Amenazas, Técnicas de Ataque y Herramientas de Seguridad en Redes

Ingeniería informática, , , , , ,

Amenazas a la Seguridad en Redes

Las amenazas a la seguridad en redes se pueden clasificar en cuatro grandes grupos:

  • Interrupción: Un objeto, servicio del sistema o datos en una comunicación se pierden, quedan inutilizables o no disponibles.
  • Interceptación: Un elemento no autorizado consigue un acceso a un determinado objeto.
  • Modificación: Además de conseguir el acceso, el atacante consigue modificar el objeto. Es posible incluso la destrucción, una modificación que inutiliza al objeto afectado.
  • Fabricación: Modificación destinada a conseguir un objeto similar al atacado, de forma que sea difícil distinguir entre el objeto original y el «fabricado».

Técnicas de Ataque

  • Ataque de denegación de servicio (DoS): Causa la interrupción de un servicio. Provoca que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente causando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Mediante botnets o redes zombi se pueden llegar a controlar cientos o miles de máquinas para realizar ataques distribuidos de saturación de servidores o DDoS.
  • Sniffing: Es una técnica de interceptación que consiste en rastrear y monitorizar el tráfico de una red.
  • Man in the middle (MitM): Es un caso específico de interceptación y modificación de identidad. Un atacante supervisa una comunicación entre dos partes, falsificando las identidades de los extremos y, por tanto, recibiendo el tráfico en los dos sentidos.
  • Spoofing: Es una técnica de fabricación que consiste en suplantar la identidad o realizar una copia o falsificación. Por ejemplo, encontramos falsificaciones de IP, MAC, web o mail.
  • Pharming: Es una técnica de modificación. Mediante la explotación de una vulnerabilidad en el software de los servidores DNS o en el de los equipos de los propios usuarios, permite modificar las tablas DNS, redirigiendo un nombre de dominio (domain name) conocido a otra máquina (IP) distinta, falsificada y probablemente fraudulenta.

Tipos de Amenazas

  • Amenaza externa o de acceso remoto: Los atacantes son externos a la red privada o interna de una organización y logran introducirse desde redes públicas. Los objetivos de ataques son servidores y routers accesibles desde el exterior, y que sirven de pasarela de acceso a la red corporativa.
  • Amenaza interna o corporativa: Los atacantes acceden sin autorización o pertenecen a la red privada de la organización. De esta forma, pueden comprometer la seguridad y, sobre todo, la información y servicios de la organización.

Protección contra Amenazas Internas

  • Buen diseño de direccionamiento, parcelación y servicios de subredes en nuestra red corporativa.
  • Técnicas de subnetting, redes locales virtuales o VLAN y DMZ, aislando y evitando que los usuarios puedan acceder directamente en red local con los sistemas críticos.
  • Políticas de administración de direccionamiento estático para servidores y routers.
  • Monitorización del tráfico de red y asignaciones de direccionamiento dinámico y de sus tablas ARP.
  • Modificación de configuraciones de seguridad, contraseñas por defecto de la administración de servicios.
  • En redes inalámbricas, emplear el máximo nivel de seguridad.

Sistemas de Detección de Intrusos (IDS)

Un IDS (Intrusion Detection System) es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos de comprometer la seguridad de dicho sistema. Buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host. Aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, pero aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque, como pueden ser el análisis de nuestra red, barrido de puertos, etc.

Tipos de IDS

  • HIDS (Host IDS): Protegen un único servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.
  • NIDS (Network IDS): Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan en tiempo real todos los paquetes que circulan por un segmento de red, aunque estos no vayan dirigidos a ese determinado dispositivo).

Arquitectura de un IDS

  • La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistema.
  • Reglas y filtros sobre los datos y patrones para detectar anomalías de seguridad en el sistema.
  • Dispositivo generador de informes y alarmas. En algunos casos, con la sofisticación suficiente como para enviar alertas vía mail o SMS.

Con respecto a la ubicación del IDS, se recomienda disponer uno delante y otro detrás del cortafuegos perimetral de nuestra red para obtener información exacta de los tipos de ataques que recibe nuestra red, ya que si el cortafuegos está bien configurado puede parar o filtrar muchos ataques.

Puertos TCP/UDP

  • 0-1023: Puertos para servicios conocidos.
    • 20 y 21: FTP
    • 22: SSH
    • 23: Telnet
    • 80: HTTP
    • 443: HTTPS
  • 1024-49151: Puertos registrados.
    • 25: SMTP
    • 53: DNS
    • 110: POP3
  • 49152-65535: Puertos dinámicos y privados.
    • 137, 138, 139: NetBIOS (compartir archivos e impresoras)
    • 445: SMB

Control de Puertos

  • En una máquina local: Observar qué conexiones y puertos se encuentran abiertos y qué aplicaciones los controlan. El comando netstat permite ver el estado en tiempo real de nuestras conexiones.
  • Los firewall personales son una medida de protección frente a ataques externos.
  • En la administración de red: Ver qué puertos y en qué estado se encuentran los de un conjunto de equipos. La aplicación nmap permite un escaneo de puertos, aplicaciones y sistemas operativos en un rango de direcciones.
  • Los cortafuegos y proxys perimetrales ofrecen protección mediante un filtrado de puertos y conexiones hacia y desde el exterior de una red privada.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.