bSecure

Page 1 of 6

Acceso Restringido

Las bases para una red segura

Cualquier organizacin es susceptible de recibir ataques hacia y dentro de su propia red. Cmo protegerse?
Francisco Villarreal (francisco_villarreal@yahoo.com)

Mucho se ha escrito sobre el tema, y cada firma de internetworking o de consultora expone su punto de vista y sus recomendaciones ya sea profundizando o tratndolo superficialmente, otros enfocndose al tipo de soluciones que comprende su portafolio de productos y servicios. Pero todos ellos tienen algo en comn, ya que todos los estudios e investigaciones coinciden en que los incidentes en los que se compromete la seguridad cada vez se presentan con ms y ms frecuencia. Uno de ellos revela por fuentes como el FBI (Federal Bureau of Investigation) y el CSI (Computer Security Institute), ambas entidades en los E.E.U.U., que entre el 2001 y el 2003 el 85% de las compaas pertenecientes al selecto grupo del Fortune 500, reportaron algn caso en que la seguridad fue puesta en riesgo. Y 90% de los casos ms serios fueron detectados dentro del firewall corporativo. Otra investigacin reporta que cada seis meses, los ataques a la seguridad de la red se incrementan en un 25%. El ao pasado un individuo fue arrestado por el FBI, luego de hacer una fortuna tras burlar sistemas de seguridad corporativos e inundar la Internet con millones de correos spam, cuyas intenciones iban no solo con la de enviar informacin comercial, sino operaciones fraudulentas, venta de bienes o artculos piratas o ilegales, pornografa y hasta la simple distribucin de ataques maliciosos. Y la pista seguir a quienes pagaron grandes sumas de dinero a este personaje, segn se coment por parte de la agencia estadounidense. Esto nos indica que los gerentes de IT debieran pensar en cmo proteger la red interna de su compaa adems de los normalmente costosos mecanismos de seguridad hacia el exterior de la red. Adems de ello, se debe distinguir entre la seguridad que protege la informacin, y la seguridad destinada a proteger el acceso a la red donde se encuentra esa informacin. La primera se implementa considerando que el usuario ya tiene el acceso a los sistemas de informacin, la segunda asume que antes de llegar a ese nivel, se debe proteger el acceso a la infraestructura de comunicaciones que nos lleva a donde est esa informacin. Haciendo una analoga, para entender esos dos niveles, si alguien quiere daar o robar valores fsicos, primero el malhechor debe tener acceso fsico a los recintos que alojan esos valores. Durante el ao 2005 y lo que va del presente, en Mxico y por toda Amrica Latina se reportaron incidentes en donde gusanos informticos se filtraron al interior de la red sobrepasando costosos sistemas de seguridad. Servidores de bases de datos tuvieron que estar fuera de lnea en un intento por aislar y prevenir que los gusanos se propagaran. Ejemplo de ello fue el famosoSQL Hammer, que presenta diferentes formas de ataque y que pareca propagarse sin control. En 1998, algunos hackers que lograron tener acceso como root a sistemas del Gobierno de Estados Unidos, con la capacidad de dar de baja sistemas crticos o alterar o robar informacin confidencial. En 1999 el virus Melissa caus prdidas millonarias por todo el mundo al hacer que sistemas de operacin crtica estuviesen fuera de lnea. La ltima amenaza para los sistemas de informacin, que a partir del ao 2000 empezaron a propagarse, fueron los ataques de Negacin de Servicio (DoS Attack).

http://www.bsecure.com.mx/imprimir.php?id_sec=60&id_articulo=6398

09/10/2006

bSecure

Page 2 of 6

Este tipo de ataques tpicamente estn destinados a bloquear los servicios de servidores que dan atencin por la Internet, al congestionar con trfico inservible que en condiciones normales los servidores pueden desechar, pero la intensidad y la frecuencia de este tipo de trfico es tal, que los servidores agotan sus recursos y ya no logran responder a las peticiones legtimas de los usuarios. En resumen, cualquier organizacin es susceptible de recibir ataques hacia y dentro de su propia red. Qu hacer ante tal situacin? Aqu se presentan una breve gua de las medidas de seguridad que deben ser tomadas en consideracin. Todas ellas se basan en un principio simple: el acceso a la red es la primera lnea de seguridad que debe ser protegida (Ver recuadro: Proteccin del acceso). Seguridad para VLAN y MAC Address Al configurar los puertos fsicos de los switches de una red, en segmentos separados lgicamente, que agrupan a las estaciones de trabajo en conjuntos independientes, an cuando todos esos grupos de estaciones, compartan los mismos recursos fsicos. De esa manera un usuario de la VLAN A, no puede acceder a los usuarios de la VLAN B. Esta segmentacin corresponde a un control de red de Capa 2, segn el modelo OSI. Polticas de seguridad operando en diferentes capas de lo modelo OSI, permiten perfilar el acceso que los usuarios pueden tener dentro de la red, para acceder servidores, aplicaciones, otras VLAN y otros recursos de red como ancho de banda utilizado, entre otros. Para hacer esto, los usuarios se pueden identificar mediante el puerto fsico al que estn conectados o la MAC address usada por ellos. De igual manera, puede controlarse las aplicaciones a las que los usuarios pueden acceder dentro de la red, identificando los puertos lgicos UDP o TCP por los que se puede comunicar. Todo esto se puede logar usando herramientas disponibles con protocolos estndares. A menudo es necesario habilitar varias polticas de seguridad, porque por ejemplo, identificar las MAC Address de los usuarios es una poderosa herramienta de seguridad, pero es posible clonar una MAC Address o una direccin de red IP, por lo cual es necesario crear una estrategia de seguridad con varios mecanismos activos simultneamente. Algo muy bueno de la seguridad basada en MAC Address es que se puede limitar el nmero de direcciones que se pueden aprender por puerto fsico, que en algunos casos eso es una herramienta muy til. Adems de esto, muchos fabricantes ofrecen otras formas de explotar la tabla de direcciones MAC que crean los switches con fines de proveer seguridad. Las funciones de NAT (Network Address Traslation), tambin pueden aprovecharse como mecanismos de seguridad dentro de la red LAN, comportndose como un firewall al presentar un solo host al exterior, ocultando la red. Autenticacin de Usuarios Con este mecanismo, cada puerto fsico de un switch est lgicamente bloqueado, hasta que se pueda verificar que el usuario conectado a ese puerto est autorizado para acceder a los recursos de la red. El mtodo estndar para hacerlo est definido por la IEEE en la especificacin 802.1x. Este estndar de autenticacin requiere de un servidor central de autenticacin como los usados en los Servers de Acceso Remoto para servicios de Dial-UP, tal como RADIUS (Remote Authentication Dial-In User Service). 802.1x est mayoremente asociado con redes inalmbricas que usan RADIUS y el Extensible Authentication Protocol (EAP), pero tambin es posible implementarlo en ambientes LAN. Para hacerlo se requiere de un agente de software en cada estacin de trabajo. Un software que soporte algn mecanismo de EAP tal como el Transpor Layer Security (TLS) o Tunneled TLS (TTLS). Las estaciones con Windows 2000/XP cuentan con tal agente. Otras estaciones con diferentes sistemas operativos requieren de instalarse el software adecuado para participar del proceso de autenticacin de 802.1x. Hay varias modalidades propietarias para hacer esto, entre ellas podemos citar a las de Cisco Systems, Microsoft o Extreme Networks. En general, casi todas las grandes firmas tienen algn proceso propietario. Durante el proceso de autenticacin, otros protocolos y

http://www.bsecure.com.mx/imprimir.php?id_sec=60&id_articulo=6398

09/10/2006

bSecure

Page 3 of 6

servicios pueden verse involucrados como por ejemplo DHCP para asignar una direccin temporal de IP mientras se completa el proceso. Tambin los servidores RADIUS pueden apoyar a los switches para descargarles a los clientes sus perfiles de acceso a la red, tales como la pertenencia a determinada VLAN, los ACL a los que debe ajustarse, los perfiles de QoS, la direccin de IP de trabajo, etc. Otro dato importante es que la autenticacin de usuarios pueden operar con mecanismos de encriptacin robustos y generacin de llaves de encriptacin automticas virtualmente infranqueables. Prevencin contra ataques DoS Los ataques de Negacin de Servicio se presentan de varias maneras y tienen como objetivo de ataque varios servicios encontrados en los servidores e incluso a los CPU de algunos dispositivos de red. El propsito de estos ataques es agotar valiosos recursos de la red y de los servidores y tienden hacia diferentes formas de bloquear los servicios, como inundar la red con mensajes solicitando servicios sin completarlos ni cerrarlos, otra es interrumpir conexiones legtimas con paquetes intrusos que nada tienen que ver con la conexin original, y algunos de los ataques ms comunes es simplemente inhabilitar un servicio o impedir que un servidor en particular o un usuario de red pueda iniciar o responder un servicio. Una serie de contramedidas pueden implementarse en los equipos de la red, para minimizar o nulificar la magnitud del ataque. Estas contramedidas generalmente estn constituidas por mecanismos de filtrado de paquetes. Los ms simples implican el bloqueo de ciertos servicios de red transportados por puertos lgicos UDP o TCP hacia el exterior de la red, y permitir el uso de esos puertos solo en el interior de la red. Hay algunos ataques que aprovechan los mecanismos de transporte que legtimamente usan aplicaciones dentro de la red, por lo que es imposible bloquear todo este tipo de trfico. Algunos switches son capaces de identificar los patrones en los que este trfico se propaga y bloquear los servicios activando filtros, reportando el evento al sistema de administracin de red, y devolviendo a su condicin original los equipos de red, en cuanto se detecte que el ataque ha cesado. Los ataques ms severos, pueden requerir que los administradores de red inviertan tiempo en aislar el ataque, pero pueden auxiliarse de las herramientas disponibles en la red. Otra medida interesante, es que lejos de simplemente bloquear el trfico que posiblemente sea generado por un ataque, y as permitir que trfico verdico sea transportado, se pueden implementar mecanismos de QoS que restrinjan el trfico a determinado ancho de banda o a un nivel de prioridad. De esa manera se impide que el ataque agote por completo los recursos de la red, y minimizar sus efectos negativos al tiempo que se permite que trfico legtimo sea transportado. Lidiar con ataques de Negacin de Servicio no es fcil, y requiere de mucho ingenio desplegar contra medidas tiles en diferentes segmentos y zonas de la red. Un switch de nueva tecnologa que se jacte de proveer buenos mecanismos de seguridad debe contar con medidas de proteccin contra ataques DoS. Estas funciones normalmente no se pueden encontrar en simples switches de capa 2. Una razn ms para pensar en darle inteligencia a toda la red y no solo al core de la red corporativa. Ahora, el tema de seguridad es muy amplio y casi siempre se habla de tres frentes en los cuales se debe librar esta batalla. Uno es nivel perimetral, esto es hacia el exterior de nuestra red corporativa donde firewalls, IDS y encriptadores tienen su ubicacin. El segundo frente es a nivel del corazn de nuestra red, es decir, a nivel de la infraestructura de la red. Aqu no solo se trata de proteger la integridad de los servidores y sus aplicaciones, sino de la propia infraestructura de red. Es aqu donde muchos fabricantes se estn enfocando en darle ms inteligencia a la red, para que se auto-defienda de posibles ataques. Muy pocas empresas del mercado estn con la madurez tecnolgica, y la tecnologa para ofrecer una solucin de este tipo. Equipos ms robustos, con rendimientos nunca antes vistos, con innovadores sistemas operativos son los que dan la pauta para una red corporativa a prueba de ataques. En este sentido, muchas firmas se

http://www.bsecure.com.mx/imprimir.php?id_sec=60&id_articulo=6398

09/10/2006

bSecure

Page 4 of 6

limitan a colocar un dispositivo externo operando al lado de los conmutadores LAN dorsales (core switches), sin invertir en innovaciones tecnolgicas. El tercer frente es el acceso a la red. Cuntos han sufrido con una plaga de virus y gusanos que se han colado a la red y los sistemas de informacin, a travs de un simple correo electrnico? Actualmente hay fabricantes que ofrecen mecanismos de seguridad que automatizan la autenticacin de los usuarios de la red, la deteccin de amenazas, su mitigacin y el mantenimiento constante que requiere el acceso de los usuarios a la red. Recapitulando Proteger el flujo de la informacin transportada por una infraestructura de red y asegurar que los usuarios accedan solo a los recursos que ellos necesitan, constituye un control crtico para crear un ambiente de red seguro. Esto es anlogo a limitar las reas de las instalaciones fsicas de una organizacin, a donde las personas les son permitidas entrar. Este control tambin limita el posible dao en caso en que la seguridad se vea comprometida. (Ver recuadro: Los aliados estratgicos) Es importante seleccionar un proveedor de equipos de red, que garantice que el habilitar varios mecanismos de seguridad de manera simultnea, no comprometa el rendimiento global de la red. Debe considerarse un punto medio entre tener switches de datos con robustos mecanismos de seguridad (algunos switches en el mercado cuentan con firewalls integrados), pero que por procesar tanta informacin no tienen buenos rendimientos, y el tener switches con pobres funcionalidades como un simple switch de capa 2, los cuales generalmente son muy baratos pero no nos ofrecen caractersticas adecuadas de seguridad para proteger el interior de la red corporativa. El gobierno de Estados Unidos recientemente ha publicado nuevas leyes que obligan a corporaciones pblicas y privadas, a codificar o encriptar la infromacin saliente de sus sistemas de comunicaciones, para aplicarlos dentro y fuera del territorio estadounidense. Y esto es solo un ejemplo. Tal escenario representa una enorme inversin tanto en el rea de investigacin y desarrollo por parte de los fabricantes, como en la adquisicin, instalacin y operacin de sistemas relacionados con la seguridad. Francisco Villarreal Snchez (francisco_villarreal@yahoo.com) es consultor en redes. Estudi Ingeniera Electrnica y Comunicaciones en la Facultad de Ingeniera de la UNAM. Cuenta con 18 aos de experiencia en el ramo de internetworking tanto en tecnologas LAN/MAN/WAN, como las relacionadas a stas. Proteccin del acceso Existen mecanismos de seguridad estndares y propietarios que pueden ser desplegados para proteger la infraestructura de red. Seguridad para Redes Virtuales (VLAN) y basada en MAC Address Autenticacin de los Usuarios de Red (estndar y/o propietario) Redes Privadas Virtuales (VPN) Proteccin contra ataques de Negacin de Servicio (Denial of Service) Lo ms recomendable es hacer una combinacin de varios mtodos. Esto ofrece redundancia y respaldo en el caso en que uno de ellos falle o no pueda aplicarse. En particular, solo hay un caso en que la confiabilidad de los sistemas de seguridad se ve limitada, y eso es cuando se utilizan claves de acceso (contraseas). Las claves de acceso son la forma ms simple de autenticacin, si se tiene la contrasea se tiene el acceso. Una clave de acceso normalmente se define en informacin que el usuario sabe, y as se

http://www.bsecure.com.mx/imprimir.php?id_sec=60&id_articulo=6398

09/10/2006

bSecure

Page 5 of 6

constituye en la forma ms dbil de autenticar mediante un solo factor para dar acceso a un sistema por que a menudo se presentan condiciones como: Eleccin de una contrasea fcil de intuir Escribir la contrasea y guardarla en un lugar fcilmente accesible Proporcionar la contrasea a conocidos o familiares Para evitar esto, se recomienda seguir estrictas polticas en la asignacin de claves. En muchas ocasiones, dentro en un corporativo, en la asignacin de contraseas se elimina el factor humano, haciendo que un sistema automtico genere claves de manera automtica. Combinar esas polticas con mecanismos de seguridad en el acceso a la red, puede proteger mucho mejor los recursos de la red. Enlaces virtuales Una VPN es esencialmente un servicio que emplea una infraestructura de red pblica o comn como la Internet, con mecanismos de seguridad que proporcionan a los usuarios de ese servicio, un ambiente de conexin como el que tendran con enlaces privados. Por ejemplo, con un servicio de este tipo, una oficina remota podra usar la Internet para conectarse a sus oficinas centrales creando un tnel seguro entre la red de las oficinas centrales y la red de la oficina remota. Esto requiere de mtodos de encriptacin y algunos protocolos propios de VPN para crear el tnel seguro. Algunos tipos de VPN manejadas en infraestructuras de red son: MPLS (Multiprotocol Label Switching) opera a nivel del Enlace de Datos (Capa 2 del modelo OSI), para optimizar el transporte de paquetes de IP. El protocolo IP es un protocolo no orientado a establecer una conexin que opera a nivel de Red (Capa 3 del Modelo OSI), y cada paquete debe ser ruteado individualmente. MPLS provee una transferencia ms alta como la asociada con el flujo de paquetes de IP en un switch operando en Capa 2. MPLS es un mecanismo de switcheo orientado a la conexin, usando un proceso de etiquetado de los paquetes de IP para simplificar los procesos de ruteo. IP Security (Protocolo IPSec) provee capacidades seguras para crear VPNs seguras para transferir trfico de IP. IPSec ofrece mtodos para encriptar los datos o para autenticar la conexin. IPSec puede operar en un esquema punto-a-punto entre hosts, o sobre un tnel, entre IPSec gateways sobre la Internet o sobre redes IP privadas. El Protocolo de Encapsulamiento Genrico de Ruteo (GRE),es una extensin del Protocolo de Punta a Punta (PPP) y su fortaleza radica en la capacidad de transportar mltiples protocolos de Capa 3, sobre una red IP, la cual es una funcin extremadamente til en redes que utilizan otros protocolos como IPX, o AppleTalk. GRE es un protocolo simple ampliamente soportado. Los aliados estratgicos Entre las herramientas de seguridad que los administradores de una red tienen a su disposicin se tienen: Segmentacin lgica por VLAN para impedir el acceso a otras zonas de la red Control del acceso mediante las direcciones MAC de los usuarios Listas de Control de Acceso para crear perfiles de seguridad NAT para aislar del exterior la red corporativa Autenticacin de Usuarios mediante IEEE 802.1x o propietarios para bloquear los puertos de la red hasta que los usuarios sean autenticados VPN para crear conexiones seguras ms all del control de las VLAN Prevencin o contramedidas contra ataques de Negacin de Servicio Mecanismos de respuesta a amenazas integradas a la operacin de la

http://www.bsecure.com.mx/imprimir.php?id_sec=60&id_articulo=6398

09/10/2006

bSecure

Page 6 of 6

infraestructura de red Dispositivos de seguridad perimetral como firewalls, IDS o encriptadores Automatizacin del acceso a la red para la autenticacin, deteccin y mitigacin de amenazas, as como registro de actualizaciones para corregir vulnerabilidades en los sistemas antivirus, sistemas operativos y aplicaciones de back-office
Usted encontrar ste artculo en: http://www.bsecure.com.mx/articulos.php?id_sec=60&id_art=6398

http://www.bsecure.com.mx/imprimir.php?id_sec=60&id_articulo=6398

09/10/2006