Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CAPÍTULO 14
SEGURIDAD EN INTERNET
Introducción
Internet y las redes IP basadas en el protocolo de Interconexión IPv4 poseen varios problemas de
seguridad porque fueron diseñadas para funcionar en un entorno amigable y con conexiones
físicamente seguras. Sin embrago en la actualidad esas suposiciones no son válidas y varias
debilidades de IPv4 pueden ser explotadas para socavar la seguridad de los sistemas que emplean
este protocolo de comunicación.
Contra IPv4 pueden efectuarse varios tipos de ataques para los cuales no siempre existen defensas
y cuando existen, son aplicadas en su mayoría en la capa de aplicaciones. Como consecuencia de
esto las soluciones usualmente no son interoperables y varias funciones son duplicadas dentro de
diferentes aplicaciones. El desarrollo de una nueva versión del protocolo IP ofrece la oportunidad
de incluir algunos mecanismos básicos a nivel de red para que estos sean aplicables a todos los
protocolos de nivel superior (protocolos de nivel transporte y de nivel de aplicación) y a algunos
elementos de los propios protocolos de nivel de red.
Las técnicas de seguridad adoptadas en el nuevo protocolo IPv6 fueron diseñadas para ser
fácilmente insertadas en IPv4. Sin embargo el protocolo IPv4 posee otros problemas y es poco
deseado que la pila de protocolos de red actual sea modificada solo para implementar las nuevas
técnicas de seguridad. Por el contrario estas técnicas se han convertido en un estándar que debe
ser aplicado a todas las implementaciones de IPv6. Surge la pregunta de si es apropiado incluir en
la capa de red las funciones de seguridad. Obviamente no existe una repuesta definitiva porque un
sistema de seguridad está basado en varios elementos. No obstante, el nivel de red es con certeza
el bloque que recibe más ataques de bajo nivel en la actualidad debido a su simple implementación
Luego en este material se van a tocar algunos aspectos de cómo garantizar un mínimo de medidas
prácticas de seguridad en una red con los protocolos de Interconexión IPv4 e IPv6.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
357
En la Figura 14.1 se puede apreciar que todos los mensajes que entren o salgan de la Intranet
pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los
criterios de seguridad especificados.
También es frecuente conectar al cortafuego a una tercera red neutral, llamada Zona
desmilitarizada (DMZ), en la que se ubican los servidores de la organización que deben permanecer
accesibles desde la red exterior.
Un Cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en
ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más
niveles de trabajo y protección.
Breve Historia de los Cortafuegos
El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo
potencial de incendio en un edificio.
La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología
bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos
para la seguridad de la red fueron los enrutadores utilizados a finales de 1980, que mantenían a las
redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña
de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la
colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se
produjo a finales de los 80.
Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma
al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una
interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas
operativos como Windows de Microsoft o MacOS de Apple.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
359
En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como
software denominándolo FireWall-1.
La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede
ser compartida por los sistemas de prevención de intrusiones (IPS).
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
360
Cortafuego personal
Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las
comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.
Entre las ventajas de un Cortafuego está que bloquea el acceso a personas no autorizadas a redes
privadas.
Mientras que las limitaciones se desprenden de la misma definición del Cortafuegos: filtro de tráfico.
Cualquier tipo de ataque informático que use tráfico aceptado por el Cortafuegos (por usar puertos
TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo
una amenaza. La siguiente lista muestra algunos de estos riesgos:
No puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.
No puede proteger de las amenazas a las que está sometido por ataques internos o usuarios
negligentes. El cortafuego no puede prohibir a espías corporativos copiar datos sensibles en
medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
No puede proteger contra los ataques de ingeniería social.
No puede proteger contra los ataques posibles a la red interna por virus informáticos a través
de archivos y software. La solución real está en que la organización debe ser consciente en
instalar software antivirus en cada máquina para protegerse de los virus que llegan por
cualquier medio de almacenamiento u otra fuente.
No protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido.
Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en
Internet.
La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente
peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso
de tráfico peligroso y sea permitido por omisión.
Cisco y Check Point son dos compañías líderes en la venta de Cortafuegos, aunque se pueden
crear cortafuegos o filtrado de paquetes con un Linux y sus tablas IP (iptables, que es un dominio
público de software que es normalmente vendido con Linux).
Una ACL es un grupo de sentencias que define cómo se procesan los paquetes, tal como se
muestra en la figura X, en el orden de cómo:
- Entran a las interfaces de entrada
- Se reenvían a través del Enrutador
- Salen de las interfaces de salida del Enrutador
Seguridad en IPv6
Desde el comienzo de la estandarización de IPv6, a diferencia de IPv4, la seguridad ha sido una
pieza fundamental. De hecho, existen algunos aspectos de la seguridad con IPv6 que han mejorado
con respecto a IPv4 como se describen a continuación:
Escaneo de red. Escanear por fuerza bruta una red de área local IPv6 puede llevar, con la
tecnología actual, más de 5.000 millones de años, lo cual evidentemente es impensable.
También los ataques automatizados, por ejemplo gusanos que seleccionan direcciones
aleatorias para propagarse, se ven dificultados.
IPsec (Seguridad del Protocolo de Internet, por sus siglas en inglés). La especificación de
IPv6 establece que toda pila IPv6 debe contener IPsec incorporada. Esto es una ventaja ya
que IPsec está disponible si se desea utilizar.
Ataques broadcast (smurf). En IPv4 se generan enviando un paquete ICMP (Protocolo de
Mensajes de Control de Internet, por sus siglas en inglés) echo request a la dirección de
broadcast de la red con la dirección origen del nodo atacado. En IPv6 no existe el concepto
de broadcast. IPv6 especifica que no se debe responder con un mensaje ICMP a ningún
paquete que tenga dirección destino de nivel tres multicast o direcciones de nivel dos
multicast o broadcast. Por lo tanto si las pilas IPv6 siguen la especificación este problema
desaparece.
Fragmentación de paquetes. En IPv6 la fragmentación de paquetes sólo se puede realizar
en los extremos de la comunicación, por lo que se reducen los riesgos por ataques con
fragmentos superpuestos o de pequeño tamaño. Las consideraciones sobre fragmentos
fuera de secuencia serán las mismas que para IPv4, pero en el nodo final. Los firewalls no
deberán filtrar los fragmentos de paquetes.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
363
Sin embrago IPsec fue adicionado de manera intencional para proveer en todas las
implementaciones de este protocolo varios servicios de seguridad. IPsec puede ser adicionado al
protocolo IPv4 como un anexo, pero en IPv6 su presencia en el conjunto de protocolos es
obligatoria.
IPsec es una arquitectura más bien que un protocolo la cual especifica protocolos de seguridad
(Cabecera de Autentificación y Encapsulado Seguro de Datos), Asociaciones de Seguridad (qué
hacen, cómo trabajan, cómo son administrados), administración de claves (Intercambio de Claves
de Internet) y algoritmos de autentificación y encriptación.
IPsec está diseñado para proporcionar seguridad inter-operable, de alta calidad, basada en
criptografía. El conjunto de servicios de seguridad ofrecidos incluye:
Control de acceso: previene el uso no autorizado de recursos.
Integridad sin conexión: detección de modificaciones en un datagrama IP individual.
Autenticación del origen de los datos.
Protección anti-replay: una forma de integralidad parcial de la secuencia, detecta la llegada
de datagramas IP duplicados.
Confidencialidad: encriptación.
Confidencialidad limitada del flujo de tráfico: el uso del modo túnel permite encriptar las
cabeceras IP internas, ocultando las identidades del origen del tráfico y del último destino.
También, se puede usar el "relleno en la carga útil" (payload padding) de ESP (Encapsulado
Seguro de Datos, por sus siglas en inglés) para ocultar el tamaño de los paquetes,
consiguiendo ocultar las características externas del tráfico.
estos son completamente encapsulados en un nuevo paquete IPv6 que fluye entre los proxys; esto
incrementa la seguridad por la no exposición de los puntos finales en el flujo de datos.
El modo transporte se utiliza usualmente cuando nodos individuales se conectan a las redes (por
ejemplo, cuando se conectan a través de una red pública). El modo túnel se emplea usualmente
cuando se conectan redes pertenecientes a una misma compañía a través de una red pública como
Internet utilizando una VPN.
Servicio de Autentificación
El proceso de autentificación se lleva a cabo a través del procesamiento del mensaje utilizando una
clave. En la Figura 14.4 se muestra el proceso de autentificación utilizando el protocolo de Cabecera
de Autentificación (AH, por sus siglas en inglés) perteneciente al protocolo IPsec.
Como se observa, la cabecera IPv6, los datos de carga y la clave son procesadas utilizando un
algoritmo de autentificación para producir la certificación de los datos en forma de código hash. El
código hash de los datos es introducido en la cabecera AH que es insertada entre la cabecera IPv6
principal y los datos de carga. El esquema de la cabecera AH es mostrada en la Figura 14.5
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
365
El algoritmo para producir el código hash se aplica a todo el paquete que será transmitido, esto es
a la cabecera IPv6 y a los datos que transporta. Este código hash es introducido en el campo de
Datos de Autentificación de la cabecera AH y son transmitidos al destino. En el destino, el algoritmo
es ejecutado nuevamente en la cabecera IPv6 y en los datos (pero no en la cabecera de
autentificación) utilizando la misma clave. El resultado es comparado con el dato de autentificación
recibido para verificar que el paquete no ha sido modificado. Este proceso es descrito con detalle
en la RFC 2402.
Cualquier algoritmo de autentificación de los existentes puede ser utilizado para producir el código
hash, pero IPsec debe soportar en su implementación el algoritmo de autentificación MD5.
Obviamente es necesario que ambas partes de la comunicación tengan conocimiento de cuál fue
el algoritmo de autentificación empleado y cuál fue el valor de la clave. IPsec no trata acerca de
cómo son intercambiadas estas claves pero posteriormente se describirán algunas posibilidades.
Existe un aspecto que puede parecer contradictorio: algunos valores de la cabecera IPv6 serán
cambiados por los nodos de la red en el camino del paquete hacia el destino y esto podría invalidar
el proceso de autentificación. Para evitar este problema, el algoritmo de autentificación será
aplicado con ciertos campos de la cabecera (TTL, ToS, suma de chequeo, y banderas) puestos a
cero. Luego el campo de próximo protocolo en la cabecera principal IPv6 es modificado a 51 (0x33)
para indicar que se ha insertado una cabecera AH. El algoritmo de autentificación es aplicado al
paquete en la fuente antes de la inserción de la cabecera AH y en el destino es aplicado luego de
extraerla.
La cabecera AH posee un campo denominado Índice de Parámetros de Seguridad (SPI, por sus
siglas en inglés), el cual es utilizado para identificar la SA que administra el paquete actual.
Teniendo un par de direcciones fuente y destino, el SPI identifica de forma única un contexto de
seguridad, diciéndole al receptor cuales algoritmos utilizar y cuales claves deben ser aplicadas. El
SPI debe ser generado de forma aleatoria para reducir su previsibilidad y para limitar las
posibilidades de reiniciar un nodo accidentalmente rehusando una SA. El Número de Secuencia
está diseñado para ayudar a prevenir los ataques de denegación de servicios en los cuales
entidades dañinas replican paquetes o secuencias de paquetes. El Número de Secuencia permite
que el nodo de destino identifique paquetes duplicados y los descarte sin un procesamiento
posterior.
Finalmente la cabecera de AH contiene el código hash, producido por el algoritmo de
autentificación, dentro del campo Datos de Autentificación, el cual puede variar en tamaño en
dependencia de la técnica utilizada.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
366
En la encriptación IPsec en modo túnel, todo el paquete IPv6 (datos y cabecera) son encriptados
como se muestra en la Figura 14.7. Un nuevo paquete es construido con una nueva cabecera IPv6
que maneja el paso del paquete a través del túnel desde un proxy a otro.
Existen varios algoritmos de encriptación los cuales operan con claves de diferente complejidad.
IPsec estandariza que al menos el algoritmo Estándar de Encriptación de Datos (DES, por sus
siglas en inglés) debe estar contenido en todas sus implementaciones.
El proceso de encriptación en IPsec es descrito en la RFC 2406. El formato del paquete ESP es
mostrado en la Figura 14.8. Después de un encabezado IPv6 normal, el cual contiene en el campo
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
367
de Próxima Cabecera el valor 50 (0x32) que indica la presencia de la cabecera ESP, la cabecera
ESP comienza con el campo SPI y Número de Secuencia que son utilizados de la misma manera
que para el protocolo AH descrito anteriormente. Sin embargo el resto de los campos parece ser
un poco confuso. Es más sencillo de entender si se comienza a analizar del final al inicio.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
368
Existe además una Base de Datos de Asociaciones de Seguridad (SAD, por sus siglas en inglés)
para almacenar todos los secretos compartidos en una SA. La SAD contiene un grupo de SAs.
Considérese un ejemplo: un nodo A desea enviar paquetes a un nodo B. primeramente consulta su
SPD para decidir si es necesaria la aplicación de IPsec, y en caso de ser necesaria, verifica cuáles
algoritmos y características deben aplicarse. Asúmase que la SPD de A indica que debe usarse el
protocolo ESP con encriptación AES y el protocolo AH con algoritmo hash SHA1. Luego, A consulta
la SAD para encontrar las SAs necesarias. Entonces toma la clave y el algoritmo de la SA ESP,
aplica el algoritmo a los datos utilizando la clave y adiciona una cabecera ESP luego de la cabecera
IPv6. La cabecera ESP contiene el SPI para que el nodo receptor pueda configurarse para
desencriptar los datos. Después el nodo A realiza la misma operación para la SA AH. Entonces
envía el paquete al nodo B.
Cuando B recibe el paquete consulta su propia SPD para decidir cuáles características IPsec posee
el paquete. Si no encuentra una referencia o el paquete posee una seguridad insuficiente
comparada con la SA correspondiente, B lo descarta sin procesarlo. Sino, consulta su SAD para
encontrar las SAs correspondientes; si existen múltiples SAs, B utiliza el SPI para identificar cuales
son las asociadas al paquete entrante. B puede entonces comprobar la autenticidad del paquete
verificando el valor hash de la cabecera AH y desencriptar el paquete. Posteriormente el paquete
recibe un procesamiento normal.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
369
Aspectos técnicos
Dispositivos de seguridad que no analizan el protocolo IPv6
Puede que los dispositivos de seguridad, como cortafuegos o IDS, o las herramientas de gestión
de red no sean capaces o no estén configurados para analizar los flujos de datos del protocolo
IPv6. Si fuera así, se podrían establecer comunicaciones maliciosas desde o hacia equipos de la
red que soporten IPv6.
Presencia de dispositivos de los que se desconoce que pueden usar IPv6 y de túneles IPv6.
Muchos Sistemas Operativos tienen habilitado IPv6 por defecto, como la mayor parte de sistemas
Windows modernos, Mac OS X, Linux y Solaris.
Además pueden existir túneles IPv6. Un túnel es una conexión punto a punto, en la que se
encapsulan los paquetes IPv6 en paquetes IPv4, de forma que se pueda transmitir IPv6 a través
de una infraestructura IPv4. En el extremo final del túnel, se extrae el paquete IPv6 original.
Los dispositivos de seguridad perimetral puede que no estén preparados o configurados para
analizar estos flujos de datos, que pueden ser utilizados para comunicaciones no permitidas.
La posibilidad de crear túneles IPv6 se encuentra presente en todos los sistemas operativos, como
Windows Vista, Windows 7 y Windows 8 que tienen habilitado por defecto la tecnología Teredo7 ,
aunque se deshabilita si detecta que el equipo pertenece a un dominio o tiene soporte IPv6 a través
de su red local.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
370
Consideraciones de Gestión
Curva de aprendizaje
Como con toda adopción de una nueva tecnología, las organizaciones necesitan de tiempo y
recursos a la hora de adquirir el conocimiento necesario para implantar y administrar con seguridad
el protocolo IPv6.
Implementación de sistemas de doble pila.
La implantación de IPv6 supondrá un importante cambio en los sistemas de comunicaciones ya
que deberá soportar ambos protocolos y su interoperabilidad. El diseño, implantación y
configuración de estos sistemas de doble pila, que implementan IPv4 e IPv6, será un proyecto
complejo en el que habrá que evaluar todos los requisitos posibles de seguridad.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV
371
la que existe un enrutador, recibirá de él el resto de parámetros de configuración como puede ser
el prefijo de la red.
Durante este proceso, cualquier dispositivo podría generar de forman continuada una respuesta
falsa informando de que la dirección está en uso y provocar que el dispositivo que solicita una
dirección no se pueda conectar a la red. También, podría hacerse pasar por un enrutador para
realizar un ataque de man-in-the-middle.
Privacidad
Al generar un equipo su dirección IP a partir de la dirección MAC, se puede asociar una IP a un
equipo de forma unívoca y, a su vez, se puede asociar un equipo a una persona.
Al realizar uso de Internet se deja un rastro de la dirección IP en los distintos servidores o redes
con lo que se establece una comunicación. A partir de esta dirección IP se podría saber que
servidores web o servicios visitó una persona.
Una solución para este problema consiste en la generación aleatoria de parte de la dirección IP, lo
que se conoce como extensiones de privacidad. La gran mayoría de los sistemas operativos
soportan las extensiones de privacidad y en algunos incluso están habilitadas por defecto (Windows
XP, Vista y 7). Otra posible solución es la asignación temporal de direcciones mediante DHCPv6.
Notas del Profesor Titular, Dr. C. Ing. Félix F. Alvarez Paliza, Dpto. Telecomunicaciones, UCLV