Está en la página 1de 54

Módulo 14: Seguridad de red

Índice

Descripción general ................................................................................................................................2


14.1 Desarrollo de una Política de Seguridad de Red .................................................................3
14.1.1 Acceso a las necesidades de seguridad ......................................................................3
14.1.2 Política de uso aceptable ................................................................................................5
14.1.3 Estándares de nombre de usuario y contraseña ........................................................6
14.1.4 Estándares de protección contra virus.........................................................................7
14.1.5 Recursos de seguridad online........................................................................................8
14.2 Amenazas a la Seguridad de la Red .....................................................................................10
14.2.1 Descripción general: seguridad interna/externa.......................................................10
14.2.2 Vulnerabilidades de seguridad dentro de los servicios Linux ...............................11
14.2.3 Amenazas externas ........................................................................................................11
14.2.4 Denegación del Servicio (DoS).....................................................................................13
14.2.5 Denegación del Servicio Distribuida (DDoS) .............................................................16
14.2.6 Explotaciones bien conocidas .....................................................................................17
14.2.7 Amenazas Internas .........................................................................................................20
14.3 Implementación de Medidas de Seguridad .........................................................................22
14.3.1 Cifrado, auditoría y autenticación de archivos..........................................................22
14.3.2 Sistemas de Detección de Intrusiones .......................................................................24
14.3.3 Seguridad IP ....................................................................................................................29
14.3.4 Secure Sockets Layer (SSL) .........................................................................................30
14.3.5 Seguridad en e-mails......................................................................................................31
14.3.6 Cifrado de clave pública/privada..................................................................................34
14.4 Aplicación de Patches y Actualizaciones............................................................................36
14.4.1 Búsqueda de patches y actualizaciones ....................................................................36
14.4.2 Selección de patches y actualizaciones.....................................................................37
14.4.3 Aplicación de patches y actualizaciones ...................................................................38
14.5 Firewalls.....................................................................................................................................40
14.5.1 Introducción a los firewalls y proxies .........................................................................40
14.5.2 Filtrado de paquetes.......................................................................................................44
14.5.3 Ubicación del firewall.....................................................................................................46
14.5.4 Soluciones de firewall comunes ..................................................................................47
14.5.5 Uso de un NOS como firewall.......................................................................................51
Resumen .................................................................................................................................................54

1
Módulo 14: Seguridad de red

Descripción general

Desarrollar una política de seguridad para una red depende de varios factores. El tipo de negocio,
el tipo de datos, y la filosofía de administración deben considerarse para poder determinar el "Uso
Aceptable".

Este módulo detallará la importancia de desarrollar una política de seguridad para vigilar contra las
amenazas internas y externas a una red. El alumno aprenderá las medidas de seguridad a
implementar. Aplicar patches y actualizaciones al Sistema Operativo de Red (NOS) asegurará que
el sistema esté al corriente. Además, el alumno obtendrá una comprensión sobre firewalls y
proxies.

2
Módulo 14: Seguridad de red

14.1 Desarrollo de una Política de Seguridad de Red

14.1.1 Acceso a las necesidades de seguridad

Un networking seguro es un tema candente en el mundo de la tecnología de la información. Las


intrusiones en las redes del gobierno y de los negocios, ataques masivos de virus de computadora,
y casos criminal de elevado perfil involucrando a hackers están constantemente en las noticias.
Desde las redes empresariales multinacionales hasta los usuarios de computadora hogareños con
cuentas de Internet por conexión telefónica, casi todo el mundo que está "conectado" también está
preocupado, en mayor o menor grado, acerca de la posibilidad de un acceso no autorizado.

Seguridad significa diferentes cosas para diferentes personas. La palabra seguridad según el
American Heritage Dictionary es sinónimo de garantía. En el contexto del networking, la seguridad
nunca es absoluta. El único sistema completamente seguro es aquél al que nadie tiene acceso.
Esto obviamente no funciona. El Microsoft Press Computer and Internet Dictionary define seguridad
informática como los pasos dados para proteger una computadora y la información que contiene.
En esta definición no están implicadas garantías.

Puesto que todo el propósito de las redes de computadoras es compartir recursos, debe existir
siempre un equilibrio delicado entre seguridad y accesibilidad. Cuanto más segura es una red,
menos accesible es. Cuánto más accesible es una red, menos segura es. La Figura ilustra cómo
un incremento en la accesibilidad disminuye la seguridad del sistema.

Los problemas de seguridad pueden convertir la relación entre los administradores de red y los
usuarios de la red en una de relación de adversarios. Los usuarios generalmente prefieren más
accesibilidad y los administradores prefieren más seguridad.

Este módulo detalla las necesidades de seguridad de una red en particular, cómo evaluar
amenazas existentes y potenciales a la seguridad, y cómo implementar las medidas de seguridad
apropiadas. Además, se tratarán la forma en la cual funcionan los componentes de seguridad y una
identificación avanzada y tecnologías de autenticación.

En lo que se refiere a una red de computadoras, ¿cuánta seguridad es suficiente? La respuesta


depende de la organización. El primer paso al desarrollar un plan viable para proteger los datos de
la red es evaluar sus necesidades de seguridad. Hay varios factores a considerar:

• El tipo de negocio en el cual se desempeña la compañía


• El tipo de datos almacenados en la red
• La filosofía de administración de la organización

Tipo de Negocio
Algunos negocios, como leyes o medicina, por su misma naturaleza generan datos confidenciales.
La ley protege la privacidad de los registros médicos de un paciente y las comunicaciones
abogado-cliente. Si se almacenan documentos sensibles en una red, es imperativo que se
mantenga un alto nivel de seguridad. Hacerlo de otro modo pone a la organización en riesgo de
responsabilidad civil e incluso cargos criminales.

Hay otros tipos de organización que a menudo producen datos sensibles:

• Agencias de aplicación de la ley, cortes, y otros cuerpos gubernamentales


• Instituciones educativas que almacenan las notas de los alumnos en una red
• Hospitales, instalaciones de salud mental, e instalaciones para la cura de abuso de drogas

3
Módulo 14: Seguridad de red

• Compañías que firman contratos con los organismos militares o que llevan a cabo otras
tareas relacionadas con la seguridad nacional
• Organizaciones que reúnen datos bajo una garantía de confidencialidad
• Organizaciones que producen un producto o proporcionan un servicio en una industria o
campo de investigación altamente competitivos
• Organizaciones cuyas redes están conectadas a Internet

Tipo de Datos
Independientemente del tipo de negocio, determinados tipos de datos se consideran privados y
deberán protegerse. Estos tipos de datos incluyen los siguientes:

• Registros de pago e información personal de los empleados


• Contaduría e información sobre impuestos
• Secretos de marca como código original, planos, diagramas, recetas y estrategias de
negocios

Si estos tipos de información se almacenan en una red, un plan de seguridad deberá


implementarse para protegerlos.

Filosofía de Administración
Si los datos de la red no están sujetos a leyes de privacidad, el nivel de seguridad podría depender
de las filosofías personales de los propietarios o administradores de negocios. En algunas
organizaciones, todo el mundo es considerado parte de una gran familia feliz. La accesibilidad y
facilidad de uso disfrutan de una prioridad más alta que la privacidad y seguridad. Otras
organizaciones operan según un principio de "necesidad de saberlo". La administración prefiere
que la información sea accesible sólo para aquéllos cuyos trabajos lo requieran. Ninguna de estas
políticas es correcta o equivocada. Los administradores de red simplemente necesitan saber y
deben estar dispuestos a implementar la seguridad de red que va con el estilo de administración de
la organización.

4
Módulo 14: Seguridad de red

14.1.2 Política de uso aceptable

El primer paso en crear una política de seguridad para una red de compañía es definir una política
de uso aceptable (AUP). Una política de uso aceptable indica a los usuarios qué es aceptable y
permitido en la red de la compañía. Esto puede incluir cosas como sitios web aceptables para
visitar así como qué momentos son aceptables para navegar por Internet. Por ejemplo, la política
de uso aceptable puede incluir información acerca de la instalación de software o hardware. El
administrador del sistema puede determinar el alcance de qué incluir en la política de uso
aceptable. El administrador del sistema puede incluir cualquier cosa que pudiera ser dañina para la
red si se la usa inapropiadamente.

Para ver algunos ejemplos de políticas de uso aceptable por favor visite los sitios web mostrados
en la Figura .

5
Módulo 14: Seguridad de red

14.1.3 Estándares de nombre de usuario y contraseña

Usualmente, el administrador del sistema definirá la convención de nombrado para los nombres de
usuario de una red. Un ejemplo común es la primera inicial del nombre de la persona y luego todo
el apellido como lo muestra la Figura . Es recomendable mantener la convención de nombrado
de nombres de usuario simple para que a la gente no le cueste recordarla. Una convención de
nombrado de nombre de usuario compleja no es tan importante como tener un estándar de
contraseña compleja.

Al asignar contraseñas, el nivel de control de la contraseña deberá coincidir con el nivel de


protección requerido. Una buena política de seguridad deberá aplicarse estrictamente e incluir,
pero no limitarse a, lo siguiente:

• Las contraseñas deben expirar después de un periodo específico.


• Las contraseñas deberán contener una mezcla de letras y números para que no puedan
quebrarse fácilmente.
• Los estándares de contraseñas deberán evitar que los usuarios las escriban y las dejen
desprotegidas de la vista pública.

6
Módulo 14: Seguridad de red

• Deberán definirse reglas acerca de la expiración y lockout de contraseñas. Las reglas de


lockout se aplican cuando se ha hecho un intento no exitoso de acceder al sistema o
cuando se ha detectado un cambio específico en la configuración del sistema.

14.1.4 Estándares de protección contra virus

Estándares apropiados de protección contra virus requieren que se instale software de protección
contra virus actualizada se instale en todos los sistemas de la red. Ubique filtros apropiados y listas
de acceso en todos los gateways entrantes para proteger la red de un acceso no deseado. Para
evitar virus, políticas de e-mail también necesitan desarrollarse que enuncien qué puede enviarse y
recibirse. Estas políticas pueden encontrar resistencia porque a los usuarios les gusta chatear y
enviar e-mail no orientado a los negocios mientras están en el trabajo. Los usuarios necesitan estar
conscientes de los problemas de seguridad y del efecto que las violaciones de seguridad pueden
tener en la red así como en los datos de los usuarios. Los sitios web de la Figura proporcionan
estándares de políticas de e-mail de muestra.

Además, es importante contar con un procedimiento que requiera que todas las advertencias de
virus provengan de un administrador central. Sería la responsabilidad de una única persona

7
Módulo 14: Seguridad de red

determinar si una alerta de virus es real o si es un engaño y luego tomar la acción apropiada. Un
hoax puede no ser tan malicioso como un virus pero puede ser igual de frustrante. Lleva valioso
tiempo y recursos si un hoax no es identificado. Un excelente recurso para determinar si una
advertencia es real o un hoax es el sitio web de más abajo.

14.1.5 Recursos de seguridad online

fines de 1988, un estudiante graduado de 23 años de la Universidad de Cornell lanzó un gusano


auto-replicante a Internet. Un gusano es un virus auto-replicante que no altera los archivos pero
reside en la memoria activa y se duplica. En cuestión de horas, el gusano en rápido esparcimiento
resultó en el cierre de más de 60.000 computadoras UNIX en universidades e instalaciones
militares. El gusano fue eventualmente erradicado después de que un grupo de investigadores de
todo Estados Unidos trabajaran juntos para decompilar el programa. Para muchos administradores
de red el gusano de Internet de noviembre de 1988 fue una advertencia. El Centro Nacional de
Seguridad Informática facilitó una serie de reuniones para explorar formas de evitar y responder a
futuros ataques a Internet.

La elevada consciencia de los problemas de seguridad de Internet después del gusano de 1988
condujo a la formación del Centro de Coordinación del Equipo de Respuestas a Emergencias

8
Módulo 14: Seguridad de red

Informáticas (CERT/CC). El propósito de CERT/CC es descubrir y estudiar vulnerabilidades de


seguridad relacionadas con Internet. CERT/CC coloca alertas de seguridad en su sitio web.
CERT/CC también estudia tendencias a largo plazo en seguridad de Internet.

Recursos basados en la web ofrecen información crítica y potentes herramientas que pueden
usarse para proteger una red. Algunos de los mejores recursos de seguridad online son los sitios
web de fabricantes de NOS. Para ver algunos ejemplos de los recursos de seguridad online visite
los sitios web mostrados en la Figura .

Además, los grupos de noticias de Internet pueden ser un foro invalorable para el intercambio de
información concerniente a temas relacionados con la seguridad.

9
Módulo 14: Seguridad de red

14.2 Amenazas a la Seguridad de la Red

14.2.1 Descripción general: seguridad interna/externa

A medida que la industria del networking ha venido madurando durante la pasada década, la
seguridad se ha convertido en una de las mayores preocupaciones de la Tecnología de la
Información. Hoy, las redes transportan billones de transacciones financieras, documentos
privados, y registros personales. Muchos intercambios sensibles de tal información tienen lugar a
través de la Internet pública.

Desde el punto de vista de la seguridad, Internet presenta numerosos desafíos. Primero, Internet
se basa en los bien conocidos protocolos abiertos que componen la suite del Protocolo de Control
de Transmisión/Protocolo Internet (TCP/IP). Estos protocolos, incluyendo al mismo IP, no estaban
diseñados teniendo en mente una red pública mundial. Aunque la suite TCP/IP ha escalado para
cumplir las demandas de la Internet global de hoy, estos protocolos tienen una notoria falta de
seguridad inherente.

En otras palabras, Internet funciona esencialmente siguiendo reglas abiertas al público. Si se


estudian las reglas lo suficiente, es posible hallar troneras y debilidades que pueden explotarse.
Desafortunadamente, parece que nunca faltan los individuos que desean hallar y explotar estas
debilidades, ya sea por lucro o sólo por diversión. Una segunda preocupación relativa a la
seguridad rodea a la naturaleza de las conexiones a Internet. La cantidad de individuos,
organizaciones e instituciones conectadas a Internet crece. Estos grandes grupos de conexiones a
Internet se han vuelto esenciales para negocios en muchas partes desarrolladas del mundo. Pero
conectarse a Internet abre la puerta a intrusos provenientes de la red. En general, una conexión a
Internet es como una calle de dos manos. Si un usuario se conecta a Internet, entonces los hosts
de Internet pueden conectarse a ese usuario.

Virtualmente todos los Sistemas Operativos de Red (NOSs) tienen algún grado de soporte a
TCP/IP. Windows 2000 y Red Hat Linux ofrecen un complemento completo de servicios IP. Este
módulo se concentra en los problemas de seguridad relacionados con TCP/IP porque TCP/IP es el
protocolo de red dominante hoy. Ejecutando TCP/IP y conectándose a Internet, una compañía
enfrenta significativas amenazas externas.

Además de las amenazas externas desde Internet, las redes corporativas enfrentan numerosas
preocupaciones de seguridad interna. Servicios comunes como compartir archivos y e-mail deben
asegurarse en una red corporativa. Esta medida se toma para que sólo los usuarios autorizados
tengan acceso a información sensible y personal. Así como los archivos en papel confidenciales se
mantienen en gabinetes archivadores cerrados con llave en oficinas bajo llave, los registros
electrónicos también deben asegurarse.

Lapsos en la seguridad interna pueden también resultar en ataques externos. Los usuarios
legítimos pueden infectar inadvertidamente la red corporativa con un virus leyendo e-mail o
navegando por la web. Algunos usuarios corporativos pueden, intencionalmente o no, instalar
software no autorizado que puede abrir un sistema o toda una red para ser atacados. Y, por
supuesto, empleados disconformes o desleales pueden representar una amenaza a la seguridad
tanto desde adentro como afuera de la red corporativa. Políticas de seguridad bien implementadas
pueden minimizar el riesgo representado por estos casos.

10
Módulo 14: Seguridad de red

14.2.2 Vulnerabilidades de seguridad dentro de los servicios Linux

Muchos de los ataques exitosos son posibles por vulnerabilidades en una pequeña cantidad de
servicios comunes del sistema operativo. Los atacantes obtienen ventaja de sistemas no
asegurados y usualmente toman la ruta más fácil y conveniente y explotan los defectos mejor
conocidos con las más eficaces y ampliamente disponibles vulnerabilidades. Muchos de los virus y
gusanos fáciles y destructivos que se conocen pueden rastrearse directamente a la explotación de
vulnerabilidades no resueltas. Hace tres años, el Instituto SANS y el Centro de Protección a la
Infraestructura Nacional (NIPC) y el FBI lanzaron un documento resumiendo las Diez
Vulnerabilidades de la Seguridad de Internet Más Críticas en Linux y UNIX. Aunque hay miles de
incidentes de seguridad por año que afectan a estos sistemas operativos, la gran mayoría de
ataques exitosos tienen como blanco uno o más de los siguientes servicios vulnerables:

• Sistema de Nombres de Dominio BIND


• Llamadas de Procedimiento Remoto (RPC)
• Servidor Web Apache
• Cuentas de Autenticación UNIX Generales Sin Contraseña o Con Contraseñas Débiles
• Servicios de Texto Claro
• Sendmail
• Protocolo de Administración de Red Simple (SNMP)
• Secure Shell (SSH)
• Mala Configuración de Servicios Empresariales NIS/NFS
• Open Secure Sockets Layer (SSL)

Para ver una explicación abarcativa de las vulnerabilidades específicas de cada uno de los
elementos de la lista de más arriba, visite el sitio web del Instituto SANS en el siguiente vínculo.

14.2.3 Amenazas externas

Las primeras formas de NOSs usaban una variedad de protocolos de red, algunos propietarios y
otros no. El explosivo crecimiento de Internet, que comenzó a finales de los '80, estimuló la
demanda de software y servicios con capacidad TCP/IP. Para llevar Internet a los escritorios de los
usuarios, los administradores de red tuvieron que implementar TCP/IP. TCP/IP resultó ser capaz
en el área del networking corporativo. Los administradores de red comenzaron a dejar de usar
otros protocolos, como AppleTalk e IPX/SPX. A fines de los '90, todos los desarrolladores de NOSs
más importantes, incluyendo Apple y Novell, construían su software en torno a TCP/IP y los
servicios de Internet.

Se ha vuelto cada vez más poco común para una organización implementar un NOS sin también
tener una conexión a Internet. Recuerde, una conexión puede actuar como una puerta abierta. Las
reglas de Internet son abiertas, bien conocidas y llenas de debilidades. Si los servicios TCP/IP se
ejecutan en un NOS conectado a Internet, hay riesgos potenciales.

El robo de datos tiene lugar cuando una parte o programa de software no autorizados obtiene
ilegalmente información privada que se almacena o transmite por una red. El robo de datos puede
ocurrir de muchas formas, incluyendo el sniffing de paquetes y la ruptura de sistemas. En general,
los ladrones de datos roban información que puede usarse para generar un beneficio monetario,
como información sobre tarjetas de crédito, información sobre cuentas financieras, e incluso
secretos corporativos. No obstante, alguien que irrumpe ilegalmente en un servidor de correo para

11
Módulo 14: Seguridad de red

leer el correo de los empleados también está robando información. Recientemente, un caso de alto
perfil del robo de un registro de chat de mensajería instantánea sensible resultó en serias
consecuencias financieras.

La destrucción de datos tiene lugar cuando una persona o programa de software no autorizados
irrumpe en un sistema y borra datos. El borrado de datos también puede involucrar su reemplazo
por datos erróneos. En algunos casos, la entidad no autorizada puede ser software malicioso que
está instalado en un sistema. El software malicioso puede ser instalado como resultado de un
ataque directo, un adjunto de un e-mail, un virus o un gusano.

Un ataque de denegación de servicio (DoS) está diseñado para degradar el desempeño del
servidor o sacarlo de la red completamente. El objetivo de tal ataque es evitar que otros hosts usen
el servidor o, denegación del servicio. Un servidor caído o inaccesible puede costar miles de
dólares por hora a una compañía.

Varias fuentes externas pueden ser la causa de estos ataques, que se enumeran en la Figura .

Hackers
Las definiciones del término "hacker" son controvertidas. Los medios mainstream y el público en
general usan hacker como término negativo que describe a cualquier persona que lleva a cabo
irrumpciones en computadoras y altera los datos de las mismas. No obstante, dentro de la mal
llamada comunidad hacker, existe una distinción entre aquéllos que irrumpen y aquéllos que
irrumpen con intenciones de infligir daños. Para algunos, el término hacker se refiere a alguien
experto en sistemas informáticos. De acuerdo a esta definición, un hacker puede irrumpir en un
sistema para explorarlo y expandir su conocimiento. El verdadero hacker desea diseccionar
sistemas y programas para ver cómo funcionan. Esto contrasta con aquéllos llamados "crackers".

Crackers
Aquéllos que irrumpen en sistemas informáticos para alterar, robar o destruir datos se denominan
crackers. La comunidad hacker se refiere a los crackers como "black hats" [sombreros negros], por
el villano arquetípico de un melodrama o un western de televisión de EE.UU. A los hackers
benignos a veces se los llama "white hats" [sombreros blancos].

Virus
Un virus es un trozo de código de programación usualmente disfrazado de otra cosa. Ocasiona
algún evento inesperado y usualmente indeseable. Un virus está diseñado a menudo para que se
esparza automáticamente a otros usuarios de computadora. Los virus pueden transmitirse como
adjuntos a notas de e-mail, como descargas, o estar presentes en un diskette o CD. El origen que
acabó de recibir la nota de e-mail, archivo descargado o diskette a menudo no es consciente de la
existencia del virus. Los efectos de algunos virus se experimentan tan pronto como sus códigos
son ejecutados. Otros virus permanecen dormidos hasta que las circunstancias hacen que sus
códigos sean ejecutados por la computadora. Algunos virus tienen intención y efecto juguetón y
otros pueden ser muy dañinos, borrando datos u ocasionando el fallo completo del sistema.

Gusanos
Un gusano es un virus auto-replicante que no altera los archivos pero reside en la memoria activa y
se duplica a sí mismo. Los gusanos usan partes de un sistema operativo que son automáticas y
usualmente invisibles para el usuario. Es común que los gusanos se noten sólo cuando su réplica
descontrolada consume recursos del sistema, ralentizando o deteniendo otras tareas.

Programas Troyanos
Un troyano es un programa que se presenta como otro programa para obtener información. Por
ejemplo, hay un troyano que emula la pantalla de inicio de sesión del sistema. Cuando los usuarios
tipean su nombre de cuenta y contraseña, la información se almacena o transmite a quien originó

12
Módulo 14: Seguridad de red

el troyano. Luego, el nombre de usuario y contraseña pueden usarse para obtener acceso al
sistema.

14.2.4 Denegación del Servicio (DoS)

Un ataque DoS ocurre cuando el sistema blanco no puede servir solicitudes legítimas de la red
eficazmente. Como resultado, el sistema se ha vuelto sobrecargado por mensajes ilegítimos. Los
ataques DoS vienen en muchas formas. Los ataques DoS comunes intentan aprovechar las
debilidades de TCP/IP, o debilidades del código del software del NOS.

Los ataques DoS se originan en un host o grupo de hosts. Cuando el ataque viene de un grupo
coordenado de hosts, esos ataques se denominan DoS Distribuida (DDoS).

Un ataque DoS común es sobrecargar un sistema blanco enviando más datos que los que puede
manejar. Por ejemplo, un atacante envía un gran volumen de paquetes a un blanco. El mero
volumen del tráfico resultante puede agobiar al software blanco, haciendo que el software se caiga.
Además, un volumen lo suficientemente grande de tráfico DoS puede llenar un vínculo a Internet

13
Módulo 14: Seguridad de red

blanco. Como resultado de tal ataque, el blanco es esencialmente sacado de Internet.

Hay varios tipos específicos de ataques DoS:

Un ataque de desbordamiento del buffer está diseñado para agobiar al software que se corre en el
sistema blanco. Las aplicaciones de software se escriben de manera tal que pueden contener
datos entrantes y salientes en un buffer de memoria. En algunos casos, puede ser posible enviar
más datos que los que un buffer puede contener. También puede ser posible enviar datos
formateados de tal manera que el programa o su buffer se confundan. Si el código del software no
está escrito para manejar un desbordamiento del buffer apropiadamente, el programa puede
caerse.

El mal llamado ping de la muerte es un bien conocido ataque DoS por desbordamiento del buffer.
Para ejecutar un ataque del ping de la muerte, el atacante envía solicitudes de eco del Internet
Control Message Protocol (ICMP) ilegalmente grandes al blanco. El software TCP/IP antiguo no
podía manejar apropiadamente tales pings y por lo tanto se caía. Los desbordamientos del buffer
por lo común aprovechan debilidades específicas del software NOS.

El ataque de sincronización TCP (SYN) explota el handshake de tres vías del protocolo TCP. Esto
se ilustra en la Figura . El atacante envía un gran volumen de solicitudes de sincronización TCP
(solicitudes SYN). Estas solicitudes representan la primera parte del handshake de tres vías. El
sistema blanco responde con la segunda parte del handshake y luego espera una respuesta. La
respuesta es la parte tercera y final del handshake. El blanco no esperará por siempre. El blanco
debe esperar lo suficiente como para permitir que se establezcan sesiones legítimas. El sistema
atacante no responde, en cambio envía solicitudes SYN adicionales tan rápidamente como es
posible. El volumen resultante de conexiones a medio abrir puede ser demasiado para que el
blanco las maneje, haciendo que su software se caiga. Incluso si el blanco no se cae, puede estar
tan ocupado con las conexiones a medio abrir que no puede servir eficazmente solicitudes SYN
legítimas.

En 1997 se descubrió una variante del ataque SYN TCP, llamada land. El ataque land usa un
programa que altera el encabezado IP de la solicitud SYN. Esta alteración hace que la solicitud
SYN parezca provenir del blanco mismo. Alterar el encabezado IP para ocultar la fuente es
spoofing o falsificación. El blanco recibe el paquete falso e intenta responderse a sí mismo,
solamente para caerse o colgarse casi inmediatamente. Cuando se lo descubrió por primera vez,
varios sistemas con TCP/IP habilitado estaban afectados, incluyendo Windows 95/NT, BSD UNIX,
y Solaris.

Los dispositivos de red pueden configurarse para bloquear ataques SYN TCP provenientes de una
única fuente. Una defensa contra los ataques SYN TCP incluye incrementar la cantidad de
conexiones a medio abrir permitidas por el software. Otra defensa contra ataques SYN TCP puede
ser disminuir la cantidad de tiempo que el software espera una respuesta. Hoy, los ataques SYN
TCP, incluyendo a land, son bien conocidos y en su mayor parte evitables.

Teardrop es el nombre de un programa que aprovecha la forma en que IP maneja la


fragmentación. Las reglas de TCP/IP permiten a un paquete IP grande el ser dividido en
fragmentos más pequeños y manejables de ser necesario. Los fragmentos se envían, cada uno,
como paquetes individuales. Cada paquete fragmento contiene la información necesaria para que
el paquete más grande pueda reensamblarse en el destino. Teardrop envía fragmentos que tienen
información de reesamblaje superpuesta, lo cual confunde al software blanco ocasionando una
caída. Se conoce que Teardrop afecta a Windows 3.1, 95, NT y algunas versiones de Linux. Hoy,
virtualmente todos los OSs contienen código para protegerse contra este ataque.

Como el de land, el ataque Smurf se basa en hacer spoofing del encabezado del paquete IP. Smurf
también se basa en ICMP o ping. Muchas organizaciones usan tecnología firewall para bloquear
solicitudes ping provenientes de redes externas. No obstante, las respuestas ping usualmente se

14
Módulo 14: Seguridad de red

permiten dentro de una red para que los hosts internos puedan usar ping para probar la
conectividad externa. Si una organización permite la entrada de respuestas de ping a su red, puede
ser vulnerable a Smurf.

En un ataque Smurf, el atacante envía un gran volumen de solicitudes ping a una red blanco. Ésta
puede, o no, ser la misma red en la que reside el host blanco. El atacante hace spoofing de los
encabezados IP de estas solicitudes ping para que parezcan haberse originado en el blanco. Una
vez que los hosts de la red blanco recibieron la solicitud de ping, dirigen todas sus respuestas al
host blanco. En consecuencia, el host blanco y/o sus conexiones a la red pueden ser
sobrecargadas, denegando eficazmente el servicio.

Los ejemplos enumerados aquí son todas vulnerabilidades bien conocidas. El software de los OS
se escribe ahora teniendo en cuenta estos ataques. Por ejemplo, la mayoría de los sistemas son
ahora inmunes a land y Teardrop.

Las vulnerabilidades conocidas en software representan agujeros en el sistema. Estos agujeros


pueden repararse, o se puede aplicar patches a ellos, instalando actualizaciones de software
cuando las haga disponible el fabricante. Al instalar cualquier OS, verifique con el fabricante para
determinar si cualesquiera patches de seguridad están disponibles para el OS. Ciertamente,
existen vulnerabilidades adicionales esperando a ser descubiertas. Es inteligente verificar con
autoridades de seguridad en la World Wide Web, como CERT/CC, regularmente.

15
Módulo 14: Seguridad de red

14.2.5 Denegación del Servicio Distribuida (DDoS)

La mayoría de los ataques DoS funcionan sobrecargando un blanco con paquetes. Los
desarrolladores de hardware y software han creado formas de identificar patrones de tráfico
sospechosos que provienen de una dirección de host individual. Una vez identificado el tráfico
sospechoso, un filtro o firewall puede bloquear el tráfico proveniente de esa dirección.

A fines de los '90, los ataques DoS sufrieron una evolución perturbadora. Los hackers desarrollaron
formas de coordinar varios hosts en un intento por denegar el servicio. Los ataques de Denegación
del Servicio Distribuida (DDoS) pueden ser muy difíciles de detener porque pueden originarse en
cientos o incluso miles de hosts coordinados. ¿Cómo puede un blanco diferenciar entre solicitudes
legítimas e ilegítimas? En algunos casos, la única diferencia entre paquetes legítimos y paquetes
falsos es su intención. Determinar la intención de un paquete puede ser extremadamente difícil, si
no imposible.

El ataque DDoS clásico comienza con semanas o incluso meses de hacking. El ataque DDoS
Tribal Flood Network se ilustra en la Figura . Antes de que el hacker pueda atacar al blanco
definitivo, una "flota" de sistemas deben coordinarse para el ataque. Una flota está compuesta por
hosts "zombies". Un zombie es en general un host inseguro con una conexión permanente de alta
velocidad a Internet. El hacker aprovecha la falta de seguridad del zombie. El hacker irrumpe en el
sistema directamente o mediante un virus de e-mail. El objetivo de la irrupción o virus es instalar

16
Módulo 14: Seguridad de red

software en el sistema zombie. El software instalado proporciona un control parcial de ese sistema
al hacker. El siguiente paso para el hacker es obtener un control parcial de una gran cantidad de
zombies. El hacker usa los zombies para lanzar un ataque DDoS sobre el blanco definitivo. Una
reciente tendencia en ataques DDoS es el uso de tecnología Internet Relay Chat (IRC) para
controlar zombies y lanzar ataques.

Construir una flota de sistemas zombie ha resultado ser demasiado fácil para algunos atacantes
DDoS. La proliferación de servicio de Internet de banda ancha ha estimulado los ataques DDoS.
Millones de usuarios hogareños tienen ahora conexiones permanentes de alta velocidad a Internet.
Los usuarios hogareños son notablemente susceptibles a virus de e-mail. Abriendo un adjunto de
e-mail, el usuario puede involuntariamente convertir su PC hogareña en un zombie. Las
computadoras de la universidad y otras redes escolares también son probables candidatos a
convertirse en zombies. Las redes de los campus son notablemente grandes y difíciles de
administrar. Muchas redes escolares sufren de políticas de seguridad laxas, acceso inalámbrico
inseguro, y acceso sin regulación de los alumnos.

14.2.6 Explotaciones bien conocidas

Los ataques DoS se concentran principalmente en debilidades extendidas comunes a muchas


implementaciones de TCP/IP. Los ataques externos también pueden concentrarse en software

17
Módulo 14: Seguridad de red

específico del sistema, incluyendo el mismo NOS. Cada combinación de NOS y software de
aplicación contiene su conjunto único de vulnerabilidades y debilidades.

Si un cracker es lo suficientemente habilidoso, conocedor y diligente, existe la posibilidad de que


algunos de los ataques contra un sistema específico eventualmente tengan éxito. La única medida
100 por ciento eficaz para protegerse contra ataques externos es desconectarse de las redes
externas. Afortunadamente, existen relativamente pocos crackers altamente habilidosos.

Muchos expertos en seguridad de redes están de acuerdo en que una de las amenazas más
significativas a la seguridad de la red proviene de individuos con herramientas sofisticadas. No
obstante, estos individuos poseen capacidades técnicas relativamente débiles. Estos individuos se
denominan a menudo "script kiddies". Script kiddy es un término negativo usado para describir a
individuos inmaduros que usan scripts, programas de software o técnicas creadas por otros
crackers más habilidosos. Los script kiddies pueden ser incluso más peligrosos que sus
contrapartes más refinadas. Los script kiddies probablemente no comprendan las consecuencias
de lo que están haciendo. Por lo tanto, un script kiddy puede atacar al azar docenas de sistemas
para divertirse.

Los script kiddies y crackers novicios recurren a sitios web para hackers y chat rooms para buscar
herramientas que puedan usarse para atacar blancos. Estas herramientas pueden ser simples
programas de software o incluso sólo un procedimiento que pueda usarse contra un blanco. Un
ataque específico se define a menudo como una explotación. Una explotación aprovecha las
debilidades del sistema.

Existen muchas explotaciones conocidas que se basan en los siguientes programas. Están
enumerados en la Figura .

18
Módulo 14: Seguridad de red

19
Módulo 14: Seguridad de red

14.2.7 Amenazas Internas

Las amenazas a la seguridad que se originan en el interior de una red pueden ser más dañinas que
las amenazas externas. Las amenazas internas son especialmente peligrosas y pueden a menudo
ser pasadas por alto por los administradores de red. Las computadoras que residen en la red
interna en general tienen un alto grado de acceso a los recursos internos. Además, los empleados
y usuarios en los que se confía es probable que tengan información crítica acerca de la red,
incluyendo contraseñas.

Las amenazas internas de alto perfil incluyen empleados desleales y disconformes que usan su
acceso interno para destruir, robar o alterar datos. No es posible protegerse completamente contra
estos tipos de ataques. No obstante, políticas de seguridad bien definidas pueden minimizar los
riesgos de este tipo de amenaza. Por ejemplo, las organizaciones deberán evitar usar sólo unas
pocas contraseñas para proteger todos los recursos informáticos. Las grandes compañías deberán
establecer procedimientos claros para quitar cuentas y contraseñas de usuario en el caso de que
un empleado deje la compañía.

La amenaza interna más dañina es el típico usuario final de una red. Usuarios finales inconscientes
pueden hacer caer una red abriendo sin cuidado adjuntos de e-mail, instalando software no

20
Módulo 14: Seguridad de red

autorizado, montando discos desde su casa, o incluso navegando por la web. La causa típica de
ataques internos es un usuario final que abre un adjunto de e-mail solamente para copiar un virus a
la computadora. Muchos virus prosperan en la red corporativa. Los virus de e-mail normalmente se
envían a sí mismos a cuentas listadas en libretas de direcciones de e-mail. Muchas corporaciones
mantienen listas de e-mails del personal cargadas en cada computadora, donde un virus puede
expandirse rápidamente a todos los miembros de una compañía. Los virus también pueden buscar
e infectar archivos y carpetas compartidos, que son comunes en redes corporativas.

Un problema creciente para las redes corporativas es la extensa popularidad de la mensajería


instantánea y de los archivos compartidos peer-to-peer. Los empleados pueden descargar software
de mensajería instantánea, como Microsoft Messenger o America Online (AOL) Instant Messenger.
El software de mensajería instantánea se usa para chatear en tiempo real con compañeros de
trabajo, amigos y familia. Otros usuarios pueden descargar software de archivos compartidos peer-
to-peer basado en Gnutella o alguna otra tecnología. Ambos programas, de mensajería instantánea
y de archivos compartidos peer-to-peer, pueden usarse para transferir archivos infectados por virus
a la computadora local. Ambos tipos de programas escuchan esperando conexiones que se
originan en Internet. El chat y las aplicaciones de archivos compartidos pueden ser vulnerables a
otras formas de explotación.

21
Módulo 14: Seguridad de red

14.3 Implementación de Medidas de Seguridad

14.3.1 Cifrado, auditoría y autenticación de archivos

Proteger los datos de la red a menudo requiere que se aplique una combinación de métodos de
seguridad. Esta sección examina cómo los datos sensibles pueden cifrarse, en archivos en el disco
o en paquetes que viajan a través de la red.

Las tecnologías disponibles para asegurar mensajes de e-mail son el foco de esta sección, puesto
que el e-mail es una de las aplicaciones de red más ampliamente usadas. Es también la forma de
comunicación por red que es más probable que contenga información confidencial. Esta sección
detalla cómo se implementan las medidas de seguridad y cómo estas medidas funcionan
realmente.

3DES
El cifrado es la transformación de datos en una forma que sea imposible de leer sin el conocimiento
o clave apropiada. 3DES es un criptosistema que puede cifrar y descifrar datos usando una única
clave secreta. DES (Estándar de Cifrado de Datos) fue originalmente desarrollado por IBM a
principios de los '70, aunque IBM lo llamó Lucifer. DES fue adoptado como estándar federal en
1976. No obstante, DES se hizo vulnerable a medida que las computadoras se hicieron más
potentes y simples. DES ya no es seguro y desde entonces se ha vuelto fácil de crackear. Por lo
tanto, NIST definió 3DES o Triple DES en 1999. 3DES usa tres etapas de DES por lo cual es
mucho más seguro y es suficiente para la mayoría de las aplicaciones actualmente.

DES es un cifrado de bloque, lo cual significa que actúa sobre un bloque de longitud fija de texto
llano y lo convierte en un bloque de texto cifrado del mismo tamaño usando la clave secreta. En
DES, el tamaño del bloque para el texto llano es de 64 bits. La longitud de la clave es también de
64 bits pero 8 bits se usan para paridad. De ahí que la longitud de clave eficaz es sólo de 56 bits.
En 3DES, se aplican 3 etapas de DES con una clave separada para cada etapa. Por lo tanto, la
longitud de la clave en 3DES es de 168 bits. El descifrado se hace aplicando la transformación
inversa al bloque de texto cifrado usando la misma clave. DES es conocido como cifrado de clave
simétrica porque la misma clave se usa tanto en el cifrado como en el descifrado. 3DES tiene
muchas ventajas y desventajas que se enumeran a continuación.

• Ventajas:
• Es fácil de implementar tanto en hardware como en software en comparación con
otros algoritmos.
• Está basado en DES que es un cifrado muy confiable. DES ha sido estudiado
exhaustivamente durante más de 25 años y ha probado tener una base segura
aunque la longitud de la clave es demasiado pequeña ahora.
• Es mucho más rápido que los métodos de criptografía de clave pública, como el
método RSA. Ésta es una de las principales ventajas de usar un sistema como
3DES.
• Desventajas:
• Algoritmos más modernos son mucho más rápidos que 3DES ya que fueron
construidos mucho después y con desempeño como objetivo.
• La transmisión de la clave secreta entre usuarios es insegura. Es en esto donde
sobresale la criptografía de clave pública.
• El nuevo estándar AES ha sido especificado, por lo cual la mayoría de los sistemas
probablemente se pasarán a él pronto.

Como se mencionó anteriormente, DES ya no es seguro y 3DES es sólo un arreglo temporal.


Desde entonces NIST ha publicado el AES (Estándar de Cifrado Avanzado) en 2001.

22
Módulo 14: Seguridad de red

El AES ahora formalmente reemplaza al 3DES como estándar de cifrado. 3DES es un algoritmo de
cifrado muy bien estudiado basado en DES. Puede otorgar un nivel aceptable de seguridad dada la
potencia de computación actual. No obstante, otros algoritmos potentes se han desarrollado, que
ofrecen muchas funciones que 3DES no ofrece. Por lo tanto, ha sido reemplazado por AES como
estándar de cifrado aunque probablemente aún estará en uso durante un tiempo futuro.

Autenticación
La autenticación proporciona varios métodos para identificar usuarios incluyendo los siguientes:

• Diálogo de inicio de sesión y contraseña


• Desafío y respuesta
• Soporte de mensajería

Existen varios tipos diferentes de métodos de autenticación en un servidor Linux. Por ejemplo,
cuando el servidor detecta una conexión Telnet entrante, el servidor autentica el nombre de usuario
y contraseña o cuando el servidor detecta una conexión PPP entrante, el servidor autentica el
nombre de usuario y la contraseña. Un nombre de usuario y contraseña que autentican
exitosamente para un tipo de acceso pueden no funcionar para otro. Un usuario puede ser capaz
de establecer una conexión PPP pero puede no estar autorizado para una conexión telnet o
viceversa. Un servidor Linux puede utilizarse para autenticar varios tipos de conexiones, incluyendo
autenticación CHAP y PAP para conexiones PPP. Tratar completamente el campo completo de las
capacidades de autenticación estaría más allá del alcance de este curso. Los siguientes párrafos
tratarán el uso de la autenticación CHAP y PAP para una conexión PPP.

Mantener seguro su vínculo PPP es muy importante. Permitir que cualquiera se conecte al servidor
PPP es tan malo como dejar que cualquiera pusiera una máquina directamente en su red. PPP
proporciona una conexión IP directa, eficazmente poniendo a las máquinas de ambos extremos del
enlace en la misma red.

Dos protocolos de autenticación han sido desarrollados para hacer a PPP más seguro - el
Protocolo de Autenticación de Contraseña (PAP) y el Challenge Handshake Authentication Protocol
(CHAP). Cuando se está estableciendo una conexión PPP, cada máquina puede solicitar a la otra
que se autentique. Esto permite un control completo de quién puede usar su servicio PPP. CHAP
es el protocolo más seguro y es el que se trata aquí.

CHAP usa un conjunto de claves secretas, que son cadenas de texto que son mantenidas en
secreto por los propietarios de las máquinas que usan CHAP y un sistema de desafío cifrado para
autenticarse entre sí. Una característica útil de CHAP es que periódicamente emite solicitudes de
desafío mientras el enlace PPP está activo. Esto, por ejemplo, puede detectar intrusos que han
reemplazado al usuario legítimo cambiando las líneas telefónicas.

Las claves secretas para CHAP se almacenan en el archivo /etc/ppp/chap-secrets. Para usar la
autenticación en su enlace PPP, se agrega la opción auth a la llamada a pppd y se agrega la
información apropiada para el host que está siendo autenticado en el archivo chap-secrets.

Auditoría
Auditoría en lo que se refiere al mundo de las computadoras y el networking es software que corre
en un servidor y genera un informe mostrando quién ha accedido al servidor y qué operaciones han
llevado a cabo los usuarios durante un periodo determinado. Los rastreos de auditoría son útiles
tanto para mantener la seguridad como para recuperar datos perdidos. La mayoría de los sistemas
de cuentas y base de datos incluyen un componente de rastreo de auditoría. Además, hay
productos de software de rastreo de auditoría separados que permiten a los administradores de red
monitorear el uso de los recursos de red.

23
Módulo 14: Seguridad de red

Un software de auditoría gratis y fácil de instalar es LSAT (Herramienta de Auditoría de Seguridad


de Linux). LSAT es un auditor de seguridad post-instalación para sistemas Linux y UNIX. Verifica
muchas configuraciones del sistema y configuraciones de red locales en el sistema para errores de
seguridad y configuración y para paquetes que no son necesarios. LSAT es estrictamente una
herramienta de auditoría, y no mejora la seguridad en el servidor en sí. LSAT tan sólo informará
acerca de posibles defectos de seguridad en la configuración del sistema.

LSAT puede descargarse gratis e instalarse de manera bastante fácil. Los siguientes pasos
describen cómo instalar y configurar LSAT.

1. Descargue y descomprima el archivo tar del directorio /usr/local/bin.


2. Ejecute el siguiente comando para compilar el programa.

cd lsat-[versión]
./configure
Make

14.3.2 Sistemas de Detección de Intrusiones

24
Módulo 14: Seguridad de red

Un Sistema de Detección de Intrusiones (IDS) es hardware o software que es responsable de


detectar datos inapropiados, insospechados, u otros que pueden considerarse no autorizados y
que están apareciendo en una red. Un IDS inspecciona toda la actividad de la red e identifica
patrones sospechosos que pueden indicar un ataque de alguien que intenta irrumpir en o
comprometer un sistema. Un IDS es diferente a un firewall. Un firewall limita el acceso entre redes
para evitar la intrusión, pero no señala un ataque o aparición no autorizada con origen dentro de la
red. Un IDS evalúa una intrusión sospechada una vez que ha tenido lugar y emite una alarma. Un
firewall se configura para permitir o denegar el acceso a un servicio o host en particular basándose
en un conjunto de reglas en la frontera de la red. Con un firewall, si el tráfico coincide con un patrón
aceptable, se permite independientemente de lo que contenga el paquete. Sin embargo, un IDS
captura e inspecciona todo el tráfico, independientemente de si es permitido o no. Basándose en el
contenido de los paquetes, a nivel IP o de la aplicación, se generaría una alerta si la aparición es
permitida en la red.

Snort
Snort es un IDS de red en tiempo real basado en software que puede usarse para notificar a un
administrador de un intento de intrusión. En el pasado, los dispositivos IDS eran productos
comerciales de uso dedicado, o no en tiempo real y difíciles de instalar. Snort es un IDS alternativo
de gran utilidad para monitorear pequeñas redes TCP/IP donde no es eficaz en materia de costos
implementar un dispositivo comercial dedicado.

El servidor IDS puede ubicarse fuera del firewall de una organización entre el firewall y la red
externa, o no confiable. Esto permite que snort detecte no sólo los ataques que pueden atravesar
el firewall, sino también aquéllos bloqueados por el firewall. La presencia de switches, routers y
firewalls tendrán todos un efecto en la ubicación correcta del servidor. Debe tomarse una decisión
en cuanto a qué segmento de la red capturará el tráfico que realmente se desea monitorear. La
ubicación del IDS del lado local del firewall permitirá al IDS monitorear el tráfico que el firewall ya
ha determinado como permisible, pero no necesariamente inofensivo. Esto, por supuesto, no
capturará el tráfico que el firewall ya ha bloqueado, potencialmente escaneos de puerto falsos,
sondeos y otros tipos de ataque.

Snort puede instalarse en un servidor con una interfaz de red única o dual. En una instalación de
interfaz única la interfaz que escucha el tráfico de red es la misma desde la cual se lleva a cabo la
administración, como muestra la Figura . Ésta es una configuración ideal para usuarios de redes
hogareñas y administradores que monitorean redes internas. En una configuración de interfaz dual,
una interfaz se usa para escuchar el tráfico de red mientras que la otra se usa para administración
remota, como lo muestra la Figura . Este tipo de configuración se usa en entornos donde no es
posible administrar la casilla desde la misma interfaz que está escuchando el tráfico de red. En
esta configuración, la interfaz externa deberá estar bien protegida y la casilla diseñada
explícitamente con este propósito. La casilla no deberá ofrecer ningún servicio de red excepto ssh
en la interfaz interna solamente.

Para instalar Snort, descargue los paquetes RPM de un vínculo web ubicado más abajo. Una vez
instalado snort, descargue el último archivo de reglas. Los archivos de reglas pueden descargarse
desde la página web de Snort localizada en el vínculo web más abajo. Antes de que snort pueda
iniciarse, deben definirse algunas variables. También incluido en el RPM de snort hay un archivo
llamado rules.base, que es un archivo corto que contiene unas pocas variables que definen las
redes internas y externas, hosts de los que snort deberá ignorar escaneos de puerto, y qué redes
snort deberá observar en busca de escaneos de puerto. En el archivo rules.base , será necesario
introducir la información para las redes INTERNA y EXTERNA y los servidores DNS desde los
cuales disparar la detección de escaneos de puerto.

PortSentry
PortSentry es un detector de escaneos de puerto que puede configurarse para vincular a puertos
que desea monitorear. El método más fácil para instalar PortSentry es descargar e instalar el RPM

25
Módulo 14: Seguridad de red

del Vínculo de Seguridad Linux ubicado más abajo. La configuración de PortSentry consiste en
editar el archivo portsentry.conf en el cual se introducen los números de puerto que desea que
monitoree PortSentry.

Es altamente recomendable usar Snort en lugar de un detector de escaneos de puerto como


PortSentry que se vincula a puertos. Por muchas razones es una mala idea usar PortSentry porque
publica servicios (usualmente aquéllos que se conocen como vulnerables, que es la razón por la
que PortSentry se vincula a ellos en primer término) que no están ahí, publicando su servidor a
intrusos. Esto lo obliga a usar las contramedidas de PortSentry. Las contramedidas de PortSentry
incluyen enrutar el escáner de puertos a un agujero negro o usando una regla de firewall para
bloquear al atacante.

En una máquina no Linux PortSentry no verá escaneos de puerto dirigidos a puertos con servicios
ya en funcionamiento. La razón para ello es que cuando un servicio ya está vinculado a ese puerto,
PortSentry no puede vincularse también a él. Esto significa que si un atacante escanea un sitio
específico en lugar de un escaneo de amplio espectro, PortSentry no sabrá nada sobre ello. Esta
clase de escaneo es más común y usualmente más peligrosa. Un atacante podría tener los sitios
raíz Bind y Wu-ftpd, y tener un script sólo a estos 2 puertos a lo largo de una subred e intentar
explotarlos. En cualquier máquina que ejecuta versiones vulnerables de uno o dos de estos
servicios se estará dejándolos desprotegidos y PortSentry continuará diciendo que todo está bien.

PortSentry sería adecuado para el usuario hogareño pero no se lo recomienda como IDS para una
gran red corporativa. Hay varias razones para ello incluyendo el hecho de que PortSentry publica
puertos comúnmente explotados que no están ahí, alentando así a los hackers a intentar
hackearlo, el bloquear IPs dinámicamente, y su pobre desempeño contra ataques furtivos.

26
Módulo 14: Seguridad de red

27
Módulo 14: Seguridad de red

28
Módulo 14: Seguridad de red

14.3.3 Seguridad IP

El cifrado de archivos protege los datos almacenados en un disco. No obstante, el cifrado de


archivos no ofrece seguridad para los datos que se envían por la red. El protocolo Seguridad IP
(IPSec) fue desarrollado para remediar esta desventaja. IPSec asegura los datos a nivel del
paquete. Puesto que IPSec trabaja en la capa de red del modelo de referencia de Interconexión de
Sistemas Abiertos (OSI), las aplicaciones no están al tanto de él. Cisco Systems incluye soporte
para IPSec en sus routers. Windows 2000 incluye IPSec en su pila TCP/IP.

Encabezado de Autenticación (AH) y Encapsulamiento de la Carga de Seguridad (ESP) son dos


protocolos usados por IPSec. El Encabezado de Autenticación (AH) habilita la verificación de la
identidad del emisor. Encapsulamiento de la Carga de Seguridad (ESP) asegura la confidencialidad
de los datos en sí. Estos dos protocolos pueden usarse separadamente o juntos.

IPSec puede operar en modo de transporte o en modo túnel como lo muestra la Figura . No
obstante, los encabezados de los paquetes diferirán. El modo de transporte proporciona una
seguridad de extremo a extremo. Esto significa que el cifrado está en su lugar desde la
computadora de origen a la computadora de destino. El modo túnel protege los datos desde el
punto de salida de una red al punto de entrada de otra.

29
Módulo 14: Seguridad de red

14.3.4 Secure Sockets Layer (SSL)

Secure Sockets Layer (SSL) es otra forma de asegurar las comunicaciones en la red. La
desventaja de SSL es que puesto que opera en la capa de aplicación, debe ser soportada por la
aplicación del usuario. La Figura explica cómo funciona SSL.

SSL fue desarrollado por Netscape para proporcionar seguridad para su navegador web. Usa
cifrado de clave pública y privada. El cifrado de clave pública y privada se trata en una sección
posterior.

30
Módulo 14: Seguridad de red

14.3.5 Seguridad en e-mails

Muchos usuarios de computadoras tienen un falso sentido de seguridad respecto a las


comunicaciones de red en general. Los mensajes de e-mail son un problema particular en este
caso. Los usuarios suponen que sólo el recipiente de un e-mail puede leer el mensaje. Los
usuarios de e-mail se comportan como si tuvieran la misma expectativa de privacidad al enviar un
e-mail que la que tienen al enviar una carta mediante el sistema postal. Una expectativa más
precisa supondría que el e-mail es como una postal que puede ser leída por cualquiera que la
manipula durante su viaje de emisor a destinatario.

Los mensajes d e-mail son muy fáciles de interceptar como lo muestra la Figura . A menudo
viajan a través de docenas de nodos o servidores en su ruta de emisor a destinatario. Cuando un
mensaje se envía a alguien dentro de la red local, una copia del mensaje se almacena en al menos
tres máquinas. Estas máquinas incluyen la computadora del emisor, la computadora del
destinatario, y el servidor de correo interno. El e-mail enviado por Internet puede atravesar varios
servidores también. A menos que esté cifrado o firmado digitalmente, el mensaje puede ser
fácilmente leído, copiado o alterado en cualquier punto del camino.

31
Módulo 14: Seguridad de red

32
Módulo 14: Seguridad de red

33
Módulo 14: Seguridad de red

14.3.6 Cifrado de clave pública/privada

Aunque a menudo se lo denomina cifrado de clave pública, el término más preciso es cifrado de
clave pública/privada. Esto se debe a que este tipo de cifrado usa dos claves. Una clave es
publicada y es ampliamente disponible. La otra clave es privada y conocida sólo por el usuario.
Ambas claves se requieren para completar la comunicación segura. Este tipo de cifrado, como lo
ilustra la Figura , también se denomina cifrado asimétrico.

En este tipo de cifrado, cada usuario tiene tanto una clave pública como una privada, llamadas par
de claves. El siguiente ejemplo trata el uso del cifrado público/privado.

Carol y Ted intercambian sus claves públicas. No importa que sea de manera insegura, porque los
mensajes no pueden descifrarse con sólo la clave pública.

Carol desea enviar un mensaje a Ted, por lo tanto cifra el mensaje usando la clave pública de Ted.
Una clave pública está asociada sólo con una única clave privada. Para descifrar un mensaje que
se cifró usando una clave pública, se requiere la clave privada asociada a ella. Lo inverso también
se aplica. Para descifrar un mensaje que se cifró usando una clave privada, se requiere la clave
pública asociada a ella.

34
Módulo 14: Seguridad de red

Ted, usando su clave privada, puede descifrar el mensaje ya que fue cifrado usando su clave
pública. Note que solamente las claves de Ted, pública y privada, se usaron en este proceso de
cifrado.

Si Carol hubiera cifrado el mensaje usando su clave privada, cualquiera podría descifrar el mensaje
usando su clave pública, que está disponible para todo el mundo.

Ambas claves del mismo par de claves deben usarse para que este cifrado funcione, y no hay
necesidad de que nadie sepa la clave privada de nadie. Una buena forma de comprender este tipo
de cifrado es pensar en las dos piezas de información requeridas para entrar a una casa protegida
por una cerradura de combinación digital. Si alguien desea entrar a la casa, deben conocerse tanto
la dirección de la calle como la secuencia de números para introducirlas en el dispositivo de
cerradura. La dirección es información pública que se publica en la guía telefónica. Está disponible
para cualquiera, así como la clave de cifrado pública del usuario está disponible para cualquiera.
La combinación de la cerradura es análoga a la clave privada del usuario. Solamente el dueño de
casa la conoce. Ambas claves son únicas para esa casa en particular, pero una es conocida
públicamente mientras que la otra se mantiene en secreto.

35
Módulo 14: Seguridad de red

14.4 Aplicación de Patches y Actualizaciones

14.4.1 Búsqueda de patches y actualizaciones

Verifique con el sitio web del fabricante para buscar los últimos patches de seguridad y otras
actualizaciones. Haga esta verificación como parte de un mantenimiento de rutina. Los patches son
arreglos para código de software existente. Un fabricante de NOS en general proporciona patches
de seguridad. Estos patches están disponibles una vez que las vulnerabilidades o incluso
vulnerabilidades potenciales se descubren y arreglan. Dependiendo del desarrollador del software,
los patches pueden llamarse "actualizaciones". El término actualización es un término vago que
puede usarse para describir un arreglo de seguridad, o una actualización completa de una
aplicación.

Microsoft ahora incluye la opción de usar software llamado Windows Update con sus sistemas
operativos. Esto también incluye a Windows 2000 Server como lo muestra la Figura . Windows
Update verifica periódicamente patches de software y actualizaciones contactándose con Microsoft
a través de Internet. Cuando se encuentran actualizaciones de software disponibles, Windows
Update puede alertar al usuario. Windows Update también puede configurarse para descargar e
instalar automáticamente el nuevo software. La instalación automática tiene sentido para la
mayoría de los usuarios hogareños. No obstante, los administradores de sistemas por lo común
prefieren llevar a cabo todas las instalaciones manualmente.

Los fabricantes de NOS pueden ofrecer actualizaciones parciales o completas del sistema
operativo. A diferencia de los patches de seguridad, las actualizaciones pueden cambiar
significativamente la forma en que un OS maneja una tarea en particular. Por ejemplo, una
actualización puede incluir un navegador web enteramente nuevo.

36
Módulo 14: Seguridad de red

14.4.2 Selección de patches y actualizaciones

Los fabricantes de software recomiendan instalar patches de seguridad para el software


inmediatamente. Esto se hace para reducir la exposición a vulnerabilidades conocidas. Los
fabricantes de software lanzan actualizaciones de seguridad tan pronto como están disponibles.
Periódicamente, los fabricantes de software recolectarán un grupo de actualizaciones de seguridad
y las empaquetarán en una actualización más grande. Microsoft llama a estas colecciones de
arreglos de bug y actualizaciones de seguridad Service Packs.

La mayoría de las actualizaciones y patches de seguridad deberán instalarse. No obstante, podría


haber circunstancias donde la actualización no está garantizada. Comprender el efecto en el
sistema ayudará a determinar si una actualización, arreglo o patch es necesario. Tenga precaución
antes de instalar un patch de software en un servidor de producción. Un patch o actualización del
fabricante de software puede estar escrito específicamente para arreglar un problema de
seguridad. El patch muy probablemente no afectará adversamente al sistema de producción. No
obstante, los fabricantes de software colocan arreglos a la seguridad y a bugs junto con las
actualizaciones de software importantes. Las actualizaciones de software importantes no deberán
instalarse en un servidor de producción sin probar los resultados primero.

Como regla, el nuevo software deberá cargarse en un servidor de prueba y verificar si no hay

37
Módulo 14: Seguridad de red

problemas de compatibilidad. En el caso de actualizaciones de seguridad de pequeño tamaño y


muy enfocadas, probar no es esencial, pero se lo recomienda. Revisiones o actualizaciones
importantes de software siempre deberán probarse para evitar tiempo de inactividad de la red. Esto
se hace en caso de un problema de compatibilidad.

14.4.3 Aplicación de patches y actualizaciones

Periódicamente, los fabricantes de NOS emiten actualizaciones de sus sistemas operativos de red.
Los sitios web que proporcionan información acerca de actualizaciones y patches se enumeran en
la Figura . Estas actualizaciones usualmente arreglan bugs o cierran agujeros en la seguridad
que han sido encontrados en la versión lanzada del OS. Descarga las actualizaciones desde el sitio
web del fabricante del sistema operativo de red. Para instalar la actualización, siga las
instrucciones del fabricante del sistema operativo de red. Antes de instalar la actualización,
asegúrese de haber realizado una copia de respaldo completa. Esto es vital incluso si la
actualización ha sido probada en otro sistema. Tenga en cuenta que algunas aplicaciones de red
tales como, Microsoft Exchange Server o un servidor de e-mail, requieren la instalación de un nivel
específico de service pack. Identifique el nivel de service pack antes de instalar la aplicación de

38
Módulo 14: Seguridad de red

red. Tal actualización se requiere para que la aplicación de red opere correctamente.

Es importante mantener un registro de los patches y actualizaciones instalados en el sistema.


Mantenga un libro de registros para cada servidor NOS y registre cualquier cambio en la
configuración del sistema. Esto incluye la instalación de patches de seguridad y service packs.

39
Módulo 14: Seguridad de red

14.5 Firewalls

14.5.1 Introducción a los firewalls y proxies

La defensa clave contra atacantes de Internet es un firewall de Internet. Un firewall es software,


hardware especializados, o una combinación de los dos. El propósito de un firewall de Internet es
evitar que paquetes IP no deseados o maliciosos lleguen a una red segura.

Durante la pasada década, la tecnología de firewall ha evolucionado significativamente. Los


primeros firewalls filtraban los paquetes basándose en la información de direccionamiento. Estos
firewalls estaban construidos y eran mantenidos por grandes organizaciones. Los OSs de escritorio
de hoy como Windows XP, incluyen capacidades de firewall incorporadas dirigidas hacia el usuario
hogareño promedio. La creciente cantidad de explotaciones de hackers y gusanos de Internet
hacen a la tecnología de firewall un aspecto esencial de cualquier red empresarial.

El término firewall se usa libremente para referirse a varios enfoques diferentes para proteger
redes, como se describe en las siguientes secciones.

Filtros de Paquetes
En general, un firewall de Internet es un host que se ejecuta en software de filtrado de paquetes IP.
La mayoría de las LANs ejecutan filtros de paquetes IP en un router o host especializado. Un host
especializado que también lleve a cabo enrutamiento. Los usuarios hogareños pueden ejecutar
filtrado de paquetes IP en un sistema final, como una PC Windows.

Listas de Control de Acceso (ACLs)


Los filtros de paquetes son llamados en ocasiones listas de control de acceso (ACLs). Un filtro de
paquetes comienza con una lista de reglas. Las reglas le indican al router o host cómo manipular
paquetes que cumplan con los criterios especificados. Por ejemplo, un paquete que coincida con
una dirección de origen en particular puede descartarse, enviarse o procesarse de alguna manera
especial. Existen varios aspectos de los criterios coincidentes comunes:

• Dirección IP, origen y destino


• Número de puerto TCP/UDP (Protocolo de Datagramas del Usuario), origen y destino
• Protocolo de capa superior, HTTP, FTP, etcétera

Un host configurado con un filtro de paquetes IP verifica los paquetes que entran o salen de una
interfaz o interfaces especificadas. Basándose en las reglas definidas, el host puede descartar un
paquete o aceptarlo. Este enfoque también se refiere al envío basado en reglas. Usando este
enfoque, los administradores pueden configurar los routers para que descarten paquetes no
deseados o potencialmente dañinos. Los administradores configuran los routers antes de que los
paquetes lleguen a la LAN segura.

Servicios Proxy
En networking, un proxy es software que interactúa con redes externas para beneficio de un host
cliente. La Figura ilustra el servidor proxy que responde a estaciones de trabajo. La Figura
ilustra un servidor proxy con servidores web internos. Por lo común, los hosts cliente de una LAN
segura solicitan una página web de un servidor que ejecuta servicios proxy. El servidor proxy
después sale a Internet para conseguir la página web. La página web se copia entonces al servidor
proxy. Este proceso se denomina caching. Finalmente, el servidor proxy transmite la página web al
cliente. Usando los servicios de un proxy, el cliente nunca interactúa directamente con hosts
externos. Esto protege a los clientes de amenazas potenciales provenientes de Internet. Los
administradores pueden configurar servidores proxy para rechazar ciertas solicitudes del cliente o
respuestas externas de Internet. Por ejemplo, las escuelas pueden usar servidores proxy para
controlar a qué sitios web puede accederse. Puesto que todas las solicitudes web van dirigidas al

40
Módulo 14: Seguridad de red

proxy, los administradores tienen un estrecho control sobre qué solicitudes se cumplen. Microsoft
tiene un servicio de proxy abarcativo para su NOS, llamado Microsoft Proxy Server 2.0.

Los servidores proxy trabajan para aislar las LANs y proteger los hosts de amenazas externas. La
capacidad de servidor proxy para guardar páginas web en su caché es importante. El beneficio es
el uso de un servicio proxy para HTTP. Varios clientes pueden acceder al contenido HTTP con un
tiempo de respuesta significativamente mejorado. Responsable de esto es el almacenar en la
caché el contenido HTTP al que se accede frecuentemente.

Traducción de Direcciones de Red (NAT)


La Traducción de Direcciones de Red (NAT) es un proceso que se ejecuta en un router. Por lo
común, un router actúa como gateway a Internet. Un router que ejecuta NAT reescribe la
información de direccionamiento contenida en los paquetes IP. Los administradores usan NAT para
alterar la dirección de origen de paquetes que se originan en una LAN segura. Esto permite
direccionar las LANs seguras usando direcciones IP privadas como muestra la Figura .

Las direcciones IP privadas no se enrutan a Internet. Un hacker externo no puede alcanzar


directamente una computadora con una dirección privada. Por supuesto, los hosts con direcciones
IP privadas no pueden tampoco llegar directamente a los hosts de Internet. No obstante, un router
NAT puede llevar un paquete que se origina en un host con una dirección privada. El router NAT
luego reemplaza la dirección IP del paquete por una dirección pública, globalmente enrutable. El
router NAT registra esta traducción de direcciones en una tabla. Una vez reescrita la información
de direccionamiento, el router NAT envía el paquete hacia el host de destino. Cuando el destino
externo responde, el paquete de respuesta es enrutado nuevamente al router NAT. El router NAT
luego consulta la tabla de traducción. Basándose en las entradas de la tabla, el router NAT
reescribe la información de direccionamiento. Una vez que la dirección es reescrita, el paquete
puede enrutarse nuevamente al host original, direccionado privadamente.

NAT a menudo se implementa en conjunción con servicios proxy y/o filtros de paquetes IP.
También se está convirtiendo en una tecnología importante en hogares y pequeñas oficinas. Esto
se debe a que NAT permite que cientos de computadoras "tomen prestada" una única dirección IP
pública y globalmente enrutable. Este proceso se denomina a veces NAT "de muchos a uno",
sobrecarga de direcciones, o traducción de direcciones de puerto (PAT). Sistemas operativos de
escritorio populares incluyen servicios NAT incorporados tales como, Microsoft Windows Internet
Connection Sharing. Los servicios NAT también se incluyen en los NOSs. Linux usa el programa
ipchains para llevar a cabo NAT. Otros programas NAT son ip masquerade y natd.

Algunos expertos hacen una distinción entre NAT y un firewall. Otros consideran a NAT como parte
de una solución de firewall abarcativa. Independientemente de ello, una NAT puede tener el efecto
de proteger la red de un ataque. Esto se debe a que los extraños pueden no ser capaces de enviar
paquetes directamente a blancos internos, o usar técnicas de escaneo para mapear la red interna.

41
Módulo 14: Seguridad de red

42
Módulo 14: Seguridad de red

43
Módulo 14: Seguridad de red

14.5.2 Filtrado de paquetes

La solución de firewall más básica es un filtro de paquetes IP. Para configurar un filtro de paquetes,
un administrador de red debe definir las reglas que describan cómo manipular los paquetes
especificados. Un ejemplo de un conjunto de reglas, o lista de acceso, se muestra en la Figura .

En un principio se filtraban los paquetes basándose en la información de direccionamiento


contenida en el encabezado del paquete. Es decir, la dirección IP de origen y destino. En el
momento el encabezado del paquete IP operaba en la capa 3 del modelo OSI. Al mismo tiempo,
los filtros de paquetes funcionaban solamente en la capa 3.

Posteriormente, los filtros de paquetes estuvieron diseñados para basar sus decisiones en la
información contenida en el encabezado TCP o UDP, en la capa 4. Tanto TCP como UDP usan
números de puerto para direccionar aplicaciones específicas que se ejecutan en un host. Las listas
de acceso de capa 4 pueden configurarse para permitir o denegar paquetes. Esta configuración se
basa en puertos de origen o destino así como en información de la dirección IP. Por ejemplo, una
lista de acceso de capa 4 puede configurarse para permitir tráfico destinado a una IP específica del
puerto 80. Éste es un puerto bien conocido que los servidores de web escuchan.

44
Módulo 14: Seguridad de red

El firewall también puede configurarse para examinar los bits de código TCP. Los seis bits de
código TCP se usan para establecer conexiones entre hosts usando un handshake de tres vías. Un
firewall de capa 4 puede identificar si un paquete es la primera parte de un handshake de tres vías
o parte de una conexión ya establecida. En otras palabras, el firewall puede mantener afuera el
tráfico no invitado, a la vez que permite entrar al tráfico invitado. Esta técnica solamente funciona
con TCP, porque el firewall está examinando los bits de código TCP.

Un firewall tiene que ser inteligente. El firewall debe poder mantener afuera el tráfico UDP no
invitado a la vez que permite entrar al tráfico UDP invitado. Además, puede usarse un IP sin TCP y
UDP en la capa 4. Por ejemplo, un ping ICMP no usa un encabezado de capa 4. No hay forma de
determinar si un datagrama es parte de una conexión establecida. Esto se debe a que IP y UDP
son ambos sin conexión. No hay conexión establecidas con estos protocolos. Como recordatorio,
un datagrama es un paquete IP sin encabezado TCP.

El software de firewall debe suponer qué tráfico sin conexión es invitado y qué tráfico sin conexión
no lo es. Los firewalls inteligentes lo hacen monitoreando qué tipo de tráfico sin conexión se origina
en la LAN segura. Los puertos UDP de origen y destino se anotan y almacenan en una tabla. Las
direcciones IP de origen y destino también se anotan y almacenan en un tabla. Un firewall puede
detectar tráfico sin conexión que parece ser invitado. Cuando se hace esta detección los puertos
UDP y las direcciones IP coinciden con un flujo de tráfico recientemente detectado proveniente de
un host interno. El firewall entonces deja pasar el tráfico. Este tipo de filtrado de paquetes se llama
filtrado de paquetes stateful. Se llama así porque el firewall mantiene un rastreo de estado [state]
de las conversaciones, pero sólo durante un corto periodo. Ese periodo puede a veces ser de unos
pocos segundos. Esos firewalls son dinámicos. Las reglas que se usan para determinar qué
paquetes se permiten en una red varían. Se basan en los flujos de tráfico que se originan en los
hosts internos.

La forma más abarcativa de filtrado de paquetes examina no sólo los encabezados de capa 3 y 4,
sino también los datos de aplicación de capa 7. Los firewalls de capa 7 buscan patrones en el
payload del paquete. Esto se hace en un esfuerzo por determinar qué aplicación se está usando,
como HTTP, FTP, etcétera. El filtrado de paquetes stateful de capa 7 tiene muchas ventajas. Esto
incluye la capacidad de filtrar una aplicación en particular independientemente del número de
puerto TCP o UDP utilizado. No obstante, este tipo de filtrado de paquetes solamente funciona con
software preprogramado para reconocer una aplicación determinada. Además, este tipo de filtrado
de paquetes agrega una significativa cantidad de retraso y sobrecarga al proceso de enrutamiento.

45
Módulo 14: Seguridad de red

14.5.3 Ubicación del firewall

Saber dónde implementar un firewall de Internet es tan importante como saber cómo configurar las
reglas de filtrado de paquetes.

La Figura muestra la ubicación clásica del firewall. Un router fronterizo conecta la LAN
empresarial a su ISP o Internet. La interfaz LAN del router fronterizo conduce a una red diseñada
para el acceso público. Esta red contiene servidores NOS que proporcionan la World Wide Web, e-
mail y otros servicios a la Internet pública. Esta red pública se conoce a veces como "LAN sucia" o
"LAN de sacrificio". La red pública se denomina en estos términos porque las solicitudes públicas
se permiten en la red. También se la denomina comúnmente como la Zona Desmilitarizada (DMZ).
La DMZ actúa como área de buffer. El router fronterizo deberá incluir un filtro IP que proteja contra
vulnerabilidades obvias. Por ejemplo, el protocolo de administración, SNMP, no deberá permitirse
en la red desde el exterior. Los servidores NOS de la DMZ deberán estar configurados
estrictamente. El router fronterizo deberá permitir sólo tipos específicos de tráficos a estos
servidores. En la Figura , el router fronterizo deberá permitir solamente tráfico HTTP, FTP, correo
y relacionado con DNS.

Una solución de firewall dedicada, como Cisco Private Internet eXchange (PIX), conecta la DMZ a
la LAN protegida. Este dispositivo lleva a cabo filtrado IP adicional, filtrado stateful, servicios proxy,
NAT, o una combinación de estas funciones.

46
Módulo 14: Seguridad de red

La DMZ está diseñada para mantener limpia la red interna. El ejemplo mostrado en la Figura
presenta una configuración muy simple. Variaciones complejas de los principios aquí tratados son
comunes.

14.5.4 Soluciones de firewall comunes

Existen varias soluciones de firewall comunes que pueden usarse.

Un aparato es un dispositivo autónomo y fácil de configurar. El aparato de firewall más popular es


el Cisco PIX. El Cisco PIX incluye NAT y capacidad de filtrado de paquetes stateful en un aparato
único. El Firewall PIX es montable en un rack. El modelo elegido determina la cantidad de RAM y
memoria flash recibida. La Figura muestra el Firewall PIX 515. Los modelos 515 usan TFTP para
descargar la imagen y actualizar. Tiene un diseño de perfil bajo, 128.000 sesiones simultáneas, y
un throughput de 170 Mbps. La Figura muestra el Firewall PIX 520. Este modelo usan una
disquetera de 3,5 pulgadas para cargar la imagen y actualizar. Tiene un diseño de chásis
empresarial, 256.000 sesiones simultáneas, y un throughput de 240 Mbps. El Firewall PIX es
seguro desde un principio. Las configuraciones por defecto del Firewall PIX permiten todas las
conexiones de la interfaz interior acceder a la interfaz exterior. El Firewall PIX también puede
bloquear todas las conexiones de la interfaz exterior a la interfaz interior. El Firewall PIX necesita
sólo unos pocos procedimientos de instalación y una configuración inicial de seis comandos

47
Módulo 14: Seguridad de red

generales. El Firewall PIX es ahora operativo y listo para proteger la red. El Cisco PIX también
ofrece soporte para IPSec y VPN.

La mayoría de los routers pueden configurarse para que filtren paquetes y ejecuten NAT. El Cisco
IOS Firewall Feature Set proporciona filtrado de paquetes stateful. La Figura muestra un router
Cisco 3600 Series que tiene algunas capacidades de firewall.

Otra solución de firewall es un host UNIX. El host UNIX sirve como router, ejecutando software de
paquetes como ipfw, y/o NAT. Esta solución tiene una desventaja potencial. Es que el hardware y
software involucrados no están necesariamente optimizados para conmutar y filtrar paquetes. Por
lo tanto, esta opción puede no ser apta para una empresa que no puede tolerar alta latencia.

Los usuarios hogareños tienen una variedad de opciones de firewall disponibles, como ZoneAlarm
de Zonelabs, McAfee Firewall, o Norton Firewall de Symantec. Éstos son firewalls de software, que
se instalan en la máquina del hogar.

48
Módulo 14: Seguridad de red

49
Módulo 14: Seguridad de red

50
Módulo 14: Seguridad de red

14.5.5 Uso de un NOS como firewall

Los módulos anteriores han explicado cómo firewalls dedicado como los dispositivos Cisco PIX
proporcionan una solución de firewall filtrando paquetes, ejecutando NAT, o actuando como
servidor proxy. En grandes redes y otros entornos de elevado tráfico, un filtrado de paquetes y
solución NAT se recomienda. Los dispositivos dedicados como routers, firewalls, o ambos están
diseñados para conmutar paquetes y manipularlos muy rápidamente. Un NOS que se ejecuta en
hardware ordinario puede ser capaz de hacer el trabajo en una pequeña red o en un entorno de
bajo tráfico. No obstante, no es sin agregar latencia y sobrecarga al servidor.

En entornos de bajo tráfico, como pequeñas oficinas y redes hogareñas, una solución de firewall de
NOS es una buena opción. Linux puede usar ipchains e iptables para implementar un servidor
dedicado que actúe como gateway entre una red privada e Internet proporcionando así
capacidades de firewall. Esta configuración puede usarse para cualquier conexión de Internet ya
sea PPP de conexión telefónica, DSL, cable módem o una línea T1. En el caso de la mayoría de
las conexiones PPP de conexión telefónica y de las conexiones de cable módem, sólo una única
conexión IP se emite permitiendo sólo una computadora conectarse a Internet por vez, a menos
que un dispositivo como un router o servidor Linux configurado como router se configure como
gateway de Internet. Usando iptables, ipchains, y NAT, Linux puede configurarse como gateway, lo
cual permitirá que todas las computadoras de una red privada se conectan a Internet mediante el
gateway y un enmascaramiento de direcciones IP externas. Este concepto se introdujo

51
Módulo 14: Seguridad de red

previamente en este capítulo. Las iptables e ipchains de Linux también pueden configurarse de
modo tal que el servidor Linux actúe como firewall, proporcionando protección a la red interna. Hoy
la mayoría de las distribuciones de Linux usan iptables en lugar de ipchains y los últimos kernels
Linux usan iptables.

Hay varias cosas diferentes que se pueden hacer con iptables. Hay tres cadenas incorporadas
INPUT, OUTPUT y FORWARD que no pueden borrarse. Algunas operaciones comunes usadas
para manejar cadenas enteras figuran en la lista de abajo. Una lista más abarcativa puede
visualizarse usando el comando iptables -h. Esto mostrará la página de ayuda de iptables.

1. Crear una nueva cadena (-N).


2. Borrar una cadena vacía (-X).
3. Cambiar la política para una cadena incorporada (-P).
4. Enumerar las reglas de una cadena (-L).
5. Eliminar las reglas de una cadena (-F).
6. Poner en cero los contadores de paquetes y bytes en todas las reglas de una cadena (-Z).

Hay varias formas de manipular las reglas dentro de una cadena:

1. Agregar una nueva regla al final de una cadena (-A).


2. Insertar una nueva regla en alguna posición de una cadena (-I).
3. Reubicar una regla en alguna posición de una cadena (-R).
4. Borrar una regla en alguna posición de la cadena, o la primera que coincida (-D).

Cada regla especifica un conjunto de condiciones que el paquete debe cumplir, y qué hacer si las
cumple. Por ejemplo, se desean descartar todos los paquetes ICMP que provienen de la dirección
IP 10.0.0.1. Así, en este caso las condiciones son que el protocolo debe ser ICMP y la dirección de
origen debe ser 10.0.0.1. Nuestro objetivo es `DROP'. Para implementar esta regla se usaría el
siguiente comando donde -A se agrega al final de la cadena INPUT, paquetes de la red 10.0.0.1 (-s
127.0.0.1) con protocolo ICMP (-p icmp), y se desea descartar los paquetes (-j DROP).

# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP

Hay dos formas de borrar una regla. Si se conoce el número de regla, en este ejemplo sería
número 1 ya que es la única regla creada, se puede usar un borrado numerado. Para borrar la
regla número 1 de la cadena INPUT, use el siguiente comando.

# iptables -D INPUT 1

La segunda forma es emitir el mismo comando que se emitió al crear la regla, no obstante, esta
vez reemplazando la opción -A por -D. Esto es útil cuando se tiene una cadena de reglas compleja
y no se quiere contarlas para darse cuenta de qué número de regla específico necesita borrar.
Para borrar la regla específica sin indicar el número de regla use el siguiente comando:

# iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP

Se recomienda que si está configurando un servidor Linux como firewall para una compañía que el
servidor Linux es un sistema dedicado. Esto significa que las únicas responsabilidades del server
son ser un firewall. Con la cantidad de tráfico que el servidor tendrá que filtrar, la carga sería
demasiada para el servidor si se lo tuviera haciendo mucho más. Otra razón para esto es que por
lo común el firewall está configurado como frontera entre Internet y su red interna. No sería muy
inteligente, por razones de seguridad, ejecutar servicios como e-mail, DNS, o servidor de archivos

52
Módulo 14: Seguridad de red

en el mismo servidor que está usando como firewall. Típicamente, no verá un servidor siendo
usado como firewall. En la mayoría de los casos, firewalls avanzados como los dispositivos Cisco
PIX pueden llevar a cabo estas operaciones de filtrado de paquetes así como proporcionar
capacidades sólidas de firewall también. Usar un servidor Linux como firewall es una buena idea
para pequeñas compañías que no tienen grandes presupuestos y están interesadas en una forma
suplementaria de seguridad que no sea sólo un Gateway DSL/Cable.

53
Módulo 14: Seguridad de red

Resumen

El Microsoft Press Computer and Internet Dictionary define seguridad de red como, "los pasos
dados para proteger una computadora y la información que contiene". Algunos de los conceptos
importantes a retener de este módulo son los siguientes:

• Un primer paso al crear una política de seguridad para la red de una compañía es definir
una política de uso aceptable. Una política de uso aceptable define qué es aceptable y
permitido en la red de la compañía.
• Las políticas relativas a contraseñas deberían aplicarse estrictamente. Incluyen un fecha
de expiración específica, reglas de exclusión, y el uso de combinaciones de letras y
números. Las contraseñas jamás deberán dejarse donde puedan ser halladas y usadas.
• Las amenazas a la seguridad provenientes de Internet incluyen a los hackers, crackers,
virus y gusanos. Aunque un hacker puede ocasionar daño, un cracker irrumpe en un
sistema para hacer un daño específico o robar. Un virus y un gusano pueden ambos hacer
un daño considerable. No obstante, el gusano no se adjunta a los archivos sino a la
memoria activa y es auto-replicante.
• Políticas de seguridad bien definidas ayudan a minimizar amenazas desde el interior. Es
probable que los empleados y usuarios en quienes se confía tengan información crítica
acerca de la red, incluyendo contraseñas, y pueden facilitar el espionaje corporativo.
• Los administradores de sistemas deben vigilar contra el robo de datos, la destrucción de
datos, y los ataques de denegación del servicio. Los ataques de Denegación del Servicio
Distribuida (DDoS) se originan en varios hosts y puede ser extremadamente difícil
defenderse contra ellos.
• Para mantener actualizado el NOS, patches y actualizaciones de seguridad de software
deben aplicarse cuando estén disponibles.
• Los firewalls de Internet son la defensa más importante contra amenazas de seguridad
externas. Una solución de firewall de Internet puede consistir en varios componentes,
incluyendo el filtrado de paquetes IP, servicios proxy, y NAT.

54