Protegiendo al router

2.2.1.1. Seguridad Física.

Hay un número de formas para proveer seguridad física a un router. El local que contiene al router debe estar libre de interferencia electrostática o magnética. Debe tener controles para la temperatura y la humedad. Si la operación continua del router es crítica se debe tener un suministro continuo de energía eléctrica y mantener a mano fuentes de reserva (UPS).

Para proteger contra ataques de negación de servicio y para permitir que el router soporte el rango más amplio de servicios de seguridad, el router debe ser configurado con la máxima cantidad de memoria posible. También, el router debe estar colocado en un cuarto cerrado, accesible sólo para el personal autorizado.

Página | 27 Ubicar los dispositivos en sitios seguros, protegidos por tecnología y con sistemas de autenticación y autorización, como pueden ser cerraduras electrónicas, sistemas biométricos, smartcards o tokens. (Antoine V., 2005)

En caso de que el daño se produzca debemos tener una copia tanto del sistema operativo o firmware original, como también un respaldo del archivo de configuración funcional más reciente. Estas copias de seguridad se deben probar con anticipación, ya sea directamente en el ambiente de producción o en sistemas simuladores que nos permitan evaluar la funcionalidad de la configuración respaldada. Nunca es aconsejable esperar un momento crítico para validar si una restauración (de sistema operativo y configuración) funciona.

En este punto es importante pensar que un atacante mal intencionado pudo haber modificado las copias almacenadas, por lo tanto tenemos que implementar un mecanismo para verificar la integridad del archivo respaldado, de esta forma podríamos corroborar que el archivo que pensamos volver a producción es realmente el archivo que habíamos respaldado en algún momento. Son casos extraños pero posibles y esto es algo para lo que debemos estar preparados. Un router principal requiere estar en funcionamiento continuo, por eso debemos velar por el buen funcionamiento eléctrico en el lugar donde esté conectado, una solución es tener sistemas UPS que permitan que el router se mantenga activo durante un daño eléctrico temporal. (Bosmajian et al., 2008)

Es posible que un router falle por recalentamiento o algo similar y lo ponga en un estado inservible, para evitar un impacto negativo sobre las operaciones de la organización, debemos tener un router físico de respaldo cargado con la configuración real actualizada y lista para operar cuando se requiera. Una modificación a esto es implementar un sistema de balanceo de carga o un sistema failover, que agregue redundancia a nuestra red, de modo que si uno de los equipos dentro del arreglo falla, el otro inmediatamente entre en

Página | 28 funcionamiento sin la necesidad de intervención humana. Esta solución es un poco más costosa, pero en algunas ocasiones merece la pena considerarla.

Figura 2.2: Failover Básico

Si el dispositivo está siendo monitoreado de forma remota podemos detectar fallas tan pronto como se produzcan, esto nos dará un buen margen de reacción ante un suceso desafortunado. (Quintero, 2010)

2.2.1.2. Sistemas Operativos.

El sistema operativo del router es un componente crucial. Al decidirse cual utilizar se debe tener en cuenta las necesidades de la red.

2.2.1.3. Configuration Hardening

Un router es similar a muchas computadoras en lo referente a que tiene muchos servicios habilitados por defecto. Muchos de estos servicios son innecesarios y pueden ser usados por un atacante para reunir información o para la explotación de las vulnerabilidades. Los servicios innecesarios deben deshabilitarse en la configuración del router. (Antoine V., 2005)

2.2.1.4. Proteger la red con un router.

Los routers pueden estar ubicados en diferentes puntos dependiendo de las tareas que estén cumpliendo: Routers internos, perimetrales, o de backbone.(Arkko and Bradner, 2008)

Página | 29

Routers Internos:

Estos son los routers que se administran generalmente, son los que se encuentran dentro de la infraestructura local y permiten reenviar tráfico entre redes de la misma organización; lógicamente se entienden como un punto de confianza, puesto que al ser vulnerado un intruso puede enrutarse para la red de su elección y si no se tienen dispositivos alternos para filtrar el tráfico, las redes privadas se encuentran comprometidas. (Quintero, 2010)

Figura2.3: Esquema de router interno

Routers perimetrales:

Estos routers son los que generalmente delimitan con Internet (véase figura 2.4) y de una u otra forma están protegiendo nuestras redes privadas. A la vez son los que se encargan de reenviar todo el tráfico interno hacia afuera y de permitirnos la comunicación con el exterior.

Si un usuario se encuentra conectado a Internet a través de un router (módem, cable módem, ADSL, etc.), este es el primer punto de contacto de un posible intruso cuando intente llegar a nuestra red privada. Este router debe estar

Página | 30 acompañado de un dispositivo diseñado exclusivamente para filtrar paquetes y detectar intrusos. (Bosmajian et al., 2001)

Figura2.4: Esquema de router perimetral

Routers de backbone:

Son fundamentales en las comunicaciones en Internet, ya conectan las redes de las diferentes organizaciones y son los que enrutan el tráfico entre países. Estos routers deben tener políticas muy fuertes de seguridad, pues en caso de verse atacados, podrían comprometer la información y la conectividad de muchas organizaciones.(Quintero, 2010)

Página | 31

2.2.1.5. Filtrado de Paquetes.

El enrutador toma las decisiones de rehusar/permitir el paso de cada uno de los paquetes que son recibidos. El enrutador examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas. Las reglas de filtrado se basan en revisar la información que poseen los paquetes en su encabezado, lo que hace posible su desplazamiento en un proceso de IP. Esta información consiste en la dirección IP fuente, la dirección IP destino, el protocolo de encapsulado (TCP, UDP, ICMP, o IP túnel), el puerto fuente TCP/UDP, el puerto destino TCP/UDP, el tipo de mensaje ICMP, la interface de entrada del paquete, y la interface de salida del paquete. Si se encuentra la correspondencia y las reglas permiten el paso del paquete, este será desplazado de acuerdo a la información a la tabla de ruteo, si se encuentra la correspondencia y las reglas niegan el paso, el paquete es descartado. Si estos no corresponden a las reglas, un parámetro configurable por incumplimiento determina descartar o desplazar el paquete.(Lin et al., 2010)

Las reglas acerca del filtrado de paquetes a través de un enrutador para rehusar/permitir el trafico está basado en un servicio específico, desde entonces muchos servicios envían su información por numerosos puertos TCP/UDP conocidos.

Por ejemplo, un servidor Telnet está a la espera para conexiones remotas en el puerto 23 TCP y un servidor SMTP espera las conexiones de entrada en el puerto 25 TCP. Para bloquear todas las entradas de conexión Telnet, el enrutador simplemente descarta todos los paquetes que contengan el valor del puerto destino TCP igual a 23. Para restringir las conexiones Telnet a un limitado número de servidores internos, el enrutador puede rehusar el paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no contengan la dirección destino IP de uno de los servidores permitidos.

Este tipo de ataques ciertamente son difíciles de identificar usando la información básica de los encabezados debido a que son independientes al tipo de servicio.

Página | 32 Los enrutadores pueden ser configurados para protegerse de este tipo de ataques pero son más difíciles de especificar, desde entonces las reglas para el filtrado requieren de información adicional que pueda ser estudiada y examinada por la tabla de ruteo, mediante la inspección de las opciones específicas IP, y la revisión de fragmentos especiales de edición, etc. (Antoine V., 2005)

Permitir solo los protocolos y servicios requeridos.

Es necesario analizar cuidadosamente cuales servicios de red que se permiten a través del router (entrada o salida); si es necesario se utiliza la siguiente línea, como guía, para crear filtros: Lo que no esté expresamente permitido está prohibido. Esta directiva es especialmente importante en los router de frontera (en inglés border routers). Se debe hacer una lista con los servicios y protocolo que deben cruzar a través del router y aquellos que el propio router necesita para su operación. Crear un grupo de reglas de filtrado que acepten el tráfico identificado en la lista y prohíba el resto.

En los casos donde los anfitriones necesiten acceso a servicios específicos o particulares, se agrega una regla específica que permita esos servicios pero solo para las direcciones de los anfitriones que lo solicitaron. Por ejemplo, el host cortafuego de la red puede ser la única dirección autorizada para iniciar conexiones de Web (el puerto de protocolo de control de transmisión 80) a través del router. (Bosmajian et al., 2008)

Denegar protocolos y servicios riesgosos.

Algunas veces no es posible seguir la estricta línea de seguridad descrita anteriormente, en ese caso prohíba los servicios que no son comúnmente necesarios o los que se caracterizan por ser utilizados para comprometer la seguridad. Las dos tablas que se presentan a continuación presentan los servicios que comúnmente se deben restringir ya que pueden ser utilizados para recoger información sobre la protección de la red o tienen debilidades que pueden ser explotadas en contra de la red. (Antoine V., 2005)

Página | 33

Port Service

1 (TCP & UDP) tcpmux 7 (TCP & UDP) echo 9 (TCP & UDP) discard

11 (TCP) systat

13 (TCP & UDP) daytime

15 (TCP) netstat

19 (TCP & UDP) chargen 37 (TCP & UDP) time

43 (TCP) whois

67 (UDP) bootp

69 (UDP) tftp

95 (TCP & UDP) supdup 111 (TCP & UDP) sunrpc 135 (TCP & UDP) loc-srv 137 (TCP & UDP) netbios-ns 138 (TCP & UDP) netbios-dgm 139 (TCP & UDP) netbios-ssn

177 (UDP) xdmcp 445 (TCP) netbios (ds) 512 (TCP) rexec 515 (TCP) lpr 517 (UDP) talk 518 (UDP) ntalk 540 (TCP) uucp

1434 (UDP) Microsoft SQL Server 1900, 5000 (TCP & Microsoft UPnP SSDP

2049 (UDP) NFS

6000 - 6063 (TCP) X Window System

6667 (TCP) IRC

12345-6 (TCP) NetBus

31337 (TCP & UDP) Back Orifice

Tabla 1. Servicios a bloquear en el router de frontera.

En la Tabla 2 se muestran algunos servicios de la red interna o en el router mismo que no deben ser accesibles para las conexiones de redes externas.

Port Service

79 (TCP) finger

161 (TCP & UDP) snmp 162 (TCP & UDP) snmptrap

Página | 34

513 (TCP) rlogin

513 (UDP) who

514 (TCP) rsh, rcp, rdist, rdump

514 (UDP) syslog

550 (TCP & UDP) new who

Tabla 2. Servicios a bloquear en el router.

Filtrado de direcciones.

El filtrado en los Router también se usa en la protección contra las direcciones IP dudosas (del inglés spoofing), especialmente en los routers de fronteras. Los principios a aplicar en los routers de frontera se encuentran enumerados a continuación:

o Denegar todo el tráfico de las redes internas que portan una dirección IP fuente que no pertenece a la rede interna. (El tráfico legítimo generado por las fuentes en las redes internas siempre portará una dirección dentro del rango o los rangos asignados a las redes internas; cualquier otro tráfico que trate de reclamar una dirección falsa de la fuente, es, en la mayoría de los casos, erróneo o malicioso por naturaleza.)

o Denegar todo el tráfico de las redes externas que porten una dirección fuente perteneciente a las redes internas. (Suponiendo que las direcciones son asignadas correctamente, el tráfico enviado de las redes externas siempre debe portar una dirección de la fuente de algún rango fuera de aquellos asignados a las redes internas. Navegar portando tales direcciones engañosas es a menudo parte de un ataque y debe ser descartada por el router de frontera.)

o Denegar todo el tráfico con dirección fuente o la dirección del destino perteneciente a direcciones confidenciales, unroutable, o un rango ilegal de direcciones. (Antoine V., 2005)

Página | 35