Seguridad en Redes

Un enfoque practico
Miguel Peinado
Introducción
¿Que es seguridad?
Podemos entender como seguridad una
característica de cualquier sistema
(informático o no) que nos indica que ese
sistema esta libre de todo peligro, daño o
riesgo, y que es, en cierta manera, infalible.
Como esta característica, particularizando
para el caso de sistemas operativos o redes
de computadores, es muy difícil de conseguir
(según la mayora de expertos, imposible)
Introducción
¿Que es seguridad?
se suaviza la definición de seguridad y se
pasa a hablar de fiabilidad (probabilidad
de que un sistema se comporte tal y como
se espera de el) mas que de seguridad; por
tanto, se habla de sistemas fiables en
lugar de hacerlo de sistemas seguros.
Introducción
A grandes rasgos se entiende que
mantener un sistema seguro (o fiable)
consiste básicamente en garantizar tres
aspectos confidencialidad, integridad y
disponibilidad.
Introducción
¿Que queremos proteger?
Los tres elementos principales a proteger en cualquier
sistema informático son el software, el hardware y
los datos.
Contra cualquiera de los tres elementos descritos
anteriormente (pero principalmente sobre los datos) se
pueden realizar multitud de ataques o, dicho de otra
forma, están expuestos a diferentes amenazas.
Generalmente, la taxonomía mas elemental de estas
amenazas las divide en cuatro grandes grupos:
interrupción, interceptación, medicación y
fabricación.
Introducción
Fuente Destino
Flujo Normal

Interrupción Intercepción

Modificación Fabricación
Introducción
Un ataque se clasifica como interrupción si hace que un
objeto del sistema se pierda, quede inutilizable o no
disponible. Se tratara de una interceptación si un
elemento no autorizado consigue un acceso a un
determinado objeto del sistema, y de una modificación si
además de conseguir el acceso consigue modificar el
objeto; algunos autores consideran un caso especial de la
modificación: la destrucción, entendiéndola como una
modificación que inutiliza al objeto afectado. Por ultimo,
se dice que un ataque es una fabricación si se trata de una
modificación destinada a conseguir un objeto similar al
atacado de forma que sea difícil distinguir entre el objeto
original y el `fabricado'.
Introducción
¿DE QUE NOS QUEREMOS PROTEGER?
En la gran mayoría de publicaciones relativas a la
seguridad informática en general, tarde o temprano se
intenta clasificar en grupos a los posibles elementos que
pueden atacar nuestro sistema. Con frecuencia,
especialmente en las obras menos técnicas y mas
orientadas a otros aspectos de la seguridad, se suele
identificar a los atacantes únicamente como
personas; esto tiene sentido si hablamos por ejemplo
de responsabilidades por un delito informático. Pero
en este trabajo es preferible hablar de `elementos' y no
de personas:
Introducción
Personas. No podernos engañarnos: la mayora
de ataques a nuestro sistema van a provenir en
ultima instancia de personas que, intencionada o
inintencionadamente, pueden causarnos enormes
perdidas.
generalmente se dividen en dos grandes grupos:
los atacantes pasivos, aquellos que fisgonean
por el sistema pero no lo modifican –o
destruyen-, y los activos, aquellos que dañan el
objetivo atacado, o lo modifican en su favor.
Introducción
Generalmente los curiosos y los crackers
realizan ataques pasivos (que se pueden
convertir en activos), mientras que los
terroristas y ex-empleados realizan
ataques activos puros; los intrusos
remunerados suelen ser atacantes pasivos
si nuestra red o equipo no es su objetivo, y
activos en caso contrario, y el personal
realiza ambos tipos indistintamente,
dependiendo de la situación concreta.
Introducción
Amenazas lógicas
Bajo la etiqueta de ‘amenazas lógicas’
encontramos todo tipo de programas que
de una forma u otra pueden dañar a
nuestro sistema, creados de forma
intencionada para ello (software
malicioso, también conocido como
malware) o simplemente por error (bugs o
agujeros).
Introducción
Software incorrecto
Herramientas de seguridad
Puertas traseras
Bombas lógicas
Virus
Gusanos
Caballos de Troya
Programas conejo o bacterias
Introducción
Catástrofes
Las catástrofes (naturales o artificiales)
son la amenaza menos probable contra los
entornos habituales
Introducción
Mecanismos de seguridad
Los mecanismos de seguridad se dividen
en tres grandes grupos: de prevención, de
detección y de recuperación.
Introducción
Los mecanismos de prevención son
aquellos que aumentan la seguridad de un
sistema durante el funcionamiento normal
de este, previniendo la ocurrencia de
violaciones a la seguridad; por ejemplo, el
uso de cifrado en la transmisión de datos se
puede considerar un mecanismo de este
tipo, ya que evita que un posible atacante
escuche las conexiones hacia o desde un
sistema
Introducción
Por mecanismos de detección se conoce a
aquellos que se utilizan para detectar violaciones
de la seguridad o intentos de violación; ejemplos
de estos mecanismos son los programas de
auditora
Finalmente, los mecanismos de recuperación
son aquellos que se aplican cuando una violación
del sistema se ha detectado, para retornar a este a
su funcionamiento correcto; ejemplos de estos
mecanismos son la utilización de copias de
seguridad
Resumiendo
 ¿De quién nos protegemos?

Ataque
Interno
Internet Ataque
At Acceso
E x a qu e
ter Remoto
no

18
¿Cómo protegerlos?
Paradigmas de seguridad:
• Lo que no se prohíbe expresamente está
permitido.
• Lo que no se permite expresamente está
prohibido.
Estrategias de seguridad:
Paranoica
Prudente
Permisiva
Promiscua
¿Cómo protegerlos?

Métodos de defensa:
• En profundidad (SO).
• Perimetral (Red).
Seguridad en Profundidad
Defensa en profundidad (Defense in Depth) es una
iniciativa que pretende aislar en capas y dividir en
diferentes áreas las instalaciones con el propósito de hacer
más difícil el acceso a nuestro último bastión, es decir, los
servidores donde se contiene nuestra información.
Podríamos hacer la analogía con un Banco, donde nuestra
información vendría a ser el dinero contenido en una
bóveda. Para protegerlo desde la entrada ya vemos
medidas de seguridad tales como barreras antigolpes de
automóviles, cámaras, guardias, un área pública que
podría ser la (DMZ). Mientras más nos acercarnos a la
bóveda los controles se acentúan…
Seguridad Perimetral
La seguridad perimetral es uno de los métodos
posibles de defensa de una red, basado en el
establecimiento de recursos de seguridad en el
perímetro externo de la red y a diferentes
niveles.
Esto nos permite definir niveles de confianza,
permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y
denegando cualquier tipo de acceso a otros.
Estrategias Básicas de Seguridad Informática: Defensa en
Profundidad
 Consideraciones importantes sobre las
principales defensas de este modelo:
•Políticas, procedimientos, concientización: Establecen el tono en toda
la organización con relación a la protección de los activos de información,
definen los objetivos y actividades de control y proveen un criterio de
auditoría para el programa de seguridad. Para ser efectivas, las políticas
deben ser debidamente comunicadas a todo el personal de la empresa. La
concientización es clave debido a que es el personal quien maneja a diario
los sistemas y las informaciones, por lo que sin su compromiso no es
posible mantener la seguridad.
•Firewall: La primera línea de defensa a nivel de la red la constituye por lo
general el firewall, el cual analiza las conexiones entre redes y restringe el
acceso de acuerdo a una política de seguridad. Aunque el rol del firewall
ha ido cambiando y su función se ha combinado con otras anteriormente
dispersas, el mismo sigue siendo un componente importante de nuestro
arsenal de defensas siempre que sea correctamente gestionado. Esto
incluye, entre otras acciones, mantenerlos actualizados, administrar las
reglas de forma que implementen correctamente las políticas y auditar los
eventos.
 Consideraciones importantes sobre las
principales defensas de este modelo:

•Sistemas de Detección / Prevención de Intrusos: Estos sistemas

monitorean el tráfico de la red y alertan y/o previenen cualquier actividad
sospechosa en tiempo real. El reto con estos sistemas es disminuir la
cantidad de falsos positivos (actividad legítima que se detecta como
maliciosa), así como monitorear los eventos de forma activa e implantar
procesos adecuados de intervención.
•NAC: Aunque una tecnología todavía emergente y de relativa poca
adopción, el Control de Admisiones a Redes (NAC por sus siglas en
inglés) permite inspeccionar los equipos que se conectan a las redes para
determinar si los mismos cumplen con las políticas y estándares de
seguridad, como por ejemplo contar con software antivirus y parches de
seguridad requeridos. A partir de este resultado se puede permitir,
restringir o negar el acceso del equipo así como generar alertas e incluso
llevar a cabo la remediación correspondiente.
 Consideraciones importantes sobre las
principales defensas de este modelo:
•Antimalware: Las tecnologías antimalware (las cuales protegen de
amenazas como los virus, troyanos, gusanos, botnets, spyware y otras
formas de código malicioso) continúan su evolución hacia sistemas más
inteligentes, capaces de detectar las amenazas más sofisticadas y
complejas sin depender principalmente de firmas estáticas. Estas por igual
requieren ser gestionadas correctamente. Asegurar su correcta
actualización y monitoreo son aspectos clave para mantener su
efectividad.
•Encriptación: Puede ser considerada la última línea de defensa bajo este
modelo. Encriptar o cifrar los datos protege la confidencialidad de los
mismos durante su almacenamiento o transmisión por las redes. De esta
forma, aunque los demás controles sean comprometidos, los datos
permanecen seguros pues no podrán ser leídos a menos que sean
descifrados. La seguridad de este mecanismo depende del manejo
adecuado de las llaves utilizadas para descifrar los datos, por lo que se
debe prestar especial atención a este aspecto.
 Consideraciones importantes sobre las
principales defensas de este modelo:
•Seguridad Física: Aún tengamos las más estrictas medidas
de seguridad lógica, esto no nos protegerá de un intruso que
intente sabotear o causar algún daño físico a nuestros
sistemas. Por esta razón debemos mantener controles de
seguridad física adecuados, tales como CCTV, control de
acceso físico, alarmas y vigilancia; particularmente en áreas
sensibles como el centro de cómputos.
 Consideraciones importantes sobre las
principales defensas de este modelo:
De las dos aproximaciones a la seguridad tradicionales:
seguridad en profundidad y seguridad perimetral, optamos
normalmente por un esquema de seguridad perimetral,
como piedra angular para el cumplimiento de las políticas
definidas. En este esquema, el acceso desde el exterior,
necesariamente ha de estar centralizado de manera efectiva
en un único punto, en el que se concentrarían la gran
mayoría de las medidas. También se define que se han de
agilizar medidas para mejorar la seguridad de los sistema
internos, que sin llegar a aplicar un modelo de seguridad en
profundidad, sí llegar a algunos de sus resultados.
Esquema Típico (Seguridad Perimetral)
Ubicación de los recursos públicos
(Seguridad Perimetral)
Seguridad Perimetral
 Seguridad Perimetral, Zona
Desmilitarizada (DMZ)
Construcciones de "Muro Doble"
Algunos firewalls se construyen con la técnica de "muro
doble", en este caso el firewall consta de dos sistemas
separados físicamente (muro
exterior e interior) conectados por una red semiprivada, si
alguien es capaz de comprometer el muro exterior, el muro
interior protege la red
impidiendo el acceso desde la red semi-privada y aislando
la red interior.
Zona Desmilitarizada (DMZ), Esquema de
“muro doble”
 Zona Desmilitarizada (DMZ), Esquema de
“muro doble”
El muro exterior sólo permite el tráfico hacia los
servidores semi-públicos alojados en la DMZ.
El muro interior se rige por el "pesimismo", esto
es, solo acepta paquetes si responden a una
petición originada en el interior de la red o que
provienen de uno de los servidores alojados en
la DMZ (por defecto guarda toda la información
sobre las transacciones).
 Alternativas de Implantación

Uso de routers “apantallados”

Un router es un dispositivo cuya misión es
conectar dos o más redes. En una definición más
amplia se trata de cualquier dispositivo que
cuente con dos o más interfaces conectadas a
redes diferentes y que controle el tráfico de
paquetes entre las redes que conecta.
El "router apantallado", en cambio, analiza el
paquete de información al detalle y establece si
puede ser enviado a su destino en función de las
políticas de seguridad del sistema.
Alternativas de Implantación
Alternativas de Implantación
 Alternativas de Implantación
Uso de firewalls
Un firewall puede ser un sistema (software o
hardware), es decir, un dispositivo físico que se
conecta entre la red y el cable de la conexión a
Internet, como en el caso del CISCO PIX, o bien un
programa que se instala en el sistema que tiene la
interface que conecta con Internet, como el
Firewall-1 de CheckPoint.
Incluso podemos encontrar PCs muy potentes y con
paquetes software específicos que lo único que
hacen es monitorear en tiempo real las
comunicaciones entre redes.
Alternativas de Implantación
Alternativas de Implantación

Uso de proxys
Además del filtrado de paquetes, es
habitual que se utilicen aplicaciones
(software) para reenviar o bloquear
conexiones a servicios como por ejemplo
telnet, HTTP o FTP. A tales aplicaciones se
les denomina "servicios proxy", mientras
que al sistema donde se ejecutan se le
llama "gateway de aplicación".
Alternativas de Implantación

Uso de proxys
Los servicios proxy poseen una serie de
ventajas tendientes a incrementar la
seguridad; en primer lugar, permiten
únicamente la utilización de servicios para
los que existe un proxy, por lo que si en la
organización el "gateway de aplicación“
contiene únicamente proxies para telnet,
HTTP y FTP, el resto de servicios no
estarán disponibles para nadie.
Alternativas de Implantación