CONSIDERACIONES GENERALES FUNDAMENTOS DE SEGURIDAD

Transcripción

1 CONSIDERACIONES GENERALES FUNDAMENTOS DE SEGURIDAD INTRODUCCIÓN Todas las organizaciones tienen problemas de seguridad lo realmente importante es que estos problemas sean detectados e identificados a tiempo. Las organizaciones hoy día no saben cuanto dinero pierden por causa de problemas de seguridad. Los problemas de seguridad se generan en un 90% por cultura y no por tecnología. Algunos de los problemas a los cuales nos vemos abocados en esta parte de cultura de los usuarios son: Préstamo de usuarios Pérdida de contraseñas Hoy día las organizaciones en el momento de realizar su planeación estratégica tienen en cuenta de forma muy importante la parte de SEGURIDAD DE LA INFORMACIÓN. La seguridad es conjunto de políticas que establece una organización con el fin de proteger LA INFORMACIÓN LA CUAL ES EL ACTIVO MÁS IMPORTANTE DE LA ORGANIZACIÓN, estas políticas se llevan a cabo mediante una serie de normas que son controladas a través de una cadena de acciones, todo esto genera un grado de seguridad bastante alto para la protección de la información. La criticidad y la sensibilidad de la información se miden en términos monetarios. TRIADA DE LA INFORMACIÓN CONFIDENCIALIDAD SEGURIDAD DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD: Los recursos solo pueden ser utilizados por personal autorizado Intenta prevenir la divulgación no autorizada de los mensajes. Intenta prevenir el uso no autorizado de la información. Otorga confiabilidad en el sistema de comunicaciones. INTEGRIDAD: Solo las personas autorizadas podrán modificar los recursos del sistema. Asegura que los usuarios autorizados tienen confianza y acceso oportuno a la información. DISPONIBILIDAD: Los recursos deberán estar listos para utilizarse por las entidades autorizadas.

2 AUTENTICIDAD: Consiste en verificar que el remitente de la información es quien dice ser mediante la utilización de un ID y un password, esta identidad es identificada en un sistema de autenticación. NO REPUDIACIÓN: Si el usuario es autentico se debe garantizar el envío o recepción de la información. SEGURIDAD INFORMÁTICA Son los mecanismos utilizados para asegurar la información a través de los recursos tecnológicos de una red. Hardware Software Aplicaciones SEGURIDAD DE LA INFORMACIÓN Son todos aquellos mecanismos utilizados para proteger los datos (confidencialidad, integridad y disponibilidad) SEGURIDAD DE LAS COMUNICACIONES Mecanismos para proteger el transporte de la información, como por ejemplo: VPN SSL SSH Canales dedicados SEGURIDAD FÍSICA Son todos los mecanismos físicos utilizados para proteger las áreas de organizaciones, por ejemplo: Cámaras Vigilancia Sensores CCTV SEGURIDAD COMPUTACIONAL Es Un conjunto de mecanismos LÓGICOS que se implementan con el fin de proteger la información

3 Entre los diferentes niveles de seguridad computacional, encontramos: Nivel D: Es un nivel en el cual se carece de seguridad, por ejemplo en el D.O.S, ya que este sistema no tiene mecanismos de control ni de protección, el sistema operativo es inestable, no existe la autenticación de usuarios, también podemos mencionar como ejemplo las anteriores BIOS de los equipos. Nivel C1 (discrecional): Se requiere de autenticación, es decir de un ID y de un password, en este nivel se maneja un administrador y cumple la función de segregar usuarios y funciones. Nivel C2 (acceso controlado): Nace a partir del nivel C1, pero se le agrega el tema de auditoria (a través de la habilitación de logs), por ejemplo; cuando ingresa un usuario, la manera como ingresa y/o si modifica algún objeto como archivos, carpetas, etc (todos los objetos que tienen que ver con el filesystem). Los usuarios en este nivel tienen la posibilidad de realizar algunas funciones administrativas. Nivel B1 (seguridad etiquetada): Nace a partir de las bondades del nivel C2, este nivel trabaja todo lo relacionado con permisos dentro de los diferentes grupos formados, además permite aplicar más seguridad a los objetos. Este se aplica a nivel de Sistema operativo, a través del active directory, a nivel de bases de datos se maneja a través de roles definidos por el administrador. Nivel B2 (Protección estructurada): Nace a partir del nivel B1 pero, utiliza una estructura de herencia muy similar a la del active directory, todos estos objetos además tienen permisos y políticas. Herencia se refiere a que un permiso se hereda para toda la unidad organizacional. Nivel B3 (Dominios de seguridad): Nace a partir del nivel B2, utiliza seguridad mediante hardware, utiliza dominios físicos y lógicos, dominios de gestión y administración de incidentes, también maneja planes de continuidad. Nivel A1 (Protección verificada): Nace a partir del nivel B3, pero adicionalmente se utilizan métodos criptográficos para el cifrado de la información.

4 Que es una VPN Es una red privada virtual que interconecta dos redes a través de una red pública como lo es internet. Estas nacieron con el fin de intercomunicar redes sin importar la tecnología de transmisión usada. Las VPN permiten que sin importar el tipo de tecnología de transmisión usado, estas sean traducidas a protocolos de seguridad como: IPsec L2TP PPTP Ventajas de una VPN Seguridad: Permite una transmisión segura, pero teniendo en cuenta que los datos no van cifrados, la transmisión es segura gracias a que el canal es seguro Confidencialidad: Gracias a que el canal que se establece es un túnel seguro para el paso de la información, mediante protocolos como IPsec. Video, voz y datos: Se puede cursar tráfico de datos, imágenes en movimiento y voz simultáneamente. Integridad del medio: Esta se mantiene porque el canal es seguro, la información NO va cifrada, va ENCAPSULADA, por medio de uno de los protocolos de seguridad. Independientemente emente del encapsulado del canal, los datos o la información se pueden encriptar antes de salir por la VPN, esto dependerá del criterio del administrador de seguridad. Bajo costo: : Esto debido a que solo necesita el acceso a internet y dependiendo del tipo de VPN (peer to peer ó peer to clients) 1 ó 2 direcciones públicas FIJAS. Transparencia para el usuario: : Para el usuario final el proceso realizado en la VPN es transparente. Ubicuidad: Puede extenderse a cualquier sitio. Múltiples formas de acceso: Por línea dedicada conmutada; por medio físico o inalámbrico. Flexibilidad: Facilidad para agregar o retirar conexiones Remotas, pues todas son conexiones virtuales. Modularidad: La capacidad de la red puede crecer gradualmente, según como las necesidades de conexión lo demanden. Menor probabilidad de incomunicación: Si en INTERNET un enlace se cae o congestiona demasiado, existen rutas alternas para hacer llegar los paquetes a su destino. Desventajas de una VPN Se deben establecer correctamente las políticas de seguridad y de acceso. Disponibilidad: Esto debido a que si hay una caída de internet no puede existir ningún canal de contingencia.

5 Mayor carga en el cliente VPN porque debe encapsular los paquetes de datos y encriptarlos, esto produce una cierta lentitud en las conexiones. Una VPN se considera segura, pero no hay que olvidar que la información sigue viajando por Internet (no seguro y expuestos a ataques) Tipos VNP Existen básicamente 3 tipos de redes VPN, entre las cuales destacan: VPN peer to peer (firewall to firewall) Esta consiste en una conexión punto a punto que se establece entre 2 dispositivos de seguridad que hablan el mismo protocolo. Estas son bidireccionales. Normalmente se utilizan firewalls, routers con características de firewall o gateways de VPN, estos últimos se conocen como dispositivos de propósito específico, ya que la única función que tienen es proporcionar el punto final de una VPN. Dentro de esta categoría de VPN encontramos 2 divisiones: VPN peer to peer de acceso abierto: Esta VPN permite que cualquier equipo de la red 1 se pueda conectar a cualquier servicio ofrecido en la red 2 y viceversa. V PN peer to peer de acceso controlado: En esta VPN se establecen políticas de acceso en el firewall para acceder a los servicios y los equipos que se encuentran tanto en la red 1 como en la red 2. Se establecen políticas para que solo se conecten los equipos y y únicamente con el servicio de telnet.

6 VPN peer to clients Estas VPN están diseñadas para usuarios móviles, los cuales desde cualquier lugar de internet y a través de un software especial de cliente de VPN que es distribuido por el fabricante del equipo finalizador de la VPN (cisco, Uniper, Check point, nokia, etc) puede conectarse a la VPN. Las VPN peer to clientes son unidireccionales, siempre desde el cliente hacia el servidor, es decir siempre el cliente es quien pide el establecimiento de la conexión. Físicamente lo único que necesita el cliente es el computador y la conexión a internet desde cualquier parte del mundo teniendo el software. Software Cliente En el firewall se debe establecer la política para dar permiso al equipo remoto para ingresar Las tecnologías de los fabricantes de dispositivos generalmente no son compatibles con el software cliente de los demás fabricantes. En las mejores prácticas este tipo de VPN solo permite conectar desde la VPN remota al computador propio que tiene el cliente en la empresa. La configuración de este tipo de VPN es muy similar con respecto a las peer to peer. DESVENTAJAS: El usuario debe interactuar para conectarse, es decir, el proceso de conexión no es transparente para el usuario. VPN SSL Este tipo de VPN se conecta a través de WEB, usando protocolos SSL, es de tipo cliente- servidor, pero no necesita un cliente. Estas conexiones deben tener dispositivos que soporten protocolos SSL, generalmente equipos de propósito específico como firewalls SSL. Los costos en lo que al cliente se refiere son nulos (gratis) ya que el tipo de conexión es a través de la WEB, pero el equipo terminador de VPN es más costoso. Todos estos tipos de VPN tienen algo en común y es denominado como DOMINIOS DE ENCRIPCION,, esto se refiere al momento en el cual los extremos de la VPN intercambian información de reconocimiento

7 Infraestructura de VPN Para el diseño de una VPN hay que realizar las siguientes operaciones: Diseñar una topología de red y firewalls, teniendo en cuenta los costos y la protección Escoger un protocolo para los túneles, teniendo en cuenta los equipos finales y las aplicaciones finales Diseñar una PKI (Public Key Infraestructure), Teniendo en cuenta las necesidades del protocolo. En el mercado hay ofertas de productos que tienen integradas varias de las opciones anteriores: Altavista Tunnel, Digital (para redes IP y protocolo propietario) Private Internet Exchange (PIX), Cisco Systems (para redes IP y protocolo propietario) S/WAN, RSA Data Security (para redes IP y protocolo estándar (IPSec)) Una buena solución VPN requiere la combinación de tres componentes tecnológicos críticos: seguridad, control de tráfico y manejo empresarial. Seguridad: Dentro de este punto se destacan: el control de acceso para garantizar la seguridad de las conexiones de la red, el cifrado para proteger la privacidad de los datos y la autenticación para poder verificar acertadamente tanto la identidad de los usuarios como la integridad misma de la información. Control de tráfico: el segundo componente crítico en la implementación de una efectiva VPN es el control de tráfico que garantice solidez, calidad del servicio y un desempeño veloz. Las comunicaciones en Internet pueden llegar a ser excesivamente lentas, lo que las convertirían en soluciones inadecuadas en aplicaciones de negocios donde la rapidez es casi un imperativo. Aquí es donde entra a jugar parámetros como la prioridad de los datos y garantizar el ancho de banda. Manejo empresarial: El componente final crítico en una VPN es el manejo empresarial que esta tenga. Esto se mide en una adecuada integración con la política de seguridad de la empresa, un manejo centralizado desde el punto inicial hasta el final, y la escalabilidad de la tecnología. Las VPN se caracterizan también por su flexibilidad. Pueden ser conexiones punto-punto o punto-multipunto. Reemplazando una red privada con muchos y costosos enlaces dedicados, por un solo enlace a una ISP que brinde un punto de presencia en la red (POP por sus siglas en inglés), una compañía puede tener fácilmente toda una infraestructura de acceso remoto, sin la necesidad de tener una gran cantidad de líneas telefónicas análogas o digitales, y de tener costosos pools de módems o servidores de acceso, o de pagar costosas facturas por llamadas de larga distancia. En algunos casos las ISP se hacen cargo del costo que les genera a los usuarios remotos su conexión Internet local, pues ven en este tipo de negocio un mayor interés por los dividendos del acceso. El objetivo final de una VPN es brindarle una conexión al usuario remoto como si este estuviera disfrutando directamente de su red privada y de los beneficios y servicios que dentro de ella dispone, aunque esta conexión se realice sobre una infraestructura pública. Parámetros de Configuración VPN La autenticación es parte vital dentro de la estructura de seguridad de una VPN. Sin ella no se podría controlar el acceso a los recursos de la red corporativa y mantener a los usuarios no autorizados fuera de la línea. Los sistemas de autenticación pueden estar

8 basados en uno de los siguientes tres atributos: algo que el usuario tiene (por ejemplo la llave de una puerta); algo que el usuario sabe (por ejemplo una clave); ó algo que el usuario es (por ejemplo sistemas de reconocimiento de voz ó barrido de retinas). Es generalmente aceptado el uso de un método sencillo de autenticación tal como el password, pero no es adecuado para proteger sistemas. Los expertos recomiendan los llamados sistemas de autenticación complejos, los cuales usan al menos dos de los atributos de autenticación anteriores. Los aspectos a tener en cuanta para realizar el proceso de configuración de una VPN son los siguientes: 1. Definir el tipo de VPN 1.1. Peer to peer 1.2. Peer to clients 1.3. SSL 2. Protocolos de la VPN 2.1. IPsec 2.2. L2TP 2.3. PPTP Siempre se deben utilizar los mismos protocolos tanto en el origen como en el destino de la VPN. El protocolo más ampliamente aceptado por sus garantías se seguridad es el IPsec 3. IP Públicas La red 1 configura la IP pública de la red 2 y la red 2 configura la IP pública de la red 1 4. Dominios de encripción: Los cuales serán las redes PRIVADAS de cada una de las empresas, es decir la LAN de la red opuesta. 5. Configurar el peer en cada red: Cada uno incluye su propia dirección peer, es decir, su dirección pública. 6. Pre-share key: Es un password compartido que se debe configurar en los dos extremos para poder establecer la conexión, este password es para verificarse entre si, no quiere decir que cada vez que establezca la conexión deba ingresar el password. En caso de olvidar el password en uno de los extremos, simplemente se debe cambiar en ambos extremos y la verificación vuelve a establecerse.

9 7. Tipo de encripción para el pre-share key: El tipo de encripción utilizado para establecer el pres-hare key es simétrico, esto quiere decir que la red 1 cifra o encripta con una llave privada, la comparte a la red 2 y este desencripta usando la misma llave. Existen tres tipos de encriptación simétrica: 7.1. DES: Data Encriptyon security, es un método que utiliza una llave de 64 bits; 8 de control o paridad y 56 para cifrado TRIPLE DES ó 3DES: Es un método de encripción basado en DES el cual usa una llave de 128 bits; 16 de control o paridad y 112 de encripción. Este método hace un cifrado DES tres veces antes de enviar la información AES: Advanced Encriptyon Estándar, este método usa 128 ó 256 bits, su tiempo de cifrado es más lento debido a la complejidad de sus procesos. Vale la pena anotar que el método de encripción DES ya fue vulnerado y hoy en día es poco utilizado. 8. Algoritmos de hash: Hash es un código que se genera a partir de la información y sirve para comprobar la integridad del mensaje cuando llega al destino, en otras palabras el proceso de hash es muy similar al proceso denominado checksum en el cual se hace una comprobación de la información aplicando un algoritmo de comprobación en el origen y comparándolo con un algoritmo igual aplicado en el destino, si este código no es exactamente igual quiere decir que la información recibida es corrupta. Para realizar estos procesos, se utilizan algoritmos como: 8.1. MD5 (Este código ya fue vulnerado) 8.2. SHA1 Nota: Lo recomendable en la configuración de la VPN es utilizar AES con SHA1 9. Exchange key: Es un tipo de encripción asimétrica, esto quiere decir que se utilizan dos pares de llaves; un par de llaves públicas y un par de llaves privadas. En el momento de realizar el proceso de cifrado, debo hacerlo con la llave pública de la red destino y ese destino (el host o la red) debe descifrar con su llave privada, este proceso se repite en ambos sentidos. Para realizar estos procesos de encripción se utilizan los algoritmos de Diffie-Helman de 768, 1024 y 2048 bits. Por lo general las llaves públicas se almacenan y comparten en un servidor SFTP ó FTPS 10. Tiempo de vida de la VPN: Es el tiempo que intenta conectarse la VPN, este tiempo se configura en el firewall y está dado en segundos. Otras consideraciones tecnicas para tener en cuenta al configurar una VPN La Infraestructura de Llave Pública o PKI: Es la integración de: a) La Criptografía de llave pública o asimétrica, usada para la firma digital, b) La Criptografía de llave simétrica usada para cifrar, c) El Message Digest o Hash, y d) La Gestión de los pares de Llaves Público / Privados (El no compromiso de la llave privada, a través de un procedimiento de distribución segura de llaves.)

10 La Criptografía de Llave Pública o Asímetrica: Tiene por objeto distribuir la llave de forma segura. Está basada en el uso de un par de llaves, una pública y otra privada, por cada entidad. La Llave Privada debe permanecer en secreto y bajo el control del usuario, esta se usa para descifrar es lo que demuestra que la posees y con ello queda garantizada la autenticidad y confidencialidad, de la identidad. La Llave Pública puede y debe ser libremente distribuida, lo más extensamente. Dichas llaves se caracterizan por que: Son diferentes, Están matemáticamente asociadas, No se puede obtener la llave privada a partir de la pública. Cada llave únicamente puede descifrar lo que la otra ha cifrado, por tanto; a.- Con la llave pública del suscriptor, cualquiera puede cifrar un mensaje, que solo puede ser descifrado por la llave privada del suscriptor, se logra la confidencialidad. b.- Con la llave privada del suscriptor, este puede descifrar un mensaje, y así verificar la identidad del documento que ha sido cifrado por el origen usando la llave publica del suscriptor. Criptografía de Llave Simétrica o Secreta: Se basa en el uso de una única llave entre las partes implicadas, suscriptor y verificador. El proceso de cifrado con llave simetrica usa un algoritmo, la llave, el mensaje y el message digest, siendo muy complicado por métodos informáticos obtener el camino inverso. Algoritmos: DSA Digital Signing Algorithm, de tipo irreversible, soportado por Java, o RSA Rivest Shamir Adleman, de tipo reversible, que está ya preparada para usar la firma digital, y el cifrado. El Message Digest Value: El Message Digest, o Hash, es una versión corta y de longitud fija de un mensaje, que no se puede recobrar a partir del Message Digest. Es completamente diferente si cambia un solo bit del mensaje original. El suscriptor lo obtiene a partir de; algoritmos de message digest como SHA-1, Ripe_MD, o algoritmos de firma digital que lo incluyen como DSA o RSA, Más el mensaje original, y la llave privada del suscriptor. Y el verificador lo obtiene descifrando la firma digital recibida del suscriptor, utilizando la llave pública del suscriptor, y el algoritmo de firma digital. Da por resultado un valor, o Message Digest Value. El objeto es que el verificador se asegure de la integridad de los datos transmitidos, lo que se logra comparando el valor del message digest descifrado por el verificador utilizando su llave privada, y el que ha recibido, descifrado por la llave pública del suscriptor. Si éstos son iguales, entonces se confirma la integridad del mensaje. 3 El Modelo PKIX: El Modelo PKIX es el modelo de las entidades que gestionan la infraestructura de llave pública, designando sus funciones y protocolos. Entidades Finales (a quien se pretende identificar) El sujeto de un certificado, su identidad es garantizada por una autoridad de certificación.

11 Éstas pueden ser Usuarios finales, la autoridad de registro respecto a la autoridad de certificación en el nombre de quien actua, o incluso una autoridad de certificación cuando ésta se ve certificada por otra autoridad de certificación. Autoridades de Certificación (CA) Representan la fuente de credibilidad de la infraestructura de llave pública. Quienes emiten los certificados, firmándolos digitalmente con su llave privada. Certifican que la llave pública asignada en un certificado a una entidad final, corresponde realmente a dicha entidad final. Ver: CA Trust.pdf en Certicámara es el representante más conocido. Autoridad de Registro, o Registration Authority (RA) Realiza el proceso de registro de las entidades finales por encargo de la autoridad de certificación. Valida los atributos del sujeto que solicita el certificado, Verifica que el sujeto posee la llave privada a registrar, Genera los secretos compartidos que permiten el proceso de inicialización y certificación. Genera el par de llaves público/privada, ver ANSI X.9 standards. Valida los parámetros de las llaves públicas presentadas para su registro. Protocolos para establecer VPN PPTP Point-to-Point Tunneling Protocol fue desarrollado por ingenieros de Ascend Communications, U.S. Robotics, 3Com Corporation, Microsoft, y ECI Telematics para proveer entre usuarios de acceso remoto y servidores de red una red privada virtual. Como protocolo de túnel, PPTP encapsula datagramas de cualquier protocolo de red en datagramas IP, que luego son tratados como cualquier otro paquete IP. La gran ventaja de este tipo de encapsulamiento es que cualquier protocolo puede ser ruteado a través de una red IP, como Internet. PPTP fue diseñado para permitir a los usuarios conectarse a un servidor RAS desde cualquier punto en Internet para tener la misma autenticación, encriptación y los mismos accesos de LAN como si discaran directamente al servidor. En vez de discar a un modem conectado al servidor RAS, los usuarios se conectan a su proveedor y luego llaman al servidor RAS a través de Internet utilizando PPTP. Existen dos escenarios comunes para este tipo de VPN: El usuario remoto se conecta a un ISP que provee el servicio de PPTP hacia el servidor RAS. El usuario remoto se conecta a un ISP que no provee el servicio de PPTP hacia el servidor RAS y, por lo tanto, debe iniciar la conexión PPTP desde su propia máquina cliente. Para el primero de los escenarios, el usuario remoto establece una conexión PPP con el ISP, que luego establece la conexión PPTP con el servidor RAS. Para el segundo

12 escenario, el usuario remoto se conecta al ISP mediante PPP y luego llama al servidor RAS mediante PPTP. Luego de establecida la conexión PPTP, para cualquiera de los dos casos, el usuario remoto tendrá acceso a la red corporativa como si estuviera conectado directamente a la misma. La técnica de encapsulamiento de PPTP se basa en el protocolo Generic Routing Encapsulation (GRE), que puede ser usado para realizar túneles para protocolos a través de Internet. La versión PPTP, denominada GREv2, añade extensiones para temas específicos como Call Id y velocidad de conexión. El paquete PPTP está compuesto por un header de envío, un header Ip, un header GREv2 y el paquete de carga. El header de envío es el protocolo enmarcador para cualquiera de los medios a través de los cuales el paquete viaja, ya sea Ethernet, frame relay, PPP. El header IP contiene información relativa al paquete IP, como ser, direcciones de origen y destino, longitud del datagrama enviado, etc. El header GREv2 contiene información sobre el tipo de paquete encapsulado y datos específicos de PPTP concernientes a la conexión entre el cliente y servidor. Por último, el paquete de carga es el paquete encapsulado, que, en el caso de PPP, el datagrama es el original de la sesión PPP que viaja del cliente al servidor y que puede ser un paquete IP, IPX, NetBEUI, entre otros. La siguiente figura ilustra las capas del encapsulamiento PPTP. Para la autenticación, PPTP tiene tres opciones de uso: CHAP, MS-CHAP y aceptar cualquier tipo, inclusive texto plano. Si se utiliza CHAP, standard en el que se intercambia un secreto y se comprueba ambos extremos de la conexión coincidan en el mismo, se utiliza la contraseña de Windows NT, en el caso de usar este sistema operativo, como secreto. MS-CHAP es un standard propietario de Microsoft y resulta ser una ampliación de CHAP. Para la tercer opción, el servidor RAS aceptará CHAP, MS-CHAP o PAP (Password Autenthication Protocol), que no encripta las contraseñas. Para la encriptación, PPTP utiliza el sistema RC4 de RSA, con una clave de sesión de 40 bits. IPSEC IPSec trata de remediar algunas falencias de IP, tales como protección de los datos transferidos y garantía de que el emisor del paquete sea el que dice el paquete IP. Si bien estos servicios son distintos, IPSec da soporte a ambos de una manera uniforme. IPSec provee confidencialidad, integridad, autenticidad y protección a repeticiones mediante dos protocolos, que son Authentication Protocol (AH) y Encapsulated Security Payload (ESP). Por confidencialidad se entiende que los datos transferidos sean sólo entendidos por los participantes de la sesión. Por integridad se entiende que los datos no sean modificados en el trayecto de la comunicación. Por autenticidad se entiende por la validación de remitente de los datos.

13 Por protección a repeticiones se entiende que una sesión no pueda ser grabada y repetida salvo que se tenga autorización para hacerlo. AH provee autenticación, integridad y protección a repeticiones pero no así confidencialidad. La diferencia más importante con ESP es que AH protege partes del header IP, como las direcciones de origen y destino. ESP provee autenticación, integridad, protección a repeticiones y confidencialidad de los datos, protegiendo el paquete entero que sigue al header. AH sigue al header IP y contiene diseminaciones criptográficas tanto en los datos como en la información de identificación. Las diseminaciones pueden también cubrir las partes invariantes del header IP. El header de ESP permite reescribir la carga en una forma encriptada. Como no considera los campos del header IP, no garantiza nada sobre el mismo, sólo la carga. Una división de la funcionalidad de IPSec es aplicada dependiendo de dónde se realiza la encapsulación de los datos, si es la fuente original o un gateway: El modo de transporte es utilizado por el host que genera los paquetes. En este modo, los headers de seguridad son antepuestos a los de la capa de transporte, antes de que el header IP sea incorporado al paquete. En otras palabras, AH cubre el header TCP y algunos campos IP, mientras que ESP cubre la encriptación del header TCP y los datos, pero no incluye ningún campo del header IP. El modo de túnel es usado cuando el header IP entre extremos está ya incluido en el paquete, y uno de los extremos de la conexión segura es un gateway. En este modo, tanto AH como ESP cubren el paquete entero, incluyendo el header IP entre los extremos, agregando al paquete un header IP que cubre solamente el salto al otro extremo de la conexión segura, que, por supuesto, puede estar a varios saltos del gateway. Los enlaces seguros de IPSec son definidos en función de Security Associations (SA). Cada SA está definido para un flujo unidireccional de datos y generalmente de un punto único a otro, cubriendo tráfico distinguible por un selector único. Todo el tráfico que fluye a través de un SA es tratado de la misma manera. Partes del tráfico puede estar sujeto a varios SA, cada uno de los cuales aplica cierta transformación. Grupos de SA son denominados SA Bundles. Paquetes entrantes pueden ser asignados a un SA específico por los tres campos definitorios: la dirección IP de destino, el índice del parámetro de seguridad y el protocolo de seguridad. El SPI puede ser considerado una cookie que es repartido por el receptor del SA cuando los parámetros de la conexión son negociados. El protocolo de seguridad debe ser AH o ESP. Como la dirección IP de destino es parte de la tripleta antes mencionada, se garantiza que este valor sea único. Un ejemplo de paquete AH en modo túnel es: Un ejemplo de paquete AH en modo transporte es: Como ESP no puede autentificar el header IP más exterior, es muy útil combinar un header AH y ESP para obtener lo siguiente:

14 Este tipo de paquete se denomina Transport Adjacency. La versión de entunelamiento sería: Sin embargo, no es mencionado en las RFC que definen estos protocolos. Como en Transport Adjacency, esto autenticaría el paquete completo salvo algunos pocos campos del header IP y también encriptaría la carga. Cuando un header AH y ESP son directamente aplicados como en esta manera, el orden de los header debe ser el indicado. Es posible, en el modo de túnel, hacer una encapsulación arbitrariamente recursiva para que el orden no sea el especificado. L2TP Layer-2 Tunneling Protocol (L2TP) facilita el entunelamiento de paquetes PPP a través de una red de manera tal que sea lo más transparente posible a los usuarios de ambos extremos del túnel y para las aplicaciones que éstos corran. El escenario típico L2TP, cuyo objetivo es la creación de entunelar marcos PPP entre el sistema remoto o cliente LAC y un LNS ubicado en una LAN local, es el que se muestra en la siguiente figura: Un L2TP Access Concentrator (LAC) es un nodo que actúa como un extremo de un túnel L2TP y es el par de un LNS. Un LAC se sitúa entre un LNS y un sistema remoto y manda paquetes entre ambos. Los paquetes entre el LAC y el LNS son enviados a través del túnel L2TP y los paquetes entre el LAC y el sistema remoto es local o es una conexión PPP. Un L2TP Network Server (LNS) actúa como el otro extremo de la conexión L2TP y es el otro par del LAC. El LNS es la terminación lógica de una sesión PPP que está siendo puesta en un túnel desde el sistema remoto por el LAC. Un cliente LAC, una máquina que corre nativamente L2TP, puede participar también en el túnel, sin usar un LAC separado. En este caso, estará conectado directamente a Internet. El direccionamiento, la autenticación, la autorización y el servicio de cuentas son proveídos por el Home LAN s Management Domain. L2TP utiliza dos tipos de mensajes: de control y de datos. Los mensajes de control son usados para el establecimiento, el mantenimiento y el borrado de los túneles y las llamadas. Utilizan un canal de control confiable dentro de L2TP para garantizar el envío. Los mensajes de datos encapsulan los marcos PPP y son enviados a través del túnel.

15 La siguiente figura muestra la relación entre los marcos PPP y los mensajes de control a través de los canales de control y datos de L2TP. Los marcos PPP son enviados a través de un canal de datos no confiable, encapsulado primero por un encabezado L2TP y luego por un transporte de paquetes como UDP, Frame Relay o ATM. Los mensajes de control son enviados a través de un canal de control L2TP confiable que transmite los paquetes sobre el mismo transporte de paquete. Se requiere que haya números de secuencia en los paquetes de control, que son usados para proveer el envío confiable en el canal de control. Los mensajes de datos pueden usar los números de secuencia para reordenar paquetes y detectar paquetes perdidos. Al correr sobre UDP/IP, L2TP utiliza el puerto El paquete entero de L2TP, incluyendo la parte de datos y el encabezado, viaja en un datagrama UDP. El que inicia un túnel L2TP toma un puerto UDP de origen que esté disponible, pudiendo ser o no el 1701 y envía a la dirección de destino sobre el puerto Este extremo toma un puerto libre, que puede ser o no el 1701, y envía la respuesta a la dirección de origen, sobre el mismo puerto iniciador. Luego de establecida la conexión, los puertos quedan estáticos por el resto de la vida del túnel. En la autenticación de L2TP, tanto el LAC como el LNS comparten un secreto único. Cada extremo usa este mismo secreto al actuar tanto como autenticado como autenticador. Sobre la seguridad del paquete L2TP, se requiere que el protocolo de transporte de L2TP tenga la posibilidad de brindar servicios de encriptación, autenticación e integridad para el paquete L2TP en su totalidad. Como tal, L2TP sólo se preocupa por la confidencialidad, autenticidad e integridad de los paquetes L2TP entre los puntos extremos del túnel, no entre los extremos físicos de la conexión. Que son IDS/IPS Características Los sistemas IDS/IPS son un paso más adelante en la seguridad perimetral, son el paso siguiente, a los firewalls. Los IDS/IPS suponen un paso avanzando en la seguridad perimetral, estos sistemas una vez actualizados son capaces de reconocer vulnerabilidades de las aplicaciones más comunes a puertos abiertos en el firewall, la diferencias son básicamente dos. Actualmente algunos firewalls son capaces de llevar incorporado IDS/IPS como watchguard o fortinet. IDS: SISTEMAS DE DETECCIÓN DE INTRUSOS

16 (INTRUSION DETECTION SYSTEMS). Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos de comprometer la seguridad de dicho sistema. Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema. Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host. Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos. Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc. ARQUITECTURA DE UN IDS Normalmente la arquitectura de un IDS, a grandes rasgos, está formada: La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistema. Reglas que contienen los datos y patrones para detectar anomalías de seguridad en el sistema. Filtros que comparan los datos snifados de la red o de logs con los patrones almacenados en las reglas. Detectores de eventos anormales en el tráfico de red. Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS. Esto es a modo general. Cada IDS implementa la arquitectura de manera diferente. IPS: SISTEMAS DE PREVENCIÓN DE INTRUSOS (INTRUSION PREVENTION SYSTEMS) Las nuevas vulnerabilidades de seguridad están provocando ataques cada vez más numerosos y sofisticados, tanto internos como externos, que ponen en evidencia a los cortafuegos convencionales.

17 Para detener tales ataques, los sistemas de prevención de intrusiones (IPS) aportan una línea frontal y escalable de defensa a los servidores mal configurados o con vulnerabilidades al descubierto. Si los sistemas de detección de intrusiones o IDS (Intrusion-Detection Systems) monitorean el tráfico de red y envían alertas sobre actividades sospechosas, los IPS (Intrusion-Prevention Systems) están diseñados para bloquear los ataques, examinando detenidamente todos los paquetes entrantes y tomando en consecuencia decisiones instantáneas para permitir o impedir el acceso. Para ello, se cargan con filtros que detienen los ataques producidos contra las vulnerabilidades de todo tipo que presentan los sistemas. Cuando se detecta una nueva vulnerabilidad, se crea un filtro específico y se añade al IPS, de modo que cualquier intento malicioso de explotarla es bloqueado inmediatamente. Estos dispositivos pueden inspeccionar los flujos de datos en su totalidad a fin de detectar todos los tipos de ataques que explotan las vulnerabilidades desde el Nivel 2 (control de acceso al medio) al Nivel 7 (aplicación). Por el contrario, los cortafuegos convencionales, como se limitan a realizar inspecciones a Nivel 3 o Nivel 4, son incapaces de detectar los ataques al nivel de aplicación escondidos dentro de la carga de los paquetes. FUNCIONAMIENTO Un Sistema de Prevención de Intrusos, al igual que un Sistema de Detección de Intrusos, funciona por medio de módulos, pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor), mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. Los IPS se categorizan en la forma que detectan el tráfico malicioso: Detección Basada en Firmas Detección Basada en Políticas Detección Basada en Anomalías Detección Honey Pot (Jarra de Miel) Detección Basada en Firmas: Una firma tiene la capacidad de reconocer una determina cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor Web. Sin embargo, como este tipo de detección funciona parecido a un Antivirus, el Administrador debe verificar que las firmas estén constantemente actualizadas.

18 Detección Basada en Políticas: En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta. Detección Basada en Anomalías: Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente difícil determinar y medir una condición normal. En este tipo de detección tenemos dos opciones: 1. Detección Estadística de Anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma. 2. Detección No Estadística de Anormalidades: En este tipo de detección, es el administrador quien define el patrón normal de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos. Detección Honey Pot (Jarra de Miel): Aquí se utiliza un distractor. Se asigna como Honey Pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorear los métodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real INSPECCIÓN A FONDO El dispositivo de procesamiento de un IPS está basado en un conjunto de ASIC (circuitos de integración específicos de aplicación) altamente especializados que permite inspeccionar totalmente cada bit de un paquete. Una inspección a fondo pero no total no lo hace, por lo que puede pasar por alto determinados ataques. Los paquetes son clasificados e inspeccionados en su totalidad por todos los filtros relevantes antes de que se permita su salida. Esta clasificación se basa en la información de cabecera de cada paquete, como puertos y direcciones IP de fuente y destino, y los campos de aplicación. Cada filtro consta de un conjunto de reglas que definen las condiciones que deben cumplirse para llegar a saber si un paquete o flujo es malicioso o no. Cuando se clasifica el tráfico, el dispositivo debe ensamblar la carga útil del flujo y pasarla a campos que sean de utilidad para hacer luego un análisis contextual. Por ejemplo, en un ataque por sobreflujo de buffer el dispositivo habrá de identificar la referencia a un parámetro relativo al buffer a nivel de aplicación y después evaluar sus características.

19 A fin de impedir que un ataque alcance su objetivo, en el instante en que se determina que un flujo es malicioso se detiene el avance de los últimos paquetes y cualquiera de los que lleguen posteriormente y que pertenezcan a dicho flujo. ANÁLISIS EN PARALELO Obviamente, los ataques multiflujo, como las que van dirigidos a desactivar la red o las inundaciones de paquetes, requieren filtros que realicen estadísticas e identifiquen anomalías en varios flujos agregados. El filtro combina hardware de procesamiento masivamente paralelo para realizar miles de chequeos en cada paquete simultáneamente. El procesamiento en paralelo asegura que el paquete pueda seguir moviéndose con rapidez a través del sistema con independencia del número de filtros que se apliquen. Esta aceleración por hardware es crítica porque las soluciones de software convencionales, como chequean en serie, perjudican el rendimiento. Los IPS vienen equipados con técnicas de redundancia y failover para asegurar que la red continúe operando en el caso de que se produzca un fallo. Y, además de actuar como mecanismo de seguridad, también sirven como herramienta para mantener limpia la red, ya que pueden eliminar los paquetes con malformaciones y controlar las aplicaciones que no son de misión crítica para prote ger el ancho de banda. Por ejemplo, los IPS se han mostrado muy efectivos para evitar la transferencia ilegal de archivos protegidos por copy right mediante aplicaciones peer-to-peer. Cómo funciona Los IPS protegen de los ataques de red examinando los paquetes y bloqueando el tráfico malicioso. 1- Cada paquete es clasificado en función de la cabecera y de la información de flujo asociada. 2- En función de la clasificación del paquete, se aplican los filtros en el contexto de su información de estado del flujo. 3- Todos los filtros relevantes se aplican en paralelo y, si un paquete se identifica como sospechoso, es etiquetado como tal. 4- Entonces, se descarta, y se actualiza su información de estado del flujo relacionada para descartar el resto de dicho flujo.

20 Tipos IDS/IPS Existen tres tipos de sistemas de detección de intrusos: HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. Un IDS basado en host analiza diferentes áreas para determinar el uso incorrecto (actividades maliciosas o abusivas dentro de la red) o alguna intrusión (violaciones desde afuera). Los IDS basados en host consultan diferentes tipos de registros de archivos (kernel, sistema, servidores, red, cortafuegos, y más) y comparan los registros contra una base de datos interna de peculiaridades comúnes sobre ataques conocidos. Los IDS basados en host de Linux y Unix hacen uso extensivo de syslog y de su habilidad para separar los eventos registrados por severidad (por ejemplo, mensajes menores de impresión versus advertencias importantes del kernel). El comando syslog está disponible cuando se instala el paquete sysklogd, incluido con Red Hat Enterprise Linux. Este paquete proporciona el registro de mensajes del sistema y del kernel. Los IDSes basados en hosts filtran los registros (lo cual, en el caso de algunas redes y registros de eventos del kernel pueden ser bastante detallados), los analizan, vuelven a etiquetar los mensajes anómalos con su propia clasificación de severidad y los reúne en su propio registro para que sean analizados por el administrador. Los IDS s basados en host también pueden verificar la integridad de los datos de archivos y ejecutables importantes. Funciona verificando una base de datos de archivos confidenciales (y cualquier archivo añadido por el administrador) y crea una suma de verificación de cada archivo con una utilidad de resumen de archivos de mensajes tal como md5sum (algoritmo de 128-bit) o sha1sum (algoritmo de 160-bit). El IDS basado en host luego almacena las sumas en un archivo de texto plano y periódicamente compara las sumas de verificación contra los valores en el archivo de texto. Si cualquiera de estas sumas no coinciden, el IDS alertará al administrador a través de un correo electrónico o a un mensaje al celular. Ventajas: Los IDSs basados en host, al tener la capacidad de monitorear eventos locales a un host, pueden detectar ataques que no pueden ser vistos por un IDS basado en red. Pueden a menudo operar en un entorno en el cual el tráfico de red viaja encriptado, ya que la fuente de información es generada antes de que los datos sean encriptados y/o después de que el dato sea desencriptado en el host destino. Desventajas: Los IDS s basados en hosts son más costosos de administrar, ya que deben ser gestionados y configurados en cada host monitorizado. Si la estación de análisis se encuentra dentro del host monitoreado, el IDS puede ser deshabilitado si un ataque logra tener éxito sobre la máquina. No son adecuados para detectar ataques a toda una red (por ejemplo, escaneos de puertos) puesto que el IDS solo ve aquellos paquetes de red enviados a él. Pueden ser deshabilitados por ciertos ataques de DoS.

21 Usan recursos del host que están monitoreando, influyendo en el rendimiento del sistema monitorizado. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. Los sistemas de detección de intrusos basados en la red operan de una forma diferente que aquellos IDSes basados en host. La filosofía de diseño de un IDS basado en la red es escanear los paquetes de red al nivel del enrutador o host, auditar la información de los paquetes y registrar cualquier paquete sospechoso en un archivo de registros especial con información extendida. Basándose en estos paquetes sospechosos, un IDS basado en la red puede escanear su propia base de datos de formas de ataques a la red y asignarles un nivel de severidad para cada paquete. Si los niveles de severidad son lo suficientemente altos, se enviará un correo electrónico o un mensaje de pager de advertencia a los miembros del equipo de seguridad para que ellos puedan investigar la naturaleza de la anomalía. Los IDSes basados en la red se han vuelto muy populares a medida en que la Internet ha crecido en tamaño y tráfico. Los IDSes que son capaces de escanear grandes volúmenes de actividad en la red y exitosamente etiquetar transmisiones sospechosas, son bien recibidos dentro de la industria de seguridad. Debido a la inseguridad inherente de los protocolos TCP/IP, se ha vuelto imperativo desarrollar escaners, huzmeadores y otras herramientas de auditoria y detección para así prevenir violaciones de seguridad por actividades maliciosas en la red, tales como: Engaño de direcciones IP (IP Spoofing) ataques de rechazo de servicio (DoS) Envenenamiento de caché arp Corrupción de nombres DNS ataques de hombre en el medio La mayoría de los IDSes basados en la red requieren que el dispositivo de red del sistema host sea configurado a modo promiscuo, lo cual permite al dispositivo capturar todos los paquetes que pasan por la red. Ventajas: Un IDS bien localizado puede monitorear una red grande. Los NIDS s tienen un impacto pequeño en la red, siendo normalmente dispositivos pasivos que no interfieren en las operaciones habituales de ésta. Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles dentro de la red. Desventajas: Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho tráfico y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto. Algunos vendedores están intentando resolver este problema implementando IDS s completamente en hardware, lo cual los hace mucho más rápidos. Los IDS s basados en red no analizan la información encriptada. Este problema se incrementa cuando la organización utiliza encriptación en el propio nivel de red (IPSec) entre hosts, pero se puede resolver con una política de seguridad más relajada (por ejemplo IPSec en modo túnel).

22 La mayoría de los IDSs basados en red no saben si el ataque tuvo o no éxito, lo único que pueden saber es que el ataque fue lanzado. Esto significa que después de que un NIDS detecte un ataque, los administradores deben manualmente investigar cada host atacado para determinar si el intento de penetración tuvo éxito o no. Algunos NIDS tienen problemas al tratar con ataques basados en red que viajan en paquetes fragmentados. Estos paquetes hacen que el IDS no detecte dicho ataque o que sea inestable y pueda caer. DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN). Sistemas pasivos y sistemas reactivos En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante. Tipos de IPS Los sistemas de prevención de intrusos pueden ser clasificados en 4 diferentes tipos: Prevención de intrusos basados en red (NIPS): monitorea toda la red buscando tráfico sospechoso analizando la actividad de los protocolos. Sistema de prevención de intrusos inalámbrico (WIPS): monitorea toda la red inalámbrica buscando tráfico sospechoso analizando los protocolos de red inalambrica. Análisis de comportamiento de red (NBA): Examina el tráfico de la red para identificar amenazas que generan un flujo de trafico inusual, Tal y como un ataque distribuido de denegación de servicio (DdoS), ciertas formas de malware, y violaciones a las políticas. Prevención de intrusos basados en host (HIPS): Un paquete de software instalado que monitorea un solo host buscando actividad sospechosa analizando eventos ocurridos dentro de ese host. Métodos de detección La mayoría de los sistemas de detección de intrusos utiliza uno de tres métodos de detección: basado en firma, basado en anomalía estadística, y análisis de protocolo de estado. Detección basada en firma: Este método de detección utiliza firmas, que son patrones de ataque que están preconfigurados y predeterminados. Un sistema de prevención de intrusos basado en firmas monitorea el tráfico de la red buscando coincidencias para esas firmas. Una vez una coincidencia es encontrada, el sistema de prevención de intrusos toma la acción apropiada. Las firmas pueden ser basadas en exploits o en vulnerabilidades. Las firmas basadas en exploits analizan patrones que han sido protegidos contra exploits, mientras que las firmas basadas en vulnerabilidades, analizan vulnerabilidades en un programa, su ejecución y las condiciones que necesita para explotar la vulnerabilidad mencionada.