Redes y Seguridad Cap Tulo 6 Seguridad en Redes

Captulo 6
SEGURIDAD EN
REDES
En este capitulo, introducirem os un tem a im portante que no debe ser dejado de

lado al m omento de configurar una red informtica: la seguridad. Hablar de
seguridad de una manera concreta es muy complicado, ya que el trm ino en s se
relaciona con las necesidades y niveles aceptables de cada adm inistrador. Nos
enfocaremos en cubrir los dispositivos y configuraciones que nos permitirn
aum entar al mximo posible los niveles de seguridad en nuestra red.
Firewall
El firew all (cortafuegos) es un componente de red cuya funcin principal es la de
bloquear los accesos hacia la red y desde ella, segn un conjunto de reglas y
criterios personalizabas.
Funcin
En toda red existe lo que se denom ina permetro, que consiste en una lnea
imaginaria que bordea cada red Esta lnea imaginaria se corresponde con las
segm entaciones fsicas y lgicas que se establecen utilizando dispositivos de
routing.
ALFAOMEGA
Katz, M atas David. R edes y seguridad.

: A lfaom ega G rupo Editor, . p 240
http://site.ebrary.com /id/10779862?ppg=240
C opyright A lfaom ega G rupo Editor. . All rights reserved.
May not be reproduced in any form w ithout perm ission from th e publisher,
except fa ir uses perm itted under U.S. o r applicable copyright law.
MATAS AT7
220
Seguridad en redes
Una vez que la informacin pase este permetro, se considera haber entrado
en la "red pblica". Aunque este trm ino pueda ser incorrecto, ya que despus del
permetro de nuestra red privada se podra encontrar otra red privada, y sta se
considera pblica al estar fuera del rango de control de la primera red.
MATAS KAT7

ALFAOMEGA
221
Redes y seguridad
La funcin del frewall es regular la informacin que transita entre el permetro

de nuestra red y las redes pblicas conectadas a nuestra red. Profundizando este
concepto, la tarea del firew all es revisar cada bit que intenta ingresar o egresar de
nuestra red, aplicarle una lgica de comparacin (obtenida de la configuracin de
polticas de seguridad en el mismo firewall). y segn los resultados perm itir o
denegar el paso de dicha informacin hacia la red destino.
Sobre la base de este comportamiento, existen dos premisas principales:
1)
Restrictiva: todo lo que no est explcitamente permitido, ser restringido.
2)
Permisiva: todo lo que no est explcitamente restringido, ser permitido.
El firew all basar su proceso de decisin en la premisa que haya sido

seleccionada en su poltica de configuracin, y continuar realizando las
comparaciones necesarias para determ inar si permite el trnsito de la informacin o
lo bloquea.
Ejemplo de poltica permisiva
1)
2)
3)
Cierta informacin intenta ingresaren nuestra red a travs del protocolo FTP.
El firew all revisa en su poltica permisiva alguna restriccin explcita haca el
protocolo FTP
Segn la existencia de dicha restriccin puede ocurrir lo siguiente:
a) Si existe restriccin, el paquete es rechazado
b) Si no existe restriccin, el paquete es transm itido hacia la red privada
Ejemplo de poltica restrictiva:
1)
2)
3)
Cierta informacin intenta egresar desde nuestra red a travs del protocolo
POP.
El firew all revisa en su poltica permisiva algn permiso explcito hacia el
protocolo POP.
Segn la existencia de dicho permiso puede ocurrir lo siguiente:
a) Si existe permiso, el paquete es transm itido hacia la red privada
b) Si no existe permiso, el paquete es rechazado
ALFAOME6A

MATAS AT2
222
Seguridad en redes
El conjunto de normas y reglas que form an la poltica de seguridad de un

firew all puede ser ampliamente personalizable. Ms adelante veremos en detalle
las diferentes opciones disponibles para el armado de dichas normas y reglas.
P o sicio nam ien to
Un firew all puede estar representado por un equipo de hardware dedicado, o puede
tratarse de un software que se ejecuta sobre un sistema operativo. En definitiva, a
modo arquitectnico se trata de un equipo que intermedie las comunicaciones de la
red (o redes) que desea proteger.
Veamos los diferentes tipos de infraestructuras donde se podra im plem entar
un firew all
D ual-hom ed firew all
In te rn e t
DUAL - HOMED
FIREWALL
Red Privada
Fig. 6-3 D ual-hom ed firew all.
En esta situacin, el equipo en cuestin cuenta con dos dispositivos de red Una de
ellas se encuentra conectada a la red privada; y la otra, a la red pblica. El anlisis y
filtrado de informacin se realiza en el momento en el que los bits atraviesan el
equipo Esta tcnica es la ms usada debido a su efectividad. En esta situacin, es
MATAS KAT2

h ttp://site.ebrary.com /id/10779862?ppg=243
223
Redes y seguridad
imposible circunvalar el control, ya que el firew all se encuentra fsicam ente

intermediando ambas redes.
M ulti-hom ed firew all
Internet
Fig. 6 -4 M ulti-h om ed firew all.
Esta situacin es sim ilar a la anterior, con el agregado de la posibilidad de

interconexin de varias redes en simultneo. El firew all cumple la misma
funcionalidad y su modo de operacin, pero al interconectar diferentes redes se
pueden establecer polticas y reglas independientes para cada red.
Esta arquitectura introduce un nuevo concepto a te n e r en cuenta al hablar de
seguridad en redes: la "DMZ".
DMZ
Utilizando las iniciales DMZ (Dem ilitarized Zone) se identifica a una subred
semipblica dentro de nuestra red general Tambin se la puede encontrar
nombrada como 'red de permetro", ya que ah es donde justam ente se encuentra
ubicada.
ALFAOME6A

MATAS AT2
224
Seguridad en redes
Esta disposicin estructural est diseada para proveer una capa adicional de
proteccin a nuestra red general, ya que es aqu donde se debern posicionar los
servidores que sum inistren servicio hacia las redes pblicas. De esta forma, la red
privada permanecer resguardada, ya que no se necesitar perm itir el acceso a ella
desde otras redes.
El firew all que regule esta subred deber te n e r una poltica restrictiva, pero
con reglas no muy especficas. As podr perm itir el trnsito desde dichos servidores
y hacia ellos:
Fig. 6-5 Estructura de DM Z con m ulti-ho m ed firew all.
Una form a alternativa de im plem entar una red DMZ es utilizando dos dual
homed firewalls'.
MATAS KATZ
e b ra ry

225
Redes y seguridad
In te rn e t
' " i " '

DUAL - HOMED
FIREWALL
REGLAS RESTRICTIVAS
Red Privada
Fig. 6-6 E structura de DM Z con dos dual-hom ed firew alls.

7 1 6 b e 6 flb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
Este mtodo es el ms seguro de todos al requerir que la informacin

atraviese dos barreras hasta lleg ara la red privada.
Flujo de inform acin en una DM Z

Para obtener el m ejor rendim iento en una red DMZ sin desm erecerla seguridad, los
firewalls que intermedien en las comunicaciones, al Igual que los servidores (tanto
en la red sempblica como en la red privada) debern estar configurados
correctam ente segn sus roles y ubicacin en la red.
Ejemplo: servidor Web en la red DMZ cuya informacin a m ostrar reside en un
servidor de archivos en la red privada:
ALFAOME6A

MATAS AT2
226
Seguridad en redes
Fig. 6-7 Servidor W eb con su inform acin en la red privada.
La configuracin de seguridad para esta situacin deber ser la siguiente:
1) El frewall (A) deber te ne r una poltica laxa, que permitir el trnsito a travs
del puerto 80 nicam ente hacia el servidor Web (B).
2) El servidor Web (B) deber te n e r configurado su servicio Web para acceder a la
informacin en el servidor de archivos (D), utilizando un usuario y contrasea.
3) El frewall (C) deber te n e r una poltica rigurosa, que permitir el trnsito hacia
el servidor de archivos (D) nicam ente desde el servidor Web (B), y solam ente si
el usuario y contrasea de acceso son correctos.
4) Por ltimo, el servidor de archivos (D) deber te ne r habilitada una conexin
entrante para el servidor Web (B) con el usuario y contrasea elegidos.
MATAS KAT7

Redes y seguridad
227
De esta forma, podremos te ne r un servidor Web en nuestra red DMZ que

acceda a la informacin de un servidor de archivos en nuestra red privada, y con un
nivel de riesgo mnimo.
B astio n host
En esta situacin, llamada bastin host (anfitrin bastin), el firew all est ubicado
en la red privada, y tanto las conexiones entrantes como salientes estn
configuradas para ser autom ticam ente redirigidas hacia este equipo, que las
filtrar segn su propio conjunto de reglas. Este equipo funcionar de intermediario
entre las redes privadas y pblicas, aunque no exista una segmentacin lgica o
fsica entre ellas (salvo por el rou ter del permetro). Esta funcin es conocida como
proxy Es im portante destacar que, aunque el bastin host se encuentre en la red
privada, tendr visibilidad directa y total desde la red pblica, pasando a ser una
indefectible vctima de ataque.
Proxy
Un equipo configurado como proxy (interm ediario) tendr como funcin el tra m ita r
las transacciones que le sean delegadas por los equipos tanto en la red privada
como la pblica. Su uso principal es el control del contenido de la informacin que
ingresa y egresa de nuestra red.
ALFAOMEGA

MATAS ATZ
228
Seguridad en redes
El equipo tom ar la informacin de transaccin, la autorizar o rechazar

segn su conjunto de reglas de filtrado, y en caso de perm itirla la ejecutar com o
propia Al contar con un proxy. todas las comunicaciones entrantes y salientes
figurarn como si hubieran sido iniciadas por dicho equipo, ocultando la identidad
de otros equipos en la red, minimizando significativam ente el potencial de ataque
Computer C
Fig. 6-9 P roxy en la red.
El uso de proxies es muy comn, ya que provee un m ejor control de la
informacin que fluye por nuestra red Sin embargo, es im portante calcular el
consumo total de recursos y el tam ao de datos que posee y transm ite la red, ya
que al centralizar todas las actividades en un equipo, ste puede saturarse y dejar
de funcionar, inhabilitando nuestra red por completo.
Tambin se lo puede encontrar nombrado como Circuit Level Gateway
Existen proxies pblicos que ofrecen el mismo servicio que los privados. El
usuario deber configurar al equipo pblico como su proxy y a partir de ese
mom ento todas sus comunicaciones salientes sern transm itidas a travs de dicho
servidor Desde el aspecto de la seguridad, la nica diferencia es que los proxies
pblicos no son seguros, ya que no estn dentro del rango de control del
administrador. Solo se deben usarprox/es pblicos que sean de extrema confianza,
porque la provisin de dichos servicios por parte de desconocidos puede causar el
robo de nuestra informacin, infecciones de malware y varios otros graves
problemas de segundad.
MATAS KAT7

ALFAOMEGA
229
Redes y seguridad
Tipos de firewall
Existen diferentes tipos de firewall. categorizados segn su modo de operacin y la
capa del modelo OSI donde trabajan:
P a c k e t filte rin g fire w a ll
Tambin son llamados "primera generacin de firew alls". Estos equipos trabajan
filtrando paquetes de acuerdo con la informacin de las capas 3 y 4. Por ejemplo,
podran filtra r todo el trnsito de informacin proveniente de una IP o puerto
TCP/UDP en particular, o perm itir todo el trnsito de informacin que se dirija a
cierta IP o puerto TCP/UDP en particular.
No poseen demasiada inteligencia, por lo cual no se los pueden configurar
siguiendo reglas muy especficas. Su uso aplica a routers o pequeos firewalls de
permetro, como ser equipos hogareos o de pequeas empresas.
CAPA 7, DE
APLICACIN
REGLAS QUE MANEJAN
CAPA 6, DE
PRESENTACIN
CAPA 5, DE
SESIN
CAPA 4, DE
TRANSPORTE
CAPA 3, DE
RED
DIRECCION IP ORIGEN
DIRECCIN IP DESTINO
PUERTO ORIGEN
PUERTO DESTINO
CAPA 2, DE
ENLACE
CAPA 1,
FSICA
Fig. 6-10 P acket filterin g firew all.
ALFAOMEGA

MATAS ATZ
230
Seguridad en redes
A p p lic a t io n la y e r fire w a ll
Son tam bin llamados 'segunda generacin de firewalls" Estos equipos utilizan la
informacin proveniente de las siete capas del modelo OSI, y realizan un anlisis
detallado y especfico, aplicando un conjunto de reglas extrem adam ente
personalizabas. Por ejemplo, estos equipos permiten filtra r informacin segn un
comando especfico del protocolo de capa 7 que represente el paquete en anlisis
(como pueden ser los comandos POST y GET de HTTP), y perm itir un subconjunto de
comandos m ientras rechaza otro.
REGLAS QUE MANEJAN
CAPA 7, DE
APLICACIN
PROTOCOLO EN USO
CAPA 6, DE
PRESENTACIN
FORMATO DE LA INFORMACIN
CAPA 5, DE
SESIN
CAPA 4, DE
TRANSPORTE
CAPA 3, DE
RED
PROTOCOLO EN USO
[^ >
PUERTO ORIGEN Y/O DESTINO
IP ORIGEN Y/O DESTINO
CAPA 2, DE
ENLACE
PROTOCOLO EN USO
CAPA 1,
FSICA
Fig. 6 -1 1 A pplica tion layer firew all.
Estos equipos requieren un consumo exhaustivo de recursos de hardware y

red, por lo que se debe calcular detalladam ente los requerim ientos para
implem entarlo. Paralelamente, se recomienda ubicarlo nicamente en los sectores
de la red que realm ente lo necesiten
N o ta Segn el autor, al hablar de los tipos de firew all la term inacin gateway
podra fig u ra re n reemplazo de firewall.
MATAS KATZ

Redes y seguridad
231
S ta te fu l fire w a ll
Son tam bin llamados "tercera generacin de firewalls" Estos equipos tam bin
operan en las siete capas del modelo OSI, pero adems ofrecen un significativo
refuerzo de seguridad: mantienen el recuerdo de las sesiones establecidas y las
analizan una por una m ientras estn en curso.
Hasta ahora, los firewalls que discutim os cumplan sus funciones
excelentemente. Pero existe un pequeo problema: cada paquete que ingresaba al
firew al era analizado independientemente, sin guardar registro de los paquetes
anteriorm ente recibidos desde el mismo origen. Debido a esto, un agente
m alintencionado podra sim ular una sesin iniciada por un usuario vlido, to m a r
control de su sesin e infiltrarse en nuestra red privada.
Los stateful firewalls mantienen en tiempo real un registro detallado de todas
las comunicaciones que estn establecidas, y cada paquete nuevo que llega es
analizado y comparado en base al historial de transacciones realizadas bajo los
mismos parm etros del nuevo paquete. De esta forma, un agente m alintencionado
no podra sim plem ente enviar un paquete y esperar acceder, ya que el firew all
detectar que el paquete no corresponde a ninguna sesin activa y rechazara su
ingreso
Se considera que estos firewalls son los ms avanzados, y requieren un
extremo consumo de recursos de hardware y red, por lo que su uso se deber
m inim izar al mximo posible.
IDS
Los IDS (Intrusin Detection Systems) son equipos que proveen un nivel de
seguridad mayor a nuestra red, com plem entando al firew all y trabajando en
conjunto con l. Su funcin principal es la de detectar intrusiones a su rea de
cobertura, m ediante el anlisis exhaustivo de cada paquete de informacin que
ingresa en ella. Al detectar una intrusin, el IDS podra realizar cualquier tipo de
tarea preconfigurada por el administrador, ya sea rechazar futuros paquetes de
igual origen o contenido, arrojar alertas de sistema, enviar un correo electrnico o
sms al adm inistrador, reconfigurarel firew all a un modo ms preventivo, etctera.
Cada ataque posee su propio patrn de comportamiento. El IDS detecta este
patrn a mitad de camino y neutraliza el remanente del ataque rechazando las
conexiones que le correspondan. El IDS utiliza una tcnica llamada S niffing (olfateo)
m ediante la cual el equipo es capaz de recopilar toda la informacin que circule
dentro de su rea de cobertura, ingresarla en su sistema y analizarla, comparndola
con su conjunto de reglas y polticas preestablecidas. El IDS puede utilizar la
informacin encontrada en las siete capas del modelo OSI para hacer sus anlisis.
ALFAOME6A

MATAS AT2
Seguridad en redes
Segn sus niveles de tolerancia, esperar ms o menos al sospechar de un

supuesto ataque, antes de tom ar una accin correctiva
Nota: Cubriremos ms en detalle la tcnica de Sniffing en el captulo 7
P ro b le m tic a con los IDS

Existen dos problemticas importantes que afectan a todo IDS:
1)
Falso negativo: el IDS pasa por alto un ataque o intento de intrusin, tom ndolo
como una comunicacin legitima y sin realizar ninguna accin correctiva al
respecto. De esta forma, el atacante puede satisfactoriam ente realizar su
intrusin sin ser detectado ni detenido.
2)
Falso positivo: El IDS identifica un supuesto ataque y realiza las acciones

correctivas correspondientes, basndose en un anlisis incorrecto sobre una
comunicacin en realidad legtima. Esto puede tornarse un problema serio si el
IDS tiene configurado acciones correctivas que sean restrictivas en relacin al
acceso a la red. Por ejemplo, si un IDS est configurado para cerrar el puerto 8 0
del firew all de permetro al encontrarse con un supuesto ataque. En este caso,
un falso positivo deshabilitara el acceso pblico a los sitios Web que la
organizacin maneje, por culpa de una mala configuracin del IDS.
El nivel de tolerancia y rigurosidad que se le configure al IDS determ inar la

cantidad de falsos negativos y falsos positivos que ocurran. Cada IDS deber ser
configurado acorde a los parm etros y lmites aceptables de cada organizacin.
Tipos de IDS
Existen diferentes tipos de IDS, segn su modo de ser mplementado:
NIDS
Los NIDS (Network IDS, IDS de red) son equipos IDS que trabajan sobre los
paquetes que circulan en el segmento de red al que estn conectados, analizando
todo el trnsito en l. Al igual que un firewall, puede estar representado por un
equipo de hardware dedicado o puede tratarse de un software ejecutndose sobre
un sistema operativo.
MATAS KATZ

7 1 6 b e 6 flb a c e b e 6 9 6 4 ^ |_ p ^ i|^ c l5 c l9 e 4 e 8
233
Redes y seguridad
In te rn e t
FIREWALL
SERVIDOR
SERVIDOR
------------ v
NIDS
Fig. 6-12 NIDS en la red.
HIDS
Los HIDS (Host IDS, IDS de equipo) son un aplicativo de software que trabaja sobre
el sistema operativo de un equipo, proveyndole de una proteccin adicional a ese
equipo en particular. Al combinarse con un frewall por software, el equipo en
cuestin tendr lo que se llama "proteccin en capas":
FIREWALL
HIDS
ANTIVIRUS
SISTEMA
OPERATIVO
Fig. 6-13 P rotec cin en capas con HIDS.
ALFAOMEGA

MATAS AT2
Seguridad en redes
El HIDS cumple las mismas funciones que el NIDS, pero su rea de cobertura
se remite nicamente al equipo donde el software est instalado.
M o d a lid a d es de anlisis
Existen dos principales m odalidades de anlisis que pueden ser adoptadas por un
IDS para detectar intrusiones:
S ignature-based
Al adoptar la modalidad signature-based (basado en firm as) el IDS comparar los
paquetes que ingresen en su rea de cobertura con la llamada "base de firm as",
que contiene los datos de todos los patrones y com portam ientos conocidos. Esta
base es entregada y actualizada regularmente por el proveedor del IDS, y deber
estar instalada y al da en cada IDS Su modo de operacin es sim ilar al de un
antivirus.
Dentro de sus cualidades principales, se encuentran:
1)
2)
3)
Su im plem entacin es rpida y simple.

No requiere de un seguim iento exhaustivo por parte del adm inistrador.
M anteniendo actualizada su base de firmas, el IDS estar protegido contra
todos los ataques conocidos hasta el momento.
Sin embargo, esta modalidad de anlisis presenta ciertos defectos:
1)
2)
El equipo es vulnerable ante ataques zero-day (da cero). Estos ataques son
llamados de este modo, ya que hasta el m omento de su publicacin, no existe
conocim iento ni documentacin de su existencia. Al basarse estos IDS en
patrones conocidos, estos ataques pueden burlar su seguridad fcilm ente
Ante cualquier problema con la distribucin de la base de datos de firmas, el
equipo quedara desactualizado y vulnerable: y en algunos casos extremos,
podra quedar com pletam ente inhabilitado para funcionar (por ejemplo, si el
proveedor actualiza su base de firm as con una informacin corrupta o
incorrecta).
Ms all de sus defectos, la signature-based es la modalidad de anlisis

mayormente elegida, debido a su simplicidad de im plem entacin y uso.
MATAS KATZ

7 1 6 b e 6 flb a ce b e 6 9 6 4 ^ p ^ | j| g ^ d 5 d 9 e 4 e 8
Redes y seguridad
235
A n om aly-based
La modalidad anomaly-based (basada en anomalas) consiste en configurar al IDS
en "modo aprendizaje" durante el tiem po que el adm inistrador considere prudente.
Este tiem po puede ser de una semana, extenderse hasta tres meses, o ms
inclusive.
Durante el perodo en que el IDS se encuentra en este modo, aprender los
com portam ientos y las comunicaciones que se realicen regularmente en la red, y
armar una estadstica de uso cotidiano. Luego de finalizado el tiem po que el
adm inistrador haya considerado prudente, el IDS se configurar en "modo
productivo". A partir de ese momento, el equipo nicam ente permitir el trnsito
que haya detectado anteriormente, durante el perodo de aprendizaje.
Dentro de sus cualidades, se pueden encontrar.
1)
2)
No requiere el uso de una base de firmas, permitindole al IDS te ne r una

independencia absoluta.
No es susceptible a ataques de tipo zero-day, ya que todo com portam iento no
realizado durante su aprendizaje ser rechazado.
Lamentablemente, esta modalidad de anlisis presenta un defecto muy grave

Si en algn momento del modo de aprendizaje la red (o el equipo) fuera vctima de
algn ataque, el IDS podra to m a r ese com portam iento como normal y perm itir
futuras comunicaciones similares, habilitando a un agente m alintencionado a
repetir dicho ataque para siempre
IPS
Los IPS (Intrusin Prevention Systems) son equipos que trabajan de la misma form a
que los IDS, pero con la diferencia de perm itir el anlisis de la informacin en
tiem po real. Estos equipos poseen una puerta de entrada y una de salida. En el caso
de los MIPS (N etwork Intrusin Prevention Systems), estas puertas estn
representadas por dispositivos de red. En el caso de los HIPS (Host Intrusin
Prevention Systems), las puertas estn representadas por dispositivos de l/O en las
capas bajas de comunicacin de red del sistema operativo del equipo donde est
instalado el HIPS
Al momento de recibir informacin por un extremo de conexin, se la analiza
inm ediatam ente en bsqueda de potenciales ataques o intrusiones. Si la
informacin es aprobada, el paquete es transm itido a travs del otro extremo de
conexin. En caso de sospechar de un ataque, el IPS podra reaccionar de manera
preventiva, logrando que ni siquiera un paquete malicioso sea incorporado en la red
o el equipo bajo su proteccin.
ALFAOMEGA

MATAS AT2
236
Seguridad en redes
Es im portante resaltar que al im plem entar un IPS, todas las conexiones, tanto
entrantes como salientes, que se realicen en el rea de cobertura del IPS sern
analizadas constantem ente. Esto puede ocasionar graves problemas de
rendim iento en la red y los equipos protegidos, por lo que es recomendable analizar
puntillosam ente el entorno en donde se implem entar el IPS.
En el caso de un HIPS, el equipo a proteger deber contar con suficientes
recursos de hardware y un sistema operativo capaz de perm itirle al IPS operar con
efectividad sin saturar al equipo.
En el caso de un NIPS, es im portante situar el IPS en un segmento con poco
trnsito o d ota r a la red de suficientes recursos de hardware y ancho de banda. El
m ejor lugar para ubicar a un NIPS es en la DMZ, ya que podr controlar las
conexiones que se realicen desde las redes pblicas hacia nuestros servidores.
Fig. 6 -1 4 NIPS en la DM Z.
MATAS KATZ

Redes y seguridad
Por otro lado, un NIDS es mucho ms til al ser implem entado en la red
privada, puesto que le permitir revisar pasivamente las actividades que se realicen
a ll sin perjudicar su rendimiento.
Honeypots
El trm ino honeypot (tarro de miel) se refiere a un equipo que posee un bajo nivel
de seguridad de manera intencional, con el fin de te n ta r y atraer potenciales
atacantes, y de esa manera intentar identificarlos y analizar sus tcnicas de ataque.
Son una herramienta de seguridad muy im portante que nos permite proteger
nuestra red y equipos de una manera simple y econmica. En resumen, su
im plem entacin se centraliza en la instalacin de un equipo en la red pblica o en la
red DMZ. Es preciso instalarle aplicaciones y servicios, pero sin realizarle
configuraciones de seguridad. Adems, se le debe asignar una conexin directa
hacia la red pblica con total visibilidad desde fuera de nuestro permetro.
In te rn e t
Fig. 6-15 H o neypot en la red pblica.
ALFA0ME6A

MATAS AT2
238
Seguridad en redes
Los atacantes poseen herramientas automatizadas de anlisis y bsqueda de

equipos vulnerables. Una honeypot aparecer rpidamente en esa bsqueda, y el
atacante proceder luego a intentar una intrusin en dicho equipo. Como el equipo
en cuestin es extrem adam ente vulnerable, el atacante probablemente podr
obtener acceso y comenzar a buscar informacin utilizando mtodos propios y
personales
En ese momento, la honeypot comenzar a alm acenar informacin de toda la
actividad del atacante, que luego estar a disponibilidad del adm inistrador para
revisar los com portam ientos del atacante, y sobre la base de ello analizar el nivel de
seguridad de sus verdaderos equipos ante las tcnicas de intrusin que se
ejecutaron sobre la honeypot Paralelamente, el uso de una honeypot lograr
desviar la atencin del atacante de los equipos reales e importantes en nuestra red.
Existen dos tipos de honeypots, segn su nivel de interaccin:
1)
2)
Honeypots de baja interaccin: sim plem ente simulan sistemas operativos y

servicios, sin proveer una interaccin real. Son fcilm ente detectables por el
atacante, pero requieren menores recursos y su im plem entacin es
extrem adam ente simple.
Honeypots de alta interaccin: son equipos reales con sistemas operativos y
servicios reales ejecutndose. Son ms difciles de detectar por el atacante,
pero requieren de un servidor dedicado ejecutando servicios reales, que
debern configurarse con informacin falsa para sim ular ser un equipo real.
MATAS KATZ

239
Redes y seguridad
Sin embargo, una honeypot mal configurada se puede to rn a r en un arma de

doble filo, ya que un atacante podra ingresara nuestra red a travs del acceso que
obtuvo en la honeypot. Como medida de seguridad, las honeypots no debern te ne r
informacin real ni conexiones privadas con el resto de la red. Deber ser un equipo
aislado del resto de la red al que solo se podr acceder fsicam ente para
administrarlo, y el cien porciento de la informacin que almacene deber se rfa lso.
H oneynets
Para grupos grandes de honeypots dentro de una red, se utiliza el trm ino honeynet.
Red In te rn e t
FIREWALL
HONEYNET
HONEYPOT
HONEYPOT
HONEYPOT
SERVIDOR
SERVIDOR
.
SERVIDOR
Fig. 6-17 Honeynet.
Las honeynets se utilizan para proveer una mayor ilusin de 'red insegura' al
atacante.
ALFAOMEGA

MATAS AT2
240
Seguridad en redes
H oneyfarm s
Para redes form adas en su totalidad por honeypots se utiliza el trm ino honeyfarm
Red In te rn e t
FIREWALL
HONEYFARM
HONEYPOT
HONEYPOT
HONEYPOT
HONEYPOT
HONEYPOT
Fig. 6-18 H o neyfarm .
Estas redes de honeypots se usan com nm ente en entornos de investigacin,

para obtener informacin de manera masiva que servir para com batir al crimen
ciberntico.
MATAS KATZ

7 1 6 b e 6 f lb a c e b e 6 9 G 4 ^ | _ p ^ j| ^ ^ d 5 d 9 e 4 e 8
e b ra ry
Redes y seguridad
241
VPN
Muchas organizaciones operan de manera distribuida, teniendo diferentes
sucursales en diversas partes del mundo. Hasta hace un tiempo, la nica form a de
interconectar dichas sucursales era mediante lneas dedicadas o enlaces punto a
punto. Estos enlaces son extrem adam ente costosos, por lo que muchas
organizaciones desistan de su uso.
Las VPN (Virtual Prvate Network) representan una infraestructura de red
privada, establecida de modo virtual a travs de comunicaciones pblicas (Internet),
de manera tal que las organizaciones puedan interconectar sus sucursales en form a
segura y econmica. Al im plem entar una red VPN, una organizacin podr contar
virtualm ente con una nica red privada con total visibilidad e interoperabilidad, sin
im portar donde se ubiquen geogrficamente los equipos que la conformen.
De esta forma, nuestra infraestructura inform tica puede permanecer

com pletam ente protegida perimetralmente, dejando como nico punto de acceso
remoto la conexin VPN. As lograremos te n e r recursos disponibles hacia usuarios
remotos, pero restringirsu acceso a quienes tengan permisos explcitos sobre ellos.
Como mtodo de seguridad en el acceso, las redes VPN ofrecen diferentes
medios de autenticacin para establecer las comunicaciones, de esta form a
ALFAOME6A

MATAS AT2
Seguridad en redes
proveyendo un nivel adicional de proteccin a la red. Los medios de autenticacin

pueden ser contraseas, tokens, controles biomtricos, sm art cards, certificados,
etctera
Tipos de VPN
Existen dos form as de im plem entar una conexin de red VPN:
1)
Remte Access VPN: en este caso, una computadora que se encuentre en la

red pblica podr conectarse a la red privada a travs de una conexin VPN
nica para ese equipo. Cada usuario tendr sus propias credenciales de acceso
y deber gestionar sus propias conexiones. Es til para proveer acceso remoto a
la red a un subgrupo especfico de usuarios.
Fg. 6-20 V P N de acceso rem oto.
2)
VPN Site-to-Site: en esta implementacin, dos redes independientes pueden

estar com unicadas al cien por ciento a travs de un nico tnel. Esta tcnica
incorpora el uso de term inadores VPN en cada extremo del tnel. Estos equipos
poseen dos (o ms) dispositivos de red, uno de ellos estar conectado a la red
pblica y el otro (u otros) a la red privada. Son estos equipos los que generarn
la negociacin de conexin, las asignaciones de seguridad necesarias y
establecern las comunicaciones, sum inistrando los servicios de VPN a todos
los equipos que estn conectados a la red privada. Es til para interconectar
MATAS KAT2

ALFAOMEQA
Redes y seguridad
243
sucursales separadas geogrficamente de manera transparente, ya que los

usuarios de cada red privada no tendrn que gestionar sus propias conexiones
Con el simple hecho de estar conectados a sus redes privadas, tendrn acceso
transparente a los recursos en el otro extremo del tnel, al igual que a los
recursos locales de su propia red. El proceso es tan transparente que el usuario
no se enterar siquiera de cules recursos pertenecen a cada red.
E n c ap s u lam ien to y t n e le s
Al hablar de redes VPN debemos incorporar los conceptos de encapsu la miento y
tunelizacin, ya que conceptualm ente ambos ocurren al establecer una red VPN.
Los protocolos que operen en las diferentes capas del modelo OSI al momento de
establecer una red VPN englobarn la informacin que reciban de las capas
superiores y la transm itirn de manera encapsulada, form ando lo que comnm ente
se llama tnel.
ALFAOME6A

MATAS AT2
244
Seguridad en redes
Fig. 6 -22 E n capsulam ie nto VP N .
Este encapsulamiento, generalmente, es acompaado de un proceso de

encriptacin, por lo que un agente m alintencionado que intercepte las
comunicaciones VPN no podr acceder a la informacin perteneciente al tnel.
TN ELVPN
INFORMACIN INTERPRETABLE
DESDE ADENTRO
NODO
A
NODO
B
\
INFORMACIN NO
INTERPRETABLE DESDE AFUERA
Fig. 6-23 En criptacin del tnel.
Protocolos de tu n e liza c i n
Existen diferentes protocolos disponibles para establecer los tneles
comunicacin VPN. Los dos habitualm ente ms usados son PPTPy L2TP.
de
P PTP
PPTP (Point-to-Point Tunnelng Protocol) es uno de los protocolos ms antiguos para

el uso de redes VPN. Su uso es simple, liviano y rpido, pero a la vez presenta un
bajo nivel de seguridad. Su aceptacin se hizo masiva gracias a su adopcin por
MATAS KATZ

ALFAOMEQA
245
Redes y seguridad
parte de grandes empresas como M icrosoft y 3Com. Ms all de ello, no deja de ser
un protocolo dbil y anticuado Sin embargo, se convirti rpidamente en un
estndar de facto en cualquier red VPN de baja envergadura por su simple y rpida
implem entacin. Paralelamente, no todos los dispositivos y sistemas operativos
(incluso actuales) soportan otros protocolos ms que PPTP.
L2TP
El L2TP (L a ye r2 T u n n e lin g Protocol) es el sucesor de PPTP. Fue creado a partir de la
unin entre PPTP y un protocolo privativo de Cisco llamado L2F (L a y e r2 Forwardng
Protocol) Trabaja en capa 2 (al igual que PPTP). pero ofrece mayores servicios de
seguridad que su antecesor. No brinda encriptacin por sus propios medios, por lo
que la opcin popular para poder proveer dichos servicios es mediante la
combinacin L2TP/IPSec. IPSec es un protocolo de seguridad que veremos ms
adelante en este capitulo.
Su configuracin es ms extensa y compleja, y al aplicrsele IPSec tiende a
consum ir una mayor cantidad de recursos que PPTP, por lo que su cobertura a nivel
mundial no es tan grande como lo es con PPTP. Sin embargo, ofrece varias e
im portantes mejoras en cuanto a seguridad, rendimiento, com patibilidad y calidad
de servicio que PPTP.
Aqu podremos ver una tabla comparativa de ambos protocolos, en donde se

listan sus diferencias ms significativas:
CARACTERSTICAS
PPTP
L2TP
Soporta Remte Access VPN
Soporta VPN Ste-to-Site
Disponible en arquitecturas
Microsoft
Disponible en arquitecturas Open

Source
Disponible en dispositivos
mbiles
No en todos
Protocolo de transporte
TCP
UDP (ms liviano, ms compatible

con firewalls)
Complejidad de uso
Baja
Alta
Seguridad
Baja
Alta
ALFAOME6A

MATAS AT2
246
Seguridad en redes
Medios de autenticacin
Solo contraseas
Contraseas, tokens, smart-cards,

certificados y ms
Soporta IPSec
No
S (mayor seguridad)
Consumo de recursos
Bajo
Alto
Como se observa, no existe un nico vector comparativo que entregue un

resultado favorable unilateralm ente. Cada protocolo cuenta con sus pro y contra, y
deberemos seleccionar cuidadosam ente cul u saren nuestra implementacin.
Es im portante resaltar que cualquiera sea el protocolo que elijamos para
nuestras conexiones VPN igualmente obtendrem os un significativo incremento en
nuestro nivel de seguridad perimetral, al establecer una proteccin hacia los
accesos a nuestra red privada desde la red pblica.
IPSec
El IPSec (Internet Protocol Securlty) es un protocolo de capa 3 especficamente
diseado para el protocolo IP, que brinda herramientas de seguridad a travs de la
autenticacin de orgenes y la encriptacin de las comunicaciones que se realicen
m ediante su uso. La principal particularidad que presenta este protocolo es el hecho
de operar en una capa muy baja del modelo OSI, lo cual le perm ite ofrecer
interoperabilidad con casi todos los protocolos de capas superiores. Este beneficio
se debe a que al operar en una capa tan baja, los protocolos de altas capas no
tienen necesidad de enterarse de que la red en donde transitan opera bajo IPSec,
por ende no deben prepararse para trab aja r con l.
Los servicios de seguridad provedos por IPSec son:
1) Autenticacin y autenticidad de origen: cada extremo de una comunicacin

IPSec deber pasar inevitablem ente por un proceso de autenticacin, que
validar su identidad ante el agente de control. Asimismo, cada paquete
enviado en la comunicacin ser verificado para corroborar que realmente haya
sido enviado desde la entidad que reclama haberlo efectuado.
2) Confidencialidad: las comunicaciones que se realicen con este protocolo
pasarn por un proceso de encriptacin fuerte que lo proteger de
divulgaciones.
3) Integridad: todo mensaje transm itido a travs de IPSec pasar por
verificaciones en destino para corroborar si fue recibido ntegramente o si hubo
corrupcin de datos
MATAS KATZ

247
Redes y seguridad
4)
Anti-replay: cada paquete cuenta con una identificacin propia que ser
utilizada nicam ente para dicho paquete y luego ser descartada. Esta tcnica
inhabilita el llamado replay attack, que consta de la captura y repeticin de
mensajes especficos por un agente malicioso, con fines de obtener rplicas de
las respuestas de dicho mensaje desde destino.
C o m p on entes de IP Sec
IPSec utiliza dos componentes clave para conferir seguridad:
1)
2)
A uthentication H eader (AH).

Encapsulating Security Payloads (ESP).
Estudiemos en detalle cada uno de ellos:
A uthentication Header (AH)

Este componente se encarga de autenticar los orgenes de cada paquete IP que
fluya en una comunicacin a travs de IPSec. Adems, provee servicios de
verificacin de integridad del contenido de cada paquete, previniendo la corrupcin
de datos, pero lo ms importante, su falsificacin o ejecucin de un replay attack.
Paquete onginal
IP HDR
TCP
DATA
Paquete con IP Sec A uth e n tica tio n H eader

IP HDR
AH
TCP
DATA
4---------------------------------------------------------------------
A utenticado
Fig. 6 -2 4 A u th enticatio n Header.
E ncapsulating Security Payloads (ESP)

Este componente contiene todas las medidas de seguridad provedas por AH, y
adiciona los servicios de encriptacin para agregar confidencialidad a las
ALFAOME6A

MATAS AT2
248
Seguridad en redes
comunicaciones. Es importante resaltar que al m igrar de AH a ESP, los recursos de

hardware y ancho de banda se increm entarn significativam ente en el enlace. Sin
embargo, representa un incremento del nivel de seguridad que merece ser
considerado
Paquete original
TCP
IPHDR
DATA
Paquete con IP Encapsulating Security Payload (ESP)

IP HDR
ESP HDR
TCP
DATA
TCP
Trailer
ESP
Authentication
*------------ Cifrado ------------ H

Autenticado
Fig. 6-25 En capsulatin g Security P ayloads.
M odos de operacin
El IPSec se puede im plem entaren dos modos:
1)
2)
Transport mode (modo transporte).

Tunnel mode (modo tnel).
Analicemos en detalle cmo funciona cada uno de ellos:
Tran sp o rt m ode
Este modo de operacin es el que se utiliza en comunicaciones host-to-host.
Solamente el mensaje de capas superiores es el que pasa por el componente de
seguridad de IPSec (AH o ESP). La informacin de routing permanece intacta, y es
visible ante componentes de red que intermedien la comunicacin
MATAS KATZ

7 1 6 b e 6 f lb a c e b e 6 9
aLFAOMEQA
5d9e4e8
e b ra ry
249
Redes y seguridad
'
NN
In te rn et \
SERVIDOR 1
/
\N
^
^/
SERVIDOR 2
Encapsulado:
IP
header
IPsec
header
Transport data IPsec trailer

(TCP, UDP, etc) (ESP only)
4-------------- C ifrado
4- Autenticado *
Fig. 6-26 Tra n sp o rt m ode.
As quedar un paquete luego de pasar por un proceso de IPSec en modo

transporte, utilizando AH.
-Antes de aplicar AH Original
IP header
Data
(protocolo de capa supenor)
- Despus de aplicar AH -
Original
IP header
AH
4-------------------------------
Data
Autenticado -----------------------------
Fig. 6-27 Tra n sp o rt m ode + AH.

transporte, utilizando ESP.
ALFAOMEGA

MATAS ATZ
250
Seguridad en redes
IP
IP
Pavload
Payload
Esp
ESP
Authentication
Data
Cifrado
Autenticado -
Fig. 6-28 T ra n sp o rt m ode + ESP.

Tunnel m ode
Este modo de operacin es comnm ente utilizado al configurar redes VPN utilizando
IPSec, ya sea en comunicaciones network-to-network (VPN site-to-site) o host-tonetw ork (rem te access VPN). En este caso, el paquete entero es procesado por
IPSec. El paquete es encapsulado dentro de un nuevo paquete IP, y es este nuevo
paquete el que se enviar a travs del enlace
Encapsulado:
Outer
IP header
IPsec
header
inner
IP header
IP payload
Ipsec trailer
(solo ESP)
Cifrado
Autenticado
Fig. 6-29 Tra n sp o rt m ode.
MATIAS KATZ

ALFAOMEOA
251
Redes y seguridad

tnel, utilizando AH.
Paquete original
IPHDR
TCP
DATA
New
IPHDR
ESP HDR
O riginal
IP HDR
TCP
DATA
TCP
Cola
ESP
A ute n tifica cin
Cifrado
H-----------------Autenticado \4------------------------
Fig. 6-30 Tu nnel m ode + AH.

tnel, utilizando ESP.
- Antes de aplicar ESP Onginal
IP header
Data
- Despus de aplicar ESP -
New
IP HDR
ESP
header
Original
IP header
Data
TCP
Trailer
Authentication
Data
-------------- Cifrado (confidencialidad)----------------

4------------ -------------------- Autenticado -----------------------------
Fig. 6 -3 1 Tu n n el m o d e + ESP.
ALFAOMEGA

MATAS ATZ
e b ra ry
7 1 6 b e 6 f lb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry
e b ra ry
7 1 6 b e 6 f lb a c e b e 6 9 6 4 7 3 a 2 d 2 d 5 d 9 e 4 e S
e b ra ry


Redes y Seguridad Cap Tulo 6 Seguridad en Redes

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Redes y Seguridad Cap Tulo 6 Seguridad en Redes

Încărcat de

Drepturi de autor:

Formate disponibile

Captulo 6

En este capitulo, introducirem os un tem a im portante que no debe ser dejado de

Katz, M atas David. R edes y seguridad.

Katz, M atas David. R edes y seguridad.

La funcin del frewall es regular la informacin que transita entre el permetro

Sobre la base de este comportamiento, existen dos premisas principales:

Restrictiva: todo lo que no est explcitamente permitido, ser restringido.

Permisiva: todo lo que no est explcitamente restringido, ser permitido.

El firew all basar su proceso de decisin en la premisa que haya sido

Ejemplo de poltica permisiva

Katz, M atas David. R edes y seguridad.

El conjunto de normas y reglas que form an la poltica de seguridad de un

D ual-hom ed firew all

Fig. 6-3 D ual-hom ed firew all.

Katz, M atas David. R edes y seguridad.

imposible circunvalar el control, ya que el firew all se encuentra fsicam ente

M ulti-hom ed firew all

Fig. 6 -4 M ulti-h om ed firew all.

Esta situacin es sim ilar a la anterior, con el agregado de la posibilidad de

Katz, M atas David. R edes y seguridad.

Fig. 6-5 Estructura de DM Z con m ulti-ho m ed firew all.

Katz, M atas David. R edes y seguridad.

' " i " '

Fig. 6-6 E structura de DM Z con dos dual-hom ed firew alls.

Este mtodo es el ms seguro de todos al requerir que la informacin

Flujo de inform acin en una DM Z

Katz, M atas David. R edes y seguridad.

Fig. 6-7 Servidor W eb con su inform acin en la red privada.

La configuracin de seguridad para esta situacin deber ser la siguiente:

Katz, M atas David. R edes y seguridad.

De esta forma, podremos te ne r un servidor Web en nuestra red DMZ que

Katz, M atas David. R edes y seguridad.

El equipo tom ar la informacin de transaccin, la autorizar o rechazar

Katz, M atas David. R edes y seguridad.

REGLAS QUE MANEJAN

Katz, M atas David. R edes y seguridad.

PUERTO ORIGEN Y/O DESTINO

IP ORIGEN Y/O DESTINO

Fig. 6 -1 1 A pplica tion layer firew all.

Estos equipos requieren un consumo exhaustivo de recursos de hardware y

Katz, M atas David. R edes y seguridad.

Katz, M atas David. R edes y seguridad.

Segn sus niveles de tolerancia, esperar ms o menos al sospechar de un

P ro b le m tic a con los IDS

Falso positivo: El IDS identifica un supuesto ataque y realiza las acciones

El nivel de tolerancia y rigurosidad que se le configure al IDS determ inar la

Katz, M atas David. R edes y seguridad.

Fig. 6-12 NIDS en la red.

Fig. 6-13 P rotec cin en capas con HIDS.

Katz, M atas David. R edes y seguridad.

Su im plem entacin es rpida y simple.

Ms all de sus defectos, la signature-based es la modalidad de anlisis

Katz, M atas David. R edes y seguridad.

No requiere el uso de una base de firmas, permitindole al IDS te ne r una

Lamentablemente, esta modalidad de anlisis presenta un defecto muy grave

Katz, M atas David. R edes y seguridad.

Katz, M atas David. R edes y seguridad.

Fig. 6-15 H o neypot en la red pblica.

Katz, M atas David. R edes y seguridad.

Los atacantes poseen herramientas automatizadas de anlisis y bsqueda de

Honeypots de baja interaccin: sim plem ente simulan sistemas operativos y

Katz, M atas David. R edes y seguridad.

Sin embargo, una honeypot mal configurada se puede to rn a r en un arma de

Fig. 6-17 Honeynet.