Seguridad en la red corporativa. Gabriel Montañés León

Transcripción

1 Seguridad en la red corporativa Gabriel Montañés León

2 Amenazas y ataques en las redes corporativas Amenaza interna o corporativa Cualquier empleado puede convertirse en un punto de fuga de información. Lo único que necesita es acceso a la misma, ya que para extraerla hoy en día en muy fácil a través de dispositivos portátiles (pendrives, discos duros, USB, etc.) o incluso directamente a un servidor vía internet. Lo más lógico es aplicar una política de gestión de usuarios, cada uno con sus permisos correspondientes para acceder a determinadas aplicaciones. También es preciso definir en los procesos de baja de personal algún procedimiento que impida, o al menos dificulte, que una persona pueda sacar información fuera de las fronteras de la empresa. Otra vía interna son los despistes. Instalar una aplicación que deje abierta una puerta trasera o enviar un correo electrónico a múltiples destinatarios incluyendo las direcciones en un campo diferente al de copia oculta, es decir, dejándolas al descubierto para cualquiera que lo reciba.

3 Amenaza externa o de acceso remoto * Con la llegada de internet, las amenazas pueden venir desde el exterior. No se necesita poner un pie en las instalaciones de la empresa para que alguien pueda acceder a información propiedad de esta. Se necesita una protección del perímetro de la red informática, así como un control de los accesos de sus usuarios Quién hace esto? Un experto en sistemas. Se le contrata para que monte la red y su posterior mantenimiento periódico. * Las amenazas en el exterior también aparecen cuando alguien no autorizado se hace con un equipo informático de la empresa. Situaciones de extravió o robo de un ordenador portátil, un teléfono móvil o un disco duro USB o un uso indebido de los mismos en el domicilio de algún empleado, pueden poner a disposición de gente no deseada información protegida. La solución pasa por la encriptación de los datos en equipos portátiles y la educación de los usuarios a la hora de usarlos fuera de la red corporativa.

4 Amenazas 1. Interrupción: se daña, pierde o deja de funcionar un punto del sistema. Su detección es inmediata. Por ejemplo: destrucción del hardware, borrado de programas, datos. Fallos en el sistema operativo. 2. Intercepción: acceso a la información por parte de personas no autorizadas utilizando privilegios no adquiridos, su detección es difícil, a veces no deja huellas. Ejemplos: copias ilícitas de programas, escucha en línea de datos. 3. Modificación: se produce cuando hay un acceso no autorizado que cambia el entorno para su beneficio, su detección es difícil según las circunstancias. Ejemplos: modificación de las bases de datos y modificación de elementos del Hardware. 4. Fabricación: se produce cuando se añaden transacciones en red, su detección es difícil: delitos de falsificación. Ejemplos: añadir transacciones en red, añadir registros en bases de datos.

5 Ataques 1. DoS (negación de servicios): el atacante utiliza un ordenador para quitar de operación un servicio u ordenador conectado a internet. Ejemplos de este tipo de ataque: generar sobrecarga en el procesamiento de datos de un ordenador, generar tráfico de datos en la red ocupando todo el ancho de banda disponible, eliminar servicios importantes de un ISP (proveedor de servicios de internet) imposibilitando el acceso de los usuarios al correo electrónico a una página web. 2. Sniffing: conseguir capturar las tramas enviadas a través de la red no enviadas a el. Para conseguirlo pone la tarjeta de red en modo promiscuo en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la MAC address dela tarjeta. De este modo podemos ver todo tipo de información de cualquier aparato conectado a la red como contraseñas, , etc.

6 Ataques 3. Man in the middle: es un atacante en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. 4. o Spoofing: hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. Se clasifican en función de la tecnología utilizada, entre ellos tenemos el IP soofing, ARP spoofing, DNS spoofing, Web spoofing o spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad. 5. o Pharming: consiste en la explotación de una vulnerabilidad en el software de los servidores DNS o en los equipos de los propios usuarios, que permite a un atacante redirigir en nombre de dominio a otra máquina distinta.

7 Riesgos potenciales en los servicios de red Seguridad en los Dispositivos de Red * Aunque los avances técnicos en acceso remoto, movilidad y aplicaciones en tiempo real amplían la funcionalidad de la red de la clase empresarial, también la han hecho infinitamente más compleja. * Las soluciones de cortafuegos tradicionales no pueden mantener el ritmo de las amenazas de constante evolución que afectan a las redes de alta velocidad empresariales en entornos considerable1mente distribuidos. 1. Terminales: La seguridad en los terminales, es la seguridad que se consigue poniendo programas en los terminales como un antivirus, antimalware, antizombies etc.

8 2. Switch: Los puertos del switch pueden ser un punto de entrada a la red por parte de usuarios no autorizados. Para evitarlo, los switches ofrecen una función que se conoce como seguridad de puertos. La seguridad de puerto limita la cantidad de direcciones MAC válidas que se permiten por puerto. El puerto no reenvía paquetes con direcciones MAC de origen que se encuentran fuera del grupo de direcciones definidas. Existen tres maneras de configurar la seguridad de puerto 1. Estática 2. Dinámica 3. Sin modificación 3. Router: El mínimo es cambiar la contraseña que viene por defecto. Tendremos que generar una password fuerte que no sea fácilmente identificable por posibles atacantes. La segunda opción es tapar el agujero que puede suponer tener determinados puertos abiertos, cuestión que podemos evaluar con cualquier escaneador de puertos.

9 Seguridad en los servicios de red por niveles Capa de enlace * La seguridad en las redes inalámbricas es sumamente importante, por la facilidad con que cualquiera puede encontrarlas y acceder a ellas. 1. WEP: es el sistema de cifrado incluido en el estándar IEEE como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits o de 128 bits 2. WPA: es un sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo WEP. Los investigadores han encontrado varias debilidades en el algoritmo WEP

10 Seguridad en los servicios de red por niveles Capa de red * IPSec: es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado. Capa de transporte * SSL (TLS): Secure Sockets Layer (SSL; protocolo de capa de conexión segura) y su sucesor Transport Layer Security (TLS; seguridad de la capa de transporte) son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.

11 Capa de aplicación Seguridad en los servicios de red por niveles * PGP: Pretty Good Privacy o PGP (privacidad bastante buena) es un programa desarrollado por Phil Zimmermann y cuya finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de documentos gracias a firmas digitales.

12 Monitorización del tráfico en redes. Herramientas * El monitoreo es saber la disponibilidad de la máquina, tiempos de respuesta por medio del ping. Saber qué servicios de red se encuentran habilitados, si están en funcionamiento o han dejado de funcionar y ver los paquetes que se envían y reciben con información. Se usan unas herramientas para realizar el monitoreo. * Los administradores de red pueden utilizar estas estadísticas para realizar tareas rutinarias de solución de problemas, como encontrar un servidor que no funciona o que está recibiendo un número desproporcionado de solicitudes de trabajo. Estas herramientas muestran los tipos siguientes de información: 1. La dirección de origen del equipo que envía una trama a la red. (Esta dirección es un número hexadecimal único (o en base 16) que identifica ese equipo en la red.) 2. La dirección de destino del equipo que recibió la trama. 3. Los protocolos utilizados para enviar la trama. 4. Los datos o una parte del mensaje que se envía.

13 Monitorización en Linux 1. Etherape: monitoriza gráficamente la actividad de toda la red (debe ejecutarse como root). 2. WireShark: monitoriza el tráfico de red (ejecutarlo como root). 3. TShark: versión de WireShark para la línea de comandos. 4. Slurm: programa para la terminal que monitoriza gráficamente el tráfico de entrada y salida de cualquier interfaz de red en tiempo real. Utiliza el mismo código que el plugin para el panel de Xfce que monitoriza el tráfico de red.

14 Monitorización en Windows NetSpeedMonitor: es una pequeña aplicación de monitoreo de redes que se instala en la barra de herramientas de nuestro sistema y nos permite saber en todo momento la velocidad de subida y de bajada de datos de nuestras interfaces de red. También nos permite llevar un registro histórico de la cantidad de datos transmitida para ver las estadísticas diarias y mensuales. Además podemos ver una tabla con todas las conexiones TCP/UDP activas en tiempo real. TCPView Pro: es un programa muy útil a la hora de monitorear el trafico TCP/IP en cualquier sistema operativo Windows suministrándonos información vital sobre todas las conexiones activas así como sobre los programas o servicios que son responsables de esas conexiones y la cantidad de información enviada o recibida. NetGong: es un potente monitor de redes que vigila las conexiones activas y envía alarmas en caso de que fallen. Se configura fácilmente y es capaz de supervisar hasta 500 dispositivos de red o servicios.

15 Intentos de penetración Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su alcance se extiende a: 1. Equipos de comunicaciones Servicios Informáticos 2. Servidores Casillas de Correo Electrónico 3. Estaciones de trabajo Portales de Internet 4. Aplicaciones Intranet corporativa 5. Bases de Datos Acceso físicos a recursos y documentación Para realizar un Intento de Penetración es necesario realizar las siguientes tareas: Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas. Identificación de las vulnerabilidades existentes mediante herramientas automáticas. Explotación manual y automática de las vulnerabilidades para determinar su alcance.

16 Sistema de detección de intrusos * Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusión Detection System) es un programa para monitorizar los eventos que ocurren en un sistema informático, o escucha el tráfico en la red para detectar actividades sospechosas, y accesos no autorizados a un sistema u ordenador de una red; y de este modo, reducir el riesgo de intrusión. * El IDS suele tener sensores virtuales. El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

17 Técnicas de detección de intrusos * El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar intrusiones: 1. Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada. 2. Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N- IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc. 3. Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de intrusión es el método más antiguo de análisis N-IDS y todavía es de uso frecuente.

18 Tipos de IDS: (Host IDS, Net IDS) HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

19 Sotware libre y comercial El software libre cuenta con las siguientes características: 1. La libertad de usar el programa, con cualquier propósito 2. La libertad de estudiar cómo funciona el programa, y adaptarlo a tus necesidades. 3. La libertad de mejorar el programa y hacer públicas las mejoras a los demás, de modo que toda la comunidad se beneficie. 4. La libertad para usar un programa significa la libertad para cualquier persona u organización de usarlo en cualquier tipo de sistema informático, para cualquier clase de trabajo, y sin tener obligación de comunicárselo al desarrollador o a alguna otra entidad específica. Ejemplos de software libre: * Sistema Operacional Linux * Lenguajes Java y PHP * Base de datos MySQL * Programa de oficina Open Office

20 Ejemplos de software comercial: * Sistema operativo Windows * Paquete de oficina Office (Word, Excel, Power Point) * Aplicación para el tratamiento de imágenes Photoshop Sotware libre y comercial El software comercial cuenta con las siguientes características: 1. Tienen licencias, las cuales están limitadas por usuarios y son pagas. Estas licencias restringen las libertades de los usuarios a usar, modificar, copiar y distribuir el software. 2. El desarrollo, programación y actualización de este software solo lo hace la empresa que tiene los derechos. Como sucede con los productos Microsoft 3. En el software comercial se suele esconder y mezquinar los avances y descubrimientos tecnológicos entre las empresas que lo desarrollan. 4. Muchas veces con estrategias comerciales se suele hacer que los usuarios actualicen su software comercial, sin que exista una necesidad verdadera de ello, consiguiendo de esta forma hacer que el usuario invierta en nuevas licencias, la mayoría de las veces innecesarias.

21 Seguridad en la red corporativa Seguridad en las comunicaciones inalámbricas Por la misma naturaleza de las redes inalámbricas que utilizan como medio físico de transmisión el aire el factor de seguridad es crítico. La seguridad de este tipo de redes se ha basado en la implantación de la autenticación del punto de acceso y los clientes con tarjetas inalámbricas permitiendo o denegando los accesos a los recursos de la red.

22 Sistemas de seguridad en WLAN Sistema abierto: En una red abierta, cualquier ordenador cercano al punto de acceso puede conectarse a Internet a través de él, siempre que tenga una tarjeta WiFi incorporada, claro. En la red cerrada el ordenador detectará una red inalámbrica cercana disponible, pero para acceder habrá que introducir la contraseña. Es lo que suele ocurrir en los aeropuertos y algunos hoteles, donde la contraseña se obtiene previo pago. WEP: Las transmisiones se cifran con una clave de 128 bits, y sólo los usuarios con contraseña pueden conectarse al punto de acceso. La mayoría de las tarjetas y puntos de acceso WiFi son compatibles con WEP, pero este sistema está desconectado por defecto. WPA: adopta la autenticación de usuarios mediante el uso de un servidor, donde se almacenan las credenciales y contraseñas de los usuarios de la red. Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la autenticación mediante una clave precompartida, que de un modo similar al WEP, requiere introducir la misma clave en todos los equipos de la red.

23 Recomendaciones de seguridad en WLAN 1. Cambie la contraseña por defecto del router inalámbrico: en general, el nombre de usuario es admin y la contraseña también es admin 2. Cambie el SSID por defecto del router inalámbrico y deshabilite el broadcast del SSID. 3. Utilice WPA, en caso de que no estar disponible utilice WEP con una contraseña de 128 bits, si es posible. 4. Instale actualizaciones de firmware cuando estén disponibles por el fabricante. 5. Desconecte el router o deshabilite la red inalámbrica cuando no la utilice. 6. Tenga siempre en mente la seguridad de todo el sistema instalando un firewall, actualizando el antivirus, el sistema operativo y los programas. 7. Establecer y hacer cumplir las políticas de fuerte autenticación para los dispositivos que intentan acceder a redes corporativas. 8. Establecer el uso obligatorio de una VPN corporativa y el cifrado cuando se hacen conexiones e intercambio de datos. 9. Cerciorarse de que todos los dispositivos y aplicaciones de software están configurados correctamente y tienen los últimos parches. 10. Asegurarse que las políticas de seguridad corporativa prohíban a las personas la transferencia de datos sensibles a dispositivos móviles o equipos no autorizados.