PROTECCIÓN

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo.Mientras algunas técnicas son evidentes otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.

Después de lo expuesto y vistas la gran cantidad de herramientas con las que cuenta el intruso, es el turno de estudiar implementaciones en la búsqueda de mantener el sistema seguro.
Siendo reiterativo, ninguna de las técnicas expuestas a continuación representarán el 100% de la seguridad deseado.

VULNERAR PARA PROTEGER

Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de una red. Básicamente buscan los puntos débiles del sistema para poder colarse en ella.
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos más poderosos con los que se cuenta hoy para generar barreras cada vez más eficaces.
El software y el Hardware utilizados son una parte importante, pero no la única. A ella se agrega lo que se denomina “políticas de seguridad internas” que cada organización debe generar e implementar.

ADMINISTRACIÓN DE LA SEGURIDAD

Es posible dividir las tareas de administración de seguridad en tres grandes grupos:

• Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de recursos de cómputo que cierto medio ambiente puede ofrecer.

• Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener dominio.

• Auditora: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a los recursos.

PENETRATION TEST, ETHICAL HACKING O PRUEBA DE VULNERABILIDA
El Penetration Test es un conjunto de metodologías y técnicas, para realizar una reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. evaluación integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos.

El Penetration Test se compone de dos grandes fases:

1. Penetration Test Externo: el objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna.
2. Penetration Test Interno: este tipo de testeo trata de demostrar cual es el nivel de seguridad interno. Se deberá establecer que puede hacer un Insider y hasta donde será capaz de penetrar en el sistema siendo un usuario con privilegios bajos.

HONEYPOTS–HONEYNETS

Estas “Trampas de Red” son sistemas que se activan con la finalidad específica de que los expertos en seguridad puedan observar en secreto la actividad de los Hackers/Crackers en su hábitat natural.Actualmente un equipo de Honeynet Project3 trabaja en el desarrollo de un documento sobre la investigación y resultados de su trampa, la cual fue penetrada a la semana de ser activada (sin publicidad).

FIREWALLS

Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan mucho de ser la solución final a los problemas de seguridad.

Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

ROUTERS Y BRIDGES

Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por diferentes Routers.

Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.

TIPOS DE FIREWALL

Filtrado de paquetes

Se utilizan Routers con filtros y reglas basadas en políticas de control de acceso. El Router es el encargado de filtrar los paquetes basados en cualquiera de los siguientes criterios:

1. Protocolos utilizados.
2. Dirección IP de origen y de destino.
3. Puerto TCP–UDP de origen y de destino.

Estos criterios permiten gran flexibilidad en el tratamiento del tráfico. Restringiendo las comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre cuales máquinas la comunicación está permitida.

Proxy- Gateways de aplicaciones

Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host.

Dual-Homed host

Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el IP–Forwarding desactivado.

Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.

Screened host

En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios.

Screened subnet

En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo Bastión. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta máquina no consiga el acceso total a la subred protegida.

En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misión de bloquear el tráfico no deseado en ambos sentidos. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno).

Inspeccion de paquetes

Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones.

Firewalls personales

Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple “cuelgue” o infección de virus hasta la pérdida de toda su información almacenada.

ACCESS CONTROL LISTS (ACL)

Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clásicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos concretos.También podrán definirse otras características como limitaciones de anchos de banda y horarios.

WRAPPERS

Un Wrapper es un programa que controla el acceso a un segundo programa. El
Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un
más alto nivel de seguridad.

Los Wrappers son ampliamente utilizados, y han llegado a formar parte de
herramientas de seguridad por las siguientes razones:

• Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles y simples de validar.
• Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper.
• Debido a que los Wrappers llaman al programa protegido mediante llamadas estándar al sistema, se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger.
• Permite un control de accesos exhaustivo de los servicios de comunicaciones, además de buena capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.

DETECCIÓN DE INTRUSOS EN TIEMPO REAL

La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas de protección hasta aquí abordados, si bien son eficaces, distan mucho de ser la protección ideal.

La integridad de un sistema se puede corromper de varias formas y la forma de evitar esto es con la instalación de sistemas de Detección de Intrusos en Tiempo Real, quienes:

• Inspeccionan el tráfico de la red buscando posibles ataques.
• Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos como de usuarios autorizados).
• Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check) del sistema para detectar la modificación de los mismos.
• Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o semejantes.
• Controlan el núcleo del Sistema Operativo para detectar posibles infiltraciones en él, con el fin de controlar los recursos y acciones del mismo.
• Avisan al administrador de cualquiera de las acciones mencionadas.

INTRUSIÓN DETECTION SYSTEMS (IDS)
Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el exterior–interior de un sistema informático.

Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en:

• Host–Based IDS: operan en un host para detectar actividad maliciosa en el mismo.
• Network–Based IDS: operan sobre los flujos de información intercambiados en una red.
• Knowledge–Based IDS: sistemas basados en Conocimiento.
• Behavior–Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema.

CALL BACK

Este procedimiento es utilizado para verificar la autenticidad de una llamada vía modem. El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al número que en teoría pertenece al usuario.

SISTEMAS ANTI–SNIFFERS

Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas

se basan en verificar el estado de la placa de red, para detectar el modo en el cual está

actuando (recordar que un Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.

GESTION DE CLAVES “SEGURAS”

Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas

por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente

llamadas Claves Débiles.

Según demuestra el análisis de +NetBuL6 realizado sobre 2.134 cuentas y probando

227.000 palabras por segundo:

• Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
• Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).

Otro estudio7 muestra el resultado obtenido al aplicar un ataque, mediante un

diccionario de 62.727 palabras, a 13.794 cuentas:

• En un año se obtuvieron 3.340 contraseñas (24,22%).
• En la primera semana se descubrieron 3.000 claves (21,74%).
• En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).

NORMAS DE ELECCIÓN DE CLAVES

Se debe tener en cuenta los siguientes consejos:

1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.

SEGURIDAD EN PROTOCOLOS Y SERVICIOS

Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya sea en su implementación o en su uso.

Netbios

Estos puerto son empleado en las redes Microsoft para la autentificación de usuarios y la compartición de recursos.

ICMP

A fin de prevenir los ataques basados en bombas ICMP, se deben filtrar todos los paquetes de redirección y los paquetes inalcanzables.

Finger

Típicamente el servicio Finger ha sido una de las principales fuentes de problemas. Este protocolo proporciona información detallada de los usuarios de una estación de trabajo, estén o no conectados en el momento de acceder al servicio.

POP

El servicio POP utilizado para que los usuarios puedan acceder a su correo sin necesidad de montar un sistemas de archivos compartidos.

Mediante POP se genera un tránsito peligroso de contraseñas a través de la red.

NNTP

El servicio NNTP se utilizado para intercambiar mensajes de grupos de noticias entre servidores de News.

De esta forma, los servidores NNTP son muy vulnerables a cualquier ataque que permita falsear la identidad de la máquina origen, como el IP Spoofing.

NTP

Es un protocolo utilizado protocolo utilizado para sincronizar relojes de máquinas de una forma muy precisa; a pesar de su sofisticación no fue diseñado con una idea de robustez ante ataques, por lo que puede convertirse en una gran fuente de problemas si no está correctamente configurado.

TFTP

es un protocolo de transferencia de archivos que no proporciona ninguna seguridad. Por tanto en la mayoría de sistemas es deseable (obligatorio) que este servicio esté desactivado.

FTP

Un problema básico y grave de FTP es que ha sido diseñado para

ofrecer la máxima velocidad en la conexión, pero no para ofrecer la seguridad; todo el

intercambio de información, desde el Login y password del usuario en el servidor hasta la

transferencia de cualquier archivo, se realiza en texto claro, con lo que un atacante no tiene

más que capturar todo ese tráfico y conseguir así un acceso válido al servidor.

Telnet

El protocolo TELNET permite utilizar una máquina como terminal virtual de otra a través de la red, de forma que se crea un canal virtual de comunicaciones similar (pero mucho más inseguro) a utilizar una terminal físicamente conectada a un servidor.

SMTP

La mala configuración del servicio SMTP utilizado para transferir correo electrónico entre equipos remotos; suele ser causante del Mail Bombing y el Spam redirigido.

Servidores WWW

Hoy en día las conexiones a servidores web son sin duda las más extendidas entre usuarios de Internet. En la actualidad mueve a diario millones de dólares y es uno de los pilares fundamentales de muchas empresas: es por tanto un objetivo muy atractivo para cualquier intruso.

CRIPTOLOGÍA

En el año 500 a.C. los griegos utilizaron un cilindro llamado “scytale” alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro.

CRIPTOGRAFÍA

la Criptografía hace años que dejó de ser un arte para convertirse en una técnica (o conjunto de ellas) que tratan sobre la protección (ocultamiento ante personas no autorizadas) de la información.

Es decir que la Criptografía es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

AUTENTIFICACIÓN

Se entiende por Autentificación cualquier método que permita garantizar alguna

característica sobre un objeto dado.Interesa comprobar la autentificación de:

• Mensaje mediante una firma: se debe garantizar la procedencia de un mensaje conocido, de forma de poder asegurar que no es una falsificación. A este mecanismo se lo conoce como Firma Digital y consiste en asegurar que el mensaje m proviene del emisor E y no de otro.
• Usuario mediante una contraseña: se debe garantizar la presencia de un usuario autorizado mediante una contraseña secreta.
• Dispositivo: se debe garantizar la presencia de un dispositivo válido en el sistema, por ejemplo una llave electrónica.

ESTEGANOGRAFÍA

Consiste en ocultar en el interior de información aparentemente inocua, otro tipo de

información (cifrada o no). El texto se envía como texto plano, pero entremezclado con mucha

cantidad de “basura” que sirve de camuflaje al mensaje enviado.

COMERCIO ELECTRÓNICO

El comercio electrónico abarca todos los conceptos relacionados con procesos de mercado entre entidades físicas o jurídicas pero a través de redes de telecomunicaciones. 

El principal requisito que debe tener una transacción electrónica es la Seguridad además de:

• Confidencialidad (anonimato): la identidad del comprador no es conocida por el vendedor; nadie, excepto el banco, debería conocer la identidad del comprador; el banco debería ignorar la naturaleza de la compra y; un tercero no debería poder acceder a la información enviada.
• Autenticación: permite a cada lado de la comunicación asegurarse de que el otro es quien dice ser.
• Integridad: evita que un tercero pueda modificar la información enviada por cualquiera de las partes.
• No Repudio o Irrefutabilidad: permite, a cada lado de la comunicación, probar fehacientemente que el otro lado ha participado: el origen no puede negar haberlo enviado y el destino no puede negar haberlo recibido.
• Flexibilidad: aceptar todas las posibles formas de pago existentes.
• Eficiencia: el costo del servicio no debe ser mayor que el precio del producto o servicio.