Medidas de seguridad en redes y almacenamiento

Hardening

Configuración de hardware y software para mejorar la seguridad.

Medidas para garantizar contraseña secreta

Cifrado de contraseñas. Longitud mínima. Disuasión de ataques de fuerza bruta. Deshabilitar acceso después de un período de inactividad.

SSH

Conexiones remotas de forma segura. Se basa en el modelo cliente - servidor. Puerto 22 de TCP. Uso de protocolos criptográficos. Mejor que TELNET.

Seguridad del switch

Filtrado MAC: Registra una lista de direcciones MAC permitidas para conectarse a un switch. Autenticación en el puerto: El estándar IEEE 802.1X ofrece un mecanismo de autenticación para dispositivos que deseen unirse a un puerto de un switch. 3 términos: solicitante, servidor de autenticación, autenticador.

DHCP Spoofing

Servidor no autorizado que intenta manipular la red ya sea mandando mensajes incorrectos para que el cliente se configure erróneamente.

Ataque intermediario

Los delincuentes interfieren en la transferencia de datos con el objetivo de robarlos.

Denegación de servicio

Se asigna mal la dirección, puede causar una red paralizada. Ataque de agotamiento de IPs.

DHCP Snooping

Método de contradicción de DHCP spoofing. Crea una base de datos y si se mete otro más se bloquea.

AAA

Controla el acceso a redes inalámbricas. 3 AAA: Autenticación, Autorización, Reporte. Protocolos comunes: TACACS +, RADIUS y Diameter.

Red DMZ

Tiene recursos internos de la LAN expuestos a una red externa. Protege los recursos internos ya que los equipos externos de la WAN solo pueden acceder a lo que está en la red DMZ.

Host DMZ

Única IP de la red a la que se reenvía el tráfico externo. Menos seguro que una DMZ.

Seguridad de redes inalámbricas

No hace falta conectar mediante cable. Uso de sniffers para analizar el tráfico del radio de cobertura. Solicitación de contraseña con protección. Uso de protocolo de seguridad para el intercambio de información.

WEP

Utiliza cifrado RC4 con claves de 64 bits muy vulnerables. Integración de la información mediante CRC.

WPA

Utiliza cifrado RC4 con clave de 128 bits. Implementa TKIP, evita los ataques estadísticos a los que es vulnerables WEP.

WPA2

Resuelve los defectos de WPA al utilizar el algoritmo de cifrado AES. WPA2 personal: Solicita contraseña de red. WPA2 Empresarial: Solicita nombre de usuario y contraseña.

WPA3

2018. Cifrado de 192 bits para paliar vulnerabilidades de WPA2. 2 versiones: WPA Personal y WPA empresarial.

Seguridad inalámbrica y usabilidad

Cuanta mayor seguridad se use en la red inalámbrica, más se dejará sin posibilidad de conexión a los equipos inalámbricos más antiguos.

WPS

Se abre en poco tiempo el acceso a el wifi.

WPS-PIN

Router normal pero te pide un PIN de 8 dígitos (más fácil averiguar este pin que contraseña WPA2).

Hotspots

Página web por la que el usuario debe pasar antes de acceder a la red Wifi pública.

Ataques rogue access point

Punto de acceso con el mismo SSID de la red que se intenta atacar, desde ese momento, cualquier usuario puede estar conectado a una red cautiva.

Ataques DoS a redes wifi

Diferentes variantes: Emitir señal que interfiere el canal que utiliza la red inalámbrica. Emitir paquetes de autenticación de clientes falsos. Emitir una ingente cantidad de paquetes de solicitud de ingreso.

Seguridad del almacenamiento

Evitar que se pierdan los ficheros por errores, fallos o averías.

Aspectos importantes

Disponibilidad: Capacidad de tener acceso a los datos en el momento en que estos son necesarios. Disco externo USB. Se suele usar almacenamiento redundante. Terreno empresarial: Alta disponibilidad. Accesibilidad: Referencia al control de acceso, solo por usuarios autorizados para ello.

NAS

Disponen de un SO que controla las unidades de almacenamiento que alojan, pero también controlan el acceso a los datos.

Almacenamiento redundante

Utiliza 2 o más unidades de almacenamiento en las cuales se replica la misma información de forma que si se avería una de ellas, los datos siguen estando disponibles en otras unidades.

Hot Spare

Disco instalado en un sistema RAID.

Almacenamiento distribuido

Necesita hacerse a través de la red (NAS).

iSCSI

Manipula un disco remoto hasta el punto de particionarlo y formatearlo desde el sistema cliente.

Almacenamiento extraíble

(Servidor).

Almacenamiento externo

Unidades de almacenamiento que están ubicadas fuera del chasis del equipo (USB).

Almacenamiento remoto y en la nube

Almacenamiento distribuido que se accede a través de internet.

VPN

Redes privadas virtuales. Crea un túnel cifrado por internet entre 2 ubicaciones.

Infraestructura VPN

Servidor, concentrador o gateway VPN: Establece conexiones seguras con los dispositivos del usuario o con otros servidores VPN. Cliente VPN: Instalar en dispositivos de usuario para poder establecer la conexión segura con el servidor VPN. El servidor VPN actúa como servidor DHCP para sus clientes, asignándoles direcciones IP dentro del rango empleado en la red empresarial.

Tipos VPN

VPN site to site: Protege las comunicaciones entre 2 redes de la organización a través de una red pública como internet. VPN de acceso remoto: Protege comunicaciones entre un equipo individual de usuario y la red interna de la organización. VPN entre equipos: Establece conexiones seguras entre 2 equipos protegiendo el tráfico desde un extremo al otro. VPN Cloud: Proporciona al usuario un punto único de acceso seguro VPN.

Seguridad perimetral

Proxy: Atiende las peticiones de clientes internos para proteger el acceso a un servidor externo. Activa en la capa 7 del modelo OSI. Squid más usado. Proxy transparente: Interpretan todo el tráfico a nivel de red y lo redirecciona a una aplicación de proxy que se ejecuta en el mismo sistema a otro. Proxy inverso: Atiende las peticiones de clientes externos para proteger el acceso a un servicio interno. Arquitectura de la seguridad perimetral: DMZ: Zonas desmilitarizadas. Intranet: Redes internas a la organización. Extranet: Redes privadas establecidas con otras organizaciones.