Riesgos de Seguridad y Medidas de Proteccion en Redes LAN

7/25/2019 Riesgos de Seguridad y Medidas de Proteccion en Redes LAN

1/33

Riesgos de Seguridad y Medidas de Proteccin en Redes LAN

Riesgos de Seguridad yMedidas de Proteccin

en Redes LAN

Ricardo Daniel Ponce


2/33



3/33


INDICE

Resmen 5

1.Introduccin 7

2.La seguridad y las redes actuales 8

3.Los Riesgos que afectan a una red 9

3.1 Prdida del equipo 103.2 Amenazas de software 113.3 Mal uso por personas autorizadas 12

3.4 Uso fraudulento por personas no autorizadas 13

4.Riesgos crticos 14

5.Herramientas y medidas de seguridad 15

5.1 Herramientas de prevencin 15

5.1.1 Medidas de prevencin contra la prdida de equipos 155.1.2 Medidas de prevencin contra las amenazas de software 165.1.3 Medidas de prevencin contra el mal uso de personas autorizadas 16

5.1.4 Medidas de prevencin contra el uso fraudulento por

personas no autorizadas

16

5.2 Herramientas de proteccin contra intrusos 17

5.2.1 Relacionadas con los usuarios 18

5.2.1.1 Contraseas 18

5.2.1.2 Identificacin de usuarios 195.2.1.2.1 Identificacin de usuarios

mediante tarjetas inteligentes

19

5.2.1.2.2 Identificacin de usuarios

mediante autenticacin biomtrica

20

5.2.2 Herramientas de encriptacin 20

5.2.2.1 Encriptacin WEP o WPA 21

5.2.3 Utilizacin de filtros MAC 22

5.2.4 No publicar la identificacin SSID en redes Wifi 23

5.2.5 No habilitar DHCP 24

5.2.6 Utilizar un Firewall 24

5.2.6.1. Tipos de Firewall 26

5.2.6.1.1. Proxy o Servidor de Defensa 26

5.2.6.1.2. Gateways a nivel aplicacin 275.2.6.1.3. Ruteador filtra paquetes 27

5.2.7 Medidas fsicas de seguridad 27

5.3 Herramientas para recuperacin de datos 28

5.3.1 Copias de seguridad de archivos 28

5.3.2 RAID (Redundant Array of Independent Disk) 28

6. Recomendaciones bsicas de seguridad 29

7. Conclusiones 30

Bibliografa 32

3


4/33


4


5/33


Resmen

Desde el punto de vista del administrador,uno de los objetivos de la gestin es asegurarque el sistema permanezca libre de peligrosque puedan sabotear su operabilidad normal.

Con el auge de la conectividad masiva y el

crecimiento sostenido de internet y lascomunicaciones inalmbricas, los peligrospotenciales se multiplican, as como laposibilidad de intrusiones, prdida de datos odaos a la informacin.

Las polticas de seguridad tratan de eludir esos peligros y preparar al administrador para elmomento en que las medidas de seguridad perimetrales sean violadas, protegiendo los datos y lainformacin para minimizar los posibles daos y mantener la operabilidad normal del sistema.

As es que uno de los pilares de la administracin es mantener la integridad, disponibilidad yconfidencialidad de la informacin dentro de la red, evitando de ese modo que la organizacindetenga la continuidad de sus procesos normales de funcionamiento.

Hoy en da es poco frecuente encontrar redes que no tengan segmentos inalmbricos, por lo que ala seguridad se le agrega un problema adicional, que es justamente el de carecer de barrerasfsicas.

En esta monografa se trata de orientar al personal tcnico sobre las medidas usuales deseguridad que deben ser tenidas en cuenta al momento de gestionar los recursos y la informacin,destacando especialmente que en la actualidad casi todas las redes que combinan la conectividadde cable con las seales inalmbricas.

Las redes Wifi y cableadas cuentan con elementos de seguridad suficientes pero el mayorinconveniente es que estos sistemas no funcionan si sus usuarios no los utilizan o no son tenidosen cuenta en la planificacion y administracin de ese tipo de redes.

En este documento pretendo repasar brevemente todos los aspectos que debe contemplar unaplanificacin moderna de seguridad analizando diversos puntos de vista, posibilidades yestrategias, tratando de ayudar al administrador a entender cules son las debilidades msevidentes y urgentes de su red.

5


6/33


6


7/33


1. Introduccin

La seguridad desde el punto de vista del administradorde la red busca asegurar que el sistema est libre depeligros potenciales as como evitar la prdida o losdaos a la informacin, manteniendo la integridad,disponibilidad y confidencialidad de la misma dentrode la red, evitando de ese modo que la organizacindetenga la continuidad de sus procesos normales defuncionamiento.

Integridadquiere decir que los recursos de la red pueden ser usados y modificados porpersonas autorizadas y en modo controlado.

Disponibilidad significa que los elementos de hardware y software se mantienenaccesibles al personal autorizado de la organizacin.

La Confidencialidad tiene por fin garantizar que la informacin slo es accesible por la

organizacin y el personal autorizado, evitando su difusin hacia entidades externas.

Es por eso que a grandes rasgos, toda poltica de seguridad que seimplemente en un sistema tiende a permitir el acceso slo apersonas autorizadas, proteger la informacin y evitar la prdida ocontrol de uno o varios equipos de la red.

Pero desde el punto de vista prctico, el hecho de que una personapueda entrar al sistema, as como acceder a los recursos y a lainformacin, hace que el sistema deje de ser impenetrable porquees posible que un intruso averigue el modo de entrar medianteaccesos autorizados. La primer premisa de seguridad a la que debe

prestar atencin un administrador de red es que justamente una redque tenga accesos permitidos programados deja de ser absolutamente impenetrable.

7


8/33


2. La seguridad ylas redes actuales

En la actualidad es poco frecuente encontrar redes que no tengan segmentos inalmbricos, por loque a la seguridad se le agrega un problema adicional, que es justamente el de carecer debarreras fsicas.

En las redes wifi o redes que tienen segmentos inalmbricos, cualquier persona con una tarjeta wifiy conocimientos, puede acceder a un punto de acceso y tener la posibilidad potencial de hacer usode los recursos de la red.

Si bien en las redes corporativas o profesionales, gestionadas por administradores u operadorescapacitados este tipo de riesgo adicional es tenido en cuenta al momento de la planificacin, en las

redes hogreas o de aficionados, muy pocos usuarios se toman en serio las medidas de seguridad.Es frecuente que se instale una red Wi-Fi sin modificar la configuracin que trae el sistema pordefecto.

Desde el punto de vista tcnico, las redes Wi-Fi incorporan elementos y sistemas de seguridadsuficientes como para garantizar la confidencialidad, integridad y autenticidad de toda lainformacin. Pero inconveniente es que estos sistemas no funcionan si sus usuarios no los utilizano no son tenidos en cuenta en la planificacion y administracin de ese tipo de redes.

Tener un sistema de seguridad no es suficiente si los usuarios no se rigen por las medidas oprotoclos de seguridad implementados. De este modo las medidas de seguridad y el modo de

trabajar de los propios usuarios confluyen al momento de plantearlos riesgos reales de una red.

Es por eso que en la administracin de seguridad se dice que elms frecuente punto dbil de la seguridad son los propiosusuarios. Las redes Wi-Fi requieren ms atencin en materia deseguridad que las redes cableadas, principalmente porquemuchos de sus usuarios no son todavaconscientes de los riesgos.

En el usuario comn la amplia disponibilidad de redes wifi ycotidianeidad en su uso personal y profesional, crea un falso

sentido de confianza al hacerle creer que sabe operar correctamente con este tipo de redes, ytiene en cuenta todos los aspectos prcticos que hacen a la seguridad, lo que no es cierto en laprctica y es justamente contra lo que deben lidiar los adminsitradores de seguridad.

8


9/33


3. Los Riesgos queafectan a una red

La seguridad es un riesgo para las redes. Todas las tecnologas que han aparecido en el mercadohasta la fecha desde el inicio de la era de la informtica son suceptibles de un modo u otro de servioladas en lo que se refiere a la integridad, confidencialidad o autenticidad de los datos quecontienen.

Si la red est formada por cables, el permetro por el que transcurre la informacin y los puntos deconectividad con el exterior de la LAN son fcilmente detectables y pueden ser controladosestrictamente.

Pero cuando la red es completamente Wifi o tiene segmentos inalmbricos, las seales que formanparte del sistema de conexin pueden ser fcilmente monitoreadas desde el exterior del recintovigilado y los instrusos tienen una va adicional de intrusin, que se potencia por la imposibilidad de

controlar el permetro preciso de emisin de las seales. Esto ciertamente es una cuota de riesgoaadido a las redes. Pero la buena noticia es que ese riesgo es controlable.

Al igual que las redes de cable, en los segmentos wifi se deben tener en cuenta todos los puntostecnolgicamente dbiles, pero que en este caso involucran a las seales emitidas y por ende, losllmites dejan de ser fsicamente definidos por lo que el administrador deber lidiar con una serie deconceptos puntuales que son inherentes a la naturaleza Wifi y que corresponden a los rangos deextensin de la seal.

Todos los riesgos que pueden afectar a una red son controlables, cualquiera sea la naturaleza dela red, pero el riesgo siempre ser mayor cuantas menos medidas de seguridad tomemos. En estapremisa entra en juego la capacidad del administrador de seguridad, que deber equilibrar lasmedidas de seguridad con la facilidad operativa teniendo en cuenta la naturaleza de la red y el

valor de los recursos y la informacin, ya que no es lo mismo administrar una red hogarea, unared de un banco o una red de un organismo de seguridad nacional. Desde el punto de vista deladministrador los riesgos potenciales dependern entonces de la naturaeza de lo que protege y laposibilidad de intrusin, que deber ser previsto justamente con ms o menos medidas deseguridad que de un modo u otro dismunirn la facilidad operativa de la misma.

Como el mayor punto dbil de la red lo constituyen los operadores humanos, las medidas deseguridad aplicadas debern tener en cuenta justamente este eslabn frgil, y evitar sobrecargar ala seguridad con medidas que dependan excesivamente de los operadores humanos, propensos acometer errores.

9


10/33


La planificacin de seguridad deber contemplar entonces estas premisas

Determinar que recursos deben ser protegidos dentro de la red

Determinar de qu debemos proteger esos recursos

Determinar el grado de proteccin que necesitarn esos recursos

Por supuesto que este anlisis deber tener en claro que medidas y herramientas implementarpara alcanzar el nivel de seguridad definido para la red sin desequilibrar la relacin costo/beneficioy sin afectar la operatividad normal de la red.

Una vez que el administrador defina estos elementos se podrn disear las polticas de seguridadadecuadas que debern implementarse y crear el permetro de defensa adecuado que permitaproteger los recursos y la informacin. Como hemos mencionado, si la red tiene algn componente

Wifi, ese permetro no ser fsico, sino operativo y extensivo al alcance de las seal o sealesinvolucradas en el o los segmentos wifi.

Las cuatro categoras de riesgos que preocupan en el uso de cualquier tecnologa de red son lassiguientes:

Prdida del equipo

Amenazas de software

Mal uso por personas autorizadas

Uso fraudulento por personas no autorizadas

3.1 Prdida del equipo

Tanto en una organizacin como en una computadoraindividual, la cantidad de informacin que se almacenapuede llegar a lmites insospechados. Desde listado declientes, datos de cuentas de la empresa, descripciones de

10


11/33


productos, correspondencia y mensajera con proveedores y clientes, agenda de contactos,nmeros de tarjetas de crdito, fotos y videos personales o comerciales, informacinconfidencial o personal, incluso puede contener claves de acceso a distintos recursos o

medios, etc.

Dentro de esta categora debemos considerar no slo la posibilidad cierta de que un ataqueexterior a la red tome el control del equipo mediante un hacker o un software automtico,sino tambin los desastres naturales como terremotos, tormentas elctricas, inundaciones ylos problemas propios del medio ambiente del equipo como problemas del sistema dealimentacin elctrico, incendios, humo, polvo de extintores y en general cualquier problemaque afecte al entorno de los equipos.

Perder una computadora puede convertirse en un gran problema no slo por la posibleprdida de la informacin en caso de un ataque destructivo o accidental, sino por la prdidade la confidencialidad de la misma ante la posibilidad de que sea copiada . A esto ltimo sele suma el hecho de que la computadora perdida dentro del sistema puede ser usada paraacceder a otros recursos o equipos dentro de red administrada.

Este problema existe tanto en redes cableadas como en redes Wifi o redes mixtas. Si la redes cableada y dispone de acceso remoto, cualquiera podra acceder desde cualquier partedel mundo a travs de Internet. O el intruso podra usar un acceso autorizado violando elpermetro fsico de la misma. Si la red es inalmbrica, el acceso se tendra que hacernecesariamente desde una zona de cobertura. Si la red es mixta el ataque puede provenirde cualquier lado.

La clave consiste en mantener funcionando de modo adecuado todos los elementos de laseguridad que describiremos en las secciones correspondientes.

3.2 Amenazas de software

Los virus informticos se han convertido en uno de losgrandes problemas tcnicos actuales. Son pequeosprogramas que llegan por diversos medios a lascomputadoras para causar algn tipo de dao directo o

indirecto, tomar el control del ordenador, obtener o capturar informacin o modificar algunosaspectos funcionales del sistema con un fin determinado.

Los virus terminan afectando a todo tipo de redes, sean cableadas o inalmbricas.

Afortunadamente se cuenta en la actualidad con herramientas de calidad suficiente paramantener controlados los ataques por virus dentro del sistema.

Dentro de esta categora tambin debemos considerar el software mal desarrollado quecontiene errores o bugs, las herramientas de seguridad que en caso de prdida del controlde un equipo o de la red, pueden ser usadas por los atacantes. Las puertas traseras o atajosque se colocan en los programas por los desarrolladores para tener mayor velocidad en ladeteccin y depuracin de fallos y que suelen mantenerse an despus de liberar lasversiones definitivas de los programas.

11


12/33


No se deben olvidar las bombas lgicas, que son cdigos includos dentro de programas ypermanecen en modo de escucha hasta ser activadas, provocando dao, capturandoinformacin o canalizando datos a vas alternativas a las legales.

Algunos software pueden usar canales o puertos de comunicacin encubiertos que permitentransferir informacin violando las polticas de seguridad del sistema por lo que se haceconveniente monitorear permanentemente los puertos abiertos dentro del sistema.

3.3 Mal uso porpersonas autorizadas

El uso inadecuado del sistema de modointencional o accidenal, es una amenaza de laque resulta un poco ms difcil protegerse.

Uno de los problemas ms imprevisibles de las organizaciones se presenta por el mal usointencional de los recursos de la red, sobre todo porque el personal autorizado se encuentradentro del sistema y tiene un grado o nivel de dificultad menor con respecto a un atacantedel exterior.

Las personas son el factor de riesgo ms importante que debe considerar el administradorporque constituyen el eslabn ms dbil de la seguridad. No necesariamente las personasdeben tener intenciones de causar dao, pero an sin intencin pueden causar enormesprdidas por error en las operaciones o por omisin de medidas de seguridad.

Clsicamente se consideran dos tipos de atacantes: los pasivos, que son aquellos queentran en el sistema pero no destruyen datos sino que buscan y copian informacin y losatacantes activos, que entran y modifican al sistema.

Desde este punto de vista se deben considerar como riesgo al propio personal de laempresa. Los empleados insatisfechos, infieles o despechados pueden robar o directamentedestruir informacin, principalmente en casos de espionaje comercial y/o industrial,negociaciones con la competencia para nuevas contrataciones, despidos justificados oinjustificados, etc.

Cuando un usuario ha pasado todos los niveles de seguridad que se les ha asignado, y se

encuentra dentro del sistema se hace sumamente difcil controlar detalladamente sus pasosdentro de la red. El seguimiento es posible gracias a diversos programas trazadores y anreportes, pero desde el punto de vista administrativo se hace muy difcil el seguimiento por lacantidad de informacin que el administrador deber leer, as es que en ocasiones hay queprivilegiar la previsin mediante el uso de polticas de asignacin de claves y restriccin deaccesos antes que controlar las actividades de los usuarios.

Usualmente esto se complementa con una estricta poltica de gestin de copias deseguridad (backups) que permiten preservar la informacin.

Este tipo de riesgos crea la necesidad de crear e implementar polticas de seguridadadecuadas en la empresa que incluyan programas de formacin a los usuarios y hacercontroles peridicos de su cumplimiento, que se conocen como auditoras de seguridad.

12


13/33


3.4 Uso fraudulento porpersonas no autorizadas

Cuando una red es slo de cable, la seguridad debecontemplar se desde el punto de vista de laconectividad fsica (tendido de cables, bocas deacceso, etc) y de las conexiones (puertas de enlace,etc). Cuando hay puntos de acceso wifi se hacenecesario adems contemplar la posibilidad de intrusos que accedan mediante las reas decobertura.

Es por eso que a menudo se hace referencia a la desventaja de las redes inalambricas conrespecto a las cableadas. Por este motivo es importante que el administrador tenga en claroque se debe pensar que la seguridad perimetral se extiende ms all del permetro fsico dela red y trabajar en los protocolos en consecuencia.

Se debe considerar la posibilidad de que exempleados puedan atacar el sistema,principalmente si fueron despedidos o si existe la posibilidad de que acceda a informacinsuceptible de ser robada, sobre todo en casos de empleados capturados por la competencia.

Se hace necesario tener en claro que los ex usuarios conocen las debilidades del entornoas como la organizacin interna de la informacin.

Los crackers tienen como objetivo principal ingresar para satisfacer la curiosidad tcnica opara usar las redes como enlace hacia otros lugares, probando tcnicas y formas novedosas

de ataques, que suelen tener diversos grados de conocimientos tcnicos. Un grado msavanzado de atacante son los terroristas informticos, que son individuos que atacan alsistema para causar daos, tomar el control u obtener informacin con diversos fines, inclusolos econmicos.

Una variedad aparte constituyen el grupo de intrusos remunerados, que generalmente sonmuy peligrosos porque tienen una gran experiencia en seguridad y tcnicas de intrusin yevasin. Son verdaderos profesionales que alquilan sus conocimientos y sevicios para robarinformacin, provocar daos o modificar datos tratando de afectar la operatividad bsica.

13


14/33


4. Riesgos crticos

De los riesgos mencionados, la Prdida del Equipoes muchas veces el riesgo que se consideracomo el ms crtico por parte del administrador de la red.

Perder el control de un equipo puede traer consecuencias que varan de acuerdo al tipo de equipoque se pierda:

Se pierde la informacin guardada en el terminal: informacin comercial, estratgica,bancaria, datos de cuentas como nombres de usuarios, passwords, listas de clientes, listasde saldos, pedidos, etc. Dependiendo de la estrategia o protocolo de seguridad que selleve adelante en la empresa, esta prdida de datos puede ser ms o menos crtica y lasconsecuencias siempre son imprevisibles. Hay que tener en cuenta que por ms que lasreglas y protocolos de seguridad del administrador de la red sean estrictos, el punto dbilde la seguridad siempre es el usuario. Por ms que la reglas de seguridad indiquen que lainformacion estratgica o de seguridad de la empresa no sea guardada localmente, losusuarios del equipo que se pierde pueden haber dejado informacin importante guardadalocalmente. La perdida de un equipo de red siempre puede traer consecuenciasimprevisibles que deben evaluarse, analizarse y contrarestarse (en caso de ser posible) apartir del ataque. La informacin no slo puede ser accedida y robada para diversos fines,sino que tambin puede ser eliminada por el intruso en el caso que el ataque tenga porobjeto hacer dao y destruir datos dentro de la red.

El ordenador perdido puede convertirse tambin en el enclave estratgico del intruso paraproceder a acceder a la red interna de la empresa. En algunos casos, cuando los ataquesson bien planificados, puede suceder que no se provoquen daos a la informacin, sinorobo de la misma y el equipo sea utilizado por los intrusos como un equipo zombie atravs del uso de algn troyano, o que se le instale algn software de captura de datoscomo keyloggers (para captura de nombres de usuario o contraseas), analizadores decomportamientos, gusanos para expandir algn virus, etc.

Como se puede ver, desde este punto de vista que expongo, los riesgos ms crticos puedenderivarse de la perdida de un equipo en red. Incluso muchos virus informticos tienen por objetoque se pierda el control de un equipo para que ste sea utilizado de manera fraudulenta (redeszombies que generan ataques de denegacin de servicios, troyanos que permiten tomar el controlremoto de equipos a distancia, gusanos que expanden mensajes, propagan virus, extraeninformacin, etc).

14


15/33


5. Herramientas ymedidas deseguridad

La nica manera de conseguir seguridad en cualquier sistema informtico es implementando lastcnicas de proteccin adecuadas. Ninguna tcnica de proteccin es eficaz al cien por cien,siempre existe riesgo. Pero mientras ms barreras de seguridad se implementen, menor ser elriesgo.

Siempre es conveniente recordar que el punto ms dbil de la seguridad la constituyen losusuarios.

No sirve de mucho si un sistema de cifrado es completamente seguro si no se activa, si sus clavesson evidentes o si se deja con la configuracin por defecto.

Consideraremos tres tipos de herramientas de seguridad:

Herramientas de prevencin

Herramientas de proteccin contra intrusos

Herramientas para recuperacin de datos.

5.1 Herramientas de prevencin

Son aquellas que aumentan la seguridad de un sistemadurante el funcionamiento normal de ste impidiendo laaparicin de problemas de seguridad y aportan unconjunto de medidas que tienden a dejar circunscripto alproblema dentro de un margen tolerable que no impidela operatividad normal del sistema.

5.1.1 Medidas de prevencin contra la prdida de equipos

Es muy importante tomar las precauciones mnimas para evitar dentro de lo posible laprdida o robo del equipo. Tambis es necesario prepararse para esa eventualidad.En esos casos es importante no dejar grabados en el equipo datos consideradosvitales tales como nombres de usuario y contrasea, ni dejar estos datos escritos enpapeles que estn permanentemente con el equipo o en documentos fcilmenteidentificables.

15


16/33


5.1.2 Medidas de prevencin contra las amenazas de software

Un virus informtico es un programa que se propaga de un sistema a otro por medio

de la generacin de copias idnticas de s mismo. Estas copias pasan de unacomputadora a otra a travs de medios de entrada/salida.

El poder de propagacin es algo que caracteriza a este tipo de programas. El poderhacer copias de s mismo y de pasar de un sistema a otro de manera inadvertida,hacen que no se pueda prever el alcance de las infecciones.

Los daos que puede producir un virus estn generados por caractersticas propias decada cdigo y por lo general se diferencian entre virus que se instalan y se ejecutandisimuladamente en el sistema efectuando copias de s mismos sin mayores accionesy terminan provocando anomalas de funcionamiento y aquellos que estnprogramados para ejecutar acciones dentro del sistema que pueden ser dao directo,robo de informacin, captura de datos, etc.

La funcin de un programa antivirus es la de detectar la presencia o el accionar de unvirus informtico y tratar de eliminarlo cuando est instalado o impedir su instalacincuando se detecta el acceso del mismo.

Todo usuario de computadoras debera implementar una estrategia de seguridadantivirus, no slo para proteger su propia informacin sino para evitar convertirse enun agente de dispersin del virus.

Un antivirus es slo una herramienta que no es eficaz en el cien por cien de los casossi no se sigue un protocolo de seguridad. Por lo tanto, la nica forma de queconstituya un bloqueo eficaz para un virus es que se lo utilice con determinadasnormas y procedimientos.

Estas normas tienden a controlar la entrada de archivos al disco rgido de lacomputadora, lo cual se logra revisando con el antivirus todos los disquetes, mediosde almacenamiento en general, todos los archivos y, por supuesto, disminuyendo almximo todo tipo de trfico.

5.1.3 Medidas de prevencin contra el mal uso de personasautorizadas

El mal uso del sistema intencional o accidental por personas autorizadas sueleaparecer en los entornos corporativos, por lo que su solucin se basa en implantaruna poltica de seguridad donde se defina cules son los puntos importantes quedeben tener en cuenta los empleados.

La poltica debe abarcar tpicos tales como uso de las claves, copias de seguridad,etc. Es importante plasmar estos puntos en un documento y difundirloadecuadamente, adems de ofrecer formacin sobre el uso de los ordenadores, lasposibles amenazas a la seguridad y cmo evitarlas.

5.1.4 Medidas de prevencin contra el uso fraudulento porpersonas no autorizadas

A pesar de que la mayora de los usuarios tiene en mente el problema de laseguridad, lo cierto es que no se le suele dedicar mucha atencin. Por ejemplo, eshabitual dejar los productos con su configuracin por defecto.

16


17/33


Si hay algo que conocen los intrusos es la configuracin por defecto de los equipos.Por ello, es recomendable cambiar las claves de acceso y activar las medidas deseguridad no configuradas por defecto, principalmente en los segmentos Wifi de la

red, que involucra claves de tipo WEP o WPA.

A nivel de los routers es tambin importante ocultar la identificacin SSID, no habilitarDHCP o utilizar un firewall.

5.2 Herramientas de proteccincontra intrusos

Son aquellas que se utilizan para detectar intentos oviolaciones de la seguridad, permiten buscar

posibles fallos o puntos dbiles por los cualespueden ingresar ataques y finalmente evitar lasintrusiones dentro del permetro de la red.

Un intruso es cualquier persona que entra en la red sin autorizacin. En el caso de las redesen general los intrusos pueden venir desde internet o usand indebidamente un enlaceinterno de conexin (boca rj45). Si la red tiene un segmento inalmbrico, el intruso puedeacceder a partir de un punto de acceso sin estar dentro del permetro fisico de la red, perodentro del rea de cobertura.

A veces la intrusin consiste en establecer la comunicacin sin hacer uso de los recursos dela red, pero escuchando e interpretando la informacin que intercambian los usuariosautorizados.

A menudo el intruso puede impedir el uso normal de la red saturndola.

En el caso de redes Wifi el acceso, la escucha y la saturacin pueden evitarse cifrando lascomunicaciones, pero es conveniente complementar el uso del cifrado con otros conjuntosde medidas y herramientas disponibles tambin para la parte cableada de la misma.

Analizaremos:

Herramientas relacionadas con los usuarios

Herramientas de encriptacin

Utilizacion de filtros MAC No publicar identificacin SSID en redes wifi

No habilitar DHCP

Usar un Firewall

Medidas fsicas de seguridad

17


18/33


5.2.1 Relacionadas con los usuarios

Estas medidas tienen por fin identificar de modo correcto a los usuarios legtimos y

permitirles el acceso.

5.2.1.1 Contraseas

El mtodo de identificacin ms utilizado en lasredes es la identificacin mediante usuario ycontrasea. Si no se lo utiliza de modo adecuadopuede llegar a tener un nivel de seguridad muybajo, por lo cual es muy dependiente del usuario.

Segn el CERT (Computer Emergency Response Team, 'Equipo de respuestapara emergencias informticas' del Gobierno de los Estados Unidos), el 80%de las violaciones de ordenadores son debidas al uso de claves de acceso

inadecuadas.

Por tanto, a la hora de elegir una palabra clave es importante tener en cuentalas siguientes diez reglas bsicas:

Que tenga una longitud mnima de seis caracteres (pero, a ser

posible, mayor).

Que no sea una palabra con significado (por ejemplo, PAPA).

Que no se corresponda con las iniciales del nombre del usuario

de la empresa (por ejemplo, TdE o IBM).

Que no sea una letra repetida (por ejemplo, AAAA).

Que no est formada por letras contiguas del alfabeto (por

ejemplo, ABCD).

Que no est formada por teclas contiguas del teclado (por

ejemplo, QWERTY).

Que mezcle letras maysculas, minsculas y nmeros (por

ejemplo, T2pY1h).

No compartirla con nadie.

No la deje escrita junto al equipo.

Y, por ltimo, cambie peridicamente las claves de acceso.

Existen trucos para recordar claves aparentemente complejas. Por ejemplo:reemplazar letras por nmeros o signos ('


19/33


ingreso incorrecto de una contrasea por segunda o tercera vez el sistemadebera:

Avisar con una leyenda, que slo se tiene tiene una oportunidad mspara ingresarla

En caso de equivocarse nuevamente, el sistema debera bloquear alusuario hasta que el administrador destrabe al usuario dentro delsistema.

5.2.1.2 Identificacin de usuarios

Este conjunto de herramientas tiene por fin autenticar que las personas queacceden son realmente los usuarios autorizados.

Esa persona sea quien dice ser realmente. Para ello, existen distintos mtodos,

que se dividen en tres categoras, de acuerdo a lo que utilizan para verificar laidentidad, las cuales pueden ser:

Identificacin mediante tarjetas inteligentes

Autenticacin biomtrica

5.2.1.2.1 Identificacin de usuariosmediante tarjetas inteligentes

Las tarjetas inteligentes son resistentes ala adulteracin y ofrecen funciones dealmacenamiento seguro para elprocesamiento.

Al introducir la tarjeta en el lector los dos dispositivos se identifican entres con un protocolo a dos bandas en el que es necesario que ambosconozcan la misma clave, lo que elimina la posibilidad de utilizar tarjetasde terceros para autenticarse ante el lector de una determinadacompaa.

Tras identificarse las dos partes, se lee la identificacin personal (PID) dela tarjeta, y el usuario teclea su PIN; se inicia entonces un intercambio enel que se enva el PID a la mquina y sta solicita a la tarjeta unarespuesta con la clave personal del usuario. Si la respuesta es correcta,

el host ha identificado la tarjeta y el usuario obtiene acceso al recursopretendido.

Algunas de las ventajas de utilizar las tarjetas son:

Economa por su bajo costo

Es un mtodo muy difundido y conocido por los usuarios

Es un medio muy difundido

19


20/33


5.2.1.2.2 Identificacin de usuariosmediante autenticacin biomtrica

Estos sistemas se basan en la deteccin decaractersticas fsicas del usuario a identificar.Tiene la ventaja de que es muy dificultosovulnerarlo.

Entre los mtodos mencionaremos:

Verificacin de la voz: para mejorar su eficacia, debe haberausencia de ruidos. Este sistema puede ser vulnerado mediantetcnicas de simulacin.

Verificacin de escritura:que se basa en la bsqueda de ciertosrasgos de la firma. En este mtodo se investiga: la forma defirmar, el tiempo utilizado y el ngulo del trazo.

Verificacin de huellas: se sabe que no hay dos persona queposean las mismas huellas dactilares. Como desventajamencionaremos la incapacidad de validar en el caso en que eldedo est lastimado, sucio o por el estado de la piel.

Verificacin de patrones oculares:existen mtodos que analizanpatrones retinales o la estructura del iris. Son de costos muyelevados.

Verificacin de la geometra de la mano: de los sistemasbiomtricos, es de los ms rpidos y tiene una posibilidad deerror aceptable.

5.2.2 Herramientas de encriptacin

La criptografa es un mtodo de seguridad quesirve para resguardar todo tipo de informacin,comunicaciones, identificaciones y claves. Todoslos archivos bsicos o maestros de la red, ascomo toda trasferencia de datos deben estarencriptados.

La idea de este mtodo es transformar el texto normal a u texto cifrado , con lo cual elenemigo lee el texto cifrado, no el original. Para poder acceder al verdadero esnecesario una clave que solo conocen el emisor y el receptor. En las organizacioneshay informacin confidencial, a la que puede tener acceso solamente personasautorizadas. Para ello se comenzaron a utilizar tcnicas de criptografa.

Esto nace a partir de la problemtica de las empresas de mandar informacinimportante, mediante un canal de comunicacin poco seguro como es el caso deInternet. A esto se le llama Sistema de Encriptacin, para lo cual utiliza una clave deencriptacin denominada llave, necesaria para acceder a la informacin autntica.

Hay dos tipos de cifrados:

Por sustitucin en donde cada letra o grupo de letras se reemplaza por otraletra o grupo de letras para disfrazarla.

20


21/33


Por transposicin en donde se reordenan las letras pero no son disfrazadas.

La criptografa de clave pblica requiere que cada usuario tenga dos claves, unapblica, usada para cifrar mensajes destinados a un usuario y una clave privada,usada slo por el usuario para descifrar mensajes.

Existen dos tipos de claves de encriptacin:

Claves Simtricas: en las que los algoritmos o claves de encriptacin ydesencriptacin son las mismas.

Claves Asimtricas:que usan una clave o algoritmo para grabar o trasmitir yotra para leer o recibir e interpretar el mensaje.

Los sistemas de clave asimtrica son los que se estn imponiendo, ya que ofrecen unmayor grado de seguridad. Sobre todo porque no hace falta que la clave sea conocidapor ms de una persona.

5.2.2.1 Encriptacin WEP o WPA

En el caso de las redes Wifi o redes que tengan unsegmento inalmbrico, se usa el cifrado WEP yWPA, que son sistemas de cifrado de lainformacin que permiten que slo los equipos conla clave correcta puedan conectarse al punto deacceso; y adems permiten que la informacinintercambiada entre los usuarios y el punto deacceso est cifrada, y por lo tanto, oculta a los

intrusos.

El sistema WEP es el originario de Wi-Fi y, aunque supone una buena medidade proteccin, se le encontraron debilidades, por lo que fue sustituido por elsistema WPA.

El inconveniente de estos sistemas de cifrado es que es necesario introducirlosmanualmente en cada uno de los equipos de la red inalmbrica (punto deacceso y ordenadores de usuarios), lo que no supone problemas en redespequeas, pero en el caso de las redes corporativas complica su gestin. Sobretodo teniendo en cuenta que para mantener un alto nivel de seguridad esnecesario modificar la clave peridicamente.

Es necesario tener en claro que en el momento en que se introduce la clave sepierde la conexin con todos los equipos que no dispongan de la misma.

La configuracin en el punto de acceso depende del equipo en cuestin, perose trata de buscar las opciones de cifrado (Encryption), seleccionar la opcin decifrado elegida (WPA, WEP de 40/64 o 104/128 bits) y elegir el modo como seva a introducir la clave.

La clave es realmente un conjunto de caracteres hexadecimales. Esto quieredecir que se puede utilizar cualquier nmero y las letras de la A a la F. Noobstante, como introducir un cdigo hexadecimal puede resultar incmodo, sepuede elegir la opcin de utilizar una frase clave o passphrase.

21


22/33


A pesar de que WPA es ms seguro, WEP se sigue utilizando mayoritariamentepor dos motivos principales:

No todos los dispositivos son compatibles con WPA, lo que se torna en una

primera dificultad. Puede suceder que la tarjeta de red sea compatible,pero el driver instalado no pueda operar con WPA. Este un primerinconveniente por parte de los usuarios. Se requiere que la tarjeta seacompatible y adems se tenga el driver correcto instalado para que elbinomio hardware+driver pueda soportar WPA. Recordemos adems queuna red actual no slo incluye dispositivos tipo computadoras de escritorio(desktop, all-in-one), porttiles (netbooks, notebooks, ultrabooks, etc) ytablets, sino tambin una serie de dispositivos que ahora integran la redformando una parte dinmica y operativa de la misma: celulares, pda, e-books readers, impresoras inalambricas, cmaras fotogrficas, etc. Habraque comprobar la compatibilidad WPA de todos esos dispositivos.

La configuracin de WEP o WPA en el Punto de Acceso o Router afecta atodos los equipos que se conectan a la red, y cada uno de los dispositivosrequiere de configuracin manual de la seguridad. Esto deriva en que sitenemos configurada la seguridad WPA y en algn momento se requiereconectar a un equipo que no es compatible con WPA, deberemosreconfigurar el Punto de acceso o el Router y todos los equipos que yaestn conectados a la nueva confracin con WEP para permitir a esedispositivo la conexin. Desde el punto de vista del administrador de la red,se producira una acumulacin de trabajo que va a depender de la cantidadde equipos a reconfigurar, la prdida momentnea de la conexin a la redpor parte de todos los equipos que deben reconfigurarse y lo que es msimportante, la momentnea imposibilidad de acceder a los recursos quecomparte la red hasta su reconfiguracin (archivos, datos, servicios,conexin a internet, etc).

Estos problemas (en conjunto), lleva a la decisin por parte de losadministradores a configurar por defecto la seguridad con WEP, porque todoslos dispositivos y equipos Wifi son compatibles con WEP. Desde el punto devista operativo, por supuesto, se analizar los riesgos de seguridad para tomarla determinacin de si es conveniente configurar WPA y potencialmente dejarde conectar dispositivos no compatibles con WPA. En este caso en particular, eladministrador de la red analizar los potenciales riesgos de la red y laposibilidad cierta o remota de que la misma sea el centro de un ataque. Desdeel punto de vista del riesgo, no es lo mismo una red hogarea (personal), unared de una pequea empresa (estudio, escuela, ciber) o una red corporativa(banco, organismo estatal, de seguridad, etc).

En agunos casos, cuando el estudio previo lo requiera, el administrador har

prevalecer la seguridad e implementar WPA an a costa de tener que cambiarel hardware de dispositivos no comptabiles o directamente impedir la conexinde esos equipos.

5.2.3 Utilizacin de filtros MAC

La direccin MAC es un nmero de identificacinglobalmente nico que identifica a cadadispositivo de comunicacin o cada tarjeta dered que se fabrica. Este nmero es nico y fue creado para facilitar lascomunicaciones del protocolo Ethernet. La ventaja de la direccin MAC frente a ladireccin IP es que la primera es nica para cada equipo, mientras que la segunda la

22


23/33


asigna cada red y puede ser modificada por sus usuarios. Por tanto, un nmero odireccin MAC identifica a cada terminal de forma inequvoca.

Aprovechando esto, algunos puntos de acceso wifi ofrecen la posibilidad de definir

una lista de nmeros MAC permitidos.Tambin puede definirse en las reglas de unfirewall.

Esto quiere decir que el punto de acceso o el firewall slo permitir la comunicacin alos equipos cuyo nmero MAC se encuentre en la lista. Al resto de equipos, entre ellosal de los intrusos, no se les permitir el acceso.

El filtro MAC es una buena barrera de acceso, no obstante, tiene una debilidad: unpirata experimentado puede descubrir los nmeros MAC autorizados, modificar estenmero en su equipo y entrar en la red.

Los nmeros MAC estn formados por 48 bits, es decir, 12 caracteres hexadecimalesque suelen representarse como una cadena de seis grupos de dos cifras separadospor dos puntos (por ejemplo, 12:AB:56:78:90:FE).

Este nmero lo asigna cada fabricante a cada una de las tarjetas de comunicacin(NIC o Network Interface Card) que produce y tiene la particularidad de ser nico.

Quiere decir que no existen dos tarjetas con nmeros iguales, aunque sean del mismofabricante. Esto es lo que se conoce como identificacin globalmente nica.

Los nmeros MAC fueron definidos por el IEEE para ser utilizados con la red Ethernet.De los 48 bits de que dispone, los ltimo 24 identifican al fabricante de la tarjeta, esteidentificador se conoce como OUI (Organizationally Unique Identifier, 'Identificadornico de organizacin'), pudiendo cada fabricante disponer de ms de uno de estosidentificadores.

5.2.4 No publicar laidentificacinSSID en redes Wifi

Los puntos de acceso en las redes Wifise identifican por un nombre que le otorga su administrador y que se conoce comoSSID o nombre de red. El punto de acceso puede anunciar este nombre, emitir estainformacin, o mantenerlo oculto.

Cuando lo anuncia, cualquier usuario en su rea de cobertura que explore las redesdisponibles lo

encontrar y podr intentar conectarse a ella con un simple clic. Si el punto de accesono publica su SSID, su nombre no aparecer en la lista de redes disponibles, y portanto, no invitar a su conexin.

Existen herramientas para descubrir el SSID aunque el punto de acceso no lopublique, por tanto, un hacker experimentado no tendr problemas en saltarse estabarrera.

Dado que el identificador SSID se puede elegir, es mejor utilizar un nombre que notenga ninguna relacin con los propietarios ni con los usuarios de la red. Estocomplicar, al menos, la identificacin de la red.

23


24/33


5.2.5 No habilitar DHCP

Para que un equipo se conecte a una red IP necesita

disponer de un nmero IP de identificacin (su direccinIP). Este nmero puede introducirse manualmente en cadaequipo o puede configurarse para que lo obtengaautomticamente en el momento de su conexin.

Quien asigna los nmeros IP de forma automtica es unservicio del punto de acceso conocido como DHCP(Dynamic Host Control Protocol, 'Protocolo de control dinmico del Host').

El servicio DHCP puede habilitarse o no. Si se habilita, cualquier usuario puedeconectarse a la red simplemente configurando la opcin 'Obtener IP de formaautomtica'. Si no se habilita, a cada equipo de usuario hay que configurarlemanualmente una direccin IP vlida. Esto significa que cada nmero IP tiene que

estar dentro del rango de nmeros de la red y no estar siendo utilizado por otrousuario.

Por tanto, tener deshabilitado el servicio DHCP supone una barrera, aunque obliga aladministrador de la red a gestionar de forma manual la asignacin de nmeros IP.

5.2.6 Utilizar un Firewall

Un firewall es un software o un hardware que controla lascomunicaciones entrantes y salientes en una red y quemediante la configuracin especfica permite filtrarlas,basndose en distintos criterios para impedir el acceso no

autorizado a reas protegidas y evitar conexiones entrantes ysalientes que cumplan con los criterios de exclusinconfigurados en las reglas de seguridad programadas en el mismo firewall.

Existen firewalls que trabajan con toda una red, que existen bajo forma de hardware yque en algunas ocasiones pueden estar incorporados a Routers o Puntos de Acceso.Estos firewalls de hardware incorporan software que permite la configuracinpersonalizada. Y existen firewalls en forma de software, que se usan principalmentepara la proteccin individual de equipos. En ambientes corporativos y redes, seprefieren los firewalls de hardware porque permiten concentrar la configuracin deseguridad en un solo lugar, facilitando las tareas del administrador de la red.

Siempre es conveniente este tipo de configuracin centralizada, pero en el caso de nocontar con un firewall para toda la red, en el caso de pequeas redes hogareas, sepueden incorporar firewalls individuales para cada equipo y configurar la seguridadindividualmente, aunque no es conveniente porque implica ms riesgos de seguridadante la posibilidad de equivocaciones al programar las reglas o imprevistos.

Las funciones del firewall se resumen en una serie de controles y un conjunto dedecisiones:

Analiza el trfico entrante y saliente de una red o de un equipo en particular

Decide que trfico deja pasar de acuerdo a las reglas de seguridadprogramadas

Decide a qu trfico le debe impedir el acceso para garantizar la seguridadinterna de la red o del equipo

24


25/33


Decide que trafico deja salir en base a las reglas de seguridad programadas

Decide que trafico saliente debe impedir basndose en las reglas de seguridadprogramadas

El enclave estratgico del firewall son justamente la programacin de las reglas deseguridad para el trfico entrante y el saliente de la red o el equipo.

Estas reglas de seguridad (o filtros) tienen distintos puntos de vista y criterios y suelenprogramarse bajo dos tipos de criterios: criterios permisivos y criterios de exclusin.

Los routers permiten que individualmente las reglas puedan activarse o desactivarse,facilitndole al administrador la programacin de reglas individuales sencillas queunindose con otras, producen una barrera lgica cuya fortaleza depende de la lgicade programacin que se emplea. Adicionalmente se puede decir que si las reglas sonprogramadas de modo incoherente, pueden haber problemas en la comunicacin dela red.

Dependiendo del router, las formas de programar esos criterios pueden ser diferentes,pero casi todos los routers permiten la programacin de estos tipos de filtros:

Filtro MAC: el nmero MAC es un nmero asignado y grabado por elfabricante para cada tarjeta de red que es unico e irrepetible. Este filtro permitedefinir exactamente los nmeros MAC autorizados o impedidos decomunicarse. Si el filtro est configurado para PERMITIR, los nmeros MAC dela tabla son los equipos autorizados a entrar o salir de la red y los que no estningresados son excludos y no pueden ni entrar ni salir. Si el filtro estconfigurado para IMPEDIR, los nmeros MAC ingresados en la tabla o puedenentrar o salir de la red y los que no estn ingresados tienen autorizacin detrfico. Este filtro est pensado para que el administrador impida la conexinespecfica de uno o varios equipos d la red o del exterior o para canalizar eltrfico de la red a uno o varios equipos en particular.

Filtro URL: la url es la direccin de pgina web en forma de triple w(www.dominio.com.ar). Si el filtro est configurado como PERMITIR, define qupaginas web pueden ser accedidas desde la red; las que no estn definidas,son bloquedas. Si el filtro est configurado para IMPEDIR, las pginas webingresadas en la tabla no pueden ser accedidas por los equipos de la red y lasque no se ingresaron pueden visualizarse. Este filtro est pensado paraimpedir que os usuarios accedan a pginas web o para canalizar laconectividad a una o varias pginas web en particular. Dependiendo del router,algunos permiten trabajar indistintamente con triple w (www) o numeros ip delas pginas web, otros slo permiten ingresar el triple w de la pgina.

Filtro IP: Si el filtro est programado para PERMITIR, los nmeros IP que se

ingresen en la tabla, sern los autorizados para conectarse mientras que elresto de nmeros IP sern excludos de la conexin. Si el filtro se configurapara IMPEDIR, los nmeros IP de la tabla no tendrn acceso a la red y el restode los nmeros podr conectarse. Este filtro est pensado principalmente paraque el administrador pueda canalizar las comunicaciones de la red en el casode que tenga varias puertas de enlace, para que pueda canalizarcomunicaciones dentro de un cierto rango de nmeros IP, como un filtrosemejante al MAC en el caso de que su red tenga equipos con IP fijas o para elcaso de que quiera entubar comunicaciones dentro de segmentos de red.Adicionalmente tambin puede servir de filtro ante nmeros IP externosdetectados como potencialmente peligrosos. Casi todos los router que he vistopermiten definir nmeros IP individuales o rangos completos de nmeros IP(definiendo el binomio IP desde / IP hasta).

25


26/33


Filtro Dominio: semejante al filtro URL, pero no incluye el nombre de la pginacompleto, sino todo el dominio. Por ejemplo, en un filtro URL bloqueamos unapgina web en particular (por ejemplo www.hackers.net.ar), pero en el Filtro de

Dominio bloqueamos a todas las pginas web que tengan un dominio enparticular. Por ejemplo definimos al dominio net.ar y el router trabajar contodas las web que terminen en net.ar, sin importar el nombre en particular dela pgina web.Si el filtro est configurado como PERMITIR, define qu dominios pueden seraccedidos desde la red; los que no estn definidos, son bloquedos. Si el filtroest configurado para IMPEDIR, los dominios ingresados en la tabla no puedenser accedidos por los equipos de la red y los que no se ingresaron puedenvisualizarse.

Filtro Protocolos:Define que protocolos tienen permiso o estn excludos deoperar con los equipos de la red. Dependiendo de la calidad del firewall y de laactualidad de su software puede incluir ms o menos protocolos. La mayoraque he visto incluye los protocolos usuales: TCP, FTP, HTTP, HTTPS, SMTP,POP3, Telnet, etc. Algunos routers hacen una diferenciacin entre Protocolosde la capa 4 de transporte (TCP, UDP) y protocolos de la capa 7 de aplicacin( HTTP, SMTP, POP3, FTP, etc). Por este ltimo motivo puede ser quealgunos tengan diferentes formas de programacion. Usualmente todospermiten definir un protocolo y adicionalmente programar los puertos o el rangode puertos con los que trabaja el protocolo a definir en la regla. Cuando el filtrose programa para PERMITIR, el protocolo definido puede trabajar para lospuertos programados y el resto de los protocolos no ingresados a la lista nopueden trabajar. Si el protocolo definido intenta acceder por un puerto noregistrado en la lista, se niega la comunicacin. Cuando el filtro se programapara IMPEDIR, el protocolo definido no puede trabajar para los puertosprogramados y el resto de los protocolos no ingresados a la lista puedentrabajar. Si el protocolo definido en la lista de IMPEDIR intenta acceder por un

puerto no registrado en la lista, se permite la comunicacin. Por este ltimomotivo este filtro de programacin es uno de los ms crticos en seguridad y elque ms fallas puede ocasionar en la administracin y programacin de lareglas. Muchos expertos en seguridad advierten de la necesidad de trabajaresta regla de filtro por protocolo unica y exclusivamente como regla dePERMITIR para evitar riesgos catastrficos se seguridad.

5.2.6.1. Tipos de Firewall

Dependiendo de la configuracin de estos filtros que forman parte de losrouters, se pueden configurar estos tipos de firewalls individuales o combinadosentre s.

5.2.6.1.1. Proxy o Servidor de Defensa

El proxy es un software que se instala en unacomputadora conectada a una red local, quefunciona como una puerta lgica. Los proxypueden tener varias aplicaciones, perogeneralmente funcionan como firewall.

La funcin de un proxy es permitir el acceso desde el exterior a los datoscompartidos pero protegiendo al servidor en el cual se encuentran losdatos alojados. Para esto, el proxy permite colocar una copia de nuestros

26


27/33


archivos para la consulta, evitando de ese modo que los archivosoriginales sean puestos en riesgo.

Usualmente un servidor proxy es un programa que trabaja con servicios

externos, en nombre de clientes internos. Los clientes se comunican conlos servidores proxy los cuales a su vez, trasmiten las solicitudesaprobadas a cada uno de los clientes para despus transmitir lasrespuestas al servidor proxy y de este a los clientes.

El proxy guarda en el disco o la memoria las pginas a las que seaccede, para que la prxima vez que alguien acceda a las misma, puedaingresar ms rpido, permitiendo que muchos usuarios accedan ainternet a a travs de una sola conexin.

5.2.6.1.2. Gateways a nivel aplicacin

Los gateways nivel-aplicacin permiten al

administrador de red la implementacin deuna poltica de seguridad estricta que la quepermite instalar un ruteador filtra-paquetes.

En ellos se instala un cdigo de propsito especial (o servicio Proxy) paracada aplicacin deseada. Si el administrador de red no instala el cdigoProxy para la aplicacin particular, el servicio no es soportado y nopodrn desplazarse a travs del firewall.

5.2.6.1.3. Ruteador filtra paquetes

En este caso el ruteador toma decisiones quele permiten permitir o negar el paso de cada

uno de los paquetes de datos que sonrecibidos. El ruteador examina cada datagrama para determinar si estecorresponde a uno de sus paquetes filtrados y determina si ha sidoaprobado por sus reglas.

Si se encuentra la correspondencia y las reglas permiten el paso delpaquete, este ser desplazado de acuerdo a la informacin a la tabla deruteo. En cambio si las reglas niegan el paso, el paquete es descartado.

El router de filtrado es por lo general transparente a los usuarios finales ya las aplicaciones, por lo que no se requiere de entrenamientoespecializado o software especfico que tenga que ser instalado en cadauno de los servidores.

5.2.7 Medidas fsicas de seguridad

Siempre se puede plantear la posibilidad de agregarun dispositivo fsico que complemente al software paradotar al sistema de redes para una mayor seguridad.

Podemos considerar las siguientes soluciones comoejemplo:

27


28/33


Colocar una llave tipo yale o trabex, para cortar la alimentacin elctrica delequipo. Esto permitir garantizar que slo el poseedor de la llave fsica puedausar el equipo.

Eliminar las unidades de almacenamiento externo y puertos que permitan la

conexin de dispositivos de almacenamiento. Esto eveiar que los usuariospuedan bajar y trasladar informacin privativa de la empresa con el beneficioadicional de impedir el ingreso de virus por esas vas.

Colocar un dispositivo lector o lectograbador de tarjetas magnticas lo quepermitir entregarle a cada usuario una tarjeta magnetizada con los datos paravalidar la identificacin y autenticidad, adems de la clave que tambin debeingresar tipeando.

Colocar una cmara de vdeo para grabar la imagen de quien est frente almonitor y el teclado, programando la grabacin cada cierto tiempo.

Implementar sistemas de autenticacin por firma digital, de modo que se puedacaptar la firma en un scanner y cmparar firmas grabadas

5.3 Herramientas para recuperacin de datosEstas nos permiten poner a funcionar nuevamente el sistema cuando se ha producido unaviolacin o ataque y se ha vencido el permetro de la seguridad. Con ellas, se buscarecuperar los datos daados o perdidos para volver operativa la red.

5.3.1 Copias de seguridad de archivos

El resguardo de archivo se realiza con el objetivo depoder recuperar la informacin que se procesa en lascomputadoras si se produjera algn incidente quedejara fuera de operaciones al sistema.

Ante cualquier tipo de catstrofe o ataquedaino, aunque implicara una prdida totalde las computadoras, se podra volver a operar si se cuenta con una Copia deSeguridad actualizada.

La frecuencia y el tipo de copia es determinado de acuerdo a las caractersticas de laorganizacin, pero como norma de seguridad adicional deber tenerse una o mscopia de la versin ms actualizada en un lugar fsicamente alejado del sistemaprincipal que se protege.

5.3.2 RAID ( Redundant Array ofIndependent Disk )

Es tambin una tcnica de grabacin de discos en simultneo yparalelo, que distribuye los datos en bloques entre diferentesdiscos fsicos. Esta tcnica puede tener varios niveles, segn lacantidad de discos entre los cuales se distribuyan los bloquesde datos.

28


29/33


6. Recomendacionesbsicasde seguridad

Despus de haber analizado todos los aspectos de la seguridad,es conveniente para el administrador determinar los aspectos fundamentales que deber tener encuenta al crear el protocolo y las polticas generales en el lineamiento de la seguridad.

Si bien cada red tiene sus propias particularidades, algunos aspectos forman parte del fundamentode cualquier poltica de seguridad y sin lugar a dudas, deben ser tenidos en cuenta en todomomento, ms all de los riesgos particulares de cada entorno.

Siempre el administrador deber tener en cuenta los siguientes aspectos:

Definir una poltica rigurosa en cuanto a la creacin, proteccin y utilizacin decontraseas siguiendo los criterios analizados: mas de 6 caracteres, que no sea obvia,que mezcle caracteres alfabticos y numricos, que mezcle maysculas y minsculas,no letras repetidas, no nombres personales, no siglas, no iniciales, no nombres depersonas cercanas, no fechas de cumpleaos ni aniversarios, no dejarlas escritas, notirar a la basura, cambiarla peridicamente, no compartirla, no usar las mismas clavespara todo, etc.

Cambiar los parmetros de seguridad por defecto que estn configurados en losequipos.

Inhabilitar la configuracin remota del equipo.

En los segmentos Wifi, activar el cifrado WPA si es posible y como mnimo el WEP.

Inhabilitar el envo de las seales broadcast SSID de los puntos de acceso.

Desabilitar el servicio DHCP si es posible. Si no es posible, programar el servicioDHCP con rangos de nmeros no habituales (tratar de evitar en la red los nmeros192.168.0.x o 192.168.1.x y asignar otros dentro de la clase C).

Compartir slo los recursos necesarios. Dentro de lo posible, evitar compartir ms deuna carpeta por cada equipo y evitar el uso compartido de discos enteros. De ser

posible cifrarlos con claves.

Tener un antivirus actualizado. En lo personal, recomiendo tambin tener un firewallpersonal para cada equipo de la red adems del firewall del router. En el tema del viruslos especialistas recomiendan no slo tener actualizados los antivirus sino correrperidicamente el proceso de escaneo completo del disco y mantener activa ladeteccin heurstica de virus informticos.

Algunos especialistas recomiendan en el caso de que se use Windows, instalar lasactualizaciones crticas de seguridad.

Hacer uso de navegadores web que cuenten con proteccin adicional mediante ladeteccin de webs atacantes que intentan correr scripts Ajax o de otras tecnologas(ASP, etc).

29


30/33


Programar la mayor cantidad de filtros posibles dentro de las reglas del firewall.

Implementar un protocolo de seguridad que sea seguido por el administrador de la rede incluya revisiones peridicas de equipos, evaluacin de la seguridad, renovacin declaves, informacin permanente a los usarios usuarios de la red y control de las

actividades de los usuarios (principalmente control de las pginas visitadas, usocorrecto de programas, control estricto de instalacin de software, drivers, etc).

7. Conclusiones

Se podra discutir durante mucho tiempo hasta qupunto elevar la seguridad perimetral de nuestra red.Para ello se podran analizar diversos puntos devista, posibilidades y estrategias, pero en cualquier caso, siempre resultar interesante serconscientes de la importancia que tiene la seguridad en nuestra red y cules son nuestrasdebilidades ms evidentes.

Es conveniente para todos los administradores analizar los siguientes puntos:

Qu aspecto tiene nuestra red desde el punto de vista del pirata?

Cul es la aplicacin, el sistema o la informacin ms importante de la que dispone la redy cules seran las consecuencias si accede a ella un intruso?

Cules seran las consecuencias si deja de funcionar el sistema o la informacin msimportante se torna inaccesible ?

Existen otras redes inalmbricas que operen por la zona y puedan enlazar mis punto deacceso?

Cmo podra un intruso acceder a mi red?

Qu podra hacer un hacker si consigue tener acceso? Cul sera el riesgo?

De qu forma podra detectar si algn intruso ha logrado entrar en la red?

Cmo puedo estar seguro de que mi firewall est haciendo bien su trabajo?

Cmo puedo comprobar mi seguridad?

En definitiva la auditora en seguridad trata de determinar las debilidades de una red y valorar elriesgo de que nuestros datos estn expuestos a terceras personas. Esto ltimo es una tarea, hastacierto punto subjetiva, que depende de la actividad a la que nos dediquemos.

Sin embargo, para analizar las debilidades de nuestra red, contamos con herramientas

30


31/33


interesantes. Ahora bien, de la misma forma que estas herramientas ayudan a analizar y mejorar laseguridad de una red de cable e inalmbrica y ayudan a los intrusos a averiguar por dnde poderatacamos. Por tanto, es importante sacar ventaja del conocimiento de estas herramientas.

Algunos de estos productos son los siguientes:

InternetScanner. Es una muy buena herramienta que ayuda a detectar las vulnerabilidadesdel sistema.

Black Ice. Herramienta para proteger al ordenador de ataques externos.

Netwatcher 2000. Registra los datos (fecha, hora, direccin IP y nmero de puerto) detodos los que intentan acceder a la red.

NetSpyHunter. Herramienta para detectar ataques al disco duro.

Airsnare. Explora la red en busca de intrusos y muestra su actividad. Con la utilidad Airhomse le pueden enviar mensajes al intruso.

Airopeek. Este software ayuda a identificar usuarios no autorizados, as como a comprobarel nivel de seguridad de la red

Qcheck o Ipe. Informa de la velocidad real de la conexin, as como de su rendimiento.

Ntop. Ofrece estadsticas en tiempo real de la utilizacin de la red.

Tambin existen herramientas profesionales que permiten gestionar la seguridad de las redes deuna forma centralizada. Estos programas informan de posibles incidencias, realizan informes ypermiten administrar cada uno de los puntos de acceso de forma centralizada.

Ricardo Ponce (2013)

http://hepika.blogspot.com

31


32/33


Bibliografa

Control de Accesos. Manuel Pons Martorel. Depto Telecomunicaciones. EscuelaUniversitaria Politcnica de Matar

Criptografa, Maple y RSA. Carlos B. Escuela Tcnica Superior de Ingenieros de Telecomunicacin.Universidad Politcnica de Madrid.

Criptografa Para Principiantes. Jos de Jess Angel Angel

Formao de Suporte Tcnico. Luiz Carlos Lobato Lobo de Medeiros- Wendel Soares. Rio deJaneiro.2010

Redes Cisco. Autores Varios. Buenos Aires. Arg. 2010

Seguridad Informtica. Sebastin Firtman. Buenos Aires. Arg. 2005

Seguridad Informtica. Gustavo Aldegani. Buenos Aires. Arg. 1997

Seguridad Informtica y Critografa.Jos Rami Aguirre. Madrid. Espaa. 2006

Seguridad en Unix y Redes. Antonio Villaln Huerta

Seguridad por niveles. Alejandro Corletti Estrada. Madrid. 2011

32


33/33


33

Documents

Riesgos de Seguridad y Medidas de Proteccion en Redes LAN