Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tal como la seguridad en redes est compuesta de dominios, los ataques a las
redes son clasificados para hacer ms fcil el aprender de ellos y abordarlos
apropiadamente. Los virus, los gusanos y los troyanos son tipos especficos de
ataques a las redes. Mas generalmente, los ataques a las redes se clasifican
como de reconocimiento, de acceso o de denegacin de servicio.
Una de las primeras herramientas de seguridad de redes fue el sistema de
deteccin de intrusos (IDS) provee deteccin en tiempo real de ciertos tipos de
ataques mientras estn en progreso. Esta deteccin permite a los profesionales
de redes mitigar ms rpidamente el impacto negativo de estos ataques en los
dispositivos de red y los usuarios. A fines de los aos 1990, Sistema de
prevencin de intrusos (IPS) comenz a reemplazar a la solucin IDS. Los
dispositivos IPS permiten detectar actividad maliciosa y tiene la habilidad de
bloquear el ataque automticamente en tiempo real.
Adems de las soluciones IPS e IDS, se desarrollaron los firewalls para prevenir
que trfico no deseado ingresara a ciertas reas sealadas dentro de una red,
proporcionando seguridad de permetro. En 1988, Digital Equipment
Corporation (DEC) creo el primer firewall de red en la forma de un filtro de
paquetes. Estos primeros firewalls inspeccionaban los paquetes para verificar
que se correspondieran con conjuntos de reglas predefinidas, con la opcin de
forwardearlos o descartarlos. Los firewalls de filtrado de paquetes inspeccionan
cada paquete aisladamente sin examinar si es parte de una conexin
existente. En 1989, AT&T Bell laboratorios desarrollo el primer firewall de
estados (stateful). Como los firewalls de filtrado de paquetes, los firewalls de
estados utilizan reglas predefinidas para permitir o denegar trfico. A diferencia
de los firewalls de filtrado de paquetes, los firewalls de estados hacen
seguimiento de las conexiones establecidas y determinan si un paquete
pertenece a un flujo de datos existente, ofreciendo mayor seguridad y
procesamiento ms rpido.
Las amenazas internas caen, bsicamente, en dos categoras: falsificacin y
DoS. Los ataques de falsificacin en los que un dispositivo intenta hacerse
pasar por otro falsificando datos. Por ejemplo, la falsificacin de MAC ocurre
cuando una computadora enva paquetes de datos cuya direccin MAC
corresponde a otra computadora que no es la propia. Como este, existen otros
tipos de ataques de falsificacin.
Los ataques de DoS hacen que los recursos de una computadora no estn
disponibles para los usuarios a los que estaban destinados. Los hackers usan
varios mtodos para lanzar ataques de DoS. La criptografa asegura la
confidencialidad de los datos, que es uno de los tres componentes de la
seguridad de la informacin: confidencialidad, integridad y disponibilidad. La
Motores de escaneo
Mecanismos de entrega
Operaciones de inteligencia de seguridad
Consolas de administracin de polticas
Punto extremo de ltima generacin
Los virus y los gusanos son dos mtodos de ataque. Otro mtodo es el troyano,
que impulsa a los virus o gusanos con el elemento agregado de hacerse pasar
por un programa benigno.
Un troyano, en el mundo de la computadora, es malware que realiza
operaciones maliciosas bajo el disfraz de una funcin deseada. Un virus o
gusano puede llevar consigo un troyano. Los troyanos contienen cdigo
malicioso oculto que explota los privilegios del usuario que lo ejecuta. Los
juegos suelen llevar un troyano adjunto. Cuando el juego se est ejecutando
funciona, pero, en segundo plano, el troyano ha sido instalado en el sistema del
usuario y continua ejecutndose luego de que el juego ha sido cerrado.
La mayora de las vulnerabilidades descubiertas en el software tienen relacin
con el desbordamiento de buffer. Un buffer es un rea de la memoria alocada
utilizada por los procesos para almacenar datos temporariamente. Un
desbordamiento en el buffer ocurre cuando un buffer de la longitud fija llena su
capacidad y un proceso intenta almacenar datos ms all de ese lmite
mximo. Los virus y troyanos tienden a aprovecharse de los desbordamientos
de buffer de root locales. Un desbordamiento de buffer de root es un
desbordamiento de buffer que busca obtener privilegios de root en un sistema.
Los desbordamientos de buffer de root locales requieren que el sistema final
efectu algn tipo de accin. Un desbordamiento de buffer de root local se
inicia tpicamente cuando un usuario abre un adjunto de un correo electrnico,
visita un sitio web o intercambia un archivo a travs de mensajera
instantnea.
Los gusanos dependen ms de la red que los virus. La mitigacin de gusanos
requiere diligencia y coordinacin de parte de los profesionales de la seguridad
Hay varios tipos diferentes de ataques de red que no son virus, gusanos o
troyanos. Para mitigar los ataques, es til tener a los varios tipos de ataques
categorizados. Al categorizar los ataques de red es posible abordar tipos de
ataques en lugar de ataques individuales. No hay un estndar sobre como
categorizar los ataques de red. El mtodo utilizado en este curso clasifica los
ataques en tres categoras principales:
Sera til detallar tres ataques de DoS comunes para entender mejor como
funcionan.
El ping de la muerte
En un ataque de ping de la muerte, un hacker enva una solicitud de eco en un
paquete IP ms grande que el tamao de paquete mximo de 65535 bytes.
Enviar un ping de este tamao puede colapsar la computadora objetivo. Una
variante de este ataque es colapsar el sistema enviando fragmentos ICMP, que
llenen los buffers de reensamblado de paquetes en el objetivo.
Ataque Smurf
En un ataque smurf, el atacante enva un gran nmero de solicitudes ICMP a
direcciones broadcast, todos con direcciones de origen falsificadas de la misma
red que la vctima. Si el dispositivo de ruteo que enva el trfico a esas
direcciones de broadcast reenva los broadcast, todos los host de la red
destino enviaran respuestas ICMP, multiplicando el trfico por el nmero de
hosts en las redes. En una red broadcast multiacceso, cientos de mquinas
podran responder a cada paquete.
Inundacin TCP/SYN
En un ataque de inundacin TCP/SYN se enva una inundacin de paquetes SYN
TCP, generalmente con una direccin falsa. Cada paquete se maneja como una
solicitud de conexin, causando que el servidor genere una conexin a medio
abrir devolviendo un paquete SYN-ACK TCP y esperando un paquete de
repuesta de la direccin del remitente. Sin embargo, como la direccin del
remitente es falsa, la respuesta nunca llega. Estas conexiones a medio abrir
saturan el numero de conexiones disponibles que el servidor puede atender,
haciendo que no pueda responder a solicitudes legitimas hasta luego de que el
ataque haya finalizado.
Hasta la fecha, cientos de ataques de DoS han sido documentados. Hay cinco
maneras bsicas en las que los ataques de DoS pueden hacer dao.
Cisco AutoSecure
Autenticacin del protocolo de enrutamiento
Polticas del Plano de Control(CoPP)
2-
La seguridad del trfico que sale de la red y examina el trafico ingresante son
aspecto crticos de la seguridad en redes. La seguridad del router de borde,
que se conecta con la red externa, es un primer paso importante al asegurar la
red.
El hardening de dispositivos es una tarea esencial que nunca debe ser pasada
por alto. La seguridad la infraestructura de la red es crtica para la seguridad
de toda la red. La infraestructura de la red incluye routers, switches,
servidores, estaciones de trabajo y otros dispositivos.
Aunque todos los dispositivos de una infraestructura estn en riesgo, los
routers generalmente son el objetivo principal para los atacantes de redes.
Esto ocurre porque los routers actan como la polica del trnsito, dirigiendo el
trfico hacia, desde y entre redes.
El router de borde es el ltimo router entre la red interna y una red de
confianza como internet. Todo el trfico a internet de una organizacin pasa por
este router de borde; por lo tanto, generalmente funciona como la primera y
ltima lnea de defensa de una red. A travs del filtrado inicial y final, el router
de borde ayuda a asegurar el permetro de una red protegida.
Tambin es responsable de implementar las acciones de seguridad que estn
basadas en las polticas de seguridad de la organizacin. La implementacin
del router de borde vara en funcin del tamao de la organizacin y la
complejidad del diseo de red requerido. Las implementaciones de router
pueden incluir un solo router protegiendo toda una red interna o un router
como la primera lnea de defensa en un enfoque de defensa profunda.
Enfoque de un solo Router
En el enfoque de un solo router, un solo router conecta la red protegida, o LAN
interna a Internet. Todas las polticas de seguridad estn configuradas en este
dispositivo. En redes ms pequeas, las funciones de seguridad requeridas
pueden ser soportadas por ISRs sin comprometer el rendimiento del router.
Enfoque de Defensa Profunda
3-
Debe disearse una red para controlar a quien se le permite conectarse a ella y
que se le permite hacer mientras est conectado.
Un intruso puede ganar acceso a equipamiento de red y servicios sensibles.
Para ayudar a prevenir el acceso no deseado, el control de acceso es necesario.
La forma mas simple de autenticacin son las contraseas.
Autenticacin AAA
Puede utilizarse AAA para autenticar usuarios para acceso administrativo o
para acceso remoto a una red. Estos dos mtodos de acceso usan diferentes
modos para solicitar los servicios de AAA:
Cisco proporciona dos mtodos comunes para implementar los servicios AAA.
Autenticacion AAA local
AAA local usa una base de datos local para la autenticacion. Este mtodo
almacena los nombres de usuarios y sus correspondientes contraseas
localmente en el router Cisco, y los usuarios se autentican en la base de datos
local. AAA local es ideal para redes pequeas
Autenticacin AAA basada en servidor
El mtodo basado en servidor usa un recurso externo de servidor de base de
datos que utiliza los protocolos RADIUS o TACACS+. Si hay ms de un router,
Autorizacion AAA
Una vez que los usuarios han ido autenticados exitosamente contra la fuente
de datos AAA seleccionada (ya sea local o basada en servidor), se le autoriza el
acceso a recursos especficos en la red. La autorizacion consiste bsicamente
en lo que un usuario puede y no puede hacer en la red luego de que es
autenticado, parecido a como los niveles de privilegios y la CLI basada en roles
les dan a los usuarios derechos y privilegios especficos a ciertos comandos en
el router.
Tanto TACACS+ como RADIUS son protocolos de administracin, pero cada uno
soporta diferentes capacidades y funcionalidades. Es importante entender las
varias diferentes entre los protocolos TACACS+ y RADIUS.
4-
ACL estndar
Las ACLs numeradas entre 1-99 y 1300-1999 son ACLs IPv4 e IPv6 estndar.
Las ACLs estndar filtran los paquetes examinando el campo de direccin IP de
origen en el encabezado IP de ese paquete. Estas ACLs son usadas para filtrar
paquetes basndose exclusivamente en la informacin de origen de capa 3.
Las ACLs estndar permiten o deniegan el trfico basndose en la direccin de
origen. Esta es la sintaxis del comando para configurar una ACL IP estndar
numerada:
Router(config)# access-list {1-99} {permit | deny} dir-origen
[wildcard-origen]
El primer valor especifica el nmero de la ACL. Para las ACLs estndar, el
nmero deber estar en el rango 1-99. El segundo valor especifico si lo que
debe hacer es permitir o denegar el trfico de direccin IP origen configurado.
El tercer valor es la direccin IP de origen que debe buscarse. El cuarto valor es
la mscara wildcard que debe aplicarse a la direccin IP previamente
configurada para indicar el rango.
ACLs extendida
Las ACLs extendidas filtran paquetes basndose en la informacin de origen y
destino de las capas 3 y 4. La informacin de capa 4 puede incluir informacin
de puertos TCP y UDP. Las ACLs extendidas otorgan mayor flexibilidad y control
sobre el acceso a la red que las ACLs estandar.
Router(config)# access-list {100-199} {permit | deny} protocolo dirorigen [wildcard-origen] [operador operando] dir-destino [wildcarddestino] [operador operando] [established]
De manera similar a las ACLs estndar, el primer valor especifica el nmero de
la ACL. Las ACLs numeradas entre 100-199 o 2000-2699 son ACLs extendidas.
El siguiente valor especifica si lo que debe hacer es permitir o denegar de
acuerdo al criterio que sigue. El tercer valor indica el tipo de protocolo. El
administrador debe especificar IP, TCP, UDP u otros sub-protocolos de IP
especficos. La direccin IP y la mscara wildcard de destino son usadas para
indicar el destino final del trfico de red.
Todas las ACLs asumen un deny implcito, lo cual significa que si un paquete no
coincide con ninguna de la condicin especfica en la ACL, el paquete ser
denegado. Una vez que la ACL ha sido creada, debe incluir al menos una
sentencia permit o todo el trafico de la interfaz a la que se aplique ser
descartado.