BRS05. Diseño de redes seguras.

 Wifi Conceptos
o Cobertura y canles - SSID BSS y ESS
o Vulnerabilidades: .- wep .- WPA .- WPS
o Modos y frames
 Previenen Soluciones DLP
o Protege Fugas de información
 Facilitan VPN que pueden ser:
o red/cliente - Red/red
 pueden ser monitorizadas IDS/IPS que tiene:
o Problemáticas: métodos evasión .- De Host .- De Red

1.- Seguridad en redes inalámbricas.

1.1.- Conceptos básicos.
1.2.- Debilidades en las redes wifi.
1.3.- Vulnerabilidades en protocolos wifi.
1.4.- Ataques a redes wifi.
2.- Soluciones DLP.
3.- Redes Privadas virtuales y túneles.
4.- Herramientas de monitorización.
4.1.- Tecnologías.

1.- Seguridad en redes inalámbricas.

Las redes han ido creciendo a lo alrgo del tiempo siguiendo criterios de
necesidad, y no mediante un estudio completo de la red. Ahora toca arreglar
esos problemas, creando/reformando arquitecturas de red xa que sean
seguras, dimensionadas y escalables para cada [Link] control
En conexiones inalámbricas el canal por el que se transmite info, es
accesible a todos. Cualquiera será capaz de conectarse o inspeccionar la
info. de una red wifi/bluetooth.
1.1.- Conceptos básicos.
Cobertura, canales y SSID
Existe limitación del radio de cobertura (en interiores aprox 20 m y + al aire
libre >100m si condiciones lo permiten). La potencia de la señal se mide en
mili vatios (A+ potencia, + alcance). El receptor o antena también influye
en la cobertura (podemos usar antenas alimentadas eléctric. para ganar
varios km cobertura). La banda de 2,4 Ghz da + cobertura pero menos
velocidad (que 5Ghz). Los ptos acceso transmiten la señal Wifi a través
de diferentes canales para mejor transmisión evitando contaminación de
otras señales en la misma banda. El SSID (Service Set Identifier) es el
nombre de la red wifi. Los ptos acceso (routers) “anuncian” su red
continuamente, permitiendo a clientes listar redes disponibles. Hay tb
redes “ocultas” que no anuncian de forma activa su SSID (no es una
medida de protección aunque antes así se pensara).
BSS
O Basic Service Set, se trata de la configuración normal/habitual. Un
pto de acceso al que se conectan varios clientes. Están formadas por:
 El SSID: visto en el punto previo.
 El BSSID: O Basic SSID que es la MAC, o dirección física del
pto acceso (AP).
ESS
Extended Service Set: es la config. que
contempla + de 1 pto acceso para la
conexión. Existirá el ESSID (Extended
SSID), simil al SSID pero que puede
haber varios ptos de acceso con <>
SSID. Se despliegan en ciudades,
universidades, aeropuertos, y empresas
con gran extensión.
Modos
 Infraestructura: El modo más común. La generan los propios router wifi o ptos acceso. Es la que
podemos encontrar en los hogares, empresas y ciudades.
 Ad-hoc: o "peer-to-peer". No requieren pto de acceso centralizado. Los dispositivos de la red
inalámbrica se conectan directamente entre sí.
Frames
1. Management frames: (paquetes de gestión), Son responsables de mantener la comunicación entre
el pto acceso y el cliente asociado a él. Alguno de sus subtipos:
o Beacon frame - ATIM frame - Probe response
o Probe request - Disassociation frame - Association Request frame
o Association Response frame
2. Control frames: (paquetes de control), son responsables del intercambio adecuado de info (Data)
entre pto acceso y clientes asociados. Tiene varios subtipos:
o CTS: Clear to Send - RTS: Request to Send - ACK: Acknowledgement frame
3. Data frames: paquetes con info. Los más importantes xa tratarde descifrar la contraseña encriptada,
ya que dichos paquetes contienen toda la información que se envía a través de nuestra red wifi.
Tanto xa auditoría como xa ataque a red, hay que centrarse en los beacon frames, los probe request y los
probe response. A través del análisis de estos paquetes se podrá obtener información como:
 SSID - Tipo de cifrado- - Canal - MAC - [Link] fabricante
1.2.- Debilidades en las redes wifi.
En infraestructura cableada, acceder a la red requiere acceso físico (mediante cable Ethernet RJ-45)
impidiendo acceso a no autorizados. Con aparición redes inalámbricas  necesidad de proteger accesos no
autorizados. Cuando se adquiere router wifi o pto acceso normalm. está sin cifrado (o con [Link]
defecto) y sin control de acceso a la red  totalmente inseguro. Debemos implementar tanto el cifrado como
el control de acceso a la red inalámbrica xq cualquier usuario que se pueda conectar podría espiar el tráfico.
Desde inicios, de las medidas más interesantes xa seguridad en una wifi, era el filtrado por MAC. Hoy
recomendable pero ineficaz xq posible evadirlo modificando MAC desde un SO Linux con app macchanger.
1.3.- [Link] protocolos wifi.
Si comunicación en claro, cualquiera puede
interceptar la comunicación y sin ser siquiera
detectado. Los protocolos de cifrado existentes son:
WEP (Wired Equivalent Privacy)
El objetivo es proporcionar seguridad equivalente a
la de red cableada mediante una contraseña. El sist-
WEP no protege de escuchas de tráfico (sniffing) por
usuarios ya conectados (ídem a red cableada).
Hoy en día, el cifrado WEP no se considera seguro
(ataques sencillos que permiten obtener la clave
rápidamente sin emplear fuerza bruta basta con
conseguir una cantidad suficiente de paquetes para obtener la contraseña).
WPA, WPA2 y WPA3 (Wi-Fi Protected Access)
Usa un vector de inicialización de 48 bits y clave de cifrado de 128 bits. Usa el Protocolo de integridad de
clave temporal (TKIP). WEP usa misma clave para cifrar todos los paquetes  WPA con TKIP, cambia la
clave de cifrado en cada paquete. WPA2 es la versión certificada del estándar de la IEEE de WPA con
algunas actualizaciones como el uso de cifrado AES.
TKIP (“Protocolo de integridad de clave temporal”) y AES (Advanced Encryption Standard) son 2 tipos
diferentes de cifrado utilizables en una red WiFi. TKIP fue introducido con WPA para reemplazar cifrado
WEP, aunque es muy similar a WEP. AES mucho más seguro introducido con WPA2 (no sólo xa redes Wifi)
aunque vulnerable a ataque de fuerza bruta usando diccionario sobre el paquetes 4wayHandshake usar
contra. muy segura. El “PSK”, en ambos casos, significa “llave pre-compartida” o frase de cifrado (WPA-
Enterprise utiliza servidor RADIUS en su lugar, y crea claves aleatoria únicas).
WPS
Los routers inalámbricos han evolucionado xa hacernos la vida más cómoda e incorporan funcionalidad
llamada WPS o WiFi Protected Setup  mecanismo para facilitar conexión de dispositivos a nuestra WiFi.
con varios métodos pero el más extendido es el intercambio de PIN. Si el router habilitado WPS,
simplemente le enviamos PIN de 8 dígitos para que router permita acceso el tiempo que atacante necesita
para averiguar PIN de 8 dígitos es mucho menor que para averiguar la contraseña WPA2/3 de la red.
Apps como reaver pueden llevar a cabo ataques contra este tipo de Ss aunque muchos router cuentan con
medidas de protección para evitarlo.
1.4.- Ataques a redes wifi.
 Man in The Middle: Un usuario autorizado en la red
capturar el tráfico si no va cifrado. Derivados de este
tipo ataque, se pueden suplantar MAC, suplantación
de servidor DHCP y un largo etcétera.
 Falsificación puntos de acceso: Suplantar router.
 Denegaciones de servicio: Sencillo si pto acceso
no tiene funcionalidades contra este tipo ataques.
 Deautenticación de usuarios: Usuarios conectados
a router wifi, son desconectados por atacante.
2.- Soluciones DLP.
“Un DLP (prevención de pdda datos) es el cjto de herram. y
procesos usados para garantizar que datos confidenciales
de Ea no se pierdan, se utilicen de forma inapropiada o se
accedan x usuarios no autorizados”. La info. es uno de los activos más importantes de Cias x lo que su pdda
o filtración [Link] de sus mayores riesgos. Muchas compañías clasifican info. en fn de importancia
(criticidad e impacto ante la pérdida) gralmente mediante el marcaje de docs con niveles de clasificación con
herram. Otra herramienta posible es el IRM (Information Resource Manag) donde info se gestiona en base a
destinatarios, [Link] o cuándo debe ser destruida y se puede complementar con vigilancia basada en
comportamientos de usuarios en fn de los movimientos que realizan:
 Descargas masivas de documentos
 Permisos sobre nuevas carpetas
 Falta de recertificación de permisos en las carpetas.
Estas herramientas están basadas en la necesidad de conocer de los usuarios, revisión de permisos sobre
la información (recertificación), mínimo privilegio, control y vigilancia. La difusión del perímetro a Ss cloud y
dispositivos BYOD ha incrementado estos riesgos.
La pdda de info puede llegar a  delitos penales o sanciones. La prevención de fugas posible con herram.
como un DLP o en base a serie de políticas seguridad (q sin ayuda de tecnología podría ser insuficiente).
Ventajas de un DLP
Este tipo de soluciones cuenta con caract. que les hacen ideales para proteger los datos entre otras cosas:
 Identificación de amenazas tanto internas como externas: Actúa en ocasiones como solución
antimalware en compañía de cortafuegos. A través de config. directivas y políticas se parametrizan
estas herramientas para evitar tráfico no esperado o la exfiltración de información no autorizada.
 Se alinea con el cumplimiento normativo: Las [Link]án sujetas a cumplir leyes relacionadas con
[Link]. Estas herramientas facilitan dicha labor x mecanismos de protección xa asegurar datos.
 Segregación de roles para evitar el envío de información: un DLP no permitirá transferencia de
determinados tipos de archivos sin autorización pertinente a través de de credenciales o sistemas
que garanticen la autorización.
Habitualmente son soluciones comerciales aunque es posible encontrar Open Source (no toda funcionalidad
pero válidas para determinado tipo de Eas). Listado: [Link]
data-loss-prevention-dlp-solutions/
3.- Redes Privadas virtuales y túneles.
Para obtener seguridad en conexiones de Internet (canal inseguro) surgen
soluciones xa usar un canal inseguro para establecer un canal seguro por el
mismo. Surgen conceptos de túneles y/o VPNs.
Qué es una VPN y para qué sirve
Es la implementación de una red privada y segura sobre red pública y no
segura que es Internet proporcionando o construyendo un túnel IP cifrado
y/o encapsulado a través de la Red. El tipo de encapsulado ha de estar
permitido en la red pública. Los paquetes de la red privada no accesibles
por terceros salvo vulnerabilidad o problema con certificado.
Una vez que se establece conexión con Ss de VPN, el direcc. IP será
independiente del de la red pública, pasando a formar parte del
direccionamiento privado de la organización (usado gralm. Xa permitir acceso a red interna a empleados
itinerantes). Los clientes que se conectan pasan a ser un equipo más de la red corporativa/interna. Suele
hacerse con encriptación con IPSec o protocolo más evolucionado.
Son más seguras que una extranet convencional y permite conectar delegaciones o sedes de Ea, simulando
red local transparente y económica, permitiendo acceso a clientes, socios y consultores a recursos de la red.
Actualm. también VPN xa saltarse [Link]áficas para el acceso a Ss no disponibles en nuestro país.
Tipos o modos de enlace
2 modos para establecimiento de las conexiones vía VPN:
 Enlace Cliente - Red: El cliente se conecta en remoto a LAN.
Usa PPP para establecer conexión entre cliente y LAN.
 Enlace Red – Red: Se encapsula directam. el tráfico de red
local. Nos ahorramos el paso PPP.
Aspectos técnicos (tunneling)
Tunneling consiste en encapsular un protocolo de red sobre otro
([Link] encapsulador) creando un túnel dentro de una red. Se
implementa incluyendo un PDU (Ud datos de protocolo) dentro de otra
PDU xa transmitirla de un extremo al otro del túnel sin que sea necesaria
interpretación intermedia de la PDU encapsulada (los paquetes de datos
se transportan sobre Internet y nadie salvo emisor y receptor pueden
ver en claro su contenido). El túnel se define por los ptos extremos y el
prot. Comunic. empleado (SSH, IPSec, etc.).
Se añade cabecera IP adicional al paquete original que circula x
Internet hasta el router destino donde es eliminada. El router que
permite accesos vía tunel se denomina servidor de túneles.
IPSec
A nivel técnico, los protoc. de IPsec actúan en capa de red (capa 3
OSI). Otros [Link] para Internet como SSL, TLS y SSH operan
en capa de transporte (capas OSI 4 a 7) hacia arriba  IPsec es más
flexible xq puede ser usado para proteger protoc. de capa 4, incluyendo
TCP y UDP (los más usados). Para que app pueda usar IPsec no hay
que hacer cambios, mientras que para usar SSL y otros de niveles superiores, las apps necesitan
modificaciones sobre su implementación.
IPSec es bastante flexible xq permite seleccionar protoc. seguridad, algoritmos a usar y las claves para
estos Ss. Algunos de los servicios de seguridad que proporciona:
 Control de acceso: incluso mediante infraestructura PKI.
 Integridad: a través del control del flujo de las transmisiones.
 Autentificación del origen de los datos
 Confidencialidad: mediante el encapsulado.
Ventajas VPN
 Ahorro en costes: al emplear Internet, las conexiones privadas muy económicas.
 No se compromete la seguridad de la red empresarial: comunicación por canal privado.
 El cliente remoto adquiere la condición de miembro de la red corporativa con todas las medidas
de seguridad que conlleva: permisos, directivas de seguridad, políticas, etc.
  El cliente tiene acceso a todos los recursos ofrecidos en la red corporativa incluyendo servicios
como impresoras, correo electrónico, base de datos, etc.
 Acceso desde cualquier punto del mundo si se tiene acceso a una conexión a Internet.
Inconvenientes VPN
 No se garantiza disponibilidad. Si no tenemos conexión a internet no dispondremos del canal.
 No se garantiza el caudal y estaremos sujetos a la velocidad que provea el ISP.
 Gestión de claves de acceso y autenticación delicada y laboriosa.
 La fiabilidad es menor que en una línea dedicada al depender del ISP.
 Mayor carga en el cliente VPN x trabajo extra de encapsular y cifrar el tráfico.
 Mayor complejidad en la [Link] cliente para confluencia de Ss como proxy, [Link], etc.
 Una VPN se considera segura pero no viajamos por Internet con las amenazas sujetas a este tipo
de canal y también el compromiso de los certificados podría comprometer a la organización.
4.- Herramientas de monitorización.
Tanto IDS como IPS son piezas claves en la atención e
investigación de incidentes de seguridad y solución para
la prevención de determinado tipo de amenazas.
Aunque no son solución general, son una pieza más.
IDS [Link]ón de Intrusiones monitorizan tráfico
entrante y revisan reglas asociadas a ataques en su
BBDD  si detectan comportamiento sospechoso,
lanzan alerta a operadores del Ss. Los IDS comerciales
cuentan con BBDD y reglas más completas que los
open source. Comportamiento reactivo, no mitigan la
intrusión, simplemente informan de ella.
IPS: Similar a IDS pero con carácter preventivo. Si
incidente trata de afectar a un sist. y es detectado,
además de informar  acción para contenerlo y si
posible, mitigarlo. Analizan en tiempo real tráfico de red
xa identificar anomalías, comportamientos extraños, etc.
x cotejo con reglas de BBDD interactuar con
amenaza bloqueando conexión, descartando paquetes,
cerrando puertos, etc. Casi todas soluciones tienen
funcionalidad de IPS y además se combinan con apps
tipo UTM Unified Threat Man (Gestión [Link])
4.1.- Tecnologías.
Ambas soluciones se pueden implementar en diferentes tipos de activos. De esta manera podemos
encontrar
1. Basados en Red (o Network IDS/IPS): Monitorizan actividad de un segmento de red.
2. B. en Host (Host IDS/IPS) Monitorizan actividad/comport. de un host (servidor o puesto trabajo)
3. Híbridos Son IDS/IPS basados en host con capacidades de detectar eventos en la red.
Network IDS/IPS NIPS/NIDS
Al estar desplegadas en un segmento de red pueden proteger varios sistemas al mismo tiempo. “Escuchan”
el tráfico en la red (sin alterarlo) –IDS-,pero ante evento no contemplado o alerta, llevará a cabo una acción
de contención (IPS). Los IDS/IPS de red pueden interpretar todas las opciones e info. que pudiera llevar un
paquete TCP, UDP o ICMP y de otros tipos. Pueden detectar intentos repetidos de un evento (portscan, uso
de [Link], etc.) y pueden colocarse en modo “invisible/monitor” con interfaz que solo escucha.
Qué pueden detectar
 Paquetes con piezas de código o payload maliciosos.
 Sesiones no permitidas (intentos de ftp, telnet, etc.)
 Secuencia de paquetes que sigue un tipo de ataque conocido.
Inconvenientes
Requiere configuración especial en switches o la electrónica de red para que el equipo donde está instalado
el IDS/IPS pueda escuchar el tráfico de todo un segmento. Esto supone:
 Requieren una configuración inicial y parametrización que puede ser más o menos compleja.
 Pueden tener muchos “falsos positivos” y “falsos negativos”.
 Su funcionamiento es inútil en conexiones cifradas (SSL, VPN, SSH).
Host IDS/IPS (HIDS/HIPS)
Se instala directamente en servidores que soportan apps específicas (BBDD, www, DNS, etc.) o puestos
críticos como los usados para admón sistemas. Además de detectar ataques locales, también pueden
detectar anomalías en la red.
Inconvenientes: Al formar parte del SO, consumen recursos y en ocasiones pueden interferir con otras apps
o Ss. Para que funcionen ok necesario que registro de logs esté habilitado  gran nivel de detalle de
auditoría para investigación de los incidentes.
Ante evento, permiten reconfiguración dinámica del [Link] contenerlo o bloquearlo. Tipos respuesta:
 Suspensión o bloqueo de cuentas de usuario - Bloqueo del ataque
 Registro de eventos para análisis posterior - Notificación de eventos (alarma, e-mail)
 Ejecución de scripts
Otros problemas y conclusiones
Problemas relacionados con la propia solución como:
· Si vamos a disponer de varios IDS/IPS, la administración de eventos se vuelve compleja,
· Problema de espacio de Tentre aparición de ataque nuevo y la aparición de la firma para el IDS/IPS.
· Existencia de falsos Positivos/falsos negativos. Los 1º  tarea extra de parametrización y afinado,
los 2º  problema grave, la solución detecta amenazas reales.
Métodos de evasión: Además hay q añadir que se crean métodos xa evitar ser detectados:
 Ataques de inserción:
o Mediante la inyección de paquetes especialmente manipulados.
o Disminuir el tamaño de paquetes para pasar desapercibidos.
o Ocultar verdadera información a través de “covert channels”.
 Evasión:
o Fragmentación de los paquetes para que estos no sean inspeccionados.
o Spoofing o falsificación para hacer creer a los IDS/IPS que se trata de paquetes legítimos
o Modificación de la secuencia y/o payload de paquetes de un ataque conocido para que la
regla no sea capaz de detectarlo.
 Denegación de servicio (DoS):
o Ataques falsos a HIDS para que deshabiliten cuentas y servicios de manera automática.
o Ataques a gran escala para llenar bases de datos con registros de log.
o Ataques para provocar sobrecarga y que dejen de actuar. Es posible configurar para que en
caso de mal funcionamiento, se desconecten aunque puede ser una opción arriesgada.