Cómo Mantener la Seguridad de la Red
Cómo Mantener la Seguridad de la Red

Cómo Mantener la Seguridad de la Red

Seguridad en una Red LAN
  • Medidas de seguridad básicas
  • Vulnerabilidades de seguridad y las técnicas de mitigación
  • Configuración de dispositivos de red con características de protección
5

Resumen

  • Es necesario tener en cuenta las amenazas y vulnerabilidades de seguridad al planificar la implementación de una red. Se deben proteger todos los dispositivos de red. Esto incluye routers, switches, dispositivos para usuarios finales e, incluso, dispositivos de seguridad. Se deben proteger las redes contra softwares malintencionados, como virus, caballos de Troya y gusanos.
  • También se deben proteger las redes contra los ataques de red: de reconocimiento, de acceso y por denegación de servicio. Existen varias maneras de proteger la red contra los ataques de red.
  • Los servicios de seguridad de red de autenticación, autorización y contabilidad (AAA o “triple A”) proporcionan el marco principal para configurar el control de acceso en dispositivos de red.
  • Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Además, al acceder a los dispositivos de red de forma remota, se recomienda habilitar SSH en vez del protocolo Telnet, que no es seguro.

Se describe la necesidad de contar con medidas de seguridad básicas en los dispositivos de red para proteger una red LAN. También se identifica las vulnerabilidades de seguridad y las técnicas de mitigación.

¡Bienvenido!: Este tema forma parte del Capítulo 11 del curso de Cisco CCNA 1, para un mejor seguimiento del curso puede ir a la sección CCNA 1 para guiarse del índice.

1. Medidas de seguridad para dispositivos de red

Ya sean redes conectadas por cable o inalámbricas, las redes de computadoras son cada vez más fundamentales para las actividades cotidianas. Tanto las personas como las organizaciones dependen de las PC y las redes.

Las intrusiones de personas no autorizadas pueden causar interrupciones costosas en la red y pérdidas de trabajo. Los ataques a una red pueden ser devastadores y pueden causar pérdida de tiempo y de dinero debido a los daños o robos de información o de activos importantes.

1.1. Categorías de amenazas a la seguridad de red

Los intrusos pueden acceder a una red a través de vulnerabilidades de software, ataques de hardware o descifrando el nombre de usuario y la contraseña de alguien. Por lo general, a los intrusos que obtienen acceso mediante la modificación del software o la explotación de las vulnerabilidades del software se los denomina piratas informáticos.

Una vez que un pirata informático obtiene acceso a la red, pueden surgir cuatro tipos de amenazas:

  1. Robo de información: Ingreso no autorizado en una computadora para obtener información confidencial. La información puede utilizarse o venderse con diferentes fines.
  2. Robo de identidad: Forma de robo de información en la que se roba información personal con el fin de usurpar la identidad de otra persona. El robo de identidad es un problema creciente que cuesta miles de millones de dólares al año.
  3. Pérdida o manipulación de datos: Ingreso no autorizado en una computadora para destruir o alterar registros de datos. Ejemplos de pérdida de datos: el envío de un virus que cambia el formato del disco duro de una PC. Ejemplo de manipulación de datos: ingreso no autorizado a un sistema de registros para modificar información, como el precio de un artículo.
  4. Interrupción del servicio: Evitar que los usuarios legítimos accedan a servicios a los que deberían poder acceder.

Incluso en las redes pequeñas, se deben tener en cuenta las amenazas y vulnerabilidades de seguridad al planificar una implementación de red.

1.2. Seguridad física

Cuando se piensa en seguridad de red, o incluso en seguridad informática, es posible que se piense en atacantes que explotan las vulnerabilidades de software.

Una vulnerabilidad igualmente importante es la seguridad física de los dispositivos, como se muestra en la ilustración.

Plan de seguridad física
Imagen 2: Plan de seguridad física

Si los recursos de red están expuestos a riesgos físicos, un atacante puede denegar el uso de dichos recursos.

Las cuatro clases de amenazas físicas son las siguientes:

  • Amenazas de hardware: daño físico a servidores, routers, switches, planta de cableado y estaciones de trabajo
  • Amenazas ambientales: extremos de temperatura (demasiado calor o demasiado frío) o extremos de humedad (demasiado húmedo o demasiado seco)
  • Amenazas eléctricas: picos de voltaje, suministro de voltaje insuficiente (apagones parciales), alimentación sin acondicionamiento (ruido) y caída total de la alimentación
  • Amenazas de mantenimiento: manejo deficiente de componentes eléctricos clave (descarga electrostática), falta de repuestos críticos, cableado y etiquetado deficientes

Algunos de estos problemas se deben abordar en las políticas de la organización. Algunos de ellos dependen de una buena dirección y administración de la organización.

1.3. Tipos de vulnerabilidades de seguridad

Tres factores de seguridad de red son la vulnerabilidad, las amenazas y los ataques.

  • La vulnerabilidad es el grado de debilidad inherente a cada red y dispositivo. Esto incluye routers, switches, computadoras de escritorio, servidores e, incluso, dispositivos de seguridad.
  • Las amenazas incluyen a las personas interesadas en aprovechar cada debilidad de seguridad y capacitadas para hacerlo.

Las amenazas se llevan a cabo con una variedad de herramientas, secuencias de comandos y programas para iniciar ataques contra las redes y los dispositivos de red. Por lo general, los dispositivos de red que sufren ataques son las terminales, como los servidores y las computadoras de escritorio.

Existen tres vulnerabilidades o debilidades principales:


  • Tecnológicas
Debilidades Seguridad de Red tecnológicas
Imagen 3: Debilidades Seguridad de Red Tecnológicas
  • De configuración.
Vulnerabilidades de configuración
Imagen 4: Vulnerabilidades de configuración
  • De política de seguridad.
Vulnerabilidades de política
Imagen 5: Vulnerabilidades de política

Todas estas vulnerabilidades o debilidades pueden dar origen a diversos ataques, incluidos los ataques de código malintencionado y los ataques de red.

Continúe en la siguiente página…

2. Vulnerabilidades y ataques de red

Los ataques de código malintencionado incluyen diversos tipos de programas de PC que se crearon con la intención de causar pérdida de datos o daños a estos. Los tres tipos principales de ataques de código malintencionado son los virus, los caballos de Troya y los gusanos.

2.1. Virus, gusanos y caballos de Troya

  • Virus: Un virus es un tipo de software malintencionado que se asocia a otro programa para ejecutar una función no deseada específica en una estación de trabajo.

Nota: En general, los virus requieren un mecanismo de entrega, un vector, como un archivo zip o algún otro archivo ejecutable adjunto a un correo electrónico, para transportar el código del virus de un sistema a otro.

  • Caballo de Troya: solo se diferencia en que toda la aplicación se creó con el fin de que aparente ser otra cosa, cuando en realidad es una herramienta de ataque.
  • Gusanos: son programas autónomos que atacan un sistema e intentan explotar una vulnerabilidad específica del objetivo. Una vez que logra explotar dicha vulnerabilidad, el gusano copia su programa del host atacante al sistema atacado recientemente para volver a iniciar el ciclo.

La anatomía de un ataque de gusano es la siguiente:

  • Vulnerabilidad habilitadora: el gusano se instala mediante la explotación de las vulnerabilidades conocidas de los sistemas, como usuarios finales ingenuos que abren archivos adjuntos ejecutables sin verificar en los correos electrónicos.
  • Mecanismo de propagación: después de obtener acceso a un host, el gusano se copia a dicho host y luego selecciona nuevos objetivos.
  • Contenido: una vez que se infectó un host con el gusano, el atacante tiene acceso al host, a menudo como usuario privilegiado. Los atacantes pueden utilizar una vulnerabilidad local para elevar su nivel de privilegio al de administrador.

2.2. Ataques de reconocimiento

Además de los ataques de código malintencionado, es posible que las redes sean presa de diversos ataques de red.

Los ataques de red pueden clasificarse en tres categorías principales:

  • Ataques de reconocimiento: detección y esquematización no autorizadas de sistemas, servicios o vulnerabilidades.
  • Ataques de acceso: manipulación no autorizada de datos, de accesos al sistema o de privilegios de usuario.
  • Denegación de servicio: consisten en desactivar o dañar redes, sistemas o servicios.
    Ataques de reconocimiento

Los atacantes externos pueden utilizar herramientas de Internet, como las utilidades nslookup y whois, para determinar fácilmente el espacio de direcciones IP asignado a una empresa o a una entidad determinada. Una vez que se determina el espacio de direcciones IP, un atacante puede hacer ping a las direcciones IP públicamente disponibles para identificar las direcciones que están activas.

Ataques de reconocimiento
Imagen 6: Ataques de reconocimiento

Para contribuir a la automatización de este paso, un atacante puede utilizar una herramienta de barrido de ping, como fping o gping, que hace ping sistemáticamente a todas las direcciones de red en un rango o una subred determinados. Esto es similar a revisar una sección de una guía telefónica y llamar a cada número para ver quién atiende.

2.3. Ataques con acceso

Los ataques de acceso explotan las vulnerabilidades conocidas de los servicios de autenticación, los servicios FTP y los servicios Web para obtener acceso a las cuentas Web, a las bases de datos confidenciales y demás información confidencial.

Un ataque de acceso permite que una persona obtenga acceso no autorizado a información que no tiene derecho a ver. Los ataques de acceso pueden clasificarse en cuatro tipos: Ataque a la contraseña, Explotación de confianza, Redirección de puertos y Ataque man-in-the-middle.

Ataque man-in-the-middle
Imagen 7: Ataque man-in-the-middle

Uno de los tipos de ataques de acceso más comunes es el ataque a contraseñas. Los ataques a contraseñas se pueden implementar con programas detectores de paquetes para obtener cuentas de usuario y contraseñas que se transmiten como texto no cifrado.

Los ataques a contraseñas también pueden referirse a los intentos repetidos de inicio de sesión en un recurso compartido, como un servidor o un router, para identificar una cuenta de usuario, una contraseña o ambas. Estos intentos repetidos se denominan “ataques por diccionario” o “ataques de fuerza bruta”.

2.4. Ataques en DoS (Denegación de servicio)

Los ataques DoS son la forma de ataque más conocida y también están entre los más difíciles de eliminar. Incluso dentro de la comunidad de atacantes, los ataques DoS se consideran triviales y están mal vistos, ya que requieren muy poco esfuerzo de ejecución.

Sin embargo, debido a la facilidad de implementación y a los daños potencialmente considerables, los administradores de seguridad deben prestar especial atención a los ataques DoS.

Ataque Smurf
Imagen 8: Ataque Smurf

Los ataques DoS tienen muchas formas. Fundamentalmente, evitan que las personas autorizadas utilicen un servicio mediante el consumo de recursos del sistema.

Continúe en la siguiente página…

3. Mitigación de ataques de red

Los softwares antivirus pueden detectar la mayoría de los virus y muchas aplicaciones de caballo de Troya, y evitar que se propaguen en la red. Los softwares antivirus se pueden implementar en el nivel de usuario y en el nivel de red.

Mantenerse actualizado con los últimos avances en estos tipos de ataques también puede contribuir a una defensa más eficaz contra ellos.

La mitigación de ataques de gusanos requiere la diligencia del personal de administración de redes y sistemas. Los siguientes son los pasos recomendados para mitigar ataques de gusanos:

  • Contención: contenga la propagación del gusano dentro de la red. Divida en secciones las partes no infectadas de la red.
  • Inoculación: comience a aplicar parches a todos los sistemas y, si es posible, examine en busca de sistemas vulnerables.
  • Cuarentena: realice un seguimiento de todas las máquinas infectadas dentro de la red. Desconecte o quite las máquinas infectadas de la red o bloquéelas.
  • Tratamiento: limpie todos los sistemas infectados y aplíqueles parches. Es posible que algunos gusanos requieran la reinstalación completa del sistema central para limpiar el sistema.

3.1. Copias de seguridad, actualizaciones y parches

La manera más eficaz de mitigar un ataque de gusanos consiste en descargar las actualizaciones de seguridad del proveedor del sistema operativo y aplicar parches a todos los sistemas vulnerables.

Esto resulta difícil con los sistemas de usuario no controlados en la red local. La administración de numerosos sistemas implica la creación de una imagen de software estándar (sistema operativo y aplicaciones acreditadas cuyo uso esté autorizado en los sistemas cliente) que se implementa en los sistemas nuevos o actualizados. Sin embargo, los requisitos de seguridad cambian, y es posible que se deban instalar parches de seguridad actualizados en los sistemas que ya están implementados.

Una solución para la administración de parches críticos de seguridad es crear un servidor central de parches con el que deban comunicarse todos los sistemas después de un período establecido.

3.2. Autenticación, autorización y contabilidad

Los servicios de seguridad de red de autenticación, autorización y contabilidad (AAA o “triple A”) proporcionan el marco principal para configurar el control de acceso en dispositivos de red. AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran allí (autorizar) y observar las acciones que realizan mientras acceden a la red (contabilizar).

  • Autenticación: Los usuarios y administradores deben probar que son quienes dicen ser. La autenticación se puede establecer utilizando combinaciones de nombre de usuario y contraseña, preguntas de desafío y respuesta, tarjetas token y otros métodos.
  • Contabilidad: La contabilidad registra lo que hace el usuario, incluidos los elementos a los que accede, la cantidad de tiempo que accede al recurso y todos los cambios que se realizaron.
  • El concepto de AAA es similar al uso de una tarjeta de crédito. La tarjeta de crédito identifica quién la puede utilizar y cuánto puede gastar ese usuario, y lleva un registro de los elementos en los que el usuario gastó dinero, como se muestra en la ilustración.
Concepto de AAA similar al uso de tarjeta de crédito
Imagen 9: Concepto de AAA similar al uso de tarjeta de crédito

3.3. Firewalls

Además de proteger las computadoras y servidores individuales conectados a la red, es importante controlar el tráfico de entrada y de salida de la red.

El firewall es una de las herramientas de seguridad más eficaces disponibles para la protección de los usuarios internos de la red contra amenazas externas.

El firewall reside entre dos o más redes y controla el tráfico entre ellas, además de evitar el acceso no autorizado. Los productos de firewall usan diferentes técnicas para determinar qué acceso permitir y qué acceso denegar en una red.

Técnicas de Firewalls

Estas técnicas son las siguientes:

  • Filtrado de paquetes: evita o permite el acceso según las direcciones IP o MAC.
  • Filtrado de aplicaciones: evita o permite el acceso de tipos específicos de aplicaciones según los números de puerto.
  • Filtrado de URL: evita o permite el acceso a sitios Web según palabras clave o URL específicos.
  • Inspección de paquetes con estado (SPI): los paquetes entrantes deben constituir respuestas legítimas a solicitudes de los hosts internos. Los paquetes no solicitados son bloqueados, a menos que se permitan específicamente. La SPI también puede incluir la capacidad de reconocer y filtrar tipos específicos de ataques, como los ataques por denegación de servicio (DoS).

Productos Firewalls

Los productos de firewall pueden admitir una o más de estas capacidades de filtrado. Además, los firewalls suelen llevar a cabo la traducción de direcciones de red (NAT). La NAT traduce una dirección o un grupo de direcciones IP internas a una dirección IP pública y externa que se envía a través de la red. Esto permite ocultar las direcciones IP internas de los usuarios externos.

Los productos de firewall vienen en distintos formatos.

  • Firewalls basados en aplicaciones: un firewall basado en una aplicación es un firewall incorporado en un dispositivo de hardware dedicado, conocido como una aplicación de seguridad.
  • Firewalls basados en servidor: un firewall basado en servidor consta de una aplicación de firewall que se ejecuta en un sistema operativo de red (NOS), como UNIX o Windows.
  • Firewalls integrados: un firewall integrado se implementa mediante la adición de funcionalidades de firewall a un dispositivo existente, como un router.
  • Firewalls personales: los firewalls personales residen en las computadoras host y no están diseñados para implementaciones LAN. Pueden estar disponibles de manera predeterminada en el OS o pueden provenir de un proveedor externo.

3.4. Seguridad de terminales

Una red es apenas tan segura como su enlace más débil. Las amenazas destacadas que más se analizan en los medios de comunicación son las amenazas externas, como los gusanos de Internet y los ataques DoS. Pero la protección de la red interna es tan importante como la protección del perímetro de una red.

La red interna consta de terminales de red. Una terminal, o un host, es un sistema de computación o un dispositivo individual que actúa como cliente de red. Las terminales comunes son computadoras portátiles, computadoras de escritorio, servidores, smartphones y tablet PC. Si los usuarios no aplican seguridad a los dispositivos terminales, ninguna precaución de seguridad garantizará una red segura.

La seguridad de los dispositivos terminales es uno de los trabajos más desafiantes para un administrador de red, ya que incluye a la naturaleza humana.

Se debe capacitar a los empleados sobre el uso correcto de la red. En general, estas políticas incluyen el uso de software antivirus y la prevención de intrusión de hosts. Las soluciones más integrales de seguridad de terminales dependen del control de acceso a la red.

Continúe en la siguiente página…

4. Protección de dispositivos

Una parte de la seguridad de la red consiste en proteger los dispositivos propiamente dichos, incluidos los dispositivos finales y los intermediarios, como los dispositivos de red.

Cuando se instala un nuevo sistema operativo en un dispositivo, la configuración de seguridad está establecida en los valores predeterminados. En la mayoría de los casos, ese nivel de seguridad es insuficiente.

Bloqueo del router
Imagen 10: Bloqueo del router

En los routers Cisco, se puede utilizar la característica Cisco AutoSecure para proteger el sistema, como se describe en la ilustración. Existen algunos pasos simples que se deben seguir y que se aplican a la mayoría de los sistemas operativos:

  • Se deben cambiar de inmediato los nombres de usuario y las contraseñas predeterminados.
  • Se debe restringir el acceso a los recursos del sistema solamente a las personas que están autorizadas a utilizar dichos recursos.
  • Siempre que sea posible, se deben desactivar y desinstalar todos los servicios y las aplicaciones innecesarios.
  • Se deben actualizar todos los dispositivos con parches de seguridad a medida que estén disponibles.

4.1. Contraseñas Seguras

Para proteger los dispositivos de red, es importante utilizar contraseñas seguras. Las pautas estándar que se deben seguir son las siguientes:

  • Utilice una longitud de contraseña de, al menos, ocho caracteres y preferentemente de diez caracteres o más. Cuanto más larga sea, mejor será la contraseña.
  • Cree contraseñas complejas. Incluya una combinación de letras mayúsculas y minúsculas, números, símbolos y espacios, si están permitidos.
  • Evite las contraseñas basadas en la repetición, las palabras comunes de diccionario, las secuencias de letras o números, los nombres de usuario, los nombres de parientes o mascotas, información biográfica, números de identificación, nombres de antepasados u otra información fácilmente identificable.
  • Escriba una contraseña con errores de ortografía a propósito. Por ejemplo, Smith = Smyth = 5mYth, o Seguridad = 5egur1dad.
  • Cambie las contraseñas con frecuencia. Si se pone en riesgo una contraseña sin saberlo, se limitan las oportunidades para que el atacante la utilice.
  • No anote las contraseñas ni las deje en lugares obvios, por ejemplo, en el escritorio o el monitor.
Contraseñas seguras y no seguras
Imagen 11: Contraseñas seguras y no seguras

En los routers Cisco, se ignoran los espacios iniciales para las contraseñas, pero no se ignoran los espacios que le siguen al primer carácter.

Nota: un método para crear una contraseña segura es utilizar la barra espaciadora en la contraseña y crear una frase compuesta de muchas palabras. Esto se denomina “frase de contraseña“. 

Los administradores deben asegurarse de que se utilicen contraseñas seguras en toda la red. Una forma de lograr esto es utilizar las mismas herramientas de ataque por “fuerza bruta” que utilizan los atacantes como método para verificar la seguridad de la contraseña.

4.3. Prácticas de seguridad básicas

Al implementar dispositivos, es importante seguir todas las pautas de seguridad establecidas por la organización. Esto incluye la denominación de dispositivos de tal manera que facilite las tareas de registro y seguimiento, pero que también mantenga algún tipo de seguridad.

No se recomienda proporcionar demasiada información sobre el uso del dispositivo en el nombre de host. Existen muchas otras medidas básicas de seguridad que se deben implementar.

Seguridad adicional de contraseñas

Las contraseñas seguras resultan útiles en la medida en que sean secretas. Se pueden tomar diversas medidas para asegurar que las contraseñas sigan siendo secretas. Mediante el comando de configuración global service password-encryption, se evita que las personas no autorizadas vean las contraseñas como texto no cifrado en el archivo de configuración. Este comando provoca la encriptación de todas las contraseñas sin encriptar.

Además, para asegurar que todas las contraseñas configuradas tengan una longitud mínima específica, utilice el comando security passwords min-length del modo de configuración global.

Otra forma en la que los piratas informáticos descubren las contraseñas es simplemente mediante ataques de fuerza bruta, es decir, probando varias contraseñas hasta que una funcione. Es posible evitar este tipo de ataques si se bloquean los intentos de inicio de sesión en el dispositivo cuando se produce una determinada cantidad de errores en un lapso específico.

Router(config)# login block-for 120 attempts 3 within 60

Este comando bloquea los intentos de inicio de sesión durante 120 segundos si hay tres intentos de inicio de sesión fallidos en 60 segundos.

Ejemplo de configuración segura:

Router(config)#service password-encryption
Router(config)#security password min-length 8
Router(config)#login block-for 120 attempts 3 within 60
Router(config)#line vty 0 4
Router(config-vty)#exec-timeout 10 
Router(config-vty)#end
Router#show running-config
-more-
!
line vty 0 4
 password 7 03095A0F034F38435B49150A1819
 exec-timeout 10
 login

Mensajes

Los mensajes de aviso son similares a los avisos de prohibición de entrada. Son importantes para poder demandar en un tribunal a cualquiera que acceda al sistema de forma inapropiada. Asegúrese de que los mensajes de aviso cumplan con las políticas de seguridad de la organización.

Router(config)# banner motd #message#

Exec Timeout

Otra recomendación es configurar tiempos de espera de ejecución. Al configurar el tiempo de espera de ejecución, le ordena al dispositivo Cisco que desconecte automáticamente a los usuarios en una línea después de que hayan estado inactivos durante el valor de tiempo de espera de ejecución.

Los tiempos de espera de ejecución se pueden configurar en los puertos de consola, vty y auxiliares.

Router(config)# line vty 0 4
Router(config-vty)# exec-timeout 10

Este comando desconecta a los usuarios después de 10 minutos.

4.4. Activar SSH

El antiguo protocolo para administrar dispositivos de manera remota es Telnet. Telnet no es seguro. Los datos contenidos en un paquete Telnet se transmiten sin encriptar. Mediante una herramienta como Wireshark, es posible que alguien detecte una sesión de Telnet y obtenga información de contraseñas.

Por este motivo, se recomienda especialmente habilitar SSH en los dispositivos para obtener un método de acceso remoto seguro.

Es posible configurar un dispositivo Cisco para que admita SSH mediante cuatro pasos:

  • Paso 1. Asegúrese de que el router tenga un nombre de host exclusivo y configure el nombre de dominio IP de la red mediante el comando ip domain-name nombre-de-dominio en el modo de configuración global.
  • Paso 2. Se deben generar claves secretas unidireccionales para que un router encripte el tráfico SSH. La clave es precisamente lo que se utiliza para encriptar y descifrar datos. Para crear una clave de encriptación, utilice el comando crypto key generate rsa general-keys modulus tamaño-del-módulo en el modo de configuración global. E
Router(config)# crypto key generate rsa general-keys modulus 1024
  • Paso 3. Cree una entrada de nombre de usuario en la base de datos local mediante el comando username nombre secret secreto del modo de configuración global.
  • Paso 4. Habilite las sesiones SSH entrantes por vty mediante los comandos line vty login local y transport input ssh.
Acceso remoto mediante SSH
Imagen 12: Acceso remoto mediante SSH

Ahora se puede acceder al servicio SSH del router mediante un software de cliente SSH.

El Mejor Pack de CCNA[Clic Aquí]