Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El uso satisfactorio de las tecnologías de internet requiere la protección de los datos valiosos y de
los recursos de la red ante la corrupción y la intrusión. Una solución de seguridad contiene cinco
elementos clave:
Identidad
Seguridad del perímetro
Privacidad de los datos
Administración de la seguridad
Administración de políticas
Identidad
Seguridad de perímetro
La seguridad de perímetro proporciona los medios para controlar el acceso a las aplicaciones de
red, datos y servicios críticos, de modo que solo los usuarios y la información legítimos puedan
pasar a través de la red. Los routers y los switches son filtros de paquetes y capacidad de firewall,
además de los dispositivos firewall dedicados a proporcionar ese control. Otras herramientas
complementarias, como los rastreadores de virus y los filtros de contenidos, también ayudan a
controlar los perímetros de la red.
Para garantizar que una red sigue siendo segura, es importante comprobar y monitorizar
regularmente el estado de la preparación de la seguridad. Los escaneadores de vulnerabilidades
en la red pueden identificar proactivamente áreas débiles, mientras que los sistemas de detección
de intrusiones pueden monitorizar y responder ante eventos de seguridad cuando estos aparecen.
Mediante las soluciones de monitorización de la seguridad, las empresas pueden obtener una
visibilidad significativa tanto del flujo de datos de la red como de la actitud de la red en materia de
seguridad.
Administración de políticas
Percepción de la seguridad
Las personas que son responsables de la seguridad de la red deben contar con un conocimiento
profundo de los siguientes temas:
Técnicas de seguridad.
Metodologías para la evaluación de amenazas y vulnerabilidades.
Selección de criterios y planificación para la implementación de controles.
Importancia de lo que está en riesgo si no se mantiene la seguridad.
Para las redes corporativas grandes, es buena práctica contar con un administrador de LAN por
cada LAN que se conecte al backbone corporativo. Dichos administradores pueden convertirse en
el foco de atención en caso de una diseminación de información respecto a actividades que
afectan a las LAN.
Antes de conectar una LAN al backbone corporativo deben existir ciertas reglas para la
implementación de una política de seguridad. Algunas de esas reglas son las siguientes:
Las personas encargadas de distribuir las contraseñas también deben tener la formación
adecuada. Este personal debe asegurarse de que los usuarios presentan las credenciales correctas
antes de proceder a la reinstalación de las contraseñas olvidadas. Se han divulgado muchos
incidentes en los que los usuarios han recibido contraseñas nuevas simplemente porque se han
mostrado irritados; no se les exigió la presentación de las credenciales adecuadas.
Tres puntos débiles principales son los catalizadores de las amenazas a la seguridad de la red:
Debilidades en tecnología.
Debilidades en la configuración, como se muestra en la tabla 1.2.
Debilidades en la política de seguridad, como se muestra en la tabla 1.3.
Hay personas ansiosas, voluntariosas y cualificadas para beneficiarse de cada uno de los puntos
débiles en seguridad, y buscan continuamente nuevas hazañas y puntos débiles.
Para que exista una comunicación a través de la red, deben activarse y ejecutarse determinados
servicios. Normalmente, una red consta de protocolos, sistemas operativos de escritorio y
dispositivos de red utilizados para p asar datos por la red. Cada uno de estos componentes de red
tiene sus puntos débiles que pueden explotarse. Las siguientes secciones explican algunos de los
puntos débiles más comunes en la seguridad e n las redes:
Puntos débiles de protocolo TCP/IP, incluyendo HTTP, ICMP, SNMP, SMTP, DoS.
Puntos débiles del sistema operativo, incluyendo INUX, MS-Windows, OS/2.
Puntos débiles del equipamiento de red, incluyendo:
- Protección de la contraseña.
- Carencia de autenticación.
- Protocolos de enrutamiento.
- Mala configuración de los protocolos.
TCP/IP es un estándar abierto que se diseño originalmente para alcanzar los computadores
militares y universitarios. Cuando TCP/IP fue creado, los ingenieros no esperaban que se
convirtiera en el protocolo global de internet y un protocolo de red privada predominante.
Aunque TCP/IP se creó en Estados Unidos con fines militares, no se diseño para prevenir
amenazas a la seguridad de las redes.
HTTP ( Hypertext Transfer Protocol, Protocolo de transferencia de hipertexto), FTP (File Tranfer
Protocol, Protocolo de transferencia de archivos) e ICMP ( Internet Control Message Protocol,
Protocolo de mensajes de control de internet) son intrínsecamente inseguros. Por ejemplo, los
paquetes ICMP no incluyen ningún método para autenticar el emisor de un mensaje ICMP. Los
piratas pueden burlar los paquetes ICMP e inundar los host o los dispositivos de red
desprotegidos.
Por ejemplo. SNMP es un estándar a vierto que permite a los administradores de redes
monitorizar y administrar los dispositivos conectados en red. SNMP permite que tipos de redes
distintos se puedan comunicar intercambiando información de red mediante mensajes de unidad
de datos de protocolo. Sin embargo, la versión 1 de SNMP es intrínsecamente insegura debido a
la debilidad del control de acceso, de la autenticación y la privacidad.
Puntos débiles del sistema operativo
Todos los sistemas operativos (UNIX; Linux; Macintosh; Windows NT, 9x, 2K y XP; OS/2) tienen
problemas de seguridad intrínsecos que deben corregirse.
Los archivos de CERT (Computer Emergency Response Team, Equipo de respuesta a emergencias
de computación), que puede controlar en http://www.cert.org/, documentan en detalle los
puntos débiles del sistema operativo.
Distintos tipos de dispositivos de red (por ejemplo, routers, firewalls y switches) tienen puntos
débiles en seguridad que deben conocerse y remediarse: carencia de protección de contraseñas,
ausencia de autentificación, protocolos de enrutamiento y agujeros en el firewall.
Las amenazas son cada vez más sofisticadas, a la vez que se requiere menor conocimiento
técnico para llevar a cabo los ataques.
Las cuatro principales clases de amenaza para la seguridad de una red son las siguientes:
Cada una de las capas del modelo de internetworking de sistemas abiertos (OSI) tiene un conjunto
de funciones que debe llevar a cabo para que los datos viajen desde un origen hasta un destino en
una red (consulte la Tabla 1.4). Es posible aprovecharse de cada una de estas capas debido a sus
puntos débiles intrínsecos.
1
MAC = Media Acces Control, Control de acceso al medio.
2
LLC = Logical Link Control, Control de enlace lógico.
3
VLAN = Virtual Local Area Network, Red de area local virtual.
4
NIC = Network Interface Card, Tarjeta de intefaz de red.
5
EPROM = Erasable Programmable Read Only Memory, Memoria de solo lectura programable y
borrable.
6
IPX = Internetwork Packet Exchange, Intercambio de paquetes entre redes.
7
ARP = Address Resolution Protocol, Protocolo de resolución de direcciones.
8
SPX = Sequenced Packet Exchange, Intercambio de paquetes secuenciado.
9
SQL = Structured Query Language, Lenguaje de consulta estructurado.
10
RPC = Remote-Procedure Call, Llamada de procedimiento remoto.
11
SMB = Server Message Block, Bloque de mensajes del servidor.
12
EBCDIC = Extended Binary Coded Decimal Interchange Code, Código ampliado de caracteres
decimales codificados en binario.
13
RMON = Remote Monitoring, Monitorización remota.
14
CGI = Common Gateway Interface, Interfaz de Gateway común.
Los ataques a la placa de aplicación se pueden llevar a cabo utilizando varios métodos. Una de
las técnicas comunes es explotar los puntos débiles bien conocidos del software que
normalmente se encuentra instalado en los servidores, como Sendmail, HTTP y FTP. Al
aprovecharse de esos puntos débiles, los piratas obtienen acceso a un computador con el permiso
de la cuenta que se encarga de ejecutar la aplicación; normalmente se trata de una cuenta con
privilegios a nivel de sistema. Con frecuencia, los ataques a la capa de aplicación se difunden a
través de listas de correo en un esfuerzo por permitir que los administradores rectifiquen el
problema con un parche. Por desgracia, muchos piratas también se suscriben a esas mismas listas
de correo para a prender sobre el ataque si todavía no lo han descubierto.
El principal problema que existe con los ataques a la capa de aplicación es que a menudo utilizan
puertos que están permitidos a través de un firewall. Por ejemplo, un pirata que se aprovecha de
una vulnerabilidad conocida de un navegador web a menudo utiliza el puerto TCP 80 en el ataque,
Como el servidor web destruye páginas a los usuarios, un firewall debe permitir el acceso a ese
puerto. Desde el punto de vista del firewall, se trata de un tráfico completamente normal por el
puerto 80.
Los ataques a la capa de aplicación nunca pueden eliminarse completamente. Los puntos débiles
que continuamente se descubren se difunden a la comunidad internet. Incitadas por las
demandas del mercado internet, las empresas continúan comercializando software y hardware
con muchos problemas y bugs de seguridad conocidos. Además, los usuarios continúan
dificultando la seguridad descargando, instalando y configurando aplicaciones no autorizadas que
introducen nuevos riesgos para la seguridad a una velocidad alarmante.
Para proteger los datos, es preciso utilizar el cifrado. El cifrado ayuda a mantener la privacidad y
seguridad de los datos, al hacer que estos solo sean legibles por el destino que posee la clave de
cifrado. Sin embargo, ahora se pueden descifrar muchas de las técnicas de cifrado comunes, lo que
genera la necesidad de métodos de cifrado más potentes. El inconveniente de los métodos de
cifrado más sofisticados es su lentitud, debido al aumento en los requisitos de procesamiento.
Otro problema para la capa de presentación implica a las técnicas de comprensión. Los troyanos,
virus y otros demonios de control comprimidos, o comprimidos con zip o tar pueden pasar
fácilmente a través de la mayoría de firewalls sin que sean detectados. Una vez que han llegado al
otro lado del firewall, pueden descomprimirse y comprometer a un computador host o red.
Capa 5: la capa de sesión
Como su nombre indica, la capa de sesión establece, administra y termina sesiones entre dos
hosts en comunicación. También sincroniza el dialogo entre las capas de presentación de los dos
hosts y administra su intercambio de datos. Además de la regulación de la sesión, la capa de sesión
ofrece planes para la eficacia de la transferencia de datos, la clase de servicio y la información de
excepción de los problemas de las capas de sesión, presentación y aplicación.
Muchos protocolos que funcionan en la capa de sesión (como NFS (Network File System, Sistema
de archivos de red), SQL (Sequenced Query Language, Lenguaje de consulta estructurado), SMB
(Server Message Block, Bloque de mensajes del servidor) y Xwindows) pueden explotarse para
obtener acceso no autorizado a los recursos. Además, a través de estos protocolos es posible
conseguir el control raíz del dispositivo.
La capa de trasporte segmenta los datos del sistema host emisor y los reensambla como flujo de
datos en el sistema host receptor. Al proporcionar un servicio de comunicación, la capa de
transporte establece, mantiene y termina correctamente los circuitos virtuales. Al ofrecer un
servicio fiable, se utilizan la detección y la recuperación de errores de transporte y el control del
flujo de la información.
Existen muchos escaneadores de puerto para llevar a cabo el reconocimiento en un host o red.
La capa de red es una capa compleja que proporciona conectividad y selección de ruta entre dos
sistemas host, que pueden encontrarse en redes geográficamente separadas. Los abusos a nivel de
paquete incluyen los escaneadores de ping, el sniffing, los ataques DoS, la inversión ARP, el nuking,
el ping de la muerte y el spoofing. Los ataques DDoS, como smurf, stacheldraht y TFN, son
especialmente dañinos para las redes y los dispositivos que son objetivo de ellos.
Capa 2: la capa de enlace de datos
La capa de enlace de datos proporciona un tránsito fiable de datos por un enlace físico. Esta capa
es la encargada del direccionamiento físico, en oposición al lógico, de la topología de la red, el
acceso a la red, la notificación de errores, la entrega organizada de tramas y el control de flujo.
Los abusos y la vulnerabilidades a nivel de trama incluyen el sniffing, el spoofing, las tormentas de
difusión y las LAN virtuales (VLAN, o ausencia de VLAN) inseguras o ausentes. Las tarjetas de
interfaz de red (NIC) mal configuradas o dañadas pueden provocar problemas serios en un
segmento de la red o en la red entera.
La capa física define las especificaciones eléctricas, mecánicas, procedimentales y funcionales para
la activación, mantenimiento y desactivación del enlace físico entre los sistemas finales. Las
especificaciones de la capa física definen características como los niveles de voltaje, la
temporización de los cambios de voltaje, las tasas físicas de datos, las distancias de transmisión
máximas, los conectores físicos y otros atributos.
La capa física es vulnerable a las escuchas telefónicas y al reconocimiento. Los medios de cobre y
la fibra se pueden cortar; este tipo de vandalismo puede hacer caer host, segmentos y redes
enteras. Los medios de fibra son mucho más seguros. Otros problemas son las inestabilidades en
la energía, los desastres naturales y las tormentas fuertes; todos ellos pueden afectar a los
dispositivos de red, hasta el extremo de dejarlos inoperativos.