Sistema detección de intrusos para una red inalámbrica de una PyME

Instituto Politécnico Nacional Escuela Superior de Ingeniería

Mecánica y Eléctrica

“Sistema Detección de Intrusos para una Red Inalámbrica de una PyME ”

T E S I S

QUE PARA OBTENER EL TÍTULO DE:

INGENIERO EN COMUNICACIONES Y ELECTRÓNICA

PRESENTAN:

AGUILAR MARTINEZ GUSTAVO MARTINEZ PIÑA ALEJANDRO MORALES CASTILLO VICTOR

Asesores:

M. en C. Héctor Becerril Mendoza Ing. Wilfrido Ángeles Quiroz

México D.F. 2007

ÍNDICE

Introducción 1

Objetivos 5

Justificación 6

CAPITULO I. SEGURIDAD EN REDES INALAMBRICAS

Vulnerabilidades en redes WLAN 8

Principales Ataques a las redes WLAN 10

Ataques pasivos 10

Ataques activos 11

Ataques de negación de servicios 11

Soluciones de seguridad en WLAN 12

Plan de Implementación de Seguridad WLAN 14

802.1X 14

Acceso Protegido Wi-Fi 15

802.11i 15

Otras Consideraciones de Seguridad 15

Soluciones de seguridad física 16

En general 16

Ventajas 18

Desventajas 18

Proxies transparentes 19

Reverse Proxy 19

Proxy NAT (Network Address Translation) / Enmascaramiento 20

Firewall 20

Tipos de Firewall 21

Ventajas de un firewall 21

Sistemas de caja Negra 22

Desventajas 23

Ín

Soluciones de seguridad lógica 23

Servidores de seguridad 25

Servidor Proxy 26

CAPITULO II. ESTADO DEL ARTE.

Sistema de Detección de Intrusos 28

¿Qué es un Sistema de Detección de Intrusos? 28

¿Por qué utilizar un IDS? 28

Prevenir problemas al disuadir a individuos hostiles 28 Detectar ataques y otras violaciones de la seguridad que

no son prevenidas por otras medidas de protección 29 Detectar preámbulos de ataques

(Normalmente pruebas de red y otras actividades) 29

Documentar el riesgo de la organización 29

Proveer información útil sobre las intrusiones que.

se están produciendo 30

Adaptative Intrusion Detection System – AID 30

Arquitectura de los IDSs 30

CIDF (Common Intrusion Detection Framework) 30

CISL (Common Intrusion Specification Language) 31

Arquitectura de IDWG (Intrusion Detection Working Group) 32

Fuentes de información 32

¿Dónde colocar un IDS? 32

Organización 33

IDS en un entorno Switcheado 34

Gestión centralizada de múltiples IDS 36

ISP 37

Inserción 38

Evasión 38

Evasión e inserción en el mundo real 39

Adaptative Intrusion Detection System – AID 40

Arquitectura y funcionalidad 41

Rendimiento 42

Agentes Autónomos para la Detección de Intrusiones 42

Enfoque del grupo 42

La arquitectura AAFID 43

Implementación de AAFID 45

CAPITULO III. ALTERNATIVAS DE SOLUCION PARA LA DETECCION DE INTRUSOS

Tipos de sistemas de detección de intrusos 46

Soluciones existentes software 46

SNORT 47

Decodificador de paquetes 47

Motor de detección 47

Subsistema de alerta y log 48

NFR NID 48

EMERALD 49

DIDS 49

AAFID 50

Dragon - Enterasys Networks 51

Cisco Secure IDS Sensors 51

Internet Security Systems – Real Secure R 51

Real Secure R Network Sensor 52

Shadow 52

CIDF (Common Intrusion Detection Framework) 52

CISL (Common Intrusion Specification Language) 52

Fuentes de información 53

IDSs basados en red (NIDS) 53

Ventajas 53

Desventajas 54

Limitaciones de los NIDSs 54

IDSs basados en host (HIDS) 56

Ventajas 56

Desventajas 56

Análisis de eventos 57

Detección de abusos o firmas 57

Ventajas 57

Desventajas 57

Detección de anomalías 57

Ventajas 58

Desventajas 58

Respuesta a ataques 58

Respuestas pasivas 59

Respuestas activas 59

Herramientas y complementos 59

Sistemas de valoración y análisis de vulnerabilidades 59 File Integrity Checkers

(Controladores de la integridad de los ficheros) 59

Honeypots 60

Detección de intrusiones basada en grafos

(GrIDS - Graph-based Intrusion Detection System) 61 Detección de intrusos para redes con un gran número de hosts 62

Spoofing 63

CAPITULO IV. IMPLANTACION DE SEGURIDAD EN UN CASO DE PRUEBA

IMPLANTACION DEL SISTEMA 67

Requerimientos 67

Auditoria de la red 68

Densidad de usuarios 69

Selección de la tecnología 70

Elección de la base de datos 71

Elección de software adicional 71

Presupuesto 72

IMPLEMENTACIÓN 72

Diseño de opciones de seguridad 77

Autentificación del usuario 77

Creación de una política de seguridad 78

Protección del equipo 78

INSTALACIÓN DE SNORT 78

Configuración de Snort 80

Configuración de reglas 80

Configuración de salida 80

Configuración para la integración con la base de datos 81

Incluir archivos especiales 81

Probar configuración 82

INSTALACION DE MYSQL 83

Configuración 84

IIS 88

ACID 89

Administración de la Red 90

Active Directory 90

Políticas de grupo 91

Organización de Políticas 91

La configuración del equipo 92

La configuración de usuario 92

Documentación 94

Características del edificio que ocupa nuestra empresa 94

CAPITULO V. PRUEBAS Y RESULTADOS Presentación de resultados 98

Pruebas de conexión 98

Análisis de resultados 99

Análisis de tráfico real 99

Ejecución de Snort 100

Modelo de referencia 101

Pruebas de puntos de acceso 102

Snort+MySQL 103

CAPITULO VI.- CONCLUCIONES Y TRABAJO A FUTURO

Conclusiones 106

Trabajo Futuro 108

Glosario de términos 111

Referencias 125

ÍNDICE DE FIGURAS

INTRODUCCIÓN CAPITULO I

Fig. 1 Figura de red WLAN 3

CAPITULO II

Fig. 2.1. Diagrama de bloques de la arquitectura CIDF 31 Fig. 2.2. Localización de un IDS dentro de una organización 33

Fig. 2.3.1. Spannigs Ports y TAPS 34

Fig. 2.3.2. TAPS 35

Fig. 2.3.3. TAPS con IDS 35

Fig. 2.4. Distribución de los sensores dentro de un ISP 37

Fig. 2.5. Ataque de inserción 38

Fig. 2.6. Ataque de evasión 39

Fig. 2.7. Arquitectura de un Sistema AID 41

Fig. 2.8. Representación física y lógica de un ejemplo de sistema AAFID 43

CAPITULO III

Fig. 3.1.a. Inicio de un grafo de gusano 61

Fig. 3.1.b. Una vista más extensa del mismo gusano 61 Fig. 3.2. Escaneo de trabes de un de un cambio de estado 64

Fig. 3.3. Observación indirecta 64

Fig. 3.4. Observación indirecta avanzada 65

Tabla. 3.1. Características de IDS estudiados 65

Ín

CAPITULO IV

Tabla. 4.1. Tabla de Aplicaciones y necesidades 68

Tabla. 4.2. Tabla de distribución del nuevo sistema 69

Diagrama. 4.1. Diagrama de red 70

Fig. 4.1. Figura de instalación del Snort 79

Fig. 4.2. Figura de instalación del Snort 79

Fig. 4.3. Comprobación de configuración 82

Fig. 4.4. Instalación de MySQL 84

Fig. 4.5. Configuración del MySQL 86

Fig. 4.6. Configuración del IIS 88

Fig. 4.7. Consola para análisis de instrucción de ACID 90

Fig. 4.8.1. Tercer piso S1 SWITCH 1 94

Fig. 4.8.2. S2 SWITCH 2 94

Fig. 4.8.3. SWITCH 3 W 95

Fig. 4.8.4. SWITCH 4 95

Fig. 4.8.5. SWITCH 6 95

Fig. 4.8.6. SWITCH 7 96

Fig. 4.8.7. SWITCH 8 W 96

Fig. 4.8.8. SWITCH 9 W 97

Fig. 4.8.9. SWITCH 10 W 97

CAPITULO V

Fig. 5.1. Pruebas de conexión 99

Fig. 5.2. Pruebas de conexión 99

Tabla. 5.1. Tabla de paquetes capturados 100

Tabla. 5.2. Tabla de Alertas 101

Grafica. 5.1. Transito de Snort 102

Grafica. 5.2.1. Comportamiento del tráfico en días en específico 103 Grafica. 5.2.2. Comparación entre tráfico entrante y procesado 103

Grafica. 5.2.3. Gráfica comparativa entre el tráfico entrante

y el descartado en Snort+MySQL 104

Tabla. 5.3. Snort- MySQL 105

Grafica. 5.3. Proceso en memoria con respecto a paquetes descartados 105

INTRODUCCIÓN

En EEUU las redes para WLAN para Internet, en donde hay más de 4.000 zonas de acceso, y en Europa es previsible que pronto se extiendan.

Las WLAN se encuadran dentro de los estándares desarrollados por el IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) para redes locales inalámbricas. Otro aspecto a destacar es la integración de las WLAN en entornos de redes móviles de 3G (UMTS) para cubrir las zonas de alta concentración de usuarios (los denominados hot spots), como solución de acceso público a la red de comunicaciones móviles.

Como todos los estándares 802 para redes locales del IEEE, en el caso de las WLAN, también se centran en los dos niveles inferiores del modelo OSI, el físico y el de enlace, por lo que es posible correr por encima cualquier protocolo (TCP/IP o cualquier otro) o aplicación, soportando los sistemas operativos de red habituales, lo que supone una gran ventaja para los usuarios que pueden seguir utilizando sus aplicaciones habituales, con independencia del medio empleado, sea por red de cable o por radio.

Otra tecnología de acceso inalámbrico en áreas de pequeña extensión (WPAN/WLAN Personal Área Network) es la denominada Bluetooth, que aunque pueda parecer competencia directa de las WLAN, es más bien complementaria a ella.

REDES LOCALES INALÁMBRICAS 802.11

El origen de las LAN inalámbricas (WLAN) se remonta a la publicación en 1979 de los resultados de un experimento realizado por ingenieros de IBM en Suiza, consistente en utilizar enlaces infrarrojos para crear una red local en una fábrica. En mayo de 1985, y tras cuatro años de estudios, la FCC (Federal Communications Comisión), la agencia federal del Gobierno de Estados Unidos encargada de regular y administrar en materia de telecomunicaciones, asignó las bandas ISM (Industrial, Scientific and Medical) 902-928 MHz, 2,400-2,4835 GHz, 5,725-5,850 GHz para uso en las redes inalámbricas basadas en Spread Spectrum (SS), con las opciones DS (Direct Séquense) y FH (Frequency Hopping). Desde 1985 hasta 1990 se siguió trabajando ya más en la fase de desarrollo,

I

hasta que en mayo de 1991 se publicaron varios trabajos referentes a WLAN operativas que superaban la velocidad de 1 Mbit/s, el mínimo establecido por el IEEE 802 para que la red sea considerada realmente una LAN, con aplicación empresarial.

Las redes WLAN se componen fundamentalmente de dos tipos de elementos, los puntos de acceso y los dispositivos de cliente. El uso más popular de las WLAN implica la utilización de tarjetas de red inalámbricas, cuya función es permitir al usuario conectarse a la LAN empresarial sin la necesidad de una interfaz física.

En 1992 se crea Winforum, consorcio liderado por Apple y formado por empresas del sector de las telecomunicaciones y de la informática para conseguir bandas de frecuencia para los sistemas PCS (Personal Communications Systems). En 1993 también se constituye la IrDA (Infrared Data Association) para promover el desarrollo de las WLAN basadas en enlaces por infrarrojos. En 1996, finalmente, un grupo de empresas del sector de informática móvil (mobile computing) y de servicios forman el Wireless LAN Interoperability Forum (WLI Forum) para potenciar este mercado mediante la creación de un amplio abanico de productos y servicios intel operativos. Por otra parte, WLANA (Wireless LAN Association) es una asociación de industrias y empresas cuya misión es ayudar y fomentar el crecimiento de la industria WLAN a través de la educación y promoción.

WLAN 802.11

En junio del año 1997 el IEEE ratificó el estándar para WLAN IEEE 802.11, que alcanzaba una velocidad de 2 Mbit/s, con una modulación de señal de espectro expandido por secuencia directa (DSSS), aunque también contempla la opción de espectro expandido por salto de frecuencia, FHSS en la banda de 2,4 GHz, y se definió el funcionamiento y la interoperabilidad entre redes inalámbricas.

El 802.11 es una red local inalámbrica que usa la transmisión por radio en la banda de 2.4 GHz, o infrarroja, con regímenes binarios de 1 a 2 Mbit/s. El método de acceso al medio MAC (Médium Access Mechanism) es mediante escucha pero sin detección de colisión, CSMA/CA (Carrier Sense Múltiple Access with Collision Avoidance).

La dificultad en detectar la portadora en el acceso WLAN consiste básicamente en que la tecnología utilizada es Spread-Spectrum y con acceso por división de código (CDMA), lo que conlleva a que el medio radioeléctrico es compartido, ya sea por secuencia directa

DSSS o por saltos de frecuencia en FHSS. Hay que mencionar que la banda de 2,4 GHz está reglamentada como banda de acceso pública y en ella funcionan gran cantidad de sistemas, entre los que se incluyen los teléfonos inalámbricos Bluetooth.

WLAN 802.11b (Wi-Fi)

Un poco más tarde, en el año 1999, se aprobó el estándar 802.11b, una extensión del 802.11 para WLAN empresariales, con una velocidad de 11 Mbit/s (otras velocidades normalizadas a nivel físico son: 5,5 - 2 y 1 Mbit/s) y un alcance de 100 metros, que al igual que Bluetooth y Home RF, también emplea la banda de ISM de 2,4 GHz, pero en lugar de una simple modulación de radio digital y salto de frecuencia (FH/Frequency Hopping), utiliza una la modulación linear compleja (DSSS). Permite mayor velocidad, pero presenta una menor seguridad, y el alcance puede llegar a los 100 metros, suficientes para un entorno de oficina o residencial.

WLAN 802.11g

El IEEE también ha aprobado en el año 2003 en el estándar 802.11g, compatible con el 802.11b, capaz de alcanzar una velocidad doble, es decir hasta 22 Mbit/s o llegar, incluso a 54 Mbit/s, para competir con los otros estándares que prometen velocidades mucho más elevadas pero que son incompatibles con los equipos 802.11b ya instalados, aunque pueden coexistir en el mismo entorno debido a que las bandas de frecuencias que emplean son distintas.

Fig1.de Red WLAN

COMPATIBILIDAD Y SEGURIDAD.

WECA (Wireless Ethernet Compatibility Alliance), es una alianza para la Compatibilidad Ethernet Inalámbrica, cuya misión es la de certificar la ínter funcionalidad y compatibilidad de los productos de redes inalámbricas 802.11b y promover este estándar para la empresa y el hogar. Para indicar la compatibilidad entre dispositivos inalámbricos, tarjetas de red o puntos de acceso de cualquier fabricantes, se les incorpora el logo "Wi-Fi"

(estándar de Fidelidad Inalámbrica), y así los equipos con esta marca, soportada por más de 150 empresas, se pueden incorporar en las redes sin ningún problema, siendo incluso posible la incorporación de terminales telefónicos Wi-Fi a estas redes para establecer llamadas de voz.

En general se utiliza WEP (Wired Equivalen Privacy), que es un mecanismo de encriptación y autenticación especificado en el estándar IEEE 802.11 para garantizar la seguridad de las comunicaciones entre los usuarios y los puntos de acceso. La clave de acceso estándar es de 40 bits, pero existe otra opcional de 128 bits, y se asigna de forma estática o manual (no dinámica), tanto para los clientes, que comparten todos el mismo conjunto de cuatro claves predeterminadas, como para los puntos de acceso a la red, lo que genera algunas dudas sobre su eficacia. Otros usuarios han preferido adquirir soluciones wireless convencionales y potenciar la seguridad con tecnología de otros fabricantes especializados en seguridad móvil en lugar de soluciones que incluyan la certificación WPA

Bluetooth

BLUETOOTH está detrás de Wi-Fi en un proceso evolutivo, pero ahora cada vez mejor.

Esta función permite a los dispositivos Bluetooth, operar mas efectivamente en donde existen redes inalámbricas, como en los grandes supermercados y en muchos almacenes. Bluetooth es la norma que define un estándar global de comunicación inalámbrica, que posibilita la transmisión de voz y datos entre diferentes equipos mediante un enlace por radiofrecuencia.

OBJETIVO

Objetivo General

Realizar un análisis E IMPLEMENTACION de un esquema de protección contra intrusos para PYME que permita garantizar seguridad a los usuarios de una red inalámbrica.

Objetivos Específicos

• Analizar el problema de las intrusiones malintencionadas a los sistemas de negocios PyME

• Analizar las soluciones que existen en el mercado para resolver el problema de intrusión malintencionada en sistemas PyME, considerando las posibilidades de inversión de este tipo de empresas.

• Implementar en una red PyME un Sistema Detector de Intrusos.

• Proteger dicha Red con el IDS y complementarlo con los sistemas disponibles en el mercado.

• Diseñar una topología de red segura y confiable

O

JUSTIFICACIÓN

Todos vemos a diario los constantes ataques que sufren los servidores de las compañías, pero nadie está a salvo de los ataques de los hackers. Aunque la información de un usuario final puede ser inútil, su computadora se puede convertir en el origen de un ataque a un tercero, de forma que el verdadero atacante desaparece entre las sombras.

Existen algunas herramientas que son capaces de coordinar ataques de DoS entre múltiples maquinas afectadas, de forma que el hacker solo debe infectar unos cuantos sistemas en las distintas computadoras de usuarios finales (débilmente defendidos) y lanzar el ataque desde ahí. Ni siquiera tiene que estar conectado a Internet cuando el ataque se realiza.

La solución de muchos usuarios es poner un Firewall. Este Firewall cierra todos aquellos puertos (servicios) que no usa, reduciendo de esta forma la posibilidad de ataque. Pero,

¿es esto suficiente? La respuesta es no. El Firewall representa una puerta, que prohíbe el paso a todos aquellos servicios no autorizados, pero que deja pasar aquellos que el usuario/s detrás del Firewall necesita usar. Y ahí esta el problema. Aunque solo se permitan los servicios básicos y teóricamente seguros, existen agujeros que se pueden aprovechar, y ante los que el Firewall no puede hacer nada (si es un servicio autorizado, simplemente lo deja pasar). Todo esto suponiendo, claro esta, que la integridad del Firewall no haya sido comprometida. ¿Qué se puede hacer a continuación?

Al igual que una puerta no es suficiente para proteger una casa, y se instala un sistema de alarma para detectar cuando un ladrón ha conseguido pasar la puerta, podemos pensar en un sistema similar a la hora de hablar de una red informática. El Firewall se puede ver comprometido, y es necesario tener algún sistema que nos permita detectar esta situación. Además, dado que todos los servicios tienen agujeros potenciales de seguridad, es de esperar que muchos ataques pasen por el Firewall sin que este sea capaz de detectarlo. Por tanto, es necesario algo más, un vigilante, un IDS.

J

La empresa que vamos a analizar no tiene las condiciones adecuadas para llevar a cabo transacciones de comercio electrónico y con ello ampliar su horizonte de negocios.

Asimismo, los recursos no se están aprovechando de manera óptima y se esta desperdiciando dinero en otros tantos. Además de los problemas recién descritos, no existen mecanismos de seguridad ni de control sólidos para proteger los recursos informáticos.

Los empleados pueden acceder indiscriminadamente a Internet y consumen el ancho de banda del enlace contratado, “bajando” videos y archivos multimedia. No existen herramientas que protejan las computadoras personales ni de funcionarios, empleados o clientes que se ven expuestos a todo tipo de malware (virus, gusanos, software espía, etc.). Los servidores internos, se encuentran en el mismo segmento que los servidores externos lo que representa problemas de rendimiento, y por supuesto, una gran brecha de seguridad. La movilidad de un alto porcentaje de los empleados, requiere conectividad de red temporal. Por si fuera poco, el cableado actual es insuficiente y la inversión requerida para incrementar la densidad de nodos, es considerable. Dos de las oficinas ya cuentan con Aps, sin embargo estos no están administrados y la información “viaja en claro”.

Por lo antes mencionado es un área en donde todavía hay mucho que considerar, es por eso que surge el interés en encontrar una forma de proteger a una red de tipo PyME, la cual necesita de una red inalámbrica por el tipo e infraestructura que tiene por lo tanto requiere la protección de su red, además de tener un control de monitoreo de quien entra y utiliza su servicio de red.

Capitulo

SEGURIDAD EN REDES INALAMBRICAS

Como sabemos, la seguridad en redes tipo inalámbricas, es un factor muy importante debido a la naturaleza del medio de transmisión: el aire. Las características de seguridad en la WLAN (Red Local Inalámbrica), se basan especialmente en la protección a la comunicación entre el punto de acceso y los clientes inalámbricos, controlan el ingreso a esta red, y protegen al sistema de administración de acceso no autorizado.

Las redes Wi-Fi basadas en los estándares IEEE 802.11 b/g se han popularizado en los últimos tiempos tanto en entornos domésticos, empresariales o urbanos. Los puntos de acceso Wi-Fi se han multiplicado en los hogares de los usuarios de las redes de banda ancha, en las organizaciones como extensión de sus redes cableadas con el fin de facilitar un acceso más sencillo y flexible a datos y servicios corporativos sus empleados y qué no decir de los "hot-spots" que salpican nuestra arquitectura urbana ( hoteles, aeropuertos, Palacios de Congresos, ... ) Son innegables las oportunidades que las redes inalámbricas proporcionan a sus usuarios pero, a su vez, ofrecen a los hackers nuevas oportunidades para conseguir acceso no autorizado a sistemas corporativos y sus datos.

Estas limitaciones en la seguridad han conducido la investigación y desarrollo de nuevas soluciones de seguridad, alternativas a la inicialmente existente (WEP), para proteger las redes Wi-Fi y proporcionar a las organizaciones que las utilizan la garantía que necesitan para sus sistemas y datos.

Vulnerabilidad en Redes WLAN.

Uno de los problemas de este tipo de redes es precisamente es la vulnerabilidad ya que cualquier persona con una terminal inalámbrica podría comunicarse con un punto de acceso privado si no se disponen de las medidas de seguridad adecuadas. Dichas medidas van encaminadas en dos sentidos: por una parte está el cifrado de los datos que se transmiten y en otro plano, pero igualmente importante, se considera la autenticación entre los diversos usuarios de la red. En el caso del cifrado se están realizando diversas investigaciones ya que los sistemas considerados inicialmente se han conseguido

I

descifrar. Para la autenticación se ha tomado como base el protocolo de verificación EAP (Extensible Authentication Protocol), que es bastante flexible y permite el uso de diferentes algoritmos.

Obviamente la seguridad de las redes inalámbricas no se garantiza solo con normas. Los profesionales de seguridad de la información se preocupan con razón por muchos tipos de ataques que se pueden lanzar contra las WLAN, como por ejemplo la intercepción del tráfico, ataques de “tercero interpuesto”, negación de servicio y secuestro de una sesión para nombrar unos pocos. Afortunadamente, muchos riesgos se pueden mitigar siguiendo prácticas básicas de seguridad inalámbrica con tecnologías de protección a clientes y a nivel empresarial. Veamos algunos de los aspectos que implica la seguridad de redes inalámbricas.

Como se sabe el auge de la interconexión inalámbrica tomó por sorpresa a muchos departamentos de TI, debido a que muchos equipos inalámbricos fueron introducidos a las empresas por medio por los empleados y grupos de trabajo y no a través del departamento de TI u otros canales adecuados. Debido a este “acceso furtivo”, el equipo inalámbrico no fue sometido al proceso normal de comprender sus capacidades y limitaciones antes de implementarlo. Por consiguiente, los esfuerzos que se hicieron por proteger los dispositivos inalámbricos no fueron oportunos o no fueron lo suficientemente rigurosos.

El primer paso en la creación de una WLAN segura es establecer una estrategia empresarial para su instalación y utilización. La estrategia debe abarcar las siguientes áreas:

• Determinar las necesidades de la empresa: ¿Cuáles son las motivaciones y necesidades de su empresa? Identificar claramente los objetivos y asegurarse de que los beneficios superan los riesgos.

• Integrar las políticas inalámbricas a las actuales políticas del departamento de TI.

(Recuerde que las soluciones inalámbricas son una extensión de la red alámbrica.

• Definir claramente la propiedad de las WLAN: con ello se garantiza control y respuesta cuando se identifican las amenazas a la seguridad y se bloquean los ingresos de accesos furtivos.

• Proteger la infraestructura existente: es importante no poner los dispositivos inalámbricos directamente en la red interna, sino suministrar una WLAN separada con gateways muy controlados a la red principal.

• Educar a los Usuarios sobre las políticas inalámbricas: incluye instruir a los empleados en la configuración de sus dispositivos para que tengan acceso de manera segura a la red.

Principales Ataques a las Redes WLAN.

Para localizar una máquina en Internet es necesario conocer la dirección IP asignadas por el ISP (Proveedor de Servicios Internet). Para tener acceso es necesario encontrar un puerto abierto. Por ejemplo, en el caso del acceso Web, por lo general, es necesario el puerto 8080 u 80 más popularmente conocido y en el caso del acceso FTP (Protocolo de transferencia de archivos) necesitamos el puerto 21.

Por lo tanto, una vez conocido la dirección IP, es necesario escanear los puertos de la máquina cuya dirección conocemos. Estos programas varían de formato pero tienen como objetivo el mismo fin.

Otro método de apertura de puertos es enviar al usuario un programa que despliegue un

"Caballo de Troya" o "Troyano". Veamos un poco los diferentes tipos de ataques a redes inalámbricas y como funcionan. Los ataques pasivos son aquellos donde un tercero no realiza ningún ataque, simplemente escucha. Los ataques activos, en cambio, buscan causar algún daño, como ser: perdida de confidencialidad, disponibilidad e integridad de información ó sistemas.

El siguiente listado menciona algunos de los ataques más comunes:

• Ataques Pasivos:

Eavesdropping: El atacante simplemente escucha (generalmente con una notebook ó PDA) las comunicaciones entre un Access Point y sus clientes. Con este ataque se busca obtener información que es normalmente transmitida por la red, como ser: usuarios, contraseñas, direcciones IP, etc. Este tipo de ataque es el más peligroso, ya que abre las puertas a otros ataques.

• Ataques activos:

IP Spoofing: El atacante cambia su dirección IP para poder pasar por alto controles de acceso.

MAC Address Spoofing: El atacante cambia su dirección MAC para pasar por alto los controles de acceso de los Access Points. Como veremos mas adelante, la mayoría de los Access Points posee controles de acceso filtrando direcciones MAC.

ARP Poisoning: Todos los equipos conectados a una red tienen una tabla ARP que asocia direcciones MAC a direcciones IP. Este tipo de ataque busca modificar estas tablas para poder redirigir el tráfico de un equipo a otro de manera controlada.

Este tipo de ataque es transparente y la victima no se da cuenta que su trafico de red esta pasando por un tercero antes de llegar a destino.

MAC Flooding: Este ataque se consiste en inundar la red con direcciones IP falsas, causando que el Switch pase a funcionar en modo de Hub, ya que no soporta tanto tráfico.

Denial of Service: Este tipo de ataque busca dejar fuera de servicio a la red inalámbrica, utilizando todo el ancho de banda para enviar paquetes basura. Injection: El atacante puede insertar paquetes en la red inalámbrica causando que todos los clientes se desconecten ó inundar la red con paquetes basura (generando un DoS).

Replay: El atacante captura paquetes y luego los reinserta en la red inalámbrica con o sin modificación. De esta forma, posee todo el control del tráfico. Programa o dispositivo capaz de leer los datos transmitidos por una red. Los programas de espionaje informático se pueden usar con fines legítimos de gestión de la red y para robar información de la red.

En las redes TCP/IP en las que espían la información de los paquetes, suelen recibir el nombre de programas de espionaje informático de paquetes o packet sniffers.

Persona que accede sin autorización a sistemas informáticos con el objetivo de robar o dañar los datos.

Ataque de negación de servicio (DoS, por sus siglas en inglés). Ataque a una red diseñado para deshabilitarla mediante congestionamientos inútiles de tráfico. Muchos de estos ataques, como los ataques Ping of Death y Teardrop, aprovechan las limitaciones de los protocolos TCP/IP. Existen métodos de reparación por software para todos los DoS conocidos que los administradores de sistemas pueden instalar para limitar los daños causados.

Camuflaje. Algunos buscadores prohíben los sitios Web camuflados. En la distribución de mensajes por correo electrónico, el camuflaje consiste en enmascarar el nombre y la dirección del remitente de modo que el destinatario no sepa quién envió el mensaje.

Troyano. Programa destructivo que se encubre bajo la forma de una aplicación inofensiva. A diferencia de los virus, los troyanos no son capaces de reproducirse por sí mismos, pero pueden ser igualmente destructivos. Virus. Todos los virus informáticos son diseñados por el hombre y muchos de ellos pueden reproducirse fácilmente. Si eres miembro de AT&T Yahoo! Dial o DSL, disfrutas de acceso a las funciones de protección y control de uso para padres de familia uno de los paquetes de protección y control más completos de la industria que te protege tu computadora de los ataques de los virus.

Gusano. Programa o algoritmo que se reproduce en una red informática y suele realizar actividades maliciosas, como consumir los recursos de la computadora y hasta cerrar el equipo.

Soluciones de seguridad en WLAN

En los inicios de la tecnología inalámbrica, los procedimientos y mecanismos de seguridad eran tan débiles que podía ganarse acceso con relativa facilidad hacia redes WLAN de compañías desde la calle.

Existe el término “wardriving”, que se refiere a la acción de recorrer una ciudad para buscar la existencia de redes inalámbricas y ganar acceso a ellas. En la actualidad, existen técnicas más sofisticadas y complejas, las cuales fortalecen los inconvenientes de los mecanismos WLAN y ayudan a mantener la confidencialidad y resistencia ante los ataques dirigidos hacia este tipo de redes.

El estándar inalámbrico 802.11 original incorpora encriptación y autenticación WEP (Privacidad Equivalente a Cable). Al interceptar y decodificar los datos transmitidos en el aire, y en cuestión de horas en una red WLAN con tráfico intenso, la clave WEP puede ser deducida y se puede ganar acceso no autorizado. Esta situación desencadenó una serie de acciones por parte del IEEE y de la industria para mejorar la seguridad en las redes de tecnología inalámbrica.

La seguridad WLAN abarca dos elementos: el acceso a la red y la protección de los datos (autenticación y encriptación, respectivamente). Las violaciones a la seguridad de la red

inalámbrica, generalmente, vienen de los puntos de acceso no autorizados, aquéllos instalados sin el conocimiento de los administradores de la red, o que operan con las funcionalidades de protección deshabilitadas (que es la configuración por omisión en los dispositivos inalámbricos).

Estos “hoyos” en la seguridad, pueden ser aprovechados por personal no autorizado (hackers), que en caso de que logren asociarse con el punto de acceso, ponen en riesgo no únicamente la infraestructura inalámbrica, sino también la red alámbrica a la cual se conecta.

La siguiente lista de términos estándares y protocolos de seguridad utilizados en la industria de la WLAN.

- 802.11 del IEEE: La familia de estándares del Instituto de Ingeniería Eléctrica y Electrónica (IEEE) para las redes WLAN, la cual fue por primera vez introducido en 1997.

El 802.11b es un estándar endosado y bajo registro de marca Wi-Fi por la Alianza Wi-Fi.

- 802.1X del IEEE: Un estándar de seguridad que se caracteriza por tener una estructura de autenticación basada en puerto y una distribución dinámica de llaves de sesión para encriptación WEP. Se requiere de un servidor RADIUS.

- 802.11i del IEEE: Un venidero estándar de seguridad que el IEEE está actualmente desarrollando; se caracteriza por las protecciones de autenticación 802.1X y agrega el estándar de encriptación de avance (AES)1 para la protección de encriptación junto a otras mejoras.

- WPA: El Acceso Protegido Wi-Fi (WPA) es un estándar de seguridad de la Alianza Wi-Fi que resuelve los inconvenientes de la encriptación de la Privacidad Equivalente Cableada (WEP), utilizando el Protocolo de Integridad de Llave temporal (TKIP), el cual se envuelve alrededor de la WEP y cierra sus hoyos de seguridad. El Acceso Protegido Wi-Fi (WPA), incluye además los beneficios de autenticación del estándar 802.1X.

- EAP2: El Protocolo de Autenticación Extensible (EAP) es un protocolo punto a punto que Soporta métodos de autenticación múltiples.

- WEP: La Privacidad Equivalente Cableada (WEP) es el protocolo de seguridad 802.11 original para las redes inalámbricas.

- VPN3: La Tecnología de la Red Privada Virtual (VPN) ofrece protección WLAN adicional importante para datos críticos. La red privada virtual (VPN) protege una WLAN creando un túnel que resguarda los datos del mundo exterior.

Plan de Implementación de Seguridad WLAN

La especificación 802.11 del IEEE original utilizó tres mecanismos para proteger las redes

LAN inalámbricas.

- El Identificador Fijo del Servicio (SSID) es una simple contraseña que identifica la WLAN. Los clientes deben estar configurados con el SSID correcto para acceder su WLAN.

- El Control de Acceso al Medio (MAC) direcciona el filtrado que restringe el acceso WLAN a aquellas computadoras que se encuentran en la lista creada por usted para cada punto de acceso en su WLAN.

- La Privacidad Equivalente Cableada (WEP) es un esquema de encriptación que protege las corrientes de datos WLAN entre los clientes y los puntos de acceso (APs), según lo especifica el estándar 802.11. Se encontraron fallas.

802.1X

Para dirigir las fallas de seguridad de la Privacidad Equivalente Cableada (WEP), el IEEE trajo su estándar 802.1X. El mismo fue implementado ampliamente por los fabricantes de redes de área local inalámbricas (WLAN) a finales del 2001 y a lo largo del 2002.

- El estándar 802.1X del IEEE es una estructura diseñada para ofrecer control de acceso al puerto entre las PCs inalámbricas de los clientes, puntos de acceso y servidores.

Emplea llaves dinámicas en lugar de las llaves estáticas utilizadas en la autenticación de la WEP, y requiere un protocolo de autenticación para la autenticación mutua. Para que la autenticación funcione, la transmisión del usuario debe efectuarse a través de un punto de

acceso LAN inalámbrico para alcanzar el servidor de punto final del Servicio al Usuario de Marcado de Autenticación Remota (RADIUS) que lleva a cabo la autenticación.

Acceso Protegido Wi-Fi

-El Acceso Protegido Wi-Fi (WPA) está siendo desplegado en los productos LAN inalámbricos como una característica del estándar y gracias a los fabricantes esta protección se encuentra disponible bajando un programa.

-El Acceso Protegido Wi-Fi (WPA) implementa los beneficios de encriptación del protocolo TKIP. Este protocolo fue construido basado en el estándar de la WEP y fue diseñando y evaluado por los mejores criptógrafos para posteriormente dar apoyo a la protección que ofrecen las redes de área local inalámbricas (WLAN).

802.11i

El 802.11I del IEEE es un estándar de seguridad que se espera esté terminado para finales del 2003 y que promoverá las mejoras alcanzadas en la autenticación y encriptación implementadas por el WPA. Más importante aún, añadirá un estándar de encriptación conocido como Estándar de Encriptación Avanzado (AES), así como también otras ampliaciones

Otras Consideraciones de Seguridad

- Punto de Acceso sin Autorización (Rogué): Efectúe auditorias regulares de red para identificar los puntos de acceso sin autorización y desactivarlos o reconfigurarlos de manera apropiada. Los puntos de acceso Rogué son aquellos que se instalan sin el conocimiento de los departamentos IT, y no están por lo general configurados con algún mecanismo de seguridad, lo cual deja abierta la posibilidad de un acceso no autorizado.

- Red Privada Virtual (VPN): Esta tecnología ofrece seguridad adicional ya que crea un túnel que protege sus datos del mundo exterior. Una política de seguridad común para muchas organizaciones es solicitarles a los clientes la utilización de la VPN para acceder la red corporativa a través de cualquier punto de acceso inalámbrico.

Soluciones de seguridad física

Desde el descubrimiento de las vulnerabilidades de seguridad de WLAN, proveedores de redes, organismos de estándares y analistas han dedicado gran parte de sus esfuerzos a la búsqueda de remedios para hacer frente a estos problemas. Las alternativas principales son:

En el contexto de las ciencias de la computación, el término Proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. La finalidad más habitual es la del servidor Proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

En general

La palabra Proxy se usa en muchas situaciones en donde tiene sentido un intermediario:

El uso más común es el de servidor Proxy, que es una computadora que intercepta las conexiones de red que un cliente hace a un servidor de destino.

De ellos, el más famoso es el servidor Proxy de Web (comúnmente conocido solamente como "Proxy"). Intercepta la navegación de los clientes por páginas Web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc.

También existen proxies para otros protocolos, como el Proxy de FTP

El Proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre computadoras

Proxy (patrón de diseño) también es un patrón de diseño (programación) con el mismo esquema que el Proxy de red. Sólo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al Proxy. Por tanto, sólo uno de los usuarios (el Proxy) ha de estar equipado para hacer el trabajo real.

Velocidad. Si varios clientes van a pedir el mismo recurso, el Proxy puede hacer caché:

guardar la respuesta de una petición para darla directamente cuando otro usuario la pida.

Filtrado. El Proxy puede negarse a responder algunas peticiones si detecta que están prohibidas. Como intermediario que es, un Proxy puede falsificar información, o

modificarla siguiendo un algoritmo. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificación.

• Carga. Un Proxy ha de hacer el trabajo de muchos usuarios. Es un paso más entre origen y destino, y algunos usuarios pueden no querer pasar por el Proxy. Y menos si hace de caché y guarda copias de los datos.

Funcionamiento

A continuación se hablará del servidor Proxy de Web, el más común.

Un Proxy permite a otros equipos conectarse a una red de forma indirecta a través de él.

Cuando un equipo de la red desea acceder a una información o recurso, es realmente el Proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. una página Web) en una cache que permita acelerar sucesivas consultas coincidentes. Con esta denominación general de Proxy se agrupan diversas técnicas.

Proxy de Web / Proxy cache de Web

Se trata de un Proxy para una aplicación específica: el acceso a la Web. Aparte de la utilidad general de un Proxy, proporciona una cache para las páginas Web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes.

1. Cuando el Proxy caché recibe la petición, busca la URL resultante en su caché local.

El caché utiliza normalmente un algoritmo para determinar cuándo un documento está obsoleto y debe ser eliminado de la caché, dependiendo de su antigüedad, tamaño e histórico de acceso. Los proxies Web también pueden filtrar el contenido de las páginas Web servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo están implementadas como proxies Web. Otros tipos de Proxy cambian el formato de las páginas Web para un propósito o una audiencia específicos, para, por ejemplo, mostrar una página en un teléfono móvil o una PDA. Algunos operadores de red también tienen proxies para interceptar virus y otros contenidos hostiles servidos por páginas Web remotas.

Ventajas

Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga los servidores destino, a los que llegan menos peticiones.

Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita transferencias idénticas de la información entre servidores durante un tiempo (configurado por el administrador) así que el usuario recibe una respuesta más rápida.

Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para solicitar, a través de él, los contenidos Web.

Filtrado de contenidos: El servidor Proxy puede hacer un filtrado de páginas o contenidos basándose en criterios de restricción establecidos por el administrador dependiendo valores y características de lo que no se permite, creando una restricción cuando sea necesario.

Modificación de contenidos: Basándose en la misma función del filtrado, y llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear direcciones y Cookies por expresiones regulares y modifica en la petición el contenido.

Desventajas

• Las páginas mostradas pueden no estar actualizadas si éstas han sido modificadas desde la última carga que realizó el Proxy caché.

Un diseñador de páginas Web puede indicar en el contenido de su Web que los navegadores no hagan una caché de sus páginas, pero este método no funciona habitualmente para un Proxy.

• El hecho de acceder a Internet a través de un Proxy, en vez de mediante conexión directa, impide realizar operaciones avanzadas a través de algunos puertos o protocolos.

Proxies transparentes

Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché.

Normalmente, un Proxy Web o NAT no es transparente a la aplicación cliente: debe ser configurada para usar el Proxy, manualmente. Por lo tanto, el usuario puede evadir el Proxy cambiando simplemente la configuración.

Un Proxy transparente combina un servidor Proxy con NAT de manera que las conexiones son enrutadas dentro del Proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de Proxy que utilizan los proveedores de servicios de internet (ISP).

Reverse Proxy

Un reverse Proxy es un servidor Proxy instalado en el domicilio de uno o más servidores Web. Todo el tráfico entrante de Internet y con el destino de uno de esos servidores Web pasa a través del servidor Proxy.

Hay varias razones para instalar un "reverse Proxy":

Seguridad: el servidor Proxy es una capa adicional de defensa y por lo tanto protege los servidores Web.

Encriptación / Aceleración SSL: cuando se crea un sitio Web seguro, habitualmente la encriptación SSL no la hace el mismo servidor Web, sino que es realizada por el "reverse Proxy", el cual está equipado con un hardware de aceleración SSL (Security Sockets Layer).

Distribución de Carga: el "reverse Proxy" puede distribuir la carga entre varios servidores Web. En ese caso, el "reverse Proxy" puede necesitar reescribir las URL de cada página Web (traducción de la URL externa a la URL interna correspondiente, según en qué servidor se encuentre la información solicitada)

• Caché de contenido estático: Un "reverse Proxy" puede descargar los servidores Web almacenando contenido estático como imágenes y otro contenido gráfico...

Proxy NAT (Network Address Translation) / Enmascaramiento

Otro mecanismo para hacer de intermediario en una red es el NAT.

La traducción de direcciones de red (NAT, Network Address Translation) también es conocida como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones fuente o destino de los paquetes IP son rescritas, sustituidas por otras (de ahí el

"enmascaramiento").

Esto es lo que ocurre cuando varios usuarios comparten una única conexión a Internet.

Se dispone de una única dirección IP pública, que tiene que ser compartida. Dentro de la red de área local (LAN) los equipos emplean direcciones IP reservadas para uso privado y será el Proxy el encargado de traducir las direcciones privadas a esa única dirección pública para realizar las peticiones, así como de distribuir las páginas recibidas a aquel usuario interno que la solicitó.

Esta situación es muy común en empresas y domicilios con varias computadoras en red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexión directa entre el exterior y la red privada, y así nuestros equipos no están expuestos a ataques directos desde el exterior.

Firewall

Un Firewall es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.

También es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Un Firewall correctamente configurado añade protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

Tipos de Firewall

Firewall de capa de red o de filtrado de paquetes

Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP:

dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC.

Firewall de capa de aplicación

Trabaja en el nivel de aplicación (nivel 7) de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Un firewall a nivel 7 de tráfico HTTP es normalmente denominado Proxy y permite que los computadores de una organización entren a internet de una forma controlada.

Firewall personal

Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa.

Ventajas de un firewall

Protege de intrusiones. El acceso a ciertos segmentos de la red de una organización, sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet.

Protección de información privada. Permite definir distintos niveles de acceso a la información de manera que en una organización cada grupo de usuarios definido tendrá acceso sólo a los servicios y la información que le son estrictamente necesarios.

Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad.

Limitaciones de firewall

Un Firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación.

El Firewall no puede protegerse contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real esta en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por medio de disquetes o cualquier otra fuente.

El Firewall no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a internet.

Políticas del Firewall

Hay dos políticas básicas en la configuración de un firewall y que cambian radicalmente la filosofía fundamental de la seguridad en la organización:

Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El firewall obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado.

Sistemas de caja Negra

Es un sistema de caja negra permite a los administradores obtener información de registro en sus sistemas de manera uniforme para toda la red. Realizando la tarea de guardar, analizar y procesar los archivos de registro fácilmente, pero lo que la gente espera de los registros del sistema ha cambiado en los últimos años y el servicio tradicional simplemente no lo puede ofrecer. Cubre este hueco.

Los registros tradicionalmente se usan para comprobar la salud del sistema. Muchos administradores ni siquiera se molestan en mirar los registros a menos que se encuentren con un problema en el sistema. Pero hoy, es también una cuestión de mejorar la fiabilidad, esto es, usar el sistema como una alerta temprana para impedir que las cosas vayan a peor. La integridad de los mensajes de un sistema es también ahora más

importante que nunca, ya que permiten a los administradores levantar defensas basadas en datos reales. Los administradores también buscan habitualmente más flexibilidad en la configuración y en el manejo de las redes.

Desventajas

Falta de métodos de Autenticación

No puede distinguir entre distintos hosts. Si el servicio se lanza con la opción -r, acepta mensajes UDP en el puerto 514 sin importar cual es su origen. Esto permite a los atacantes invadir el servidor de registro con paquetes UDP o transmitir mensajes manipulados. Aparte de utilizar la funcionalidad de un firewall simple, no hay forma de proteger al servidor de registros.

No registra el origen de la fuente

Cuando un mensaje pasa por distintos servidores de registro es imposible descubrir la fuente del mismo no almacena el FQDN (Fully Qualified Domain Name) del host. Cada host que propaga un mensaje modifica la dirección IP registrada.

SOLUCIONES DE SEGURIDAD LOGICA.

La seguridad lógica al referirse a controles lógicos dentro del software se implementa mediante la construcción de contraseñas en diversos niveles de los sistemas donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso, en base al sistema operativo que use como plataforma el sistema a implantarse puedo considerar además a nivel código, algoritmos que generen claves para poder encriptar los archivos de contraseñas dentro del sistema lo cual me permita mayor seguridad en un entorno de red. Generar un módulo del sistema para la emisión de reportes para el administrador del sistema en donde se muestre tablas de uso del sistema así como los usuarios y los niveles de acceso por parte de los tales para poder determinar el uso y acceso al sistema.

También es necesario contar con el diseño de módulos que ejecuten un Control de alarma la cual notifique en todo momento sobre la integridad de la información del sistema.

A continuación se mencionan algunos métodos de seguridad lógica.

Programa antivirus. Autenticación. En los sistemas de seguridad, la autenticación difiere de la autorización, la cual consiste en permitir el acceso personal a los elementos de un sistema a partir de la identidad de la persona.

Cookie. Mensaje que un servidor de Web entrega a un explorador de Internet. Por lo general, el explorador guarda el mensaje en un archivo de texto denominado cookie.txt.

Luego, el mensaje se envía de regreso al servidor cada vez que el explorador solicita una página al servidor. Firma digital. Las firmas digitales son particularmente importantes en el comercio electrónico y constituyen un elemento clave de la mayoría de los procesos de autenticación.

Dirección IP dinámica. Asignación de una dirección IP (Internet Protocol) protocolo de Internet) nueva que se selecciona al azar de una lista de direcciones disponibles cuando te conectas a Internet.

Traducción de datos a un código secreto. Los datos no cifrados se denominan texto sin formato, mientras que los cifrados se conocen como texto cifrado.

existen dos tipos principales de cifrado: cifrado asimétrico (también llamado cifrado por clave pública) y cifrado simétrico. Protocolo de Internet (IP): Parte de una serie de protocolos que rastrean la dirección de Internet de los nodos, encaminan los mensajes enviados y reconocen los mensajes recibidos.

Filtración de paquetes. También denominada filtración de paquetes estáticos. Control del acceso a

una red mediante el análisis de los paquetes recibidos y enviados, y la autorización o el bloqueo de su tránsito en función de la dirección IP de su origen y destino. La filtración de paquetes es una de tantas técnicas para la ejecución de servidores de seguridad como medida de protección.

Contraseña. Serie de caracteres secretos que permiten a un usuario acceder a archivos, computadoras, programas o cuentas de Internet. En sistemas que sirven a varios usuarios, cada usuario debe tener su propia contraseña para que la computadora responda a los comandos. La contraseña evita el acceso de usuarios sin autorización.

Cifrado por clave pública. Sistema criptográfico que se basa en dos claves, una del conocimiento público y otra privada o secreta conocida sólo por el destinatario del mensaje. Si Juan quiere enviar un mensaje seguro a María, usa la clave pública de María para cifrar el mensaje; al recibir el mensaje posteriormente, María usa su clave privada para descifrarlo. Un elemento importante del sistema público es que las claves pública y privada se relacionan entre sí de manera los mensajes se pueden cifrar sólo con la clave pública y se pueden descifrar exclusivamente con la clave privada correspondiente.

Protección. La mayoría de las medidas de protección exigen el cifrado de los datos y el uso de contraseñas.

Tarjeta inteligente o Smartcard. Las tarjetas inteligentes con circuito integrado en ocasiones se conocen como tarjetas de circuitos integrados. El uso de las tarjetas inteligentes, ya sea para consultar la información contenida en ellas o para introducir más datos, requiere de un lector de tarjetas inteligentes, un dispositivo muy pequeño en el que se introduce la tarjeta inteligente.

Dirección IP estática. Asignación de la misma dirección IP para todas las conexiones a Internet.

Cifrado simétrico. Tipo de cifrado que se basa en la misma clave para cifrar y descifrar un mensaje. Este sistema difiere del cifrado asimétrico (o cifrado por clave pública) en que se basa en una clave para cifrar el mensaje y otra para descifrarlo.

Nombre de usuario. Nombre que se usa para identificarse al entrar en un sistema informático. Por lo general, el nombre de usuario se usa junto con una contraseña, elementos fundamentales para el uso de sistemas que sirven a varios usuarios. En la mayoría de estos sistemas, los usuarios pueden elegir su propio nombre de usuario y contraseña. El nombre de usuario también es necesario para el acceso a tableros de boletines y servicios por Internet.

SERVIDORES DE SEGURIDAD.

Servidor de seguridad. Sistema diseñado para impedir el acceso no autorizado hacia o desde una red privada. Los servidores de seguridad se consideran como la primera barrera de defensa para proteger la información privada. Los servidores de seguridad suelen usarse para evitar el acceso de usuarios no autorizados a redes privadas

conectadas a Internet, especialmente Intranets. Si eres miembro de AT&T Yahoo! Dial o DSL, disfrutas de acceso a las funciones de protección y control de uso para padres de familia de AT&T Yahoo!, uno de los paquetes de protección y control para padres más completos de la industria.

Un servidor de seguridad examina la información que viene y va a Internet. Si configura el servidor de seguridad correctamente, los piratas que buscan equipos vulnerables no detectarán su equipo.

Actualmente existen tres tipos básicos de servidores de seguridad. El primer paso al elegir un servidor de seguridad consiste en determinar el que resulta más adecuado. Las opciones disponibles son:

• Servidores de seguridad de software

• Enrutadores hardware

• Enrutadores inalámbricos

Los ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo de información, venganza o simplemente el desafío de penetrar un sistema. Esto puede ser realizado por empleados internos que abusan de sus permisos de acceso, o por atacantes externos que acceden remotamente o interceptan el tráfico de red, entre otros.

Servidor Proxy

Un servidor Proxy es aquel que nos permite almacenar la información que es consultada con mayor frecuencia en páginas de Internet por un período de tiempo, con el fin de aumentar la velocidad en el acceso y al mismo tiempo liberar la carga de los enlaces hacia Internet. Un servidor Proxy-Caché actúa como intermediario entre el programa Cliente (Netscape, Internet Explorer,..) y el servidor de información al que queremos acceder. Es decir si una persona ingresa a una página determinada de Internet, ésta pasa por los enlaces y se almacena en la red local.

El Proxy actúa como una barrera de seguridad, para impedir el acceso a la red local desde el exterior.

Ofrece todos los servicios normales WWW, Correo Electrónico, MSN, entre otros.

La mala configuración de los servidores Proxy, permite que estos sean utilizados para enviar correo de tipo SPAM, para entrar a analizar éste concepto se debe recordar que durante el envío de un correo electrónico participan varios programas, que son:

El programa usado por el usuario final, que sirve no sólo para recibir y enviar, sino también para leer y escribir e-mails, es conocido como MUA – Mail User Agent, ejemplo de este tipo de programas son: Mozilla Thunderbird, Outlook Express, PINE, Mutt, entre otros.

La parte del servidor responsable de la comunicación con los usuarios (recepción de correo) y del envío y recepción de correo de otros servidores es conocida como MTA – Mail Transfer Agent.

• La parte del servidor responsable de la entrega del correo al usuario local se llama MDA – Mail Delivery Agent. Ejemplos de MDA son: Maildrop, Procmail.

Entonces cuando se habla de servidores Open Proxy, nos referimos a los servidores Proxy a los cuales se pueden conectar usuarios no autorizados entre ellos spammers, de manera idéntica que a un open relay para enviar correspondencia no autorizada. Además muchos open Proxy permiten ocultar su dirección IP.

El empleo de un open Proxy generalmente permite conexión por medio del protocolo HTTP-CONNECT en el puerto 80. Para el spammer lo mejor es encontrar un servicio open-relay que al mismo tiempo tenga instalado un servidor de correo local. En la mayoría de los casos el MTA sin autorización acepta las conexiones del Proxy local tratándolas del mismo modo que las de usuarios locales. Si el spammer esta muy interesado en ocultar su IP puede emplear varios open Proxy en cascada, hasta llegar al objetivo.

Capitulo

ESTADO DEL ARTE

SISTEMA DE DETECCION DE INTRUSOS

¿Qué es un Sistema de Detección de Intrusos?

Un Sistema de Detección de Intrusos o IDS (Intrusión Detection System) es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión.

Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad, disponibilidad o evitar los mecanismos de seguridad de una computadora o red. Las intrusiones se pueden producir de varias formas: atacantes que acceden a los sistemas desde Internet, usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están autorizados y usuarios autorizados que hacen un mal uso de los privilegios que se les han asignado.

¿Por qué utilizar un IDS?

La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red y la dependencia que tenemos hacia los sistemas de información.

Los IDSs han ganado aceptación como una pieza fundamental en la infraestructura de seguridad de la organización. Hay varias razones para adquirir y usar un IDS.

Prevenir problemas al disuadir a individuos hostiles.

Esto también puede jugar en nuestra contra, puesto que la presencia de un sistema de seguridad sofisticado puede hacer crecer la curiosidad del atacante.

II

Detectar ataques y otras violaciones de la seguridad que no son prevenidas por otras medidas de protección.

Los atacantes, usando técnicas ampliamente conocidas, pueden conseguir accesos no autorizados a muchos sistemas, especialmente a aquellos conectados a redes públicas.

Esto a menudo ocurre cuando vulnerabilidades conocidas no son corregidas. En algunos sistemas heredados, los sistemas operativos no pueden ser parcheados o actualizados.

Esto es un problema común, sobre todo en entornos que incluyen un gran número de hosts con sistemas operativos y hardware variado. Los usuarios y administradores pueden equivocarse al configurar sus sistemas.

Un sistema de detección de intrusos puede ser una excelente herramienta de protección de sistemas. Un IDS puede detectar cuando un atacante ha intentado penetrar en un sistema explotando un fallo no corregido.

Detectar preámbulos de ataques (normalmente pruebas de red y otras actividades.

Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles. En la primera fase, el atacante hace pruebas y examina el sistema o red en busca de un punto de entrada óptimo. En sistemas o redes que no disponen de un IDS, el atacante es libre de examinar el sistema con un riesgo mínimo de ser detectado. Esto le facilita la búsqueda de un punto débil en nuestra red. La misma red con un IDS monitorizando sus operaciones le presenta una mayor dificultad. Aunque el atacante puede examinar la red, el IDS observará estas pruebas, las identificará como sospechosas, podrá activamente bloquear el acceso del atacante al sistema objetivo y avisará al personal de seguridad de lo ocurrido para que tome las acciones pertinentes.

Documentar el riesgo de la organización.

Cuando se hace un plan para la gestión de seguridad de la red o se desea redactar la política de seguridad de la organización, es necesario conocer cual es el riesgo de la organización a posibles amenazas, la probabilidad de ser atacada o si incluso ya está siendo atacada.

Un IDS nos puede ayudar a conocer la amenaza existente fuera y dentro de la organización, ayudándonos a tomar decisiones acerca de los recursos de seguridad que