Introducción a Introducción a Seguridad en RedesSeguridad en Redes

Emilio HernándezEmilio Hernández

¿Qué es seguridad?¿Qué es seguridad?

La seguridad absoluta es indemostrable. Se habla La seguridad absoluta es indemostrable. Se habla de de fiabilidadfiabilidad..

Mantener un sistema seguro consiste en Mantener un sistema seguro consiste en garantizar:garantizar:– ConfidencialidadConfidencialidad: Sólo pueden acceder a los : Sólo pueden acceder a los

recursos de un sistema los agentes autorizados.recursos de un sistema los agentes autorizados.– IntegridadIntegridad: Los recursos del sistema sólo : Los recursos del sistema sólo

pueden ser modificado por los agentes pueden ser modificado por los agentes autorizados.autorizados.

– DisponibilidadDisponibilidad: Los recursos del sistema tienen : Los recursos del sistema tienen que estar a disposición de los agentes que estar a disposición de los agentes autorizados (contrario: denegación de servicio).autorizados (contrario: denegación de servicio).

¿Qué queremos proteger?¿Qué queremos proteger?

Los Los recursosrecursos del sistema del sistema– HardwareHardware– SoftwareSoftware– Datos.Datos.

Tipos de ataque a los recursos:Tipos de ataque a los recursos:– InterrupciónInterrupción: recurso queda inutilizable o no : recurso queda inutilizable o no

disponibledisponible– IntercepciónIntercepción: captura de un recurso o acceso al : captura de un recurso o acceso al

mismomismo– Modificación o destrucciónModificación o destrucción: Intercepción y : Intercepción y

manipulación del recursomanipulación del recurso– FabricaciónFabricación: generación de recursos similares a : generación de recursos similares a

los atacadoslos atacados

¿De qué nos queremos ¿De qué nos queremos proteger?proteger?

De todos aquellos agentes que puedan De todos aquellos agentes que puedan atacar a nuestros recursosatacar a nuestros recursos● PersonasPersonas: empleados, ex-empleados, curiosos, : empleados, ex-empleados, curiosos,

piratas, terroristas, intrusos remuneradospiratas, terroristas, intrusos remunerados● Amenazas lógicasAmenazas lógicas: software defectuoso, : software defectuoso,

herramientas de seguridad, puertas traseras, herramientas de seguridad, puertas traseras, bombas lógicas, canales ocultos, virus, bombas lógicas, canales ocultos, virus, gusanos, caballos de Troya, etc.gusanos, caballos de Troya, etc.

● CatástrofesCatástrofes

¿Cómo nos podemos proteger?¿Cómo nos podemos proteger?

●AnálisisAnálisis de amenazas de amenazas●EvaluaciónEvaluación de (posibles) pérdidas y su probabilidad de (posibles) pérdidas y su probabilidad●Definición de una Definición de una política de seguridadpolítica de seguridad●Implementación de la política: Implementación de la política: mecanismos de mecanismos de seguridadseguridad

● De De prevenciónprevención: durante el funcionamiento normal : durante el funcionamiento normal del sistemadel sistema

● De De deteccióndetección: mientras se produce un intento de : mientras se produce un intento de ataqueataque

● De De recuperaciónrecuperación: tras un ataque, para retornar a : tras un ataque, para retornar a un funcionamiento correcto: Análisis forense. un funcionamiento correcto: Análisis forense.

VulnerabilidadVulnerabilidad

La La vulnerabilidadvulnerabilidad de una organización depende de: de una organización depende de:● El grado de publicidad de la organizaciónEl grado de publicidad de la organización● El costo de los ataquesEl costo de los ataques● La exposición de la organización a los ataques La exposición de la organización a los ataques

externosexternos● La exposición de la organización ante ataques La exposición de la organización ante ataques

internos, o ante la facilitación de servicios internos, o ante la facilitación de servicios (involuntaria o consciente) desde el interior(involuntaria o consciente) desde el interior

En definitiva, depende de la:En definitiva, depende de la:● MotivaciónMotivación: ¿Qué ventaja o provecho se puede : ¿Qué ventaja o provecho se puede

sacar por obtener o destruir información?sacar por obtener o destruir información?● ConfianzaConfianza: ¿En qué medida se puede contar con : ¿En qué medida se puede contar con

los usuarios?los usuarios?

AmenazasAmenazas

Una Una amenazaamenaza es cualquier circunstancia o evento es cualquier circunstancia o evento que potencialmente puede causar un daño a una que potencialmente puede causar un daño a una organización mediante la exposición, modificación organización mediante la exposición, modificación o destrucción de información, o mediante la o destrucción de información, o mediante la denegación de servicios críticos.denegación de servicios críticos.

● ¿Los “malos” van a tratar de actuar sobre mi ¿Los “malos” van a tratar de actuar sobre mi sistema?sistema?

● ¿Puede ocurrir que elementos no deseados ¿Puede ocurrir que elementos no deseados accedan (leyendo o modificando) información accedan (leyendo o modificando) información importante para mi organización?importante para mi organización?

● ¿Puede ocurrir que la reputación de mi ¿Puede ocurrir que la reputación de mi organización se vea comprometida?organización se vea comprometida?

Tipos de amenazasTipos de amenazas

Fallo de componentesFallo de componentes (hardware o software). Ej. caída (hardware o software). Ej. caída del cortafuegos, fallos de un protocolo.del cortafuegos, fallos de un protocolo.

Exposición de la informaciónExposición de la información: correo mal enrutado, : correo mal enrutado, salida de una impresora, grupos o listas de acceso salida de una impresora, grupos o listas de acceso mal configuradas...mal configuradas...

Utilización de la información para usos no previstosUtilización de la información para usos no previstos. . Puede venir del exterior o del interior.Puede venir del exterior o del interior.

Borrado o modificación de la informaciónBorrado o modificación de la información. Puede . Puede conllevar pérdidas de integridad o confidencialidad.conllevar pérdidas de integridad o confidencialidad.

PenetraciónPenetración: Ataques por personas o sistemas no : Ataques por personas o sistemas no autorizados: caballos de Troya, virus, puertas autorizados: caballos de Troya, virus, puertas traseras, gusanos, denegación de servicios...traseras, gusanos, denegación de servicios...

SuplantaciónSuplantación: Intentos de confundirse con un usuario : Intentos de confundirse con un usuario legítimo para sustraer servicios, información, o para legítimo para sustraer servicios, información, o para iniciar transacciones que comprometan a la iniciar transacciones que comprometan a la organización.organización.

Servicios que pueden Servicios que pueden comprometer la seguridadcomprometer la seguridad

Acceso remoto Acceso remoto – Específico (p. ej. e-mail con POP o IMAP). El menos Específico (p. ej. e-mail con POP o IMAP). El menos

vulnerablevulnerable– Control remoto (terminales). Usualmente dentro de la Control remoto (terminales). Usualmente dentro de la

misma redmisma red– Nodo remoto (estación de trabajo). El más vulnerableNodo remoto (estación de trabajo). El más vulnerable– El acceso remoto se puede realizar por distintos El acceso remoto se puede realizar por distintos

procedimientos:procedimientos: Conexión telefónicaConexión telefónica: Control de los números de acceso, : Control de los números de acceso,

pares username/password, módems dial-back, claves pares username/password, módems dial-back, claves de un solo uso, control de acceso basado en la de un solo uso, control de acceso basado en la localización.localización.

Telnet/Xwindow.Telnet/Xwindow. Bastante inseguro Bastante inseguro Mobile computingMobile computing. Inseguro. Inseguro

Servicios que pueden Servicios que pueden comprometer la seguridadcomprometer la seguridad

Correo electrónicoCorreo electrónico. Problemas:. Problemas:– Direcciones fáciles de suplantarDirecciones fáciles de suplantar– Contenidos fáciles de modificarContenidos fáciles de modificar– El mensaje pasa por muchos puntos durante el El mensaje pasa por muchos puntos durante el

envíoenvío– No existe garantía de entregaNo existe garantía de entrega

Distribución de informaciónDistribución de información– Listas de correo, grupos de noticias, FTP, WWW, Listas de correo, grupos de noticias, FTP, WWW,

BBS, Gopher. BBS, Gopher.

Ejemplos de signos de ataqueEjemplos de signos de ataque

El sistema se para.El sistema se para. Discrepancias en la información sobre las cuentas Discrepancias en la información sobre las cuentas

(p. ej. /usr/admin/lastlog disminuye a veces)(p. ej. /usr/admin/lastlog disminuye a veces) Intentos de escritura en los archivos del sistema.Intentos de escritura en los archivos del sistema. Algunos archivos desaparecenAlgunos archivos desaparecen Denegación de servicio (el sistema pasa a Denegación de servicio (el sistema pasa a

monousuario, y ni siquiera el administrador puede monousuario, y ni siquiera el administrador puede entrar)entrar)

El desempeño del sistema es inexplicablemente El desempeño del sistema es inexplicablemente bajo.bajo.

Ejemplos de signos de ataqueEjemplos de signos de ataque

Logins desde lugares o a horas no habitualesLogins desde lugares o a horas no habituales Archivos con nombres sospechosos (“...”, “.. ”, “.xx”, Archivos con nombres sospechosos (“...”, “.. ”, “.xx”,

“.mail”, etc.)“.mail”, etc.) Cambios en los archivos de claves, listas de grupos, Cambios en los archivos de claves, listas de grupos,

etc.etc. Cambios en archivos de configuración del sistema, en Cambios en archivos de configuración del sistema, en

bibliotecas, en ejecutables, etc.bibliotecas, en ejecutables, etc. Cambios en los datos: páginas WWW, servidores FTP, Cambios en los datos: páginas WWW, servidores FTP,

applets, plugIns, etc.applets, plugIns, etc. Herramientas dejadas atrás por el atacante: Caballos Herramientas dejadas atrás por el atacante: Caballos

de Troya, Sniffers, etc.de Troya, Sniffers, etc. Procesos periódicos (at, cron) o transferencias Procesos periódicos (at, cron) o transferencias

periódicas (ftp, mail) no justificablesperiódicas (ftp, mail) no justificables Interfaces de red en modo promiscuoInterfaces de red en modo promiscuo

Ejemplos de agujeros en la Ejemplos de agujeros en la seguridadseguridad

Claves fáciles de adivinar, o claves por defectoClaves fáciles de adivinar, o claves por defecto Cuentas inactivas o no usadas, cuentas innecesarias, Cuentas inactivas o no usadas, cuentas innecesarias,

cuentas de grupo.cuentas de grupo. Servicios no seguros mal configurados (tftp, sendmail, ftp)Servicios no seguros mal configurados (tftp, sendmail, ftp) Servicios no seguros e inútiles (finger, rusers, rsh)Servicios no seguros e inútiles (finger, rusers, rsh) Archivos de configuración de la red o del acceso no seguros Archivos de configuración de la red o del acceso no seguros

(entradas + en configuración NIS)(entradas + en configuración NIS) Consolas insegurasConsolas inseguras Protección de acceso y propiedad de ficheros sensibles mal Protección de acceso y propiedad de ficheros sensibles mal

configurada.configurada. Versiones antiguas del sistema operativo.Versiones antiguas del sistema operativo. Conexiones telefónicas insegurasConexiones telefónicas inseguras Política de backups inexistente o mal diseñada.Política de backups inexistente o mal diseñada.

ContramedidasContramedidas Identificación y Autenticación Identificación y Autenticación (I&A). Proceso por el que se (I&A). Proceso por el que se

reconocen y verifican identidades válidas de usuarios y reconocen y verifican identidades válidas de usuarios y procesos. Tres tipos:procesos. Tres tipos:– Estática (username/password)Estática (username/password)– Robusta (claves de un solo uso, firmas electrónicas)Robusta (claves de un solo uso, firmas electrónicas)– Continua (firmas electrónicas aplicadas a todo el contenido de la Continua (firmas electrónicas aplicadas a todo el contenido de la

sesión.sesión. Control de la adquisición de softwareControl de la adquisición de software . Previene contra los . Previene contra los

virus, caballos de Troya, el software interactivo (Java, virus, caballos de Troya, el software interactivo (Java, ActiveX), y el robo de licenciasActiveX), y el robo de licencias

CifradoCifrado. Proporciona confidencialidad, autenticidad e . Proporciona confidencialidad, autenticidad e integridadintegridad

Actuaciones en el nivel de arquitecturaActuaciones en el nivel de arquitectura : Redes virtuales : Redes virtuales privadas, Sistemas de acceso remoto, acceso a bases de privadas, Sistemas de acceso remoto, acceso a bases de datos, etc.datos, etc.

ContramedidasContramedidas

Gestión de incidentes.Gestión de incidentes. Detección de Detección de ataques, históricos, control de integridad, ataques, históricos, control de integridad, etc.etc.

Acciones administrativasAcciones administrativas. . Identificación de Identificación de responsables de seguridad, política de responsables de seguridad, política de sanciones, políticas de privacidad, sanciones, políticas de privacidad, definición de buenas prácticas de uso, etc.definición de buenas prácticas de uso, etc.

FormaciónFormación. . Información a los usuarios de Información a los usuarios de las amenazas y cómo prevenirlas, políticas las amenazas y cómo prevenirlas, políticas de la empresa frente a fallos de seguridad, de la empresa frente a fallos de seguridad, etc.etc.

Política de SeguridadPolítica de Seguridad

ObjetivoObjetivo– Definir cómo se va a proteger una Definir cómo se va a proteger una

organización ante los ataques. Tiene dos organización ante los ataques. Tiene dos partes:partes:Política generalPolítica general: define el enfoque general:: define el enfoque general:

– Análisis de vulnerabilidadAnálisis de vulnerabilidad– Identificación de las amenazasIdentificación de las amenazas

Reglas específicasReglas específicas: definen las : definen las características y acciones concretas, para características y acciones concretas, para cada servicio o sistema, orientadas a cumplir cada servicio o sistema, orientadas a cumplir los objetivos de la política generallos objetivos de la política general

Política de SeguridadPolítica de Seguridad Características de una buena política de seguridad (RFC Características de una buena política de seguridad (RFC

2196)2196)– Se tiene que poder poner en práctica mediante Se tiene que poder poner en práctica mediante

procedimientos concretosprocedimientos concretos de administración de sistemas, de administración de sistemas, mediante la publicación de guías sobre el uso aceptable de los mediante la publicación de guías sobre el uso aceptable de los recursos informáticos, o mediante otros métodos prácticos recursos informáticos, o mediante otros métodos prácticos apropiados.apropiados.

No debe ser una entelequia.No debe ser una entelequia. Debe ser Debe ser implementableimplementable

– Se debe obligar su cumplimiento mediante Se debe obligar su cumplimiento mediante herramientas de herramientas de seguridadseguridad, donde sea posible, y mediante , donde sea posible, y mediante sancionessanciones, donde , donde la prevención no sea posible técnicamente.la prevención no sea posible técnicamente.

No debe tener agujeros, y si los tiene hay que poder detectarlosNo debe tener agujeros, y si los tiene hay que poder detectarlos– Debe definir claramente las Debe definir claramente las áreas de responsabilidadáreas de responsabilidad de los de los

usuarios, los administradores y la dirección.usuarios, los administradores y la dirección. Tiene que haber Tiene que haber un responsableun responsable para toda situación posible para toda situación posible

Política de SeguridadPolítica de Seguridad Componentes de una buena política de seguridad (RFC Componentes de una buena política de seguridad (RFC

2196)2196)– Guía de compra de hardware y softwareGuía de compra de hardware y software, donde se , donde se

especifique las funciones relacionadas con la seguridad especifique las funciones relacionadas con la seguridad requeridas o deseadas.requeridas o deseadas.

– Una Una política de privacidadpolítica de privacidad que asegure un nivel mínimo de que asegure un nivel mínimo de privacidad en cuanto a acceso a correo electrónico, ficheros de privacidad en cuanto a acceso a correo electrónico, ficheros de usuario, ficheros de traza, etc.usuario, ficheros de traza, etc.

– Una Una política de accesopolítica de acceso que defina los niveles de seguridad, que defina los niveles de seguridad, los derechos y privilegios, características de las conexiones a las los derechos y privilegios, características de las conexiones a las redes internas y externas, mensajes de aviso y notificación, etc.redes internas y externas, mensajes de aviso y notificación, etc.

– Una Una política de responsabilidadpolítica de responsabilidad que defina las que defina las responsabilidades de los usuarios, y del personal técnico y de responsabilidades de los usuarios, y del personal técnico y de gestión. Debe definir los procedimientos de auditoría y de gestión. Debe definir los procedimientos de auditoría y de gestión de incidentes (a quién avisar, cuándo y cómo, etc.)gestión de incidentes (a quién avisar, cuándo y cómo, etc.)

– Una Una política de autenticaciónpolítica de autenticación que establezca un esquema de que establezca un esquema de claves o palabras de paso (claves o palabras de paso (passwordspasswords), que especifique ), que especifique modelos para la autenticación remota o el uso de dispositivos modelos para la autenticación remota o el uso de dispositivos de autenticación.de autenticación.

Política de SeguridadPolítica de Seguridad Componentes de una buena política de seguridad (RFC 2196), contComponentes de una buena política de seguridad (RFC 2196), cont..

– UnaUna declaración de disponibilidaddeclaración de disponibilidad, que aclare las expectativas de , que aclare las expectativas de los usuarios en cuanto a la disponibilidad de los recursos. Debe definir los usuarios en cuanto a la disponibilidad de los recursos. Debe definir temas como la redundancia, la recuperación ante intrusiones, temas como la redundancia, la recuperación ante intrusiones, información de contacto para comunicar fallos en los sistemas y/o en información de contacto para comunicar fallos en los sistemas y/o en la red, etc.la red, etc.

– Una Una política de mantenimientopolítica de mantenimiento que describa cómo se lleva a cabo el que describa cómo se lleva a cabo el mantenimiento interno y externo, si se permite mantenimiento remoto mantenimiento interno y externo, si se permite mantenimiento remoto y/o mantenimiento por contratas externas, etc.y/o mantenimiento por contratas externas, etc.

– Una Una política de comunicación de violacionespolítica de comunicación de violaciones que defina qué tipos que defina qué tipos de amenazas, y cómo y a quién se deben comunicar.de amenazas, y cómo y a quién se deben comunicar.

– Información de apoyoInformación de apoyo que indique a los usuarios, personal técnico y que indique a los usuarios, personal técnico y administración cómo actuar ante cualquier eventualidad, cómo discutir administración cómo actuar ante cualquier eventualidad, cómo discutir con elementos externos los incidentes de seguridad, qué tipo de con elementos externos los incidentes de seguridad, qué tipo de información se considera confidencial o interna, referencias a otros información se considera confidencial o interna, referencias a otros procedimientos de seguridad, referencias a legislación de la compañía procedimientos de seguridad, referencias a legislación de la compañía y externa, etc.y externa, etc.