CCNA Security

TEMA 1 AMENAZAS DE SEGURIDAD EN LAS REDES MODERNAS

1.- Evolución de la Seguridad en la Red

En julio de 2001, el gusano Código Rojo
atacó a los servidores web a nivel mundial,
infectando a más de 350.000 Hosts El gusano no
sólo obstaculizó el acceso a los servidores
infectados, también afectó a las redes locales de
alojamiento de los servidores, haciéndolos muy
lento o inservible. El gusano Code Red causó una
denegación de servicio (DoS) a millones de usuarios.

El mantenimiento de una red segura garantiza la seguridad de los usuarios de la red y protege
los intereses comerciales. El mantenimiento de una red segura y protegida, proporciona un
entorno más estable y de trabajo funcional para todos.

El trabajo de un profesional de la seguridad de la red incluye asegurar que el personal

correspondiente esté bien versado en las herramientas de seguridad de red, procesos,
técnicas, protocolos y tecnologías.

Cisco ha diseñado las Operaciones de Inteligencia de Seguridad (SIO), es un servicio basado en

cloud que conecta información sobre la amenaza global, los servicios basados en reputación, y
un sofisticado análisis de los dispositivos de seguridad de red de Cisco, para proporcionar una
mayor protección con tiempos de respuesta más rápidos.

1
© 2012 - Miguel Guerra - mguerra@iastur.es
 Las amenazas a la red.

Evolución de la Seguridad en la red

Además de prevenir y negar el tráfico malicioso, la seguridad de la red también requiere que
los datos permanecerán protegidos. La Criptografía, el estudio y la práctica de ocultar
información, se utilizan de manera intensiva en la seguridad de la red moderna.

La criptografía garantiza la confidencialidad de datos, que es uno de los tres componentes de

seguridad de la información: confidencialidad, integridad y disponibilidad.

2
© 2012 - Miguel Guerra - mguerra@iastur.es
 Evolución de las tecnologías de protección de datos.

Organizaciones de Seguridad de Red

ISC2 ofrece productos y servicios de educación de seguridad de red en más de 135 países. Su
membresía incluye más de 75.000 profesionales de la
industria certificados en todo el mundo.

La misión de ISC2 es hacer del mundo cibernético un

lugar más seguro mediante la elevación de la
seguridad de la información de dominio público, y
apoyar y desarrollar profesionales de la seguridad de
red de todo el mundo.

Ámbitos (dominios) de seguridad de la red

Los 12 ámbitos de la
seguridad de la red
proporcionan una separación
conveniente para los
elementos de seguridad de
la red. Si bien no es
importante memorizar estos
12 dominios, es importante
ser conscientes de su
existencia y la declaración
formal de la norma ISO.
Servirán como una
referencia útil en su trabajo
como seguridad de la red
profesional.

Uno de los ámbitos más importantes es la política de seguridad, que es una declaración formal
de las reglas que las personas deben cumplir para el acceso a la tecnología y la información de
una organización. El concepto, el desarrollo y aplicación de una política de seguridad son
fundamentales para mantener una organización segura.

3
© 2012 - Miguel Guerra - mguerra@iastur.es
Política de Seguridad de la Red

La política de seguridad de la red es un amplio, documento diseñado para claramente

aplicables a las operaciones de una organización. La política se utiliza para ayudar en el diseño
de la red, transmitir los principios de seguridad, y facilitar el despliegue de redes.

El arquitectura Cisco SecureX está diseñada para proporcionar una seguridad efectiva para
cualquier usuario, utilizando cualquier dispositivo, desde cualquier lugar y en cualquier
momento. Esta nueva arquitectura de seguridad utiliza un lenguaje de la política de alto nivel
que tiene en cuenta todo el contexto de una situación - quién, qué, dónde, cuándo y cómo.
Con la aplicación de la política de seguridad altamente distribuida, la seguridad es empujada
cerca de donde el usuario final está trabajando.

Esta arquitectura incluye los siguientes cinco componentes principales:

• Los motores de escaneo

• Mecanismos para la prestación
• Operaciones de Seguridad Inteligente (SIO)
• Consolas de administración de directivas
• Próxima generación de punto final

Red autodefensiva de CISCO

4
© 2012 - Miguel Guerra - mguerra@iastur.es
2.- Virus, gusanos y troyanos
Las principales vulnerabilidades de las computadoras de los usuarios finales son los
ataques de virus, gusanos y troyanos:

• Un virus es un software malicioso que se adjunta a otro programa para ejecutar una
función indeseada específica en una computadora.
La mayoría de los virus requiere una activación de parte del usuario final y puede
permanecer inactivo por largos períodos de tiempo y luego activarse en una fecha u
hora específica.

• Un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria de

la computadora infectada, que luego infecta a otros hosts.
La mayoría de los ataques de gusanos tiene tres componentes principales:
Una vulnerabilidad habilitante - Los gusanos se instalan utilizando un
mecanismo de explotación (adjunto de correo electrónico, archivo
ejecutable, troyano) en un sistema vulnerable.
Sistema de propagación- Luego de acceder a un dispositivo, el gusano se
multiplica y localiza nuevos objetivos.
Carga - Cualquier código malicioso que resulta en alguna acción. La
mayoría de las veces esto se usa para crear una puerta trasera en el host
infectado.
Los gusanos son programas autocontenidos que atacan a un sistema para explotar
una vulnerabilidad conocida. Luego de una explotación exitosa, el gusano se copia
del host atacante al sistema recientemente explotado y el ciclo vuelve a comenzar.

Hay cinco fases básicas de ataque, ya sea un virus o un gusano el quese contagie.

Fase de exploración - Se identifican los objetivos vulnerables.

Fase de penetración - Se transfiere código de explotación al objetivo
vulnerable.
Fase de persistencia - Luego de que el ataque haya sido exitosamente
lanzado en la memoria, el código trata de persistir en el sistema víctima.
Fase de propagación - El atacante intenta extender el ataque a otros
objetivos buscando
máquinas vecinas vulnerables.
Fase de paralización - Se hace daño real al sistema. Se pueden borar
archivos, el sistema puede colapsar, se puede robar información y se pueden
lanzar ataques distribuidos de DoS (DDoS).

• Un troyano es una aplicación escrita para parecerse a otra cosa. Cuando se descarga
y ejecuta un troyano, ataca a la computadora del usuario final desde dentro.
Los troyanos generalmente se clasifican de acuerdo al daño que causan o la manera
en que violan el sistema:
Troyanos de acceso remoto (permiten el acceso remoto no autorizado)
Troyano de envío de datos (provee al atacante de datos sensibles como
contraseñas)
Troyano destructivo (corrompe o elimina archivos)
Troyano proxy (la computadora del usuario funciona como un servidor
proxy)
Troyano FTP (abre el puerto 21)

5
© 2012 - Miguel Guerra - mguerra@iastur.es
 Troyano inhabilitador de software de seguridad (detiene el funcionamiento
deprogramas antivirus y/o firewalls)
Troyano de denegación de servicio (reduce la velocidad o detiene la
actividad en la red)

Mitigación de virus, gusanos y troyanos

La mayoría de las vulnerabilidades descubiertas en el software tienen relación con el
desbordamiento del buffer. Un buffer es un área de la memoria alocada utilizada por los
procesos para almacenar datos temporariamente. Un desbordamiento en el buffer ocurre
cuando un buffer de longitud fija llena su capacidad y un proceso intenta almacenar datos más
allá de ese límite máximo. Esto puede dar por resultado que los datos extra sobrescriban
localizaciones de memoria adyacentes o causen otros comportamientos inesperados. Los
desbordamientos de buffer son generalmente el conducto principal a través del cual los virus,
gusanos y troyanos hacen daño.

El principal recurso para la mitigación de ataques de virus y troyanos es el software antivirus.

El software antivirus ayuda a prevenir a los hosts de ser infectados y diseminar código
malicioso.

Los productos antivirus son basados en host. Estos productos son instalados en las
computadoras y los servidores para detectar y eliminar virus. Sin embargo, no pueden detener
a los virus de entrar a la red, por lo que el profesional de la seguridad en redes debe
mantenerse al tanto de los virus principales y de las actualizaciones en cuanto a virus
emergentes.

Los virus, gusanos y troyanos pueden hacer lentas a las redes o detenerlas completamente y
corromper o destruir datos. Hay opciones de hardware y software disponibles para mitigar
estas amenazas. Los profesionales de la seguridad en redes deben estar constantemente
alerta. No es suficiente con reaccionar a las amenazas. Un buen profesional de la seguridad en
redes examina toda la red en busca de vulnerabilidades y las arregla antes de que tome lugar
un ataque.

6
© 2012 - Miguel Guerra - mguerra@iastur.es
3.- Metodologías de ataque.
Ataques de reconocimiento

Los ataques de reconocimiento consisten en el descubrimiento y mapeo de sistemas, servicios

o vulnerabilidades sin autorización. Los ataques de reconocimiento muchas veces emplean el
uso de sniffers de paquetes y escáners de puertos, los cuales están ampliamente disponibles
para su descarga gratuita en Internet. El reconocimiento es análogo a un ladrón vigilando un
vecindario en busca de casas vulnerables para robar, como una residencia sin ocupantes o una
casa con puertas o ventanas fáciles de abrir.

Los ataques de reconocimiento utilizan varias herramientas para ganar acceso a una red:

Sniffers de paquetes
Barridos de ping
Escaneo de puertos
Búsquedas de información en Internet

7
© 2012 - Miguel Guerra - mguerra@iastur.es
Barridos de ping

Escaneo de puertos

Búsqueda de
Información
en Internet

8
© 2012 - Miguel Guerra - mguerra@iastur.es
Ataques de acceso

Los ataques de acceso explotan vulnerabilidades conocidas en servicios de autenticación, FTP y

web para ganar acceso a cuentas web, bases de datos confidenciales y otra información
sensible. Un ataque de acceso puede efectuarse de varias maneras. Un ataque de acceso
generalmente emplea un ataque de diccionario para adivinar las contraseñas del sistema.
También hay diccionarios especializados para diferentes idiomas.

Los ataques de acceso generalmente emplean ataques de contraseña para adivinar las
contraseñas del sistema. Los ataques de contraseña pueden ser implementados utilizando
varios métodos, incluyendo ataques de fuerza bruta, programas troyanos, falsificación de IPs y
sniffers de paquetes.

Hay cinco tipos de ataques de acceso:

Ataques de contraseña - El atacante intenta adivinar las contraseñas del sistema. Un

ejemplo común es un ataque de diccionario.

9
© 2012 - Miguel Guerra - mguerra@iastur.es
Explotación de la confianza - El atacante usa privilegios otorgados a un sistema en una
forma no autorizada, posiblemente causando que el objetivo se vea comprometido.

Redirección de puerto - Se usa un sistema ya comprometido como punto de partida

para ataques contra otros objetivos. Se instala una herramienta de intrusión en el sistema
comprometido para redirección de sesiones.

Ataque Man in the Middle - El atacante se ubica en el medio de una comunicación

entre dos entidades legítimas para leer o modificar los datos que pasan entre las dos
partes. Un ataque Man in the Middle popular involucra a una laptop actuando como un
punto de acceso no autorizado (rogue access point) para capturar y copiar todo el tráfico
de red de un usuario objetivo. Frecuentemente el usuario está en un lugar público
conectado a un punto de acceso inalámbrico.

10
© 2012 - Miguel Guerra - mguerra@iastur.es
 Desbordamiento de buffer - El programa escribe datos más allá de la memoria de
buffer alocada. Los desbordamientos de buffer surgen generalmente como consecuencia
de un error en un programa C o C++. Un resultado del desbordamiento es que los datos
válidos se sobrescriben o explotan para permitir la ejecución de código malicioso.

Los ataques de acceso en general pueden ser detectados revisando los registros, el uso del
ancho de banda y la carga de los procesos.

Los paquetes de software como el Motor de Análisis de Eventos o el Servidor de Control de

Acceso Seguro de Cisco (Cisco Secure Access Control Server - CSACS) mantienen información
relativa a los intentos fallidos de autenticación en dispositivos de red.

11
© 2012 - Miguel Guerra - mguerra@iastur.es
Ataques de Denegación de Servicio

Los ataques de Denegación de Servicio envían un número extremadamente grande de

solicitudes en una red o Internet. Estas solicitudes excesivas hacen que la calidad de
funcionamiento del dispositivo víctima sea inferior. Como consecuencia, el dispositivo atacado
no está disponible para acceso y uso legítimo. Al ejecutar explotaciones o combinaciones de
explotaciones, los ataques de DoS desaceleran o colapsan aplicaciones y procesos.

Hay dos razones principales por las cuales puede ocurrir un ataque de DoS:

Un host o aplicación no puede manejar una condición esperada, como datos de

entrada formateados maliciosamente, una interacción inesperada entre componentes
del sistema, o un simple agotamiento de los recursos.
Una red, host o aplicación es incapaz de manejar una cantidad enorme de datos,
haciendo que el sistema colapse o se vuelva extremadamente lento.

Los ataques de DoS intentan comprometer la disponibilidad de una red, un host o una
aplicación. Se los considera un riesgo importante porque pueden interrumpir fácilmente un
proceso de negocios y causar pérdidas significativas. Estos ataques son relativamente sencillos
de llevar a cabo, incluso por un atacante inexperto.

Un ataque Distribuido de Denegación de Servicio (DDoS) es similar en intención al ataque de

DoS, excepto en que el ataque DDoS se origina en varias fuentes coordinadas. Además de
aumentar la cantidad de tráfico en la red originado en múltiples atacantes distribuidos, un
ataque DDoS también presenta el desafío de requerir que la defensa de la red identifique y
detenga a cada atacante distribuido.

12
© 2012 - Miguel Guerra - mguerra@iastur.es
Tres ataques de DoS comunes:

El ping de la muerte: En un ataque de ping de la muerte, un hacker envía una solicitud

de eco en un paquete IP más grande que el tamaño de paquete máximo de 65535
bytes. Enviar un ping de este tamaño puede colapsar la computadora objetivo. Una
variante de este ataque es colapsar el sistema enviando fragmentos ICMP, que llenen
los buffers de reensamblado de paquetes en el objetivo.
Ataque Smurf: En un ataque smurf, el atacante envía un gran número de solicitudes
ICMP a direcciones broadcast, todos con direcciones de origen falsificadas de la misma
red que la víctima. Si el dispositivo de ruteo que envía el tráfico a esas direcciones de
broadcast reenvía los broadcast, todos los host de la red destino enviarán respuestas
ICMP, multiplicando el tráfico por el número de hosts en las redes. En una red
broadcast multiacceso, cientos de máquinas podrían responder a cada paquete.
Inundación TCP/SYN: En un ataque de inundación TCP/SYN, se envía una inundación
de paquetes SYN TCP, generalmente con una dirección de origen falsa. Cada paquete
se maneja como una solicitud de conexión, causando que el servidor genere una
conexión a medio abrir devolviendo un paquete SYN-ACK TCP y esperando un paquete
de respuesta de la dirección del remitente. Sin embargo, como la dirección del
remitente es falsa, la respuesta nunca llega. Estas conexiones a medio abrir saturan el
número de conexiones disponibles que el servidor puede atender, haciendo que no
pueda responder a solicitudes legítimas hasta luego de que el ataque haya finalizado.

Hay cinco maneras básicas en las que los ataques de DoS pueden hacer daño:

Consumo de los recursos, como ancho de banda, espacio en el disco o tiempo de

procesador
Modificación de la información de configuración, como la información de ruteo
Modificación de la información de estado, como el reinicio de las sesiones TCP
Modificación de los componentes físicos de la red
Obstrucción de las comunicaciones entre la víctima y otros.

13
© 2012 - Miguel Guerra - mguerra@iastur.es
Mitigación de ataques de red
- de ataques de reconocimiento

- de ataques de acceso

- de ataques DoS y DDoS

14
© 2012 - Miguel Guerra - mguerra@iastur.es
Defender su red de ataques requiere vigilancia y educación constantes. Hay 10 buenas
prácticas que representan la mejor aseguración de su red.

1. Mantener parches actualizados, instalándolos cada semana o día si fuera posible, para
prevenir los ataques de desbordamiento de buffer y la escalada de privilegios.
2. Cerrar los puertos innecesarios y deshabilitar los servicios no utilizados.
3. Utilizar contraseñas fuertes y cambiarlas seguido.
4. Controlar el acceso físico a los sistemas.
5. Evitar ingresos innecesarios en páginas web. Algunas páginas web permiten a sus
usuarios ingresar nombre de usuario y contraseñas. Un hacker puede ingresar algo
más que solo un nombre de usuario. Por ejemplo, ingresar "jdoe; rm -rf /" puede
permitir a un atacante remover el archivo del sistema raíz de un servidor UNIX. Los
programadores deben limitar la cantidad de caracteres de ingreso y no aceptar
caracteres como | ; < >.
6. Realizar copias de resguardo y probar los archivos resguardados regularmente.
7. Educar a los empleados en cuanto a los riesgos de la ingeniería social y desarrollar
estrategias para validar las entidades a través del teléfono, del correo electrónico y en
persona.
8. Cifrar y poner una contraseña a datos sensibles.
9. Implementar hardware y software de seguridad como firewalls, IPSs, dispositivos de
red privada virtual (virtual private network - VPN), software antivirus y filtrado de
contenidos.
10. Desarrollar una política de seguridad escrita para la compañía.

15
© 2012 - Miguel Guerra - mguerra@iastur.es
4.- NFP (Fundación para la Protección de la Red)
El Cisco Network Foundation Protection (NFP), proporciona directrices generales para la
protección de la infraestructura de red. Estas directrices constituyen la base para la entrega
continua del servicio.

NFP divide lógicamente los routers y switches en tres áreas funcionales:

Plano de Control - Responsable del enrutamiento correcto de los datos. El tráfico del
plano de control consta de paquetes generados en los dispositivos, necesarios para el
funcionamiento de la propia red, tales como los intercambios de mensajes ARP o
anuncios de enrutamiento OSPF.
Plano de gestión - Responsable de la gestión de elementos de la red. El tráfico del
plano de gestión se genera, ya sea por los dispositivos de red o estaciones de gestión
de red a través de procesos y protocolos como Telnet, SSH, TFTP, FTP, NTP, AAA,
SNMP, syslog, TACACS +, RADIUS y NetFlow.
Plano de datos (plano de reenvío) - Responsable de los datos de envío. El tráfico del
plano de datos consiste normalmente en paquetes generados por los usuarios que se
reenvían entre las estaciones finales. La mayoría del tráfico viaja a través del router o
un switch, a través del plano de datos. Los paquetes de datos son procesados en la
caché de conmutación rápida.

Plano de Control

La seguridad del plano de control se puede implementar utilizando las siguientes

características:

Cisco AutoSecure: proporciona una característica del dispositivo de bloqueo de un

solo paso, para proteger el plano de control, así como los planos de gestión y de datos.
Autenticación del Protocolo de Enrutamiento, o la autenticación de vecinos, impide
que un enrutador acepte las actualizaciones de enrutamiento fraudulentas.

16
© 2012 - Miguel Guerra - mguerra@iastur.es
 Plano de Control Policial (CoPP): característica de IOS de Cisco diseñado para permitir
a los usuarios controlar el flujo de tráfico que es manejado por el procesador de rutas
de un dispositivo de red.

CoPP está diseñado para evitar que el tráfico innecesario colapse el procesador de ruta. La
función de CoPP trata el plano de control como una entidad separada con su propia entrada
(input) y salida (output). CoPP consta de las siguientes características:

Plano de Control Policial (CoPP) - permite a los usuarios configurar un filtro de calidad
de servicio que gestiona el flujo de tráfico de paquetes. Esto protege el plano de
control contra el reconocimiento y los ataques de denegación de servicio.
Protección del plano de control (CPPr) - una extensión de CoPP, permite la vigilancia
de granularidad. Por ejemplo, CPPR puede filtrar y limitar la velocidad de los paquetes
que se van al plano de control del router y descartar los paquetes maliciosos y error (o
ambos).
El registro del plano de control - permite el registro de los paquetes que CoPP o CPPr.
Se proporciona el mecanismo de registro necesarios para implementar, supervisar y
solucionar problemas de manera eficiente las funciones del CoPP.

Plano de Gestión

La Seguridad del Plano de Gestión se puede implementar utilizando las siguientes

características:

Inicio de sesión y la política de contraseñas - Restringe el acceso del dispositivo.

Limita los puertos accesibles y limita los métodos de "quién" y "cómo" accede.
Presente notificación legal - Muestra avisos legales. Estos se desarrollan a menudo por
un abogado de una corporación.
Garantizar la confidencialidad de los datos - Protege los datos confidenciales
almacenados localmente de ser vistos o copiados. Utiliza protocolos de gestión con la
autenticación fuerte para mitigar los ataques de confidencialidad destinados a exponer
las contraseñas y configuraciones del dispositivo.
Función control de acceso basado en roles (RBAC) - El acceso seguro sólo se concede
a los usuarios, grupos y servicios autenticados. RBAC y los servicios de autenticación,
autorización y contabilidad (AAA), proporcionan mecanismos para gestionar con
eficacia el control de acceso.
Autorizar las acciones - Restringe las acciones y opiniones que están permitidos por
cualquier usuario, grupo, o servicio.
Habilitar el informe de gestión de acceso - Los registros y cuentas de todos los
accesos. Los registros que accedieron al dispositivo, lo que ocurrió y cuándo ocurrió.

Plano de Datos (reenvío).

La Seguridad del plano de datos se puede implementar con el uso de ACL, mecanismos de
antispoofing y funciones de seguridad de capa 2.

Las ACL se utilizan para asegurar el plano de datos en una variedad de maneras, incluyendo:

Bloqueo de tráfico o usuarios no deseados

Reducción de la probabilidad de ataques de denegación de servicio

17
© 2012 - Miguel Guerra - mguerra@iastur.es
 Mitigar los ataques de spoofing (suplantación)
Proporcionar control de ancho de banda
Clasificación de tráfico para proteger los planos de gestión y control

Las siguientes son las herramientas de seguridad de nivel 2 integrada en los switches Cisco
Catalyst:

Seguridad de Puerto - Evita la suplantación de direcciones MAC y los ataques de

inundación de direcciones MAC.
DHCP snooping - Previene los ataques de cliente en el servidor DHCP y el switch
Dynamic ARP Inspection (DAI) - Añade seguridad a ARP mediante el uso de la tabla
DHCP snooping para minimizar el impacto del envenenamiento ARP y los ataques de
suplantación.
IP Source Guard - Evita la suplantación de direcciones IP mediante el uso de la tabla
DHCP snooping.

18
© 2012 - Miguel Guerra - mguerra@iastur.es