Elementos claves para la seguridad en las redes

El uso satisfactorio de las tecnologías de internet requiere la protección de los datos valiosos y de
los recursos de la red ante la corrupción y la intrusión. Una solución de seguridad contiene cinco
elementos clave:

 Identidad
 Seguridad del perímetro
 Privacidad de los datos
 Administración de la seguridad
 Administración de políticas

Identidad

La identidad se refiere a la identificación precisa y positiva de los usuarios, hosts, aplicaciones,

servicios y recursos de la red. Entre las tecnologías estándar que permiten la identificación
podemos citar los protocolos de autenticación como RADIUS (Remote Access Dial-In User Service,
Servicio de usuario por acceso remoto por marcación) y TACACS+ (Terminal Access Controller
Access Control System Plus, Sistema plus de control de acceso al controlador de acceso al
terminal), Kerberos y las herramientas OTP (One-Time Password, contraseña de un solo uso). Las
tecnologías nuevas, como los certificados digitales, las tarjetas inteligentes, la biometría y los
servicios de directorio, están empezando a jugar p apeles cada vez mas importantes en las
soluciones de la identidad.

Seguridad de perímetro

La seguridad de perímetro proporciona los medios para controlar el acceso a las aplicaciones de
red, datos y servicios críticos, de modo que solo los usuarios y la información legítimos puedan
pasar a través de la red. Los routers y los switches son filtros de paquetes y capacidad de firewall,
además de los dispositivos firewall dedicados a proporcionar ese control. Otras herramientas
complementarias, como los rastreadores de virus y los filtros de contenidos, también ayudan a
controlar los perímetros de la red.

Privacidad de los datos

Cuando es preciso proteger la información de las escuchas secretas, es crucial la capacidad de

proporcionar una comunicación autenticada y confidencial. En ocasiones, la separación de datos
utilizando tecnologías de tunneling, como GRE (Generic Routing Encapsulation, Encapsulación de
enrutamiento genérico) o L2TP (Layer 2 Tunneling Protocol, Protocolo de Tunneling de la capa 2),
ofrece una privacidad eficaz de los datos. Sin embargo, una privacidad adicional requiere a
menudo el uso de tecnología de cifrado y protocolos digitales, como IPSec (Seguridad IP). Esta
protección adicional es especialmente importante a la hora de implementar VPN.
Administración de la seguridad

Para garantizar que una red sigue siendo segura, es importante comprobar y monitorizar
regularmente el estado de la preparación de la seguridad. Los escaneadores de vulnerabilidades
en la red pueden identificar proactivamente áreas débiles, mientras que los sistemas de detección
de intrusiones pueden monitorizar y responder ante eventos de seguridad cuando estos aparecen.
Mediante las soluciones de monitorización de la seguridad, las empresas pueden obtener una
visibilidad significativa tanto del flujo de datos de la red como de la actitud de la red en materia de
seguridad.

Administración de políticas

A medida que crece el tamaño y la complejidad de las redes, aumenta la necesidad de

herramientas de administración centralizada de políticas. Se hacen necesarias herramientas más
sofisticadas que puedan analizar, interpretar, configurar y monitorizar el estado de la seguridad.
Las herramientas con una interfaz de usuario basada en un navegador pueden mejorar la
usabilidad y la eficacia de las soluciones de seguridad en redes.

Percepción de la seguridad

Normalmente, los usuarios no son conscientes de las ramificaciones de la seguridad provocadas

por determinadas acciones. Las personas que utilizan redes de computadores a modo de
herramientas para realizar su trabajo quieren llevar a cabo sus funciones tan eficazmente como
sea posible, las medidas de seguridad son consideradas a menudo más una molestia que una
ayuda. Es imperativo para las empresas proporcionar a sus empleados la enseñanza adecuada
para educarles sobre los muchos problemas y ramificaciones de los problemas relacionados con la
seguridad. Dicha enseñanza debe estar basada en una política de seguridad corporativa.

La enseñanza en seguridad debe proporcionarse a todo el personal que diseña, implementa o

mantiene los sistemas de red. Esa enseñanza debe incluir información relacionada con los tipos de
técnicas de seguridad y control interno que pueden incorporarse al desarrollo, funcionamiento y
mantenimiento de un sistema de red.

Las personas que son responsables de la seguridad de la red deben contar con un conocimiento
profundo de los siguientes temas:

 Técnicas de seguridad.
 Metodologías para la evaluación de amenazas y vulnerabilidades.
 Selección de criterios y planificación para la implementación de controles.
 Importancia de lo que está en riesgo si no se mantiene la seguridad.

Para las redes corporativas grandes, es buena práctica contar con un administrador de LAN por
cada LAN que se conecte al backbone corporativo. Dichos administradores pueden convertirse en
el foco de atención en caso de una diseminación de información respecto a actividades que
afectan a las LAN.
Antes de conectar una LAN al backbone corporativo deben existir ciertas reglas para la
implementación de una política de seguridad. Algunas de esas reglas son las siguientes:

 Proporcionar una política de seguridad corporativa bien documentada.

 Proporcionar descargas de software controladas.
 Proporcionar la enseñanza adecuada al usuario.
 Proporcionar un plan bien documentado a recuperación ante un desastre.

Las personas encargadas de distribuir las contraseñas también deben tener la formación
adecuada. Este personal debe asegurarse de que los usuarios presentan las credenciales correctas
antes de proceder a la reinstalación de las contraseñas olvidadas. Se han divulgado muchos
incidentes en los que los usuarios han recibido contraseñas nuevas simplemente porque se han
mostrado irritados; no se les exigió la presentación de las credenciales adecuadas.

Amenazas y vulnerabilidades a la seguridad

Tres puntos débiles principales son los catalizadores de las amenazas a la seguridad de la red:

 Debilidades en tecnología.
 Debilidades en la configuración, como se muestra en la tabla 1.2.
 Debilidades en la política de seguridad, como se muestra en la tabla 1.3.

Hay personas ansiosas, voluntariosas y cualificadas para beneficiarse de cada uno de los puntos
débiles en seguridad, y buscan continuamente nuevas hazañas y puntos débiles.

Tabla 1.2. Debilidades en la configuración

Punto débil Como se puede explotar ese punto débil

Cuentas de usuarios no seguras.
Cuentas del sistema con contraseñas fáciles de
adivinar.
Servicios de internet mal configurados.
Parámetros determinados no seguros dentro
de los productos.
La información de una cuenta de usuario puede
transmitirse de forma no segura por la red,
quedando expuestos los nombres de usuarios y
sus contraseñas a los fisgones (sniffers).
Cuando los fisgones pueden adivinar fácilmente
las contraseñas, obtienen el acceso a los
sistemas de los usuarios. Este problema, que
implica una elección pobre a la hora de
determinar una contraseña, es muy común.
Un problema común es el relacionado con la
activación de Java o JavaScript en los
navegadores web, lo que permite ataques a
través de applets Java hostiles.
Muchos productos tienen una configuración
predeterminada que proporciona agujeros en
la seguridad.
 Equipos de red mal configurados. La mala configuración de los propios equipos
puede provocar problemas de seguridad. Por
ejemplo, las listas de acceso, los protocolos de
enrutamiento o las cadenas de comunidad
SNMP1 pueden abrir grandes agujeros de
seguridad.
1
SNMP = Simple Network Management Protocol, Protocolo simple de administración de redes.

Tabla 1.3. Debilidades en la política de seguridad.

Punto débil Como se puede explotar ese punto débil

Carencia de una política de calidad por escrito.
Políticas.
Falta de continuidad.
Controles de acceso lógico no aplicados.
La administración de la seguridad esta
descuidada, incluyendo la monitorización y la
auditoria.
La instalación del software y el hardware y los
cambios no siguen la política.
No existe un plan de recuperación ante
desastres.
Fracaso a la hora de adherirse y reforzar la
política de seguridad.
Una política no escrita no puede aplicarse o
reforzarse de forma consistente.
Las batallas políticas y las guerras internas
pueden dificultar la implementación de una
política de seguridad coherente.
La sustitución frecuente del personal puede
conducir a una metodología errática en cuanto
a la seguridad.
Una selección pobre, fácilmente adivinable, o
las contraseñas predeterminadas pueden
permitir el acceso no autorizado a la red.
La monitorización y auditoria inadecuadas
permiten ataques y uso no autorizado,
consumiendo los recursos de la empresa. Este
problema puede dar lugar a una acción legal
contra los siguientes profesionales si estos
permiten que persistan esas condiciones
inseguras: técnicos de TI, administradores de TI
o, incluso la dirección de la empresa.
Los cambios no autorizados en la topología de
la red o la instalación de aplicaciones no
aprobadas crean agujeros en la seguridad.
La ausencia de un plan de recuperación ante
desastres permite el caos, el pánico y la
confusión cuando alguien ataca la empresa.
Una política de seguridad solo es eficaz si se
esfuerza y se comunica claramente. De no
hacerlo, aumenta la posibilidad de un ataque a
la red.
 Puntos débiles en la seguridad de la red

Para que exista una comunicación a través de la red, deben activarse y ejecutarse determinados
servicios. Normalmente, una red consta de protocolos, sistemas operativos de escritorio y
dispositivos de red utilizados para p asar datos por la red. Cada uno de estos componentes de red
tiene sus puntos débiles que pueden explotarse. Las siguientes secciones explican algunos de los
puntos débiles más comunes en la seguridad e n las redes:

 Puntos débiles de protocolo TCP/IP, incluyendo HTTP, ICMP, SNMP, SMTP, DoS.
 Puntos débiles del sistema operativo, incluyendo INUX, MS-Windows, OS/2.
 Puntos débiles del equipamiento de red, incluyendo:
- Protección de la contraseña.
- Carencia de autenticación.
- Protocolos de enrutamiento.
- Mala configuración de los protocolos.

Puntos débiles del protocolo TCP/IP

TCP/IP es un estándar abierto que se diseño originalmente para alcanzar los computadores
militares y universitarios. Cuando TCP/IP fue creado, los ingenieros no esperaban que se
convirtiera en el protocolo global de internet y un protocolo de red privada predominante.
Aunque TCP/IP se creó en Estados Unidos con fines militares, no se diseño para prevenir
amenazas a la seguridad de las redes.

HTTP ( Hypertext Transfer Protocol, Protocolo de transferencia de hipertexto), FTP (File Tranfer
Protocol, Protocolo de transferencia de archivos) e ICMP ( Internet Control Message Protocol,
Protocolo de mensajes de control de internet) son intrínsecamente inseguros. Por ejemplo, los
paquetes ICMP no incluyen ningún método para autenticar el emisor de un mensaje ICMP. Los
piratas pueden burlar los paquetes ICMP e inundar los host o los dispositivos de red
desprotegidos.

SNMP (Simple Network Management Protocol, Protocolo simple de administración de redes),

SMTP (Simple Mail Transfer Protocol, Protocolo simple de transferencia de correo) y las
inundaciones SYN están relacionadas con la estructura intrínsecamente insegura sobre la que s e
diseño TCP/IP.

Por ejemplo. SNMP es un estándar a vierto que permite a los administradores de redes
monitorizar y administrar los dispositivos conectados en red. SNMP permite que tipos de redes
distintos se puedan comunicar intercambiando información de red mediante mensajes de unidad
de datos de protocolo. Sin embargo, la versión 1 de SNMP es intrínsecamente insegura debido a
la debilidad del control de acceso, de la autenticación y la privacidad.
Puntos débiles del sistema operativo

Todos los sistemas operativos (UNIX; Linux; Macintosh; Windows NT, 9x, 2K y XP; OS/2) tienen
problemas de seguridad intrínsecos que deben corregirse.

Los archivos de CERT (Computer Emergency Response Team, Equipo de respuesta a emergencias
de computación), que puede controlar en http://www.cert.org/, documentan en detalle los
puntos débiles del sistema operativo.

Puntos débiles del equipamiento de red

Distintos tipos de dispositivos de red (por ejemplo, routers, firewalls y switches) tienen puntos
débiles en seguridad que deben conocerse y remediarse: carencia de protección de contraseñas,
ausencia de autentificación, protocolos de enrutamiento y agujeros en el firewall.

Principales amenazas a la red

Las amenazas son cada vez más sofisticadas, a la vez que se requiere menor conocimiento
técnico para llevar a cabo los ataques.

Las cuatro principales clases de amenaza para la seguridad de una red son las siguientes:

 Amenazas no estructuradas. Constan principalmente de personas sin experiencia que

utilizan herramientas de pirateo que se consiguen fácilmente, como los scripts Shell
y los crackers de contraseñas. Incluso las amenazas no estructuradas que se llevan a
cabo únicamente con la idea de poner a prueba y desafiar los conocimientos de un
pirata provocan un daño serio a una empresa. Por ejemplo, si el sitio web externo de
una empresa resulta pirateado, se ve dañada la integridad de la empresa. Aun cuando
el sitio web externo este separado de la información interna, que queda protegida
tras un firewall protector, el público no es consciente de este hecho; todo el mundo
sabe que el sitio es un entorno seguro para dirigir la empresa.
 Amenazas estructuradas. Son las que representan los piratas altamente motivados y
técnicamente competentes. Este tipo de personas conocen los puntos débiles del
sistema, y pueden entender y desarrollar un código que los explote. Conocen,
desarrollan y utilizan técnicas de pirateo sofisticadas para entrar en las empresas
confiadas. Estos grupos a menudo están implicados en los fraudes y casos de robos
principales que se denuncian.
 Amenazas externas. Son las provocadas por individuos o empresas que trabajan fuera
de una empresa que no ha autorizado el acceso a los sistemas o redes de
computadores. Esas personas trabajan normalmente a través de internet o a través de
servidores de acceso por marcación telefónica.
  Amenazas internas. Son posibles cuando alguien ha autorizado el acceso a la red
mediante una cuenta en un servidor o el acceso físico a la red. Según el FBI, el acceso
interno y el abuso representan del 60 al 80 por ciento de los incidentes denunciados.

Puntos débiles: Capas del modelo OSI

Cada una de las capas del modelo de internetworking de sistemas abiertos (OSI) tiene un conjunto
de funciones que debe llevar a cabo para que los datos viajen desde un origen hasta un destino en
una red (consulte la Tabla 1.4). Es posible aprovecharse de cada una de estas capas debido a sus
puntos débiles intrínsecos.

Tabla 1.4. El modelo OSI

Capa Nombre Descripción Ataque a la capa

Física Transmisión Medios, Escucha telefónica y sniffing, acceso a red
binaria conectores, completo y reconocimiento en una LAN no
dispositivos conmutada, vandalismo, desastres naturales,
corte de energía, robo, etcétera.
Enlace de Acceso al MAC1, LLC2 Reconocimiento y sniffing, manipulación de
datos medio tramas, VLAN3 inseguras o inexistentes,
spoofing, tormentas de difusión, NIC 4 mal
configuradas o dañadas, robots de ataque (Bots)
almacenados en la EPROM5 de la NIC.
Red Direccion y IP, IPX6, ICMP Escaneadores de ping y sniffing de paquetes,
mejor ruta inversión ARP7 y spoofing, DDoS, smurf, TFN
stacheldraht, ping de la muerte, fragmentación,
nuking.
Transporte Conexiones TCP, UDP,SPX8 Escaneadores de puerto, spoofing y secuestro
extremo a de sesiones, ataques DoS, inundación SYN,
extremo bombas UDP, fragmentación.
Sesión Comunicación NFS, Monitorización del tráfico, puntos débiles
entre hosts SQL9,RPC10,Xw compartidos y acceso raíz.
indow,Bind,
SMB11
Presentació Representació ASCII, Los formatos de datos sin cifrar se visualizan
n n de datos EBCDIC12, fácilmente. Los troyanos comprimidos y los
HTML, PICT, archivos de virus pueden sortear la seguridad.
WAV Los datos con un cifrado débil pueden
descifrarse.
Aplicación Procesos de Telnet, FTP, Bombas de e-mail y correo basura (spam),
red a las rlogin, caballos de Troya (troyanos), virus; acceso no
aplicaciones Windows, autorizado a los dispositivos clave, ataques por
Mac OS, fuerza bruta; agujeros explotados en el OS y los
UNIX, HTTP, SO de red; agujeros en los navegadores, código
SNMP, Java, ActiveX, CGI14 malintencionado;
 RMON13, DNS, asignación y reconocimiento, acceso o
whois, finger dispositivos de control; reconocimiento y
asignación, DNS Killer; control de demonios,
agujeros, permisos de acceso, captura de
teclado.

1
MAC = Media Acces Control, Control de acceso al medio.
2
LLC = Logical Link Control, Control de enlace lógico.
3
VLAN = Virtual Local Area Network, Red de area local virtual.
4
NIC = Network Interface Card, Tarjeta de intefaz de red.
5
EPROM = Erasable Programmable Read Only Memory, Memoria de solo lectura programable y
borrable.
6
IPX = Internetwork Packet Exchange, Intercambio de paquetes entre redes.
7
ARP = Address Resolution Protocol, Protocolo de resolución de direcciones.
8
SPX = Sequenced Packet Exchange, Intercambio de paquetes secuenciado.
9
SQL = Structured Query Language, Lenguaje de consulta estructurado.
10
RPC = Remote-Procedure Call, Llamada de procedimiento remoto.
11
SMB = Server Message Block, Bloque de mensajes del servidor.
12
EBCDIC = Extended Binary Coded Decimal Interchange Code, Código ampliado de caracteres
decimales codificados en binario.
13
RMON = Remote Monitoring, Monitorización remota.
14
CGI = Common Gateway Interface, Interfaz de Gateway común.

Capa 7: la capa de aplicación

Los ataques a la placa de aplicación se pueden llevar a cabo utilizando varios métodos. Una de
las técnicas comunes es explotar los puntos débiles bien conocidos del software que
normalmente se encuentra instalado en los servidores, como Sendmail, HTTP y FTP. Al
aprovecharse de esos puntos débiles, los piratas obtienen acceso a un computador con el permiso
de la cuenta que se encarga de ejecutar la aplicación; normalmente se trata de una cuenta con
privilegios a nivel de sistema. Con frecuencia, los ataques a la capa de aplicación se difunden a
través de listas de correo en un esfuerzo por permitir que los administradores rectifiquen el
problema con un parche. Por desgracia, muchos piratas también se suscriben a esas mismas listas
de correo para a prender sobre el ataque si todavía no lo han descubierto.

El principal problema que existe con los ataques a la capa de aplicación es que a menudo utilizan
puertos que están permitidos a través de un firewall. Por ejemplo, un pirata que se aprovecha de
una vulnerabilidad conocida de un navegador web a menudo utiliza el puerto TCP 80 en el ataque,
Como el servidor web destruye páginas a los usuarios, un firewall debe permitir el acceso a ese
puerto. Desde el punto de vista del firewall, se trata de un tráfico completamente normal por el
puerto 80.

Los ataques a la capa de aplicación nunca pueden eliminarse completamente. Los puntos débiles
que continuamente se descubren se difunden a la comunidad internet. Incitadas por las
demandas del mercado internet, las empresas continúan comercializando software y hardware
con muchos problemas y bugs de seguridad conocidos. Además, los usuarios continúan
dificultando la seguridad descargando, instalando y configurando aplicaciones no autorizadas que
introducen nuevos riesgos para la seguridad a una velocidad alarmante.

Capa 6: la capa de presentación

La capa de presentación garantiza que la información que la capa de aplicación de un sistema es

legible para la capa de aplicación de otro sistema. Si es necesario, la capa de presentación hace la
conversión entre varios formatos de datos utilizando un formato común. Desde un punto de vista
de la seguridad, cualquier usuario puede interceptar y leer esos paquetes de datos con muy poco
esfuerzo, especialmente en un entorno Ethernet CSMA/CD (acceso múltiple con detección de
portadora y detección de colisiones).

Para proteger los datos, es preciso utilizar el cifrado. El cifrado ayuda a mantener la privacidad y
seguridad de los datos, al hacer que estos solo sean legibles por el destino que posee la clave de
cifrado. Sin embargo, ahora se pueden descifrar muchas de las técnicas de cifrado comunes, lo que
genera la necesidad de métodos de cifrado más potentes. El inconveniente de los métodos de
cifrado más sofisticados es su lentitud, debido al aumento en los requisitos de procesamiento.

Otro problema para la capa de presentación implica a las técnicas de comprensión. Los troyanos,
virus y otros demonios de control comprimidos, o comprimidos con zip o tar pueden pasar
fácilmente a través de la mayoría de firewalls sin que sean detectados. Una vez que han llegado al
otro lado del firewall, pueden descomprimirse y comprometer a un computador host o red.
Capa 5: la capa de sesión

Como su nombre indica, la capa de sesión establece, administra y termina sesiones entre dos
hosts en comunicación. También sincroniza el dialogo entre las capas de presentación de los dos
hosts y administra su intercambio de datos. Además de la regulación de la sesión, la capa de sesión
ofrece planes para la eficacia de la transferencia de datos, la clase de servicio y la información de
excepción de los problemas de las capas de sesión, presentación y aplicación.

Muchos protocolos que funcionan en la capa de sesión (como NFS (Network File System, Sistema
de archivos de red), SQL (Sequenced Query Language, Lenguaje de consulta estructurado), SMB
(Server Message Block, Bloque de mensajes del servidor) y Xwindows) pueden explotarse para
obtener acceso no autorizado a los recursos. Además, a través de estos protocolos es posible
conseguir el control raíz del dispositivo.

Capa 4: La capa de transporte

La capa de trasporte segmenta los datos del sistema host emisor y los reensambla como flujo de
datos en el sistema host receptor. Al proporcionar un servicio de comunicación, la capa de
transporte establece, mantiene y termina correctamente los circuitos virtuales. Al ofrecer un
servicio fiable, se utilizan la detección y la recuperación de errores de transporte y el control del
flujo de la información.

La capa de transporte es especialmente vulnerable a un ataque. Muchas aplicaciones y protocolos

utilizan los puertos TCP y UDP bien conocidos que deben protegerse. Esta situación es análoga a
cerrar la puerta, pero dejando abiertas todas la ventanas. Las ventanas también deben cerrarse o
asegurarse. Pueden llevarse a cabo ataques a nivel de seguimiento, como los ataques DoS, el
spoofing y el hijacking.

Existen muchos escaneadores de puerto para llevar a cabo el reconocimiento en un host o red.

Capa 3: la capa de red

La capa de red es una capa compleja que proporciona conectividad y selección de ruta entre dos
sistemas host, que pueden encontrarse en redes geográficamente separadas. Los abusos a nivel de
paquete incluyen los escaneadores de ping, el sniffing, los ataques DoS, la inversión ARP, el nuking,
el ping de la muerte y el spoofing. Los ataques DDoS, como smurf, stacheldraht y TFN, son
especialmente dañinos para las redes y los dispositivos que son objetivo de ellos.
Capa 2: la capa de enlace de datos

La capa de enlace de datos proporciona un tránsito fiable de datos por un enlace físico. Esta capa
es la encargada del direccionamiento físico, en oposición al lógico, de la topología de la red, el
acceso a la red, la notificación de errores, la entrega organizada de tramas y el control de flujo.

Los abusos y la vulnerabilidades a nivel de trama incluyen el sniffing, el spoofing, las tormentas de
difusión y las LAN virtuales (VLAN, o ausencia de VLAN) inseguras o ausentes. Las tarjetas de
interfaz de red (NIC) mal configuradas o dañadas pueden provocar problemas serios en un
segmento de la red o en la red entera.

Capa 1: la capa física

La capa física define las especificaciones eléctricas, mecánicas, procedimentales y funcionales para
la activación, mantenimiento y desactivación del enlace físico entre los sistemas finales. Las
especificaciones de la capa física definen características como los niveles de voltaje, la
temporización de los cambios de voltaje, las tasas físicas de datos, las distancias de transmisión
máximas, los conectores físicos y otros atributos.

La capa física es vulnerable a las escuchas telefónicas y al reconocimiento. Los medios de cobre y
la fibra se pueden cortar; este tipo de vandalismo puede hacer caer host, segmentos y redes
enteras. Los medios de fibra son mucho más seguros. Otros problemas son las inestabilidades en
la energía, los desastres naturales y las tormentas fuertes; todos ellos pueden afectar a los
dispositivos de red, hasta el extremo de dejarlos inoperativos.