Todas las entradas para el día 23/02/14
Esquema de la unidad
Publicado por infosegur el 23 febrero, 2014
https://infosegur.wordpress.com/2014/02/23/esquema-de-la-unidad-4/
Servicios de red. Nmap y netstat
Conectar un equipo a una red es arriesgado. Habrá una parte del software instalado en ese equipo (los llamados servicios de red) que quiere conectar con unos equipos y que espera conexiones de esos equipos u otros. Pero pueden llegar conexiones de un cliente atacante, o nos podemos estar conectando erróneamente a un servidor atacante. Debemos vigilar qué software tenemos activo y qué actualizaciones tiene pendientes.Las actualizaciones llegarán por el mecanismo habitual del sistema operativo; el software que tenemos activo (haciendo conexiones o esperándolas) lo podemos conocer mediante un par de herramientas: Nmap y netstat.
Nmap está disponible para sistemas Linux y Windows. Nmap es una herramienta que sirve para hacer una consulta de los puertos abiertos de la máquina y saber que servicios dispone. También puede intentar la conexión a cada uno de ellos y analizar los mensajes que generan estos servidores para identificar la versión concreta del sistema operativo y la versión concreta del software de servidor (server fingerprint) que está escuchando en cada puerto.Es decir, aunque intentemos despistar arrancando servicios en puertos que no son los esperados (80 para HTTP y otros), la herramienta reconoce el puerto como abierto y consigue identificar el servicio.La información de versión es muy útil para un atacante porque puede consultar en su base de datos las vulnerabilidades de cada versión de un servicio y así elegir mejor el tipo de ataque que puede lanzar contra la máquina.
Para cada puerto, la herramienta ofrece cuatro posibles estados:
open (abierto): la máquina acepta paquetes dirigidos a ese puerto, donde algún servidor está escuchando y los procesará adecuadamente.
closed (cerrado): no hay ningún servidor escuchando.
filtered:Nmap no puede decir si ese puerto está abierto o cerrado porque alguien está bloqueando el intento de conexión (router, firewall).
unfiltered: el puerto no está bloqueado, pero no se puede concluir si está abierto o cerrado.
Netstat es una herramienta que permite identificar las conexiones TCP que están activas en la máquina en la que se ejecuta el comando. A su vez, esta herramienta crea una lista con todos los puertos TCP y UDP que están abiertos en el ordenador. El comando «netstat» también permite a su vez obtener estadísticas de numerosos protocolos.
Publicado por infosegur el 23 febrero, 2014
https://infosegur.wordpress.com/2014/02/23/servicios-de-red-nmap-y-netstat/
VPN
Comunicar equipos remotos de modo directo es imprescindible en muchas organizaciones, independientemente de donde se encuentren físicamente, y esta necesidad crece cada día más. Las empresas ya tienen redes LAN y WLAN, pero para conseguir que sus empleados puedan entrar a la red desde cualquier lugar de Internet necesitan una red virtual.
Las redes privadas virtuales permiten, mediante el uso de Internet, establecer esta conexión realizando una inversión económica pequeña. Además, como utilizan protocolos de seguridad, el acceso a los recursos tiene carácter privado, por lo que una persona podría acceder a los datos de la empresa en la que trabaja con mucha seguridad.
Montar una VPN (Virtual Private Network, red privada virtual) es establecer una VLAN entre el ordenador del trabajador y la LAN de la empresa, usando Internet. Una VPN o red privada virtual es, básicamente, una red virtual que se crea dentro de otra red, habitualmente Internet.
¿Para qué sirve VPN?
Pues para conectarse al ordenador de la empresa y trabajar desde una casa como si físicamente estuviera delante del ordenador de la oficina.
El funcionamiento de los VPN se basan en establecer un túnel entre los dos extremos de la conexión y usar sistemas de encriptación y autenticación para asegurar la confidencialidad e integridad de los datos que se transmiten. La autenticación en redes virtuales es parecida al sistema de inicio de sesión (utiliza un usuario y su contraseño) pero es necesario tener especial cuidado con la seguridad de estos datos, por lo que la mayoría de los VPN usan sistemas de autenticación basados en el uso de claves compartidos. Una vez establecida la conexión, los paquetes de datos se envían encriptados a través del túnel virtual (que se establece sobre Internet). Para encriptar los datos se suelen utilizar claves secretas que son solo válidas mientras dure la sesión.
Para conseguir todo esto se necesita el software de la VPN. En el ordenador del empleado hay que instalar un software cliente VPN. Éste instala un driver de red, que se encargará de conectar con una máquina de la empresa, donde ejecuta un software servidor VPN que gestiona la conexión, para introducir los paquetes en la LAN.
La gestión consiste en :
a) Autentificar al cliente VPN. Se utiliza para ello usuario/contraseña o tarjetas inteligentes.
b) Establecer un túnel a través de Internet.
c) Proteger el túnel, encriptando las comunicaciones.
d) Liberar el túnel. El cliente o el servidor pueden interrumpir la conexión cuando lo deseen.
e) Hay que tener en cuenta que el túnel sólo se usa para conexiones internas.
Publicado por infosegur el 23 febrero, 2014
https://infosegur.wordpress.com/2014/02/23/vpn/
Redes inalámbricas
Los miedos a que las comunicaciones sean escuchadas por terceros no autorizados han desaparecido en las redes cableadas, pero existen en redes inalámbricas o WLAN (Wireless LAN), porque el medio de transmisión (el aire) es compartido por todos los equipos.
Entre las topologías de redes inalámbricas se encuentran
a) Redes tipo ad-hoc: Consiste en un grupo de ordenadores que se comunican cada uno directamente con los otros a través de las señales de radio sin usar un punto de acceso. Las configuraciones «Ad-hoc» son comunicaciones de tipo punto a punto. Solamente los ordenadores dentro de un rango de transmisión definido pueden comunicarse entre ellos.
a) Redes de tipo infraestructura: Contrario al modo Ad-hoc donde no hay un elemento central, en el modo infraestructura hay un elemento de coordinación, un punto de acceso o estación base. El equipo llamado Access Point (AP, punto de acceso) hace de switch, de manera que los demás ordenadores se conectan a él, le envían sus paquetes y él decide cómo hacerlos llegar al destino, que puede ser enviarlo de nuevo al aire o sacarlo por el cable que le lleva al resto de la red . Salir por el cable es la configuración más habitual en las empresas, donde la WLAN se considera una extensión de la red cableada.
Como ocurría con el switch en las redes cableadas, hemos de:
a) Proteger el access point físicamente. La protección física es más complicada que en el caso del switch, porque el AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica, mientras que para conectar la toma de red de la mesa con el switch podemos utilizar cables largos.
b) Proteger el access point lógicamente utilizando usuario y contraseña.
c) Controlar qué clientes pueden conectarse a él . Hacer una autenticación.
d) Separar dos grupos de usuarios, haciendo que el mismo AP emita varias SSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener asociada una VLAN etiquetada.
e) Encriptar la transmisión entre el ordenador y el AP.
3.1. Asociación y transmisión
Para que un ordenador pueda trabajar en una red cableada normal (sin autenticación en el puerto), basta con enchufar un cable Ethernet entre la tarjeta de red del equipo y la toma de red en la pared, por ejemplo. En wifi se establecen dos fases: asociación y transmisión. Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características de la comunicación, pero sobre todo el AP puede solicitar algún tipo de autenticación para decidir si debe dejarle asociarse o no. Generalmente es una clave alfanumérica que se registra en la configuración del AP y que el usuario debe introducir para poder trabajar con él.
La autenticación es más habitual en redes inalámbricas que en redes cableadas. Las AP admiten varios tipos de autenticación:
a) Abierta: no hay autenticación, cualquier equipo puede asociarse con el AP.
b) Compartida: la misma clave que utilizamos para cifrar la usamos para autenticar.
c) Acceso seguro: usamos distintas claves para autenticar y cifrar. El usuario solo necesita saber una, la clave de autenticación: la clave de cifrado se genera automáticamente durante la asociación.
d) Autenticación por MAC: el AP mantiene una lista de MAC autorizadas y solo ellas pueden asociarse.
Una vez asociados al AP, podemos empezar la fase de transmisión, durante la cual estableceremos conversaciones con el AP. Si queremos evitar que un tercero capture los paquetes intercambiados e intente conocer lo que transmitimos, el cliente y el AP deberán activar el cifrado de cada paquete. El tipo de cifrado (algoritmo, longitud de la clave, etc.) se negocia durante la asociación. Por tanto, el AP admite varias combinaciones:
a) Autenticación abierta y sin cifrado: se utiliza en lugares públicos. En estos casos, el sistema operativo nos avisa de que vamos a conectarnos a una red sin seguridad.
b) Autenticación abierta y transmisión cifrada: es el esquema habitual de las primeras redes wifi.
c) Autenticación compartida y transmisión cifrada: es una mala combinación, porque la autenticación es muy vulnerable y, conocida esa clave, tendrán acceso a descifrar las comunicaciones de cualquier ordenador conectado a ese AP.
d) Autenticación segura y transmisión cifrada: es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA.
3.2. Cifrado: WEP, WPA, WPA2
Para dar seguridad a las comunicaciones inalámbricas se creó el primer estándar que se llamó WEP (Wireline Equivalent Privacy, privacidad equivalente al cable). Intenta dar a los redes inalámbricas la seguridad que se tiene en las redes cableadas. La principal diferencia entre las redes cableadas e inalámbricas es que en las redes inalámbricas puede intentar entrar en la red cualquier persona dentro del alcance, aunque sea fuera de la empresa, mientras que en una red cableada hay que tener acceso físico a dicha red, es decir, hay que estar dentro de la empresa. Cuando se utiliza WEP, el punta de acceso y las estaciones de trabajo tienen que compartir una clave (clave WEP).
Sin embargo, en poco tiempo se encontraron debilidades al algoritmo de cifrado utilizado en WEP. En poco tiempo (cada vez menos, con el aumento de la capacidad de proceso de los ordenadores personales) cualquiera podía obtener la clave WEP. Las autoridades de estandarización empezaron a trabajar en un nuevo estándar. Se llamó WPA (Wi-Fi Protected Access) e introduce muchas mejoras:
a) Utilización de nuevos algoritmos más seguros. Hay un aumento de longitud de las claves.
b) Rotación automática de claves. Cada cierto tiempo cambian las claves del AP y el cliente.
c) Se distingue entre los ámbitos personal y empresarial. En el ámbito personal es suficiente con el esquema de una única clave que conocen todos (WPA le llama PSK [Pre-Shared Key]); en el ámbito empresarial no tiene sentido, por lo que se utiliza el WPA empresarial, que introduce un servidor RADIUS donde poder almacenar un usuario y una clave para cada empleado.
En general, conviene tener todas las redes en WPA, pero puede ocurrir que los equipos viejos solo admitan WEP, en cuyo caso hay que decidir entre actualizarlos o bajar la seguridad de todos los demás.
3.3. WPA empresarial: RADIUS
La seguridad de una empresa no es suficiente con cambiar la clave regularmente o tener una clave única compartida por todos. Para ello es mejor el WPA empresarial. Un esquema de funcionamiento del WPA empresarial es:
a) Dentro de la LAN de la empresa hay un ordenador que ejecuta un software servidor RADIUS. En RADIUS hay una base de datos de usuarios y contraseñas, y el servidor admite preguntas sobre ellos.
b) Los AP de la empresa tienen conexión con ese ordenador.
c) Los AP ejecutan un software cliente RADIUS, siendo capaz de hacer preguntar y analizar las respuestas.
d) El servidor RADIUS tiene la lista de las direcciones IP de los AP que le pueden preguntar. El AP necesita que se le configure una contraseña definida en el servidor.
e) Cuando un cliente quiere asociarse a un AP, le pide usuario y contraseña. Le hace una pregunta al servidor RADIUS utilizando la contraseña configurada para este servidor. Dependiendo de la respuesta, el AP acepta la asociación o no.
Con WPA empresarial, no sólo se mejora la seguridad, ya que cada usuario tiene su contraseña, y en cualquier momento se puede añadir o eliminar un usuario, sino que además, se puede llevar un registro de quién entra en la red en cada momento.
Con la introducción de la rotación de claves por parte de la WPA, se disuadió a los hackers de intentar obtener las claves por el método que venían haciéndolo hasta el momento. Cambiaron de táctica y concentraron su trabajo en la clave PSK de la fase de asociación. Utilizaron la fuerza bruta de dos formas:
a) Probando contraseñas una tras otra. Éstas serían todas las combinaciones posibles de letras y números o una selección mediante un diccionario. Además, los AP no tienen un control del número de intentos fallidos.
b) Si consiguieran capturar las tramas de inicio de conexión de un cliente, podrían aplicar un ataque de diccionario sobre la información de esas tramas.
Publicado por infosegur el 23 febrero, 2014
https://infosegur.wordpress.com/2014/02/23/redes-inalambricas/
Redes cableadas
Si los equipos conectados a la red utilizan protocolos seguros como HTTPS o SSH, la inseguridad de la red es menor. Pero todavía hay que protegerla porque hay muchos protocolos inseguros, como HTTP o DNS. Una máquina que ofrece servicios TCP/IP tiene que abrir unos determinados puertos, a los que pueden conectarse ordenadores fiables o no fiables. Estos últimos pueden llegar a provocar fallos en el servidor e interrumpir el servicio. Si el atacante es muy malicioso, puede hasta tomar el control de la máquina.
2.1. VLAN
Una VLAN (Red de área local virtual o LAN virtual) es una red de área local que agrupa un conjunto de equipos de manera lógica y no física. Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto de máquinas forman una VLAN. Se la llama virtual porque parece que está en una LAN propia y que la red es de ellos solos. Utilizar una VLAN hace que la seguridad y el rendimiento sean mejores, porque si hay un ataque a una VLAN, las otras VLAN no se ven afectadas, salvo que haya un exceso de tráfico, que si le afectaría entonces , ya que comparten el switch.
Por su naturaleza, una VLAN puede formarse también a partir de múltiples segmentos de LAN. Esto permiten que estaciones de trabajo ubicadas físicamente en lugares diferentes pueden trabajar en la misma red lógica (es decir, con el mismo direccionamiento de red), como si estuvieran conectadas al mismo switch.
Una VLAN basada en grupos de puertos no tiene porqué tener sólo un switch. Uno de los puertos puede estar conectado al puerto de otro switch, y, a su vez, ese puerto puede formar parte de otro grupo de puertos. Las VLAN no están completamente aisladas, ya que necesitarán acceso a Internet y estar conectadas con otros servidores internos. Para interconectar una VLAN se necesita un router. En redes, los switches funcionan en capa 2 y los routers lo hacen en capa 3.
La capa 2 o capa de enlace intercambia paquetes de datos con los equipos que están en su misma red. La comunicación es directa entre origen y destino.
La capa 3 o capa de red tiene una visión global de la red y sabe como hacer llegar los datos hasta equipos que no están en su misma red. La comunicación es indirecta y necesita pasar por un router.
El Router necesita estar conectado con cada una de las VLAN que interconecta. Esto se puede hacer de dos formas, principalmente:
a) Reservarle un puerto en cada una, lo que haría tener que instalar muchas tarjetas en el Router.
b) Utilizar una VLAN etiquetada . Para ello, se mantiene los grupos de puertos, pero el que los conectará con el router va a tener una configuración diferente. El switch añadirá una etiqueta (que es un número) a los paquetes de datos (llamados tramas) que salen por ese puerto. Estos paquetes pueden ir por el mismo cable que los paquetes de otras VLAN sin interferirse entre ellos.
Se han definido diversos tipos de VLAN, según criterios de conmutación y el nivel en el que se lleve a cabo :
- la VLAN de nivel 1 (también denominada VLAN basada en puerto) define una red virtual según los puertos de conexión del conmutador;
- la VLAN de nivel 2 (también denominada VLAN basada en la dirección MAC) define una red virtual según las direcciones MAC de las estaciones. Este tipo de VLAN es más flexible que la VLAN basada en puerto, ya que la red es independiente de la ubicación de la estación;
- la VLAN de nivel 3: existen diferentes tipos de VLAN de nivel 3:
- la VLAN basada en la dirección de red conecta subredes según la dirección IP de origen de los datagramas. Este tipo de solución brinda gran flexibilidad, en la medida en que la configuración de los conmutadores cambia automáticamente cuando se mueve una estación. En contrapartida, puede haber una ligera disminución del rendimiento, ya que la información contenida en los paquetes debe analizarse detenidamente.
- la VLAN basada en protocolo permite crear una red virtual por tipo de protocolo (por ejemplo, TCP/IP, IPX, AppleTalk, etc.). Por lo tanto, se pueden agrupar todos los equipos que utilizan el mismo protocolo en la misma red.
La VLAN permite definir una nueva red por encima de la red física y, por lo tanto, ofrece las siguientes ventajas:
- Mayor flexibilidad en la administración y en los cambios de la red, ya que la arquitectura puede cambiarse usando los parámetros de los conmutadores.
- Aumento de la seguridad, ya que la información se encapsula en un nivel adicional y posiblemente se analiza.
- Disminución en la transmisión de tráfico en la red.
2.2. Autenticación en el puerto. MAC y 802.1X
Hay que evitar el ataque contra las VLAN. Para ello se realiza la autenticación en el puerto, y de esa manera el switch solo podrá conectar aquel cuya MAC esté dentro de una lista definitiva en el propio switch o el que sea autentificado mediante RADIUS en el estándar 802.1X.
Por tanto, podemos decir que 802.1x es un mecanismo de seguridad de acceso al medio. La dirección MAC (Medium Access Control) es asignada por el fabricante de la tarjeta de red, por lo que no hay dos tarjetas con la misma MAC. RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Service). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP.
Publicado por infosegur el 23 febrero, 2014
https://infosegur.wordpress.com/2014/02/23/redes-cableadas/
Seguridad Informática 