Medidas de seguridad en redes

Hardening

Es la configuración de hardware y software para mejorar la seguridad.

Medidas para garantizar

Cifrado de contraseñas. longitud mínima. Disuasión de ataques de fuerza bruta. Deshabilitar acceso después de un período de inactividad

SSH

Protocolo de nivel de aplicación para conectarse de forma remota a un equipo. Se basa en el modelo cliente - servidor. Se encuentra en el puerto 22 de TCP. Utiliza protocolos criptográficos para asegurar la seguridad de las comunicaciones. Reemplaza a TELNET, que no cifra las comunicaciones

Seguridad del switch

Apago / aislamiento de puertos no utilizados en VLAN. Medidas para evitar conexiones no autorizadas:

Filtrado MAC

Registra una lista de direcciones MAC permitidas para conectarse a un switch. El switch solo envía mensajes si la dirección MAC del dispositivo está en la lista. Debilidad: Las direcciones MAC son fácilmente falsificables mediante modificación del software de la red.

Autenticación en el puerto

El dispositivo autenticador solo permite el acceso a sus puertos una vez que el dispositivo 802.1X (suplicante) haya sido autenticado correctamente con el servidor RADIUS.

DHCP Spoofing

Permite el registro de la transferencia de datos y obtención de información confidencial. La asignación incorrecta de direcciones puede causar un ataque DoS.

AAA

Autenticación: identifica a los usuarios que pueden acceder al sistema. Autorización: Da permisos a los usuarios una vez dentro del sistema. Reporte: Registra trazas de las acciones que llevan a cabo los usuarios dentro del sistema, de tal modo que se pueden realizar auditorías de seguridad.

Red DMZ

La DMZ funciona como una red aislada entre la red privada e Internet.

Host DMZ

Routers con funcionalidad de host DMZ. Menos seguro que una DMZ.

Seguridad de redes inalámbricas

Representa problema de seguridad ante casos no autorizados de equipos intrusos en la red.

WEP:

Utiliza cifrado RC4 con claves de 64 bits muy vulnerables y usa metodo de integridad de la info llamado CRC.

WPA:

Utiliza cifrado RC4 con clave de 128 bits. Implementa TKIP (Temporal key integrity protocol). Este evita los ataques estadísticos a los que es vulnerables WEP.

WPA2

Resuelve todos los defectos de WPA al utilizar el algoritmo de cifrado AES. 2 versiones: WPA2 personal: Solicita contraseña de red. WPA2 Empresarial: solicita nombre de usuario y contraseña.

WPA3:

2018. Cifrado de 192 bits para paliar vulnerabilidades de WPA2.

Seguridad inalámbrica y usabilidad:

Cuanta + seguridad se use en la red inalámbrica, +se dejará sin posibilidad de conexión a los equipos inalámbricos más antiguos que no tienen instaladas estas características.

WPS:

Sistema para facilitar el ingreso en una red inalámbrica sin necesidad de contraseña.

WPS-PIN:

Necesidad de q el usuario proporcione un PIN de 8 dígitos.

Hotspots:

Muestra un portal cautivo (Página web por la que el usuario debe pasar antes de acceder a la red Wifi pública).

Ataques rogue access point

Un atacante puede montar un punto de acceso con el mismo SSID que la red que intenta atacar.

Ataques DoS a redes wifi

Diferentes variantes: Emitir señal que interfiere el canal que utiliza la red inalámbrica. Emitir paquetes de autenticación de clientes falsos. Emitir una ingente cantidad de paquetes de solicitud de ingreso.

Proxy

Atiende las peticiones de clientes internos para proteger el acceso a un servidor externo. Activa en la capa 7 del modelo OSI.

Proxy transparente

Interpretan todo el tráfico a nivel de red y lo redirecciona a una aplicación de proxy q se ejecuta en el mismo sistema a otro.

Proxy inverso

Atiende las peticiones de clientes externos para proteger el acceso a un servicio interno.

Sistema de detección de intrusiones

Además de detectarlos y generar algún tipo de alerta, los Ips intentan detenerlos. Existen Ips a nivel de sistema y red.

Arquitectura de la seguridad perimetral

DHZ: Zonas desmilitarizadas. intranet: Redes internas a la organización. Extranet: Redes privadas establecidas con otras organizaciones.