Proteccion C5

PROTECCIÓN

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario
conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes
(seguridad física por ejemplo) otras pautas no lo son tanto e incluso algunas pueden ocasionar una
sensación de falsa seguridad.
Muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de
tecnologías, otras son consecuencias de la falta de planeamiento de las mismas pero, como ya se ha
mencionado, la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos
sistemas y es responsabilidad del administrador detectarlos y encontrar la mejor manera de
cerrarlos. En el presente capítulo, después de lo expuesto y vistas la gran cantidad de herramientas
con las que cuenta el intruso, es el turno de estudiar implementaciones en la búsqueda de mantener
el sistema seguro.
Siendo reiterativo, ninguna de las técnicas expuestas a continuación representarán el 100% de la
seguridad deseado, aunque muchas parezcan la panacea, será la suma de algunas de ellas las que
convertirán un sistema interconectado en confiable.

  • 8.1 VULNERAR PARA PROTEGER
    Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de una red.
    Básicamente buscan los puntos débiles del sistema para poder colarse en ella. El trabajo de los
    Administradores y Testers no difiere mucho de esto. En lo que sí se diferencia, y por completo, es
    en los objetivos: mientras que un intruso penetra en las redes para distintos fines (investigación,
    daño, robo, etc.) un administrador lo hace para poder mejorar los sistemas de seguridad.
    En palabras de Julio C. Ardita 1 : “(...) los intrusos cuentan con grandes herramientas como los
    Scanners, los cracking de passwords, software de análisis de vulnerabilidades y los exploits(...) un
    administrador cuenta con todas ellas empleadas para bien, los Logs, los sistemas de detección de
    intrusos y los sistemas de rastreo de intrusiones”.
    Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce
    como Penetration Testing, uno de los recursos más poderosos con los que se cuenta hoy para
    generar barreras cada vez más eficaces. Un test está totalmente relacionado con el tipo de
    información que se maneja en cada organización. Por consiguiente, según la información que deba
    ser protegida, se determinan la estructura y las herramientas de seguridad; no a la inversa. El
    software y el Hardware utilizados son una parte importante, pero no la única. A ella se agrega lo
    que se denomina “políticas de seguridad internas” que cada organización (y usuario) debe generar e
    implementar.
    8.1.1 ADMINISTRACIÓN DE LA SEGURIDAD
    Es posible dividir las tareas de administración de seguridad en tres grandes grupos:
    • Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de
    recursos de cómputo que cierto medio ambiente puede ofrecer.
    • Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de
    cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener
    dominio.
    • Auditoría: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de
    este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a
    los recursos.
    Por regla general, las políticas son el primer paso que dispone a una organización para entrar en un
    ambiente de seguridad, puesto que reflejan su “voluntad de hacer algo” que permita detener un
    posible ataque antes de que éste suceda (proactividad). A continuación se citan algunos de los
    métodos de protección más comúnmente empleados.
    1. Sistemas de detección de intrusos: son sistemas que permiten analizar las bitácoras de los
    sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos,
    sobre la base de la información con la que han sido previamente alimentados. Pueden considerarse
    como monitores.
    2. Sistemas orientados a conexión de red: monitorizan las conexiones que se intentan establecer
    en una red o equipo en particular, siendo capaces de efectuar una acción sobre la base de métricas
    como: origen y destino de la conexión, servicio solicitado, permisos, etc. Las acciones que pueden
    emprender suelen ir desde el rechazo de la conexión hasta alerta al administrador. En esta categoría
    están los cortafuegos (Firewalls) y los Wrappers.
    3. Sistemas de análisis de vulnerabilidades: analizan sistemas en busca de vulnerabilidades
    conocidas anticipadamente. La “desventaja” de estos sistemas es que pueden ser utilizados tanto por
    personas autorizadas como por personas que buscan acceso no autorizado al sistema.
    4. Sistemas de protección a la integridad de información: sistemas que mediante criptografía o
    sumas de verificación tratan de asegurar que no ha habido alteraciones indeseadas en la información
    que se intenta proteger. Algunos ejemplos son los programas que implementan algoritmos como
    Message Digest (MD5) o Secure Hash Algorithm (SHA), o bien sistemas que utilizan varios de
    ellos como PGP, Tripwire y DozeCrypt.
    5. Sistemas de protección a la privacidad de la información: herramientas que utilizan
    criptografía para asegurar que la información sólo sea visible para quien tiene autorización. Su
    aplicación se realiza principalmente en las comunicaciones entre dos entidades. Dentro de este tipo
    de herramientas se pueden citar a Pret Good Privacy (PGP), Secure Sockets Layer (SSL) y los
    Certificados Digitales.
    Resumiendo, un modelo de seguridad debe estar formado por múltiples componentes o capas que
    pueden ser incorporadas de manera progresiva al modelo global de seguridad en la organización,
    logrando así el método más efectivo para disuadir el uso no autorizado de sistemas y servicios de
    red. Podemos considerar que estas capas son:
    1. Política de seguridad de la organización.
    2. Auditoría.
    3. Sistemas de seguridad a nivel de Router–Firewall.
    4. Sistemas de detección de intrusos.
    5. Plan de respuesta a incidentes.
    6. Penetration Test.


8.1.2 PENETRATION TEST, ETHICAL HACKING O PRUEBA DE VULNERABILIDAD
“El Penetration Test es un conjunto de metodologías y técnicas, para realizar una evaluación
integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce
intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes
puntos de entrada que existan, tanto internos como remotos.”
El objetivo general del Penetration Test es acceder a los equipos informáticos de la organización
tratada e intentar obtener los privilegios del administrador del sistema, logrando así realizar
cualquier tarea sobre dichos equipos. También se podrá definir otros objetivos secundarios que
permitan realizar pruebas puntuales sobre algunos ámbitos particulares de la empresa.
El Penetration Test se compone de dos grandes fases de testeo:
1. Penetration Test Externo: el objetivo es acceder en forma remota a los equipos de la
organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y
consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna. Se compone de un
elevado número de pruebas, entre las que se puede nombrar:
• Pruebas de usuarios y la “fuerza” de sus passwords.
• Captura de tráfico.
• Detección de conexiones externas y sus rangos de direcciones.
• Detección de protocolos utilizados.
• Scanning de puertos TCP, UDP e ICMP.
• Intentos de acceso vía accesos remotos, módems, Internet, etc.
• Análisis de la seguridad de las conexiones con proveedores, trabajadores remotos o entidades
externas a la organización .
• Pruebas de vulnerabilidades existentes y conocidas en el momento de realización del Test.
• Prueba de ataques de Denegación de Servicio.
2. Penetration Test Interno: este tipo de testeo trata de demostrar cual es el nivel de seguridad
interno. Se deberá establecer que puede hacer un Insider y hasta donde será capaz de penetrar en el
sistema siendo un usuario con privilegios bajos. Este Test también se compone de numerosas
pruebas:
• Análisis de protocolos internos y sus vulnerabilidades.
• Autenticación de usuarios.
• Verificación de permisos y recursos compartidos.
• Test de los servidores principales (WWW, DNS, FTP, SMTP, etc.).
• Test de vulnerabilidad sobre las aplicaciones propietarias.
• Nivel de detección de la intrusión de los sistemas.
• Análisis de la seguridad de las estaciones de trabajo.
• Seguridad de la red.
• Verificación de reglas de acceso.
• Ataques de Denegación de Servicio


8.1.3 HONEYPOTS–HONEYNETS
Estas “Trampas de Red” son sistemas que se activan con la finalidad específica de que los expertos
en seguridad puedan observar en secreto la actividad de los Hackers/Crackers en su hábitat natural.
Actualmente un equipo de Honeynet Project trabaja en el desarrollo de un documento sobre la
investigación y resultados de su trampa, la cual fue penetrada a la semana de ser activada (sin
publicidad).
“Consiste en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil, pero no
imposible penetrarlo y sentarse a esperar que aparezcan los intrusos. Los Honeynets dan a los
crackers un gran espacio para recorrer. Presentan obstáculos que poseen el nivel de complejidad
suficiente para atraerlos, pero sin irse al extremo para no desalentarlos (...). Ellos juegan con los
archivos y conversan animadamente entre ellos sobre todos los ‘fascinantes programas’ que
encuentran, mientras el personal de seguridad observa con deleite cada movimiento que hacen”,
dijo Dan Adams. “Francamente, siento una combinación de sentimientos con respecto a espiar a la
gente, aunque no sean buenas personas”.
Esta última frase se está presentando a menudo en el tema de la investigación (y vigilancia)
electrónica. Este es el caso del ex–director del proyecto Honeynet J. D. Glaser, quien renunció a su
puesto después de aclarar que está convencido “que la vigilancia electrónica no es correcta, aunque
se utilice en aras de la investigación (...). Ampliar un Honeynet es parecido a entrampar los
derechos de otros, aunque sean los derechos de un delincuente.”
Con respecto a algunos de los resultados obtenidos por el grupo de investigación puede observarse
el siguiente ejemplo:
A un intruso le tomo menos de un minuto irrumpir en la computadora de su universidad a través de
Internet, estuvo dentro menos de media hora y a los investigadores le tomo 34 horas descubrir todo
lo que hizo.
Se estima que esas 34 horas de limpieza pueden costar U$S2.000 a una organización y U$S22.000
si se debiera tratar con un consultor especializado.
8.2 FIREWALLS
Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos
elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan
mucho de ser la solución final a los problemas de seguridad. De hecho, los Firewalls no tienen nada
que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política
de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no
lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de las redes, no
defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer protección
una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe
pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del
tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos deben “hablar” el mismo
método de encriptación–desencriptación para entablar la comunicación.


8.2.1 ROUTERS Y BRIDGES
Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por
diferentes Routers (enrutadores a nivel de Red).
Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de
convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.
En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes que
operan a nivel de Enlace. La evolución tecnológica les ha permitido transformarse en computadoras
muy especializadas capaz de determinar, si el paquete tiene un destino externo y el camino más
corto y más descongestionado hacia el Router de la red destino. En caso de que el paquete provenga
de afuera, determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve
el paquete a su origen en caso de que él no sea el destinatario del mismo.
Los Routers “toman decisiones” en base a un conjunto de datos, regla, filtros y excepciones que le
indican que rutas son las más apropiadas para enviar los paquetes.

8.2.2 TIPOS DE FIREWALL
8.2.2.1 FILTRADO DE PAQUETES

Se utilizan Routers con filtros y reglas basadas en políticas de control de acceso. El Router es el
encargado de filtrar los paquetes (un Choke) basados en cualquiera de los siguientes criterios:
1. Protocolos utilizados.
2. Dirección IP de origen y de destino.
3. Puerto TCP–UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del tráfico. Restringiendo las
comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre
cuales máquinas la comunicación está permitida.
El filtrado de paquetes mediante puertos y protocolos permite establecer que servicios estarán
disponibles al usuario y por cuales puertos. Se puede permitir navegar en la WWW (puerto 80
abierto) pero no acceder a la transferencia de archivos vía FTP (puerto 21 cerrado).
Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este tipo de
Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y están conectados a
ambos perímetros (interior y exterior) de la red.
Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son transparentes para los
usuarios conectados a la red. Sin embargo presenta debilidades como:
1. No protege las capas superiores a nivel OSI.
2. Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y puertos.
3. No son capaces de esconder la topología de redes privadas, por lo que exponen la red al mundo
exterior.
4. Sus capacidades de auditoría suelen ser limitadas, al igual que su capacidad de registro de
actividades.
5. No soportan políticas de seguridad complejas como autentificación de usuarios y control de
accesos con horarios prefijados.


8.2.2.2 PROXY–GATEWAYS DE APLICACIONES
Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de
aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores
Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host.
El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real
de la aplicación, siendo transparente a ambas partes. Cuando un usuario desea un servicio, lo hace a
través del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su
función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la
misma. Gráficamente:


8.2.2.3 DUAL–HOMED HOST
Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar
paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el
“IP–Forwarding desactivado”.
Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse primero al
Firewall, donde el Proxy atenderá su petición, y en función de la configuración impuesta en dicho
Firewall, se conectará al servicio exterior solicitado y hará de puente entre este y el usuario interior.
Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro
desde este hasta la máquina que albergue el servicio exterior.

8.2.2.4 SCREENED HOST
En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene
del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el
Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se
permiten un número reducido de servicios.
Gráfico 8.4 – Screened Host

8.2.2.5 SCREENED SUBNET
En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo Bastión.
Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a
esta máquina no consiga el acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la
misión de bloquear el tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red
externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo
y el interno).
Es posible definir varias niveles de DMZ agregando más Routers, pero destacando que las reglas
aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificarían a uno
solo.
Como puede apreciarse la Zona Desmilitarizada aisla fisicamente los servicios internos, separadolos
de los servicios públicos. Además, no existe una conexión directa entre la red interna y la externa.
Los sistemas Dual–Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo
que puede dar lugar, paradójicamente, a importantes agujeros de seguridad en toda la red. En
cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de
protección y ciertas ventajas:
1. Ocultamiento de la información: los sistemas externos no deben conocer el nombre de los
sistemas internos. El Gateway de aplicaciones es el único autorizado a conectarse con el exterior y
el encargado de bloquear la información no solicitada o sospechosa.
2. Registro de actividades y autenticación robusta: El Gateway requiere de autenticación cuando se
realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes.
3. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router
serán menos compleja dado a que él sólo debe atender las solicitudes del Gateway.
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que
generalmente este debe instalar algún tipo de aplicación especializada para lograr la comunicación.
Se suma a esto que generalmente son más lentos porque deben revisar todo el tráfico de la red.


8.2.2.6 INSPECCIÓN DE PAQUETES
Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es
inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la
de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y
en aplicaciones muy complejas.


8.2.2.7 FIREWALLS PERSONALES
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red
externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un
simple “cuelgue” o infección de virus hasta la pérdida de toda su información almacenada.


8.2.3 POLÍTICAS DE DISEÑO DE FIREWALLS
Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus
limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en
una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad.
También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las
medidas diferirán notablemente en función de esos usuarios.
Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política
de seguridad:
• ¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware,
software, datos, etc.).
• ¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra
ciertos ataques desde el interior que puedan preverse y prevenir. Sin embargo, podemos definir
niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a
determinados servicios o denegando cualquier tipo de acceso a otros.
• ¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a establecer el nivel de
monitorización, control y respuesta deseado en la organización.
Puede optarse por alguno de los siguientes paradigmas o estrategias:
a. Paradigmas de seguridad
• Se permite cualquier servicio excepto aquellos expresamente prohibidos.
• Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y
utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no
pueden acceder a tal cual servicio.
b. Estrategias de seguridad
• Paranoica: se controla todo, no se permite nada.
• Prudente: se controla y se conoce todo lo que sucede.
• Permisiva: se controla pero se permite demasiado.
• Promiscua: no se controla (o se hace poco) y se permite todo.
• ¿Cuánto costará?. Estimando en función de lo que se desea proteger se debe decidir cuanto es
conveniente invertir.


8.2.4 RESTRICCIONES EN EL FIREWALL
La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar
determinados servicios, se hacen en función de los distintos usuarios y su ubicación:
1. Usuarios internos con permiso de salida para servicios restringidos: permite especificar una
serie de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando
provengan del interior, van a poder acceder a determinados servicios externos que se han definido.
2. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la
hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para
consultar servicios de la red interna.
También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro
interior de la red. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y
únicamente el tiempo que sean necesarias.


8.2.5 BENEFICIOS DE UN FIREWALL
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red
estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría
dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de
ataque, el administrador será el responsable de la revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el
hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones
IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por
medio de un “traductor de direcciones”, el cual puede alojarse en el Firewall.
Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de
banda “consumido” por el trafico de la red, y que procesos han influido más en ese trafico, de esta
manera el administrador de la red puede restringir el uso de estos procesos y economizar o
aprovechar mejor el ancho de banda disponible.
Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio
que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.


8.2.6 LIMITACIONES DE UN FIREWALL
La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que
coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes,
ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de
información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente
lo deja pasar. Más peligroso aún es que ese intruso deje Back Doors, abriendo un hueco diferente y
borre las pruebas o indicios del ataque original.
Otra limitación es que el Firewall “NO es contra humanos”, es decir que si un intruso logra entrar a
la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el
Firewall no se dará cuenta.
El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados
con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna.
El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: “cuanto
mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra
los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado”


8.3 ACCESS CONTROL LISTS (ACL)
Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clásicos
provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos
concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos los usuarios (o grupos de
ellos) a quien se le permite el acceso a Internet, FTP, etc. También podrán definirse otras
características como limitaciones de anchos de banda y horarios.

8.4 WRAPPERS
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper
literalmente cubre la identidad de este segundo programa, obteniendo con esto un más alto nivel de
seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs. Estos programas
nacieron por la necesidad de modificar el comportamiento del sistema operativo sin tener que
modificar su funcionamiento.
Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de
seguridad por las siguientes razones:
• Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles
y simples de validar.
• Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser
actualizado sin necesidad de cambiar el Wrapper.
• Debido a que los Wrappers llaman al programa protegido mediante llamadas estándar al sistema,
se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten
proteger.
• Permite un control de accesos exhaustivo de los servicios de comunicaciones, además de buena
capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.
El paquete Wrapper más ampliamente utilizado es el TCP–Wrappers, el cual es un conjunto de
utilidades de distribución libre, escrito por Wietse Venema (co–autor de SATAN, con Dan Farmer,
y considerado el padre de los sistemas Firewalls) en 1990.
Consiste en un programa que es ejecutado cuando llega una petición a un puerto específico. Este,
una vez comprobada la dirección de origen de la petición, la verifica contra las reglas almacenadas,
y en función de ellas, decide o no dar paso al servicio.
Adicionalmente, registra estas actividades del sistema, su petición y su resolución. Algunas
configuraciones avanzadas de este paquete, permiten también ejecutar comandos en el propio
sistema operativo, en función de la resolución de la petición. Por ejemplo, es posible que interese
detectar una posible máquina atacante, en el caso de un intento de conexión, para tener más datos a
la hora de una posible investigación. Este tipo de comportamiento raya en la estrategia paranoica,
ya vista cuando se definió la política de seguridad del firewall.
Con lo mencionado hasta aquí, puede pensarse que los Wrappers son Firewall ya que muchos de los
servicios brindados son los mismos o causan los mismos efectos: usando Wrappers, se puede
controlar el acceso a cada máquina y los servicios accedidos. Así, estos controles son el
complemento perfecto de un Firewall y la instalación de uno no está supeditada a la del otro.


8.5 DETECCIÓN DE INTRUSOS EN TIEMPO REAL
La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas
de protección hasta aquí abordados, si bien son eficaces, distan mucho de ser la protección ideal.
Así, debe estar fuera de toda discusión la conveniencia de añadir elementos que controlen lo que
ocurre dentro de la red (detrás de los Firewalls).
Como se ha visto, la integridad de un sistema se puede corromper de varias formas y la forma de
evitar esto es con la instalación de sistemas de Detección de Intrusos en Tiempo Real, quienes:
Inspeccionan el tráfico de la red buscando posibles ataques.
• Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos
como de usuarios autorizados).
• Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check)
del sistema para detectar la modificación de los mismos.
• Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o
semejantes.
• Controlan el núcleo del Sistema Operativo para detectar posibles infiltraciones en él, con el fin
de controlar los recursos y acciones del mismo.
• Avisan al administrador de cualquiera de las acciones mencionadas.
Cada una de estas herramientas permiten mantener alejados a la gran mayoría de los intrusos
normales. Algunos pocos, con suficientes conocimientos, experiencia y paciencia serán capaces de
utilizar métodos sofisticados (u originales) como para voltear el perímetro de seguridad (interna +
externa) y serán estos los casos que deban estudiarse para integrar a la política de seguridad
existente mayor conocimiento y con él mayor seguridad.

8.5.1 INTRUSIÓN DETECTION SYSTEMS (IDS)
Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una
organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el
exterior–interior de un sistema informático.
Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en:
• Host–Based IDS: operan en un host para detectar actividad maliciosa en el mismo.
• Network–Based IDS: operan sobre los flujos de información intercambiados en una red.
• Knowledge–Based IDS: sistemas basados en Conocimiento.
• Behavior–Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede
ser detectada observando una desviación respecto del comportamiento normal o esperado de un
usuario en el sistema.
La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjunto de
actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no actuará como un
usuario comprometido; su comportamiento se alejará del de un usuario normal.
Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del agregado de otras
actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún
tipo. Así las intrusiones pueden clasificarse en:
• Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erróneamente indica
ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es
detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema.
• No intrusivas pero anómalas: denominados Falsos Positivos (el sistema erróneamente indica la
existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el
sistema “decide” que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se
ignorarán los avisos del sistema, incluso cuando sean acertados.
• No intrusiva ni anómala: son Negativos Verdaderos, la actividad es no intrusiva y se indica
como tal.
• Intrusiva y anómala: se denominan Positivos Verdaderos, la actividad es intrusiva y es
detectada.
Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se siguen
normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se considera
comportamiento normal.


8.5.1.1 CARACTERÍSTICAS DE IDS
Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que esté basado,
debería contar con las siguientes características:
• Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente
fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin
embargo, no debe ser una “caja negra” (debe ser examinable desde el exterior).
• Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del
sistema.
• En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede
monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.
• Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la máquina,
simplemente no será utilizado.
• Debe observar desviaciones sobre el comportamiento estándar.
• Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un patrón de
funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos
patrones.
• Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas
aplicaciones al mismo.
• Debe ser difícil de “engañar”.


8.5.1.2 FORTALEZAS DE IDS
• Suministra información muy interesante sobre el tráfico malicioso de la red.
• Poder de reacción para prevenir el daño.
• Es una herramienta útil como arma de seguridad de la red.
• Ayuda a identificar de dónde provienen los ataques que se sufren.
• Recoge evidencias que pueden ser usadas para identificar intrusos.
• Es una “cámara” de seguridad y una “alarma” contra ladrones.
• Funciona como “disuasor de intrusos”.
• Alerta al personal de seguridad de que alguien está tratando de entrar.
• Protege contra la invasión de la red.
• Suministra cierta tranquilidad.
• Es una parte de la infraestructura para la estrategia global de defensa.
• La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir
(parcialmente) al descubrimiento automático de esos nuevos ataques.
• Son menos dependientes de los mecanismos específicos de cada sistema operativo.
• Pueden ayudar a detectar ataques del tipo “abuso de privilegios” que no implica realmente
ninguna vulnerabilidad de seguridad. En pocas palabras, se trata de una aproximación a la
paranoia: “todo aquello que no se ha visto previamente es peligroso”.
• Menor costo de implementación y mantenimiento al ubicarse en puntos estratégicos de la red.
• Dificulta el trabajo del intruso de eliminar sus huellas.
8.5.1.3 DEBILIDADES DE IDS
• No existe un parche para la mayoría de bugs de seguridad.
• Se producen falsas alarmas.
• Se producen fallos en las alarmas.
• No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta
política de seguridad.


8.5.1.4 INCONVENIENTES DE IDS
• La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito del comportamiento
de un sistema de información durante la fase de aprendizaje.
• El comportamiento puede cambiar con el tiempo, haciendo necesario un re–entrenamiento
periódico del perfil, lo que da lugar a la no disponibilidad del sistema o la generación de falsas
alarmas adicionales.
• El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el perfil de
comportamiento contendrá un comportamiento intrusivo el cual no será considerado anómalo.


8.6 CALL BACK
Este procedimiento es utilizado para verificar la autenticidad de una llamada vía modem. El usuario
llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al número que
en teoría pertenece al usuario.
La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la llamada se devolverá al
usuario legal y no al del intruso, siendo este desconectado. Como precaución adicional, el usuario
deberá verificar que la llamada–retorno proceda del número a donde llamó previamente.

8.7 SISTEMAS ANTI–SNIFFERS
Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se basan en
verificar el estado de la placa de red, para detectar el modo en el cual está actuando (recordar que un
Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.

8.8 GESTION DE CLAVES “SEGURAS”
Como ya se vio en el capítulo anterior (ver Tabla 7.4), si se utiliza una clave de 8 caracteres de
longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando
100.000 palabras por segundo). Esto se obtiene a partir de las 96 8 (7.213.895.789.838.340) claves
posibles de generar con esos caracteres.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza
bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves
Débiles.
Según demuestra el análisis de +NetBuL realizado sobre 2.134 cuentas y probando 227.000
palabras por segundo:
- Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas
en solo 19 segundos (1,77%).
- Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).
Otro estudio muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727
palabras, a 13.794 cuentas:
- En un año se obtuvieron 3.340 contraseñas (24,22%).
- En la primera semana se descubrieron 3.000 claves (21,74%).
- En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).
Según los grandes números vistos, sería válido afirmar que: es imposible encontrar ¡36 cuentas en
19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi
no varía entre un año y una semana.
Tal vez, ¿esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a
secuencias alfabéticas tipo ‘abcd’; a secuencias numéricas tipo ‘1234’; a secuencias observadas en
el teclado tipo ‘qwer’; a palabras que existen en un diccionario del lenguaje del usuario?. Sí, estas
claves (las más débiles) son las primeras en ser analizadas y los tiempos obtenidos confirman la
hipótesis.
Este simple estudio confirma nuestra mala elección de contraseñas, y el riesgo se incrementa si el
atacante conoce algo sobre la víctima (Ingeniería Social) ya que podrá probar palabras relacionadas
a su persona o diccionarios orientados.

8.8.1 NORMAS DE ELECCIÓN DE CLAVES
Se debe tener en cuenta los siguientes consejos:
1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario,
personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro
relacionado).
2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de
nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y
ciertas variaciones lógicas de la misma para distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.
Algunos ejemplos son:
• Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
• Usar un acrónimo de alguna frase fácil de recordar: A rio Revuelto Ganancia de Pescadores
ArRGdP
• Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
• Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña aHoelIo
• Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
• Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar
35M\/Pq<


8.8.2 NORMAS PARA PROTEGER UNA CLAVE
La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario.
Al comprometer una cuenta se puede estar comprometiendo todo el sistema.
La siguiente frase difundida en UseNet resume algunas de las reglas básicas de uso de la
contraseña: “Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo
regularmente; y NO lo compartas con tus amigos”.
Algunos consejos a seguir:
1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho
periódicamente.
2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Root,
System, Test, Demo, Guest, etc.
3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe
identificarse al propietario en el mismo lugar.
5. No teclear la contraseña si hay alguien mirando. Es una norma tácita de buen usuario no mirar el
teclado mientras alguien teclea su contraseña.
6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe
mencionar no hacerlo explícitamente diciendo: “mi clave es...”.
7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de
contraseñas que puedan usarse cíclicamente (por lo menos 5). Muchos sistemas incorporan ya
algunas medidas de gestión y protección de las contraseñas. Entre ellas podemos citar las
siguientes:
1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas
medidas:
• Obligar a reescribir el nombre de usuario (lo más común).
• Bloquear el acceso durante un tiempo.
• Enviar un mensaje al administrador y/o mantener un registro especial.
2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 7
u 8 como mínimo).
3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y números, no
pueden contener el nombre del usuario ni ser un blanco.
4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la
contraseña. Se obliga a no repetir ciertas cantidad de las anterior. Se mantiene un periodo forzoso
entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.
5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las
contraseñas de su propio sistema en busca de debilidades.

8.8.3 CONTRASEÑAS DE UN SÓLO USO
Las contraseñas de un solo uso (One–Time Passwords) son uno de los mecanismos de
autentificación más seguros, debido a que su descubrimiento tan solo permite acceder al sistema
una vez. Además, en muchas ocasiones se suelen utilizar dispositivos hardware para su generación,
lo que las hace mucho más difíciles de descubrir.
Ejemplos de este tipo de contraseñas serian las basadas en funciones unidireccionales (sencillas de
evaluar en un sentido pero imposible o muy costoso de evaluar en sentido contrario) y en listas de
contraseñas.
Se distinguen tres tipos de contraseñas de un solo uso:
1. Las que requieren algún dispositivo hardware para su generación, tales como calculadoras
especiales o tarjetas inteligentes (Token Cards).
2. Las que requieren algún tipo de software de cifrado especial.
3. Las que se basan en una lista de contraseñas sobre papel.
La tarjeta genera periódicamente valores mediante a una función secreta y unidireccional, basada en
el tiempo y en el número de identificación de la misma. El usuario combina el número generado por
la tarjeta con su palabra de paso para obtener el password de entrada, lo que le protege en caso de
robo o perdida.


8.9 SEGURIDAD EN PROTOCOLOS Y SERVICIOS
Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones existentes, sus
objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya
sea en su implementación o en su uso. A continuación se describen los problemas de seguridad más
comunes y sus formas de prevención.
Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de ellos, simplemente se
ofrecerán las potenciales puertas de entrada como fuentes de ataques que ni siquiera tienen por qué
proporcionar acceso a la máquina (como las DoS por ejemplo).
De esta forma, si cada servicio ofrecido es un posible problema para la seguridad, parece claro que
lo ideal sería no ofrecer ninguno, poseer una máquina completamente aislada del resto;
evidentemente, hoy en día no es posible en la mayor parte de los sistemas.
Por lo tanto, ya que es necesaria la conectividad entre equipos, se ha de ofrecer los mínimos
servicios necesarios para que todo funcione correctamente; esto choca frontalmente con las políticas
de la mayoría de fabricantes y empresas, que por defecto mantienen la mayoría de servicios abiertos
al instalar un equipo nuevo: es responsabilidad del administrador preocuparse de cerrar los que no
sean estrictamente necesarios.

8.9.1 NETBIOS
Estos puertos (137–139 en TCP y UDP) son empleado en las redes Microsoft ® para la
autentificación de usuarios y la compartición de recursos. Como primera medida debe minimizarse
la cantidad de recursos compartidos y luego debe evitarse permitir el acceso global a esos
dispositivos, ya que es posible el acceso de intrusos desde cualquier lugar externo a la red.
8.9.2 ICMP
A fin de prevenir los ataques basados en bombas ICMP, se deben filtrar todos los paquetes de
redirección y los paquetes inalcanzables.

8.9.3 FINGER
Típicamente el servicio Finger (puerto 79 en TCP) ha sido una de las principales fuentes de
problemas. Este protocolo proporciona información detallada de los usuarios de una estación de
trabajo, estén o no conectados en el momento de acceder al servicio.
La información suministrada suele ser de mucha utilidad para un atacante: datos del usuario, hábitos
de conexión, cuentas inactivas. Está claro que esto es fácilmente aprovechable por un intruso para
practicar ingeniería social contra esos usuarios.
Es básico deshabilitar este servicio, restringir su acceso a unos cuantos equipos de la red local o
utilizar versiones de Finger que permiten especificar la información que se muestra al acceder al
servicio.

8.9.4 POP
El servicio POP (puertos 109 y 110 en TCP) utilizado para que los usuarios puedan acceder a su
correo sin necesidad de montar un sistemas de archivos compartidos. Se trata de un servicio que se
podría considerar peligroso, por lo que (como el resto, pero este especialmente) debemos
deshabilitarlo a no ser que sea estrictamente necesario ofrecerlo; en ese caso debemos restringir al
máximo los lugares y usuario desde los que se puede acceder. Mediante POP se genera un tránsito
peligroso de contraseñas a través de la red. Se ofrece tres modelos distintos de autenticación: uno
basado en Kerberos, apenas utilizado, otro basado en un protocolo desafío–respuesta, y el otro
basado en un simple nombre de usuario con su password correspondiente.
Este último, el más usado en todo tipo de entornos, es un excelente objetivo para un intruso con un
Sniffer. Los usuarios suelen configurar sus clientes para que chequeen el buzón de correo cada
pocos minutos, con lo que a intervalos muy cortos envían su clave a un puerto conocido de una
máquina conocida; al realizar toda esta comunicación en texto claro, un atacante no tiene más que
interceptar la sesión POP para averiguar nombres de usuario y claves (a parte de poder leer el
correo).

8.9.5 NNTP
El servicio NNTP (puerto 119 en TCP) se utilizado para intercambiar mensajes de grupos de
noticias entre servidores de News. Los diferentes demonios encargados de esta tarea suelen
discriminar conexiones en función de la dirección o el nombre de la máquina cliente para decidir si
ofrece el servicio a un determinado host, y si es así, concretar de que forma puede acceder a él (sólo
lectura, sólo ciertos grupos, etc.).
De esta forma, los servidores NNTP son muy vulnerables a cualquier ataque que permita falsear la
identidad de la máquina origen, como el IP Spoofing.
Los problemas relacionados con las News no suelen ser excesivamente graves desde un punto de
vista estrictamente técnico, pero en ocasiones sí que lo son aplicando una visión global. Por
ejemplo, habría que evaluar el daño que le supone a la imagen de la organización el que un atacante
envíe mensajes insultantes o pornográficos utilizando el nombre o los recursos de la misma.
Realmente, es muy poco probable que se necesite ofrecer este servicio, por lo que lo más razonable
es deshabilitarlo. Generalmente sólo existen servidores de noticias en grandes organizaciones, y si
se debe administrar equipo con este servicio la mejor forma de protegerlo es utilizando un buen
firewall.


8.9.6 NTP
NTP (puerto 123 en UDP y TCP) es un protocolo utilizado para sincronizar relojes de máquinas de
una forma muy precisa; a pesar de su sofisticación no fue diseñado con una idea de robustez ante
ataques, por lo que puede convertirse en una gran fuente de problemas si no está correctamente
configurado.
Son muchos los problemas de seguridad relacionados con un tiempo correcto; el más simple y
obvio es la poca fiabilidad que ofrecerá el sistema de Log a la hora de determinar cuándo sucedió
determinado evento.
Otro problema inherente a NTP se refiere a la planificación de tareas: si el reloj tiene problemas, es
posible que ciertas tareas no se lleguen a ejecutar, que se ejecuten varias veces, o que se ejecuten
cuando no han de hacerlo; esto es especialmente peligroso para tareas de las que depende la
seguridad (como los backups).
No obstante, muy pocos sistemas necesitan la precisión de NTP, por lo que es habitual tener este
servicio deshabilitado. En la mayoría de ocasiones el propio reloj de la máquina, o un protocolo
mucho más simple (como Time), es más que suficiente para sincronizar equipos.

8.9.7 TFTP
TFTP es un protocolo de transferencia de archivos (puerto 69 basado en UDP) que no proporciona
ninguna seguridad. Por tanto en la mayoría de sistemas es deseable (obligatorio) que este servicio
esté desactivado. Al utilizar este servicio en ningún momento se solicita un nombre de usuario o
una clave, lo que da una idea de los graves problemas de seguridad que ofrece este servicio.
“Gracias” a este protocolo se han implementado algunas de las últimas vulnerabilidades del Internet
Information Server ® .

8.9.8 FTP
Un problema básico y grave de FTP (puerto 21 en TCP) es que ha sido diseñado para ofrecer la
máxima velocidad en la conexión, pero no para ofrecer la seguridad; todo el intercambio de
información, desde el Login y password del usuario en el servidor hasta la transferencia de
cualquier archivo, se realiza en texto claro, con lo que un atacante no tiene más que capturar todo
ese tráfico y conseguir así un acceso válido al servidor. Incluso puede ser una amenaza a la
privacidad de los datos el hecho de que ese atacante también pueda capturar y reproducir (y
modificar) los archivos transferidos.
Para solucionar este problema es conveniente dar acceso FTP a pocos usuarios bien identificados y
que necesiten utilizarlo, concientizándolos de la utilidad de aplicaciones que cifren todo el tráfico
de información (como SSH por ejemplo).

8.9.8.1 FTP ANÓNIMO
El servicio FTP se vuelve especialmente preocupantes cuando se trata de configurar un servidor de
FTP anónimo; muchos de estas máquinas situadas en universidades y empresas se convierten en
servidores de imágenes pornográficas, de Warez (copias ilegales de programas comerciales), etc.
Conseguir un servidor de FTP anónimo seguro puede llegar a ser una tarea complicada.
El usuario Anónimo debe conectar a un entorno restringido del sistema y sólo a ese.

8.9.8.2 FTP INVITADO
El otro tipo de acceso FTP es el denominado invitado (guest). La idea de este mecanismo es muy
sencilla: se trata de permitir que cada usuario conecte a la máquina mediante su login y su
contraseña, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para
realizar su trabajo; se conectará a un entorno restringido de forma similar a lo que sucede en los
accesos anónimos.
Para poder crear fácilmente entornos FTP restringidos a cada usuario, es conveniente instalar
programas para este fin en la máquina servidor. Estos servidores permiten crear usuarios invitados
configurando el entorno al que van a conectarse los usuarios, su estructura de directorios–archivos y
sus permisos a los recursos.

8.9.9 TELNET
El protocolo TELNET (TCP, puerto 23) permite utilizar una máquina como terminal virtual de otra
a través de la red, de forma que se crea un canal virtual de comunicaciones similar (pero mucho más
inseguro) a utilizar una terminal físicamente conectada a un servidor.
TELNET es el clásico servicio que hasta hace unos años no se solía deshabilitar nunca: lo más
normal es que este servicio esté disponible para que los usuarios puedan trabajar remotamente, al
menos desde un conjunto de máquinas determinado. Evidentemente, reducir al mínimo
imprescindible el conjunto de sistemas desde donde es posible la conexión es una primera medida
de seguridad; no obstante, no suele ser suficiente.
TELNET no utiliza ningún tipo de cifrado, por lo que todo el tráfico entre equipos se realiza en
texto claro. Cualquier intruso con un Sniffer puede capturar el Login y el password utilizados en
una conexión otorgando a cualquiera que lea esos datos un acceso total a la máquina destino. Es
muy recomendable no utilizar TELNET para conexiones remotas, sino sustituirlo por aplicaciones
equivalentes pero que utilizan cifrado para la transmisión de datos (SSH o SSL–Telnet por
ejemplo).

8.9.10 SMTP
La mala configuración del servicio SMTP (puerto 25 en TCP) utilizado para transferir correo
electrónico entre equipos remotos; suele ser causante del Mail Bombing y el Spam redirigido.
Por lo general se recibirá correo de un número indeterminado de máquinas, y no se podrá bloquear
el acceso a SMTP. No obstante, en este caso podemos aplicar unas medidas de seguridad simples,
como realizar una consulta inversa a DNS para asegurarnos de que sólo máquinas registradas
envían correo o no permitir que el sistema reenvíe correo que no provenga de direcciones
registradas bajo su dominio.

8.9.11 SERVIDORES " WWW "
Hoy en día las conexiones a servidores web son sin duda las más extendidas entre usuarios de
Internet. En la actualidad mueve a diario millones de dólares y es uno de los pilares fundamentales
de muchas empresas: es por tanto un objetivo muy atractivo para cualquier intruso.
Los problemas de seguridad relacionados con el protocolo HTTP se dividen en tres grandes grupos
en función de los datos a los que pueden afectar:
Seguridad en el servidor: es necesario garantizar que la información almacenada en la
máquina servidora no pueda ser modificada sin autorización, que permanezca disponible y que sólo
pueda ser accedida por los usuarios a los que les esté legítimamente permitido.
Seguridad en la red: cuando un usuario conecta a un servidor web se produce un intercambio
de información entre ambos; es vital garantizar que los datos que recibe el cliente desde el servidor
sean los mismos que se están enviando (esto es, que no sufran modificaciones de terceros), y
también garantizar que la información que el usuario envía hacia el servidor no sea capturada,
destruida o modificada por un atacante.
Seguridad en el cliente: es necesario garantizar al usuario que descarga páginas de un servidor
no va a perjudicar a la seguridad de su equipo. Se deben evitar Applets maliciosos, programas con
virus o simples cuelgues al acceder a las páginas de la organización. Ante hechos de esta especie
seguramente la persona dejará de visitarlas, con la consecuente pérdida de imagen (y posiblemente
un cliente) de esa entidad.
Asegurar el servidor implica (aparte de las medidas habituales) medidas excepcionales dedicadas al
servidor de Web y su entorno de trabajo.
Sea cual sea el servidor utilizado (IIS, Apache, NCSA, Netscape, etc.), es necesario seguir un
consejo básico: minimizar el número de usuarios en la máquina y minimizar el número de servicios
ofrecidos en ella; aunque lo normal es que una máquina dedicada a cualquier tarea, sea también el
servidor Web, es recomendable que dicho servidor sea un equipo dedicado sólo a esa tarea.
Los problemas relacionados con servidores Web suelen proceder de errores de programación en los
CGIs ubicados en el servidor. La capacidad del CGI para comunicarse con el resto del sistema que
alberga las páginas es lo que le otorga su potencia, pero también lo que causa mayores problemas de
seguridad: un fallo en estos programas suele permitir a cualquier “visitante” ejecutar órdenes en el
sistema.
Una medida de seguridad básica es ejecutar el demonio servidor bajo la identidad de un usuario con
privilegios mínimos para que todo funcione correctamente, pero nunca como Administrador, Root o
cuenta del sistema.
Para garantizar la seguridad de los datos que circulan entre un cliente y el servidor es casi
obligatorio cifrar dichos datos (mediante SSL o utilizando Certificados Digitales por ejemplo).

8 comentarios:

Anónimo dijo...

What's up everyone, it's my first visit at this site, and article is
genuinely fruitful in support of me, keep up posting these articles.



Also visit my webpage Online Vergleich Private Krankenversicherung

Anónimo dijo...

Amazing! Its truly remarkable paragraph, I have got much clear idea concerning from this piece of writing.


My web-site what is work from home jobs about

Anónimo dijo...

Hi there, its good paragraph regarding media print, we all be aware of
media is a fantastic source of information.

Also visit my web-site - pkv versicherungen

Anónimo dijo...

I know this if off topic but I'm looking into starting my own blog and was curious what all is needed to get setup? I'm assuming having a blog
like yours would cost a pretty penny? I'm not very internet savvy so I'm not 100% certain. Any tips or advice would be greatly appreciated. Thank you

my website; Additional reading

Anónimo dijo...

A person essentially lend a hand to make
significantly articles I'd state. That is the very first time I frequented your web page and thus far? I surprised with the research you made to make this particular submit extraordinary. Magnificent task!

Here is my blog :: can you consolidate federal student loans

Anónimo dijo...

Good day! Would you mind if I share your blog with my zynga group?
There's a lot of people that I think would really enjoy your content. Please let me know. Thank you

Also visit my site ... krankenversicherung für ärzte

Anónimo dijo...

Hey would you mind sharing which blog platform
you're using? I'm planning to start my own blog in the near future but
I'm having a hard time selecting between BlogEngine/Wordpress/B2evolution and Drupal. The reason I ask is because your design seems different then most blogs and I'm
looking for something completely unique.
P.S My apologies for getting off-topic but I had to ask!

Look into my blog post ... Kleidung online Outlet

Anónimo dijo...

I always spent my half an hour to read this webpage's articles daily along with a mug of coffee.

Feel free to visit my blog ... personal student loan

Publicar un comentario