Está en la página 1de 5

OSI Defense in Depths to Increase Application

Security
Resumen

Aarón Espinosa García Matemáticas, UANL. aaron.espinosagrc@uanl.edu.mx


Licenciatura en Seguridad de Nuevo León, México
las Tecnologías de la
Información
Facultad de Ciencias Físico

Abstract—La “Defensa en capas del modelo OSI para II. CAPAS DEL MODELO OSI
incrementar la seguridad de Aplicaciones” explica cómo es que
las aplicaciones tienen riesgos asociados, y algunas medidas de 1. Capa física
seguridad pertinentes para cada capa. La capa física es responsable de convertir paquetes de datos
en señales eléctricas.
Palabras Clave—Modelo OSI, Riesgo, Vulnerabilidad,
Amenaza Medida de seguridad La seguridad en esta capa compete la seguridad física de la
empresa y cubre los siguientes aspectos: Control de acceso,
I. INTRODUCCIÓN Energía, ambiente, Fuego y Humo, Agua y Copias de
El trabajo de Kim Holl Aborda cada capa del Modelo OSI seguridad.
ya que es importante entender que, si se compromete una capa, Los controles de acceso permiten dar acceso solo a personal
incluso la más profunda como lo es la capa física, las demás autorizado hacia computadoras y redes. Los sistemas de misión
capas también se encontrarán comprometidas. crítica deben estar protegidos con puertas bloqueadas para
Además, el nivel de control que tienen los administradores de prevenir accesos.
T.I. disminuye considerablemente conforme se va acercando a Cualquier pérdida de energía es considerada un riesgo,
las capas más profundas. amenazas naturales como sismos, tormentas electicas,
Para un mejor entendimiento, se organizaron las inundaciones también son consideradas.
vulnerabilidades, medidas de seguridad y riesgos por capa, Sistemas de UPS son medidas de seguridad para prevenir
entendiendo a la seguridad por sus tres pilares fundamentales: pérdidas de datos.
Confidencialidad, Integridad y Accesibilidad.
Comida y bebida también son amenazas en el lugar de
Es importante entender a la seguridad de aplicaciones como trabajo por lo que su uso debe ser prohibido.
una “Tootsie Pop”: dura por fuera pero suave y chiclosa por
dentro. Copias de seguridad periódicas y en zonas fuera de sitio de
la empresa y en ambientes controlados son también medidas de
Es por eso por lo que una explotación interna se origina el 65- seguridad para la capa física
75% de las veces dentro de la red local, por algún sistema local,
o por un código malicioso. Lo cual puede ser accidental o
malicioso y puede venir de empleados, visitantes o contratistas. 2. Capa de enlace de datos
Para ello, y como se expuso en la presente introducción, se Esta capa se encarga del direccionamiento físico, disciplina
estudian las capas del modelo OSI (Open System de línea, topología de red, notificación de errores,
Interconnection), lo cual es el estándar registrado por la ordenamiento de entrega de tramas y control de tráfico
International Organization Standard (ISO) descrito como
“Cualquier combinación de dispositivos que pueden ser Amenazas conocidas en ésta capa son:
conectados con el propósito de una comunicación en red y para  Suplantación ARP o ARPs Gratuito
solución de problemas”
 Inundación MAC
Este modelo es una representación funcional y jerárquico que
se compone de 7 capas  Ataque de Spanning Tree
La suplantación ARP o ARPs gratuitos pueden tomar
direcciones malintencionadamente las direcciones IPs,
suplantando la dirección ARP para burlar al Switch y
mandando paquetes a dispositivos en una VLAN diferente

XXX-X-XXXX-XXXX-X/XX/$XX.00 ©20XX IEEE


enviando paquetes ARP que contienen identidades Son amenazas de seguridad las siguientes:
apropiadamente creados.
 Identificación de Endpoint
Para mitigar ésta amenaza se usan switches que ignoran
ARPs gratuitos, segregación de VLANs (VLANs privadas) e  Acceso no autorizado a Internet
inspección de ARP  Inundación SYN
La Inundación MAC ocurre cuando la tabla aprendible  Ping de la muerte
por hardware de un switch llega a su máxima capacidad e
inunda dentro de VLANs. Por lo que un usuario malicioso La identificación de Endpoints y los accesos no
puede “sniffear” el tráfico inundado para obtener información autorizados se pueden mitigar con Network Address
de la red tal como contraseñas. Translation (NAT) y Listas de control de Acceso (ACL)
respectivamente.
Mara mitigar esto algunos switches usan opciones de
puertos que restringen parámetros que pueden fallar después de NAT esconde direcciones privadas de internet.
una carga si se violan y causar un apagón. También en esta materia existe el concepto de la Zona
El ataque de Spanning Tree ocurre cuando la Desmilitarizada (DMZ) la cual permite establecer conexiones
computadora de un atacante se inserta a si misma dentro de un desde internet a Servicios de la empresa como FTP o servicios
flujo de datos y causa un ataque de Denegación de Servicio. El Web, pero impide a su vez la conexión hacia la red interna de
ataque inicia cuando la computadora del adversario es la empresa y viceversa.
conectada a la red de manera no autorizada entre dos switches Los ataques de inundación SYN y el “ping de la muerte”
y el atacante asigna una prioridad root menor al router Causan Denegación de Servicio al hacer que los sistemas
principal, invadiéndolo. colapsen o se vuelvan inaccesibles a cualquier otra conexión.
Para evitar esto es necesario siempre configurar el router La inundación SYN manda una gran cantidad de
root con prioridad = 0. peticiones de conexión TCP sin enviar nada más.
Otros ejemplos no discutidos en el documento son: El ping de la muerte manda una sobre demanda de los
 802.1Q y ataque de etiquetado SIL límites de las pilas TCP/IP enviando un ping ICMP de 65,535
bytes, causando que los sistemas colapsen o se reinicien.
 Doble-encapsulado 802.1Q/ Ataque VLAN
anidado Las VPNs existen también en estas capas, cuya función
principal son esconder la dirección IP interna, previniendo
 Ataque a VLAN privada ataques de Hombre en Medio, y también autenticar y cifrar
 Ataque de fuerza bruta Multicast tráfico.
Además, existen protocolos como SSL (Secure Socket
 Ataque de estrés por trama aleatoria
Layer) cual es adoptado por la IETF y también TLS (Transport
El Tuneleo y las Redes Privadas Virtuales (VPNs) son Layer Security. El cuál, ambos cifran dato en tránsito.
medidas de seguridad que encapsulan paquetes en base a
Éstos protocolo también previenen manipulación de
formato del protocolo con algún otro protocolo a través de
mensajes, escuchado a escondidas (eavesdropping) y
internet.
suplantación y ataques de diccionario.
Las VPN existen en las capas de 2 y 3 del modelo OSI
5. y 6: Capa de Sessión y Presentación
El protocolo PPTP y L2TP existen en la capa 2
PPTP es usado en Sistemas Operativos de Microsoft y La capa de Sesión (Capa 5) es responsable de crear,
soporta estándares no-IP manejar y terminar sesiones entre aplicaciones y supervisando
intercambio de datos entre la capa de Presentación (Capa 6) y
L2TP es creado por cisco y soporta estándares no-IP, pero la capa de Transporte (Capa 4)
incluyen Frame Relay, ATP y Soneto
Operaciones que pueden ser manejadas por la capa de
El Protocolo IPsec VPN es más popular. Sesión son: Login con contraseña, intercambio de ID’s de
3 Y 4: Capa de Red y Capa de Transporte usuario y operaciones contables.
La capa 3 es la capa de red y la capa 4 es la capa de Las amenazas de seguridad envueltas en éstas 2 capas son:
transporte.
 Login no Autorizado / Acceso con contraseña
En estas capas, existen dispositivos como Firewalls y router
ACL (Listas de Control de Acceso).  Acceso no autorizado a datos personales

En la capa de Transporte también es concerniente del  Ataques a RPC y NetBIOS


control del flujo de Datos y la verificación de errores. Las “cookies” del navegador Web pueden contener
TCP y UDP ocurren en la capa de transporte. información personal y su tiempo de vida a veces no está bien
determinado.
Una cookie de sesión puede prevenir que un sitio Web  Gestión de Sesiones
retenga información personal.
La mayoría de las brechas de seguridad son resultado de
Es por esa razón que SSL y TLS cifra esta información. una autenticación o fallas en el control de acceso.
El Cifrado o Encriptación puede ocurrir en las capas de Algunas vulnerabilidades conocidas son las conocidas
presentación, y en la capa de sesión, donde ocurre el diálogo “backdoors” que permiten la entrada a amenazas como virus y
punto-a-punto, también ocurre el cifrado punto-a-punto. gusanos
Algunos algoritmos de cifrado “End-to-End” son: La forma de mitigarlas es parchando software, aunque
siempre exista el riesgo de que el parque se publique
 DES
demasiado tarde.
 3DES Amenazas comunes en sitios web son: Motores de
 ESM búsqueda que repiten las palabras clave buscadas, Mensajes de
error que repiten las cadenas que contienen el error,
 Telnet Autenticado Formularios llenados que repiten las entradas de los usuarios.
SOCKS es un protocolo de seguridad de red en la capa de Otra vulnerabilidad común es la de “cross-site scripting”
sesión y es también un protocolo de VPN.
Para evitar todo tipo de vulnerabilidades es necesario filtrar
Éste protocolo permite a los administradores de red limitar los datos suplidos por los usuarios y validar entradas.
las conexiones VPN en ciertos aplicativos.
Por otro lado, el correo electrónico es una de las formas
La autenticación es cualquier método usado para más populares de comunicación de persona a persona.
cerciorarse de que alguien o algo es quien o que dice ser.
Por esto mismo es la forma más común de introducir virus
Existen diversos métodos informáticos y gusanos a una red interna, como un adjunto.
Kerberos es un protocolo de autenticación que usa llaves de Para evitar esto es necesario Scanners de Virus y Email
cifrado secretas para realizar una autenticación fuerte. Security Brokers.
Terminal Access Control System (TACACS) por otra parte, También, Simple Network Managment (SNMP) es un
es un protocolo de Cisco y provee validación en los intentos de grupo de protocolos usado para manejar dispositivos de red.
un usuario para ganar acceso a un router o servidor de la red Éste contiene de dos componentes: manager, el cual es una
RADIUS es similar y provee autenticación para los consola donde las funciones son desplegadas; y agente, que
servicios dial-in de usuario. provee la interfaz donde los dispositivos son gestionados.

Los protocolos RPC (Remote Procedure Call) y NetBIOS Las vulnerabilidades asociadas a éste protocolo son:
son protocolos comunes en la capa de Sesión. Desbordamiento de pila y Denegación de Servicio)

Son vulnerables a ataques RPCBIND/Portmapper Para asegurar SNMP se necesita filtrado perimetral en
proveyendo una lista de servicios que corren en esa máquina. routers y firewall tanto de entrada como de salida, controlando
el tráfico de este SNMP, como de ICMP, tracert y echo.
Otro ataque posible es “Snort” WINNT RPC DoS. Éste
ataque causa el 100% de uso de CPU, que da como resultado Otra medida es aislar tráfico SNMP por VLAN
en un ataque de Denegación de Servicio. Un Firewall de proxy/Aplicación se puede usar para
El uso de Firewalls Proxy y dispositivos de Detección de e bloquear tráfico SNMP
Intrusos previenen varios ataques RPC y NetBIOS. IDS de basados en red y/o host también notifican
7. Capa de Aplicación reactivamente de algún posible ataque.
La Capa de aplicación suple servicios a los procedimientos
de aplicación que están localizados fuera de las capas del
modelo OSI.
Es la capa con más probabilidad de que un ataque ocurra. III. PREGUNTAS Y RESPUESTAS

El 47% de las fallas de seguridad caen en estas categorías: 1. ¿Cuáles son las capas del Modelo OSI?
R: Son 7: desde la más profunda: la capa 1 conocida como
 Autenticación / Control de Acceso la capa de red, enlace de datos en capa 2, red en capa 3,
 Algoritmos Criptográficos transporte en capa 4, sesión en capa 5, presentación en capa 6 y
aplicación en capa 7
 Validación de Datos
 Parametrización / Manipulación de Datos
 Manejo de Datos Sensibles
2. ¿Cómo es la relación del control e influencia de los 12. ¿Qué amenazas existen en las capas 3 y 4?
administradores de sistemas y las capas del modelo OSI? R: Identificación de Endpoints, Acceso no autorizado a
R: A medida que se acerca a la capa 1, el control e Internet, Inundación SYN, ping de la muerte, manipulación de
influencia de los administradores es menor. mensajes, escucha a escondidas, suplantación, ataques de
diccionario.
3. ¿Qué es una brecha de seguridad o amenaza?
R: Son aquellas que ocurren cuando un compromiso o 13. ¿Qué medidas de seguridad y tecnologías se pueden
denegación de servicio toma lugar debido a una explotación implementar para mitigar riesgos en las capas 3 y 4?
maliciosa intencionada o accidental de una vulnerabilidad R: Network Address Translation (NAT), firewalls y routers
con Access Control Lists (ACLs)
4. ¿Cuáles son las formas en las que pueden ocurrir algúna
taque informático? 14. ¿Qué es una DMZ?
R: Los ataques informáticos pueden ocurrir cuando R: Es un área entre el router que ve directamente la salida a
entidades externas ganan acceso a la red interna a través de internet y el firewall que permite acceso público a sistemas
puntos de acceso externo o dial-in remoto; cuando un interno tales como Web y FTP al mismo tiempo que prohíbe el acceso
gana acceso no autorizado a dispositivos de red o sistemas; o público a la red privada interna.
cuando un código malicioso en la forma de virus o gusano
compromete la integridad de un sistema. 15. ¿Qué protocolos existen en capa 3 y 4 para prevenir
amenazas y permiten el cifrado de datos en tránsito?
5. ¿Cuáles son los bloques de construcción para protegerse R: Transport Security Layer (TLS) y Secure Socket Layer
de ataques a la seguridad de aplicativos? (SSL)
R: La triada CIA: Confidencialidad, Integridad y
Accesibilidad 16. ¿Qué capa es responsable de la creación, manejo y
transmisión de datos entre aplicación y supervisa el
intercambio de datos entre la capa de Preentación (Capa
6. ¿Qué amenazas existen en la capa Física? 6 ) y la capa de Transporte (Capa 4)?
R: El entorno (Humo, fuego, agua, comida y bebida), R: La capa de Sesión (Capa 5)
desastres naturales, intrusiones, fallas eléctricas.
17. ¿Qué amenazas aparecen en las capas 5 y 6?
R: Login no autorizado/Acceso con Contraseñas, Acceso
7. ¿Qué medidas se pueden llevar a cabo para mitigar
no autorizado a los datos personales y ataques de RPC y
amenazas Físicas?
NetBIOS
R: Usar UPS, bloquear el acceso a sistemas de misión
crítica con puertas bloqueadas, realizar copias de seguridad en 18. ¿Qué protocolos existen para dar seguridad a la capa de
ambientes fuera de la oficina y en ambientes controlados, usar Sesión y que también es considerado un protocolo de
aspersores, supresores de fuego, cámaras de vigilancia, por VPN?
mencionar algunos. R: SOCKS
19. ¿Qué mecanismos de autenticación de acceso de usuarios
8. ¿De qué se encarga la capa 2 del modelo OSI? a sistemas y redes existen?
R: Direccionamiento físico, disciplina de línea, topología de R: RADIUS y TACACS
red, notificación de errores, orden de entrega de tramas y 20. ¿Cómo prevenir ataques “snort” WINNT RPC DoS y
control de flujo ataques a NetBIOS?
9. ¿Qué amenazas existene en la capa 2? R: Haciendo uso de Firewalls proxy y dispositivos de
R: Suplantación de ARP/ARPs Gratuitos, inundación detección de intrusos.
MAC, ataques de Spanning Tree, ataques 802.1Q y etiquetado
21. ¿Cuál es la capa con mayor probabilidad de ser
IS, Doble encapsulado 802.1Q/ ataques de VLAN anidadas,
ataques de VLAN privadas, ataques de fuerza bruta por atacada?
Multicast, ataques de estrés por tramas aleatorias. R: La capa de Aplicación.
10. ¿Cómo mitigar las amenazas de capa 2?
R: Segregación de VLANs (VLANs privadas) e Inspección 22. ¿Qué errores de seguridad en aplicativos son las más
de ARP; port security; configurar el root switch con root comunes?
priority = 0 R: Autenticación, Control de Acceso, Algoritmos de
11. ¿Qué tecnología abarca las capas 2, 3 y 5 del modelo Cifrado, Validación de datos, Parámetros/Manipulación de
datos, Manejo de Datos sensibles, Gestión de Sesión
OSI y mitgan amenazas en esas capas?
R: Virtual Private Networks (VPN)
23. ¿Cómo prevenir vulnerailidades de cross-site scripting? 27. ¿Cómo es definido un análisis de riesgos y cuál es su
R: Validar y filtrar siempre las entradas suplidas por los importancia?
usuarios R: Un análisis de riesgos está basado en la fórmula:

24. ¿Cuáles son las formas más comunes de introducir un


virus o gusano a una red interna?
Risk=Threat x Vulnerability 

R: Por medio de correo electrónico (email) Es necesario este análisis para entender qué medidas de
seguridad se deben tomar y a qué grado.
25. ¿Qué vulnerabilidades están asociadas al protocolo
Simple Network Managment Protocol (SNMP)?
REFERENCES
R: Desbordamiento de pila y Denegación de Servicio [1] Kim Holl, “OSI Defense in Depth to Increase Application Security,”
26. ¿Qué dispositivo basado en host y red permite de manera SANS Security Essentials GSEC Practical Assignment Version 1.4b,
SANS Institute, 2003.
reativa avisar a un administrador de red de un ataque por
SNMP?
R: Un Sistema de detección de Intrusos (IDS)