SEGURIDAD EN REDES - CONCEPTOS DE SEGURIDAD INFORMATICA
No se conciben hoy en día los equipos informáticos como entes aislados, sino integrados en redes que a su vez están todas conectadas entre sí.
Si bien el acceso a Internet se hacía antes fundamentalmente vía modem, mediante líneas RTB o RDSI, actualmente, la mayoría de las conexiones se realizan mediante sistemas de conectividad de banda ancha, fundamentalmente ADSL, que permanecen operativas de manera continuada en el tiempo, es decir, no sólo duran lo que lo hace la llamada, sino que están permanentemente abiertas.
Los riesgos a la seguridad en los sistemas informáticos conectados a Internet se pueden clasificar según el objeto del ataque:
- Robo de identidad
- Virus, gusanos y troyanos
- Spyware
- Hackers y crackers
- Phishing y estafas on line
- Spam
- Contenidos Web inapropiados
IPSEC
IPsec
(abreviatura de Internet Protocol security) es un conjunto de protocolos cuya
función es asegurar las comunicaciones sobre el Protocolo de Internet (IP)
autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también
incluye protocolos para el establecimiento de claves de cifrado.
Los protocolos de IPsec actúan en la capa de red, la capa 3 del
modelo OSI.Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte
(capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que
puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y
UDP, los protocolos de capa de transporte más usados. IPsec tiene una ventaja
sobre SSL y
otros métodos que operan en capas superiores. Para que una aplicación pueda
usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles
superiores, las aplicaciones tienen que modificar su código.
IPsec
está implementado por un conjunto de protocolos criptográficos para (1)
asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3)
establecer parámetros criptográficos.
La
arquitectura de seguridad IP utiliza el concepto de asociación de seguridad
(SA) como base para construir funciones de seguridad en IP. Una asociación de
seguridad es simplemente el paquete de algoritmos y parámetros (tales como las
claves) que se está usando para cifrar y autenticar un flujo particular en una
dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son
asegurados por un par de asociaciones de seguridad. La decisión final de los
algoritmos de cifrado y autenticación (de una lista definida) le corresponde al
administrador de IPsec.
Para
decidir qué protección se va a proporcionar a un paquete saliente, IPsec
utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos
de asociaciones de seguridad (SADB), junto con la dirección de destino de la
cabecera del paquete, que juntos identifican de forma única una asociación de
seguridad para dicho paquete. Para un paquete entrante se realiza un
procedimiento similar; en este caso IPsec coge las claves de verificación y
descifrado de la base de datos de asociaciones de seguridad.
En
el caso de multicast, se proporciona una asociación de seguridad al grupo, y se
duplica para todos los receptores autorizados del grupo. Puede haber más de una
asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello
permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De
hecho, cada remitente puede tener múltiples asociaciones de seguridad,
permitiendo autenticación, ya que un receptor sólo puede saber que alguien que
conoce las claves ha enviado los datos. Hay que observar que el estándar
pertinente no describe cómo se elige y duplica la asociación a través del
grupo; se asume que un interesado responsable habrá hecho la elección.
MECANISMOS DE SEGURIDAD EN REDES
- FIREWALLS
Que son los Firewalls
Es
un sistema ó grupo de sistemas que refuerza la política de control de acceso
entre dos redes. En principio provee dos servicios básicos: ÿ Bloquea tráfico
indeseado ÿ Permite tráfico deseable. Los Sistemas de Información tuvieron una
sostenida evolución de pequeñas LANs a la conectividad de Internet, pero no se
establecieron medidas acordes de seguridad para todas la WS y servidores.
Presiones operativas:1ºConectividad y 2º Seguridad.Dentro de las Estrategias de
Seguridad de una organización, un Firewall pertenece al grupo de Proactivas,
para minimizar vulnerabilidades
Principios de Diseño de los Firewalls
Los Firewalls
están insertados entre la red local y la Internet (red no confiable)
Objetivos:
. Establecer un enlace controlado
. Proteger la
red local de ataques basados en la Internet
. Proveer un
único punto de choque.
Características de Firewalls
Objetivos de
Diseño:
. Todo el
tráfico interno hacia el exterior debe pasar a través del FW.
. Sólo el tráfico autorizado (definido por
política de seguridad local) será permitido pasar, a través de filtros y
gateways.
. El FW en sí
mismo es inmune a penetraciones (usando sistema confiable con sistema operativo
seguro).
Una VLAN (Red de área local virtual o LAN virtual)
es una red de área local que agrupa un conjunto de equipos de manera lógica y
no física.
La comunicación entre los diferentes equipos en una red
de área local está regida por la arquitectura física. Gracias a las redes
virtuales (VLAN), es posible liberarse de las limitaciones de la arquitectura
física (limitaciones geográficas, limitaciones de dirección, etc.), ya que se
define una segmentación lógica basada en el agrupamiento de equipos según
determinados criterios (direcciones
MAC, números de
puertos, protocolo,
etc.).
- IDS
El
término IDS (Sistema de detección de intrusiones) hace referencia a
un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar
actividades anormales o sospechosas, y de este modo, reducir el riesgo de
intrusión.
Existen
dos claras familias importantes de IDS:
·
El
grupo N-IDS (Sistema de detección de intrusiones de red), que
garantiza la seguridad dentro de la red.
El grupo H-IDS (Sistema
de detección de intrusiones en el host), que garantiza la seguridad en el host.
Técnicas de detección
El
tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de
IP. Un N-IDS puede capturar paquetes mientras estos viajan a través
de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que
se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las
siguientes técnicas para detectar intrusiones:
1. Verificación de la lista de protocolos:
Algunas formas de intrusión, como "Ping de la muerte" y "escaneo
silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP
para atacar un equipo. Una simple verificación del protocolo puede revelar
paquetes no válidos e indicar esta táctica comúnmente utilizada.
2. Verificación de los protocolos de la
capa de aplicación: Algunas formas de intrusión emplean comportamientos de
protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no
válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas
intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos
de la capa de aplicación, como NetBIOS, TCP/IP, etc.
Esta
técnica es rápida (el N-IDS no necesita examinar la base de datos de firmas en
su totalidad para secuencias de bytes particulares) y es también más eficiente,
ya que elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos,
N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de un
"Back Orifice COMPROMISE" (alto peligro).
3. Reconocimiento de ataques de
"comparación de patrones": Esta técnica de reconocimiento de
intrusión es el método más antiguo de análisis N-IDS y todavía es de uso
frecuente.
Consiste
en la identificación de una intrusión al examinar un paquete y reconocer,
dentro de una serie de bytes, la secuencia que corresponde a una firma
específica. Por ejemplo, al buscar la cadena de caracteres
"cgi-bin/phf", se muestra un intento de sacar provecho de un defecto
del script CGI "phf". Este método también se utiliza como complemento
de los filtros en direcciones IP, en destinatarios utilizados por conexiones y
puertos de origen y/o destino. Este método de reconocimiento también se puede
refinar si se combina con una sucesión o combinación de indicadores TCP.
Esta
táctica está difundida por los grupos N-IDS "Network Grep", que se
basan en la captura de paquetes originales dentro de una conexión supervisada y
en su posterior comparación al utilizar un analizador de "expresiones
regulares". Éste intentará hacer coincidir las secuencias en la base de
firmas byte por byte con el contenido del paquete capturado.
La
ventaja principal de esta técnica radica en la facilidad de actualización y
también en la gran cantidad de firmas que se encuentran en la base N-IDS. Sin
embargo, cantidad no siempre significa calidad. Por ejemplo, los 8 bytes
“CE63D1D2 16E713CF”, cuando se colocan al inicio de una transferencia de datos
UDP, indican un tráfico Back Orifice con una contraseña predeterminada. Aunque
el 80% de las intrusiones utilicen la contraseña predeterminada, el 20%
utilizarán contraseñas personalizadas y no serán necesariamente reconocidas por
el N-IDS. Por ejemplo, si la contraseña se cambia a "evadir", la
serie de bytes se convertirá en "8E42A52C 0666BC4A", lo que
automáticamente la protegerá de que el N-IDS la capture. Además, la técnica
inevitablemente conducirá a un gran número de falsas alarmas y falsos
positivos.
Existen
otros métodos para detectar e informar sobre intrusiones, como el método
Pattern Matching Stateful, y/o para controlar el tráfico peligroso o anormal en
la red.
En
conclusión, un perfecto N-IDS es un sistema que utiliza las mejores partes de
todas las técnicas mencionadas anteriormente.
