CIBERDEFENSA_S7 _REPASO PDF

Summary

This document is a presentation on cybersecurity and cyberdefense concepts, including topics like basic concepts, cybersecurity in armed forces, cryptography, and secure network architectures. It covers various cybersecurity aspects and related terminology. The presentation contains questions at the end which indicates its a lecture note, not an exam paper.

Full Transcript

Sesiones 7: Repaso

Ciberdefensa

Academia de Ingenieros
Hoyo de Manzanares
 Índice

I. Conceptos básicos.
II. Ciberdefensa en las FAS.
III. Introducción a la Criptografía.
IV. Introducción a la Ciberdefensa.
V. Arquitecturas de redes seguras.
 Introducción a la Ciberdefensa.

Actualmente se combate tanto en los espacios habituales (tierra, mar y aire-espacio) como en los nuevos
ámbitos: cognitivo y ciberespacial, siendo transversales entre sí.
La hiperconexión, globalidad y desarrollo tecnológico en la comunicación
social conforman un espacio intangible (no físico) de las operaciones de
importancia primordial por su influencia en la toma de decisiones y en la
percepción de la realidad de las personas (cognitivo).

-3-
 Introducción a la Ciberdefensa

La publicación doctrinal española PDC-01 “DOCTRINA PARA EL EMPLEO DE LAS FAS”
contempla igualmente al ciberespacio como uno de los ámbitos de las operaciones
militares, transversal al resto (terrestre, marítimo, aeroespacial y cognitivo) y con repercusión
directa sobre ellos. Este ámbito está compuesto por Infraestructuras, redes, sistemas de
información y telecomunicaciones y otros sistemas electrónicos, por su interacción a través
de las líneas de comunicación sobre las que se propaga y el espectro electromagnético
(EEM), así como por la información que es almacenada o transmitida a través de ellos.

Las acciones que se realizan en él y los medios a emplear se han convertido en un arma de
disuasión del adversario cuyos efectos pueden alcanzar los niveles estratégico, operacional
y táctico comprometiendo sistemas y redes. Su vinculación a las operaciones de información
supone nuevas vías de acceso a la población para obtener información o influir en ella
(ámbito cognitivo) o para poder realizar ataques diversos contra la infraestructura o servicios
críticos de la nación.

CIBERESPACIO: «Ámbito global y dinámico compuesto por las infraestructuras de
tecnología de la información – incluida Internet–, las redes y los sistemas de información y de
telecomunicaciones».

-4-
 Introducción a la Ciberdefensa
Ciberevento: Es cualquier suceso relacionado con la seguridad.

Ciberincidente: Evento o conjunto de eventos en el ámbito del ciberespacio que tienen o podrían
tener un efecto adverso sobre la disponibilidad, confidencialidad, integridad de la información o
sobre el funcionamiento del sistema CIS.

Ciberataque: Es una acción realizada empleando el ciberespacio para producir daño. Se puede
materializar comprometiendo la disponibilidad, integridad o confidencialidad de la información,
mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de
información y telecomunicaciones o las infraestructuras que los soportan. Se incluye en esta
definición la degradación o destrucción de elementos físicos empleando el ciberespacio.

Nivel técnico: «Ciberseguridad es la capacidad de proteger adecuadamente la
confidencialidad, integridad y disponibilidad de los Sistemas (CIS/TIC) y la información
procesada, almacenada o transmitida mediante la aplicación de las medidas
necesarias››.
Nivel Global: «Ciberseguridad es la actividad, proceso, capacidad o estado por el cual las redes y
sistemas de información y telecomunicaciones, así como la información que contienen, procesan
y transmiten están protegidos o defendidos frente al daño, uso no autorizado, modificación o
explotación, preservando la confidencialidad, integridad y disponibilidad de la información en el
ciberespacio››. -5-
 Introducción a la Ciberdefensa
TERMINOLOGÍA
CIBERSEGURIDAD vs CIBERDEFENSA
En el nuevo escenario de riesgos
y amenazas (ciberamenazas) que
se ha conformado en la Red, la
Ciberseguridad y la Ciberdefensa
son herramientas fundamentales
pero, ¿qué diferencias existen
entre una y otra?

-6-
Capacidades de la Ciberdefensa

-7-
 Capacidades de la Ciberdefensa

Capacidad de defensa: Conjunto de sistemas que, operados bajo unos principios y procedimientos
doctrinales establecidos, posibilitan la ejecución y mantenimiento de acciones y actividades orientadas a la
protección y defensa permanente de las redes, sistemas de información y telecomunicaciones,
plataformas, sistemas de armas, sistemas de apoyo a la misión y equipos, y de la información que manejan,
frente a ciberataques; así como su recuperación en caso de fallo o inutilización parcial o total.

a) Acciones de Protección y Seguridad: Actividades de prevención y de protección que permiten
alcanzar y mantener de forma proactiva un grado adecuado de seguridad, así como las actividades de
recuperación tras un fallo, intrusión o un ataque con éxito.
b) Acciones de Defensa Interna: Una defensa dinámica que permite contrarrestar en tiempo real u
oportuno una amenaza específica. Comprende las actividades de detección y de reacción o respuesta
llevadas a cabo sobre las redes propias, para hacer frente a intrusiones, alteraciones, perturbaciones,
interrupciones o cualquier acción no autorizada que comprometa la información y los sistemas
propios.

-8-
 Capacidades de la Ciberdefensa

Capacidad de explotación: Conjunto de sistemas que, operados bajo unos principios y procedimientos
doctrinales establecidos, posibilitan la ejecución y mantenimiento de actividades orientadas a la obtención
de información en el ciberespacio, incluyendo las redes y sistemas de posibles adversarios o actores
hostiles, las propias y las de terceros actores (neutrales).

a) Se podrán emplear medios de obtención NO INTRUSIVOS: extraen información puesta a disposición
pública o que cuya obtención no necesita vulnerar ninguna red sistema o medidas de protección y
defensa.
b) Ó INTRUSIVOS que permitan, respetando en todo momento el marco legal existente, acceder a las
redes, sistemas y equipos del adversario o de terceros actores, rompiendo o eludiendo sus medios y
medidas de protección y defensa.

-9-
 Capacidades de la Ciberdefensa

Capacidad de ataque: Conjunto de sistemas que, operados bajo unos principios y procedimientos doctrinales
establecidos, posibilitan la ejecución de acciones y actividades orientadas a la realización de ciberataques.

a) en el ámbito defensivo, como respuesta oportuna, legítima y proporcionada frente a un ataque inminente
o un ataque recibido que afecte a la Defensa Nacional.
b) O como una acción de carácter ofensivo, con la finalidad de alcanzar un objetivo militar, siempre en el
marco de una operación militar.

La capacidad de ataque puede ser empleada a su vez para identificar posibles vulnerabilidades de las redes y
sistemas propios mediante acciones cyber red team, contribuyendo de esta forma a reforzar la capacidad de
defensa.

-10-
Operaciones en el ciberespacio

-11-
 Concepto CEMA

NOVIEMBRE 2014
Concepto CEMA

EW
Centros y equipos de Ciberdefensa

-14-
 Roles y responsabilidades nacionales

El Comandante de las Fuerzas de Ciberdefensa designado para una operación dirigirá
operativa y técnicamente las actividades de los Centros de Operaciones de Seguridad
(COS) de acuerdo con la modalidad de transferencia de autoridad que se adopte.

El Responsable de cada Sistema (RSIS) debe cooperar estrechamente con el MOC, para
lo que se establecerán las adecuadas relaciones de mando.

Para asegurar la libertad de acción de las Fuerzas Armadas en el ciberespacio, así como
para lograr la supervivencia de los elementos físicos, lógicos y virtuales críticos para la
Defensa y las Fuerzas Armadas, cuando la situación lo requiera, las CISIO estarán
dirigidas por el MOC.

-15-
 Roles y responsabilidades nacionales

En las FAS además del MOPS, existen un Mando Operativo en cada ámbito (Tierra, Mar y
Aire) y el Mando Operativo ciberespacial (MOC).
El ET, AR y EA contarán con los elementos y estructuras oportunas que les permitan, bajo
dependencia operativa del JEMAD, llevar a cabo los siguientes cometidos:
- Proporcionar capacidades de ciberdefensa a la estructura operativa, cuando se requiera
para llevar a cabo las operaciones militares conjuntas.
- Protección y defensa de las redes y sistemas específicos que NO empleen la I3D (v.g.
sistemas que por su obsolescencia no puedan ser integrados, etc.).
- Protección y defensa de los sistemas de armas, plataformas, sistemas de apoyo a la
misión, etc. en servicio en el ET, AR y EA.

-16-
Roles y responsabilidades nacionales

El jefe del COS de la I3D tendría
una triple dependencia: orgánica
(CESTIC), operativa (del JEMAD) y
funcional (del Jefe del área de
SEGINFOSIT correspondiente).

-17-
 Sistemas criptográficos

Los mecanismos de seguridad se apoyan principalmente en la utilización de
técnicas criptográficas. Es decir la criptografía sirve de soporte para la correcta
prestación de los diferentes servicios de seguridad. Por lo que la criptografía es la
base de apoyo de los servicios de seguridad, y podemos afirmar que la criptografía
es parte de la seguridad de una red corporativa pero no es toda la seguridad de la
misma.
Criptografía, se define como el arte y ciencia de mantener (conservar) mensajes
seguros sobre canales inseguros. También como el arte y ciencia de escribir y/o
leer mensajes cifrados, conociendo la información necesaria para ello como es el
algoritmo criptográfico y la clave.
Los servicios de seguridad son cinco: autenticación, confidencialidad, integridad,
control de acceso y no repudio. En un sistema telemático o más concretamente en
una red corporativa, se empleará por lo general la combinación de dos más de
estos servicios, dependiendo siempre de la aplicación para la que esta destinado el
sistema.

-18-
 Sistemas criptográficos

El servicio de autenticación o autentificación (Authentication), garantiza que una entidad
comunicante es quien dice ser. Esta garantía de identidad en algunos sistemas viene
avalada por una TTP (Third Trusted Party / Tercera Parte de Confianza) como es el caso
de la utilización de certificados. De todos modos el mecanismos más habitual es el de
login/password.
La autenticación puede ser de dos tipos: autenticación de entidad simple y autenticación
mutua. En el primero de los casos, una de las entidades se identifica y demuestra quien
es ante la otra entidad. Un ejemplo es cuando un cliente se identifica ante un servidor.
En el segundo de los casos las dos entidades se autentican y demuestran quienes son,
lo que en determinadas circunstancias es lógico, ya que un cliente al identificarse ante
un servidor puede requerir o necesitar que el mismo demuestre quien es, sobre todo
cuando se suministren datos de tipo confidencial.

-19-
 Sistemas criptográficos

El objetivo de este servicio es proporcionar protección a los datos para evitar que sean
revelados accidental o deliberadamente a usuarios no autorizados. La confidencialidad
de la información se basa fundamentalmente en el uso de técnicas criptográficas, tanto
de clave secreta como de clave pública. En los sistemas telemáticos y más
concretamente en la redes corporativas la confidencialidad de los datos se emplea en
dos facetas, en la comunicación de los datos y en el almacenamiento de los datos.
Integridad de los Datos (Data Integrity), garantiza que los datos recibidos coinciden con
los datos enviados por el emisor, pudiendo detectarse si se ha producido algún añadido,
sustracción o cambio. Se basa en la utilización de técnicas criptográficas, en concreto
suelen emplearse algoritmos HASH, también conocidos como algoritmos o funciones
resumen. La firma electrónica tiene como finalidad garantizar la integridad de los datos
mediante la utilización de algún algoritmo de hash y técnicas criptográficas.
Habitualmente el servicio de integridad de la información suele emplearse de forma
combinada con el de confidencialidad, un ejemplo es el protocolo IPSEC que incluye
dos cabeceras AH y ESP, la primera se emplea para integridad y la segunda para
confidencialidad, aunque las dos pueden utilizarse de forma combinada.
-20-
 Sistemas criptográficos

El servicio de Control de Acceso, determina "quién" puede hacer "qué", es decir que
usuario, proceso o entidad puede acceder según que recurso de la red corporativa o del
sistema telemático. Principalmente se utiliza para evitar el uso no autorizado de los
recursos disponibles de forma local a un equipo y compartidos en red.
El control de acceso se puede aplicar directamente sobre los terminales desde los que
los usuarios se conectan a la red, mediante la utilización de contraseñas o de
mecanismos de identificación biométricos. Un sector en el que se aplica es el acceso
remoto a servidores ya sea de forma local o remota. El servicio de control de accesos se
encuentra directamente ligado con el servicio de autenticación.
La principal técnica de control de acceso son las listas denominadas ACL (Access
Control List / Listas de Control de Accesos) que cuentan con una serie de elementos
denominados ACE (Access Control Entries / Entradas de Control de Acceso). Existe una
ACL por cada uno de los recursos, constando cada una de las ACE de un identificador
de usuario o de grupo de usuarios y los privilegios con los que cuenta en el acceso al
recurso. La utilización de técnicas de control de acceso a los recursos requiere de una
mayor cantidad de memoria para poder almacenarlas. La utilización de listas ACL para
control de accesos se extiende a los routers y el filtrado de direcciones IP para acceder
a una intranet desde Internet.
-21-
 Sistemas criptográficos

El servicio de No Repudio (Non-repudiation) tiene como finalidad impedir que un usuario
pueda demostrar la realización de una acción o no pueda negar la realización de la
misma. El servicio de no repudio se apoya en la existencia de terceras partes de
confianza, fundamentalmente las conocidas como autoridades de certificación. Existen
diferentes alternativas para este servicio de seguridad:
- Con prueba de origen, el receptor del mensaje adquiere una prueba demostrable
ante terceros del origen de los datos recibidos.
- Con prueba de envío, el receptor o el emisor de un mensaje adquieren una prueba
demostrable de la fecha y hora de envío.
- Con prueba de entrega, el emisor del mensaje adquiere una prueba, que puede
demostrarse ante terceros de que los datos han sido entregados al receptor
adecuado.

-22-
 Cifrados y claves

Los criptosistemas de clave secreta se denominan también criptosistemas simétricos ya
que se emplea la misma clave en el origen que en el destino, y además se emplea la
misma clave para cifrar y descifrar la información. Cada par de usuarios debe tener una
clave secreta y simétrica compartida. En el caso de comunicaciones de grupo es
necesario una clave compartida por todos y en el caso de requerirse comunicaciones
dos a dos una clave compartida entre cada dos usuarios.
Los criptosistemas simétricos son relativamente sencillos de implementar, esto supone
que se utilicen muchas veces en sistemas telemáticos que requieran privacidad en las
comunicaciones (integridad o confidencialidad) pero que por sus características de
funcionamiento no puedan emplear mucho tiempo de proceso en el cifrado de los datos.
La criptografía de clave pública se basa en la existencia y mantenimiento de dos claves
para cada usuario. Ambas claves se encuentran relacionadas entre si y se denominan
CLAVE PUBLICA y CLAVE PRIVADA.
La clave pública conocida por todos los usuarios, en cambio la privada únicamente es
conocida por el usuario propietario. Las dos claves se utilizan de forma indistinta para
cifrar y descifrar.

-23-
Encriptación

-24-
Encriptación

-25-
 Encriptación

Funciones Hash y Firma Digital

Los algoritmos utilizados en las funciones hash, deben verificar las siguientes condiciones o
características:
- Ser consistentes: la misma entrada dará siempre la misma salida.
- Ser aleatorios, o dar una apariencia de aleatoriedad.
- Ser únicos, de forma que sea prácticamente imposible que dos mensajes proporcionen
la misma salida o resumen, aunque esto no suele ser así.
- Ser funciones de una sola dirección.
La principal tarea de las funciones hash es la de crear firmas o huellas digitales en ficheros o
mensajes, para ello se utilizan en combinación con diferentes técnicas criptográficas.

-26-
-27-
-28-
 Tipos de ciberataques y principales amenazas en la red

Actividades de seguridad en ciberespacio

Detección Gestión Proactivas Reactivas

Operaciones conducentes Acciones encaminadas Operaciones dirigidas al Operaciones orientadas a
a detectar posibles a la operación propia de análisis de las evaluar y resolver
incidentes de seguridad de los sistemas de amenazas ciberincidentes que pudieran
forma temprana, seguridad de la que pueden causar un impacto en la
efectuando para ello información y a la materializarse en organización así como a
labores de monitorización obtención y nuestros CIS, a la realizar a posteriori, análisis
de los distintos sistemas y presentación de detección y análisis de de tipo forense para averiguar
llevando a cabo la información vulnerabilidades qué ha ocurrido al objeto de
explotación de sobre el estado de en dichos sistemas, así proponer acciones correctivas
herramientas de seguridad de los CIS. como a promover la para evitar la repetición de
detección y prevención de implantación de incidentes similares.
intrusiones. medidas de seguridad
de
carácter preventivo.
NIVEL 1 NIVEL 2/3

Cualquier situación o eventualidad, intencionada o no, en la que pueda verse
Ciberincidente amenazada la confidencialidad, integridad y disponibilidad de la información en
el ámbito del ciberespacio.

-29-
 Tipos de ciberataques y principales amenazas en la red

La motivación de los ataques varía y puede clasificarse (según el CERT):

- Gubernamental y Militar: acceso a información estratégica.
- Negocios: obtención de información relativa a la competencia.
- Financieros: obtención de beneficios económicos.
- Terroristas: grupos que emplean estos ataques en lugar de los tradicionales.
- Rencor: razones personales, habitualmente empleados descontentos.
- Diversión, intrusos con pocos conocimientos de comunicaciones y sistemas que
prueban herramientas y mecanismos para acceder a redes y sistemas.

-30-
 Tipos de ciberataques y principales amenazas en la red

Las diferentes vulnerabilidades según el CERT pueden clasificarse en los
siguientes grandes grupos:

- Acceso físico.
- Defectos o errores en el software o en los sistemas operativos (bugs).
- Sistemas operativos inseguros.
- Malas configuraciones.
- Vulnerabilidades en las comunicaciones.
- Acceso a equipos intermedios.

-31-
 Tipos de ciberataques y principales amenazas en la red

Buffer Overflow es una de las principales vulnerabilidades relacionadas con los
bugs que se ha utilizado. La vulnerabilidad consiste en que la pila del sistema,
donde se almacenan las instrucciones a ejecutar pueda saturarse, con lo que se
podría afectar a otras zonas de memoria y conseguir la corrupción de datos o la
caída final del sistema.
El método de ataque más avanzado que aprovecha la vulnerabilidad del buffer
overflow consiste en corromper la pila del sistema para ejecutar código propio del
intruso, siendo el principal objetivo de los intrusos la ejecución de un shell
privilegiado, que les permitiría trabajar como administradores de los sistemas.
TCP tiene la posibilidad, al igual que otros protocolos, de enviar datos fuera de
banda (Out-of-Band Data), no forman parte del flujo normal de información y no
consumen número de frecuencia. La forma de enviar los datos fuera de banda en
TCP es mediante la utilización del bit de código URG y del campo de la cabecera
Urgent Pointer. Existen dos vulnerabilidades aprovechables relacionadas con
estos datos:
- Ataques haciendo que OOBD reales y conocidos causen efectos inesperados.
- Ataques produciendo datos concretos que quedan fuera del espectro de datos
válidos y que pueden provocar errores de algún tipo.
-32-
 Tipos de ciberataques y principales amenazas en la red

Los sistemas operativos considerados NO seguros son por si solos una fuente de
vulnerabilidades ya que no se han diseñado con la robustez adecuada para ser
sistemas operativos seguros, es decir no se desarrollaron para ser instalados en
el seno de una red corporativa ni para realizar tareas de servidor: DOS; Windows
3.x y 9.x.
La clasificación de la seguridad consiste en los siguientes niveles:
- D: protección mínima.
- C1: protección de seguridad discrecional.
- C2: protección de acceso controlado.
- B1: protección de seguridad etiquetada.
- B2: protección estructurada.
- B3: dominios de seguridad.
- A: diseño de seguridad verificado.

Clasificación de niveles de seguridad según el libro naranja
-33-
 Tipos de ciberataques y principales amenazas en la red

Habitualmente los intrusos no atacan una red corporativa de forma directa, sino
que emplean medios o puntos intermedios. Estos medios intermedios pueden ser
otras estaciones, otros equipos hardware u otras cuentas de usuario, por ejemplo:
- Cuentas legítimas en estaciones menos seguras, pero que tienen algún tipo
de relación de confianza o acceso con la estación o equipo objetivo.
- Utilización de estaciones intermedias para la ejecución de las herramientas de
ataque.
Algunos de estos ataques que permiten obtener ventajas son:
- Utilización de direcciones IP de confianza.
- Monitorización de un segmento de red, modificando dirección MAC.
- Secuestro de terminales TCP (tty hijacking).
La utilización de equipos intermedios permite que un atacante enmascare el
acceso, e incluso permite que cifre mediante túneles punto a punto las
comunicaciones desde el equipo origen del ataque hasta el equipo intermedio o
de salto hasta el destino.

-34-
Tipos de ciberataques y principales amenazas en la red

-35-
 Tipos de ciberataques y principales amenazas en la red

Es complicado establecer una técnica paso a paso para realizar el foot-printing, ya que
depende del sitio, la red y las herramientas disponibles.
Interrogación a los servidores DNS, ya que son los que más información relacionada con
TCP/IP pueden proporcionar a los atacantes. La situación más interesante es conseguir
realizar una transferencia secundaria de zona, en que se obtienen todos los registros
correspondientes al dominio correspondiente.
Reconocimiento de la red, “TraceRoute”, para determinar los saltos y routers atravesados
hasta alcanzar el objetivo, también permite la localización del firewall de entrada a una red
corporativa, ya que es el paso previo que separa al intruso del servidor blanco del
“TraceRoute”.
Las técnicas de enumeración utilizan la información previamente obtenida en los dos pasos
anteriores (Scanning y Footprinting) y depende fundamentalmente del sistema operativo de la
estación objetivo.

-36-
 Tipos de ciberataques y principales amenazas en la red

Ataques de Denegación de Servicio (DoS)

Normalmente el atacante enmascara la dirección IP origen para que no se detecte el origen del
ataque, y envía un paquete tipo “ICMP ECHO_Request” con un campo de información tan
grande que el buffer de entrada se satura y lleva a la estación receptora a caer.
Tras un ataque de este tipo puede ser interesante seguir al atacante, para ello se pueden
utilizar herramientas de tracking como el MCI DoS tracker.

-37-
 Tipos de ciberataques y principales amenazas en la red

IP Spoofing, adivinación del número de secuencia

El IP spoofing, consiste en la adivinación de los números de secuencia que se utilizan:

- Tiene como objetivo la ejecución de comandos de forma remota.
- Se suele emplear en combinación con TCP SYN flooding.
- Se basa en el estudio del mecanismo de establecimiento de la conexión.

Los pasos a seguir necesarios para este tipo de ataque son:

- Adivinar el número de secuencia que utiliza el servidor.
- Enviar un paquete SYN al servidor, por ejemplo al puerto TCP RSH utilizando la dirección IP de
un cliente válido.
- Previamente el puerto del cliente debe ser bloqueado con TCP SYN flooding.
- El atacante no recibe el paquete SYN+ACK, tampoco el cliente real bloqueado.
- El atacante envía un paquete ACK reconociendo el número de secuencia del servidor.
- El atacante puede ejecutar comandos pero sin recibir confirmaciones.

-38-
 Tipos de ciberataques y principales amenazas en la red

TCP Hijacking o Secuestro de Terminal

El objetivo de este tipo de ataque es el de apoderarse de una conexión TCP y una sesión Telnet,
para ejecutar comandos no deseados por el verdadero propietario de la sesión. TCP hijacking
(secuestro de sesión TCP), requiere que:
- La conexión TCP ya se encuentre establecida.
- Utilización de un medio compartido, para poder monitorizar los paquetes.
Existen diferentes herramientas que permiten la realización de este tipo de ataque, en concreto hay
tres herramientas que son:
- JUGGERNAUT.
- HUNT.
- ARGUS.
Se aprovecha de la debilidad de la implementación de seguridad de TCP, mediante:
- La escucha paquetes, viendo números de secuencia.
- Desincroniza los números de secuencia entre cliente y servidor.
- Introducción de paquetes con comandos propios.
- El ataque suele centrarse en sesiones TELNET, aunque sería perfectamente válido el ataque a
otro tipo de servicios que se ejecute sobre TCP.

-39-
 Tipos de ciberataques y principales amenazas en la red

Ataques sobre el encaminamiento

Los ataques que se realizan sobre el encaminamiento, tienen como objetivo alterar las rutas de los
paquetes para alcanzar el destino. De forma que los paquetes se encaminen desde el origen hasta
un nuevo destino seleccionado y controlado por el intruso. La redirección de paquetes se puede
emplear para los siguientes ataques:

- Man-in-the-middle.
- Obtención de información, por ejemplo contraseñas.
- DoS, por enrutamiento hacia un black hole.

Los intrusos emplean la opción de IP denominada “Source Routing”, consistente en que los
paquetes enviados por un intruso a la red objetivo llevan como dirección origen una dirección de la
misma red.

-40-
 Tipos de ciberataques y principales amenazas en la red

Ataques sobre el servicio DNS

Los ataques que sobre el servicio DNS, tienen como objetivo alterar la resolución de nombres. Por
ejemplo modificando un registro tipo A, NS o MX, así al solicitar un cliente uno de esos valores el
servicio daría el deseado por el intruso dejando al mismo tiempo inútil el verdadero nombre y la
verdadera dirección. Este tipo de ataques se basa en el mecanismo de recursión que emplean los
servidores DNS para servir zonas a las que no atienden directamente.

Elementos intermedios
Los intrusos una vez obtenida una cuenta en un equipo intermedio utilizan diversos medios para
comunicar ésta con la máquina propia y no ser detectados:

- Túneles cifrados.
- UDP como transporte.
- ICMP como transporte, ya que la mayor parte de routers y firewalls permite el paso de paquetes
de este tipo.
- Otra técnica de enmascaramiento consiste en el salto de puerto a puerto en una misma
estación.

-41-
Tipos de ciberataques y principales amenazas en la red

-42-
 Tipos de ciberataques y principales amenazas en la red

Vulnerabilidad 1: Control de acceso al router inadecuado, las ACL, s mal
configuradas pueden permitir el flujo de información desde el exterior hacia la
intranet o la extranet. Los protocolos que pueden emplearse son IP, ICMP o
NetBIOS permitiendo el acceso no autorizado a los servicios de los servidores de la
DMZ, que son los que se encuentran más expuestos por su ubicación, e incluso el
acceso a servidores instalados tras el firewall en la zona segura.

Vulnerabilidad 2: Control de acceso remoto, los puntos de acceso al servicio
inseguros y no monitorizados proporcionan uno de los medios más fáciles para
entrar en la red corporativa de una empresa. En el caso concreto del servicio de
acceso remoto, éste se encontraría conectado a uno o más servicios de red pública
lo que puede permitir el acceso conmutado de intrusos. Jamás debe conectarse el
servidor de acceso remoto a una intranet, siempre debe conectarse al firewall o a
la DMZ para permitir un control más adecuado de la seguridad.

-43-
 Tipos de ciberataques y principales amenazas en la red

Vulnerabilidad 3: Footprinting y Scanning, el filtrado de información
proporciona a los atacantes datos relativos a los sistemas operativos, versiones de
las aplicaciones, usuarios, grupos, recursos compartidos, DNS a través de
transferencias de zona así como servicios que se están ejecutando. Por lo que es
necesario evitar el flujo o acceso a este tipo de información.
Vulnerabilidad 4: Servicios innecesarios, los hosts que ejecutan servicios que
no se emplean siempre dejan algún punto vulnerable, por ejemplo WWW, FTP, DNS
o SMTP. Hay que recordar las diferentes vulnerabilidades de los servicios
anteriores, así como los axiomas y teorema de la seguridad, que recomiendan no
instalar demasiados servicios en los diferentes servidores, ni servicios con
implementaciones demasiado largas, debido a la existencia de bugs.
Vulnerabilidad 5: Passwords, los passwords débiles, sencillos de averiguar o
que se reutilicen de forma frecuente en las estaciones de trabajo pueden
comprometer la seguridad de los servidores. Es necesario fijar una política de
seguridad relacionada con los mismos que sea homogénea en toda la empresa y
que siga unos criterios similares a los indicados en la segunda unidad pedagógica
de este curso.

-44-
 Tipos de ciberataques y principales amenazas en la red

Vulnerabilidad 6: Privilegios, las cuentas de usuario y de prueba con excesivos
privilegios o derechos de usuario comprometen la seguridad de las redes
corporativas y los sistemas. Ya que si un intruso accediera a ellas podría eliminar,
alterar o modificar aquellos recursos a los que tiene acceso, del mismo modo
cuando una cuenta de usuario deja de ser útil, por ejemplo por baja del empleado,
es necesario bloquearla o darla de baja.
Vulnerabilidad 7: Servidores de Internet, Los servidores de Internet mal
configurados son puntos inseguros sobre todo los servidores WWW con scripts CGI
y los servidores FTP anónimos. Habitualmente estos servidores se encuentran
situados en la DMZ, pero en muchos casos pueden ser empleados como equipos
intermedios para saltar a la intranet corporativa, debido a relaciones de confianza o
a ACL, s de los routers del firewall.
Vulnerabilidad 8: Firewall, el firewall o el ACL del router mal configurados
pueden permitir el acceso a los sistemas internos de forma directa o cuando la
seguridad de uno de los servidores de la DMZ se haya comprometido. Este tipo de
dispositivos es básico en la seguridad de cualquier red corporativa, y no se
entiende la seguridad perimetral sin su utilización, aunque no se puede basar la
seguridad únicamente en él, ya que es necesario implementar una defensa en
profundidad.
-45-
 Tipos de ciberataques y principales amenazas en la red

Vulnerabilidad 9: Software, el software sin parches de seguridad, vulnerable,
que no esté actualizado o dejado con configuraciones por defecto es un riesgo,
como ya se estudió en los axiomas de seguridad, no existe una relación lineal entre
líneas de código y vulnerabilidades. En la actualidad todas las empresas de
software publican y distribuyen periódicamente parches de seguridad para proteger
sus productos frente a ataques identificados.
Vulnerabilidad 10: ACL, s, nunca son excesivos los controles de acceso a los
ficheros y a directorios, así como a compartidos. Es recomendable utilizar sistemas
de almacenamiento seguros, ya que permiten implementar el servicio de control de
acceso, cosa impensable en los denominados sistemas operativos inseguros como
Windows 9x o MS-DOS.
Vulnerabilidad 11: Relaciones de confianza, un número excesivo de relaciones
de confianza como las que se establecen entre Dominios NT y las de UNIX
mediante los ficheros ".rhosts" y "hosts.equiv" pueden proporcionar acceso a
puntos sensibles. Ya que delegan la autenticación de usuarios en los dominios o
equipos de los que procede el usuario. Una mala gestión de la seguridad en el
origen puede suponer problemas de seguridad en nuestro dominio.

-46-
 Tipos de ciberataques y principales amenazas en la red

Vulnerabilidad 12: Servicios sin autenticación, ejecución en las estaciones
cliente de servicios que no requieren autenticación como es el caso de X-Windows.
Esto puede suponer graves vulnerabilidades debidas a bugs en el código de
implementación de los servicios.
Vulnerabilidad 13: Monitorización y auditoria, a efectos de prevenir cualquier
acceso no autorizado es necesario potenciar las capacidades de monitorización,
auditoría y detección de intrusos a nivel de red y sistema. La auditoría y la
monitorización son componentes básicos de cualquier política de seguridad de una
red corporativa, ya que es necesario verificar en todo momento que las normas y
estándares fijados se están cumpliendo y usando.
Vulnerabilidad 14: Políticas de seguridad, es necesario que se promulguen
políticas de seguridad que sean conocidas por todos los usuarios como un estándar.
Las dos principales razones para ello es fijar normas homogéneas para todos los
miembros de una organización y la posibilidad de tener un apoyo legal ante
incumplimientos de la misma.

-47-
 Firewalls o Cortafuegos

Los firewalls tradicionales protegen dispositivos que se encuentran conectados a una red,
actuando como paredes de contención.
En concreto, los firewall tradicionales actúan sobre la capa 3 (capa de red) y la capa 4 (capa
de transporte).
Las amenazas han evolucionado (APT) y son capaces de sortear el filtrado de las capas 3 y 4.

-48-
 Firewalls o Cortafuegos

Los firewalls son una tecnología interesante para la seguridad:
- No resuelven todos los problemas de seguridad.
- Deben formar parte de una defensa en profundidad.

Los firewalls se clasifican en tres tipos de forma general:
- Router de filtrado de paquetes.
- Pasarelas de nivel de aplicación.
- Pasarelas a nivel de circuito.
Las configuraciones más habituales incluyen combinaciones de los sistemas simples entre
si. Estas configuraciones pueden clasificarse en:
- Host bastión de doble puerto.
- Router de filtrado de paquetes.
- Firewalls apantallados (Screened Firewalls), solución más habitual.
o Sistema apantallado con host bastión único.
o Sistema apantallado con host bastión de doble puerto.
o Sistema de subred apantallada / sistema de doble apantallamiento.
- Múltiples host bastión.
- Firewalls de subred.

-49-
 Firewalls o Cortafuegos

Firewall apantallado con host bastión único
El router de filtrado de paquetes se configura para permitir:
- Los paquetes IP de entrada hacia el host bastión.
- Los paquetes IP de salida hacia el host bastión.
El host bastión realiza tareas de:
- Autenticación.
- Servidor Proxy: se encarga de encaminar los paquetes en los dos sentidos.

Tiene la desventaja que si la seguridad del router se rompe, es posible comprometer la
seguridad de todas las estaciones de la intranet, ya que la información pasa por el host
bastión sólo si el router se la envía, siendo posible puentearlo.

-50-
 Firewalls o Cortafuegos

Firewall apantallado con host bastión de doble puerto
El router de filtrado de paquetes se configura para permitir:
- Los paquetes IP de entrada hacia el host bastión.
- Los paquetes IP de salida hacia el host bastión.
El host bastión realiza tareas de:
- Autenticación y servidor proxy como la configuración de host bastión único.
- La utilización de dos puertos en el host bastión previene el compromiso de seguridad del router.
La diferencia con la anterior configuración radica en que el host bastión cuenta con dos tarjetas de
red que le permiten separar la subred en dos partes y que todo el tráfico esté obligado a pasar por él.

-51-
 Firewalls o Cortafuegos

Configuración de subred apantallada
Es la configuración más segura de las tres apantalladas. Se crea una subred aislada,
denominada DMZ (Demilitarized Zone), en la que se sitúan los servidores públicos de internet. La
red queda dividida por tanto en tres partes: el exterior, la intranet y la DMZ que es una especie de
tierra de nadie controlada por el propietario de la red corporativa.
El sistema consta de dos routers de filtrado y un host bastión, siendo las principales ventajas:
- Existen tres niveles de defensa frente a intrusos.
- El router externo indica sólo la existencia de la DMZ pero no de la red interna.
- El router interno sólo permite el acceso a la DMZ a los usuarios internos, con lo que no
pueden trazar rutas directas a Internet.
Existe una configuración alternativa, consistente en eliminar el router interno, y convertir el host
bastión en un equipo con tres tarjetas de red, que realiza las tareas de los dos equipos: host
bastión y router de filtrado.

-52-
 Arquitectura DMZ

E.

-53-
 Sistemas de detección y de prevención de intrusos

Ambos sistemas (IDS e IPS) permiten monitorizar el tráfico analizando la red, los paquetes
y los puertos.
Cuando se detecta un proceso que sigue un patrón anómalo, nos avisan para poder
reaccionar en una etapa temprana.
Ambos sistemas permiten registrar la información de incidentes previos, facilitando la
tarea de realizar posteriores informes.

-54-
 Sistemas de detección y de prevención de intrusos

Los sistemas IDS se consideran elementos reactivos que realizan un análisis continuo del
tráfico de red y barren los puertos en busca de patrones sospechosos.
Disponen de una gran base de datos de las firmas de ataques conocidos y software
malicioso.
Una vez encuentra un posible riesgo, emite una alerta para que los responsables para que
se tome una decisión.
Los IPS son un elemento proactivo que surgió como una extensión de los IDS.
Su papel comienza tras haber detectado una amenaza, en ese momento comienza la
gestión del proceso de crisis.
A diferencia de los IDS que actúan sobre puertos y direcciones IP, actúa en base a los
contenidos del tráfico. Siendo capaz de tomar decisiones sobre el control de acceso y
resolviendo ambigüedades que pudieran dar lugar a un ataque.
También permite integrar políticas de seguridad en la toma de decisiones.

-55-
 Sistemas de detección y de prevención de intrusos

Un Sistema de Prevención de Intrusos (IPS), es un dispositivo de seguridad para redes, que se
encarga de monitorear actividades a nivel de capa 3 (red) y/o a nivel de capa 7 (aplicación), con el
fin de identificar comportamientos maliciosos, sospechosos e indebidos. De esta manera, busca
reaccionar ante ellos en tiempo real mediante una acción de contingencia.
Este Sistema fue creado con la intensión de ser una alternativa complementaria a otras
herramientas de seguridad en redes, tales como un Firewall o un IDS.
Se define a los IPS como dispositivos de seguridad que monitorean las actividades de un sistema
o de una red, en busca de comportamientos maliciosos o indebidos, con el fin de reaccionar, en
tiempo real, para bloquear o prevenir estas actividades. Esto, es lo que significa que sea un
dispositivo proactivo.
Un IPS puede tomar decisiones de control de acceso basado, al igual que un firewall o un IDS, en
monitoreo de direcciones IP o puertos; pero también puede hacerlo, basándose en contenido de
capa de aplicación.
Los IPS se pueden clasificar de diferentes maneras. Por un lado, dependiendo de su método para
realizar detecciones. Por otro, se dividen basados en la tecnología que los implementa.

-56-
 Sistemas de detección y de prevención de intrusos

IPS según su método:
IPS basado en firmas: Se debe contar con una base de datos, en la cual se contengan todos los
patrones conocidos de un ataque particular. Esta información se adhiere al dispositivo que
realizará la detección para que así, mediante una búsqueda de coincidencias.
IPS basado en anomalías: Intenta identificar un comportamiento diferente o que se desvíe de lo
que, de alguna forma, se ha predefinido como un “comportamiento normal” de la red.
IPS basado en Análisis de Protocolo: Es similar al IPS basado en firmas, pero este realiza
inspecciones mucho más profundas en los paquetes y además son más flexibles encontrando
algunos tipos de ataques.
IPS según su tecnología:
Basado en Host: Monitorea las características de un host en particular, así que detecta actividades
dentro del mismo, y las acciones de contingencia, lanzadas por este tipo de IPS, actúan sobre el
host en el cual trabaja. Se enfocan en la protección de servidores, escritorios o laptops, o una
aplicación de servicio.
Basado en Red: El monitoreo se realiza sobre el tráfico de red que fluye a través de segmentos
particulares, y analizan protocolos de red, de transporte y de aplicación para identificar actividades
sospechosas. La principal diferencia entre esta tecnología, y la anterior, es la ubicación de sus
sensores. Este, los distribuye a lo largo de varios segmentos de red.

-57-
FIN

-58-