domingo, 12 de febrero de 2017

seguridad activa:acceso a redes


1.REDES CABLEADAS
En las dos unidades anteriores hemos estudiado a fondo cómo proteger nuestra máquina
junto con los datos y el software que ejecuta en ella. Pero en una empresa es raro
encontrar una máquina aislada.
También hay que protegerse de los ataques que vengan por la red. Una máquina que

ofrece servicios TCP/IP debe abrir ciertos puertos.Las consecuencias
de este fallo serán, como mínimo, que el servicio queda interrumpido; pero en
algunos casos el atacante puede tomar el control de la máquina.
Actualmente, este miedo prácticamente ha desaparecido, porque utilizamos la arquitectura
en estrella: cada equipo tiene un cable directo a un puerto de un conmutador de
red (switch) y por ahí envían sus paquetes; el switch los recibe y decide por qué puerto
va a enviarlos para que lleguen al destino.

Sin embargo, las redes conmutadas tienen sus propias vulnerabilidades:

  • Hay que proteger el switch físicamente: encerrarlo en un armario/rack con llave dentro de una sala con control de acceso. Así evitamos no solo el robo, sino que alguien acceda al botón de reset y lo configure a su modo.
  •  Hay que proteger el switch lógicamente: poner usuario/contraseña para acceder a su configuración.
  •  Hay que hacer grupos de puertos, porque en un switch suelen estar conectados grupos de máquinas que nunca necesitan comunicarse entre sí (por ejemplo, el departamento de marketing con el departamento de soporte).
  • Hay que controlar qué equipos se pueden conectar y a qué puertos. Por el motivo anterior, al grupo de marketing solo deberían entrar máquinas de marketing

1.1. VLAN
Los grupos de puertos que hacemos en un switch gestionable para aislar un conjunto
de máquinas constituyen una VLAN (LAN virtual). Se le llama virtual porque parece que
están en una LAN propia, que la red está montada para ellos solos. Como hemos dicho
antes, utilizar VLAN mejora el rendimiento y la seguridad, porque esas máquinas solo
hablan entre ellas y nadie extraño las escucha

1.2. Autenticación en el puerto. MAC y 802.1X
Hemos protegido el acceso al switch y repartido las máquinas de la empresa en varias
VLAN, interconectadas por routers. Pero cualquiera puede meterse en un despacho,
desconectar el cable RJ45 del ordenador del empleado, conectarlo a su portátil y ya
estaría en esa VLAN. Como sigue siendo un switch, no podrá escuchar el tráfi co normal

de los demás ordenadores de la VLAN, pero sí lanzar ataques contra ellos.

puerto que nos conecta a Internet, en nuestro caso el 5, porque ahí hay muchas máquinas y ya está ocupado) y añadimos dos direcciones a la lista: la dirección de uno de los equipos cliente en el puerto 9 y la dirección de nuestra consola en puerto 13 (así podemos seguir aplicando cambios). En la Figura 6.26 tenemos la nueva configuración.


2. Redes inalámbricas
Los miedos a que las comunicaciones sean escuchadas por terceros no autorizados
han desaparecido en las redes cableadas, pero están plenamente justificados en redes
inalámbricas o WLAN (Wireless LAN), porque de nuevo el medio de transmisión (el
aire) es compartido por todos los equipos y cualquier tarjeta en modo promiscuo puede
perfectamente escuchar lo que no debe.
Aunque se pueden hacer redes inalámbricas entre equipos (redes ad hoc), lo más habitual
son las redes de tipo infraestructura: un equipo llamado access point (AP, punto
de acceso) hace de switch, de manera que los demás ordenadores se conectan a él, le
envían sus paquetes y él decide cómo hacerlos llegar al destino, que puede ser enviarlo
de nuevo al aire o sacarlo por el cable que le lleva al resto de la red (Fig. 6.37). Salir por
el cable es la confi guración más habitual en las empresas, donde la WLAN se considera
una extensión de la red cableada.
Como ocurría con el switch en las redes cableadas, hemos de:

  •  Proteger el access point físicamente. La protección física es más complicada que en el caso del switch, porque el AP tiene que estar cerca de los usuarios para que puedan captar la señal inalámbrica, mientras que para conectar la toma de red de la mesa con el switch podemos utilizar cable de varias decenas de metros.
  • Proteger el access point lógicamente (usuario/contraseña).
  • Controlar qué clientes pueden conectarse a él (autenticación).
  • Podemos separar dos grupos de usuarios, haciendo que el mismo AP emita variasSSID distintas, con autenticaciones distintas. Estas distintas SSID suelen tener asociada una VLAN etiquetada.
  •  Sobre todo, hay que encriptar la transmisión entre el ordenador y el AP. Así, aunque alguien capture nuestras comunicaciones, no podrá sacar nada en claro.

2.1. Asociación y transmisión

Para que un ordenador pueda trabajar en una red cableada normal (sin autenticación en
el puerto), basta con enchufar un cable Ethernet entre la tarjeta de red del equipo y la toma
de red en la pared, por ejemplo. En wifi se establecen dos fases: asociación y transmisión.

Durante la asociación el usuario elige la SSID a la que se quiere conectar y entonces
su tarjeta inalámbrica contacta con el AP que ofrece esa SSID. Negocian varias características
de la comunicación (protocolo b/g/n, velocidad, etc.), pero sobre todo el AP
puede solicitar algún tipo de autenticación para decidir si debe dejarle asociarse o no.

La autenticación es más habitual en redes inalámbricas que en redes cableadas porque,
para poder llegar a conectar un cable, primero tenemos que entrar en la empresa, y se
supone que no dejan pasar a cualquiera; en cambio, podemos captar la señal inalámbrica
desde un coche aparcado junto a la fachada, sentados en un bar en la planta
baja, etc.

Las AP admiten varios tipos de autenticación:
  •  Abierta: no hay autenticación, cualquier equipo puede asociarse con el AP.
  • Compartida: la misma clave que utilizamos para cifrar la usamos para autenticar. Acceso seguro: usamos distintas claves para autenticar y cifrar. El usuario solo necesita saber una, la clave de autenticación: la clave de cifrado se genera automáticamente durante la asociación.
  • Autenticación por MAC: el AP mantiene una lista de MAC autorizadas y solo ellas pueden asociarse.
el AP admite varias combinaciones:
  •  Autenticación abierta y sin cifrado: se utiliza en lugares públicos (bibliotecas, cafeterías,etc.). La intención es no molestar al usuario introduciendo claves; además, si las ponemos.
  •  Autenticación abierta y transmisión cifrada: es el esquema habitual de las primeras redes wifi.
  • Autenticación compartida y transmisión cifrada: es una mala combinación (en Windows7 ni siquiera se contempla), porque la autenticación es muy vulnerable y, conocida esa clave, tendrán acceso a descifrar las comunicaciones de cualquier ordenador conectado a ese AP.
  •  Autenticación segura y transmisión cifrada: es la mejor solución porque utiliza una clave distinta para cada cosa. La más conocida es WPA, como veremos en el siguiente apartado de esta unidad.

2.2. Cifrado: WEP, WPA, WPA2
El primer estándar se llamó WEP (Wireline Equivalent Privacy, privacidad equivalente
al cable), intentando compensar las dos realidades:

  •  En redes cableadas es difícil el acceso al cable, pero si alguien lo consigue, puede capturar cualquier comunicación que pase por ahí.


  •  En redes inalámbricas cualquiera puede capturar las comunicaciones, pero, como van cifradas, no le servirá de nada. Sin embargo, en poco tiempo se encontraron debilidades al algoritmo de cifrado utilizado en WEP. Capturando cierto número de tramas, en poco tiempo (cada vez menos, con el aumento de la capacidad de proceso de los ordenadores personales) cualquiera podía obtener la clave WEP. Las autoridades de estandarización empezaron a trabajar en un nuevo estándar. Se llamó WPA (Wi-Fi Protected Access) e introduce muchas mejoras:
  •  Nuevos algoritmos más seguros (TKIP, AES), tanto por el algoritmo en sí como por el aumento de longitud de las claves, lo que dificulta los ataques.
  •  Rotación automática de claves. Cada cierto tiempo (varios minutos) el AP y el cliente,negocian una nueva clave. Por tanto, si algún atacante lograra acertar con la clave.,de una comunicación, solo le serviría para descifrar la información intercambiada durante ese intervalo de tiempo, pero no la anterior ni la siguiente.
  •  Por primera vez se distingue entre los ámbitos personal y empresarial. En el ámbito personal es suficiente con el esquema habitual de una única clave que conocen todos (WPA le llama PSK [Pre-Shared Key]); en el ámbito empresarial no tiene sentido, porque si una persona abandona la empresa, habría que cambiar la clave y comunicarlo  de nuevo a todos los empleados.

2.3. WPA empresarial: RADIUS
Como acabamos de destacar, para las necesidades de seguridad de una empresa no
es sufi ciente con la solución de clave única compartida por todos. Además de la salida de empleados, ya sabemos que es una buena práctica cambiar las claves regularmente  (no sabemos cuánto tiempo llevan intentando conocerla), se puede extraviar el portátil o el móvil de un empleado y quien lo encuentre puede sacar las claves almacenadas en el dispositivo, etc.

El esquema de funcionamiento de WPA empresarial es el siguiente:

  •  Dentro de la LAN de la empresa hay un ordenador que ejecuta un software servidor

RADIUS. En este servidor hay una base de datos de usuarios y contraseñas, y el servidor
admite preguntas sobre ellos.

  • Los AP de la empresa tienen conexión con ese ordenador.
  • Los AP ejecutan un software cliente RADIUS. Este software es capaz de formular las preguntas y analizar las respuestas.
El servidor RADIUS tiene la lista de las direcciones IP de los AP que le pueden preguntar. Además de estar en la lista, el AP necesita que le configuremos una contraseña definida en el servidor (una dirección IP es fácilmente falsificable). Cuando un cliente quiere asociarse a un AP, le solicita usuario y contraseña. Pero no las comprueba él mismo, sino que formula la pregunta al servidor RADIUS utilizando la contraseña configurada para ese servidor. Dependiendo de la respuesta, el AP
acepta la asociación o no.
Además de mejorar la seguridad, porque cada usuario tiene su contraseña (con su
caducidad) y en cualquier momento podemos añadir o eliminar un usuario, con WPA
empresarial podemos llevar un registro de quién entra a la red en cada momento.
Configuración de WPA Empresarial Duración: 20 minutos Dificultad: Media
Objetivo. Instalar y configurar el equipamiento necesario
para disponer de autenticación WPA Empresarial.
Material.Un ordenador, un ordenador Windows Vista con
wifi y un router inalámbrico Linksys WRT160NL. 1. Primero instalamos el servidor RADIUS siguiendo los pasos del caso práctico 4. La única diferencia es que pondremos el servidor en la dirección 10.0.1.4, porque nuestro AP está en la 10.0.1.1 (por tanto, habrá que
m odificar el clients.conf). Mantenemos la misma contraseña nolasabes1 y el mismo usuario profe con la clave test1234.
2. Para configurar el AP seguimos los primeros pasos del
caso práctico 5: conectamos el ordenador al router
mediante cable y abrimos el navegador conectándonos
al servidor web del router (dirección 10.0.1.1 en
nuestro ejemplo).
3. Creamos la nueva red entrando en la pestaña Wireless.
Ahora le llamaremos ALUMNOS-RADIUS (Fig. 6.46).
4. Pulsamos Save Settings y nos vamos a Wireless Security.
Aquí elegimos WPA Enterprise, cifrado AES y ponemos
la dirección y la clave del RADIUS (Fig. 6.47).
Caso práctico.
4. Servicios de red. Nmap y netstat
Empezamos esta unidad hablando de los riesgos de conectar un equipo a una red.
Habrá una parte del software instalado en ese equipo (los llamados servicios de red) que
quiere conectar con unos equipos y que espera conexiones de esos equipos u otros. Pero
pueden llegar conexiones de un cliente atacante, o nos podemos estar conectando erróneamente
a un servidor atacante.
Las actualizaciones llegarán por el mecanismo habitual del sistema operativo; el software
que tenemos activo (haciendo conexiones o esperándolas) lo podemos conocer
mediante un par de herramientas sencillas: Nmap y netstat.
La herramienta Nmap, disponible para sistemas Linux y Windows, se ha convertido en la
navaja suiza de los hackers de red. Además del escaneo de puertos para determinar
los servicios disponibles en una máquina, podemos pedir a la herramienta que intente
la conexión a cada uno de ellos. Después analiza los mensajes que generan estos servidores
para identificar la versión concreta del sistema operativo y la versión concreta del
software de servidor (server fingerprint) que está escuchando en cada puerto.
Es decir, aunque intentemos despistar arrancando servicios en puertos que no son los
esperados (80 para HTTP y otros), la herramienta reconoce el puerto como abierto y
consigue identificar el servicio.
La información de versión es muy útil para un atacante porque puede consultar en su
base de datos las vulnerabilidades de cada versión de un servicio y así elegir mejor el
tipo de ataque que puede lanzar contra la máquina.
Para cada puerto, la herramienta ofrece cuatro posibles estados:

  •  open (abierto): la máquina acepta paquetes dirigidos a ese puerto, donde algún servidor  está escuchando y los procesará adecuadamente.


  •  closed (cerrado): no hay ningún servidor escuchando.
  •  filtered: Nmap no puede decir si ese puerto está abierto o cerrado porque alguien está bloqueando el intento de conexión (router, firewall).


  •  unfiltered: el puerto no está bloqueado, pero no se puede concluir si está abierto o cerrado.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)