Documente Academic
Documente Profesional
Documente Cultură
SEMANA 7
Modelamiento de seguridad en
diferentes tipos de redes
Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No est
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposicin del pblico ni
ESTE
DOCUMENTO
LA de
SEMANA
7
utilizar
los contenidos paraCONTIENE
fines comerciales
ninguna clase.
NDICE
OBJETIVOS ESPECFICOS ...................................................................................................................... 4
INTRODUCCIN ................................................................................................................................... 4
1.
2.
3.
1.2.
1.3.
1.4.
1.5.
1.6.
CONTRASEAS..................................................................................................................... 8
1.7.
1.8.
ROUTER ............................................................................................................................. 10
2.2.
SWITCHES .......................................................................................................................... 11
HOSTS ................................................................................................................................ 11
3.2.
APLICACIONES ................................................................................................................... 12
COMENTARIO FINAL.......................................................................................................................... 13
REFERENCIAS........................................................................................................................................ 14
OBJETIVOS ESPECFICOS
INTRODUCCIN
El principal objetivo al modelar una red segura es ofrecer informacin sobre las mejores prcticas
a las empresas en el diseo e implementacin de una red segura que, por sobre todo, pueda
proteger su informacin clave y confidencial.
Al modelar una red, es importante adoptar un enfoque de defensa para el diseo de la seguridad
de ella, este tipo de diseo debe estar centrado en las amenazas a las que la red pueda estar
expuesta y tener preparados los medios para combatirlas.
Cronolgicamente, un ataque MITM se sita entre el momento en que el mensaje fue enviado, la
vctima no recibi el paquete y el emisor permanece esperando una respuesta. Este proceso
tambin puede suceder en las sesiones iniciadas por la vctima como, por ejemplo: una conexin a
un servidor web, FTP, SMTP.
Los ataques del tipo man in the middle solo se pueden combatir eficazmente mediante el uso de la
criptografa. Si alguien se apropia de los datos del centro de una sesin privada criptogrfica, lo
nico que ver el hacker es un texto cifrado, no el mensaje original. Se debe tener en cuenta que si
un hacker puede obtener informacin sobre la sesin criptogrfica puede realizar este tipo de
ataques.
Redireccin del paquete hacia el atacante
1.6. CONTRASEAS
Existen diversos tipos de ataques relacionados con las contraseas, los ms comunes son los
ataques por fuerza bruta, troyanos, falsificacin de IP y rastreadores de paquetes. A pesar de que
con los dos ltimos mencionados, lo que se obtiene son cuentas de usuarios y contraseas. Los
ataques a contraseas estn basados en intentos repetidos para lograr captar cuentas de usuario
y/o contraseas, a este mtodo de ofensiva se le llama ataques por fuerza bruta.
Comnmente los ataques por fuerza bruta se ejecutan a travs de un programa que funciona a
travs de la red que se conecta a un recurso compartido como, por ejemplo un servidor. Cuando el
atacante consigue obtener acceso a los recursos, tiene los mismos derechos que los usuarios cuyas
cuentas han estado en peligro para obtener acceso a dichos recursos. Si las cuentas en peligro
tienen suficientes privilegios, los hackers crean puertas traseras para poder acceder ms adelante,
sin preocuparse de los cambios de estado o de contrasea en las cuentas de usuario en peligro.
Existe otro problema, que tiene que ver con los usuarios que tienen la misma contrasena en todos
los sistemas a los que se conectan a menudo, por ejemplo, correo electrnico, redes sociales,
sistemas corporativos, etc. Dado que la seguridad de las contraseas, depende del host que la
contiene, si dicho host est en peligro, los hackers tienen una amplia gama de hosts en los que
pueden probar la misma contrasea.
Para evitar los ataques a las contraseas, se puede utilizar la autenticacin criptogrfica, lo que
elimina virtualmente esta amenaza, pero lamentablemente no todas las aplicaciones, hosts y
dispositivos que existen reconocen estos mtodos de autenticacin.
Otro punto bsico es la creacin de las contraseas, es importante elegir una que sea difcil de
detectar o deducir, por ejemplo, que estas tengan un mnimo de ocho caracteres y, adems,
contengan maysculas, minsculas, nmeros y caracteres especiales. Las contraseas ms seguras
son las que se generan aleatoriamente, pero son muy difciles de recordar lo que conduce a los
usuarios a apuntar sus contraseas para no olvidarlas.
Virus: es un programa que se dispersa infectando a otros archivos con una copia de ellos
mismos. Entre los archivos que pueden infectarse por virus son los del sistema (.com, .exe
y .dll), los de aplicaciones que soportan macrolenguajes y los de uso comn (.doc, .xls,
.ppt, .jpg, .png, etc.).
Caballo de Troya: es un programa que tiene como objetivo hacer algo interesante o til y
que despus lleva a cabo acciones maliciosas tras bambalinas, mientras que el usuario
est interactuando con el programa principal.
Para proteger una red de los ataques de virus, es necesario implementar algn software antivirus
que busca virus conocidos o alguna actividad similar a estos. De esta manera, el software elimina
el virus dejando el archivo original intacto o en cuarentena para ser validado posteriormente por
el administrador del sistema.
2. DISPOSITIVOS DE SEGURIDAD
2.1. ROUTER
Los routers controlan todos los accesos entre las redes, estn a cargo de filtrar el acceso a ellas y
son potencialmente vulnerables a los hackers. Los routers son un dispositivo crtico de seguridad
dentro de una red, ya que son los encargados de proporcionar acceso y, por lo tanto, es
importante asegurarlos para evitar accesos indebidos a la red.
Algunas configuraciones importantes de aplicar son las siguientes:
10
2.2. SWITCHES
Los switches tienen su propio conjunto de consideraciones de seguridad al igual que los routers,
pero a diferencia de estos, no existe gran informacin publicada con respecto a sus riesgos de
seguridad y de cmo combatir dichos riesgos.
Al implementar un switch es importante tomar las siguientes precauciones:
Desactivar los puertos que no necesiten enlaces troncales y no dejar la configuracin en
automtico. Esto evita que un host se convierta en un puerto troncal y que reciba el trfico
enviado a dicho puerto.
Los puertos troncales deben usar un nmero de VLAN (LAN virtual) que no es utilizado en
ninguna otra parte del switch. Esto evita que los paquetes con la misma VLAN que el puerto
troncal, lleguen a otra VLAN, sin cruzar ningn dispositivo de capa de red.
Asignar todos los puertos no utilizados de un switch a una VLAN que no tenga conectividad de
capa de red o bien desactivar todos los puertos que no se utilizarn. Esto es para evitar que los
hackers se conecten a los puertos no utilizados y se comuniquen con el resto de la red.
3.1. HOSTS
Los hosts son los principales blancos de ataques, desde el punto de vista de la seguridad, son los
ms difciles de asegurar. Dado que los hosts proporcionan los servicios de aplicaciones a los
restantes hosts que los soliciten, son visibles en la red.
Para asegurar los hosts, es necesario tener bien configurados todos los componentes de los
sistemas. Adems, es importante mantener los sistemas actualizados con los parches y
actualizaciones ms recientes, teniendo en cuenta antes de instalar estas actualizaciones y/o
parches no afecten de forma negativa al resto de los componentes. Lo mejor es tener un sistema
11
3.2. APLICACIONES
Las aplicaciones son codificadas por seres humanos y, por lo tanto, pueden incluir una serie de
errores, que pueden ser benignos, por ejemplo, un documento que se imprime sin formato o
tambin podran ser malignos como en el caso de dejar abierto el acceso a travs FTP annimo a
los datos de los clientes de la base de datos.
Para estos problemas es importante tener un IDS (sistema de deteccin de intrusos), que acta
como un sistema de alertas que se activa cada vez que detecta algo que considera un ataque.
Adems, tiene la facultad de aplicar medidas correctivas o enviar un aviso para el administrador de
la red.
Una vez instalado el IDS, es necesario ajustar su configuracin para evitar falsas alarmas y
aumentar su eficacia. Los falsos positivos consisten en alarmas que son detonadas por trfico
legtimo de la red, los falsos negativos son ataques que el IDS considera como accesos legtimos.
12
COMENTARIO FINAL
El tema de la seguridad en las redes es sumamente extenso y todos los das aparecen nuevos
ataques y herramientas para evitarlos volviendo obsoletos los ataques que a su vez dan camino a
nuevos. Es un trabajo que nunca termina y del que nunca se conoce lo suficiente.
Por eso es tan importante conocer los ataques y por sobre todo cmo funcionan, para lograr
evitarlos de la mejor forma y estar prevenido para sus futuras variantes.
13
REFERENCIAS
Hallberg, B. (2006). Fundamentos de redes. McGraw-Hill Interamericana.
Katz, M. (2013). Redes y seguridad. Mxico: Alfaomega Grupo Editor.
Velte, A. y Velte, T. (2011). Manual de Cisco. 4 edicin. Mxico: McGraw-Hill Interamericana.
14
15