Seguridad en la Capa de Red

La función de esta capa se basa principalmente en el protocolo IP y es el manejo de rutas. Es un protocolo no orientado a la conexión, permitiendo el intercambio de datos sin el establecimiento previo de la llamada. Soporta las operaciones de fragmentación y defragmentación, por medio de las cuales un datagrama se subdivide y segmenta en paquetes más pequeños para ser introducidos a la red, y luego en el destino se reconstruyen en su formato original para entregarlos al nivel superior. También implementa el, el cual lo realiza por medio de un esquema de direccionamiento.

En TCP/IP se tiene la Capa de Internet, en esta capa se puede realizar cualquier ataque que afecte un datagrama IP. Siendo los principales ataques a esta capa: las técnicas de sniffing, la suplantación de mensajes, la modificación de datos, los retrasos de mensajes y la denegación de mensajes.

En un ataque se puede suplantar un paquete si se indica que proviene de otro sistema. La suplantación de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el suplantado.

En esta capa, la autenticación de los paquetes se realiza a nivel de máquina (por dirección IP) y no a nivel de usuario. Si un sistema suministra una dirección de máquina errónea, el receptor no detectará la suplantación. Para conseguir su objetivo, este tipo de ataques suele utilizar otras técnicas, como la predicción de números de secuencia TCP, el envenenamiento de tablas caché, etc. Por otro lado, los paquetes se pueden manipular si se modifica sus datos y se reconstruyen de forma adecuada los controles de las cabeceras. Si esto es posible, el receptor será incapaz de detectar el cambio.

Para controlar la seguridad en esta capa se debe poner atención en los mensajes de ruta y direcciones:

Seguridad en Router:

El Router es el dispositivo a controlar en este nivel, para lo cual se debe tomas atención en:

 Control de contraseñas: Los router permiten la configuración de distintos tipos de contraseñas, para acceder al modo usuario es la primera que solicita si se accede vía Telnet, luego también para el ingreso a modo privilegiado, también se permite el acceso a una contraseña cifrada, la de acceso vía consola y por último por medio de interfaz gráfica por http.  Configuración del router: Dentro de este aspecto se contemplan los

detalles de configuración que muchas veces en forma innecesaria quedan habilitados y no se emplean como Broadcast Subnetting, local loop, puertos, rutas, etc.

 Resguardo de las configuraciones: Se debe guardar la startupconfig en forma consistente con la running-config, y esta a su vez en un servidor t_ftp, como así también en forma impresa.

 Protocolos de ruteo: El empleo de los protocolos de ruteo es crítico pues la mayor flexibilidad está dada por el uso de los dinámicos (RIP, IGRP, EIGRP, OSPF), pero se debe tener en cuenta que con esta medida se facilita información para ser aprovechada por intrusos, los cuales a su vez pueden emplearla para hacerse partícipe de las tablas de ruteo (En especial con RIP pues no se puede verificar el origen de los costos de las rutas, en OSPF, es más fácil pues se envía una tabla completa que pertenece a un router específico y a su vez a este se lo puede verificar con dos niveles de contraseña: normal y Message Digest). Las tablas de ruteo estáticas, por el contrario, incrementan sensiblemente las medidas de seguridad, pues toda ruta que no esté contemplada, no podrá ser alcanzada.

 Listas de control de acceso: Son la medida primaria de acceso a una red  Listas de acceso extendidas: Amplían las funciones de las anteriores,

generalmente con parámetros de nivel de transporte  Archivos .Log: Permiten generar las alarmas necesarias.

 Seguridad en el acceso por consola: Se debe prestar especial atención pues por defecto viene habilitada sin restricciones, y si se tiene acceso físico al router, se obtiene el control total del mismo. Siempre hay que tener presente que un usuario experto, si tiene acceso físico puede iniciar la secuencia de recuperación de contraseña e iniciar el router con una contraseña nueva.

Control de tráfico ICMP:

 Mejor ruta: Este se trata del campo código de la cabecera ICMP con el código 5 de mensaje, su mal empleo permite triangular la ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la información deseada.

 Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con una solicitud y respuesta de eco (código 0 y 8, conocido como ping). Un conocido ataque es enviarlo con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe cómo tratarlo y se bloquea. Se debe indicar que hoy la masa de los sistemas ya no lo permiten. También se puede negar el servicio, por medio de una inundación de estos.

 Destino no alcanzable: Es el código 3 de ICMP, lo importante pasa por los códigos en que se subdivide, pues por medio de estos, se obtiene información que es de sumo interés. Al recibir respuestas de destino no alcanzable, desde ya no es lo mismo esta situación si se trata de prohibición de acceso, de puertos negados, de Servidores que administrativamente niegan acceso a sus aplicaciones, etc.

El campo código de la cabecera ICMP puede contener uno de los siguientes valores:

Código Valor

0 Net unreachable 1 Host unreachable 2 Protocol unreachable

3 Port unreachable

4 Fragmentation needed and don’t fragment bit was set 5 Source route failed

6 Destination network unknown 7 Destination host unknown 8 Source host isolated

9 Destination network is administratively prohibited 10 Destination host is administratively prohibited

11 Destination network unreacheable for type of service 12 Destination host unreacheable for type of service 13 Communication Administratively prohibited 14 Host precedence violation

15 Precedence cutoff in effect Tabla No. 3.10. Código de la cabecera ICMP.

Fuente: http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html.

Seguridad ARP:

El ataque ARP es uno de los más difíciles de detectar pues se refiere a una asociación incorrecta de direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la red y comparar permanentemente las mismas con un patrón de referencia válido. Existen programas que realizan esta tarea, como Arpwatch, siendo de los más conocidos. Arpwatch corre bajo linux y está en los repositorios de las principales distribuciones, así que se la puede instalar con apt- get, yum, rpm, etc. Una vez instalada, se debe editar el fichero de configuración, que está en /etc/arpwatch.conf, para que mire nuestra subred y nos envíe las alertas. Para esto, añadimos una línea dentro del fichero que ponga eth0 -a -n 192.168.1.0/24. Obviamente, arpwatch, o cualquier otro sistema similar, no puede mirar más que la subred o subredes a la que pertenece el computador donde lo hemos instalado, ya que los paquetes arp no saltan de VLAN en VLAN. Esto quiere decir que se necesita un arpwatch por cada subred, así que se debe ser cuidadosos y tratar de minimizar el trabajo.

Se lo instalará en las subredes más críticas, como puedan ser administración y sistemas. Para que envíe las alertas, se tiene muchas formas. Una de ellas es

configurarlo para que envie un mail, añadiendo al fichero /etc/arpwatch.conf una línea como ésta:

eth0 -a -n 192.168.1.0/24 -m [email protected]

Control de direccionamiento IP:

Como es de conocimiento existen dos formas de asignación de direcciones IP

 Estático: Se implementa en cada host manualmente, y se hace presente en la red siempre con la misma dirección IP.

 Dinámico: Se asigna a través del empleo del protocolo DHCP dentro del rango que se desee. Se debe tener en cuenta que al producirse las cuatro tramas de DHCP, se pueden configurar varios parámetros, uno de ellos también es la máscara de subred.

Si se asigna la IP de forma estática en los dispositivos se gana en seguridad, puesto que si por cualquier circunstancia un intruso llega a acceder a la red, no se le asignará dirección IP para conectarse, por lo que evitará que se pueda comunicar, tanto con el exterior como con el resto de equipos. Esto es una medida adicional sobre todo para las conexiones WiFi. Actualmente la Red de la Cooperativa asigna las direcciones IP en forma Dinámica pero se debe hacer una planificación para realizar esta asignación en forma Estática.