Amenaces i Protecció en Xarxes Informàtiques

Amenaces i Atacs

Interrupció: Denegació de serveis (DDoS)

Intercepció: Sniffing (Wireshark, Cain & Abel)

Intercepció i Modificació: Man in the middle (Cain & Abel)

Modificació: Pharming (Cain & Abel)

Fabricació: Spoofing (Cain & Abel)

Protecció davant Atacs

Per una bona protecció, cal que les taules ARP estàtiques no siguin modificables. Monitoritzar en tot moment aquestes taules serà una bona manera de detectar possibles intrusos dins de la nostra xarxa.

Amenaces Externes i Internes

Amenaces Externes o d'Accés Remot

Els atacants són externs a la xarxa privada o interna d'una organització i aconsegueixen accedir des d'una xarxa pública. L'objectiu de l'atacant sol ser servidors i encaminadors accessibles des de l'exterior, i els fan servir de passarel·la d'accés a la xarxa corporativa.

Amenaça Interna o Corporativa

Els atacants accedeixen sense autorització o pertanyen a la xarxa privada de l'organització. D'aquesta manera, poden comprometre la seguretat i, a sobre, tota la informació i serveis de l'organització.

Protecció davant les Amenaces Internes

Realitzar un bon disseny de direccionament, parcel·lació i serveis de subxarxa dintre de la nostra xarxa corporativa. És a dir, dissenyar bé la xarxa, fent ús de subnetting, xarxes locals virtuals, creació de zones desmilitaritzades i evitar que els usuaris puguin accedir directament a la xarxa local amb sistemes crítics. També és recomanable una bona política d'administració de direccionament estàtic per als servidors o routers, monitorització del trànsit de la xarxa i de les assignacions de direccionament dinàmic i de les taules ARP, modificació de configuracions de seguretat i contrasenyes fortes. En xarxes sense fils, cal utilitzar el màxim nivell de seguretat.

Protecció davant les Amenaces Externes

Sistemes de Detecció d'Intrusos (IDS)

Un IDS és una eina de seguretat per detectar o monitoritzar els esdeveniments esdevinguts en un determinat sistema informàtic en cerca d'intents de comprometre la seguretat d'aquest sistema.

Cerquen patrons prèviament definits que impliquen activitats sospitoses o malicioses sobre la nostra xarxa o equip.

Aquests sistemes aporten capacitat de prevenció i anticipació davant d'atacs al nostre sistema.

Els tipus de IDS que trobem són: HIDS (Host IDS): Protegeixen un únic dispositiu. NIDS (Net IDS): Protegeixen un sistema basat en xarxa.

Un IDS està format per: Recollida de dades (Log, dispositiu de xarxa..). Regles i filtres sobre les dades i patrons per detectar anomalies de seguretat en el sistema. Generar informes i alertes (via SMS o correu electrònic).

On és troba un IDS? Davant i darrere del tallafocs perimètric de la xarxa (d'aquesta manera obtenim informació exacta dels tipus d'atacs que rep la xarxa).

Riscos Potencials en els Serveis de Xarxa

Totes les xarxes actualment utilitzen el protocol TCP/IP, aquest model comporta una sèrie d'aspectes que cal tenir en compte. Cada servei és identificat per una IP i un port, per tant, els ports cal tenir-los en compte com a un risc o possible amenaça. El coneixement i anàlisi dels ports pot resultar bàsic per a la seguretat de la xarxa i cal tenir un control dels ports que utilitzem. Cal utilitzar una sèrie d'eines que ens faciliten el control, com per exemple netstat que permet veure l'estat dels ports o nmap que permet l'escaneig d'un rang d'IP. Els tallafocs també seran els nostres aliats per a una bona protecció (filtrant els ports, connexions cap i des de l'exterior).

Comunicacions Segures

Existeixen molts protocols (Ports) que no són segurs ja que no utilitzen cap tipus de xifrat (HTTP, FTP, SMTP/POP3). Per tant, cal tenir en compte quins protocols farem servir. Si volem una comunicació segura via web, farem servir HTTPS, SSL, IPSEC (Internet Protocol Security).

Xarxa Privada Virtual (VPN)

Una xarxa privada virtual consisteix en una extensió d'una xarxa local de forma segura sobre la xarxa pública (Internet). Per fer una VPN segura, cal tenir en compte els següents punts:

• Autenticació i autorització: Control d'usuaris i/o equips.
• Integritat: Enviar dades de manera no alterada (Utilització de hash MD5 o SHA).
• Confidencialitat: La informació ha de estar xifrada amb algoritmes DES o AES.
• No repudi: Els missatges han d'anar signats.

Tipus de VPN

• VPN d'accés remot: El més utilitzat. Els usuaris es connecten amb l'empresa des d'algun lloc remot utilitzant Internet com a vincle d'accés.
• VPN punt a punt: Connectar ubicacions remotes amb la seu central de l'organització (Crea un túnel VPN (Tunneling)).
• VPN over LAN: La menys estesa però la més poderosa. Sobre una LAN s'aïlla zones i serveis de la xarxa interna afegint xifrat i autenticació addicional mitjançant VPN.

El protocol estàndard que utilitza VPN és IPSEC, però també pot utilitzar PPTP, L2TP, SSL/TLS, SSH... Tot i així, els dos més utilitzats són:

• PPTP (Point to Point Tunneling Protocol): Protocol desenvolupat per Microsoft. Senzill i fàcil d'implementar però ofereix menor seguretat que L2TP.
• L2TP (Layer Two Tunneling Protocol): És un estàndard obert i multi-plataforma. S'implementa IPSEC i proporciona alts nivells de seguretat. S'utilitzen certificats de seguretat de clau pública per a xifrar les dades i garantir la identitat dels usuaris de la VPN.

Xarxes Sense Fils

Tot i que la tecnologia sense fils ofereix moltes avantatges en comparació amb les de cable, també comporta alguns riscos i limitacions, com per exemple utilitzar rangs de l'espectre de radiofreqüència d'ús públic, els quals poden estar saturats o que qualsevol equip amb targeta sense fils pugui interceptar les comunicacions. Això es pot resoldre protegint les comunicacions sense fils amb un xifrat i una autenticació. Si una connexió ha de ser molt segura, la millor opció és utilitzar un cable.

Sistemes de Seguretat WLAN (Wireless Local Area Network)

Els sistemes sense fil poden ser sense autenticació en el control d'accés a la xarxa i no es xifren (Open System o Sistema Obert), WEP (Wired Equivalent Privacy) on es xifren els missatges amb claus de 13 o 5 caràcters, WPA (Wi-Fi Protected Access) on els missatges es xifren encara més. Nota Important: Existeixen dos tipus: WPA Empresarial on s'utilitza RADIUS i WPA Personal on s'utilitza una clau pre-compartida com a WEP.

Recomanacions de Seguretat en WLAN

• Assegurar l'administració del punt d'accés (AP).
• Augmentar la seguretat de les dades transmeses utilitzant xifrat WEP/WPA/WPA2 o servidor RADIUS i actualitzar claus regularment.
• Canviar el SSID per defecte i desactivar el broadcasting SSID.
• Canviar IP del AP.
• Desactivar el servidor DHCP.
• Activar filtrat de connexions permeses.
• Establir un nombre màxim de dispositius que es poden connectar.
• Analitzar els usuaris connectats i verificar-los.

DNS Cache Poisoning: El DNS té una memòria cau, es pot forçar l'entrada de dades a aquesta memòria cau amb IP's falses.

DNS Amplification Attacks: Les peticions de DNS es resolen recursivament: DDoS.

Vulnerabilitats a la Xarxa (Breu resum del PDF «Muerte Por Kiki»)

En aquest PDF s'explica diferents protocols i on existeix una vulnerabilitat. Farem un resum d'aquests atacs ordenats per protocols (Ethernet, IP, ICMP, TCP i DNS).

Ethernet

En aquest protocol es poden realitzar atacs enfocats amb Sniffers (Wireshark, Cain & Abel...). És realment fàcil detectar trànsit en una xarxa local.

Atacs Ethernet

• Mac Flooding: Com ja sabem, un Switch guarda les adreces físiques dels dispositius en una taula. Gràcies a aquesta taula podem enviar els paquets al destinatari. Però aquesta taula té una memòria limitada, per tant un atacant pot saturar-la i deixar-la inutilitzada. Com? Fàcil. Bombardejar el switch amb adreces MAC d'orígens diferents. Quan la taula queda inutilitzada, el switch comença a actuar com un simple i vulgar Hub.
• Modificació d'Adreces MAC: És realment fàcil canviar adreces físiques. Això representa un problema greu en sistemes de control d'accés basats en adreces físiques. (ifconfig eth0 hw ether 11:22:33:44:55:66)
• Denegació de Servei: Es pot aconseguir que un ordinador no rebi cap paquet atacant l'encaminador de la xarxa local, d'aquesta manera aïllar la xarxa local de l'exterior.
• Man in the Middle: Un atacant es fa passar per un altre ordinador (víctima) i rep així tots els paquets destinats a aquesta víctima.

Atacs Protocol IP

• IP Spoofing: Generar paquets IP amb adreça falsa. Normalment l'objectiu és generar un DDoS.
• Packet-Of-Death: Enviar molts paquets IP deliberadament.
• Fragmentació IP: Normalment es generen fragmentacions de paquets, un atacant pot aprofitar aquesta fragmentació intencionada per modificar aquests paquets.

Atacs Protocol ICMP

Generalment les vulnerabilitats que té aquest protocol permeten generar atacs de denegació de servei (Ping flooding, ping of death, smurf attack).

Atacs Protocol DNS

• DNS Spoofing: Donar informació errònia de manera deliberada. Redirigir un domini a una IP «falsa» per fer creure a la víctima que està en un lloc on en realitat no ho és.