El perímetros de red bien diseñado (la parte o partes de la red que tienen contacto con el exterior o Internet); puede impedir toda clase de ataques por completo. Igualmente importante, puede prevenir sistemas comprometidos dentro de una red que pueden ser utilizados para atacar otros sistemas.
El diseño de la seguridad de una red, es por lo tanto un elemento clave en la gestión de riesgos y contenidos.
Pero, ¿que constituye un perímetro de red bien diseñado?
Desde que los perímetros de red siempre involucran a los cortafuegos “Firewall”; podría pensarse que bien configurados es lo mismo que tener un perímetro seguro. Pero, es algo más que eso, de hecho hay muchas formas para diseñar el perímetro. Además cualquier buen diseño de un perímetro de red sigue un simple concepto: “los sistemas que relativamente tienen un alto riesgo de ser comprometidos, deben ser separados del resto de la red”. Por supuesto, por separar se entiende que este reforzando por cortafuego u otros dispositivos de control de acceso.
Tipos de cortafuegos “Firewall”
Un Firewall es un dispositivo que protege a una red de computadoras o a un equipo individual (persona) de intrusiones hostiles; las cuales pueden poner en peligro la confidencialidad, integridad de la información, disponibilidad de equipos y servicios.
Los Firewall pueden ser dispositivos de hardware o software implementados sobre un computador convencional; los mismos se caracterizan por tener al menos 2 tarjetas de red: una utilizada para conectarse a la red no protegida o de libre acceso (Internet) y la otra para conectarse a la red protegida o red local “Red Interna”.
Un cortafuegos debería de ser por tanto la primera línea de defensa de cualquier organización; !pero no la única! es por ello que la seguridad interna y la continua puesta al día de actualizaciones de seguridad, para corregir las vulnerabilidades emergentes no deben de olvidarse como objetivos prioritarios.
Se delimitan tres grandes grupos de Firewall de acuerdo a sus funcionalidades:
- Filtrado de paquetes (ACL): funcionan en el nivel 3 del modelo OSI.
- Inspección Estado: combina las tecnologías anteriores.
- Gateway de aplicación (Proxy): funcionan en el nivel 7 del modelo OSI.
Las principales necesidades que podemos encontrarnos y que debemos de tener en cuenta a la hora de elegir un cortafuegos son:
- Filtrado de paquetes e inspección de determinados protocolos.
- Inspección del estado de las conexiones.
- Operaciones y servicios de Proxy para aplicaciones y protocolos específicos.
- Auditoría del tráfico, tanto del aceptado como del rechazado, por el cortafuegos.
Proporcionar autenticación de usuarios en base a métodos que no requieren la reutilización de contraseñas que puedan ser “escuchadas” por Sniffers.
Con cortafuegos, servidores proxy y zonas desmilitarizadas (DMZ), el equipamiento en seguridad de las grandes empresas para protegerse de los riesgos procedentes de Internet crece constantemente y, sin embargo, los ataques no siempre provienen del exterior. El talón de Aquiles de la cadena de seguridad es, con frecuencia, la red local o LAN. Si un atacante ha conseguido infiltrarse en la red interna, tiene generalmente; todas las puertas abiertas para interceptar el tráfico de datos y manipularlo a su conveniencia. Los hackers se benefician en este caso de la alta vulnerabilidad que presenta el protocolo ARP (del inglés Address Resolution Protocol), usado en redes Ethernet basadas en IPv4 para resolver direcciones IP en direcciones MAC, situando a los administradores, hasta hoy, ante un importante problema para la seguridad.
Las tablas ARP, que contienen las direcciones y sus equivalencias, se pueden manipular fácilmente mediante paquetes de datos falsificados. Se puede hablar en este caso de ARP spoofing o envenenamiento de tablas ARP, un ataque man in the middle (ataque de hombre en el medio por su nomenclatura en español) que permite a los hackers interferir entre dos sistemas sin ser vistos.
¿Qué es el ARP spoofing?
Este patrón de petición y respuesta del protocolo de resolución de direcciones está programado de tal manera que la primera respuesta a una petición es la que se acepta y se almacena. Cuando llevan a cabo una acción de ARP spoofing, la intención del hacker es la de adelantarse al propio ordenador de destino, enviar un paquete de respuesta con información falsa y, de esta manera, manipular la tabla ARP del ordenador que hizo la petición, lo que hace que a este ataque se le denomine también ARP poisoning o envenenamiento de tablas de ARP.
Por regla general, el paquete de datos de respuesta contiene la dirección MAC de un dispositivo de la red controlado por el atacante. El sistema “engañado” asocia, de esta manera, la IP de salida con una dirección física falsa y en el futuro, sin saberlo, envía todos los paquetes de datos al sistema controlado por el hacker, que desde ahora tiene la posibilidad de espiar, registrar o manipular el tráfico de datos por completo.
Medidas de protección frente al ARP spoofing
Al aprovecharse del funcionamiento del protocolo de resolución de direcciones, el envenenamiento de tablas ARP puede afectar, en principio, a todas las redes IPv4. Este problema tampoco lo ha podido resolver la introducción de la versión 6 del protocolo (IPv6). El nuevo estándar renuncia a las tablas ARP, pero regula la resolución de direcciones en la LAN mediante el protocolo NDP (Neighbor Discovery Protocol), también propenso a ataques de spoofing. Esta vulnerabilidad solo se cubre con el protocolo Secure Neighbor Discovery (SEND), que solo soportan unos pocos sistemas operativos de escritorio.
Ante la manipulación del caché ARP, los registros de ARP estáticos, que en Windows pueden cifrarse con el programa ARP (comando arp –s), representan cierta protección, pero al tener que realizarlos manualmente, esta medida de protección; suele aplicarse solo a los sistemas más importantes de la red.
Otra forma de protegerse contra el abuso de tablas ARP consiste en subdividir la red mediante conmutadores de capa 3, de forma que las peticiones de difusión incontroladas solo afectan a los sistemas dentro de un mismo segmento. Si este trabaja a nivel de la red (capa 3), además de la MAC también compara la dirección IP con registros precedentes. Si se encuentran incongruencias o reordenaciones frecuentes, el conmutador hace saltar la alarma.
Sin embargo, este hardware está ligado a altos costes de adquisición, por lo que los administradores se encuentran a menudo ante la incómoda disyuntiva de decidir si el aumento de la seguridad justifica el gasto financiero. Los conmutadores de capa 2 tradicionales, mucho más asequibles, no son convenientes, porque, aun cuando son capaces de registrar un cambio de la dirección MAC, ignoran la dirección IP a la que corresponde.
Muchos fabricantes ofrecen programas de monitorización con los cuales se pueden supervisar redes y detectar procesos llamativos. Las herramientas más conocidas son los programas de código abierto Arpwatch, ARP-Guard y XArp. También es posible utilizar sistemas de detección de intrusos como Snort para supervisar la resolución de dirección vía ARP.
Arpwatch: integrada en una red local IPv4, esta herramienta independiente de la plataforma; registra todas las actividades de tipo ARP en la LAN. El programa extrae las direcciones de todos los paquetes ARP entrantes y las guarda en una base de datos central. Si se detectan registros antiguos que no coinciden con los datos actuales, se envía un correo de aviso al administrador. Aunque este sistema es efectivo, solo es adecuado para redes con direcciones IP estáticas. Si las IP en una LAN; son distribuidas de forma dinámica con un servidor DHCP, cada cambio en la asignación de IP/MAC genera una alarma.
ARP-Guard: ARP-Guard, desarrollado por la empresa alemana ISL, se apoya en dos sensores diferentes; para llevar a cabo la supervisión de la red interna. El sensor LAN, de forma similar a Arpwatch, analiza los paquetes de datos entrantes y dispara la alarma; en caso de discordancias. El sensor SNMP, por su parte, accede a los dispositivos conectados en la LAN; a través del Simple Network Management Protocol (SNMP) y lee sus tablas ARP. De esta forma, no solo se pueden localizar y repeler ataques ARP, sino que la gestión de direcciones integrada permite detectar dispositivos extraños e impedir su acceso a la red.
XArp: el software de XArp recurre a módulos activos y pasivos para proteger la red del ARP spoofing. Los pasivos analizan paquetes ARP; enviados en la red y comparan las direcciones tal y como están asociadas a registros más antiguos. Si se detectan incongruencias, salta la alarma. El mecanismo de control; se apoya para ello en análisis estadísticos y comprueba; el tráfico en la red a partir de varios patrones que, a juicio de los desarrolladores, caracterizan a los ataques de ARP.
La sensibilidad de estos filtros de tráfico se puede ajustar en varios niveles. Los módulos activos, por su parte, envían ellos mismos paquetes a la red; para validar las tablas ARP de los dispositivos contactados y suministrarles datos válidos.
El sistema de detección de intrusos (IDS) Snort también dispone de un preprocesador Arpspoof; integrado que permite supervisar el tráfico de datos en la red y elaborar; manualmente listas de comparación, aunque con lleva mucho más trabajo y suelen utilizarse; en la transición a redes externas.Decidir si es rentable aplicarlo dentro de la LAN depende de cada caso en particular. A nivel corporativo, esta medida suele encontrarse con la oposición de los comités de empresa, porque el administrador que supervisa la red con IDS tiene acceso al tráfico completo en la red y, de esta manera, también; sobre todas las actividades de los empleados de la empresa.
Te invitamos a seguir leyendo: Cinco criptomonedas mueven más del 65% en el mercado