ut5 - seguridad corporativa

5. 5. –– SEGURIDAD EN REDES SEGURIDAD EN REDES CORPORATIVASCORPORATIVAS

Seguridad y Alta Disponibilidad 1

5.1. AMENAZAS Y ATAQUES

Las redes de ordenadores cada vez son más esenciales para las actividades diarias.

Los ataques e intrusiones a través de las redes públicas y privadas son cada vez más frecuentes, y pueden causar interrupciones costosas de servicios críticos y pérdidas de información.



Las amenazas en comunicaciones se pueden dividir en cuatro grandes grupos:

a) Interrupción: un objeto, servicio del sistema o datos en una comunicación se pierden, quedan inutilizables o no disponibles.

• Es un ataque contra la disponibilidad.• Ejemplos de este ataque son la destrucción de un elemento

hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de ficheros.

a) Interceptación: un elemento no autorizado consigue un acceso a un determinado objeto.

• Es un ataque contra la confidencialidad.• Ejemplos de este ataque son la copia ilícita de ficheros o

programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).



c) Modificación: además del acceso no autorizado consigue modificar el objeto; es posible, incluso, la destrucción.

• Es un ataque contra la integridad.• Ejemplos de este ataque son el cambio de valores en un

archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red.

d) Fabricación: modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el original y el “fabricado”.

• Este es un ataque contra la autenticidad. • Ejemplos de este ataque son la inserción de mensajes espurios

en una red o añadir registros a un archivo.



Ejemplos reales de dichas amenazas, técnicas de ataques informáticos en redes:◦ Ataque de denegación de servicio,

también llamado ataque DoS (Deny of Service), causando la interrupción del servicio. El servicio o recurso se hace inaccesible a los usuarios legítimos, normalmente provocado por: La pérdida de conectividad de la red por el

consumo de ancho de banda de la red de la víctima

O por sobrecarga de los recursos computacionales del sistema de la víctima.

Mediante botnet o redes zombi es posible controlar máquinas al realizar ataques distribuidos de saturación de servidores o DDoS.



◦ Sniffing, técnica de interceptación, consistente en rastrear e interceptar, monitorizando el tráfico de una red.


◦ Man in the middle (MitM), consistente en la interceptación y modificación de identidad. Un atacante supervisa una comunicación entre dos partes, falsificando las identidades de los extremos y, por tanto, recibiendo el tráfico en los dos sentidos.

5.1. AMENAZAS Y ATAQUES◦ Spoofing: es una técnica de fabricación, suplantando la

identidad o realizando una copia o falsificación de IP, MAC, DNS, web o mail. Falsificación de web bancaria: phishing.


5.1. AMENAZAS Y ATAQUES◦ Pharming: es una técnica de modificación Mediante la explotación de una vulnerabilidad en el software de los

servidores DNS o en el de los equipos de los propios usuarios, permite modificar las tablas DNS redirigiendo un nombre de dominio conocido, a otra máquina (IP) distinta, falsificada y probablemente fraudulenta.



La monitorización del trafico de red es un aspecto fundamental para analizar lo que está sucediendo en la misma, y poder tomar precauciones y medidas de seguridad en la misma.

Software de auditoría de seguridad en redes:◦ Sniffer: Wireshark, Cain & Abel. ◦ Spoofing, MitM, Pharming: Cain & Abel.◦ Protección contra MitM: Tablas ARP estáticas, no

modificables. Comando: arp –s IP MAC.◦ Monitorizar modificaciones en tablas ARP: Wireshark, o

sistema de detección de intrusos (IDS) como SNORT.


5.1.2. Amenazas externas e internas

Las amenazas de seguridad en redes corporativas o privadas de una organización pueden originarse:◦ Amenaza externa o de acceso remoto: los atacantes son

externos a la red privada o interna de una organización, y logran introducirse desde redes públicas. Los objetivos de ataques son servidores y routers accesibles desde el exterior, y pasarela de acceso a la redes corporativas.◦ Amenaza interna o corporativa: los atacantes acceden sin

autorización o pertenecen a la red privada de la organización, comprometiendo la información y los servicios de la misma.

Contra dichas amenazas: ◦ Defender la seguridad en la red corporativa de forma interna. ◦ Medidas de protección perimetral en equipos expuestos a redes

públicas.




Ataque Externo

InternetAtaqueInterno

AtaqueAtaqueAccesoAccesoRemotoRemoto

12

Firewalls (cortafuegos) Proxies (o pasarelas) Control de Acceso Cifrado (protocolos seguros) Seguridad del edificio Hosts, Servidores Routers/Switches

IntrusiónInterna

IntrusiónExterna

• Detección de Intrusiones



Para protegernos de las posibles amenazas internasalgunas propuestas son:

◦ Diseño de direccionamiento, parcelación y servicios de subredes dentro de nuestra red corporativa: subnetting, VLAN y DMZ, aislando y evitando que los usuarios puedan acceder en red local con los sistemas críticos.

◦ Políticas de administración de direccionamiento estático para servidores y routers.

◦ Monitorización del tráfico de red y de las asignaciones de direccionamiento dinámico y de sus tablas ARP.



◦ Modificación de configuraciones de seguridad y, en especial, contraseñas por defecto de la administración de servicios.

◦ En redes inalámbricas emplear el máximo nivel de seguridad, fundamentalmente en la encriptación.


5.2. SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)

Un IDS es una herramienta de seguridad que se utiliza para detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos que pueden comprometer la seguridad de dicho sistema.



Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host, aportan capacidad de prevención y de alerta anticipada.

Los tipos de IDS que encontramos son:

◦ HIDS (Host IDS): protegen un único servidor, PC o host.

◦ NIDS (Net IDS): protege un sistema basado en red, capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red.



La arquitectura de un IDS, a grandes rasgos, está formada por:

◦ La fuente de recogida de datos. Estas fuentes pueden ser un archivo de log, dispositivo de red, IDS host, el propio sistema.

◦ Reglas y filtros sobre los datos y patrones para detectar anomalías de seguridad en el sistema.

◦ Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail o SMS.

Ubicación del IDS: uno delante y otro detrás del cortafuegos perimetral de nuestra red.



Ejemplos: Windows y GNU/Linux:

◦ SNORT: sniffer, registro de paquetes, logs para su posterior análisis, o NIDS.

Ej: snort -dev -l ./log -h 192.168.1.0/24 -c /etc/snort/snort.conf snort.conf: configuración de las reglas, preprocesadores y otros

funcionamientos en modo NIDS.

◦ ISA Server (sólo Windows Server).

◦ TMG (sólo Windows Server R2).

◦ AlienVault (código abierto).



◦ Si se desea comprobar si hay algún sniffer funcionando en la red se puede utilizar herramientas como Antisniff, Sentinel o Promiscan.◦ Antisniff (http://packetstormsecurity.org/sniffers/antisniff/).

Es una de las mejores herramientas de detección de sniffer de forma remota, aunque quizás este un poquitín obsoleta, sobre todo porque no contempla la nueva generación de sniffers.◦ Sentinel (http://packetstormsecurity.org). Permite detectar

un sniffer dentro de una red LAN.◦ Promiscan (www.securityfriday.com). Permite detectar si en

una red hay un equipo con un adaptador de red en modo promiscuo (sniffer). La utilización de promiscan es muy sencilla ya que tan sólo hay que instalarlo y él automáticamente escanea la red en busca de un equipo en modo promiscuo.



Los sistemas de detección de intrusos permiten detectar actividad inadecuada, incorrecta o anómala dentro de la red. Por lo tanto, en su sentido más amplio, un buen IDSserá capaz de detectar las acciones de atacantes externos (intrusiones propiamente dichas), así como la actividad de los atacantes internos dentro de la red.

Ahora bien, ¿qué se entiende por actividad anómala? ó¿qué se considera como intrusión? Aunque la definición puede variar en función del IDS utilizado, en general se consideran intrusiones las siguientes actividades: ◦ Reconocimiento◦ Explotación◦ Denegación de Servicio.



◦ Reconocimiento. Los intrusos suelen explotar una red antes de intentar atacarla utilizando técnicas como barridos de ping, explotación de puertos TCP y UDP, identificación del SO, intentos de inicio de sesión, etc. Mientras que un cortafuegos puede limitarse a bloquear esos sondeos, el IDS hará saltar la alarma.

◦ Explotación. Una vez que en la fase de reconocimiento se ha identificado el objetivo a atacar, el intruso intentará utilizar agujeros del sistema (p.e. fallos en los servidores Web, en los navegadores de los usuarios, enmascaramiento de IP, desbordamiento de buffer, ataques DNS). Muchos de estos ataques pasarán completamente desapercibidos en el cortafuegos, mientras que un buen IDS alertará de ellos.



◦ Denegación de servicio. Se trata de un ataque capaz de dejar sin servicio una determinada máquina. Normalmente, se utilizan técnicas como el ping de la muerte, inundación SYN, Land, WinNuke, smurtf, ataques distribuidos, etc. Algunos IDSpodrán detectarlos antes de que los servidores bajo ataque dejen de funcionar.


5.3. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED

TCP/IP es la arquitectura de protocolos que usan los ordenadores para comunicarse en red.◦ Emplea puertos de comunicaciones o numeración lógica que se

asignan para identificar cada una de las conexiones de red,tanto en el origen como en el destino.

◦ Algunos de los servicios de red más habituales utilizan los denominados puertos bien conocidos 80 HTTP o web 20-21 para transferencia de ficheros FTP 22 para administración remota en modo comando SSH.

◦ Los distintos sistemas y sus aplicaciones de red, también ofrecen y reciben servicios a través de dichos puertos. Solamente a través de un conocimiento y análisis exhaustivo de los

puertos y las aplicaciones y equipos que los soportan podemos asegurar nuestras redes.



El análisis y control de los puertos se pueden realizar desde distintos frentes:

1.- En una máquina local, observando qué conexiones y puertos se encuentran abiertos y qué aplicaciones los controlan.

El comando netstat y todas las aplicaciones basadas en éste permiten ver el estado en tiempo real de nuestras conexiones.

La aplicación nmap también permite ver si los puertos están o no abiertos.

Los cortafuegos o firewall personales ofrecen protección frente a ataques externos.



2.- En la administración de red, para ver qué puertos y en quéestado se encuentran los de un conjunto de equipos.

La aplicación nmap permite un escaneo de puertos, aplicaciones y sistemas operativos, en un rango de direcciones.

Aplicaciones tanto gratuitas como de uso comercial tales como GFI Languard, Angry IP Scan, OpenNMS, Nagios, …

Los cortafuegos y proxys perimetrales ofrecen protección mediante un filtrado de puertos y conexiones hacia y desde el exterior de una red privada.



Tras realizar un análisis exhaustivo a nivel de puertos, debemos proteger nuestras conexiones, haciéndolas seguras, por ejemplo, cuando enviemos información confidencial.

Análisis de puertos y aplicaciones de red, en 192.168.1.0/24 con NMAP (aplicación gráfica ZENMAP).


5.4. COMUNICACIONES SEGURAS

La mayoría de las comunicaciones que empleamos en la red como HTTP, FTP o SMTP/POP no emplean cifrado en las comunicaciones.

◦ Wireshark o Cain & Abel tienen la capacidad de recuperar tráfico y contraseñas de dichos protocolos.



En cambio, existen protocolos que emplean comunicaciones cifradas:

◦ SSH (puerto 22) empleado como túnel o con el envío seguro de archivos mediante SFTP.

◦ SSL y TLS: Secure Sockets Layer -Protocolo de Capa de Conexión Segura- (SSL) y Transport Layer Security -Seguridad de la Capa de Transporte- (TLS), su sucesor. Se ejecutan en una capa entre los protocolos de aplicación y sobre el

protocolo de transporte TCP. Entre otros, se emplea a través de puertos específicos con HTTPS, FTPS, SMTP/TLS, POPS, etc.



◦ IPSEC o Internet Protocol SECurity, conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos.

Actúan en la capa 3 con lo que pueden ser utilizados por protocolos de la capa 4, TCP y UDP.

Una ventaja importante es que para que una aplicación pueda utilizar IPSEC no hay que hacer ningún cambio.


5.4.3. TÚNELES

Un túnel se utiliza para encriptar tráfico de aplicaciones individuales.◦ Encripta el tráfico para un protocolo y puerto determinado.◦ Algunas implementaciones permiten comprimir el tráfico. Si bien

esto depende de la relación entre la velocidad de la red y de la CPU.◦ No es útil para aplicaciones que pueden generar conexiones

dinámicamente.


5.4.3. TÚNELES

Túnel SSH◦ Tuneliza de forma nativa y transparente conexiones X11.◦ Comprime con gzip.◦ Tuneliza solamente sobre TCP. No soporta UDP.◦ No es útil para aplicaciones que pueden generar conexiones

dinámicamente.◦ No dar privilegios al usuario que crea el túnel.◦ Restringir el acceso a la clave pública en el servidor.


5.4.3. TÚNELES

Túnel Stunnel◦ Permite dar soporte SSL a servicios que no lo tienen

nativamente (https, imaps, etc.).◦ Una sola instancia en ejecución del proceso Stunnel puede

atender varios túneles.◦ Tuneliza solamente sobre TCP. No soporta UDP.


5.4.4. VPN

Una aplicación esencial hoy día en el ámbito de las conexiones seguras es el empleo las VPN.

Una red privada virtual o VPN (Virtual Private Network) es la interconexión de un conjunto de ordenadores haciendo uso de una infraestructura pública, normalmente compartida, para simular una infraestructura dedicada o privada.


◦ Las VPNs tienen la característica de utilizar direccionamiento no integrado en la red del ISP.◦ Se cifra la información a través

de la infraestructura pública.

5.4.4. VPN

Ejemplos de uso: ◦ Conectar utilizando Internet, dos o más sucursales de una

empresa.◦ Permitir a los miembros del equipo de soporte técnico la

conexión desde su casa al centro de trabajo (acceso remoto).


5.4.4. VPN

Se basa en la creación de túneles. Los túneles pueden conectar usuarios u oficinas remotas.


Red SNA

Red TCP/IP

Túnel SNA transportando datagramas IPLos datagramas IP viajan ‘encapsulados’ en paquetes SNA

Encapsulador Encapsulador

Datagrama IPPaquete

SNA

Red TCP/IP

5.4.4. VPN

Para hacerlo de manera segura es necesario garantizar:◦ Autenticación y autorización: se controlan los usuarios y/o

equipos y qué nivel de acceso deben tener.

◦ Integridad: los datos enviados no han sido alterados; para ello, se utilizan funciones resumen o hash, como MD5 (Message Digest) o SHA (Secure Hash Algorithm).

◦ Confidencialidad: la información que viaja a través de la red pública solo puede ser interpretada por los destinatarios de la misma. Para ello, se hace uso de algoritmos de cifrado como DES (Data Encryption Standard), 3DES (Triple DES) y AES (Advanced Encryption Standard).

◦ No repudio: los mensajes tienen que ir firmados.


5.4.4. VPN

Los componentes de una VPN son:

• Servidor VPN.• Cliente VPN.• Túnel, protocolos de túnel y Red de Tránsito.• Conexión VPN.


5.4.4. VPN

• Servidor VPN: Generalmente, los servidores VPN son hardware dedicado ejecutando software de servidores. Dependiendo de los requerimientos de la organización, puede haber uno o más servidores VPN. Escucha la peticiones de conexión VPN. Negocia parámetros y requerimientos de conexión, tales como los

mecanismos de cifrado y autenticación. Autenticación y autorización de clientes VPN. Acepta información del cliente o la petición de reenvío de

información del cliente. Actúa como el punto final del túnel VPN y la conexión. El otro

punto de conexión se provee por las peticiones del usuario a la conexión VPN.


5.4.4. VPN

• Cliente VPN: son máquinas locales o remotas que inicializan la conexión VPN a un servidor VPN y se introducen a la red remota después de haberse autenticado en el extremo de la misma. Después de un acceso exitoso pueden comunicarse mutuamente el servidor VPN y el cliente.

• Túnel, protocolos de túnel y Red de Tránsito: parte de la conexión de la red exterior en la que los datos van encapsulados.

• Conexión VPN: enlace sobre un medio compartido en el cual los datos son cifrados y encapsulados.


5.4.4. VPN

Ventajas:

◦ Reducción de costos de implementación: las VPNs son considerablemente menos costosas que las soluciones tradicionales, las cuales están basadas en líneas alquiladas, Frame Relay, ATM o ISDN.

◦ Reducción de costos por administración y manejo: al reducir los costos de comunicaciones a larga distancia, las VPNs también bajan los costos de las redes WAN considerablemente.

◦ Seguridad en las transacciones: usan las tecnologías de túneles para transmitir datos a través de las redes públicas 'inseguras'. Esto conlleva cifrado, autenticación y autorización para garantizar la seguridad, confiabilidad e integridad de los datos transmitidos.


5.4.4. VPN

Ventajas:

◦ Uso eficiente del ancho de banda: las VPNs crean túneles lógicos cuando son requeridas. En el caso de las conexiones a Internet basadas en líneas alquiladas, el ancho de banda es desperdiciado enteramente cuando no existe una conexión activa.

◦ Alta escalabilidad: como las VPNs están basadas en las conexiones a Internet, permiten a la red interna (Intranet) corporativa evolucionar y crecer, cuando y como el negocio cambie, con el mínimo de equipo extra o expansiones.


5.4.4. VPN

Existen tres arquitecturas de conexión VPN:

◦ VPN de acceso remoto: es el más usado. Usuarios o proveedores se conectan con la empresa desde sitios remotos utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa.

◦ VPN punto a punto: conecta ubicaciones remotas como oficinas, con una sede central de la organización. El servidor VPN posee un vínculo permanente a Internet y acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Mediante la técnica de Tunneling se encapsularáun protocolo de red sobre otro creando un túnel dentro de una red.


5.4.4. VPN

Existen tres arquitecturas de conexión VPN (cont.):

◦ VPN over LAN o interna: es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Sobre la propia LAN de la empresa, aísla zonas y servicios de la red interna, a los que se puede añadir cifrado y autenticación mediante VPN.

Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).

Un ejemplo clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de RRHH habilitado pueda acceder a la información.


5.4.4. VPN


Puede ir encriptado(si se usa IPSec ESP)

200.1.1.20

ISP 1

ISP 2

199.1.1.69

199.1.1.10Servidor de Túneles

Rango 199.1.1.245-254

Túnel VPN199.1.1.245

Origen: 200.1.1.20 Destino: 199.1.1.10Origen: 199.1.1.245Destino: 199.1.1.69

DatosPOP (Point Of Presence)

Red 200.1.1.0/24Ping 199.1.1.69

Origen: 199.1.1.245Destino: 199.1.1.69

Datos

Servidor con accesorestringido a usuariosde la red 199.1.1.0/24

Red 199.1.1.0/24

VPN para un usuario remoto

5.4.4. VPN


VPN para una oficina remota

199.1.1.69

Túnel VPN

Internet

Red oficinaremota

Red oficinaprincipal

200.1.1.20

199.1.1.245

199.1.1.246199.1.1.1

A 199.1.1.192/26 por 200.1.1.20

Subred 199.1.1.192/26 Subred 199.1.1.0/25

199.1.1.193

Origen: 199.1.1.245Destino: 199.1.1.69

DatosPing 199.1.1.69

199.1.1.50

Puede ir encriptado(si se usa IPSec ESP)

Origen: 200.1.1.20 Destino: 199.1.1.1

Origen: 199.1.1.245Destino: 199.1.1.69

Datos

5.4.4. VPN

Implementaciones.

◦ Las distintas opciones disponibles en la actualidad caen en tres categorías básicas: Soluciones de hardware Soluciones basadas en firewall Aplicaciones VPN por software.

◦ Cada tipo de implementación utiliza diversas combinaciones de protocolos para garantizar las tres características fundamentales de la Seguridad Informática: Autenticación, Integridad y Confidencialidad.


5.4.4. VPN

1. Las soluciones de hardware casi siempreofrecen:◦ Mayor rendimiento◦ Mayor facilidad de configuración◦ Menos flexibilidad que las versiones por software. ◦ Dentro de esta familia tenemos a los productos de Cisco,

Linksys, Nortel, Netscreen, Symantec, Lucent, Nokia, US Robotics, D-Link. etc.

2. En el caso basado en firewalls, se obtiene un nivel de seguridad alto por la protección que brinda el firewall, pero se pierde en rendimiento. Muchas veces se ofrece hardware adicional para procesar la carga vpn. Ejemplo Checkpoint NG, Cisco Pix.


5.4.4. VPN

3. Las aplicaciones VPN por software son las más configurables, obviamente el rendimiento es menor y la configuración más delicada, porque se suma el sistema operativo y la seguridad del equipo en general. Estas VPNs son ideales en casos donde ambos extremos de la VPN no están controlados por la misma organización o cuando diferentes firewalls y enrutadores se implementan dentro de la misma.◦ Hay soluciones nativas de Windows como ISA Server / TMG

Forefront◦ También hay soluciones para Linux y los Unix en general. Por ejemplo productos de código abierto (Open Source) como

OpenSSH, OpenVPN y FreeS/Wan.


5.4.4. VPN

El protocolo estándar que utiliza VPN es IPSEC.

También trabaja con PPTP, L2TP, SSL/TLS, SSH, etc. Dos de las tecnologías más utilizadas:◦ PPTP o Point to Point Tunneling Protocol: protocolo Microsoft.

Sencillo y fácil de implementar pero de menor seguridad que L2TP. ◦ L2TP o Layer Two Tunneling Protocol: estándar abierto y

disponible en la mayoría de plataformas Windows, Linux, Mac, etc. Se implementa sobre IPSec y proporciona altos niveles de seguridad.

Ejemplo conexiones remotas: Windows y GNU/Linux Logmein Hamachi: crea una red privada entre hosts remotos.


5.4.4. VPN

Modos de funcionamiento IPSec:

◦ Modo transporte: comunicación segura extremo a extremo. Requiere implementación de IPSec en ambos hosts. No se cifra la cabecera IP.

◦ Modo túnel: comunicación segura entre routers únicamente que ejecutan pasarelas de seguridad. Encripta el paquete IP por completo. Permite incorporar IPSec sin tener que modificar los hosts. A los paquetes se añade otra cabecera. Se integra cómodamente con VPNs.


5.4.4. VPN


Internet

Túnel IPSec

Internet

Router o cortafuegocon IPSec

IPSec modo túnel Router o cortafuegocon IPSec

Host con IPSec Host con IPSecIPSec modo transporte

5.5. REDES INALÁMBRICAS

Ventajas sobre el cable: ◦ Conectividad en cualquier momento y lugar, es decir mayor

disponibilidad y acceso a redes. ◦ Instalación simple y económica. ◦ No hay limitaciones físicas de cableado por los que es

fácilmente escalable.

Riesgos y limitaciones. ◦ Rangos del espectro de radiofrecuencia (RF) sin costes de

licencia por su transmisión y uso. Rangos saturados (al ser de uso público) e interferencias entre señales de diferentes dispositivos. ◦ Poca seguridad. Permite a cualquier equipo con tarjeta de red

inalámbrica interceptar cualquier comunicación de su entorno.


5.5. REDES INALÁMBRICAS

Se han desarrollado técnicas para ayudar a proteger las transmisiones inalámbricas: mejoras continuas en encriptación y la autenticación.

Comunicaciones cableadas (fibra, cable de pares, coaxial) son aún los medios de acceso físico más seguros que existen en la actualidad.

http://www.criptored.upm.es/intypedia/video.php?id=introduccion-seguridad-wifi


5.5.1. SISTEMAS DE SEGURIDAD EN WLAN

Los sistemas de cifrado empleados tanto para autenticación como para encriptación en redes inalámbricas son:

◦ Sistema abierto u Open System: sin autenticación en el control de acceso a la red, realizado por el punto de acceso, nicifrado en las comunicaciones.

◦ WEP o Wired Equivalent Privacy o Privacidad Equivalente a Cableado: sistema estándar en la norma 802.11. Encriptación de los mensajes claves de 13 (104 bits) o 5 (40 bits) caracteres, también denominadas WEP 128 o WEP 64 respectivamente. Autenticación existen dos métodos:



Sistema abierto u Open system, el cliente no se tiene que identificar en el Punto de Acceso durante la autenticación. Después de la autenticación y la asociación a la red, el cliente tendrá que tener la clave WEP correcta para descifrar mensajes enviados y recibidos.

Claves precompartida, Pre-Shared Keys o PSK. Se envía la misma clave de cifrado WEP para la autenticación, verificado por el punto de acceso.



Es aconsejable usar la autenticación de sistema abierto para la autenticación WEP, ya que es posible averiguar la clave WEP interceptando los paquetes de la fase de autenticación.

◦ WPA o Wi-Fi Protected Access o Acceso Protegido Wi-Fi: creado para corregir las deficiencias del sistema previo WEP. Actualmente se emplea WPA2 como estándar 802.11i.

◦ Se proponen dos soluciones según el ámbito de aplicación: WPA2 Empresarial o WPA2-Enterprise (grandes empresas): la

autenticación es mediante el uso de un servidor RADIUS donde se almacenan las credenciales y contraseñas de los usuarios de la red.

WPA2 Personal (pequeñas empresas y hogar): la autenticación se realiza mediante clave precompartida, similar al WEP.



Una de las mejoras de WPA sobre WEP es la implementación del protocolo de integridad de clave temporal (TKIP -Temporal Key Integrity Protocol), que cambia claves dinámicamente a medida que el sistema es utilizado.

Aporta un mayor nivel de seguridad en el cifrado con el algoritmo de cifrado simétrico AES. Es más robusto y complejo que TKIP pero su implementación requiere hardware más potente por lo que no se encuentra disponible en todos los dispositivos.



WPA2-Personal utiliza ◦ Autentificación: PSK (PreShared Key).Contraseña compartida entre el

punto de acceso y los clientes Wi�Fi◦ La contraseña debe ser suficientemente larga (más de 20 caracteres)

y difícilmente adivinable.◦ Opción recomendada para redes Wi-Fi personales o para pequeñas

empresas.

WPA2-Enterprise utiliza◦ Autentificación: 802.1X/EAP.

Contraseñas aleatorias (servidor RADIUS).◦ Múltiples tipos de protocolos EAP: Usuario y contraseña, certificados

digitales, tarjetas inteligentes (smartcards)…◦ Opción recomendada para redes Wi-Fi empresariales o corporativas.



WPA2 Enterprise o empresarial:1. Configurar Servidor Radius (ej:Freeradius)2. Asociar punto de acceso a servidor de

autenticación RADIUS3. Configurar cliente o tarjeta de red inalámbrica.


5.5.2. RECOMENDACIONES DE SEGURIDAD EN WLAN

Acceso a redes inalámbricas, punto muy débil de seguridad en redes corporativas:

1. Asegurar la administración del punto de acceso (AP), punto de control de las comunicaciones de todos los usuarios, crítico en la red, cambiar la contraseña por defecto.

2. Actualizar el firmware disponible mejorar sus prestaciones de seguridad.

3. Aumentar la seguridad de los datos transmitidos: encriptación WPA/WPA2 o servidor Radius, y cambiando las claves regularmente.

4. Sistema de detección de intrusos inalámbrico (WIDS).



5. Reducir la intensidad del alcance de la señal.

6. Realizar una administración y monitorización minuciosa, administración más compleja de clientes, pero más segura:1. Cambia el SSID por defecto y no desactivar el broadcasting

SSID. Los clientes deberán conocer el nombre del SSID.2. Desactivar el servidor DHCP, y asignar manualmente las

direcciones IP en clientes. 3. Cambiar las direcciones IP del punto de acceso y el rango de la

red por defecto.4. Filtrado de conexiones permitidas mediante direcciones MAC. 5. Número máximo de dispositivos que pueden conectarse. 6. Analizar periódicamente los usuarios conectados verificando si

son autorizados o no.

7. Desconectar AP cuando no se use.



8. En los clientes Wi-Fi:

Actualización del sistema operativo y controlador Wi�Fi

Deshabilitar el interfaz Wi�Fi cuando no se está utilizando

Evitar conectarse a redes Wi�Fi inseguras, como por ejemploredes públicas abiertas o basadas en WEP

Mantener actualizada la lista de redes preferidas (PNL).


DIRECCIONES DE INTERÉS

Curso abierto con materiales y ejercicios sobre Seguridad Avanzada en Redes◦ http://ocw.uoc.edu/informatica-tecnologia-y-

multimedia/aspectos-avanzados-de-seguridad-en-redes/materiales/view?set_language=es

Sitio web sobre seguridad informática en materia de redes:◦ http://www.virusprot.com/

Noticias sobre seguridad en redes. Asociación de internautas:◦ http://seguridad.internautas.org/

Conexiones inalámbricas seguras y auditorías wireless en:◦ http://www.seguridadwireless.net/

Blog especializado en seguridad y redes◦ http://seguridadyredes.nireblog.com/


DIRECCIONES DE INTERÉS

Escaneo de puertos on-line◦ http://www.internautas.org/w-scanonline.php◦ http://www.upseros.com/portscan.php◦ http://www.kvron.com/utils/portscanner/index.php

Test de velocidad de tu conexión a Internet◦ http://www.adsl4ever.com/test/◦ http://www.testdevelocidad.es/◦ http://www.internautas.org/testvelocidad/◦ http://www.adslayuda.com/test-de-velocidad/

Test sobre phishing de Verisign disponible en ◦ https://www.phish-no-phish.com/es


SOFTWARE-SIMULADORES

Simuladores de configuración de dispositivos como router-punto de acceso inalámbrico TP-LINK. ◦ http://www.tp-link.com/support/simulator.asp◦ http://www.tp-link.com/simulator/TL-

WA501G/userRpm/index.htm

Simulador del router inalámbrico Linksys WRT54GL:◦ http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm

Simuladores de routers inalámbricos D-Link:◦ http://support.dlink.com/emulators/dwlg820/HomeWizard.html◦ http://support.dlink.com/emulators/dsl2640b/306041/vpivci.html◦ http://support.dlink.com/emulators/dwl2100ap◦ http://support.dlink.com/emulators/di604_reve


SOFTWARE Angry IP Scanner : software escaneador de IP. ◦ http://www.angryip.org/w/Download

Wireshark: Packet sniffer: ◦ http://www.wireshark.org/download.html

Cain & Abel: sniffer, generador de ataques MitM, spoofing, etc.◦ http://www.oxid.it/cain.html

SNORT: software de detección de intrusos (IDS).◦ http://www.snort.org/

Alarmas de intentos de duplicados ARP: bajo GNU/Linux Arpwatch o en Windows DecaffeinatID◦ Arpwatch: http://freequaos.host.sk/arpwatch/◦ DecaffeinatID: http://www.irongeek.com/i.php?page=security/decaffeinatid-

simple-ids-arpwatch-for-windows Openssh-server: servidor de SSH.◦ http://www.openssh.com/

Putty: cliente SSH bajo sistemas Windows.◦ http://www.putty.org/


SOFTWARE

Logmein Hamachi: software de conectividad P2P y VPN entre equipos remotos.◦ www.logmein.com

Backtrack: distribución específica con un conjunto de herramientas de auditorías de seguridad, entre otras algunas que permiten escalada de privilegios en sistemas Windows (ophcrack) y GNU/Linux (John the ripper).◦ http://www.backtrack-linux.org/

Wifiway y Wifislax: distribuciones orientadas a realizar auditorías wireless, como recuperación de contraseñas. En las últimas versiones incluyen Minidwep-gtk.◦ www.wifiway.org/◦ http://www.wifislax.com/

Openwrt: distribución de actualización del firmware para routers y puntos de acceso inalámbricos. Se recomienda siempre realizar previamente una copia deseguridad del firmware actual.◦ http://openwrt.org/

AlienVault: software libre de administración y monitorización de redes.◦ http://alienvault.com/

FreeRadius: servidor Radius, de software libre.◦ http://freeradius.org/


NOTICIAS

Tabnabbing; phishing a través de las pestañas del navegador◦ Fuente: http://www.hispasec.com/unaaldia/4231

Artículo de pintura antiwifi de EM-SEC Technologies. Puede leer sobre dicha pintura en:◦ http://www.publico.es/ciencias/273942/una-pintura-

protege-a-los-navegantes-de-los-intrusos/version-imprimible


ut5 - seguridad corporativa

Documents