FUNDAMENTO DE SEGURIDAD DE RED

Introducción

En este trabajo se estarán desarrollando los distintos métodos de los

fundamentos de seguridad de red, Hoy en día todos dependemos de la
información que radica y generamos en nuestras computadoras, estos objetos
ya no se encuentran aislados como en los 80´s y principios de los 90´s, si no
por el contrario, hoy dependemos de una conexión física para podernos
comunicar, el avance que se ha tenido con las redes nos ha permitido
solucionar problemas y hacer provecho de sistemas que nos ayudan a
manipular la información.
 FUNDAMENTO DE SEGURIDAD DE RED

Vulnerabilidades y Amenazas a la Seguridad

Tipos de amenazas
Las redes de computadoras cableadas e inalámbricas son esenciales para las
actividades cotidianas. Tanto las personas como las organizaciones dependen
de las computadoras y de las redes. Las intrusiones de personas no
autorizadas pueden causar interrupciones costosas en la red y pérdidas de
trabajo. Los ataques a una red pueden ser devastadores y pueden resultar en
una pérdida de tiempo y dinero debido a daños o robo de información o
activos importantes.

Los intrusos pueden obtener acceso a una red a través de vulnerabilidades de

software, ataques de hardware o adivinando el nombre de usuario y la
contraseña de alguien. Los intrusos que obtienen acceso modificando
software o explotando vulnerabilidades de software se denominan actores de
amenazas. Una vez que el actor de la amenaza obtiene acceso a la red,
pueden surgir cuatro tipos de amenazas.

Robo de información Manipulación y perdida de datos Robo de identidad Servicio de

Disrupción

Tipos de vulnerabilidades

La vulnerabilidad es el grado de debilidad en una red o un dispositivo. Algún

grado de vulnerabilidad es inherente a los enrutadores, conmutadores,
equipos de escritorio, servidores e incluso dispositivos de seguridad. Por lo
general, los dispositivos de red que sufren ataques son las terminales, como
los servidores y las computadoras de escritorio. Existen tres vulnerabilidades
o debilidades principales: política tecnológica, de configuración y de
seguridad. Las tres fuentes de vulnerabilidades pueden dejar una red o
dispositivo abierto a varios ataques, incluidos ataques de código malicioso y
ataques de red.
FUNDAMENTO DE SEGURIDAD DE RED

Vulnerabilidades Tecnológicas

Vulnerabilidades de configuración

Vulnerabilidades de política
 FUNDAMENTO DE SEGURIDAD DE RED

Seguridad física
Un área vulnerable igualmente importante de la red a considerar es la
seguridad física de los dispositivos. Si los recursos de la red pueden verse
comprometidos físicamente, un actor de amenazas puede negar el uso de los
recursos de la red.
Las cuatro clases de amenazas físicas son las siguientes:
• Amenazas de Hardware - Esto incluye daños físicos a servidores,
enrutadores, conmutadores, planta de cableado y estaciones de
trabajo.
• Amenazas del Entorno - Esto incluye temperaturas extremas
(demasiado calor o demasiado frío) o temperaturas extremas
(demasiado húmedo o demasiado seco).
• Amenazas Eléctricas - Esto incluye picos de voltaje, voltaje de
suministro insuficiente (caídas de voltaje), energía no condicionada
(ruido) y pérdida total de energía.
• Amenazas de Mantenimiento - Esto incluye un manejo deficiente
de los componentes eléctricos clave (descarga electrostática), falta de
repuestos críticos, cableado deficiente y etiquetado deficiente.
Se debe crear e implementar un buen plan de seguridad física para abordar
estos problemas. La figura muestra un ejemplo de plan de seguridad física.

Planifique la seguridad física para limitar el daño al equipo

 FUNDAMENTO DE SEGURIDAD DE RED

Ataques a la Red

Tipos de malware

En el tema anterior se explicaban los tipos de amenazas de red y las

vulnerabilidades que hacen posibles las amenazas. En este tema se detalla
más detalladamente cómo los actores de amenazas obtienen acceso a la red o
restringen el acceso a los usuarios autorizados. Malware es la abreviatura de
software malicioso. Es un código o software diseñado específicamente para
dañar, interrumpir, robar o infligir acciones "malas" o ilegítimas en los datos,
hosts o redes. Los virus, gusanos y caballos de Troya son tipos de malware.
Virus
Un virus informático es un tipo de malware que se propaga mediante la
inserción de una copia de sí mismo en otro programa, del que pasa a formar
parte. Se propaga de una computadora a otra, dejando infecciones a medida
que viaja. La gravedad de los virus puede variar desde causar efectos
ligeramente molestos hasta dañar datos o software y causar condiciones de
denegación de servicio (DoS). Casi todos los virus se adjuntan a un archivo
ejecutable, lo que significa que el virus puede existir en un sistema pero no
estará activo ni será capaz de propagarse hasta que un usuario ejecute o abra
el archivo o programa host malicioso. Cuando se ejecuta el código del host,
el código viral se ejecuta también. Normalmente, el programa host sigue
funcionando después de que el virus lo infecta. Sin embargo, algunos virus
sobrescriben otros programas con copias de sí mismos, lo que destruye el
programa host por completo. Los virus se propagan cuando el software o
documento al que están adjuntos se transfiere de una computadora a otra
mediante la red, un disco, el intercambio de archivos o archivos adjuntos de
correo electrónico infectados.
Gusanos
Los gusanos informáticos son similares a los virus en que se replican en
copias funcionales de sí mismos y pueden causar el mismo tipo de daño. A
diferencia de los virus, que requieren la propagación de un archivo host
infectado, los gusanos son software independiente y no requieren de un
programa host ni de la ayuda humana para propagarse. Un gusano no
necesita unirse a un programa para infectar un host y entrar en una
computadora a través de una vulnerabilidad en el sistema. Los gusanos se
aprovechan de las características del sistema para viajar a través de la red sin
ayuda.
Caballos de Troya
Un caballo de Troya es otro tipo de malware que lleva el nombre del caballo
de madera que los griegos utilizaron para infiltrarse en Troya. Es una pieza
 FUNDAMENTO DE SEGURIDAD DE RED

de software dañino que parece legítimo. Los usuarios suelen ser engañados
para cargarlo y ejecutarlo en sus sistemas. Después de activarse, puede lograr
cualquier número de ataques al host, desde irritar al usuario (con ventanas
emergentes excesivas o cambiar el escritorio) hasta dañar el host (eliminar
archivos, robar datos o activar y difundir otro malware, como los virus). Los
caballos de Troya también son conocidos por crear puertas
traseras para que usuarios maliciosos puedan acceder al sistema.
A diferencia de los virus y gusanos, los caballos de Troya no se reproducen
al infectar otros archivos. Se autoreplican. Los caballos de Troya deben
extenderse a través de la interacción del usuario, como abrir un archivo
adjunto de correo electrónico o descargar y ejecutar un archivo de Internet.

Ataques de reconocimiento
Además de los ataques de código malintencionado, es posible que las redes
sean presa de diversos ataques de red. Los ataques de red pueden clasificarse
en tres categorías principales:
• Ataques de reconocimiento - El descubrimiento y mapeo de
sistemas, servicios o vulnerabilidades.
• Ataques de acceso - La manipulación no autorizada de datos, acceso
al sistema o privilegios de usuario.
• Denegación de servicio - La desactivación o corrupción de redes,
sistemas o servicios.
Para los ataques de reconocimiento, los actores de amenazas externas pueden
usar herramientas de Internet, nslookup como los servicios públicos, whois
para determinar fácilmente el espacio de direcciones IP asignado a una
determinada corporación o entidad. Una vez que se determina el espacio de
la dirección IP, un actor de amenazas puede hacer ping a las direcciones IP
disponibles públicamente para identificar las direcciones que están activas.
 FUNDAMENTO DE SEGURIDAD DE RED

Para ayudar a automatizar este paso, un actor de amenazas puede usar una
herramienta de barrido de ping, como fping o gping. Esto hace ping
sistemáticamente a todas las direcciones de red en un rango o subred dado.
Esto es similar a revisar una sección de una guía telefónica y llamar a cada
número para ver quién atiende.

Ataques con acceso

Los ataques de acceso explotan las vulnerabilidades conocidas de los
servicios de autenticación, los servicios FTP y los servicios Web para
obtener acceso a las cuentas Web, a las bases de datos confidenciales y
demás información confidencial. Un ataque de acceso permite que una
persona obtenga acceso no autorizado a información que no tiene derecho a
ver. Los ataques de acceso pueden clasificarse en cuatro tipos. Uno de los
tipos de ataques de acceso más comunes es el ataque a contraseñas. Los
ataques a contraseñas se pueden implementar con programas detectores de
paquetes para obtener cuentas de usuario y contraseñas que se transmiten
como texto no cifrado. Los ataques a contraseñas también pueden referirse a
los intentos repetidos de inicio de sesión en un recurso compartido, como un
servidor o un router, para identificar una cuenta de usuario, una contraseña o
ambas. Estos intentos repetidos se denominan “ataques por diccionario” o
“ataques de fuerza bruta”.
 FUNDAMENTO DE SEGURIDAD DE RED

Ataques en DoS
Los ataques DoS son la forma de ataque más conocida y también están entre
los más difíciles de eliminar. Incluso dentro de la comunidad de atacantes,
los ataques DoS se consideran triviales y están mal vistos, ya que requieren
muy poco esfuerzo de ejecución. Sin embargo, debido a la facilidad de
implementación y a los daños potencialmente considerables, los
administradores de seguridad deben prestar especial atención a los ataques
DoS. Los ataques DoS tienen muchas formas.
Fundamentalmente, evitan que las personas autorizadas utilicen un servicio
mediante el consumo de recursos del sistema.
 FUNDAMENTO DE SEGURIDAD DE RED

Mitigación de los Ataques a la Red

Enfoque de Defensa en Profundidad

Para mitigar los ataques de red, primero debe proteger los dispositivos,
incluidos enrutadores, conmutadores, servidores y hosts. La mayoría de las
organizaciones emplean un enfoque de defensa en profundidad (también
conocido como enfoque en capas) para la seguridad. Esto requiere una
combinación de dispositivos y servicios de red que funcionen en conjunto.
Se han implementado varios dispositivos y servicios de seguridad para
proteger a sus usuarios y activos contra las amenazas de TCP / IP. Todos los
dispositivos de red, incluidos el router y los switches, también están
protegidos, como indican los candados de combinación de sus respectivos
iconos. Esto indica que se han protegido para evitar que los actores de
amenazas obtengan acceso y manipulen los dispositivos.

Mantener copias de seguridad

Hacer una copia de seguridad de las configuraciones y los datos del
dispositivo es una de las formas más efectivas de protección contra la
pérdida de datos. Una copia de seguridad de datos almacena una copia de la
información de una PC en medios de copia de seguridad extraíbles que
pueden conservarse en lugares seguros. Los dispositivos de infraestructura
deben tener copias de seguridad de archivos de configuración e imágenes de
IOS en un servidor FTP o de archivos similar. Si falla el equipo o el
hardware del router, los datos o la configuración se pueden restaurar
mediante la copia de seguridad.
Las copias de seguridad se deben realizar de forma regular tal como se
identifica en la política de seguridad. Las copias de respaldo de datos suelen
almacenarse externamente para proteger los medios de copia de respaldo en
caso de que ocurra algo en la instalación principal. Los hosts de Windows
 FUNDAMENTO DE SEGURIDAD DE RED

tienen una utilidad de copia de respaldo y restauración. Es importante que los

usuarios realicen una copia de seguridad de sus datos en otra unidad o en un
proveedor de almacenamiento basado en la nube.

Autenticación, autorización y contabilidad AAA

Todos los dispositivos de red deben estar configurados de forma segura para
proporcionar acceso solo a personas autorizadas. Los servicios de seguridad
de red de autenticación, autorización y contabilidad (AAA o "triple A")
proporcionan el marco principal para configurar el control de acceso en
dispositivos de red. AAA es una forma de controlar quién tiene permiso para
acceder a una red (autenticar), qué acciones realizan mientras acceden a la
red (autorizar) y hacer un registro de lo que se hizo mientras están allí
(contabilidad).
El concepto de AAA es similar al uso de una tarjeta de crédito. La tarjeta de
crédito identifica quién la puede utilizar y cuánto puede gastar ese usuario, y
lleva un registro de los elementos en los que el usuario gastó dinero, como se
muestra en la ilustración.
 FUNDAMENTO DE SEGURIDAD DE RED

Seguridad de los Dispositivos

Cisco AutoSecure
Un área de redes que requiere especial atención para mantener la seguridad
son los dispositivos. Probablemente ya tenga una contraseña para su
computadora, teléfono inteligente o tableta. ¿Es tan fuerte como podría ser?
¿Está utilizando otras herramientas para mejorar la seguridad de sus
dispositivos? En este tema se explica cómo hacerlo. La configuración de
seguridad se establece en los valores predeterminados cuando se instala un
nuevo sistema operativo en un dispositivo. En la mayoría de los casos, ese
nivel de seguridad es insuficiente. Para los enrutadores Cisco, la función
Cisco AutoSecure se puede utilizar para ayudar a asegurar el sistema, como
se muestra en el ejemplo.

Además, existen algunos pasos simples que se deben seguir y que se aplican
a la mayoría de los sistemas operativos:
• Se deben cambiar de inmediato los nombres de usuario y las
contraseñas predeterminados.
• Se debe restringir el acceso a los recursos del sistema solamente a las
personas que están autorizadas a utilizar dichos recursos.
• Siempre que sea posible, se deben desactivar y desinstalar todos los
servicios y las aplicaciones innecesarios.
A menudo, los dispositivos enviados por el fabricante pasaron cierto tiempo
en un depósito y no tienen los parches más actualizados instalados. Es
importante actualizar todo el software e instalar todos los parches de
seguridad antes de la implementación.

Habilitación de SSH
Telnet simplifica el acceso remoto a dispositivos, pero no es seguro. Los
datos contenidos en un paquete Telnet se transmiten sin cifrar. Por esta
razón, se recomienda encarecidamente habilitar Secure Shell (SSH) en
dispositivos para acceso remoto seguro. Es posible configurar un dispositivo
Cisco para admitir SSH mediante los siguientes seis pasos:
 FUNDAMENTO DE SEGURIDAD DE RED

Paso 1. Configure un único nombre de dispositivo. Un dispositivo debe

tener un nombre de host único distinto del predeterminado.
Paso 2. Configure la IP de nombre de dominio. Configure el nombre de
dominio IP de la red mediante el comando global configuration mode
ipdomain name.
Paso 3. Generar una llave para encriptar tráfico SSH. SSH cifra el tráfico
entre el origen y el destino. Sin embargo, para ello, se debe generar una clave
de autenticación única mediante el comando de configuración global crypto
key generate rsa generalkeys modulus bits. El módulo bits determina el
tamaño de la clave y se puede configurar de 360 bits a 2048 bits. Cuanto
mayor sea el valor de bit, más segura será la clave. Sin embargo, los valores
de bits más grandes también tardan más en cifrar y descifrar la información.
La longitud mínima de módulo recomendada es de 1024 bits.
Paso 4. Verificar o crear una entrada a la base de datos local. Cree una
entrada de nombre de usuario de la base de datos local utilizando el
usernamecomando de configuración global. En el ejemplo, el parámetro
secret se usa para que la contraseña se encripte con MD5.
Paso 5. Autenticar contra la base de datos local. Utilice el comando de
configuración de login local línea para autenticar la línea vty en la base de
datos local.
Paso 6. Habilitar sesiones de entrada SSH. De forma predeterminada, no
se permite ninguna sesión de entrada en las líneas vty. Puede especificar
varios protocolos de entrada, incluidos Telnet y SSH mediante el transport
input [ssh | telnet] comando.
Como se muestra en el ejemplo, el router R1 está configurado en el dominio
span.com. Esta información se utiliza junto con el valor de bit especificado
en el crypto key generate rsa general-keys modulus comando para crear
una clave de cifrado.
A continuación, se crea una entrada de base de datos local para un usuario
llamado Bob. Finalmente, las líneas vty están configuradas para autenticarse
en la base de datos local y para aceptar solo sesiones SSH entrantes.
 FUNDAMENTO DE SEGURIDAD DE RED

Conclusión

El trabajo que todos los días realizamos, el control que tenemos sobre
nuestras finanzas, los procesos de las empresas y hasta las comunicaciones
que hacen que se mueva el mundo utilizan computadoras, equipos y
sistemas; es así, que se han convertido estos en algo cotidiano pero de lo cual
dependemos, por eso es necesario tener todas las medidas pertinentes para
evitar fallas, ataques y fraudes.