Академический Документы
Профессиональный Документы
Культура Документы
Índice
1
Módulo 14: Seguridad de red
Descripción general
Desarrollar una política de seguridad para una red depende de varios factores. El tipo de negocio,
el tipo de datos, y la filosofía de administración deben considerarse para poder determinar el "Uso
Aceptable".
Este módulo detallará la importancia de desarrollar una política de seguridad para vigilar contra las
amenazas internas y externas a una red. El alumno aprenderá las medidas de seguridad a
implementar. Aplicar patches y actualizaciones al Sistema Operativo de Red (NOS) asegurará que
el sistema esté al corriente. Además, el alumno obtendrá una comprensión sobre firewalls y
proxies.
2
Módulo 14: Seguridad de red
Seguridad significa diferentes cosas para diferentes personas. La palabra seguridad según el
American Heritage Dictionary es sinónimo de garantía. En el contexto del networking, la seguridad
nunca es absoluta. El único sistema completamente seguro es aquél al que nadie tiene acceso.
Esto obviamente no funciona. El Microsoft Press Computer and Internet Dictionary define seguridad
informática como los pasos dados para proteger una computadora y la información que contiene.
En esta definición no están implicadas garantías.
Puesto que todo el propósito de las redes de computadoras es compartir recursos, debe existir
siempre un equilibrio delicado entre seguridad y accesibilidad. Cuanto más segura es una red,
menos accesible es. Cuánto más accesible es una red, menos segura es. La Figura ilustra cómo
un incremento en la accesibilidad disminuye la seguridad del sistema.
Los problemas de seguridad pueden convertir la relación entre los administradores de red y los
usuarios de la red en una de relación de adversarios. Los usuarios generalmente prefieren más
accesibilidad y los administradores prefieren más seguridad.
Este módulo detalla las necesidades de seguridad de una red en particular, cómo evaluar
amenazas existentes y potenciales a la seguridad, y cómo implementar las medidas de seguridad
apropiadas. Además, se tratarán la forma en la cual funcionan los componentes de seguridad y una
identificación avanzada y tecnologías de autenticación.
Tipo de Negocio
Algunos negocios, como leyes o medicina, por su misma naturaleza generan datos confidenciales.
La ley protege la privacidad de los registros médicos de un paciente y las comunicaciones
abogado-cliente. Si se almacenan documentos sensibles en una red, es imperativo que se
mantenga un alto nivel de seguridad. Hacerlo de otro modo pone a la organización en riesgo de
responsabilidad civil e incluso cargos criminales.
3
Módulo 14: Seguridad de red
• Compañías que firman contratos con los organismos militares o que llevan a cabo otras
tareas relacionadas con la seguridad nacional
• Organizaciones que reúnen datos bajo una garantía de confidencialidad
• Organizaciones que producen un producto o proporcionan un servicio en una industria o
campo de investigación altamente competitivos
• Organizaciones cuyas redes están conectadas a Internet
Tipo de Datos
Independientemente del tipo de negocio, determinados tipos de datos se consideran privados y
deberán protegerse. Estos tipos de datos incluyen los siguientes:
Filosofía de Administración
Si los datos de la red no están sujetos a leyes de privacidad, el nivel de seguridad podría depender
de las filosofías personales de los propietarios o administradores de negocios. En algunas
organizaciones, todo el mundo es considerado parte de una gran familia feliz. La accesibilidad y
facilidad de uso disfrutan de una prioridad más alta que la privacidad y seguridad. Otras
organizaciones operan según un principio de "necesidad de saberlo". La administración prefiere
que la información sea accesible sólo para aquéllos cuyos trabajos lo requieran. Ninguna de estas
políticas es correcta o equivocada. Los administradores de red simplemente necesitan saber y
deben estar dispuestos a implementar la seguridad de red que va con el estilo de administración de
la organización.
4
Módulo 14: Seguridad de red
El primer paso en crear una política de seguridad para una red de compañía es definir una política
de uso aceptable (AUP). Una política de uso aceptable indica a los usuarios qué es aceptable y
permitido en la red de la compañía. Esto puede incluir cosas como sitios web aceptables para
visitar así como qué momentos son aceptables para navegar por Internet. Por ejemplo, la política
de uso aceptable puede incluir información acerca de la instalación de software o hardware. El
administrador del sistema puede determinar el alcance de qué incluir en la política de uso
aceptable. El administrador del sistema puede incluir cualquier cosa que pudiera ser dañina para la
red si se la usa inapropiadamente.
Para ver algunos ejemplos de políticas de uso aceptable por favor visite los sitios web mostrados
en la Figura .
5
Módulo 14: Seguridad de red
Usualmente, el administrador del sistema definirá la convención de nombrado para los nombres de
usuario de una red. Un ejemplo común es la primera inicial del nombre de la persona y luego todo
el apellido como lo muestra la Figura . Es recomendable mantener la convención de nombrado
de nombres de usuario simple para que a la gente no le cueste recordarla. Una convención de
nombrado de nombre de usuario compleja no es tan importante como tener un estándar de
contraseña compleja.
6
Módulo 14: Seguridad de red
Estándares apropiados de protección contra virus requieren que se instale software de protección
contra virus actualizada se instale en todos los sistemas de la red. Ubique filtros apropiados y listas
de acceso en todos los gateways entrantes para proteger la red de un acceso no deseado. Para
evitar virus, políticas de e-mail también necesitan desarrollarse que enuncien qué puede enviarse y
recibirse. Estas políticas pueden encontrar resistencia porque a los usuarios les gusta chatear y
enviar e-mail no orientado a los negocios mientras están en el trabajo. Los usuarios necesitan estar
conscientes de los problemas de seguridad y del efecto que las violaciones de seguridad pueden
tener en la red así como en los datos de los usuarios. Los sitios web de la Figura proporcionan
estándares de políticas de e-mail de muestra.
Además, es importante contar con un procedimiento que requiera que todas las advertencias de
virus provengan de un administrador central. Sería la responsabilidad de una única persona
7
Módulo 14: Seguridad de red
determinar si una alerta de virus es real o si es un engaño y luego tomar la acción apropiada. Un
hoax puede no ser tan malicioso como un virus pero puede ser igual de frustrante. Lleva valioso
tiempo y recursos si un hoax no es identificado. Un excelente recurso para determinar si una
advertencia es real o un hoax es el sitio web de más abajo.
La elevada consciencia de los problemas de seguridad de Internet después del gusano de 1988
condujo a la formación del Centro de Coordinación del Equipo de Respuestas a Emergencias
8
Módulo 14: Seguridad de red
Recursos basados en la web ofrecen información crítica y potentes herramientas que pueden
usarse para proteger una red. Algunos de los mejores recursos de seguridad online son los sitios
web de fabricantes de NOS. Para ver algunos ejemplos de los recursos de seguridad online visite
los sitios web mostrados en la Figura .
Además, los grupos de noticias de Internet pueden ser un foro invalorable para el intercambio de
información concerniente a temas relacionados con la seguridad.
9
Módulo 14: Seguridad de red
A medida que la industria del networking ha venido madurando durante la pasada década, la
seguridad se ha convertido en una de las mayores preocupaciones de la Tecnología de la
Información. Hoy, las redes transportan billones de transacciones financieras, documentos
privados, y registros personales. Muchos intercambios sensibles de tal información tienen lugar a
través de la Internet pública.
Desde el punto de vista de la seguridad, Internet presenta numerosos desafíos. Primero, Internet
se basa en los bien conocidos protocolos abiertos que componen la suite del Protocolo de Control
de Transmisión/Protocolo Internet (TCP/IP). Estos protocolos, incluyendo al mismo IP, no estaban
diseñados teniendo en mente una red pública mundial. Aunque la suite TCP/IP ha escalado para
cumplir las demandas de la Internet global de hoy, estos protocolos tienen una notoria falta de
seguridad inherente.
Virtualmente todos los Sistemas Operativos de Red (NOSs) tienen algún grado de soporte a
TCP/IP. Windows 2000 y Red Hat Linux ofrecen un complemento completo de servicios IP. Este
módulo se concentra en los problemas de seguridad relacionados con TCP/IP porque TCP/IP es el
protocolo de red dominante hoy. Ejecutando TCP/IP y conectándose a Internet, una compañía
enfrenta significativas amenazas externas.
Además de las amenazas externas desde Internet, las redes corporativas enfrentan numerosas
preocupaciones de seguridad interna. Servicios comunes como compartir archivos y e-mail deben
asegurarse en una red corporativa. Esta medida se toma para que sólo los usuarios autorizados
tengan acceso a información sensible y personal. Así como los archivos en papel confidenciales se
mantienen en gabinetes archivadores cerrados con llave en oficinas bajo llave, los registros
electrónicos también deben asegurarse.
Lapsos en la seguridad interna pueden también resultar en ataques externos. Los usuarios
legítimos pueden infectar inadvertidamente la red corporativa con un virus leyendo e-mail o
navegando por la web. Algunos usuarios corporativos pueden, intencionalmente o no, instalar
software no autorizado que puede abrir un sistema o toda una red para ser atacados. Y, por
supuesto, empleados disconformes o desleales pueden representar una amenaza a la seguridad
tanto desde adentro como afuera de la red corporativa. Políticas de seguridad bien implementadas
pueden minimizar el riesgo representado por estos casos.
10
Módulo 14: Seguridad de red
Muchos de los ataques exitosos son posibles por vulnerabilidades en una pequeña cantidad de
servicios comunes del sistema operativo. Los atacantes obtienen ventaja de sistemas no
asegurados y usualmente toman la ruta más fácil y conveniente y explotan los defectos mejor
conocidos con las más eficaces y ampliamente disponibles vulnerabilidades. Muchos de los virus y
gusanos fáciles y destructivos que se conocen pueden rastrearse directamente a la explotación de
vulnerabilidades no resueltas. Hace tres años, el Instituto SANS y el Centro de Protección a la
Infraestructura Nacional (NIPC) y el FBI lanzaron un documento resumiendo las Diez
Vulnerabilidades de la Seguridad de Internet Más Críticas en Linux y UNIX. Aunque hay miles de
incidentes de seguridad por año que afectan a estos sistemas operativos, la gran mayoría de
ataques exitosos tienen como blanco uno o más de los siguientes servicios vulnerables:
Para ver una explicación abarcativa de las vulnerabilidades específicas de cada uno de los
elementos de la lista de más arriba, visite el sitio web del Instituto SANS en el siguiente vínculo.
Las primeras formas de NOSs usaban una variedad de protocolos de red, algunos propietarios y
otros no. El explosivo crecimiento de Internet, que comenzó a finales de los '80, estimuló la
demanda de software y servicios con capacidad TCP/IP. Para llevar Internet a los escritorios de los
usuarios, los administradores de red tuvieron que implementar TCP/IP. TCP/IP resultó ser capaz
en el área del networking corporativo. Los administradores de red comenzaron a dejar de usar
otros protocolos, como AppleTalk e IPX/SPX. A fines de los '90, todos los desarrolladores de NOSs
más importantes, incluyendo Apple y Novell, construían su software en torno a TCP/IP y los
servicios de Internet.
Se ha vuelto cada vez más poco común para una organización implementar un NOS sin también
tener una conexión a Internet. Recuerde, una conexión puede actuar como una puerta abierta. Las
reglas de Internet son abiertas, bien conocidas y llenas de debilidades. Si los servicios TCP/IP se
ejecutan en un NOS conectado a Internet, hay riesgos potenciales.
El robo de datos tiene lugar cuando una parte o programa de software no autorizados obtiene
ilegalmente información privada que se almacena o transmite por una red. El robo de datos puede
ocurrir de muchas formas, incluyendo el sniffing de paquetes y la ruptura de sistemas. En general,
los ladrones de datos roban información que puede usarse para generar un beneficio monetario,
como información sobre tarjetas de crédito, información sobre cuentas financieras, e incluso
secretos corporativos. No obstante, alguien que irrumpe ilegalmente en un servidor de correo para
11
Módulo 14: Seguridad de red
leer el correo de los empleados también está robando información. Recientemente, un caso de alto
perfil del robo de un registro de chat de mensajería instantánea sensible resultó en serias
consecuencias financieras.
La destrucción de datos tiene lugar cuando una persona o programa de software no autorizados
irrumpe en un sistema y borra datos. El borrado de datos también puede involucrar su reemplazo
por datos erróneos. En algunos casos, la entidad no autorizada puede ser software malicioso que
está instalado en un sistema. El software malicioso puede ser instalado como resultado de un
ataque directo, un adjunto de un e-mail, un virus o un gusano.
Un ataque de denegación de servicio (DoS) está diseñado para degradar el desempeño del
servidor o sacarlo de la red completamente. El objetivo de tal ataque es evitar que otros hosts usen
el servidor o, denegación del servicio. Un servidor caído o inaccesible puede costar miles de
dólares por hora a una compañía.
Varias fuentes externas pueden ser la causa de estos ataques, que se enumeran en la Figura .
Hackers
Las definiciones del término "hacker" son controvertidas. Los medios mainstream y el público en
general usan hacker como término negativo que describe a cualquier persona que lleva a cabo
irrumpciones en computadoras y altera los datos de las mismas. No obstante, dentro de la mal
llamada comunidad hacker, existe una distinción entre aquéllos que irrumpen y aquéllos que
irrumpen con intenciones de infligir daños. Para algunos, el término hacker se refiere a alguien
experto en sistemas informáticos. De acuerdo a esta definición, un hacker puede irrumpir en un
sistema para explorarlo y expandir su conocimiento. El verdadero hacker desea diseccionar
sistemas y programas para ver cómo funcionan. Esto contrasta con aquéllos llamados "crackers".
Crackers
Aquéllos que irrumpen en sistemas informáticos para alterar, robar o destruir datos se denominan
crackers. La comunidad hacker se refiere a los crackers como "black hats" [sombreros negros], por
el villano arquetípico de un melodrama o un western de televisión de EE.UU. A los hackers
benignos a veces se los llama "white hats" [sombreros blancos].
Virus
Un virus es un trozo de código de programación usualmente disfrazado de otra cosa. Ocasiona
algún evento inesperado y usualmente indeseable. Un virus está diseñado a menudo para que se
esparza automáticamente a otros usuarios de computadora. Los virus pueden transmitirse como
adjuntos a notas de e-mail, como descargas, o estar presentes en un diskette o CD. El origen que
acabó de recibir la nota de e-mail, archivo descargado o diskette a menudo no es consciente de la
existencia del virus. Los efectos de algunos virus se experimentan tan pronto como sus códigos
son ejecutados. Otros virus permanecen dormidos hasta que las circunstancias hacen que sus
códigos sean ejecutados por la computadora. Algunos virus tienen intención y efecto juguetón y
otros pueden ser muy dañinos, borrando datos u ocasionando el fallo completo del sistema.
Gusanos
Un gusano es un virus auto-replicante que no altera los archivos pero reside en la memoria activa y
se duplica a sí mismo. Los gusanos usan partes de un sistema operativo que son automáticas y
usualmente invisibles para el usuario. Es común que los gusanos se noten sólo cuando su réplica
descontrolada consume recursos del sistema, ralentizando o deteniendo otras tareas.
Programas Troyanos
Un troyano es un programa que se presenta como otro programa para obtener información. Por
ejemplo, hay un troyano que emula la pantalla de inicio de sesión del sistema. Cuando los usuarios
tipean su nombre de cuenta y contraseña, la información se almacena o transmite a quien originó
12
Módulo 14: Seguridad de red
el troyano. Luego, el nombre de usuario y contraseña pueden usarse para obtener acceso al
sistema.
Un ataque DoS ocurre cuando el sistema blanco no puede servir solicitudes legítimas de la red
eficazmente. Como resultado, el sistema se ha vuelto sobrecargado por mensajes ilegítimos. Los
ataques DoS vienen en muchas formas. Los ataques DoS comunes intentan aprovechar las
debilidades de TCP/IP, o debilidades del código del software del NOS.
Los ataques DoS se originan en un host o grupo de hosts. Cuando el ataque viene de un grupo
coordenado de hosts, esos ataques se denominan DoS Distribuida (DDoS).
Un ataque DoS común es sobrecargar un sistema blanco enviando más datos que los que puede
manejar. Por ejemplo, un atacante envía un gran volumen de paquetes a un blanco. El mero
volumen del tráfico resultante puede agobiar al software blanco, haciendo que el software se caiga.
Además, un volumen lo suficientemente grande de tráfico DoS puede llenar un vínculo a Internet
13
Módulo 14: Seguridad de red
Un ataque de desbordamiento del buffer está diseñado para agobiar al software que se corre en el
sistema blanco. Las aplicaciones de software se escriben de manera tal que pueden contener
datos entrantes y salientes en un buffer de memoria. En algunos casos, puede ser posible enviar
más datos que los que un buffer puede contener. También puede ser posible enviar datos
formateados de tal manera que el programa o su buffer se confundan. Si el código del software no
está escrito para manejar un desbordamiento del buffer apropiadamente, el programa puede
caerse.
El mal llamado ping de la muerte es un bien conocido ataque DoS por desbordamiento del buffer.
Para ejecutar un ataque del ping de la muerte, el atacante envía solicitudes de eco del Internet
Control Message Protocol (ICMP) ilegalmente grandes al blanco. El software TCP/IP antiguo no
podía manejar apropiadamente tales pings y por lo tanto se caía. Los desbordamientos del buffer
por lo común aprovechan debilidades específicas del software NOS.
El ataque de sincronización TCP (SYN) explota el handshake de tres vías del protocolo TCP. Esto
se ilustra en la Figura . El atacante envía un gran volumen de solicitudes de sincronización TCP
(solicitudes SYN). Estas solicitudes representan la primera parte del handshake de tres vías. El
sistema blanco responde con la segunda parte del handshake y luego espera una respuesta. La
respuesta es la parte tercera y final del handshake. El blanco no esperará por siempre. El blanco
debe esperar lo suficiente como para permitir que se establezcan sesiones legítimas. El sistema
atacante no responde, en cambio envía solicitudes SYN adicionales tan rápidamente como es
posible. El volumen resultante de conexiones a medio abrir puede ser demasiado para que el
blanco las maneje, haciendo que su software se caiga. Incluso si el blanco no se cae, puede estar
tan ocupado con las conexiones a medio abrir que no puede servir eficazmente solicitudes SYN
legítimas.
En 1997 se descubrió una variante del ataque SYN TCP, llamada land. El ataque land usa un
programa que altera el encabezado IP de la solicitud SYN. Esta alteración hace que la solicitud
SYN parezca provenir del blanco mismo. Alterar el encabezado IP para ocultar la fuente es
spoofing o falsificación. El blanco recibe el paquete falso e intenta responderse a sí mismo,
solamente para caerse o colgarse casi inmediatamente. Cuando se lo descubrió por primera vez,
varios sistemas con TCP/IP habilitado estaban afectados, incluyendo Windows 95/NT, BSD UNIX,
y Solaris.
Los dispositivos de red pueden configurarse para bloquear ataques SYN TCP provenientes de una
única fuente. Una defensa contra los ataques SYN TCP incluye incrementar la cantidad de
conexiones a medio abrir permitidas por el software. Otra defensa contra ataques SYN TCP puede
ser disminuir la cantidad de tiempo que el software espera una respuesta. Hoy, los ataques SYN
TCP, incluyendo a land, son bien conocidos y en su mayor parte evitables.
Como el de land, el ataque Smurf se basa en hacer spoofing del encabezado del paquete IP. Smurf
también se basa en ICMP o ping. Muchas organizaciones usan tecnología firewall para bloquear
solicitudes ping provenientes de redes externas. No obstante, las respuestas ping usualmente se
14
Módulo 14: Seguridad de red
permiten dentro de una red para que los hosts internos puedan usar ping para probar la
conectividad externa. Si una organización permite la entrada de respuestas de ping a su red, puede
ser vulnerable a Smurf.
En un ataque Smurf, el atacante envía un gran volumen de solicitudes ping a una red blanco. Ésta
puede, o no, ser la misma red en la que reside el host blanco. El atacante hace spoofing de los
encabezados IP de estas solicitudes ping para que parezcan haberse originado en el blanco. Una
vez que los hosts de la red blanco recibieron la solicitud de ping, dirigen todas sus respuestas al
host blanco. En consecuencia, el host blanco y/o sus conexiones a la red pueden ser
sobrecargadas, denegando eficazmente el servicio.
Los ejemplos enumerados aquí son todas vulnerabilidades bien conocidas. El software de los OS
se escribe ahora teniendo en cuenta estos ataques. Por ejemplo, la mayoría de los sistemas son
ahora inmunes a land y Teardrop.
15
Módulo 14: Seguridad de red
La mayoría de los ataques DoS funcionan sobrecargando un blanco con paquetes. Los
desarrolladores de hardware y software han creado formas de identificar patrones de tráfico
sospechosos que provienen de una dirección de host individual. Una vez identificado el tráfico
sospechoso, un filtro o firewall puede bloquear el tráfico proveniente de esa dirección.
A fines de los '90, los ataques DoS sufrieron una evolución perturbadora. Los hackers desarrollaron
formas de coordinar varios hosts en un intento por denegar el servicio. Los ataques de Denegación
del Servicio Distribuida (DDoS) pueden ser muy difíciles de detener porque pueden originarse en
cientos o incluso miles de hosts coordinados. ¿Cómo puede un blanco diferenciar entre solicitudes
legítimas e ilegítimas? En algunos casos, la única diferencia entre paquetes legítimos y paquetes
falsos es su intención. Determinar la intención de un paquete puede ser extremadamente difícil, si
no imposible.
El ataque DDoS clásico comienza con semanas o incluso meses de hacking. El ataque DDoS
Tribal Flood Network se ilustra en la Figura . Antes de que el hacker pueda atacar al blanco
definitivo, una "flota" de sistemas deben coordinarse para el ataque. Una flota está compuesta por
hosts "zombies". Un zombie es en general un host inseguro con una conexión permanente de alta
velocidad a Internet. El hacker aprovecha la falta de seguridad del zombie. El hacker irrumpe en el
sistema directamente o mediante un virus de e-mail. El objetivo de la irrupción o virus es instalar
16
Módulo 14: Seguridad de red
software en el sistema zombie. El software instalado proporciona un control parcial de ese sistema
al hacker. El siguiente paso para el hacker es obtener un control parcial de una gran cantidad de
zombies. El hacker usa los zombies para lanzar un ataque DDoS sobre el blanco definitivo. Una
reciente tendencia en ataques DDoS es el uso de tecnología Internet Relay Chat (IRC) para
controlar zombies y lanzar ataques.
Construir una flota de sistemas zombie ha resultado ser demasiado fácil para algunos atacantes
DDoS. La proliferación de servicio de Internet de banda ancha ha estimulado los ataques DDoS.
Millones de usuarios hogareños tienen ahora conexiones permanentes de alta velocidad a Internet.
Los usuarios hogareños son notablemente susceptibles a virus de e-mail. Abriendo un adjunto de
e-mail, el usuario puede involuntariamente convertir su PC hogareña en un zombie. Las
computadoras de la universidad y otras redes escolares también son probables candidatos a
convertirse en zombies. Las redes de los campus son notablemente grandes y difíciles de
administrar. Muchas redes escolares sufren de políticas de seguridad laxas, acceso inalámbrico
inseguro, y acceso sin regulación de los alumnos.
17
Módulo 14: Seguridad de red
específico del sistema, incluyendo el mismo NOS. Cada combinación de NOS y software de
aplicación contiene su conjunto único de vulnerabilidades y debilidades.
Muchos expertos en seguridad de redes están de acuerdo en que una de las amenazas más
significativas a la seguridad de la red proviene de individuos con herramientas sofisticadas. No
obstante, estos individuos poseen capacidades técnicas relativamente débiles. Estos individuos se
denominan a menudo "script kiddies". Script kiddy es un término negativo usado para describir a
individuos inmaduros que usan scripts, programas de software o técnicas creadas por otros
crackers más habilidosos. Los script kiddies pueden ser incluso más peligrosos que sus
contrapartes más refinadas. Los script kiddies probablemente no comprendan las consecuencias
de lo que están haciendo. Por lo tanto, un script kiddy puede atacar al azar docenas de sistemas
para divertirse.
Los script kiddies y crackers novicios recurren a sitios web para hackers y chat rooms para buscar
herramientas que puedan usarse para atacar blancos. Estas herramientas pueden ser simples
programas de software o incluso sólo un procedimiento que pueda usarse contra un blanco. Un
ataque específico se define a menudo como una explotación. Una explotación aprovecha las
debilidades del sistema.
Existen muchas explotaciones conocidas que se basan en los siguientes programas. Están
enumerados en la Figura .
18
Módulo 14: Seguridad de red
19
Módulo 14: Seguridad de red
Las amenazas a la seguridad que se originan en el interior de una red pueden ser más dañinas que
las amenazas externas. Las amenazas internas son especialmente peligrosas y pueden a menudo
ser pasadas por alto por los administradores de red. Las computadoras que residen en la red
interna en general tienen un alto grado de acceso a los recursos internos. Además, los empleados
y usuarios en los que se confía es probable que tengan información crítica acerca de la red,
incluyendo contraseñas.
Las amenazas internas de alto perfil incluyen empleados desleales y disconformes que usan su
acceso interno para destruir, robar o alterar datos. No es posible protegerse completamente contra
estos tipos de ataques. No obstante, políticas de seguridad bien definidas pueden minimizar los
riesgos de este tipo de amenaza. Por ejemplo, las organizaciones deberán evitar usar sólo unas
pocas contraseñas para proteger todos los recursos informáticos. Las grandes compañías deberán
establecer procedimientos claros para quitar cuentas y contraseñas de usuario en el caso de que
un empleado deje la compañía.
La amenaza interna más dañina es el típico usuario final de una red. Usuarios finales inconscientes
pueden hacer caer una red abriendo sin cuidado adjuntos de e-mail, instalando software no
20
Módulo 14: Seguridad de red
autorizado, montando discos desde su casa, o incluso navegando por la web. La causa típica de
ataques internos es un usuario final que abre un adjunto de e-mail solamente para copiar un virus a
la computadora. Muchos virus prosperan en la red corporativa. Los virus de e-mail normalmente se
envían a sí mismos a cuentas listadas en libretas de direcciones de e-mail. Muchas corporaciones
mantienen listas de e-mails del personal cargadas en cada computadora, donde un virus puede
expandirse rápidamente a todos los miembros de una compañía. Los virus también pueden buscar
e infectar archivos y carpetas compartidos, que son comunes en redes corporativas.
21
Módulo 14: Seguridad de red
Proteger los datos de la red a menudo requiere que se aplique una combinación de métodos de
seguridad. Esta sección examina cómo los datos sensibles pueden cifrarse, en archivos en el disco
o en paquetes que viajan a través de la red.
Las tecnologías disponibles para asegurar mensajes de e-mail son el foco de esta sección, puesto
que el e-mail es una de las aplicaciones de red más ampliamente usadas. Es también la forma de
comunicación por red que es más probable que contenga información confidencial. Esta sección
detalla cómo se implementan las medidas de seguridad y cómo estas medidas funcionan
realmente.
3DES
El cifrado es la transformación de datos en una forma que sea imposible de leer sin el conocimiento
o clave apropiada. 3DES es un criptosistema que puede cifrar y descifrar datos usando una única
clave secreta. DES (Estándar de Cifrado de Datos) fue originalmente desarrollado por IBM a
principios de los '70, aunque IBM lo llamó Lucifer. DES fue adoptado como estándar federal en
1976. No obstante, DES se hizo vulnerable a medida que las computadoras se hicieron más
potentes y simples. DES ya no es seguro y desde entonces se ha vuelto fácil de crackear. Por lo
tanto, NIST definió 3DES o Triple DES en 1999. 3DES usa tres etapas de DES por lo cual es
mucho más seguro y es suficiente para la mayoría de las aplicaciones actualmente.
DES es un cifrado de bloque, lo cual significa que actúa sobre un bloque de longitud fija de texto
llano y lo convierte en un bloque de texto cifrado del mismo tamaño usando la clave secreta. En
DES, el tamaño del bloque para el texto llano es de 64 bits. La longitud de la clave es también de
64 bits pero 8 bits se usan para paridad. De ahí que la longitud de clave eficaz es sólo de 56 bits.
En 3DES, se aplican 3 etapas de DES con una clave separada para cada etapa. Por lo tanto, la
longitud de la clave en 3DES es de 168 bits. El descifrado se hace aplicando la transformación
inversa al bloque de texto cifrado usando la misma clave. DES es conocido como cifrado de clave
simétrica porque la misma clave se usa tanto en el cifrado como en el descifrado. 3DES tiene
muchas ventajas y desventajas que se enumeran a continuación.
• Ventajas:
• Es fácil de implementar tanto en hardware como en software en comparación con
otros algoritmos.
• Está basado en DES que es un cifrado muy confiable. DES ha sido estudiado
exhaustivamente durante más de 25 años y ha probado tener una base segura
aunque la longitud de la clave es demasiado pequeña ahora.
• Es mucho más rápido que los métodos de criptografía de clave pública, como el
método RSA. Ésta es una de las principales ventajas de usar un sistema como
3DES.
• Desventajas:
• Algoritmos más modernos son mucho más rápidos que 3DES ya que fueron
construidos mucho después y con desempeño como objetivo.
• La transmisión de la clave secreta entre usuarios es insegura. Es en esto donde
sobresale la criptografía de clave pública.
• El nuevo estándar AES ha sido especificado, por lo cual la mayoría de los sistemas
probablemente se pasarán a él pronto.
22
Módulo 14: Seguridad de red
El AES ahora formalmente reemplaza al 3DES como estándar de cifrado. 3DES es un algoritmo de
cifrado muy bien estudiado basado en DES. Puede otorgar un nivel aceptable de seguridad dada la
potencia de computación actual. No obstante, otros algoritmos potentes se han desarrollado, que
ofrecen muchas funciones que 3DES no ofrece. Por lo tanto, ha sido reemplazado por AES como
estándar de cifrado aunque probablemente aún estará en uso durante un tiempo futuro.
Autenticación
La autenticación proporciona varios métodos para identificar usuarios incluyendo los siguientes:
Existen varios tipos diferentes de métodos de autenticación en un servidor Linux. Por ejemplo,
cuando el servidor detecta una conexión Telnet entrante, el servidor autentica el nombre de usuario
y contraseña o cuando el servidor detecta una conexión PPP entrante, el servidor autentica el
nombre de usuario y la contraseña. Un nombre de usuario y contraseña que autentican
exitosamente para un tipo de acceso pueden no funcionar para otro. Un usuario puede ser capaz
de establecer una conexión PPP pero puede no estar autorizado para una conexión telnet o
viceversa. Un servidor Linux puede utilizarse para autenticar varios tipos de conexiones, incluyendo
autenticación CHAP y PAP para conexiones PPP. Tratar completamente el campo completo de las
capacidades de autenticación estaría más allá del alcance de este curso. Los siguientes párrafos
tratarán el uso de la autenticación CHAP y PAP para una conexión PPP.
Mantener seguro su vínculo PPP es muy importante. Permitir que cualquiera se conecte al servidor
PPP es tan malo como dejar que cualquiera pusiera una máquina directamente en su red. PPP
proporciona una conexión IP directa, eficazmente poniendo a las máquinas de ambos extremos del
enlace en la misma red.
Dos protocolos de autenticación han sido desarrollados para hacer a PPP más seguro - el
Protocolo de Autenticación de Contraseña (PAP) y el Challenge Handshake Authentication Protocol
(CHAP). Cuando se está estableciendo una conexión PPP, cada máquina puede solicitar a la otra
que se autentique. Esto permite un control completo de quién puede usar su servicio PPP. CHAP
es el protocolo más seguro y es el que se trata aquí.
CHAP usa un conjunto de claves secretas, que son cadenas de texto que son mantenidas en
secreto por los propietarios de las máquinas que usan CHAP y un sistema de desafío cifrado para
autenticarse entre sí. Una característica útil de CHAP es que periódicamente emite solicitudes de
desafío mientras el enlace PPP está activo. Esto, por ejemplo, puede detectar intrusos que han
reemplazado al usuario legítimo cambiando las líneas telefónicas.
Las claves secretas para CHAP se almacenan en el archivo /etc/ppp/chap-secrets. Para usar la
autenticación en su enlace PPP, se agrega la opción auth a la llamada a pppd y se agrega la
información apropiada para el host que está siendo autenticado en el archivo chap-secrets.
Auditoría
Auditoría en lo que se refiere al mundo de las computadoras y el networking es software que corre
en un servidor y genera un informe mostrando quién ha accedido al servidor y qué operaciones han
llevado a cabo los usuarios durante un periodo determinado. Los rastreos de auditoría son útiles
tanto para mantener la seguridad como para recuperar datos perdidos. La mayoría de los sistemas
de cuentas y base de datos incluyen un componente de rastreo de auditoría. Además, hay
productos de software de rastreo de auditoría separados que permiten a los administradores de red
monitorear el uso de los recursos de red.
23
Módulo 14: Seguridad de red
LSAT puede descargarse gratis e instalarse de manera bastante fácil. Los siguientes pasos
describen cómo instalar y configurar LSAT.
cd lsat-[versión]
./configure
Make
24
Módulo 14: Seguridad de red
Snort
Snort es un IDS de red en tiempo real basado en software que puede usarse para notificar a un
administrador de un intento de intrusión. En el pasado, los dispositivos IDS eran productos
comerciales de uso dedicado, o no en tiempo real y difíciles de instalar. Snort es un IDS alternativo
de gran utilidad para monitorear pequeñas redes TCP/IP donde no es eficaz en materia de costos
implementar un dispositivo comercial dedicado.
El servidor IDS puede ubicarse fuera del firewall de una organización entre el firewall y la red
externa, o no confiable. Esto permite que snort detecte no sólo los ataques que pueden atravesar
el firewall, sino también aquéllos bloqueados por el firewall. La presencia de switches, routers y
firewalls tendrán todos un efecto en la ubicación correcta del servidor. Debe tomarse una decisión
en cuanto a qué segmento de la red capturará el tráfico que realmente se desea monitorear. La
ubicación del IDS del lado local del firewall permitirá al IDS monitorear el tráfico que el firewall ya
ha determinado como permisible, pero no necesariamente inofensivo. Esto, por supuesto, no
capturará el tráfico que el firewall ya ha bloqueado, potencialmente escaneos de puerto falsos,
sondeos y otros tipos de ataque.
Snort puede instalarse en un servidor con una interfaz de red única o dual. En una instalación de
interfaz única la interfaz que escucha el tráfico de red es la misma desde la cual se lleva a cabo la
administración, como muestra la Figura . Ésta es una configuración ideal para usuarios de redes
hogareñas y administradores que monitorean redes internas. En una configuración de interfaz dual,
una interfaz se usa para escuchar el tráfico de red mientras que la otra se usa para administración
remota, como lo muestra la Figura . Este tipo de configuración se usa en entornos donde no es
posible administrar la casilla desde la misma interfaz que está escuchando el tráfico de red. En
esta configuración, la interfaz externa deberá estar bien protegida y la casilla diseñada
explícitamente con este propósito. La casilla no deberá ofrecer ningún servicio de red excepto ssh
en la interfaz interna solamente.
Para instalar Snort, descargue los paquetes RPM de un vínculo web ubicado más abajo. Una vez
instalado snort, descargue el último archivo de reglas. Los archivos de reglas pueden descargarse
desde la página web de Snort localizada en el vínculo web más abajo. Antes de que snort pueda
iniciarse, deben definirse algunas variables. También incluido en el RPM de snort hay un archivo
llamado rules.base, que es un archivo corto que contiene unas pocas variables que definen las
redes internas y externas, hosts de los que snort deberá ignorar escaneos de puerto, y qué redes
snort deberá observar en busca de escaneos de puerto. En el archivo rules.base , será necesario
introducir la información para las redes INTERNA y EXTERNA y los servidores DNS desde los
cuales disparar la detección de escaneos de puerto.
PortSentry
PortSentry es un detector de escaneos de puerto que puede configurarse para vincular a puertos
que desea monitorear. El método más fácil para instalar PortSentry es descargar e instalar el RPM
25
Módulo 14: Seguridad de red
del Vínculo de Seguridad Linux ubicado más abajo. La configuración de PortSentry consiste en
editar el archivo portsentry.conf en el cual se introducen los números de puerto que desea que
monitoree PortSentry.
En una máquina no Linux PortSentry no verá escaneos de puerto dirigidos a puertos con servicios
ya en funcionamiento. La razón para ello es que cuando un servicio ya está vinculado a ese puerto,
PortSentry no puede vincularse también a él. Esto significa que si un atacante escanea un sitio
específico en lugar de un escaneo de amplio espectro, PortSentry no sabrá nada sobre ello. Esta
clase de escaneo es más común y usualmente más peligrosa. Un atacante podría tener los sitios
raíz Bind y Wu-ftpd, y tener un script sólo a estos 2 puertos a lo largo de una subred e intentar
explotarlos. En cualquier máquina que ejecuta versiones vulnerables de uno o dos de estos
servicios se estará dejándolos desprotegidos y PortSentry continuará diciendo que todo está bien.
PortSentry sería adecuado para el usuario hogareño pero no se lo recomienda como IDS para una
gran red corporativa. Hay varias razones para ello incluyendo el hecho de que PortSentry publica
puertos comúnmente explotados que no están ahí, alentando así a los hackers a intentar
hackearlo, el bloquear IPs dinámicamente, y su pobre desempeño contra ataques furtivos.
26
Módulo 14: Seguridad de red
27
Módulo 14: Seguridad de red
28
Módulo 14: Seguridad de red
14.3.3 Seguridad IP
IPSec puede operar en modo de transporte o en modo túnel como lo muestra la Figura . No
obstante, los encabezados de los paquetes diferirán. El modo de transporte proporciona una
seguridad de extremo a extremo. Esto significa que el cifrado está en su lugar desde la
computadora de origen a la computadora de destino. El modo túnel protege los datos desde el
punto de salida de una red al punto de entrada de otra.
29
Módulo 14: Seguridad de red
Secure Sockets Layer (SSL) es otra forma de asegurar las comunicaciones en la red. La
desventaja de SSL es que puesto que opera en la capa de aplicación, debe ser soportada por la
aplicación del usuario. La Figura explica cómo funciona SSL.
SSL fue desarrollado por Netscape para proporcionar seguridad para su navegador web. Usa
cifrado de clave pública y privada. El cifrado de clave pública y privada se trata en una sección
posterior.
30
Módulo 14: Seguridad de red
Los mensajes d e-mail son muy fáciles de interceptar como lo muestra la Figura . A menudo
viajan a través de docenas de nodos o servidores en su ruta de emisor a destinatario. Cuando un
mensaje se envía a alguien dentro de la red local, una copia del mensaje se almacena en al menos
tres máquinas. Estas máquinas incluyen la computadora del emisor, la computadora del
destinatario, y el servidor de correo interno. El e-mail enviado por Internet puede atravesar varios
servidores también. A menos que esté cifrado o firmado digitalmente, el mensaje puede ser
fácilmente leído, copiado o alterado en cualquier punto del camino.
31
Módulo 14: Seguridad de red
32
Módulo 14: Seguridad de red
33
Módulo 14: Seguridad de red
Aunque a menudo se lo denomina cifrado de clave pública, el término más preciso es cifrado de
clave pública/privada. Esto se debe a que este tipo de cifrado usa dos claves. Una clave es
publicada y es ampliamente disponible. La otra clave es privada y conocida sólo por el usuario.
Ambas claves se requieren para completar la comunicación segura. Este tipo de cifrado, como lo
ilustra la Figura , también se denomina cifrado asimétrico.
En este tipo de cifrado, cada usuario tiene tanto una clave pública como una privada, llamadas par
de claves. El siguiente ejemplo trata el uso del cifrado público/privado.
Carol y Ted intercambian sus claves públicas. No importa que sea de manera insegura, porque los
mensajes no pueden descifrarse con sólo la clave pública.
Carol desea enviar un mensaje a Ted, por lo tanto cifra el mensaje usando la clave pública de Ted.
Una clave pública está asociada sólo con una única clave privada. Para descifrar un mensaje que
se cifró usando una clave pública, se requiere la clave privada asociada a ella. Lo inverso también
se aplica. Para descifrar un mensaje que se cifró usando una clave privada, se requiere la clave
pública asociada a ella.
34
Módulo 14: Seguridad de red
Ted, usando su clave privada, puede descifrar el mensaje ya que fue cifrado usando su clave
pública. Note que solamente las claves de Ted, pública y privada, se usaron en este proceso de
cifrado.
Si Carol hubiera cifrado el mensaje usando su clave privada, cualquiera podría descifrar el mensaje
usando su clave pública, que está disponible para todo el mundo.
Ambas claves del mismo par de claves deben usarse para que este cifrado funcione, y no hay
necesidad de que nadie sepa la clave privada de nadie. Una buena forma de comprender este tipo
de cifrado es pensar en las dos piezas de información requeridas para entrar a una casa protegida
por una cerradura de combinación digital. Si alguien desea entrar a la casa, deben conocerse tanto
la dirección de la calle como la secuencia de números para introducirlas en el dispositivo de
cerradura. La dirección es información pública que se publica en la guía telefónica. Está disponible
para cualquiera, así como la clave de cifrado pública del usuario está disponible para cualquiera.
La combinación de la cerradura es análoga a la clave privada del usuario. Solamente el dueño de
casa la conoce. Ambas claves son únicas para esa casa en particular, pero una es conocida
públicamente mientras que la otra se mantiene en secreto.
35
Módulo 14: Seguridad de red
Verifique con el sitio web del fabricante para buscar los últimos patches de seguridad y otras
actualizaciones. Haga esta verificación como parte de un mantenimiento de rutina. Los patches son
arreglos para código de software existente. Un fabricante de NOS en general proporciona patches
de seguridad. Estos patches están disponibles una vez que las vulnerabilidades o incluso
vulnerabilidades potenciales se descubren y arreglan. Dependiendo del desarrollador del software,
los patches pueden llamarse "actualizaciones". El término actualización es un término vago que
puede usarse para describir un arreglo de seguridad, o una actualización completa de una
aplicación.
Microsoft ahora incluye la opción de usar software llamado Windows Update con sus sistemas
operativos. Esto también incluye a Windows 2000 Server como lo muestra la Figura . Windows
Update verifica periódicamente patches de software y actualizaciones contactándose con Microsoft
a través de Internet. Cuando se encuentran actualizaciones de software disponibles, Windows
Update puede alertar al usuario. Windows Update también puede configurarse para descargar e
instalar automáticamente el nuevo software. La instalación automática tiene sentido para la
mayoría de los usuarios hogareños. No obstante, los administradores de sistemas por lo común
prefieren llevar a cabo todas las instalaciones manualmente.
Los fabricantes de NOS pueden ofrecer actualizaciones parciales o completas del sistema
operativo. A diferencia de los patches de seguridad, las actualizaciones pueden cambiar
significativamente la forma en que un OS maneja una tarea en particular. Por ejemplo, una
actualización puede incluir un navegador web enteramente nuevo.
36
Módulo 14: Seguridad de red
Como regla, el nuevo software deberá cargarse en un servidor de prueba y verificar si no hay
37
Módulo 14: Seguridad de red
Periódicamente, los fabricantes de NOS emiten actualizaciones de sus sistemas operativos de red.
Los sitios web que proporcionan información acerca de actualizaciones y patches se enumeran en
la Figura . Estas actualizaciones usualmente arreglan bugs o cierran agujeros en la seguridad
que han sido encontrados en la versión lanzada del OS. Descarga las actualizaciones desde el sitio
web del fabricante del sistema operativo de red. Para instalar la actualización, siga las
instrucciones del fabricante del sistema operativo de red. Antes de instalar la actualización,
asegúrese de haber realizado una copia de respaldo completa. Esto es vital incluso si la
actualización ha sido probada en otro sistema. Tenga en cuenta que algunas aplicaciones de red
tales como, Microsoft Exchange Server o un servidor de e-mail, requieren la instalación de un nivel
específico de service pack. Identifique el nivel de service pack antes de instalar la aplicación de
38
Módulo 14: Seguridad de red
red. Tal actualización se requiere para que la aplicación de red opere correctamente.
39
Módulo 14: Seguridad de red
14.5 Firewalls
El término firewall se usa libremente para referirse a varios enfoques diferentes para proteger
redes, como se describe en las siguientes secciones.
Filtros de Paquetes
En general, un firewall de Internet es un host que se ejecuta en software de filtrado de paquetes IP.
La mayoría de las LANs ejecutan filtros de paquetes IP en un router o host especializado. Un host
especializado que también lleve a cabo enrutamiento. Los usuarios hogareños pueden ejecutar
filtrado de paquetes IP en un sistema final, como una PC Windows.
Un host configurado con un filtro de paquetes IP verifica los paquetes que entran o salen de una
interfaz o interfaces especificadas. Basándose en las reglas definidas, el host puede descartar un
paquete o aceptarlo. Este enfoque también se refiere al envío basado en reglas. Usando este
enfoque, los administradores pueden configurar los routers para que descarten paquetes no
deseados o potencialmente dañinos. Los administradores configuran los routers antes de que los
paquetes lleguen a la LAN segura.
Servicios Proxy
En networking, un proxy es software que interactúa con redes externas para beneficio de un host
cliente. La Figura ilustra el servidor proxy que responde a estaciones de trabajo. La Figura
ilustra un servidor proxy con servidores web internos. Por lo común, los hosts cliente de una LAN
segura solicitan una página web de un servidor que ejecuta servicios proxy. El servidor proxy
después sale a Internet para conseguir la página web. La página web se copia entonces al servidor
proxy. Este proceso se denomina caching. Finalmente, el servidor proxy transmite la página web al
cliente. Usando los servicios de un proxy, el cliente nunca interactúa directamente con hosts
externos. Esto protege a los clientes de amenazas potenciales provenientes de Internet. Los
administradores pueden configurar servidores proxy para rechazar ciertas solicitudes del cliente o
respuestas externas de Internet. Por ejemplo, las escuelas pueden usar servidores proxy para
controlar a qué sitios web puede accederse. Puesto que todas las solicitudes web van dirigidas al
40
Módulo 14: Seguridad de red
proxy, los administradores tienen un estrecho control sobre qué solicitudes se cumplen. Microsoft
tiene un servicio de proxy abarcativo para su NOS, llamado Microsoft Proxy Server 2.0.
Los servidores proxy trabajan para aislar las LANs y proteger los hosts de amenazas externas. La
capacidad de servidor proxy para guardar páginas web en su caché es importante. El beneficio es
el uso de un servicio proxy para HTTP. Varios clientes pueden acceder al contenido HTTP con un
tiempo de respuesta significativamente mejorado. Responsable de esto es el almacenar en la
caché el contenido HTTP al que se accede frecuentemente.
NAT a menudo se implementa en conjunción con servicios proxy y/o filtros de paquetes IP.
También se está convirtiendo en una tecnología importante en hogares y pequeñas oficinas. Esto
se debe a que NAT permite que cientos de computadoras "tomen prestada" una única dirección IP
pública y globalmente enrutable. Este proceso se denomina a veces NAT "de muchos a uno",
sobrecarga de direcciones, o traducción de direcciones de puerto (PAT). Sistemas operativos de
escritorio populares incluyen servicios NAT incorporados tales como, Microsoft Windows Internet
Connection Sharing. Los servicios NAT también se incluyen en los NOSs. Linux usa el programa
ipchains para llevar a cabo NAT. Otros programas NAT son ip masquerade y natd.
Algunos expertos hacen una distinción entre NAT y un firewall. Otros consideran a NAT como parte
de una solución de firewall abarcativa. Independientemente de ello, una NAT puede tener el efecto
de proteger la red de un ataque. Esto se debe a que los extraños pueden no ser capaces de enviar
paquetes directamente a blancos internos, o usar técnicas de escaneo para mapear la red interna.
41
Módulo 14: Seguridad de red
42
Módulo 14: Seguridad de red
43
Módulo 14: Seguridad de red
La solución de firewall más básica es un filtro de paquetes IP. Para configurar un filtro de paquetes,
un administrador de red debe definir las reglas que describan cómo manipular los paquetes
especificados. Un ejemplo de un conjunto de reglas, o lista de acceso, se muestra en la Figura .
Posteriormente, los filtros de paquetes estuvieron diseñados para basar sus decisiones en la
información contenida en el encabezado TCP o UDP, en la capa 4. Tanto TCP como UDP usan
números de puerto para direccionar aplicaciones específicas que se ejecutan en un host. Las listas
de acceso de capa 4 pueden configurarse para permitir o denegar paquetes. Esta configuración se
basa en puertos de origen o destino así como en información de la dirección IP. Por ejemplo, una
lista de acceso de capa 4 puede configurarse para permitir tráfico destinado a una IP específica del
puerto 80. Éste es un puerto bien conocido que los servidores de web escuchan.
44
Módulo 14: Seguridad de red
El firewall también puede configurarse para examinar los bits de código TCP. Los seis bits de
código TCP se usan para establecer conexiones entre hosts usando un handshake de tres vías. Un
firewall de capa 4 puede identificar si un paquete es la primera parte de un handshake de tres vías
o parte de una conexión ya establecida. En otras palabras, el firewall puede mantener afuera el
tráfico no invitado, a la vez que permite entrar al tráfico invitado. Esta técnica solamente funciona
con TCP, porque el firewall está examinando los bits de código TCP.
Un firewall tiene que ser inteligente. El firewall debe poder mantener afuera el tráfico UDP no
invitado a la vez que permite entrar al tráfico UDP invitado. Además, puede usarse un IP sin TCP y
UDP en la capa 4. Por ejemplo, un ping ICMP no usa un encabezado de capa 4. No hay forma de
determinar si un datagrama es parte de una conexión establecida. Esto se debe a que IP y UDP
son ambos sin conexión. No hay conexión establecidas con estos protocolos. Como recordatorio,
un datagrama es un paquete IP sin encabezado TCP.
El software de firewall debe suponer qué tráfico sin conexión es invitado y qué tráfico sin conexión
no lo es. Los firewalls inteligentes lo hacen monitoreando qué tipo de tráfico sin conexión se origina
en la LAN segura. Los puertos UDP de origen y destino se anotan y almacenan en una tabla. Las
direcciones IP de origen y destino también se anotan y almacenan en un tabla. Un firewall puede
detectar tráfico sin conexión que parece ser invitado. Cuando se hace esta detección los puertos
UDP y las direcciones IP coinciden con un flujo de tráfico recientemente detectado proveniente de
un host interno. El firewall entonces deja pasar el tráfico. Este tipo de filtrado de paquetes se llama
filtrado de paquetes stateful. Se llama así porque el firewall mantiene un rastreo de estado [state]
de las conversaciones, pero sólo durante un corto periodo. Ese periodo puede a veces ser de unos
pocos segundos. Esos firewalls son dinámicos. Las reglas que se usan para determinar qué
paquetes se permiten en una red varían. Se basan en los flujos de tráfico que se originan en los
hosts internos.
La forma más abarcativa de filtrado de paquetes examina no sólo los encabezados de capa 3 y 4,
sino también los datos de aplicación de capa 7. Los firewalls de capa 7 buscan patrones en el
payload del paquete. Esto se hace en un esfuerzo por determinar qué aplicación se está usando,
como HTTP, FTP, etcétera. El filtrado de paquetes stateful de capa 7 tiene muchas ventajas. Esto
incluye la capacidad de filtrar una aplicación en particular independientemente del número de
puerto TCP o UDP utilizado. No obstante, este tipo de filtrado de paquetes solamente funciona con
software preprogramado para reconocer una aplicación determinada. Además, este tipo de filtrado
de paquetes agrega una significativa cantidad de retraso y sobrecarga al proceso de enrutamiento.
45
Módulo 14: Seguridad de red
Saber dónde implementar un firewall de Internet es tan importante como saber cómo configurar las
reglas de filtrado de paquetes.
La Figura muestra la ubicación clásica del firewall. Un router fronterizo conecta la LAN
empresarial a su ISP o Internet. La interfaz LAN del router fronterizo conduce a una red diseñada
para el acceso público. Esta red contiene servidores NOS que proporcionan la World Wide Web, e-
mail y otros servicios a la Internet pública. Esta red pública se conoce a veces como "LAN sucia" o
"LAN de sacrificio". La red pública se denomina en estos términos porque las solicitudes públicas
se permiten en la red. También se la denomina comúnmente como la Zona Desmilitarizada (DMZ).
La DMZ actúa como área de buffer. El router fronterizo deberá incluir un filtro IP que proteja contra
vulnerabilidades obvias. Por ejemplo, el protocolo de administración, SNMP, no deberá permitirse
en la red desde el exterior. Los servidores NOS de la DMZ deberán estar configurados
estrictamente. El router fronterizo deberá permitir sólo tipos específicos de tráficos a estos
servidores. En la Figura , el router fronterizo deberá permitir solamente tráfico HTTP, FTP, correo
y relacionado con DNS.
Una solución de firewall dedicada, como Cisco Private Internet eXchange (PIX), conecta la DMZ a
la LAN protegida. Este dispositivo lleva a cabo filtrado IP adicional, filtrado stateful, servicios proxy,
NAT, o una combinación de estas funciones.
46
Módulo 14: Seguridad de red
La DMZ está diseñada para mantener limpia la red interna. El ejemplo mostrado en la Figura
presenta una configuración muy simple. Variaciones complejas de los principios aquí tratados son
comunes.
47
Módulo 14: Seguridad de red
generales. El Firewall PIX es ahora operativo y listo para proteger la red. El Cisco PIX también
ofrece soporte para IPSec y VPN.
La mayoría de los routers pueden configurarse para que filtren paquetes y ejecuten NAT. El Cisco
IOS Firewall Feature Set proporciona filtrado de paquetes stateful. La Figura muestra un router
Cisco 3600 Series que tiene algunas capacidades de firewall.
Otra solución de firewall es un host UNIX. El host UNIX sirve como router, ejecutando software de
paquetes como ipfw, y/o NAT. Esta solución tiene una desventaja potencial. Es que el hardware y
software involucrados no están necesariamente optimizados para conmutar y filtrar paquetes. Por
lo tanto, esta opción puede no ser apta para una empresa que no puede tolerar alta latencia.
Los usuarios hogareños tienen una variedad de opciones de firewall disponibles, como ZoneAlarm
de Zonelabs, McAfee Firewall, o Norton Firewall de Symantec. Éstos son firewalls de software, que
se instalan en la máquina del hogar.
48
Módulo 14: Seguridad de red
49
Módulo 14: Seguridad de red
50
Módulo 14: Seguridad de red
Los módulos anteriores han explicado cómo firewalls dedicado como los dispositivos Cisco PIX
proporcionan una solución de firewall filtrando paquetes, ejecutando NAT, o actuando como
servidor proxy. En grandes redes y otros entornos de elevado tráfico, un filtrado de paquetes y
solución NAT se recomienda. Los dispositivos dedicados como routers, firewalls, o ambos están
diseñados para conmutar paquetes y manipularlos muy rápidamente. Un NOS que se ejecuta en
hardware ordinario puede ser capaz de hacer el trabajo en una pequeña red o en un entorno de
bajo tráfico. No obstante, no es sin agregar latencia y sobrecarga al servidor.
En entornos de bajo tráfico, como pequeñas oficinas y redes hogareñas, una solución de firewall de
NOS es una buena opción. Linux puede usar ipchains e iptables para implementar un servidor
dedicado que actúe como gateway entre una red privada e Internet proporcionando así
capacidades de firewall. Esta configuración puede usarse para cualquier conexión de Internet ya
sea PPP de conexión telefónica, DSL, cable módem o una línea T1. En el caso de la mayoría de
las conexiones PPP de conexión telefónica y de las conexiones de cable módem, sólo una única
conexión IP se emite permitiendo sólo una computadora conectarse a Internet por vez, a menos
que un dispositivo como un router o servidor Linux configurado como router se configure como
gateway de Internet. Usando iptables, ipchains, y NAT, Linux puede configurarse como gateway, lo
cual permitirá que todas las computadoras de una red privada se conectan a Internet mediante el
gateway y un enmascaramiento de direcciones IP externas. Este concepto se introdujo
51
Módulo 14: Seguridad de red
previamente en este capítulo. Las iptables e ipchains de Linux también pueden configurarse de
modo tal que el servidor Linux actúe como firewall, proporcionando protección a la red interna. Hoy
la mayoría de las distribuciones de Linux usan iptables en lugar de ipchains y los últimos kernels
Linux usan iptables.
Hay varias cosas diferentes que se pueden hacer con iptables. Hay tres cadenas incorporadas
INPUT, OUTPUT y FORWARD que no pueden borrarse. Algunas operaciones comunes usadas
para manejar cadenas enteras figuran en la lista de abajo. Una lista más abarcativa puede
visualizarse usando el comando iptables -h. Esto mostrará la página de ayuda de iptables.
Cada regla especifica un conjunto de condiciones que el paquete debe cumplir, y qué hacer si las
cumple. Por ejemplo, se desean descartar todos los paquetes ICMP que provienen de la dirección
IP 10.0.0.1. Así, en este caso las condiciones son que el protocolo debe ser ICMP y la dirección de
origen debe ser 10.0.0.1. Nuestro objetivo es `DROP'. Para implementar esta regla se usaría el
siguiente comando donde -A se agrega al final de la cadena INPUT, paquetes de la red 10.0.0.1 (-s
127.0.0.1) con protocolo ICMP (-p icmp), y se desea descartar los paquetes (-j DROP).
Hay dos formas de borrar una regla. Si se conoce el número de regla, en este ejemplo sería
número 1 ya que es la única regla creada, se puede usar un borrado numerado. Para borrar la
regla número 1 de la cadena INPUT, use el siguiente comando.
# iptables -D INPUT 1
La segunda forma es emitir el mismo comando que se emitió al crear la regla, no obstante, esta
vez reemplazando la opción -A por -D. Esto es útil cuando se tiene una cadena de reglas compleja
y no se quiere contarlas para darse cuenta de qué número de regla específico necesita borrar.
Para borrar la regla específica sin indicar el número de regla use el siguiente comando:
Se recomienda que si está configurando un servidor Linux como firewall para una compañía que el
servidor Linux es un sistema dedicado. Esto significa que las únicas responsabilidades del server
son ser un firewall. Con la cantidad de tráfico que el servidor tendrá que filtrar, la carga sería
demasiada para el servidor si se lo tuviera haciendo mucho más. Otra razón para esto es que por
lo común el firewall está configurado como frontera entre Internet y su red interna. No sería muy
inteligente, por razones de seguridad, ejecutar servicios como e-mail, DNS, o servidor de archivos
52
Módulo 14: Seguridad de red
en el mismo servidor que está usando como firewall. Típicamente, no verá un servidor siendo
usado como firewall. En la mayoría de los casos, firewalls avanzados como los dispositivos Cisco
PIX pueden llevar a cabo estas operaciones de filtrado de paquetes así como proporcionar
capacidades sólidas de firewall también. Usar un servidor Linux como firewall es una buena idea
para pequeñas compañías que no tienen grandes presupuestos y están interesadas en una forma
suplementaria de seguridad que no sea sólo un Gateway DSL/Cable.
53
Módulo 14: Seguridad de red
Resumen
El Microsoft Press Computer and Internet Dictionary define seguridad de red como, "los pasos
dados para proteger una computadora y la información que contiene". Algunos de los conceptos
importantes a retener de este módulo son los siguientes:
• Un primer paso al crear una política de seguridad para la red de una compañía es definir
una política de uso aceptable. Una política de uso aceptable define qué es aceptable y
permitido en la red de la compañía.
• Las políticas relativas a contraseñas deberían aplicarse estrictamente. Incluyen un fecha
de expiración específica, reglas de exclusión, y el uso de combinaciones de letras y
números. Las contraseñas jamás deberán dejarse donde puedan ser halladas y usadas.
• Las amenazas a la seguridad provenientes de Internet incluyen a los hackers, crackers,
virus y gusanos. Aunque un hacker puede ocasionar daño, un cracker irrumpe en un
sistema para hacer un daño específico o robar. Un virus y un gusano pueden ambos hacer
un daño considerable. No obstante, el gusano no se adjunta a los archivos sino a la
memoria activa y es auto-replicante.
• Políticas de seguridad bien definidas ayudan a minimizar amenazas desde el interior. Es
probable que los empleados y usuarios en quienes se confía tengan información crítica
acerca de la red, incluyendo contraseñas, y pueden facilitar el espionaje corporativo.
• Los administradores de sistemas deben vigilar contra el robo de datos, la destrucción de
datos, y los ataques de denegación del servicio. Los ataques de Denegación del Servicio
Distribuida (DDoS) se originan en varios hosts y puede ser extremadamente difícil
defenderse contra ellos.
• Para mantener actualizado el NOS, patches y actualizaciones de seguridad de software
deben aplicarse cuando estén disponibles.
• Los firewalls de Internet son la defensa más importante contra amenazas de seguridad
externas. Una solución de firewall de Internet puede consistir en varios componentes,
incluyendo el filtrado de paquetes IP, servicios proxy, y NAT.
54