Redes y Seguridad Cap Tulo 6 Seguridad en Redes

Capítulo 6SEGURIDAD EN REDES

En este capitulo, introduciremos un tema importante que no debe ser dejado de lado al momento de configurar una red informática: la seguridad. Hablar de seguridad de una manera concreta es muy complicado, ya que el término en sí se relaciona con las necesidades y niveles aceptables de cada administrador. Nos enfocaremos en cubrir los dispositivos y configuraciones que nos permitirán aumentar al máximo posible los niveles de seguridad en nuestra red.

Firewall

El firewall (cortafuegos) es un componente de red cuya función principal es la de bloquear los accesos hacia la red y desde ella, según un conjunto de reglas y criterios personalizabas.

Función

En toda red existe lo que se denomina perímetro, que consiste en una línea imaginaria que bordea cada red Esta línea imaginaria se corresponde con las segmentaciones físicas y lógicas que se establecen utilizando dispositivos de routing.

ALFAOMEGA MATÍAS «AT7

Katz, Matías David. Redes y seguridad.: A lfaomega Grupo Editor, . p 240http://site.ebrary.com/id/10779862?ppg=240Copyright © Alfaomega Grupo Editor. . All rights reserved.May not be reproduced in any form without perm ission from the publisher, except fa ir uses permitted under U.S. o r applicable copyright law.

http://site.ebrary.com/id/10779862?ppg=240

220 Seguridad en redes

Una vez que la información pase este perímetro, se considera haber entrado en la "red pública". Aunque este térm ino pueda ser incorrecto, ya que después del perímetro de nuestra red privada se podría encontrar otra red privada, y ésta se considera pública al estar fuera del rango de control de la primera red.

MATÍAS KAT7 ALFAOMEGA



Redes y seguridad 221

La función del fírewall es regular la información que transita entre el perímetro de nuestra red y las redes públicas conectadas a nuestra red. Profundizando este concepto, la tarea del firewall es revisar cada bit que intenta ingresar o egresar de nuestra red, aplicarle una lógica de comparación (obtenida de la configuración de políticas de seguridad en el mismo firewall). y según los resultados permitir o denegar el paso de dicha información hacia la red destino.

Sobre la base de este comportamiento, existen dos premisas principales:

1) Restrictiva: todo lo que no esté explícitamente permitido, será restringido.

2) Permisiva: todo lo que no esté explícitamente restringido, será permitido.

El firewall basará su proceso de decisión en la premisa que haya sido seleccionada en su política de configuración, y continuará realizando las comparaciones necesarias para determinar si permite el tránsito de la información o lo bloquea.

Ejemplo de política permisiva

1) Cierta información intenta ingresaren nuestra red a través del protocolo FTP.2) El firewall revisa en su política permisiva alguna restricción explícita hacía el

protocolo FTP3) Según la existencia de dicha restricción puede ocurrir lo siguiente:

a) Si existe restricción, el paquete es rechazadob) Si no existe restricción, el paquete es transmitido hacia la red privada

Ejemplo de política restrictiva:

1) Cierta información intenta egresar desde nuestra red a través del protocolo POP.

2) El firewall revisa en su política permisiva algún permiso explícito hacia el protocolo POP.

3) Según la existencia de dicho permiso puede ocurrir lo siguiente:a) Si existe permiso, el paquete es transmitido hacia la red privadab) Si no existe permiso, el paquete es rechazado

ALFAOME6A MATÍAS «AT2




El conjunto de normas y reglas que forman la política de seguridad de un firewall puede ser ampliamente personalizable. Más adelante veremos en detalle las diferentes opciones disponibles para el armado de dichas normas y reglas.

Posicionam iento

Un firewall puede estar representado por un equipo de hardware dedicado, o puede tratarse de un software que se ejecuta sobre un sistema operativo. En definitiva, a modo arquitectónico se trata de un equipo que intermedie las comunicaciones de la red (o redes) que desea proteger.

Veamos los diferentes tipos de infraestructuras donde se podría implementar un firewall

Dual-hom ed firewall

In te rn e t

DUAL - HOMED FIREWALL

Red Privada

Fig. 6-3 Dual-hom ed firew all.

En esta situación, el equipo en cuestión cuenta con dos dispositivos de red Una de ellas se encuentra conectada a la red privada; y la otra, a la red pública. El análisis y filtrado de información se realiza en el momento en el que los bits atraviesan el equipo Esta técnica es la más usada debido a su efectividad. En esta situación, es

MATÍAS KAT2




imposible circunvalar el control, ya que el firewall se encuentra físicamente intermediando ambas redes.

M ulti-hom ed firewall

Internet

Fig. 6 -4 M ulti-hom ed firew all.

Esta situación es sim ilar a la anterior, con el agregado de la posibilidad de interconexión de varias redes en simultáneo. El firewall cumple la misma funcionalidad y su modo de operación, pero al interconectar diferentes redes se pueden establecer políticas y reglas independientes para cada red.

Esta arquitectura introduce un nuevo concepto a tener en cuenta al hablar de seguridad en redes: la "DMZ".

D M Z

Utilizando las iniciales DMZ (Demilitarized Zone) se identifica a una subred semipública dentro de nuestra red general También se la puede encontrar nombrada como 'red de perímetro", ya que ahí es donde justamente se encuentra ubicada.


Katz, Matías David. Redes y seguridad.: A lfaomega Grupo Editor, . p 244http://site.ebrary.com/id/10779862?ppg=244Copyright © Alfaomega Grupo Editor. . All rights reserved.May not be reproduced in any form without permission from the publisher, except fa ir uses permitted under U.S. o r applicable copyright law.



Esta disposición estructural está diseñada para proveer una capa adicional de protección a nuestra red general, ya que es aquí donde se deberán posicionar los servidores que suministren servicio hacia las redes públicas. De esta forma, la red privada permanecerá resguardada, ya que no se necesitará permitir el acceso a ella desde otras redes.

El firewall que regule esta subred deberá tener una política restrictiva, pero con reglas no muy específicas. Así podrá perm itir el tránsito desde dichos servidores y hacia ellos:

Fig. 6-5 Estructura de DMZ con m ulti-hom ed firew all.

Una forma alternativa de implementar una red DMZ es utilizando dos dualhomed firewalls'.

MATÍAS KATZe b r a r y




In te rn e t

' " i " 'DUAL - HOMED

FIREWALL

* REGLAS RESTRICTIVAS

Red Privada

Fig. 6-6 Estructura de DMZ con dos dual-hom ed firew alls.

7 1 6 b e 6 f l b a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e Se b r a r y

Este método es el más seguro de todos al requerir que la información atraviese dos barreras hasta llegara la red privada.

Flujo de inform ación en una DMZ

Para obtener el mejor rendimiento en una red DMZ sin desmerecerla seguridad, los firewalls que intermedien en las comunicaciones, al Igual que los servidores (tanto en la red semípública como en la red privada) deberán estar configurados correctamente según sus roles y ubicación en la red.

Ejemplo: servidor Web en la red DMZ cuya información a mostrar reside en un servidor de archivos en la red privada:




2 2 6 Seguridad en redes

Fig. 6-7 Servidor W eb con su inform ación en la red privada.

La configuración de seguridad para esta situación deberá ser la siguiente:

1) El fírewall (A) deberá tener una política laxa, que permitirá el tránsito a través del puerto 80 únicamente hacia el servidor Web (B).

2) El servidor Web (B) deberá tener configurado su servicio Web para acceder a la información en el servidor de archivos (D), utilizando un usuario y contraseña.

3) El fírewall (C) deberá tener una política rigurosa, que permitirá el tránsito hacia el servidor de archivos (D) únicamente desde el servidor Web (B), y solamente si el usuario y contraseña de acceso son correctos.

4) Por último, el servidor de archivos (D) deberá tener habilitada una conexión entrante para el servidor Web (B) con el usuario y contraseña elegidos.

MATÍAS KAT7




De esta forma, podremos tener un servidor Web en nuestra red DMZ que acceda a la información de un servidor de archivos en nuestra red privada, y con un nivel de riesgo mínimo.

Bastion host

En esta situación, llamada bastión host (anfitrión bastión), el firewall está ubicado en la red privada, y tanto las conexiones entrantes como salientes están configuradas para ser automáticamente redirigidas hacia este equipo, que las filtrará según su propio conjunto de reglas. Este equipo funcionará de intermediario entre las redes privadas y públicas, aunque no exista una segmentación lógica o física entre ellas (salvo por el router del perímetro). Esta función es conocida como proxy Es importante destacar que, aunque el bastión host se encuentre en la red privada, tendrá visibilidad directa y total desde la red pública, pasando a ser una indefectible víctima de ataque.

Proxy

Un equipo configurado como proxy (intermediario) tendrá como función el tram itar las transacciones que le sean delegadas por los equipos tanto en la red privada como la pública. Su uso principal es el control del contenido de la información que ingresa y egresa de nuestra red.

ALFAOMEGA MATÍAS «ATZ




El equipo tomará la información de transacción, la autorizará o rechazará según su conjunto de reglas de filtrado, y en caso de permitirla la ejecutará como propia Al contar con un proxy. todas las comunicaciones entrantes y salientes figurarán como si hubieran sido iniciadas por dicho equipo, ocultando la identidad de otros equipos en la red, minimizando significativamente el potencial de ataque

El uso de proxies es muy común, ya que provee un mejor control de la información que fluye por nuestra red Sin embargo, es importante calcular el consumo total de recursos y el tamaño de datos que posee y transmite la red, ya que al centralizar todas las actividades en un equipo, éste puede saturarse y dejar de funcionar, inhabilitando nuestra red por completo.

También se lo puede encontrar nombrado como Circuit Level Gateway

Existen proxies públicos que ofrecen el mismo servicio que los privados. El usuario deberá configurar al equipo público como su proxy y a partir de ese momento todas sus comunicaciones salientes serán transmitidas a través de dicho servidor Desde el aspecto de la seguridad, la única diferencia es que los proxies públicos no son seguros, ya que no están dentro del rango de control del administrador. Solo se deben usarprox/es públicos que sean de extrema confianza, porque la provisión de dichos servicios por parte de desconocidos puede causar el robo de nuestra información, infecciones de malware y varios otros graves problemas de segundad.

MATÍAS KAT7 ALFAOMEGA


Computer C

Fig. 6-9 Proxy en la red.



Tipos de firewall

Existen diferentes tipos de firewall. categorizados según su modo de operación y la capa del modelo OSI donde trabajan:

P acket filtering firew all

También son llamados "primera generación de firewalls". Estos equipos trabajan filtrando paquetes de acuerdo con la información de las capas 3 y 4. Por ejemplo, podrían filtra r todo el tránsito de información proveniente de una IP o puerto TCP/UDP en particular, o permitir todo el tránsito de información que se dirija a cierta IP o puerto TCP/UDP en particular.

No poseen demasiada inteligencia, por lo cual no se los pueden configurar siguiendo reglas muy específicas. Su uso aplica a routers o pequeños firewalls de perímetro, como ser equipos hogareños o de pequeñas empresas.

CAPA 7, DE APLICACIÓN

CAPA 6, DE PRESENTACIÓN

CAPA 5, DE SESIÓN

CAPA 4, DE TRANSPORTE

CAPA 3, DE RED

CAPA 2, DE ENLACE

CAPA 1, FÍSICA

REGLAS QUE MANEJAN

DIRECCION IP ORIGEN

DIRECCIÓN IP DESTINO

PUERTO ORIGEN

PUERTO DESTINO

Fig. 6-10 Packet filtering firew all.





A p p lic a tio n la ye r fire w a ll

Son también llamados 'segunda generación de firewalls" Estos equipos utilizan la información proveniente de las siete capas del modelo OSI, y realizan un análisis detallado y específico, aplicando un conjunto de reglas extremadamente personalizabas. Por ejemplo, estos equipos permiten filtra r información según un comando específico del protocolo de capa 7 que represente el paquete en análisis (como pueden ser los comandos POST y GET de HTTP), y perm itir un subconjunto de comandos mientras rechaza otro.

CAPA 7, DE APLICACIÓN

CAPA 6, DEPRESENTACIÓN

CAPA 5, DESESIÓN

CAPA 4, DETRANSPORTE

CAPA 3, DERED

CAPA 2, DEENLACE

CAPA 1,FÍSICA

REGLAS QUE MANEJAN

^ PROTOCOLO EN USO

^ FORMATO DE LA INFORMACIÓN

PROTOCOLO EN USO

[^ > PUERTO ORIGEN Y/O DESTINO

^ IP ORIGEN Y/O DESTINO

PROTOCOLO EN USO

Fig. 6 -11 Application layer firew all.

Estos equipos requieren un consumo exhaustivo de recursos de hardware y red, por lo que se debe calcular detalladamente los requerimientos para implementarlo. Paralelamente, se recomienda ubicarlo únicamente en los sectores de la red que realmente lo necesiten

N o ta Según el autor, al hablar de los tipos de firewall la terminación gateway podría figuraren reemplazo de firewall.

MATÍAS KATZ




Statefu l firew all

Son también llamados "tercera generación de firewalls" Estos equipos también operan en las siete capas del modelo OSI, pero además ofrecen un significativo refuerzo de seguridad: mantienen el recuerdo de las sesiones establecidas y las analizan una por una mientras estén en curso.

Hasta ahora, los firewalls que discutimos cumplían sus funciones excelentemente. Pero existe un pequeño problema: cada paquete que ingresaba al firewal era analizado independientemente, sin guardar registro de los paquetes anteriormente recibidos desde el mismo origen. Debido a esto, un agente malintencionado podría simular una sesión iniciada por un usuario válido, tom ar control de su sesión e infiltrarse en nuestra red privada.

Los stateful firewalls mantienen en tiempo real un registro detallado de todas las comunicaciones que estén establecidas, y cada paquete nuevo que llega es analizado y comparado en base al historial de transacciones realizadas bajo los mismos parámetros del nuevo paquete. De esta forma, un agente malintencionado no podría simplemente enviar un paquete y esperar acceder, ya que el firewall detectará que el paquete no corresponde a ninguna sesión activa y rechazaría su ingreso

Se considera que estos firewalls son los más avanzados, y requieren un extremo consumo de recursos de hardware y red, por lo que su uso se deberá minimizar al máximo posible.

IDS

Los IDS (Intrusión Detection Systems) son equipos que proveen un nivel de seguridad mayor a nuestra red, complementando al firewall y trabajando en conjunto con él. Su función principal es la de detectar intrusiones a su área de cobertura, mediante el análisis exhaustivo de cada paquete de información que ingresa en ella. Al detectar una intrusión, el IDS podría realizar cualquier tipo de tarea preconfigurada por el administrador, ya sea rechazar futuros paquetes de igual origen o contenido, arrojar alertas de sistema, enviar un correo electrónico o sms al administrador, reconfigurarel firewall a un modo más preventivo, etcétera.

Cada ataque posee su propio patrón de comportamiento. El IDS detecta este patrón a mitad de camino y neutraliza el remanente del ataque rechazando las conexiones que le correspondan. El IDS utiliza una técnica llamada Sniffing (olfateo) mediante la cual el equipo es capaz de recopilar toda la información que circule dentro de su área de cobertura, ingresarla en su sistema y analizarla, comparándola con su conjunto de reglas y políticas preestablecidas. El IDS puede utilizar la información encontrada en las siete capas del modelo OSI para hacer sus análisis.




Seguridad en redes

Según sus niveles de tolerancia, esperará más o menos al sospechar de un supuesto ataque, antes de tomar una acción correctiva

Nota: Cubriremos más en detalle la técnica de Sniffing en el capítulo 7

Problem ática con los IDS

Existen dos problemáticas importantes que afectan a todo IDS:

1) Falso negativo: el IDS pasa por alto un ataque o intento de intrusión, tomándolo como una comunicación legitima y sin realizar ninguna acción correctiva al respecto. De esta forma, el atacante puede satisfactoriamente realizar su intrusión sin ser detectado ni detenido.

2) Falso positivo: El IDS identifica un supuesto ataque y realiza las acciones correctivas correspondientes, basándose en un análisis incorrecto sobre una comunicación en realidad legítima. Esto puede tornarse un problema serio si el IDS tiene configurado acciones correctivas que sean restrictivas en relación al acceso a la red. Por ejemplo, si un IDS está configurado para cerrar el puerto 80 del firewall de perímetro al encontrarse con un supuesto ataque. En este caso, un falso positivo deshabilitaría el acceso público a los sitios Web que la organización maneje, por culpa de una mala configuración del IDS.

El nivel de tolerancia y rigurosidad que se le configure al IDS determinará la cantidad de falsos negativos y falsos positivos que ocurran. Cada IDS deberá ser configurado acorde a los parámetros y límites aceptables de cada organización.

Tipos de IDS

Existen diferentes tipos de IDS, según su modo de ser ¡mplementado:

Los NIDS (Network IDS, IDS de red) son equipos IDS que trabajan sobre los paquetes que circulan en el segmento de red al que estén conectados, analizando todo el tránsito en él. Al igual que un firewall, puede estar representado por un equipo de hardware dedicado o puede tratarse de un software ejecutándose sobre un sistema operativo.


NIDS

MATÍAS KATZ 7 1 6 b e 6 flb a c e b e 6 9 6 4 ^ |_ p ^ i|^ ¿ c l5 c l9 e 4 e 8



FIREWALL

SERVIDOR SERVIDOR------------ v

NIDS

In te rn e t

Fig. 6-12 NIDS en la red.

HIDS

Los HIDS (Host IDS, IDS de equipo) son un aplicativo de software que trabaja sobre el sistema operativo de un equipo, proveyéndole de una protección adicional a ese equipo en particular. Al combinarse con un fírewall por software, el equipo en cuestión tendrá lo que se llama "protección en capas":

FIREWALL

HIDS

ANTIVIRUS

SISTEMAOPERATIVO

Fig. 6-13 Protección en capas con HIDS.




Seguridad en redes

El HIDS cumple las mismas funciones que el NIDS, pero su área de cobertura se remite únicamente al equipo donde el software esté instalado.

M odalidades de análisis

Existen dos principales modalidades de análisis que pueden ser adoptadas por un IDS para detectar intrusiones:

Signature-based

Al adoptar la modalidad signature-based (basado en firmas) el IDS comparará los paquetes que ingresen en su área de cobertura con la llamada "base de firmas", que contiene los datos de todos los patrones y comportamientos conocidos. Esta base es entregada y actualizada regularmente por el proveedor del IDS, y deberá estar instalada y al día en cada IDS Su modo de operación es sim ilar al de un antivirus.

Dentro de sus cualidades principales, se encuentran:

1) Su implementación es rápida y simple.2) No requiere de un seguimiento exhaustivo por parte del administrador.3) Manteniendo actualizada su base de firmas, el IDS estará protegido contra

todos los ataques conocidos hasta el momento.

Sin embargo, esta modalidad de análisis presenta ciertos defectos:

1) El equipo es vulnerable ante ataques zero-day (día cero). Estos ataques son llamados de este modo, ya que hasta el momento de su publicación, no existe conocimiento ni documentación de su existencia. Al basarse estos IDS en patrones conocidos, estos ataques pueden burlar su seguridad fácilmente

2) Ante cualquier problema con la distribución de la base de datos de firmas, el equipo quedaría desactualizado y vulnerable: y en algunos casos extremos, podría quedar completamente inhabilitado para funcionar (por ejemplo, si el proveedor actualiza su base de firmas con una información corrupta o incorrecta).

Más allá de sus defectos, la signature-based es la modalidad de análisis mayormente elegida, debido a su simplicidad de implementación y uso.


MATÍAS KATZ 716be6flbacebe6964^ pß^ |j|g^ d 5 d 9 e 4 e 8



Anom aly-based

La modalidad anomaly-based (basada en anomalías) consiste en configurar al IDS en "modo aprendizaje" durante el tiempo que el administrador considere prudente. Este tiempo puede ser de una semana, extenderse hasta tres meses, o más inclusive.

Durante el período en que el IDS se encuentra en este modo, aprenderá los comportamientos y las comunicaciones que se realicen regularmente en la red, y armará una estadística de uso cotidiano. Luego de finalizado el tiempo que el administrador haya considerado prudente, el IDS se configurará en "modo productivo". A partir de ese momento, el equipo únicamente permitirá el tránsito que haya detectado anteriormente, durante el período de aprendizaje.

Dentro de sus cualidades, se pueden encontrar.

1) No requiere el uso de una base de firmas, permitiéndole al IDS tener una independencia absoluta.

2) No es susceptible a ataques de tipo zero-day, ya que todo comportamiento no realizado durante su aprendizaje será rechazado.

Lamentablemente, esta modalidad de análisis presenta un defecto muy grave Si en algún momento del modo de aprendizaje la red (o el equipo) fuera víctima de algún ataque, el IDS podría tom ar ese comportamiento como normal y permitir futuras comunicaciones similares, habilitando a un agente malintencionado a repetir dicho ataque para siempre

IPS

Los IPS (Intrusión Prevention Systems) son equipos que trabajan de la misma forma que los IDS, pero con la diferencia de permitir el análisis de la información en tiempo real. Estos equipos poseen una puerta de entrada y una de salida. En el caso de los MIPS (Network Intrusión Prevention Systems), estas puertas están representadas por dispositivos de red. En el caso de los HIPS (Host Intrusión Prevention Systems), las puertas están representadas por dispositivos de l/O en las capas bajas de comunicación de red del sistema operativo del equipo donde esté instalado el HIPS

Al momento de recibir información por un extremo de conexión, se la analiza inmediatamente en búsqueda de potenciales ataques o intrusiones. Si la información es aprobada, el paquete es transmitido a través del otro extremo de conexión. En caso de sospechar de un ataque, el IPS podría reaccionar de manera preventiva, logrando que ni siquiera un paquete malicioso sea incorporado en la red o el equipo bajo su protección.





Es importante resaltar que al implementar un IPS, todas las conexiones, tanto entrantes como salientes, que se realicen en el área de cobertura del IPS serán analizadas constantemente. Esto puede ocasionar graves problemas de rendimiento en la red y los equipos protegidos, por lo que es recomendable analizar puntillosamente el entorno en donde se implementará el IPS.

En el caso de un HIPS, el equipo a proteger deberá contar con suficientes recursos de hardware y un sistema operativo capaz de permitirle al IPS operar con efectividad sin saturar al equipo.

En el caso de un NIPS, es importante situar el IPS en un segmento con poco tránsito o dotar a la red de suficientes recursos de hardware y ancho de banda. El mejor lugar para ubicar a un NIPS es en la DMZ, ya que podrá controlar las conexiones que se realicen desde las redes públicas hacia nuestros servidores.

Fig. 6-14 NIPS en la DMZ.

MATÍAS KATZ



Redes y seguridad

Por otro lado, un NIDS es mucho más útil al ser implementado en la red privada, puesto que le permitirá revisar pasivamente las actividades que se realicen allí sin perjudicar su rendimiento.

Honeypots

El térm ino honeypot (tarro de miel) se refiere a un equipo que posee un bajo nivel de seguridad de manera intencional, con el fin de tentar y atraer potenciales atacantes, y de esa manera intentar identificarlos y analizar sus técnicas de ataque.

Son una herramienta de seguridad muy importante que nos permite proteger nuestra red y equipos de una manera simple y económica. En resumen, su implementación se centraliza en la instalación de un equipo en la red pública o en la red DMZ. Es preciso instalarle aplicaciones y servicios, pero sin realizarle configuraciones de seguridad. Además, se le debe asignar una conexión directa hacia la red pública con total visibilidad desde fuera de nuestro perímetro.

In te rn e t

Fig. 6-15 Honeypot en la red pública.

ALFA0ME6A MATÍAS «AT2




Los atacantes poseen herramientas automatizadas de análisis y búsqueda de equipos vulnerables. Una honeypot aparecerá rápidamente en esa búsqueda, y el atacante procederá luego a intentar una intrusión en dicho equipo. Como el equipo en cuestión es extremadamente vulnerable, el atacante probablemente podrá obtener acceso y comenzará a buscar información utilizando métodos propios y personales

En ese momento, la honeypot comenzará a almacenar información de toda la actividad del atacante, que luego estará a disponibilidad del administrador para revisar los comportamientos del atacante, y sobre la base de ello analizar el nivel de seguridad de sus verdaderos equipos ante las técnicas de intrusión que se ejecutaron sobre la honeypot Paralelamente, el uso de una honeypot logrará desviar la atención del atacante de los equipos reales e importantes en nuestra red.

Existen dos tipos de honeypots, según su nivel de interacción:

1) Honeypots de baja interacción: simplemente simulan sistemas operativos y servicios, sin proveer una interacción real. Son fácilmente detectables por el atacante, pero requieren menores recursos y su implementación es extremadamente simple.

2) Honeypots de alta interacción: son equipos reales con sistemas operativos y servicios reales ejecutándose. Son más difíciles de detectar por el atacante, pero requieren de un servidor dedicado ejecutando servicios reales, que deberán configurarse con información falsa para simular ser un equipo real.

MATÍAS KATZ




Sin embargo, una honeypot mal configurada se puede tornar en un arma de doble filo, ya que un atacante podría ingresara nuestra red a través del acceso que obtuvo en la honeypot. Como medida de seguridad, las honeypots no deberán tener información real ni conexiones privadas con el resto de la red. Deberá ser un equipo aislado del resto de la red al que solo se podrá acceder físicamente para administrarlo, y el cien porciento de la información que almacene deberá serfa lso.

Honeynets

Para grupos grandes de honeypots dentro de una red, se utiliza el término honeynet.

FIREWALL

HONEYNET

Red In te rn e t

HONEYPOT

HONEYPOT HONEYPOT

SERVIDOR. SERVIDOR

SERVIDOR

Fig. 6-17 Honeynet.

Las honeynets se utilizan para proveer una mayor ilusión de 'red insegura' al atacante.





Honeyfarms

Para redes formadas en su totalidad por honeypots se utiliza el término honeyfarm

Red In te rn e t

FIREWALL

HONEYFARM

HONEYPOT

HONEYPOT

HONEYPOT

HONEYPOTHONEYPOT

Fig. 6-18 Honeyfarm .

Estas redes de honeypots se usan comúnmente en entornos de investigación, para obtener información de manera masiva que servirá para combatir al crimen cibernético.

MATÍAS KATZ 7 1 6 b e 6 f lb a c e b e 6 9 G 4 ^ | _ p ^ j| ^ ^ d 5 d 9 e 4 e 8e b r a r y




VPN

Muchas organizaciones operan de manera distribuida, teniendo diferentes sucursales en diversas partes del mundo. Hasta hace un tiempo, la única forma de interconectar dichas sucursales era mediante líneas dedicadas o enlaces punto a punto. Estos enlaces son extremadamente costosos, por lo que muchas organizaciones desistían de su uso.

Las VPN (Virtual Prívate Network) representan una infraestructura de red privada, establecida de modo virtual a través de comunicaciones públicas (Internet), de manera tal que las organizaciones puedan interconectar sus sucursales en forma segura y económica. Al implementar una red VPN, una organización podrá contar virtualmente con una única red privada con total visibilidad e interoperabilidad, sin importar donde se ubiquen geográficamente los equipos que la conformen.

De esta forma, nuestra infraestructura informática puede permanecer completamente protegida perimetralmente, dejando como único punto de acceso remoto la conexión VPN. Así lograremos tener recursos disponibles hacia usuarios remotos, pero restringirsu acceso a quienes tengan permisos explícitos sobre ellos.

Como método de seguridad en el acceso, las redes VPN ofrecen diferentes medios de autenticación para establecer las comunicaciones, de esta forma




Seguridad en redes

proveyendo un nivel adicional de protección a la red. Los medios de autenticación pueden ser contraseñas, tokens, controles biométricos, sm art cards, certificados, etcétera

Tipos de VPN

Existen dos formas de implementar una conexión de red VPN:

1) Remóte Access VPN: en este caso, una computadora que se encuentre en la red pública podrá conectarse a la red privada a través de una conexión VPN única para ese equipo. Cada usuario tendrá sus propias credenciales de acceso y deberá gestionar sus propias conexiones. Es útil para proveer acceso remoto a la red a un subgrupo específico de usuarios.

2) VPN Site-to-Site: en esta implementación, dos redes independientes pueden estar comunicadas al cien por ciento a través de un único túnel. Esta técnica incorpora el uso de terminadores VPN en cada extremo del túnel. Estos equipos poseen dos (o más) dispositivos de red, uno de ellos estará conectado a la red pública y el otro (u otros) a la red privada. Son estos equipos los que generarán la negociación de conexión, las asignaciones de seguridad necesarias y establecerán las comunicaciones, suministrando los servicios de VPN a todos los equipos que estén conectados a la red privada. Es útil para interconectar

MATÍAS KAT2 ALFAOMEQA


Fíg. 6-20 VPN de acceso rem oto.



sucursales separadas geográficamente de manera transparente, ya que los usuarios de cada red privada no tendrán que gestionar sus propias conexiones Con el simple hecho de estar conectados a sus redes privadas, tendrán acceso transparente a los recursos en el otro extremo del túnel, al igual que a los recursos locales de su propia red. El proceso es tan transparente que el usuario no se enterará siquiera de cuáles recursos pertenecen a cada red.

Encapsulam iento y túneles

Al hablar de redes VPN debemos incorporar los conceptos de encapsu la miento y tunelización, ya que conceptualmente ambos ocurren al establecer una red VPN. Los protocolos que operen en las diferentes capas del modelo OSI al momento de establecer una red VPN englobarán la información que reciban de las capas superiores y la transmitirán de manera encapsulada, formando lo que comúnmente se llama túnel.





Fig. 6-22 Encapsulam iento VPN.

Este encapsulamiento, generalmente, es acompañado de un proceso de encriptación, por lo que un agente malintencionado que intercepte las comunicaciones VPN no podrá acceder a la información perteneciente al túnel.

TÚNELVPN

NODO INFORMACIÓN INTERPRETABLE NODOA DESDE ADENTRO B

\INFORMACIÓN NO

INTERPRETABLE DESDE AFUERA

Fig. 6-23 Encriptación del túnel.

Protocolos de tunelización

Existen diferentes protocolos disponibles para establecer los túneles de comunicación VPN. Los dos habitualmente más usados son PPTPy L2TP.

P P T P

PPTP (Point-to-Point Tunnelíng Protocol) es uno de los protocolos más antiguos para el uso de redes VPN. Su uso es simple, liviano y rápido, pero a la vez presenta un bajo nivel de seguridad. Su aceptación se hizo masiva gracias a su adopción por

MATÍAS KATZ ALFAOMEQA




parte de grandes empresas como Microsoft y 3Com. Más allá de ello, no deja de ser un protocolo débil y anticuado Sin embargo, se convirtió rápidamente en un estándar de facto en cualquier red VPN de baja envergadura por su simple y rápida implementación. Paralelamente, no todos los dispositivos y sistemas operativos (incluso actuales) soportan otros protocolos más que PPTP.

L2TP

El L2TP (Layer2Tunneling Protocol) es el sucesor de PPTP. Fue creado a partir de la unión entre PPTP y un protocolo privativo de Cisco llamado L2F (Layer2 Forwardíng Protocol) Trabaja en capa 2 (al igual que PPTP). pero ofrece mayores servicios de seguridad que su antecesor. No brinda encriptación por sus propios medios, por lo que la opción popular para poder proveer dichos servicios es mediante la combinación L2TP/IPSec. IPSec es un protocolo de seguridad que veremos más adelante en este capitulo.

Su configuración es más extensa y compleja, y al aplicársele IPSec tiende a consumir una mayor cantidad de recursos que PPTP, por lo que su cobertura a nivel mundial no es tan grande como lo es con PPTP. Sin embargo, ofrece varias e importantes mejoras en cuanto a seguridad, rendimiento, compatibilidad y calidad de servicio que PPTP.

Aquí podremos ver una tabla comparativa de ambos protocolos, en donde se listan sus diferencias más significativas:

CARACTERÍSTICAS PPTP L2TP

Soporta Remóte Access VPN Sí Sí

Soporta VPN Síte-to-Site Sí Sí

Disponible en arquitecturas Microsoft

Sí Sí

Disponible en arquitecturas Open Source

Sí Sí

Disponible en dispositivos móbiles

Sí No en todos

Protocolo de transporte TCP UDP (más liviano, más compatible con firewalls)

Complejidad de uso Baja Alta

Seguridad Baja Alta





Medios de autenticación Solo contraseñas Contraseñas, tokens, smart-cards, certificados y más

Soporta IPSec

Consumo de recursos

No

Bajo

Sí (mayor seguridad)

Alto

Como se observa, no existe un único vector comparativo que entregue un resultado favorable unilateralmente. Cada protocolo cuenta con sus pro y contra, y deberemos seleccionar cuidadosamente cuál usaren nuestra implementación.

Es importante resaltar que cualquiera sea el protocolo que elijamos para nuestras conexiones VPN igualmente obtendremos un significativo incremento en nuestro nivel de seguridad perimetral, al establecer una protección hacia los accesos a nuestra red privada desde la red pública.

IPSec

El IPSec (Internet Protocol Securlty) es un protocolo de capa 3 específicamente diseñado para el protocolo IP, que brinda herramientas de seguridad a través de la autenticación de orígenes y la encriptación de las comunicaciones que se realicen mediante su uso. La principal particularidad que presenta este protocolo es el hecho de operar en una capa muy baja del modelo OSI, lo cual le permite ofrecer interoperabilidad con casi todos los protocolos de capas superiores. Este beneficio se debe a que al operar en una capa tan baja, los protocolos de altas capas no tienen necesidad de enterarse de que la red en donde transitan opera bajo IPSec, por ende no deben prepararse para trabajar con él.

Los servicios de seguridad proveídos por IPSec son:

1) Autenticación y autenticidad de origen: cada extremo de una comunicación IPSec deberá pasar inevitablemente por un proceso de autenticación, que validará su identidad ante el agente de control. Asimismo, cada paquete enviado en la comunicación será verificado para corroborar que realmente haya sido enviado desde la entidad que reclama haberlo efectuado.

2) Confidencialidad: las comunicaciones que se realicen con este protocolo pasarán por un proceso de encriptación fuerte que lo protegerá de divulgaciones.

3) Integridad: todo mensaje transm itido a través de IPSec pasará por verificaciones en destino para corroborar si fue recibido íntegramente o si hubo corrupción de datos

MATÍAS KATZ




4) Anti-replay: cada paquete cuenta con una identificación propia que será utilizada únicamente para dicho paquete y luego será descartada. Esta técnica inhabilita el llamado replay attack, que consta de la captura y repetición de mensajes específicos por un agente malicioso, con fines de obtener réplicas de las respuestas de dicho mensaje desde destino.

Com ponentes de IPSec

IPSec utiliza dos componentes clave para conferir seguridad:

1) Authentication Header (AH).2) Encapsulating Security Payloads (ESP).

Estudiemos en detalle cada uno de ellos:

Authentication Header (AH)

Este componente se encarga de autenticar los orígenes de cada paquete IP que fluya en una comunicación a través de IPSec. Además, provee servicios de verificación de integridad del contenido de cada paquete, previniendo la corrupción de datos, pero lo más importante, su falsificación o ejecución de un replay attack.

Paquete onginal

IP HDR TCP DATA

Paquete con IP Sec A uthentica tion Header

IP HDR AH TCP DATA

4--------------------------------------------------------------------- ►A utenticado

Fig. 6 -24 Authentication Header.

Encapsulating Security Payloads (ESP)

Este componente contiene todas las medidas de seguridad proveídas por AH, y adiciona los servicios de encriptación para agregar confidencialidad a las





comunicaciones. Es importante resaltar que al migrar de AH a ESP, los recursos de hardware y ancho de banda se incrementarán significativamente en el enlace. Sin embargo, representa un incremento del nivel de seguridad que merece ser considerado

Paquete original

IPHDR TCP DATA

Paquete con IP Encapsulating Security Payload (ESP)

IP HDR ESP HDR TCP DATA TCPTrailer

ESPAuthentication

*------------ Cifrado ------------HAutenticado

Fig. 6-25 Encapsulating Security Payloads.

Modos de operación

El IPSec se puede implem entaren dos modos:

1) Transport mode (modo transporte).2) Tunnel mode (modo túnel).

Analicemos en detalle cómo funciona cada uno de ellos:

Transport mode

Este modo de operación es el que se utiliza en comunicaciones host-to-host. Solamente el mensaje de capas superiores es el que pasa por el componente de seguridad de IPSec (AH o ESP). La información de routing permanece intacta, y es visible ante componentes de red que intermedien la comunicación

MATÍAS KATZ 7 1 6 b e 6 f lb a c e b e 6 9 aLFAOMEQA 5 d 9 e 4 e 8e b r a r y




✓ N/ N

/ In te rnet \ / \

' \ / •SERVIDOR 1 \ / SERVIDOR 2

\ / N /^ ^

Encapsulado:

IP IPsec Transport data IPsec trailerheader header (TCP, UDP, etc) (ESP only)

■4-------------- C ifrado ►4- Autenticado *■

Fig. 6-26 Transport m ode.

Así quedará un paquete luego de pasar por un proceso de IPSec en modo transporte, utilizando AH.

-Antes de aplicar AH -Original Data

IP header (protocolo de capa supenor)

- Después de aplicar AH -

Original IP header

AHData

(protocolo de capa supenor)

4------------------------------- Autenticado ----------------------------- ►

Fig. 6-27 Transport m ode + AH.

Así quedará un paquete luego de pasar por un proceso de IPSec en modo transporte, utilizando ESP.





IP Pavload

IP Esp Payload ESP AuthenticationData

CifradoAutenticado -

Fig. 6-28 Transport m ode + ESP.

T u n n e l m o d e

Este modo de operación es comúnmente utilizado al configurar redes VPN utilizando IPSec, ya sea en comunicaciones network-to-network (VPN site-to-site) o host-to- network (remóte access VPN). En este caso, el paquete entero es procesado por IPSec. El paquete es encapsulado dentro de un nuevo paquete IP, y es este nuevo paquete el que se enviará a través del enlace

Encapsulado:

Outer IPsec inner IP payload Ipsec trailerIP header header IP header (solo ESP)

CifradoAutenticado

Fig. 6-29 Transport m ode.

MATIAS KATZ ALFAOMEOA




Así quedará un paquete luego de pasar por un proceso de IPSec en modo túnel, utilizando AH.

Paquete original

IPHDR TCP DATA

NewIPHDR ESP HDR

O rig inal IP HDR TCP DATA

TCPCola

ESPA uten tificación

H------------------ Cifrado\4------------------------ Autenticado -

Fig. 6-30 Tunnel m ode + AH.

Así quedará un paquete luego de pasar por un proceso de IPSec en modo túnel, utilizando ESP.

- Antes de aplicar ESP -Onginal Data

IP header (protocolo de capa supenor)

- Después de aplicar ESP -

New IP HDR

ESPheader

Original IP header

Data(protocolo de capa supenor)

TCPTrailer

AuthenticationData

4------------«-------------- Cifrado (confidencialidad)---------------- ►-------------------- Autenticado -----------------------------»

Fig. 6 -31 Tunnel m o d e + ESP.










Documents

Redes y Seguridad Cap Tulo 6 Seguridad en Redes