Instituto Politécnico Nacional Escuela Superior de Ingeniería Mecánica y Eléctrica “Sistema Detección de Intrusos para una Red Inalámbrica de una PyME” T E S I S QUE PARA OBTENER EL TÍTULO DE: INGENIERO EN COMUNICACIONES Y ELECTRÓNICA PRESENTAN: AGUILAR MARTINEZ GUSTAVO MARTINEZ PIÑA ALEJANDRO MORALES CASTILLO VICTOR Asesores: M. en C. Héctor Becerril Mendoza Ing. Wilfrido Ángeles Quiroz México D.F. 2007
137
Embed
“Sistema Detección de Intrusos para una Red Inalámbrica de ...
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Instituto Politécnico Nacional Escuela Superior de Ingeniería
Mecánica y Eléctrica
“Sistema Detección de Intrusos para una Red
Inalámbrica de una PyME”
T E S I S
QUE PARA OBTENER EL TÍTULO DE:
INGENIERO EN COMUNICACIONES Y ELECTRÓNICA
PRESENTAN:
AGUILAR MARTINEZ GUSTAVO
MARTINEZ PIÑA ALEJANDRO
MORALES CASTILLO VICTOR
Asesores:
M. en C. Héctor Becerril Mendoza Ing. Wilfrido Ángeles Quiroz
Detección de intrusos para redes con un gran número de hosts 62
Spoofing 63
CAPITULO IV. IMPLANTACION DE SEGURIDAD EN UN CASO DE PRUEBA
IMPLANTACION DEL SISTEMA 67
Requerimientos 67
Auditoria de la red 68
Densidad de usuarios 69
Selección de la tecnología 70
Elección de la base de datos 71
Elección de software adicional 71
Presupuesto 72
IMPLEMENTACIÓN 72
Diseño de opciones de seguridad 77
Autentificación del usuario 77
Creación de una política de seguridad 78
Protección del equipo 78
INSTALACIÓN DE SNORT 78
Configuración de Snort 80
Configuración de reglas 80
vii
Configuración de salida 80
Configuración para la integración con la base de datos 81
Incluir archivos especiales 81
Probar configuración 82
INSTALACION DE MYSQL 83
Configuración 84
IIS 88
ACID 89
Administración de la Red 90
Active Directory 90
Políticas de grupo 91
Organización de Políticas 91
La configuración del equipo 92
La configuración de usuario 92
Documentación 94
Características del edificio que ocupa nuestra empresa 94
CAPITULO V. PRUEBAS Y RESULTADOS
Presentación de resultados 98
Pruebas de conexión 98
Análisis de resultados 99
Análisis de tráfico real 99
Ejecución de Snort 100
Modelo de referencia 101
Pruebas de puntos de acceso 102
Snort+MySQL 103
viii
CAPITULO VI.- CONCLUCIONES Y TRABAJO A FUTURO
Conclusiones 106
Trabajo Futuro 108
Glosario de términos 111
Referencias 125
ix
ÍNDICE DE FIGURAS
INTRODUCCIÓN CAPITULO I Fig. 1 Figura de red WLAN 3 CAPITULO II Fig. 2.1. Diagrama de bloques de la arquitectura CIDF 31 Fig. 2.2. Localización de un IDS dentro de una organización 33 Fig. 2.3.1. Spannigs Ports y TAPS 34 Fig. 2.3.2. TAPS 35 Fig. 2.3.3. TAPS con IDS 35 Fig. 2.4. Distribución de los sensores dentro de un ISP 37 Fig. 2.5. Ataque de inserción 38 Fig. 2.6. Ataque de evasión 39 Fig. 2.7. Arquitectura de un Sistema AID 41 Fig. 2.8. Representación física y lógica de un ejemplo de sistema AAFID 43 CAPITULO III Fig. 3.1.a. Inicio de un grafo de gusano 61 Fig. 3.1.b. Una vista más extensa del mismo gusano 61 Fig. 3.2. Escaneo de trabes de un de un cambio de estado 64 Fig. 3.3. Observación indirecta 64 Fig. 3.4. Observación indirecta avanzada 65 Tabla. 3.1. Características de IDS estudiados 65
Ín
x
CAPITULO IV Tabla. 4.1. Tabla de Aplicaciones y necesidades 68 Tabla. 4.2. Tabla de distribución del nuevo sistema 69 Diagrama. 4.1. Diagrama de red 70 Fig. 4.1. Figura de instalación del Snort 79 Fig. 4.2. Figura de instalación del Snort 79 Fig. 4.3. Comprobación de configuración 82 Fig. 4.4. Instalación de MySQL 84 Fig. 4.5. Configuración del MySQL 86 Fig. 4.6. Configuración del IIS 88 Fig. 4.7. Consola para análisis de instrucción de ACID 90 Fig. 4.8.1. Tercer piso S1 SWITCH 1 94 Fig. 4.8.2. S2 SWITCH 2 94 Fig. 4.8.3. SWITCH 3 W 95 Fig. 4.8.4. SWITCH 4 95 Fig. 4.8.5. SWITCH 6 95 Fig. 4.8.6. SWITCH 7 96 Fig. 4.8.7. SWITCH 8 W 96 Fig. 4.8.8. SWITCH 9 W 97 Fig. 4.8.9. SWITCH 10 W 97
xi
CAPITULO V Fig. 5.1. Pruebas de conexión 99 Fig. 5.2. Pruebas de conexión 99 Tabla. 5.1. Tabla de paquetes capturados 100 Tabla. 5.2. Tabla de Alertas 101 Grafica. 5.1. Transito de Snort 102 Grafica. 5.2.1. Comportamiento del tráfico en días en específico 103 Grafica. 5.2.2. Comparación entre tráfico entrante y procesado 103
Grafica. 5.2.3. Gráfica comparativa entre el tráfico entrante
y el descartado en Snort+MySQL 104
Tabla. 5.3. Snort- MySQL 105 Grafica. 5.3. Proceso en memoria con respecto a paquetes descartados 105
1
INTRODUCCIÓN
En EEUU las redes para WLAN para Internet, en donde hay más de 4.000 zonas de
acceso, y en Europa es previsible que pronto se extiendan.
Las WLAN se encuadran dentro de los estándares desarrollados por el IEEE (Instituto de
Ingenieros Eléctricos y Electrónicos) para redes locales inalámbricas. Otro aspecto a
destacar es la integración de las WLAN en entornos de redes móviles de 3G (UMTS) para
cubrir las zonas de alta concentración de usuarios (los denominados hot spots), como
solución de acceso público a la red de comunicaciones móviles.
Como todos los estándares 802 para redes locales del IEEE, en el caso de las WLAN,
también se centran en los dos niveles inferiores del modelo OSI, el físico y el de enlace,
por lo que es posible correr por encima cualquier protocolo (TCP/IP o cualquier otro) o
aplicación, soportando los sistemas operativos de red habituales, lo que supone una gran
ventaja para los usuarios que pueden seguir utilizando sus aplicaciones habituales, con
independencia del medio empleado, sea por red de cable o por radio.
Otra tecnología de acceso inalámbrico en áreas de pequeña extensión (WPAN/WLAN
Personal Área Network) es la denominada Bluetooth, que aunque pueda parecer
competencia directa de las WLAN, es más bien complementaria a ella.
REDES LOCALES INALÁMBRICAS 802.11
El origen de las LAN inalámbricas (WLAN) se remonta a la publicación en 1979 de los
resultados de un experimento realizado por ingenieros de IBM en Suiza, consistente en
utilizar enlaces infrarrojos para crear una red local en una fábrica. En mayo de 1985, y
tras cuatro años de estudios, la FCC (Federal Communications Comisión), la agencia
federal del Gobierno de Estados Unidos encargada de regular y administrar en materia de
telecomunicaciones, asignó las bandas ISM (Industrial, Scientific and Medical) 902-928
MHz, 2,400-2,4835 GHz, 5,725-5,850 GHz para uso en las redes inalámbricas basadas
en Spread Spectrum (SS), con las opciones DS (Direct Séquense) y FH (Frequency
Hopping). Desde 1985 hasta 1990 se siguió trabajando ya más en la fase de desarrollo,
I
2
hasta que en mayo de 1991 se publicaron varios trabajos referentes a WLAN operativas
que superaban la velocidad de 1 Mbit/s, el mínimo establecido por el IEEE 802 para que
la red sea considerada realmente una LAN, con aplicación empresarial.
Las redes WLAN se componen fundamentalmente de dos tipos de elementos, los puntos
de acceso y los dispositivos de cliente. El uso más popular de las WLAN implica la
utilización de tarjetas de red inalámbricas, cuya función es permitir al usuario conectarse a
la LAN empresarial sin la necesidad de una interfaz física.
En 1992 se crea Winforum, consorcio liderado por Apple y formado por empresas del
sector de las telecomunicaciones y de la informática para conseguir bandas de frecuencia
para los sistemas PCS (Personal Communications Systems). En 1993 también se
constituye la IrDA (Infrared Data Association) para promover el desarrollo de las WLAN
basadas en enlaces por infrarrojos. En 1996, finalmente, un grupo de empresas del sector
de informática móvil (mobile computing) y de servicios forman el Wireless LAN
Interoperability Forum (WLI Forum) para potenciar este mercado mediante la creación de
un amplio abanico de productos y servicios intel operativos. Por otra parte, WLANA
(Wireless LAN Association) es una asociación de industrias y empresas cuya misión es
ayudar y fomentar el crecimiento de la industria WLAN a través de la educación y
promoción.
WLAN 802.11
En junio del año 1997 el IEEE ratificó el estándar para WLAN IEEE 802.11, que
alcanzaba una velocidad de 2 Mbit/s, con una modulación de señal de espectro
expandido por secuencia directa (DSSS), aunque también contempla la opción de
espectro expandido por salto de frecuencia, FHSS en la banda de 2,4 GHz, y se definió el
funcionamiento y la interoperabilidad entre redes inalámbricas.
El 802.11 es una red local inalámbrica que usa la transmisión por radio en la banda de 2.4
GHz, o infrarroja, con regímenes binarios de 1 a 2 Mbit/s. El método de acceso al medio
MAC (Médium Access Mechanism) es mediante escucha pero sin detección de colisión,
CSMA/CA (Carrier Sense Múltiple Access with Collision Avoidance).
La dificultad en detectar la portadora en el acceso WLAN consiste básicamente en que la
tecnología utilizada es Spread-Spectrum y con acceso por división de código (CDMA), lo
que conlleva a que el medio radioeléctrico es compartido, ya sea por secuencia directa
3
DSSS o por saltos de frecuencia en FHSS. Hay que mencionar que la banda de 2,4 GHz
está reglamentada como banda de acceso pública y en ella funcionan gran cantidad de
sistemas, entre los que se incluyen los teléfonos inalámbricos Bluetooth.
WLAN 802.11b (Wi-Fi)
Un poco más tarde, en el año 1999, se aprobó el estándar 802.11b, una extensión del
802.11 para WLAN empresariales, con una velocidad de 11 Mbit/s (otras velocidades
normalizadas a nivel físico son: 5,5 - 2 y 1 Mbit/s) y un alcance de 100 metros, que al
igual que Bluetooth y Home RF, también emplea la banda de ISM de 2,4 GHz, pero en
lugar de una simple modulación de radio digital y salto de frecuencia (FH/Frequency
Hopping), utiliza una la modulación linear compleja (DSSS). Permite mayor velocidad,
pero presenta una menor seguridad, y el alcance puede llegar a los 100 metros,
suficientes para un entorno de oficina o residencial.
WLAN 802.11g
El IEEE también ha aprobado en el año 2003 en el estándar 802.11g, compatible con el
802.11b, capaz de alcanzar una velocidad doble, es decir hasta 22 Mbit/s o llegar, incluso
a 54 Mbit/s, para competir con los otros estándares que prometen velocidades mucho
más elevadas pero que son incompatibles con los equipos 802.11b ya instalados, aunque
pueden coexistir en el mismo entorno debido a que las bandas de frecuencias que
emplean son distintas.
Fig1.de Red WLAN
4
COMPATIBILIDAD Y SEGURIDAD.
WECA (Wireless Ethernet Compatibility Alliance), es una alianza para la Compatibilidad
Ethernet Inalámbrica, cuya misión es la de certificar la ínter funcionalidad y compatibilidad
de los productos de redes inalámbricas 802.11b y promover este estándar para la
empresa y el hogar. Para indicar la compatibilidad entre dispositivos inalámbricos, tarjetas
de red o puntos de acceso de cualquier fabricantes, se les incorpora el logo "Wi-Fi"
(estándar de Fidelidad Inalámbrica), y así los equipos con esta marca, soportada por más
de 150 empresas, se pueden incorporar en las redes sin ningún problema, siendo incluso
posible la incorporación de terminales telefónicos Wi-Fi a estas redes para establecer
llamadas de voz.
En general se utiliza WEP (Wired Equivalen Privacy), que es un mecanismo de
encriptación y autenticación especificado en el estándar IEEE 802.11 para garantizar la
seguridad de las comunicaciones entre los usuarios y los puntos de acceso. La clave de
acceso estándar es de 40 bits, pero existe otra opcional de 128 bits, y se asigna de forma
estática o manual (no dinámica), tanto para los clientes, que comparten todos el mismo
conjunto de cuatro claves predeterminadas, como para los puntos de acceso a la red, lo
que genera algunas dudas sobre su eficacia. Otros usuarios han preferido adquirir
soluciones wireless convencionales y potenciar la seguridad con tecnología de otros
fabricantes especializados en seguridad móvil en lugar de soluciones que incluyan la
certificación WPA
Bluetooth
BLUETOOTH está detrás de Wi-Fi en un proceso evolutivo, pero ahora cada vez mejor.
Esta función permite a los dispositivos Bluetooth, operar mas efectivamente en donde
existen redes inalámbricas, como en los grandes supermercados y en muchos
almacenes. Bluetooth es la norma que define un estándar global de comunicación
inalámbrica, que posibilita la transmisión de voz y datos entre diferentes equipos mediante
un enlace por radiofrecuencia.
5
OBJETIVO
Objetivo General Realizar un análisis E IMPLEMENTACION de un esquema de protección contra intrusos
para PYME que permita garantizar seguridad a los usuarios de una red inalámbrica.
Objetivos Específicos
• Analizar el problema de las intrusiones malintencionadas a los sistemas de
negocios PyME
• Analizar las soluciones que existen en el mercado para resolver el problema de
intrusión malintencionada en sistemas PyME, considerando las posibilidades de
inversión de este tipo de empresas.
• Implementar en una red PyME un Sistema Detector de Intrusos.
• Proteger dicha Red con el IDS y complementarlo con los sistemas disponibles en el
mercado.
• Diseñar una topología de red segura y confiable
O
6
JUSTIFICACIÓN
Todos vemos a diario los constantes ataques que sufren los servidores de las compañías,
pero nadie está a salvo de los ataques de los hackers. Aunque la información de un
usuario final puede ser inútil, su computadora se puede convertir en el origen de un
ataque a un tercero, de forma que el verdadero atacante desaparece entre las sombras.
Existen algunas herramientas que son capaces de coordinar ataques de DoS entre
múltiples maquinas afectadas, de forma que el hacker solo debe infectar unos cuantos
sistemas en las distintas computadoras de usuarios finales (débilmente defendidos) y
lanzar el ataque desde ahí. Ni siquiera tiene que estar conectado a Internet cuando el
ataque se realiza.
La solución de muchos usuarios es poner un Firewall. Este Firewall cierra todos aquellos
puertos (servicios) que no usa, reduciendo de esta forma la posibilidad de ataque. Pero,
¿es esto suficiente? La respuesta es no. El Firewall representa una puerta, que prohíbe el
paso a todos aquellos servicios no autorizados, pero que deja pasar aquellos que el
usuario/s detrás del Firewall necesita usar. Y ahí esta el problema. Aunque solo se
permitan los servicios básicos y teóricamente seguros, existen agujeros que se pueden
aprovechar, y ante los que el Firewall no puede hacer nada (si es un servicio autorizado,
simplemente lo deja pasar). Todo esto suponiendo, claro esta, que la integridad del
Firewall no haya sido comprometida. ¿Qué se puede hacer a continuación?
Al igual que una puerta no es suficiente para proteger una casa, y se instala un sistema
de alarma para detectar cuando un ladrón ha conseguido pasar la puerta, podemos
pensar en un sistema similar a la hora de hablar de una red informática. El Firewall se
puede ver comprometido, y es necesario tener algún sistema que nos permita detectar
esta situación. Además, dado que todos los servicios tienen agujeros potenciales de
seguridad, es de esperar que muchos ataques pasen por el Firewall sin que este sea
capaz de detectarlo. Por tanto, es necesario algo más, un vigilante, un IDS.
J
7
La empresa que vamos a analizar no tiene las condiciones adecuadas para llevar a cabo
transacciones de comercio electrónico y con ello ampliar su horizonte de negocios.
Asimismo, los recursos no se están aprovechando de manera óptima y se esta
desperdiciando dinero en otros tantos. Además de los problemas recién descritos, no
existen mecanismos de seguridad ni de control sólidos para proteger los recursos
informáticos.
Los empleados pueden acceder indiscriminadamente a Internet y consumen el ancho de
banda del enlace contratado, “bajando” videos y archivos multimedia. No existen
herramientas que protejan las computadoras personales ni de funcionarios, empleados o
clientes que se ven expuestos a todo tipo de malware (virus, gusanos, software espía,
etc.). Los servidores internos, se encuentran en el mismo segmento que los servidores
externos lo que representa problemas de rendimiento, y por supuesto, una gran brecha de
seguridad. La movilidad de un alto porcentaje de los empleados, requiere conectividad de
red temporal. Por si fuera poco, el cableado actual es insuficiente y la inversión requerida
para incrementar la densidad de nodos, es considerable. Dos de las oficinas ya cuentan
con Aps, sin embargo estos no están administrados y la información “viaja en claro”.
Por lo antes mencionado es un área en donde todavía hay mucho que considerar, es por
eso que surge el interés en encontrar una forma de proteger a una red de tipo PyME, la
cual necesita de una red inalámbrica por el tipo e infraestructura que tiene por lo tanto
requiere la protección de su red, además de tener un control de monitoreo de quien entra
y utiliza su servicio de red.
8
Capitulo
SEGURIDAD EN REDES INALAMBRICAS
Como sabemos, la seguridad en redes tipo inalámbricas, es un factor muy importante
debido a la naturaleza del medio de transmisión: el aire. Las características de seguridad
en la WLAN (Red Local Inalámbrica), se basan especialmente en la protección a la
comunicación entre el punto de acceso y los clientes inalámbricos, controlan el ingreso a
esta red, y protegen al sistema de administración de acceso no autorizado.
Las redes Wi-Fi basadas en los estándares IEEE 802.11 b/g se han popularizado en los
últimos tiempos tanto en entornos domésticos, empresariales o urbanos. Los puntos de
acceso Wi-Fi se han multiplicado en los hogares de los usuarios de las redes de banda
ancha, en las organizaciones como extensión de sus redes cableadas con el fin de
facilitar un acceso más sencillo y flexible a datos y servicios corporativos sus empleados y
qué no decir de los "hot-spots" que salpican nuestra arquitectura urbana ( hoteles,
aeropuertos, Palacios de Congresos, ... ) Son innegables las oportunidades que las redes
inalámbricas proporcionan a sus usuarios pero, a su vez, ofrecen a los hackers nuevas
oportunidades para conseguir acceso no autorizado a sistemas corporativos y sus datos.
Estas limitaciones en la seguridad han conducido la investigación y desarrollo de nuevas
soluciones de seguridad, alternativas a la inicialmente existente (WEP), para proteger las
redes Wi-Fi y proporcionar a las organizaciones que las utilizan la garantía que necesitan
para sus sistemas y datos.
Vulnerabilidad en Redes WLAN.
Uno de los problemas de este tipo de redes es precisamente es la vulnerabilidad ya que
cualquier persona con una terminal inalámbrica podría comunicarse con un punto de
acceso privado si no se disponen de las medidas de seguridad adecuadas. Dichas
medidas van encaminadas en dos sentidos: por una parte está el cifrado de los datos que
se transmiten y en otro plano, pero igualmente importante, se considera la autenticación
entre los diversos usuarios de la red. En el caso del cifrado se están realizando diversas
investigaciones ya que los sistemas considerados inicialmente se han conseguido
I
9
descifrar. Para la autenticación se ha tomado como base el protocolo de verificación EAP
(Extensible Authentication Protocol), que es bastante flexible y permite el uso de
diferentes algoritmos.
Obviamente la seguridad de las redes inalámbricas no se garantiza solo con normas. Los
profesionales de seguridad de la información se preocupan con razón por muchos tipos
de ataques que se pueden lanzar contra las WLAN, como por ejemplo la intercepción del
tráfico, ataques de “tercero interpuesto”, negación de servicio y secuestro de una sesión
para nombrar unos pocos. Afortunadamente, muchos riesgos se pueden mitigar siguiendo
prácticas básicas de seguridad inalámbrica con tecnologías de protección a clientes y a
nivel empresarial. Veamos algunos de los aspectos que implica la seguridad de redes
inalámbricas.
Como se sabe el auge de la interconexión inalámbrica tomó por sorpresa a muchos
departamentos de TI, debido a que muchos equipos inalámbricos fueron introducidos a
las empresas por medio por los empleados y grupos de trabajo y no a través del
departamento de TI u otros canales adecuados. Debido a este “acceso furtivo”, el equipo
inalámbrico no fue sometido al proceso normal de comprender sus capacidades y
limitaciones antes de implementarlo. Por consiguiente, los esfuerzos que se hicieron por
proteger los dispositivos inalámbricos no fueron oportunos o no fueron lo suficientemente
rigurosos.
El primer paso en la creación de una WLAN segura es establecer una estrategia
empresarial para su instalación y utilización. La estrategia debe abarcar las siguientes
áreas:
• Determinar las necesidades de la empresa: ¿Cuáles son las motivaciones y
necesidades de su empresa? Identificar claramente los objetivos y asegurarse de
que los beneficios superan los riesgos.
• Integrar las políticas inalámbricas a las actuales políticas del departamento de TI.
(Recuerde que las soluciones inalámbricas son una extensión de la red alámbrica.
• Definir claramente la propiedad de las WLAN: con ello se garantiza control y
respuesta cuando se identifican las amenazas a la seguridad y se bloquean los
ingresos de accesos furtivos.
10
• Proteger la infraestructura existente: es importante no poner los dispositivos
inalámbricos directamente en la red interna, sino suministrar una WLAN separada
con gateways muy controlados a la red principal.
• Educar a los Usuarios sobre las políticas inalámbricas: incluye instruir a los
empleados en la configuración de sus dispositivos para que tengan acceso de
manera segura a la red.
Principales Ataques a las Redes WLAN.
Para localizar una máquina en Internet es necesario conocer la dirección IP asignadas por
el ISP (Proveedor de Servicios Internet). Para tener acceso es necesario encontrar un
puerto abierto. Por ejemplo, en el caso del acceso Web, por lo general, es necesario el
puerto 8080 u 80 más popularmente conocido y en el caso del acceso FTP (Protocolo de
transferencia de archivos) necesitamos el puerto 21.
Por lo tanto, una vez conocido la dirección IP, es necesario escanear los puertos de la
máquina cuya dirección conocemos. Estos programas varían de formato pero tienen
como objetivo el mismo fin.
Otro método de apertura de puertos es enviar al usuario un programa que despliegue un
"Caballo de Troya" o "Troyano". Veamos un poco los diferentes tipos de ataques a redes
inalámbricas y como funcionan. Los ataques pasivos son aquellos donde un tercero no
realiza ningún ataque, simplemente escucha. Los ataques activos, en cambio, buscan
causar algún daño, como ser: perdida de confidencialidad, disponibilidad e integridad de
información ó sistemas.
El siguiente listado menciona algunos de los ataques más comunes:
• Ataques Pasivos:
Eavesdropping: El atacante simplemente escucha (generalmente con una notebook ó
PDA) las comunicaciones entre un Access Point y sus clientes. Con este ataque se busca
obtener información que es normalmente transmitida por la red, como ser: usuarios,
contraseñas, direcciones IP, etc. Este tipo de ataque es el más peligroso, ya que abre las
puertas a otros ataques.
11
• Ataques activos:
IP Spoofing: El atacante cambia su dirección IP para poder pasar por alto controles de
acceso.
MAC Address Spoofing: El atacante cambia su dirección MAC para pasar por alto los
controles de acceso de los Access Points. Como veremos mas adelante, la mayoría de
los Access Points posee controles de acceso filtrando direcciones MAC.
ARP Poisoning: Todos los equipos conectados a una red tienen una tabla ARP que
asocia direcciones MAC a direcciones IP. Este tipo de ataque busca modificar estas
tablas para poder redirigir el tráfico de un equipo a otro de manera controlada.
Este tipo de ataque es transparente y la victima no se da cuenta que su trafico de red esta
pasando por un tercero antes de llegar a destino.
MAC Flooding: Este ataque se consiste en inundar la red con direcciones IP falsas,
causando que el Switch pase a funcionar en modo de Hub, ya que no soporta tanto
tráfico.
Denial of Service: Este tipo de ataque busca dejar fuera de servicio a la red inalámbrica,
utilizando todo el ancho de banda para enviar paquetes basura. Injection: El atacante
puede insertar paquetes en la red inalámbrica causando que todos los clientes se
desconecten ó inundar la red con paquetes basura (generando un DoS).
Replay: El atacante captura paquetes y luego los reinserta en la red inalámbrica con o sin
modificación. De esta forma, posee todo el control del tráfico. Programa o dispositivo
capaz de leer los datos transmitidos por una red. Los programas de espionaje informático
se pueden usar con fines legítimos de gestión de la red y para robar información de la red.
En las redes TCP/IP en las que espían la información de los paquetes, suelen recibir el
nombre de programas de espionaje informático de paquetes o packet sniffers.
Persona que accede sin autorización a sistemas informáticos con el objetivo de robar o
dañar los datos.
Ataque de negación de servicio (DoS, por sus siglas en inglés). Ataque a una red
diseñado para deshabilitarla mediante congestionamientos inútiles de tráfico. Muchos de
estos ataques, como los ataques Ping of Death y Teardrop, aprovechan las limitaciones
de los protocolos TCP/IP. Existen métodos de reparación por software para todos los DoS
conocidos que los administradores de sistemas pueden instalar para limitar los daños
causados.
12
Camuflaje. Algunos buscadores prohíben los sitios Web camuflados. En la distribución de
mensajes por correo electrónico, el camuflaje consiste en enmascarar el nombre y la
dirección del remitente de modo que el destinatario no sepa quién envió el mensaje.
Troyano. Programa destructivo que se encubre bajo la forma de una aplicación
inofensiva. A diferencia de los virus, los troyanos no son capaces de reproducirse por sí
mismos, pero pueden ser igualmente destructivos. Virus. Todos los virus informáticos son
diseñados por el hombre y muchos de ellos pueden reproducirse fácilmente. Si eres
miembro de AT&T Yahoo! Dial o DSL, disfrutas de acceso a las funciones de protección y
control de uso para padres de familia uno de los paquetes de protección y control más
completos de la industria que te protege tu computadora de los ataques de los virus.
Gusano. Programa o algoritmo que se reproduce en una red informática y suele realizar
actividades maliciosas, como consumir los recursos de la computadora y hasta cerrar el
equipo.
Soluciones de seguridad en WLAN
En los inicios de la tecnología inalámbrica, los procedimientos y mecanismos de
seguridad eran tan débiles que podía ganarse acceso con relativa facilidad hacia redes
WLAN de compañías desde la calle.
Existe el término “wardriving”, que se refiere a la acción de recorrer una ciudad para
buscar la existencia de redes inalámbricas y ganar acceso a ellas. En la actualidad,
existen técnicas más sofisticadas y complejas, las cuales fortalecen los inconvenientes de
los mecanismos WLAN y ayudan a mantener la confidencialidad y resistencia ante los
ataques dirigidos hacia este tipo de redes.
El estándar inalámbrico 802.11 original incorpora encriptación y autenticación WEP
(Privacidad Equivalente a Cable). Al interceptar y decodificar los datos transmitidos en el
aire, y en cuestión de horas en una red WLAN con tráfico intenso, la clave WEP puede
ser deducida y se puede ganar acceso no autorizado. Esta situación desencadenó una
serie de acciones por parte del IEEE y de la industria para mejorar la seguridad en las
redes de tecnología inalámbrica.
La seguridad WLAN abarca dos elementos: el acceso a la red y la protección de los datos
(autenticación y encriptación, respectivamente). Las violaciones a la seguridad de la red
13
inalámbrica, generalmente, vienen de los puntos de acceso no autorizados, aquéllos
instalados sin el conocimiento de los administradores de la red, o que operan con las
funcionalidades de protección deshabilitadas (que es la configuración por omisión en los
dispositivos inalámbricos).
Estos “hoyos” en la seguridad, pueden ser aprovechados por personal no autorizado
(hackers), que en caso de que logren asociarse con el punto de acceso, ponen en riesgo
no únicamente la infraestructura inalámbrica, sino también la red alámbrica a la cual se
conecta.
La siguiente lista de términos estándares y protocolos de seguridad utilizados en la
industria de la WLAN.
- 802.11 del IEEE: La familia de estándares del Instituto de Ingeniería Eléctrica y
Electrónica (IEEE) para las redes WLAN, la cual fue por primera vez introducido en 1997.
El 802.11b es un estándar endosado y bajo registro de marca Wi-Fi por la Alianza Wi-Fi.
- 802.1X del IEEE: Un estándar de seguridad que se caracteriza por tener una estructura
de autenticación basada en puerto y una distribución dinámica de llaves de sesión para
encriptación WEP. Se requiere de un servidor RADIUS.
- 802.11i del IEEE: Un venidero estándar de seguridad que el IEEE está actualmente
desarrollando; se caracteriza por las protecciones de autenticación 802.1X y agrega el
estándar de encriptación de avance (AES)1 para la protección de encriptación junto a
otras mejoras.
- WPA: El Acceso Protegido Wi-Fi (WPA) es un estándar de seguridad de la Alianza Wi-Fi
que resuelve los inconvenientes de la encriptación de la Privacidad Equivalente Cableada
(WEP), utilizando el Protocolo de Integridad de Llave temporal (TKIP), el cual se envuelve
alrededor de la WEP y cierra sus hoyos de seguridad. El Acceso Protegido Wi-Fi (WPA),
incluye además los beneficios de autenticación del estándar 802.1X.
- EAP2: El Protocolo de Autenticación Extensible (EAP) es un protocolo punto a punto que
Soporta métodos de autenticación múltiples.
14
- WEP: La Privacidad Equivalente Cableada (WEP) es el protocolo de seguridad 802.11
original para las redes inalámbricas.
- VPN3: La Tecnología de la Red Privada Virtual (VPN) ofrece protección WLAN adicional
importante para datos críticos. La red privada virtual (VPN) protege una WLAN creando
un túnel que resguarda los datos del mundo exterior.
Plan de Implementación de Seguridad WLAN
La especificación 802.11 del IEEE original utilizó tres mecanismos para proteger las redes
LAN inalámbricas.
- El Identificador Fijo del Servicio (SSID) es una simple contraseña que identifica la
WLAN. Los clientes deben estar configurados con el SSID correcto para acceder su
WLAN.
- El Control de Acceso al Medio (MAC) direcciona el filtrado que restringe el acceso
WLAN a aquellas computadoras que se encuentran en la lista creada por usted para cada
punto de acceso en su WLAN.
- La Privacidad Equivalente Cableada (WEP) es un esquema de encriptación que protege
las corrientes de datos WLAN entre los clientes y los puntos de acceso (APs), según lo
especifica el estándar 802.11. Se encontraron fallas.
802.1X
Para dirigir las fallas de seguridad de la Privacidad Equivalente Cableada (WEP), el IEEE
trajo su estándar 802.1X. El mismo fue implementado ampliamente por los fabricantes de
redes de área local inalámbricas (WLAN) a finales del 2001 y a lo largo del 2002.
- El estándar 802.1X del IEEE es una estructura diseñada para ofrecer control de acceso
al puerto entre las PCs inalámbricas de los clientes, puntos de acceso y servidores.
Emplea llaves dinámicas en lugar de las llaves estáticas utilizadas en la autenticación de
la WEP, y requiere un protocolo de autenticación para la autenticación mutua. Para que la
autenticación funcione, la transmisión del usuario debe efectuarse a través de un punto de
15
acceso LAN inalámbrico para alcanzar el servidor de punto final del Servicio al Usuario de
Marcado de Autenticación Remota (RADIUS) que lleva a cabo la autenticación.
Acceso Protegido Wi-Fi
-El Acceso Protegido Wi-Fi (WPA) está siendo desplegado en los productos LAN
inalámbricos como una característica del estándar y gracias a los fabricantes esta
protección se encuentra disponible bajando un programa.
-El Acceso Protegido Wi-Fi (WPA) implementa los beneficios de encriptación del protocolo
TKIP. Este protocolo fue construido basado en el estándar de la WEP y fue diseñando y
evaluado por los mejores criptógrafos para posteriormente dar apoyo a la protección que
ofrecen las redes de área local inalámbricas (WLAN).
802.11i
El 802.11I del IEEE es un estándar de seguridad que se espera esté terminado para
finales del 2003 y que promoverá las mejoras alcanzadas en la autenticación y
encriptación implementadas por el WPA. Más importante aún, añadirá un estándar de
encriptación conocido como Estándar de Encriptación Avanzado (AES), así como también
otras ampliaciones
Otras Consideraciones de Seguridad
- Punto de Acceso sin Autorización (Rogué): Efectúe auditorias regulares de red para
identificar los puntos de acceso sin autorización y desactivarlos o reconfigurarlos de
manera apropiada. Los puntos de acceso Rogué son aquellos que se instalan sin el
conocimiento de los departamentos IT, y no están por lo general configurados con algún
mecanismo de seguridad, lo cual deja abierta la posibilidad de un acceso no autorizado.
- Red Privada Virtual (VPN): Esta tecnología ofrece seguridad adicional ya que crea un
túnel que protege sus datos del mundo exterior. Una política de seguridad común para
muchas organizaciones es solicitarles a los clientes la utilización de la VPN para acceder
la red corporativa a través de cualquier punto de acceso inalámbrico.
16
Soluciones de seguridad física
Desde el descubrimiento de las vulnerabilidades de seguridad de WLAN, proveedores de
redes, organismos de estándares y analistas han dedicado gran parte de sus esfuerzos a
la búsqueda de remedios para hacer frente a estos problemas. Las alternativas
principales son:
En el contexto de las ciencias de la computación, el término Proxy hace referencia a un
programa o dispositivo que realiza una acción en representación de otro. La finalidad más
habitual es la del servidor Proxy, que sirve para permitir el acceso a Internet a todos los
equipos de una organización cuando sólo se puede disponer de un único equipo
conectado, esto es, una única dirección IP.
En general
La palabra Proxy se usa en muchas situaciones en donde tiene sentido un intermediario:
El uso más común es el de servidor Proxy, que es una computadora que intercepta las
conexiones de red que un cliente hace a un servidor de destino.
De ellos, el más famoso es el servidor Proxy de Web (comúnmente conocido solamente
como "Proxy"). Intercepta la navegación de los clientes por páginas Web, por varios
motivos posibles: seguridad, rendimiento, anonimato, etc.
También existen proxies para otros protocolos, como el Proxy de FTP
El Proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre
computadoras
Proxy (patrón de diseño) también es un patrón de diseño (programación) con el mismo
esquema que el Proxy de red. Sólo el intermediario hace el trabajo real, por tanto se
pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al Proxy. Por
tanto, sólo uno de los usuarios (el Proxy) ha de estar equipado para hacer el trabajo real.
Velocidad. Si varios clientes van a pedir el mismo recurso, el Proxy puede hacer caché:
guardar la respuesta de una petición para darla directamente cuando otro usuario la pida.
Filtrado. El Proxy puede negarse a responder algunas peticiones si detecta que están
prohibidas. Como intermediario que es, un Proxy puede falsificar información, o
17
modificarla siguiendo un algoritmo. Pero esto puede ser malo, por ejemplo cuando hay
que hacer necesariamente la identificación.
• Carga. Un Proxy ha de hacer el trabajo de muchos usuarios. Es un paso más entre
origen y destino, y algunos usuarios pueden no querer pasar por el Proxy. Y menos
si hace de caché y guarda copias de los datos.
Funcionamiento
A continuación se hablará del servidor Proxy de Web, el más común.
Un Proxy permite a otros equipos conectarse a una red de forma indirecta a través de él.
Cuando un equipo de la red desea acceder a una información o recurso, es realmente el
Proxy quien realiza la comunicación y a continuación traslada el resultado al equipo
inicial. una página Web) en una cache que permita acelerar sucesivas consultas
coincidentes. Con esta denominación general de Proxy se agrupan diversas técnicas.
Proxy de Web / Proxy cache de Web
Se trata de un Proxy para una aplicación específica: el acceso a la Web. Aparte de la
utilidad general de un Proxy, proporciona una cache para las páginas Web y los
contenidos descargados, que es compartida por todos los equipos de la red, con la
consiguiente mejora en los tiempos de acceso para consultas coincidentes.
1. Cuando el Proxy caché recibe la petición, busca la URL resultante en su caché
local.
El caché utiliza normalmente un algoritmo para determinar cuándo un documento está
obsoleto y debe ser eliminado de la caché, dependiendo de su antigüedad, tamaño e
histórico de acceso. Los proxies Web también pueden filtrar el contenido de las páginas
Web servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo están
implementadas como proxies Web. Otros tipos de Proxy cambian el formato de las
páginas Web para un propósito o una audiencia específicos, para, por ejemplo, mostrar
una página en un teléfono móvil o una PDA. Algunos operadores de red también tienen
proxies para interceptar virus y otros contenidos hostiles servidos por páginas Web
remotas.
18
Ventajas
Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy y no a
Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga los servidores
destino, a los que llegan menos peticiones.
Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita
transferencias idénticas de la información entre servidores durante un tiempo (configurado
por el administrador) así que el usuario recibe una respuesta más rápida.
Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para solicitar, a través
de él, los contenidos Web.
Filtrado de contenidos: El servidor Proxy puede hacer un filtrado de páginas o
contenidos basándose en criterios de restricción establecidos por el administrador
dependiendo valores y características de lo que no se permite, creando una restricción
cuando sea necesario.
Modificación de contenidos: Basándose en la misma función del filtrado, y llamado
Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para
bloquear direcciones y Cookies por expresiones regulares y modifica en la petición el
contenido.
Desventajas
• Las páginas mostradas pueden no estar actualizadas si éstas han sido modificadas
desde la última carga que realizó el Proxy caché.
Un diseñador de páginas Web puede indicar en el contenido de su Web que los
navegadores no hagan una caché de sus páginas, pero este método no funciona
habitualmente para un Proxy.
• El hecho de acceder a Internet a través de un Proxy, en vez de mediante conexión
directa, impide realizar operaciones avanzadas a través de algunos puertos o
protocolos.
19
Proxies transparentes
Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para
reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché.
Normalmente, un Proxy Web o NAT no es transparente a la aplicación cliente: debe ser
configurada para usar el Proxy, manualmente. Por lo tanto, el usuario puede evadir el
Proxy cambiando simplemente la configuración.
Un Proxy transparente combina un servidor Proxy con NAT de manera que las
conexiones son enrutadas dentro del Proxy sin configuración por parte del cliente, y
habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de Proxy
que utilizan los proveedores de servicios de internet (ISP).
Reverse Proxy
Un reverse Proxy es un servidor Proxy instalado en el domicilio de uno o más servidores
Web. Todo el tráfico entrante de Internet y con el destino de uno de esos servidores Web
pasa a través del servidor Proxy.
Hay varias razones para instalar un "reverse Proxy":
Seguridad: el servidor Proxy es una capa adicional de defensa y por lo tanto protege los
servidores Web.
Encriptación / Aceleración SSL: cuando se crea un sitio Web seguro, habitualmente la
encriptación SSL no la hace el mismo servidor Web, sino que es realizada por el "reverse
Proxy", el cual está equipado con un hardware de aceleración SSL (Security Sockets
Layer).
Distribución de Carga: el "reverse Proxy" puede distribuir la carga entre varios servidores
Web. En ese caso, el "reverse Proxy" puede necesitar reescribir las URL de cada página
Web (traducción de la URL externa a la URL interna correspondiente, según en qué
servidor se encuentre la información solicitada)
• Caché de contenido estático: Un "reverse Proxy" puede descargar los servidores
Web almacenando contenido estático como imágenes y otro contenido gráfico...
Otro mecanismo para hacer de intermediario en una red es el NAT.
La traducción de direcciones de red (NAT, Network Address Translation) también es
conocida como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones
fuente o destino de los paquetes IP son rescritas, sustituidas por otras (de ahí el
"enmascaramiento").
Esto es lo que ocurre cuando varios usuarios comparten una única conexión a Internet.
Se dispone de una única dirección IP pública, que tiene que ser compartida. Dentro de la
red de área local (LAN) los equipos emplean direcciones IP reservadas para uso privado y
será el Proxy el encargado de traducir las direcciones privadas a esa única dirección
pública para realizar las peticiones, así como de distribuir las páginas recibidas a aquel
usuario interno que la solicitó.
Esta situación es muy común en empresas y domicilios con varias computadoras en red y
un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta
seguridad, puesto que en realidad no hay conexión directa entre el exterior y la red
privada, y así nuestros equipos no están expuestos a ataques directos desde el exterior.
Firewall
Un Firewall es un elemento de hardware o software utilizado en una red de computadoras
para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de
red que haya definido la organización responsable de la red. La ubicación habitual de un
cortafuegos es el punto de conexión de la red interna de la organización con la red
exterior, que normalmente es Internet; de este modo se protege la red interna de intentos
de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los
sistemas de la red interna.
También es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organización que deben permanecer
accesibles desde la red exterior.
21
Un Firewall correctamente configurado añade protección a una instalación informática,
pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca
más ámbitos y más niveles de trabajo y protección.
Tipos de Firewall
Firewall de capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes
IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP:
dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se
permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y
destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC.
Firewall de capa de aplicación
Trabaja en el nivel de aplicación (nivel 7) de manera que los filtrados se pueden adaptar a
características propias de los protocolos de este nivel. Un firewall a nivel 7 de tráfico
HTTP es normalmente denominado Proxy y permite que los computadores de una
organización entren a internet de una forma controlada.
Firewall personal
Es un caso particular de cortafuegos que se instala como software en un computador,
filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa.
Ventajas de un firewall
Protege de intrusiones. El acceso a ciertos segmentos de la red de una organización,
sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de
Internet.
Protección de información privada. Permite definir distintos niveles de acceso a la
información de manera que en una organización cada grupo de usuarios definido tendrá
acceso sólo a los servicios y la información que le son estrictamente necesarios.
Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la
comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de
seguridad.
22
Limitaciones de firewall
Un Firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su
punto de operación.
El Firewall no puede protegerse contra los ataques posibles a la red interna por virus
informáticos a través de archivos y software. La solución real esta en que la organización
debe ser consciente en instalar software antivirus en cada máquina para protegerse de
los virus que llegan por medio de disquetes o cualquier otra fuente.
El Firewall no protege de los fallos de seguridad de los servicios y protocolos de los
cuales se permita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los
servicios que se publiquen a internet.
Políticas del Firewall
Hay dos políticas básicas en la configuración de un firewall y que cambian radicalmente la
filosofía fundamental de la seguridad en la organización:
Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente
permitido. El firewall obstruye todo el tráfico y hay que habilitar expresamente el tráfico de
los servicios que se necesiten. Cada servicio potencialmente peligroso necesitará ser
aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado.
Sistemas de caja Negra
Es un sistema de caja negra permite a los administradores obtener información de
registro en sus sistemas de manera uniforme para toda la red. Realizando la tarea de
guardar, analizar y procesar los archivos de registro fácilmente, pero lo que la gente
espera de los registros del sistema ha cambiado en los últimos años y el servicio
tradicional simplemente no lo puede ofrecer. Cubre este hueco.
Los registros tradicionalmente se usan para comprobar la salud del sistema. Muchos
administradores ni siquiera se molestan en mirar los registros a menos que se encuentren
con un problema en el sistema. Pero hoy, es también una cuestión de mejorar la
fiabilidad, esto es, usar el sistema como una alerta temprana para impedir que las cosas
vayan a peor. La integridad de los mensajes de un sistema es también ahora más
23
importante que nunca, ya que permiten a los administradores levantar defensas basadas
en datos reales. Los administradores también buscan habitualmente más flexibilidad en la
configuración y en el manejo de las redes.
Desventajas
Falta de métodos de
Autenticación
No puede distinguir entre distintos hosts. Si el servicio se lanza con la opción -r, acepta
mensajes UDP en el puerto 514 sin importar cual es su origen. Esto permite a los
atacantes invadir el servidor de registro con paquetes UDP o transmitir mensajes
manipulados. Aparte de utilizar la funcionalidad de un firewall simple, no hay forma de
proteger al servidor de registros.
No registra el origen de la fuente
Cuando un mensaje pasa por distintos servidores de registro es imposible descubrir la
fuente del mismo no almacena el FQDN (Fully Qualified Domain Name) del host. Cada
host que propaga un mensaje modifica la dirección IP registrada.
SOLUCIONES DE SEGURIDAD LOGICA.
La seguridad lógica al referirse a controles lógicos dentro del software se implementa
mediante la construcción de contraseñas en diversos niveles de los sistemas donde
permita solo el acceso en base a niveles de seguridad de usuarios con permiso, en base
al sistema operativo que use como plataforma el sistema a implantarse puedo considerar
además a nivel código, algoritmos que generen claves para poder encriptar los archivos
de contraseñas dentro del sistema lo cual me permita mayor seguridad en un entorno de
red. Generar un módulo del sistema para la emisión de reportes para el administrador del
sistema en donde se muestre tablas de uso del sistema así como los usuarios y los
niveles de acceso por parte de los tales para poder determinar el uso y acceso al sistema.
También es necesario contar con el diseño de módulos que ejecuten un Control de
alarma la cual notifique en todo momento sobre la integridad de la información del
sistema.
24
A continuación se mencionan algunos métodos de seguridad lógica.
Programa antivirus. Autenticación. En los sistemas de seguridad, la autenticación
difiere de la autorización, la cual consiste en permitir el acceso personal a los elementos
de un sistema a partir de la identidad de la persona.
Cookie. Mensaje que un servidor de Web entrega a un explorador de Internet. Por lo
general, el explorador guarda el mensaje en un archivo de texto denominado cookie.txt.
Luego, el mensaje se envía de regreso al servidor cada vez que el explorador solicita una
página al servidor. Firma digital. Las firmas digitales son particularmente importantes en
el comercio electrónico y constituyen un elemento clave de la mayoría de los procesos de
autenticación.
Dirección IP dinámica. Asignación de una dirección IP (Internet Protocol) protocolo de
Internet) nueva que se selecciona al azar de una lista de direcciones disponibles cuando
te conectas a Internet.
Traducción de datos a un código secreto. Los datos no cifrados se denominan texto sin
formato, mientras que los cifrados se conocen como texto cifrado.
existen dos tipos principales de cifrado: cifrado asimétrico (también llamado cifrado por
clave pública) y cifrado simétrico. Protocolo de Internet (IP): Parte de una serie de
protocolos que rastrean la dirección de Internet de los nodos, encaminan los mensajes
enviados y reconocen los mensajes recibidos.
Filtración de paquetes. También denominada filtración de paquetes estáticos. Control
del acceso a
una red mediante el análisis de los paquetes recibidos y enviados, y la autorización o el
bloqueo de su tránsito en función de la dirección IP de su origen y destino. La filtración de
paquetes es una de tantas técnicas para la ejecución de servidores de seguridad como
medida de protección.
Contraseña. Serie de caracteres secretos que permiten a un usuario acceder a archivos,
computadoras, programas o cuentas de Internet. En sistemas que sirven a varios
usuarios, cada usuario debe tener su propia contraseña para que la computadora
responda a los comandos. La contraseña evita el acceso de usuarios sin autorización.
25
Cifrado por clave pública. Sistema criptográfico que se basa en dos claves, una del
conocimiento público y otra privada o secreta conocida sólo por el destinatario del
mensaje. Si Juan quiere enviar un mensaje seguro a María, usa la clave pública de María
para cifrar el mensaje; al recibir el mensaje posteriormente, María usa su clave privada
para descifrarlo. Un elemento importante del sistema público es que las claves pública y
privada se relacionan entre sí de manera los mensajes se pueden cifrar sólo con la clave
pública y se pueden descifrar exclusivamente con la clave privada correspondiente.
Protección. La mayoría de las medidas de protección exigen el cifrado de los datos y el
uso de contraseñas.
Tarjeta inteligente o Smartcard. Las tarjetas inteligentes con circuito integrado en
ocasiones se conocen como tarjetas de circuitos integrados. El uso de las tarjetas
inteligentes, ya sea para consultar la información contenida en ellas o para introducir más
datos, requiere de un lector de tarjetas inteligentes, un dispositivo muy pequeño en el que
se introduce la tarjeta inteligente.
Dirección IP estática. Asignación de la misma dirección IP para todas las conexiones a
Internet.
Cifrado simétrico. Tipo de cifrado que se basa en la misma clave para cifrar y descifrar
un mensaje. Este sistema difiere del cifrado asimétrico (o cifrado por clave pública) en que
se basa en una clave para cifrar el mensaje y otra para descifrarlo.
Nombre de usuario. Nombre que se usa para identificarse al entrar en un sistema
informático. Por lo general, el nombre de usuario se usa junto con una contraseña,
elementos fundamentales para el uso de sistemas que sirven a varios usuarios. En la
mayoría de estos sistemas, los usuarios pueden elegir su propio nombre de usuario y
contraseña. El nombre de usuario también es necesario para el acceso a tableros de
boletines y servicios por Internet.
SERVIDORES DE SEGURIDAD.
Servidor de seguridad. Sistema diseñado para impedir el acceso no autorizado hacia o
desde una red privada. Los servidores de seguridad se consideran como la primera
barrera de defensa para proteger la información privada. Los servidores de seguridad
suelen usarse para evitar el acceso de usuarios no autorizados a redes privadas
26
conectadas a Internet, especialmente Intranets. Si eres miembro de AT&T Yahoo! Dial o
DSL, disfrutas de acceso a las funciones de protección y control de uso para padres de
familia de AT&T Yahoo!, uno de los paquetes de protección y control para padres más
completos de la industria.
Un servidor de seguridad examina la información que viene y va a Internet. Si configura el
servidor de seguridad correctamente, los piratas que buscan equipos vulnerables no
detectarán su equipo.
Actualmente existen tres tipos básicos de servidores de seguridad. El primer paso al
elegir un servidor de seguridad consiste en determinar el que resulta más adecuado. Las
opciones disponibles son:
• Servidores de seguridad de software
• Enrutadores hardware
• Enrutadores inalámbricos
Los ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo de
información, venganza o simplemente el desafío de penetrar un sistema. Esto puede ser
realizado por empleados internos que abusan de sus permisos de acceso, o por
atacantes externos que acceden remotamente o interceptan el tráfico de red, entre otros.
Servidor Proxy
Un servidor Proxy es aquel que nos permite almacenar la información que es consultada
con mayor frecuencia en páginas de Internet por un período de tiempo, con el fin de
aumentar la velocidad en el acceso y al mismo tiempo liberar la carga de los enlaces
hacia Internet. Un servidor Proxy-Caché actúa como intermediario entre el programa
Cliente (Netscape, Internet Explorer,..) y el servidor de información al que queremos
acceder. Es decir si una persona ingresa a una página determinada de Internet, ésta pasa
por los enlaces y se almacena en la red local.
El Proxy actúa como una barrera de seguridad, para impedir el acceso a la red local
desde el exterior.
Ofrece todos los servicios normales WWW, Correo Electrónico, MSN, entre otros.
27
La mala configuración de los servidores Proxy, permite que estos sean utilizados para
enviar correo de tipo SPAM, para entrar a analizar éste concepto se debe recordar que
durante el envío de un correo electrónico participan varios programas, que son:
El programa usado por el usuario final, que sirve no sólo para recibir y enviar, sino
también para leer y escribir e-mails, es conocido como MUA – Mail User Agent, ejemplo
de este tipo de programas son: Mozilla Thunderbird, Outlook Express, PINE, Mutt, entre
otros.
La parte del servidor responsable de la comunicación con los usuarios (recepción de
correo) y del envío y recepción de correo de otros servidores es conocida como MTA –
Mail Transfer Agent.
• La parte del servidor responsable de la entrega del correo al usuario local se llama
MDA – Mail Delivery Agent. Ejemplos de MDA son: Maildrop, Procmail.
Entonces cuando se habla de servidores Open Proxy, nos referimos a los servidores
Proxy a los cuales se pueden conectar usuarios no autorizados entre ellos spammers, de
manera idéntica que a un open relay para enviar correspondencia no autorizada. Además
muchos open Proxy permiten ocultar su dirección IP.
El empleo de un open Proxy generalmente permite conexión por medio del protocolo
HTTP-CONNECT en el puerto 80. Para el spammer lo mejor es encontrar un servicio
open-relay que al mismo tiempo tenga instalado un servidor de correo local. En la mayoría
de los casos el MTA sin autorización acepta las conexiones del Proxy local tratándolas del
mismo modo que las de usuarios locales. Si el spammer esta muy interesado en ocultar
su IP puede emplear varios open Proxy en cascada, hasta llegar al objetivo.
28
Capitulo
ESTADO DEL ARTE
SISTEMA DE DETECCION DE INTRUSOS
¿Qué es un Sistema de Detección de Intrusos?
Un Sistema de Detección de Intrusos o IDS (Intrusión Detection System) es una
herramienta de seguridad encargada de monitorizar los eventos que ocurren en un
sistema informático en busca de intentos de intrusión.
Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad,
integridad, disponibilidad o evitar los mecanismos de seguridad de una computadora o
red. Las intrusiones se pueden producir de varias formas: atacantes que acceden a los
sistemas desde Internet, usuarios autorizados del sistema que intentan ganar privilegios
adicionales para los cuales no están autorizados y usuarios autorizados que hacen un mal
uso de los privilegios que se les han asignado.
¿Por qué utilizar un IDS?
La detección de intrusiones permite a las organizaciones proteger sus sistemas de las
amenazas que aparecen al incrementar la conectividad en red y la dependencia que
tenemos hacia los sistemas de información.
Los IDSs han ganado aceptación como una pieza fundamental en la infraestructura de
seguridad de la organización. Hay varias razones para adquirir y usar un IDS.
Prevenir problemas al disuadir a individuos hostiles.
Esto también puede jugar en nuestra contra, puesto que la presencia de un sistema de
seguridad sofisticado puede hacer crecer la curiosidad del atacante.
II
29
Detectar ataques y otras violaciones de la seguridad que no son prevenidas por
otras medidas de protección.
Los atacantes, usando técnicas ampliamente conocidas, pueden conseguir accesos no
autorizados a muchos sistemas, especialmente a aquellos conectados a redes públicas.
Esto a menudo ocurre cuando vulnerabilidades conocidas no son corregidas. En algunos
sistemas heredados, los sistemas operativos no pueden ser parcheados o actualizados.
Esto es un problema común, sobre todo en entornos que incluyen un gran número de
hosts con sistemas operativos y hardware variado. Los usuarios y administradores
pueden equivocarse al configurar sus sistemas.
Un sistema de detección de intrusos puede ser una excelente herramienta de protección
de sistemas. Un IDS puede detectar cuando un atacante ha intentado penetrar en un
sistema explotando un fallo no corregido.
Detectar preámbulos de ataques (normalmente pruebas de red y otras actividades.
Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles. En la
primera fase, el atacante hace pruebas y examina el sistema o red en busca de un punto
de entrada óptimo. En sistemas o redes que no disponen de un IDS, el atacante es libre
de examinar el sistema con un riesgo mínimo de ser detectado. Esto le facilita la
búsqueda de un punto débil en nuestra red. La misma red con un IDS monitorizando sus
operaciones le presenta una mayor dificultad. Aunque el atacante puede examinar la red,
el IDS observará estas pruebas, las identificará como sospechosas, podrá activamente
bloquear el acceso del atacante al sistema objetivo y avisará al personal de seguridad de
lo ocurrido para que tome las acciones pertinentes.
Documentar el riesgo de la organización.
Cuando se hace un plan para la gestión de seguridad de la red o se desea redactar la
política de seguridad de la organización, es necesario conocer cual es el riesgo de la
organización a posibles amenazas, la probabilidad de ser atacada o si incluso ya está
siendo atacada.
Un IDS nos puede ayudar a conocer la amenaza existente fuera y dentro de la
organización, ayudándonos a tomar decisiones acerca de los recursos de seguridad que
30
deberemos emplear en nuestra red y del grado de cautela que deberemos adoptar al
redactar la política de seguridad.
Proveer información útil sobre las intrusiones que se están produciendo. Incluso cuando los IDSs no son capaces de bloquear ataques, pueden recoger
información relevante sobre éstos. Esta información puede, bajo ciertas circunstancias,
ser utilizada como prueba en actuaciones legales. También se puede usar esta
información para corregir fallos en la configuración de seguridad de los equipos o en la
política de seguridad de la organización.
Adaptative Intrusión Detection system - AID
El desarrollo del sistema AID (sistema de Detección de Intrusos Adaptativo,) se llevó a
cabo en la Universidad de Tecnología de Branden burgo, entre 1994 y 1996. El sistema
fue diseñado para auditarías de red basadas en la monitorización de los hosts presentes
en una LAN y está siendo utilizado para la investigación de auditarías de privacidad.
Arquitectura de los IDSs
Existen varias propuestas sobra la arquitectura de los IDS pero ninguna de ellas se usa
mayoritariamente. Esto provoca que los productos de los fabricantes que trabajan con
distinta arquitectura puedan difícilmente intel operar entre sí. "Si no existe un solo
producto mágico que haga todo por nosotros, es mejor que los distintos productos
utilizados para establecer nuestra capacidad de detección de intrusos ínter operen. Para
que estos productos funcionen juntos debe aplicarse un estándar. Los estándares
originales fueron el formato ’autopost de AusCERT’ y CIDF. En estos momentos, los
esfuerzos de estandarización actuales parecen ser IDWG y CVE y posiblemente algunos
productos comerciales."
CIDF (Common Intrusion Detection Framework) El Marco de Detección de Intrusos Común fue un primer intento de estandarización de la
arquitectura de un IDS. No logró su aceptación como estándar, pero estableció un modelo
y un vocabulario para discutir sobre las intrusiones. Mucha gente que trabajó en el
31
proyecto original está fuertemente involucrada en los esfuerzos del Grupo de Trabajo de
Detección de Intrusos (Intrusión Detección Working Group, IDWG) del Internet
Engineering Task Forcé (IETF). Los cuatro tipos básicos de equipos que contempla el
CIDF son los siguientes (ver figura 1).
Equipos E, o generadores de eventos, son los sensores. Su trabajo es detectar eventos y
lanzar informes.
Equipos A, reciben informes y realizan análisis. Pueden ofrecer una prescripción y un
curso de acción recomendado.
Equipos D, son componentes de bases de datos. Pueden determinar si se ha visto antes
una dirección IP o un ataque por medio de correlación y pueden realizar análisis de
pistas.
Equipos R, o equipos de respuesta, pueden tomar el resultado de los equipos E, A y D y
responder a los eventos.
Figura 2.1. Diagrama de bloques de la arquitectura CIDF.
CISL (Common Intrusion Specification Language)
El Lenguaje de Especificación de Intrusiones Común aparece de la necesidad de unir los
cuatro tipos de equipos de CIDF. Los diseñadores de CISL pensaron que este lenguaje
debería ser capaz al menos de transmitir los siguientes tipos de información:
Información de eventos en bruto. Auditoria de registros y tráfico de red. Sería el
encargado de unir equipos E con equipos A.
32
Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques
detectados. Uniría equipos A con D.
Prescripciones de respuestas. Detener determinadas actividades o modificar
parámetros de seguridad de componentes. Encargado de la unión entre equipos A y R.
Arquitectura de IDWG (Intrusión Detection Working Group)
El IETF rechazó el enfoque de CIDF seguramente por antipatía a CISL, debido a su
complejidad, y creó un grupo de trabajo llamado IDWG (Intrusión Detection Working
Group) que tenía como objetivo el de definir formatos y procedimientos de intercambio de
información entre los diversos subsistemas del IDS.
Los resultados de este grupo de trabajo serán:
1. Documentos que describan los requerimientos funcionales de alto nivel para la
comunicación entre sistemas de detección de intrusos y entre los sistemas de detección
de intrusos y sus sistemas de gestión.
2. Un lenguaje común de especificación que describa el formato de los datos.
3. Un marco de trabajo que identifique los mejores protocolos que se pueden usar para la
comunicación entre los IDSs y que defina como se mapean en éstos lo formatos de datos.
Fuentes de información Existen varias fuentes de las que un IDS puede recoger eventos. Algunos IDSs analizan
paquetes de red, capturados del backbone de la red o de segmentos LAN, mientras que
otros IDSs analizan eventos generados por los sistemas operativos o software de
aplicación en busca de señales de intrusión.
¿Dónde colocar un IDS?
La decisión de donde localizar el IDS es la primera decisión que hay que tomar una vez
que estamos dispuestos a instalar un IDS. De esta decisión dependerá tanto el equipo
que usemos, como el software IDS o la base de datos.
33
Organización Existen principalmente tres zonas en las que podríamos poner un sensor, tal y como
muestra la figura 2.2. :
Figura 2.2. : Localización de un IDS dentro de una organización.
Figura 2.2. : Localización de un IDS dentro de una organización.
Veamos las características que presenta cada una de estas zonas:
• Zona roja: Esta es una zona de alto riesgo. En esta zona el IDS debe ser
configurado para ser poco sensible, puesto que vera todo el tráfico que entre o
salga de nuestra red y habrá más posibilidad de falsas alarmas.
• Zona verde: El IDS debería ser configurado para tener una sensibilidad un poco
mayor que en la zona roja, puesto que ahora, el firewall deberá ser capaz de filtrar
algunos accesos definidos mediante la política de nuestra organización. En esta
zona aparece un menor número de falsas alarmas que en la zona roja, puesto que
en este punto solo deberían estar permitidos accesos hacia nuestros servidores.
• Zona azul: Esta es la zona de confianza. Cualquier tráfico anómalo que llegue
hasta aquí debe ser considerado como hostil. En este punto de la red se
producirán el menor número de falsas alarmas, por lo que cualquier alarma del IDS
debe de ser inmediatamente estudiada.
Es importante destacar que la zona azul no es parte de la red interna. Todo lo que llegue
al IDS de la zona azul ira hacia el firewall (por ejemplo, si utilizamos un Proxy-cache para
34
nuestros usuarios de Web) o hacia el exterior. El IDS no escuchará ningún tipo de tráfico
interno dentro de nuestra red.
En el caso de tener un IDS escuchando tráfico interno (por ejemplo, colocado entre una
VLAN y su router), las falsas alarmas vendrán provocadas en su mayor parte por
máquinas internas al acceder a los servidores de nuestra red, por servidores nuestros
(DNS sobre todo) y escaneadores de red, por lo que habrá que configurar el IDS para que
no sea muy sensible.
IDS en un entorno Switcheado
Si la red (o segmento de red) esta switcheada, se presenta un problema a la hora de
instalar un IDS, ya que (en principio) el IDS no será capaz de observar mas trafico que el
que vaya destinado a el (o a Broadcast). Existen dos soluciones a este problema (aparte
del uso de Hubs): Spannings Ports y TAPS.
Básicamente, un Spanning Port es un puerto que permite que el switch se comporte como
un Hub para un puerto especifico, lo que permite monitorizar el tráfico de una maquina.
Además, los switches no suelen garantizar que el 100% del trafico pase también al puerto
de spanning con lo que existe la posibilidad de no ver un ataque que el IDS es capaz de
detectar. Fig. 2.3.1.
Fig. 2.3.1. Spannigs Ports y TAPS
La otra posibilidad (la que se puede usar realmente) son los TAPS (www.shomiti.com y
www.ods.com fabrican TAPS). Básicamente, es un dispositivo de 3 puertos que permite
duplicar el tráfico entre 2 puertos a un tercero, de forma unidireccional (el puerto de copia
no puede enviar ni recibir
tráfico, solo recibir las copias). Así podemos conseguir la monitorización de una maquina
de forma segura, puesto que el TAP esta construido por Hardware y no existe la
posibilidad de que el IDS pierda paquetes (y por tanto, potencialmente, ataques).Fig.
2.3.2.
35
Fig. 2.3.2. TAPS
Esta opción permite monitorizar muchas maquinas, sin mas que incluir un Hub que
conecte múltiples TAPS con el IDS. Fig. 2.3.3.
Fig. 2.3.3. TAPS con IDS
Como los TAPS son unidireccionales, no es posible que se forme un bucle de tráfico, por
lo que esta configuración es perfectamente funcional para monitorizar con un IDS el
tráfico en una red switcheada. Aunque aparentemente se podría ahorrar el switch y poner
un Hub que conecte todo, no hay que desdeñar la utilidad de un switch, ya que en este
ultimo caso, el único que es capaz de ver todo el trafico es el IDS, mientras que las
demás maquinas de usuario solo pueden ver su propio trafico, porque nunca se sabe
quien hay escuchando...
Finalmente, hay que recordar que los switches son vulnerables y que hay formas de
revertirlos a un modo de funcionamiento similar a un Hub. Básicamente hay 3 técnicas:
ARP Spoofing, MAC Flooding y MAC Duplicating:
ARP Spoofing: básicamente, la maquina que desea recibir todo el trafico de red se
dedica a contestar a todas las peticiones de ARP que llegan (la petición ARP es un
mensaje Broadcast) aunque no vayan destinadas a el. Esto corrompe la cache de ARP de
las maquinas, y se puede detectar fácilmente porque todas las direcciones IP tienen
asignadas la misma dirección MAC (la de la maquina espía). Normalmente, para evitar
que el trafico de red quede interrumpido (todo el trafico va a parar a la maquina espía), el
36
programa espía se encarga de hacer forwarding de los paquetes hacia su destino final, de
forma que el ataque
queda algo mas camuflado.
MAC Flooding: El switch mantiene en memoria una tabla que asigna un puerto a cada
dirección MAC que conoce, y evidentemente, esta memoria es limitada. Si se bombardea
el switch con multitud de información de MAC falsas, la tabla se llenara y el switch
(normalmente) revertirá a un estado funcional (que no bloquee la comunicación) y se
comportara como un Hub. En este punto, cualquier sniffer convencional vale para espiar
todo el tráfico.
MAC Duplicating: Dado que la mayoría de switches poseen un mecanismo muy simple
para construir la tabla MAC-Puerto, es posible engañarlos fácilmente. Basta con aparentar
que la maquina espía en realidad tiene todas las MAC de la red. Esto creara una
duplicación en las entradas del switch y todo el tráfico acabara en su destino original y en
el espía.
Como vemos, existen múltiples formas de saltarse la “protección” que aporta un switch,
por lo que no se debe considerar en ningún momento que un switch es suficiente
seguridad. Como mucho, sirve para dar cierta sensación de privacidad de tu trafico con
respecto al de las otras maquinas, siendo consciente de que si alguien,
intencionadamente, intenta espiar el trafico de la red lo va a conseguir.
Revisar las capacidades del switch en esta materia (capacidad de alerta ante
desbordamientos de memoria o duplicaciones de entradas MAC-Puerto) es una buena
idea, ya que los dos últimos ataques son evitables si el switch implementa alguna medida
de seguridad, y el primero es fácilmente detectable (basta con un script que compruebe la
tabla ARP en busca de entradas corruptas).
Gestión centralizada de múltiples IDS
En entornos con múltiples IDS es muy útil tener centralizada la gestión. De esta forma, se
pueden recoger los logs y las alarmas en un único lugar. Además, dependiendo de la
plataforma usada, se pueden actualizar las bases de datos de firmas e incluso los
archivos de reglas de forma remota. Eso si, la comunicación entre las estaciones
37
vigilantes y la estación de control debe ser segura, o de lo contrario se pone en peligro
toda la infraestructura de seguridad.
Si la comunicación no es segura, lo mejor es realizar estas tareas de forma manual,
porque aunque es más tediosa, es más segura. En esta línea, el IETF está trabajando en
un estándar para la comunicación de alarmas proveniente de los IDS (IDWG, Intrusión
Detection Working Group), basado en XML (para especificar el contenido) y http para
transportarlo. Por otro lado, existe otro proyecto paralelo, desarrollado por el DARPA,
para comunicar sus IDS, llamado CIDF (Common Intrusión Detection Framework), que se
basaba en un formato similar a Lisp. Posee múltiples primitivas, pero no se pensó en
principio como un estándar por lo su penetración en el mercado actual es escasa. Se
puede encontrar información en http://www.gidos.org/.
ISP
¿Qué ocurre ahora si nuestra organización es un ISP? (ISP son las siglas de Internet Service
Provider Proveedor de Servicios de Internet,) Es posible que el trafico a la entrada de este
ISP sea demasiado grande como para ser técnicamente imposible instalar un único IDS
que lo analice todo. Para estos casos es necesario un sistema de detección de intrusos
que pueda separar los sensores de la estación de análisis. Una posible solución podría
ser la de instalar un sensor en cada uno de los nodos que conectan físicamente con las
organizaciones a las que da servicio el ISP, y que estos sensores envíen las alertas
generadas a la estación de análisis (ver figura 2.4.).
Figura 2.4: Distribución de los sensores dentro de un ISP.
38
Esta transmisión debe realizarse de forma segura (y esto quiere decir ”cifrada”) y a
intervalos regulares, puesto que si el sensor avisa de la alerta nada más ésta se ha
producido, un atacante podría monitorizar el tráfico que genera el sensor hacia la estación
de análisis y deducir si un ataque ha sido detectado por el sensor o no.
Inserción
El ataque de inserción se basa en que un IDS puede aceptar paquetes que luego un
sistema final va a rechazar. La figura 2.5. da un ejemplo del Ataque de inserción.
Fig. 2.5 Ataque de inserción.
Un atacante envía un flujo de un carácter por paquete, en el cual uno de los caracteres
aparecerá solo en el IDS. Como resultado, el IDS y el sistema final reconstruirán dos
cadenas distintas. En general, un ataque de inserción ocurre cuando el IDS es menos
estricto en procesar un paquete que el sistema final. Una reacción obvia a este problema
puede ser la de hacer al IDS tan estricto como sea posible en procesar paquetes leídos
de la red; esto podría minimizar los ataque de inserción, Sin embargo, al hacer esto
podemos estar dando facilidad a otro ataque, el de evasión, que veremos a continuación.
Evasión
Un sistema final puede aceptar un paquete que un IDS rechace. En la figura 2.6.
podemos ver un ejemplo de este ataque:
39
Fig. 2.6. Ataque de evasión.
El ataque de evasión provoca que el IDS vea un flujo diferente que el sistema final. Esta
vez, sin embargo, el sistema final toma más paquetes que el IDS, y la información que el
IDS pierde es crítica para la detección del ataque.
Figura 1.6: Ataque de evasión.
Evasión e inserción en el mundo real.
Muchos protocolos son simples y fáciles de analizar, pero otros son más complejos y
requieren considerar muchos otros paquetes antes de determinar si se consideran parte
de la transacción actual o no. Para que un monitor de red pueda analizarlos deben
tenerse en cuenta mucha información de estado en cada uno de los paquetes. Por
ejemplo, para descubrir que hay dentro de una conexión TCP, el monitor debe intentar
reconstruir el flujo de datos que se intercambia en la conexión, teniendo en cuenta tanto la
reconstrucción en TCP como la reconstrucción de fragmentos IP Pero, ¿como es posible
llevar a cabo ataque de inserción y evasión en TCP/IP? Hay muchas formas de confundir
a un IDS y hacerle que tome o descarte paquetes de forma errónea.
Por ejemplo, supongamos que el IDS se encuentra entre el router de la organización y el
router del ISP. Si el atacante envía su paquete que quiere insertar en el IDS con un TTL
tal que llegue al IDS con un valor de 1, el IDS lo aceptara, pero será descartado a la
entrada de la organización por el router de entrada. Otra forma es mediante el bit DF
(Don’t fragment) de IP y la MTU de la red del sistema atacado. Si en el segmento del IDS
la MTU es suficiente como para albergar ese paquete, el IDS lo aceptará, pero si en el
sistema final la MTU es demasiado pequeña, el paquete será descartado.
Otro caso es el que aparece cuando al reensamblar fragmentos IP se produce un
solapamiento. Dependiendo del sistema operativo, el solapamiento tendrá en cuenta
40
datos antiguos o datos recientes, por lo que puede no coincidir con la forma en la que lo
hace el IDS. El RFC 1323 introduce dos nuevas opciones TCP diseñadas para
incrementar el rendimiento de TCP en entornos de alta velocidad. Con estas nuevas
opciones surge la posibilidad de que opciones TCP puedan aparecen en paquetes que no
son segmentos SYN. El RFC 1323 dice que tales opciones solo pueden aparecer en
segmentos no-SYN si la han sido especificadas y aceptadas previamente en esa
conexión. Puesto que ciertas implementaciones pueden rechazar segmentos no-SYN
conteniendo opciones que no han visto previamente, es importante que el IDS no acepte
ciegamente estos paquetes. Por otra parte, algunos sistemas finales pueden simplemente
ignorar las opciones y continuar procesando el segmento; si el IDS no determina
correctamente como actúa el sistema final que recibe el tráfico, será vulnerable a ataques
de inserción o evasión.
Otro problema aparece al reensamblar flujos TCP. Algunos IDS no usan los números de
secuencia, simplemente insertan datos en el flujo en el orden en el que los van
recibiendo. Esto se suele hacer por razones de eficiencia y rapidez en el IDS, y es vital
cuando el tráfico que se tiene que analizar es muy elevado. Estos sistemas son fácilmente
engañables y ni siquiera ofrecen seguridad para flujos TCP normales no
malintencionados, puesto que los segmentos pueden llegar fuera de orden y esto es algo
que está permitido en TCP.
Pero incluso si el IDS chequea los números de secuencia, no hay seguridad de que un
segmento dado sea aceptado siempre por igual por el sistema final y el IDS. Por ejemplo,
en sistemas como IRIX, HP-UX, AIX, Solaris y BSD, la capa TCP favorece nuevos datos
cuando hay un solape en los números de secuencia, pero Windows NT favorece los datos
antiguos.
Adaptative Intrusión Detection system - AID
El desarrollo del sistema AID (sistema de Detección de Intrusos Adaptativo se llevó a
cabo en la Universidad de Tecnología de Branden burgo, entre 1994 y 1996. El sistema
fue diseñado para auditarías de red basadas en la monitorización de los hosts presentes
en una LAN y está siendo utilizado para la investigación de auditarías de privacidad.
41
Arquitectura y funcionalidad
El sistema tiene una arquitectura cliente-servidor formada por una estación de
monitorización central y varios agentes (servidores) en los hosts monitorizados (ver figura
2.7.).
Fig. 2.7. Arquitectura del sistema AID.
La estación central alberga un programa director (cliente) y un sistema experto. Los
agentes obtienen los eventos relevantes de los hosts a través de unas funciones de
auditoria, para ser convertidos más adelante a un formato de datos independiente al
sistema operativo. Es por esto por lo que el sistema soporta entornos UNIX heterogéneos.
No se ha llegado a implementar agentes para otras plataformas como Windows NT.
Los datos auditados son transferidos a la estación de monitorización central, cargados en
una memoria caché y analizados en tiempo real por un sistema experto. Por otra parte, el
director proporciona funciones para la administración de seguridad de los hosts
monitorizados: controla sus funciones de auditoria, pide nuevos eventos mediante
consultas seguras y devuelve las decisiones del sistema experto a los agentes. Se usan
RPCs seguras para la comunicación entre el director y los agentes. El sistema experto
usa una base de conocimientos con firmas de ataques orientadas a estados, las cuales
son modeladas por máquinas deterministas de estado finito e implementadas como
secuencias de reglas. Figura 1.7: Arquitectura del sistema AID.
El administrador puede acceder a las capacidades de monitorización avanzadas por
medio de un interfaz de usuario gráfico. Además, el sistema experto archiva datos para
análisis forense y crea informes de seguridad al finalizar o bloquear los ataques.
42
Rendimiento
AID ha sido probado con éxito en entornos de red de área local formados por Sun
SPARCstations corriendo Solaris 2.x y TCP/IP. Se implementaron un total de 100 reglas y
la base de conocimientos era capaz de detectar 10 escenarios de ataques. En la
configuración descrita y bajo suposición de carga normal del sistema en los hosts
monitorizados (máximo de 2 usuarios por hosts y sin actualizaciones del sistema en
progreso), el sistema experto analiza mas de 2,5 MBytes de eventos por minuto. El test
ha mostrado que el prototipo puede soportar hasta 8 hosts. Pese a ser un sistema antiguo
y enfocado como un IDS basado en hosts, fue pionero en su característica
multiplataforma al crear un lenguaje unificado para los eventos, siendo los agentes los
encargados de la traducción. Además, planteó por primera vez un modelo de reglas en
forma de autómata, modelo que utilizarán más tarde otros sistemas de detección de
intrusos esta vez basados en red.
Agentes Autónomos para la Detección de Intrusiones
El Grupo de Agentes Autónomos para la Detección de Intrusiones (Autonomous Agents
for Intrusión Detección Group, está formado por un número de estudiantes y profesores
del CERIAS en la Universidad de Purdue, (Gene Spafford como director), y están
estudiando métodos distribuidos para la detección de intrusiones.
Enfoque del grupo
Enfocan el problema de la detección de intrusiones desde un ángulo diferente: en lugar de
un diseño monolítico del sistema de detección de intrusos, proponen una arquitectura
distribuida que utiliza pequeñas entidades, conocidas como agentes, para detectar
comportamientos anómalos o maliciosos. Su diseño aventaja a otros enfoques en
términos de escalabilidad, eficiencia, tolerancia a fallos y flexibilidad. Estudian este
enfoque desarrollando sistemas que lo implementen y miden su rendimiento y
capacidades de detección. De esta forma, esperan ser capaces de conocer las
capacidades y limitaciones del enfoque basado en agentes cuando es aplicado a
sistemas reales.
43
La arquitectura AAFID
Fue propuesta en 1994 por Crosbie y Spafford. La idea consistía en usar agentes
autónomos para realizar detección de intrusiones, y sugirieron que los agentes podrían
evolucionar automáticamente usando programación genética de tal forma que el sistema
de detección de intrusiones automáticamente se ajustaría y evolucionaría conforme al
comportamiento del usuario. La idea de usar programación genética no fue nunca
implementada. Sin embargo, la idea de utilizar agentes para la detección de intrusiones
fue evolucionando, y entre 1995 y 1996 la arquitectura AAFID fue desarrollada en el
laboratorio COAST. La arquitectura inicial tuvo una estructura jerárquica que permanece
en la actualidad y fue usada para implementar el primer prototipo del sistema. Desde
1997 hasta hoy, la arquitectura AAFID evolucionó con la incorporación de filtros y la
separación entre el interfaz de usuario y el monitor. La nueva arquitectura ha sido
utilizada par el crear un último prototipo que se estudia en la actualidad. En la figura 2.8
podemos ver los cuatro componentes principales de la arquitectura: agentes, filtros,
transceivers y monitores. Nos referiremos a cada uno de estos componentes como
"entidades AAFID" o simplemente "entidades", y a la totalidad del sistema de detección de
intrusiones como "sistema AAFID". Un sistema AAFID puede estar distribuido sobre
cualquier número de hosts en una red. Un agente es una entidad independiente que
monitoriza ciertos aspectos de un host y los notifica al transceiver apropiado. Por ejemplo,
un agente podría estar buscando un largo número de conexiones telnet a un host
protegido, y considerar su ocurrencia como sospechosa. El agente generaría una alerta
que sería enviada al transceiver apropiado. El agente no tiene la autoridad de lanzar
directamente una alarma, sino que son los transceivers los que, combinando
notificaciones de distintos agentes, conocen el estado actual de la red y son capaces de
saber cuando existe realmente peligro.
Figura 2.8.: Representación física y lógica de un ejemplo de sistema AAFID.
44
(a) Distribución física de los componentes en un ejemplo de sistema AAFID, mostrando
los agentes, filtros, transceivers y monitores, al igual que la comunicaciones y canales de
control entre ellos.
(b) Organización lógica del mismo AAFID mostrando la comunicación jerárquica de los
componentes. Las flechas bidireccionales representan flujo de datos y control entre las
entidades.
Los filtros se encargan de la selección de datos y de la abstracción de éstos hacia los
agentes. Cada host puede contener cualquier número de agentes que monitoricen
eventos interesantes que ocurran en él. Los agentes pueden usar filtros para obtener
datos de una forma independiente al sistema, lo cual permite la portabilidad de agentes a
distintas plataformas simplemente adoptando el filtro adecuado.
En la arquitectura AAFID original, cada agente era responsable de obtener los datos que
necesitaba. Cuando el primer prototipo fue implementado, este acercamiento mostró los
siguientes problemas:
• En un único sistema, puede haber más de un agente que necesite datos de la
misma fuente. Teniendo a cada agente leyendo los datos del mismo origen se
duplicaba el trabajo de lectura en los ficheros.
• Puede haber agentes que puedan proporcionar una función útil bajo diferentes
versiones de UNIX, o incluso bajo diferentes arquitecturas (como Windows NT). Sin
embargo, los datos requeridos por el agente pueden ser localizados en diferentes
lugares en cada sistema y pueden ser almacenados en diferentes formatos. Esto
significa tener que escribir un agente diferente para cada sistema, que sepa donde
encontrar el dato y como leerlo.
Ambos problemas fueron resueltos con la incorporación de los filtros, una capa software
que independiza a los agentes del tipo de sistema en el que están corriendo y gestiona
los recursos de éste de manera óptima.
Los transceivers son el interfaz de comunicación externa de cada host. Tienen dos
papeles: control y procesamiento de datos. Para que un hosts sea monitorizado por un
sistema AAFID, debe haber un transceiver corriendo en ese host. Los monitores son las
entidades de más alto nivel en la arquitectura AAFID. Reciben información de todos los
transceivers que ellos controlan y pueden hacer correlaciones a alto nivel y detectar
eventos que ocurren en diferentes hosts. Los monitores tienen la capacidad de detectar
eventos que pueden pasar desapercibidos por los transceivers.
45
Implementación de AAFID
El primer prototipo fue desarrollado entre 1995 y 1996, basado en la primera
especificación de la arquitectura AAFID. Este prototipo fue implementado por una
combinación de programas escritos en C, Bourne shell, AWKy Perl. Su principal objetivo
era el de tener algo tangible de todo lo desarrollado hasta el momento y enfrentarse a las
primeras decisiones de diseño. La primera implementación fue solamente el aleada
internamente en el laboratorio de COAST.
La segunda implementación incorpora los cambios más recientes en la arquitectura, como
son los filtros. Esta implementación es conocida como AAFID2 y fue lanzada en
septiembre de 1998. La primera reléase de AFFID2, que incluía el sistema base y algunos
agentes, fue testeada bajo Solaris.
La segunda reléase pública fue lanzada en septiembre de 1999. Fueron añadidos nuevos
mecanismo de procesamiento de eventos y fue testeada en Linux y Solaris. El prototipo
AFFID2v2 está implementado completamente en Perl5, lo cual lo hace fácil de instalar,
ejecutar y portar a diferentes plataformas. Sólo ha sido probado en entornos UNIX, pero
está en proceso de ser portado a Windows NT.
El objetivo del diseño de AAFID2v2 es que sea sencillo de experimentar y
extremadamente flexible. Fue desarrollado usando características de programación
orientada a objetos de Perl5, lo cual permite que su código sea fácilmente reutilizable.
AAFID2v2 también incluye una herramienta para la generación de código para desarrollar
nuevos agentes.
46
CAPITULO
Alternativas de Solución para la Detección de Intrusos
Tipos de sistemas de detección de intrusos.
Existen básicamente 2 tipos de sistemas de detección de intrusos:
• Sistemas de detección de intrusos de red (nIDS, por sus siglas en inglés)
• Sistemas de detección de intrusos basados en “host” (hIDS, por sus siglas en inglés)
Sistemas de detección de intrusos de red (nIDS)
Estos detectores actúan desde el exterior de los sistemas que protegen (en la red),
identificando ataques hacia/desde los equipos que ellos vigilan en la red. Para la
detección utilizan tablas de patrones de ataques, métodos estadísticos y métodos de
inteligencia artificial para identificar agresiones potenciales hacia los sistemas de la
organización, provenientes de otros equipos en la red o en Internet.
Sistemas de detección de intrusos de host (hIDS)
Actúan como un componente más de software dentro de los equipos que protegen;
típicamente identifican alteraciones en aplicaciones y el sistema operativo, así como
eventos que pueden estar relacionados con un ataque, a través de diversas bitácoras del
sistema operativo y de las mismas aplicaciones.
Soluciones existentes software
A continuación se muestra una lista de los IDS existentes y una breve descripción de su
funcionamiento:
III
47
SNORT
Snort es un IDS en tiempo real desarrollado por Martín Roesch y disponible bajo GPL. Se
puede ejecutar en máquinas UNIX y Windows. Es uno en sistemas de detección de
intrusos en este momento.
En un principio fue diseñado para cumplir los requerimientos de un IDS ligero. Era
pequeño y flexible, pero poco a poco ha ido creciendo e incorporando funcionalidades que
solo estaban presentes en los IDSs comerciales, aunque actualmente sigue estando por
detrás de muchos de estos sistemas.
En Snort no es posible separar el componente de análisis y los sensores en máquinas
distintas. Esto será posible a partir de la versión 2.0.
La arquitectura de Snort se enfocó par ser eficiente, simple y flexible. Snort está formado
por tres subsistemas: el decodificador de paquetes, la máquina de detección y el
subsistema de alerta y logs.
Decodificador de paquetes
Soporta gran variedad de protocolos de capa de enlace bajo TCP/IP, tales como Ethemet,
SLIP, PPP y ATM. Cada subrutina del decodificador ordena de una forma distinta los
paquetes, formando una estructura de datos basada en punteros por encima del tráfico
real capturado. Esta estructura de datos será la que guíe al motor de análisis para el
posterior análisis.
Motor de detección
Snort mantiene sus reglas de detección en un lista enlazada bidimensional, La lista base
se denomina ’Chain Header’ y la que deriva de ésta se llama ’Chain
Option’. Cuando llega un paquete al motor de detección, éste busca en la lista ’Chain
Header’ de izquierda a derecha la primera coincidencia. Después, buscará por la lista
’Chain Option’ si el paquete cumple las opciones especificadas.
48
Subsistema de alerta y lóg.
Actualmente hay tres sistemas de lóg. y cuatro de alerta. Las opciones de lóg. pueden ser
activadas para almacenar paquetes en forma decodificada y entendible por humanos o en
formato tcpdump. Avisan del tipo de ataque detectado y ofrece información adicional
como IP origen y destino,
fecha y hora de la detección y campo de datos. Snort dispone de un mecanismo que
optimiza considerablemente su rendimiento. Puesto que normalmente se quiere un
sistema de back-end potente como una base de datos SQL para hacer correlaciones
de los ataques, las escrituras de los logs suelen ser muy costosas. Al ser Snort un
proceso monolítico, mientras que se encuentra escribiendo en la base de datos es
incapaz de hacer otras cosas, como procesar el tráfico de entrada. Lógicamente estos
procesos necesitan comunicarse, pero esta comunicación está optimizada para que sea
mucho más rápida que la escritura en una base de datos compleja como pueda ser
Oracle o MS-SQL.
NFR NID
Network Flight Recorder Network Intrusión Detection es un sistema de detección
comercial, que de manera discreta monitorea redes en tiempo real y genera alertas
cuando algo sospechoso es detectado. Busca actividades tales como ataques conocidos,
comportamiento anormal, intentos de acceso no autorizado y transgresiones a las
políticas de seguridad, guardando la información asociada y generando alertas según sea
necesario.
La actividad sospechosa puede ser categorizada en uso inapropiado y anomalías. Un uso
inapropiado es cuando se presenta un ataque conocido. La detección de este tipo de
intrusiones se efectúa comparando el tráfico de la red con patrones de ataques llamados
sigatures. Las anomalías se presentan cuando ocurre una actividad o un evento que se
sale de lo ordinario; los entrenados sobre lo que constituye un comportamiento “normal”,
desarrollando conjuntos de modelos que son actualizados continuamente, y las
actividades son comparadas con estos modelos. NFR NID detecta tanto anomalías como
usos inapropiados.
49
Los componentes de un sistema NFR NID son el (los) sensor(es) NFR, la Interfaz de
Administración NFR y el Servidor de Administración Central NFR (en ambientes
distribuidos).
EMERALD
EMERALD (Event monitoring enabling responses to anomalous live Disturbances) es un
framework para efectuar detección de intrusos escalable, distribuida e ínter operable a
nivel de host y a nivel de red. Más que un IDS, es una propuesta de arquitectura para un
IDS, que se supone debe contener componentes que permitan al sistema responder
activamente ante amenazas, principalmente de atacantes externos a una organización,
aunque no se excluye la detección de atacantes internos.
La arquitectura de EMERALD está compuesta de una colección ínter operable de
unidades de análisis y respuesta llamadas “monitores”, que ofrecen una protección
localizada de activos claves dentro de una red corporativa. Al implantar monitores
localmente, EMERALD ayuda a reducir las posibles demoras en análisis y respuesta que
podrían ser consecuencia de la topología espacialmente distribuida de una red.
Adicionalmente, introduce un esquema de análisis compuesto, en donde los análisis
locales son compartidos y correlacionados en las capas más altas de abstractamente más
altas.
La arquitectura de monitores de EMERALD pretende ser pequeña y rápida, y lo
suficientemente general para ser implantada en cualquier capa dentro de su esquema
jerárquico de análisis. Los monitores incorporan un API versátil que mejora su habilidad
para ínter operar con la máquina objeto del análisis y con otros IDSs.
DIDS
DIDS (Distributed Intrusión Detection System) es implementado por la división de
Computer Science de la Universidad de California, que combina monitoreo distribuido y
reducción de datos (por medio de monitores individuales en hosts y LANs) con análisis
centralizado de datos (por medio del DIDS director), para monitorear una red heterogénea
de computadores.
50
La arquitectura DIDS combina monitoreo y reducción de datos distribuidos con análisis
centralizado de datos. Los componentes de DIDS son el DIDS director, un sólo host
monitor por host y un solo LAN monitor por cada segmento LAN en la red monitoreada.
Potencialmente, DIDS puede manejar hosts sin monitores, puesto que el LAN monitor
puede reportar las actividades de red de dichos hosts. Los monitores de host y de LAN
son los responsables primarios de recolectar evidencia sobre actividades sospechosas o
no autorizadas, mientras que el DIDS director es el principal responsable de su
evaluación. Los reportes son enviados de manera independiente y asíncrona desde los
monitores host y LAN al director a través de la infraestructura de comunicaciones.
AAFID
Una última opción entre las arquitecturas enumeradas, es la de usar Agentes autónomos
para detección de intrusiones. Idealmente, debe aprender de su experiencia y ser capaz
de comunicarse con otros agentes y procesos”.
En el contexto de los IDSs, definimos un agente autónomo como un agente de software
que realiza ciertas funciones de monitoreo de seguridad en un host. Se denominan
autónomos por ser entidades que se ejecutan de manera independiente, aunque podrían
necesitar de los datos generados por otros agentes para realizar su trabajo. Se propone
una arquitectura llamada de “Autonomous Agents For Intrusión
Detection” (AAFID) para construir IDSs que utilicen agentes como su elemento de
recolección y análisis de datos de más bajo nivel, y que emplee una estructura jerárquica
que permita escalabilidad. Disposición física de los componentes en un sistema AAFID,
muestra los agentes, los transceivers y los monitores, y los canales de comunicación y
control entre ellos. Un sistema AAFID puede estar distribuido en un gran número de hosts
en una red. Cada host puede contener cualquier número de agentes que monitoreen
eventos interesantes que estén ocurriendo en el host. Todos los agentes en el host
reportan sus hallazgos a un solo transceiver. Los transceivers son entidades, una por
host, que supervisan la operación de todos los agentes ejecutándose en su host. Ejercen
control sobre éstos y tienen la habilidad de iniciar, detener y enviar comandos de
configuración sobre los agentes. También podrían realizar reducción de datos sobre los
datos recibidos de los agentes.
51
Dragón - Enterasys Net Works
El IDS de Enterasys Net Works, Dragón toma información sobre actividades
sospechosas de un sensor denominado Dragón Sensor y de un módulo llamado Dragón
Squire que se encarga de monitorizar los logs de los firewalls y otros sistemas. Esta
información es enviada a un producto denominado Dragón Server para posteriores
análisis y correlaciones. Cada componente tiene ventajas que compensan con
debilidades de otro, por ejemplo, el sensor Dragón Sensor es incapaz de interpretar
tráfico codificado de una sesión Web SSL, pero el producto Dragón Squire es capaz de
recocer los logs del servidor Web y pasárselos a la máquina de análisis.
Cisco Secure IDS Sensors
El sensor de Cisco se presenta en tres formatos distintos dependiendo de las
necesidades de la organización: Modulo IDS Catalyst R 6000: diseñado para integrar la
funcionalidad IDS directamente dentro del conmutador permitiendo al usuario monitorizar
tráfico directamente del backplane del conmutador en lugar de utilizar módulos software.
Rendimiento:
Monitoriza 100 Mbps de tráfico.
Aproximadamente 47.000 paquetes por segundo.
Internet Security Systems – RealSecure R
RealSecure R Network Sensor
RealSecure R proporciona detección, prevención y respuestas a ataques y abusos
originados en cualquier punto de la red. Entre las respuestas automáticas a actividades
no autorizadas se incluyen el almacenar los eventos en una base de datos, bloquear una
conexión, enviar un mail, suspender o deshabilitar una cuenta en un host o crear una
alerta definida por el usuario.
El sensor de red rápidamente se ajusta a diferentes necesidades de red, incluyendo
alertas específicas por usuario, sintonización de firmas de ataques y creación de firmas
definidas por el usuario. Las firmas son actualizables automáticamente mediante la
aplicación X-Press Update. El sensor de red puede ser actualizado de una versión a otra
posterior sin problema, asegurando así la última versión del producto. Todos los sensores
52
son centralmente gestionados por la consola RealSecure R SiteProtector incluyendo la
instalación automática, desarrollo y actualizaciones.
Shadow
Fue desarrollado como respuesta a los falsos positivos de un IDS anterior, NID. La idea
era construir una interfaz rápida que funcionara bien en una DMZ caliente (una DMZ que
sufre muchos ataques). La interfaz permitiría al analista evaluar gran cantidad de
información de red y decidir de qué eventos informar.
No es en tiempo real. Shadow almacena el tráfico de red en una base de datos y se
ejecuta por la noche, por otra parte es una herramienta de evaluación de seguridad no-
libre.
CIDF (Common Intrusion Detection Framework)
El Marco de Detección de Intrusos Común fue un primer intento de estandarización de la
arquitectura de un IDS. Mucha gente que trabajó en el proyecto original está fuertemente
involucrada en los esfuerzos del Grupo de Trabajo de Detección de Intrusos (Intrusión
Detección Working Group, IDWG) del Internet Engineering Task Forcé (IETF).
Equipos E, o generadores de eventos, son los sensores. Su trabajo es detectar eventos y
lanzar informes.
Equipos A, reciben informes y realizan análisis. Equipos D, son componentes de bases
de datos. Pueden determinar si se ha visto antes una dirección IP o un ataque por medio
de correlación y pueden realizar análisis de pistas.
Equipos R, o equipos de respuesta, pueden tomar el resultado de los equipos E, A y D y
responder a los eventos.
CISL (Common Intrusion Specification Language)
El Lenguaje de Especificación de Intrusiones Común aparece de la necesidad de unir los
cuatro tipos de equipos de CIDF. Los diseñadores de CISL pensaron que este lenguaje
debería ser capaz al menos de transmitir los siguientes tipos de información:
Información de eventos en bruto. Auditoria de registros y tráfico de red. Sería el
encargado de unir equipos E con equipos A.
53
Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques
detectados.
Uniría equipos A con D.
Prescripciones de respuestas. Detener determinadas actividades o modificar
parámetros de seguridad de componentes. Los resultados de este grupo de trabajo serán:
1. Documentos que describan los requerimientos funcionales de alto nivel para la
comunicación entre sistemas de detección de intrusos y entre los sistemas de detección
de intrusos y sus sistemas de gestión.
2. Un lenguaje común de especificación que describa el formato de los datos.
Fuentes de información
Existen varias fuentes de las que un IDS puede recoger eventos. Algunos IDSs analizan
paquetes de red, capturados del backbone de la red o de segmentos LAN, mientras que
otros IDSs analizan eventos generados por los sistemas operativos o software de
aplicación en busca de señales de intrusión.
IDSs basados en red (NIDS)
La mayor parte de los sistemas de detección de intrusos están basados en red. Estos
IDSs detectan ataques capturando y analizando paquetes de la red. Escuchando en un
segmento, un NIDS puede monitorizar el tráfico que afecta a múltiples hosts que están
conectados a ese segmento de red, protegiendo así a estos hosts.
Los IDSs basados en red a menudo están formados por un conjunto de sensores
localizados en varios puntos de la red. Estos sensores monitor-izan el tráfico realizando
análisis local e informando de los ataques que se producen a la consola de gestión. Como
los sensores están limitados a ejecutar el software de detección, pueden ser mas
fácilmente asegurados ante ataques.
Ventajas:
Un IDS bien localizado puede monitorizar una red grande, siempre y cuando tenga la
capacidad suficiente para analizar todo el tráfico.
54
Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles al
resto de la red.
Desventajas:
Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho
tráfico y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto.
Los IDSs basados en red no analizan la información cifrada. Este problema se incrementa
cuando la organización utiliza cifrado en el propio nivel de red (IPSec) entre hosts, pero se
puede resolver con una política de seguridad más relajada (por ejemplo, IPSec en modo
túnel).
Los IDSs basados en red no saben si el ataque tuvo o no éxito, lo único que pueden
saber es que el ataque fue lanzado. Algunos NIDS tienen problemas al tratar con ataques
basados en red que viajan en paquetes fragmentados. Estos paquetes hacen que el IDS
no detecte dicho ataque o que sea inestable e incluso pueda llegar a caer.
Quizá el mayor inconveniente de los NIDS es que su implementación de la pila de
protocolos de red puede diferir a la pila de los sistemas a los que protege. Muchos
sistemas servidores y de escritorio actuales no cumplen en ciertos aspectos los
estándares TCP/IP, pudiendo descartar paquetes que el NIDS ha aceptado. Esta
inconsistencia de información entre el NIDS y el sistema protegido es la base de la
ocultación de ataques que veremos más adelante.
Limitaciones de los NIDSs Una de los problemas más importantes de los NIDSs es su incapacidad de reconstruir
exactamente lo que está ocurriendo en un sistema que están monitorizando. Como
hemos visto, los detectores de intrusos basados en firmas funcionan examinando el
contenido de los paquetes que se están transmitiendo por la red. El análisis consiste
básicamente en un análisis pasivo del protocolo utilizado, lo cual hace a esta técnica no
intrusiva y extremadamente difícil de detectar o evadir. Algunos de los ataques que los
IDSs pueden detectar se pueden ver simplemente analizando los paquetes IP; un intento
de ocultar un ataque fragmentando paquetes IP se puede observar examinando el
desplazamiento del fragmento dentro de su paquete IP correspondiente. La mayoría de
los IDSs comerciales implementan esta función.
55
Otra técnica más depurada de anti-IDS se basa en los ataques con firmas polimórficas.
En este caso, el ataque (por ejemplo, un explot con un shellcode bien conocido) puede
cambiar el juego de instrucciones en ensamblador con una funcionalidad idéntica, pero
que generará una firma distinta y por lo tanto no será detectado por el IDS. Se puede
dotar a la herramienta hacker de la suficiente inteligencia como para mutar
automáticamente el shellcode lanzado en cada uno de sus ataques, haciendo inútil la
tarea del detector de intrusos.
Cada componente identificado por el modelo CIDF tiene implicaciones únicas de
seguridad, y puede ser atacado de diferentes formas:
• Como único punto de entrada al sistema, las cajas-E actúan como lo ojos y los
oídos de un IDS. Un ataque que afecte a estas cajas-E dejará al IDS incapaz de
ver lo que realmente ocurre en los sistemas monitorizados.
• Por otra parte, un atacante que conozca el algoritmo de análisis que utiliza la caja-
A y descubra un fallo en su implementación será capaz de evadir la detección.
• Un atacante que pueda saturar de información los componentes D puede impedir
que se almacene información sobre futuros ataques.
• Si se conoce como engañar a las cajas-C, se podrá seguir atacando una red sin
ningún tipo de contramedida.
Los ataques de denegación de servicio también pueden dar al traste con una política de
seguridad basada en un IDS. Es entonces cuando hay que decidir si el IDS será ’fail-
open’ o ’fail-closed’. En el primer caso tenemos que cuando el IDS caiga, la red quedará
totalmente abierta a merced de cualquier ataque, mientras que en el segundo caso, el
tráfico hacia el exterior y viceversa quedará bloqueado.
Los NIDSs son inherentemente ’fail-open’. El problema de los IDSs de código abierto es
que el atacante puede examinar el código y determinar que flujo de datos hace que
aumente excesivamente la carga computacional, el consumo de memoria o el consumo
de disco. El primera provoca un descarte de paquetes que deja ciego al sistema mientras
que dura el ataque. El segundo puede incluso abortar el proceso e inhabilitar el IDS, y el
tercero puede provocar que no se guarden logs sobre las alertas producidas hasta que se
corrija en fallo. Sin embargo, los ataques anti-IDSs que más estragos causan son los de
’inserción’ y ’evasión’, que veremos a continuación [2].
56
IDSs basados en host (HIDS)
Los HIDS fueron el primer tipo de IDSs desarrollados e implementados. Operan sobre la
información recogida desde dentro de una computadora, como pueda ser los ficheros de
auditoria del sistema operativo. Esto permite que el IDS analice las actividades que se
producen con una gran precisión, determinando exactamente qué procesos y usuarios
están involucrados en un ataque particular dentro del sistema operativo.
A diferencia de los NIDSs, los HIDSs pueden ver el resultado de un intento de ataque, al
igual que pueden acceder directamente y monitorizar los ficheros de datos y procesos del
sistema atacado.
Ventajas:
Los IDSs basados en host, al tener la capacidad de monitorizar eventos locales a un host,
pueden detectar ataques que no pueden ser vistos por un IDS basado en red.
Pueden a menudo operar en un entorno en el cual el tráfico de red viaja cifrado, ya que la
fuente de información es analizada antes de que los datos sean cifrados en el host origen
y/o después de que los datos sea descifrados en el host destino.
Desventajas:
Los IDSs basados en hosts son más costosos de administrar, ya que deben ser
gestionados y configurados en cada host monitorizado. Mientras que con los NIDS
teníamos un IDS por múltiples sistemas monitorizados, con los HIDS tenemos un IDS por
sistema monitorizado.
Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede ser
deshabilitado si un ataque logra tener éxito sobre la máquina.
No son adecuados para detectar ataques a toda una red (por ejemplo, escaneos de
puertos) puesto que el IDS solo ve aquellos paquetes de red enviados a él.
Pueden ser deshabilitados por ciertos ataques de DoS.
Usan recursos del host que están monitorizando, influyendo en el rendimiento del sistema
monitorizado.
57
Análisis de eventos
Hay dos acercamientos al análisis de eventos para la detección de ataques: detección de
abusos y detección de anomalías.
La detección de abusos es la técnica usada por la mayoría de sistemas comerciales.
La detección de anomalías, en la que el análisis busca patrones anormales de actividad,
ha sido y continúa siendo objeto de investigación. La detección de anomalías es usada de
forma limitada por un pequeño número de IDSs.
Detección de abusos o firmas
Los detectores de abusos analizan la actividad del sistema buscando eventos que
coincidan con un patrón predefinido o firma que describe un ataque conocido.
Ventajas:
Los detectores de firmas son muy efectivos en la detección de ataques sin que generen
un número elevado de falsas alarmas.
Pueden rápidamente y de forma precisa diagnosticar el uso de una herramienta o técnica
de ataque específico.
Pueden permitir a los administradores de seguridad, sin importar su nivel o su experiencia
en este campo, el seguir la pista de los problemas de seguridad de sus sistemas.
Desventajas:
Solo detectan aquellos ataques que conocen, por lo que deben ser constantemente
actualizados con firmas de nuevos ataques.
Muchos detectores de abusos son diseñados para usar firmas muy ajustadas que les
privan de detectar variantes de ataques comunes.
Detección de anomalías
La detección de anomalías se centra en identificar comportamientos inusuales en un host
o una red. Funcionan asumiendo que los ataques son diferentes a la actividad normal.
Los detectores de anomalías construyen perfiles representando el comportamiento normal
58
de los usuarios, hosts o conexiones de red. Estos perfiles son construidos de datos
históricos recogidos durante el periodo normal de operación. Los detectores recogen los
datos de los eventos y usan una variedad de medidas para determinar cuando la actividad
monitorizada se desvía de la actividad normal. Las medidas y técnicas usadas en la
detección de anomalías incluyen:
Detección de un umbral sobre ciertos atributos del comportamiento del usuario. Tales
atributos de comportamiento pueden incluir el número de ficheros accedidos por un
usuario en un periodo de tiempo dado, el número de intentos fallidos para entrar en el
sistema, la cantidad de CPU utilizada por un proceso, etc. Este nivel puede ser estático o
heurístico.
Otras técnicas incluyen redes neuronales, algoritmos genéticos y modelos de sistema
inmune.
Solo las dos primeras se utilizan en los IDSs actuales, el resto son parte de proyectos de
investigación.
Ventajas:
Los IDSs basados en detección de anomalías detectan comportamientos inusuales. De
esta forma tienen la capacidad de detectar ataques para los cuales no tienen un
conocimiento específico.
Los detectores de anomalías pueden producir información que puede ser utilizada para
definir firmas en la detección de abusos.
Desventajas:
La detección de anomalías produce un gran número de falsas alarmas debido a los
comportamientos no predecibles de usuarios y redes.
Respuesta a ataques
Una vez se ha producido un análisis de los eventos y hemos detectado un ataque, el IDS
reacciona. Las activas lanzan automáticamente respuestas a dichos ataques.
59
Respuestas pasivas
En este tipo de respuestas se notifica al responsable de seguridad de la organización, al
usuario del sistema atacado o a algún CERT de lo sucedido. También es posible avisar al
administrador del sitio desde el cual se produjo el ataque avisándole de lo ocurrido, pero
es posible que el atacante monitorice el correo electrónico de esa organización o que
haya usado una IP falsa para su ataque.
Respuestas activas
Las respuestas activas son acciones automáticas que se toman cuando ciertos tipos de
intrusiones son detectados. Cambio del entorno: otra respuesta activa puede ser la de
parar el ataque; por ejemplo, en el caso de una conexión TCP se puede cerrar la sesión
establecida inyectando segmentos TCP RST al atacante y a la víctima o filtrar en el router
de acceso o en el firewall la dirección IP del intruso o el puerto atacado para evitar futuros
ataques.
Herramientas y complementos
Sistemas de valoración y análisis de vulnerabilidades
Las herramientas de análisis de vulnerabilidades determinan si una red o host es
vulnerable a ataques conocidos. La valoración de vulnerabilidades representa un caso
especial del proceso de la detección de intrusiones. Los sistemas que realizan valoración
de vulnerabilidades funcionan en modo ’batch’ y buscan servicios y configuraciones con
vulnerabilidades conocidas en nuestra red.
File Integrity Checkers (Controladores de la integridad de los ficheros)
Los ’File Integrity Checkers’ son otra clase de herramientas de seguridad que
complementan a los IDSs. Utilizan resúmenes de mensajes (message digest) u otras
técnicas criptográficas para hacer un compendio del contenido de ficheros y objetos
críticos en el sistema y detectar cambios, de tal forma que para cualquier cambio del
contenido del fichero el compendio sea totalmente distinto y que sea casi imposible
modificar el fichero de forma que el compendio sea igual al del fichero original. El uso de
60
estos controladores es importante, puesto que los atacantes a menudo alteran los
sistemas de ficheros una vez que tienen acceso completo a la máquina, dejando puertas
traseras que más tarde facilitan su entrada al sistema, esta vez "sin hacer tanto ruido".
Honeypots
Son sistemas que están diseñados para ser atacados y que capturan de forma silenciosa
todos los movimientos de los atacantes. Se usan principalmente para lo siguiente:
Evitan que el atacante pase su tiempo intentado acceder a sistemas críticos.
Recogen información sobre la actividad del atacante.
Permiten al administrador recabar pruebas de quién es el atacante y responda ante su
CERT o el administrador del sistema origen de la agresión.
Los honeypots se usan ampliamente para investigar sobre nuevos ataques, y facilitan la
incorporación de nuevas firmas en los IDSs. Últimamente han aparecido las Honeynets,
redes de honeypots.
Como hemos visto, los detectores de intrusos basados en firmas funcionan examinando el
contenido de los paquetes que se están transmitiendo por la red. El análisis consiste
básicamente en un análisis pasivo del protocolo utilizado, lo cual hace a esta técnica no
intrusiva y extremadamente difícil de detectar o evadir. Algunos de los ataques que los
IDSs pueden detectar se pueden ver simplemente analizando los paquetes IP; un intento
de ocultar un ataque fragmentando paquetes IP se puede observar examinando el
desplazamiento del fragmento dentro de su paquete IP correspondiente. La mayoría de
los IDSs comerciales implementan esta función.
Otra técnica más depurada de anti-IDS se basa en los ataques con firmas polimórficas.
Cada componente identificado por el modelo CIDF tiene implicaciones únicas de
seguridad, y puede ser atacado de diferentes formas:
Como único punto de entrada al sistema, las cajas-E actúan como lo ojos y los oídos de
un IDS. Un ataque que afecte a estas cajas-E dejará al IDS incapaz de ver lo que
realmente ocurre en los sistemas monitorizados.
Un atacante que pueda saturar de información los componentes D puede impedir que se
almacene información sobre futuros ataques.
61
Los ataques de denegación de servicio también pueden dar al traste con una política de
seguridad basada en un IDS. En el primer caso tenemos que cuando el IDS caiga, la red
quedará totalmente abierta a merced de cualquier ataque, mientras que en el segundo
caso, el tráfico hacia el exterior y viceversa quedará bloqueado.
Los NIDSs son inherentemente ’fail-open’. El problema de los IDSs de código abierto es
que el atacante puede examinar el código y determinar que flujo de datos hace que
aumente excesivamente la carga computacional, el consumo de memoria o el consumo
de disco. El primera provoca un descarte de paquetes que deja ciego al sistema mientras
que dura el ataque. Sin embargo, los ataques anti-IDSs que más estragos causan son los
de ’inserción’ y ’evasión’, que veremos a continuación [2].
Detección de intrusiones basada en grafos (Gris - GRAPO-based Intruson Detection System). Gris ha sido diseñado para detectar ataques automatizados a gran escala en sistemas de
red. El mecanismo que se utiliza es el de construir grafos de actividad que representen la
estructura causal de actividades distribuidas a gran escala. Forma parte del proyecto
"Intrusión Detection for Large Net Works" (http://seclab.cs.ucdavis.edu/arpa/arpa.html),
fundado por ARPA. Los nodos de un grafo de actividad corresponden a los hosts en un
sistema, mientras que los arcos corresponden a la actividad de red entre estos hosts. La
actividad en una red monitorizada se puede modelar mediante grafos que representen
dicha actividad. Estos grafos son entonces comparados con patrones conocidos de
actividades intrusivas y hostiles, y si presentan un grado de similitud superior a un umbral,
se dispara una alarma o un procedimiento reactivo.
Como ejemplo, en la figura 8 podemos ver el grafo en forma de árbol que generaría una
actividad tipo gusano, que infecta máquinas de forma exponencial.
Figura 3.1. (a) El inicio del grafo de un gusano. (b) Una vista más extensa del mismo gusano.
62
Figura 3.1.: (1) El inicio del grafo de un gusano. (2) Una vista más extensa del mismo
gusano. GrIDS modela una organización como una jerarquía de departamentos. Para que
esto sea fácilmente configurable, incorpora un interfaz "drag and drop" que permite
reconfigurar la jerarquía incluso durante la actividad del sistema. Cada departamento en
la jerarquía tiene un módulo GrIDS propio y construye y evalúa grafos de actividad dentro
del departamento. Cuando una actividad cruza los limites departamentales es pasada al
siguiente nivel en la jerarquía de resolución. Este nivel construirá grafos reducidos en los
cuales los nodos son enteramente subdepartamentales en lugar de simples
hosts. Características más complejas del grafo completo pueden ser preservadas en el
grafo reducido mediante la incorporación de atributos.
Este acercamiento hace de GrIDS un diseño escalable. Muchos de los esfuerzos van
dirigidos a conseguir que la agregación de departamentos en la jerarquía global sea un
mecanismo escalable, y permitir la configuración dinámica del sistema de forma que
continúe siendo funcional cuando se llegue a una red grande. A pesar de esto, GrIDS
debería ser tomado como una prueba de concepto en lugar de un sistema acabado
apropiado para producción. Todavía no es posible asegurar la integridad de las
comunicaciones entre módulos GrIDS, por lo que no se puede prevenir que un atacante
reemplace partes del GrIDS con código maligno. El prototipo tampoco es resistente a
ataques de denegación de servicio, disrupción del protocolo de tiempo de red en el que se
basa, o fallos en las redes o computadores en los que corre. Otro problema que aparece
es que no detecta intrusiones pequeñas, lentas o ambas.
Detección de intrusos para redes con un gran número de hosts Como ya hemos comentado, el objetivo de este proyecto es desarrollar tecnología de
detección de intrusiones para redes de área extensa. La investigación avanza en dos
direcciones:
Tamaño: se desean manejar miles o decenas de miles de hosts, en lugar de los cientos
actualmente posibles. Protección de la infraestructura: se desea proteger a los routers,
servidores de dominio, etc., además de hacerlo con los hosts de producción. Como
características deseables del sistema se incluyen:
Interoperabilidad con tecnología de gestión de la red (especialmente SNMP)
Independencia de sistemas operativos Extensibilidad a nuevos componentes de red y
servicios.
63
En estos momentos, el proyecto se encuentra a medio camino. Se han investigado la
mayoría de problemas subyacentes y se está trabajando en integrar la experiencia
acumulada en un prototipo real.
Spoofing
Básicamente, la técnica de spoofing consiste en modificar la dirección IP de origen del
paquete, de forma que el atacante se asegura (o prácticamente se asegura) que no le van
a rastrear de vuelta. El inconveniente es que las respuestas a estos paquetes no vuelven
al atacante, sino que llegan a la maquina suplantada (que no sabe nada de ese paquete).
Este tipo de paquetes se dan típicamente en ataques DoS o como ruido de fondo, ya que
ese tipo de ataques no necesitan contestación (el paquete llega y bloquea la maquina, o
confunde al IDS con múltiples alarmas), pero existen algunas técnicas, que conviene
conocer, y que permiten a un atacante obtener la misma información que si les volviese el
paquete a ellos. Por ejemplo, si esta técnica se usa como ruido de fondo, se pueden
enviar 1000 paquetes de escaneo contra una maquina, desde 1000 direcciones IP
distintas, siendo solo una de ellas la dirección IP real del atacante. Normalmente, el
analista se cansara de buscar fantasmas a la centena de direcciones IP y lo catalogara
como tiny noise (ruido de broma). El escaneo ha tenido éxito, y ha pasado inadvertido.
Eso si, esta técnica no es totalmente segura, ya que ante un administrador tedioso, la
identidad del atacante puede salir a la luz. Pero claro, solo es un inocente escaneo.
Existen otras técnicas mejores, que permiten un escaneo realmente sigiloso e
inrastreable. Veamos tres de ellas:
Escaneo a través del cambio de estado: Esta técnica se basa en mandar un escaneo con
una IP de origen suplantada, y monitorizar esa maquina suplantada en busca de cambios
de estado. Estos cambios se producen en el identificador de paquete IP por lo que el
stack TCP/IP debe producir secuencias predecibles de identificadores IP. Veámoslo con
un esquema fig.3.2.
64
Fig. 3.2. Escaneo de trabes de un cambio de estado
En primer lugar, el atacante adquiere el estado del sensor (el numero de identificador IP)
a través de un ping convencional. A continuación manda el paquete de escaneo al
objetivo, con la IP origen del sensor. El objetivo contesta al sensor con un SYN/ACK si el
puerto esta abierto o con un RST/ACK en caso contrario. El sensor contesta con un RST
si le llega un SYN/ACK (dado que el no sabe nada de ese intento de conexión TCP) o no
contesta si le llega un RST/ACK. A continuación, el atacante vuelve a comprobar el
estado del sensor. Si el identificador ha avanzado, quiere decir que ha contestado con un
RST, y por tanto que el puerto del objetivo esta abierto. El escaneo se realiza y el
atacante pasa
Inadvertido.
Observación indirecta: Esta técnica es mucho mas simple, pero requiere que el atacante
pueda observar el trafico de la maquina suplantada, para así conocer el resultado del
escaneo (lo cual puede ser un problema. Fig. 3.3.
Fig. 3.3. Observación indirecta
En realidad, esta técnica puede servir si el atacante pertenece a una red Ethernet mayor
(una Universidad o empresa) y no desea que su estación de trabajo quede comprometida,
aunque en este caso lo mas normal es que también se haga spoofing de nivel 2.
65
Observación Indirecta Avanzada: Esta técnica es una modificación de la anterior,
añadiéndole más capas de forma que el atacante queda aun más enterrado. Fig. 3.4
Fig. 3.4. Observación indirecta avanzada
Esta técnica requiere que el atacante controle otras dos maquinas mas, que son las que
se comunican a través del túnel ICMP. Además, se pueden añadir todas las capas extra
que se quiera, aunque tal y como aparece en el diagrama es más que suficiente.
Características de los IDS estudiados:
Tabla 3.1. Características de IDS estudiados
Nombre Tecnología Alcance Respuesta Tiempo
SNORT Monitorización
de Red Red Pasiva On-line
EMERALD Monitor de
eventos Nodo y Red Pasiva On-line
NFR NID Estadísticas y
Sistema Experto Nodo Pasiva On-line
GrIDS Grafos de
Actividad Nodo y Red Activa Off-line
DIDS Monitoreo de
Host Host y Red Pasiva Off-line
AAFID Monitoreo de
Host Host Activa On-line
DRAGON Monitoreo Nodo Pasiva Off-line
CISCO SECURE
IDS SENSORS
Monitoreo utilicé
sensores tipo
Hardware
Red Activa On-line
SHADOW Monitoreo Red Activa On-line
REAL SECURE R NETWORK
SENSOR
Monitoreo DMZ Pasiva Off-line
66
Haciendo un análisis de los IDS mencionados en este capitulo llegamos a la conclusión
que SNORT es el mas indicado puesto que emplea multiplataforma y puede ser
implantado para monitorear pequeñas redes TCP/IP Está disponible bajo la licencia
pública general GNU puede usarse gratuitamente en cualquier ambiente, la totalidad de
su código es de libre distribución es ideal para nuestra Red por sus características. Este
IDS, es muy potente y flexible, lo que ha granjeado la fama que tiene. Se actualiza muy a
menudo, y es mantenido por toda la comunidad de Internet, lo que le permite tener su
base de datos de firmas tremendamente actualizada.
67
Capitulo
IMPLANTACION DE SEGURIDAD EN UN CASO DE PRUEBA
IMPLANTACION DEL SISTEMA
Requerimientos
El modelo de negocios de la empresa debe estar sustentado por una infraestructura de
telecomunicaciones lo bastante robusta para ofrecer una solución diseñada a la medida
de las necesidades operativas de las actividades del negocio. Adicionalmente, los
servidores y las bases de datos, deben tener mecanismos de protección que garanticen
su disponibilidad, integridad y confidencialidad.
Las medidas que se pueden considerar deben conjuntar una solución que se implemente
a nivel de red y a nivel de host. Ambas deben complementarse con el desarrollo de una
cultura informática de buenas prácticas y de Políticas de Seguridad.
En primera instancia, es necesario distinguir la procedencia del tráfico que entra o sale de
la red local, conocer su origen y destino para asignarle prioridades de paso; y al mismo
tiempo garantizar que los paquetes “no van” a sitios restringidos. A nivel de red, es
necesario dividir los segmentos en pequeñas células que faciliten la administración y
optimicen la conectividad. Los servidores, deben clasificarse en públicos y privados para
ponerlos en redes distintas con niveles de acceso distintos y mecanismos de protección
distintos.
La densidad de nodos de red debe incrementarse. La opción de una o más redes
inalámbricas, es viable, sin embargo, debe ser sustentada con mecanismos de control
que permitan separar el tráfico de cada una de ellas, proteger la información y evitar
accesos no autorizados.
Cada uno de los miembros de la empresa, cumple funciones distintas, por lo que no todos
tienen el mismo nivel de acceso a la información o a los servicios asociados. Tampoco la
IV
68
prioridad de acceso es la misma, por lo que es fundamental asignar perfiles de acceso a
nivel de red, servicios y datos. Es imperativo, la implementación de mecanismos de
control que permitan filtrar tráfico, detectar paquetes no deseados y solucionar problemas
de seguridad.
Auditoria de la red
Después de haber revisado la instalación y basándonos en los siguientes puntos:
• Topología de la red
• Plan de direccionamiento
• Ubicación de servidores y puntos de acceso
• Análisis de los dispositivos con el fin de identificar aspectos de hardware o software
que puedan influir en la implantación
Se tiene que realizar un estudio que determine que aplicaciones y que protocolos se
están empleando, así como las necesidades de ancho de banda que se requieren. La
siguiente tabla resume estos aspectos:
Departamento Tipo de Red
Numero
de
usuarios
Numero de
dispositivos
Perfil de
usuarios
Atención a clientes Alámbricos 1 1 Interno \ externo
Proveedores Alámbrico 1 1 Interno
Ventas Alámbrico 5 5 Interno \ externo
Mercadotecnia Alambrico 3 3 Interno
Call center Inalámbrico 1 1 Interno
Departamento de
sistemas Alámbrico 3 3 Interno
Gerencia Alambrico 5 5 Interno
Finanzas Inalámbrico \
alambrico 5 5 Interno
Tabla. 4.1. Tabla de Aplicaciones y necesidades
69
Una vez terminada la auditoria de la red instalada, se determina lo que se puede
aprovechar de la instalación de la WLAN para analizar y definir una estrategia de
mejoramiento de la misma. Se tendrán que reajustar las políticas de gestión del tráfico
con el fin de asignar a cada usuario la prioridad adecuada y asegurar el ancho de banda
necesario para dichas aplicaciones. Una vez que nos quedo claro los puntos a mejorar, se
empieza con el diseño:
Primeramente, se determinan los requerimientos del negocio y se especifican los
aspectos clave como el grado de disponibilidad de la red o las características de
operación continua. Un punto importante es el análisis del impacto que supondría la
perdida de servicio, tanto en cuanto a las pérdidas de beneficios como la pérdida de
mercado. Otra tarea a realizar es un estudio económico y estratégico de la ampliación del
servicio.
El resultado son los objetivos del nivel de servicio que deben quedar recogidos y
registrados adecuadamente.
Densidad de usuarios Uno de los datos que es importante conocer a la hora de
dimensionar cualquier tipo de red es determinar el número de usuarios simultáneos que
deberá soportar el sistema. Resulta conveniente tener en cuenta las previsiones de
crecimiento de personal de la empresa, en nuestro caso no es muy grande la cantidad de
usuarios, aunque en el futuro se piensa ampliar.
De tal forma que tenemos la siguiente tabla donde se muestra la cantidad de empleados:
Nivel Departamento Numero de Empleados
Planta baja Atención a clientes 1
Proveedores 1
Primer piso Ventas 8
Mercadotecnia 5
Call center 1
Segundo piso Sistemas 5
Rack de Telecomunicaciones 1
Tercera piso Gerencia 8
Finanzas 8
Tabla. 4.2. Tabla de distribución del nuevo sistema
70
Después de haber evaluado los requerimientos y establecido la cantidad de usuarios a los
que se les va a dar servicio, se determino que el diseño de la red, que se debe de