Seguridad Activa PDF
Document Details
Uploaded by Deleted User
Tags
Related
- Seguridad Informática y Seguridad de la Información PDF
- Introduccion a la Seguridad Informatica PDF
- UT1. Adopción de pautas de seguridad informática PDF
- Seguridad Informática, 2º CFGM SMR PDF
- Introducción a la seguridad informática PDF
- Examen de Seguridad Informática - TEST TEMA 1 (11 preguntas) PDF
Summary
Este documento proporciona información sobre seguridad activa, diferentes tipos de malware y medidas de protección. También cubre temas como la seguridad en redes cableadas e inalámbricas.
Full Transcript
SEGURIDAD ACTIVA 1 Índice 1. Introducción 2. Tipos de malware 3. Software de seguridad 4. Esteganografía 5. Botnet 6. Spam 7. Honeypots 8. Actualizaciones del sistema y de las aplicaciones 9. Hardening 10. Seguridad de...
SEGURIDAD ACTIVA 1 Índice 1. Introducción 2. Tipos de malware 3. Software de seguridad 4. Esteganografía 5. Botnet 6. Spam 7. Honeypots 8. Actualizaciones del sistema y de las aplicaciones 9. Hardening 10. Seguridad de redes cableadas 11. Usos de las VLAN 12. Mitigación de ataques VLAN 13. Seguridad de redes inalámbricas 14. Ataques a redes 15. Monitorización del tráfico de red 2 Introducción La seguridad activa implica la intervención del usuario del equipo (o del administrador del sistema) en el día a día. Si un servidor es atacado, el daño producido siempre será mayor al ocasionado en un equipo de sobremesa; pero no por ser ataques diferentes, sino por la información que alojan o a la que pueden acceder los servidores comparada con la que obtienen o pueden alcanzar los equipos de sobremesa. En una red local, normalmente los equipos de sobremesa están protegidos del exterior, mientras que los servidores están más expuestos, pues es necesario abrir un acceso a ellos desde internet, el cual puede ser utilizado para lanzarles ataques. De ahí la importancia de la seguridad perimetral, que trataremos en otro tema. En este tema nos centraremos en las medidas de seguridad activa que pueden servirnos tanto en equipos personales como en entornos de red ante diversas amenazas, principalmente el malware. 3 Malware Malware, software maligno y software malicioso son términos equivalentes. El malware es un software que se instala en un sistema informático sin el conocimiento del usuario y se ejecuta sin su autorización. La inmensa mayoría del malware se aprovecha de vulnerabilidades en el software, las tres medidas imprescindibles para luchar contra él son: Usar siempre software legal. El software pirata puede contener malware. Actualizar siempre y con presteza el software, empezando por el sistema operativo. Instalar un software antivirus. Este tipo de aplicación monitorea constantemente la memoria y los ficheros que se abren en busca de trazas conocidas del malware. 4 Tipos de malware Malware infeccioso: virus y gusanos Puerta trasera Drive-by downloads, adware, hijackers, phishing y pharming Troyanos Rootkits y bootkits Keyloggers, stealers y spyware Ransomware 5 Malware infeccioso: virus y gusanos Virus: es un código ejecutable malintencionado que se adjunta a otros archivos ejecutables, generalmente programas legítimos. Un virus necesita la intervención del usuario para ejecutarse por primera vez e iniciar su infección. Gusanos (worms): son códigos maliciosos que aprovechan vulnerabilidades del sistema operativo (denominados vectores de infección o vectores de ataque) para entrar en un sistema, instalarse en él y autoejecutarse. Los gusanos, por lo general, ralentizan las redes. Los virus requieren la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. 6 Puerta trasera o backdoor Una puerta trasera o backdoor es un método para iniciar sesión en un sistema eludiendo el proceso de autenticación. El backdoor es instalado por otro malware (virus, gusano…) que ya ha conseguido entrar al sistema y, Un servidor controlador puede normalmente, se autoelimina una vez conseguida la manipular decenas de equipos instalación y ejecución del backdoor. Dicho proceso zombis en lo que se denomina una permanece oculto esperando una conexión desde el botnet; estas suelen utilizarse para exterior (algún un servidor controlador) con distintos envío de spam o realizar ataques fines: robar datos, realizar actividades delictivas, etc. DoS hacia otras organizaciones. 7 Drive-by downloads, Adware, hijackers, phishing y pharming Drive-by downloads: descarga no deseada. Adware: aparición descontrolada de ventanas de publicidad. Software hijacker (secuestrador): se modifica la configuración del navegador para cambiar su página de inicio, mostrar publicidad, etc. Phishing: hace referencia a páginas web que suplantan a las verdaderas para que el usuario desprevenido introduzca información sensible. Pharming: altera el funcionamiento del DNS para redirigir el dominio de una o varias webs a otra maliciosa. Tanto el phishing como el pharming son técnicas adoptadas por los hijackers (secuestradores de webs). 8 Drive-by downloads, Adware, hijackers, phishing y pharming El software antivirus suele “vigilar” las URL que visita el usuario y le advierte en caso de que el sitio visitado sea malicioso o sospechoso de serlo. Las empresas pueden instalar un sistema proxy para vigilar las páginas web a las que navegan sus empleados por motivos de seguridad. Otra medida de seguridad es la utilización de un servidor DNS que filtre los dominios a los que se permita la conexión. El mejor ejemplo de este servicio lo representa OpenDNS. 9 Troyanos Troyano o caballo de troya es un programa malicioso escondido dentro de un software aparentemente inocuo, que invita a ser ejecutado por parte del usuario. El término proviene de la Odisea de Homero. La diferencia entre troyano y virus es que un virus es una porción de código que se adhiere a un software legítimo, infectándolo. Un troyano es un programa que se supone que va a realizar una tarea pero realmente su intención oculta es maligna. ¡Cuidado con los programas gratuitos de descargas! 10 Rootkits y bootkits Un rootkit es el código utilizado por los atacantes para elevar privilegios a usuario administrador. Una versión de rootkit denominada bootkit infecta el sector de arranque del equipo (MBR, Master Boot Record) lo que lo hace más peligroso y más difícil de detectar. En respuesta a este problema, 140 compañías tecnológicas diseñaron una nueva BIOS, llamada UEFI (Unified Extensible Firmware Interface) con varias características adicionales, entre las que se encuentra el modo de arranque llamado Secure Boot, que evita el inicio de un sistema operativo sin firma digital. 11 Keyloggers, stealers y spyware Un keylogger es un tipo de malware que registra las pulsaciones de teclado del usuario en busca de patrones repetidos, que por tanto podrían ser contraseñas o números de tarjetas de crédito y envía esa información al creador del malware. Las webs de muchos bancos muestran un teclado en pantalla, para que el usuario especifique su contraseña mediante clicks de ratón en lugar de tecleando; es una medida de seguridad ante los keyloggers. Los stealers se encargan de transmitir al delincuente todas las contraseñas que se encuentran en los repositorios (por ejemplo si hacemos uso del autorrelleno de formularios). Los spyware se dedican a recopilar información sobre las actividades del usuario como el historial de navegación. 12 Ransomware Ransomware (del inglés ransom, ‘rescate’): este malware es el más peligroso de todos por los efectos que provoca. Suelen infectar equipos a través de puertas traseras o como troyanos y una vez dentro se emplean a fondo en la encriptación de todos los ficheros que puedan contener información útil. Utilizan un algoritmo de cifrado avanzado imposible de romper sin conocer la contraseña. La única opción para recuperarse de un ataque de ransomware es la restauración de los datos desde una copia de seguridad, previa desinfección del equipo. Nunca se debe pagar el rescate por dos motivos: Fomenta que el delincuente continúe usando este método para extorsionar a otras personas. Nadie nos puede asegurar que tras el pago vayamos a obtener el software y la contraseña de descifrado, 13 Software de seguridad Lo que siempre se ha conocido como software antivirus ahora se suele denominar software de seguridad. Tareas que realiza el software de seguridad: Utiliza una base de datos donde el fabricante almacena descripciones del malware que conoce junto con lo necesario para detectarlos (patrones de código). Vigila el contenido de la memoria RAM. Utiliza heurísticas (analiza rutinas o comportamientos maliciosos) para protegerse de amenazas que aún no conoce. Cuando encuentra una amenaza en un fichero, lo pone en cuarentena. Puede enviar al fabricante trazas del malware para que este sea estudiado. Vigila otras partes del sistema en busca de indicios de actividad insegura. 14 Ficheros ejecutables y malware El malware resulta una amenaza cuando está incluido en ficheros ejecutables: ○ En sistemas Linux y Mac solo los ficheros con permiso de ejecución (x) pueden contener malware. ○ En Windows existen multitud de extensiones que pueden contener código ejecutable:.exe,.com,.dll y muchas más. ○ Los archivos comprimidos (.zip,.rar,.7x,.tar,.gz)y las imágenes de disco (.iso) son otro tipo de fichero que puede contener ejecutables y, por tanto, malware. ○ Los documentos de aplicaciones que pueden contener macros. Por ejemplo, un documento Excel (.xlsx). ¿Podemos encontrar malware en un archivo de texto, una imagen o un audio? 15 Código malicioso en una imagen: esteganografía Gracias a la técnica de la esteganografía es posible ocultar malware en un texto, una imagen o audio, de manera que no sea perceptible a simple vista. Hay algunas señales que pueden indicar que una foto ha sido alterada: Tamaño del archivo: Si el tamaño de una imagen es significativamente mayor de lo esperado, podría ser una señal de que contiene datos ocultos. Calidad de la imagen: Cambios sutiles en la calidad de la imagen, como distorsiones o artefactos, pueden indicar la presencia de información incrustada. Comportamiento inusual: Si al abrir una imagen se desencadenan acciones inesperadas en el dispositivo, como la apertura de ventanas emergentes o la descarga de archivos, es posible que contenga malware. Vídeo: ¿Qué es la esteganografía? Vídeo: ¿Cómo se oculta la información con esteganografía? 16 Desinfección del sistema Desinfección Tras la detección del malware siempre hay que hacerse dos preguntas: ¿Es posible desinfectar el sistema y devolverlo a la situación anterior a la infección? ¿Podemos eliminar o aliviar los efectos del malware? Soluciones Si el software antivirus no puede eliminar el virus, el administrador tiene que restaurar el sistema a una situación anterior. En casos más graves deberá formatear y llevar a cabo una instalación del sistema operativo desde cero. Es lo recomendado en casos de ransomware. Otras soluciones útiles son las imágenes de respaldo (o los puntos de restauración en Windows). 17 Botnet Aún siendo desastrosos los efectos de un ransomware, posiblemente el malware más difícil de eliminar en un sistema sea el botnet que ha aprovechado la puerta trasera para introducirse. Servicio antibotnet. En estos casos las tareas a realizar incluirán: Cerrar la puerta trasera. Muchas veces se consigue actualizando a la última versión alguna librería o aplicación, Impedir la comunicación con el servidor controlador, cerrando los puertos implicados con el cortafuegos. Comprobar con qué privilegios se está ejecutando el malware y eliminar de la memoria su proceso, no obstante, si el malware es avanzado tendrá un sistema de autoprotección en virtud del cual estos procesos volverán a ser inmediatamente ejecutados. Estudiar la forma de actuar del malware. 18 Spam El correo electrónico no solicitado, spam o correo basura está terminantemente prohibido en España por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) de 2002. Se podría aplicar además, el Reglamento General de Protección de Datos (RGPD), ya que dichos envíos masivos se realizan sin autorización del usuario. El principal agravante del spam es la posibilidad de ser portador de malware o un medio de ejercer phishing. 19 Software antispam ¿Cómo evitar que el correo basura llegue a sus destinatarios? El software antispam suele instalarse en los servidores de correo electrónico, evaluando cada uno de los mensajes para catalogarlos como deseados o no deseados. Instalaremos extensiones antispam: SPAMfighter o Bit Defender para servidores de Microsoft Exchange y Spamassasin o Spamexperts para Open-Xchange (Linux). 20 Software antispam ¿Cómo clasificar un mensaje como deseado o no deseado? Dos métodos: Comprobar si el servidor de correo remitente está en una lista negra de dominios identificados como emisores de spam. Esta lista recibe el nombre de Realtime Blackhole List (RBL). Utilizar algoritmos heurísticos de inteligencia artificial para evaluar la probabilidad de que se trate de un mensaje de correo no deseado. Honeypots El principal sistema para añadir dominios a la Lista negra (RBL) consiste en disponer de un buen número de direcciones de correo “trampa” (honeypots o tarros de miel) que no pertenecen a ninguna persona física y que, por tanto, no deberían nunca recibir mensajes. En caso de recibirlos, pues, se trata de spam, y el remitente es añadido a la lista negra. 21 Honeypots El principal sistema para añadir dominios a la Lista negra (RBL) consiste en disponer de un buen número de direcciones de correo “trampa” (honeypots o tarros de miel) que no pertenecen a ninguna persona física y que, por tanto, no deberían nunca recibir mensajes. En caso de recibirlos, pues, se trata de spam, y el remitente es añadido a la lista negra. Se puede diseñar un honeypot para que parezca una pasarela de pago que es un objetivo típico para los ciberdelincuentes porque contiene una gran cantidad de información personal y detalles de transacciones, como números de tarjetas de crédito o información de cuentas bancarias o que se parezca a una base de datos. Los beneficios de un honeypot incluyen: Facilidad de análisis. El tráfico del honeypot se limita a los atacantes. El equipo de ciberseguridad puede dedicar más tiempo a analizar el comportamiento de los ciberdelincuentes, en lugar de separarlos de los usuarios legítimos. Evolución continua. Una vez desplegados, los honeypots pueden desviar un ciberataque y recopilar información de manera continua. Identificación de amenazas internas. Los honeypots pueden identificar amenazas de seguridad tanto internas como externas. 22 Registros SPF A veces una organización debe enviar una gran cantidad de correos electrónicos legítimos a sus clientes o asociados, pero corre el peligro de ser incluida en la RBL. ¿Cómo evitar que un dominio que debe enviar correos masivos legítimos sea catalogado como emisor de spam? Para ello se creó el Sender Policy Framework (SPF) que podría ser traducido como convenio de remitentes. Es una forma de incluir en el DNS información de que servidores SMTP están autorizados para el transporte de mensajes. 23 Actualizaciones del sistema y de las aplicaciones Los exploits o vulnerabilidades en el software son la puerta de entrada de los ataques externos. Los desarrolladores utilizan parches para solucionar errores detectados en el código. Una actualización (upgrade) consiste en la aplicación de dicho parche, el cual habitualmente consiste en la sustitución de uno o más ficheros defectuosos por su versión corregida. Toda actualización conlleva un riesgo de inestabilidad por los posibles efectos que pueda conllevar. El estándar CVE (Common Vulnerabilities and Exposures) fue creado en 1999 para asignar a cada vulnerabilidad un identificador único, independientemente del tipo de vulnerabilidad o del software que lo sufra. Es habitual encontrar listados de actualizaciones de seguridad con identificadores CVE. Vulnerabilidades | INCIBE-CERT | INCIBE 24 Actualizaciones en sistemas operativos Windows y Linux Windows Server incluye un rol llamado WSUS (Windows Server Update Services) cuyo objetivo es convertir al servidor en una fuente de actualizaciones para otros servidores y equipos de la red. Sus ventajas son: Ahorro de ancho de banda Control de los paquetes de actualizaciones que se pueden instalar Automatización de la distribución de actualizaciones En Linux se crea una copia espejo local de los repositorios oficiales. El administrador puede controlar las actualizaciones: no sincronizar automáticamente el repositorio local con el repositorio original; configurar apt para conectar con el repositorio original; cuando esté seguro de la estabilidad de una actualización, sincronizar el repositorio local con el remoto) 25 Hardening La mayoría del hardware y del software puede ser configurado por el administrador para adaptarlo a sus necesidades. Si las opciones de configuración están relacionadas con la seguridad, estamos hablando de hardening: endurecimiento o fortalecimiento del hardware y del software. Existen organizaciones cuya misión es clasificar ataques y recomendar soluciones a los administradores de sistemas. Algunas organizaciones son: Fundación OWASP (Open Web Application Security Project) Consorcio WASC (Web Application Security Consortium) CIS (Center for Internet Security) CCN (Centro Criptológico Nacional) También existen herramientas para realizar auditorías o análisis forenses: Bastille Linux Lynis 26 Seguridad en las redes cableadas Para acceder clandestinamente a una red cableada, por ejemplo, de tipo Ethernet, es necesario conectar el equipo intruso físicamente a la red con un cable. Solo hay tres ubicaciones posibles: A un router o switch de la red. En una toma de datos de red (roseta) libre. Suplantando a un ordenador autorizado, utilizando un cable de red (latiguillo). 27 Seguridad en las redes cableadas 1. Control de equipos por dirección MAC 2. Servidores rogue DHCP 3. Registro de equipos en un dominio 4. IEEE 802.1X 5. VLAN 6. SNMP 28 Control de equipos por dirección MAC y servidores rogue DHCP Control de equipos por dirección MAC Para facilitar la configuración de las interfaces de red de todos los equipos de una red se puede utilizar un servidor DHCP. Una medida de seguridad ante accesos no autorizados a la red cableada consiste en configurar los servidores DHCP para que puedan asignar la misma IP a la misma MAC, lo que se denomina asignación fija o estática de direcciones IP. Servidores rogue DHCP: rogue significa pícaro, granuja, aunque aquí podemos traducirla por furtivo. Un servidor rogue DHCP es el que no está bajo el control del administrador. Si nuestro servidor DHCP dispone de la capacidad de alertar al administrador si detectan la presencia de otro servidor DHCP debemos activarla. 29 Registro de equipos en un dominio y autenticación Registro de equipos en un dominio: El dominio Active Directory de Windows almacena en su base de datos los usuarios y equipos autorizados. El sistema de políticas de grupo permite definir configuraciones a usuarios y a grupos de equipos. IEEE 802.1X: Protocolo utilizado para autenticar usuarios o equipos en redes cableadas o inalámbricas. Nació como una alternativa más segura a PPP (Point-to-Point). Hace uso del protocolo EAP (Extensible Authentication Protocol). En una red cableada que haga uso de IEEE 802.1X ningún equipo intruso puede unirse a ella, pues, para iniciar la conexión, su interfaz de red debe autenticarse o le será denegada la transmisión y recepción de datos. 30 Seguridad en la red: VLAN y SNMP VLAN: Una forma de separar el tráfico de una red en subredes independientes. Mediante el protocolo IEEE 802.1Q, que añade un campo extra a los paquetes que atraviesan los switches, es posible etiquetar tráfico de forma que pertenezca a diferentes redes independientes entre ellas. El protocolo SNMP se utiliza dentro de las redes corporativas para obtener información de los equipos y dispositivos de la red. SNMP puede presentar un problema de red. Si el dispositivo dispone de SNMPv3 debemos utilizarlo y deshabilitar SNMPv1 y SNMPv2. 31 Usos de las VLAN Las VLAN en una red conmutada permiten a los usuarios de varios departamentos (por ejemplo, TI, recursos humanos y ventas) conectarse a la misma red, independientemente del switch físico que se esté utilizando o de la ubicación en una LAN del campus. Cuando se implementan las VLAN en un switch, la transmisión del tráfico de unidifusión, multidifusión y difusión desde un host en una VLAN en particular se limita a los dispositivos presentes en esa VLAN. 32 VLAN: Enlaces troncales Un enlace troncal es un enlace punto a punto entre dos dispositivos de red (por ejemplo, enlace entre dos switch, entre un switch y un router) que lleva más de una VLAN. Un enlace troncal de VLAN amplía las VLAN a través de toda la red. Cisco admite IEEE 802.1Q para coordinar enlaces troncales en las interfaces Fast Ethernet, Gigabit Ethernet y 10-Gigabit Ethernet. Un enlace troncal no pertenece a una VLAN específica. Es más bien un conducto para las VLAN entre los switches y los routers. Enlaces troncales Enlaces de acceso. Unión entre un PC y un switch 33 Identificación de VLAN con etiqueta El encabezado de trama Ethernet estándar no contiene información sobre la VLAN a la que pertenece la trama. Por lo tanto, cuando las tramas de Ethernet se ubican en un enlace troncal, se necesita agregar información sobre las VLAN a las que pertenecen. Este proceso, denominado “etiquetado”, se logra mediante el uso del encabezado IEEE 802.1Q. El encabezado 802.1Q incluye una etiqueta de 4 bytes insertada en el encabezado de la trama de Ethernet original que especifica la VLAN a la que pertenece la trama. Detalles del campo VLAN Tag El campo de etiqueta de la VLAN consta de un campo de tipo, un campo de prioridad, un campo de identificador de formato canónico y un campo de ID de la VLAN: Tipo - Un valor de 2 bytes denominado “ID de Protocolo de Etiqueta” (TPID). Para Ethernet, este valor se establece en 0x8100 hexadecimal. Prioridad de usuario - Es un valor de 3 bits que admite la implementación de nivel o de servicio. Identificador de Formato Canónico (CFI) - Es un identificador de 1 bit que habilita las tramas Token Ring que se van a transportar a través de los enlaces Ethernet. VLAN ID (VID) - Es un número de identificación de VLAN de 12 bits que admite hasta 4096 ID de VLAN. 34 Identificación de VLAN con etiqueta 35 Ataque de VLAN Hopping El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero un router. En un ataque de VLAN Hopping básico, el atacante configura un host para que actúe como un switch para falsificar la señalización 802.1Q y la señalización del Protocolo de enlace dinámico (DTP), propiedad de Cisco, hacia el enlace troncal con el switch de conexión. Si es exitoso, el switch establece un enlace troncal con el host, como se muestra en la figura. Ahora el atacante puede acceder todas las VLANS en el switch. El atacante puede enviar y recibir tráfico en cualquier VLAN, saltando efectivamente entre las VLAN. 36 Ataque de VLAN Double Tagging Un atacante, en situaciones específicas, podrían insertar una etiqueta 802.1Q oculta dentro de la trama que ya tiene una etiqueta 802.1Q. Esta etiqueta permite que la trama se envíe a una VLAN que la etiqueta 802.1Q externa no especificó. Un ataque de VLAN Double-tagging es unicast y funciona cuando el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal. La idea es que el doble etiquetado permite al atacante enviar datos a hosts o servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de control de acceso. 37 Mitigación de ataques VLAN Los ataques de VLAN hopping y VLAN Double-Tagging se pueden evitar mediante la implementación de las siguientes pautas de seguridad troncal: Deshabilitar el enlace troncal en todos los puertos de acceso. Deshabilitar el enlace troncal automático en enlaces troncales para poder habilitarlos de manera manual. Asegúrese de que la VLAN nativa sólo se usa para los enlaces troncales. Inhabilitar todos los puertos que no se utilizan. Si un puerto debe reactivarse más tarde, se puede habilitar con el comando no shutdown. Habilitar la seguridad de los puertos, de esta forma solo se pueden configurar puertos de acceso o troncales de forma manual. 38 Seguridad en las redes inalámbricas WEP, WPA y WPA2 El protocolo WEP (Wired Equivalent Privacy) nació en 1999 dando forma al estándar IEEE 802.11. Utiliza un cifrado RC4 con claves de 64 bits muy vulnerables. En 2003 apareció WPA (Wifi Protected Access) implementa casi en su totalidad el estándar IEEE 802.11i. Utiliza cifrado RC4 con clave de 128 bits e incorpora otras medidas de seguridad como TKIP (Temporal Key Integrity Protocol). La integridad se ve mejorada al cambiar el algoritmo CRC por otro denominado MIC (Message Integrity Check). En 2005 se terminó de implementar el estándar con la creación de WPA2, en sus dos vertientes WPA2 personal también conocido como WPA-PSK y WPA2 empresarial. WPA2 utiliza el cifrado AES (Advanced). 39 Seguridad en las redes inalámbricas: WPA3 En 2018 la wifi Alliance diseñó el protocolo WPA3: WPA3 ofrece un cifrado más robusto con arquitectura de seguridad de 192 bits para paliar vulnerabilidades de WPA2. WPA3 Forward Secrecy. Es una característica que evita que un atacante pueda descifrar el tráfico capturado. Siempre utilizaremos WPA3 si está disponible en nuestros puntos de acceso. En concreto usaremos la modalidad WPA2/WPA3 para permitir el acceso de equipos inalámbricos que aún no soporten WPA3. WPA3, la mayor actualización en redes wifi de la última década 40 Seguridad en las redes inalámbricas: WPS y Hotspots WPS (Wifi Protected Setup): es un sistema ideado en 2007 para facilitar el ingreso en una red inalámbrica sin necesidad de proporcionar una contraseña. La versión WPS-PIN implica la necesidad que el usuario proporcione un PIN de ocho dígitos preestablecido en la configuración del punto de acceso.Tener activada esta opción implica una nueva forma de conexión que podría ser utilizada por un atacante para acceder a nuestra red wifi, ya que el tiempo que se necesita para averiguar un PIN de 8 dígitos es mucho menor que el que necesitaría para averiguar una contraseña WPA2 (AES). Hotspots: La principal función de un hotspots es proporcionar acceso a internet, no a los recursos de la empresa. Encontramos este tipo de redes inalámbricas en hoteles, aeropuertos, centros comerciales, etc. 41 Ataques a redes 1. Obtención de contraseña o credenciales mediante suplantación de SSID 2. Denegación de servicio 3. Secuestro de sesión 42 Ataques a redes: suplantación de SSID Obtención de contraseña o credenciales mediante suplantación de SSID Los ataques Man in the Middle tienen diferentes modalidades según la técnica empleada. Se basan en interceptar la comunicación entre 2 o más interlocutores. En una red Wifi, un atacante puede montar un punto de acceso con el mismo SSID que la red que intenta atacar. Desde ese mismo momento cualquier usuario puede, sin saberlo, estar conectando con el punto de acceso furtivo (rogue access point). Por este motivo debemos evitar conectarnos a redes wifi abiertas (las que podemos encontrar en cafeterías, hoteles, aeropuertos, centros comerciales, vecindarios, etc.), y en caso de conexión utilizar una red privada virtual o VPN. 43 Ataques a redes: DoS y DDoS Denegación de servicio Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (Denial of Service) y la denegación de servicio distribuido o DDoS (Distributed Denial of Service). La diferencia entre ambos es el número de ordenadores o IP´s que realizan el ataque. En redes wifi hay muchas variantes: Por ejemplo, emitir una señal que interfiera el canal que utiliza nuestra red inalámbrica, denominada ruido; emitir paquetes de autenticación de cliente falsos; emitir una ingente cantidad de paquetes de solicitud de ingreso, sobrecargándolo y disminuyendo su rendimiento. El mayor ataque de DDoS registrado 44 Ataques a redes: Secuestro de sesión Secuestro de sesión Por ejemplo, cuando un usuario legítimo, conectado a una wifi, navega a páginas web donde inicia una sesión aportando sus credenciales, estas credenciales pueden ser capturadas por un atacante y utilizarlas posteriormente para suplantar al usuario en dicha web. La mejor medida de seguridad es que los usuarios nunca introduzcan sus datos comprometidos en páginas web HTTP y solo lo hagan en páginas HTTPS. Pero, incluso en estos casos, muchas veces la contraseña viaja en una cookie sin cifrar. ❖ Suplantación de identidad y secuestro de cuentas 45 Monitorización del tráfico de red Una forma de detectar actividades intrusivas en nuestra red consiste en monitorear el tráfico de red, es decir, en capturar los paquetes de datos que recorren nuestra red y analizarlos para encontrar evidencias. Las herramientas que nos permiten monitorizar el tráfico de red son denominadas sniffers o analizadores de paquetes. Los más conocidos son: Tcdump: Herramienta CLI empleada como sniffer en Linux con multitud de argumentos para realizar capturas de paquetes. Netsninff-ng: Otra herramienta libre y CLI para equipos Linux. Wireshark: Es el sniffer de código abierto más extendido para equipos de escritorio. Firmware en dispositivos de red: El firmware de los routers y de algunos puntos de acceso incluye también la funcionalidad de sniffer. 46 Bibliografía Triviño Mosquera, Ignacio (2019). Seguridad y alta disponibilidad (Grado Superior). Editorial Síntesis Principales tipos de virus y cómo protegernos frente a ellos Seguridad en redes Wifi Hardening básico Linux Tu router, tu castillo 47