Sin importar que estén conectadas por cable o de manera
inalámbrica, las redes de computadoras cada vez se tornan mas esenciales
para las actividades diarias. Tanto las personas como las organizaciones
dependen de sus computadoras y de las redes para funciones como correo
electrónico, contabilidad, organización y administración de archivos.
Las intrusiones de personas no autorizadas pueden causar
interrupciones costosas en la red y pérdidas de trabajo, los ataques a
una red pueden ser devastadores y pueden causar pérdida de tiempo y de
dinero debido a los daños o robos de información o de archivos
importantes
A los intrusos que obtienen acceso mediante la
modificación del software o la explotación de las vulnerabilidades del
software se les denominan “Piratas Informáticos”. Una vez que un pirata
tiene el acceso a una red pueden surgir 4 tipos de
amenazas:
Robo de
información
Robo de
identidad
Perdida y
manipulación de datos
Interrupción
del servicio
Las amenazas de seguridad causadas por intrusos en la red
pueden originarse tanto en forma interna como externa.
Amenazas externas:
Provienen de personas que no tienen autorización para acceder al sistema
o a la red de computadoras. Logran introducirse principalmente desde Internet,
enlaces inalámbricos o servidores de acceso por marcación o dial-up.
Amenazas internas:
Por lo general, conocen información valiosa y vulnerable o saben cómo
acceder a esta. Sin embargo, no todos los ataques internos son
intencionados.
Con la evolución de los tipos de amenazas, ataques y
explotaciones se han acuñado varios términos para describir a las
personas involucradas
-
Hacker: un experto en programación. Recientemente
este término se ha utilizado con frecuencia con un sentido negativo
para describir a una persona que intenta obtener acceso no
autorizado a los recursos de la red con intención maliciosa.
-
Hacker de sombrero blanco:
una persona que busca vulnerabilidades en los sistemas o en las
redes y a continuación informa a los propietarios del sistema
para que lo arreglen.
-
Hacker de sombrero negro:
utilizan su conocimiento de las redes o los sistemas
informáticos para beneficio personal o económico, un cracker es
un ejemplo de hacker de sombrero negro.
-
Spammer: persona que envía grandes cantidades de
mensajes de correo electrónico no deseado, por lo general, los spammers utilizan virus para tomar control de las computadoras
domesticas y utilizarlas para enviar mensajes masivos.
-
Estafador:
utiliza el correo electrónico u otro medio para engañar a otras
personas para que brinden información confidencial como número
de cuenta o contraseñas.
Estos son los delitos informáticos más frecuentes en la red:
-
Abuso del
acceso a la red por parte de personas que pertenecen a la organización
-
Virus
-
Suplantación de
identidad
-
Uso indebido de
la mensajería instantánea
-
Denegación de
servicio, caída de servidores
-
Acceso no
autorizado a la información
-
Robo de
información de los clientes o de los empleados
-
Abuso de la red
inalámbrica
-
Penetración en
el sistema
-
Fraude
financiero
-
Detección de
contraseñas
-
Registro de
claves
-
Alteración de
sitios web
-
Uso indebido de
una aplicación web publica
Hay diversos tipos de ataques informáticos en
redes, algunos son:
Ataques de
denegación de servicios (DOS): es un sistema de computadoras o red que
causa que un servicio o recurso sea inaccesible a usuarios legítimos,
normalmente provocando la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la víctima o sobrecarga de los
recursos computacionales del sistema de la víctima.
Man in the
middle (MITM):
es una situación donde un atacante supervisa (generalmente mediante
un rastreador de puertos) una comunicación entre las 2 partes y
falsifica los intercambios para hacerse pasar por una de ellas.
Ataques de
replay:
una forma de ataque de red en el cual una trasmisión de datos válida
es maliciosa o fraudulentamente.
repetida o
recalcada, es llevada a cabo por el autor o por un adversario que
intercepta la información y la retransmite posiblemente como parte de un
ataque enmascarado.
CORTAFUEGOS
En el Protocolo TCP/IP el puerto es una numeración lógica
que se asigna a las conexiones tanto en origen como en destino sin
significación física. El permitir o denegar acceso a los puertos es
importante por que las aplicaciones servidoras deben escuchar en un
puerto conocido de antemano para que un cliente pueda conectarse.
Esto
quiere decir que cuando el sistema operativo recibe una petición a ese
puerto la pasa a la aplicación que escucha en él (si hay alguna) y a
ninguna otra. Los servicios mas habituales tienen asignados los llamados
puertos bien conocidos por EJe: 80 para Servidor web, 21: Puerto FTP,
23: TELNET etc.
Así pues cuando pides acceso a una pagina web su
navegador pide acceso al puerto 80 del servidor web y si este numero no
se supiera de antemano o estuviera bloqueado no podría recibir la
pagina.
Un puerto puede estar:
ABIERTO:
Acepta conexiones hay una aplicación escuchando en este puerto. Esto
no quiere decir que se tenga acceso a la aplicación solo que hay
posibilidades de conectarse.
CERRADO:
se rechaza la conexión. Probablemente no hay aplicación escuchando
en este puerto o no se permite acceso por alguna razón. Este es el
comportamiento normal del sistema operativo.
BLOQUEADO O SIGILOSO:
no hay respuesta, este es el estado real para un cliente en
Internet. De esta forma ni siquiera se sabe si el ordenador esta
conectado. Normalmente este comportamiento se debe a un cortafuegos
o a que el ordenador esta apagado. Para controlar el estado de los
puertos de conexión a redes TCP-IP y por tanto las aplicaciones que
lo usan emplearemos un cortafuegos (firewall)
El cortafuegos o Firewall es una parte de un sistema o
una red que esta diseñada para bloquear el acceso no autorizado
permitiendo al mismo tiempo comunicaciones autorizadas. Los cortafuegos
pueden ser hardware o software o una combinación de ambos y se utilizan
con frecuencia para que una serie de usuarios autorizados se conecten a
una red privada o Intranet.
Firewall:
Todos los paquetes de la red pasan por el cortafuegos que examina y
bloquea loa que no cumplen los criterios de seguridad especificados.
Algunos cortafuegos muestran un mensaje al usuario mostrando el
programa o proceso que solicita la comunicación preguntándole si la
permite o la deniega. El problema surge cuando el nombre del proceso
que muestran no lo reconocemos o que tiene el mismo que un proceso
confiable conocido, en este caso hay que tener en cuenta varias
cosas : si deniego el acceso a un programa este puede no funcionar,
la siguiente vez que me pregunte le permitiré el acceso y en caso de
funcionar la próxima vez que me pregunte le permitiré acceso
permanentemente es importante leer siempre los mensajes para
permitir o denegar acceso.
VENTAJAS de un
cortafuegos:
protege de intrusiones,
el acceso a ciertos segmentos de la red sólo se permite a maquinas
autorizadas de otros segmentos o de Internet
Protección de
la información privada: permite definir distintos niveles de acceso a la
información de manera que cada grupo de usuarios definido tenga solo
acceso a los servicios e información que les son estrictamente
necesarios.
Optimización de
acceso: Identifica los elementos de la red internos y optimiza que la
comunicación entre ellos sea mas directa
LIMITACIONES de
un cortafuegos: Cualquier tipo de ataque informático que use trafico
aceptado por el cortafuegos o que sencillamente no use la red seguirá
constituyendo una amenaza
POLÍTICAS del
cortafuegos:
Hay 2 políticas básicas que cambian radicalmente la
filosofía de la seguridad de la información:
Políticas
restrictiva:
se deniega todo el trafico excepto el que esta explicita
mente permitido hay que habilitar expresamente los servicios que se
necesiten.
Política
permisiva:
se permite todo el trafico excepto el que esta denegado. Cada
servicio potencialmente peligroso necesitara ser aislado mientras que el
resto de trafico no sera filtrado.
La política restrictiva
es la mas segura ya que tiene control para no permitir trafico
peligroso. Sin embargo la política permisiva es posible que no haya
contemplado trafico peligroso y sea aceptado por omisión. No es
recomendable tener mas de un cortafuegos ejecutándose simultáneamente en
la misma maquina.
Una zona
desmilitarizada o red perimetral es un área local que se ubica entre la
red interna de una organización y una red externa, generalmente
Internet. El objetivo de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas, mientras que las
conexiones desde la DMZ sólo se permitan a la red externa. Los equipos
en la DMZ no pueden conectar con la red interna.
Esto permite
que los equipos de la DMZ puedan dar servicios a la red externa a la vez
que protegen la red interna en el caso de que intrusos comprometan la
seguridad de los equipos situados en la zona desmilitarizada. Para
cualquiera de la red externa que quiera conectarse ilegalmente a la red
interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se
usa habitualmente para ubicar servidores que es necesario que sean
accedidos
desde fuera, como servidores de correo electrónico, servidores
Web y DNS.
Listas de control de acceso(ACL) y filtrado de paquetes.
Una lista de control de acceso o ACL es un concepto de
seguridad informática usado para fomentar la separación de privilegios,
es una forma de determinar los permisos de acceso apropiados a un
determinado objeto dependiendo de diferentes aspectos del proceso que
hace el pedido. Las ACL permiten controlar el flujo del tráfico en
equipos de redes como routers y witches, su principal objetivo es
filtrar tráfico permitiendo o denegando el trafico de red de acuerdo a
alguna condición, sin embargo, también tienen usos adicionales como por
ejemplo distinguir tráfico prioritario.
Las listas de control de acceso pueden configurarse para
controlar el tráfico entrante y saliente y en este contexto son
similares a un cortafuegos. Se pueden considerar como cada una de las
reglas individuales que controlan y configuran un cortafuegos.
ACL en routers.
En el caso concreto de los routers de la compañía CISCO
las ACL son listas de condiciones que se aplican al tráfico que viaja a
través de una interfaz del router y se crean según el protocolo la
dirección o el puerto a filtrar. Estas listas indican al router qué
tipos de paquetes se deben aceptar o desplazar en las interfaces del
router, ya sea a la entrada o a la salida.
Las razones principales para crear las ACL son:
Existen 2 tipos de ACL:
1. ACLestándar:
Especificamos una sola dirección de origen.
2. ACL extendida: Especificamos una dirección de origen y
de destino, se utilizan más que las estándar porque ofrecen un mayor
control, verifica las direcciones de paquetes de origen y destino y
también protocolos y números de puertos.
IPTABLES.
El cortafuegos
utilizado para gestionar las conexiones de red de los sistemas GNU Linux
desde la versión 2.4 del núcleo es IPTABLES, las posibilidades de
IPTABLES son prácticamente infinitas y un administrador que quiera
sacarle el máximo provecho puede realizar configuraciones extremadamente
complejas, para simplificar, diremos que básicamente IPTABLES permite
crear reglas que analizarán los paquetes de datos que entran, salen o
pasan por nuestra máquina y en función de las condiciones que
mantengamos, tomaremos una decisión que normalmente será permitir o
denegar que dicho paquete siga su curso.
El cortafuegos controla las
comunicaciones entre la red y el exterior para crear las reglas podemos
analizar muchos aspectos de los paquetes de datos, podemos filtrar
paquetes en función de:
-
IMPUT
(paquetes que llegan a nuestra maquina).
-
OUTPUT
(paquetes que salen de nuestra maquina).
-
FORWARD
(paquetes que pasan por nuestra maquina).
-
Interfaz por
la que entran (-i) o salen (-o) los paquetes: ETH0, wlan1.
-
IP origen de
los paquetes(-s): IP concreta(10.0.1.3),rango de red(10.0.1.0/8)
-
IP destinada
a los paquetes(-d): IP concreta, 2 rango de red.
-
Protocolo de
los paquetes (-t): TCP, UDP, CMP...
Hacer NAT es
modificar IP origen y destino para conectar nuestra red a otra red o a
Internety hacer pre-routing es filtrar antes de enrutary hacer post-routing
es filtrar después de enrutar.
Una forma sencilla de trabajar con IPTABLES es permitir las
comunicaciones que interesen y luego denegar el resto de la
comunicaciones, lo que se suele hacer es definir la política por
defecto, aceptar, después crear reglas concretas para permitir las
comunicaciones que nos interesen y finalmente denegar el resto de
comunicaciones, lo mejor sera crear un script en el que dispondremos de
la secuencia de reglas que queremos aplicar a nuestro sistema.
Redes inalámbricas.
Los cables que se suelen usar para construir redes
locales van desde el cable telefónico hasta la fibra óptica. Algunos
edificios se construyen con los cables instalados para evitar gasto de
tiempo y dinero posterior y de forma que se minimice el riesgo de un
corte, rozadura u otro daño accidental. Los riesgos mas comunes para el
cableado se pueden resumir en los siguientes.
-
Interferencias: estas
modificaciones pueden estar generadas por cables de alimentación
de maquinaria pesada o por equipos de radio o microondas. Los
cables de fibra óptica no sufren el problema de alteración por
acción de campos eléctricos, por tanto son mas seguros.
-
Corte del cable: la
conexión establecida se rompe lo que impide que el flujo de
datos circule por el cable.
-
Daños en el cable: los
daños normales con el uso pueden dañar el apantallamiento que
preserva la integridad de los datos transmitidos o dañar al
propio cable lo que hace que las comunicaciones dejen de ser
fiables.
La mayoría de las organizaciones
clasifican estos problemas como daños naturales sin embargo también se
puede ver como un medio para atacar la red si el objetivo es únicamente
interferir en su funcionamiento.
El cable de red ofrece también un nuevo frente de ataque para un
determinado intruso que intentase acceder a los datos esto se puede
hacer:
-
Desviando o
estableciendo una conexión no autorizada en la red
-
Un sistema de
administración y procedimiento de identificación de acceso
adecuado, hace difícil que se puedan obtener privilegios de
usuarios en la red pero los datos que fluyen a través del
cable pueden estar en peligro
-
Haciendo una escucha
sin establecer conexión, los datos se pueden seguir y pueden
verse comprometidos.
Luego no hace falta penetrar en
los cables físicamente para obtener los datos que transportan. En
ocasiones para mejorar la seguridad de las comunicaciones cableadas se
adoptan medidas como:
-
Cableado de alto nivel de
seguridad: son cableados de redes que se recomiendan para
instalaciones con grado de seguridad militar, el objetivo es
impedir la posibilidad de infiltraciones y monitoreo de la
información que circula por el cable. Consta de un sistema de
tubos herméticamente cerrados por cuyo interior circula aire a
presión y el cable, a lo largo de la tubería, hay sensores
conectados a una computadora, si se detecta algún tipo de
variación de presión se dispara un sistema de alarma.
-
Protección
electromagnética: cableado coaxial y de pares, ftp y stp.
¿ Qué es una red inalámbrica ?
Es una red que
permite a sus usuarios conectarse a una red local o a Internet sin estar
conectados físicamente mediante cables ya que los datos se transmiten
por el aire, los dispositivos que nos permiten interconectar
dispositivos inalámbricos son los puntos de acceso que controlan el
acceso y las comunicaciones de usuarios conectados a la red y las
tarjetas receptoras, para conectar una computadora, ya sean internas (DCI)
o USB. Los puntos de acceso funcionan a modo de emisor remoto, es decir,
se instalan en lugares donde la señal inalámbrica se quiera difundir y
reciben la señal bien por un cable o bien capturan la señal débil
inalámbrica y la amplifica.
Los puntos de acceso pueden estar integrados con módems o routers
inalámbricos convencionalmente denominado router wifi, los paquetes de
información en las WLAN viajan en forma de ondas de radio que pueden
viajar mas haya de las paredes y filtrarse en habitaciones, casas o
habitaciones contiguas o llegar hasta la calle. Si nuestra instalación
esta abierta sin seguridad, una persona con conocimientos básicos podría
no sólo utilizar nuestra conexión a Internet,si no también acceder a
nuestra red interna o a nuestro equipo donde podríamos tener carpetas
compartidas o analizar toda la información que viaja por nuestra red
mediante sniffers y obtener así contraseñas de nuestra cuenta de correo,
contenido de nuestras conversaciones, etc.
Si la infiltración no autorizada de por si ya es grave en una
instalación residencial (casa) mucho mas peligroso es en una instalación
corporativa o empresarial y desgraciadamente, las redes cerradas son mas
bien escasas.
Consejos de seguridad.
Asegurar el punto de acceso por ser un punto de
control de las comunicaciones de todos los usuarios y por tanto
críticos en las redes inalámbricas:
Cambia la contraseña por defecto: todos los fabricantes ofrecen
un password por defecto de acceso a la administración del punto
de acceso, al usar un fabricante la misma contraseña para todos
sus equipos es fácil o posible que el observador la conozca.
Aumentar la seguridad de los
datos transmitidos: usar encriptación WEP o WPA, las redes
inalámbricas basan su seguridad en la encriptación de los datos que
viajan a través de aire. El método habitual es la encriptación WEP
pero no podemos mantener WEP como única estrategia de seguridad ya
que no es del todo seguro, existen aplicaciones para Linux o Windows
que escaneando suficientes paquetes de información son capaces de
obtener las claves WEP y permitir acceso de intrusos en nuestra red.
Activa la encriptación de 128bits WEP mejor que la de 64bits.
Algunos puntos de acceso más recientes soportan también encriptación
WPA y WPA2, encriptación dinámica y más segura que WEP, si activas
WPA en el punto de acceso tanto los accesorios como los dispositivos
WLAN de tu red como tu sistema operativo debe de soportar.
-
Ocultar tu red WIFI: cambia el
SSID por defecto en lugar de mi AP o Apmanolo o el nombre de la
empresa es preferible coger algo menos atractivo como wroken, down o
desconectado, si no llamamos la atención del observador hay menos
posibilidades de que este intente entrar en nuestra red.
-
Desactiva también el
broadcasting SSID o identificador de la red inalámbrica. El
broadcasting SSID permite que los nuevos equipos que quieran
conectarse a la red wifi identifiquen automáticamente el nombre
y los datos de la red inalámbrica evitando así la tarea de
configuración manual. Al desactivarlo tendrás que introducir
manualmente el SSID en la configuración de cada nuevo equipo que
quieras conectar.
-
Evitar que se conecten:
-
Activa el filtrado de
direcciones mac: para activar el filtrado mac dejaras que solo
los dispositivos con las direcciones mac especificadas se
conecten a tu red wifi. Por un lado es posible conocer las
direcciones mac de los equipos que se conectan a la red con tan
solo escuchar con el programa adecuado ya que las direcciones
mac se transmiten en abierto sin encriptar entre el punto de
acceso y el equipo, además aunque en teoría las direcciones mac
son únicas a cada dispositivo de red y no pueden modificarse hay
comando o programas que permiten simular temporalmente por
software una nueva dirección mac para una tarjeta de red.
-
Establece el número máximo
de dispositivos.
-
Desactiva DHCP en el
router o en el punto de acceso en la configuración de los
dispositivos o accesorios WIFI, tendrás que introducir a mano la
dirección IP, la puerta de enlace, la máscara de subred y los
DNS. Si el observador conoce el rango de IP que usamos en
nuestra red no habremos conseguido nada con este punto.
-
Desconecta el AP cuando no lo
uses: el AP almacena la configuración y no necesitaras introducirla
de nuevo cuando lo conectes.
-
Cambia las claves regularmente: puede ser necesario
entre 1 y 4 GB de datos para romper una clave WEP dependiendo de la
complejidad de las claves de manera que cuando llegue a este caudal
de infor4macion transmitida es recomendable cambiar las claves.
