1. PRINCIPIOS DE UNA RED SEGURA Tipo de Ataques de Redes: 1- de reconocimiento. 2- de acceso. 3- de denegacin de servicios (DoS).

IDS: Sistema de detencin de intrusos: Detencin en tiempo real de ciertos ataques m ientras estan en progreso. IPS: Sistema de prevencin de intrusos: Detectan actividad malisiosa y tienen la h abilidad de bloquear el ataque automaticamente en tiempo real. Firewalls: Prevenie que el trafico no deseado ingrese a ciertas areas sealadas de ntro de una red. Proporcionando una seguridad de perimetro. Cisco ISR: Router de servicios integrados. AMENAZAS INTERNAS Se dividen en 2 categorias: * A. de falsificacin: Un dispositivo intenta hacerse pasar por otro falsi ficando datos. Ejm: Falsificacin de MAC ocurre cuando un host envia paquetes, cuy a direccin MAC pertenece a otro host en la red. * A. de DoS: Hacen que los recursos de un ordenador no esten disponibles para los usuarios a los que estaba destinado. 1.1.1. CLAVES PARA LA PROTECCIN DE DATOS Los 3 objetivos principales en la seguridad de redes son: * Confidencialidad: - La criptografia asegura la confidencialidad de los datos. - La seguridad de la informacin comprende la seguridad de la info rmacin y de los sistemas de informacin de acceso, uso, revelacin, interrupcin, modificacin o destrucin no autorizados. - Ejms para proporcionar confidencialidad: * Utilizar Firewalls y ACLs. * Exigir credenciales apropiadas, ejm: login y password, para acceder a los recursos de red. * Cifrar todo el trafico. * Integridad: - Asegura que los datos no han sido modificados en el transito. - Puede utilizar la autenticacin de origen para verificar que el trafico se origino en la fuente que realmente lo envio. - Ejms violaciones de integridad: * Modificar la apariencia de la pagina web corporativa. * Interceptar y alterar una trasaccin de comercio electro nico. * Modificacin de los registros financieros almacenados el ectronicamente. * Disponibilidad: - Es una medida de la accesibilidad a los datos y los recursos.

- Ejms de ataques a la disponibilidad: * Envio incorrecto de datos formateados a host en la red , dando como resultado un error de excepcin no controlado. * (DoS): Inundar el trafico de red con una cantidad exce siva de trafico o solicitudes, consumiendo los recursos del sistema. 1.1.4. ORGANIZACIONES DE SEGURIDAD DE REDES * SANS (SysAdmin, Audit, Network, Security Institute). * CERT (Computer Emergency Response Team). * ISC (International Information System Security Certification Consortiu m). 1.1.5. DOMINIOS DE LA SEGURIDAD DE REDES 12 dominios: 1- Evaluacin de riesgos: Es es el primer paso en el proceso de administra cin de riesgos. Determina el valor cuantitativo y cualitativo del riesgo relacion ado con una amenaza reconocidan o situacin determinada. 2- Politica de seguridad: Documento que trata las restricciones y compor tamiento de los miembros de una organizacin, generalmente especifica como se debe acceder a los datos y quienes pueden hacerlo. 3- Organizacin de la seguridad informatica: Es el modelo de gobierno esta blecido por una organizacin para la seguridad de la informacin. 4- Administracin de Bienes: Es un inventario y esquema de clasificacin par a los bienes de la informacin. 5- Seguridad de los Recursos Humanos: Trata los procedimientos de seguri dad que guarda relacin de los empleados de una organizacin, que entran, se mueven o se van de la misma. 6- Seguridad fisica y ambiental: Describe la proteccin de las instalacion es dentro de una organizacin. 7- Administracin de las comunicaciones y operaciones: Administra los cont roles tcnicos de seguridad en sistemas y redes. 8- Control de accesos: describe la restriccin de derechos a redes, sistem as, aplicaciones, funciones y datos. 9- Adquisicin, desarrollo y mantenimiento de los sistemas de informacin: D escribe la integracin de la seguridad de las aplicaciones. 10- Administracin de incidentes de seguridad de la informacin: Describe co mo anticipar y responder a las fisuras de seguridad de la informacin. 11- Administracin de la continuidad de negocios: Describe la proteccin, ma ntenimiento y recuperacin de procesos y sistemas criticos para el negocio. 12- Conformidad: Describe el proceso de conformidad con las regulaciones , los estandares y las politicas de seguridad de la informacin. 1.1.6 POLITICAS DE SEGURIDAD DE REDES - Declaracin formal de las reglas que deberan atender los usuaris que tie nen acceso a los bienes tecnolgicos y de informacin. - Es un documento complejo que trata temas tales como acceso de los dato s, navegacin en la web, uso de passwords, criptografia y adjunto de emails. - Traza las reglas de acceso a la red y describe una arquitectura del am biente de seguridad de la informacin de la empresa. - Establece que bienes tienen que ser protegidos y da pautas de como deb en ser protegidos. Esto luego sera utilizado para determinar los dispositivos de seguridad,

las estrategias y procedimientos de mitigacin que seran implementados en la red. 1.1.7 CISCO SECURE"X" ARCHITECTURE - Utiliza una amplia gama de parametros en su aplicacin de las proliticas , proporciona una seguridad mas eficaz y sensible al contexto de la manera en qu e se accede a la red. - Generaliza el lenguaje de politicas de seguridad en toda la red, pudie ndo asi ser desplegadas a nivel mundial y estar disponibles donde y cuando los u suarios la necesiten. - Proporciona: * Seguridad de red a un nivel superior: comprende politicas: que , quien, donde, cuando y como se accede a la red. * Acceso a la red de alta seguridad en los diferentes entornos: acceso en entornos virtuales, fisicos, en las instalaciones, en la nube, etc. * Simplificar las politicas de seguridad de red: politicas que c orrespondan con las necesidades y normas del negocio. * Proteccin contra las amenazas a medida que van siendo identific adas: Uso del conocimiento global SIO (Security Intelligence Operations), propor ciona correlancin y proteccin en tiempo real. * Soportar todo tipo de terminales: Portatiles, dispositivos mob iles, ipods, etc. 1.2 VULNERABILIDADES Se dividen en 3 tipos: 1.2.1 VIRUS - Generalmente infectan o corronpen los archivos del ordenador que ataca n. - Requieren un programa huesped para ejecutarse. - Tiene la funcin alterar el normal funcionamiento del ordenador sin perm iso o el conocimiento del usuario. - Tienen la funcin de propagarse a traves del software, no se replican a si mismos, son muy nocivos y tienen cargas dainas. - El cod del virus se aloja en el ordenador, toma el control de servicio s bsicos del sistema operativo, infectando, de manera posteriorlos archivos ejecu tables, con lo cual el proceso de replica se concreta. 1.2.2 GUSANOS - Causan problemas en la red, generalmente consumiendo los recursos de a ncho de banda. - Pueden ejecutarse y duplicarse por si solos. - No precisa alterar archivos de programa, sino que reside en la memoria y se duplica a si mismo. - Envia copias de si mismo a otras terminales en la red, basandose en di versos metodos, ejm: SMTP, IRC, P2P, etc. 1.2.3 TROYANOS - Software malicioso que se presenta ante el usuario como un software le gitimo e inofensivo, pero al ejecutarse ocasiona daos. - En su mayoria, crean una puerta trasera, que permite la Adiministracin

remota a un usuario no autorizado. - Las acciones que puede realizar el atacante en el equipo remoto, depen de de los privilegios que tenga el usuario en el equipo y de las caractersticas d el troyano. - Se clasifican de acuerdo al dao que causan o a la manera en que violan el sistema: * Troyanos de acceso remoto: Permiten el acceso remoto no autori zado. * Troyanos de envio de datos: Provee al atacante de datos sensib les, como passwords. * Troyanos destructivos: Corrompe o elimina archivos. * Troyano Proxy: El ordenador atacado funciona como un servidor proxy. * Troyano FTP: Abre el puerto 21. * Troyano inhabilitador de software de seguridad: Detiene el fun cionamiento de antivirus o firewalls. * Troyano de denegacin de servicios: Reduce la velcidad o detiene la actividad de red. 1.2.4 MITIGACIN DE VIRUS, GUSANOS Y TROYANOS - Antivirus: Para virus y troyanos. - Para los gusanos se requiere una coordinacin de los administradores de la seguridad de la red, que se puede dividir en 4 fases: * Fase de contencin: Limitar la difusin del gusano en la red, requ iere del uso de ACLs y Firewalls. * Fase de inoculacin: Todos los sistemas no infectados reciben un parche dado por el vendedor apropiado para la vulnerabilidad. * Fase de cuarentena: Rastreo e identificacin de las maquinas inf ectadas dentro de areas contenidas y su desconexin. * Fase de tratamiento: Proceso de terminar con el gusano, elimin a los archivos modificados. 1.3 METODOLOGIA DE ATAQUE 1.3.1 ATAQUES DE RECONOCIMIENTO - Es el descubrimiento o mapeo de sistemas, servicios y vulnerabilidades sin autorizacin. - Muchas veces emplea el uso de sniffers de paquetes y escaneres de puer tos. - Generalemnete son precursores de ataques posteriores. - Utilizan varias herramientas para ganar acceso de la red: * Sniffers de Paquetes: Utiliza una NIC de modo promiscuo para c apturar todos los paquetes de red que se trasmiten a traves de la LAN. * Barridos de PING: Determina que rango de direcciones IP corres ponde a hosts activos. * Escaneo de Puertos: Determina que rango de puertos TCP o UDP e stan abiertos en un host, para detectar servicios abiertos. * Busqueda de Info en Internet: Puede revelar info sobre quien e s el dueo de un dominio en particular y que direcciones tiene asignadas. 1.3.2 ATAQUES DE ACCESO - Explotan vulnerabilidades conocidas para ganar acceso web, base de dat os datos, etc. - Generalmente emplea un ataque de diccionario para adivinar contraseas d el sistema. - Hay 5 tipos de ataques de acceso:

* Ataques de contrasea: Intento de adivinar las contraseas del sis tema. Ejm: Ataque de diccionario. * Explotacin de confianza: Se utilizan privilegios otorgados a un sistema en forma no autorizada. * Redireccin de puerto: Se utiliza un sistema ya comprometido com o punto de partida para ataques a otros objetivos. Ejm: Se instala una herramien ta de intrusin en el sistema comprometido para la redireccin de sesiones . * Ataques Man in the middle: Se ubica en el medio de la comunica cin entre dos entidades, para leer o modificar la informacin. * Desbordamiento de Buffer: Se escriben datos mas alla de la cap acidad del buffer, ocasionando que los datos validos se sobreescriban para permi tir la ejecucin de codigo malicioso. 1.3.3 ATAQUES DE DENEGACION DE SERVICIO (DoS) - Envian un numero extremadamente grande de solicitudes de red o interne t, lo cual afecta el rendimiento del dispositivo victima. Como consecuencia, el dispositivo victima no estara disponible para acceso de uso legitimo. - Se caracterizan por desacelerar o colapsar aplicaciones y procesos. - Un ataque de denegacin de servicio distribuido (DDoS) es similar al DoS , a diferencia de que se origina de varias fuentes coordinadas. - Los ataques DoS mas comunes son: * PING de la muerte: Solicitud de eco de un paquete IP mas grand e que el tamao maximo 65.535 bytes. * Ataque Smurf: Envio de multiples solicitudes ICMP a direccione s de broadcast, todos con IP de origen falsificadas, perteneciente a la misma re d. Si el dispositivo de enrutamiento que envia el trafico de broadcast, r eenvia los broadcast, todos los host de destino enviaran respuestas ICMP, multip licando el trafico. * Inundacin TCP/SYN: Se envian multiples solicitudes de conexin TC P/SYN a un server, y este genera conexiones a medio abrir respondiendo con paque tes TCP/ACK y queda a la espera de un paquete de respuesta de la dir eccin remitente (que es falsa) y esta nunca llega. Como consecuencia se satura el numero de conexiones disponibles en el server, haciendo que este no pue da responde a solicitudes de conexin legitimas. 1.3.4 MITIGACION DE LOS ATAQUES DE RED - Utilizar autenticacin fuerte y cifrado de datos, ya que es practicament e irrelevante si un sniffer captura los datos ya que no son legibles. - Los FW y los IPS pueden limitar la informacin que puede ser descubierta con un escaner de puertos. - Los barridos de PING puede ser detenidos si se deshabilitan las respue stas de eco ICMP en los routers de borde. - Los IPS basados en red y basados en host pueden notificar al Administr ador, cuando se esta llevando a cabo un ataque de reconocimento. - Protocolos de autenticacin cifrados o de hash y politicas de contrasea f uertes, reducen la probabilidad de ataques de acceso exitosos. - Politicas de contraseas fuertes: * Deshabilitar la cuenta luego de un numero especifico de autent icaciones fallidas.

* Utilizar contraseas de una sola vez (OTP) o una contrasea cifrad a. * Utilizar contraseas fuertes. Ejm: Min 6 caracteres, letras maysc ulas y minsculas, nmeros y caracteres especiales. - Cuanto mas cifrada este el trafico de red, menos oportunidad tendran l os hackers de interceptar los datos con ataques "Man in the Middle". - Los ataques DoS pueden ser detenidos usando tecnologias anti-falsifica cin (Anti-Spoofing) en routers y firewalls de perimetro. - Los ataques DDoS requiere un diagnostico y planteamiento cuidadoso, as i como tambien la ayuda de IPS. - Los R y los SW soportan tecnologias de antifalsificacin, como seguridad de puertos, snooping de DHCP, IP Source Guard, inspeccin de ARP dinamico y ACLs. - Una de las aplicaciones de QoS es la politica de trafico, que puede li mitar el trafico ingresado de cualquier cliente a un router de borde. - Recomendaciones: * Mantener parches actualizados. * Cerrar lo puertos innecesarios y deshabilitar los servicios no utilizados. * Utilizar passwords fuertes y cambiarlas a menudo. * Controlar el acceso fisico a los sistemas. * Evitar el ingreso innecesario a paginas web. * Realizar copias de respaldo y verificar las mismas regularment e. * Educar a los empleados en cuanto a los riesgos de la Ingenieri a Social. * Cifrar los datos sensibles. * Implementar hardware y software de seguridad como: FW, IPS, an tivirus, UPS, etc. * Desarrollar una politica de seguridad escrita para la compaia. 1.3.5 CISCO NETWORK FOUNDATION PROTECTION (NFP) - Proporciona directrices generales para la proteccin de la infraestructu ra de red, las cuales constituyen la base para garantizar el funcionamiento cont inuo del servicio. - Divide logicamente los R y los SW en 3 areas fundamentales: * Plano de Control: Son los responsables del enrutamiento de dat os, son paquetes generados para el funcionamiento de la red. Ejm: Anuncios OSPF o mnjs ARP. se puede implementar utilizando: + Cisco AutoSecure: proporciona seguridad en los planos de control, gestin y datos. Es un script que se ejecuta en la linea de comandos p ara config un nivel de seguridad en los R. + Routing Protocol Authentication: Protocolo de autentic acin de vecinos, evita que un R reciba act de enrutamiento fraudulentas. + CoPP (Control Panel Policing): Es una caracteristica d el IOS, que permite controlar el flujo de trafico que maneja el procesador. Esta diseado para evitar que el trafico innecesario pueda abrumar el procesador. Consta de las siguientes caracteristicas: > CoPP (Control Plane Policing): Configura un fi ltro de QoS que gestiona el flujo de trafico, protegiendolo contra ataques de re conocimiento. > CPPr (Control Plane Protection): Entensin de Co PP, pero permite la vigilancia de granularidad. Ejm: Filtra paquetes y descarta los que esten maliciosos y/o erroneos. > CPl (Control Plane Login): Permite un registro

de los paquetes que CoPP o CPPr permiten o deniegan. * Plano de Gestin: Son los responsables de la gestin de los elemen tos de la red, son procesos o protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA, SNMP, Syslog, TACACS+, RADIUS y NetFlow. Se puede implementar utilizan do: + Inicio de sesin y politicas de contraseas: Limitar los p uertos accesibles y los metodos de acceso. + Notificacin Legal: Mostrar avisos legales segun las ley es locales. + Garantizar la confidencialidad de los datos: Utilizar protocolos de gestin con una autenticacin fuerte para mitigar los ataques de confi dencialidad destinados a exponer contraseas y configuraciones del dispositivo. + RBAC (Role-based access control): Control de accesos b asadas en roles, es decir, concede acceso a usuarios autentificados, grupos y se rvicios. RBAC y AAA son mecanismos para le eficiencia en el control de acceso: > Autorizar las Acciones: Restringir acciones qu e estan permitidas por algun usuario del grupo, o a un servicio. > Informe de gestin de accesos: Tener registros d e todos los accesos (Lo que ocurrio y cuando ocurrio). * Plano de Datos: Responsable del envio de datos, aplica sobre t odos los datos generados por los usuarios que se son reenviados por el R. Se pue de implementar utilizando: + ACLs: Filtran paquetes, clasifica el trafico, controla el ancho de banda, etc. Pueden utilizar un mecanismo antispoofing descartando a quien no tiene una direccin IP de origen valida. Ejm: uRPF (Unicas t Reverse Path Forwarding). + Seguridad de capa 2: > Port Security: Evita suplantacin de direcciones MAC y los ataques de inundacin de direcciones MAC. > DHCP Snooping: Previene ataques de los cliente s en el server DHCP y en el R. > Dynamic ARP Inspection: Aade seguridad a ARP, m ediante el DHCP Snooping minimiza el impacto del envenenamiento ARP y los ataque s de suplantacin. > IP Source Guard: Evita la suplantacin de direcc iones IP mediante el uso de la tabla DHCP Snooping. NOTA: Spoofing: Son tcnicas de suplantacin de identidad generalmente con usos ma liciosos o de investigacin. Se pueden clasificar: * IP spoofing (quizs el ms conocido). * ARP spoofing. * DNS spoofing. * Web spoofing. * email spoofing. Aunque en general se puede englobar dentro de spoofing cualquier tecnolo ga de red susceptible de sufrir suplantaciones de identidad.