Seguridad en Redes Corporativas PDF - Florida Universitaria

Tema 6: Seguridad en redes corporativas SEGURIDAD INFORMÁTICA 07/02/2022 Tema 6. Seguridad en redes corporativas 6.1. Amenazas y ataques. 6.2. Sistemas de detección de intrusos (IDS) 6.3. Riesgos potenciales en los servicios de red 6.4. Redes Privadas Virtuales (VPN) 6.5. Protocolos de cifrado. TLS/TTL 6.6. Comunicaciones seguras 6.7. Redes inalámbricas 6.8. Firma digital Objetivos  Valorar los nuevos peligros derivados de la conexión a redes.  Entender el funcionamiento de las VPN.  Adoptar medidas de seguridad en redes corporativas cableadas e inalámbricas.  Comprender la importancia de los puertos de comunicaciones y las amenazas en protocoles no seguros.  Conocer y usar protocolos y aplicaciones seguras de comunicación. Seguridad Informática 2 6.1. Amenazas y ataques Los ataques e intrusiones a través de redes públicas y privadas son cada vez más frecuentes, y pueden causar interrupciones costosas de servicios críticos, pérdidas de trabajo, información y dinero. Muchos de los ataques pasan desapercibidos para las empresas durante largos periodos de tiempo hasta que son descubiertos. Y sólo en algunos casos estos ataques se hacen públicos por el impacto que pueden tener en los usuarios o clientes de la compañía. Grupos de amenazas en comunicaciones  Interrupción. Un servicio/objeto de comunicaciones queda inutilizado y, por tanto, no disponible.  Interceptación. Un elemento no autorizado consigue acceder a un servicio/objeto.  Modificación. Se cambia o destruye un servicio/objeto.  Fabricación. Se persigue conseguir un objeto/servicio similar al que se ataca. Seguridad Informática 3 6.1. Amenazas y ataques Los anteriores tipos de ataque pueden controlarse desde el navegador. Durante la navegación por Internet, si no se utilizan filtros en los navegadores es posible que se filtre algún tipo de malware. En caso de detectar este tipo de infección debe eliminarse con programas que realicen un análisis en tiempo real. Para detectar e impedir la entrada. Los ataques pueden tener su origen en cualquier parte del mundo. Una buena práctica es navegar por páginas que cuentan con certificados de seguridad, y en caso de no incluirlo, no introducir en la página datos que puedan ser robados. Puede resultar útil bloquear el acceso a páginas con contenido potencialmente peligroso, así como la ejecución de Javascripts que pudieran realizar tareas sin nuestra aprobación. Seguridad Informática 4 6.1. Amenazas y ataques Ejemplos reales de amenazas  Ataques de denegación de servicio (DoS). Interrupción  Caso específico de interrupción de servicio.  Provoca que un recurso o servicio sea inaccesible, provocando la pérdida de conectividad de red por el consumo del ancho de banda o sobrecarga de los recursos.  Mediante bootnet o redes zombi se pueden controlar miles de máquinas para realizar ataques que saturen servidores. Seguridad Informática 5 6.1. Amenazas y ataques Ejemplos reales de amenazas  Sniffing. Es una técnica de intercepción. Consiste en rastrear e interceptar, monitorizando el tráfico de red para hacerse con información confidencial.  Man in the middle. Caso específico de interceptación y modificación de identidad. Un atacante supervisa una comunicación entre dos partes, falsificando las identidades de los extremos, y por tanto recibiendo el tráfico en los dos sentidos.  Pharming. Es una técnica de modificación. Explota una vulnerabilidad en el software de los servidores DNS o en los equipos de los propios usuarios, permite modificar las tablas DNS redirigiendo un nombre de dominio conocido, a otra máquina (IP) distinta, falsificada y probablemente fraudulenta. Seguridad Informática 6 6.1. Amenazas y ataques Amenazas externas e internas  Externas o de acceso remoto. Los atacantes buscan introducirse en una red corporativa atacando servidores y routers de acceso a dicha red.  Amenaza interna o corporativa. Los atacantes acceden sin permiso a una red corporativa, comprometiendo su seguridad. Seguridad Informática 7 6.1. Amenazas y ataques Amenazas externas e internas ¿Cómo nos protegemos de amenazas internas?  Buen diseño de la red corporativa: subredes, redes locales virtuales, zonas desmilitarizadas y limitando el acceso de usuarios a zonas críticas.  Políticas de administración de direccionamiento estático para servidores y routers.  Monitorización del tráfico de la red y asignaciones de direccionamiento dinámico y de sus tablas ARP.  Modificación de configuraciones de seguridad: contraseñas de administración.  Máximo nivel de seguridad en redes inalámbricas. Seguridad Informática 8 6.2. Sistemas de detección de intrusos (IDS) IDS: Herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un sistema informático.  Dispone de una base de firmas de ataques conocidos.  Analizan el tráfico de red, buscando patrones definidos que impliquen una actividad sospechosa sobre el sistema desde la prevención y la alerta anticipada (escaneo de puertos)  No están diseñados para detener un ataque pero aumentan la seguridad del sistema examinando paquetes, buscando datos sospechosos, barriendo puertos,etc.  Aportan capacidad de prevención y de alerta anticipada. Seguridad Informática 9 6.2. Sistemas de detección de intrusos (IDS) Los IDS son sistemas que se encargan de detectar intrusos dentro de una red Se encargan de buscar patrones sospechosos e intentos de accesos al equipo o ataques de denegación de servicio en tiempo real. Analizan tanto el tráfico entrante como el saliente. Para garantizar la máxima vigilancia. Trabajan en equipos con los firewall y cuentan con listas de ataques conocidos, para que estos sean reconocidos rápidamente. Existen implementaciones para hardware y para software de los IDS. Por ejemplo: Snort, Symantec Intruder Alert. Seguridad Informática 10 6.2. Sistemas de detección de intrusos (IDS) Tipos de IDS Host IDS protegen un único PC o Net IDS protegen un sistema host. Monitorizan eventos con gran basado en red capturando y precisión. analizando paquetes de datos. Seguridad Informática 11 6.2. Sistemas de detección de intrusos (IDS) La arquitectura de un IDS.  La fuente de recogida de datos: un log. Dispositivo de red, el propio sistema.  Reglas y filtros sobre datos y patrones para detectar anomalías de seguridad.  Dispositivo generado de informes y alarmas. Es recomendable poner un IDS delante del cortafuegos perimetral y otro detrás. Seguridad Informática 12 6.3. Riesgos potenciales en los servicios de red  El protocolo TCP/IP es el que utilizan los ordenadores para comunicarse por Internet.  TCP/IP utiliza puertos de comunicaciones que se asignan para identificar cada una de las conexiones en red, tanto en origen como en el destino.  Los servicios de red tiene asignados los llamados puertos conocidos.  80 para http o web.  21 para transferencia de ficheros FTP.  23 para TELNET. Seguridad Informática 13 6.3. Riesgos potenciales en los servicios de red El análisis de los puertos se puede realizar...  En una máquina local, observando las conexiones y puertos que estén abiertos y las aplicaciones que controlan.  El comando netstat permite ver el estado de las conexiones en tiempo real.  Los cortafuegos personales son protección frente a ataques externos.  En la administración de red para ver qué puertos y en que estado se encuentran los de un determinado equipo.  La aplicación nmap permite un escaneo de puertos , aplicaciones y sistemas operativos en un rango determinado.  Los cortafuegos y proxys perimetrales ofrecen protección mediante un filtrado de puertos y conexiones hacia/desde el exterior de una red privada. Seguridad Informática 14 6.4. Redes Privadas Virtuales (VPN) VPN: Tecnología de red que permite extender una red local de forma segura sobre una red pública, como Internet. Esto permite conectar sedes de una empresa o permitir al servicio técnico conexiones remotas para tareas de mantenimiento y asistencia. A través de las redes privadas virtuales (VPN) los datos viajan cifrados y sólo podrán descifrarse por el emisor y por el destinatario. Esta tecnología permite la conexión a una red local desde una localización remota. Para permitir el acceso externo debe crearse una conexión mediante VPN, lo que registrará al equipo como perteneciente a la red local y permitirá su acceso. Seguridad Informática 15 6.4. Redes Privadas Virtuales (VPN) Los principios que garantizan el tráfico seguro en la red son. Autenticación y autorización. Debe conocerse en todo momento las personas que realizan las distintas operaciones. No repudio. Debe garantizarse que las tarea han sido realizadas por quien se ha autenticado en el sistema. Integridad. Los datos enviado/recibidos no pueden ser modificados durante el trayecto. Confidencialidad. Los datos enviados/recibidos deben ser encriptado para que durante su trayecto no sean interceptados. Seguridad Informática 16 6.4. Redes Privadas Virtuales (VPN) Tunneling. Si pensamos en Internet como un medio inseguro, pueden crearse túneles seguros, como la transferencia mediante un protocolo seguro. Ej: SSH. VPN de acceso remoto. Acceder a los recursos disponibles desde ubicaciones remotas utilizando Internet como plataforma de acceso. De ese modo accedemos a los recursos como si estuviéramos en una red local. VPN punto a punto. Como el tunneling pero con el servidor VPN conectado permanentemente a Internet para aceptar la conexión de diversos servidores y sitios, estableciendo así el tunel. Implementación de VPN por hardware. Más fácil de configurar y proporciona un mejor rendimiento. Implementación de VPN por software. Más complejas de configurar, aunque ofrecen mas posibilidades aun sacrificando algo de rendimiento. Seguridad Informática 17 6.4. Redes Privadas Virtuales (VPN) ¿Cómo garantiza VPN las comunicaciones?  Autenticación y autorización: Controlando acceso de usuarios y a equipos.  Integridad. Funciones de resumen o hash como MD5 y SHA.  Confidencialidad. Algoritmos de cifrado DES, 3DES y AES.  No repudio. Los mensajes deben ir firmados. Arquitecturas de conexión VPN  VPN de acceso remoto. Los usuarios se conectan de forma remota utilizando Internet como vínculo desde sitios remotos (hotel, domicilio…). Es el más usado.  VPN punto a punto. Conecta oficinas remotas con una sede central. Mediante la técnica del tunneling se encapsula un protocolo de red sobre otro creando un túnel dentro de la red.  VPN over LAN. Aísla zonas de la LAN de una empresa a las que se puede añadir cifrado y autenticación mediante VPN. Permite mejorar las prestaciones de seguridad de las redes inalámbrica. Seguridad Informática 18 6.5. Protocolos de cifrado. TLS/TTL  El cifrado de las comunicaciones en Internet es su principal garantía de seguridad en caso de que tales comunicaciones de datos sean interceptadas.  La navegación por Internet deja rastro de nuestra presencia en la red, el correo electrónico puede ser interceptado y la navegación por sitios inseguros puede infectar de malware nuestro ordenador.  El protocolo que habitualmente se utiliza para el cifrado en Internet en el TLS (Transport Layer Security) o Seguridad de la capa de transporte (nivel 4 modelo OSI). TLS es el sucesor del protocolo SSL (Secure Socket Layer) El protocolo HTTPS utiliza cifrado basado en TLS/TTL. Hay que saber diferenciar entre http:// y https:// Seguridad Informática 19 6.5. Protocolos de cifrado. TLS/TTL Las políticas de implementación del firewall pueden ser de dos tipos:  Políticas restrictivas. Impiden todo el tráfico salvo el autorizado expresamente en la configuración.  Políticas permisivas. Permiten el paso de toda comunicación salvo la expresamente prohibida.  La configuración de un firewall por software dependerá del programa que dispongamos.  Windows Vista y Windows 10 (o superiores) cuentan con un firewall con seguridad avanzada.  En todos los firewalls existen elementos comunes, como las reglas de entrada, donde se configura si se permite o no el tráfico de determinadas aplicaciones. Seguridad Informática 20 6.5. Protocolos de cifrado. TLS/TTL La instalación de un firewall por hardware es algo más compleja. A través de un router accedemos a través del navegador a una dirección IP que nos da acceso al mismo. Las direcciones IP están formadas por cuatro campos separados del tipo 255.43.67.129. Para acceder al router se usa una IP interna y cuyos valores son 192.168.x.x Puede configurarse el firewall para que funcione todo el día o sólo a determinadas franjas horarias. Pueden establecerse filtros para páginas web y su tráfico. En cualquier caso, es necesario revisar los archivos log generados, donde se guarda la actividad realizada para así detectar los ataques más frecuentes. Seguridad Informática 21 6.6. Comunicaciones seguras Alternativas para establecer comunicaciones seguras entre dos sistemas cifrando las comunicaciones:  La mayoría de comunicaciones en la red como HTTP, FTP o SMTP/POP no emplean cifrado.  Hay protocolos que emplean comunicaciones cifradas como SSH.  SSH (Secure Shell. Intérprete de órdenes seguras). Permite acceder a máquinas remotas y ejecutar comandos a través de una red. Puerto 22.  SSL y TLS: Secure Sockets Layer y Transport Layer Security, su sucesor. Se ejecutan en una capa entre los protocolos de aplicación y sobre el protocolo de transporte TCP. Se emplea a través de puertos específicos con : HTTPS, FTPS, SMTP, POP3, etc.  IPSEC, Internet Protocol Security. Conjunto de protocolos cuya función es asegurar las comunicaciones sobre el protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. Seguridad Informática 22 6.6. Comunicaciones seguras Las listas de control de acceso son un elemento más en la seguridad de las redes y se utilizan para permitir el acceso de los usuarios a determinadas aplicaciones.  Controlan el tráfico en routers y switches, filtrando el paso a través de esos dispositivos.  La mayoría de routers estándar incluyen software para manejar listas de acceso.  Las listas de control de acceso son muy utilizadas para la configuración de proxys de red. En el servidor se establecen las adecuadas listas de control y en los Lista de control de acceso a la red clientes se configura el acceso a través por dirección IP del proxy. Seguridad Informática 23 6.6. Comunicaciones seguras Prácticas seguras en la red Las contraseñas debes ser lo suficientemente seguras de acuerdo al nivel de seguridad que se requiera en cada situación. Un administración de sistemas no tiene por qué conocer las contraseñas de los usuarios. Debe usarse como longitud de contraseña el máximo de caracteres permitido en cada situación, utilizando variedad de caracteres. Existen algunas prácticas que deben evitarse, como por ejemplo el uso de palabras contenidas en el diccionario. Una contraseña se considera segura a partir de los ocho caracteres. Existen programas gratuitos para generar contraseñas, tanto para proteger documentos como carpetas. Seguridad Informática 24 6.6. Comunicaciones seguras El protocolo estándar que utiliza VPN es IPSEC. Dos tecnologías para crear VPN´s: PPTP Point to Pont Tunneling Protocol. Protocolo desarrollado por Microsoft L2TP. Layer Two Tunneling Protocol. Estándar abierto y disponible en Windows, Mac, Linux, etc. Se implementa sobre IPSEC. Se pueden utilizar certificados de clave pública para cifrar los datos y garantizar la identidad de los usuarios de la VPN. Seguridad Informática 25 6.7. Redes inalámbricas  Las redes Wi-Fi está basadas en los estándares IEEE 802.11  El envío de información es através de señales de radiofrecuencia por el aire.  Alcance teórico: 100 metros.  Alcance real: varios km. (depende de obstáculos, potencia de transmisión, sensibilidad de recepción, uso de antenas…) Ventajas de las comunicaciones inalámbricas  Conectividad 24h, en cualquier lugar: mayor disponibilidad y acceso a redes.  Instalación de tecnología inalámbrica Switch simple y económica.  Permite una ampliación de la red fácil y Punto de acceso sin limitaciones de cableado. Es escalable. Seguridad Informática 26 6.7. Redes inalámbricas Riesgos y limitaciones de las redes inalámbricas.  Utiliza rangos del espectro de radiofrecuencia sin costes de licencia y de uso público, por lo que están saturados y pueden interferir.  La seguridad es un punto débil porque permite a cualquier equipo con tarjeta de red inalámbrica interceptar comunicaciones de su entorno. Las técnicas de encriptación y autenticación se utilizan para proteger las comunicaciones inalámbricas. Seguridad Informática 27 6.7. Redes inalámbricas Clasificación de los ataques en redes Wi-Fi  Ataques de denegación de servicio (DoS). Son dificilmente evitables al afectar al funcionamiento de la tecnología. Afecta a la disponibilidad.  Intercepción de las comunicaciones: acceso a los datos si no están cifrados: Indetectable. Afecta a la confidencialidad..  Inyección de tráfico en la red Wi-Fi. Acceso a los datos si no están cifrados. Indetectable. Afecta a la integridad.  Acceso a la red Wi-Fi. Conexión no autorizada a la red Wi-Fi. Acceso completo. Afecta a la integridad. Seguridad Informática 28 6.7. Redes inalámbricas Sistemas de seguridad en WLAN  Sistema abierto. Sin autenticación en el control de acceso a la red ni cifrado en las comunicaciones.  WEP. Wired Equivalent Privacy. Sistema diseñado en la norma básica de redes inalámbricas 802.11.Utiliza para la encriptación de los mensajes claves de 13 o 5 caracteres. Hay dos métodos de autenticación.  Sistema abierto. El cliente no se tiene que identificar en el punto de acceso durante la autenticación.  Claves precompartida. Se envía la misma clave de cifrado WEP para la autenticación. Seguridad Informática 29 6.7. Redes inalámbricas Sistemas de seguridad en WLAN  WPA o acceso protegido Wi-Fi. Creado para corregir las deficiencias del WEP.  WPA empresarial. La autenticación es mediante el uso de servidores RADIOUS.  WPA Personal. La autenticación se realiza mediante clave precompartida, similar al WEP. Una de las mejoras de WPA sobre WEP es la implantación del protocolo de integridad de clave temporal que cambia de claves dinámicamente a medida que el sistema es utilizado. Seguridad Informática 30 6.7. Redes inalámbricas Redes Wi-Fi  Reducir el alcance de la señal.  No configurar la red Wi-Fi como oculta.  Utilizar WPA2-AES Personal (PSK) o Enterprise (802.1x-EAP). Clientes Wi-Fi  Actualización del sistema operativo y controlador Wi-Fi.  Deshabilitar el interfaz Wi-Fi cuando no se está utilizando.  Evitar conectarse a redes Wi-Fi inseguras, como por ejemplo redes púbilicas abiertas o basadas en WEP.  Mantener actualizada la lista de redes preferidas. Seguridad Informática 31 6.7. Redes inalámbricas Recomendaciones de seguridad en WLAN  Asegurar la administración de los puntos de acceso, cambiando la contraseña por defecto y actualizando el firmware.  Mejorar la seguridad de los datos transmitidos usando encriptación WEP o WPA/WPA2 o servidores RADIUS, cambiando las claves con frecuencia.  Cambiar el SSID por defecto y desactivar el broadcasting SSID.  Realizar una monitorización y administración minuciosa. Desactivar el servidor DHCP. Activar el filtrado de conexiones permitidas mediante direcciones MAC. Establecer un número máximo de dispositivos que pueden conectarse. Analizar periódicamente si los usuarios conectados verificando sus autorizaciones.  Desconectar el punto de acceso cuando no se use.  Actualizar el firmware del dispositivo para evitar vulnerabilidades. Seguridad Informática 32

Seguridad en Redes Corporativas PDF - Florida Universitaria

Document Details

Tags

Related

Summary

Full Transcript