Tema 9. Seguridad y protección en redes de comunicaciones32 min read

Tema 16 – Seguridad y protección en redes de comunicaciones:
Seguridad perimetral.
Acceso remoto seguro a redes.
Redes privadas virtuales (VPN).
Seguridad en el puesto del usuario

La protección es imprescindible en cualquier tipo de sistema informático, el avance en comunicaciones y redes es cada vez mayor, y también lo es el Riesgo de los daños que se pueden sufrir, ya que los atacantes avanzan a la misma velocidad que el desarrollo tecnológico.

Los activos, son los bienes que hay que proteger, como, por ejemplo: Personas, hardware, software e información. Después de las personas, la información es el activo más importante.

Conforme aumenta la interconexión, lo hacen también los riesgos para la información, hasta el punto que en ocasiones la responsabilidad de la protección pasa a recaer en el propio usuario de los datos.

A pesar de la importancia demostrada de la seguridad, las pérdidas asociadas a los fallos de seguridad continúan creciendo.

En un alto porcentaje de los casos, las causas de las pérdidas por fallos de seguridad están vinculadas a problemas internos de la organización, especialmente al uso que los usuarios hacen de los datos.

Objetivos de la seguridad de la información

La seguridad de la información se articula sobre tres dimensiones, que son los pilares sobre los que aplicar las medidas de protección de nuestra información:

-Disponibilidad de la información.
La disponibilidad de la información se refiere a que la información esté accesible cuando la necesitemos.

-Integridad de la información.
Hace referencia a que la información sea correcta y esté libre de modificaciones y errores.

La información ha podido ser alterada (posiblemente de forma intencionada) o ser incorrecta.

Esto es un problema grave ,ya que normalmente, basamos nuestras decisiones en dicha información.

-Confidencialidad de la información.
Implica que la información solo sea accesible por el personal autorizado.
Es lo que se conoce como need-to-know.

Este término hace referencia a que la información solo debe ponerse en conocimiento de las personas, entidades o sistemas autorizados para su acceso, y que realmente necesiten utilizarla.

 

Según el estándar ISO/IEC 27002, la seguridad de la información se puede caracterizar por la preservación de:

-Confidencialidad: asegura que el acceso a la información está adecuadamente autorizado.

-Integridad: Salvaguarda la precisión y completitud de la información y sus métodos de proceso.

-Disponibilidad: Asegura que los usuarios autorizados puedan acceder a la información cuando la necesitan.

 

La evaluación de los activos de información de la organización en relación con estas tres dimensiones de la seguridad, determina la dirección a seguir en la implantación y selección de medidas (controles o salvaguardas).

También debemos tener en cuenta que la adopción de un determinado control para mejorar la seguridad en una dimensión, puede afectar de forma negativa o positiva a otra de las dimensiones.

Es esencial conocer cuál de estas dimensiones es más importante proteger en cada sistema de información y llegar a una solución de compromiso entre las tres dimensiones.

Algunos estándares añaden un objetivo más denominado no repudio. Este objetivo garantiza la participación de las partes en una comunicación.

 

Ataques

Los principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades, son los siguientes:

– Interrupción (afecta a la disponibilidad).
Un recurso del sistema o la red deja de estar disponible debido a un ataque

– Intercepción (afecta a la confidencialidad).
Un intruso accede a la información de nuestro equipo o a la que enviamos por la red.

– Modificación (afecta a la integridad).
La información ha sido modificada sin autorización, por lo que ya no es válida.

– Fabricación (puede afectar a los tres).
Se crea un producto (por ejemplo, una página Web) difícil de distinguir del auténtico y que se utiliza para suplantar un organismo o empresa y solicitar información confidencial al usuario.

 

Amenazas y vulnerabilidades
Una vulnerabilidad es un estado o característica de un activo que permite la consecución de ataques que comprometan la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización.

Son las deficiencias de un activo que pueden ser explotadas por amenazas

Ejemplos de Vulnerabilidades son la falta de conocimientos del usuario, falta de medidas de seguridad, mala elección de contraseñas, inexistencia de medidas contra incendios..

Una Amenaza es todo elemento o acción capaz de atentar contra la seguridad del sistema de información.

Las amenazas surgen a partir de la existencia de vulnerabilidades, una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada.

La amenaza es la posibilidad de que alguien pueda explotar la vulnerabilidad.

Las amenazas pueden clasificarse en dos tipos:

– Intencionadas
Se intenta producir un daño deliberadamente.

-No intencionadas
Se producen por omisiones o acciones que no buscan explotar la vulnerabilidad, pero que ponen en riesgo los activos y pueden producir un daño.

Ejemplos de amenazas no intencionadas son el desconocimiento (mala formación), fallo de un equipo o desastres naturales.

Ejemplos de amenazas intencionadas son un robo y fraude mediante técnicas de ingeniería social.

Los usuarios constituyen el elemento más vulnerable en el marco de la seguridad de las tecnologías de la información y comunicaciones.

Las personas son un objetivo prioritario para cualquier atacante que quiera acceder de forma no autorizada a la información.

Uno de los ataques más habituales contra la seguridad de la información a través de las personas es sin duda la ingeniería social.

Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían.

Posiblemente sea el ataque más sencillo, con menos riesgos para el atacante y de los más efectivos.

El éxito de estos ataques se deriva de:

– La ingenuidad de los usuarios.
– El desconocimiento de buenas prácticas de seguridad.
– Falta de concienciación en tema de seguridad por parte de los usuarios.

Cuanto mejores sean las medidas técnicas, más se centrarán los ataques en las personas, dada la complejidad de la vía técnica.

 

Planificación de la seguridad

La complejidad de la protección de la información se ha incrementado por algunos factores como:

– Las redes públicas (internet) están fuera del control de la organización.
– La movilidad requerida por el personal de la Organización.
– El riesgo de ataques remotos de terceros contra los datos.

El grado de seguridad se consigue mediante una solución de compromiso entre varios factores:

– Nivel de seguridad.
– Recursos disponibles.
– Funcionalidad deseada.

 

Para implementar la seguridad en una Organización de forma adecuada se deben planificar y tener en cuenta los aspectos siguientes:

– Análisis de Riesgos.
Estudio de los riesgos existentes y valoración de las consecuencias de estos sobre los activos de información.

– Gestión de Riesgos.
Valoración de los diferentes controles (elementos que reducen el riesgo) y decisión sobre los más adecuados en cada caso. Esto permite determinar el riesgo residual. «El riesgo residual es el riesgo que queda una vez aplicadas las medidas de reducción de riesgo.»

– Política de Seguridad
Adaptación de la operativa habitual de la Organización a las medidas de seguridad requeridas.

– Mantenimiento
Control continuo de la eficiencia de las medidas de seguridad desplegadas y adecuación de estas a nuevos escenarios de riesgo.

– Planes de Contingencia
Determinación de las medidas a adoptar ante un incidente de seguridad.

 

1.1. MODELO CONCEPTUAL DE LA SEGURIDAD

Si hablamos de seguridad podemos referirnos a tres aspectos diferentes:

– Condición: La condición en concepto de seguridad de un activo (si está seguro o no).

– Medidas: La seguridad como un conjunto de medidas de protección.

– Organización: Organización o grupo de personas responsables de proporcionar la condición de seguridad a los activos.

 

La seguridad intenta proteger los activos, por lo tanto, según los activos a proteger se pueden utilizar distintos términos:

– STIC: Seguridad de las tecnologías de información y las comunicaciones.

– SSI: Seguridad de los Sistemas de Información.

– COMSEC: Seguridad de los Sistemas de Comunicaciones.

– ELSEC: Seguridad electrónica.

Algunos autores engloban COMSEC y ELSEC en el término SIGSEC (Seguridad de las señales)

Según la definición del término STIC, la seguridad de la información y de los sistemas que la tratan puede conseguirse protegiendo cada uno de los recursos que componen la configuración de dichos sistemas.

De este modo, las medidas de seguridad, en función del objeto de protección en cada caso, pueden clasificarse en:

– TRANSEC: Medidas que aseguran los canales de transmisión (Seguridad de las Transmisiones). Hace referencia a la prevención contra la obtención de información por medio de la interceptación, radiolocalización y análisis de las señales electromagnéticas.

– COMPUSEC: Medidas que protegen el proceso automático de datos (Seguridad de los Ordenadores).

– EMSEC: Medidas que protegen a los equipos frente a la emisión de radiaciones no deseadas (Seguridad de las Emisiones).

– NETSEC: Medidas que protegen los elementos de red (Seguridad de las Redes). Hace referencia a la protección de las redes contra la modificación, destrucción o revelación de la información mientras circula por ellas.

– CRYPTOSEC: Medidas que aseguran que la información está protegida mediante procedimientos criptográficos adecuados (Seguridad criptológica).

 

1.2. MECANISMOS Y HERRAMIENTAS DE SEGURIDAD

Salvaguarda (o control) es cualquier medida que reduzca el riesgo.

Se debe proteger convenientemente la información y los sistemas que la tratan desde dos perspectivas:

 

Según el carácter del control

– Técnico: Los controles técnicos pretenden proteger desde un punto de vista operativo, tanto física como lógicamente, la información y los sistemas que la procesan frente a amenazas de cualquier tipo.

– Organizativo: Las medidas de carácter organizativo se ocupan de dictar controles de índole administrativa y organizativa para instrumentar, reforzar o complementar las restantes medidas.

Algunas de estas medidas son:
-Asignación de responsabilidades.
-Establecimiento de política de seguridad.
-Política de personal.
-Análisis de riesgos.
-Planes de contingencia.

– Normativo: Las medidas de protección normativa comprenden los aspectos de cumplimiento obligatorio de aplicación en cada caso, en especial desde el punto de vista legal.

 

Según el punto en que aportan seguridad:

– Prevención: Aumentan la seguridad de un sistema de información durante el funcionamiento normal de éste, previniendo la ocurrencia de violaciones a la seguridad.

– Detección: Se utilizan para detectar violaciones de la seguridad o intentos de violación.

– Respuesta: Se aplican cuando se ha detectado una violación de la seguridad.

 

1.3. ESTRATEGIA DE SEGURIDAD
El diseño de una estrategia de seguridad depende de la actividad desarrollada por la Organización.

Indistintamente de esto, hay una serie de pasos comunes a seguir:

1. Crear una política de seguridad.
2. Realizar un análisis de riesgos.
3. Aplicar las salvaguardas correspondientes.
4. Concienciar a los usuarios.

Política de seguridad
La política de seguridad debe definir:

-Estado de la información.
-Objetivo general.
-Los objetivos específicos que se deberán conseguir.
-Las tecnologías de la información, destacando su importancia para la Organización.
-El período de validez de la política.
-Los recursos con los que contamos.

Análisis de riesgos
Con el análisis de riesgos intentamos identificar los problemas a los cuales está expuesta la información a partir de:

-Los activos de la Organización.
-Las amenazas que existen sobre los mismos.
-Las probabilidades de que éstas se materialicen.
-El impacto asociado a la materialización.

Es necesario revisar y actualizar periódicamente este análisis de riesgos tomando como base de partida:

-El último realizado.
-Las salvaguardas implementadas.
-Las estadísticas de ataques recibidos (cantidad, impacto, etc.).

 

Aplicar Salvaguardas
Una vez decididas las medidas a adoptar y el riesgo residual aceptable, se deben establecer las salvaguardas.

La gestión de riesgos utiliza los resultados del análisis de riesgos para seleccionar e implantar los controles adecuados para mitigar los riesgos identificados.

 

Se puede dividir estos controles en 3 tipos de medidas:

 

– Medidas preventivas. Su objetivo es reducir el riesgo:

– Protección Física:

-Guardias.
-Control de acceso.
-Protección hardware.
-Etc.

– Medidas Técnicas:

-Cortafuegos.
-Detectores de intrusos.
-Criptografía.
-Etc.

– Medidas Procedimentales:

-Cursos de mentalización.
-Actualización de conocimientos.
-Normas de acceso a la información.
-Etc.

– Medidas de detección. Su objetivo es identificar los riesgos.

– Protección Física:

-Sistemas de vigilancia.
-Sensores de movimiento.
-Etc.

– Medidas Técnicas:

-Control de acceso lógico.
-Sesión de autenticación.
-Etc.

– Medidas Procedimentales:

-Monitorización de auditoría.
-Etc.

– Medidas de respuesta. Su objetivo es impedir o reducir el impacto sobre los activos.

-Protección Física:

-Sistemas de alimentación ininterrumpida (SAIs).
-Etc.

-Medidas Técnicas:

-Antivirus.
-Auditorías.
-Copias de seguridad.
-Etc.

-Medidas Procedimentales:

-Planes de contingencia.
-Etc.

La formación y concienciación del personal es uno de los objetivos fundamentales que se deben perseguir. Esto se consigue con la implementación de un programa de concienciación en seguridad.

Los diferentes usuarios de la Organización deben asumir su responsabilidad en la protección de la información y comprender que esto no es sólo competencia de los especialistas en seguridad.

 

Programa de Concienciación en Seguridad
Un programa de concienciación debe perseguir dejar claro no sólo cómo proteger los activos de la Organización sino también por qué es importante su protección y cómo los usuarios se convierten en la primera barrera de seguridad para ellos.

La implementación del programa ayuda a minimizar los costes ocasionados por los incidentes de seguridad dado que actúa directamente sobre uno de los eslabones más débiles en la cadena de seguridad, los usuarios.

 

Programas HCL AppScan
Anteriormente conocido como IBM AppScan, es una familia de pruebas de seguridad web y herramientas de monitoreo.
AppScan está diseñado para probar las aplicaciones web en busca de vulnerabilidades de seguridad durante el proceso de desarrollo, cuando es menos costoso solucionar dichos problemas.

 

CLARA
Herramienta para analizar las características de seguridad técnicas definidas a través del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, es funcional exclusivamente en sistemas Windows.

 

 

SEGURIDAD PERIMETRAL

Asegurar el perímetro es una de las estrategias defensivas más eficaces y comúnmente utilizadas en el campo de la seguridad.

Reducir la superficie de exposición, crear puntos controlados de acceso y centrar las defensas en esos puntos permite optimizar la capacidad defensiva.

Los cortafuegos son dispositivos que separan distintas áreas con distintos requisitos de seguridad o niveles de riesgo y que controlan el flujo de tráfico entre ellas.

La seguridad proporcionada por el cortafuegos, se puede ampliar usando distintas técnicas:

– Aumentar la «inteligencia» de los cortafuegos.
– Cifrado.
– Certificados digitales.
– Sistemas de detección y prevención de intrusiones.
– Sistemas de análisis de contenidos.
– Etc.

Hay que tener claro que la seguridad perimetral no debe entenderse como la separación de la organización con internet.

En realidad, se deben separar todas las áreas que tengan distintos requisitos de seguridad.

Es necesario hacer un análisis de cuántos niveles distintos de seguridad deben establecerse en la Organización.

 

Identificación de amenazas

Para que la seguridad perimetral sea eficiente debemos conocer:

-Qué activos se quiere defender.
-Cuán valiosos son estos activos.
-Cuál sería el impacto de un incidente.
-Cuáles son las amenazas.

Por lo tanto, es necesario establecer una política de seguridad.

Identificar las amenazas que acechan a una Organización concreta puede ser una tarea ardua.

Una posible clasificación de amenazas se puede realizar en función del atacante:

– No estructuradas: Suelen realizarse por personas inexpertas que usan herramientas automáticas.

– Estructuradas: Suelen llevarse a cabo por personas motivadas y técnicamente competentes con un objetivo concreto.

 

Puntos débiles

Existen multitud de puntos débiles en una Organización.

Algunos son implícitos de la tecnología utilizada y otros son atribuibles a las personas.

Entre los más significativos se encuentran los siguientes:

– Protocolos
Todas las capas de TCP/IP presentan de forma implícita puntos débiles.

-Ausencia de autenticación (SNMP).
-Intercambio de datos no cifrados:
-HTTP.
-Telnet.
.FTP.

Aún se siguen utilizando protocolos inseguros, a pesar de que algunos protocolos han evolucionado y otros presentan alternativas seguras:

-SNMP (Protocolo simple de administración de red) ha evolucionado al SNMPv3, que incorpora seguridad.

-HTTP ha evolucionado a HTTPs.
-FTP ha evolucionado a SFTP.
-Telnet ha evolucionado a SSH.

– Sistemas
Tanto los servidores como la electrónica de red pueden presentar servicios instalados por defecto o mal configurados o bugs en aplicaciones o en el propio sistema operativo.

Es importante aplicar salvaguardas en todos los elementos tecnológicos significativos para la Organización.

-Seguridad física

En ocasiones se producen debilidades dentro de las Organizaciones en ámbitos como:

-El control de acceso a ubicaciones.
-La protección de la información en formato físico:
-Documentos.
-Soportes tipo DVD o pendrive.

-La seguridad operativa en las instalaciones

-Mesas limpias.
-Bloqueos automáticos de sesión.
-Personas. Las personas suelen ser el eslabón más débil de la cadena. Pueden ser objetos de ataques de ingeniería social o phishing

 

 

COMPONENTES DE LA SEGURIDAD PERIMETRAL

Los elementos tecnológicos intervinientes en la seguridad perimetral son:

– Enrutadores y reglas de filtrado.
– Cortafuegos.
– Sistemas VPN (Tecnologías de redes privadas virtuales).
– Dispositivos de Red.
– Servidores.
– Sistemas de Usuarios y Sistemas Móviles.

 

ENRUTADORES Y REGLAS DE FILTRADO

Los enrutadores son dispositivos que permiten a los paquetes de red encontrar el camino adecuado para llegar a su destino.

Para ello utilizan la información del estado de las rutas en cada momento.

Los enrutadores son elementos fundamentales en la seguridad perimetral.

Los enrutadores actuales pueden realizar tareas de cortafuegos.

Es buena práctica que realicen alguna de esas funciones (como filtrado simple de tráfico) siempre y cuando no lo sobrecarguen y perjudiquen su principal función, que es enrutar los paquetes eficientemente.

A la hora de proteger la red es imprescindible conocer su tipología:

-Protocolos autorizados.
-Rangos de direccionamiento permitidos.
-Etc.

Hay dos estrategias fundamentales para proteger la red utilizando enrutadores:

– Filtrado
Consiste en permitir o denegar el tráfico. Puede utilizar:
– Listas de control de acceso (ACL) (es lo más común).
– Filtrado de camino inverso (Reverse Path Filtering o RPF).
– Rutas de descarte (null routes).

– Conformado/Limitado.

Mecanismos de calidad de servicio consistentes en la definición de umbrales de tolerancia al partir de los cuales se aplican medidas sobre el tráfico.

A la hora de aplicar restricciones de filtrado en un enrutador (o en un cortafuegos) deben considerarse, al menos, los siguientes aspectos:

– Denegar la entrada y salida a Internet de direcciones de uso especial:

-RFC 1918 (private).

-RFC 3330 (special use).

-Denegar la entrada y salida de tráfico originado por espacio de direcciones válido, pero no utilizadas (unallocated).

-Denegar la entrada de tráfico con direcciones propias y la salida de tráfico no originado con direcciones propias.

-Denegar el tráfico que incluye violaciones del estándar correspondiente en cada caso.

-Permitir explícitamente el tráfico de retorno hacia las direcciones propias y el tráfico de salida originado con las direcciones propias.

-Permitir el tráfico de los protocolos de enrutamiento y de red estrictamente necesarios, bloqueando otros protocolos y alertando ante el uso de protocolos o servicios especialmente anómalos, como gopher, finger o NetBus.

Por último, es muy importante mantener el dispositivo debidamente actualizado y configurado, y realizar inspecciones de seguridad periódicas sobre los enrutadores corporativos, en especial los perimetrales.

 

 

CORTAFUEGOS
Un cortafuegos (firewall), es un sistema formado por aplicaciones, dispositivos o una combinación de éstos.

Se encarga de hacer cumplir una política de control de acceso en las comunicaciones entre zonas de red según los criterios establecidos en la política de seguridad.

Por políticas de control de acceso se entienden las primitivas de «permitir» o «denegar» a determinados clientes el acceso a los recursos de red, expuestos como servicios, según unos privilegios de autorización.

Habitualmente estos privilegios a los recursos u objetos se definen mediante listas con entradas secuenciales llamadas juegos de reglas (rulesets).

A sus capacidades tradicionales de control de tráfico de red se han añadido multitud de funcionalidades que le permiten llevar a cabo control de acceso, filtrado de contenidos o redes privadas virtuales.

También se han añadido funcionalidades no relacionadas con la seguridad como traducción de direcciones o balanceo de carga.

Se pueden encontrar multitud de tipos de cortafuegos según:

-Ámbito:
-Cortafuegos de red.
-Cortafuegos de sistema.
-Función.
-Nivel de actuación en la torre de protocolos.
-Inteligencia en la inspección del tráfico.
-Etc.

Además, pueden tener servicios o funcionalidades añadidas como:

-Traducción de direcciones.
-Redes privadas virtuales.
-Integración de mecanismos de autenticación.

Los cortafuegos deben proporcionar trazas de registro (logs) lo más completas posible para realizar auditorías.

 

Cortafuegos industriales
Los cortafuegos industriales han de permitir la implementación de ciertas características que los diferencien de sus análogos de propósito general, haciéndolos más adecuados para su despliegue en las redes industriales y aportando una capa de seguridad extra para este entorno.

Algunas de estas características principales y ventajas que aportarán gran valor en la segmentación, segregación y control de las redes son:

-Funcionamiento en modo transparente.
Un cortafuegos funcionando en modo transparente permite realizar un enrutado de los paquetes, pero sin afectar a la infraestructura, ni requerir de modificaciones de configuración en los dispositivos.

-Inspección profunda de paquetes (DPI) sobre los protocolos típicos de estos entornos (IEC104, Modbus, DNP3, etc.)

-Diseño rugerizado/industrializado.
Para soportar ambientes adversos en los que operan las redes industriales.

-Soporte frente a un volumen elevado de tráfico.
La llegada de la industria 4.0, hace que el volumen del tráfico intercambiado en una red industrial aumente a la par que aumenta su capacidad de cómputo o la inteligencia proporcionada al proceso.

-El modo test o de pruebas.
Es otra de las características de estos cortafuegos. Este modo permite que sean configurados de forma que no afecten a las comunicaciones, pero sí guarden sus acciones en un log, pudiendo así afinar su configuración de la manera menos intrusiva posible y sin provocar ningún problema en la operatividad de los dispositivos bajo su efecto.

-Inserción VLAN (Red de área local virtual).
La inserción VLAN es una capacidad de la que disponen los nuevos cortafuegos para poder analizar más cantidad de tráfico.

 

Evolución de los Cortafuegos
Existen varias generaciones de cortafuegos:

-Packet Filter (primera generación).

Se lleva a cabo un filtrado basado en:

-Información de red (direcciones IP origen y destino).
-Información de transporte (puertos TCP/UDP y flags de las cabeceras).

-Application Layer Gateway (segunda generación).
Se realiza un filtrado a nivel de aplicación, lo que implica una total dependencia del protocolo.

-Stateful Inspection (tercera generación).
Se procede a filtrar el acceso usando información existente entre las capas de red y de aplicación, manteniendo información de los flujos de tráfico en una tabla de estado.

-Unified Threat Management (UTM o gestión unificada de amenazas).
Es un dispositivo de seguridad que proporciona diferentes soluciones integradas de seguridad perimetral. Esta es la tendencia actual.

Además de las tareas propias de filtrado de un cortafuegos también llevan a cabo:

-Funciones de VPN.
-Antispam.
-Antiphishing.
-Antispyware.
-Filtro de contenidos.
-Antivirus.
-Detección y prevención de intrusiones (IDS/IPS).

 

 

SISTEMAS VPN

Cada vez es más habitual que las organizaciones permitan a su personal la conexión remota a su infraestructura a través de Internet.

Por lo tanto, es necesaria una vía de conexión segura a la Organización.
Para proporcionar esta conexión segura se dispone de tecnologías de redes privadas virtuales (VPN, Virtual Private Network).

Proporcionan una capa de abstracción entre la Organización y la conexión del usuario tunelizando la conexión y aplicando una capa cifrada para garantizar la seguridad de la información transmitida.

 

DISPOSITIVOS DE RED

La interconexión de los distintos elementos de la seguridad perimetral entre sí y con las distintas subredes de una Organización se realiza a través de dispositivos de red, habitualmente switches.

No deben utilizarse hubs, ya que introduce nuevos riesgos.

Los Hubs envían los paquetes a todos los dispositivos conectados a la red, y el Switch únicamente al dispositivo al que se lo quieres enviar.

Muchos switches tienen problemas y son susceptibles de errores de configuración.

Estos permitirían a un atacante que ha comprometido un sistema conectado al switch atacar al mismo switch o a los sistemas conectados a él.

Los switches se suelen emplear para crear redes locales virtuales (VLAN o Virtual Local Area Network).

Esto nos sirve para separar partes de la red en distintos segmentos que tengan distintos requisitos de seguridad.

Las VLANs no fueron creadas por temas de seguridad, sino para limitar el efecto del tráfico de broadcast y multicast en redes grandes.

Se han revelado diversas vulnerabilidades que permiten introducir tráfico de forma no autorizada desde una VLAN a otra distinta (salto de VLAN o VLAN Hopping).

Los switches de gama alta disponen de medidas de seguridad para detectar y mitigar ataques a nivel del enlace de datos.

 

SERVIDORES

Los servidores son los elementos encargados de ofrecer servicios (a la organización o al público en general).

Dado que para ofrecer un servicio hay que proporcionar acceso de una u otra forma a programas corriendo en el sistema.

Estos servicios introducen un riesgo para el propio servidor.

Sin embargo, a través del servidor, también traslada este riesgo a los sistemas y dispositivos de su entorno.

No todos los servicios introducen el mismo riesgo de seguridad.

Los que más peligro afrontan son los que interactúan con entornos hostiles como internet.

Igualmente, hay que tener en cuenta la criticidad de los servicios que ofrecen.

Algunos servicios críticos son:

-Los servicios de nombres (DNS).
-Los servicios de tiempos (NTP).
-Los servicios de correo electrónico (SMTP).
-Los servicios web corporativos.

Para contar con una seguridad perimetral robusta habrá que asegurar debidamente a los servidores.

Para ello será imprescindible aplicar procedimientos de buenas prácticas de instalación y configuración, mantenimiento y operación.

Los sistemas operativos y las aplicaciones actuales cuentan con mecanismos de seguridad que pueden ser configurados para mitigar el riesgo, sumándose así a las medidas de seguridad perimetral desplegadas.

Se pueden realizar varias acciones, como son:

-Herramientas de software de control de seguridad.
-Instalación de un firewall o proxy.
-WEB APPLICATION FIREWALL.
-DATABASE FIREWALL.

 

 

Herramientas de software de control de seguridad

Para que tengamos una mejor perspectiva de ello, vamos a ver las características de la herramienta Suricata, que es una de las más completas de la red:

-Es una de las herramientas de control de seguridad para servidores.

-Es gratuita y de código abierto.

-Ofrece a los usuarios un sistema de detección y prevención de intrusos y un completo monitor de seguridad para cualquier servidor conectado a la red, de manera que gracias a él podamos mantener la seguridad de nuestro servidor o dispositivo conectado a la red lo más seguro posible frente a amenazas comunes.

-Es una herramienta escalable.
Este monitor de seguridad hace uso de las funciones multi-hilo de manera que solo con ejecutarse en una instancia el monitor balanceará su carga entre todos los procesadores disponibles, evitando incluso alguno de ellos si así lo especificamos. Gracias a ello, esta herramienta es capaz de procesar un ancho de banda de hasta 10 gigabits por segundo sin que ello repercuta sobre el rendimiento.

-Es capaz de identificar los principales protocolos de red, siendo capaz de controlar en todo momento todo el tráfico que se genera en el sistema y controlando posibles amenazas de malware.

-También controla los archivos que viajan por la red, siendo capaz de identificar un gran número de formatos diferentes, así como realizar comprobaciones MD5 para comprobar que no ha sido modificado y también es capaz de extraer temporalmente ciertos archivos para identificar posible malware escondido.

 

 

Instalación de un firewall o proxy

Otra medida adicional es la instalación de un firewall o proxy dedicado en el equipo final, el cual únicamente analizará un tipo de tráfico específico, aportando una capa más de seguridad al servidor y por tanto a su entorno.

Tipos de proxys más comunes.

-Proxy web:
Sin duda uno de los servidores proxy más populares son los webs.
Estamos ante una opción en la que los usuarios pueden acceder a través de una página web. Esa web es la que actúa como proxy. Está basado en HTTP y HTTPS y actúa como intermediario para acceder a otros servicios en Internet.

A través de esa página web podremos navegar por otros sitios. Toda esa navegación pasa a través del proxy web que estamos utilizando.

-Proxy caché:
Otra opción es la de un servidor proxy caché. En este caso este servidor actúa como intermediario entre la red e Internet para cachear contenido. Puede ser contenido de tipo estático como HTML, CSS, imágenes… Se utiliza para acelerar el contenido de un sitio al navegar.

Si una persona entra en una página por segunda vez, esa información que está cargando ya puede estar cacheada. De esta forma no necesita descargarla de nuevo y va más rápido.

-Proxy inverso:
Un proxy inverso se sitúa entre un grupo de servidores y los clientes que desean utilizarlos, de esta forma la petición del cliente verá como una sola unidad al equipo de servidores, encargándose el proxy de dirigir la petición al servidor correspondiente.

-Proxy transparente:
En este caso lo que hace el proxy es obtener la petición que hemos dado y darle una redirección sin necesidad de modificar nada previamente. Básicamente actúa como un intermediario sin modificar nada, de ahí el nombre que obtiene.

-Proxy NAT:
Una opción más en cuanto a proxys son los proxy NAT.
Principalmente se utilizan para enmascarar la identidad de los usuarios. Esconde la verdadera dirección IP para acceder a la red. Cuenta con variadas configuraciones.

 

 

WEB APPLICATION FIREWALL
Los WAF (Web Application Firewalls) son sistemas de protección de tráfico web, con una base de datos de firmas de las distintas vulnerabilidades existentes, capaces de analizar el comportamiento del usuario y detectar:

-Manipulación de parámetros en cabeceras o cookies.
-Inyecciones SQL.
-Ataques de Cross-site Scripting (XSS).

Pueden bloquear el tráfico anómalo detectado.

 

DATABASE FIREWALL
Los firewalls de base de datos son sistemas dedicados que se instalan como front-end de los servidores finales.

Analizan exclusivamente el tráfico SQL, detectando posibles alteraciones y haciendo cumplir la política de acceso.

 

 

SEGURIDAD EN EL PUESTO DEL USUARIO

Podemos, de una forma fácil y sencilla, seguir unas medidas de seguridad básicas para proteger nuestros sistemas informáticos, tanto a nivel de información, que es el activo más importante, como también a nivel de software, ya que fallos en su funcionamiento perjudican a la productividad.

 

CONTROL DE ACCESO A LA INFORMACIÓN
Por defecto, toda organización debe seguir el principio del mínimo privilegio.

Este principio se traduce en que un usuario sólo debe tener acceso a aquella información estrictamente necesaria para desempeñar sus funciones diarias.

Para conseguir este objetivo debemos realizar los siguientes pasos:

– Definir los diferentes tipos de información que existen en nuestra organización.

– Establecer quién puede acceder a cada tipo de información.

 

La asignación de permisos sobre los recursos que contienen la información puede realizarse:

-Individualmente.
-Por perfiles.
-Por grupos de usuarios.

Es vital escoger medios que permitan la trazabilidad y que sean proporcionales al volumen de información.

Otra forma de controlar el acceso a los recursos son los «Token de seguridad».

Un token de seguridad (también llamado llave digital o llave electrónica) es un dispositivo físico utilizado para acceder a un recurso restringido electrónicamente.

El token se utiliza como complemento o en lugar de una contraseña.

 

COPIAS DE SEGURIDAD

La realización de copias de seguridad, es imprescindible, y deben estar bien planificadas, gestionadas y controladas. Por ello se debe:

-Diseñar la política de seguridad.

-Determinar qué información se va a guardar.

-Concienciar a los usuarios de que deben guardar los documentos a respaldar en las carpetas habilitadas para ello.

-Programar una ejecución automatizada y supervisarla.

-Realizar pruebas de recuperación para asegurar que las copias se están realizando correctamente.

-Recuperar información ante fallos o cuando un usuario lo requiera.

 

Recordemos los tres tipos básicos de copias de seguridad diarias, y un ejemplo:

-Completa: copia toda la información.

-Incremental: copia toda la información que ha cambiado desde la última copia completa o incremental.

-Diferencial: copia toda la información que ha cambiado desde la última copia completa.

 

GESTIÓN DE CONTRASEÑAS

La gestión de usuarios y contraseñas es la primera línea de defensa frente al acceso no autorizado.

Debemos determinar una serie de condiciones de seguridad mínimas en cuanto a las características de las contraseñas, así como periodos de renovación de estas.

Todas estas condiciones y medidas de seguridad deberían estar definidas en la política de seguridad de la organización.

Las contraseñas deben ser robustas y secretas.

– Deben tener una longitud adecuada. (A mayor número de caracteres, mayor dificultad de obtenerla con algoritmos de fuerza bruta).

– Longitud mínima de ocho caracteres.
– No deben utilizarse palabras conocidas:
– Palabras del diccionario.
– Nombres propios.
– Lugares.

Las contraseñas con estas palabras son más fáciles de romper con ataques de diccionario.

Las contraseñas deben incluir variedad de caracteres:

-Mayúsculas.
-Minúsculas.
-Números.
-Signos de puntuación.
-No se deben reutilizar claves. Cada servicio que usemos debe tener una clave diferente.

Se deberían establecer políticas de seguridad que obliguen a los usuarios a cambiar la contraseña periódicamente, evitando la reutilización de estas.

En Windows, esto se puede definir mediante las directivas de contraseña.

 

SINGLE SIGN-ON

El «Inicio de Sesión Único» o «Inicio de Sesión Unificado» (Single Sign-On, SSO) es un procedimiento de autenticación que habilita a un usuario determinado para acceder a varios sistemas con una sola instancia de identificación.

Hay cinco tipos principales de Single Sign-On, llamados también reduced sign on systems («sistemas de autenticación reducida»):

-Enterprise SSO (E-SSO).
Denominado también Legacy SSO, funciona para una autenticación primaria, interceptando los requisitos de login presentados por las aplicaciones secundarias para completar los mismos con el usuario y contraseña.

Estos sistemas E-SSO permiten interactuar con sistemas que pueden deshabilitar la presentación de la pantalla de login.

-Web SSO (Web-SSO).
Denominada también gestión de acceso web (web access management, Web-AM o WAM) trabaja solamente con aplicaciones y recursos accedidos vía web.

Su objetivo es permitir autenticar a los usuarios en diversas aplicaciones, sin necesidad de volver a autenticarse, por ello los accesos son interceptados con la ayuda de un servidor proxy o de un componente instalado en el servidor web o en la aplicación web destino.

Los usuarios no autenticados que tratan de acceder son redirigidos a un servidor o servicio web de autenticación y regresan solamente después de haber logrado un acceso exitoso o con un TOKEN de autenticación para la aplicación destino.

Se utilizan cookies, parámetros por GET (más inseguro) o POST para reconocer aquellos usuarios que acceden y su estado de autenticación.

-Kerberos.
Es un método popular de externalizar la autenticación de los usuarios. Los usuarios se registran en el servidor Kerberos y reciben un tique, luego las aplicaciones cliente lo presentan para obtener acceso.

-Identidad federada.
Utiliza protocolos basados en estándares para habilitar que las aplicaciones puedan identificar los clientes sin necesidad de autenticación redundante.

Es una nueva forma de enfrentar el problema de la autenticación, también para aplicaciones Web.

-OpenID.
Es un proceso de SSO (inicio de sesión único) distribuido y descentralizado donde la identidad se compila en un Localizador Uniforme de Recursos (URL) que cualquier aplicación o servidor puede verificar.