Professional Documents
Culture Documents
Consideraciones iniciales
Hablar de Seguridad Informtica o Seguridad de Informacin es abarcar un muy amplio espectro de
tpicos, que en muchos casos pueden llegar a ser complejos y oscuros. Incluso hablar de
Seguridad Informtica y Seguridad de Informacin tiene mucha relacin, pero tambin tiene
diferencias, y errneamente se considera lo mismo.
El termino Seguridad de Informacin, Seguridad informtica y garanta de la informacin son usados
con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la
Confidencialidad, Integridad y Disponibilidad de la informacin; Sin embargo entre ellos existen
algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologas
utilizadas, y las zonas de concentracin.
Basado en lecturas que he hecho recientemente, y en mi humilde experiencia, he decidido iniciar
este artculo, dndole el ttulo de Seguridad por Niveles, ya que considero, como muchos otros
autores mucho ms experimentados, que a la seguridad hay que tratarla por niveles, as como se
trata un problema muy grande por partes, dividindolo en pequeos problemas que luego sern
resueltos de manera ms precisa; de la misma forma hay que abordar el tema de la seguridad, ya
que este pasa por diferentes capas para establecer la comunicacin entre dos equipos Terminales
de Datos (ETD).
El Arte de la Guerra nos ensea que no debemos depender de la posibilidad de que el enemigo no
venga, sino que debemos estar siempre listos a recibirlo. No debemos depender de la posibilidad de
que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posicin sea inatacable
El Arte de la Guerra, Sun Tzu
Gran parte de lo resumido aqu se basa en el libro Seguridad por Niveles de Alejandro Corletti
Estrada y Programa de Estudio: Seguridad de Informacin
Introduccin
Seguridad Informtica
La Seguridad Informtica suele ser la forma ms habitual con la que nos referimos a todo aquello
que tiene que ver con la seguridad de los ordenadores y los sistemas. Es un concepto muy conocido
pero que est obsoleto. Hace hincapi en la seguridad de los sistemas, teniendo en cuenta las
amenazas de carcter fundamentalmente tecnolgico.
La Seguridad Informtica es un concepto de Seguridad que naci en la poca en la que no existan
las redes de banda ancha, los telfonos mviles o los servicios de internet como las redes sociales o
las tiendas virtuales. Es por ello que la Seguridad Informtica suele hacer un especial nfasis en
proteger los sistemas, es decir, los ordenadores, las redes y el resto de infraestructuras de nuestra
organizacin. La Seguridad Informtica es un concepto fundamentalmente tcnico. El problema del
enfoque de la Seguridad Informtica es que suele perder de vista otros aspectos importantes para
una organizacin y, en la mayora de las ocasiones, cuando nos hablan de Seguridad Informtica nos
parece algo completamente alejado de nuestra actividad diaria.
Seguridad TIC (Seguridad de las Tecnologas de la Informacin y las Comunicaciones)
Se trata de un enfoque ms moderno, que incorpora el concepto de redes o infraestructura de
comunicaciones. Hoy en da no concebimos el ordenador como un elemento aislado sino como un
elemento conectado, y por otro lado, el ordenador ya no es el nico elemento o dispositivo a
proteger, sino que tambin hay que proteger las infraestructuras de comunicaciones, as como
diversos dispositivos, como son los telfonos mviles, PDAs, etc.
La Seguridad TIC es un trmino mucho ms amplio que la Seguridad Informtica, pero sigue siendo
de carcter fundamentalmente tecnolgico.
Seguridad de la Informacin
Estamos ante el trmino ms amplio y conceptual de los tres. Se basa en que lo fundamental es
proteger la informacin y en base a esta premisa se desarrollan todas los dems aspectos relativos a
la seguridad y a las medidas que necesitamos aplicar, as como el lugar donde hay que aplicarla.
Es un concepto que tiene en cuenta, no solamente la seguridad tecnolgica, sino tambin otras
facetas de la seguridad, como son, la seguridad desde el punto de vista jurdico, desde el punto de
vista normativo y desde el punto de vista organizativo.
De los tres conceptos el que ms nos interesa es el de la Seguridad de la Informacin, puesto que es
aquel que nos permitir sacar el mximo provecho a la aplicacin de la seguridad en nuestra
organizacin. Adems, es el ms actual y el ms amplio. Como veremos ms adelante, abarca todos
los aspectos relativos a la proteccin de la informacin. Por tanto, a partir de ahora y para todo lo que
resta del artculo, hablaremos de seguridad desde el punto de vista de la Seguridad de la Informacin
o SI.
La Seguridad de la Informacin no tiene que ver nicamente con cuestiones tecnolgicas, sino
tambin legales u organizativas, es decir, puede ser aplicada desde tres puntos de vista: legal,
tcnico y organizativo.
Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones
SeguInfo http://www.segu-info.com.ar Seguridad de la Informacin
La informacin y los sistemas de procesamiento, por un lado, y los sistemas de comunicaciones y las
redes que le brindan apoyo son importantes recursos de toda empresa moderna. Hoy en da son
esenciales para el normal desenvolvimiento de las tareas, es decir, si una empresa no tiene
informacinse paraliza.
La seguridad de la informacin es un proceso que puede estudiarse e incluso implementarse por
niveles, tomando como punto de partida los 7 niveles del modelo OSI: nivel 1 Fsico, nivel 2 Enlace,
nivel 3 Red, nivel 4 Transporte, nivel 5 Sesin, nivel 6 Presentacin y nivel 7 Aplicacin, aunque se
puede resumir de acuerdo a los niveles del modelo TCP/IP.
El estudio de las vulnerabilidades y seguridad en redes iinformticas, exige la comprensin
de los fundamentos de las redes, sus principales tecnologas y las recomendaciones de
seguridad ms apropiadas
Presentacin del modelo de capas
Son varios los protocolos que cooperan para gestionar las comunicaciones, cada uno de ellos cubre
una o varias capas del modelo OSI (Open System interconnection); la realidad, es que para
establecer la comunicacin entre dos ETD se emplea ms de un protocolo, es por esta razn que se
suele hablar no de protocolos aislados, sino que al hacer mencin de alguno de ellos, se
sobreentiende que se est hablando de una PILA de protocolos.
Una forma de agruparlos es como se encuentran cotidianamente los siete niveles del modelo OSI en
tres grupos que tienen cierta semejanza en sus funciones y/o servicios:
Aplicacin
Transporte
Red
Aplicacin
Presentacin
Sesin
- Transporte
Red
Enlace
Fsico
La ISO (International Standard Organization), estableci hace 15 aos este modelo OSI que
hoy lleva la denominacin ISO 7498 o ms conocida como X.200 de ITU.
El modelo OSI es, sin lugar a dudas, el estndar mundial por excelencia, pero como todo esquema
tan amplio presenta una gran desventaja: el enorme aparato burocrtico que lo sustenta. Toda
determinacin, protocolo, definicin o referencia que ste proponga debe pasar por una serie de
pasos, en algunos casos reuniendo personal de muchos pases, que demoran excesivo tiempo para
la alta exigencia que hoy impone Internet.
Para dar respuesta a esta nueva revolucin tecnolgica, aparecen una serie de recomendaciones
giles, con diferentes estados de madurez, que inicialmente no son un estndar, pero rpidamente
ofrecen una gua o recomendacin de cmo se cree que es la forma ms conveniente de llevar a
cabo cualquier novedad de la red. Se trata de las RFC (Request For Commentaries), que proponen
una mecnica veloz para que el usuario final no sufra de los inconvenientes anteriormente
planteados, dando respuesta a las necesidades del mercado eficientemente.
Se produce aqu un punto de inflexin importante entre el estndar mundial y lo que se va
proponiendo poco a poco a travs de estas RFC, las cuales en muchos casos hacen referencia al
modelo OSI y en muchos otros no, apareciendo un nuevo modelo de referencia que no ajusta
exactamente con lo propuesto por OSI. Este modelo se conoce como Pila, stack o familia TCP/IP o
tambin como modelo DARPA, por la Agencia de Investigacin de proyectos avanzados del DoD
(Departamento de Defensa) de EEUU, que es quien inicialmente promueve este proyecto. Este
modelo que trata de simplificar el trabajo de las capas, y por no ser un estndar, se ve reflejado en la
interpretacin de los distintos autores como un modelo de cuatro o cinco capas.
Cada capa regula, o es encargada de una serie de funciones que deberan ser autnomas (cosa
que a veces no se cumple), es decir no tendra por qu depender de lo que se haga en otro nivel.
Dentro de este conjunto de tareas, es necesario destacar la razn de ser de cada una de ellas, su
objetivo principal, el cual lo podramos resumir de la siguiente forma:
Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones
SeguInfo http://www.segu-info.com.ar Seguridad de la Informacin
Aplicacin: Usuario
Transporte: Es el primer nivel que ve la conexin de un extremo a otro
Red: Las rutas
Enlace: Nodo inmediatamente adyacente
Fsico: Aspectos mecnicos, fsicos, elctricos y pticos
Nivel Enlace: Establece la conexin con el nodo inmediatamente adyacente. Bsicamente efecta el
control de flujo de la informacin.
Funciones o servicios:
Divisin de la conexin del enlace de datos (Divide un enlace de datos en varias conexiones
fsicas).
Control de flujo (Regula la velocidad a la cual la capa de enlace trabaja dinmicamente).
Proporciona parmetros de Calidad de Servicio (QoS), por ejemplo: Tiempo medio entre
fallas, BER (Bit Error Rate), disponibilidad de servicio, retarde en el trnsito, etc.
Deteccin de errores (CRC {Control de Redundancia Cclica} Checksum).
Correccin de errores (ARQ {Allowed to ReQuest}, FEC {Forward Error Control}), sin eximir a
capas superiores de hacerlo.
La IEEE lo subdivide en dos capas MAC (Medium Access Control) y LLC (Logical Link
Control), si bien esto no es contemplado por OSI.
Nivel de Presentacin: Asigna una sintaxis a los datos (Cmo se unen las palabras).
Funciones y servicios:
Aceptacin de datos de nivel siete (Enteros, caracteres, etc), negociando la sintaxis elegida
(Ej: ASCII, EBCDIC,etc.).
Transformacin de datos para fines especiales (Ej: Compresin).
Codificacin de caracteres grficos y funciones de control grfico.
Seleccin del tipo de terminal.
Formatos de presentacin.
Cifrado.
Nivel de Aplicacin: Sirve de ventana a los procesos de aplicacin. Tiene en cuenta la semntica
(significado) de los datos.
Funciones y servicios:
Como ya se mencion, el modelo OSI es sumamente amplio, si se quiere profundizar en este tema,
existen mucha informacin disponible para hacerlo.
En principio, independientemente del nivel que estemos analizando o evaluando, toda secuencia de
unos y ceros se interpreta como informacin; la misma puede estar relacionada a datos,
encabezados, control, etc pero siempre la consideraremos informacin. Este flujo de informacin
que se est intercambiando entre dos ETD se denomina Trfico (Broadcast, multicast y dirigido).
El anlisis de trfico consiste en desarmar cada trama, paquete, segmento, bloque de informacin y
analizarlos bit a bit, aqu se esconde la razn de ser de la seguridad.
Cuando un dispositivo de red comienza a recibir informacin cada uno de los niveles de la pila
TCP/IP comienza su tarea identificando bit a bit a qu mdulo le corresponde trabajar. Un mdulo
no es ms que un cdigo, script o programa que tiene todas las rdenes que debe realizar en ese
nivel y con esa secuencia de bits. Una vez que rene suficiente informacin para identificar
unvocamente a qu mdulo llamar, automticamente le pasa el control a ste y a partir de all
comienza su tarea.
Para el anlisis de trfico existen una gran cantidad de herramientas disponibles, tanto Open Source
como propietarias. Podramos mencionar a libpcap que es una conocida librera encargada de
capturar trfico. Existen para diferentes plataformas como Linux y Windows. Esta librera tiene una
caracterstica muy importante si nuestra conexin a la red lo permite, que es la de poder escuchar en
modo promiscuo. Cuando una informacin circula por la red e ingresa a un ETD, a medida que
cada nivel la va evaluando, decide si se dirige hacia l o no (en cada nivel), cuando no es para l
entonces debe descartar esa informacin y/o en algunos casos reenviarla. Cuando se logra operar
en modo promiscuo esto implica que no descarte informacin, sino que procese todo, sea para este
ETD o para cualquier otro. Por esta razn la idea de analizar trfico de una red, est particularmente
dirigida a poder escuchar TODO el trfico que circula por ella.
Al hablar de anlisis de trfico en una red, generalmente lo relacionamos con los conocidos
Sniffers, que bsicamente lo que hacen es husmear dentro de una red y capturar todo lo que se
pueda, para posteriormente analizarlo (por lo general en ASCCI o hexadecimal). En relacin a
libpcap podemos mencionar a tcpdump y ethereal
Existe una remarcada diferencia aqu, un sniffer slo captura trfico y lo presenta de manera ms o
menos amigable (y nada ms). Un analizador de protocolos, realiza esta tarea y a su vez procesa
esta informacin para obtener todas las posibles necesidades de usuario con la misma.
Un analizador de protocolos captura conversaciones entre dos o ms sistemas o dispositivos. No
solamente captura el trfico, sino que tambin lo analiza, decodifica e interpreta, brindando una
representacin de su escucha en lenguaje entendible por medio de la cual, se obtiene la informacin
necesaria para el anlisis de una red y las estadsticas que el analizador nos proporciona.
Esencialmente, un analizador de protocolos es una herramienta que provee informacin acerca del
flujo de datos sobre una LAN, mostrando exactamente qu es lo que est sucediendo en ella,
detectando anomalas, problemas o simplemente trfico innecesario. Una vez que un problema es
aislado, se pueden analizar las causas que lo producen y tomar las medidas para evitarlo.
En resumen, un analizador de protocolos debera proporcionarnos: estadsticas, captura de paquetes
y decodificacin y representacin de informacin histrica.
Como analizadores de protocolos podemos mencionar a Wireshark y Ethereal
Las tcnicas de deteccin de sniffers que se emplean
son varias y todas se basan en poder determinar si la interfaz
de red se encuentra en modo promiscuo, lo cual es un claro sntoma
de que desea recibir todo el trfico que pasa por ella.
Toda seal de comunicaciones para propagarse necesita de un medio fsico, sin ste sera
imposible establecer una comunicacin
Si bien es necesario un nivel de seguridad mnima en cualquier medio fsico, esto no debe llevarnos
a gastos o medidas de seguridad excesivas, es mucho ms importante identificar los sectores clave
y centrar all nuestra atencin. Una vez identificados, hay que volcar toda la informacin lo ms
detalladamente posible, y posteriormente que esto pase a formar parte de un Sistema de Gestin de
la Seguridad de la Informacin (SGSI).
Por ahora este concepto de SGSI, tiene que dejarnos la idea de que una documentacin que se
confecciona, si simplemente se guarda, tarde o temprano se pierde, se desactualiza o pierde valor.
Por lo tanto, desde ya debemos ir conciencindonos en al menos crear una sencilla infraestructura
para integrar todos los documentos, acciones, medidas y decisiones que se adopten de forma tal que
todo ello est siempre VIVO, con ello queremos decir, que se controle, actualice, se firme, se pueda
acceder siempre a la ltima versin, se sepa cmo y quin puede leer, modificar o eliminar y por
ltimo se integre al conjunto.
En el modelo TCP/IP tenemos la Capa de acceso de red que corresponden a la Capa 1 y 2 del
modelo OSI . Esta capa, tambin llamada host a red, se ocupa de todos los aspectos que involucren
convertir un paquete en una trama y transmitirlo en el medio fsico. Esta capa se encarga de las
funciones de las capas fsica y de enlace de datos del modelo OSI.
Las vulnerabilidades de la capa de red estn estrechamente ligadas al medio sobre el que se realiza
la conexin. Esta capa presenta problemas de control de acceso y de condencialidad. Son ejemplos
de vulnerabilidades a este nivel los ataques a las lneas punto a punto: desvo de los cables de
conexin hacia otros sistemas, interceptacin intrusiva de las comunicaciones (pinchar la lnea),
escuchas no intrusivas en medios de transmisin sin cables, etc.
Aspectos mecnicos:
Aqu revista especial importancia para auditar el canal de comunicaciones que se emplee, este
puede ser:
Cada uno de ellos implica una caracterstica diferente en su auditora de seguridad. Para poder
iniciar su auditora el punto de partida excluyente son los planos de la red. En los mismos se deber
auditar los siguientes detalles:
Identificacin de los canales: Aqu debe estar claramente marcada su numeracin, extremos,
puestos de trabajo conectados y bocas vacantes.
Cules son los tramos crticos?: Se debe analizar las reas de la Empresa donde
fsicamente residen las cuentas que tramitarn la informacin de mayor importancia. Sobre
estos canales incrementar las medidas de seguridad, en lo posible emplear fibra ptica.
Gabinetes de comunicaciones: Ubicacin, llaves, seguridad de acceso al mismo,
componentes que posee, identificacin de las bocas.
Caminos que siguen: Planos de los locales y perfectamente identificados los conductos que
siguen, es eficiente su ubicacin por colores (Zcalos, bajo pisos, falso techos, cable canal,
etc.).
Dispositivos de Hardware de red (teniendo en cuenta solo los aspectos fsicos): Qu
dispositivos existen, su ubicacin, claves de acceso, configuracin de los mismos, resguardo
de configuraciones, permisos de accesos, habilitacin o deshabilitacin de puertos.
Dispositivos mecnicos u pticos de control de acceso: Hoy en da es comn encontrarse con
dispositivos de control de acceso por tarjetas, biomtricos, dactilares, etc. A cualquiera de
estos se le debe aplicar los mismos controles que al hardware de red.
Certificacin de los medios: Mediciones realizadas acorde a lo establecido en la norma TSB
67 TIA/EIA (Telecommunications Industy Association/Electronics Industry Association) que
especifica los parmetros de certificacin que se deben realizar en los distintos medios de
comunicaciones.
Control de cambios: Toda modificacin que frecuentemente se realiza en una red debe
quedar documentada y controlada luego de su implementacin. El abandono de esta
documentacin es el primer paso hacia una red insegura a nivel fsico, pues en muy pocos
aos existir un total descontrol del conectorizado de la red.
Plan de Inspecciones peridicas: Es importante contar con un cronograma de trabajo que
contemple la inspeccin (recorridas, controles, verificacin remota de configuraciones, control
de cambios, roturas, etc.) de los detalles anteriormente mencionados, para evitar justamente
alteraciones intencionales o no.
Inventarios de equipamiento: El control de inventarios es una buena medida. En particular
haciendo hincapi en cambios y repotenciaciones, pues involucra dispositivos que pueden
haber almacenado informacin.
Control de actas de destruccin: Toda documentacin de importancia o dispositivos de
almacenamiento que dejan de prestar servicio o vigencia, debe ser destruido fsicamente para
imposibilitar un futuro acceso a esa informacin, dejando una constancia de esta operacin,
en lo posible controlada por ms de una persona.
Seguridad fsica en la guarda de documentacin y archivos: Se debe respetar un plan de
resguardo de estos elementos acorde a distintos niveles de seguridad.
Seguridad fsica de los locales: Todo local que posea elementos que permitan fsicamente
conectarse a la red debe poseer las medidas de seguridad de acceso correspondiente, y
estar claramente identificado quien est autorizado a ingresar al mismo.
Medidas de resguardo de informacin: La prdida de datos es un error grave en un servidor,
el responsable de una base de datos, no es el usuario que tiene derecho a no conocer los
mecanismos de seguridad en el Backup, sino directamente el Administrador de ese servidor.
Las medidas de Backup nunca deben ser nicas, se deben implementar todas las existentes
y con ms de un nivel de redundancia acorde a la importancia de la informacin a respaldar
(cintas, discos extrables, Jazz, etc.).
Coordinaciones con el personal de seguridad: Los responsables de la seguridad fsica de la
empresa deben contar con una carpeta que regule claramente las medidas de seguridad a
tener en cuenta para las instalaciones de red y como proceder ante cualquier tipo de
anomala.
Se puede auditar tambin planes y medidas contra incendio, evacuacin y contingencias:
Todos estos se relacionan en forma directa con la seguridad, pues se debe tener en cuenta
que la prdida de informacin es una de las responsabilidades ms importantes de la
seguridad.
Control de mdem, hub y repeater: Los elementos de Hardware que operan estrictamente a
nivel 1 son estos tres, pues slo entienden de aspectos elctricos u pticos (Regeneran las
seales), mecnicos (Hacen de interfaz entre conectores BNC, RJ-45, pticos, DB-25, DB15, Winchester, etc.) y lgicos (Interpretan los niveles de tensin como unos o ceros). Por lo
tanto la configuracin de los mismos debe ser auditada aqu. Los aspectos fundamentales a
controlar son: direcciones, claves de acceso, programacin de puertos, protocolos
autorizados, y un especial inters en los que poseen acceso por consola.
Auditora de otros componentes de acceso: En esta categora se debe contemplar mdem
ADSL, DTU/CSU, PAD en X.25, Placas ISDN, ATM, centrales telefnicas, etc. Se debe
prestar especial atencin a los Host que tienen conectados mdem, llevando un registro de
estos, y monitorendolos con frecuencia, pues aqu existe una peligrosa puerta trasera de la
red. No se debe permitir conectar mdem que no estn autorizados.
Un Apartado muy especial debe ser considerado hoy para los dispositivos de almacenamiento
mvil: Memorias de todo tipo, discos externos, mp3, mviles, ipod, ipad, etc prestando
Al igual que con la Capa Fsica, las vulnerabilidades de esta capa estn ligadas al medio sobre el
que se realiza la conexin y/o transmisin de datos.
Este nivel comprende la conexin con el nodo inmediatamente adyacente, lo cual en una red punto a
punto es sumamente claro, pero en una red LAN, es difcil de interpretar cual es el nodo adyacente.
Por esta razn como mencionamos en la teora IEEE los separa en 2 subniveles: LLC y MAC (LLC:
Logical Link Control, MAC: Medium Access Control), en realidad como una de las caractersticas de
una LAN es el empleo de un nico canal por todos los Host, el nodo adyacente son todos los Host.
La importancia de este nivel, es que es el ltimo que encapsula todos los anteriores, por lo tanto si se
escucha y se sabe desencapsular se tiene acceso a absolutamente toda la informacin que circula
en una red. Bajo este concepto se trata del que revista mayor importancia para el anlisis de una red.
Las herramientas que operan a este nivel son las que hemos visto como Analizadores de
protocolos y existen diferentes tipos. A nivel de Hardware podemos mencionar Internet Advisor de
Hewlett Packard o el Domin de Vandell & Goltermann, poseen la gran ventaja de operar
naturalmente en modo promiscuo.
Qu debemos auditar:
Mejor ruta: Este se trata del Tipo Nro 5 de mensaje ICMP, y su mal empleo permite triangular
la ruta de una red para obligarla a pasar siempre por un router sobre el cual se obtiene la
informacin deseada.
Solicitud y respuesta de eco (Ping): Se lleva a cabo por medio del protocolo ICMP con una
solicitud y respuesta de eco (Tipo 0 y 8, conocido como ping). Un conocido ataque es enviarlo
con una longitud mayor a lo permitido por IP (65535 Byte). Al ser recibido, el host no sabe
como tratarlo y se bloquea. Cabe aclarar que hoy la masa de los sistemas ya no lo permiten.
Tambin se puede negar el servicio, por medio de una inundacin de estos.
Destino no alcanzable: Es el tipo 3 de ICMP, lo importante pasa por los cdigos en que se
subdivide, pues por medio de estos, se obtiene informacin que es de sumo inters. Al recibir
respuestas de destino no alcanzable, desde ya no es lo mismo esta situacin si se trata de
prohibicin de acceso, de puertos negados, de Servidores que administrativamente niegan
acceso a sus aplicaciones, etc.
Auditora ARP:
El ataque ARP es uno de los ms difciles de detectar pues se refiere a una asociacin incorrecta de
direcciones MAC e IP, por lo tanto se debe analizar todas las tramas que circulan por la red y
comparar permanentemente las mismas con un patrn de referencia vlido. Existen programas que
realizan esta tarea, como Arpwatch, siendo de los ms conocidos.
Auditora de direccionamiento IP:
Existen dos formas de asignacin de direcciones IP (antiguamente exista tambin una asignacin
automtica que hoy prcticamente no se emplea ms):
Seguridad en Protocolos
DNS
En la capa de aplicacin nos encontramos con protocolos como el DNS. Las vulnerabilidades de este
protocolo las podemos clasificar en cuatro:
UDP: Entre los servidores se transfieren grandes volmenes de informacin a travs del
puerto UDP 53, el cual por ser no orientado a la conexin lo hace especialmente difcil de
controlar y filtrar, aprovechndose esta debilidad.
Obtencin de Informacin: Los servidores DNS almacenan informacin importante, la cual es
muy buscada y fcilmente obtenible por un intruso.
Texto plano: Toda la infromacin viaja en texto plano.
Falta de autenticacin: El protocolo no ofrece ninguna tcnica de autenticacin.
Los DNS tambin pueden ser vulnerables a la tcnica de spoof, que se puede implementar en
muchos protocolos y niveles, en este caso consiste en falsificar una respuesta DNS, ofreciendo una
direccin IP que no es la que verdaderamente est relacionada con ese nombre. Lo natural sera
infectar o envenenar las tablas de un servidor DNS maestro, y con ello se propagara y cualquier
consulta hacia el nombre infectado, lo respondera con la direccin IP falsa. La realidad es que es
relativamente difcil esta tarea, pues los DNS maestros de Internet suelen estar bastante asegurados
y monitorizados como para que esta actividad, inclusive en el caso de lograrla, no sea detectada de
forma bastante rpida y solucionada.
Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones
SeguInfo http://www.segu-info.com.ar Seguridad de la Informacin
Telnet
Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identicador de usuario
y su contrasea, que se transmiten en claro por la red. As, al igual que el resto de servicios de
internet que no protegen los datos mediante mecanismos de proteccin, el protocolo de aplicacin
Telnet hace posible la captura de aplicacin sensible mediante el uso de tcnicas de snifng.
Actualmente existen otros protocolos a nivel de aplicacin (como, por ejemplo, SSH) para acceder a
un servicio equivalente a Telnet pero de manera segura (mediante autenticacin fuerte). Aun as, el
hecho de cifrar el identicador del usuario y la contrasea no impide que un atacante que las
conozca acceda al servicio.
File Transfer Protocol (FTP)
Al igual que Telnet, FTP es un protocolo que enva la informacin en claro (tanto por el canal de
datos como por el canal de comandos). As pues, al enviar el identicador de usuario y la contrasea
en claro por una red potencialmente hostil, presenta las mismas deciencias de seguridad que
veamos anteriormente con el protocolo Telnet. Aparte de pensar en mecanismos de proteccin de
informacin para solucionar el problema, FTP permite la conexin annima a una zona restringida en
la cual slo se permite la descarga de archivos. De este modo, se restringen considerablemente los
posibles problemas de seguridad relacionados con la captura de contraseas, sin limitar una de las
funcionalidades ms interesantes del servicio.
Hypertext Transfer Protocol (HTTP y HTTPS)
El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades ms
conocidas procede de la posibilidad de entrega de informacin por parte de los usuarios del servicio.
Esta entrega de informacin desde el cliente de HTTP es posible mediante la ejecucin remota de
cdigo en la parte del servidor. La ejecucin de este cdigo por parte del servidor suele utilizarse
para dar el formato adecuado tanto a la informacin entregada por el usuario como a los resultados
devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este cdigo que
se ejecuta presenta deciencias de programacin, la seguridad del equipo en el que est
funcionando el servidor se podr poner en peligro.
Se trata del protocolo principal que regula todo el sistema de navegacin a travs de pginas Web.
Este es el protocolo empleado entre clientes y servidores Web. La diferencia con los dems
protocolos de nivel de aplicacin es que este establece una sesin por cada informacin requerida
(texto, sonido, grficos, etc), esta finaliza al completarse la solicitud. Es normal la apertura de varias
sesiones para bajar una sola pgina. Desde la versin 1.0 en adelante incorpora MIME (Multimedia
Internet Mail Extensions) para soportar la negociacin de distintos tipos de datos.
El acceso a este protocolo es por medio del puerto TCP 80 por defecto, pero es comn en redes
privadas el empleo de otro para incrementar las medidas de seguridad.
Todo lo que viaja a travs de HTTP lo hace en texto plano, en otras palabras: puede ser ledo si se
interceptan los datos. Por tal motivo surgi HTTPS.
Hypertext Transfer Protocol Secure (en espaol: Protocolo seguro de transferencia de hipertexto),
ms conocido por sus siglas HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado
a la transferencia segura de datos de hipertexto, es decir, es la versin segura de HTTP.
Expresin Binaria http://www.expresionbinaria.com Tecnologa de Informacin y Comunicaciones
SeguInfo http://www.segu-info.com.ar Seguridad de la Informacin
El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de
cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el
trfico de informacin sensible que el protocolo HTTP. De este modo se consigue que la informacin
sensible (usuario y claves de paso normalmente) no puede ser usada por un atacante que haya
conseguido interceptar la transferencia de datos de la conexin, ya que lo nico que obtendr ser
un flujo de datos cifrados que le resultar imposible (en teora y dependiendo del cifrado) de
descifrar.
Correo electrnico: SMTP, POP y MIME
Una pasarela SMTP es un host con dos conexiones a redes distintas. Las pasarelas SMTP se
pueden implementar de forma que conecten distintos tipos de redes. Se puede prohibir el acceso a la
pasarela a determinados nodos de la red, empleando la sentencia de configuracin RESTRICT.
Alternativamente, la seguridad se puede implementar con un fichero de autorizacin de accesos, que
es una tabla en la que se especifican de quin y a quin se puede enviar correo por la pasarela.
POP es un protocolo permite a un usuario conectarse a un sistema y entregar su correo usando su
nombre de usuario y contrasea (muy usado en UNIX) a travs del puerto TCP 110. La metodologa
a seguir para descargar correo es la misma que en SMTP, lo cual implica que cuando un servidor
recibe un mail, establece la sesin SMTP con este destino y entrega su mensaje.
Una mejora que aparece a POP son las extensiones MIME, (Multimedia Internet Mail Extension), las
cuales estn estandarizadas por las RFC-2045 a 2049 y su tarea principal es extender el contenido
de los mensajes de correo para poder adjuntar datos de tipo genricos.
Las dos grandes vulnerabilidades que sufre el correo electrnico son referidas a su privacidad y su
seguridad, dentro de ellas existen debilidades concretas.
La privacidad es fcilmente vulnerable pues el correo viaja como texto plano, es decir, que si no se
emplea algn algoritmo criptogrfico, cualquiera puede tener acceso al mismo. En este tema, la
mejor analoga es la del correo postal, en el cual a nadie se le ocurre enviar una carta sin el sobre.
La seguridad es atacada con dos tcnicas puntuales: las bombas de correo (varias copias de un
mismo mail a un solo destino) y el Spam (Correo no autorizado).
Las herramientas con que se cuenta para defenderse de estas vulnerabilidades son:
S/MIME: Desarrollado por RSA el cual es una especificacin para obtener autenticacin por
medio de firmas digitales. Se lo considera uno de los ms seguros
PGP: Pretty Good Privacy, el cual es un producto completo desarrollado por Phillip
Zimmerman que ofrece que dentro de sus muchas funciones ofrece tambin autenticacin, no
repudio y criptografa siendo soportado por la mayora de los clientes de correo.
PEM: Privacy Enhanced Mail, el cual es una norma para permitir la transferencia de correo
seguro. Con cualidades similares a PGP, siendo el estndar ms reciente de los tres.
cualquier cliente de una red, no suelen responder a un alto nivel de seguridad, por lo tanto suelen ser
altamente violables. Si un intruso logra conectarse desde el exterior con cualquier host de la LAN,
rpidamente podra obtener las listas de usuarios de la red, sus servicios, grupos y recursos
compartidos, lo cual no es deseado por ningn administrador.
JAMAS SE DEBE DEJAR PASAR POR UN ROUTER NI FIREWALL, los puertos de este protocolo,
se deben bloquear siempre en la frontera de toda LAN con Internet, pues no tiene sentido ninguna
comunicacin desde adentro hacia fuera o viceversa bajo este protocolo.
Deteccin de Vulnerabilidades
Hasta ahora podemos ver que la capa de Aplicacin es la ms concurrida en lo que a protocolos se
refiere, aqu solo hemos nombrado algunos, pero no todos.
En esta capa (Capa presentacin del modelo OSI Capa Aplicacin del modelo TCP/IP) podemos
hacer uso de algunas herramientas como los detectores de vulnerabilidades.
Son herramientas (generalmente de software) que bsicamente van a lanzar diferentes tipos de
ataques hacia uno o varios host, y luego informarn cules de ellos presentan debilidades. Como su
uso habitual es justamente este, independientemente que se emplee para el lado del mal, tambin
es una muy buena estrategia emplearlo para detectar lo mismo en nuestros propios sistemas y luego
de ello analizar las causas para minimizar o evitar su explotacin por personas no deseadas.
En el mundo de cdigo abierto, existe desde hace muchos aos una herramienta que es considerada
como una de las mejores para detectar vulnerabilidades: Nessus. Su historia lleva ya varias dcadas
y naci a travs de lnea de comandos (que an hoy puede seguir emplendose) y tal vez el mayor
hito lo haya sufrido hace poco con su bifurcacin (fork en ingls) a OpenVAS (Open Vulnerability
Assessment System). Este Fork, se produjo cuando Nessus fue adquirido por la empresa Tenable
Network Security y si bien sigue siendo gratuito para su descarga y empleo, oferta versiones de pago
con algunas pocas diferencias y lo ms importante es que ya no se tiene acceso a su cdigo.
Cuando se emplea este tipo de software, no nos podemos quedar simplemente con saber que
somos vulnerables a cierta cantidad de ataques, sino que lo que en realidad nos interesa es poder
llegar al fondo de cada uno de ellos para poder ofrecer la mejor solucin a nuestros sistemas.
La primera clasificacin que se debe tener en cuenta es que los hay de red (Network IDSs o NIDS) y
los hay de host (Host IDSs o HIDS). Otro concepto es el de DIDS (Distributed IDSs), que es la
evolucin natural del trabajo con NIDS en redes complejas, donde es necesario armar toda una
infraestructura de sensores, con la correspondiente arquitectura de administracin, comunicaciones y
seguridad entre ellos
Uno de los productos lderes en esta categora es Snort
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un
dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus
bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.
Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y
responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros
para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor
de Intrusos.
Topologa de Snort
Esta herramienta fue creada por Marty Roesch (Actual Director de Sourcefire que es la versin
comercial de Snort) en 1998. Nace simplemente como un Sniffer (o analizador de protocolos) al que
luego se le fueron incorporando muchas otras opciones y en la actualidad cuenta con
preprocesadores, plugins para bases de datos, varias opciones de envo de alarmas, diferentes
esquemas de evaluar paquetes, conectores con Windows, consolas de administracin grficas, etc.
El Sniffer.
Los preprocesadores.
El motor de deteccin.
Las salidas.
El paso inicial del funcionamiento de Snort, se relaciona directamente con la tarjeta de red, a la que
coloca en modo promiscuo, es decir, captura la totalidad del trfico que circula por el cable,
independientemente que vaya dirigido a su tarjeta de red o no. Con este primer paso se logra
escuchar la totalidad de la informacin del sistema (se debe tener en cuenta el segmento en el que
es colocado el dispositivo, pues si hubiere un switch de por medio, este dividira los dominios de
colisin y por lo tanto slo se capturara el trfico correspondiente al segmento en el que se
encuentre).
Por los momentos llegamos hasta aqu. Hay que recordar que este artculo es slo una rpida
mirada a todo lo que involucra un proyecto de seguridad de informacin y todo lo que conlleva.