Escolar Documentos
Profissional Documentos
Cultura Documentos
El mantenimiento de una red segura garantiza la seguridad de los usuarios de la red y protege
los intereses comerciales. El mantenimiento de una red segura y protegida, proporciona un
entorno más estable y de trabajo funcional para todos.
1
© 2012 - Miguel Guerra - mguerra@iastur.es
Las amenazas a la red.
Además de prevenir y negar el tráfico malicioso, la seguridad de la red también requiere que
los datos permanecerán protegidos. La Criptografía, el estudio y la práctica de ocultar
información, se utilizan de manera intensiva en la seguridad de la red moderna.
2
© 2012 - Miguel Guerra - mguerra@iastur.es
Evolución de las tecnologías de protección de datos.
ISC2 ofrece productos y servicios de educación de seguridad de red en más de 135 países. Su
membresía incluye más de 75.000 profesionales de la
industria certificados en todo el mundo.
Los 12 ámbitos de la
seguridad de la red
proporcionan una separación
conveniente para los
elementos de seguridad de
la red. Si bien no es
importante memorizar estos
12 dominios, es importante
ser conscientes de su
existencia y la declaración
formal de la norma ISO.
Servirán como una
referencia útil en su trabajo
como seguridad de la red
profesional.
Uno de los ámbitos más importantes es la política de seguridad, que es una declaración formal
de las reglas que las personas deben cumplir para el acceso a la tecnología y la información de
una organización. El concepto, el desarrollo y aplicación de una política de seguridad son
fundamentales para mantener una organización segura.
3
© 2012 - Miguel Guerra - mguerra@iastur.es
Política de Seguridad de la Red
El arquitectura Cisco SecureX está diseñada para proporcionar una seguridad efectiva para
cualquier usuario, utilizando cualquier dispositivo, desde cualquier lugar y en cualquier
momento. Esta nueva arquitectura de seguridad utiliza un lenguaje de la política de alto nivel
que tiene en cuenta todo el contexto de una situación - quién, qué, dónde, cuándo y cómo.
Con la aplicación de la política de seguridad altamente distribuida, la seguridad es empujada
cerca de donde el usuario final está trabajando.
4
© 2012 - Miguel Guerra - mguerra@iastur.es
2.- Virus, gusanos y troyanos
Las principales vulnerabilidades de las computadoras de los usuarios finales son los
ataques de virus, gusanos y troyanos:
• Un virus es un software malicioso que se adjunta a otro programa para ejecutar una
función indeseada específica en una computadora.
La mayoría de los virus requiere una activación de parte del usuario final y puede
permanecer inactivo por largos períodos de tiempo y luego activarse en una fecha u
hora específica.
Hay cinco fases básicas de ataque, ya sea un virus o un gusano el quese contagie.
• Un troyano es una aplicación escrita para parecerse a otra cosa. Cuando se descarga
y ejecuta un troyano, ataca a la computadora del usuario final desde dentro.
Los troyanos generalmente se clasifican de acuerdo al daño que causan o la manera
en que violan el sistema:
Troyanos de acceso remoto (permiten el acceso remoto no autorizado)
Troyano de envío de datos (provee al atacante de datos sensibles como
contraseñas)
Troyano destructivo (corrompe o elimina archivos)
Troyano proxy (la computadora del usuario funciona como un servidor
proxy)
Troyano FTP (abre el puerto 21)
5
© 2012 - Miguel Guerra - mguerra@iastur.es
Troyano inhabilitador de software de seguridad (detiene el funcionamiento
deprogramas antivirus y/o firewalls)
Troyano de denegación de servicio (reduce la velocidad o detiene la
actividad en la red)
Los productos antivirus son basados en host. Estos productos son instalados en las
computadoras y los servidores para detectar y eliminar virus. Sin embargo, no pueden detener
a los virus de entrar a la red, por lo que el profesional de la seguridad en redes debe
mantenerse al tanto de los virus principales y de las actualizaciones en cuanto a virus
emergentes.
Los virus, gusanos y troyanos pueden hacer lentas a las redes o detenerlas completamente y
corromper o destruir datos. Hay opciones de hardware y software disponibles para mitigar
estas amenazas. Los profesionales de la seguridad en redes deben estar constantemente
alerta. No es suficiente con reaccionar a las amenazas. Un buen profesional de la seguridad en
redes examina toda la red en busca de vulnerabilidades y las arregla antes de que tome lugar
un ataque.
6
© 2012 - Miguel Guerra - mguerra@iastur.es
3.- Metodologías de ataque.
Ataques de reconocimiento
Los ataques de reconocimiento utilizan varias herramientas para ganar acceso a una red:
Sniffers de paquetes
Barridos de ping
Escaneo de puertos
Búsquedas de información en Internet
7
© 2012 - Miguel Guerra - mguerra@iastur.es
Barridos de ping
Escaneo de puertos
Búsqueda de
Información
en Internet
8
© 2012 - Miguel Guerra - mguerra@iastur.es
Ataques de acceso
Los ataques de acceso generalmente emplean ataques de contraseña para adivinar las
contraseñas del sistema. Los ataques de contraseña pueden ser implementados utilizando
varios métodos, incluyendo ataques de fuerza bruta, programas troyanos, falsificación de IPs y
sniffers de paquetes.
9
© 2012 - Miguel Guerra - mguerra@iastur.es
Explotación de la confianza - El atacante usa privilegios otorgados a un sistema en una
forma no autorizada, posiblemente causando que el objetivo se vea comprometido.
10
© 2012 - Miguel Guerra - mguerra@iastur.es
Desbordamiento de buffer - El programa escribe datos más allá de la memoria de
buffer alocada. Los desbordamientos de buffer surgen generalmente como consecuencia
de un error en un programa C o C++. Un resultado del desbordamiento es que los datos
válidos se sobrescriben o explotan para permitir la ejecución de código malicioso.
Los ataques de acceso en general pueden ser detectados revisando los registros, el uso del
ancho de banda y la carga de los procesos.
11
© 2012 - Miguel Guerra - mguerra@iastur.es
Ataques de Denegación de Servicio
Hay dos razones principales por las cuales puede ocurrir un ataque de DoS:
Los ataques de DoS intentan comprometer la disponibilidad de una red, un host o una
aplicación. Se los considera un riesgo importante porque pueden interrumpir fácilmente un
proceso de negocios y causar pérdidas significativas. Estos ataques son relativamente sencillos
de llevar a cabo, incluso por un atacante inexperto.
12
© 2012 - Miguel Guerra - mguerra@iastur.es
Tres ataques de DoS comunes:
Hay cinco maneras básicas en las que los ataques de DoS pueden hacer daño:
13
© 2012 - Miguel Guerra - mguerra@iastur.es
Mitigación de ataques de red
- de ataques de reconocimiento
- de ataques de acceso
14
© 2012 - Miguel Guerra - mguerra@iastur.es
Defender su red de ataques requiere vigilancia y educación constantes. Hay 10 buenas
prácticas que representan la mejor aseguración de su red.
1. Mantener parches actualizados, instalándolos cada semana o día si fuera posible, para
prevenir los ataques de desbordamiento de buffer y la escalada de privilegios.
2. Cerrar los puertos innecesarios y deshabilitar los servicios no utilizados.
3. Utilizar contraseñas fuertes y cambiarlas seguido.
4. Controlar el acceso físico a los sistemas.
5. Evitar ingresos innecesarios en páginas web. Algunas páginas web permiten a sus
usuarios ingresar nombre de usuario y contraseñas. Un hacker puede ingresar algo
más que solo un nombre de usuario. Por ejemplo, ingresar "jdoe; rm -rf /" puede
permitir a un atacante remover el archivo del sistema raíz de un servidor UNIX. Los
programadores deben limitar la cantidad de caracteres de ingreso y no aceptar
caracteres como | ; < >.
6. Realizar copias de resguardo y probar los archivos resguardados regularmente.
7. Educar a los empleados en cuanto a los riesgos de la ingeniería social y desarrollar
estrategias para validar las entidades a través del teléfono, del correo electrónico y en
persona.
8. Cifrar y poner una contraseña a datos sensibles.
9. Implementar hardware y software de seguridad como firewalls, IPSs, dispositivos de
red privada virtual (virtual private network - VPN), software antivirus y filtrado de
contenidos.
10. Desarrollar una política de seguridad escrita para la compañía.
15
© 2012 - Miguel Guerra - mguerra@iastur.es
4.- NFP (Fundación para la Protección de la Red)
El Cisco Network Foundation Protection (NFP), proporciona directrices generales para la
protección de la infraestructura de red. Estas directrices constituyen la base para la entrega
continua del servicio.
Plano de Control - Responsable del enrutamiento correcto de los datos. El tráfico del
plano de control consta de paquetes generados en los dispositivos, necesarios para el
funcionamiento de la propia red, tales como los intercambios de mensajes ARP o
anuncios de enrutamiento OSPF.
Plano de gestión - Responsable de la gestión de elementos de la red. El tráfico del
plano de gestión se genera, ya sea por los dispositivos de red o estaciones de gestión
de red a través de procesos y protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA,
SNMP, syslog, TACACS +, RADIUS y NetFlow.
Plano de datos (plano de reenvío) - Responsable de los datos de envío. El tráfico del
plano de datos consiste normalmente en paquetes generados por los usuarios que se
reenvían entre las estaciones finales. La mayoría del tráfico viaja a través del router o
un switch, a través del plano de datos. Los paquetes de datos son procesados en la
caché de conmutación rápida.
Plano de Control
16
© 2012 - Miguel Guerra - mguerra@iastur.es
Plano de Control Policial (CoPP): característica de IOS de Cisco diseñado para permitir
a los usuarios controlar el flujo de tráfico que es manejado por el procesador de rutas
de un dispositivo de red.
CoPP está diseñado para evitar que el tráfico innecesario colapse el procesador de ruta. La
función de CoPP trata el plano de control como una entidad separada con su propia entrada
(input) y salida (output). CoPP consta de las siguientes características:
Plano de Control Policial (CoPP) - permite a los usuarios configurar un filtro de calidad
de servicio que gestiona el flujo de tráfico de paquetes. Esto protege el plano de
control contra el reconocimiento y los ataques de denegación de servicio.
Protección del plano de control (CPPr) - una extensión de CoPP, permite la vigilancia
de granularidad. Por ejemplo, CPPR puede filtrar y limitar la velocidad de los paquetes
que se van al plano de control del router y descartar los paquetes maliciosos y error (o
ambos).
El registro del plano de control - permite el registro de los paquetes que CoPP o CPPr.
Se proporciona el mecanismo de registro necesarios para implementar, supervisar y
solucionar problemas de manera eficiente las funciones del CoPP.
Plano de Gestión
La Seguridad del plano de datos se puede implementar con el uso de ACL, mecanismos de
antispoofing y funciones de seguridad de capa 2.
Las ACL se utilizan para asegurar el plano de datos en una variedad de maneras, incluyendo:
17
© 2012 - Miguel Guerra - mguerra@iastur.es
Mitigar los ataques de spoofing (suplantación)
Proporcionar control de ancho de banda
Clasificación de tráfico para proteger los planos de gestión y control
Las siguientes son las herramientas de seguridad de nivel 2 integrada en los switches Cisco
Catalyst:
18
© 2012 - Miguel Guerra - mguerra@iastur.es