MODELAMIENTO DE SEGURIDAD EN DIFERENTES TIPOS DE REDES.

OBJETIVOS ESPECÍFICOS.

 Discriminar el tipo de ataque y amenaza que puede vulnerar una red.

 Diseñar un plan de trabajo de seguridad que permita resguardar la integridad de la
información, dependiendo del tipo de red.
 Combinar de manera correcta los distintos dispositivos y mecanismos de aseguramiento
de la información, tanto físico como lógico, a partir de un contexto de red específico.

INTRODUCCIÓN.

El principal objetivo al modelar una red segura es ofrecer información sobre las mejores prácticas
a las empresas en el diseño e implementación de una red segura que, por sobre todo, pueda
proteger su información clave y confidencial.

Al modelar una red, es importante adoptar un enfoque de defensa para el diseño de la seguridad
de ella, este tipo de diseño debe estar centrado en las amenazas a las que la red pueda estar
expuesta y tener preparados los medios para combatirlas.

1. TIPOS DE ATAQUES Y AMENAZAS.

1.1. PACKET SNIFFERS (RASTREADORES DE PAQUETES).

Los packet sniffers son sistemas que capturan las tramas de una red. Para esto el rastreador
cambia el estado de la tarjeta de red a “modo promiscuo” para que en la capa de enlace no sean
descartadas las tramas no destinadas a la MAC de la tarjeta y así capturar el tráfico de la red.

Para evitar estos rastreadores se puede implementar una infraestructura conmutada que limita la
efectividad del rastreo.
1.2. ARP POISONING (ARP SPOOFING).

El protocolo ARP se encarga de traducir direcciones MAC a direcciones IP. Gracias a este protocolo
los equipos de una red pueden identificarse entre ellos. El método de ARP broadcasting le permite
a un equipo identificarse en la red, informando masivamente a toda la red de sus direcciones IP y
MAC. Esto es posible mediante el envío de un paquete de broadcast que contenga dichas
direcciones.

Este paquete, al ser recibido por todos los equipos en el segmento, es leído por el protocolo ARP
de cada equipo, luego el protocolo ARP actualiza su tabla de asignaciones dinámicamente.
Después, esta lista será utilizada por el sistema operativo para obtener la información necesaria
para generar los paquetes que serán introducidos en la red.

El ataque de ARP poisoning (envenenamiento ARP o ARP spoofing) consta de la generación

arbitraria de paquetes de ARP broadcasting falsos por parte del atacante, que relacionan la
dirección MAC de su equipo con la dirección IP de quien será el equipo víctima.

Adicionalmente, existe otro punto negativo de este ataque y es que el paquete que fue redirigido
y enviado al atacante jamás fue recibido por la víctima. Esto presenta una dificultad, ya que tanto
el emisor como el receptor pueden asumir que existe algún problema en la red, lo cual puede
continuar con una revisión de la red y el posterior descubrimiento del ataque.

La amenaza de la falsificación de IP puede reducirse, pero no eliminarse, algunas de las medidas

que se pueden tomar son las siguientes:

 Control de acceso: el método que comúnmente es utilizado para controlar la falsificación

de IP es una configuración para control de acceso estricta. Esto quiere decir que se debe
 configurar el control de acceso para que rechace todo el tráfico de las redes externas que
contengan una dirección IP de origen, que debiera estar en la red interna.
 Una falsificación de IP solo es posible cuando los dispositivos conectados a la red utilizan
autenticación basada en direcciones IP. Por eso, es importante utilizar otros métodos de
autenticación para eliminar el riesgo de los ataques de falsificación de IP. Por ejemplo, la
autenticación criptográfica es una forma muy eficaz de autenticación alternativa.

1.3. MAN IN THE MIDDLE (MITM).

El ataque MITM es una técnica que complementa el ARP poisoning, ampliando el nivel del ataque,
y agregando un paso más: la duplicación y reenvío a la víctima de la información obtenida.

Cronológicamente, un ataque MITM se sitúa entre el momento en que el mensaje fue enviado, la
víctima no recibió el paquete y el emisor permanece esperando una respuesta. Este proceso
también puede suceder en las sesiones iniciadas por la víctima como, por ejemplo: una conexión a
un servidor web, FTP, SMTP.

Los ataques del tipo man in the middle solo se pueden combatir eficazmente mediante el uso de la
criptografía. Si alguien se apropia de los datos del centro de una sesión privada criptográfica, lo
único que verá el hacker es un texto cifrado, no el mensaje original. Se debe tener en cuenta que si
un hacker puede obtener información sobre la sesión criptográfica puede realizar este tipo de
ataques.
1.4. DOS (NEGACIÓN DE SERVICIOS).

Los ataques de DoS (negación de servicios) son aquellos que inhabilitan el servicio de un recurso
de la red a los usuarios legítimos de ella. Normalmente están enfocados a los servidores de correo
y servidores web, pero de todas formas afectan a toda la red. Los ataques DoS, en general, se
presentan en dos formas:

1. Pueden negar el servicio inundando la red con tráfico basura.

2. Pueden aprovecharse de los errores en el software de la red para acceder a los servidores.

Los ataques DoS contra un servidor de correos normalmente saturan de correos hasta denegar el
servicio a los usuarios legítimos o se satura debido a la intensa carga de información.

Anthony Velte y Toby Velte (2011) recomiendan para prevenir los ataques DoS los siguientes
métodos:

 Características antifalsificación: básicamente la correcta configuración de las

características antifalsificación de los routers y firewalls reducen el riesgo, porque si un
hacker no logra enmascarar su identidad, no pueden atacar, ya que quedaría al
descubierto.
 Características anti-DoS: al igual que la medida anterior, la configuración correcta de las
características anti-DoS del router y firewall ayuda a limitar la eficacia de un ataque. Estas
configuraciones implican poner un límite de conexiones abiertas, que soporte un sistema
en un momento dado.
  Limitación de la velocidad del tráfico: este filtro se encarga de limitar la cantidad de tráfico
que atraviesa los segmentos de la red a una velocidad determinada. Un ejemplo común es
limitar la cantidad de tráfico ICMP que se permite entrar en la red, ya que solo se emplea
para realizar diagnósticos. Los ataques de DoS basados en ICMP son frecuentes.

1.5. REDIRECCIONAMIENTO DE PUERTOS.

El ataque de redireccionamiento de puertos es un tipo de ataque que utiliza un host para pasar
tráfico que en una configuración normal sería rechazado por el firewall. Por ejemplo, un firewall
con tres interfaces y un host en cada interfaz. El host del exterior puede acceder al host del
segmento de servicios públicos (normalmente denominado DMZ), pero no al host interno. El host
del segmento de servicios públicos puede acceder tanto al host externo como al interno. Si los
hackers fueran capaces de poner en peligro al host del segmento de servicios públicos, podrían
instalar un software que redireccionará el tráfico del host externo directamente al interno.
Aunque ninguna comunicación viola las reglas implementadas en el firewall, el host externo ya ha
conseguido conectividad con el interno a través del proceso de redireccionamiento en el host de
servicios públicos.

Es posible evitar el redireccionamiento, utilizando los modelos de confianza apropiados, es decir,

si un sistema sufre un ataque, el IDS basado en host ayudará a detectar al hacker y evitar que
instale utilidades extrañas en el host.

1.6. CONTRASEÑAS.

Existen diversos tipos de ataques relacionados con las contraseñas, los más comunes son los
ataques por fuerza bruta, troyanos, falsificación de IP y rastreadores de paquetes. A pesar de que
con los dos últimos mencionados, lo que se obtiene son cuentas de usuarios y contraseñas. Los
ataques a contraseñas están basados en intentos repetidos para lograr captar cuentas de usuario
y/o contraseñas, a este método de ofensiva se le llama ataques por fuerza bruta.

Comúnmente los ataques por fuerza bruta se ejecutan a través de un programa que funciona a
través de la red que se conecta a un recurso compartido como, por ejemplo un servidor. Cuando el
atacante consigue obtener acceso a los recursos, tiene los mismos derechos que los usuarios cuyas
cuentas han estado en peligro para obtener acceso a dichos recursos. Si las cuentas en peligro
tienen suficientes privilegios, los hackers crean puertas traseras para poder acceder más adelante,
sin preocuparse de los cambios de estado o de contraseña en las cuentas de usuario en peligro.

Existe otro problema, que tiene que ver con los usuarios que tienen la misma contraseñ a en todos
los sistemas a los que se conectan a menudo, por ejemplo, correo electrónico, redes sociales,
sistemas corporativos, etc. Dado que la seguridad de las contraseñas, depende del host que la
contiene, si dicho host está en peligro, los hackers tienen una amplia gama de hosts en los que
pueden probar la misma contraseña.

Para evitar los ataques a las contraseñas, se puede utilizar la autenticación criptográfica, lo que
elimina virtualmente esta amenaza, pero lamentablemente no todas las aplicaciones, hosts y
dispositivos que existen reconocen estos métodos de autenticación.
Otro punto básico es la creación de las contraseñas, es importante elegir una que sea difícil de
detectar o deducir, por ejemplo, que estas tengan un mínimo de ocho caracteres y, además,
contengan mayúsculas, minúsculas, números y caracteres especiales. Las contraseñas más seguras
son las que se generan aleatoriamente, pero son muy difíciles de recordar lo que conduce a los
usuarios a apuntar sus contraseñas para no olvidarlas.

1.7. ACCESOS NO AUTORIZADOS.

Según Velte y Velte (2011) los accesos no autorizados, aunque no son un tipo de ataque
específico, estos hacen referencia a la mayoría de los ataques que se realizan actualmente a las
redes.

Por ejemplo, para que alguien realice un ataque por fuerza bruta a una conexión por telnet, debe
lograr el indicativo de telnet en un sistema mediante conexión al puerto de telnet, el mensaje
puede indicar: “authorization required to use this resource”. Si el usuario no reconocido continúa
intentando acceder, sus acciones pasan a ser “no autorizadas”. Estos tipos de ataques pueden
iniciarse tanto en el exterior como en el interior de una red.

Las técnicas para combatir los ataques de accesos no autorizados son muy sencillas, ya que
básicamente la idea es reducir o eliminar la posibilidad de obtener acceso a un sistema utilizando
un protocolo no autorizado, por ejemplo, deshabilitar el acceso al puerto de telnet de un servidor
que necesite proporcionar servicios de web al exterior. Si los hackers no pueden acceder a dicho
puerto, es muy difícil que lo ataquen. La función principal de los firewalls de las redes es evitar
ataques de acceso no autorizado.

1.8. VIRUS Y TROYANOS.

 Virus: es un programa que se dispersa infectando a otros archivos con una copia de ellos
mismos. Entre los archivos que pueden infectarse por virus son los del sistema (.com, .exe
y .dll), los de aplicaciones que soportan macrolenguajes y los de uso común (.doc, .xls,
.ppt, .jpg, .png, etc.).
 Gusanos: es un programa que se propaga enviando copias de sí mismo a otros
computadores que, a su vez, envían copias a otros computadores. Los gusanos se han
difundido a través de sistemas de correo electrónico junto con un mensaje que invita al
receptor a abrir los archivos adjuntos que contienen el gusano, el cual envía copias de sí
mismo a los contactos de la libreta de direcciones.
 Caballo de Troya: es un programa que tiene como objetivo hacer algo interesante o útil y
que después lleva a cabo acciones maliciosas tras bambalinas, mientras que el usuario
está interactuando con el programa principal.
 Bombas lógicas: son porciones maliciosas de código de programación insertadas en un
programa normal. Habitualmente, el autor del programa las inserta. Las bombas lógicas
pueden programarse para ser ejecutadas en un tiempo específico borrando archivos u
otras acciones.

Para proteger una red de los ataques de virus, es necesario implementar algún software antivirus
que busca virus conocidos o alguna actividad similar a estos. De esta manera, el software elimina
el virus dejando el archivo original intacto o en cuarentena para ser validado posteriormente por
el administrador del sistema.

2. DISPOSITIVOS DE SEGURIDAD.

2.1. ROUTER.

Los routers controlan todos los accesos entre las redes, están a cargo de filtrar el acceso a ellas y
son potencialmente vulnerables a los hackers. Los routers son un dispositivo crítico de seguridad
dentro de una red, ya que son los encargados de proporcionar acceso y, por lo tanto, es
importante asegurarlos para evitar accesos indebidos a la red.

Algunas configuraciones importantes de aplicar son las siguientes:

 Bloqueo del acceso por telnet a un router.

 Bloqueo del acceso por el protocolo SNMP a un router.
 Desactivar los servicios que no se encuentren en uso.
 Autenticación de las actualizaciones del enrutamiento.

2.2. SWITCHES.

Los switches tienen su propio conjunto de consideraciones de seguridad al igual que los routers,
pero a diferencia de estos, no existe gran información publicada con respecto a sus riesgos de
seguridad y de cómo combatir dichos riesgos.

Al implementar un switch es importante tomar las siguientes precauciones:

 Desactivar los puertos que no necesiten enlaces troncales y no dejar la configuración en

automático. Esto evita que un host se convierta en un puerto troncal y que reciba el
tráfico enviado a dicho puerto.
 Los puertos troncales deben usar un número de VLAN (LAN virtual) que no es utilizado en
ninguna otra parte del switch. Esto evita que los paquetes con la misma VLAN que el
puerto troncal, lleguen a otra VLAN, sin cruzar ningún dispositivo de capa de red.
 Asignar todos los puertos no utilizados de un switch a una VLAN que no tenga
conectividad de capa de red o bien desactivar todos los puertos que no se utilizarán. Esto
es para evitar que los hackers se conecten a los puertos no utilizados y se comuniquen con
el resto de la red.

3. MECANISMOS LÓGICOS DE SEGURIDAD.

3.1. HOSTS.

Los hosts son los principales blancos de ataques, desde el punto de vista de la seguridad, son los
más difíciles de asegurar. Dado que los hosts proporcionan los servicios de aplicaciones a los
restantes hosts que los soliciten, son visibles en la red.

Para asegurar los hosts, es necesario tener bien configurados todos los componentes de los
sistemas. Además, es importante mantener los sistemas actualizados con los parches y
actualizaciones más recientes, teniendo en cuenta antes de instalar estas actualizaciones y/o
parches no afecten de forma negativa al resto de los componentes. Lo mejor es tener un sistema
de pruebas, donde poder ejecutar previamente dichas actualizaciones y asegurarse de su buen
funcionamiento.

3.2. APLICACIONES.

Las aplicaciones son codificadas por seres humanos y, por lo tanto, pueden incluir una serie de
errores, que pueden ser benignos, por ejemplo, un documento que se imprime sin formato o
también podrían ser malignos como en el caso de dejar abierto el acceso a través FTP anónimo a
los datos de los clientes de la base de datos.

Para estos problemas es importante tener un IDS (sistema de detección de intrusos), que actúa
como un sistema de alertas que se activa cada vez que detecta algo que considera un ataque.
Además, tiene la facultad de aplicar medidas correctivas o enviar un aviso para el administrador de
la red.

Una vez instalado el IDS, es necesario ajustar su configuración para evitar falsas alarmas y
aumentar su eficacia. Los falsos positivos consisten en alarmas que son detonadas por tráfico
legítimo de la red, los falsos negativos son ataques que el IDS considera como accesos legítimos.

COMENTARIO FINAL.

El tema de la seguridad en las redes es sumamente extenso y todos los días aparecen nuevos
ataques y herramientas para evitarlos volviendo obsoletos los ataques que a su vez dan camino a
nuevos. Es un trabajo que nunca termina y del que nunca se conoce lo suficiente.

Por eso es tan importante conocer los ataques y por sobre todo cómo funcionan, para lograr
evitarlos de la mejor forma y estar prevenido para sus futuras variantes.