Presentacion Capitulo 6 PDF

CFGM Seguridad Informática Unidad 6 Seguridad activa: acceso a redes 1. Redes cableadas En una empresa es raro encontrar una máquina aislada. El mismo celo que hemos puesto en vigilar la actividad que ocurre dentro de la máquina hay que mantenerlo cuando los datos salen y entran por alguna de sus interfaces de red. También hay que protegerse de los ataques que vengan por la red. Una máquina que ofrece servicios TCP/IP debe abrir ciertos puertos. A estos puertos pueden solicitar conexión máquinas ﬁables siguiendo el protocolo estándar, o máquinas maliciosas siguiendo una variación del protocolo que provoca un fallo en nuestro servidor. Las primeras redes LAN cableadas eran muy inseguras, porque todos los ordenadores estaban conectados al mismo cable (arquitectura en bus), de manera que cualquiera podía poner su tarjeta de red en modo promiscuo y escuchar todas las conversaciones. Actualmente, utilizamos la arquitectura en estrella: cada equipo tiene un cable directo a un puerto de un conmutador de red (switch) y por ahí envían sus paquetes. Además de mejorar la seguridad, estamos mejorando el rendimiento, porque no malgastamos recursos en enviar paquetes a equipos que no les interesan. Caso práctico 1. Vulnerabilidades de las redes conmutadas Sin embargo, las redes conmutadas tienen sus propias vulnerabilidades: - Hay que proteger el switch físicamente: encerrarlo en un armario/rack con llave dentro de una sala con control de acceso. Así evitamos no solo el robo, sino que alguien acceda al botón de reset y lo configure a su modo. - Hay que proteger el switch lógicamente: poner usuario/contraseña para acceder a su configuración. - Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí. Debemos aislarlas para evitar problemas de rendimiento y seguridad. - Hay que controlar qué equipos se pueden conectar y a qué puertos. Por el motivo anterior, al grupo de marketing solo deberían entrar máquinas de marketing. 1.1. VLAN Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas constituyen una VLAN (LAN virtual). Se le llama virtual porque parece que están en una LAN propia, que la red está montada para ellos solos. Como hemos dicho antes, utilizar VLAN mejora el rendimiento y la seguridad. Si ocurre un problema en una VLAN las otras VLAN no se ven afectadas. Pero un exceso de tráfico en una VLAN sí afectaría a todos porque, al fin y al cabo, comparten el switch. Una VLAN basada en grupos de puertos no queda limitada a un switch; uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto forma parte de otro grupo de puertos, etc. Sin embargo, es raro que las VLAN estén completamente aisladas del resto del mundo. Necesitarán acceso a Internet, así como conectar con otros servidores internos de la empresa. Para interconectar VLAN (capa 2) generalmente utilizaremos un router (capa 3). Capa 2. En el modelo TCP/IP la capa 2 o capa de enlace tiene una visión local de la red: sabe cómo intercambiar paquetes de datos (tramas) con los equipos que están en su misma red. La comunicación es directa entre origen y destino (aunque cruce uno o varios switch). Capa 3. La capa 3 o capa de red tiene una visión global de la red: sabe cómo hacer llegar paquetes de datos hasta equipos que no están en su misma red. La comunicación es indirecta, necesita pasar por una máquina más: el router. El router necesitará conectividad con cada una de las VLAN que interconecta. Una forma de conseguirlo es reservarle un puerto en cada una, pero nos llevaría a instalar muchas tarjetas en el router. Una solución alternativa es utilizar el segundo tipo de VLAN: VLAN etiquetada (tag), que mantiene los grupos de puertos, pero el que los conectará con el router tiene una conﬁguración distinta: el switch añadirá una etiqueta (un número) a los paquetes de datos (tramas) que salen por ese puerto. Estos paquetes ya pueden viajar por el mismo cable que los paquetes de otras VLAN sin interferirse entre ellos (conservamos el aislamiento entre VLAN), porque llegarán solo a los puertos donde la interfaz de red sea capaz de interpretar ese tag. Caso práctico 2 y 3 del libro. Hacerlo en Packet Tracer. 1.2.- Autenticación en el puerto. MAC y 802.1X Hemos protegido el acceso al switch y repartido las máquinas de la empresa en varias VLAN, interconectadas por routers. Pero cualquiera puede meterse en un despacho, desconectar el cable RJ45 del ordenador del empleado, conectarlo a su portátil y ya estaría en esa VLAN. Como sigue siendo un switch, no podrá escuchar el tráﬁco normal de los demás ordenadores de la VLAN, pero sí lanzar ataques contra ellos. Para evitarlo, los switch permiten establecer autenticación en el puerto: solo podrá conectar aquel cuya MAC esté dentro de una lista deﬁnida en el propio switch, o, dado que las MAC son fácilmente falsiﬁcables (las tarjetas emiten los paquetes que genera el software de red del sistema operativo), el que sea autentiﬁcado mediante RADIUS en el estándar 802.1X. 2. Redes inalámbricas Los miedos a que las comunicaciones sean escuchadas por terceros no autorizados han desaparecido en las redes cableadas, pero están plenamente justiﬁcados en redes inalámbricas o WLAN (Wireless LAN), porque de nuevo el medio de transmisión (el aire) es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede perfectamente escuchar lo que no debe. Aunque se pueden hacer redes inalámbricas entre equipos (redes ad hoc), lo más habitual son las redes de tipo infraestructura: un equipo llamado access point (AP, punto de acceso) hace de switch, de manera que los demás ordenadores se conectan a él, le envían sus paquetes y él decide cómo hacerlos llegar al destino, que puede ser enviarlo de nuevo al aire o sacarlo por el cable que le lleva al resto de la red (Fig. 6.37). Salir por el cable es la conﬁguración más habitual en las empresas, donde la WLAN se considera una extensión de la red cableada. Como ocurría con el switch en las redes cableadas, hemos de: - Proteger el access point físicamente. La protección física es más complicada que en el caso del switch, porque el AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica. - Proteger el access point lógicamente (usuario/contraseña). - Controlar qué clientes pueden conectarse a él (autenticación). - Separar dos grupos de usuarios, haciendo que el mismo AP emita varias SSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener asociada una VLAN etiquetada. Hay que encriptar la transmisión entre el ordenador y el AP. 2.1. Asociación y transmisión En wiﬁ se establecen dos fases: asociación y transmisión. Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características de la comunicación (protocolo b/g/n, velocidad, etc.), pero sobre todo el AP puede solicitar algún tipo de autenticación. Generalmente es una clave alfanumérica que se registra en la conﬁguración del AP y que el usuario debe introducir para poder trabajar con él. Las AP admiten varios tipos de autenticación: - Abierta: no hay autenticación, cualquier equipo puede asociarse con el AP. - Compartida: la misma clave que utilizamos para cifrar la usamos para autenticar. - Acceso seguro: usamos distintas claves para autenticar y cifrar. El usuario solo necesita saber una, la clave de autenticación: la clave de cifrado se genera automáticamente. - Autenticación por MAC: el AP mantiene una lista de MAC autorizadas que pueden asociarse. Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP, que admite varias combinaciones: -Autenticación abierta y sin cifrado: se utiliza en lugares públicos. La intención es no molestar al usuario introduciendo claves. - Autenticación abierta y transmisión cifrada: es el esquema habitual de las primeras redes wifi. - Autenticación compartida y transmisión cifrada: es una mala combinación, porque la autenticación es muy vulnerable y, conocida esa clave, tendrán acceso a descifrar las comunicaciones de cualquier ordenador conectado a ese AP. - Autenticación segura y transmisión cifrada: es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA. 2.2. Cifrado: WEP, WPA, WPA2 El primer estándar se llamó WEP (Wireline Equivalent Privacy, privacidad equivalente al cable), intentando compensar las dos realidades:  En redes cableadas es difícil el acceso al cable, pero si alguien lo consigue, puede capturar cualquier comunicación que pase por ahí.  En redes inalámbricas cualquiera puede capturar las comunicaciones, pero, como van cifradas, no le servirá de nada. Sin embargo, en poco tiempo se encontraron debilidades al algoritmo de cifrado utilizado en WEP. Capturando cierto número de tramas, en poco tiempo cualquiera podía obtener la clave WEP. WPA (Wi-Fi Protected Access) introduce muchas mejoras: - Nuevos algoritmos más seguros (TKIP Temporal Key Integrity Protocol , AES Advanced Encryption Standard), tanto por el algoritmo en sí como por el aumento de longitud de las claves, lo que dificulta los ataques. - Rotación automática de claves. Cada cierto tiempo (varios minutos) el AP y el cliente negocian una nueva clave. Por tanto, si algún atacante lograra acertar con la clave de una comunicación, solo le serviría para descifrar la información intercambiada durante ese intervalo de tiempo, pero no la anterior ni la siguiente. - Por primera vez se distingue entre los ámbitos personal y empresarial. En el ámbito personal es suficiente con el esquema habitual de una única clave que conocen todos (WPA le llama PSK [Pre-Shared Key]); en el ámbito empresarial no tiene sentido, por- que si una persona abandona la empresa, habría que cambiar la clave y comunicarlo de nuevo a todos los empleados. Para resolverlo, WPA empresarial introduce un servidor RADIUS donde poder almacenar un usuario y una clave para cada empleado. 2.3. WPA empresarial: RADIUS El esquema de funcionamiento de WPA empresarial es el siguiente: Dentro de la LAN de la empresa hay un ordenador que ejecuta un software servidor RADIUS. En este servidor hay una base de datos de usuarios y contraseñas, y el servidor admite preguntas sobre ellos. Los AP de la empresa tienen conexión con ese ordenador. Los AP ejecutan un software cliente RADIUS. Este software es capaz de formular las preguntas y analizar las respuestas. El servidor RADIUS tiene la lista de las direcciones IP de los AP que le pueden preguntar. Además de estar en la lista, el AP necesita que le configuremos una contraseña definida en el servidor (una dirección IP es fácilmente falsificable). Cuando un cliente quiere asociarse a un AP, le solicita usuario y contraseña. Pero no las comprueba él mismo, sino que formula la pregunta al servidor RADIUS utilizando la contraseña configurada para ese servidor. Dependiendo de la respuesta, el AP acepta la asociación o no. Descripción general de 802.1X 802.1X es un protocolo de acceso a puertos para proteger redes mediante autenticación. Este tipo de método de autenticación es extremadamente útil en el entorno Wi-Fi debido a la naturaleza del medio. Si un usuario de Wi-Fi se autentica a través de 802.1X para acceder a la red, se abre un puerto virtual en el punto de acceso que permite la comunicación. Si no se autoriza correctamente, no habrá ningún puerto virtual disponible y se bloquearán las comunicaciones. Hay tres componentes básicos en la autenticación 802.1X: Solicitante Un cliente de software que se ejecuta en la estación de trabajo Wi-Fi. Autenticador El punto de acceso Wi-Fi. Servidor de autenticación Una base de datos de autenticación, normalmente un servidor radius. Se utiliza el protocolo de autenticación ampliable (EAP) para pasar la información de autenticación entre el solicitante (la estación de trabajo Wi-Fi) y el servidor de autenticación. El tipo de EAP en realidad maneja y define la autenticación. El tipo de EAP que se debe implementar, o si se implementa 802.1X, depende del nivel de seguridad que la organización necesita. EAP-MD-5 (síntesis del mensaje) es un tipo de autenticación EAP que proporciona compatibilidad EAP de nivel básico. Normalmente, EAP-MD-5 no se recomienda para implementaciones de LAN Wi-Fi, ya que puede permitir la derivación de la contraseña del usuario. EAP-TLS (Seguridad de la capa de transporte) ofrece autenticación mutua y basada en certificados del cliente y de la red. Depende de certificados de cliente y servidor lo cual es un inconveniente. EAP-TTLS (Seguridad de la capa de transporte por túnel). Proporciona autenticación mutua basada en certificados del cliente y la red a través de un canal cifrado (o túnel), solo requiere certificados de servidor. PEAP (Protocolo protegido de autenticación ampliable) ofrece un método para transportar datos de autenticación de forma segura, incluidos los protocolos heredados basados en contraseñas, a través de redes Wi-Fi 802.11. PEAP logra esto mediante el uso de túneles entre clientes PEAP y un servidor de autenticación. Autentica los clientes de LAN Wi-Fi. Otra opción es VPN 3. VPN El objetivo ﬁnal de la VPN es que el empleado (más bien, su ordenador) no note si está en la empresa o fuera de ella. En ambos casos recibe una conﬁguración IP privada (direcciones 10.X.X.X, por ejemplo), por lo que no necesita cambiar nada en la conﬁguración de sus aplicaciones (correo, intranet, etc.). El responsable de conseguir esta transparencia es el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Este software instala un driver de red, de manera que para el sistema operativo es una tarjeta más. Ese driver se encarga de contactar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN La gestión consiste: - Autenticar al cliente VPN.- Usuario /contraseña. - Establecer un túnel a través de Internet.- Driver VPN cliente ofrece una IP privada de la LAN de la empresa , cualquier paquete puede salir por esta tarjeta encapsulado dentro de este paquete. Viaja por Internet con las IP públicas. Extrae paquete y se inyecta en la LAN. - Proteger el túnel.- encriptar comunicaciones. - Liberar túnel. IPsec proporciona confidencialidad, integridad y autenticación usando algoritmos de cifrado (DES, 3DES, IDEA) algoritmos hash (MD5, SHA-1) tecnología clave pública (RSA) y certificados digitales. Ipsec trabaja: - Modo transporte.- - Modo túnel- datagrama completo. Otros protocolos utilizados.- PPTP, L2TP, SSTP (protocolo socket seguro HTTPS 443) Como crear una VPN en Windows https://www.testdevelocidad.es/windows/crear-una-conexion-vpn-wi ndows/ El software VPN en el cliente suele llevar una opción para que las conexiones a Internet se hagan directamente en la conexión del usuario, sin tener que pasar por el túnel y salir por la conexión a Internet de la empresa. Es decir, el túnel se usa solo para comunicaciones internas. 4. Servicios de red. Nmap y netstat El software de los servicios de red es especialmente delicado. Debemos vigilar qué software tenemos activo y qué actualizaciones tiene pendientes. Las actualizaciones llegarán por el mecanismo habitual del sistema operativo; el software que tenemos activo (haciendo conexiones o esperándolas) lo podemos conocer mediante un par de herramientas sencillas: Con el comando netstat podemos conocer los puertos abiertos en nuestra máquina: Ejemplos caso práctico 9 y documento Ejemplos netstat en Aules Nmap La herramienta Nmap, disponible para sistemas Linux y Windows, se ha convertido en la navaja suiza de los hackers de red. Además del escaneo de puertos para determinar los servicios disponibles en una máquina, podemos pedir a la herramienta que intente la conexión a cada uno de ellos. Después analiza los mensajes que generan estos servidores para identificar la versión concreta del sistema operativo y la versión concreta del software de servidor (server fingerprint) que está escuchando en cada puerto. Es decir, aunque intentemos despistar arrancando servicios en puertos que no son los esperados (80 para HTTP y otros), la herramienta reconoce el puerto como abierto y consigue identificar el servicio. La información de versión es muy útil para un atacante porque puede consultar en su base de datos las vulnerabilidades de cada versión de un servicio y así elegir mejor el tipo de ataque que puede lanzar contra la máquina. Estados de los puertos en nmap Para cada puerto, la herramienta ofrece cuatro posibles estados: open (abierto): la máquina acepta paquetes dirigidos a ese puerto, donde algún servidor está escuchando y los procesará adecuadamente. closed (cerrado): no hay ningún servidor escuchando. filtered: Nmap no puede decir si ese puerto está abierto o cerrado porque alguien está bloqueando el intento de conexión (router, firewall). unfiltered: el puerto no está bloqueado, pero no se puede concluir si está abierto o cerrado. Ejemplos caso práctico 10 y documento Ejemplos nmap en Aules Créditos: 1.- Seguridad Informatica McGraw-Hill 2013. Ciclo Formativo Grado Medio. SMR. 2.- Seguridad para tod@s en la Sociedad de la Informacion. COIICV. 3.- Curso Seguridad Informática. Ramón Onrubia. 4.- Revista on-line de Intypedia. 28

Presentacion Capitulo 6 PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue