red, porque se dispara la cantidad de información que hay que transmitir y procesar (la mayoría de los puertos ya tienen velocidad gigabit); por este motivo, solo se utiliza en situaciones concretas que no se pueden abordar con el estudio de contadores, como es la detección de ataques.
Necesitaremos herramientas que nos ayuden a recoger, procesar, analizar
y presentar toda la información disponible.

Con estas herramientas hay que tener cuidado para conseguir un equilibrio entre los objetivos de seguridad y la carga extra que supone tratar esta información (CPU de los equipos de red, tráfico que ocupa en la red enviar los contadores o capturas hasta la herramienta, CPU del servidor de la herramienta, coste del software especializado, dedicación de personal de soporte a consultar los informes y tomar decisiones, etc.).

Los problemas típicos que nos harán aplicar estas técnicas pueden ser tan sencillos como una tormenta de broadcast (demasiados paquetes de tipo broadcast), que podemos detectar en las estadísticas de una interfaz. Y tan complejos como un DoS (Denial of Service, denegación de servicio).

Además de la monitorización del tráfico y el análisis del mismo, hay un tercer elemento para el control de la red: la sonda. Una sonda (en inglés probe) es un equipo de la red que está programado para comportarse como un cliente normal de alguno de los servicios que tenemos desplegados. La sonda ejecuta sus operaciones periódicamente, de manera que, si alguna falla, podemos suponer que también le fallará al usuario y debemos corregir el problema.
Como hemos señalado con anterioridad, la monitorización del tráfico es relativamente fácil de activar en una red, porque los equipos suelen estar preparados para facilitarnos la información sobre sus contadores y basta con preguntarles periódicamente. En cambio, la captura de conversaciones es más compleja de activar. Las opciones son:

  • Conseguir el control sobre alguno de los extremos de la conexión para poder utilizar alguna de las herramientas que veremos a continuación (tcpdump, wireshark).
  • Interceptar la conexión misma desde algún equipo de red por donde pasen los paquetes intercambiados. Si este equipo tiene cierta inteligencia, seguramente incorporará funcionalidades avanzadas, como el port mirroring; incluso puede ser un router Linux, con lo que tendremos a nuestro alcance todas las herramientas que veremos para los extremos.
  • Como último recurso podríamos conectar de manera temporal un hub en el puerto que queremos vigilar (Fig. 7.14), pero esto supone desplazamientos de personal y equipos que no siempre están disponibles (por ejemplo, el switch de LAN está en Barcelona, pero el departamento de soporte está en Madrid). Utilizamos un hub y no un switch porque el hub repite el tráfico de cada puerto a todos los demás, justo lo que necesitamos.

tcpdump

tcpdump es una herramienta sencilla disponible en Linux que permite hacer un volcado de todo el tráfico que llega a una tarjeta de red. Captura todo el tráfico, no solo el tráfico TCP, como aparece en su nombre. Los paquetes leídos se muestran en pantalla o se pueden almacenar en un fichero del disco para ser tratados posteriormente por esta misma herramienta u otra más avanzada. Se necesitan privilegios para ejecutarla, porque necesitamos poner la tarjeta en modo promiscuo para que acepte todos los paquetes, no solo los destinados a suMAC.

La captura con tcpdump se puede hacer en uno de los extremos si la conversación que estamos estudiando ocurre entre una máquina Unix y otra máquina Unix/Windows/etc.
(hay versiones de tcpdump para Windows, pero aquí es mejor WireShark). Aunque también lo utilizaremos muchas veces para capturar las conversaciones que atraviesan un router Linux. En la distribución representada en la Figura 7.15 podremos capturar las comunicaciones entre los ordenadores de las dos VLAN y todas las conexiones a Internet, aunque no podremos conocer qué hablan entre sí los ordenadores de una misma VLAN.

WireShark

WireShark es la herramienta más extendida en Windows para realizar capturas de tráfico y analizar los resultados. Es una evolución de una herramienta anterior llamada Ethereal. Para la captura de paquetes utiliza la librería pcap, que también aparece en otros sniffer, como tcpdump. La interfaz de usuario es muy potente, así como el número de protocolos que es capaz de analizar.

Port mirroring

Los switch gestionables suelen incorporar esta funcionalidad. Consiste en modificar la configuración del switch para que replique todo el tráfico de un puerto a otro. En el segundo puerto conectaremos el sniffer. El equipo o equipos conectados en el primer puerto funcionan con normalidad, no saben que están siendo espiados.
Generalmente se puede elegir el tipo de tráfico: entrante (desde el equipo hasta el switch), saliente (desde el switch hasta el equipo) o ambos. En algunos modelos podemos hacer que varios puertos vuelquen su tráfico a un mismo puerto, aunque habrá que vigilar las prestaciones del conjunto porque pueden desbordar el ancho de banda de la interfaz o la capacidad de captura del sniffer, lo que ocasionaría la pérdida de paquetes, invalidando el análisis posterior.

IDS/IPS. Snort

Aunque dispongamos de personal tan cualificado, no es humanamente posible revisar una a una todas las conversaciones que ocurren a diario en una red normal. Sobre todo porque la mayoría son interacciones normales, libres de
toda sospecha. Los expertos hay que reservarlos para los casos difíciles.
Para solucionar ambos problemas existen los sistemas IDS/IPS (Intrusion Detection System / Intrusion Prevention System). Los IDS detectan los ataques y los IPS actúan contra ellos. Tenemos dos tipos de IDS/IPS:

  • NIDS/NIPS (Network Intrusion y Network Prevention). Buscan ataques sobre servicios de comunicaciones. Se basan en el análisis de los paquetes que forman parte de la comunicación entre dos máquinas, comprobando que se ajustan al protocolo estándar.
  • HIDS/HIPS (Host Intrusion y Host Prevention). Buscan ataques sobre las aplicaciones y el sistema operativo de la máquina. Se basan en el análisis de los procesos actuales (ocupación de CPU y memoria, puertos abiertos) y la configuración y el log de cada uno de los servicios.
En este tema vamos a referirnos a los NIDS/NIPS. Estos sistemas procesan un fichero de captura de tráfico (o la realizan ellos mismos) y buscan patrones de comportamiento en los paquetes intercambiados entre los equipos. No se limitan a revisar las cabeceras del protocolo, sino que también miran en el contenido del paquete (payload). Cuando detectan un posible ataque, si es un IDS solo avisa al usuario (como mínimo, fichero de log) y si es un IPS solo responde al ataque (también se puede hacer que los IPS avisen).

La respuesta de un IPS puede ser impedir que ese paquete y los siguientes de esa conexión lleguen a su destino. En los más avanzados se puede configurar que permitan que el paquete llegue, pero adecuadamente modificado para que no prospere el ataque.

La inteligencia de estas herramientas suele residir en un conjunto de reglas que se cargan en el programa desde un fichero de configuración. Las reglas son elaboradas por expertos en seguridad que, cuando han identificado un nuevo tipo de ataque, escriben la regla que permitirá al IDS detectarlo.

Los problemas de los IDS son dos:
  • Rendimiento. El número de reglas es creciente (hay nuevos ataques y no podemos descartar los antiguos) y el volumen de tráfico también, por lo que necesitamos un hardware muy potente para tener funcionando un IDS sobre capturas de tráfico en tiempo real. En determinados momentos, la cola de paquetes pendientes de examinar será tan larga que la interfaz estará a punto de empezar a descartarlos; para evitarlo, el IDS los dejará pasar, a sabiendas de que puede ser un ataque (si no los deja pasar, nosotros mismos estaremos ejecutando un ataque). Pero si nos limitamos a procesar ficheros de captura antiguos, puede que encontremos ataques que ya han ocurrido y sea tarde para reaccionar.
  • Falsos positivos. Las reglas no son perfectas y puede que estemos alertando sobre comunicaciones que son perfectamente legales. Conviene probar muy bien una regla antes de meterla en un IPS.



Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

35.Servicios de red. Nmap y netstat

La herramienta Nmap, disponible para sistemas Linux y Windows, se ha convertido en la navaja suiza de los hackers de red. Además del escaneo de puertos para determinar los servicios disponibles en una máquina, podemos pedir a la herramienta que intente la conexión a cada uno de ellos. Después analiza los mensajes que generan estos servidores para identificar la versión concreta del sistema operativo y la versión concreta del software de servidor (server fingerprint) que está escuchando en cada puerto. Es decir, aunque intentemos despistar arrancando servicios en puertos que no son los
esperados (80 para HTTP y otros), la herramienta reconoce el puerto como abierto y consigue identificar el servicio.
La información de versión es muy útil para un atacante porque puede consultar en su base de datos las vulnerabilidades de cada versión de un servicio y así elegir mejor el tipo de ataque que puede lanzar contra la máquina.

Para cada puerto, la herramienta ofrece cuatro posibles estados:
  • open (abierto): la máquina acepta paquetes dirigidos a ese puerto, donde algún servidor está escuchando y los procesará adecuadamente.
  • closed (cerrado): no hay ningún servidor escuchando.
  • filtered: Nmap no puede decir si ese puerto está abierto o cerrado porque alguien está bloqueando el intento de conexión (router, firewall).
  • unfiltered: el puerto no está bloqueado, pero no se puede concluir si está abierto o cerrado.

Publicado por en No hay comentarios:
Etiquetas:

33.Redes inalámbricas

Los miedos a que las comunicaciones sean escuchadas por terceros no autorizados han desaparecido en las redes cableadas, pero están plenamente justifi cados en redes inalámbricas o WLAN (Wireless LAN), porque de nuevo el medio de transmisión (el aire) es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede perfectamente escuchar lo que no debe.

Como ocurría con el switch en las redes cableadas, hemos de:

  • Proteger el access point físicamente. La protección física es más complicada que enel caso del switch, porque el AP tiene que estar cerca de los usuarios para que puean captar la señal inalámbrica, mientras que para conectar la toma de red de la mesa con el switch podemos utilizar cable de varias decenas de metros.
  •  Proteger el access point lógicamente (usuario/contraseña).
  • Controlar qué clientes pueden conectarse a él (autenticación).
  • Podemos separar dos grupos de usuarios, haciendo que el mismo AP emita varias SSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener asociada una VLAN etiquetada.
  • Sobre todo, hay que encriptar la transmisión entre el ordenador y el AP. Así, aunque alguien capture nuestras comunicaciones, no podrá sacar nada en claro.

Asociación y transmisión

Para que un ordenador pueda trabajar en una red cableada normal (sin autenticación en el puerto), basta con enchufar un cable Ethernet entre la tarjeta de red del equipo y la toma de red en la pared, por ejemplo. En wifi se establecen dos fases: asociación y transmisión.

Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características de la comunicación (protocolo b/g/n, velocidad, etc.), pero sobre todo el AP puede solicitar algún tipo de autenticación para decidir si debe dejarle asociarse o no.
Generalmente es una clave alfanumérica que se registra en la configuración del AP y que el usuario debe introducir para poder trabajar con él.

Las AP admiten varios tipos de autenticación:

  • Abierta: no hay autenticación, cualquier equipo puede asociarse con el AP.
  • Compartida: la misma clave que utilizamos para cifrar la usamos para autenticar.
  • Acceso seguro: usamos distintas claves para autenticar y cifrar. El usuario solo necesita saber una, la clave de autenticación: la clave de cifrado se genera automáticamente durante la asociación.
  • Autenticación por MAC: el AP mantiene una lista de MAC autorizadas y solo ellas pueden asociarse.
Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP. Si queremos evitar que un tercero capture los paquetes intercambiados e intente conocer lo que transmitimos, el cliente y el AP deberán activar el cifrado de cada paquete. El tipo de cifrado (algoritmo, longitud de la clave, etc.) se negocia durante la asociación.

Por tanto, el AP admite varias combinaciones:
  • Autenticación abierta y sin cifrado: se utiliza en lugares públicos (bibliotecas, cafeterías, etc.). La intención es no molestar al usuario introduciendo claves; además, si las ponemos, habría que dar a conocer la clave mediante un cartel en el interior del establecimiento, por lo que la tendrían todos, usuarios y atacantes. En estos casos,el sistema operativo nos avisa de que vamos a conectarnos a una red sin seguridad.
  • Autenticación abierta y transmisión cifrada: es el esquema habitual de las primeras redes wifi.
  • Autenticación compartida y transmisión cifrada: es una mala combinación (en Windows 7 ni siquiera se contempla), porque la autenticación es muy vulnerable y, conocida esa clave, tendrán acceso a descifrar las comunicaciones de cualquier ordenador conectado a ese AP.
  • Autenticación segura y transmisión cifrada: es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA, como veremos en el siguiente apartado de esta unidad.

Cifrado: WEP, WPA, WPA2

La necesidad de encriptar las comunicaciones inalámbricas apareció desde el primer momento. Había que dar a los usuarios la confi anza de que su información viajaba segura. El primer estándar se llamó WEP (Wireline Equivalent Privacy, privacidad equivalente al cable), intentando compensar las dos realidades:

  • En redes cableadas es difícil el acceso al cable, pero si alguien lo consigue, puede capturar cualquier comunicación que pase por ahí.

  • En redes inalámbricas cualquiera puede capturar las comunicaciones, pero, como van cifradas, no le servirá de nada.
Las autoridades de estandarización empezaron a trabajar en un nuevo estándar. Se llamó WPA (Wi-Fi Protected Access) e introduce muchas mejoras:

  • Nuevos algoritmos más seguros (TKIP, AES), tanto por el algoritmo en sí como por el aumento de longitud de las claves, lo que dificulta los ataques.
  • Rotación automática de claves. Cada cierto tiempo (varios minutos) el AP y el cliente negocian una nueva clave. Por tanto, si algún atacante lograra acertar con la clave de una comunicación, solo le serviría para descifrar la información intercambiada durante ese intervalo de tiempo, pero no la anterior ni la siguiente.
  • Por primera vez se distingue entre los ámbitos personal y empresarial. En el ámbito personal es suficiente con el esquema habitual de una única clave que conocen todos (WPA le llama PSK [Pre-Shared Key]); en el ámbito empresarial no tiene sentido, por que si una persona abandona la empresa, habría que cambiar la clave y comunicarlo de nuevo a todos los empleados. Para resolverlo, WPA empresarial introduce un servidor RADIUS donde poder almacenar un usuario y una clave para cada empleado.

WPA empresarial: RADIUS

Como acabamos de destacar, para las necesidades de seguridad de una empresa no es suficiente con la solución de clave única compartida por todos. Además de la salida de empleados, ya sabemos que es una buena práctica cambiar las claves regularmente (no sabemos cuánto tiempo llevan intentando conocerla), se puede extraviar el portátil o el móvil de un empleado y quien lo encuentre puede sacar las claves almacenadas en el dispositivo, etc.

El esquema de funcionamiento de WPA empresarial es el siguiente:

  • Dentro de la LAN de la empresa hay un ordenador que ejecuta un software servidor RADIUS. En este servidor hay una base de datos de usuarios y contraseñas, y el servidor admite preguntas sobre ellos.
  • Los AP de la empresa tienen conexión con ese ordenador.
  • Los AP ejecutan un software cliente RADIUS. Este software es capaz de formular las preguntas y analizar las respuestas.
  • El servidor RADIUS tiene la lista de las direcciones IP de los AP que le pueden preguntar. Además de estar en la lista, el AP necesita que le configuremos una contraseña definida en el servidor (una dirección IP es fácilmente falsificable).
  • Cuando un cliente quiere asociarse a un AP, le solicita usuario y contraseña. Pero no las comprueba él mismo, sino que formula la pregunta al servidor RADIUS utilizando la contraseña configurada para ese servidor. Dependiendo de la respuesta, el AP acepta la asociación o no.
Además de mejorar la seguridad, porque cada usuario tiene su contraseña (con su caducidad) y en cualquier momento podemos añadir o eliminar un usuario, con WPA empresarial podemos llevar un registro de quién entra a la red en cada momento.

La rotación de claves que introdujo WPA fue un paso importante para disuadir a los hackers de intentar obtener la clave mediante el análisis de la captura de tramas de tráfico de equipos ya conectados al AP.
Entonces los hackers concentraron su trabajo en la clave PSK de la fase de asociación.

Utilizaron la fuerza bruta de dos formas:

  • Probando contraseñas una tras otra. Las contraseñas serían todas las combinaciones posibles de letras y números, o una selección mediante un diccionario. Por desgracia, los AP no suelen tener un control del número de intentos fallidos, como sí ocurre en otros sistemas de autenticación que hemos visto en este libro (login de Windows, tarjetas SIM).
  • Si consiguieran capturar las tramas de inicio de conexión de un cliente, podrían aplicar un ataque de diccionario sobre la información de esas tramas. Si no queremos esperar a que aparezca un cliente nuevo, podemos forzar la desconexión de alguno.



Publicado por en No hay comentarios:
Etiquetas: , , , , ,

32.Seguridad en Redes Privadas

¿Seguridad en redes TCP/IP?

La familia de protocolos TCP/IP supuso una evolución en su día con respecto a otros protocolos. Su principal característica es que permite la creación de redes “autogestionadas”, es decir, redes en las que no es necesaria la existencia de un aparato que controle las comunicaciones...
¡La gestión de la red se reparte entre los dispositivos de la propia red!

Esta ventaja ha hecho posible la creación de Internet, que posee
unas   características   peculiares,   heredadas   de   la   funcionalidad   de   sus Protocolos:

  •  Internet es una red dinámica, que reacciona satisfactoriamente frente a los cambios detopología de ella misma.
  • Internet es una red  independiente, que no necesita aparatos centrales de control.
  • Internet es una red  sin propietario. Es simplemente un conjunto de redes interconectadas.
  •  Internet es una red  abierta. Cualquiera puede adscribirse o separarse de ella libremente.
Otra características de los protocolos TCP/IP es que nunca fueron pensados
para que funcionaran sobre una red mundial.

La situación actual se resume en afirmar que la pila de protocolos TCP/IP no está preparada para realizar las tareas que hoy en día se le asignan. La situación empeora día a día, pues van apareciendo nuevas necesidades de mercado, que necesitan de un soporte técnico que TCP/IP no es capaz de darle.

Podemos resumir diciendo que TCP/IP tiene estos inconvenientes:
  • Direccionamiento IP insuficiente. Por este motivo, IP ha tenido que ser “parcheado” con técnicas tales como el subnetting, el resumen de rutas, VLSM y NAT. Los problemas derivados de esto desaparecen con IPv6.
  • Seguridad   insuficiente.  Las   redes   TCP/IP   son   inseguras   en   sí   mismas,   necesitamos añadir seguridad a otros niveles, como a nivel de aplicación o a nivel de enlace de datos. IPSec es una interesante propuesta.
  • No garantiza la Calidad del servicio.  TCP/IP es una red de “máximo esfuerzo”, esto significa que hará el mayor esfuerzo posible por dar un servicio, pero que no garantiza dicho servicio. Esto es insuficiente para las necesidades multimedia, como los flujos de vídeo y de voz.
Podemos afirmar que si  la principal ventaja de las redes TCP/IP es que   conforman   una   red   abierta,   no   le   podemos   pedir   también seguridad...   Internet   es   terreno abonado   para   una   completísima   “fauna”   de delincuentes   informáticos   de   los   que   nos   debemos proteger. Para ello habrá que dotar de seguridad a las redes TCP/IP, usando técnicas a todos los
niveles: encriptación de datos, túneles privados, filtros, cortafuegos, etc...
Publicado por en No hay comentarios:

31.Seguridad Activa en Redes

En las dos unidades anteriores hemos estudiado a fondo cómo proteger nuestra máquia junto con los datos y el software que ejecuta en ella.
También hay que protegerse de los ataques que vengan por la red. Una máquina que ofrece servicios TCP/IP debe abrir ciertos puertos. A estos puertos pueden solicitar conexión máquinas fi ables siguiendo el protocolo estándar, o máquinas maliciosas siguiendo una variación del protocolo que provoca un fallo en nuestro servidor. Las consecuencias de este fallo serán, como mínimo, que el servicio queda interrumpido; pero en algunos casos el atacante puede tomar el control de la máquina (por eso cada vez más los servicios se ejecutan con el mínimo de privilegios).


Las primeras redes LAN cableadas eran muy inseguras, porque todos los ordenadores estaban conectados al mismo cable (arquitectura en bus), de manera que cualquiera podía poner su tarjeta de red en modo promiscuo y escuchar todas las conversaciones, no solo aquellas en las que participaba.
Actualmente, este miedo prácticamente ha desaparecido, porque utilizamos la arquitectura en estrella: cada equipo tiene un cable directo a un puerto de un conmutador de red (switch) y por ahí envían sus paquetes; el switch los recibe y decide por qué puerto va a enviarlos para que lleguen al destino (Fig. 6.5).

las redes conmutadas tienen sus propias vulnerabilidades:
Sin embargo, las redes conmutadas tienen sus propias vulnerabilidades:
  •  Hay que proteger el switch físicamente: encerrarlo en un armario/rack con llave dentro de una sala con control de acceso. Así evitamos no solo el robo, sino que alguien acceda al botón de reset y lo configure a su modo.
  • Hay que proteger el switch lógicamente: poner usuario/contraseña para acceder a su configuración.
  • Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí (por ejemplo, el departamento de marketing con el departamento de soporte). Debemos aislarlas para evitar problemas de rendimiento y seguridad.
  • Hay que controlar qué equipos se pueden conectar y a qué puertos. Por el motivo anterior, al grupo de marketing solo deberían entrar máquinas de marketing.

 VLAN

Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas constituyen una VLAN (LAN virtual). Se le llama virtual porque parece que están en una LAN propia, que la red está montada para ellos solos. Como hemos dicho antes, utilizar VLAN mejora el rendimiento y la seguridad, porque esas máquinas solo hablan entre ellas y nadie extraño las escucha. Al mismo tiempo, si ocurre un problema en una VLAN (un ataque, un problema de un servidor DHCP descontrolado), las otras VLAN no se ven afectadas. Pero un exceso de tráfico en una VLAN sí afectaría a todos
porque, al fin y al cabo, comparten el switch.


Una VLAN basada en grupos de puertos no queda limitada a un switch;
uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc.

Por ejemplo, cuando el departamento de marketing tiene parte de su personal en la primera planta y parte en la segunda, hay que dejar un puerto en cada switch para interconectarlos. En la Figura 6.14 tenemos dos equipos en cada planta, por lo que ocuparían tres puertos en cada switch.

Para interconectar VLAN (capa 2) generalmente utilizaremos un router (capa 3).
Capa 2. En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe cómo intercambiar paquetes de datos (llamados tramas) con los equipos que están en su misma red. La comunicación es directa entre origen y destino (aunque cruce uno o varios switch).

Capa 3. La capa 3 o capa de red tiene una visión global de la red:
sabe cómo hacer llegar paquetes de datos hasta equipos que no están
en su misma red. La comunicación es indirecta, necesita pasar por una
máquina más: el router.

El router necesitará conectividad con cada una de las VLAN que interconecta. Una forma de conseguirlo es reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Una solución alternativa es utilizar el segundo tipo de VLAN: VLAN etiquetada (tag).

Autenticación en el puerto. MAC y 802.1X

Hemos protegido el acceso al switch y repartido las máquinas de la empresa en varias VLAN, interconectadas por routers. Pero cualquiera puede meterse en un despacho, desconectar el cable RJ45 del ordenador del empleado, conectarlo a su portátil y ya estaría en esa VLAN. Como sigue siendo un switch, no podrá escuchar el tráfico normal de los demás ordenadores de la VLAN, pero sí lanzar ataques contra ellos.

Para evitarlo, los switch permiten establecer autenticación en el puerto: solo podrá conectar aquel cuya MAC esté dentro de una lista defi nida en el propio switch, o, dado que las MAC son fácilmente falsificables (las tarjetas emiten los paquetes que genera el software de red del sistema operativo), el que sea autentificado mediante RADIUS en el estándar 802.1X.
Publicado por en No hay comentarios:
Etiquetas: , , ,

miércoles, 11 de marzo de 2015

Seguridadad Activa del Sistema

Entendemos por seguridad informática el conjunto de acciones, herramientas y dispositivos cuyo objetivo es dotar a un sistema informático de integridad, confidencialidad y disponibilidad. Estas medidas nos ayudan a que no suframos daños personales y que nuestros computadores. Si alguien quiere hacernos daño a través de Internet con esta medidas de seguridad le frenaremos el carro.

Le dejo unos enlaces para acceder al temario de Seguridad Activa del Sistema: 

24. Seguridad activa en el sistema  
25. Seguridad en el acceso al ordenador  
26. Autenticación de los usuarios  
27. Sistemas biométricos  
28. Vulnerabilidades del sistema  
29.Monitorización del sistema  
30.Software que vulnera la seguridad del sistema.  


Sintaxis 


Publicado por en No hay comentarios:
Etiquetas:

30.Software que vulnera la seguridad del sistema.

En este apartado vamos a estudiar tanto las aplicaciones (virus, gusanos, snifadores ... ) como el tipo de intrusos que mediante el uso de las mismas amenazan la seguridad del sistema.

Clasificación de los atacantes

Los atacantes se pueden clasificar según el tipo de ataque:

  • Hackers: son personas con grandes conocimientos informáticos y telemáticos (expertos programadores). Por su infinita curiosidad dedican un gran esfuerzo a investigar los sistemas operativos y los sistemas de seguridad para descubrir todas sus vulnerabilidades. La principal motivación de los hackers es seguir aprendiendo y mostrar las vulnerabilidades de los sistemas al mundo. En ningún caso buscan un beneficio económico o dañar la estructura del sistema. Podríamos hacer un símil con una persona que ha sido capaz de acceder al interior de una caja fuerte, pero no se ha llevado nada, simplemente ha dejado una nota informativa diciendo que ha estado allí, para informar de la vulnerabilidad de la misma. También son conocidos como hackers de sombrero blanco.
  • Crackers o hackers de sombrero negro: el término hacker fue utilizado por los medios de comunicación de forma genérica, para referirse a cualquier intruso en un sistema, sin tener en cuenta la finalidad del ataque. Por este motivo, los propios hackers inventaron una nueva palabra para designar a aquellas personas que rompían las barreras de seguridad de los sistemas con fines maliciosos, bien porque buscaban un beneficio económico o bien porque por venganza dañaban las estructuras de los
    sistemas, etc. La palabra cracker proviene de CRiminal hACKER, es decir hackers criminales, hackers cuyas intenciones son maliciosas. 
  • Phreakers: son expertos en telefonía. Son conocidos como los phone crackers, los crackers de la telefonía, buscan un beneficio económico saboteando las redes telefónicas para realizar llamadas gratuitas.
  • Ciberterroristas: son expertos en informática y en intrusismo en la red, que ponen sus conocimientos al servicio de países y organizaciones para el espionaje o sabotaje informático. 
  • Programadores de virus: son expertos en programación, en sistemas y en redes, que crean pequeños programas dañinos, que por uno u otro motivo llegan a la red y se distribuyen con rapidez ocasionando daños en los sistemas o en la información almacenada en los mismos.
  •  Carders: atacan los sistemas de tarjetas, especialmente los cajeros automáticos.
  • Sniffers: lo podríamos traducir como colilla, son las personas que se dedican a escuchar el tráfico de la red, para intentar recomponer y descifrar los mensajes que circulan por la misma.
  • Lammers: también conocidos como wannabes o script-kiddies o c1ick-kiddies, son chicos jóvenes que sin grandes conocimientos informáticos, se creen verdaderos hackers y se lo hacen creer a los miembros de sus pandillas. Estos sólo se han descargado herramientas o programas de Internet para realizar ataques informáticos y los han puesto en marcha sin saber cómo funcionan. Los verdaderos hackers muestran una gran repulsa hacia los lammers.
  • Newbie: son los hackers novatos, empiezan a aprender y van superando los primeros retos para llegar a ser verdaderos hackers. 

Tipos de ataques

Podemos hacer una primera clasificación de los tipos de ataques según los objetivos de seguridad que vulneran.
  • Interrupción, este tipo de ataque vulnera la disponibilidad de un recurso del sistema o de la red. El recurso no podrá ser utilizado. Ejemplos, denegación del servicio, el apagado manual de cualquier recurso (equipo, servidor, impresoras)' el rabo de un disco duro, cortar una línea de comunicación, deshabilitación de un sistema de ficheras (umount).

  • Intercepción, ataca la confidencialidad. Un intruso accede a información almacenada en nuestro sistema o al que hemos trasmitido por la red, es decir, la información ha caído en manos de personal no autorizado. Ejemplos, captura de información en la red o copia de archivos no autorizada.

  • Modificación, ataca el objetivo de integridad. Los datos han sido manipulados por
    personal no autorizado en algún momento entre su creación y su llegada al destinatario. La información que se dispone después de un ataque de estas características no es vólida ni consistente. Ejemplos, las modificaciones de programas para que realicen acciones diferentes a las propuestas originalmente, modificar un mensaje transmitido por la red, DNS spoofing.

  • Fabricación, este tipo de ataque vulnera la autenticidad. Se trata de modificaciones destinadas a conseguir que el producto final sea similar al atacado de forma que sea difícil distinguirlo del original. Por ejemplo, el phising .
  • Spoofing o suplantación de la identidad: la técnica de spoofing (engaño o falseamiento) se usa en redes ethernet conmutadas, es decir, en redes que hacen uso de switch como elemento de interconexión entre los diferentes Pe. Este ataque consiste en falsear algún dato de un PC atacado. Existen distintos tipos de spoofing, como puede ser el arp spoofing o arp poisoning, que consiste en engañar a la tabla arp que los equipos guardan en memoria, tabla que simplemente asocia una dirección física o mac de una tarjeta de red con su IP (Fig. 5.65). 
  • Sniffing o análisis de tráfico: como hemos comentado en el epígrafe de tipos de atacantes, este tipo de ataques consiste en escuchar el tráfico de la red.
    En las redes de área local que utilizan el HUB como medio de interconexión entre los equipos, esta técnica se convierte en un juego de niños; como sabemos, los hubs o concentradores repiten toda la información recibida por cada uno de sus puertos. Para dificultar el uso de esta técnica, debemos sustituir los concentradores por switchs o conmutadores, ya que estos últimos al tener definidas las tablas de direccionamiento (CAM Control Addressable Memory) sólo mandan la información recibida por el puerto
    adecuado. Pero es tan fácil como utilizar una técnica de MAC flooding, que consiste en saturar la memoria de los conmutadores para que pierdan la tabla de direccionamiento y terminen funcionando como concentradores, es decir, que reenvían la información recibida por todos los puertos por no saber por cuál de ellos debe enviarla. 
  • Conexión no autorizada a equipos y servidores: este tipo de ataque consiste en descubrir distintos agujeros en la seguridad de un sistema informático y establecer con el mismo una conexión no autorizada. Ya sea porque hemos descubierto las contraseñas de algunos usuarios, como en el caso práctico anterior, o bien utilizando aplicaciones malware que aprovechan las puertas traseras o agujeros para permitir el acceso al equipo desde el exterior.
  • Introducción en el sistema de malware. Virus, troyanos y gusanos: los virus, troyanos o gusanos son conocidos como malware, programas malintencionados, que infectan nuestro equipo dañando de múltiples formas nuestro sistema.
    Los virus son programas que se propagan entre los equipas. Su código se adjunta al de otro programa existente en el sistema para facilitar la propagación del mismo y causar los daños para los que han sido diseñados por el creador. La característica principal es que su código ha sido escrito con la intención de que se vaya replicando para así infectar el mayor número de equipos posibles. Ejemplos famosos de virus son Barrotes, Viernes 13 ...
    Los gusanos son diseñados con el mismo fin que los virus, que se propaguen por la red. Se diferencian en que éstos no necesitan la intervención del usuario, ya que no se adjuntan a ningún otro programa, sino que son distribuidos de manera completa par la red consumiendo en la gran mayoría de los casos un gran ancha de banda de la red o pueden llegar a bloquear el equipo infectado. Algunos ejemplos famosos de este tipo de programas son Sasser y Blaster. Los troyanos son aplicaciones aparentemente inofensivas que facilitan en la mayoría de los casos el acceso remoto a los equipos infectados. Estas aplicaciones se
    pueden esconder en archivos adjuntas en los mensajes que enviamos por la red.
  • Keyloggers: la traducción literal de esta palabra, registrador (Iogger) de teclas (keys),nos da una idea del tipo de ataque que va a realizar. Se utiliza como herramienta maliciosa para conocer todo lo que un usuario escribe a través del teclado, incluso a veces registran capturas de pantalla del equipo. Para alcanzar estos objetivos existen herramientas hardware y software. Los periféricos diseñados para tal fin pueden ir desde un teclado en apariencia idéntico a uno normal pera que contiene una memoria no volátil donde almacena la información escrita o bien mediante un pequeño
    dispositivo que se conecta entre el puerto del ordenador (USB o PS2) y un teclado.
  • Denegación del servicio: este tipa de ataque también es conocido par sus siglas: DoS (Denial Of Service). Se ejecuta contra servidores o redes de ordenadores con el propósito de interrumpir el servicio que están ofreciendo. Es conocido el ataque DoS que realizaron piratas informáticos de la antigua Unián Soviética y que paralizá el acceso a Internet de los estonios, tras la decisián del gobierno del país báltico de retirar una estatua que conmemoraba a los muertos soviéticos durante la Segunda
    Guerra Mundial. También son conocidos los ataques de este tipo lanzados contra los servidores raíz del sistema de nombres distribuido DNS, con el fin de dejar Internet paralizada al no poder disponer los usuarios del servicio de resolución de nombres. Entre los múltiples tipos de ataque DoS se pueden destacar los siguientes:
  1. La mayoría de los ataques de denegación de servicios son realizados al unísono desde múltiples máquinas que han sido convertidas en zombies por crackers de la red, llamándose en este caso DDoS, ataque de Denegacián de Servicio Distribuido.
  2. Ping de la muerte, consiste en enviar multitud de pings a un ordenador con un tamaño de bytes muy grande, lo que bloqueaba las conexiones en los antiguos sistemas operativos; en los actuales este tipo de ataque está subsanado y por tanto se puede considerar como historia.
  • Inundación de peticiones SYN: más conocido por SYN Flood, consiste en hacer una peticián de establecimiento de conexián a un servidor y no responder a su aceptación de conexián, bien sea porque se falseó el paquete de petición con una IP falsa o por alguna otra causa. Este tipo de ataque provoca una saturación en las conexiones abiertas del servidor, de tal forma que si estas son muy elevadas pueden llegar a producir un colapso del servicio ofrecido con la consiguiente denegación de servicio. Mediante el simple uso del comando netstat (comando que nos permite ver el estado de las conexiones) se puede ver si estamos siendo víctimas de un
    ataque de este tipo y para combatirlo se recomienda el uso de filtros en los routers que paren el tráfico de IP que puedan ser falseadas. 
  • Dialers: también conocidos como marcadores telefónicos, se hicieron muy famosos a principios de los años noventa cuando la mayoría de la gente se conectaba a Internet mediante módem.
    Son programas de conexión a Internet mediante módem, que realizan una llamada a un teléfono con tarificación especial, como aquellos que empezaban por 905.
    Estos pragramas actuaban sin la intervención y sin el consentimiento del usuario provocando una factura telefónica desorbitada. Hoy en día con las conexiones ADSL los dialers casi han desaparecido en la mayoría de los hogares.
  • Ingeniería social: es un ataque que afecta al objetivo de confidencialidad de la seguridad informática. Esta técnica consiste en obtener información secreta de una persona u organismo para utilizarla posteriormente con fines maliciosos. Habitualmente los ingenieros sociales utilizan el correo electrónico, páginas Webs falsas, el correo ordinario o el teléfono para llevar a cabo sus planes. Los ejemplos más llamativos de estos ataques son el phising y el uso de una máquina atacada para la envío de spam. 
  • Phishing: es una técnica de engaño al usuario, que intenta adquirir información confidencial del mismo suplantando la identidad de otros personas, organismos o páginas WEB de Internet. Uno de los métodos de Phishing más utilizados hoy en día consiste en colgar en Internet una página que es copia idéntica de alguna otro, como puede ser la de alguna entidad financiero o banco.
    El engaño consiste en que si alguien confunde esta página falsa con la original e introduce en ella sus datos personales como puedan ser el número de tarjeta o el PIN de la misma, estos números se les manda directamente a los creadores de la estafa, que consiguen así tener en su poder información que puede comprometernos.La manera de no caer en estas estafas es tener en cuenta que nunca los bancos ni organismos oficiales piden a través de correos electrónicos datos confidenciales.
    También debemos mirar con cautela las direcciones URL de las páginas visitadas, pues sucede a menudo que si la dirección real es por ejemplo www.mibanca.es. la dirección que utilizan este tipo de delincuentes para diseccionar la página será algo así como www.mibanco.es o www.misbanca.es. Es decir, la URL tiene una pequeña diferencia que a primero vista no se notará pero que obligatoriamente ha de tener.
    Hasta hace poco tiempo, este tipo de ataques solo afectaba a entidades financieros, pero actualmente estos ataques han afectado a otros organismos, como el INEM, Cámaras de Comercios de diferentes ciudades y últimamente a la Agencia Tributaria.

Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

lunes, 9 de marzo de 2015

29.Monitorización del sistema

Con lo monitorización del sistema vamos a poder auditar los eventos que se han producido en nuestro equipo.

Windows

Como ya estudiamos, podemos abrir el visor de sucesos mediante la orden evenlvwr.msc. En la Figura 5.55, podemos ver que guarda información de los sucesos de aplicación, seguridad y sistema.

Esta información es guardada en los archivos AppEvent.Evt, SecEvent.Evt y SysEvent.Evt, ubicados todos ellos en el directorio %SystemRoot%\system32\config.

Es muy importante configurar correctamente el tamaño y el acceso a los mismos. El tamaño debe ser lo suficientemente grande para albergar los sucesos producidos en el sistema hasta que lo auditemos. Y como es lógico, para evitar que 105 intrusos borren sus huellas sólo deberán tener permisos de control total el técnico o técnicos ,encargados de la seguridad del sistema.

Linux tiene un complejo visor de sucesos (Fig. 5.56) que podemos arrancar desde Sistema > Administración> Visor de archivos de sucesos.
Para simplificar lo auditoría, Linux tiene un conjunto de comandos, que se especializan en el registro de los distintos eventos. Para auditar los entradas al sistema utilizaremos el comando last (Fig. 5.58, para auditar los accesos fallidos usaremos el comando lastb (Fig. 5.59 Y para los conexiones 01 sistema por red utilizaremos el comando lastlog (Fig. 5.601.Los ficheros donde se guarda la información se encuentran ubicados en el directorio /var/log (Fig. 5.571.)



Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

jueves, 5 de marzo de 2015

28. Vulnerabilidades del sistema

Los sistemas operativos son programados y sometidos a numerosas pruebas anles de ser lanzados al mercado, pero no se descubren sus verdaderas vulnerabilidades hasta que los «expertas en seguridad" (hackers, crackers, virus .. . ), lo someten a sus duras pruebas. Entonces, esos agujeros son corregidos con la mayor celeridad posible por los programadores del sistema .
Por el lo, siempre debemos mantener el sistema actualizado.

Evitar vulnerabilidades en Windows

debemos mantener el sistema actualizado con los últimos parches. Esto lo podemos realizar de distintas maneras:
Windows praporciona un servicio de actualizaciones automáticas a lravés de la Web,
denominado Windows Update, ubicado en windows update.microsolt.com. Si nos coneclamos a esta página, el servicio analiza el sistema operativo y determina las actualizaciones que es necesario descargar.
Otra manera es configurar el sistema operativo paro que realice las descargas de las actualizaciones automáticamente. 
Para ello debemos pulsar el balón Inicio de Windows, hacer clic sobre el Panel de Control y seleccionar la opcián de Windows Update (Fig . 5.52).

 
A continuación, se abre una nueva ventana similar a la que se muestra en la Figura 5 .53 .
En esa ventana podemos buscar actualizaciones, cambiar la configuración, consultar el historial de actualizaciones, restaurar actualizaciones ocultas y ver las preguntas frecuentes sobre el proceso de actualizar el sistema.
Como estamos intentando configurar las actualizaciones automóticamente, debemos hacer dic en la opción Cambiar configuración, que se muestra en el marco izquierdo de la Figura 5.53.

En la nueva ventana (Fig. 5.54), seleccionamos la primera opción, Instalar actualizaciones automáticamente (recomendado), definiendo cuándo queremos que se instalen las nuevas actualizaciones. Como sabemos que Windows suele publicar las actualizaciones los martes, lo podemos configurar para que se instalen los viernes a las 20:00 horas, de esta manera, nos aseguramos que no han dado problemas los parches publicados.

Otra opción que podemos seleccionar en la misma ventana es Descargar actualizaciones, pero permitirme elegir si deseo instalarlas; como su nombre indica se descargan las actualizaciones, pero no son instaladas hasta que no demos la oportuna orden.

Otra selección posible es Buscar las actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas; de esta manera, no se descargan las actualizaciones, ocupando espacio en el disco duro hasta el momento en que las instalamos.

Por último, podemos optar por no buscar las actualizaciones; en ese caso somos los responsables de acceder a la página de Windows Update y determinar las actualizaciones que necesitamos para mantener nuestro equipo sin vulnerabilidades. De la misma manera que mantenemos actualizado el sistema operativo, debemos mantener actualizado los programas que tenemos instalados y, por supuesto, el firmware de los distintos periféricos que conectamos al equipo: router, switch, etc.

Como perderíamos mucho tiempo consultando la página de cada fabricante para ver si han publicado nuevas actualizaciones de las aplicaciones instaladas, podemos utilizar algunos de los numerosos programas gratuitos que existen. Estos se conectan a Internet y nos informan de si hay nuevas actualizaciones publicadas que aún no tengamos instaladas.

Algunos ejemplos de dichos programas son APPGET, SUMO, LOGICIEIMAC.COM, APPFRESH, UPDATE NOTIFIER (http://cleansofts_org), etc.
Publicado por en No hay comentarios:
Etiquetas: , , ,

27. Sistemas biométricos

Los sistemas biométricos, se utilizan para autenticar a los usuarios a través de sus rasgos físicos o conductas.

Estos sistemas se están popularizando en la actualidad; podemos encontrar portátiles que nos obligan a autenticarnos para acceder a su sistema operativo a través de la detección de la huella digital.

Otro caso similar nos lo encontramos en Disney World, la identificación de los usuarios que paseen entrada válida para varios días, se realiza mediante sistemas biométricos; de esta manera, se evita que un grupo de amigos saquen entradas para varios días aprovechando el descuento y que posteriormente accedan al parque en distintas días repartidos en pequeños grupos.

¿Cómo funciona un sistema biométrico?

El funcionamiento del sistema biométrico se compone de dos módulos, el de inscripción y el de identificación (Fig. 5.41 )

El primero de ellos, mediante sensores, lee y extrae la característica que identifica al usuario, almacenando el patrón en una base de datos.
El módulo de identificación lee y extrae la característica que reconoce al usuario. 
Ese patrón es comparado con los que se tienen almacenados en la base de datos y se devuelve la decisión sobre la identidad del usuario.
Los tipos de sistemas biométricos más populares son:

Verificaciones anatómicas:
  • Mano: huellas dactilares, geometría, venas.
  • Rostro: geometría.
  • Patrones oculares: retina, iris.

Verificación del comportamiento
  • Timbre de la voz.
  • Escritura: uso del teclado, escritura manual de un texto predefinido, firma del usuario.
  • Longitud y cadencia del paso.

Listas de control de acceso 

Las listas de control de acceso, también conocidas por su sigla en inglés ACL, mejoran la seguridad de los archivos de nuestro sistema. En dichas listas, se definen los privilegios que tiene un usuorio de forma individual sobre un determinado fichero, es decir, permiten o limitan el acceso a los archivos de manera individual sin tener en cuenta el grupo.

Para poder hacer uso de las listas de control de acceso Para ello, necesitamos configurar el fichero /etc/fstab. Los sistemas de ficheros montados con ACL, tendrán la palabra elave «ael» en las opciones de montaje de dicho fichero. En nuestro caso, además de las particiones de root y swap, tenemos una tercera dedicada al almacenamiento de datos; en esta última, vamos a configurar la lista de control de acceso; para ello modificamos el fichero fstab (Fig. 5.43), añadiendo la línea correspondiente a dicha partición (Fig. 5.44.) debemos comunicarle al sistema en qué particiones vamos a querer usarlas.














A continuación, procederemos a montar la partición nuevamente (Fig. 5.45).
 
Para realizar el ejemplo, root ha creado un fichero llamado prueba.

A continuación, mediante el comando getfacl, vamos a ver la información que almacena la lista de control de acceso del fichero prueba y del directorio
actual.
Nos informa del nombre del fichero, del propietario,del grupo y lo que más nos interesa, los permisos del propietario (user::rw·), del grupo (group::r .. ) y del mundo (other::r .. ). Lo mismo para el directorio actual (Fig. 5.48).
A continuación, vamos a darle permisos a Fernando, para que pueda leer y modificar el fichero prueba. Paro ello, debemos utilizar el comando setfacl con la opción «·m», que nos permite modificar la ACL, y por último, comprobamos que se ha realizado la modificación solicitada (Fig. 5.49)
Vamos con un caso practico 9
 
Los parámetros son:

ll.- Cambia las ACLS de los archivos especificados en el directorio actual yen
todos sus subdirectorios.
le.- Modifica la ACL en vez de reemplazarla. Este parámetro es muy importante,
supongamos que queremos darle permisos al Usuari02 y no utilizamos este
modificador; entonces se reemplaza la ACL antigua por la nueva, no permi-
tiendo al Usuario 1 acceder a su información.*/c.- Fuerza la modificación aunque encuentre errores. 
/g usuario:permisos; R (lectura); E (escritura); C (cambiar), y F (control total).-
Concede derechos de acceso al usuario.
/R usuario.- Suspende los derechos al usuario.
/p usuario:perm.- Sustituye los derechos del usuario especificado.
/d usuario.- Deniega el acceso al usuario especificado.
La instrucción cacls permite modificar las listas de control de acceso a los ficheros.
Según la sintaxis anterior, debemos ejecutar el comando que aparece en la
Figura 5.50.
El resultado es que el Usuari02 puede entrar a todos los directorios y ficheros
que cuelguen del directorio Usuariol, o lo que es lo mismo, puede visualizar
cualquier documento de dicho usuario.
Como toda la información del Usuario 1 está almacenada en dos carpetas, Confidencial y Datos Compartidos, para que no tenga acceso el Usuari02 al directorio Confidencial del Usuariol, debemos ejecutar la orden de la Figura 5.51.


Publicado por en No hay comentarios:
Etiquetas: , , , , , ,
Suscribirse a: Entradas (Atom)